CN114461864A - 一种告警溯源方法和装置 - Google Patents
一种告警溯源方法和装置 Download PDFInfo
- Publication number
- CN114461864A CN114461864A CN202111653675.2A CN202111653675A CN114461864A CN 114461864 A CN114461864 A CN 114461864A CN 202111653675 A CN202111653675 A CN 202111653675A CN 114461864 A CN114461864 A CN 114461864A
- Authority
- CN
- China
- Prior art keywords
- alarm
- security
- target
- entity
- entities
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 78
- 238000012545 processing Methods 0.000 claims abstract description 32
- 238000001514 detection method Methods 0.000 claims abstract description 24
- 238000004590 computer program Methods 0.000 claims description 21
- 238000000605 extraction Methods 0.000 claims description 7
- 238000013507 mapping Methods 0.000 claims description 6
- 238000010606 normalization Methods 0.000 claims description 6
- 238000010586 diagram Methods 0.000 description 9
- 238000004891 communication Methods 0.000 description 5
- 238000011144 upstream manufacturing Methods 0.000 description 4
- 238000012423 maintenance Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 231100000279 safety data Toxicity 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000013024 troubleshooting Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/903—Querying
- G06F16/90335—Query processing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/901—Indexing; Data structures therefor; Storage structures
- G06F16/9024—Graphs; Linked lists
Landscapes
- Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computational Linguistics (AREA)
- Alarm Systems (AREA)
Abstract
本发明提供一种告警溯源方法和装置,该方法包括:获取标准化日志,通过威胁检测组件实时处理所述标准化日志生成告警;通过所述告警获取对应的告警数据,对所述告警数据进行分析,得到对应的目标安全实体的描述信息,其中,所述告警数据中包括目标安全实体的描述信息;基于所述描述信息在安全事件图中进行查找,确定触发所述告警的目标安全实体,其中,所述安全事件图是基于安全实体以及安全实体之间的关系构建的,所述安全事件图中包括安全实体的描述信息;基于所述目标安全实体以及安全实体之间的关系生成所述告警对应的目标告警溯源信息。实现了通过构建安全事件图能够自动化获取告警溯源信息,提高了溯源的准确率。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种告警溯源方法和装置。
背景技术
现有技术中获取告警溯源采用日志检索的方案实现,比如,使用分布式的开源搜索和分析引擎检索安全日志。这种方式存在的缺陷是:由于日志检索的结果集较大,难以实现自动化并且获取的告警溯源信息的准确率较低。
发明内容
本发明提供一种告警溯源方法和装置,实现了通过构建安全事件图能够自动化获取告警溯源信息,提高了溯源的准确率。
第一方面,本发明实施例提供了一种告警溯源方法,包括:
获取标准化日志,通过威胁检测组件实时处理所述标准化日志生成告警;
通过所述告警获取对应的告警数据,对所述告警数据进行分析,得到对应的目标安全实体的描述信息,其中,所述告警数据中包括目标安全实体的描述信息;
基于所述描述信息在安全事件图中进行查找,确定触发所述告警的目标安全实体,其中,所述安全事件图是基于安全实体以及安全实体之间的关系构建的,所述安全事件图中包括安全实体的描述信息;
基于所述目标安全实体以及安全实体之间的关系生成所述告警对应的目标告警溯源信息。
根据本发明实施例提供的告警溯源方法,所述基于所述目标安全实体以及安全实体之间的关系生成所述告警对应的目标告警溯源信息,包括:
根据所述目标安全实体以及安全实体之间的关系,确定与所述目标安全实体关联的至少一个关联安全实体,并抽取所述目标安全实体与所述关联安全实体之间的目标关联关系;
根据所述目标安全实体、所述关联安全实体以及所述目标关联关系,生成所述告警对应的目标告警溯源信息。
根据本发明实施例提供的告警溯源方法,所述方法还包括:
对所述目标安全实体进行标识,生成目标告警标识;
将所述目标告警标识添加至安全事件图中。
根据本发明实施例提供的告警溯源方法,在生成所述目标告警溯源信息之后,所述方法还包括:
在接收到告警查询指令的情况下,通过所述告警查询指令中包括的第一告警标识在所述安全事件图中查找对应的第一安全实体;
基于所述第一安全实体以及安全实体之间的关系,获取所述告警查询指令对应的第一告警溯源信息。
根据本发明实施例提供的告警溯源方法,在生成所述目标告警溯源信息之后,所述方法还包括:
获取新生成的第二标准化日志,通过威胁检测组件实时处理所述第二标准化日志生成第二告警;
通过所述第二告警获取对应的第二告警数据,对所述第二告警数据进行分析,得到对应的第二安全实体的第二描述信息,其中,所述第二告警数据中包括第二安全实体的第二描述信息;
基于所述第二描述信息在所述安全事件图中进行查找,确定触发所述第二告警的第二安全实体;
在确定所述第二安全实体与目标安全实体相同的情况下,基于所述目标安全实体以及安全实体之间的关系生成所述第二告警对应的第二告警溯源信息。
根据本发明实施例提供的告警溯源方法,所述方法还包括:
对所述目标安全实体进行标识,生成至少一个第二告警标识;
将所述至少一个第二告警标识添加至安全事件图中。
根据本发明实施例提供的告警溯源方法,在所述获取标准化日志之前,包括:
获取原始日志,对所述原始日志执行原始日志标准化任务得到标准化日志,其中,所述原始日志标准化任务是通过流式处理的方式预先定义的,所述执行原始日志标准化任务是通过字段抽取、映射规则以及归一化处理的方式执行的。
根据本发明实施例提供的告警溯源方法,所述基于所述描述信息在安全事件图中进行查找之前,包括:
基于所述标准化日志提取安全实体以及安全实体之间的关系;
通过所述安全实体以及所述安全实体之间的关系构建安全事件图。
第二方面,本发明实施例提供了一种告警溯源装置,包括:
获取模块,用于获取标准化日志,通过威胁检测组件实时处理所述标准化日志生成告警;
分析模块,用于通过所述告警获取对应的告警数据,对所述告警数据进行分析,得到对应的目标安全实体的描述信息,其中,所述告警数据中包括目标安全实体的描述信息;
查找模块,用于基于所述描述信息在安全事件图中进行查找,确定触发所述告警的目标安全实体,其中,所述安全事件图是基于安全实体以及安全实体之间的关系构建的,所述安全事件图中包括安全实体的描述信息;
生成模块,用于基于所述目标安全实体以及安全实体之间的关系生成所述告警对应的目标告警溯源信息。
第三方面,本发明实施例提供了一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一项所述告警溯源方法的步骤。
第四方面,本发明实施例提供了一种非暂态计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如上述任一项所述告警溯源方法的步骤。
第五方面,本发明实施例提供了一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如上述任一项所述告警溯源方法的步骤。
本发明提供的一种告警溯源方法和装置,通过获取标准化日志,通过威胁检测组件实时处理标准化日志生成告警;然后通过告警获取对应的告警数据,在告警数据中包括目标安全实体的描述信息,因此对告警数据进行分析,得到对应的目标安全实体的描述信息;基于描述信息在安全事件图中进行查找,确定触发告警的目标安全实体,根据目标安全实体以及安全实体之间的关系生成告警对应的目标告警溯源信息。实现了通过构建安全事件图能够自动化获取告警溯源信息,提高了溯源的准确率。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种告警溯源方法的流程示意图;
图2是本发明实施例提供的构建的安全事件图的框图;
图3是本发明实施例提供的添加告警标识的流程示意图;
图4是本发明实施例提供的获取告警溯源信息的框图;
图5是本发明实施例提供的一种告警溯源装置的结构示意图;
图6是本发明提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供的一种告警溯源方法可以应用于XDR产品,XDR为扩展检测与响应,从网络传感器、端点传感器和云传感器中检索相应的数据,并集中管理所有安全数据的分析。
参照图1,为本发明实施例提供的一种告警溯源方法的流程示意图,包括:
110,获取标准化日志,通过威胁检测组件实时处理所述标准化日志生成告警。
该步骤中,威胁检测组件用于实时的处理标准化日志,具体地,由威胁检测组件对标准化日志与预存的检测规则进行匹配,若标准化日志与检测规则匹配成功,则生成告警。120,通过所述告警获取对应的告警数据,对所述告警数据进行分析,得到对应的目标安全实体的描述信息,其中,所述告警数据中包括目标安全实体的描述信息。
该步骤中,进行举例说明,比如,告警数据是关于网络连接的数据,对告警数据进行分析之后,得到描述信息,即与域名相关的信息。然后,通过该与域名相关的信息确定对应的域名,再通过申请域名与对应的网址建立连接。
130,基于所述描述信息在安全事件图中进行查找,确定触发所述告警的目标安全实体,其中,所述安全事件图是基于安全实体以及安全实体之间的关系构建的,所述安全事件图中包括安全实体的描述信息。
该步骤中,参照图2,为本发明实施例提供的构建的安全事件图的框图,在图中每个圆圈表示一个安全实体。可以看出,图2中的安全事件图包括多个安全实体,比如,企业、设备、联网进程等都表示安全实体。
140,基于所述目标安全实体以及安全实体之间的关系生成所述告警对应的目标告警溯源信息。
该步骤中,目标告警溯源信息包括触发告警的目标安全实体、与目标安全实体关联的安全实体以及安全实体之间的关系。
本发明提供的一种告警溯源方法,通过获取标准化日志,通过威胁检测组件实时处理标准化日志生成告警;然后通过告警获取对应的告警数据,在告警数据中包括目标安全实体的描述信息,因此对告警数据进行分析,得到对应的目标安全实体的描述信息;基于描述信息在安全事件图中进行查找,确定触发告警的目标安全实体,根据目标安全实体以及安全实体之间的关系生成告警对应的目标告警溯源信息。实现了通过构建安全事件图能够自动化获取告警溯源信息,提高了溯源的准确率。
基于上述任一实施例,所述步骤140具体包括下述步骤141~142:
141,根据目标安全实体以及安全实体之间的关系,确定与目标安全实体关联的至少一个关联安全实体,并抽取目标安全实体与关联安全实体之间的目标关联关系。
142,根据目标安全实体、关联安全实体以及目标关联关系,生成告警对应的目标告警溯源信息。
具体地,与目标安全实体关联的安全实体,既可以包括与目标安全实体直接关联的安全实体,也可以包括与目标安全实体间接关联的安全实体,这些安全实体可以被成为关联安全实体。
例如,目标安全实体为A1,与目标安全实体A1直接关联的上游关联安全实体为A2,与目标安全实体A1直接关联的下游关联安全实体为A3,与关联安全实体A2再次关联的上游关联安全实体为A4,目标安全实体A1和关联安全实体A4为间接关联,且A1~A4的关系均为触发关系,则生成的目标告警溯源信息包括:A4—触发—A2—触发—A1—触发—A3。
在上述任一实施中在确定目标安全实体后,还可以包括步骤A1-A2:
A1,对所述目标安全实体进行标识,生成目标告警标识。
A2,将所述目标告警标识添加至安全事件图中。
在上述步骤A1-A2中,在构建的安全事件图中已经包括了目标安全实体,因此只需要将后续目标安全实体产生的告警标识添加到安全事件图中,便可以在后续进行告警溯源时,直观地看到安全实体的告警情况。
基于上述任一实施例,在步骤140之后,所述方法还包括下述步骤1401~1402:
步骤1401,在接收到告警查询指令的情况下,通过所述告警查询指令中包括的第一告警标识在所述安全事件图中查找对应的第一安全实体。
该步骤中,应用的场景是在构建的安全事件图中已经存在了告警标识。当接收到告警查询指令的情况下,根据告警指令中的第一告警标识直接在安全事件图中进行查找,确定第一个告警标识对应的第一安全实体。
步骤1402,基于所述第一安全实体以及安全实体之间的关系,获取所述告警查询指令对应的第一告警溯源信息。
该步骤中,根据第一安全实体以及安全实体之间的关系,确定与第一安全实体关联的至少一个第一关联安全实体,并抽取第一安全实体与第一关联安全实体之间的第一关联关系;根据第一安全实体、第一关联安全实体以及第一关联关系,生成告警对应的第一告警溯源信息。
具体地,第一告警溯源信息包括:告警查询指令对应的第一安全实体、与第一安全实体关联的第一关联安全实体以及第一安全实体和第一关联安全实体之间的关系。
例如,第一安全实体为B1,与第一安全实体B1直接关联的上游第一关联安全实体为B2,与第一安全实体B1直接关联的下游第一关联安全实体为B3,与第一关联安全实体B2又关联的上游第一关联安全实体为B4,第一安全实体B1和第一关联安全实体B4为间接关联,且B1~B4的关系均为访问关系,则生成的第一告警溯源信息包括:B4—访问—B2—访问—B1—访问—B3。
步骤1401~1402可以理解为是一种获取同步溯源信息的过程。
基于上述任一实施例,在步骤140之后,所述方法还包括下述步骤S150~S180:
步骤S150,获取新生成的第二标准化日志,通过威胁检测组件实时处理所述第二标准化日志生成第二告警。
步骤S160,通过所述第二告警获取对应的第二告警数据,对所述第二告警数据进行分析,得到对应的第二安全实体的第二描述信息,其中,所述第二告警数据中包括第二安全实体的第二描述信息。
步骤S170,基于所述第二描述信息在所述安全事件图中进行查找,确定触发所述第二告警的第二安全实体。
步骤S180,在确定所述第二安全实体与目标安全实体相同的情况下,基于所述目标安全实体以及安全实体之间的关系生成所述第二告警对应的第二告警溯源信息。
具体地,在确定第二安全实体与目标安全实体相同的情况下,根据目标安全实体以及安全实体之间的关系,确定与目标安全实体关联的至少一个关联安全实体,并抽取目标安全实体与关联安全实体之间的目标关联关系;根据目标安全实体、关联安全实体以及目标关联关系,生成告警对应的目标告警溯源信息。
基于上述任一实施例,所述步骤S180具体包括下述步骤S1801~S1802:
步骤S1801,对所述目标安全实体进行标识,生成至少一个第二告警标识。
该步骤中,若第二安全实体与目标安全实体一致的情况下,说明在整个攻击事件中除了告警之外,还包括第二告警,并且第二告警至少为一个,对应的第二告警标识也为至少一个,告警和第二告警触发了相同的安全实体,即目标安全实体。
步骤S1802,将所述至少一个第二告警标识添加至安全事件图中。
该步骤中,在构建的安全事件图中已经包括了目标安全实体,因此需要将后续目标安全实体产生的第二告警标识添加到安全事件图中。
比如,参照图3,为本发明实施例提供的添加告警标识的流程示意图;图中有两个告警标识,进程2访问的URL命中了IOC触发了告警1,生成告警标识1同时获知到了进程2与告警1之间的关系。进程3往注册表中写启动项命中了IOA规则触发告警2,生成告警标识3同时获知到了进程2与告警2之间的关系。其中,IOA(Indicator of Attack)为攻击指标;IOC(Indicators of Compromise)为失陷指标。
进程2和进程3已经在安全事件图中,需要将触发进程2和进程3的告警标识添加到安全事件图中,即将“告警1”和“告警2”添加至安全事件图中。
基于上述任一实施例,在步骤110之前包括:
获取原始日志,对所述原始日志执行原始日志标准化任务得到标准化日志,其中,所述原始日志标准化任务是通过流式处理的方式预先定义的,所述执行原始日志标准化任务是通过字段抽取、映射规则以及归一化处理的方式执行的。
该步骤中,原始日志指的是IT系统产生的数据,它记录着设备、操作系统和应用软件的运行状态,是IT运维管理人员和安全管理人员日常运维排查故障、分析攻击溯源的重要依据。日志数据无处不在,它们时刻反映着信息系统内在的真实状况。
流式处理是指实时地处理一个或多个事件流,流式处理是一种编程范式,是一种思想。流的定义不依赖任何一个特定的框架、API或特性。只要持续地从一个无边界的数据集读取数据,然后对它们进行处理并生成结果,并且,整个处理过程是持续的。
进行字段抽取、映射规则以及归一化处理的方式是为了从基础数据中获取待创建的安全事件图中的安全实体以及安全实体间的相互关系。也可以理解为从原始数据(包括结构化数据或非结构化数据)中获取结构化的信息。
基于上述任一实施例,在步骤130之前包括131~132:
步骤131,基于所述标准化日志确定安全实体以及安全实体之间的关系。
步骤132,通过所述安全实体以及所述安全实体之间的关系构建安全事件图。
该步骤中,参考图2中,在图中“企业、设备、进程、父进程等”表示的是安全实体,“设备—属于—企业”其中的“属于”表示设备与企业两个安全实体的关系。
进一步的,对本发明实施例作补充说明,参照图4,为本发明实施例提供的获取告警溯源信息的框图,整个告警溯源过程是采用流式处理的方式,通过流式处理的方式预先定义任务,通过执行每一步的任务完成获取告警溯源信息这个过程。
(1)获取原始日志,通过执行预先定义的原始日志标准化任务,获取标准化日志,其中,具体是通过字段提取、映射规则以及归一化处理的方式得到标准化日志。
(2)流式处理的下一个任务是提取任务,基于标准化日志提取安全实体以及安全实体之间的关系,构建安全事件图,其中,安全事件图可以理解为一个图数据库,在图数据库中包括安全实体的描述信息。
(3)通过威胁检测组件实时处理标准化日志生成告警,获取对应的告警数据并进行分析,得到对应的目标安全实体的描述信息并在安全事件图中进行查找确定触发告警的目标安全实体。
(4)根据目标安全实体以及安全实体之间的关系,确定与目标安全实体关联的至少一个关联安全实体,并抽取目标安全实体与关联安全实体之间的目标关联关系,根据目标安全实体、关联安全实体以及目标关联关系,生成告警对应的目标告警溯源信息,并且,对目标安全实体进行标识生成目标告警标识,并把目标告警标识添加至安全事件图中。
(5)若存在同步溯源的情况,直接根据告警指令中的第一告警标识在安全事件图中进行查找,确定第一个告警标识对应的第一安全实体,通过第一安全实体以及安全实体之间的关系能够获知到第一告警溯源信息。
(6)若存在异步溯源的情况,即告警和第二告警触发了相同的安全实体也就是目标安全实体,基于目标安全实体以及安全实体之间的关系生成第二告警对应的第二告警溯源信息,并对新生成的第二告警进行标识,得到第二告警标识,把第二告警标识添加至安全事件图中。
本发明实施例基于海量的原始日志确定安全实体和安全实体之间的关系,结合威胁检测组件实时处理生成第二告警构建安全事件图,能够自动化的获取告警溯源信息。
下面对本发明提供的一种告警溯源装置进行描述,下文描述的一种告警溯源装置与上文描述的一种告警溯源方法可相互对应参照。
参照图5,为本发明实施例提供的一种告警溯源装置的结构示意图,包括:
获取模块510,用于获取标准化日志,通过威胁检测组件实时处理所述标准化日志生成告警;
分析模块520,用于通过所述告警获取对应的告警数据,对所述告警数据进行分析,得到对应的目标安全实体的描述信息,其中,所述告警数据中包括目标安全实体的描述信息;
查找模块530,用于基于所述描述信息在安全事件图中进行查找,确定触发所述告警的目标安全实体,其中,所述安全事件图是基于安全实体以及安全实体之间的关系构建的,所述安全事件图中包括安全实体的描述信息;
生成模块540,用于基于所述目标安全实体以及安全实体之间的关系生成所述告警对应的目标告警溯源信息。
本发明提供的一种告警溯源装置,通过获取标准化日志,通过威胁检测组件实时处理标准化日志生成告警;然后通过告警获取对应的告警数据,在告警数据中包括目标安全实体的描述信息,因此对告警数据进行分析,得到对应的目标安全实体的描述信息;基于描述信息在安全事件图中进行查找,确定触发告警的目标安全实体,根据目标安全实体以及安全实体之间的关系生成告警对应的目标告警溯源信息。实现了通过构建安全事件图能够自动化获取告警溯源信息,提高了溯源的准确率。
基于上述任一实施例,所述生成模块540具体用于:
根据所述目标安全实体以及安全实体之间的关系,确定与所述目标安全实体关联的至少一个关联安全实体,并抽取所述目标安全实体与所述关联安全实体之间的目标关联关系;
根据所述目标安全实体、所述关联安全实体以及所述目标关联关系,生成所述告警对应的目标告警溯源信息。
基于上述任一实施例,所述装置还包括:
第一标识模块,用于对所述目标安全实体进行标识,生成目标告警标识;
第一添加模块,用于将所述目标告警标识添加至安全事件图中。
基于上述任一实施例,在生成所述目标告警溯源信息之后,所述装置还包括:
接收单元,用于在接收到告警查询指令的情况下,通过所述告警查询指令中包括的第一告警标识在所述安全事件图中查找对应的第一安全实体;
第一获取单元,用于基于所述第一安全实体以及安全实体之间的关系,获取所述告警查询指令对应的第一告警溯源信息。
基于上述任一实施例,在生成所述目标告警溯源信息之后,所述装置还包括:
第二获取单元,用于获取新生成的第二标准化日志,通过威胁检测组件实时处理所述第二标准化日志生成第二告警;
分析单元,用于通过所述第二告警获取对应的第二告警数据,对所述第二告警数据进行分析,得到对应的第二安全实体的第二描述信息,其中,所述第二告警数据中包括第二安全实体的第二描述信息;
查找单元,用于基于所述第二描述信息在所述安全事件图中进行查找,确定触发所述第二告警的第二安全实体;
生成单元,用于在确定所述第二安全实体与目标安全实体相同的情况下,基于所述目标安全实体以及安全实体之间的关系生成所述第二告警对应的第二告警溯源信息。
基于上述任一实施例,所述装置还包括:
第二标识模块,用于对所述目标安全实体进行标识,生成至少一个第二告警标识;
第二添加模块,用于将所述第二告警标识添加至安全事件图中。
基于上述任一实施例,在获取模块510之前包括:
执行模块,用于获取原始日志,对所述原始日志执行原始日志标准化任务得到标准化日志,其中,所述原始日志标准化任务是通过流式处理的方式预先定义的,所述执行原始日志标准化任务是通过字段抽取、映射规则以及归一化处理的方式执行的。
基于上述任一实施例,所述查找模块530,用于:
基于所述标准化日志确定安全实体以及安全实体之间的关系;
通过所述安全实体以及所述安全实体之间的关系构建安全事件图。
图6示例了一种电子设备的实体结构示意图,如图6所示,该电子设备可以包括:处理器(processor)610、通信接口(Communications Interface)620、存储器(memory)630和通信总线640,其中,处理器610,通信接口620,存储器630通过通信总线640完成相互间的通信。处理器610可以调用存储器630中的逻辑指令,以执行一种告警溯源方法,包括:获取标准化日志,通过威胁检测组件实时处理所述标准化日志生成告警;通过所述告警获取对应的告警数据,对所述告警数据进行分析,得到对应的目标安全实体的描述信息,其中,所述告警数据中包括目标安全实体的描述信息;基于所述描述信息在安全事件图中进行查找,确定触发所述告警的目标安全实体,其中,所述安全事件图是基于安全实体以及安全实体之间的关系构建的,所述安全事件图中包括安全实体的描述信息;基于所述目标安全实体以及安全实体之间的关系生成所述告警对应的目标告警溯源信息。
此外,上述的存储器630中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括计算机程序,计算机程序可存储在非暂态计算机可读存储介质上,所述计算机程序被处理器执行时,计算机能够执行上述各方法所提供的一种告警溯源方法,包括:获取标准化日志,通过威胁检测组件实时处理所述标准化日志生成告警;通过所述告警获取对应的告警数据,对所述告警数据进行分析,得到对应的目标安全实体的描述信息,其中,所述告警数据中包括目标安全实体的描述信息;基于所述描述信息在安全事件图中进行查找,确定触发所述告警的目标安全实体,其中,所述安全事件图是基于安全实体以及安全实体之间的关系构建的,所述安全事件图中包括安全实体的描述信息;基于所述目标安全实体以及安全实体之间的关系生成所述告警对应的目标告警溯源信息。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各方法提供的一种告警溯源方法,包括:获取标准化日志,通过威胁检测组件实时处理所述标准化日志生成告警;通过所述告警获取对应的告警数据,对所述告警数据进行分析,得到对应的目标安全实体的描述信息,其中,所述告警数据中包括目标安全实体的描述信息;基于所述描述信息在安全事件图中进行查找,确定触发所述告警的目标安全实体,其中,所述安全事件图是基于安全实体以及安全实体之间的关系构建的,所述安全事件图中包括安全实体的描述信息;基于所述目标安全实体以及安全实体之间的关系生成所述告警对应的目标告警溯源信息。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (12)
1.一种告警溯源方法,其特征在于,包括:
获取标准化日志,通过威胁检测组件实时处理所述标准化日志生成告警;
通过所述告警获取对应的告警数据,对所述告警数据进行分析,得到对应的目标安全实体的描述信息,其中,所述告警数据中包括目标安全实体的描述信息;
基于所述描述信息在安全事件图中进行查找,确定触发所述告警的目标安全实体,其中,所述安全事件图是基于安全实体以及安全实体之间的关系构建的,所述安全事件图中包括安全实体的描述信息;
基于所述目标安全实体以及安全实体之间的关系生成所述告警对应的目标告警溯源信息。
2.根据权利要求1所述的告警溯源方法,其特征在于,所述基于所述目标安全实体以及安全实体之间的关系生成所述告警对应的目标告警溯源信息,包括:
根据所述目标安全实体以及安全实体之间的关系,确定与所述目标安全实体关联的至少一个关联安全实体,并抽取所述目标安全实体与所述关联安全实体之间的目标关联关系;
根据所述目标安全实体、所述关联安全实体以及所述目标关联关系,生成所述告警对应的目标告警溯源信息。
3.根据权利要求2所述的告警溯源方法,其特征在于,所述方法还包括:
对所述目标安全实体进行标识,生成目标告警标识;
将所述目标告警标识添加至安全事件图中。
4.根据权利要求3所述的告警溯源方法,其特征在于,在生成所述目标告警溯源信息之后,所述方法还包括:
在接收到告警查询指令的情况下,通过所述告警查询指令中包括的第一告警标识在所述安全事件图中查找对应的第一安全实体;
基于所述第一安全实体以及安全实体之间的关系,获取所述告警查询指令对应的第一告警溯源信息。
5.根据权利要求2所述的告警溯源方法,其特征在于,在生成所述目标告警溯源信息之后,所述方法还包括:
获取新生成的第二标准化日志,通过威胁检测组件实时处理所述第二标准化日志生成第二告警;
通过所述第二告警获取对应的第二告警数据,对所述第二告警数据进行分析,得到对应的第二安全实体的第二描述信息,其中,所述第二告警数据中包括第二安全实体的第二描述信息;
基于所述第二描述信息在所述安全事件图中进行查找,确定触发所述第二告警的第二安全实体;
在确定所述第二安全实体与目标安全实体相同的情况下,基于所述目标安全实体以及安全实体之间的关系生成所述第二告警对应的第二告警溯源信息。
6.根据权利要求5所述的告警溯源方法,其特征在于,所述方法还包括:
对所述目标安全实体进行标识,生成至少一个第二告警标识;
将所述至少一个第二告警标识添加至安全事件图中。
7.根据权利要求1所述的告警溯源方法,其特征在于,在所述获取标准化日志之前,包括:
获取原始日志,对所述原始日志执行原始日志标准化任务得到标准化日志,其中,所述原始日志标准化任务是通过流式处理的方式预先定义的,所述执行原始日志标准化任务是通过字段抽取、映射规则以及归一化处理的方式执行的。
8.根据权利要求1所述的告警溯源方法,其特征在于,所述基于所述描述信息在安全事件图中进行查找之前,包括:
基于所述标准化日志提取安全实体以及安全实体之间的关系;
通过所述安全实体以及所述安全实体之间的关系构建安全事件图。
9.一种告警溯源装置,其特征在于,包括:
获取模块,用于获取标准化日志,通过威胁检测组件实时处理所述标准化日志生成告警;
分析模块,用于通过所述告警获取对应的告警数据,对所述告警数据进行分析,得到对应的目标安全实体的描述信息,其中,所述告警数据中包括目标安全实体的描述信息;
查找模块,用于基于所述描述信息在安全事件图中进行查找,确定触发所述告警的目标安全实体,其中,所述安全事件图是基于安全实体以及安全实体之间的关系构建的,所述安全事件图中包括安全实体的描述信息;
生成模块,用于基于所述目标安全实体以及安全实体之间的关系生成所述告警对应的目标告警溯源信息。
10.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至8任一项所述告警溯源方法的步骤。
11.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至8任一项所述告警溯源方法的步骤。
12.一种计算机程序产品,包括计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至8任一项所述告警溯源方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111653675.2A CN114461864A (zh) | 2021-12-30 | 2021-12-30 | 一种告警溯源方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111653675.2A CN114461864A (zh) | 2021-12-30 | 2021-12-30 | 一种告警溯源方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114461864A true CN114461864A (zh) | 2022-05-10 |
Family
ID=81406745
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111653675.2A Pending CN114461864A (zh) | 2021-12-30 | 2021-12-30 | 一种告警溯源方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114461864A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114915485A (zh) * | 2022-05-31 | 2022-08-16 | 阿里云计算有限公司 | 基于ueba的异常行为分析方法及装置 |
| CN116910478A (zh) * | 2023-07-14 | 2023-10-20 | 西安科技大学 | 一种锂离子电池事故溯源方法及系统 |
-
2021
- 2021-12-30 CN CN202111653675.2A patent/CN114461864A/zh active Pending
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114915485A (zh) * | 2022-05-31 | 2022-08-16 | 阿里云计算有限公司 | 基于ueba的异常行为分析方法及装置 |
| CN116910478A (zh) * | 2023-07-14 | 2023-10-20 | 西安科技大学 | 一种锂离子电池事故溯源方法及系统 |
| CN116910478B (zh) * | 2023-07-14 | 2024-01-30 | 西安科技大学 | 一种锂离子电池事故溯源方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108881294B (zh) | 基于网络攻击行为的攻击源ip画像生成方法以及装置 | |
| US10505986B1 (en) | Sensor based rules for responding to malicious activity | |
| CN112131882A (zh) | 一种多源异构网络安全知识图谱构建方法及装置 | |
| CN111680068B (zh) | 一种校验方法、装置、设备及存储介质 | |
| CN113489713B (zh) | 网络攻击的检测方法、装置、设备及存储介质 | |
| WO2020244307A1 (zh) | 一种漏洞检测方法及装置 | |
| CN114461864A (zh) | 一种告警溯源方法和装置 | |
| CN111177779B (zh) | 数据库审计方法、其装置、电子设备及计算机存储介质 | |
| CN107241296A (zh) | 一种Webshell的检测方法及装置 | |
| CN112532624B (zh) | 一种黑链检测方法、装置、电子设备及可读存储介质 | |
| CN114531259A (zh) | 攻击结果检测方法、装置、系统、计算机设备和介质 | |
| CN108234426B (zh) | Apt攻击告警方法和apt攻击告警装置 | |
| CN112153062B (zh) | 基于多维度的可疑终端设备检测方法及系统 | |
| CN113132311A (zh) | 异常访问检测方法、装置和设备 | |
| CN108040036A (zh) | 一种行业云Webshell安全防护方法 | |
| CN113886829A (zh) | 一种失陷主机检测方法、装置、电子设备及存储介质 | |
| CN117254983A (zh) | 涉诈网址检测方法、装置、设备及存储介质 | |
| CN115706669A (zh) | 网络安全态势预测方法及系统 | |
| CN108234484A (zh) | 用于追溯木马源的计算机可读存储介质和应用该介质的木马源追溯系统 | |
| CN117033552A (zh) | 情报评价方法、装置、电子设备及存储介质 | |
| CN110493254A (zh) | 工业云安全评估方法及装置 | |
| CN115643044A (zh) | 数据处理方法、装置、服务器及存储介质 | |
| CN115361182A (zh) | 一种僵尸网络行为分析方法、装置、电子设备及介质 | |
| CN117294527B (zh) | 一种攻击判定方法、装置、存储介质及设备 | |
| CN110166421B (zh) | 基于日志监控的入侵控制方法、装置及终端设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Country or region after: China Address after: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Applicant after: QAX Technology Group Inc. Applicant after: Qianxin Wangshen information technology (Beijing) Co.,Ltd. Address before: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Applicant before: QAX Technology Group Inc. Country or region before: China Applicant before: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. |
|
| CB02 | Change of applicant information |