CN113515433B - 告警日志处理方法、装置、设备及存储介质 - Google Patents
告警日志处理方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN113515433B CN113515433B CN202110860372.1A CN202110860372A CN113515433B CN 113515433 B CN113515433 B CN 113515433B CN 202110860372 A CN202110860372 A CN 202110860372A CN 113515433 B CN113515433 B CN 113515433B
- Authority
- CN
- China
- Prior art keywords
- alarm
- event
- score
- identification information
- threat
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/32—Monitoring with visual or acoustical indication of the functioning of the machine
- G06F11/324—Display of status information
- G06F11/327—Alarm or error message display
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3065—Monitoring arrangements determined by the means or processing involved in reporting the monitored data
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S10/00—Systems supporting electrical power generation, transmission or distribution
- Y04S10/50—Systems or methods supporting the power network operation or management, involving a certain degree of interaction with the load-side end user applications
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Alarm Systems (AREA)
Abstract
本发明属于计算机技术领域,公开了一种告警日志处理方法、装置、设备及存储介质。本发明通过根据目标设备的告警日志确定威胁行为信息及告警标识信息;获取告警标识信息对应的告警累计分值及事件生成阈值,并根据威胁行为信息确定所述告警日志对应的告警类型及威胁等级;根据告警类型及威胁等级对告警累计分值进行调整,获得当前告警分值;若当前告警分值大于或等于事件生成阈值,则根据告警类型及告警标识信息生成告警事件,并将所述告警事件进行展示。由于会根据告警日志对告警累计分值进行累计,在告警累计分值大于或等于事件生成阈值时生成告警事件并展示,使得管理人员不必关注复杂的日志,根据告警事件即可快速响应网络安全事件。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种告警日志处理方法、装置、设备及存储介质。
背景技术
为了应对日益严峻的网络安全形势,公司一般根据各种需求装备数量、种类众多的安全设备,比如入侵检测(intrusion detection system,IDS)设备、入侵预防(Intrusion Prevension System,IPS)设备、分布式拒绝服务(Distributed Denial ofService,DDoS)设备、网站应用级入侵防御(Web Application Firewall,WAF)设备、流量清洗设备等。但不同的安全设备之间没有协同机制,在发生攻击事件时,往往各自进行告警,产生了海量的告警日志,网络安全运维人员需要花费时间理解不同厂家不同格式的告警日志,在海量的告警日志中进行查询筛选、关联分析,然后进行手动处置。因此发生网络攻击事件后,容易在定位、确认、处置环节出现响应不及时或者响应滞后,导致错过网络安全事件处置的最佳时段。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供一种告警日志处理方法、装置、设备及存储介质,旨在解决现有技术告警日志处理缓慢,导致对攻击事件的响应不及时的技术问题。
为实现上述目的,本发明提供了一种告警日志处理方法,所述方法包括以下步骤:
根据目标设备的告警日志确定威胁行为信息及告警标识信息;
获取所述告警标识信息对应的告警累计分值及事件生成阈值,并根据所述威胁行为信息确定所述告警日志对应的告警类型及威胁等级;
根据所述告警类型及所述威胁等级对所述告警累计分值进行调整,获得当前告警分值;
若所述当前告警分值大于或等于所述事件生成阈值,则根据所述告警类型及所述告警标识信息生成告警事件,并将所述告警事件进行展示。
可选的,所述获取所述告警标识信息对应的告警累计分值及事件生成阈值,并根据所述威胁行为信息确定所述告警日志对应的告警类型及威胁等级的步骤之前,还包括:
检测所述告警标识信息是否存在对应的告警事件;
若不存在对应的告警事件,则执行所述获取所述告警标识信息对应的告警累计分值及事件生成阈值,并根据所述威胁行为信息确定所述告警日志对应的告警类型及威胁等级的步骤。
可选的,所述检测所述告警标识信息是否存在对应的告警事件的步骤之后,还包括:
若存在对应的告警事件,则检测所述告警事件是否存在对应的事件研判结果;
若存在对应的事件研判结果,则获取所述告警事件对应的处置缓冲时段;
判断当前时刻是否处于所述处置缓冲时段;
在当前时刻不处于所述处置缓冲时段时,执行所述获取所述告警标识信息对应的告警累计分值及事件生成阈值,并根据所述威胁行为信息确定所述告警日志对应的告警类型及威胁等级的步骤。
可选的,所述若所述当前告警分值大于或等于所述事件生成阈值,则根据所述告警类型及所述告警标识信息生成告警事件,并将所述告警事件进行展示的步骤之后,还包括:
获取研判员为展示的所述告警事件设置的事件研判结果,并将所述告警累计分值清零;
若所述事件研判结果为第一研判结果,则获取阈值调整倍数,根据所述阈值调整倍数对所述告警标识信息对应的事件生成阈值进行调整。
可选的,所述获取研判员为展示的所述告警事件设置的事件研判结果,并将所述告警累计分值清零的步骤之后,还包括:
若所述事件研判结果为第二研判结果,则获取预设缓冲时长;
根据所述预设缓冲时长为所述告警事件设置处置缓冲时段,并为所述告警事件生成告警处置策略;
将所述告警处置策略进行展示;
接收运维人员基于展示的告警处置策略反馈的策略确认结果;
在所述策略确认结果为执行时,执行所述告警处置策略。
可选的,所述根据所述告警类型及所述威胁等级对所述告警累计分值进行调整,获得当前告警分值的步骤之前,还包括:
检测所述威胁行为信息中是否存在目标关键字;
若所述威胁行为信息中存在目标关键字,则根据所述告警类型及所述告警标识信息生成告警事件,并将所述告警事件进行展示。
可选的,所述根据所述告警类型及所述威胁等级对所述告警累计分值进行调整,获得当前告警分值的步骤,包括:
在预设分值映射表中查找所述告警类型及所述威胁等级对应的权值调整分值;
将所述告警累计分值与所述权值调整分值相加,获得当前告警分值。
此外,为实现上述目的,本发明还提出一种告警日志处理装置,所述告警日志处理装置包括以下模块:
信息获取模块,用于根据目标设备的告警日志确定威胁行为信息及告警标识信息;
级别判定模块,用于获取所述告警标识信息对应的告警累计分值及事件生成阈值,并根据所述威胁行为信息确定所述告警日志对应的告警类型及威胁等级;
分值调整模块,用于根据所述告警类型及所述威胁等级对所述告警累计分值进行调整,获得当前告警分值;
事件展示模块,用于若所述当前告警分值大于或等于所述事件生成阈值,则根据所述告警类型及所述告警标识信息生成告警事件,并将所述告警事件进行展示。
此外,为实现上述目的,本发明还提出一种告警日志处理设备,所述告警日志处理设备包括:处理器、存储器及存储在所述存储器上并可在所述处理器上运行的告警日志处理程序,所述告警日志处理程序被处理器执行时实现如上所述的告警日志处理方法的步骤。
此外,为实现上述目的,本发明还提出一种计算机可读存储介质,所述计算机可读存储介质上存储有告警日志处理程序,所述告警日志处理程序被执行时实现如上所述的告警日志处理方法的步骤。
本发明通过根据目标设备的告警日志确定威胁行为信息及告警标识信息;获取告警标识信息对应的告警累计分值及事件生成阈值,并根据威胁行为信息确定所述告警日志对应的告警类型及威胁等级;根据告警类型及威胁等级对告警累计分值进行调整,获得当前告警分值;若当前告警分值大于或等于事件生成阈值,则根据告警类型及告警标识信息生成告警事件,并将所述告警事件进行展示。由于会根据告警日志对告警累计分值进行累计,在告警累计分值大于或等于事件生成阈值时生成告警事件并展示,使得管理人员不必关注复杂的日志,根据告警事件即可快速响应网络安全事件。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的电子设备的结构示意图;
图2为本发明告警日志处理方法第一实施例的流程示意图;
图3为本发明一实施例的攻击态势展示示意图;
图4为本发明告警日志处理方法第二实施例的流程示意图;
图5为本发明一实施例中告警事件处置的流程示意图;
图6为本发明告警日志处理方法第三实施例的流程示意图;
图7为本发明一实施例的平台对接示意图;
图8为本发明告警日志处理装置第一实施例的结构框图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
参照图1,图1为本发明实施例方案涉及的硬件运行环境的告警日志处理设备结构示意图。
如图1所示,该电子设备可以包括:处理器1001,例如中央处理器(CentralProcessing Unit,CPU),通信总线1002、用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真(Wireless-Fidelity,WI-FI)接口)。存储器1005可以是高速的随机存取存储器(RandomAccess Memory,RAM),也可以是稳定的非易失性存储器(Non-Volatile Memory,NVM),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的结构并不构成对电子设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及告警日志处理程序。
在图1所示的电子设备中,网络接口1004主要用于与网络服务器进行数据通信;用户接口1003主要用于与用户进行数据交互;本发明电子设备中的处理器1001、存储器1005可以设置在告警日志处理设备中,所述电子设备通过处理器1001调用存储器1005中存储的告警日志处理程序,并执行本发明实施例提供的告警日志处理方法。
本发明实施例提供了一种告警日志处理方法,参照图2,图2为本发明一种告警日志处理方法第一实施例的流程示意图。
本实施例中,所述告警日志处理方法包括以下步骤:
步骤S10:根据目标设备的告警日志确定威胁行为信息及告警标识信息。
需要说明的是,本实施例的执行主体可以是所述告警日志处理设备,所述告警日志处理设备可以是个人电脑、服务器等电子设备,还可以是其他可实现相同或相似功能的设备,本实施例对此不加限制。在本实施例及下述各实施例中,以告警日志处理设备为例对发明告警日志处理方法进行说明。
需要说明的是,目标设备可以是需要进行告警日志处理的设备。威胁行为信息可以包括告警原因、攻击行为及威胁等级等信息。告警标识信息可以包括焦点IP、攻击方向及所属区域等信息,其中,焦点IP为需重点关注的IP(Internet Protocol)地址,攻击方向用于表示焦点IP为攻击IP或为攻击目标IP,所述区域可以用于表示焦点IP为内网IP或外网IP。
在实际使用中,由于目标设备可能是不同厂商生产的设备,其告警日志的格式可能并不相同,直接根据告警日志确定威胁行为信息及告警标识信息可能较为困难,因此,根据目标设备的告警日志确定威胁行为信息及告警标识信息可以是采集目标设备的告警日志,将采集到的告警日志进行格式转化,获得标准告警日志,根据标准告警日志确定威胁行为信息及告警标识信息。其中,将采集到的告警日志进行格式转化,获得标准日志可以是在根据在预设日志格式表中查找目标设备对应的日志格式,根据日志格式读取目标设备的告警日志中的数据,获得告警数据,将告警数据转化为预设标准日志格式,从而获得标准告警日志。预设日志格式表中可以包含目标设备与日志格式的对应关系,该对应关系可以由告警日志处理设备的管理人员根据各设备的生产厂商的日志格式预先进行设置。
可以理解的是,为了便于相关人员进行后续的攻击排查,还可以将获取到的告警日志存储至日志服务器中。
在具体实现中,各目标设备的告警日志可能量级极大,单台设备无法完全处理,需要设置告警日志处理设备集群,在采集到目标设备的告警日志之后,可以将其暂时存放至消息队列中,由消息队列将告警日志分发至告警日志处理设备集群中的各台告警日志处理设备分别进行处理。
步骤S20:获取所述告警标识信息对应的告警累计分值及事件生成阈值,并根据所述威胁行为信息确定所述告警日志对应的告警类型及威胁等级。
需要说明的是,告警累计分值可以是该告警标识信息历史累计的分值,事件生成阈值可以是用于判定是否需要产生告警事件的分值。获取所述告警标识信息对应的告警累计分值及事件生成阈值可以是在事件分值累计表中查找告警标识信息对应的告警累计分值及事件生成阈值,其中,事件分值累计表中可以记录有告警标识信息与告警累计分值和事件生成阈值的对应关系,事件分值累计表中的数据可以随着对告警日志的处理而不断更新。
例如:假设事件分值累计表中存在记录:“告警标识信息:IPA-攻击IP-外网,事件生成阈值:200,告警累计分值:77”,则在接收到一条告警日志,根据告警日志确定的告警标识信息为IPA-攻击IP-外网时,可以根据告警标识信息查找到该条记录,从而确定事件生成阈值为200,告警累计分值为77。
需要说明的是,根据威胁行为信息确定告警日志对应的告警类型及威胁等级可以是读取威胁行为信息中的数据,确定告警原因、攻击行为及威胁等级,并将告警原因及攻击行为与预设威胁行为分类规则进行匹配,从而确定告警日志对应的告警类型。其中,预设威胁行为分类规则可以由告警日志处理设备的管理人员预先进行设置。
在具体实现中,告警类型可以分为威胁和风险两大类,威胁可以分为信息收集和入侵尝试两子类,信息收集可以再划分为扫描和爬虫,入侵尝试可以分为典型漏洞攻击、注入攻击、其他漏洞利用、协议攻击、暴力破解攻击等;风险可以分为入侵、系统破坏、恶意代码、流量攻击、数据安全管控等子类,入侵可以分为恶意样本攻击/失陷、行为监控、服务器失陷等,系统破坏可以分为网页篡改、内容非法修改、域名系统(Domain Name System,DNS)劫持、内容分发网络(Content Delivery Network,CDN)劫持等。将告警日志对应的威胁行为信息与预设威胁行为分类规则进行匹配,即可确定告警日志对应的告警类型。
步骤S30:根据所述告警类型及所述威胁等级对所述告警累计分值进行调整,获得当前告警分值。
需要说明的是,不同的告警类型及不同的威胁等级的严重程度不同,需要关注的级别也不同,因此,根据所述告警类型及所述威胁等级对所述告警累计分值进行调整,获得当前告警分值可以是在预设分值映射表中查找告警类型及威胁等级对应的权值调整分值,将告警累计分值与所述权值调整分值相加,获得当前告警分值。其中,预设分值映射表可以由告警日志处理设备的管理人员预先进行设置,预设分值映射表中可以包括告警类型及威胁等级与权值调整分值的映射关系。
例如:预设分值映射表中记录有3条映射关系,分别为:“告警类型:注入攻击,威胁等级:中危,权值调整分值:3分”、“告警类型:暴力破解攻击,威胁等级:高危,权值调整分值:5分”、“告警类型:恶意代码,威胁等级:中危,权值调整分值:3分”。
进一步的,由于部分攻击行为的威胁性极高,若不及时处理则可能立刻导致严重的后果,例如:系统宕机等现象,为了在发现高威胁性攻击时可快速进行处理,本实施例步骤S30之前,还可以包括:
检测所述威胁行为信息中是否存在目标关键字;若所述威胁行为信息中存在目标关键字,则根据所述告警类型及所述告警标识信息生成告警事件,并将所述告警事件进行展示。
需要说明的是,针对高威胁性的攻击行为时,其告警日志可以设置的与一般日志不同,其中可以加入目标关键字,若告警日志对应的威胁行为信息中存在目标关键字,则说明该告警日志对应的攻击行为威胁性极高,需要立刻进行处理,因此,可以不必继续进行告警累计分值的累计,而是直接根据告警类型及告警标识信息生成告警事件。
在实际使用中,根据威胁的情况不同,可以设置多种目标关键字,例如:设置目标关键字为“服务器失陷”、“恶意样本失陷”、“暴力破解攻击成功”等。
步骤S40:若所述当前告警分值大于或等于所述事件生成阈值,则根据所述告警类型及所述告警标识信息生成告警事件,并将所述告警事件进行展示。
需要说明的是,若当前告警分值大于或等于事件生成阈值,则可以判定需要产生告警事件,因此,可以根据告警类型及告警标识信息生成告警事件,并将告警事件进行展示,用以提醒相关管理人员需要进行处理。其中,将告警事件进行展示可以是将告警事件在告警日志处理设备的显示屏幕上进行展示,也可以是将告警事件发送至相关管理人员的终端上进行展示,例如:将告警事件通过短信、邮件、或其他通信方式发送至相关人员的手机上进行展示。
可以理解的是,若当前告警分值小于事件生成阈值,则此时并不需要产生告警事件,可以将当前告警分值作为新的告警累计分值,将事件分值累计表中告警标识信息对应的告警累计分值修改为当前告警分值。
在实际使用中,为了便于管理人员快速确定当前发现多少攻击行为,从而确定那些攻击行为需要进行处理,还可以根据所有生成的告警事件构建攻击态势图,将攻击态势图进行展示。具体展示方式可以参照图3,图3为本实施例攻击态势展示示意图。
本实施例通过根据目标设备的告警日志确定威胁行为信息及告警标识信息;获取告警标识信息对应的告警累计分值及事件生成阈值,并根据威胁行为信息确定所述告警日志对应的告警类型及威胁等级;根据告警类型及威胁等级对告警累计分值进行调整,获得当前告警分值;若当前告警分值大于或等于事件生成阈值,则根据告警类型及告警标识信息生成告警事件,并将所述告警事件进行展示。由于会根据告警日志对告警累计分值进行累计,在告警累计分值大于或等于事件生成阈值时生成告警事件并展示,使得管理人员不必关注复杂的日志,根据告警事件即可快速响应网络安全事件。
参考图4,图4为本发明一种告警日志处理方法第二实施例的流程示意图。
基于上述第一实施例,本实施例告警日志处理方法在所述步骤S40之后,还包括:
步骤S50:获取研判员为展示的所述告警事件设置的事件研判结果,并将所述告警累计分值清零。
需要说明的是,研判员可以是对告警事件进行事件研判,确定该告警事件是否需要进行处理的相关管理人员研判员可以根据展示的告警事件可以查找到该告警事件对应的所有的告警日志,根据告警日志进行事件研判,从而确定该告警事件是否为误报,并确定该告警事件是否需要进行处置。事件研判结果包括第一研判结果和第二研判结果,其中,第一研判结果用于表示该告警事件为误报,不需进行处理,第二研判结果用于表示该告警事件需要进行相应的处理。
可以理解的是,在告警事件经过研判员的事件研判之后,可以表示当前的告警事件已经处理完毕,但是后续可能还是会有该告警事件对应的告警日志产生,为了保证后续还可以生成告警事件,可以将告警累计分值清零,即将事件分值累计表中告警标识信息对应的告警累计分值修改为0。
在具体实现中,为了便于理解是否需要对事件进行相应处理,可以将第一研判结果设置为“无需处理”,将第二研判结果设置为“建议处置”,以使事件研判结果更加直观。
步骤S60:若所述事件研判结果为第一研判结果,则获取阈值调整倍数,根据所述阈值调整倍数对所述告警标识信息对应的事件生成阈值进行调整。
可以理解的是,若是事件研判结果为第一研判结果,则说明研判员认定该告警事件无需进行处理,表示该告警事件可能是误报,则此时可以获取阈值调整倍数,根据阈值调整倍数对告警标识信息对应的事件生成阈值进行调整,从而扩大该告警事件对应的事件生成阈值,防止频繁误报。其中,阈值调整倍数可以由告警日志处理设备的管理人员预先进行设置,根据阈值调整倍数对告警标识信息对应的事件生成阈值进行调整可以是将阈值调整倍数与告警标识信息对应的事件生成阈值相乘,获得调整事件阈值,将事件分值累计表中告警标识信息对应的事件生成阈值修改为调整事件阈值。
在本实施例中,步骤S50之后,还包括:
步骤S70:若所述事件研判结果为第二研判结果,则获取预设缓冲时长。
需要说明的是,若事件研判结果为第二研判结果,则说明研判员认定该告警事件需要进行处理,而进行处理需要有一个过程,需要有一定时间,在此期间若还是频繁报告告警事件,可能会降低用户体验,且会影响其他告警事件的产生,因此,可以获取预设缓冲时长。其中预设缓冲时长可以由告警日志处理设备的管理人员预先进行设置,各不同的告警事件可以设置不同的缓冲时长。
步骤S80:根据所述预设缓冲时长为所述告警事件设置处置缓冲时段,并为所述告警事件生成告警处置策略。
需要说明的是,根据预设缓冲时长为告警事件设置处理缓冲时段可以是获取告警事件对应的事件研判结果的产生时刻,根据产生时刻与预设缓冲时长确定处置缓冲时段,在系统的运行时刻处于处置缓冲时段中时,不会再次产生该告警事件,即该告警事件对应的告警累计分值会暂停累计。
需要说明的是,为告警事件生成告警处置策略可以是读取告警事件中的告警类型,根据告警类型在预设处置策略库中查找对应的处置策略,然后根据查找到的处置策略与告警事件中的告警标识信息生成告警事件对应的告警处置策略,其中,预设处置策略库中可以包括有告警日志处理设备的管理人员预先设置的多种告警处置策略。
步骤S90:将所述告警处置策略进行展示。
需要说明的是,将告警处置策略进行展示可以是将告警处置策略发送至运维人员的运维终端进行展示。
步骤S100:接收运维人员基于展示的告警处置策略反馈的策略确认结果。
需要说明的是,运维人员可以是管理设备的技术人员,运维人员在接收到告警处置策略之后,可以判断告警处置策略是否合理,继而确定是否需要执行该告警处置策略。策略确认结果可以包括执行及驳回。
步骤S110:在所述策略确认结果为执行时,执行所述告警处置策略。
可以理解的是,若策略确认结果为执行,则说明运维人员确定该告警处置策略是合理的,因此,可以执行告警处置策略,从而实现对该告警事件的处置。若策略确认结果为驳回,则说明运维人员确定该告警处置策略不合理,则可以放弃执行该告警处置策略,后续可以通知相关管理人员进行人工干预。
在实际使用中,无论该告警事件对应的告警处置策略的策略确认结果如何,均可以判定该告警事件已经处置完毕,此时可以将该告警事件转移至已处理事件记录库中进行存储,将其与未处置的告警事件分离,避免两者存放在一起导致的误处理或误判等现象产生。
为了便于理解,参照图5进行说明,但不对本方案进行限定,图5为本实施例告警事件处置的流程示意图。图中,ACL(Access Control List,访问控制列表)策略即告警处置策略。
本实施例中,会获取研判员为展示的告警事件设置的事件研判结果,并将告警累计分值清零,令告警累计分值重新开始累计,保证可重新生成告警事件,在事件研判结果为第一研判结果时,会获取阈值调整倍数,根据阈值调整倍数将告警标识信息对应的事件生成阈值进行调整,从而扩大该告警事件对应的事件生成阈值,防止频繁误报;在事件研判结果为第二研判结果时,会为该告警事件设置处置缓冲时段,保证告警事件在处置过程中不会重复进行提示,且还会为告警事件生成告警处置策略,并将告警处置策略向运维人员进行展示,根据运维人员反馈的策略确认结果确定是否执行该告警处置策略对告警事件进行处理。
参考图6,图6为本发明一种告警日志处理方法第三实施例的流程示意图。
基于上述第一实施例,本实施例告警日志处理方法在所述步骤S20之前,还包括:
步骤S11:检测所述告警标识信息是否存在对应的告警事件。
需要说明的是,检测告警标识信息是否存在对应的告警事件可以是检测当前未被处置完成的告警事件中是否存在告警标识信息对应的告警事件。
可以理解的是,若不存在对应的告警事件,则说明该告警标识信息并未生成对应的告警事件,或该告警标识信息对应的告警事件已经被处置完成,则可以直接执行所述获取所述告警标识信息对应的告警累计分值及事件生成阈值,并根据所述威胁行为信息确定所述告警日志对应的告警类型及威胁等级的步骤。
步骤S12:若存在对应的告警事件,则检测所述告警事件是否存在对应的事件研判结果。
需要说明的是,若告警标识信息存在对应的告警事件,则可以说明已经生成过该告警标识信息对应的告警事件,且该告警事件还未被处置完成,则此时可以确定该告警事件是否存在对应的事件研判结果。
步骤S13:若存在对应的事件研判结果,则获取所述告警事件对应的处置缓冲时段。
可以理解的是,若该告警事件存在对应的事件研判结果,则说明该事件已经经过研判员的事件研判,但是可能还未被处置,此时若持续进行该告警事件的告警,可能会降低用户体验,且会影响其他告警事件的产生,因此,可以获取该告警事件对应的处置缓冲时段。
步骤S14:判断当前时刻是否处于所述处置缓冲时段。
可以理解的是,判断当前时刻是否处于处置缓冲时段内,在当前时刻处于处置缓冲时段内,则说明目前该告警事件还处于处理的过程中,则此时可以暂时不做任何操作。在当前时刻不处于所述处置缓冲时段时,则说明相关管理人员长时间并未对该告警事件处置完毕,则相关管理人员可能并未看到该告警事件或忘记进行处理,则此时可以继续对该告警事件进行更新,提醒相关管理人员,因此,可以执行所述获取所述告警标识信息对应的告警累计分值及事件生成阈值,并根据所述威胁行为信息确定所述告警日志对应的告警类型及威胁等级的步骤。
需要说明的是,告警日志处理设备还可以将数据同步至各个平台,主要可以分为数据服务和平台对接两种,其中,数据服务中可以包括威胁情报、护网大屏、安全运营中心(Security Operations Center,SOC)平台等,平台对接可以包括威胁情报、处置平台、故障工单等。具体对接可以参考图7,图7为本实施例的平台对接示意图。
本实施例通过检测告警标识信息是否存在对应的告警事件;若存在对应的告警事件,则检测所述告警事件是否存在对应的事件研判结果;若存在对应的事件研判结果,则获取所述告警事件对应的处置缓冲时段;判断当前时刻是否处于所述处置缓冲时段,在当前时刻处于处置缓冲时段时,不会多次提醒该告警事件,在当前时刻不处于处置缓冲时段时继续进行后续处理,保证了在告警事件的处置过程中不会重复进行告警事件的提示,防止在处置过程中重复提示降低用户的体验,避免了因重复进行告警事件的提示而影响其他告警事件的展示。
此外,本发明实施例还提出一种存储介质,所述存储介质上存储有告警日志处理程序,所述告警日志处理程序被处理器执行时实现如上文所述的告警日志处理方法的步骤。
参照图8,图8为本发明告警日志处理装置第一实施例的结构框图。
如图8所示,本发明实施例提出的告警日志处理装置包括:
信息获取模块10,用于根据目标设备的告警日志确定威胁行为信息及告警标识信息;
级别判定模块20,用于获取所述告警标识信息对应的告警累计分值及事件生成阈值,并根据所述威胁行为信息确定所述告警日志对应的告警类型及威胁等级;
分值调整模块30,用于根据所述告警类型及所述威胁等级对所述告警累计分值进行调整,获得当前告警分值;
事件展示模块40,用于若所述当前告警分值大于或等于所述事件生成阈值,则根据所述告警类型及所述告警标识信息生成告警事件,并将所述告警事件进行展示。
本实施例通过根据目标设备的告警日志确定威胁行为信息及告警标识信息;获取告警标识信息对应的告警累计分值及事件生成阈值,并根据威胁行为信息确定所述告警日志对应的告警类型及威胁等级;根据告警类型及威胁等级对告警累计分值进行调整,获得当前告警分值;若当前告警分值大于或等于事件生成阈值,则根据告警类型及告警标识信息生成告警事件,并将所述告警事件进行展示。由于会根据告警日志对告警累计分值进行累计,在告警累计分值大于或等于事件生成阈值时生成告警事件并展示,使得管理人员不必关注复杂的日志,根据告警事件即可快速响应网络安全事件。
进一步地,所述级别判定模块20,还用于检测所述告警标识信息是否存在对应的告警事件;若不存在对应的告警事件,则执行所述获取所述告警标识信息对应的告警累计分值及事件生成阈值,并根据所述威胁行为信息确定所述告警日志对应的告警类型及威胁等级的步骤。
进一步地,所述级别判定模块20,还用于若存在对应的告警事件,则检测所述告警事件是否存在对应的事件研判结果;若存在对应的事件研判结果,则获取所述告警事件对应的处置缓冲时段;判断当前时刻是否处于所述处置缓冲时段;在当前时刻不处于所述处置缓冲时段时,执行所述获取所述告警标识信息对应的告警累计分值及事件生成阈值,并根据所述威胁行为信息确定所述告警日志对应的告警类型及威胁等级的步骤。
进一步地,所述事件展示模块40,还用于获取研判员为展示的所述告警事件设置的事件研判结果,并将所述告警累计分值清零;若所述事件研判结果为第一研判结果,则获取阈值调整倍数,根据所述阈值调整倍数对所述告警标识信息对应的事件生成阈值进行调整。
进一步地,所述事件展示模块40,还用于若所述事件研判结果为第二研判结果,则获取预设缓冲时长;根据所述预设缓冲时长为所述告警事件设置处置缓冲时段,并为所述告警事件生成告警处置策略;将所述告警处置策略进行展示;接收运维人员基于展示的告警处置策略反馈的策略确认结果;在所述策略确认结果为执行时,执行所述告警处置策略。
进一步地,所述分值调整模块30,还用于检测所述威胁行为信息中是否存在目标关键字;若所述威胁行为信息中存在目标关键字,则根据所述告警类型及所述告警标识信息生成告警事件,并将所述告警事件进行展示。
进一步地,所述分值调整模块30,还用于在预设分值映射表中查找所述告警类型及所述威胁等级对应的权值调整分值;将所述告警累计分值与所述权值调整分值相加,获得当前告警分值。
应当理解的是,以上仅为举例说明,对本发明的技术方案并不构成任何限定,在具体应用中,本领域的技术人员可以根据需要进行设置,本发明对此不做限制。
需要说明的是,以上所描述的工作流程仅仅是示意性的,并不对本发明的保护范围构成限定,在实际应用中,本领域的技术人员可以根据实际的需要选择其中的部分或者全部来实现本实施例方案的目的,此处不做限制。
另外,未在本实施例中详尽描述的技术细节,可参见本发明任意实施例所提供的告警日志处理方法,此处不再赘述。
此外,需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如只读存储器(Read Only Memory,ROM)/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种告警日志处理方法,其特征在于,所述告警日志处理方法包括以下步骤:
根据目标设备的告警日志确定威胁行为信息及告警标识信息;
获取所述告警标识信息对应的告警累计分值及事件生成阈值,并根据所述威胁行为信息确定所述告警日志对应的告警类型及威胁等级,所述事件生成阈值为用于判定是否需要产生告警事件的分值;
根据所述告警类型及所述威胁等级对所述告警累计分值进行调整,获得当前告警分值;
若所述当前告警分值大于或等于所述事件生成阈值,则根据所述告警类型及所述告警标识信息生成告警事件,并将所述告警事件进行展示。
2.如权利要求1所述的告警日志处理方法,其特征在于,所述获取所述告警标识信息对应的告警累计分值及事件生成阈值,并根据所述威胁行为信息确定所述告警日志对应的告警类型及威胁等级的步骤之前,还包括:
检测所述告警标识信息是否存在对应的告警事件;
若不存在对应的告警事件,则执行所述获取所述告警标识信息对应的告警累计分值及事件生成阈值,并根据所述威胁行为信息确定所述告警日志对应的告警类型及威胁等级的步骤。
3.如权利要求2所述的告警日志处理方法,其特征在于,所述检测所述告警标识信息是否存在对应的告警事件的步骤之后,还包括:
若存在对应的告警事件,则检测所述告警事件是否存在对应的事件研判结果;
若存在对应的事件研判结果,则获取所述告警事件对应的处置缓冲时段;
判断当前时刻是否处于所述处置缓冲时段;
在当前时刻不处于所述处置缓冲时段时,执行所述获取所述告警标识信息对应的告警累计分值及事件生成阈值,并根据所述威胁行为信息确定所述告警日志对应的告警类型及威胁等级的步骤。
4.如权利要求1所述的告警日志处理方法,其特征在于,所述若所述当前告警分值大于或等于所述事件生成阈值,则根据所述告警类型及所述告警标识信息生成告警事件,并将所述告警事件进行展示的步骤之后,还包括:
获取研判员为展示的所述告警事件设置的事件研判结果,并将所述告警累计分值清零;
若所述事件研判结果为第一研判结果,则获取阈值调整倍数,根据所述阈值调整倍数对所述告警标识信息对应的事件生成阈值进行调整。
5.如权利要求4所述的告警日志处理方法,其特征在于,所述获取研判员为展示的所述告警事件设置的事件研判结果,并将所述告警累计分值清零的步骤之后,还包括:
若所述事件研判结果为第二研判结果,则获取预设缓冲时长;
根据所述预设缓冲时长为所述告警事件设置处置缓冲时段,并为所述告警事件生成告警处置策略;
将所述告警处置策略进行展示;
接收运维人员基于展示的告警处置策略反馈的策略确认结果;
在所述策略确认结果为执行时,执行所述告警处置策略。
6.如权利要求1-5任一项所述的告警日志处理方法,其特征在于,所述根据所述告警类型及所述威胁等级对所述告警累计分值进行调整,获得当前告警分值的步骤之前,还包括:
检测所述威胁行为信息中是否存在目标关键字;
若所述威胁行为信息中存在目标关键字,则根据所述告警类型及所述告警标识信息生成告警事件,并将所述告警事件进行展示。
7.如权利要求1-5任一项所述的告警日志处理方法,其特征在于,所述根据所述告警类型及所述威胁等级对所述告警累计分值进行调整,获得当前告警分值的步骤,包括:
在预设分值映射表中查找所述告警类型及所述威胁等级对应的权值调整分值;
将所述告警累计分值与所述权值调整分值相加,获得当前告警分值。
8.一种告警日志处理装置,其特征在于,所述告警日志处理装置包括以下模块:
信息获取模块,用于根据目标设备的告警日志确定威胁行为信息及告警标识信息;
级别判定模块,用于获取所述告警标识信息对应的告警累计分值及事件生成阈值,并根据所述威胁行为信息确定所述告警日志对应的告警类型及威胁等级,所述事件生成阈值为用于判定是否需要产生告警事件的分值;
分值调整模块,用于根据所述告警类型及所述威胁等级对所述告警累计分值进行调整,获得当前告警分值;
事件展示模块,用于若所述当前告警分值大于或等于所述事件生成阈值,则根据所述告警类型及所述告警标识信息生成告警事件,并将所述告警事件进行展示。
9.一种告警日志处理设备,其特征在于,所述告警日志处理设备包括:处理器、存储器及存储在所述存储器上并可在所述处理器上运行的告警日志处理程序,所述告警日志处理程序被处理器执行时实现如权利要求1-7中任一项所述的告警日志处理方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有告警日志处理程序,所述告警日志处理程序被执行时实现如权利要求1-7中任一项所述的告警日志处理方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110860372.1A CN113515433B (zh) | 2021-07-28 | 2021-07-28 | 告警日志处理方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110860372.1A CN113515433B (zh) | 2021-07-28 | 2021-07-28 | 告警日志处理方法、装置、设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113515433A CN113515433A (zh) | 2021-10-19 |
CN113515433B true CN113515433B (zh) | 2023-08-15 |
Family
ID=78068755
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110860372.1A Active CN113515433B (zh) | 2021-07-28 | 2021-07-28 | 告警日志处理方法、装置、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113515433B (zh) |
Families Citing this family (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114143078B (zh) * | 2021-11-29 | 2023-07-18 | 平安证券股份有限公司 | 互联网资产安全威胁的处理方法、装置、设备及存储介质 |
CN113949590B (zh) * | 2021-12-21 | 2022-07-01 | 济南市康养事业发展中心 | 一种安全告警事件等级确定方法、系统及终端 |
CN114363044B (zh) * | 2021-12-30 | 2024-04-09 | 深信服科技股份有限公司 | 一种分层告警方法、系统、存储介质和终端 |
CN114003904B (zh) * | 2021-12-31 | 2022-03-08 | 北京微步在线科技有限公司 | 情报共享方法、装置、计算机设备及存储介质 |
CN114143173B (zh) * | 2022-01-30 | 2022-07-15 | 奇安信科技集团股份有限公司 | 数据处理方法、装置、设备和存储介质 |
CN114760185A (zh) * | 2022-03-15 | 2022-07-15 | 深信服科技股份有限公司 | 告警信息处理方法、装置、电子设备及存储介质 |
CN115022152B (zh) * | 2022-06-02 | 2024-04-23 | 北京天融信网络安全技术有限公司 | 一种用于判定事件威胁度的方法、装置及电子设备 |
CN115242608A (zh) * | 2022-07-12 | 2022-10-25 | 广东润联信息技术有限公司 | 告警信息的生成方法、装置、设备及存储介质 |
CN115412422B (zh) * | 2022-08-08 | 2024-02-20 | 浪潮云信息技术股份公司 | 一种动态窗口调整系统 |
CN115913896A (zh) * | 2022-11-09 | 2023-04-04 | 中国联合网络通信集团有限公司 | 设备检测方法、服务器及介质 |
CN115577369B (zh) * | 2022-12-09 | 2023-07-14 | 北京仁科互动网络技术有限公司 | 源代码泄露行为检测方法、装置、电子设备及存储介质 |
CN115865519B (zh) * | 2023-02-07 | 2023-05-16 | 苏州市卫生计生统计信息中心 | 适用于网络攻防虚拟仿真的数据处理方法及系统 |
CN116346904B (zh) * | 2023-05-19 | 2023-09-22 | 北京奇虎科技有限公司 | 信息推送方法、装置、设备及存储介质 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2015154428A1 (zh) * | 2014-09-12 | 2015-10-15 | 中兴通讯股份有限公司 | 网管告警显示方法和装置 |
CN107302449A (zh) * | 2017-06-13 | 2017-10-27 | 中国工商银行股份有限公司 | 智能监控统计与报警处理系统及方法 |
CN109408331A (zh) * | 2018-10-15 | 2019-03-01 | 四川长虹电器股份有限公司 | 基于用户个性化特征的日志报警系统 |
CN110535702A (zh) * | 2019-08-30 | 2019-12-03 | 北京神州绿盟信息安全科技股份有限公司 | 一种告警信息处理方法及装置 |
CN110620790A (zh) * | 2019-10-10 | 2019-12-27 | 国网山东省电力公司信息通信公司 | 一种网络安全设备联动处置方法及装置 |
CN110865924A (zh) * | 2019-11-29 | 2020-03-06 | 国网四川省电力公司信息通信公司 | 电力信息系统内部服务器健康度诊断方法与健康诊断框架 |
CN111404909A (zh) * | 2020-03-10 | 2020-07-10 | 上海豌豆信息技术有限公司 | 一种基于日志分析的安全检测系统及方法 |
CN112104495A (zh) * | 2020-09-09 | 2020-12-18 | 四川信息职业技术学院 | 一种基于网络拓扑的系统故障根因定位算法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10657263B2 (en) * | 2017-04-18 | 2020-05-19 | International Business Machines Corporation | Management of alerts using a budget-dependent adjustable working threshold |
-
2021
- 2021-07-28 CN CN202110860372.1A patent/CN113515433B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2015154428A1 (zh) * | 2014-09-12 | 2015-10-15 | 中兴通讯股份有限公司 | 网管告警显示方法和装置 |
CN107302449A (zh) * | 2017-06-13 | 2017-10-27 | 中国工商银行股份有限公司 | 智能监控统计与报警处理系统及方法 |
CN109408331A (zh) * | 2018-10-15 | 2019-03-01 | 四川长虹电器股份有限公司 | 基于用户个性化特征的日志报警系统 |
CN110535702A (zh) * | 2019-08-30 | 2019-12-03 | 北京神州绿盟信息安全科技股份有限公司 | 一种告警信息处理方法及装置 |
CN110620790A (zh) * | 2019-10-10 | 2019-12-27 | 国网山东省电力公司信息通信公司 | 一种网络安全设备联动处置方法及装置 |
CN110865924A (zh) * | 2019-11-29 | 2020-03-06 | 国网四川省电力公司信息通信公司 | 电力信息系统内部服务器健康度诊断方法与健康诊断框架 |
CN111404909A (zh) * | 2020-03-10 | 2020-07-10 | 上海豌豆信息技术有限公司 | 一种基于日志分析的安全检测系统及方法 |
CN112104495A (zh) * | 2020-09-09 | 2020-12-18 | 四川信息职业技术学院 | 一种基于网络拓扑的系统故障根因定位算法 |
Also Published As
Publication number | Publication date |
---|---|
CN113515433A (zh) | 2021-10-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113515433B (zh) | 告警日志处理方法、装置、设备及存储介质 | |
CN102160048B (zh) | 收集和分析恶意软件数据 | |
CN110545276B (zh) | 威胁事件告警方法、装置、告警设备及机器可读存储介质 | |
US8209759B2 (en) | Security incident manager | |
WO2019133453A1 (en) | Platform and method for retroactive reclassification employing a cybersecurity-based global data store | |
US20170329965A1 (en) | Detecting Irregularities on a Device | |
US20040205419A1 (en) | Multilevel virus outbreak alert based on collaborative behavior | |
CN112073389B (zh) | 云主机安全态势感知系统、方法、设备及存储介质 | |
US20130167236A1 (en) | Method and system for automatically generating virus descriptions | |
EP3356985A1 (en) | Detection of security incidents with low confidence security events | |
JP2005136526A (ja) | 不正アクセス検知装置、不正アクセス検知方法および不正アクセス検知プログラム | |
CN111726342B (zh) | 一种提升蜜罐系统告警输出精准性的方法及系统 | |
WO2018011785A1 (en) | Online assets continuous monitoring and protection | |
CN114866296B (zh) | 入侵检测方法、装置、设备及可读存储介质 | |
US20230231854A1 (en) | Dynamic grouping of users in an enterprise and watch list generation based on user risk scoring | |
US10333974B2 (en) | Automated processing of suspicious emails submitted for review | |
CN115632884B (zh) | 基于事件分析的网络安全态势感知方法与系统 | |
CN115878932A (zh) | 一种网站安全事件的处理方法、装置、设备及介质 | |
JP2006295232A (ja) | セキュリティ監視装置、セキュリティ監視方法、及びプログラム | |
CN114257403B (zh) | 误报检测方法、设备及可读存储介质 | |
CN113055362B (zh) | 异常行为的预防方法、装置、设备及存储介质 | |
KR20150131846A (ko) | 캡차를 이용한 아이디도용 차단방법 및 차단 시스템 | |
CN106649458A (zh) | 一种文件更新量检测方法及系统 | |
KR20200054495A (ko) | 보안관제 서비스 방법 및 그를 위한 장치 | |
CN115118481B (zh) | 一种主机信息采集方法、装置、设备及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |