CN113709153B - 一种日志归并的方法、装置及电子设备 - Google Patents
一种日志归并的方法、装置及电子设备 Download PDFInfo
- Publication number
- CN113709153B CN113709153B CN202110992040.9A CN202110992040A CN113709153B CN 113709153 B CN113709153 B CN 113709153B CN 202110992040 A CN202110992040 A CN 202110992040A CN 113709153 B CN113709153 B CN 113709153B
- Authority
- CN
- China
- Prior art keywords
- event
- merging
- attack
- attack event
- pool
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请公开一种日志归并的方法、装置及电子设备,该方法包括当检测到第一攻击事件时,确定所述第一攻击事件的事件类型;在N个归并池中,判定是否存在根据所述事件类型建立的第一归并池,其中,N为大于等于1的整数;若存在,则将所述第一攻击事件归并到所述第一归并池中;若不存在,则根据所述第一攻击事件的事件类型创建新的归并池。基于上述方法可以适配多样化的攻击事件的日志归并,并生成多维度的攻击报告,解决由多样化的攻击事件产生大量无效警告日志导致设备资源的无效浪费和运维人员工作效率低下的问题,有效提高设备资源的利用率和运维人员的工作效率。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种日志归并的方法、装置及电子设备。
背景技术
在网络安全中,如果设备监测到攻击事件,便会瞬间产生相应的告警日志。随着信息爆发时代的到来,攻击事件呈现指数级增长,进而产生成千上万的告警日志。在这些告警日志中存在许多冗杂且繁复的攻击事件,若将每一次产生攻击事件都作告警通知的处理,重复通知相同的攻击事件是没有意义的,不仅会导致设备资源的浪费,还将增加运维人员的工作负担。
当前,为了防止相同攻击事件浪费设备资源和增加运维人员负担,提出归并DNS(Domain Name System,域名系统)协议下的日志数据,或者归并属于同一IP(InternetProtocol,网际互连协议)策略攻击事件的日志的方法。
然而,无论是DNS协议还是同一IP策略,都属于单一化的归并场景,仅使用单一化的日志归并方法并不能处理多样化的攻击事件,仍然存在大量无效警告日志,而导致设备资源无效浪费和运维人员工作效率低下的问题。
发明内容
本申请提供一种日志归并的方法、装置及电子设备,实现多样化攻击事件场景下,攻击事件对应日志的归并。
第一方面,本申请提供了一种日志归并的方法,所述方法包括:
当检测到第一攻击事件时,确定所述第一攻击事件的事件类型;
在N个归并池中,判定是否存在根据所述事件类型建立的第一归并池,其中,N为大于等于1的整数;
若存在,则将所述第一攻击事件归并到所述第一归并池中;
若不存在,则根据所述第一攻击事件的事件类型创建新的归并池。
通过上述方法,能够覆盖多样化的攻击场景,为运维人员提供更多样化有用的攻击信息,进一步提高设备资源利用率,进一步引入归并池对攻击事件类型分类,提高日志归并的维护和更新的灵活化和多元化。
在一种可能的设计中,所述当检测到第一攻击事件时,确定所述第一攻击事件的事件类型,包括:
当检测到第一攻击事件时,获取所述第一攻击事件的第一事件编码;
根据事件编码与事件类型之间的对应关系,确定所述第一攻击事件的事件类型。
通过上述方法,通过事件编码确定多样化攻击事件相应的事件类型,可以适用于多场景多维度的事件归并。
在一种可能的设计中,所述将所述第一攻击事件归并到所述第一归并池中,包括:
获取所述第一攻击事件的特征参数,并根据所述特征参数计算所述第一攻击事件的第一特征值;
判定所述第一归并池中是否存在第二攻击事件的第二特征值与所述第一特征值相同;
若不存在,则发出所述第一攻击事件对应的告警通知,并将所述第一攻击事件归并到所述第一归并池中;
若存在,则判定所述第二攻击事件的归并时间是否处于预设时间内:若是,则将所述第一攻击事件归并到所述第一归并池中;若否,则发出所述第一攻击事件对应的告警信息,清除所述第一归并池中所有的攻击事件,并将所述第一攻击事件归并到所述第一归并池中。
通过上述方法中的通过多样化攻击事件确定相应的特征参数细化了后续日志的归并过程,并且引入预设时间可以控制在特定时间内接收到相同攻击事件产生日志告警的频率,并且通过在归并第一攻击事件的同时清除归并池中之前产生的攻击事件,使运维人员在管理攻击事件上更加灵活,提高了运维人员的管理效率与设备的资源利用率。
在一种可能的设计中,在所述根据所述第一攻击事件的事件类型创建新的归并池后,还包括:
根据所述第一攻击事件,发出对应的告警通知;
将所述第一攻击事件归并到第二归并池中。
通过上述方法,为没有找到对应类别的归并池的攻击事件创建新的归并池,可以适配多样化的攻击事件,而且方便运维人员对攻击事件和告警通知的管理,有效提高设备资源的利用率和运维人员工作效率。
第二方面,本申请提供了一种日志归并的装置,所述装置包括:
确定模块,当检测到第一攻击事件时,确定所述第一攻击事件的事件类型;
判定模块,在N个归并池中,判定是否存在根据所述事件类型建立的第一归并池,其中,N为大于等于1的整数;若存在,则将所述第一攻击事件归并到所述第一归并池中;若不存在,则根据所述第一攻击事件的事件类型创建新的归并池。
在一种可能的设计中,所述确定模块,具体用于当检测到第一攻击事件时,获取所述第一攻击事件的第一事件编码;根据事件编码与事件类型之间的对应关系,确定所述第一攻击事件的事件类型。
在一种可能的设计中,所述判定模块中的将所述第一攻击事件归并到所述第一归并池中,具体用于获取所述第一攻击事件的特征参数,并根据所述特征参数计算所述第一攻击事件的第一特征值;判定所述第一归并池中是否存在第二攻击事件的第二特征值与所述第一攻击事件的第一特征值相同;若不存在,则发出所述第一攻击事件对应的告警通知,并将所述第一攻击事件归并到所述第一归并池中;若存在,则判定所述第二攻击事件的归并时间是否处于预设时间内:若是,则将所述第一攻击事件归并到所述第一归并池中;若否,则发出所述第一攻击事件对应的告警信息,清除所述第一归并池中所有的攻击事件,并将所述第一攻击事件归并到所述第一归并池中。
在一种可能的设计中,在所述判定模块后,还用于根据所述第一攻击事件,发出对应的告警通知;将所述第一攻击事件归并到第二归并池中。
第三方面,本申请提供了一种电子设备,所述电子设备包括:
存储器,用于存放计算机程序;
处理器,用于执行所述存储器上所存放的计算机程序时,实现上述的一种检测运动状态异常的对象的方法步骤。
第四方面,本申请提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述的一种检测运动状态异常的对象的方法步骤。
上述第二方面至第四方面中的各个方面以及各个方面可能达到的技术效果请参照上述针对第一方面或第一方面中的各种可能方案可以达到的技术效果说明,这里不再重复赘述。
附图说明
图1为本申请提供的一种日志归并可能的应用场景的结构图;
图2为本申请提供的一种攻击事件与参数之间对应关系的示意图;
图3为本申请提供的一种入侵防护类型的归并池的示意图;
图4为本申请提供的一种恶意文件类型的归并池的示意图;
图5为本申请提供的一种日志归并的方法的流程图;
图6为本申请提供的一种日志归并的装置的示意图;
图7为本申请提供的一种电子设备的结构的示意图。
具体实施方式
参见图1所示,本申请实施例提供了一种日志归并的可能的应用场景,在该应用场景中包括攻击事件模块110和归并池模块120。
如图1所示的攻击事件模块110表示攻击事件类型与对应特征参数之间的关系,在攻击事件模块110中可以获取各攻击事件的特征参数,并按照对应关系将特征参数保存在内存中,其中,攻击事件的类型包括:入侵防护、恶意文件、恶意IP、僵尸网络、URL(UniformResource Locator,统一资源定位器)分类、数据防泄漏等类型。
具体来说,可以通过特征参数判断攻击事件的类型。例如,图2所示,若攻击事件的类型为入侵防护,入侵防护的参数包括:源IP、目的IP、协议、事件ID(Identity document,唯一编码)。在这里可以选取上述列举参数中的一个或多个作为入侵防护类型攻击事件的特征参数,比如,选取事件ID作为特征参数,或者选取源IP、协议、事件ID作为特征参数,又或者选取目的IP、协议、事件ID作为特征参数等。
同理,若攻击事件的类型为恶意文件,恶意文件的参数包括:源IP、目的IP、协议、文件MD5(Message-Digest Algorith,信息摘要算法)。
若攻击事件的类型为恶意IP,恶意IP的参数包括:源IP、目的IP、协议、事件ID。
若攻击事件的类型为僵尸网络,僵尸网络的参数包括:源IP、目的IP、协议、事件ID。若攻击事件的类型为URL分类,URL分类的参数包括:源IP、目的IP、协议、URL。若攻击事件的类型为数据防泄漏,数据防泄漏的参数包括:源IP、目的IP、协议、事件ID。
另外,不管攻击事件属于哪一种类型,都可以选择其参数中的一个或多个作为该攻击事件的特征参数。并且在攻击事件模块110中,攻击事件的特征参数的选取可以根据运维人员的需求,按照攻击事件包含的参数自行配置。
如图1所示的归并池模块120用于归并上述不同类型的攻击事件,归并池模块120将根据攻击事件模块110中确定的特征参数建立该特征参数对应攻击事件的归并池,并在归并池中存放属于该攻击事件类型的所有攻击事件。在这里,归并池除了按照事件类型对攻击事件进行归并外,还可以对存放在归并池中的攻击事件进行计数,通过统计不同类型攻击事件的数量,可以生成不同类型攻击事件的攻击报告。
进一步地,在统计不同类型攻击事件数量的基础上,还可以增加时间参数,通过设定一个预设时间,在预设时间内对同一归并池中的攻击事件进行计数的方式,统计特定时间段内不同类型攻击事件的攻击信息,下面通过两个例子具体说明。
例1:若根据事件ID这一个特征参数建立攻击事件类型为入侵防护的归并池,则在预设时间内发生入侵防护类型的攻击事件都将归并到该归并池中。参见图3所示,其中,最大的矩形框为入侵防护的归并池,每个事件ID的矩形框对应预设时间内发生的入侵防护类型的攻击事件,n表示在预设时间内入侵防护的攻击事件发生的频次。
例2:若根据目的IP和文件MD5两个特征参数共同建立攻击事件类型为恶意文件的归并池,则在预设时间内发生恶意文件类型的攻击事件都将归并到该归并池中。参见图4所示,其中,最大的矩形框为恶意文件的归并池,在该归并池中包括n个有相同的目的IP的矩形框,在每个目的IP的矩形框下还可以对应若干个有相同文件MD5的矩形框,在这里每个文件MD5的矩形框表示在预设时间内发生一次类型为恶意文件的攻击事件,m表示在预设时间内恶意文件的攻击事件发生的频次。
另外,在归并池模块120中创建的归并池中,可以采用全局双链表的数据结构来存放表示攻击事件的节点。例如,若在预设时间内发生入侵防护类型的攻击事件,则在入侵防护的归并池中添加一个节点用于记录本次攻击事件,通过记录攻击事件发生的时间以及特征值,来存放该攻击事件。另外,表示攻击事件的节点将根据攻击事件发生时间的先后顺序在归并池中的全局双链表中进行存放。
值得注意的是,采用全局双链表数据结构还为攻击事件对应日志的归并带来攻击信息维护和更新方面的好处。例如清除归并池中的攻击信息,运维人员可以通过提前设置一个定时器,然后归并池模块120将自行判断当前时间是否达到预设定时器时间,选择是否清除归并池中存放的节点。
具体来说,若定时器启动,即归并池模块120认为当前时间达到预设定时器时间,然后归并池模块120将判断归并池中是否存放有表示攻击事件的节点:若否,则等待下一次定时器启动;若是,则遍历该归并池中的全局双链表上的所有节点,进一步,还需要确定遍历节点的消耗时间是否在预设时间内:若是,则发出告警信息,然后清除归并池中的所有节点;若否,则等待下一次定时器启动。
基于上述应用场景,为了解决由多样化的攻击事件产生大量无效警告日志导致设备资源的无效浪费和运维人员工作效率低下的问题,本申请实施例提供了一种日志归并的方法、装置及电子设备,实现了对多样化的攻击事件场景下的日志归并。
下面结合附图对本申请实施例所提供的方法作出进一步详细说明。
参阅图5所示,本申请实施例提供了一种日志归并的方法,具体流程如下:
步骤501:当检测到第一攻击事件时,确定所述第一攻击事件的事件类型;
当检测到第一攻击事件时,首先根据事件编码(事件ID)与事件类型之间的对应关系,确认第一攻击事件的第一事件类型,然后根据事件类型与特征参数之间的对应关系,确定第一攻击事件对应的第一特征参数。
进一步地,还可以通过哈希算法对第一特征参数进行计算,得到表示第一攻击事件的第一特征值。
举例来说,若检测到的第一攻击事件对应的第一事件类型为入侵防护,并且根据事件类型与特征参数之间的对应关系,确定第一攻击事件的特征参数为目的IP,则通过哈希算法对第一攻击事件的目的IP进行计算,得到第一攻击事件的第一特征值,第一特征值表示第一攻击事件的事件类型。
通过上述方法,区别于传统单一化的条件匹配,可以有效细化日志的归并过程,不仅控制因无效警告日志产生而导致设备资源无效浪费,而且可以生成多维度的攻击事件数据,提供运维人员更为详尽的攻击信息,提高运维人员的工作效率。
步骤502:在N个归并池中,判定是否存在根据所述事件类型建立的第一归并池;
在本申请实施例中,每个归并池对应为一种攻击事件的类型,确定第一攻击事件的特征参数后,即已经明确第一攻击事件对应第一事件类型,那么可以根据第一事件类型,判断已建立的N个归并池中是否存在有第一事件类型对应的第一归并池,其中,N为大于等于1的整数。
具体来说,若存在第一归并池,则执行步骤503;若不存在第一归并池,则执行步骤504。
步骤503:若存在,则将所述第一攻击事件归并到所述第一归并池中;
为了归并多样化的攻击事件,在确定存在第一攻击事件对应的第一归并池存在后,本申请实施例将根据第一攻击事件的第一特征值,在第一归并池中查找是否存在第二攻击事件的第二特征值与第一特征值相同。
若存在第二攻击事件的第二特征值与第一特征值相同,则进一步判断第二攻击事件的攻击时间是否处于预设时间内:若是,则将第一攻击事件归并到第二攻击事件所属的归并池中;若否,则清除该归并池中所有的攻击事件,并将第一攻击事件归并到该归并池中。
具体来说,上述预设时间可以任意设定,在本申请实施例中,若在预设时间内产生与第二攻击事件重复的第一攻击事件,则可以认为第一攻击事件没有二次告警的必要,只需要将第一攻击事件归并到第二攻击事件所属的归并池,并将预设时间内对应事件类型的发生次数增加1即可。但是若在超过预设时间后产生第一攻击事件,并且第一攻击事件与预设时间内产生的第二攻击事件重复,则可以认为该事件类型需要更新,即第一攻击事件是有告警必要的,因此需要清除第二攻击事件所述归并池中的所有攻击事件,然后将第一攻击事件归并到该归并池中。
举例来说,设定预设时间为30分钟,若第二攻击事件存入该归并池内的时间在30分钟以内,则将第一攻击事件归并到该归并池中,并在30分钟内对应事件类型的发生次数加1;若第二攻击事件存入该归并池内的时间超过30分钟,则应当清除该归并池中所有的攻击事件,然后将第一攻击事件归并到该归并池中。
通过上述引入预设时间的方法,可以控制设备接收攻击事件产生告警信息的频率,而且通过在归并第一攻击事件的同时清除归并池中无用的攻击事件,使运维人员在管理攻击信息更加灵活,提高运维人员的管理效率。
步骤504:若不存在,则根据所述第一攻击事件的事件类型创建新的归并池。
若不存在第二攻击事件的第二特征值与第一特征值相同,则根据第一攻击事件的第一特征参数创建第一攻击事件对应的新的归并池。
进一步地,根据第一攻击事件,发出对应攻击事件类型的告警通知,并将第一攻击事件归并到上述新的归并池中。
通过为第一次接收的攻击事件创建归并池的方法,可以适配多样化的攻击事件,并生成多维度的攻击报告,有效提高设备资源的利用程度和运维人员工作效率。
根据本申请实施例提供的方法,首先根据事件类型和特征参数之间的关系,确定攻击事件的特征参数,由于在此事件类型和特征参数之间的关系可以根据需求任意设定,有利于覆盖多样化的攻击场景,区别于现有技术的单一化攻击场景,为运维人员提供更多样化有用的攻击信息,进一步提高设备资源利用率。然后根据特征参数计算攻击事件的特征值,通过比对特征值,将攻击事件归并到对应的归并池中,在此,引入归并池的概念对攻击事件类型分类,并且通过全局双链表的数据结构,区别现有技术的单一存储方式,使得对归并后的攻击事件相应日志的维护和更新更加灵活化和多元化。
基于同一发明构思,本申请还提供了一种日志归并的装置,用以适配多样化的攻击事件的日志归并,并生成多维度的攻击报告,解决由多样化的攻击事件产生大量无效警告日志导致设备资源的无效浪费和运维人员工作效率低下的问题,有效提高设备资源的利用率和运维人员的工作效率,参见图6,该装置6包括:
确定模块601,当检测到第一攻击事件时,确定所述第一攻击事件的事件类型;
判定模块602,在N个归并池中,判定是否存在根据所述事件类型建立的第一归并池,其中,N为大于等于1的整数;若存在,则将所述第一攻击事件归并到所述第一归并池中;若不存在,则根据所述第一攻击事件的事件类型创建新的归并池。
在一种可能的设计中,所述确定模块601,具体用于当检测到第一攻击事件时,获取所述第一攻击事件的第一事件编码;根据事件编码与事件类型之间的对应关系,确定所述第一攻击事件的事件类型。
在一种可能的设计中,所述判定模块602中的将所述第一攻击事件归并到所述第一归并池中,具体用于获取所述第一攻击事件的特征参数,并根据所述特征参数计算所述第一攻击事件的第一特征值;判定所述第一归并池中是否存在第二攻击事件的第二特征值与所述第一攻击事件的第一特征值相同;若不存在,则发出所述第一攻击事件对应的告警通知,并将所述第一攻击事件归并到所述第一归并池中;若存在,则判定所述第二攻击事件的归并时间是否处于预设时间内:若是,则将所述第一攻击事件归并到所述第一归并池中;若否,则发出所述第一攻击事件对应的告警信息,清除所述第一归并池中所有的攻击事件,并将所述第一攻击事件归并到所述第一归并池中。
在一种可能的设计中,在所述判定模块后,还用于根据所述第一攻击事件,发出对应的告警通知;将所述第一攻击事件归并到第二归并池中。
基于上述装置,可以适配多样化的攻击事件的日志归并,并生成多维度的攻击报告,解决由多样化的攻击事件产生大量无效警告日志导致设备资源的无效浪费和运维人员工作效率低下的问题,有效提高设备资源的利用率和运维人员的工作效率。
基于同一发明构思,本申请实施例中还提供了一种电子设备,所述电子设备可以实现前述一种日志归并的装置的功能,参考图7,所述电子设备包括:
至少一个处理器701,以及与至少一个处理器701连接的存储器702,本申请实施例中不限定处理器701与存储器702之间的具体连接介质,图7中是以处理器701和存储器702之间通过总线700连接为例。总线700在图7中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。总线700可以分为地址总线、数据总线、控制总线等,为便于表示,图7中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。或者,处理器701也可以称为控制器,对于名称不做限制。
在本申请实施例中,存储器702存储有可被至少一个处理器701执行的指令,至少一个处理器701通过执行存储器702存储的指令,可以执行前文论述的日志归并方法。处理器701可以实现图6所示的装置中各个模块的功能。
其中,处理器701是该装置的控制中心,可以利用各种接口和线路连接整个该控制设备的各个部分,通过运行或执行存储在存储器702内的指令以及调用存储在存储器702内的数据,该装置的各种功能和处理数据,从而对该装置进行整体监控。
在一种可能的设计中,处理器701可包括一个或多个处理单元,处理器701可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、运维人员界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器701中。在一些实施例中,处理器701和存储器702可以在同一芯片上实现,在一些实施例中,它们也可以在独立的芯片上分别实现。
处理器701可以是通用处理器,例如中央处理器(CPU)、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实现或者执行本申请实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的日志归并方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
存储器702作为一种非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块。存储器702可以包括至少一种类型的存储介质,例如可以包括闪存、硬盘、多媒体卡、卡型存储器、随机访问存储器(Random AccessMemory,RAM)、静态随机访问存储器(Static Random Access Memory,SRAM)、可编程只读存储器(Programmable Read Only Memory,PROM)、只读存储器(Read Only Memory,ROM)、带电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,EEPROM)、磁性存储器、磁盘、光盘等等。存储器702是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。本申请实施例中的存储器702还可以是电路或者其它任意能够实现存储功能的装置,用于存储程序指令和/或数据。
通过对处理器701进行设计编程,可以将前述实施例中介绍的日志归并方法所对应的代码固化到芯片内,从而使芯片在运行时能够执行图5所示的实施例的日志归并方法的步骤。如何对处理器701进行设计编程为本领域技术人员所公知的技术,这里不再赘述。
基于同一发明构思,本申请实施例还提供一种存储介质,该存储介质存储有计算机指令,当该计算机指令在计算机上运行时,使得计算机执行前文论述日志归并方法。
在一些可能的实施方式中,本申请提供的日志归并方法的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当程序产品在装置上运行时,程序代码用于使该控制设备执行本说明书上述描述的根据本申请各种示例性实施方式的日志归并方法中的步骤。
本领域内的技术人员应明白,本申请的实施例可提供为方法、装置、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (8)
1.一种日志归并的方法,其特征在于,所述方法包括:
当检测到第一攻击事件时,确定所述第一攻击事件的事件类型;
在N个归并池中,判定是否存在根据所述事件类型建立的第一归并池,其中,N为大于等于1的整数;
若存在,则获取所述第一攻击事件的特征参数,并根据所述特征参数计算所述第一攻击事件的第一特征值,判定所述第一归并池中是否存在第二攻击事件的第二特征值与所述第一特征值相同;若相同,则判定所述第二攻击事件的归并时间是否处于预设时间内:若是,则将所述第一攻击事件归并到所述第一归并池中;若否,则发出所述第一攻击事件对应的告警信息,清除所述第一归并池中所有的攻击事件,并将所述第一攻击事件归并到所述第一归并池中;
若不存在,则根据所述第一攻击事件的事件类型创建新的归并池;
其中,所述第一攻击事件的特征参数,至少基于如下任意一种方式获取:
若所述第一攻击事件为恶意文件,则所述特征参数包括:源IP、目的IP、协议、文件MD5;
若所述第一攻击事件为恶意IP,则所述特征参数包括:源IP、目的IP、协议、事件ID;
若所述第一攻击事件为僵尸网络,则所述特征参数包括:源IP、目的IP、协议、事件ID;
若所述第一攻击事件为URL分类,则所述特征参数包括:源IP、目的IP、协议、URL;
若所述第一攻击事件为数据防泄漏,则所述特征参数包括:源IP、目的IP、协议、事件ID。
2.如权利要求1所述的方法,其特征在于,所述当检测到第一攻击事件时,确定所述第一攻击事件的事件类型,包括:
当检测到第一攻击事件时,获取所述第一攻击事件的第一事件编码;
根据事件编码与事件类型之间的对应关系,确定所述第一攻击事件的事件类型。
3.如权利要求1所述的方法,其特征在于,在所述根据所述第一攻击事件的事件类型创建新的归并池后,还包括:
根据所述第一攻击事件,发出对应的告警通知;
将所述第一攻击事件归并到第二归并池中。
4.一种日志归并的装置,其特征在于,所述装置包括:
确定模块,当检测到第一攻击事件时,确定所述第一攻击事件的事件类型;
判定模块,在N个归并池中,判定是否存在根据所述事件类型建立的第一归并池,其中,N为大于等于1的整数;若存在,则获取所述第一攻击事件的特征参数,并根据所述特征参数计算所述第一攻击事件的第一特征值,判定所述第一归并池中是否存在第二攻击事件的第二特征值与所述第一攻击事件的第一特征值相同;若相同,则判定所述第二攻击事件的归并时间是否处于预设时间内:若是,则将所述第一攻击事件归并到所述第一归并池中;若否,则发出所述第一攻击事件对应的告警信息,清除所述第一归并池中所有的攻击事件,并将所述第一攻击事件归并到所述第一归并池中;若不存在,则根据所述第一攻击事件的事件类型创建新的归并池;
其中,所述第一攻击事件的特征参数,至少基于如下任意一种方式获取:
若所述第一攻击事件为恶意文件,则所述特征参数包括:源IP、目的IP、协议、文件MD5;
若所述第一攻击事件为恶意IP,则所述特征参数包括:源IP、目的IP、协议、事件ID;
若所述第一攻击事件为僵尸网络,则所述特征参数包括:源IP、目的IP、协议、事件ID;
若所述第一攻击事件为URL分类,则所述特征参数包括:源IP、目的IP、协议、URL;
若所述第一攻击事件为数据防泄漏,则所述特征参数包括:源IP、目的IP、协议、事件ID。
5.如权利要求4所述的装置,其特征在于,所述确定模块,具体用于
当检测到第一攻击事件时,获取所述第一攻击事件的第一事件编码;根据事件编码与事件类型之间的对应关系,确定所述第一攻击事件的事件类型。
6.如权利要求4所述的装置,其特征在于,在所述根据所述第一攻击事件的事件类型创建新的归并池后,所述判定模块,还用于根据所述第一攻击事件,发出对应的告警通知;将所述第一攻击事件归并到第二归并池中。
7.一种电子设备,其特征在于,包括:
存储器,用于存放计算机程序;
处理器,用于执行所述存储器上所存放的计算机程序时,实现权利要求1-3中任一项所述的方法步骤。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-3任一项所述的方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110992040.9A CN113709153B (zh) | 2021-08-27 | 2021-08-27 | 一种日志归并的方法、装置及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110992040.9A CN113709153B (zh) | 2021-08-27 | 2021-08-27 | 一种日志归并的方法、装置及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113709153A CN113709153A (zh) | 2021-11-26 |
| CN113709153B true CN113709153B (zh) | 2023-06-06 |
Family
ID=78655599
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110992040.9A Active CN113709153B (zh) | 2021-08-27 | 2021-08-27 | 一种日志归并的方法、装置及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113709153B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114186227A (zh) * | 2021-12-08 | 2022-03-15 | 上海观安信息技术股份有限公司 | 安全告警转化为安全事件的方法、装置及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101800668A (zh) * | 2010-03-23 | 2010-08-11 | 成都市华为赛门铁克科技有限公司 | 日志归并方法和装置 |
| CN110677287A (zh) * | 2019-09-24 | 2020-01-10 | 杭州安恒信息技术股份有限公司 | 基于体系化攻击的威胁告警生成方法和装置 |
| CN112039841A (zh) * | 2020-07-23 | 2020-12-04 | 北京天融信网络安全技术有限公司 | 安全事件归并处理方法、装置、电子设备及存储介质 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104753861A (zh) * | 2013-12-27 | 2015-07-01 | 中国电信股份有限公司 | 安全事件处理方法和装置 |
| CN105681286A (zh) * | 2015-12-31 | 2016-06-15 | 中电长城网际系统应用有限公司 | 关联分析方法和关联分析系统 |
| CN107592309B (zh) * | 2017-09-14 | 2019-09-17 | 携程旅游信息技术(上海)有限公司 | 安全事件检测和处理方法、系统、设备及存储介质 |
| CN111092865B (zh) * | 2019-12-04 | 2022-08-19 | 全球能源互联网研究院有限公司 | 一种安全事件分析方法及系统 |
| CN111339293B (zh) * | 2020-02-11 | 2023-08-22 | 支付宝(杭州)信息技术有限公司 | 告警事件的数据处理方法、装置和告警事件的分类方法 |
| CN112468457A (zh) * | 2020-11-12 | 2021-03-09 | 中国建设银行股份有限公司 | 一种事件处置方法、装置、电子设备及可读存储介质 |
-
2021
- 2021-08-27 CN CN202110992040.9A patent/CN113709153B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101800668A (zh) * | 2010-03-23 | 2010-08-11 | 成都市华为赛门铁克科技有限公司 | 日志归并方法和装置 |
| CN110677287A (zh) * | 2019-09-24 | 2020-01-10 | 杭州安恒信息技术股份有限公司 | 基于体系化攻击的威胁告警生成方法和装置 |
| CN112039841A (zh) * | 2020-07-23 | 2020-12-04 | 北京天融信网络安全技术有限公司 | 安全事件归并处理方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113709153A (zh) | 2021-11-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10656981B2 (en) | Anomaly detection using sequences of system calls | |
| WO2013019198A1 (en) | Systems and methods for distributed rule-based correlation of events | |
| CN106878038B (zh) | 一种通信网络中故障定位方法及装置 | |
| CN112241439B (zh) | 一种攻击组织发现方法、装置、介质和设备 | |
| CN113709153B (zh) | 一种日志归并的方法、装置及电子设备 | |
| CN111651170B (zh) | 一种实例动态调整方法、装置及相关设备 | |
| CN113672913A (zh) | 一种安全事件处理方法、装置及电子设备 | |
| CN112738003B (zh) | 恶意地址管理方法和装置 | |
| CN111130867B (zh) | 一种基于物联网的智能家居设备告警方法及装置 | |
| CN110009347B (zh) | 一种区块链交易信息审计的方法及装置 | |
| CN113872951B (zh) | 混合云安全策略下发方法、装置、电子设备和存储介质 | |
| CN107911229B (zh) | 运行状态改变的提醒方法、装置、电子设备及存储介质 | |
| CN109361658B (zh) | 基于工控行业的异常流量信息存储方法、装置及电子设备 | |
| WO2017176676A1 (en) | Graph-based fusing of heterogeneous alerts | |
| CN113992378B (zh) | 一种安全监测方法、装置、电子设备及存储介质 | |
| CN115001774A (zh) | 一种告警事件的关联分析方法、装置和设备 | |
| CN110958267B (zh) | 一种虚拟网络内部威胁行为的监测方法及系统 | |
| CN109462592B (zh) | 数据共享方法、装置、设备及存储介质 | |
| CN114416464A (zh) | 一种可信进程的监管方法及存储介质 | |
| CN113891309A (zh) | 无线传感器网络中恶意节点的检测方法、系统和汇聚节点 | |
| CN111935180A (zh) | 安防设备主动防御方法、装置及系统 | |
| CN108259229B (zh) | 一种设备管理方法、装置及系统 | |
| CN113343221A (zh) | 一种终端预警方法和装置 | |
| CN109474644B (zh) | 安全防护方法、装置、设备、waf及可读存储介质 | |
| CN113282372B (zh) | 数据收集集群的部署方法、装置、设备以及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |