CN114710368B - 一种安全事件检测方法、装置及计算机可读存储介质 - Google Patents
一种安全事件检测方法、装置及计算机可读存储介质 Download PDFInfo
- Publication number
- CN114710368B CN114710368B CN202210627278.6A CN202210627278A CN114710368B CN 114710368 B CN114710368 B CN 114710368B CN 202210627278 A CN202210627278 A CN 202210627278A CN 114710368 B CN114710368 B CN 114710368B
- Authority
- CN
- China
- Prior art keywords
- security event
- time
- log data
- matching
- time window
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 82
- 238000003860 storage Methods 0.000 title claims abstract description 24
- 238000000034 method Methods 0.000 claims abstract description 50
- 230000008569 process Effects 0.000 claims abstract description 30
- 238000005096 rolling process Methods 0.000 claims abstract description 23
- 230000014509 gene expression Effects 0.000 claims description 38
- 230000006399 behavior Effects 0.000 claims description 14
- 238000004590 computer program Methods 0.000 claims description 13
- 238000005516 engineering process Methods 0.000 claims description 7
- 238000004364 calculation method Methods 0.000 abstract description 12
- 238000010586 diagram Methods 0.000 description 10
- 238000012545 processing Methods 0.000 description 10
- 238000004458 analytical method Methods 0.000 description 6
- 238000013507 mapping Methods 0.000 description 6
- 238000004422 calculation algorithm Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 206010000117 Abnormal behaviour Diseases 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000005065 mining Methods 0.000 description 2
- 230000004931 aggregating effect Effects 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 238000012097 association analysis method Methods 0.000 description 1
- 229910002056 binary alloy Inorganic materials 0.000 description 1
- 238000004140 cleaning Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000009877 rendering Methods 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/953—Querying, e.g. by the use of web search engines
- G06F16/9537—Spatial or temporal dependent retrieval, e.g. spatiotemporal queries
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Data Mining & Analysis (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请公开了一种安全事件检测方法、装置及计算机可读存储介质,涉及大数据领域。通过获取时间窗口,并获取日志数据;其中,时间窗口为以预设周期的滚动的窗口;在各时间窗口内将日志数据与安全事件模型进行匹配,以生成在各时间窗口内的匹配结果集;其中,安全事件模型是包含多个识别日志数据是否具有攻击行为的规则模型的模型;根据匹配结果集生成安全事件数据,以用于根据安全事件数据还原攻击过程。由此可知,上述方案通过在滚动的时间窗口内进行日志数据与安全事件模型的匹配,能够分别获取日志数据在每个时间窗口内的匹配结果,缩小了匹配计算的周期,有效提高安全事件检测的实时性。
Description
技术领域
本申请涉及大数据领域,特别是涉及一种安全事件检测方法、装置及计算机可读存储介质。
背景技术
一般情况下,网络安全设备或软件会将监测到的流量数据或者攻击数据上报到数据监测平台,当某一类异常行为产生后,安全分析人员想要确认此次行为是否存在潜在的安全事件,往往需要在海量的数据中进行手动检索过滤出关联的数据,这样难以快速准确地判断、处置网络攻击,无法及时保障网络设备的安全;当某一类攻击产生后,安全分析人员需要检索数据来溯源判断,造成攻击事件事后溯源难的问题。因此急需一个行之有效的方法来提升攻击检测的精准度、自动化程度以及溯源的便利性。现有的网络安全事件关联分析方法通过聚合同一类网络安全事件形成事件队列,利用关联规则库中的树形规则中节点之间的关系来定义同一攻击场景的关联关系,将零散存在的数据记录组织成为一个完整的攻击场景,并实现与事件队列中的记录信息与树形规则匹配,形成关联规则映射,根据映射找到关联的记录信息,从而重建攻击过程。
上述方案虽然解决了在海量数据中发现潜在安全事件并精确溯源的问题,但是其基于海量数据进行挖掘,需要在处理完全部的数据后生成安全事件告警,缺乏实时性。
鉴于上述问题,设计一种安全事件检测方法,是该领域技术人员亟待解决的问题。
发明内容
本申请的目的是提供一种安全事件检测方法、装置及计算机可读存储介质,以解决安全事件检测告警过程中实时性低的问题。
为解决上述技术问题,本申请提供一种安全事件检测方法,包括:
获取时间窗口,并获取日志数据;其中,所述时间窗口为以预设周期的滚动的窗口;
在各所述时间窗口内将所述日志数据与安全事件模型进行匹配,以生成在各所述时间窗口内的匹配结果集;其中,所述安全事件模型是包含多个识别所述日志数据是否具有攻击行为的规则模型的模型;
根据所述匹配结果集生成安全事件数据,以用于根据所述安全事件数据还原攻击过程。
优选地,所述时间窗口生成的具体步骤包括:
当系统启动时,设置当前系统时间为所述时间窗口的开始时间,并设置从所述开始时间开始的所述预设周期之后为所述时间窗口的结束时间;
根据预设频率检测当前时间是否大于所述时间窗口的结束时间;
若是,设置所述当前时间为新的时间窗口的开始时间,并设置从所述新的时间窗口的开始时间开始的所述预设周期之后为所述新的时间窗口的结束时间,以便于生成滚动的所述时间窗口。
优选地,所述在各所述时间窗口内将所述日志数据与安全事件模型进行匹配包括:
获取所述日志数据的生成时间;
判断所述日志数据的生成时间是否在所述时间窗口的时间范围内;
若所述日志数据的生成时间在所述时间窗口的时间范围内,则将所述日志数据与所述安全事件模型进行匹配;
若所述日志数据的生成时间小于所述时间窗口的开始时间,则删除所述日志数据;
若所述日志数据的生成时间大于所述时间窗口的结束时间,保存所述匹配结果集的数据,将所述时间窗口的结束时间设置为所述新的时间窗口的开始时间,并设置从所述新的时间窗口的开始时间开始的所述预设周期之后为所述新的时间窗口的结束时间;
返回至所述获取所述日志数据的生成时间的步骤,以用于在所述新的时间窗口中将所述日志数据与所述安全事件模型进行匹配。
优选地,所述匹配结果集中包含所述日志数据的唯一标识和所述规则模型匹配成功的唯一标识。
优选地,所述在各所述时间窗口内将所述日志数据与安全事件模型进行匹配包括:
获取所述安全事件模型的安全事件检测树和关系表达式;其中,所述安全事件检测树包含根节点、叶子节点和非叶子节点;
根据所述安全事件检测树和所述关系表达式对所述日志数据进行匹配;
其中,所述根节点表征所述安全事件模型是否匹配成功的状态结果;所述叶子节点保存所述规则模型的信息;所述非叶子节点表征对应所述叶子节点是否匹配成功的状态结果;所述关系表达式表征各所述规则模型之间的关系。
优选地,所述根据所述安全事件检测树对所述日志数据进行匹配包括:
获取所述根节点的状态结果;
根据所述根节点的状态结果判断所述安全事件模型是否匹配成功;
若根据所述根节点的状态结果判断所述安全事件模型匹配不成功,则获取所述根节点下匹配不成功的所述非叶子节点;
根据所述非叶子节点的状态结果和所述关系表达式生成所述根节点的状态结果;
根据所述根节点的状态结果判断所述安全事件模型是否匹配成功;
若否,获取所述非叶子节点对应的所述叶子节点;
根据所述叶子节点和所述关系表达式生成所述非叶子节点的状态结果;
返回至所述获取所述根节点下匹配不成功的所述非叶子节点的步骤;
若是,更新所述根节点的状态结果,并更新所述匹配结果集。
优选地,所述获取日志数据包括:
采集所述日志数据;
通过ETL技术对所述日志数据的数据字段名称归一化处理,对数据值标准化,补齐特征字段并添加所述日志数据的唯一标识,以生成标准化的所述日志数据。
为解决上述技术问题,本申请还提供一种安全事件检测装置,包括:
获取模块,用于获取时间窗口,并获取日志数据;所述时间窗口为以预设周期的滚动的窗口;
匹配模块,用于在各所述时间窗口内将所述日志数据与安全事件模型进行匹配,以生成在各所述时间窗口内的匹配结果集;其中,所述安全事件模型是包含多个识别所述日志数据是否具有攻击行为的规则模型的模型;
生成模块,用于根据所述匹配结果集生成安全事件数据,以用于根据所述安全事件数据还原攻击过程。
为解决上述技术问题,本申请还提供另一种安全事件检测装置,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现上述所述的安全事件检测方法的步骤。
为解决上述技术问题,本申请还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述所述的安全事件检测方法的步骤。
本申请所提供的安全事件检测方法,通过获取时间窗口,并获取日志数据;其中,时间窗口为以预设周期的滚动的窗口;在各时间窗口内将日志数据与安全事件模型进行匹配,以生成在各时间窗口内的匹配结果集;其中,安全事件模型是包含多个识别日志数据是否具有攻击行为的规则模型的模型;根据匹配结果集生成安全事件数据,以用于根据安全事件数据还原攻击过程。由此可知,上述方案通过在滚动的时间窗口内进行日志数据与安全事件模型的匹配,能够分别获取日志数据在每个时间窗口内的匹配结果,缩小了匹配计算的周期,有效提高安全事件检测的实时性。
此外,本申请实施例还提供了一种安全事件检测装置及计算机可读存储介质,效果同上。
附图说明
为了更清楚地说明本申请实施例,下面将对实施例中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种安全事件检测方法的流程图;
图2为本申请实施例提供的滚动窗口的示意图;
图3为本申请实施例提供的匹配结果集的示意图;
图4为本申请实施例提供的一种安全事件检测树的示意图;
图5为本申请实施例提供的一种安全事件检测装置的结构示意图;
图6为本申请实施例提供的另一种安全事件检测装置的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下,所获得的所有其他实施例,都属于本申请保护范围。
本申请的核心是提供一种安全事件检测方法、装置及计算机可读存储介质。
为了使本技术领域的人员更好地理解本申请方案,下面结合附图和具体实施方式对本申请作进一步的详细说明。
网络安全设备或软件会将监测到的流量数据或者攻击数据上报到数据监测平台,当某一类异常行为产生后,安全分析人员想要确认此次行为是否存在潜在的安全事件,往往需要在海量的数据中进行手动检索过滤出关联的数据,这样难以快速准确地判断、处置网络攻击,无法及时保障网络设备的安全;当某一类攻击产生后,安全分析人员需要检索数据来溯源判断,造成攻击事件事后溯源难的问题。现有的方案虽然解决了在海量数据中发现潜在安全事件并精确溯源的问题,但是其基于海量数据进行挖掘,需要在处理完全部的数据后生成安全事件告警,缺乏实时性。因此本申请提供了一种安全事件检测方法,能够提高安全事件告警的实时性。图1为本申请实施例提供的一种安全事件检测方法的流程图。如图1所示,方法包括:
S10:获取时间窗口,并获取日志数据;其中,时间窗口为以预设周期的滚动的窗口。
S11:在各时间窗口内将日志数据与安全事件模型进行匹配,以生成在各时间窗口内的匹配结果集;其中,安全事件模型是包含多个识别日志数据是否具有攻击行为的规则模型的模型。
S12:根据匹配结果集生成安全事件数据,以用于根据安全事件数据还原攻击过程。
在本申请中,为了对网络安全设备或软件的安全事件进行检测,首先获取网络安全设备或软件的日志数据和时间窗口。时间窗口是以预设周期的滚动的窗口。可以理解的是,本实施例中的时间窗口的作用是在后续的匹配过程中进行窗口计算;窗口计算是实时计算中的一种数据处理方式,按照固定时间或长度将数据流切分成不同的窗口,然后对数据进行相应的聚合运算,从而得到一定时间范围内的统计结果。Flink计算框架(Flink是由Apache软件基金会开发的开源流处理框架,被广泛的用于解决大数据领域的实时计算和离线计算问题)就可以实现该功能。其中窗口又细分为滚动窗口和滑动窗口,可以理解的是,本实施例中的时间窗口是滚动窗口。图2为本申请实施例提供的滚动窗口的示意图。如图2所示,滚动窗口是将每个元素分配到一个指定大小的窗口中;通常,滚动窗口有一个固定的大小,并且不会出现重叠。例如,如果指定了一个5分钟大小的滚动窗口,无限流的数据会根据时间划分为[0:00,0:05)、[0:05,0:10)、[0:10,0:15)等窗口。本实施例中对于预设周期不做限制,每个安全事件模型可以根据自身对应的攻击场景自主设置滚动窗口的大小,根据具体的实施情况而定。同时,对于时间窗口的生成过程不做限定,根据具体的实施情况而定。
进一步地,在得到了日志数据和时间窗口之后,在各时间窗口内将日志数据与安全事件模型进行匹配,以生成在各时间窗口内的匹配结果集。本实施例中,此步骤由匹配分析算法模块和匹配结果集模块共同完成。其中,匹配分析算法模块能够将日志数据与安全事件模型进行匹配,建立数据与模型之间的关联关系,并把关联关系记录在匹配结果集中。匹配结果集模块动态能够记录在一个窗口计算周期内安全事件模型中的规则被匹配成功与否的状态,以及与规则匹配成功的日志数据的唯一标识与规则模型唯一标识的映射;每一个安全事件模型对应一个匹配结果集。
具体地,匹配分析算法模块和匹配结果集模块将基于Flink的实时计算以滚动的时间窗口的形式运行;已知一个时间窗口的预设周期,匹配分析算法以预设周期为最小单位进行日志数据与安全事件模型的匹配操作,生成匹配结果集。无论预设周期内是否匹配有安全事件模型被匹配成功,都根据匹配结果集生成安全事件数据,即整合匹配结果集中的数据唯一标识、对应匹配成功规则的唯一标识和安全事件模型信息形成安全事件数据;如果模型被匹配成功,则整合成为安全事件写入数据库,否则就丢弃这个周期的计算结果。而按照上述采用时间窗口计算缩小计算周期的方式有效提高安全事件的实时性。在本实施例中对于在各时间窗口内将日志数据与安全事件模型进行匹配的具体过程和方法不做限制,根据具体的实施情况而定。
需要注意的是,安全事件模型是包含多个识别日志数据是否具有攻击行为的规则模型的模型。其中,规则模型是可以直接识别日志数据或流量数据是否包含攻击行为的模型,包含一个正则表达式或其他java可执行的逻辑表达式,用来判断日志数据是否含有某一个攻击特征,达到识别攻击行为的功能;对应的,每条规则模型还将包含以下信息,用来描述规则模型对应的攻击描述信息、攻击行为特征、攻击技术、战术信息。而针对于不同的攻击行为还包括其他的对应的规则模型,各规则模型共同存放于规则模型库中。规则模型用于组装生成安全事件模型,每条规则模型都可以重复使用,所有规则模型可以按照实际场景需要自由组合生成安全事件模型。
安全事件模型是包含多个规则模型的模型,其中每个规则模型之间的关系可以是“且(and)”、“或(or)”、“非(!)”的关系。例如若安全事件模型中的规则模型分别是rule_1、rule_2、rule_3、rule_4、rule_5和rule_6,则他们的关系可以为:(rule_1 and rule_2)and(rule_3 or rule_4)and(rule_5 and rule_6)。需要注意的还是,规则模型的嵌套层数来描述安全事件模型的层次,以最外层逻辑表达式运算的次数来描述安全事件模型的维度,因此上述的表达式就是表示安全事件模型为3维2层安全事件模型。
在上述得到安全事件数据之后,为了根据安全事件数据还原攻击过程,在具体实施中将上述的安全事件数据写入数据库;业务端溯源展示层根据安全事件数据到规则模型数据库中提取攻击特征、攻击描述等必要信息,从而还原攻击过程,实现了安全事件的检测,以便于对安全事件进行告警。
本实施例中,通过获取时间窗口,并获取日志数据;其中,时间窗口为以预设周期的滚动的窗口;在各时间窗口内将日志数据与安全事件模型进行匹配,以生成在各时间窗口内的匹配结果集;其中,安全事件模型是包含多个识别日志数据是否具有攻击行为的规则模型的模型;根据匹配结果集生成安全事件数据,以用于根据安全事件数据还原攻击过程。由此可知,上述方案通过在滚动的时间窗口内进行日志数据与安全事件模型的匹配,能够分别获取日志数据在每个时间窗口内的匹配结果,缩小了匹配计算的周期,有效提高安全事件检测的实时性。
在上述实施例的基础上:
作为一种优选的实施例,时间窗口生成的具体步骤包括:
当系统启动时,设置当前系统时间为时间窗口的开始时间,并设置从开始时间开始的预设周期之后为时间窗口的结束时间;
根据预设频率检测当前时间是否大于时间窗口的结束时间;
若是,设置当前时间为新的时间窗口的开始时间,并设置从新的时间窗口的开始时间开始的预设周期之后为新的时间窗口的结束时间,以便于生成滚动的时间窗口。
在上述实施例中,对于时间窗口的生成过程不做限定,根据具体的实施情况而定。作为一种优选的实施例中,本实施例中,时间窗口的生成是在系统启动时开始。具体地,在系统中设置定时器,当系统启动后,立即设置当前系统时间为时间窗口的开始时间,时间窗口的结束时间为开始时间加预设周期;例如,若预设周期为5分钟,则时间窗口的结束时间为开始时间加5分钟。
定时器以预设频率进行检测,检测当前时间是否已经大于时间窗口的结束时间。如果当前时间大于时间窗口的结束时间,则将当前时间设置为新的时间窗口开始时间,新的时间窗口的结束时间为新的时间窗口开始时间加预设周期;从而生成了滚动的时间窗口。
本实施例中,当系统启动时,通过设置当前系统时间为时间窗口的开始时间,并设置从开始时间开始的预设周期之后为时间窗口的结束时间;根据预设频率检测当前时间是否大于时间窗口的结束时间;若是,设置当前时间为新的时间窗口的开始时间,并设置从新的时间窗口的开始时间开始的预设周期之后为新的时间窗口的结束时间,最终生成了滚动的时间窗口,以便于在时间窗口内进行日志数据与安全事件模型的匹配。
在上述实施例的基础上:
作为一种优选的实施例,在各时间窗口内将日志数据与安全事件模型进行匹配包括:
获取日志数据的生成时间;
判断日志数据的生成时间是否在时间窗口的时间范围内;
若日志数据的生成时间在时间窗口的时间范围内,则将日志数据与安全事件模型进行匹配;
若日志数据的生成时间小于时间窗口的开始时间,则删除日志数据;
若日志数据的生成时间大于时间窗口的结束时间,保存匹配结果集的数据,将时间窗口的结束时间设置为新的时间窗口的开始时间,并设置从新的时间窗口的开始时间开始的预设周期之后为新的时间窗口的结束时间;
返回至获取日志数据的生成时间的步骤,以用于在新的时间窗口中将日志数据与安全事件模型进行匹配。
在上述实施例中,对于在各时间窗口内将日志数据与安全事件模型进行匹配的具体过程不做限制,根据具体的实施情况而定。作为一种优选的实施例,本实施例中在日志数据与安全事件模型进行匹配时,首先获取日志数据的生成时间,日志数据的生成时间即为日志数据的时间。日志数据流入,若日志数据的时间在时间窗口的时间范围内,则此日志数据进行安全事件模型的匹配,将匹配结果保存到匹配结果集中;如果日志数据时间小于时间窗口开始时间,则该条数据是已经失去时效性或者是脏数据,对其进行删除处理;如果日志数据时间大于时间窗口结束时间,则说明本次窗口结束,将结果集整理后进行保存;将本次时间窗口结束时间设置为下一次的时间窗口开始时间,新的时间窗口结束时间为新的时间窗口开始时间加预设周期。
需要注意的是,由于在匹配过程中日志数据不一定是一直连续的,当数据流不连续时,无法利用日志数据的时间来准确判断当前窗口是否已经结束,因此需要定时器进行窗口切换的操作。如果定时器判定需要进行窗口切换操作,则先要查看匹配结果集中是否有未保存的匹配结果;如果有,则将匹配结果集中的数据进行保存后再执行窗口切换。
本实施例中,通过获取日志数据的生成时间;判断日志数据的生成时间是否在时间窗口的时间范围内;若日志数据的生成时间在时间窗口的时间范围内,则将日志数据与安全事件模型进行匹配;若日志数据的生成时间小于时间窗口的开始时间,则删除日志数据;若日志数据的生成时间大于时间窗口的结束时间,保存匹配结果集的数据,将时间窗口的结束时间设置为新的时间窗口的开始时间,并设置从新的时间窗口的开始时间开始的预设周期之后为新的时间窗口的结束时间;返回至获取日志数据的生成时间的步骤,以用于在新的时间窗口中将日志数据与安全事件模型进行匹配。最终实现了在各时间窗口内日志数据与安全事件模型的匹配。
在上述实施例的基础上:
作为一种优选的实施例,匹配结果集中包含日志数据的唯一标识和规则模型匹配成功的唯一标识。
作为一种优选的实施例,本实施例中匹配结果集采用bitmap结构。bitmap是一种数据结构,基本思想为用一个bit位来标记元素index对应的value值。采用bit为单位来存储数据,可以大大节省存储空间。因此基于bitmap的匹配结果集中包含的内容为日志数据的唯一标识和规则模型匹配成功的唯一标识。
图3为本申请实施例提供的匹配结果集的示意图。如图3所示,图中代表该匹配结果集对应的安全事假模型中包含6个规则模型。bit位的从低到高的序号为index值,如index值为4对应的value值为0,表示在该安全事件模型中编号为4的规则模型被匹配成功;其余value值为1的表示尚未匹配成功。匹配结果集设计的核心bitmap,在实际表示中采用长整型(long)表示为十进制的整数,在运算过程中采用按位与的方式进行修改对应bit位的状态。
需要注意的是,本申请中的安全事件模型应当是由不同的日志数据共同匹配完成,最终输出安全事件数据(即安全事件数据应当由若干条日志数据组成,是一个日志数据集合)。因此在每一个窗口计算期内的数据进行模型匹配计算,匹配结果集将进行动态变更,窗口结束,输出匹配结果。以一个安全事件模型由6个规则组成,则bitmap初始值为63,对应二进制为:00111111;在匹配过程中rule_5被匹配成功,则bitmap值变为47,对应二级制为:00101111;依次类推,bitmap值为0时,及二进制表示为00000000时,则表示所有规则匹配成功。
此外,匹配结果集中还包含匹配成功的标准数据唯一标识与规则id的映射关系,以及安全事件模型唯一标识。
本实施例中,匹配结果集中采用bitmap结构,包含了规则模型匹配成功的唯一标识;并建立映射日志数据的唯一标识和被匹配成功的规则模型的唯一标识的关系映射,实现了安全事件模型中规则模型匹配结果的保存。
在上述实施例的基础上:
作为一种优选的实施例,在各时间窗口内将日志数据与安全事件模型进行匹配包括:
获取安全事件模型的安全事件检测树和关系表达式;其中,安全事件检测树包含根节点、叶子节点和非叶子节点;
根据安全事件检测树和关系表达式对日志数据进行匹配;
其中,根节点表征安全事件模型是否匹配成功的状态结果;叶子节点保存规则模型的信息;非叶子节点表征对应叶子节点是否匹配成功的状态结果;关系表达式表征各规则模型之间的关系。
在上述实施例中,对于在各时间窗口内将日志数据与安全事件模型进行匹配的方法不做限制,根据具体的实施情况而定。作为一种优选的实施例,在本实施例中日志数据与安全事件模型的匹配通过B+树结构的安全事件检测树实现。B+树是一种树数据结构,通常用于数据库和操作系统的文件系统中。B+树的特点是能够保持数据稳定有序,其插入与修改拥有较稳定的对数时间复杂度。B+树数据都存储在叶子节点,内部只存关键字(其中叶子节点的最小值作为索引)和孩子指针,简化了内部节点;B+树将叶子节点串联成链表,可以进行高效的遍历。
具体地,在本实施中安全事件模型具体为安全事件检测树。安全事件检测树包含表征安全事件模型是否匹配成功的状态结果的根节点、保存规则模型的信息的叶子节点和表征对应叶子节点是否匹配成功的状态结果的非叶子节点。安全事件检测树的叶子节点的个数对应上述bitmap二进制表达中1的个数(从低位到高位),例如安全事件检测树的叶子节点个数为6,对应二进制表达为00111111,则bitmap的初始值为63。
此外,在进行匹配前还需要获取表征各规则模型之间关系的关系表达式。例如在一个包含6个规则模型的安全事件模型中,(rule_1 and rule_2)and(rule_3 or rule_4)and(rule_5 and rule_6)即为一种关系表达式。
最后,通过安全事件检测树与关系表达式对日志数据进行匹配,得到匹配结果集。本实施例中对于通过安全事件检测树与关系表达式对日志数据进行匹配的具体过程不做限制,根据具体的实施情况而定。
本实施例中,通过获取安全事件模型的安全事件检测树和关系表达式;其中,安全事件检测树包含根节点、叶子节点和非叶子节点;根据安全事件检测树和关系表达式对日志数据进行匹配,实现了安全事件模型与日志数据的匹配。
在上述实施例的基础上:
作为一种优选的实施例,根据安全事件检测树对日志数据进行匹配包括:
获取根节点的状态结果;
根据根节点的状态结果判断安全事件模型是否匹配成功;
若根据根节点的状态结果判断安全事件模型匹配不成功,则获取根节点下匹配不成功的非叶子节点;
根据非叶子节点的状态结果和关系表达式生成根节点的状态结果;
根据根节点的状态结果判断安全事件模型是否匹配成功;
若否,获取非叶子节点对应的叶子节点;
根据叶子节点和关系表达式生成非叶子节点的状态结果;
返回至获取根节点下匹配不成功的非叶子节点的步骤;
若是,更新根节点的状态结果,并更新匹配结果集。
图4为本申请实施例提供的一种安全事件检测树的示意图。如图4所示,根节点A保存安全事件模型匹配的最终结果;非叶子节点B、C、D保存其叶子节点的规则匹配结果;叶子节点E、F、G、H、I、J分别保存rule_1到rule_6的规则模型唯一标识信息。则以图4为例,根据安全事件检测树对日志数据进行匹配的具体过程如下:
首先遍历安全事件检测树的根节点A的状态结果;根据根节点的状态结果判断安全事件模型是否匹配成功;如果匹配结果为0,则匹配成功不进行安全事件检测树的遍历;如果匹配结果为1,则表示匹配未成功,遍历安全事件检测树。优选地,可以在遍历安全事件检测树根节点的状态结果之前,先判断匹配结果集中bitmap的值,如果结果是0,表示已经模型已经匹配成功,退出遍历;如果结果不为0,表示安全事件模型仍未匹配成功,再开始遍历安全事件检测树;
进一步地,当根节点A的状态结果为1,即匹配不成功,则遍历安全事件检测树,获取根节点下匹配不成功的非叶子节点;即寻找非叶子节点B、C、D节点中状态值为1的节点继续向下遍历,将获取到的节点状态结果根据关系表达式进行计算生成根节点的状态结果,将计算结果保存到A节点中以便于后续根据根节点的状态结果判断安全事件模型是否匹配成功。以关系表达式(rule_1 and rule_2 or rule_3)and(rule_4 and rule_5)and rule_6为例,当非叶子节点B、C、D的状态结果均为0时,根节点的状态结果才为0,即匹配成功,更新匹配结果集并退出遍历,否则匹配不成功,继续向下遍历。
此时若根据根节点的状态结果判断安全事件模型匹配不成功,非叶子节点B为1,则继续遍历非叶子节点B下的叶子节点E、F、G,根据叶子节点和关系表达式生成非叶子节点B的状态结果,并保存于非叶子节点B中。以上述关系表达式为例,由于非叶子节点B下的叶子节点E、F、G的关系为rule_1 and rule_2 or rule_3,则当叶子结点E匹配成功,且叶子节点E或G至少一个匹配成功时,非叶子节点B的状态结果才为0,其他情况为1。
返回至获取根节点下匹配不成功的非叶子节点的步骤,重复上述步骤以完成对非叶子节点C和D下的叶子节点的遍历。在过程中对每一棵子树遍历完成后,计算一次根节点A的状态值,如果状态值变为0,则退出遍历;否则继续寻找下一个状态值为1的子树进行遍历。直至根据根节点的状态结果判断安全事件模型匹配成功,更新根节点的状态结果,记录数据唯一标识并更新匹配结果集。
本实施例中,通过获取根节点的状态结果;根据根节点的状态结果判断安全事件模型是否匹配成功;若根据根节点的状态结果判断安全事件模型匹配不成功,则获取根节点下匹配不成功的非叶子节点;根据非叶子节点的状态结果和关系表达式生成根节点的状态结果;根据根节点的状态结果判断安全事件模型是否匹配成功;若否,获取非叶子节点对应的叶子节点;根据叶子节点和关系表达式生成非叶子节点的状态结果;返回至获取根节点下匹配不成功的非叶子节点的步骤;若是,更新根节点的状态结果,并更新匹配结果集。实现了基于安全事件检测树的日志数据的匹配过程。
在上述实施例的基础上:
作为一种优选的实施例,获取日志数据包括:
采集日志数据;
通过ETL技术对日志数据的数据字段名称归一化处理,对数据值标准化,补齐特征字段并添加日志数据的唯一标识,以生成标准化的日志数据。
可以理解的是,数据仓库技术(Extract Transform Load,ETL)用来描述将数据从来源端经过抽取(extract)、转换(transform)、加载(load)到目的端的过程。这个源端可以是数据库、消息中间件等软件,目的端可以是数据库、文件系统等存储介质。在获取日志数据的过程中,首先采集日志数据,但是日志数据的来源以及数据的属性可能有所不同。为了确保后续匹配的准确性,在本实施例中通过ETL技术对日志数据的数据字段名称归一化处理,对数据值标准化,补齐特征字段并添加日志数据的唯一标识,以生成标准化的日志数据。也就是针对不同数据源上报到数据平台的攻击数据进行数据标准化清洗、日志数据唯一标识字段添加操作,形成规范化的标准数据,方便后续统一处理。
本实施例中,通过采集日志数据,通过ETL技术对日志数据的数据字段名称归一化处理,对数据值标准化,补齐特征字段并添加日志数据的唯一标识,以生成标准化的日志数据,实现了对日志数据的标准化处理,以便于后续与安全事件模型的匹配。
在上述实施例中,对于安全事件检测方法进行了详细描述,本申请还提供安全事件检测装置对应的实施例。需要说明的是,本申请从两个角度对装置部分的实施例进行描述,一种是基于功能模块的角度,另一种是基于硬件结构的角度。
图5为本申请实施例提供的一种安全事件检测装置的结构示意图。如图5所示,安全事件检测装置包括:
获取模块10,用于获取时间窗口,并获取日志数据;时间窗口为以预设周期的滚动的窗口;
匹配模块11,用于在各时间窗口内将日志数据与安全事件模型进行匹配,以生成在各时间窗口内的匹配结果集;其中,安全事件模型是包含多个识别日志数据是否具有攻击行为的规则模型的模型;
生成模块12,用于根据匹配结果集生成安全事件数据,以用于根据安全事件数据还原攻击过程。
由于装置部分的实施例与方法部分的实施例相互对应,因此装置部分的实施例请参见方法部分的实施例的描述,这里暂不赘述。
图6为本申请实施例提供的另一种安全事件检测装置的结构示意图。如图6所示,安全事件检测装置包括:
存储器20,用于存储计算机程序;
处理器21,用于执行计算机程序时实现如上述实施例中所提到的安全事件检测方法的步骤。
本实施例提供的安全事件检测装置可以包括但不限于智能手机、平板电脑、笔记本电脑或台式电脑等。
其中,处理器21可以包括一个或多个处理核心,比如4核心处理器、8核心处理器等。处理器21可以采用数字信号处理器(Digital Signal Processor,DSP)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)、可编程逻辑阵列(Programmable LogicArray,PLA)中的至少一种硬件形式来实现。处理器21也可以包括主处理器和协处理器,主处理器是用于对在唤醒状态下的数据进行处理的处理器,也称中央处理器(CentralProcessing Unit,CPU);协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中,处理器21可以在集成有图形处理器(Graphics Processing Unit,GPU),GPU用于负责显示屏所需要显示的内容的渲染和绘制。一些实施例中,处理器21还可以包括人工智能(Artificial Intelligence,AI)处理器,该AI处理器用于处理有关机器学习的计算操作。
存储器20可以包括一个或多个计算机可读存储介质,该计算机可读存储介质可以是非暂态的。存储器20还可包括高速随机存取存储器,以及非易失性存储器,比如一个或多个磁盘存储设备、闪存存储设备。本实施例中,存储器20至少用于存储以下计算机程序201,其中,该计算机程序被处理器21加载并执行之后,能够实现前述任一实施例公开的安全事件检测方法的相关步骤。另外,存储器20所存储的资源还可以包括操作系统202和数据203等,存储方式可以是短暂存储或者永久存储。其中,操作系统202可以包括Windows、Unix、Linux等。数据203可以包括但不限于安全事件检测方法涉及到的数据。
在一些实施例中,安全事件检测装置还可包括有显示屏22、输入输出接口23、通信接口24、电源25以及通信总线26。
本领域技术人员可以理解,图6中示出的结构并不构成对安全事件检测装置的限定,可以包括比图示更多或更少的组件。
最后,本申请还提供一种计算机可读存储介质对应的实施例。计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如上述方法实施例中记载的步骤。
可以理解的是,如果上述实施例中的方法以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上对本申请所提供的一种安全事件检测方法、装置及计算机可读存储介质进行了详细介绍。说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (9)
1.一种安全事件检测方法,其特征在于,包括:
获取时间窗口,并获取日志数据;其中,所述时间窗口为以预设周期的滚动的窗口;
在各所述时间窗口内将所述日志数据与安全事件模型进行匹配,以生成在各所述时间窗口内的匹配结果集;其中,所述安全事件模型是包含多个识别所述日志数据是否具有攻击行为的规则模型的模型;
根据所述匹配结果集生成安全事件数据,以用于根据所述安全事件数据还原攻击过程;
所述在各所述时间窗口内将所述日志数据与安全事件模型进行匹配包括:
获取所述安全事件模型的安全事件检测树和关系表达式;其中,所述安全事件检测树包含根节点、叶子节点和非叶子节点;
根据所述安全事件检测树和所述关系表达式对所述日志数据进行匹配;
其中,所述根节点表征所述安全事件模型是否匹配成功的状态结果;所述叶子节点保存所述规则模型的信息;所述非叶子节点表征对应所述叶子节点是否匹配成功的状态结果;所述关系表达式表征各所述规则模型之间的关系。
2.根据权利要求1所述的安全事件检测方法,其特征在于,所述时间窗口生成的具体步骤包括:
当系统启动时,设置当前系统时间为所述时间窗口的开始时间,并设置从所述开始时间开始的所述预设周期之后为所述时间窗口的结束时间;
根据预设频率检测当前时间是否大于所述时间窗口的结束时间;
若是,设置所述当前时间为新的时间窗口的开始时间,并设置从所述新的时间窗口的开始时间开始的所述预设周期之后为所述新的时间窗口的结束时间,以便于生成滚动的所述时间窗口。
3.根据权利要求2所述的安全事件检测方法,其特征在于,所述在各所述时间窗口内将所述日志数据与安全事件模型进行匹配包括:
获取所述日志数据的生成时间;
判断所述日志数据的生成时间是否在所述时间窗口的时间范围内;
若所述日志数据的生成时间在所述时间窗口的时间范围内,则将所述日志数据与所述安全事件模型进行匹配;
若所述日志数据的生成时间小于所述时间窗口的开始时间,则删除所述日志数据;
若所述日志数据的生成时间大于所述时间窗口的结束时间,保存所述匹配结果集的数据,将所述时间窗口的结束时间设置为所述新的时间窗口的开始时间,并设置从所述新的时间窗口的开始时间开始的所述预设周期之后为所述新的时间窗口的结束时间;
返回至所述获取所述日志数据的生成时间的步骤,以用于在所述新的时间窗口中将所述日志数据与所述安全事件模型进行匹配。
4.根据权利要求1所述的安全事件检测方法,其特征在于,所述匹配结果集中包含所述日志数据的唯一标识和所述规则模型匹配成功的唯一标识。
5.根据权利要求1所述的安全事件检测方法,其特征在于,所述根据所述安全事件检测树和所述关系表达式对所述日志数据进行匹配包括:
获取所述根节点的状态结果;
根据所述根节点的状态结果判断所述安全事件模型是否匹配成功;
若根据所述根节点的状态结果判断所述安全事件模型匹配不成功,则获取所述根节点下匹配不成功的所述非叶子节点;
根据所述非叶子节点的状态结果和所述关系表达式生成所述根节点的状态结果;
根据所述根节点的状态结果判断所述安全事件模型是否匹配成功;
若否,获取所述非叶子节点对应的所述叶子节点;
根据所述叶子节点和所述关系表达式生成所述非叶子节点的状态结果;
返回至所述获取所述根节点下匹配不成功的所述非叶子节点的步骤;
若是,更新所述根节点的状态结果,并更新所述匹配结果集。
6.根据权利要求1所述的安全事件检测方法,其特征在于,所述获取日志数据包括:
采集所述日志数据;
通过ETL技术对所述日志数据的数据字段名称归一化处理,对数据值标准化,补齐特征字段并添加所述日志数据的唯一标识,以生成标准化的所述日志数据。
7.一种安全事件检测装置,其特征在于,包括:
获取模块,用于获取时间窗口,并获取日志数据;所述时间窗口为以预设周期的滚动的窗口;
匹配模块,用于在各所述时间窗口内将所述日志数据与安全事件模型进行匹配,以生成在各所述时间窗口内的匹配结果集;其中,所述安全事件模型是包含多个识别所述日志数据是否具有攻击行为的规则模型的模型;
生成模块,用于根据所述匹配结果集生成安全事件数据,以用于根据所述安全事件数据还原攻击过程;
所述匹配模块包括:
模型内容获取模块,用于获取所述安全事件模型的安全事件检测树和关系表达式;其中,所述安全事件检测树包含根节点、叶子节点和非叶子节点;
日志数据匹配模块,用于根据所述安全事件检测树和所述关系表达式对所述日志数据进行匹配;
其中,所述根节点表征所述安全事件模型是否匹配成功的状态结果;所述叶子节点保存所述规则模型的信息;所述非叶子节点表征对应所述叶子节点是否匹配成功的状态结果;所述关系表达式表征各所述规则模型之间的关系。
8.一种安全事件检测装置,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至6任一项所述的安全事件检测方法的步骤。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述的安全事件检测方法的步骤。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210627278.6A CN114710368B (zh) | 2022-06-06 | 2022-06-06 | 一种安全事件检测方法、装置及计算机可读存储介质 |
| US18/204,906 US20230396633A1 (en) | 2022-06-06 | 2023-06-01 | Method and Apparatus for Detecting Security Event, and Computer-Readable Storage Medium |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210627278.6A CN114710368B (zh) | 2022-06-06 | 2022-06-06 | 一种安全事件检测方法、装置及计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114710368A CN114710368A (zh) | 2022-07-05 |
| CN114710368B true CN114710368B (zh) | 2022-09-02 |
Family
ID=82177903
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210627278.6A Active CN114710368B (zh) | 2022-06-06 | 2022-06-06 | 一种安全事件检测方法、装置及计算机可读存储介质 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US20230396633A1 (zh) |
| CN (1) | CN114710368B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20220191211A1 (en) * | 2020-12-15 | 2022-06-16 | ClearVector, Inc. | Computer-implemented methods, systems comprising computer-readable media, and electronic devices for resource preservation and intervention within a network computing environment |
| CN116015951B (zh) * | 2022-12-31 | 2023-08-29 | 北京天融信网络安全技术有限公司 | 时间对象匹配方法、装置、电子设备及存储介质 |
| CN115934782B (zh) * | 2023-02-13 | 2023-05-12 | 山东星维九州安全技术有限公司 | 一种安全日志分析与处理的方法及计算机存储介质 |
| CN117938431B (zh) * | 2023-12-11 | 2024-06-21 | 广州安行信息安全科技有限公司 | 一种基于关联规则的工业控制系统复杂攻击检测方法 |
| CN117792804B (zh) * | 2024-02-28 | 2024-06-11 | 成都九洲电子信息系统股份有限公司 | 基于位图和预过滤的网络威胁筛选方法及系统 |
| CN117931484B (zh) * | 2024-03-22 | 2024-06-14 | 中国人民解放军国防科技大学 | 基于滑动窗口的消息消费方法、装置、设备及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114143020A (zh) * | 2021-09-06 | 2022-03-04 | 北京许继电气有限公司 | 一种基于规则的网络安全事件关联分析方法和系统 |
| WO2022083576A1 (zh) * | 2020-10-22 | 2022-04-28 | 中兴通讯股份有限公司 | 一种网络功能虚拟化设备运行数据的分析方法及装置 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10440037B2 (en) * | 2017-03-31 | 2019-10-08 | Mcafee, Llc | Identifying malware-suspect end points through entropy changes in consolidated logs |
| US11012472B2 (en) * | 2018-12-05 | 2021-05-18 | International Business Machines Corporation | Security rule generation based on cognitive and industry analysis |
| US10977152B2 (en) * | 2019-04-16 | 2021-04-13 | Oracle International Corporation | Rule-based continuous diagnosing and alerting from application logs |
| US11321164B2 (en) * | 2020-06-29 | 2022-05-03 | International Business Machines Corporation | Anomaly recognition in information technology environments |
| CN111736579B (zh) * | 2020-08-26 | 2020-12-08 | 北京安帝科技有限公司 | 基于日志问询留存的工业控制设备安全检测方法 |
-
2022
- 2022-06-06 CN CN202210627278.6A patent/CN114710368B/zh active Active
-
2023
- 2023-06-01 US US18/204,906 patent/US20230396633A1/en active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2022083576A1 (zh) * | 2020-10-22 | 2022-04-28 | 中兴通讯股份有限公司 | 一种网络功能虚拟化设备运行数据的分析方法及装置 |
| CN114143020A (zh) * | 2021-09-06 | 2022-03-04 | 北京许继电气有限公司 | 一种基于规则的网络安全事件关联分析方法和系统 |
Non-Patent Citations (1)
| Title |
|---|
| 荆心等.《 CEP隐私安全事件属性检测树及访问控制框架》.《西安工业大学学报》.2016, * |
Also Published As
| Publication number | Publication date |
|---|---|
| US20230396633A1 (en) | 2023-12-07 |
| CN114710368A (zh) | 2022-07-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114710368B (zh) | 一种安全事件检测方法、装置及计算机可读存储介质 | |
| CN110351150B (zh) | 故障根源确定方法及装置、电子设备和可读存储介质 | |
| US10481967B2 (en) | Automatic correlation of dynamic system events within computing devices | |
| CN111339299B (zh) | 一种领域知识库的构建方法和装置 | |
| CN111459698A (zh) | 一种数据库集群故障自愈方法及装置 | |
| CN112487208A (zh) | 一种网络安全数据关联分析方法、装置、设备及存储介质 | |
| EP3014492B1 (en) | Method and apparatus for automating network data analysis of user's activities | |
| CN115168311A (zh) | 一种告警事件处理方法、系统、存储介质和终端 | |
| CN114968959A (zh) | 日志处理方法、日志处理装置及存储介质 | |
| CN111831528A (zh) | 一种计算机系统日志关联方法及相关装置 | |
| CN111930701A (zh) | 日志结构化处理方法及装置 | |
| CN115051863B (zh) | 异常流量检测的方法、装置、电子设备及可读存储介质 | |
| CN114880308A (zh) | 一种基于大数据的元数据处理方法、装置、介质 | |
| CN113434607A (zh) | 基于图数据的行为分析方法、装置、电子设备和存储介质 | |
| CN114510708A (zh) | 实时数据仓库构建、异常检测方法、装置、设备及产品 | |
| CN113535458A (zh) | 异常误报的处理方法及装置、存储介质、终端 | |
| CN115629945A (zh) | 告警处理方法、装置以及电子设备 | |
| CN111897802A (zh) | 数据库容器故障定位方法及系统 | |
| CN114756401B (zh) | 基于日志的异常节点检测方法、装置、设备及介质 | |
| CN117880060A (zh) | 一种基于规则引擎的网络运维方法、系统、设备及介质 | |
| CN114996092A (zh) | 一种告警方法、装置、设备及介质 | |
| CN118034972A (zh) | 基于多维度数据分析的智能拨测告警方法和装置 | |
| CN115664934A (zh) | 一种告警处理的方法、装置及介质 | |
| CN116185856A (zh) | 一种软件系统健康检测方法、装置、存储介质及设备 | |
| CN114896095A (zh) | 异常影响分析方法、装置、计算机设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |