CN114944964A - 一种网络安全事件处理方法及装置 - Google Patents
一种网络安全事件处理方法及装置 Download PDFInfo
- Publication number
- CN114944964A CN114944964A CN202210856423.8A CN202210856423A CN114944964A CN 114944964 A CN114944964 A CN 114944964A CN 202210856423 A CN202210856423 A CN 202210856423A CN 114944964 A CN114944964 A CN 114944964A
- Authority
- CN
- China
- Prior art keywords
- event
- rule
- alarm log
- identifier
- alarm
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种网络安全事件处理方法及装置,所述方法包括:根据事件告警日志流,获得各个告警日志;其中,每个告警日志包括事件标识和规则标识;根据所述事件标识获得所述事件标识对应的事件规则模板;其中,所述事件规则模板是预设的,包括规则标识;根据各个告警日志的规则标识以及所述事件标识对应的事件规则模板包括的规则标识,获得所述事件规则模板对应的告警日志;根据所述事件规则模板对应的告警日志以及所述事件规则模板,生成攻击链路。所述装置用于执行上述方法。本发明实施例提供的网络安全事件处理方法及装置,提高对网络安全事件命中的准确性。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及一种网络安全事件处理方法及装置。
背景技术
随着互联网技术的发展,网络技术的应用范围越来越广泛,数据窃取、篡改、个人隐私泄露等网络安全已成为社会关注的焦点。
随着时代的发展,网络事件攻击也由原来的单点攻击网络事件逐渐演变为复杂攻击事件。单点攻击事件处理存在规则单一,匹配深度,及攻击行为遗漏等问题,技术发展逐渐转向了更加复杂的事件攻击处理手段,如CEP方式等。但在企业生产及工作环境中对于存在的复杂攻击事件,产生大量的攻击行为遗漏,无法进行有效防御。
发明内容
针对现有技术中的问题,本发明实施例提供一种网络安全事件处理方法及装置,能够至少部分地解决现有技术中存在的问题。
第一方面,本发明提出一种网络安全事件处理方法,包括:
根据事件告警日志流,获得各个告警日志;其中,每个告警日志包括事件标识和规则标识;
根据所述事件标识获得所述事件标识对应的事件规则模板;其中,所述事件规则模板是预设的,包括规则标识;
根据各个告警日志的规则标识以及所述事件标识对应的事件规则模板包括的规则标识,获得所述事件规则模板对应的告警日志;
根据所述事件规则模板对应的告警日志以及所述事件规则模板,生成攻击链路。
进一步地,所述根据事件告警日志流,获得各个告警日志包括:
根据所述事件告警日志流对应的日志结构筛选所述事件告警日志流,获得各个告警日志;其中,所述事件告警日志流对应的日志结构是预设的。
进一步地,所述根据各个告警日志的规则标识以及所述事件标识对应的事件规则模板包括的规则标识,获得所述事件规则模板对应的告警日志包括:
若判断获知所述告警日志的规则标识与所述事件规则模板包括的规则标识相同,则将所述告警日志作为所述事件规则模板对应的告警日志。
进一步地,所述根据所述事件规则模板对应的告警日志以及所述事件规则模板,生成攻击链路包括:
根据所述事件规则模板对应的告警日志中每个告警日志的规则标识,以及所述事件规则模板包括的各个链路节点的范围区间,获得每个告警日志对应的链路节点;
根据每个告警日志对应的链路节点以及所述事件规则模板包括的各个链路节点的逻辑关系,生成攻击链路。
进一步地,本发明实施例提供的网络安全事件处理方法还包括:
将所述攻击链路以图模板的形式进行展示。
第二方面,本发明提供一种网络安全事件处理装置,包括:
第一获得单元,用于根据事件告警日志流,获得各个告警日志;其中,每个告警日志包括事件标识和规则标识;
第二获得单元,用于根据所述事件标识获得所述事件标识对应的事件规则模板;其中,所述事件规则模板是预设的,包括规则标识;
第三获得单元,用于根据各个告警日志的规则标识以及所述事件标识对应的事件规则模板包括的规则标识,获得所述事件规则模板对应的告警日志;
生成单元,用于根据所述事件规则模板对应的告警日志以及所述事件规则模板,生成攻击链路。
进一步地,所述第一获得单元具体用于:
根据所述事件告警日志流对应的日志结构筛选所述事件告警日志流,获得各个告警日志;其中,所述事件告警日志流对应的日志结构是预设的。
进一步地,所述第三获得单元具体用于:
若判断获知所述告警日志的规则标识与所述事件规则模板包括的规则标识相同,则将所述告警日志作为所述事件规则模板对应的告警日志。
进一步地,所述生成单元包括:
获得子单元,用于根据所述事件规则模板对应的告警日志中每个告警日志的规则标识,以及所述事件规则模板包括的各个链路节点的范围区间,获得每个告警日志对应的链路节点;
生成子单元,用于根据每个告警日志对应的链路节点以及所述事件规则模板包括的各个链路节点的逻辑关系,生成攻击链路。
进一步地,本发明实施例提供的网络安全事件处理装置还包括:
展示单元,用于将所述攻击链路以图模板的形式进行展示。
第三方面,本发明提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述任一实施例所述网络安全事件处理方法。
第四方面,本发明提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述任一实施例所述网络安全事件处理方法。
本发明实施例提供的网络安全事件处理方法及装置,能够根据事件告警日志流,获得各个告警日志;其中,每个告警日志包括事件标识和规则标识;根据所述事件标识获得所述事件标识对应的事件规则模板;其中,所述事件规则模板是预设的,包括规则标识;根据各个告警日志的规则标识以及所述事件标识对应的事件规则模板包括的规则标识,获得所述事件规则模板对应的告警日志;根据所述事件规则模板对应的告警日志以及所述事件规则模板,生成攻击链路,能够对网络安全事件进行关联分析,提供完整的攻击链路,提高对网络安全事件命中的准确性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。在附图中:
图1是本发明第一实施例提供的网络安全事件处理方法的流程示意图。
图2是本发明第二实施例提供的网络安全事件处理方法的流程示意图。
图3是本发明第三实施例提供的图模板的结构示意图。
图4是本发明第四实施例提供的图模板的子图的结构示意图。
图5是本发明第五实施例提供的网络安全事件处理装置的结构示意图。
图6是本发明第六实施例提供的网络安全事件处理装置的结构示意图。
图7是本发明第七实施例提供的网络安全事件处理装置的结构示意图。
图8是本发明第八实施例提供的电子设备的实体结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚明白,下面结合附图对本发明实施例做进一步详细说明。在此,本发明的示意性实施例及其说明用于解释本发明,但并不作为对本发明的限定。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
下面以服务器作为执行主体为例,对本发明实施例提供的网络安全事件处理方法的具体实现过程进行说明。可理解的是本发明实施例提供的网络安全事件处理方法的执行主体不限于服务器。
图1是本发明第一实施例提供的网络安全事件处理方法的流程示意图,如图1所示,本发明实施例提供的网络安全事件处理方法,包括:
S101、根据事件告警日志流,获得各个告警日志;其中,每个告警日志包括事件标识和规则标识;
具体地,服务器可以从各个数据源获取到事件告警日志流,从事件告警日志流中,获得各个告警日志。事件告警日志流可以包括多条告警数据,可以根据每条告警数据生成一个告警日志。其中,每个告警日志包括事件标识和规则标识,每个告警日志具有唯一对应的事件标识和规则标识。所述事件标识和所述规则标识根据实际需要进行设置,本发明实施例不做限定。
例如,数据源可以是从第三方厂商接入的数据源,数据源可以有多个。比如数据源可以为主机告警-Linux反弹Shell数据源,主机告警-Linux异常操作数据源等。
S102、根据所述事件标识获得所述事件标识对应的事件规则模板;其中,所述事件规则模板是预设的,包括规则标识;
具体地,预先配置网络安全事件对应的事件规则模板,相同的网络安全事件可以对应多个事件规则模板。每个网络安全事件具有唯一的事件标识,网络安全事件对应的事件规则模板对应网络安全事件对应的事件标识,所述事件规则模版还包括规则标识。所述服务器根据事件标识查询包括事件标识的事件规则模板,将查询获得的包括事件标识的事件规则模板作为事件标识对应的事件规则模板。
例如,某个网络安全事件对应的事件规则模板如下所示:
info:
ruleId: xdr0001
title: 外网漏洞利用导致内网webshell利用事件
vendor: XDR
primaryClassification: "01"
classType: "02"
threatLevel: 1
describe: 发现攻击者利用redis未授权或永恒之蓝漏洞入侵到内网后,在内网web服务上植入webshell后门,再对内网进行扫描
groupId: intranet_backdoor
groupName: 内网后门事件
transforms:
- filterId: d033a473-67bc-4c32-abbd-d6f0813950a7
pid: ""
name: 外网漏洞利用
operatorConfig: is_internet(this.attacker_ip) && this.rule_id in ["0x00000389", "0x00000244"]
concurrency: "2"
messagesQueueLength: "10"
- filterId: "24c9f787-b47c-4962-82f1-cfed9d8c5df0"
pid: "d033a473-67bc-4c32-abbd-d6f0813950a7"
name: "内网webshell利用"
operatorConfig: this.rule_id in ["0x000002b1"]
concurrency: "2"
messagesQueueLength: "10"
- filterId: "b4cc3a80-4b4d-4096-91cc-f87c48c4a259"
pid: "24c9f787-b47c-4962-82f1-cfed9d8c5df0"
name: "内网扫描"
operatorConfig: this.rule_id in ["0x00000f80", "0x000010fc"]
concurrency: "2"
messagesQueueLength: "10"
上述事件规则模板包括规则标识(ruleId):xdr0001,多个链路节点标识:filterId。Pid表示链路节点标识对应的链路节点的父节点标识,Pid为空,表示链路节点的父节点不存在,链路节点为起始节点。filterId: d033a473-67bc-4c32-abbd-d6f0813950a7, pid: "",表示链路节点标识为d033a473-67bc-4c32-abbd-d6f0813950a7,并且没有父节点。filterId: "24c9f787-b47c-4962-82f1-cfed9d8c5df0",pid: "d033a473-67bc-4c32-abbd-d6f0813950a7",表示链路节点标识为24c9f787-b47c-4962-82f1-cfed9d8c5df0,对应的父节点标识为24c9f787-b47c-4962-82f1-cfed9d8c5df0。
S103、根据各个告警日志的规则标识以及所述事件标识对应的事件规则模板包括的规则标识,获得所述事件规则模板对应的告警日志;
具体地,所述服务器根据每个告警日志的规则标识以及所述事件标识对应的事件规则模板包括的规则标识,为每个告警日志匹配对应的事件规则模板,获得所述事件规则模板对应的告警日志。所述事件规则模板可以对应一个告警日志,也可以对应多个告警日志。
S104、根据所述事件规则模板对应的告警日志以及所述事件规则模板,生成攻击链路。
具体地,在获得所述事件规则模板对应的告警日志之后,所述服务器将所述事件规则模板对应的告警日志中每个告警日志,与所述事件规则模板包括的攻击链路的各个链路节点进行匹配,将与攻击链路的各个链路节点匹配的告警日志按照攻击链路的各个链路节点之间的链路关系,构成攻击链路。攻击链路表明存在复杂攻击事件,能够反应构成复杂攻击事件的各个网络安全事件之间的关系。其中,所述事件规则模板包括攻击链路的各个链路节点,以及各个链路节点之间的链路关系。
本发明实施例提供的网络安全事件处理方法,能够根据事件告警日志流,获得各个告警日志;其中,每个告警日志包括事件标识和规则标识;根据所述事件标识获得所述事件标识对应的事件规则模板;其中,所述事件规则模板是预设的,包括规则标识;根据各个告警日志的规则标识以及所述事件标识对应的事件规则模板包括的规则标识,获得所述事件规则模板对应的告警日志;根据所述事件规则模板对应的告警日志以及所述事件规则模板,生成攻击链路,能够对网络安全事件进行关联分析,提供完整的攻击链路,提高对网络安全事件命中的准确性。此外,能够对复杂攻击事件进行预警响应和防御,提高了网络安全。
在上述各实施例的基础上,进一步地,所述根据事件告警日志流,获得各个告警日志包括:
根据所述事件告警日志流对应的日志结构筛选所述事件告警日志流,获得各个告警日志;其中,所述事件告警日志流对应的日志结构是预设的。
具体地,预先设置所述事件告警日志流对应的日志结构,日志结构包括多个有效字段,日志结构包括的有效字段根据实际需要进行设置,本发明实施例不做限定。所述服务器根据所述事件告警日志流对应的日志结构对所述事件告警日志流的每条告警数据筛选出日志结构包括的有效字段对应的数据,获得各个告警日志。可理解的是,不同数据源的事件告警日志流对应的日志结构可以不同。
例如,从数据源获取的一条告警数据如下:
{
"affected_asset": "Redis",
"alarm_type": 0,
"alert_category": "非授权访问/权限绕过",
"alert_count": 1,
"alert_desc": "Redis(Remote Dictionary Server ),即远程字典服务,是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。",
"alert_level": "3",
"alert_name": "发现redis未授权访问行为",
"alert_state": "待处置",
"alert_time": "2022-01-14T20:18:44.46990886+08:00",
"alert_type": "非授权访问/权限绕过",
"attack": "T1190-面向公众应用的利用-初始访问",
"attack_dir": "cts",
"attack_method": "远程",
"attack_result": "企图",
"attack_tactic_name": "初始访问",
"attack_tech_id": "T1190",
"attack_tech_name": "面向公众应用的利用",
"attacker_ip": "209.141.51.176",
"cnnvd_id": "",
"code_language": "其他",
"confidence": "高",
"custom": "",
"cve_id": "",
"data": "",
"data_model_version": "2022.1.11",
"dip": "22.122.62.20",
"dport": 19081,
"enable": "启用",
"ether": {},
"event_filter_id": "d033a473-67bc-4c32-abbd-d6f0813950a7",
"event_filter_name": "外网漏洞利用",
"event_rule_id": "xdr0001",
"event_rule_name": "内网webshell利用事件",
"event_sink_id": "sink_xdr0001",
"event_source_id": "source_xdr0001",
"event_task_pid": "",
"flow_id": 1697759330142074,
"geo_victim": "",
"host": "uop-operation-srv.bocsys.cn",
"http_response_body": "eyJqRGF0YSI6W10sImNvZGUiOiIxMDAwMCIsIm1zZyI6IlNVQyJ9",
"killchain": null,
"latest_occur_time": "2022-01-14T20:18:37.779+08:00",
"log_category": "net-alert",
"log_id": "524e4585-b5eb-447d-81cd-96415e1b235b",
"log_type": "net-attack",
"merged_times": 0,
"method": "GET",
"observer_app": "厂商数据接入应用",
"observer_appver": "1.0",
"observer_module": "ndr网络告警解析模块",
"observer_product": "ndr",
"observer_serial": "",
"observer_type": "ndr",
"observer_vendor": "A公司",
"packet_data": "",
"packet_size": 1896,
"payload": "",
"primary_key_time": "2022-01-14T20:18:37.779+08:00",
"src_ip":"39.107.34.243",
"src_port":41870,
"dest_ip":"172.16.110.105",
"dest_port":8888,
"proto": "http",
"protocol": "HTTP/1.1",
"referer": "",
"request_headers": "GET /OperationService/WebAPI/api/db/GetInstallPatchList/%7B'terminalSN':'NB2CPHL721TE'%7D HTTP/1.1\r\nHost: uop-operation-srv.bocsys.cn:19081\r\nConnection: Keep-Alive\r\n\r\n",
"response_headers": "HTTP/1.1 200 OK\r\nTransfer-Encoding: chunked\r\nContent-Type: application/json; charset=utf-8\r\nServer: Microsoft-HTTPAPI/2.0\r\nX-ServiceFabricRequestId: 780d850a-67a7-40aa-afb6-036df9952092\r\nDate: Mon, 18 Oct 2021 12:16:56 GMT\r\n\r\n",
"rule_desc": "Redis(Remote Dictionary Server ),即远程字典服务,是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。",
"rule_id": "0x00000389",
"rule_name": "发现redis未授权访问行为",
"rule_sugg": "请立即对服务器进行加固,查验漏洞是否存在并进行修复",
"rule_version": "20211117154230.1000",
"server_type": "通用",
"sign_id": 2065,
"sip": "21.210.64.98",
"sport": 65064,
"status": 200,
"tags": "",
"time_generate": "2022-01-14T12:18:37",
"time_occur": "2022-01-14T12:18:37",
"time_save": "2022-01-14T12:18:37",
"upload_time": "2022-01-14 20:18:44",
"uri": "/OperationService/WebAPI/api/db/GetInstallPatchList/%7B'terminalSN':'NB2CPHL721TE'%7D",
"victim_ip": "209.141.51.176\b\b\t\b\b",
"vuln_desc": "Redis(Remote Dictionary Server ),即远程字典服务,是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。",
"vuln_harm": "(1)攻击者无需认证访问到内部数据,可能导致敏感信息泄露,黑客也可以恶意执行flushall来清空所有数据;(2)攻击者可通过EVAL执行lua代码,或通过数据备份功能往磁盘写入后门文件;(3)最严重的情况,如果Redis以root身份运行,黑客可以给root账户写入SSH公钥文件,直接通过SSH登录受害服务器",
"vuln_type": "非授权访问/权限绕过",
"xff": ""
}
该条告警数据对应的日志结构包括的有效字段为:event_rule_id、rule_id、rule_name、vuln_type、confidence、vuln_desc、attack_method、attack_result、flow_id、src_ip、dest_ip、attacker_ip、victim_ip、host。
通过上述有效字段对该条告警数据进行筛选,获得的告警日志如下:
{
"event_rule_id": "xdr0001",
"rule_id":"0x00000389",
"rule_name":"发现redis未授权访问行为",
"vuln_type": "非授权访问/权限绕过",
"confidence":"高",
"vuln_desc": "Redis(Remote Dictionary Server ),即远程字典服务,是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。",
"attack_method":"远程",
"attack_result":"企图",
"flow_id":1697759330142074,
"src_ip":"39.107.34.243",
"dest_ip":"172.16.110.105",
"attacker_ip": "209.141.51.176",
"victim_ip": "209.141.51.176\b\b\t\b\b",
"host": "uop-operation-srv.bocsys.cn",
}
在上述各实施例的基础上,进一步地,所述根据各个告警日志的规则标识以及所述事件标识对应的事件规则模板包括的规则标识,获得所述事件规则模板对应的告警日志包括:
若判断获知所述告警日志的规则标识与所述事件规则模板包括的规则标识相同,则将所述告警日志作为所述事件规则模板对应的告警日志。
具体地,对于每个告警日志,所述服务器将所述告警日志的规则标识与所述事件规则模板包括的规则标识进行比较,如果所述告警日志的规则标识与所述事件规则模板包括的规则标识相同,说明所述告警日志满足所述事件规则模板,那么将所述告警日志作为所述事件规则模板对应的告警日志。
图2是本发明第二实施例提供的网络安全事件处理方法的流程示意图,如图2所示,在上述各实施例的基础上,进一步地,所述根据所述事件规则模板对应的告警日志以及所述事件规则模板,生成攻击链路包括:
S201、根据所述事件规则模板对应的告警日志中每个告警日志的规则标识,以及所述事件规则模板包括的各个链路节点的范围区间,获得每个告警日志对应的链路节点;
具体地,所述服务器根据所述事件规则模板对应的告警日志中每个告警日志的规则标识,以及所述事件规则模板包括的各个链路节点的范围区间,确定告警日志的规则标识属于哪个链路节点的范围区间,如果告警日志的规则标识属于链路节点的范围区间,那么将该链路节点作为告警日志对应的链路节点。其中,各个链路节点的范围区间是预设的,用于限定规则标识的范围,根据实际情况进行设置,本发明实施例不做限定。
S202、根据每个告警日志对应的链路节点以及所述事件规则模板包括的各个链路节点的逻辑关系,生成攻击链路。
具体地,所述服务器在获得每个告警日志对应的链路节点之后,按照所述事件规则模板包括的各个链路节点的逻辑关系,记录各个告警日志的逻辑关系构成攻击链路。
其中,如果所述事件规则模板包括的各个链路节点存在没有匹配到告警日志的链路节点,那么只为匹配到告警日志的链路节点生成攻击链路,最终获得的攻击链路不是一个完成的攻击链路,即为所述事件规则模板包括的完整攻击链路的一部分。
例如,以父节点的形式记录各个告警日志的逻辑关系,并以json文件形式将攻击链路存储到数据库中。
在上述各实施例的基础上,进一步地,本发明实施例提供的网络安全事件处理方法还包括:
将所述攻击链路以图模板的形式进行展示。
具体地,所述服务器根据所述攻击链路中各个告警日志的相关信息,以及相互逻辑关系,建立图模板对攻击链路进行展示。图模板展示了告警日志对应的网络安全事件之间关系。
例如,如图3所示,告警日志A为告警日志B和告警日志C的父节点,攻击链路关系从A分别指向B和C。
进一步地,可以从每个告警日志中获取起始点和终点,绘制图模板的子图。将子图以map的方式进行存储,可以存储到内存中。子图的数据可以以键值对的形式存储,子图的键(key)采用图模版的唯一标识(gid),子图的值(value)保存的是关联的两个点和边的信息。如图4所示,告警日志A对应起始点a和终点b;告警日志A对应起始点b和终点c;告警日志C对应起始点b和终点d,边的信息包括起始点、终点和属性信息,属性信息包括事件标识、规则标识、节点标识和创建时间。比如ab边的信息包括起始点a、终点b、告警日志A包括的事件标识、告警日志A包括的规则标识、告警日志A对应的链路节点标识以及创建ab边的时间。起始点a可以查询告警日志A中的src_ip字段获得,终点b可以查询告警日志A的dest_ip字段获得。
图5是本发明第五实施例提供的网络安全事件处理装置的结构示意图,如图5所示,本发明实施例提供的网络安全事件处理装置包括第一获得单元501、第二获得单元502、第三获得单元503和生成单元504,其中:
第一获得单元501用于根据事件告警日志流,获得各个告警日志;其中,每个告警日志包括事件标识和规则标识;第二获得单元502用于根据所述事件标识获得所述事件标识对应的事件规则模板;其中,所述事件规则模板是预设的,包括规则标识;第三获得单元503用于根据各个告警日志的规则标识以及所述事件标识对应的事件规则模板包括的规则标识,获得所述事件规则模板对应的告警日志;生成单元504用于根据所述事件规则模板对应的告警日志以及所述事件规则模板,生成攻击链路。
具体地,第一获得单元501可以从各个数据源获取到事件告警日志流,从事件告警日志流中,获得各个告警日志。事件告警日志流可以包括多条告警数据,可以根据每条告警数据生成一个告警日志。其中,每个告警日志包括事件标识和规则标识,每个告警日志具有唯一对应的事件标识和规则标识。所述事件标识和所述规则标识根据实际需要进行设置,本发明实施例不做限定。
预先配置网络安全事件对应的事件规则模板,相同的网络安全事件可以对应多个事件规则模板。每个网络安全事件具有唯一的事件标识,网络安全事件对应的事件规则模板对应网络安全事件对应的事件标识,所述事件规则模版还包括规则标识。第二获得单元502根据事件标识查询包括事件标识的事件规则模板,将查询获得的包括事件标识的事件规则模板作为事件标识对应的事件规则模板。
第三获得单元503根据每个告警日志的规则标识以及所述事件标识对应的事件规则模板包括的规则标识,为每个告警日志匹配对应的事件规则模板,获得所述事件规则模板对应的告警日志。所述事件规则模板可以对应一个告警日志,也可以对应多个告警日志。
在获得所述事件规则模板对应的告警日志之后,生成单元504将所述事件规则模板对应的告警日志中每个告警日志,与所述事件规则模板包括的攻击链路的各个链路节点进行匹配,将与攻击链路的各个链路节点匹配的告警日志按照攻击链路的各个链路节点之间的链路关系,构成攻击链路。攻击链路表明存在复杂攻击事件,能够反应构成复杂攻击事件的各个网络安全事件之间的关系。其中,所述事件规则模板包括攻击链路的各个链路节点,以及各个链路节点之间的链路关系。
本发明实施例提供的网络安全事件处理装置,能够根据事件告警日志流,获得各个告警日志;其中,每个告警日志包括事件标识和规则标识;根据所述事件标识获得所述事件标识对应的事件规则模板;其中,所述事件规则模板是预设的,包括规则标识;根据各个告警日志的规则标识以及所述事件标识对应的事件规则模板包括的规则标识,获得所述事件规则模板对应的告警日志;根据所述事件规则模板对应的告警日志以及所述事件规则模板,生成攻击链路,能够对网络安全事件进行关联分析,提供完整的攻击链路,提高对网络安全事件命中的准确性。此外,能够对复杂攻击事件进行预警响应和防御,提高了网络安全。
在上述各实施例的基础上,进一步地,第一获得单元501具体用于:
根据所述事件告警日志流对应的日志结构筛选所述事件告警日志流,获得各个告警日志;其中,所述事件告警日志流对应的日志结构是预设的。
具体地,预先设置所述事件告警日志流对应的日志结构,日志结构包括多个有效字段,日志结构包括的有效字段根据实际需要进行设置,本发明实施例不做限定。第一获得单元501根据所述事件告警日志流对应的日志结构对所述事件告警日志流的每条告警数据筛选出日志结构包括的有效字段对应的数据,获得各个告警日志。
在上述各实施例的基础上,进一步地,第三获得单元503具体用于:
若判断获知所述告警日志的规则标识与所述事件规则模板包括的规则标识相同,则将所述告警日志作为所述事件规则模板对应的告警日志。
具体地,对于每个告警日志,第三获得单元503将所述告警日志的规则标识与所述事件规则模板包括的规则标识进行比较,如果所述告警日志的规则标识与所述事件规则模板包括的规则标识相同,说明所述告警日志满足所述事件规则模板,那么将所述告警日志作为所述事件规则模板对应的告警日志。
图6是本发明第六实施例提供的网络安全事件处理装置的结构示意图,如图6所示,在上述各实施例的基础上,进一步地,生成单元504包括获得子单元5041和生成子单元5042,其中:
获得子单元5041用于根据所述事件规则模板对应的告警日志中每个告警日志的规则标识,以及所述事件规则模板包括的各个链路节点的范围区间,获得每个告警日志对应的链路节点;生成子单元5042用于根据每个告警日志对应的链路节点以及所述事件规则模板包括的各个链路节点的逻辑关系,生成攻击链路。
具体地,获得子单元5041根据所述事件规则模板对应的告警日志中每个告警日志的规则标识,以及所述事件规则模板包括的各个链路节点的范围区间,确定告警日志的规则标识属于哪个链路节点的范围区间,如果告警日志的规则标识属于链路节点的范围区间,那么将该链路节点作为告警日志对应的链路节点。其中,各个链路节点的范围区间是预设的,用于限定规则标识的范围,根据实际情况进行设置,本发明实施例不做限定。
生成子单元5042在获得每个告警日志对应的链路节点之后,按照所述事件规则模板包括的各个链路节点的逻辑关系,记录各个告警日志的逻辑关系构成攻击链路。
图7是本发明第七实施例提供的网络安全事件处理装置的结构示意图,如图7所示,在上述各实施例的基础上,进一步地,本发明实施例提供的网络安全事件处理装置还包括展示单元505,其中:
展示单元505用于将所述攻击链路以图模板的形式进行展示。
具体地,展示单元505根据所述攻击链路中各个告警日志的相关信息,以及相互逻辑关系,建立图模板对攻击链路进行展示。图模板展示了告警日志对应的网络安全事件之间关系。
本发明实施例提供的装置的实施例具体可以用于执行上述各方法实施例的处理流程,其功能在此不再赘述,可以参照上述方法实施例的详细描述。
图8是本发明第八实施例提供的电子设备的实体结构示意图,如图8所示,该电子设备可以包括:处理器(processor)801、通信接口(Communications Interface)802、存储器(memory)803和通信总线804,其中,处理器801,通信接口802,存储器803通过通信总线804完成相互间的通信。处理器801可以调用存储器803中的逻辑指令,以执行如下方法:根据事件告警日志流,获得各个告警日志;其中,每个告警日志包括事件标识和规则标识;根据所述事件标识获得所述事件标识对应的事件规则模板;其中,所述事件规则模板是预设的,包括规则标识;根据各个告警日志的规则标识以及所述事件标识对应的事件规则模板包括的规则标识,获得所述事件规则模板对应的告警日志;根据所述事件规则模板对应的告警日志以及所述事件规则模板,生成攻击链路。
此外,上述的存储器803中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如包括:根据事件告警日志流,获得各个告警日志;其中,每个告警日志包括事件标识和规则标识;根据所述事件标识获得所述事件标识对应的事件规则模板;其中,所述事件规则模板是预设的,包括规则标识;根据各个告警日志的规则标识以及所述事件标识对应的事件规则模板包括的规则标识,获得所述事件规则模板对应的告警日志;根据所述事件规则模板对应的告警日志以及所述事件规则模板,生成攻击链路。
本实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储计算机程序,所述计算机程序使所述计算机执行上述各方法实施例所提供的方法,例如包括:根据事件告警日志流,获得各个告警日志;其中,每个告警日志包括事件标识和规则标识;根据所述事件标识获得所述事件标识对应的事件规则模板;其中,所述事件规则模板是预设的,包括规则标识;根据各个告警日志的规则标识以及所述事件标识对应的事件规则模板包括的规则标识,获得所述事件规则模板对应的告警日志;根据所述事件规则模板对应的告警日志以及所述事件规则模板,生成攻击链路。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在本说明书的描述中,参考术语“一个实施例”、“一个具体实施例”、“一些实施例”、“例如”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (12)
1.一种网络安全事件处理方法,其特征在于,包括:
根据事件告警日志流,获得各个告警日志;其中,每个告警日志包括事件标识和规则标识;
根据所述事件标识获得所述事件标识对应的事件规则模板;其中,所述事件规则模板是预设的,包括规则标识;
根据各个告警日志的规则标识以及所述事件标识对应的事件规则模板包括的规则标识,获得所述事件规则模板对应的告警日志;
根据所述事件规则模板对应的告警日志以及所述事件规则模板,生成攻击链路。
2.根据权利要求1所述的方法,其特征在于,所述根据事件告警日志流,获得各个告警日志包括:
根据所述事件告警日志流对应的日志结构筛选所述事件告警日志流,获得各个告警日志;其中,所述事件告警日志流对应的日志结构是预设的。
3.根据权利要求1所述的方法,其特征在于,所述根据各个告警日志的规则标识以及所述事件标识对应的事件规则模板包括的规则标识,获得所述事件规则模板对应的告警日志包括:
若判断获知所述告警日志的规则标识与所述事件规则模板包括的规则标识相同,则将所述告警日志作为所述事件规则模板对应的告警日志。
4.根据权利要求1至3任一项所述的方法,其特征在于,所述根据所述事件规则模板对应的告警日志以及所述事件规则模板,生成攻击链路包括:
根据所述事件规则模板对应的告警日志中每个告警日志的规则标识,以及所述事件规则模板包括的各个链路节点的范围区间,获得每个告警日志对应的链路节点;
根据每个告警日志对应的链路节点以及所述事件规则模板包括的各个链路节点的逻辑关系,生成攻击链路。
5.根据权利要求4所述的方法,其特征在于,还包括:
将所述攻击链路以图模板的形式进行展示。
6.一种网络安全事件处理装置,其特征在于,包括:
第一获得单元,用于根据事件告警日志流,获得各个告警日志;其中,每个告警日志包括事件标识和规则标识;
第二获得单元,用于根据所述事件标识获得所述事件标识对应的事件规则模板;其中,所述事件规则模板是预设的,包括规则标识;
第三获得单元,用于根据各个告警日志的规则标识以及所述事件标识对应的事件规则模板包括的规则标识,获得所述事件规则模板对应的告警日志;
生成单元,用于根据所述事件规则模板对应的告警日志以及所述事件规则模板,生成攻击链路。
7.根据权利要求6所述的装置,其特征在于,所述第一获得单元具体用于:
根据所述事件告警日志流对应的日志结构筛选所述事件告警日志流,获得各个告警日志;其中,所述事件告警日志流对应的日志结构是预设的。
8.根据权利要求6所述的装置,其特征在于,所述第三获得单元具体用于:
若判断获知所述告警日志的规则标识与所述事件规则模板包括的规则标识相同,则将所述告警日志作为所述事件规则模板对应的告警日志。
9.根据权利要求6至8任一项所述的装置,其特征在于,所述生成单元包括:
获得子单元,用于根据所述事件规则模板对应的告警日志中每个告警日志的规则标识,以及所述事件规则模板包括的各个链路节点的范围区间,获得每个告警日志对应的链路节点;
生成子单元,用于根据每个告警日志对应的链路节点以及所述事件规则模板包括的各个链路节点的逻辑关系,生成攻击链路。
10.根据权利要求9所述的装置,其特征在于,还包括:
展示单元,用于将所述攻击链路以图模板的形式进行展示。
11.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至5任一项所述方法的步骤。
12.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至5任一项所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210856423.8A CN114944964B (zh) | 2022-07-21 | 2022-07-21 | 一种网络安全事件处理方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210856423.8A CN114944964B (zh) | 2022-07-21 | 2022-07-21 | 一种网络安全事件处理方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114944964A true CN114944964A (zh) | 2022-08-26 |
CN114944964B CN114944964B (zh) | 2022-10-21 |
Family
ID=82911546
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210856423.8A Active CN114944964B (zh) | 2022-07-21 | 2022-07-21 | 一种网络安全事件处理方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114944964B (zh) |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105471623A (zh) * | 2015-11-16 | 2016-04-06 | 中国烟草总公司江苏省公司 | 一种基于模糊场景的关键ip地址安全报警关联分析方法 |
US20200127893A1 (en) * | 2018-10-22 | 2020-04-23 | International Business Machines Corporation | Network Modeling and Device Configuration Based on Observed Network Behavior |
US20200334123A1 (en) * | 2019-04-16 | 2020-10-22 | Oracle International Corporation | Rule-based continuous diagnosing and alerting from application logs |
CN112511561A (zh) * | 2020-12-21 | 2021-03-16 | 深信服科技股份有限公司 | 网络攻击路径确定方法、设备、存储介质及装置 |
CN113676464A (zh) * | 2021-08-09 | 2021-11-19 | 国家电网有限公司 | 一种基于大数据分析技术的网络安全日志告警处理方法 |
CN113890821A (zh) * | 2021-09-24 | 2022-01-04 | 绿盟科技集团股份有限公司 | 一种日志关联的方法、装置及电子设备 |
CN114363002A (zh) * | 2021-12-07 | 2022-04-15 | 绿盟科技集团股份有限公司 | 一种网络攻击关系图的生成方法及装置 |
US20220131835A1 (en) * | 2020-10-27 | 2022-04-28 | Centripetal Networks, Inc. | Methods and systems for efficient adaptive logging of cyber threat incidents |
CN114637989A (zh) * | 2022-03-21 | 2022-06-17 | 西安电子科技大学 | 基于分布式系统的apt攻击追溯方法、系统及存储介质 |
-
2022
- 2022-07-21 CN CN202210856423.8A patent/CN114944964B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105471623A (zh) * | 2015-11-16 | 2016-04-06 | 中国烟草总公司江苏省公司 | 一种基于模糊场景的关键ip地址安全报警关联分析方法 |
US20200127893A1 (en) * | 2018-10-22 | 2020-04-23 | International Business Machines Corporation | Network Modeling and Device Configuration Based on Observed Network Behavior |
US20200334123A1 (en) * | 2019-04-16 | 2020-10-22 | Oracle International Corporation | Rule-based continuous diagnosing and alerting from application logs |
US20220131835A1 (en) * | 2020-10-27 | 2022-04-28 | Centripetal Networks, Inc. | Methods and systems for efficient adaptive logging of cyber threat incidents |
CN112511561A (zh) * | 2020-12-21 | 2021-03-16 | 深信服科技股份有限公司 | 网络攻击路径确定方法、设备、存储介质及装置 |
CN113676464A (zh) * | 2021-08-09 | 2021-11-19 | 国家电网有限公司 | 一种基于大数据分析技术的网络安全日志告警处理方法 |
CN113890821A (zh) * | 2021-09-24 | 2022-01-04 | 绿盟科技集团股份有限公司 | 一种日志关联的方法、装置及电子设备 |
CN114363002A (zh) * | 2021-12-07 | 2022-04-15 | 绿盟科技集团股份有限公司 | 一种网络攻击关系图的生成方法及装置 |
CN114637989A (zh) * | 2022-03-21 | 2022-06-17 | 西安电子科技大学 | 基于分布式系统的apt攻击追溯方法、系统及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN114944964B (zh) | 2022-10-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20240187441A1 (en) | Dynamic Hierarchical Tagging System and Method | |
US11741238B2 (en) | Dynamically generating monitoring tools for software applications | |
US20240022607A1 (en) | Automated and adaptive model-driven security system and method for operating the same | |
US12034754B2 (en) | Using static analysis for vulnerability detection | |
US11909752B1 (en) | Detecting deviations from typical user behavior | |
US20230075355A1 (en) | Monitoring a Cloud Environment | |
US11979422B1 (en) | Elastic privileges in a secure access service edge | |
US20230032686A1 (en) | Using real-time monitoring to inform static analysis | |
US20220400129A1 (en) | Detecting Anomalous Behavior Of A Device | |
US20200336489A1 (en) | Cloud least identity privilege and data access framework | |
US20240080329A1 (en) | Cloud Resource Risk Scenario Assessment and Remediation | |
US10409980B2 (en) | Real-time representation of security-relevant system state | |
US12095879B1 (en) | Identifying encountered and unencountered conditions in software applications | |
US20220303295A1 (en) | Annotating changes in software across computing environments | |
CN110474870B (zh) | 基于区块链的网络主动防御方法、系统及计算机可读存储介质 | |
US20230275917A1 (en) | Identifying An Attack Surface Of A Cloud Deployment | |
US20230328086A1 (en) | Detecting Anomalous Behavior Using A Browser Extension | |
US20230319092A1 (en) | Offline Workflows In An Edge-Based Data Platform | |
CN109117152B (zh) | 服务生成系统及方法 | |
US9154515B1 (en) | Systems and methods identifying and reacting to potentially malicious activity | |
CN114944964B (zh) | 一种网络安全事件处理方法及装置 | |
CN115658794B (zh) | 数据查询方法、装置、计算机设备和存储介质 | |
CN114567678B (zh) | 一种云安全服务的资源调用方法、装置及电子设备 | |
CN109788054B (zh) | 一种分布式应用协调服务节点的配置方法、服务器及介质 | |
US11100077B2 (en) | Event table management using type-dependent portions |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |