CN114205143B

CN114205143B - 一种面向异构安全设备的智能化协同防御的方法及系统

Info

Publication number: CN114205143B
Application number: CN202111501756.0A
Authority: CN
Inventors: 黄星杰; 赵金梦; 陈刚; 张静; 张颂; 赵新建; 赵然; 王檬; 李亮
Original assignee: Beijing Qihoo Technology Co Ltd; State Grid Corp of China SGCC; State Grid Information and Telecommunication Co Ltd; Information and Telecommunication Branch of State Grid Jiangsu Electric Power Co Ltd
Current assignee: Beijing Qihoo Technology Co Ltd; State Grid Corp of China SGCC; State Grid Information and Telecommunication Co Ltd; Information and Telecommunication Branch of State Grid Jiangsu Electric Power Co Ltd
Priority date: 2021-12-09
Filing date: 2021-12-09
Publication date: 2024-08-16
Anticipated expiration: 2041-12-09
Also published as: CN114205143A

Abstract

本申请实施例公开了一种面向异构安全设备的智能化协同防御的方法及系统，所述方法包括：获取异构安全设备的多个待处理日志数据；按照预设数据规则分别对各待处理日志数据进行格式转换，获得多个目标日志数据；对多个所述目标日志数据分别进行威胁情报分析，获得各目标日志数据对应的安全事件及关联设备；基于安全事件及关联设备对多个待处理日志数据进行协同防御。相较于现有技术中分区域处理日志数据并根据日志数据确定对应安全设备进行安全防御处理的方法，本申请所述方法能够实现异构安全设备协同防御，进而提高网络安全的防护效率。

Description

一种面向异构安全设备的智能化协同防御的方法及系统

技术领域

本申请涉及互联网技术领域，尤其涉及一种面向异构安全设备的智能化协同防御的方法及系统。

背景技术

目前网络已经实现分区分域，网络专用的安全架构是通过在网络中部署防火墙、入侵检测、入侵防御、流量分析和威胁溯源等对采集的安全设备的日志数据进行针对处理，以实现网络安全防御。而这种网络安全防御技术，具有被动防御的能力，还不能实现跨平台和跨区域的安全设备协同防御，导致网络安全防护效率低下。

上述内容仅用于辅助理解本申请的技术方案，并不代表承认上述内容是现有技术。

发明内容

本申请的主要目的在于提供了一种面向异构安全设备的智能化协同防御的方法及系统，实现异构安全设备的协同防御，提高了网络安全防御效率。

为实现上述目的，本申请提供了一种面向异构安全设备的智能化协同防御的方法，所述面向异构安全设备的智能化协同防御的方法包括以下步骤：

获取异构安全设备的多个待处理日志数据；所述异构安全设备为跨维度、跨平台和/或跨区域的安全设备；

按照预设数据规则分别对各待处理日志数据进行格式转换，获得多个目标日志数据；

对多个所述目标日志数据分别进行威胁情报分析，获得各目标日志数据对应的安全事件及关联设备；所述关联设备为所述目标日志数据关联的安全设备；

基于所述安全事件及所述关联设备对多个所述待处理日志数据进行协同防御。

此外，本申请还提出一种面向异构安全设备的智能化协同防御的系统，所述面向异构安全设备的智能化协同防御的系统包括获取模块、转换模块、分析模块和防御模块：

所述获取模块，用于获取异构安全设备的多个待处理日志数据；所述异构安全设备为跨维度、跨平台和/或跨区域的安全设备；

所述转换模块，用于按照预设数据规则分别对各待处理日志数据进行格式转换，获得多个目标日志数据；

所述分析模块，用于对多个所述目标日志数据分别进行威胁情报分析，获得各目标日志数据对应的安全事件及关联设备；所述关联设备为所述目标日志数据关联的安全设备；

所述防御模块，用于基于所述安全事件及所述关联设备对多个所述待处理日志数据进行协同防御。

另一方面，本申请还提供了一种计算机可读存储介质，所述计算机可读存储介质用于存储计算机程序，所述计算机程序用于执行以上方面所述的方法。由上述技术方案可以看出，本申请首先获取异构安全设备的多个待处理日志数据，按照预设数据规则分别对各待处理日志数据进行格式转换，获得多个目标日志数据，然后对多个所述目标日志数据分别进行威胁情报分析，获得各目标日志数据对应的安全事件及关联设备，最后基于安全事件及关联设备对多个待处理日志数据进行协同防御。相较于现有技术中分区域处理日志数据并根据日志数据确定对应安全设备进行安全防御处理的方法，本申请所述方法能够实现异构安全设备协同防御，进而提高网络安全的防护效率。

附图说明

图1为本申请提供的一种面向异构安全设备的智能化协同防御的方法第一实施例的流程示意图；

图2为本申请提供的一种面向异构安全设备的智能化协同防御的方法第二实施例的流程示意图；

图3为本申请提供的一种面向异构安全设备的智能化协同防御的方法第三实施例的流程示意图；

图4为本申请提供的一种面向异构安全设备的智能化协同防御的系统的结构框图。

本申请目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

应当理解，此处所描述的具体实施例仅用以解释本申请，并不用于限定本申请。

本申请实施例提供了一种面向异构安全设备的智能化协同防御的方法，参照图1，图1为本申请提供的一种面向异构安全设备的智能化协同防御的方法第一实施例的流程示意图。

本实施例中，所述面向异构安全设备的智能化协同防御的方法包括以下步骤：

S10：获取异构安全设备的多个待处理日志数据。

易于理解的是，本实施例的执行主体可以是具有数据处理、网络通讯和程序运行等功能的通讯设备，该设备还能够对目标日志数据进行威胁情报分析等，也可以为其他具有相似功能的计算机设备等，本实施例并不加以限制。

异构安全设备可以为跨维度、跨平台及跨区域的安全设备，安全设备可以在网络中通过部署防火墙、入侵检测、入侵防御、流量分析和威胁溯源、漏扫、日志审计、数据库审计、安全审计、网络准入、防病毒、桌面管理等对采集的待处理日志数据进行协同处理。

在本实施例中通过对异构安全设备的标准集成规范，包括威胁数据交换规范、指令规范、应用程序编程接口规范，基于高易用性的数据源接入配置、解析配置功能和标准化的数据字典，实现数据接入和解析更加开放且高效，为安全分析打下良好基础。采用布点监测和流量相结合的方式构建重点保护目标监测及发现能力。

需要说明的是，数据接入汇聚立足于互联网数据，汇聚接入待处理日志数据，其中待处理日志数据包括网络侧数据、业务侧数据、终端侧数据和应用侧数据等。

S20：按照预设数据规则分别对各待处理日志数据进行格式转换，获得多个目标日志数据。

应理解的是，待处理日志数据存在多种数据格式，例如结构化数据、半结构化数据及非结构化数据等。为了能够对获取的待处理日志数据进行统一处理，需要将待处理日志数据进行统一。

在具体实现中，还可以将待处理日志数据进行抽取、清洗、转换、加载、消重与合并等处理，使得数据格式相对统一、分类分级明确、标识清晰，采用可灵活扩展的分布式、高扩展、高实时的搜索与数据分析引擎(ElasticSear ch)进行数据分布式存储，支持灵活横向扩展，利于数据的深度关联分析，经预处理后的数据存储等。

预设数据规则可以理解为将不同数据格式转换为面向异构安全设备的智能化协同防御系统特定数据格式。

例如待处理日志数据A为结构化数据，待处理日志数据B为半结构化数据，待处理日志数据C为非结构化数据，可以在预设规则映射关系表中查找结构化数据、半结构化数据及非结构化数据对应的数据转换规则，之后利用数据转换规则将待处理日志数据A、待处理日志数据B及待处理日志数据C转换为面向异构安全设备的智能化协同防御系统中特定数据格式，使得数据格式相对统一。

在具体实现中，还需要对不同结构的数据采用不同的存储策略，进行数据、知识、资源的存储，并通过数据共享接口外向其他相关业务部门提供信息的推送，同时为第三方数据资源的导入、导出提供标准通道等。

S30：对多个所述目标日志数据分别进行威胁情报分析，获得各目标日志数据对应的安全事件及关联设备。

分别确定各目标日志数据对应的数据类型，之后根据数据类型确定各目标日志数据对应的预设数据分析规则，最后根据预设数据分析规则对各目标日志数据分别进行威胁情报分析，获得各目标日志数据对应的安全事件及关联设备。

数据类型可以为资产漏洞类型或异常行为类型等，可以根据数据类型从预设分析规则映射关系表中查找对应的预设数据分析规则，其中，预设分析规则映射关系表中存在多个数据类型及多个预设数据分析规则，其中数据类型和预设数据分析规则为一一对应的关系。

资产漏洞类型对应的预设数据分析规则可以为对接资产探针自动获取资产扫描结果，并支持被动资产发现，提供各类资产及资产组的管理，支持按照业务系统、安全域、物理位置、组织机构、标签等信息以多维度进行资产分组和管理，支持对接漏扫探针获取各类型漏洞信息并进行管理，提供资产与漏洞信息的关联并可根据资产、漏洞信息以及受攻击状态对资产进行全方位的风险分析等。

异常行为类型对应的预设数据分析规则可以为以人、资产、应用为维度的账号安全和数据安全场景，包括内部人员违规、定位失陷主机、数据泄漏、业务安全类等场景。此模块提供用户状态总览，包括异常用户总数，活跃、关注用户数据，场景触发总数、日志总量，还可展现威胁部门的前十名，最常见异常场景，能及风险最高的异常用户及关注用户的情况，给安全人员展现用户异常的整体态势等。

还应理解的是，还可以对目标日志数据进行场景化分析后可生成对应的安全事件，之后可以从预设关联映射关系表中查找与安全事件对应的多个关联设备，其中预设关联映射关系表中存在多个安全事件和多个关联设备，安全事件与关联设备存在一一对应的关系。场景化分析包括攻击链分析、攻击影响分析、威胁分析及攻击行为知识库和模型(Adversarial Tactics Techniques and Common Knowledge，ATT&CK)分析等。

对多个目标日志数据分别进行威胁情报分析，获得各目标日志数据对应的安全事件及关联设备的步骤之后还可以分别获取各目标日志数据对应的威胁分值，根据威胁分析对多个安全事件进行排序，获得威胁排序结果，根据威胁排序结果从多个安全事件中选取目标安全事件，根据目标安全事件及对应的目标日志数据生成日志异常列表，供后续工作人员查看，并提出对应的解决策略等。

S40：基于所述安全事件及所述关联设备对多个所述待处理日志数据进行协同防御。

在具体实现中可以确定各安全事件对应的安全设备，判断安全设备与关联设备是否一致，在安全设备与关联设备一致时，基于安全事件及关联设备对多个待处理日志数据进行跨维度、跨平台及跨区域协同防御。之后还可以从攻防场景库中查找最优处置策略，对待处理日志数据进行处理等。

需要说明的是，协同防御可以理解为群体协同防御，可以对待处理日志数据进行联合感知、攻击杀伤分析及深度协同分析等。

在本实施例中首先获取异构安全设备的多个待处理日志数据，按照预设数据规则分别对各待处理日志数据进行格式转换，获得多个目标日志数据，然后对多个所述目标日志数据分别进行威胁情报分析，获得各目标日志数据对应的安全事件及关联设备，最后基于安全事件及关联设备对多个待处理日志数据进行协同防御。相较于现有技术中分区域处理日志数据，根据日志数据确定对应安全设备进行处理，而本实施例中获取异构安全设备的日志数据，之后根据日志数据确定对应的安全事件及关联设备，基于安全事件及关联设备对日志数据进行协同防御，从而实现了跨平台和跨区域的安全设备协同防御，进而提高网络安全的防护效率。

参考图2，图2为本申请提供的一种面向异构安全设备的智能化协同防御的方法第二实施例的流程示意图。

基于上述第一实施例，在本实施例中，所述S30，包括：

S301：分别确定各目标日志数据对应的数据类型。

需要说明的是，可以从各目标日志数据中提取关键数据，之后根据关键数据从预设类型映射关系表中查找对应的数据类型，并将关键数据对应的数据类型作为目标日志数据对应的数据类型，其中预设类型映射关系表中存在多个关键数据和多个数据类型，关键数据与数据类型存在一一对应的关系。数据类型可以为资产漏洞类型，还可以为异常行为类型等。

S302：根据所述数据类型确定各目标日志数据对应的预设数据分析规则。

根据数据类型从预设分析规则映射关系表中查找对应的预设数据分析规则，其中，预设分析规则映射关系表中存在多个数据类型及多个预设数据分析规则，其中数据类型和预设数据分析规则为一一对应的关系。

根据数据类型确定各目标日志数据对应的预设数据分析规则的处理方式还可以为根据数据类型分别获取各目标日志数据的关联日志信息，之后根据关联日志信息确定数据维度信息，最后根据数据维度信息确定各目标日志数据对应的预设数据分析规则。

关联日志信息包括各目标日志数据的相关日志信息和历史日志数据等。之后基于相关日志信息及历史日志信息对目标日志数据进行分析，获得数据维度信息，该数据维度信息可以为资产漏洞信息，还可以为异常行为信息等。最后可以利用数据维度信息从预设规则映射关系表中查找对应的预设数据分析规则，其中，预设规则映射关系表中存在多个数据维度信息及多个预设数据分析规则，其中数据维度信息和预设数据分析规则为一一对应的关系等。

S303：根据所述预设数据分析规则对各目标日志数据分别进行威胁情报分析，获得各目标日志数据对应的安全事件及关联设备。

分别获取各目标日志数据对应的历史日志数据，根据预设数据分析规则对各目标日志数据及各目标日志数据对应的历史日志数据进行关联分析，获得各目标日志数据对应的告警信息，根据告警信息对各目标日志数据分别进行威胁情报分析，获得各目标日志数据对应的安全事件及关联设备。

需要说明的是，关联分析可以为资产成分分析、运行性能分析、脆弱性及风险分析及威胁分析等。关联分析还可以从多维度对威胁攻击进行全方位的检测和分析，关联分析支持深度关联奇安信终端安全响应系统(EDR)、网络威胁检测及响应(NDR)打点数据、告警，关联维度包括不限于终端网际互连协议、域名解析协议(Domain Name System，DNS)请求、传输控制协议(Transmission Control Protocol，TCP)、用户数据报协议(UserDatagramProtocol，UDP)会话信息、文件样本等。

根据告警信息对各目标日志数据分别进行威胁情报分析，获得各目标日志数据对应的安全事件及关联设备的处理方式可以为根据告警信息确定告警等级，根据告警等级对各目标日志数据分别进行威胁情报分析，获得各目标日志数据对应的安全事件及关联设备。

根据告警信息确定告警等级的处理方式可以为从告警信息中提取告警分值，之后根据告警分值从预设等级映射关系表中查找对应的告警等级，预设等级映射关系表中存在多个告警分值和多个告警等级。

根据告警等级对各目标日志数据分别进行威胁情报分析，获得各目标日志数据对应的安全事件及关联设备的处理方式可以为根据告警信息、告警等级、各目标日志数据及各目标日志数据对应的历史日志数据生成日志威胁攻击画像，之后根据日志威胁攻击画像对各目标日志数据分别进行场景化分析和/或威胁情报分析，全力保障组织机构信息安全，通过重构整个攻击场景获得各目标日志数据对应的安全事件及关联设备。场景化分析可以为攻击链分析、攻击影响分析、威胁分析及ATT&CK分析等。

从预设关联映射关系表中查找与安全事件对应的多个关联设备，其中预设关联映射关系表中存在多个安全事件和多个关联设备，安全事件与关联设备存在一一对应的关系。

在本实施例中，分别确定各目标日志数据对应的数据类型，之后根据数据类型确定各目标日志数据对应的预设数据分析规则，最后根据预设数据分析规则对各目标日志数据分别进行威胁情报分析，获得各目标日志数据对应的安全事件及关联设备，相较于现有技术中，采用固有的分析规则对日志数据进行分析，使得分析结果较为不精准，而本实施例中根据数据类型确定对应的数据分析规则，之后基于预设数据分析规则对日志数据进行威胁情报分析，获得各目标日志数据对应的安全事件及关联设备，从而精准确定日志数据相关的安全事件及关联设备，进而降低误报率。

参考图3，图3为本申请提供的一种面向异构安全设备的智能化协同防御的方法第三实施例的流程示意图。

基于上述第一实施例，在本实施例中，所述S40，包括：

S401：确定各安全事件对应的安全设备。

需要说明的是，每个安全事件均存在关联的安全设备，该安全设备可以对安全事件进行检测和分析等。

S402：判断所述安全设备与所述关联设备是否一致。

关联设备为目标日志数据关联的安全设备等。

S403：在所述安全设备与所述关联设备一致时，基于所述安全事件及所述关联设备对多个所述待处理日志数据进行协同防御。

在安全设备与关联设备一致时，根据安全事件确定事件类型，确定事件类型对应的事件危险等级，之后根据事件危险等级及关联设备对待处理日志数据进行协同防御。

还需要说明的是，在安全设备与关联设备不一致时，需要将安全设备与关联设备进行互补，将互补后的设备作为目标日志数据的关联设备等。

根据事件危险等级及关联设备对待处理日志数据进行协同防御的处理方式为根据事件危险等级确定预设防御策略，按照预设防御策略及关联设备多个对待处理日志数据进行协同防御。

预设防御策略可以为用户自定义设置，可以将全部关联设备同时启动进行协同防御，还可以根据安全事件的事件危险等级从多个关联设备中确定目标关联设备，将目标关联设备同时启动进行协同防御等。

例如目标日志数据存在相关的安全事件1和安全事件2，其中安全事件1对应的事件危险等级为高级，安全事件2对应的事件危险等级为低级，可以从多个关联设备中提取安全事件1对应的安全设备进行协同防御，还可以将全部关联设备同时启动进行协同防御等。

在本实施例中首先确定各安全事件对应的安全设备，判断安全设备与关联设备是否一致，在安全设备与关联设备一致时，基于安全事件及关联设备对多个待处理日志数据进行协同防御，相较于现有技术中仅仅根据日志数据对应的唯一安全设备进行处理，而本实施例中需要基于安全事件及关联设备对多个待处理日志数据进行跨维度、跨平台及跨区域协同防御。从而提高网络安全防护效率。

此外，本申请实施例还提出一种计算机可读存储介质，所述存储介质上存储有面向异构安全设备的智能化协同防御的程序，所述面向异构安全设备的智能化协同防御的程序被处理器执行时实现如上文所述的面向异构安全设备的智能化协同防御的方法的步骤。

参照图4，图4为本申请提供的一种面向异构安全设备的智能化协同防御的系统的结构框图，所述系统包括获取模块4001、转换模块4002、分析模块4003和防御模块4004：

所述获取模块4001，用于获取异构安全设备的多个待处理日志数据。

所述转换模块4002，用于按照预设数据规则分别对各待处理日志数据进行格式转换，获得多个目标日志数据。

所述分析模块4003，用于对多个所述目标日志数据分别进行威胁情报分析，获得各目标日志数据对应的安全事件及关联设备。

还应理解的是，还可以对目标日志数据进行场景化分析后可生成对应的安全事件，之后可以从预设关联映射关系表中查找与安全事件对应的多个关联设备，其中预设关联映射关系表中存在多个安全事件和多个关联设备，安全事件与关联设备存在一一对应的关系。场景化分析包括攻击链分析、攻击影响分析、威胁分析及ATT&CK分析等。

所述防御模块4004，用于基于所述安全事件及所述关联设备对多个所述待处理日志数据进行协同防御。

进一步地，所述分析模块4003，还用于分别确定各目标日志数据对应的数据类型；

所述分析模块4003，还用于根据所述数据类型确定各目标日志数据对应的预设数据分析规则；

所述分析模块4003，还用于根据所述预设数据分析规则对各目标日志数据分别进行威胁情报分析，获得各目标日志数据对应的安全事件及关联设备。

进一步地，所述分析模块4003，还用于根据所述数据类型分别获取各目标日志数据的关联日志信息；

所述分析模块4003，还用于根据所述关联日志信息确定数据维度信息；

所述分析模块4003，还用于根据所述数据维度信息确定各目标日志数据对应的预设数据分析规则。

进一步地，所述分析模块4003，还用于分别获取各目标日志数据对应的历史日志数据；

所述分析模块4003，还用于根据所述预设数据分析规则对各目标日志数据及各目标日志数据对应的历史日志数据进行关联分析，获得各目标日志数据对应的告警信息；

所述分析模块4003，还用于根据所述告警信息对各目标日志数据分别进行威胁情报分析，获得各目标日志数据对应的安全事件及关联设备。

进一步地，所述分析模块4003，还用于根据所述告警信息确定告警等级；

所述分析模块4003，还用于根据所述告警等级对各目标日志数据分别进行威胁情报分析，获得各目标日志数据对应的安全事件及关联设备。

进一步地，所述分析模块4003，还用于从所述告警信息中提取告警分值；

所述分析模块4003，还用于根据所述告警分值从预设等级映射关系表中查找对应的告警等级，所述预设等级映射关系表中存在多个告警分值和多个告警等级。

进一步地，所述分析模块4003，还用于根据所述告警信息、所述告警等级、各目标日志数据及各目标日志数据对应的历史日志数据生成日志威胁攻击画像；

所述分析模块4003，还用于根据所述日志威胁攻击画像对各目标日志数据分别进行威胁情报分析，获得各目标日志数据对应的安全事件及关联设备。

进一步地，所述面向异构安全设备的智能化协同防御的系统还包括：

生成模块，用于分别获取各目标日志数据对应的威胁分值；

所述生成模块，还用于根据所述威胁分值对多个安全事件进行排序，获得威胁排序结果；

所述生成模块，还用于根据所述威胁排序结果从多个所述安全事件中选取目标安全事件；

所述生成模块，还用于根据所述目标安全事件及对应的目标日志数据生成日志异常列表。

进一步地，所述防御模块4004，还用于确定各安全事件对应的安全设备；

所述防御模块4004，还用于判断所述安全设备与所述关联设备是否一致；

所述防御模块4004，还用于在所述安全设备与所述关联设备一致时，基于所述安全事件及所述关联设备对多个所述待处理日志数据进行协同防御。

本申请面向异构安全设备的智能化协同防御的系统的其他实施例或具体实现方式可参照上述各方法实施例，此处不再赘述。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。

上述本申请实施例序号仅仅为了描述，不代表实施例的优劣。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如只读存储器/随机存取存储器、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，或者网络设备等)执行本申请各个实施例所述的方法。

以上仅为本申请的优选实施例，并非因此限制本申请的专利范围，凡是利用本申请说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本申请的专利保护范围内。

Claims

1.一种面向异构安全设备的智能化协同防御的方法，其特征在于，所述面向异构安全设备的智能化协同防御的方法包括以下步骤：

基于所述安全事件及所述关联设备对多个所述待处理日志数据进行协同防御；

所述对多个所述目标日志数据分别进行威胁情报分析，获得各目标日志数据对应的安全事件及关联设备的步骤，包括：

分别确定各目标日志数据对应的数据类型，数据类型为资产漏洞类型或异常行为类型；

根据所述数据类型确定各目标日志数据对应的预设数据分析规则；资产漏洞类型对应的预设数据分析规则为对接资产探针获取资产扫描结果，按照业务系统、安全域、物理位置、组织机构和标签以多维度进行资产分组和管理，对接漏扫探针获取各类型漏洞信息并进行管理，提供资产与漏洞信息的关联并根据资产、漏洞信息以及受攻击状态对资产进行风险分析；异常行为类型对应的预设数据分析规则为对以人、资产和应用为维度的账号安全和数据安全场景，以及用户状态中的异常用户总数，活跃、关注用户数据，场景触发总数和日志总量进行分析；

根据所述预设数据分析规则对各目标日志数据分别进行威胁情报分析，获得各目标日志数据对应的安全事件及关联设备；

所述根据所述预设数据分析规则对各目标日志数据分别进行威胁情报分析，获得各目标日志数据对应的安全事件及关联设备的步骤，包括:

分别获取各目标日志数据对应的历史日志数据；

根据所述预设数据分析规则对各目标日志数据及各目标日志数据对应的历史日志数据进行关联分析，获得各目标日志数据对应的告警信息；

根据所述告警信息对各目标日志数据分别进行威胁情报分析，获得各目标日志数据对应的安全事件及关联设备。

2.根据权利要求1所述的方法，其特征在于，所述根据所述数据类型确定各目标日志数据对应的预设数据分析规则的步骤，包括：

根据所述数据类型分别获取各目标日志数据的关联日志信息；

根据所述关联日志信息确定数据维度信息；

根据所述数据维度信息确定各目标日志数据对应的预设数据分析规则。

3.根据权利要求1所述的方法，其特征在于，所述根据所述告警信息对各目标日志数据分别进行威胁情报分析，获得各目标日志数据对应的安全事件及关联设备的步骤，包括：

根据所述告警信息确定告警等级；

根据所述告警等级对各目标日志数据分别进行威胁情报分析，获得各目标日志数据对应的安全事件及关联设备。

4.根据权利要求3所述的方法，其特征在于，所述根据所述告警信息确定告警等级的步骤，包括：

从所述告警信息中提取告警分值；

根据所述告警分值从预设等级映射关系表中查找对应的告警等级，所述预设等级映射关系表中存在多个告警分值和多个告警等级。

5.根据权利要求3所述的方法，其特征在于，还包括：

根据所述告警信息、所述告警等级、各目标日志数据及各目标日志数据对应的历史日志数据生成日志威胁攻击画像；

则，所述根据所述告警等级对各目标日志数据分别进行威胁情报分析，获得各目标日志数据对应的安全事件及关联设备，包括：根据所述日志威胁攻击画像对各目标日志数据分别进行威胁情报分析，获得各目标日志数据对应的安全事件及关联设备。

6.根据权利要求1-5任一项所述的方法，其特征在于，还包括：

分别获取各目标日志数据对应的威胁分值；

根据所述威胁分值对多个安全事件进行排序，获得威胁排序结果；

根据所述威胁排序结果从多个所述安全事件中选取目标安全事件；

根据所述目标安全事件及对应的目标日志数据生成日志异常列表。

7.根据权利要求1-5任一项所述的方法，其特征在于，所述基于所述安全事件及所述关联设备对多个所述待处理日志数据进行协同防御的步骤，包括：

确定各安全事件对应的安全设备；

判断所述安全设备与所述关联设备是否一致；

在所述安全设备与所述关联设备一致时，基于所述安全事件及所述关联设备对多个所述待处理日志数据进行协同防御。

8.根据权利要求1-5任一项所述的方法，其特征在于，还包括：

确定所述安全事件的事件类型；

根据所述事件类型确定所述安全事件对应的事件危险等级；

则，所述基于所述安全事件及所述关联设备对多个所述待处理日志数据进行协同防御，包括：基于所述事件危险等级及所述关联设备对多个所述待处理日志数据进行协同防御。

9.根据权利要求8所述的方法，其特征在于，还包括：

根据所述事件危险等级确定所述安全事件的预设防御策略；

则，所述基于所述事件危险等级及所述关联设备对多个所述待处理日志数据进行协同防御，包括：基于所述预设防御策略及所述关联设备对多个所述待处理日志数据进行协同防御。

10.一种面向异构安全设备的智能化协同防御的系统，其特征在于，所述面向异构安全设备的智能化协同防御的系统包括：

获取模块，用于获取异构安全设备的多个待处理日志数据；所述异构安全设备为跨维度、跨平台和/或跨区域的安全设备；

转换模块，用于按照预设数据规则分别对各待处理日志数据进行格式转换，获得多个目标日志数据；

分析模块，用于对多个所述目标日志数据分别进行威胁情报分析，获得各目标日志数据对应的安全事件及关联设备；所述关联设备为所述目标日志数据关联的安全设备；

防御模块，用于基于所述安全事件及所述关联设备对多个所述待处理日志数据进行协同防御；

所述分析模块，还用于分别确定各目标日志数据对应的数据类型，数据类型为资产漏洞类型或异常行为类型；

所述分析模块，还用于根据所述数据类型确定各目标日志数据对应的预设数据分析规则；资产漏洞类型对应的预设数据分析规则为对接资产探针获取资产扫描结果，按照业务系统、安全域、物理位置、组织机构和标签以多维度进行资产分组和管理，对接漏扫探针获取各类型漏洞信息并进行管理，提供资产与漏洞信息的关联并根据资产、漏洞信息以及受攻击状态对资产进行风险分析；异常行为类型对应的预设数据分析规则为对以人、资产和应用为维度的账号安全和数据安全场景，以及用户状态中的异常用户总数，活跃、关注用户数据，场景触发总数和日志总量进行分析；

所述分析模块，还用于根据所述预设数据分析规则对各目标日志数据分别进行威胁情报分析，获得各目标日志数据对应的安全事件及关联设备；

所述分析模块，还用于分别获取各目标日志数据对应的历史日志数据；

所述分析模块，还用于根据所述预设数据分析规则对各目标日志数据及各目标日志数据对应的历史日志数据进行关联分析，获得各目标日志数据对应的告警信息；

所述分析模块，还用于根据所述告警信息对各目标日志数据分别进行威胁情报分析，获得各目标日志数据对应的安全事件及关联设备。

11.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质用于存储计算机程序，所述计算机程序用于执行权利要求1-9中任一项所述的方法。