CN114816895A - 处理告警日志的方法、装置及存储介质 - Google Patents

处理告警日志的方法、装置及存储介质 Download PDF

Info

Publication number
CN114816895A
CN114816895A CN202110089215.5A CN202110089215A CN114816895A CN 114816895 A CN114816895 A CN 114816895A CN 202110089215 A CN202110089215 A CN 202110089215A CN 114816895 A CN114816895 A CN 114816895A
Authority
CN
China
Prior art keywords
alarm
address
domain name
information
log
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110089215.5A
Other languages
English (en)
Inventor
杨利东
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN202110089215.5A priority Critical patent/CN114816895A/zh
Priority to PCT/CN2021/126200 priority patent/WO2022156293A1/zh
Publication of CN114816895A publication Critical patent/CN114816895A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3065Monitoring arrangements determined by the means or processing involved in reporting the monitored data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3006Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is distributed, e.g. networked systems, clusters, multiprocessor systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/561Virus type analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Quality & Reliability (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本申请公开一种处理告警日志的方法、装置及存储介质,属于网络安全领域。所述方法包括:云设备获取虚拟检测环境输出的第一告警日志,所述第一告警日志包括至少一项日志内容;对所述至少一项日志内容进行分析,以得到所述第一告警日志对应的异常信息;将所述异常信息与多个分类条件进行匹配,以从所述多个分类条件中得到第一分类条件,所述第一分类条件是所述异常信息满足的分类条件;基于分类条件与告警类别的对应关系确定所述第一分类条件对应的告警类别;将所述第一分类条件对应的告警类别确定为所述第一告警日志的告警类别。本申请能够提高获取告警日志的告警类别的精度。

Description

处理告警日志的方法、装置及存储介质
技术领域
本申请涉及网络安全领域,特别涉及一种处理告警日志的方法、装置及存储介质。
背景技术
目前通信网络是人们获取信息和/或传输信息的重要工具,但同时通信网络也是不法分子实施犯罪的沃土。为了提高通信网络的安全,当前技术在通信网络中部署沙箱告警设备和采集设备,采集设备采集通信网络中的会话,得到该会话的会话信息和在该会话上传输的内容,向沙箱告警设备发送该会话信息和该内容。沙箱告警设备对该会话信息和该内容进行分析并输出沙箱告警日志。
该沙箱告警日志包括告警类别,这样基于该沙箱告警日志的告警类别可以确定该会话是否被不法分子攻击或确定该会话是否被病毒感染等。目前沙箱告警设备将该会话信息和该内容作为样本,通过模拟可执行环境对该样本进行分析得到告警日志,所以沙箱告警设备对该样本进行分析的精度依赖沙箱告警设备模拟的可执行环境的真实性。
发明人发现现有技术至少存在以下问题:
沙箱告警设备模拟的可执行环境的真实性往往较低,导致输出的告警日志的告警类别的精度较低。
发明内容
本申请提供了一种处理告警日志的方法、装置及存储介质,以提高获取告警日志的告警类别的精度。所述技术方案如下。
第一方面,本申请提供了一种处理告警日志的方法,在所述方法中,云设备获取虚拟检测环境输出的第一告警日志,第一告警日志是虚拟检测环境对第一采集设备发送的会话信息以及该会话信息所描述的会话中传输的数据内容进行分析得到的,第一告警日志包括至少一项日志内容。云设备对该至少一项日志内容进行分析,以得到第一告警日志对应的异常信息。云设备将该异常信息与多个分类条件进行匹配,以从该多个分类条件中得到第一分类条件,第一分类条件是该异常信息满足的分类条件。云设备基于分类条件与告警类别的对应关系确定第一分类条件对应的告警类别。云设备将第一分类条件对应的告警类别确定为第一告警日志的告警类别。
由于云设备对虚拟检测环境输出的至少一项日志内容进行了进一步分析,得到第一告警日志对应的异常信息,该异常信息用于反映该至少一项日志内容的安全性。再将该异常信息与多个分类条件进行匹配,得到该异常信息所满足的第一分类条件,将第一分类条件对应的告警类别作为第一告警日志的告警类别,从而提高获取第一告警日志的告警类别的精度,以便于管理员根据较为精确的告警类别快速高效地采取处置方案。
在一种可能的实现方式中,该至少一项日志内容包括第一地址、第一统一资源定位符URL、该数据内容的内容名称、该数据内容的哈希值、或第一采集设备的设备标识中的一个或多个,第一地址包括该会话的源地址和/或目的地址,第一URL用于标识该数据内容的网络来源。
在另一种可能的实现方式中,如果该至少一项日志内容包括第一地址,该异常信息包括如下一项或多项信息:第一地址的地址风险信息、第一地址的告警次数和第一地址的入侵防御系统IPS告警指示;其中,该IPS告警指示用于指示第一采集设备是否产生包括第一地址的IPS告警日志。其中,地址风险信息、告警次数、IPS告警指示是从不同维度反映第一地址的安全性,因此云设备利用丰富的、多维度的信息,提高获取第一告警日志的告警类别的精度。
在另一种可能的实现方式中,如果该异常信息包括该地址风险信息,云设备基于第一地址,从地址情报库中获取地址风险信息,地址情报库中包括第一地址与地址风险信息的对应关系。由于从地址情报库获取第一地址的地址风险信息,从而能够快速获取到该地址风险信息,提高获取第一告警日志的告警类别的效率。
在另一种可能的实现方式中,如果该异常信息包括第一地址的告警次数,云设备从第一预定时间范围内已获取的多个告警日志中选择包括第一地址的第一告警日志集合,对第一告警日志集合中的告警日志进行统计得到第一数目,其中,第一地址的告警次数等于第一数目。如此通过对包括第一地址的告警日志进行统计,能够准确地获取第一地址的告警次数。
在另一种可能的实现方式中,如果该异常信息包括IPS告警指示,云设备查询第一采集设备已产生的IPS告警日志中是否存在包括第一地址的IPS告警日志,基于查询的结果获取IPS告警指示。如此通过查询第一采集设备产生的IPS告警日志,能够准确地获取该IPS告警指示。
在另一种可能的实现方式中,如果该至少一项日志内容包括内容名称,该异常信息包括该内容名称对应的内容告警类型;其中,内容告警类型包括广告器告警类型、病毒告警类型、下载器告警类型或灰色软件告警类型。该内容告警类型是反映该数据内容的安全性的一维度,因此云设备利用内容告警类型,提高获取第一告警日志的告警类别的精度。
在另一种可能的实现方式中,云设备基于该内容名称,从内容名称和内容告警类型的对应关系中获取该内容告警类型。由于从内容名称和内容告警类型的对应关系获取该内容告警类型,从而能够快速获取到该内容告警类型,提高获取第一告警日志的告警类别的效率。
在另一种可能的实现方式中,如果该至少一项日志内容包括该内容名称、第一URL、该哈希值、和第一采集设备的设备标识,该异常信息包括采集该数据内容的采集设备数目。其中,该内容名称、第一URL和该哈希值用于标识该数据内容,在采集该数据内容的采集设备数目越大,表示越多的采集设备采集该数据内容,说明该数据内容被用户访问的次数越多。采集该数据内容的采集设备数目是反映该数据内容的安全性的一个维度,云设备利用采集该数据内容的采集设备数目,提高获取第一告警日志的告警类别的精度。
在另一种可能的实现方式中,云设备从第二预定时间范围内已获取的多个告警日志中选择包括第一URL、该哈希值和该内容名称的第二告警日志集合。云设备对第二告警日志集合中的各告警日志包括的不同设备标识进行统计,得到第四数目,第一告警日志对应的异常信息中的采集设备数目为第四数目。如此云设备准确地获取到采集该数据内容的采集设备数目。
在另一种可能的实现方式中,如果该至少一项日志内容包括第一URL,第一URL包括第一路径,该异常信息包括如下一项或多项信息:第一路径的告警次数或第一路径的路径类型。其中,该路径类型包括广告下载路径、病毒下载路径、下载器下载路径或灰色软件下载路径。该告警次数、该路径类型是从不同维度反映第一路径的安全性,云设备利用该告警次数和/或该路径类别,能够提高获取第一告警日志的告警类别的精度。
在另一种可能的实现方式中,如果该异常信息包括第一路径的告警次数,云设备从第三预定时间范围内已获取的告警日志中选择包括第一路径的第三告警日志集合,对第三告警日志集合中的告警日志进行统计得到第三数目,其中,第一路径的告警次数等于第三数目。通过对包括第一路径的告警日志进行统计,云设备能够准确地获取第一路径的告警次数。
在另一种可能的实现方式中,如果该异常信息包括该路径类型,云设备基于第一路径,从路径与路径类型的对应关系中获取该路径类型。从路径与路径类型的对应关系获取该路径类型,云设备能够快速获取到第一路径的路径类型,提高获取第一告警日志的告警类别的效率。
在另一种可能的实现方式中,第一URL还包括第一域名,该异常信息还包括如下一项或多项信息:第一域名的域名风险信息、第一域名的告警次数或第一域名的域名活跃度。域名风险信息、该告警次数、该域名活跃度是从不同维度反映第一地址的安全性,云设备利用这些多维度信息,提高获取第一告警日志的告警类别的精度。
在另一种可能的实现方式中,如果该异常信息包括域名风险信息,云设备基于第一域名,从域名情报库中获取域名风险信息,域名情报库中包括第一域名与该域名风险信息的对应关系。利用从域名情报库获取第一域名的域名风险信息,云设备能够快速获取到该域名风险信息,提高获取第一告警日志的告警类别的效率。
在另一种可能的实现方式中,如果该异常信息包括第一域名的告警次数,云设备从第四预定时间范围内已获取的第一告警日志中选择包括第一域名的第四告警日志集合,对第四告警日志集合包括的告警日志进行统计得到第四数目,其中,第一域名的告警次数等于第四数目。如此通过对包括第一域名的告警日志进行统计,能够准确地获取第一域名的告警次数。
在另一种可能的实现方式中,如果该异常信息包括该域名活跃度,云设备基于第一域名,从域名与域名活跃度的对应关系中获取该域名活跃度。从域名与域名活跃度的对应关系获取该域名活跃度,云设备能够快速获取到第一域名的域名活跃度,提高获取第一告警日志的告警类别的效率。
在另一种可能的实现方式中,第一告警日志的告警类别包括广告器告警、下载器告警、恶意病毒告警或灰色软件告警。这样由于这些告警类别能够直接反映出告警原因,这样基于第一告警日志的告警类别就能够确定产生第一告警日志的告警原因。
在另一种可能的实现方式中,广告器告警对应的分类条件包括如下至少一项:第一地址的地址风险信息是广告类型的地址风险信息,第一URL中的第一域名的域名风险信息是广告类型的域名风险信息,第一URL中的第一路径的路径类型是广告下载路径,第一域名的域名活跃度超过第一阈值,采集该数据内容的采集设备数目超过第二阈值,或该内容名称对应的内容告警类型是广告器告警类型。
在另一种可能的实现方式中,下载器告警对应的分类条件包括如下至少一项:第一地址的地址风险信息是下载器类型的地址风险信息,第一URL中的第一域名的域名风险信息是下载器类型的域名风险信息,第一URL中的第一路径的路径类型是下载器下载路径,第一域名的域名活跃度超过第三阈值,采集该数据内容的采集设备数目超过第四阈值,或该内容名称对应的内容告警类型是下载器告警类型。
在另一种可能的实现方式中,恶意病毒告警对应的分类条件包括如下至少一项:第一地址的地址风险信息是病毒类型的地址风险信息,第一URL中的第一域名的域名风险信息是病毒类型的域名风险信息,第一地址的IPS告警指示用于指示第一采集设备产生包括第一地址的IPS告警日志,第一域名的域名活跃度超过第五阈值,或该内容名称对应的内容告警类型是病毒告警类型。
在另一种可能的实现方式中,灰色软件告警对应的分类条件包括如下至少一项:第一地址的地址风险信息是灰色软件类型的地址风险信息,第一URL中的第一域名的域名风险信息是灰色软件类型的域名风险信息,第一地址的告警次数超过第六阈值,第一域名的告警次数超过第七阈值,第一URL中的第一路径的告警次数超过第八阈值,或该内容名称对应的内容告警类型是灰色软件告警类型。
第二方面,本申请提供了一种处理告警日志的装置,用于执行第一方面或第一方面的任意一种可能的实现方式中的方法。具体地,所述装置包括用于执行第一方面或第一方面的任意一种可能的实现方式中的方法的单元。
第三方面,本申请提供了一种处理告警日志的设备,所述设备包括处理器和存储器。其中,所述处理器以及所述存储器之间可以通过内部连接相连。所述存储器用于存储程序,所述处理器用于执行所述存储器中的程序,使得所述装置完成第一方面或第一方面的任意可能的实现方式中的方法。
第四方面,本申请提供了一种计算机程序产品,所述计算机程序产品包括在计算机可读存储介质中存储的计算机程序,并且所述计算程序通过处理器进行加载来实现上述第一方面或第一方面任意可能的实现方式的方法。
第五方面,本申请提供了一种计算机可读存储介质,用于存储计算机程序,所述计算机程序通过处理器进行加载来执行上述第一方面或第一方面任意可能的实现方式的方法。
第六方面,本申请提供了一种芯片,包括存储器和处理器,存储器用于存储计算机指令,处理器用于从存储器中调用并运行该计算机指令,以执行上述第一方面及其第一方面任意可能的实现方式中的方法。
附图说明
图1是本申请实施例提供的一种网络架构示意图;
图2是本申请实施例提供的一种处理告警日志的方法流程图;
图3是本申请实施例提供的一种产生第一告警日志的方法流程图;
图4是本申请实施例提供的一种处理告警日志的装置结构示意图;
图5是本申请实施例提供的另一种处理告警日志的装置结构示意图;
图6是本申请实施例提供的一种采集设备结构示意图;
图7是本申请实施例提供的一种告警设备结构示意图。
具体实施方式
下面将结合附图对本申请实施方式作进一步地详细描述。
参见图1,本申请实施例提供了一种网络架构100,包括:云设备101、至少一个告警设备102和至少一个采集设备103。其中,对于该至少一个采集设备103中的每个采集设备,该采集设备与一个或多个告警设备102通信,每个告警设备102与云设备101通信,每个告警设备102用于运行虚拟检测环境。
每个采集设备103对通过本采集设备传输的流量进行安全检测,根据安全检测的结果生成入侵防御系统(intrusion prevention system,IPS)告警日志。该采集设备103在对流量进行安全检测的过程中,支持基于会话(或称为“流”)状态的检测。采集设备103从该会话中获取该会话的会话信息和该会话上传输的数据内容,向与该采集设备103通信的告警设备102发送该会话信息和该数据内容。
对于与该采集设备103通信的告警设备102,该告警设备102接收该会话信息和该数据内容,运行在该告警设备102上的虚拟检测环境对该会话信息和该数据内容进行分析,得到告警日志。云设备101获取该虚拟检测环境输出的告警日志,对该告警日志进行处理,以得到该告警日志的第一告警类别。
例如,在图1所示的示例中,在通信网络中,第一终端与第一服务器之间的会话经过采集设备1031,第二终端与第二服务器之间的会话经过采集设备1032。对于第一终端与第一服务器之间的会话,采集设备1031接收第一终端发送的会话1中的报文,向第一服务器转发会话1中的报文;或,采集设备1031接收第一服务器发送的会话1中的报文,向第一终端转发会话1中的报文。采集设备1031从会话1中获取该会话的会话信息和在该会话上传输的数据内容,向告警设备102发送该会话信息和该数据内容。运行在该告警设备102上的虚拟检测环境对该会话信息和该数据内容进行分析,得到告警日志。云设备101获取该虚拟检测环境输出的告警日志,对该告警日志进行处理,以得到该告警日志的第一告警类别。
该会话信息包括该会话的地址和该数据内容的统一资源定位符(uniformresource locator,URL)。该会话的地址包括该会话的源地址和/或目的地址。该URL用于标识该数据内容的网络来源。
可选的,该会话的会话信息还包括该会话的端口号和/或该会话的协议类型。该会话的端口号包括该会话的源端口号和/或目的端口号。
可选的,云设备101对该告警日志进行处理得到的第一告警类别包括广告器告警、下载器告警、恶意病毒告警或灰色软件告警等。
该告警日志包括至少一项日志内容,例如该至少一项日志内容包括该会话的地址、该数据内容的URL、该数据内容的内容名称、该数据内容的哈希值、或该采集设备103的设备标识中的一个或多个。
可选的,该告警日志除了包括上述至少一项日志内容外,还包括其他日志内容。例如,还包括该会话的端口号、该会话的协议类型、该数据内容的内容类型、该数据内容的数据量、该数据内容的病毒家族信息、或第二告警类别等中一个或多个。
其中,该告警日志中的第二告警类别是虚拟检测环境产生的告警类别,包括高危、中危、低危或安全四种类别,第二告警类别是一种模糊的类别,无法准确反映告警产生原因等内容,所以第二告警类别的精度比较低。为此云设备101获取虚拟检测环境输出的告警日志,对该告警日志进行处理,以得出精度更高的该告警日志的第一告警类别,基于第一告警类别确定告警产生的原因等内容。例如,假设第一告警类别是恶意病毒告警,则能确定产生告警的原因是恶意病毒。
可选的,在该URL包括域名的情况下,该告警日志还包括该域名。综上所述,上述总共列举了14项日志内容,该14项日志内容如表1所示。也就是说,该告警日志包括如下表1中所示的14项日志内容中的部分日志内容或全部日志内容。
表1
Figure BDA0002912087060000061
可选地,云设备101是一个单独的网络设备,即云设备101与每个告警设备102为不同的设备。或者,云设备101与该至少一个告警设备102中的一个告警设备是同一设备,即云设备101与该告警设备集成为一个设备,此场景下该告警设备与其他每个告警设备通信。
上述虚拟检测环境包括沙箱等,虚拟检测环境输出的告警日志包括沙箱告警日志等。其中,虚拟检测环境(或沙箱)是一种安全机制,是虚拟化的一种。沙箱为运行中的程序提供隔离环境,通常是作为一些来源不可信、无法判定程序意图或具有破坏性的程序提供实验之用。
附图1中的至少一个采集设备103包括防火墙和/或探针等。
可选的,对于每个采集设备103,该采集设备103还与云设备101通信,该采集设备103在接收该会话时,对该会话进行分析得到IPS告警日志,向云设备101发送该IPS告警日志。
IPS告警日志包括该会话的地址等内容,即该IPS告警日志包括该会话的源地址和/或目的地址等内容。
可选的,云设备101包括地址情报库,地址情报库用于保存地址与地址风险信息的对应关系。对于该地址情报库中的每条记录,该记录包括地址和该地址对应的地址风险信息,该地址风险信息用于描述该地址的风险。
可选的,该地址风险信息包括该地址对应的地址风险值或者该地址对应的风险类型等。
该地址对应的地址风险值用于反映该地址对应的风险强度,例如,该地址对应的地址风险值越大,表示该地址对应的风险强度越高。
该地址对应的风险类型包括该地址对应的病毒家族类型、广告器类型、下载器类型或灰色软件类型等。
可选的,该地址情报库中的记录是技术人员配置的,和/或,是云设备101获取的。在实现时,云设备101获取技术人员配置的包括地址和地址风险信息的记录,并将获取的记录保存在该地址情报库中;和/或,云设备101产生包括地址和地址风险信息的记录,并将产生的记录保存在该地址情报库中;和/或,云设备101接收其他设备发送的包括地址和地址风险信息的记录,并将接收的记录保存在该地址情报库中,其他设备包括威胁情报设备和/或蜜罐设备等。
参见下表2,表2为云设备101包括的地址情报库,对于该地址情报库中的第一条记录,第一条记录包括地址“IP1”和地址风险信息“Adware/AD.Qjwmonkey”,“Adware/AD.Qjwmonkey”是一种广告器类型。对于该对应关系中的第二条记录,第二条记录包括地址“IP2”和地址风险信息“80”,“80”为地址风险值。
表2
序号 地址 地址风险信息
1 IP1 Adware/AD.Qjwmonkey
2 IP2 80
…… …… ……
可选的,云设备101包括域名情报库,域名情报库用于保存域名与域名风险信息的对应关系。对于域名情报库中的每条记录,该记录包括域名和该域名对应的域名风险信息,该域名风险信息用于描述该域名的风险。
可选的,该域名风险信息包括该域名对应的域名风险值或者该域名对应的风险类型等。
该域名对应的域名风险值用于反映该域名对应的风险强度,例如,该域名对应的域名风险值越大,表示该域名对应的风险强度越高。
该域名对应的风险类型包括该域名对应的病毒家族类型、广告器类型、下载器类型或灰色软件类型等。
可选的,该地址情报库中的记录是技术人员配置,和/或,是云设备101获取的。在实现时,云设备101获取技术人员配置的包括域名和域名风险信息的记录,并将获取的记录保存在该域名情报库中;和/或,云设备101产生包括域名和域名风险信息的记录,并将产生的记录保存在该域名情报库中;和/或,云设备101接收其他设备发送的包括域名和域名风险信息的记录,并将接收的记录保存在该地址情报库中,其他设备包括威胁情报设备和/或蜜罐设备等。
参见下表3,表3为云设备101包括的域名情报库,对于该域名情报库中的第一条记录,第一条记录包括域名“Domain1”和域名风险信息“Globelmposte”,“Globelmposte”是一种病毒家族类型。对于该对应关系中的第二条记录,第二条记录包括域名“Domain2”和域名风险信息“90”,“90”为域名风险值。
表3
序号 域名 域名风险信息
1 Domain1 Globelmposte
2 Domain2 90
…… …… ……
可选的,云设备101包括内容名称和内容告警类型的对应关系,内容名称和内容告警类型的对应关系中的每条记录包括数据内容的内容名称和该数据内容对应的内容告警类型。该数据内容对应的内容告警类型包括广告器告警类型、病毒告警类型、下载器告警类型或灰色软件告警类型等。
可选的,该数据内容为文件或网页等,该数据内容的内容名称为文件名称或网页名称等。
可选的,内容名称和内容告警类型的对应关系中的记录是技术人员配置的,和/或,是云设备101获取的。在实现时,云设备101获取技术人员配置的包括内容名称和内容告警类型的记录,并将获取的记录保存在内容名称和内容告警类型的对应关系中;和/或,云设备101产生包括内容名称和内容告警类型的记录,并将产生的记录保存在内容名称和内容告警类型的对应关系中;和/或,云设备101接收其他设备发送的包括内容名称和内容告警类型的记录,并将接收的记录保存在内容名称和内容告警类型的对应关系中,其他设备包括云沙箱设备等。
参见下表4,表4为内容名称和内容告警类型的对应关系,对于表4所示对应关系中的第一条记录,第一条记录包括内容名称“Filename1”和“Filename1”对应的内容告警类型,该内容告警类型为病毒告警类型。“Filename1”是一个文件名称,第一条记录表示“Filename1”对应的文件为病毒文件。
对于表4所示对应关系中的第二条记录,第二条记录包括内容名称“Filename2”和“Filename2”对应的内容告警类型,该内容告警类型为广告器告警类型。“Filename2”是一个文件名称,第二条记录表示“Filename2”对应的文件为广告文件。
表4
序号 内容名称 内容告警类型
1 Filename1 病毒告警类型
2 Filename2 广告器告警类型
…… …… ……
可选的,云设备101包括路径和路径类型的对应关系,路径和路径类型的对应关系中的每条记录包括数据内容对应的路径和该路径对应的路径类型。该路径对应的路径类型包括广告下载路径、病毒下载路径、下载器下载路径或灰色软件下载路径。
该路径是该数据内容对应的URL包括的路径,该URL用于标识该数据内容的网络来源。通常该URL包括协议、地址和路径等信息,或者,该URL包括协议、域名和路径等信息,即该URL可表示为:协议+地址/域名+路径。其中,协议包括“http”等协议。例如,对于URL:http://www.baidu.com/aaaa/ssss/qq.exe,该URL包括协议、域名和路径等信息,协议为“http”协议,域名为“www.baidu.com”,路径为“aaaa/ssss/qq”。再例如,对于URL:http://192.168.1.1/admin/test.exe,该URL包括协议、地址和路径等信息,协议为“http”协议,地址为“192.168.1.1”,路径为“admin/test”。
可选的,路径和路径类型的对应关系中的记录是技术人员配置的,和/或,是云设备101获取的。在实现时,云设备101获取技术人员配置的包括路径和路径类型的记录,并将获取的记录保存在路径和路径类型的对应关系中;和/或,云设备101产生包括路径和路径类型的记录,并将产生的记录保存在路径和路径类型的对应关系中;和/或,云设备101接收其他设备发送的包括路径和路径类型的记录,并将接收的记录保存在路径和路径类型的对应关系中,其他设备包括云沙箱设备等。
参见下表5,表5为路径和路径类型的对应关系,对于表5所示对应关系中的第一条记录,第一条记录包括路径“Path1”和“Path1”对应的路径类型为病毒下载路径。对于表5所示对应关系中的第二条记录,第二条记录包括路径“Path2”和“Path2”对应的路径类型为广告器下载路径。
表5
序号 路径 路径类型
1 Path1 病毒下载路径
2 Path2 广告器下载路径
…… …… ……
可选的,云设备101包括域名与域名活跃度的对应关系,域名与域名活跃度的对应关系中的每条记录包括域名和该域名对应的域名活跃度。该域名对应的域名活跃度用于反映该域名被用户访问的情况,也就是说,该域名对应的域名活跃度越大,该域名被用户访问的次数越高。可选的,该域名对应的域名活跃度包括该域名被用户访问的访问次数。
可选的,云设备101能够获取到用户访问的URL。云设备101每当获取到用户访问的URL时,如果该URL包括域名,在域名与域名活跃度的对应关系中增加该域名对应的域名活跃度。
参见下表6,表6为域名与域名活跃度的对应关系,对于表6所示对应关系中的第一条记录,第一条记录包括域名“Domain1”和“Domain1”对应的域名活跃度“105”,表示域名“Domain1”被用户访问105次。对于表6所示对应关系中的第二条记录,第二条记录包括域名“Domain2”和“Domain2”对应的域名活跃度“100”,表示域名“Domain2”被用户访问100次。
表6
序号 域名 域名活跃度
1 Domain1 105
2 Domain2 100
…… …… ……
参见图2,本申请实施例提供了一种处理告警日志的方法200,该方法应用于图1所示的网络架构100,该方法包括:
步骤201:云设备获取虚拟检测环境输出的第一告警日志,第一告警日志是虚拟检测环境对第一采集设备发送的会话信息以及会话信息所描述的会话中传输的数据内容进行分析得到的,第一告警日志包括至少一项日志内容。
步骤202:云设备对该至少一项日志内容进行分析,以得到第一告警日志对应的异常信息。
步骤203:云设备将该异常信息与多个分类条件进行匹配,以从该多个分类条件中得到第一分类条件,第一分类条件是该异常信息满足的分类条件。
步骤204:云设备基于分类条件与告警类别的对应关系确定第一分类条件对应的告警类别。
步骤205:云设备将第一分类条件对应的告警类别确定为第一告警日志的第一告警类别。
在本申请实施例中,云设备对第一告警日志包括的至少一项日志内容进行分析,得到第一告警日志对应的异常信息。将该异常信息与多个分类条件进行匹配,得到该异常信息满足的第一分类条件,将第一分类条件对应的告警类别确定为第一告警日志的告警类别。由于第一告警日志对应的异常信息用于反映第一告警日志的安全性高低,所以将该异常信息满足的第一分类条件对应的告警类别作为第一告警日志的第一告警类别,增加了获取第一告警日志的第一告警类别的精度。
对于上述图2所示的方法200,接下来本申请实施例结合图1所示的网络架构100,对所述方法200中的各步骤进行说明。
对于所述方法200中的步骤201,在步骤201中,虚拟检测环境运行在告警设备中。该告警设备接收第一采集设备发送的会话的会话信息和该会话上传输的数据内容。运行在该告警设备上的虚拟检测环境将该会话信息和数据内容作为样本,即该样本包括该会话信息和数据内容,对该样本进行分析得到第一告警日志,并输出第一告警日志。在云设备与该告警设备是两个不同设备的情况下,该告警设备向云设备发送虚拟检测环境输出的第一告警日志,云设备接收第一告警日志。在云设备与该告警设备集成在同一个设备的情况下,云设备直接获取虚拟检测环境输出的第一告警日志。
可选的,参见图3,上述虚拟检测环境产生并输出第一告警日志的过程包括步骤2011至步骤2015。
2011:第一采集设备接收会话,获取该会话的会话信息和该会话上传输的数据内容。
第一采集设备是位于通信网络中的任意一个采集设备。
该会话往往包括至少一个报文,每个报文包括报文头和净荷,该报文头和/或该净荷包括该会话的会话信息,该净荷包括该数据内容中的部分内容。
在2011中,第一采集设备接收会话实质是接收该至少一个报文,从接收的报文中提取该会话的会话信息,以及从接收的每个报文中分别获取每个报文的净荷,基于每个报文的净荷恢复该数据内容。
可选的,该会话信息包括第一地址和第一URL。第一地址是该会话的地址,包括该会话的源地址和/或目的地址。第一URL是该数据内容的URL,用于标识该数据内容的网络来源。
可选的,该会话的会话信息还包括该会话的端口号和/或该会话的协议类型。该会话的端口号包括该会话的源端口号和/或目的端口号。
例如,假设第一采集设备为图1所示网络架构中的采集设备1031,以及假设第一终端需要从第一服务器中下载文件。第一终端发送用于获取该文件的请求消息。第一采集设备(即为采集设备1031)接收该请求消息,向第一服务器发送该请求消息。服务器接收该请求消息,基于该请求消息获取该文件,根据会话建立过程中与客户端协商出的最大传输单元(Maximum Transmission Unit,MTU)值能信息,将该文件的片段封装到多个报文(例如报文1、报文2和报文3)中,发送报文1、报文2和报文3。第一采集设备接收第一服务器发送的报文1、报文2和报文3,并向第一终端转发接收的报文1、报文2和报文3,从而实现数据转发。
其中,第一采集设备在接收到报文1、报文2和报文3后,从接收的报文获取该会话的会话信息。该会话信息包括第一地址和第一URL,第一地址包括该会话的源地址“34.68.24.12”和/或目的地址“10.184.221.65”,第一URL为该文件的URL,假设第一URL为“http://www.baidu.com/aaaa/ssss/qq.exe”,第一URL包括域名“www.baidu.com”和路径“aaaa/ssss/qq.exe”。
可选的,该会话信息还包括该会话的源端口号“5006”、目的端口号“80”和协议类型“文件传输协议(file transfer protocol,FTP)”中的一个或多个。第一采集设备基于该报文1的净荷、报文2的净荷和报文3的净荷恢复该文件,该文件即为在该会话上传输的数据内容。
可选的,在上述列举的例子中,该文件是可执行文件,例如该文件的类型包括可移植的执行体(portable executable,PE)、Office、便携文件格式(portable documentformat,PDF)或ZIP等类型中。其中,Office是办公软件的类型,ZIP是一种数据压缩和文档存储的文件格式,PE、Office、PDF、ZIP等类型的文件为可执行文件。
对于上述第一采集设备,第一采集设备在转发该会话中的报文时,对该会话中的报文进行安全检测得到IPS告警日志,该IPS告警日志包括第一地址等内容,向云设备发送该IPS告警日志。云设备接收该IPS告警日志,将第一采集设备的设备标识与该IPS告警日志对应保存在设备标识与IPS告警日志的对应关系中。
通信网络中的其他采集设备也同第一采集设备一样,在接收到会话时产生IPS告警日志并向云设备发送该IPS告警日志。所以在云设备包括的设备标识与IPS告警日志的对应关系中保存有不同采集设备产生的IPS告警日志。
2012:第一采集设备向告警设备发送该会话的会话信息和该会话上传输的数据内容。
第一采集设备向与其自身通信的告警设备发送该会话的会话信息和该会话上传输的数据内容。
例如,第一采集设备以图1所示网络架构中的采集设备1031为例,第一采集设备向与第一采集设备通信的告警设备发送该会话信息和该数据内容(为上述文件)。
2013:运行在该告警设备上的虚拟检测环境接收该会话信息和该数据内容,对该会话信息和该数据内容进行分析,得到第一告警日志,并输出第一告警日志。
可选的,运行在该告警设备上的虚拟检测环境是沙箱,该虚拟检测环境输出的第一告警日志是沙箱告警日志。
可选的,在2013中,该虚拟检测环境模拟可执行环境,基于该模拟可执行环境对样本进行分析,得到第一告警日志,该样本包括该会话信息和该会话内容。
第一告警日志包括至少一项日志内容,该至少一项日志内容包括第一地址、第一URL、该数据内容的内容名称、该数据内容的哈希值、或第一采集设备的设备标识中的一个或多个,第一地址包括该会话的源地址和/或目的地址。
可选的,第一告警日志还包括该会话的端口号、该会话的协议类型、该数据内容的内容类型、该数据内容的数据量、该数据内容的病毒家族信息,第二告警类别或第一域名等中一个或多个。该端口号包括该会话的源端口号和/或目的端口号。
第一域名是第一URL包括的域名。其中,需要说明的是:第一URL包括第一域名和路径,或者,第一URL包括地址和路径;在第一URL包括第一域名的情况下,第一告警日志才能包括第一域名。
例如,第一采集设备以图1所示网络架构中的采集设备1031为例,对于与第一采集设备(采集设备1031)通信的告警设备,运行在该告警设备上的虚拟检测环境接收会话信息和数据内容,该数据内容是一个文件。虚拟检测环境对该会话信息和该数据内容进行分析,得到第一告警日志,第一告警日志包括的第一地址、第一URL、该数据内容的内容名称、该数据内容的哈希值、或第一采集设备的设备标识中的一个或多个。其中,假设第一地址为该会话的源地址“34.68.24.12”,第一URL包括域名“www.baidu.com”和路径“aaaa/ssss/qq.exe”,该内容名称为该文件的文件名称“qq.exe”,该哈希值为该文件的哈希值“93b609fc9c8517911328b3fde5d2907e”,第一采集设备的设备标识为第一采集设备的地址“192.168.4.12”。
在该例子中,第一告警日志还包括目的地址“10.184.221.65”、源端口号“5006”、目的端口号“80”、该会话的协议类型“FTP”、该数据内容的内容类型、该数据内容的数据量、该数据内容的病毒家族信息,第二告警类别或第一域名等中一个或多个。该数据内容的内容类型为该文件的文件类型,假设该文件类型为“PE”;该数据内容的数据量为该文件中的数据量,假设该数据量为“1138120kb”,该数据内容的病毒家族信息为该文件中包括的病毒家族信息,假设该病毒家族信息为该病毒家族的类型“Globelmposte”,第一域名为第一URL包括的域名“www.baidu.com”,以及假设第二告警类别为高危。参下表7,第一告警日志包括如下表7中的一项或多项日志内容。
表7
Figure BDA0002912087060000131
可选的,在该云设备与该告警设备是同一设备的情况,云设备直接获取运行在云设备上的虚拟检测环境输出的第一告警日志。在该云设备和该告警设备是两个不同设备的情况,还继续执行如下操作2014-2015的操作。
2014:告警设备向云设备发送第一告警日志。
例如,告警设备向云设备发送如表7所示的第一告警日志。
2015:云设备接收第一告警日志。
例如,云设备接收如表7所示的第一告警日志。
可选的,云设备保存第一告警日志。
可选的,如果第一告警日志包括第一URL且第一URL包括第一域名,云设备在域名与域名活跃度的对应关系增加第一域名对应的域名活跃度。
其中,通信网络中的其他告警设备也会产生告警日志,并向云设备发送产生的告警日志。云设备接收并保存不同告警设备发送的告警日志。
对于所述方法200中的步骤202,在步骤202中,异常信息包括一项或多项信息,对于异常信息中的每项信息,该项信息是云设备对第一告警日志中的一项或多项日志内容进行分析得到的。
第一告警日志中的至少一项日志内容包括第一地址、第一URL、该数据内容的内容名称、该数据内容的哈希值、或第一采集设备的设备标识中的一个或多个。
接下来,针对第一告警日志中的一项或多个项日志内容,详细说明对该一项或多项日志内容进行分析的过程,以得到该异常信息包括的信息。
如果该至少一项日志内容包括第一地址,则该异常信息包括如下一项或多项信息:第一地址的地址风险信息、第一地址的告警次数和第一地址的IPS告警指示;其中,该IPS告警指示用于指示第一采集设备是否产生包括第一地址的IPS告警日志。
第一地址的地址风险信息、第一地址的告警次数和第一地址的IPS告警指示是从不同维度反映第一地址的安全性。其中,第一地址的地址风险信息用于反映第一地址的风险强度,从而可以表达出第一地址的安全性高低。第一地址的告警次数越大,第一地址的安全性越低,第一地址的告警次数越小,第一地址的安全性越高,所以第一地址的告警次数能够反映第一地址的安全性高低。在该IPS告警指示用于指示第一采集设备产生包括第一地址的IPS告警日志,表示第一地址的安全性越低,在该IPS告警指示用于指示第一采集设备没有产生包括第一地址的IPS告警日志,表示第一地址的安全性越高。
可选的,如果该异常信息包括第一地址的地址风险信息,云设备得到第一地址的地址风险信息的操作为:
云设备基于第一地址和地址情报库获取第一地址的地址风险信息。
在实现时,云设备基于第一地址,查找地址情报库,如果查找出对应的地址风险信息,将查找的地址风险信息作为第一地址的地址风险信息;如果没有查找出对应的地址风险信息,停止获取第一地址的地址风险信息,在此情况下,该异常信息不包括第一地址的地址风险信息。
例如,以上述表7所示的第一告警日志为例,第一告警日志包括的第一地址为“IP1”,如果该异常信息包括“IP1”的地址风险信息,云设备基于“IP1”,查找如表2所示的地址情报库,查找出对应的地址风险信息为“Adware/AD.Qjwmonkey”,将“Adware/AD.Qjwmonkey”作为“IP1”的地址风险信息。
可选的,如果该异常信息包括第一地址的告警次数,云设备得到第一地址的告警次数的操作为:
云设备从第一预定时间范围内已获取的多个告警日志中选择包括第一地址的第一告警日志集合,对第一告警日志集合中的告警日志进行统计得到第一数目,其中,第一地址的告警次数等于第一数目。
第一预定时间范围的时间长度为第一指定时长,第一预定时间范围的结束时间为当前时间。
可选的,云设备获取不同虚拟检测环境输出的告警日志,并保存每次获取的告警日志,这样云设备基于第一指定时长和当前时间确定第一预定时间范围,从保存的告警日志中选择在第一预定时间范围内已获取的告警日志。或者,云设备保存的各条告警日志的时间长度不超过第一指定时长,即云设备会删除保存时间长度超过第一指定时长的告警日志,所以云设备中保存的告警日志为第一预定时间范围内已获取的告警日志,云设备获取保存的告警日志,得到在第一预定时间范围内已获取的告警日志。
例如,以上述表7所示的第一告警日志为例,第一告警日志包括的第一地址为“IP1”,云设备从第一预定时间范围内已获取的多个告警日志中选择包括“IP1”的第一告警日志集合,对第一告警日志集合中的告警日志进行统计得到第一数目,假设第一数目为80,其中,“IP1”的告警次数等于80。
可选的,如果该异常信息包括第一地址的IPS告警指示,云设备得到第一地址的IPS告警指示的操作为:
云设备查询第一采集设备已产生的IPS告警日志中是否存在包括第一地址的IPS告警日志,基于查询的结果获取第一地址的IPS告警指示。
第一采集设备与云设备通信,第一采集设备每当接收到会话时,对该会话进行分析,得到IPS告警日志,向云设备发送IPS告警日志。云设备接收该IPS告警日志,将第一采集设备的设备标识和该IPS告警日志对应保存在设备标识与IPS告警日志的对应关系中。
可选的,云设备得到第一地址的IPS告警指示的操作具体为:云设备基于第一采集设备的设备标识,从设备标识与IPS告警日志的对应关系中获取第一采集设备已产生的IPS告警日志;查询第一采集设备已产生的IPS告警日志中是否存在包括第一地址的IPS告警日志,如果查询的结果是存在包括第一地址的IPS告警日志,确定该IPS告警指示用于指示第一采集设备产生包括第一地址的IPS告警日志,如果查询的结果是不存在包括第一地址的IPS告警日志,确定该IPS告警指示用于指示第一采集设备没有产生包括第一地址的IPS告警日志。
如果该至少一项日志内容包括该数据内容的内容名称,该异常信息包括该内容名称对应的内容告警类型;其中,该内容告警类型包括广告器告警类型、病毒告警类型、下载器告警类型或灰色软件告警类型等。
该内容告警类型是反映该数据内容的安全性高低的一个维度,在该内容告警类型包括广告器告警类型、病毒告警类型、下载器告警类型或灰色软件告警类型时,表示该数据内容的安全低。
可选的,云设备得到该内容名称对应的内容告警类型的操作为:
云设备基于内容名称和内容告警类型的对应关系以及该内容名称,获取该内容名称对应的内容告警类型。
在实现时,云设备基于该内容名称,查找内容名称和内容告警类型的对应关系,如果查找出对应的内容告警类型,将查找的内容告警类型作为该内容名称对应的内容告警类型;如果没有查找出对应的内容告警类型,停止获取该内容名称对应的内容告警类型,在此情况下,该异常信息不包括该内容名称对应的内容告警类型。
例如,以上述表7所示的第一告警日志为例,第一告警日志包括内容名称为“Filename1”,云设备基于“Filename1”,查找如表4所示的内容名称和内容告警类型的对应关系,查找出对应的内容告警类型为病毒告警类型,将该病毒告警类型作为“Filename1”对应的内容告警类型。
如果该至少一项日志内容包括该数据内容的内容名称、第一URL、该数据内容的哈希值和第一采集设备的设备标识,该异常信息包括采集该数据内容的采集设备数目。其中,需要说明的是:第一URL、该数据内容的内容名称和哈希值用于唯一地标识该数据内容。
该采集设备数目也是反映该数据内容的安全性高低的一个维度,该采集设备数目越大,说明有越多的采集设备采集到该数据内容,也就是说,请求该数据内容的用户越多,从而表示该数据内容的安全性越高。
可选的,云设备得到采集该数据内容的采集设备数目的操作为:
云设备从第二预定时间范围内已获取的多个告警日志中选择包括第一URL、该数据内容的哈希值和内容名称的第二告警日志集合;对第二告警日志集合中的各告警日志包括的不同设备标识进行统计,得到第二数目,第一告警日志对应的异常信息中的采集设备数目为第二数目。
第二预定时间范围的时间长度为第二指定时长,第二预定时间范围的结束时间为当前时间。云设备基于第二指定时长和当前时间,确定第二预定时间范围。
云设备得到第二预定时间范围内已获取的多个告警日志的过程,参见上述得到第一预定时间范围内已获取的多个告警日志的过程,在此不再详细说明。
如果该至少一项日志内容包括第一URL,第一URL包括第一路径,该异常信息包括如下一项或多项信息:第一路径的告警次数或第一路径的路径类型。其中,第一路径的路径类型包括广告下载路径、病毒下载路径、下载器下载路径或灰色软件下载路径等。
第一路径的告警次数,第一路径的路径类型是从不同维度反映第一路径的安全性。其中,第一路径的告警次数越大,第一路径的安全性越低,第一路径的告警次数越小,第一路径的安全性越高,所以第一路径的告警次数反映第一路径的安全性高低。在该路径类型包括广告下载路径、病毒下载路径、下载器下载路径或灰色软件下载路径时,表示第一路径的安全低。
可选的,如果该异常信息包括第一路径的告警次数,云设备得到第一路径的告警次数的操作为:
云设备从第三预定时间范围内已获取的告警日志中选择包括第一路径的第三告警日志集合,对第三告警日志集合包括的告警日志进行统计得到第三数目,其中,第一路径的告警次数等于第三数目。
第三预定时间范围的时间长度为第三指定时长,第三预定时间范围的结束时间为当前时间。云设备基于第三指定时长和当前时间,确定第三预定时间范围。
云设备得到第三预定时间范围内已获取的多个告警日志的过程,参见上述得到第一预定时间范围内已获取的多个告警日志的过程,在此不再详细说明。
可选的,如果该异常信息包括第一路径的路径类型,云设备得到第一路径的路径类型的操作为:
云设备基于路径与路径类型的对应关系以及第一路径,获取第一路径的路径类型。
在实现时,云设备基于第一路径,查找路径与路径类型的对应关系,如果查找出对应的路径类型,将查找的路径类型作为第一路径的路径类型;如果没有查找出对应的路径类型,停止获取第一路径的路径类型,在此情况下,该异常信息不包括第一路径的内容告警类型。
例如,以上述表7所示的第一告警日志为例,第一告警日志中的第一URL包括第一域名“Domain1”和第一路径“Path1”,云设备基于“Path1”,查找如表6所示的路径和路径类型的对应关系,查找出对应的路径类型为病毒下载路径,将该病毒下载路径作为“Path1”的路径类型。
可选的,第一URL还包括第一域名,该异常信息还包括如下一项或多项信息:第一域名的域名风险信息、第一域名的告警次数或第一域名的域名活跃度。
第一域名的告警次数,第一路径的域名风险信息和第一域名的域名活跃度是从不同维度反映第一域名的安全性。其中,第一域名的告警次数越大,第一域名的安全性越低,第一域名的告警次数越小,第一域名的安全性越高,所以第一域名的告警次数能反映第一域名的安全性高低。第一域名的域名风险信息用于反映第一域名的风险强度,从而可以表达出第一域名的安全性高低。第一域名的域名活跃度越大,表示访问第一域名的用户越多,从而说明第一域名的安全性越高,第一域名的域名活跃度越小,表示访问第一域名的用户越少,从而说明第一域名的安全性越低,所以第一域名的域名活跃度能反映第一域名的安全性高低。
可选的,如果该异常信息包括第一域名的域名风险信息,云设备得到第一域名的域名风险信息的操作为:
云设备基于第一域名和域名情报库,获取第一域名的域名风险信息。
在实现时,云设备基于第一域名,查找域名情报库,如果查找出对应的域名风险信息,将查找的域名风险信息作为第一域名的域名风险信息;如果没有查找出对应的域名风险信息,停止获取第一域名的域名风险信息,在此情况下,该异常信息不包括第一域名的域名风险信息。
例如,以上述表7所示的第一告警日志为例,第一告警日志中的第一URL包括第一域名“Domain1”,云设备基于“Domain1”,查找如表3所示的域名情报库,并查找出对应的域名风险信息,该域名风险信息为病毒家族信息“Globelmposte”,将病毒家族信息“Globelmposte”作为“Domain1”的域名风险信息。
可选的,如果该异常信息包括第一域名的告警次数,云设备得到第一域名的告警次数的操作为:
云设备从第四预定时间范围内已获取的告警日志中选择包括第一域名的第四告警日志集合,对第四告警日志集合包括的告警日志进行统计得到第四数目,其中,第一域名的告警次数等于第四数目。
第四预定时间范围的时间长度为第四指定时长,第四预定时间范围的结束时间为当前时间。云设备基于第四指定时长和当前时间,确定第四预定时间范围。
云设备得到第四预定时间范围内已获取的多个告警日志的过程,参见上述得到第一预定时间范围内已获取的多个告警日志的过程,在此不再详细说明。
可选的,如果该异常信息包括第一域名的域名活跃度,云设备得到第一域名的域名活跃度的操作为:
云设备基于第一域名,从域名与域名活跃度的对应关系中获取第一域名的域名活跃度。
例如,以上述表7所示的第一告警日志为例,第一告警日志中的第一URL包括第一域名“Domain1”,云设备基于“Domain1”,从如表7所示的域名与域名活跃度的对应关系中获取“Domain1”对应的域名活跃度,该域名活跃度为105。
对于所述方法200中的步骤203,云设备包括分类条件与告警类别的对应关系,该对应关系包括多个分类条件,每个分类条件包括至少一条项子条件。
在步骤203中,云设备从分类条件与告警类别的对应关系中获取一个分类条件,该分类条件包括至少一项子条件。对于该分类条件包括的每项子条件,在该异常信息包括的信息中选择每项子条件对应的信息。将每项子条件对应的信息分别与每项子条件进行匹配,如果每项子条件对应的信息分别与每项子条件匹配,确定该异常信息满足该分类条件,并将该分类条件作为该异常信息满足的第一分类条件。如果存在子条件对应的信息与该子条件不匹配,确定该异常信息不满足该分类条件,从分类条件与告警类别的对应关系中获取其他分类条件,并按上述过程将该其他分类条件与该异常信息进行匹配。
对于分类条件与告警类别的对应关系包括的每个分类条件,如果匹配出该异常信息不满足每个分类条件,对于第一告警日志执行预设操作。例如预设操作是提示技术人员的操作,云设备匹配出该异常信息不满足每个分类条件,提示技术人员,以让技术人员来分析第一告警日志的告警类别。
该多个分类条件包括广告器告警对应的分类条件、下载器告警对应的分类条件、恶意病毒告警对应的分类条件或灰色软件告警对应的分类条件中的一个或多个。
广告器告警对应的分类条件包括如下至少一项子条件:第一地址的地址风险信息是广告类型的地址风险信息,第一域名的域名风险信息是广告类型的域名风险信息,第一路径的路径类型是广告下载路径,第一域名的域名活跃度超过第一阈值,采集该数据内容的采集设备数目超过第二阈值,或该内容名称对应的内容告警类型是广告器告警类型。
在步骤203中,云设备从分类条件与告警类别的对应关系中获取广告器告警对应的分类条件。对于该分类条件包括的每项子条件,在该异常信息包括的信息中选择每项子条件对应的信息。如果每项子条件对应的信息分别与每项子条件匹配,将广告器告警对应的分类条件作为该异常信息所满足的第一分类条件。
例如,假设广告器告警对应的分类条件包括子条件11、子条件12和子条件13,子条件11、子条件12、子条件13分别为第一地址的地址风险信息是广告类型的地址风险信息,第一域名的域名风险信息是广告类型的域名风险信息,第一路径的路径类型是广告下载路径。
云设备从该异常信息中选择子条件11对应的信息是第一地址的地址风险信息,子条件12对应的信息是第一域名的域名风险信息,子条件13对应的信息是第一路径的路由类型。将第一地址的地址风险信息、第一域名的域名风险信息、第一路径的路由类型分别与子条件11、子条件12、子条件13进行匹配。如果第一地址的地址风险信息是广告类型的地址风险信息,第一域名的域名风险信息是广告类型的域名风险信息,以及第一路径的路径类型是广告下载路径,表示每项子条件对应的信息分别与每项子条件匹配,将广告器告警对应的分类条件作为该异常信息所满足的第一分类条件。
云设备包括第一地址风险信息集合和/或第一域名风险信息集合,第一地址风险信息集合包括属于广告类型的各地址风险信息,第一域名风险信息集合包括属于广告类型的各域名风险信息。
这样对于该异常信息包括的第一地址的地址风险信息,查询第一地址风险信息集合是否包括第一地址的地址风险信息。如果包括第一地址的地址风险信息,确定第一地址的地址风险信息是广告类型的地址风险信息。如果不包括第一地址的地址风险信息,确定第一地址的地址风险信息不是广告类型的地址风险信息。和/或,
对于该异常信息包括的第一域名的域名风险信息,查询第一域名风险信息集合是否包括第一域名的域名风险信息。如果包括第一域名的域名风险信息,确定第一域名的域名风险信息是广告类型的域名风险信息。如果不包括第一域名的域名风险信息,确定第一域名的域名风险信息不是广告类型的域名风险信息。
可选的,第一地址风险信息集合包括第一地址风险值范围。在该异常信息包括的第一地址的地址风险信息是地址风险值的情况,云设备查询第一地址风险值范围是否包括第一地址的地址风险值。如果包括第一地址的地址风险值,确定第一地址的地址风险值是广告类型的地址风险信息。如果不包括第一地址的地址风险值,确定第一地址的地址风险值不是广告类型的地址风险信息。和/或,
第一域名风险信息集合包括第一域名风险值范围。在该异常信息包括的第一域名的域名风险信息是域名风险值的情况,云设备查询第一域名风险值范围是否包括第一域名的域名风险值。如果包括第一域名的域名风险值,确定第一域名的域名风险值是广告类型的域名风险信息。如果不包括第一域名的域名风险值,确定第一域名的域名风险值不是广告类型的域名风险信息。
可选的,下载器告警对应的分类条件包括如下至少一项子条件:第一地址的地址风险信息是下载器类型的地址风险信息,第一域名的域名风险信息是下载器类型的域名风险信息,第一URL中的第一路径的路径类型是下载器下载路径,第一域名的域名活跃度超过第三阈值,采集该数据内容的采集设备数目超过第四阈值,或该内容名称对应的内容告警类型是下载器告警类型。
在步骤203中,云设备从分类条件与告警类别的对应关系中获取下载器告警对应的分类条件。对于该分类条件包括的每项子条件,在该异常信息包括的信息中选择每项子条件对应的信息。如果每项子条件对应的信息分别与每项子条件匹配,将下载器告警对应的分类条件作为该异常信息所满足的第一分类条件。
例如,假设下载器告警对应的分类条件包括子条件21、子条件22和子条件23,子条件21、子条件22、子条件23分别为第一地址的地址风险信息是下载器类型的地址风险信息,第一域名的域名风险信息是下载器类型的域名风险信息,第一路径的路径类型是下载器下载路径。
云设备从该异常信息中选择子条件21对应的信息是第一地址的地址风险信息,子条件22对应的信息是第一域名的域名风险信息,子条件23对应的信息是第一路径的路由类型。将第一地址的地址风险信息、第一域名的域名风险信息、第一路径的路由类型分别与子条件21、子条件22、子条件23进行匹配。如果第一地址的地址风险信息是下载器类型的地址风险信息,第一域名的域名风险信息是下载器类型的域名风险信息,以及第一路径的路径类型是下载器下载路径,表示每项子条件对应的信息分别与每项子条件匹配,将下载器告警对应的分类条件作为该异常信息所满足的第一分类条件。
云设备包括第二地址风险信息集合和/或第二域名风险信息集合,第二地址风险信息集合包括属于下载器类型的各地址风险信息,第二域名风险信息集合包括属于下载器类型的各域名风险信息。
这样对于该异常信息包括的第一地址的地址风险信息,查询第二地址风险信息集合是否包括第一地址的地址风险信息。如果包括第一地址的地址风险信息,确定第一地址的地址风险信息是下载器类型的地址风险信息。如果不包括第一地址的地址风险信息,确定第一地址的地址风险信息不是下载器类型的地址风险信息。和/或,
对于该异常信息包括的第一域名的域名风险信息,查询第二域名风险信息集合是否包括第一域名的域名风险信息。如果包括第一域名的域名风险信息,确定第一域名的域名风险信息是下载器类型的域名风险信息。如果不包括第一域名的域名风险信息,确定第一域名的域名风险信息不是下载器类型的域名风险信息。
可选的,第二地址风险信息集合包括第二地址风险值范围。在该异常信息包括的第一地址的地址风险信息是地址风险值的情况,云设备查询第二地址风险值范围是否包括第一地址的地址风险值。如果包括第一地址的地址风险值,确定第一地址的地址风险值是下载器类型的地址风险信息。如果不包括第一地址的地址风险值,确定第一地址的地址风险值不是下载器类型的地址风险信息。和/或,
第二域名风险信息集合包括第二域名风险值范围。在该异常信息包括的第一域名的域名风险信息是域名风险值的情况,云设备查询第二域名风险值范围是否包括第一域名的域名风险值。如果包括第一域名的域名风险值,确定第一域名的域名风险值是下载器类型的域名风险信息。如果不包括第一域名的域名风险值,确定第一域名的域名风险值不是下载器类型的域名风险信息。
可选的,恶意病毒告警对应的分类条件包括如下至少一项子条件:第一地址的地址风险信息是病毒类型的地址风险信息,第一URL中的第一域名的域名风险信息是病毒类型的域名风险信息,第一地址的IPS告警指示用于指示第一采集设备产生包括第一地址的IPS告警日志,第一域名的域名活跃度超过第五阈值,或该内容名称对应的内容告警类型是病毒告警类型。
恶意病毒包括黑客工具、挖矿病毒和/或勒索病毒等。
在步骤203中,云设备从分类条件与告警类别的对应关系中获取恶意病毒告警对应的分类条件。对于该分类条件包括的每项子条件,在该异常信息包括的信息中选择每项子条件对应的信息。如果每项子条件对应的信息分别与每项子条件匹配,将恶意病毒告警对应的分类条件作为该异常信息所满足的第一分类条件。
例如,假设恶意病毒告警对应的分类条件包括子条件31、子条件32和子条件33,子条件31、子条件32、子条件33分别为第一地址的地址风险信息是病毒类型的地址风险信息,第一域名的域名风险信息是病毒类型的域名风险信息,第一域名的域名活跃度超过第五阈值。
云设备从该异常信息中选择子条件31对应的信息是第一地址的地址风险信息,子条件32对应的信息是第一域名的域名风险信息,子条件33对应的信息是第一域名的域名活跃度。将第一地址的地址风险信息、第一域名的域名风险信息、第一域名的域名活跃度分别与子条件31、子条件32、子条件33进行匹配。如果第一地址的地址风险信息是病毒类型的地址风险信息,第一域名的域名风险信息是病毒类型的域名风险信息,以及第一域名的域名活跃度超过第五阈值,表示每项子条件对应的信息分别与每项子条件匹配,将恶意病毒告警对应的分类条件作为该异常信息所满足的第一分类条件。
云设备包括第三地址风险信息集合和/或第三域名风险信息集合,第三地址风险信息集合包括属于病毒类型的各地址风险信息,第三域名风险信息集合包括属于病毒类型的各域名风险信息。
这样对于该异常信息包括的第一地址的地址风险信息,查询第三地址风险信息集合是否包括第一地址的地址风险信息。如果包括第一地址的地址风险信息,确定第一地址的地址风险信息是病毒类型的地址风险信息。如果不包括第一地址的地址风险信息,确定第一地址的地址风险信息不是病毒类型的地址风险信息。和/或,
对于该异常信息包括的第一域名的域名风险信息,查询第三域名风险信息集合是否包括第一域名的域名风险信息。如果包括第一域名的域名风险信息,确定第一域名的域名风险信息是病毒类型的域名风险信息。如果不包括第一域名的域名风险信息,确定第一域名的域名风险信息不是病毒类型的域名风险信息。
可选的,第三地址风险信息集合包括第三地址风险值范围。在该异常信息包括的第一地址的地址风险信息是地址风险值的情况,云设备查询第三地址风险值范围是否包括第一地址的地址风险值。如果包括第一地址的地址风险值,确定第一地址的地址风险值是病毒类型的地址风险信息。如果不包括第一地址的地址风险值,确定第一地址的地址风险值不是病毒类型的地址风险信息。和/或,
第三域名风险信息集合包括第三域名风险值范围。在该异常信息包括的第一域名的域名风险信息是域名风险值的情况,云设备查询第三域名风险值范围是否包括第一域名的域名风险值。如果包括第一域名的域名风险值,确定第一域名的域名风险值是病毒类型的域名风险信息。如果不包括第一域名的域名风险值,确定第一域名的域名风险值不是病毒类型的域名风险信息。
可选的,灰色软件告警对应的分类条件包括如下至少一项子条件:第一地址的地址风险信息是灰色软件类型的地址风险信息,第一域名的域名风险信息是灰色软件类型的域名风险信息,第一地址的告警次数超过第六阈值,第一域名的告警次数超过第七阈值,第一路径的告警次数超过第八阈值,或该内容名称对应的内容告警类型是灰色软件告警类型。
在步骤203中,云设备从分类条件与告警类别的对应关系中获取灰色软件告警对应的分类条件。对于该分类条件包括的每项子条件,在该异常信息包括的信息中选择每项子条件对应的信息。如果每项子条件对应的信息分别与每项子条件匹配,将灰色软件告警对应的分类条件作为该异常信息所满足的第一分类条件。
例如,假设灰色软件告警对应的分类条件包括子条件41、子条件42和子条件43,子条件41、子条件42、子条件43分别为第一地址的地址风险信息是病毒类型的地址风险信息,第一域名的域名风险信息是病毒类型的域名风险信息,第一域名的告警次数超过第七阈值。
云设备从该异常信息中选择子条件41对应的信息是第一地址的地址风险信息,子条件42对应的信息是第一域名的域名风险信息,子条件43对应的信息是第一域名的告警次数。将第一地址的地址风险信息、第一域名的域名风险信息、第一域名的告警次数分别与子条件41、子条件42、子条件43进行匹配。如果第一地址的地址风险信息是灰色软件类型的地址风险信息,第一域名的域名风险信息是灰色软件类型的域名风险信息,以及第一域名的告警次数超过第七阈值,表示每项子条件对应的信息分别与每项子条件匹配,将灰色软件告警对应的分类条件作为该异常信息所满足的第一分类条件。
云设备包括第四地址风险信息集合和/或第四域名风险信息集合,第四地址风险信息集合包括属于灰色软件类型的各地址风险信息,第四域名风险信息集合包括属于灰色软件类型的各域名风险信息。
这样对于该异常信息包括的第一地址的地址风险信息,查询第四地址风险信息集合是否包括第一地址的地址风险信息。如果包括第一地址的地址风险信息,确定第一地址的地址风险信息是灰色软件类型的地址风险信息。如果不包括第一地址的地址风险信息,确定第一地址的地址风险信息不是灰色软件类型的地址风险信息。和/或,
对于该异常信息包括的第一域名的域名风险信息,查询第四域名风险信息集合是否包括第一域名的域名风险信息。如果包括第一域名的域名风险信息,确定第一域名的域名风险信息是灰色软件类型的域名风险信息。如果不包括第一域名的域名风险信息,确定第一域名的域名风险信息不是灰色软件类型的域名风险信息。
可选的,第四地址风险信息集合包括第四地址风险值范围。在该异常信息包括的第一地址的地址风险信息是地址风险值的情况,云设备查询第四地址风险值范围是否包括第一地址的地址风险值。如果包括第一地址的地址风险值,确定第一地址的地址风险值是灰色软件类型的地址风险信息。如果不包括第一地址的地址风险值,确定第一地址的地址风险值不是灰色软件类型的地址风险信息。和/或,
第四域名风险信息集合包括第四域名风险值范围。在该异常信息包括的第一域名的域名风险信息是域名风险值的情况,云设备查询第四域名风险值范围是否包括第一域名的域名风险值。如果包括第一域名的域名风险值,确定第一域名的域名风险值是灰色软件类型的域名风险信息。如果不包括第一域名的域名风险值,确定第一域名的域名风险值不是灰色软件类型的域名风险信息。
对于所述方法200中的步骤205,云设备在得到第一告警日志的第一告警类别后,获取第一告警日志对应的会话的会话信息,向第一采集设备发送该会话信息和第一告警类别,和/或,向第一采集设备的管理员显示该会话信息和第一告警类别。
对于第一采集设备,第一采集设备在接收该会话信息和第一告警类别后,当再次接收到该会话信息对应的会话时,基于第一告警类别拦截该会话。
可选的,第一告警日志包括该会话信息,云设备从第一告警日志中获取该会话信息。
在本申请实施例中,云设备对第一告警日志包括的至少一项日志内容进行分析,得到第一告警日志对应的异常信息,该异常信息包括至少一项信息。其中,该异常信息中的每项信息是云设备基于一项或多项日志内容分析得到的,该异常信息中的每项信息在不同维度反映第一告警日志中的日志内容的安全性高度。因此将该异常信息与多个分类条件进行匹配,得到该异常信息满足的第一分类条件,将第一分类条件对应的告警类别确定为第一告警日志的第一告警类别,从而增加了获取第一告警日志的第一告警类别的精度。另外,由于云设备能够自动化对第一告警日志的至少一项日志内容进行分析,从而能够快速获取第一告警日志的第一告警类别,提高获取第一告警类别的效率。告警日志是虚拟检测环境对会话的会话信息和该会话中传输的数据内容进行告警分析得到的,云设备对告警日志进行二次告警分析,以分析出广告器类别、下载器类别、恶意病毒类别或灰色软件类别的告警日志,即分析出高价值的告警,便于提示管理员或采集设备。
参见图4,本申请实施例提供了一种处理告警日志的装置400,所述装置400部署在上述任意实施例提供的云设备上,例如部署在图1所示网络架构100中的云设备101或图2所示的方法200中的云设备,包括:
获取单元401,用于获取虚拟检测环境输出的第一告警日志,第一告警日志是虚拟检测环境对第一采集设备发送的会话信息以及该会话信息所描述的会话中传输的数据内容进行分析得到的,第一告警日志包括至少一项日志内容;
处理单元402,用于对该至少一项日志内容进行分析,以得到第一告警日志对应的异常信息;
匹配单元403,用于将该异常信息与多个分类条件进行匹配,以从该多个分类条件中得到第一分类条件,第一分类条件是该异常信息满足的分类条件;
确定单元404,用于基于分类条件与告警类别的对应关系确定第一分类条件对应的告警类别;将第一分类条件对应的告警类别确定为第一告警日志的告警类别。
可选的,获取单元402获取第一告警日志的详细实现过程,参见上述图3所示的实施例中的相关内容,在此不再详细说明。
可选的,该至少一项日志内容包括第一地址、第一统一资源定位符URL、该数据内容的内容名称、该数据内容的哈希值、或第一采集设备的设备标识中的一个或多个,第一地址包括该会话的源地址和/或目的地址,第一URL用于标识该数据内容的网络来源。
可选的,如果该至少一项日志内容包括第一地址,该异常信息包括如下一项或多项信息:第一地址的地址风险信息、第一地址的告警次数和第一地址的入侵防御系统IPS告警指示;其中,该IPS告警指示用于指示第一采集设备是否产生包括第一地址的IPS告警日志。
可选的,关于该至少一个日志内容的详细说明,参见上述图2所示的实施例中的步骤202中的相关内容,在此不再详细说明。
可选的,处理单元402,用于:
如果该异常信息包括该地址风险信息,基于第一地址,从地址情报库获取该地址风险信息,地址情报库中包括第一地址与该地址风险信息的对应关系;或,
如果该异常信息包括第一地址的告警次数,从预定时间范围内已获取的多个告警日志中选择包括第一地址的第一告警日志集合,对第一告警日志集合中的告警日志进行统计得到第一数目,其中,第一地址的告警次数等于第一数目;或者,
如果该异常信息包括该IPS告警指示,查询第一采集设备已产生的IPS告警日志中是否存在包括第一地址的IPS告警日志,基于查询的结果获取该IPS告警指示。
可选的,如果该至少一项日志内容包括该内容名称、第一URL、该哈希值、和第一采集设备的设备标识,该异常信息包括采集该数据内容的采集设备数目。
可选的,处理单元402,用于:
从第二预定时间范围内已获取的多个告警日志中选择包括第一URL、该哈希值和该内容名称的第二告警日志集合;
对第二告警日志集合中的各告警日志包括的不同设备标识进行统计,得到第二数目,第一告警日志对应的异常信息中的采集设备数目为第二数目。
可选的,如果该至少一项日志内容包括第一URL,第一URL包括第一路径,该异常信息包括如下一项或多项信息:第一路径的告警次数或第一路径的路径类型。其中,该路径类型包括广告下载路径、病毒下载路径、下载器下载路径或灰色软件下载路径。
可选的,处理单元402,用于如果该异常信息包括第一路径的告警次数,从第三预定时间范围内已获取的告警日志中选择包括第一路径的第三告警日志集合,对第三告警日志集合中的告警日志进行统计得到第三数目,其中,第一路径的告警次数等于第三数目。
可选的,处理单元402,用于如果该异常信息包括该路径类型,基于第一路径,从路径与路径类型的对应关系中获取该路径类型。
可选的,第一URL还包括第一域名,该异常信息还包括如下一项或多项信息:第一域名的域名风险信息、第一域名的告警次数或第一域名的域名活跃度。
可选的,处理单元402,用于如果该异常信息包括域名风险信息,基于第一域名,从域名情报库中获取域名风险信息,域名情报库中包括第一域名与该域名风险信息的对应关系。
可选的,处理单元402,用于如果该异常信息包括第一域名的告警次数,云设备从第四预定时间范围内已获取的第一告警日志中选择包括第一域名的第四告警日志集合,对第四告警日志集合包括的告警日志进行统计得到第四数目,其中,第一域名的告警次数等于第四数目。
可选的,处理单元402,用于如果该异常信息包括该域名活跃度,基于第一域名,从域名与域名活跃度的对应关系中获取该域名活跃度。
可选的,第一告警日志的告警类别包括广告器告警、下载器告警、恶意病毒告警或灰色软件告警。
可选的,关于第一告警日志的告警类别的详细说明,参见上述图2所示的实施例中的步骤203中的相关内容,在此不再详细说明。
可选的,广告器告警对应的分类条件包括如下至少一项:第一地址的地址风险信息是广告类型的地址风险信息,第一URL中的第一域名的域名风险信息是广告类型的域名风险信息,第一URL中的第一路径的路径类型是广告下载路径,第一域名的域名活跃度超过第一阈值,采集该数据内容的采集设备数目超过第二阈值,或该内容名称对应的内容告警类型是广告器告警类型。
可选的,下载器告警对应的分类条件包括如下至少一项:第一地址的地址风险信息是下载器类型的地址风险信息,第一URL中的第一域名的域名风险信息是下载器类型的域名风险信息,第一URL中的第一路径的路径类型是下载器下载路径,第一域名的域名活跃度超过第三阈值,采集该数据内容的采集设备数目超过第四阈值,或该内容名称对应的内容告警类型是下载器告警类型。
可选的,恶意病毒告警对应的分类条件包括如下至少一项:第一地址的地址风险信息是病毒类型的地址风险信息,第一URL中的第一域名的域名风险信息是病毒类型的域名风险信息,第一地址的IPS告警指示用于指示第一采集设备产生包括第一地址的IPS告警日志,第一域名的域名活跃度超过第五阈值,或该内容名称对应的内容告警类型是病毒告警类型。
可选的,灰色软件告警对应的分类条件包括如下至少一项:第一地址的地址风险信息是灰色软件类型的地址风险信息,第一URL中的第一域名的域名风险信息是灰色软件类型的域名风险信息,第一地址的告警次数超过第六阈值,第一域名的告警次数超过第七阈值,第一URL中的第一路径的告警次数超过第八阈值,或该内容名称对应的内容告警类型是灰色软件告警类型。
可选的,上述虚拟检测环境包括沙箱等。
上述第一采集设备包括防火墙或探针等。
在本申请实施例中,处理单元对第一告警日志包括的至少一项日志内容进行分析,得到第一告警日志对应的异常信息。匹配单元将该异常信息与多个分类条件进行匹配,得到该异常信息满足的第一分类条件,确定单元将第一分类条件对应的告警类别确定为第一告警日志的告警类别。由于第一告警日志对应的异常信息用于反映第一告警日志的安全性高低,所以确定单元将该异常信息满足的第一分类条件对应的告警类别作为第一告警日志的第一告警类别,增加了获取第一告警日志的第一告警类别的精度。
参见图5,本申请实施例提供了一种处理告警日志的装置500,该装置500可以是上述任一实施例提供的云设备,例如是图1所示网络架构100中的云设备101或是图2所示的方法200中的云设备,包括:
处理器501、存储器502和内部连接503,处理器501和存储器502通过内部连接503连接,存储器502中存储有操作系统和程序代码,该至少一个处理器501从存储器502中读取操作系统并运行该操作系统。
该装置500是一种硬件结构的装置,可以用于实现图4所述的装置400中的功能模块。例如,本领域技术人员可以想到图4所示的装置400中的获取单元401、处理单元402、匹配单元403和确定单元4047可以通过该至少一个处理器501从该存储器502中读取程序代码,在该操作系统中通过运行程序代码来来实现。
可选的,该装置500还包括网络接口504,网络接口504通过内部连接503与处理器501、存储器502连接。网络接口504能够与图1所示网络架构100中的告警设备102和/或采集设备103通信。处理器501能够通过网络接口504从该告警设备102运行的虚拟检测环境中获取第一告警日志,和/或,从采集设备103中获取IPS告警日志。
可选的,该装置500还包括输入设备505,输入设备505连接到内部连接503上。处理器501能够通过输入设备505接收输入的命令或数据等。
可选的,该装置500还包括显示设备506,显示设备506能够用于显示处理器501执行上述处理告警日志的方法产生的中间结果和/或最终结果等。
可选的,上述处理器501可能是一个通用中央处理器(central processing unit,CPU),网络处理器(network processor,NP),微处理器,特定应用集成电路(application-specific integrated circuit,ASIC),或一个或多个用于控制本申请方案程序执行的集成电路。
上述内部连接504包括一通路,在上述组件之间传送信息。可选的,内部连接504可能是单板或总线等。
上述存储器502可能是只读存储器(read-only memory,ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器(random access memory,RAM)或者可存储信息和指令的其他类型的动态存储设备,也可能是电可擦可编程只读存储器(electrically erasable programmable read-only memory,EEPROM)、只读光盘(compactdisc read-only memory,CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器可能是独立存在,通过总线与处理器相连接。存储器也可能和处理器集成在一起。
在具体实现中,作为一种实施例,处理器501可能包括一个或多个CPU,例如图5中的CPU0和CPU1。
在具体实现中,作为一种实施例,该装置500可能包括多个处理器,例如图5中的处理器501和处理器507。这些处理器中的每一个可能是一个单核(single-CPU)处理器,也可能是一个多核(multi-CPU)处理器。这里的处理器可能指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。
在上述实施例中,处理告警日志的方法可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现,例如该计算机产品是一种处理告警日志的软件,用以安装于附图1所示的云设备101。
所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生在本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程设备。所述计算机指令可以存储在计算机可读存储介质中,上述提到的存储介质可能是只读存储器,磁盘或光盘等。所述计算机指令可以或者从一个计算机可读存储介质向另一个计算机可读存储介质传输例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(Digital Subscriber Line,DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘(solid state disk,SSD))等。
参见图6,本申请实施例提供了一种采集设备600,该采集设备600可以是上述任一实施例提供的采集设备,例如是图1所示网络架构100中的采集设备103或是图2所示的方法200中的第一采集设备,包括:
处理器601、存储器602、内部连接603、转发芯片604、内容可寻址存储器605和至少一个网络端口606,处理器601、存储器602、转发芯片604、内容可寻址存储器605和至少一个网络端口606通过内部连接603连接,存储器602中存储有操作系统和程序代码。
该采集设备600是一种硬件结构的设备,该至少一个处理器601从存储器602中读取操作系统并运行该操作系统,转发芯片604从存储器读取程序代码,通过在该操作系统上运行该程序代码实现至少一种功能,例如转发芯片604通过网络端口606接收会话包括的报文,并将该报文保存在内容可寻址存储器605中,以及通过网络端口606转发该报文。
在接收完该会话包括的报文时,处理器601从内容可寻址存储器605保存的该会话包括的报文中获取该会话的会话信息和该会话上传输的数据内容,通过网络端口606向告警设备发送该会话的会话信息和该数据内容。
可选的,处理器601获取并发送该会话信息和该数据内容的详细实现过程,可以参见图3所示的实施例中的第一采集设备执行的相关内容,在此不再详细说明。
可选的,上述处理器601可能是一个通用中央处理器(central processing unit,CPU),网络处理器(network processor,NP),微处理器,特定应用集成电路(application-specific integrated circuit,ASIC),或一个或多个用于控制本申请方案程序执行的集成电路。
上述内部连接603包括一通路,在上述组件之间传送信息。可选的,内部连接603可能是单板或总线等。
上述存储器602可能是只读存储器(read-only memory,ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器(random access memory,RAM)或者可存储信息和指令的其他类型的动态存储设备,也可能是电可擦可编程只读存储器(electrically erasable programmable read-only memory,EEPROM)、只读光盘(compactdisc read-only memory,CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器可能是独立存在,通过总线与处理器相连接。存储器也可能和处理器集成在一起。
在上述实施例中,获取会话信息和数据内容的流程可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现,例如该计算机产品是一种获取会话信息和数据内容的软件,用以安装于附图1所示的采集设备103。
所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生在本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程设备。所述计算机指令可以存储在计算机可读存储介质中,上述提到的存储介质可能是只读存储器,磁盘或光盘等。所述计算机指令可以或者从一个计算机可读存储介质向另一个计算机可读存储介质传输例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(Digital Subscriber Line,DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘(solid state disk,SSD))等。
参见图7,本申请实施例提供了一种告警设备700,该告警设备700可以是上述任一实施例提供的告警设备,例如是图1所示网络架构100中的告警设备102或是图2所示的方法200中的告警设备,包括:
处理器701、存储器702和内部连接703,处理器701和存储器702通过内部连接703连接,存储器702中存储有操作系统和程序代码,该至少一个处理器701从存储器702中读取操作系统并运行该操作系统,该程序代码用于实现虚拟检测环境。
该告警设备700是一种硬件结构的设备,该至少一个处理器701从该存储器702中读取程序代码,在该操作系统中通过运行程序代码来运行虚拟检测环境,通过该虚拟检测环境对会话的会话信息和该会话上传输的数据内容进行分析,以产生第一告警日志。
可选的,该告警设备700还包括网络接口704,网络接口704通过内部连接703与处理器701、存储器702连接。网络接口704能够与图1所示网络架构100中的云设备101和/或采集设备103通信。处理器701通过网络接口704从采集设备103接收会话的会话信息和该会话上传输的数据内容,和/或,向云设备101发送第一告警日志。
可选的,处理器701产生第一告警日志的详细实现过程,可以参见图3所示的实施例中的告警设备执行的相关内容,在此不再详细说明。
可选的,该告警设备700还包括输入设备705,输入设备705连接到内部连接703上。处理器701能够通过输入设备705接收输入的命令或数据等。
可选的,该告警设备700还包括显示设备706,显示设备706能够用于显示处理器701执行产生第一告警日志流程的中间结果和/或最终结果等。
可选的,上述处理器701可能是一个通用中央处理器(central processing unit,CPU),网络处理器(network processor,NP),微处理器,特定应用集成电路(application-specific integrated circuit,ASIC),或一个或多个用于控制本申请方案程序执行的集成电路。
上述内部连接704包括一通路,在上述组件之间传送信息。可选的,内部连接704可能是单板或总线等。
上述存储器702可能是只读存储器(read-only memory,ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器(random access memory,RAM)或者可存储信息和指令的其他类型的动态存储设备,也可能是电可擦可编程只读存储器(electrically erasable programmable read-only memory,EEPROM)、只读光盘(compactdisc read-only memory,CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器可能是独立存在,通过总线与处理器相连接。存储器也可能和处理器集成在一起。
在具体实现中,作为一种实施例,处理器701可能包括一个或多个CPU,例如图7中的CPU0和CPU1。
在具体实现中,作为一种实施例,该告警设备700可能包括多个处理器,例如图7中的处理器701和处理器707。这些处理器中的每一个可能是一个单核(single-CPU)处理器,也可能是一个多核(multi-CPU)处理器。这里的处理器可能指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。
在上述实施例中,产生第一告警日志的流程可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现,例如该计算机产品是一种产生第一告警日志的软件,用以安装于附图1所示的告警设备102。
所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生在本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程设备。所述计算机指令可以存储在计算机可读存储介质中,上述提到的存储介质可能是只读存储器,磁盘或光盘等。所述计算机指令可以或者从一个计算机可读存储介质向另一个计算机可读存储介质传输例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(Digital Subscriber Line,DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘(solid state disk,SSD))等。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本申请的可选实施例,并不用以限制本申请,凡在本申请的原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。

Claims (28)

1.一种处理告警日志的方法,其特征在于,所述方法包括:
云设备获取虚拟检测环境输出的第一告警日志,所述第一告警日志是所述虚拟检测环境对第一采集设备发送的会话信息以及所述会话信息所描述的会话中传输的数据内容进行分析得到的,所述第一告警日志包括至少一项日志内容;
所述云设备对所述至少一项日志内容进行分析,以得到所述第一告警日志对应的异常信息;
所述云设备将所述异常信息与多个分类条件进行匹配,以从所述多个分类条件中得到第一分类条件,所述第一分类条件是所述异常信息满足的分类条件;
所述云设备基于分类条件与告警类别的对应关系确定所述第一分类条件对应的告警类别;
所述云设备将所述第一分类条件对应的告警类别确定为所述第一告警日志的告警类别。
2.如权利要求1所述的方法,其特征在于,所述至少一项日志内容包括第一地址、第一统一资源定位符URL、所述数据内容的内容名称、所述数据内容的哈希值、或所述第一采集设备的设备标识中的一个或多个,所述第一地址包括所述会话的源地址和/或目的地址,所述第一URL用于标识所述数据内容的网络来源。
3.如权利要求2所述的方法,其特征在于,如果所述至少一项日志内容包括所述第一地址,所述异常信息包括如下一项或多项信息:所述第一地址的地址风险信息、所述第一地址的告警次数和所述第一地址的入侵防御系统IPS告警指示;其中,所述IPS告警指示用于指示所述第一采集设备是否产生包括所述第一地址的IPS告警日志。
4.如权利要求3所述的方法,其特征在于,如果所述异常信息包括所述地址风险信息,所述云设备对所述至少一项日志内容进行分析,以得到所述第一告警日志对应的异常信息,包括:
所述云设备基于所述第一地址,从地址情报库获取所述地址风险信息,所述地址情报库中包括所述第一地址与所述地址风险信息的对应关系;或者,
如果所述异常信息包括所述告警次数,所述云设备对所述至少一项日志内容进行分析,以得到所述第一告警日志对应的异常信息,包括:
所述云设备从第一预定时间范围内已获取的多个告警日志中选择包括所述第一地址的第一告警日志集合,对所述第一告警日志集合中的告警日志进行统计得到第一数目,其中,所述第一地址的告警次数等于所述第一数目;或者,
如果所述异常信息包括所述IPS告警指示,所述云设备对所述至少一项日志内容进行分析,以得到所述第一告警日志对应的异常信息,包括:
所述云设备查询所述第一采集设备已产生的IPS告警日志中是否存在包括所述第一地址的IPS告警日志,基于查询的结果获取所述IPS告警指示。
5.如权利要求2至4所述的方法,其特征在于,如果所述至少一项日志内容包括所述内容名称、所述第一URL、所述哈希值、和所述第一采集设备的设备标识,所述异常信息包括采集所述数据内容的采集设备数目。
6.如权利要求5所述的方法,其特征在于,所述云设备对所述至少一项日志内容进行分析,以得到所述第一告警日志对应的异常信息,包括:
所述云设备从第二预定时间范围内已获取的多个告警日志中选择包括所述第一URL、所述哈希值和所述内容名称的第二告警日志集合;
所述云设备对所述第二告警日志集合中的各告警日志包括的不同设备标识进行统计,得到第二数目,所述第一告警日志对应的异常信息中的采集设备数目为所述第二数目。
7.如权利要求2至6任一项所述的方法,其特征在于,所述第一告警日志的告警类别包括广告器告警、下载器告警、恶意病毒告警或灰色软件告警。
8.如权利要求7所述的方法,其特征在于,所述广告器告警对应的分类条件包括如下至少一项:所述第一地址的地址风险信息是广告类型的地址风险信息,所述第一URL中的第一域名的域名风险信息是广告类型的域名风险信息,所述第一URL中的第一路径的路径类型是广告下载路径,所述第一域名的域名活跃度超过第一阈值,采集所述数据内容的采集设备数目超过第二阈值,或所述内容名称对应的内容告警类型是广告器告警类型。
9.如权利要求7或8所述的方法,其特征在于,所述下载器告警对应的分类条件包括如下至少一项:所述第一地址的地址风险信息是下载器类型的地址风险信息,所述第一URL中的第一域名的域名风险信息是下载器类型的域名风险信息,所述第一URL中的第一路径的路径类型是下载器下载路径,所述第一域名的域名活跃度超过第三阈值,采集所述数据内容的采集设备数目超过第四阈值,或所述内容名称对应的内容告警类型是下载器告警类型。
10.如权利要求7至9任一项所述的方法,其特征在于,所述恶意病毒告警对应的分类条件包括如下至少一项:所述第一地址的地址风险信息是病毒类型的地址风险信息,所述第一URL中的第一域名的域名风险信息是病毒类型的域名风险信息,所述第一地址的IPS告警指示用于指示所述第一采集设备产生包括所述第一地址的IPS告警日志,所述第一域名的域名活跃度超过第五阈值,或所述内容名称对应的内容告警类型是病毒告警类型。
11.如权利要求7至10任一项所述的方法,其特征在于,所述灰色软件告警对应的分类条件包括如下至少一项:所述第一地址的地址风险信息是灰色软件类型的地址风险信息,所述第一URL中的第一域名的域名风险信息是灰色软件类型的域名风险信息,所述第一地址的告警次数超过第六阈值,所述第一域名的告警次数超过第七阈值,所述第一URL中的第一路径的告警次数超过第八阈值,或所述内容名称对应的内容告警类型是灰色软件告警类型。
12.如权利要求1至11任一项所述的方法,其特征在于,所述虚拟检测环境包括沙箱。
13.如权利要求1至12任一项所述的方法,其特征在于,所述第一采集设备包括防火墙或探针。
14.一种处理告警日志的装置,其特征在于,所述装置包括:
获取单元,用于获取虚拟检测环境输出的第一告警日志,所述第一告警日志是所述虚拟检测环境对第一采集设备发送的会话信息以及所述会话信息所描述的会话中传输的数据内容进行分析得到的,所述第一告警日志包括至少一项日志内容;
处理单元,用于对所述至少一项日志内容进行分析,以得到所述第一告警日志对应的异常信息;
匹配单元,用于将所述异常信息与多个分类条件进行匹配,以从所述多个分类条件中得到第一分类条件,所述第一分类条件是所述异常信息满足的分类条件;
确定单元,用于基于分类条件与告警类别的对应关系确定所述第一分类条件对应的告警类别;将所述第一分类条件对应的告警类别确定为所述第一告警日志的告警类别。
15.如权利要求14所述的装置,其特征在于,所述至少一项日志内容包括第一地址、第一统一资源定位符URL、所述数据内容的内容名称、所述数据内容的哈希值、或所述第一采集设备的设备标识中的一个或多个,所述第一地址包括所述会话的源地址和/或目的地址,所述第一URL用于标识所述数据内容的网络来源。
16.如权利要求15所述的装置,其特征在于,如果所述至少一项日志内容包括所述第一地址,所述异常信息包括如下一项或多项信息:所述第一地址的地址风险信息、所述第一地址的告警次数和所述第一地址的入侵防御系统IPS告警指示;其中,所述IPS告警指示用于指示所述第一采集设备是否产生包括所述第一地址的IPS告警日志。
17.如权利要求16所述的装置,其特征在于,所述处理单元,用于:
如果所述异常信息包括所述地址风险信息,基于所述第一地址,从地址情报库获取所述地址风险信息,所述地址情报库中包括所述第一地址与所述地址风险信息的对应关系;或者,
如果所述异常信息包括所述告警次数,从第一预定时间范围内已获取的多个告警日志中选择包括所述第一地址的第一告警日志集合,对所述第一告警日志集合中的告警日志进行统计得到第一数目,其中,所述第一地址的告警次数等于所述第一数目;或者,
如果所述异常信息包括所述IPS告警指示,查询所述第一采集设备已产生的IPS告警日志中是否存在包括所述第一地址的IPS告警日志,基于查询的结果获取所述IPS告警指示。
18.如权利要求15至17所述的装置,其特征在于,如果所述至少一项日志内容包括所述内容名称、所述第一URL、所述哈希值、和所述第一采集设备的设备标识,所述异常信息包括采集所述数据内容的采集设备数目。
19.如权利要求18所述的装置,其特征在于,所述处理单元,用于:
从第二预定时间范围内已获取的多个告警日志中选择包括所述第一URL、所述哈希值和所述内容名称的第二告警日志集合;
对所述第二告警日志集合中的各告警日志包括的不同设备标识进行统计,得到第二数目,所述第一告警日志对应的异常信息中的采集设备数目为所述第二数目。
20.如权利要求15至19任一项所述的装置,其特征在于,所述第一告警日志的告警类别包括广告器告警、下载器告警、恶意病毒告警或灰色软件告警。
21.如权利要求20所述的装置,其特征在于,所述广告器告警对应的分类条件包括如下至少一项:所述第一地址的地址风险信息是广告类型的地址风险信息,所述第一URL中的第一域名的域名风险信息是广告类型的域名风险信息,所述第一URL中的第一路径的路径类型是广告下载路径,所述第一域名的域名活跃度超过第一阈值,采集所述数据内容的采集设备数目超过第二阈值,或所述内容名称对应的内容告警类型是广告器告警类型。
22.如权利要求20或21所述的装置,其特征在于,所述下载器告警对应的分类条件包括如下至少一项:所述第一地址的地址风险信息是下载器类型的地址风险信息,所述第一URL中的第一域名的域名风险信息是下载器类型的域名风险信息,所述第一URL中的第一路径的路径类型是下载器下载路径,所述第一域名的域名活跃度超过第三阈值,采集所述数据内容的采集设备数目超过第四阈值,或所述内容名称对应的内容告警类型是下载器告警类型。
23.如权利要求20至22任一项所述的装置,其特征在于,所述恶意病毒告警对应的分类条件包括如下至少一项:所述第一地址的地址风险信息是病毒类型的地址风险信息,所述第一URL中的第一域名的域名风险信息是病毒类型的域名风险信息,所述第一地址的IPS告警指示用于指示所述第一采集设备产生包括所述第一地址的IPS告警日志,所述第一域名的域名活跃度超过第五阈值,或所述内容名称对应的内容告警类型是病毒告警类型。
24.如权利要求20至23任一项所述的装置,其特征在于,所述灰色软件告警对应的分类条件包括如下至少一项:所述第一地址的地址风险信息是灰色软件类型的地址风险信息,所述第一URL中的第一域名的域名风险信息是灰色软件类型的域名风险信息,所述第一地址的告警次数超过第六阈值,所述第一域名的告警次数超过第七阈值,所述第一URL中的第一路径的告警次数超过第八阈值,或所述内容名称对应的内容告警类型是灰色软件告警类型。
25.如权利要求14至24任一项所述的装置,其特征在于,所述虚拟检测环境包括沙箱。
26.如权利要求14至25任一项所述的装置,其特征在于,所述第一采集设备包括防火墙或探针。
27.一种处理告警日志的设备,其特征在于,包括存储器、处理器及存储在所述存储器上的计算机程序,所述处理器执行所述计算机程序时,使得所述装置实现如权利要求1-13任一项所述的方法。
28.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,实现如权利要求1-13任一项所述的方法。
CN202110089215.5A 2021-01-22 2021-01-22 处理告警日志的方法、装置及存储介质 Pending CN114816895A (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202110089215.5A CN114816895A (zh) 2021-01-22 2021-01-22 处理告警日志的方法、装置及存储介质
PCT/CN2021/126200 WO2022156293A1 (zh) 2021-01-22 2021-10-25 处理告警日志的方法、装置及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110089215.5A CN114816895A (zh) 2021-01-22 2021-01-22 处理告警日志的方法、装置及存储介质

Publications (1)

Publication Number Publication Date
CN114816895A true CN114816895A (zh) 2022-07-29

Family

ID=82523805

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110089215.5A Pending CN114816895A (zh) 2021-01-22 2021-01-22 处理告警日志的方法、装置及存储介质

Country Status (2)

Country Link
CN (1) CN114816895A (zh)
WO (1) WO2022156293A1 (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116471123B (zh) * 2023-06-14 2023-08-25 杭州海康威视数字技术股份有限公司 针对智能设备安全威胁的智能分析方法、装置及设备

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106992876A (zh) * 2017-03-04 2017-07-28 郑州云海信息技术有限公司 云平台日志管理方法及系统
US10831711B2 (en) * 2017-09-26 2020-11-10 International Business Machines Corporation Prioritizing log tags and alerts
CN108092962B (zh) * 2017-12-08 2020-11-06 奇安信科技集团股份有限公司 一种恶意url检测方法及装置
US20210232483A1 (en) * 2018-07-11 2021-07-29 Nec Corporation Log analysis device, log analysis method, and program
CN111475643A (zh) * 2020-03-08 2020-07-31 苏州浪潮智能科技有限公司 数据中心交换机异常日志的处理方法、装置及存储介质
CN111953541B (zh) * 2020-08-10 2023-12-05 腾讯科技(深圳)有限公司 告警信息处理方法、装置、计算机设备及存储介质

Also Published As

Publication number Publication date
WO2022156293A1 (zh) 2022-07-28

Similar Documents

Publication Publication Date Title
US10176321B2 (en) Leveraging behavior-based rules for malware family classification
US10218740B1 (en) Fuzzy hash of behavioral results
US10467411B1 (en) System and method for generating a malware identifier
CN109992989B (zh) 使用抽象语法树的用于查询注入检测的系统
US10063574B2 (en) Apparatus method and medium for tracing the origin of network transmissions using N-gram distribution of data
US20130167236A1 (en) Method and system for automatically generating virus descriptions
KR20060013491A (ko) 어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 판독 가능 기록 매체 및 어택 서명 생성 장치
CN107395650B (zh) 基于沙箱检测文件识别木马回连方法及装置
CN106384048A (zh) 一种威胁信息处理方法与装置
CN110035062A (zh) 一种网络验伤方法及设备
CN103034808A (zh) 扫描方法、设备和系统以及云端管理方法和设备
CN110149318B (zh) 邮件元数据的处理方法及装置、存储介质、电子装置
US10963562B2 (en) Malicious event detection device, malicious event detection method, and malicious event detection program
CN115695031A (zh) 主机失陷检测方法、装置及设备
WO2022156293A1 (zh) 处理告警日志的方法、装置及存储介质
US9239907B1 (en) Techniques for identifying misleading applications
US11159548B2 (en) Analysis method, analysis device, and analysis program
US10645098B2 (en) Malware analysis system, malware analysis method, and malware analysis program
CN110224975B (zh) Apt信息的确定方法及装置、存储介质、电子装置
CN115314271B (zh) 一种访问请求的检测方法、系统及计算机存储介质
CN111314326A (zh) Http漏洞扫描主机的确认方法、装置、设备及介质
CN105933186A (zh) 安全检测的方法、装置及系统
CN116170186A (zh) 基于网络流量分析的攻击代码在线检测方法和装置
KR20230123834A (ko) 해시 기반 악성파일 판단 방법 및 이를 이용한 시스템
CN104363256A (zh) 一种手机病毒的识别和控制方法、设备与系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination