发明内容
本发明提供一种告警溯源方法和装置,实现了通过构建安全事件图能够自动化获取告警溯源信息,提高了溯源的准确率。
第一方面,本发明实施例提供了一种告警溯源方法,包括:
获取标准化日志,通过威胁检测组件实时处理所述标准化日志生成告警;
通过所述告警获取对应的告警数据,对所述告警数据进行分析,得到对应的目标安全实体的描述信息,其中,所述告警数据中包括目标安全实体的描述信息;
基于所述描述信息在安全事件图中进行查找,确定触发所述告警的目标安全实体,其中,所述安全事件图是基于安全实体以及安全实体之间的关系构建的,所述安全事件图中包括安全实体的描述信息;
基于所述目标安全实体以及安全实体之间的关系生成所述告警对应的目标告警溯源信息。
根据本发明实施例提供的告警溯源方法,所述基于所述目标安全实体以及安全实体之间的关系生成所述告警对应的目标告警溯源信息,包括:
根据所述目标安全实体以及安全实体之间的关系,确定与所述目标安全实体关联的至少一个关联安全实体,并抽取所述目标安全实体与所述关联安全实体之间的目标关联关系;
根据所述目标安全实体、所述关联安全实体以及所述目标关联关系,生成所述告警对应的目标告警溯源信息。
根据本发明实施例提供的告警溯源方法,所述方法还包括:
对所述目标安全实体进行标识,生成目标告警标识;
将所述目标告警标识添加至安全事件图中。
根据本发明实施例提供的告警溯源方法,在生成所述目标告警溯源信息之后,所述方法还包括:
在接收到告警查询指令的情况下,通过所述告警查询指令中包括的第一告警标识在所述安全事件图中查找对应的第一安全实体;
基于所述第一安全实体以及安全实体之间的关系,获取所述告警查询指令对应的第一告警溯源信息。
根据本发明实施例提供的告警溯源方法,在生成所述目标告警溯源信息之后,所述方法还包括:
获取新生成的第二标准化日志,通过威胁检测组件实时处理所述第二标准化日志生成第二告警;
通过所述第二告警获取对应的第二告警数据,对所述第二告警数据进行分析,得到对应的第二安全实体的第二描述信息,其中,所述第二告警数据中包括第二安全实体的第二描述信息;
基于所述第二描述信息在所述安全事件图中进行查找,确定触发所述第二告警的第二安全实体;
在确定所述第二安全实体与目标安全实体相同的情况下,基于所述目标安全实体以及安全实体之间的关系生成所述第二告警对应的第二告警溯源信息。
根据本发明实施例提供的告警溯源方法,所述方法还包括:
对所述目标安全实体进行标识,生成至少一个第二告警标识;
将所述至少一个第二告警标识添加至安全事件图中。
根据本发明实施例提供的告警溯源方法,在所述获取标准化日志之前,包括:
获取原始日志,对所述原始日志执行原始日志标准化任务得到标准化日志,其中,所述原始日志标准化任务是通过流式处理的方式预先定义的,所述执行原始日志标准化任务是通过字段抽取、映射规则以及归一化处理的方式执行的。
根据本发明实施例提供的告警溯源方法,所述基于所述描述信息在安全事件图中进行查找之前,包括:
基于所述标准化日志提取安全实体以及安全实体之间的关系;
通过所述安全实体以及所述安全实体之间的关系构建安全事件图。
第二方面,本发明实施例提供了一种告警溯源装置,包括:
获取模块,用于获取标准化日志,通过威胁检测组件实时处理所述标准化日志生成告警;
分析模块,用于通过所述告警获取对应的告警数据,对所述告警数据进行分析,得到对应的目标安全实体的描述信息,其中,所述告警数据中包括目标安全实体的描述信息;
查找模块,用于基于所述描述信息在安全事件图中进行查找,确定触发所述告警的目标安全实体,其中,所述安全事件图是基于安全实体以及安全实体之间的关系构建的,所述安全事件图中包括安全实体的描述信息;
生成模块,用于基于所述目标安全实体以及安全实体之间的关系生成所述告警对应的目标告警溯源信息。
第三方面,本发明实施例提供了一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一项所述告警溯源方法的步骤。
第四方面,本发明实施例提供了一种非暂态计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如上述任一项所述告警溯源方法的步骤。
第五方面,本发明实施例提供了一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如上述任一项所述告警溯源方法的步骤。
本发明提供的一种告警溯源方法和装置,通过获取标准化日志,通过威胁检测组件实时处理标准化日志生成告警;然后通过告警获取对应的告警数据,在告警数据中包括目标安全实体的描述信息,因此对告警数据进行分析,得到对应的目标安全实体的描述信息;基于描述信息在安全事件图中进行查找,确定触发告警的目标安全实体,根据目标安全实体以及安全实体之间的关系生成告警对应的目标告警溯源信息。实现了通过构建安全事件图能够自动化获取告警溯源信息,提高了溯源的准确率。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供的一种告警溯源方法可以应用于XDR产品,XDR为扩展检测与响应,从网络传感器、端点传感器和云传感器中检索相应的数据,并集中管理所有安全数据的分析。
参照图1,为本发明实施例提供的一种告警溯源方法的流程示意图,包括:
110,获取标准化日志,通过威胁检测组件实时处理所述标准化日志生成告警。
该步骤中,威胁检测组件用于实时的处理标准化日志,具体地,由威胁检测组件对标准化日志与预存的检测规则进行匹配,若标准化日志与检测规则匹配成功,则生成告警。120,通过所述告警获取对应的告警数据,对所述告警数据进行分析,得到对应的目标安全实体的描述信息,其中,所述告警数据中包括目标安全实体的描述信息。
该步骤中,进行举例说明,比如,告警数据是关于网络连接的数据,对告警数据进行分析之后,得到描述信息,即与域名相关的信息。然后,通过该与域名相关的信息确定对应的域名,再通过申请域名与对应的网址建立连接。
130,基于所述描述信息在安全事件图中进行查找,确定触发所述告警的目标安全实体,其中,所述安全事件图是基于安全实体以及安全实体之间的关系构建的,所述安全事件图中包括安全实体的描述信息。
该步骤中,参照图2,为本发明实施例提供的构建的安全事件图的框图,在图中每个圆圈表示一个安全实体。可以看出,图2中的安全事件图包括多个安全实体,比如,企业、设备、联网进程等都表示安全实体。
140,基于所述目标安全实体以及安全实体之间的关系生成所述告警对应的目标告警溯源信息。
该步骤中,目标告警溯源信息包括触发告警的目标安全实体、与目标安全实体关联的安全实体以及安全实体之间的关系。
本发明提供的一种告警溯源方法,通过获取标准化日志,通过威胁检测组件实时处理标准化日志生成告警;然后通过告警获取对应的告警数据,在告警数据中包括目标安全实体的描述信息,因此对告警数据进行分析,得到对应的目标安全实体的描述信息;基于描述信息在安全事件图中进行查找,确定触发告警的目标安全实体,根据目标安全实体以及安全实体之间的关系生成告警对应的目标告警溯源信息。实现了通过构建安全事件图能够自动化获取告警溯源信息,提高了溯源的准确率。
基于上述任一实施例,所述步骤140具体包括下述步骤141~142:
141,根据目标安全实体以及安全实体之间的关系,确定与目标安全实体关联的至少一个关联安全实体,并抽取目标安全实体与关联安全实体之间的目标关联关系。
142,根据目标安全实体、关联安全实体以及目标关联关系,生成告警对应的目标告警溯源信息。
具体地,与目标安全实体关联的安全实体,既可以包括与目标安全实体直接关联的安全实体,也可以包括与目标安全实体间接关联的安全实体,这些安全实体可以被成为关联安全实体。
例如,目标安全实体为A1,与目标安全实体A1直接关联的上游关联安全实体为A2,与目标安全实体A1直接关联的下游关联安全实体为A3,与关联安全实体A2再次关联的上游关联安全实体为A4,目标安全实体A1和关联安全实体A4为间接关联,且A1~A4的关系均为触发关系,则生成的目标告警溯源信息包括:A4—触发—A2—触发—A1—触发—A3。
在上述任一实施中在确定目标安全实体后,还可以包括步骤A1-A2:
A1,对所述目标安全实体进行标识,生成目标告警标识。
A2,将所述目标告警标识添加至安全事件图中。
在上述步骤A1-A2中,在构建的安全事件图中已经包括了目标安全实体,因此只需要将后续目标安全实体产生的告警标识添加到安全事件图中,便可以在后续进行告警溯源时,直观地看到安全实体的告警情况。
基于上述任一实施例,在步骤140之后,所述方法还包括下述步骤1401~1402:
步骤1401,在接收到告警查询指令的情况下,通过所述告警查询指令中包括的第一告警标识在所述安全事件图中查找对应的第一安全实体。
该步骤中,应用的场景是在构建的安全事件图中已经存在了告警标识。当接收到告警查询指令的情况下,根据告警指令中的第一告警标识直接在安全事件图中进行查找,确定第一个告警标识对应的第一安全实体。
步骤1402,基于所述第一安全实体以及安全实体之间的关系,获取所述告警查询指令对应的第一告警溯源信息。
该步骤中,根据第一安全实体以及安全实体之间的关系,确定与第一安全实体关联的至少一个第一关联安全实体,并抽取第一安全实体与第一关联安全实体之间的第一关联关系;根据第一安全实体、第一关联安全实体以及第一关联关系,生成告警对应的第一告警溯源信息。
具体地,第一告警溯源信息包括:告警查询指令对应的第一安全实体、与第一安全实体关联的第一关联安全实体以及第一安全实体和第一关联安全实体之间的关系。
例如,第一安全实体为B1,与第一安全实体B1直接关联的上游第一关联安全实体为B2,与第一安全实体B1直接关联的下游第一关联安全实体为B3,与第一关联安全实体B2又关联的上游第一关联安全实体为B4,第一安全实体B1和第一关联安全实体B4为间接关联,且B1~B4的关系均为访问关系,则生成的第一告警溯源信息包括:B4—访问—B2—访问—B1—访问—B3。
步骤1401~1402可以理解为是一种获取同步溯源信息的过程。
基于上述任一实施例,在步骤140之后,所述方法还包括下述步骤S150~S180:
步骤S150,获取新生成的第二标准化日志,通过威胁检测组件实时处理所述第二标准化日志生成第二告警。
步骤S160,通过所述第二告警获取对应的第二告警数据,对所述第二告警数据进行分析,得到对应的第二安全实体的第二描述信息,其中,所述第二告警数据中包括第二安全实体的第二描述信息。
步骤S170,基于所述第二描述信息在所述安全事件图中进行查找,确定触发所述第二告警的第二安全实体。
步骤S180,在确定所述第二安全实体与目标安全实体相同的情况下,基于所述目标安全实体以及安全实体之间的关系生成所述第二告警对应的第二告警溯源信息。
具体地,在确定第二安全实体与目标安全实体相同的情况下,根据目标安全实体以及安全实体之间的关系,确定与目标安全实体关联的至少一个关联安全实体,并抽取目标安全实体与关联安全实体之间的目标关联关系;根据目标安全实体、关联安全实体以及目标关联关系,生成告警对应的目标告警溯源信息。
基于上述任一实施例,所述步骤S180具体包括下述步骤S1801~S1802:
步骤S1801,对所述目标安全实体进行标识,生成至少一个第二告警标识。
该步骤中,若第二安全实体与目标安全实体一致的情况下,说明在整个攻击事件中除了告警之外,还包括第二告警,并且第二告警至少为一个,对应的第二告警标识也为至少一个,告警和第二告警触发了相同的安全实体,即目标安全实体。
步骤S1802,将所述至少一个第二告警标识添加至安全事件图中。
该步骤中,在构建的安全事件图中已经包括了目标安全实体,因此需要将后续目标安全实体产生的第二告警标识添加到安全事件图中。
比如,参照图3,为本发明实施例提供的添加告警标识的流程示意图;图中有两个告警标识,进程2访问的URL命中了IOC触发了告警1,生成告警标识1同时获知到了进程2与告警1之间的关系。进程3往注册表中写启动项命中了IOA规则触发告警2,生成告警标识3同时获知到了进程2与告警2之间的关系。其中,IOA(Indicator of Attack)为攻击指标;IOC(Indicators of Compromise)为失陷指标。
进程2和进程3已经在安全事件图中,需要将触发进程2和进程3的告警标识添加到安全事件图中,即将“告警1”和“告警2”添加至安全事件图中。
基于上述任一实施例,在步骤110之前包括:
获取原始日志,对所述原始日志执行原始日志标准化任务得到标准化日志,其中,所述原始日志标准化任务是通过流式处理的方式预先定义的,所述执行原始日志标准化任务是通过字段抽取、映射规则以及归一化处理的方式执行的。
该步骤中,原始日志指的是IT系统产生的数据,它记录着设备、操作系统和应用软件的运行状态,是IT运维管理人员和安全管理人员日常运维排查故障、分析攻击溯源的重要依据。日志数据无处不在,它们时刻反映着信息系统内在的真实状况。
流式处理是指实时地处理一个或多个事件流,流式处理是一种编程范式,是一种思想。流的定义不依赖任何一个特定的框架、API或特性。只要持续地从一个无边界的数据集读取数据,然后对它们进行处理并生成结果,并且,整个处理过程是持续的。
进行字段抽取、映射规则以及归一化处理的方式是为了从基础数据中获取待创建的安全事件图中的安全实体以及安全实体间的相互关系。也可以理解为从原始数据(包括结构化数据或非结构化数据)中获取结构化的信息。
基于上述任一实施例,在步骤130之前包括131~132:
步骤131,基于所述标准化日志确定安全实体以及安全实体之间的关系。
步骤132,通过所述安全实体以及所述安全实体之间的关系构建安全事件图。
该步骤中,参考图2中,在图中“企业、设备、进程、父进程等”表示的是安全实体,“设备—属于—企业”其中的“属于”表示设备与企业两个安全实体的关系。
进一步的,对本发明实施例作补充说明,参照图4,为本发明实施例提供的获取告警溯源信息的框图,整个告警溯源过程是采用流式处理的方式,通过流式处理的方式预先定义任务,通过执行每一步的任务完成获取告警溯源信息这个过程。
(1)获取原始日志,通过执行预先定义的原始日志标准化任务,获取标准化日志,其中,具体是通过字段提取、映射规则以及归一化处理的方式得到标准化日志。
(2)流式处理的下一个任务是提取任务,基于标准化日志提取安全实体以及安全实体之间的关系,构建安全事件图,其中,安全事件图可以理解为一个图数据库,在图数据库中包括安全实体的描述信息。
(3)通过威胁检测组件实时处理标准化日志生成告警,获取对应的告警数据并进行分析,得到对应的目标安全实体的描述信息并在安全事件图中进行查找确定触发告警的目标安全实体。
(4)根据目标安全实体以及安全实体之间的关系,确定与目标安全实体关联的至少一个关联安全实体,并抽取目标安全实体与关联安全实体之间的目标关联关系,根据目标安全实体、关联安全实体以及目标关联关系,生成告警对应的目标告警溯源信息,并且,对目标安全实体进行标识生成目标告警标识,并把目标告警标识添加至安全事件图中。
(5)若存在同步溯源的情况,直接根据告警指令中的第一告警标识在安全事件图中进行查找,确定第一个告警标识对应的第一安全实体,通过第一安全实体以及安全实体之间的关系能够获知到第一告警溯源信息。
(6)若存在异步溯源的情况,即告警和第二告警触发了相同的安全实体也就是目标安全实体,基于目标安全实体以及安全实体之间的关系生成第二告警对应的第二告警溯源信息,并对新生成的第二告警进行标识,得到第二告警标识,把第二告警标识添加至安全事件图中。
本发明实施例基于海量的原始日志确定安全实体和安全实体之间的关系,结合威胁检测组件实时处理生成第二告警构建安全事件图,能够自动化的获取告警溯源信息。
下面对本发明提供的一种告警溯源装置进行描述,下文描述的一种告警溯源装置与上文描述的一种告警溯源方法可相互对应参照。
参照图5,为本发明实施例提供的一种告警溯源装置的结构示意图,包括:
获取模块510,用于获取标准化日志,通过威胁检测组件实时处理所述标准化日志生成告警;
分析模块520,用于通过所述告警获取对应的告警数据,对所述告警数据进行分析,得到对应的目标安全实体的描述信息,其中,所述告警数据中包括目标安全实体的描述信息;
查找模块530,用于基于所述描述信息在安全事件图中进行查找,确定触发所述告警的目标安全实体,其中,所述安全事件图是基于安全实体以及安全实体之间的关系构建的,所述安全事件图中包括安全实体的描述信息;
生成模块540,用于基于所述目标安全实体以及安全实体之间的关系生成所述告警对应的目标告警溯源信息。
本发明提供的一种告警溯源装置,通过获取标准化日志,通过威胁检测组件实时处理标准化日志生成告警;然后通过告警获取对应的告警数据,在告警数据中包括目标安全实体的描述信息,因此对告警数据进行分析,得到对应的目标安全实体的描述信息;基于描述信息在安全事件图中进行查找,确定触发告警的目标安全实体,根据目标安全实体以及安全实体之间的关系生成告警对应的目标告警溯源信息。实现了通过构建安全事件图能够自动化获取告警溯源信息,提高了溯源的准确率。
基于上述任一实施例,所述生成模块540具体用于:
根据所述目标安全实体以及安全实体之间的关系,确定与所述目标安全实体关联的至少一个关联安全实体,并抽取所述目标安全实体与所述关联安全实体之间的目标关联关系;
根据所述目标安全实体、所述关联安全实体以及所述目标关联关系,生成所述告警对应的目标告警溯源信息。
基于上述任一实施例,所述装置还包括:
第一标识模块,用于对所述目标安全实体进行标识,生成目标告警标识;
第一添加模块,用于将所述目标告警标识添加至安全事件图中。
基于上述任一实施例,在生成所述目标告警溯源信息之后,所述装置还包括:
接收单元,用于在接收到告警查询指令的情况下,通过所述告警查询指令中包括的第一告警标识在所述安全事件图中查找对应的第一安全实体;
第一获取单元,用于基于所述第一安全实体以及安全实体之间的关系,获取所述告警查询指令对应的第一告警溯源信息。
基于上述任一实施例,在生成所述目标告警溯源信息之后,所述装置还包括:
第二获取单元,用于获取新生成的第二标准化日志,通过威胁检测组件实时处理所述第二标准化日志生成第二告警;
分析单元,用于通过所述第二告警获取对应的第二告警数据,对所述第二告警数据进行分析,得到对应的第二安全实体的第二描述信息,其中,所述第二告警数据中包括第二安全实体的第二描述信息;
查找单元,用于基于所述第二描述信息在所述安全事件图中进行查找,确定触发所述第二告警的第二安全实体;
生成单元,用于在确定所述第二安全实体与目标安全实体相同的情况下,基于所述目标安全实体以及安全实体之间的关系生成所述第二告警对应的第二告警溯源信息。
基于上述任一实施例,所述装置还包括:
第二标识模块,用于对所述目标安全实体进行标识,生成至少一个第二告警标识;
第二添加模块,用于将所述第二告警标识添加至安全事件图中。
基于上述任一实施例,在获取模块510之前包括:
执行模块,用于获取原始日志,对所述原始日志执行原始日志标准化任务得到标准化日志,其中,所述原始日志标准化任务是通过流式处理的方式预先定义的,所述执行原始日志标准化任务是通过字段抽取、映射规则以及归一化处理的方式执行的。
基于上述任一实施例,所述查找模块530,用于:
基于所述标准化日志确定安全实体以及安全实体之间的关系;
通过所述安全实体以及所述安全实体之间的关系构建安全事件图。
图6示例了一种电子设备的实体结构示意图,如图6所示,该电子设备可以包括:处理器(processor)610、通信接口(Communications Interface)620、存储器(memory)630和通信总线640,其中,处理器610,通信接口620,存储器630通过通信总线640完成相互间的通信。处理器610可以调用存储器630中的逻辑指令,以执行一种告警溯源方法,包括:获取标准化日志,通过威胁检测组件实时处理所述标准化日志生成告警;通过所述告警获取对应的告警数据,对所述告警数据进行分析,得到对应的目标安全实体的描述信息,其中,所述告警数据中包括目标安全实体的描述信息;基于所述描述信息在安全事件图中进行查找,确定触发所述告警的目标安全实体,其中,所述安全事件图是基于安全实体以及安全实体之间的关系构建的,所述安全事件图中包括安全实体的描述信息;基于所述目标安全实体以及安全实体之间的关系生成所述告警对应的目标告警溯源信息。
此外,上述的存储器630中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括计算机程序,计算机程序可存储在非暂态计算机可读存储介质上,所述计算机程序被处理器执行时,计算机能够执行上述各方法所提供的一种告警溯源方法,包括:获取标准化日志,通过威胁检测组件实时处理所述标准化日志生成告警;通过所述告警获取对应的告警数据,对所述告警数据进行分析,得到对应的目标安全实体的描述信息,其中,所述告警数据中包括目标安全实体的描述信息;基于所述描述信息在安全事件图中进行查找,确定触发所述告警的目标安全实体,其中,所述安全事件图是基于安全实体以及安全实体之间的关系构建的,所述安全事件图中包括安全实体的描述信息;基于所述目标安全实体以及安全实体之间的关系生成所述告警对应的目标告警溯源信息。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各方法提供的一种告警溯源方法,包括:获取标准化日志,通过威胁检测组件实时处理所述标准化日志生成告警;通过所述告警获取对应的告警数据,对所述告警数据进行分析,得到对应的目标安全实体的描述信息,其中,所述告警数据中包括目标安全实体的描述信息;基于所述描述信息在安全事件图中进行查找,确定触发所述告警的目标安全实体,其中,所述安全事件图是基于安全实体以及安全实体之间的关系构建的,所述安全事件图中包括安全实体的描述信息;基于所述目标安全实体以及安全实体之间的关系生成所述告警对应的目标告警溯源信息。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。