CN113992436B - 本地情报产生方法、装置、设备及存储介质 - Google Patents
本地情报产生方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN113992436B CN113992436B CN202111607080.3A CN202111607080A CN113992436B CN 113992436 B CN113992436 B CN 113992436B CN 202111607080 A CN202111607080 A CN 202111607080A CN 113992436 B CN113992436 B CN 113992436B
- Authority
- CN
- China
- Prior art keywords
- data
- alarm log
- intelligence
- information
- alarm
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/901—Indexing; Data structures therefor; Storage structures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/903—Querying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Databases & Information Systems (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computational Linguistics (AREA)
- Software Systems (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请提供一种本地情报产生方法、装置、设备及存储介质,其中,本地情报产生方法包括:基于若干数据源获取告警日志;将所述告警日志与情报数据库进行碰撞,并得到与所述告警日志相关的第一情报数据;基于所述告警日志和所述第一情报数据提取若干指标数据;基于所述若干指标数据和所述第一情报数据生成第二情报数据;将所述告警日志和所述第二情报数据保存在本地存储空间中。本申请至少能够提高生成的情报数据的准确度、实时性。另一方面,本申请具有分析结果可追溯、情报数据生成过程可动态调整、生成的情报数据可信度高的优点。
Description
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种本地情报产生方法、装置、设备及存储介质。
背景技术
随着互联网技术的发展,网络上的恶意地址也越来越多。一般企业为了保护自身不受网络攻击,需要使用一些安全产品来分辨与企业资产进行通信的哪些地址是不安全的,以及不安全的原因,并阻断这些通信。
目前,现有技术是采用态势感知的模型关联分析功能,实现网络数据的分析,然而,模型关联分析所采用数据来源都仅有异常行为告警日志,也就是仅基于日志统计来进行关联分析型,进而这种模型关联分析很大程度取决于日志解析的准确度和广度,日志解析的越准确,广度越广,对分析的支撑能力就越强,反之亦有可能对分析能力造成负面影响。
另一方面,模型关联分析对用户基本上是不可控的,用户只能收到结果,却没法参与控制分析过程。再一方面,模型关联分析的分析结果难以追踪溯源,也没有一个合适的指标来表示分析结果的可信程度。
发明内容
本申请实施例的目的在于提供一种本地情报产生方法、装置、设备及存储介质,用于提高生成的情报数据的准确度和实时性,与此同时,用于实现动态调整情报数据生成过程和提高情报数据的可信度。
为此一种本地情报产生方法,所述方法包括:
基于若干数据源获取告警日志;
将所述告警日志与情报数据库进行碰撞,并得到与所述告警日志相关的第一情报数据;
基于所述告警日志和所述第一情报数据提取若干指标数据;
基于所述若干指标数据和所述第一情报数据生成第二情报数据;
将所述告警日志和所述第二情报数据保存在本地存储空间中。
在本申请第一方面中,作为一种可选的实施方式,在所述基于若干数据源获取告警日志之后,所述将所述告警日志与情报数据库进行碰撞,并得到与所述告警日志相关的第一情报数据之前,所述方法还包括:
根据所述告警日志的数据源确定所述告警日志的数据解析配置信息,所述数据解析配置信息包括所述告警日志的解析格式,所述告警日志的解析格式与所述告警日志的数据源对应;
根据所述告警日志的数据解析配置信息解析所述告警日志,并得到所述告警日志的解析数据;
以及,所述基于所述告警日志和所述第一情报数据提取若干指标数据,包括:
基于所述告警日志的解析数据提取预设字段的数据;
基于所述告警日志的所述预设字段的数据,和所述第一情报数据提取若干指标数据。
在本申请第一方面中,作为一种可选的实施方式,所述基于所述告警日志和所述第一情报数据提取若干指标数据,还包括:
基于所述告警日志的解析数据判断所述告警日志中是否包含所述预设字段的数据;
若所述告警日志中不包含所述预设字段的数据,
则判断所述预设字段是否存在默认值,若所述预设字段存在所述默认值,则将所述预设字段的所述默认值作为所述预设字段的数据;
以及,所述方法还包括:
当所述预设字段的所述默认值不存在时,丢弃所述告警日志。
在本申请第一方面中,作为一种可选的实施方式,在所述基于若干数据源获取告警日志之后,所述将所述告警日志与情报数据库进行碰撞,并得到与所述告警日志相关的第一情报数据之前,所述方法还包括:
生成所述情报数据库,所述情报数据库包括商业情报数据、云端情报数据、第三方情报数据中的至少一种。
在本申请第一方面中,作为一种可选的实施方式,所述将所述告警日志与情报数据库进行碰撞,并得到与所述告警日志相关的第一情报数据,包括:
从所述情报数据库匹配与所述告警日志相关的情报数据,并将与所述告警日志相关的情报数据作为所述第一情报数据。
在本申请第一方面中,作为一种可选的实施方式,在基于所述若干指标数据和所述第一情报数据生成第二情报数据之前,所述方法还包括:
基于所述告警日志的数据源,确定所述告警日志的权重配置信息;
以及,所述基于所述若干指标数据和所述第一情报数据生成第二情报数据包括:
基于所述若干指标数据、所述告警日志的权重配置信息和所述第一情报数据生成所述第二情报数据。
在本申请第一方面中,作为一种可选的实施方式,所述基于所述告警日志和所述第一情报数据提取若干指标数据,包括:
统计所述告警日志的告警数量,将所述告警数量作为其中一个所述指标数据。
本申请第二方面公开一种本地情报产生装置,所述装置包括:
数据获取模块,用于基于若干数据源获取告警日志;
数据碰撞模块,用于将所述告警日志与情报数据库进行碰撞,并得到与所述告警日志相关的第一情报数据;
数据提取模块,用于基于所述告警日志和所述第一情报数据提取若干指标数据;
数据生成模块,用于基于所述若干指标数据和所述第一情报数据生成第二情报数据;
数据存储模块,用于将所述告警日志和所述第二情报数据保存在本地存储空间中。
本申请第三方面公开一种本地情报产生设备,所述设备包括:
存储有可执行程序代码的存储器;
与所述存储器耦合的处理器;
所述处理器调用所述存储器中存储的所述可执行程序代码,执行本申请第一方面的本地情报产生方法。
本申请第四方面公开一种存储介质,所述存储介质存储有计算机指令,所述计算机指令被调用时,用于执行本申请第一方面的本地情报产生方法。
与现有技术相比,本申请通过执行本地情报产生方法,一方面能够通过将告警日志与情报数据库进行碰撞,进而能够得到更多、更及时的第一情报数据,从而与仅采用告警日志生成第二情报数据相比,能够基于更多、更及时的第一情报数据,生成更加准确、实时性更高的第二情报数据库。另一方面,通过将告警日志和第二情报数据存储在本地存储空间,可便于分析人员对分析结果进行追溯。再一方面,由于本申请是基于若干指标数据和第一情报数据生成第二情报数据,而并非通过告警日志直接生成第二情报数据,因此,用户可从告警日志中提取指定的指标数据,并基于指定的指标数据生成第二情报数据,这样一来,用户就能够自行控制情报生产的一些指标,满足情报的不同要求和提高生成情报的可信度,另外,本申请还能够基于数据源的权重对情报数据生成过程进行动态调整。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1是本申请实施例公开的一种本地情报产生方法的流程示意图;
图2是本申请实施例公开的一种本地情报产生装置的结构示意图;
图3是本申请实施例公开的一种本地情报产生设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
实施例一
请参阅图1,图1是本申请实施例公开的一种本地情报产生方法的流程示意图。如图1所示,本申请实施例的方法包括以下步骤:
101、基于若干数据源获取告警日志;
102、将告警日志与情报数据库进行碰撞,并得到与告警日志相关的第一情报数据;
103、基于告警日志和第一情报数据提取若干指标数据;
104、基于若干指标数据和第一情报数据生成第二情报数据;
105、将告警日志和第二情报数据保存在本地存储空间中。
在本申请实施例中,由于在第二情报数据的生产过程中,除了采用原始的告警日志数据,还采用了第一情报数据,因此通过第一情报数据能够扩展第二情报数据的输入源,从而使得第二数据源基于更多的数据生成。另一方面,通过情报数据库与告警日志进行碰撞,能够获取更多与告警日志相关的关键信息,这些关键信息能够准确评估网络攻击行为和能够及时评估攻击行为,从而使得基于更多的关键信息生成更加准确、更加及时的第二情报数据,举例来说,当仅获取告警日志时,生成的第二情报数据仅基于告警日志的分析得到,这样一来,由于告警日志具有随机性和不确定性(例如,安防设备A产生的告警日志无法确定企业是否遭到攻击),因此,仅基于告警日志的分析得到的第二情报数据的不确定性高,也即仅基于告警日志的分析得到的第二情报数据的准确性较低。再例如,在一些场景中,告警日志只携带数据特征A,而基于数据特征A无法确定企业是否遭受攻击,必需将数据特征A与最新的数据特征B结合,判断企业是否遭受攻击,这样一来,通过将告警日志与第一情报数据进行碰撞,能及时获取数据特征B,进而能够及时结合数据特征A与数据特征B判断企业是否遭受攻击。
另一方面,由于本申请实施例是基于若干指标数据和第一情报数据生成第二情报数据,而并非通过告警日志直接生成第二情报数据,因此,用户可从告警日志中提取指定的指标数据,并基于指定的指标数据生成第二情报数据,这样一来,用户就能够自行控制情报生产的一些指标,满足情报的不同要求和提高生成情报的可信度。
在本申请实施例的步骤101中,告警日志可以从不同的安防设备采集,其中,每个安防设备作为一个数据源。进一步地,安防设备可以是网关、防火墙设备,或者是其他类型的安防设备。
在本申请实施例的步骤101中,数据源的数量可以是3个,也可以是4个,对此本申请实施例不作限定。
在本申请实施例的步骤102中,情报数据库包括了实时获取的情报数据,其中,情报数据库能够更加及时地获取更多的情报数据。
在本申请实施例的步骤102中,当生成第二情报数据后,可将第二情报数据加入情报数据库中,进而扩充情报数据库中的情报数据,进而使得情报数据库情报数据更加完善,从而使得在下一轮生成第二情报数据时,能够基于更加完善的情报数据库,提高第二情报数据的准确性。
在本申请实施例,对于步骤103中,在一些场景中,由于告警日志和第一情报数据包括了与分析目标相关的数据,也包括了与分析目标不相关的数据,因此,如果与分析目标相关的数据和与分析不相关的数据一起用于生成第二情报数据,则会降低第二情报数据的可信度,例如,假设分析目标判断企业是否存在IP攻击的危险,如果将与IP攻击相关的数据特征A和与IP攻击不相关的数据特征B,则显然数据特征B降低了所得到的第二情报数据的可信度。因此,本申请实施例步骤103通过基于告警日志和第一情报数据,能够提取部分的指标数据(指标数据为预先指定与分析目标相关的数据),进而基于部分的指标数据和第一情报数据生成第二情报数据,从而提高第二情报数据的可信度。
在本申请实施例中,对于步骤104,具体地,将若干指标数据和第一情报数据作为预设情报生成模型中,进而预设情报生成模型输出第二情报数据,其中,预设情报生成模型包括了子算法1、子算法2、子算法3、子算法4等若干个子算法,通过若干个子算法,能够基于若干指标数据和第一情报数据,生成第二情报数据,例如,子算法1用于基于若干指标数据和第一情报数据确定危险级别,子算法2用于于若干指标数据和第一情报数据确影响范围等。
在本申请实施例的步骤104的一个示例,假设,第一指标数据为“IP地址A对应的告警数据65个”,而第一情报数据为“IP地址的历史攻击次数为20次”,则确定该IP地址A为风险IP地址,其中,“IP地址A为风险IP地址”即为第二情报数据。
在本申请实施例的步骤105中,通过将告警日志与第二情报数据保存在本地存储空间,可便于对告警日志和第二情报数据进行追溯,例如,当分析人员需要确定第二情报数据是基于何种告警日志生成的,则可通过本地存储空间存储的告警日志和第二情报数据实现这一需求。
在本申请实施例中,可选地,本申请实施例的方法还包括:
将若干指标数据存储在本地存储空间中。
其中,通过将若干指标数据存储在本地存储空间中,能够便于分析人员确定第二情报数据是基于何种指标数据生成的。
在本申请实施例中,作为一种可选的实施方式,在步骤101:基于若干数据源获取告警日志之后,步骤102:将告警日志与情报数据库进行碰撞,并得到与告警日志相关的第一情报数据之前,本申请实施例的方法还包括以下步骤:
根据告警日志的数据源确定告警日志的数据解析配置信息,数据解析配置信息包括告警日志的解析格式,告警日志的解析格式与告警日志的数据源对应;
根据告警日志的数据解析配置信息解析告警日志,并得到告警日志的解析数据;
以及,步骤103:基于告警日志和第一情报数据提取若干指标数据,包括以下子步骤:
基于告警日志的解析数据提取预设字段的数据;
基于告警日志的预设字段的数据,和第一情报数据提取若干指标数据。
在本可选的实施方式中,数据解析配置信息包括了若干个数据源的解析格式,其中,每个数据源发送的告警日志可能不一样,因此为了便于对告警日志进行统一处理,需要消除这种格式等差异。另一方面。通过预设字段的数据可获取指标数据,例如,当告警数据中的“MAC地址:0000000”,则通过识别“MAC地址”这一字段,可获取指标数据。进一步地,当告警日志不存在指标数据时,通过读取默认值确定指标数据,例如,当告警日志中不存在来源IP字段,则的通过读取默认值作为来源IP字段。
需要说明的是,在接收到告警日志后,本申请实施例的方法能够识别告警日志所采用的解析格式。
在本可选的实施方式中,可选地,数据解析配置信息还包括了其他数据清洗配置信息,例如,数据值范围,其中,通过数据值范围,能够判断告警日志中的某项数据的值是否为合理值,若不是则采取例如删除该数据等操作。
在本申请实施例中,作为一种可选的实施方式,步骤103:基于告警日志和第一情报数据提取若干指标数据,还包括以下步骤:
基于告警日志的解析数据判断告警日志中是否包含预设字段的数据;
若告警日志中不包含预设字段的数据,则判断所述预设字段是否存在默认值,若所述预设字段存在所述默认值,则将所述预设字段的所述默认值作为所述预设字段的数据;
以及,所述方法还包括:
当所述预设字段的所述默认值不存在时,丢弃所述告警日志。
在本可选的实施方式中,通过默认值可补全告警日志的数据,进而提高告警日志的数据完整性,进而能够基于更加完整的告警日志生成更加准确的第二情报数据。同时通过丢弃没有值的字段可降低没有值的字段对生成第二情报数据的影响。
在本申请实施例中,作为一种可选的实施方式,在步骤101:基于若干数据源获取告警日志之后,步骤102:将告警日志与情报数据库进行碰撞,并得到与告警日志相关的第一情报数据之前,本申请实施例的方法还包括以下步骤:
生成情报数据库,情报数据库包括商业情报数据、云端情报数据、第三方情报数据中的至少一种。
在本可选的实施方式中,通过商业情报数据、云端情报数据、第三方情报数据可生成情报数据库。
在本申请实施例中,作为一种可选的实施方式,步骤102:将告警日志与情报数据库进行碰撞,并得到与告警日志相关的第一情报数据,包括以下子步骤:
从情报数据库匹配与告警日志相关的情报数据,并将与告警日志相关的情报数据作为第一情报数据。
本可选的实施方式,通过情报数据库,能够得到与告警日志相关的情报数据,即得到第一情报数据。
在本申请第一方面中,作为一种可选的实施方式,在步骤104:基于若干指标数据和第一情报数据生成第二情报数据之前,本申请实施例的方法还包括以下步骤:
基于告警日志的数据源,确定告警日志的权重配置信息;
以及,步骤104:基于若干指标数据和第一情报数据生成第二情报数据包括:
基于若干指标数据、告警日志的权重配置信息和第一情报数据生成第二情报数据。
在本可选的实施方式中,告警日志的权重配置信息是指基于不同场景或不同分析目标确定数据源提供的告警日志的权重,例如,对于分析目标A,则安防设备A提供的告警日志的权重为0.8,而安防设备B提供的告警日志的权重为0.2,即对于分析目标A,安防设备A提供的告警日志对其影响高于安防设备B提供的告警日志对其的影响。
本可选的实施方式,通过基于告警日志的权重配置信息,能够在生成第二情报数据中,根据具体场景和分析目标动态调整第二情报数据的生成的过程,以适应场景和分析目标的差异。
在本申请实施例中,作为一种可选的实施方式,步骤103:基于告警日志和第一情报数据提取若干指标数据,包括一下步骤:
统计告警日志的告警数量,将告警数量作为其中一个指标数据。
本可选的方式通过统计告警日志的告警数量,而能够将告警数量作为其中一个指标数据。
实施例二
请参阅图2,图2是本申请实施例公开的一种本地情报产生装置的结构示意图。如图2所示,本申请实施例的装置包括以下功能模块:
数据获取模块201,用于基于若干数据源获取告警日志;
数据碰撞模块202,用于将告警日志与情报数据库进行碰撞,并得到与告警日志相关的第一情报数据;
数据提取模块203,用于基于告警日志和第一情报数据提取若干指标数据;
数据生成模块204,用于基于若干指标数据和第一情报数据生成第二情报数据;
数据存储模块205,用于将告警日志和第二情报数据保存在本地存储空间中。
本申请实施例的装置通过执行本地情报产生方法,一方面能够通过将告警日志与情报数据库进行碰撞,进而能够得到更多、更及时的第一情报数据,从而与仅采用告警日志生成第二情报数据相比,能够基于更多、更及时的第一情报数据,生成更加准确、实时性更高的第二情报数据库。另一方面,通过将告警日志和第二情报数据存储在本地存储空间,可便于分析人员对分析结果进行追溯。
再一方面,由于本申请实施例是基于若干指标数据和第一情报数据生成第二情报数据,而并非通过告警日志直接生成第二情报数据,因此,用户可从告警日志中提取指定的指标数据,并基于指定的指标数据生成第二情报数据,这样一来,用户就能够自行控制情报生产的一些指标,满足情报的不同要求和提高生成情报的可信度。
需要说明的是,关于本申请实施例的其他说明请参阅本申请实施例一的相关说明,本申请实施例对此不作赘述。
实施例三
请参阅图3,图3是本申请实施例公开的一种本地情报产生设备的结构示意图。如图3,本申请实施例的设备包括:
存储有可执行程序代码的存储器301;
与存储器301耦合的处理器302;
处理器302调用存储器301中存储的可执行程序代码,执行本申请实施例一的本地情报产生方法。
本申请实施例的设备通过执行本地情报产生方法,一方面能够通过将告警日志与情报数据库进行碰撞,进而能够得到更多、更及时的第一情报数据,从而与仅采用告警日志生成第二情报数据相比,能够基于更多、更及时的第一情报数据,生成更加准确、实时性更高的第二情报数据库。另一方面,通过将告警日志和第二情报数据存储在本地存储空间,可便于分析人员对分析结果进行追溯。再一方面,由于本申请实施例是基于若干指标数据和第一情报数据生成第二情报数据,而并非通过告警日志直接生成第二情报数据,因此,用户可从告警日志中提取指定的指标数据,并基于指定的指标数据生成第二情报数据,这样一来,用户就能够自行控制情报生产的一些指标,满足情报的不同要求和提高生成情报的可信度。
需要说明的是,关于本申请实施例的其他说明请参阅本申请实施例一的相关说明,本申请实施例对此不作赘述。
实施例四
本申请实施例公开一种存储介质,存储介质存储有计算机指令,计算机指令被调用时,用于执行本申请实施例一的本地情报产生方法。
本申请实施例的存储介质通过执行本地情报产生方法,一方面能够通过将告警日志与情报数据库进行碰撞,进而能够得到更多、更及时的第一情报数据,从而与仅采用告警日志生成第二情报数据相比,能够基于更多、更及时的第一情报数据,生成更加准确、实时性更高的第二情报数据库。另一方面,通过将告警日志和第二情报数据存储在本地存储空间,可便于分析人员对分析结果进行追溯。再一方面,由于本申请实施例是基于若干指标数据和第一情报数据生成第二情报数据,而并非通过告警日志直接生成第二情报数据,因此,用户可从告警日志中提取指定的指标数据,并基于指定的指标数据生成第二情报数据,这样一来,用户就能够自行控制情报生产的一些指标,满足情报的不同要求和提高生成情报的可信度。
需要说明的是,关于本申请实施例的其他说明请参阅本申请实施例一的相关说明,本申请实施例对此不作赘述。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
需要说明的是,功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种本地情报产生方法,其特征在于,所述方法包括:
基于若干数据源获取告警日志;
将所述告警日志与情报数据库进行碰撞,并得到与所述告警日志相关的第一情报数据;
基于所述告警日志和所述第一情报数据提取若干指标数据;
基于所述若干指标数据和所述第一情报数据生成第二情报数据;
将所述告警日志和所述第二情报数据保存在本地存储空间中。
2.如权利要求1所述的方法,其特征在于,在所述基于若干数据源获取告警日志之后,所述将所述告警日志与情报数据库进行碰撞,并得到与所述告警日志相关的第一情报数据之前,所述方法还包括:
根据所述告警日志的数据源确定所述告警日志的数据解析配置信息,所述数据解析配置信息包括所述告警日志的解析格式,所述告警日志的解析格式与所述告警日志的数据源对应;
根据所述告警日志的数据解析配置信息解析所述告警日志,并得到所述告警日志的解析数据;
以及,所述基于所述告警日志和所述第一情报数据提取若干指标数据,包括:
基于所述告警日志的解析数据提取预设字段的数据;
基于所述告警日志的所述预设字段的数据,和所述第一情报数据提取若干指标数据。
3.如权利要求2所述的方法,其特征在于,所述基于所述告警日志和所述第一情报数据提取若干指标数据,还包括:
基于所述告警日志的解析数据判断所述告警日志中是否包含所述预设字段的数据;
若所述告警日志中不包含所述预设字段的数据,则判断所述预设字段是否存在默认值,若所述预设字段存在所述默认值,则将所述预设字段的所述默认值作为所述预设字段的数据;
以及,所述方法还包括:
当所述预设字段的所述默认值不存在时,丢弃所述告警日志。
4.如权利要求1所述的方法,其特征在于,在所述基于若干数据源获取告警日志之后,所述将所述告警日志与情报数据库进行碰撞,并得到与所述告警日志相关的第一情报数据之前,所述方法还包括:
生成所述情报数据库,所述情报数据库包括商业情报数据、云端情报数据、第三方情报数据中的至少一种。
5.如权利要求1所述的方法,其特征在于,所述将所述告警日志与情报数据库进行碰撞,并得到与所述告警日志相关的第一情报数据,包括:
从所述情报数据库匹配与所述告警日志相关的情报数据,并将与所述告警日志相关的情报数据作为所述第一情报数据。
6.如权利要求1所述的方法,其特征在于,在基于所述若干指标数据和所述第一情报数据生成第二情报数据之前,所述方法还包括:
基于所述告警日志的数据源,确定所述告警日志的权重配置信息;
以及,所述基于所述若干指标数据和所述第一情报数据生成第二情报数据包括:
基于所述若干指标数据、所述告警日志的权重配置信息和所述第一情报数据生成所述第二情报数据。
7.如权利要求1所述的方法,其特征在于,所述基于所述告警日志和所述第一情报数据提取若干指标数据,包括:
统计所述告警日志的告警数量,将所述告警数量作为其中一个所述指标数据。
8.一种本地情报产生装置,其特征在于,所述装置包括:
数据获取模块,用于基于若干数据源获取告警日志;
数据碰撞模块,用于将所述告警日志与情报数据库进行碰撞,并得到与所述告警日志相关的第一情报数据;
数据提取模块,用于基于所述告警日志和所述第一情报数据提取若干指标数据;
数据生成模块,用于基于所述若干指标数据和所述第一情报数据生成第二情报数据;
数据存储模块,用于将所述告警日志和所述第二情报数据保存在本地存储空间中。
9.一种本地情报产生设备,其特征在于,所述设备包括:
存储有可执行程序代码的存储器;
与所述存储器耦合的处理器;
所述处理器调用所述存储器中存储的所述可执行程序代码,执行如权利要求1-7任一项所述的本地情报产生方法。
10.一种存储介质,其特征在于,所述存储介质存储有计算机指令,所述计算机指令被调用时,用于执行如权利要求1-7任一项所述的本地情报产生方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111607080.3A CN113992436B (zh) | 2021-12-27 | 2021-12-27 | 本地情报产生方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111607080.3A CN113992436B (zh) | 2021-12-27 | 2021-12-27 | 本地情报产生方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113992436A CN113992436A (zh) | 2022-01-28 |
| CN113992436B true CN113992436B (zh) | 2022-03-01 |
Family
ID=79734349
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111607080.3A Active CN113992436B (zh) | 2021-12-27 | 2021-12-27 | 本地情报产生方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113992436B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108460278A (zh) * | 2018-02-13 | 2018-08-28 | 北京奇安信科技有限公司 | 一种威胁情报处理方法及装置 |
| CN109862003A (zh) * | 2019-01-24 | 2019-06-07 | 深信服科技股份有限公司 | 本地威胁情报库的生成方法、装置、系统及存储介质 |
| CN109981627A (zh) * | 2019-03-18 | 2019-07-05 | 武汉思普崚技术有限公司 | 网络威胁情报信息的更新方法及系统 |
| CN110460594A (zh) * | 2019-07-31 | 2019-11-15 | 平安科技(深圳)有限公司 | 威胁情报数据采集处理方法、装置及存储介质 |
| CN110941823A (zh) * | 2018-09-21 | 2020-03-31 | 武汉安天信息技术有限责任公司 | 威胁情报获取方法及装置 |
| CN113839954A (zh) * | 2021-09-27 | 2021-12-24 | 杭州安恒信息技术股份有限公司 | 一种威胁情报获取方法、装置、设备及存储介质 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9118702B2 (en) * | 2011-05-31 | 2015-08-25 | Bce Inc. | System and method for generating and refining cyber threat intelligence data |
| US20150215334A1 (en) * | 2012-09-28 | 2015-07-30 | Level 3 Communications, Llc | Systems and methods for generating network threat intelligence |
-
2021
- 2021-12-27 CN CN202111607080.3A patent/CN113992436B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108460278A (zh) * | 2018-02-13 | 2018-08-28 | 北京奇安信科技有限公司 | 一种威胁情报处理方法及装置 |
| CN110941823A (zh) * | 2018-09-21 | 2020-03-31 | 武汉安天信息技术有限责任公司 | 威胁情报获取方法及装置 |
| CN109862003A (zh) * | 2019-01-24 | 2019-06-07 | 深信服科技股份有限公司 | 本地威胁情报库的生成方法、装置、系统及存储介质 |
| CN109981627A (zh) * | 2019-03-18 | 2019-07-05 | 武汉思普崚技术有限公司 | 网络威胁情报信息的更新方法及系统 |
| CN110460594A (zh) * | 2019-07-31 | 2019-11-15 | 平安科技(深圳)有限公司 | 威胁情报数据采集处理方法、装置及存储介质 |
| CN113839954A (zh) * | 2021-09-27 | 2021-12-24 | 杭州安恒信息技术股份有限公司 | 一种威胁情报获取方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113992436A (zh) | 2022-01-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108763031B (zh) | 一种基于日志的威胁情报检测方法及装置 | |
| CN108471429B (zh) | 一种网络攻击告警方法及系统 | |
| US10009358B1 (en) | Graph based framework for detecting malicious or compromised accounts | |
| CN108683687B (zh) | 一种网络攻击识别方法及系统 | |
| CN108881263B (zh) | 一种网络攻击结果检测方法及系统 | |
| CN112636957B (zh) | 基于日志的预警方法、装置、服务器及存储介质 | |
| CN111177779B (zh) | 数据库审计方法、其装置、电子设备及计算机存储介质 | |
| US10489714B2 (en) | Fingerprinting and matching log streams | |
| CN110188538B (zh) | 采用沙箱集群检测数据的方法及装置 | |
| CN114598504B (zh) | 一种风险评估方法、装置、电子设备及可读存储介质 | |
| CN114006778B (zh) | 一种威胁情报的识别方法、装置、电子设备及存储介质 | |
| CN112350989A (zh) | 一种日志数据的解析方法 | |
| CN111813960A (zh) | 基于知识图谱的数据安全审计模型装置、方法及终端设备 | |
| CN110830500B (zh) | 网络攻击追踪方法、装置、电子设备及可读存储介质 | |
| CN115766258B (zh) | 一种基于因果关系图的多阶段攻击趋势预测方法、设备及存储介质 | |
| CN111327466B (zh) | 一种告警分析方法、系统、设备以及介质 | |
| CN114003904B (zh) | 情报共享方法、装置、计算机设备及存储介质 | |
| CN112003834A (zh) | 异常行为检测方法和装置 | |
| CN114461864A (zh) | 一种告警溯源方法和装置 | |
| CN111209266B (zh) | 一种基于Redis数据库的审计方法、装置及电子设备 | |
| CN113992436B (zh) | 本地情报产生方法、装置、设备及存储介质 | |
| CN112070161A (zh) | 一种网络攻击事件分类方法、装置、终端及存储介质 | |
| CN115865525A (zh) | 日志数据处理方法、装置、电子设备和存储介质 | |
| CN111381989A (zh) | 微服务链路生成方法、装置、服务器及存储介质 | |
| CN111078757A (zh) | 一种自主学习的业务风控规则引擎系统及风险评估方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |