CN115333930B - 基于场景的日志归类方法、装置、电子设备及存储介质 - Google Patents

基于场景的日志归类方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN115333930B
CN115333930B CN202211250455.XA CN202211250455A CN115333930B CN 115333930 B CN115333930 B CN 115333930B CN 202211250455 A CN202211250455 A CN 202211250455A CN 115333930 B CN115333930 B CN 115333930B
Authority
CN
China
Prior art keywords
log
threat
scene
library
characteristic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202211250455.XA
Other languages
English (en)
Other versions
CN115333930A (zh
Inventor
孙晓申
薛锋
任政
童兆丰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing ThreatBook Technology Co Ltd
Original Assignee
Beijing ThreatBook Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing ThreatBook Technology Co Ltd filed Critical Beijing ThreatBook Technology Co Ltd
Priority to CN202211250455.XA priority Critical patent/CN115333930B/zh
Publication of CN115333930A publication Critical patent/CN115333930A/zh
Application granted granted Critical
Publication of CN115333930B publication Critical patent/CN115333930B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/069Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/21Design, administration or maintenance of databases
    • G06F16/215Improving data quality; Data cleansing, e.g. de-duplication, removing invalid entries or correcting typographical errors
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/29Geographical information databases
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Abstract

本申请实施例提供一种基于场景的日志归类方法、装置、电子设备及存储介质,其中,该方法包括:获取原始日志数据;对所述原始日志数据进行解析,得到日志关键特征信息;根据预先构建的威胁特征库对所述日志关键特征信息进行补充;根据预先构建的场景特征库对补充后的日志关键特征信息进行归类,得到归类结果。实施本申请实施例,可以提高归类的准确率,减小归类过程中产生的误差,并且使得归类更加灵活,不依赖历史数据,不易出现误判。

Description

基于场景的日志归类方法、装置、电子设备及存储介质
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种基于场景的日志归类方法、装置、电子设备及计算机可读存储介质。
背景技术
随着网络技术和网络规模的不断发展,网络系统中的各种网络设备、操作系统、安全设备都会产生大量的网络日志数据,为了从海量日志中高效准确的提取出需要第一时间处理的告警信息,需要对关注的告警进行预先特征定义,只有将与定义的特征相关的日志单独筛选出来才能提高安全运维人员的响应处理能力。
现有技术对于日志的归类方法主要采用自动化聚类算法,而聚类算法主要采用历史告警提取处置特征词统计的方式进行处理。这种方式需要依赖历史告警基础数据,如果新出现的告警是很严重的,但是由于在历史数据中没有出现过所以容易被漏判,并且归类结果存在一定程度的误差,准确性不高而且缺乏灵活性,也容易出现误判的情况。
发明内容
本申请实施例的目的在于提供一种基于场景的日志归类方法、装置、电子设备及计算机可读存储介质,可以提高归类的准确率,减小归类过程中产生的误差,并且使得归类更加灵活,不依赖历史数据,不易出现误判。可以帮助安全运维人员及时发现关注的场景告警信息,基于威胁场景归类提供统一处置建议,加强告警预警和处置能力。
第一方面,本申请实施例提供了一种基于场景的日志归类方法,所述方法包括:
获取原始日志数据;
对所述原始日志数据进行解析,得到日志关键特征信息;
根据预先构建的威胁特征库对所述日志关键特征信息进行补充;
根据预先构建的场景特征库对补充后的日志关键特征信息进行归类,得到归类结果。
在上述实现过程中,通过对原始日志数据解析后得到日志关键特征信息,并构建场景特征库,利用场景特征对日志关键特征信息进行归类,可以提高归类的准确率,减小归类过程中产生的误差,并且使得归类更加灵活,不依赖历史数据,不易出现误判。
进一步地,预先构建所述威胁特征库的步骤,包括:
获取融合字段和融合策略;
根据所述融合策略对所述融合字段进行融合,生成所述威胁特征库。
在上述实现过程中,将融合字段和融合策略进行融合,可以使得威胁特征更加准确、清楚,提高威胁特征库的可用性和实用性。
进一步地,所述根据预先构建的威胁特征库对所述日志关键特征信息进行补充的步骤,包括:
提取所述威胁特征库中的威胁特征数据;
根据所述威胁特征数据对所述日志关键特征信息进行补充。
在上述实现过程中,提取威胁特征数据后根据威胁特征数据对日志关键特征信息进行补充,使得日志关键特征信息中包含威胁特征数据,提高日志关键特征信息的可用性,有助于提高归类准确率。
进一步地,预先构建所述场景特征库的步骤,包括:
设置包含威胁维度、日志维度和地理位置维度的特征字段;
根据所述包含威胁维度、日志维度和地理位置维度的特征字段构建所述场景特征库。
在上述实现过程中,根据包含威胁维度、日志维度和地理位置维度的特征字段构建场景特征库,使得场景特征库中包含更多的场景特征,有效提高场景特征在归类过程中的作用。
进一步地,所述根据预先构建的场景特征库对补充后的日志关键特征信息进行归类,得到归类结果的步骤,包括:
提取所述场景特征库中的场景特征字段;
根据所述场景特征字段对所述日志关键特征信息进行归类,得到所述归类结果。
在上述实现过程中,根据场景特征字段对日志关键特征信息进行归类,可以缩短归类时间,减小归类误差,提高归类效率。
第二方面,本申请实施例还提供了一种基于场景的日志归类装置,所述装置包括:
获取模块,用于获取原始日志数据;
解析模块,用于对所述原始日志数据进行解析,得到日志关键特征信息;
补充模块,用于根据预先构建的威胁特征库对所述日志关键特征信息进行补充;
归类模块,用于根据预先构建的场景特征库对补充后的日志关键特征信息进行归类,得到归类结果。
在上述实现过程中,通过对原始日志数据解析后得到日志关键特征信息,并构建场景特征库,利用场景特征对日志关键特征信息进行归类,可以提高归类的准确率,减小归类过程中产生的误差,并且使得归类更加灵活,不依赖历史数据,不易出现误判。
进一步地,所述装置还包括构建模块,用于:
获取融合字段和融合策略;
根据所述融合策略对所述融合字段进行融合,生成所述威胁特征库。
在上述实现过程中,将融合字段和融合策略进行融合,可以使得威胁特征更加准确、清楚,提高威胁特征库的可用性和实用性。
进一步地,所述补充模块还用于:
提取所述威胁特征库中的威胁特征数据;
根据所述威胁特征数据对所述日志关键特征信息进行补充。
在上述实现过程中,提取威胁特征数据后根据威胁特征数据对日志关键特征信息进行补充,使得日志关键特征信息中包含威胁特征数据,提高日志关键特征信息的可用性,有助于提高归类准确率。
第三方面,本申请实施例提供的一种电子设备,包括:存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如第一方面任一项所述的方法的步骤。
第四方面,本申请实施例提供的一种计算机可读存储介质,所述存储介质上存储有指令,当所述指令在计算机上运行时,使得所述计算机执行如第一方面任一项所述的方法。
第五方面,本申请实施例提供的一种计算机程序产品,所述计算机程序产品在计算机上运行时,使得计算机执行如第一方面任一项所述的方法。
本公开的其他特征和优点将在随后的说明书中阐述,或者,部分特征和优点可以从说明书推知或毫无疑义地确定,或者通过实施本公开的上述技术即可得知。
并可依照说明书的内容予以实施,以下以本申请的较佳实施例并配合附图详细说明如后。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的基于场景的日志归类方法的流程示意图;
图2为本申请实施例提供的基于场景的日志归类装置的结构组成示意图;
图3为本申请实施例提供的电子设备的结构组成示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
下面结合附图和实施例,对本申请的具体实施方式作进一步详细描述。以下实施例用于说明本申请,但不用来限制本申请的范围。
实施例一
图1是本申请实施例提供的基于场景的日志归类方法的流程示意图,如图1所示,该方法包括:
S1,获取原始日志数据;
S2,对原始日志数据进行解析,得到日志关键特征信息;
S3,根据预先构建的威胁特征库对日志关键特征信息进行补充;
S4,根据预先构建的场景特征库对补充后的日志关键特征信息进行归类,得到归类结果。
在上述实现过程中,通过对原始日志数据解析后得到日志关键特征信息,并构建场景特征库,利用场景特征对日志关键特征信息进行归类,可以提高归类的准确率,减小归类过程中产生的误差,并且使得归类更加灵活,不依赖历史数据,不易出现误判。
在S2中,接收原始日志数据,对获取到的原始日志数据进行解析,提取其中的IP、域名、主机、标签等信息得到日志关键特征信息。
进一步地,预先构建威胁特征库包括:
获取融合字段和融合策略;
根据融合策略对融合字段进行融合,生成威胁特征库。
在上述实现过程中,将融合字段和融合策略进行融合,可以使得威胁特征更加准确、清楚,提高威胁特征库的可用性和实用性。
融合字段包括:威胁类型、可信度、威胁等级、标签、ASN、地理位置、运营商,融合策略包括四种:合并策略、最大值策略、最小值策略、第一优先策略,其中威胁类型字段采用合并策略,通过融合产生的威胁特征库数据丰富且字段完善。
进一步地,S3包括:
提取威胁特征库中的威胁特征数据;
根据威胁特征数据对日志关键特征信息进行补充。
在上述实现过程中,提取威胁特征数据后根据威胁特征数据对日志关键特征信息进行补充,使得日志关键特征信息中包含威胁特征数据,提高日志关键特征信息的可用性,有助于提高归类准确率。
基于日志关键特征信息中的IP、域名与威胁检测特征库中的IP、域名进行匹配查询,查询命中后将威胁特征库中检出的威胁类型、威胁等级、可信度、恶意程度、家族团伙、标签、地址位置信息对原始日志数据中已存在的日志关键特征信息进行补充或添加,例如原始日志数据中不包含地理位置的情况经过此步骤可以增加地理位置的特征信息,而原始日志数据中的标签是KV-1232,经检测后发现标签是backdoor,则将backdoor补充到日志关键特征信息当中。
进一步地,预先构建场景特征库包括:
设置包含威胁维度、日志维度和地理位置维度的特征字段;
根据包含威胁维度、日志维度和地理位置维度的特征字段构建场景特征库。
在上述实现过程中,根据包含威胁维度、日志维度和地理位置维度的特征字段构建场景特征库,使得场景特征库中包含更多的场景特征,有效提高场景特征在归类过程中的作用。
场景特征库支持威胁维度、日志维度、地理位置维度的特征定义,威胁维度包含的特征字段有:威胁类型、威胁等级、恶意程度、家族团伙、基础标签,日志维度包含的特征字段有:日志类型,地理位置维度包含的特征字段有:国内、国外、地区与国内行政区。每一个特征字段都支持两种匹配方式:完全相等匹配与近似匹配。其中威胁类型、威胁等级、恶意程度、日志类型、地理位置维度都采用的是完全匹配,由于家族团伙、基础标签有可能存在差异,比如BadRabbit和badRabbit病毒其实是标识的同样的家族团伙,所以对于家族团伙、基础标签采用近似匹配的方式,具体的近似匹配计算方法采用的是Levenshtein Distance算法。目前系统内置了BadRabbit勒索场景和njRAT远控场景,用户也可根据自身行业特点自定义的场景特征库,比如如果用户只关心国外的告警信息的话,可对BadRabbit勒索场景完善补充。
进一步地,S4包括:
提取场景特征库中的场景特征字段;
根据场景特征字段对日志关键特征信息进行归类,得到归类结果。
在上述实现过程中,根据场景特征字段对日志关键特征信息进行归类,可以缩短归类时间,减小归类误差,提高归类效率。
可选地,补充威胁特征的日志关键特征信息通过与场景特征库中定义的场景特征字段逐个进行匹配检测,满足所有场景特征字段的会被归类到一起,比如满足威胁类型是恶意软件,并且恶意程度是高,且家族团伙为badRabbit病毒的日志最终就会被归类到BadRabbit勒索场景下。
示例性地,定义场景特征:
威胁特征定义为:恶意软件;匹配查询的相似度阈值设为:1(完全匹配)。
威胁等级定义为:高;匹配查询的相似度阈值设为:1(完全匹配)。
恶意程度定义为:高;匹配查询的相似度阈值设为:1(完全匹配)。
可信度定义为:高;匹配查询的相似度阈值设为:1(完全匹配)。
家族团伙定义为:Zegost,zusy,kris;匹配查询的相似度阈值设为0.8(近似匹配)。
基础标签定义为:backdoor,后门;匹配查询的性四度阈值设为0.8(近似匹配)。
日志类型定义为:告警日志;匹配查询的相似度阈值设为:1(完全匹配)。
地理位置定义为:xx;匹配查询的相似度阈值设为:1(完全匹配)。
提取原始日志数据中的IP、域名(hask.f3322.org)、主机、标签等信息得到初始的日志关键特征信息。
将域名hask.f3322.org与威胁特征库进行碰撞查询,进一步补充完善原始日志数据中的家族(Zegost)、标签(backdoor)、可信度(高)地理位置信息(xx)。补充威胁特征的日志关键特征信息与场景特征库中定义的特征逐个进行匹配查询。符合上述场景特征定义的日志关键特征信息,最终会被归入对应的场景集合中。
基于上述方法最终实现基于场景的日志归类,将威胁场景归类相同的日志对应的告警主机,统一提供处置建议,以BadRabbit(一种互联网病毒)为例可以进行如下操作:(1)制定备份与恢复计划。(2)下载安装Flash等常用且饱含漏洞的软件时尽量进行校验,不从第三方网站下载。(3)建议使用防火墙并关闭TCP137、139、445端口,检查内网打开共享的机器,并暂时关闭共享。
本申请实施例通过场景特征库对设备告警实现按场景归类,不仅有助于海量原始日志数据中有效过滤重要告警,通过这种方式将各个不同设备的原始日志数据进行场景归类,将威胁场景归类相同的日志对应的告警主机,统一提供处置建议。可以帮助安全运维人员及时发现关注的场景告警信息,加强告警预警和处置能力。
实施例二
为了执行上述实施例一对应的方法,以实现相应的功能和技术效果,下面提供一种基于场景的日志归类装置,如图2所示,该装置包括:
获取模块1,用于获取原始日志数据;
解析模块2,用于对原始日志数据进行解析,得到日志关键特征信息;
补充模块3,用于根据预先构建的威胁特征库对日志关键特征信息进行补充;
归类模块4,用于根据预先构建的场景特征库对补充后的日志关键特征信息进行归类,得到归类结果。
在上述实现过程中,通过对原始日志数据解析后得到日志关键特征信息,并构建场景特征库,利用场景特征对日志关键特征信息进行归类,可以提高归类的准确率,减小归类过程中产生的误差,并且使得归类更加灵活,不依赖历史数据,不易出现误判。
进一步地,该装置还包括构建模块,用于:
获取融合字段和融合策略;
根据融合策略对融合字段进行融合,生成威胁特征库。
在上述实现过程中,将融合字段和融合策略进行融合,可以使得威胁特征更加准确、清楚,提高威胁特征库的可用性和实用性。
进一步地,补充模块3还用于:
提取威胁特征库中的威胁特征数据;
根据威胁特征数据对日志关键特征信息进行补充。
在上述实现过程中,提取威胁特征数据后根据威胁特征数据对日志关键特征信息进行补充,使得日志关键特征信息中包含威胁特征数据,提高日志关键特征信息的可用性,有助于提高归类准确率。
进一步地,构建模块还用于:
设置包含威胁维度、日志维度和地理位置维度的特征字段;
根据包含威胁维度、日志维度和地理位置维度的特征字段构建场景特征库。
进一步地,归类模块4还用于:
提取所述场景特征库中的场景特征字段;
根据所述场景特征字段对所述日志关键特征信息进行归类,得到所述归类结果。
上述的基于场景的日志归类装置可实施上述实施例一的方法。上述实施例一中的可选项也适用于本实施例,这里不再详述。
本申请实施例的其余内容可参照上述实施例一的内容,在本实施例中,不再进行赘述。
实施例三
本申请实施例提供一种电子设备,包括存储器及处理器,该存储器用于存储计算机程序,该处理器运行计算机程序以使电子设备执行实施例一的基于场景的日志归类方法。
可选地,上述电子设备可以是服务器。
请参见图3,图3为本申请实施例提供的电子设备的结构组成示意图。该电子设备可以包括处理器31、通信接口32、存储器33和至少一个通信总线34。其中,通信总线34用于实现这些组件直接的连接通信。其中,本申请实施例中设备的通信接口32用于与其他节点设备进行信令或数据的通信。处理器31可以是一种集成电路芯片,具有信号的处理能力。
上述的处理器31可以是通用处理器,包括中央处理器(Central ProcessingUnit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器31也可以是任何常规的处理器等。
存储器33可以是,但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-Only Memory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。存储器33中存储有计算机可读取指令,当计算机可读取指令由所述处理器31执行时,设备可以执行上述图1方法实施例涉及的各个步骤。
可选地,电子设备还可以包括存储控制器、输入输出单元。存储器33、存储控制器、处理器31、外设接口、输入输出单元各元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通信总线34实现电性连接。处理器31用于执行存储器33中存储的可执行模块,例如设备包括的软件功能模块或计算机程序。
输入输出单元用于提供给用户创建任务以及为该任务创建启动可选时段或预设执行时间以实现用户与服务器的交互。输入输出单元可以是,但不限于,鼠标和键盘等。
可以理解,图3所示的结构仅为示意,电子设备还可包括比图3中所示更多或者更少的组件,或者具有与图3所示不同的配置。图3中所示的各组件可以采用硬件、软件或其组合实现。
另外,本申请实施例还提供一种计算机可读存储介质,其存储有计算机程序,该计算机程序被处理器执行时实现实施例一的基于场景的日志归类方法。
本申请实施例还提供一种计算机程序产品,该计算机程序产品在计算机上运行时,使得计算机执行方法实施例所述的方法。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的装置来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

Claims (5)

1.一种基于场景的日志归类方法,其特征在于,所述方法包括:
获取原始日志数据;
对所述原始日志数据进行解析,得到日志关键特征信息;
根据预先构建的威胁特征库对所述日志关键特征信息进行补充;
根据预先构建的场景特征库对补充后的日志关键特征信息进行归类,得到归类结果;
预先构建所述威胁特征库的步骤,包括:
获取融合字段和融合策略;
根据所述融合策略对所述融合字段进行融合,生成所述威胁特征库;
所述根据预先构建的威胁特征库对所述日志关键特征信息进行补充的步骤,包括:
提取所述威胁特征库中的威胁特征数据;
根据所述威胁特征数据对所述日志关键特征信息进行补充;
预先构建所述场景特征库的步骤,包括:
设置包含威胁维度、日志维度和地理位置维度的特征字段;
根据所述包含威胁维度、日志维度和地理位置维度的特征字段构建所述场景特征库。
2.根据权利要求1所述的基于场景的日志归类方法,其特征在于,所述根据预先构建的场景特征库对补充后的日志关键特征信息进行归类,得到归类结果的步骤,包括:
提取所述场景特征库中的场景特征字段;
根据所述场景特征字段对所述日志关键特征信息进行归类,得到所述归类结果。
3.一种基于场景的日志归类装置,其特征在于,所述装置包括:
获取模块,用于获取原始日志数据;
解析模块,用于对所述原始日志数据进行解析,得到日志关键特征信息;
补充模块,用于根据预先构建的威胁特征库对所述日志关键特征信息进行补充;
归类模块,用于根据预先构建的场景特征库对补充后的日志关键特征信息进行归类,得到归类结果;
所述装置还包括构建模块,用于:
获取融合字段和融合策略;
根据所述融合策略对所述融合字段进行融合,生成所述威胁特征库;
所述补充模块还用于:
提取所述威胁特征库中的威胁特征数据;
根据所述威胁特征数据对所述日志关键特征信息进行补充;
构建模块还用于:
设置包含威胁维度、日志维度和地理位置维度的特征字段;
根据所述包含威胁维度、日志维度和地理位置维度的特征字段构建所述场景特征库。
4.一种电子设备,其特征在于,包括存储器及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行根据权利要求1至2中任一项所述的基于场景的日志归类方法。
5.一种计算机可读存储介质,其特征在于,其存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至2中任一项所述的基于场景的日志归类方法。
CN202211250455.XA 2022-10-13 2022-10-13 基于场景的日志归类方法、装置、电子设备及存储介质 Active CN115333930B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211250455.XA CN115333930B (zh) 2022-10-13 2022-10-13 基于场景的日志归类方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211250455.XA CN115333930B (zh) 2022-10-13 2022-10-13 基于场景的日志归类方法、装置、电子设备及存储介质

Publications (2)

Publication Number Publication Date
CN115333930A CN115333930A (zh) 2022-11-11
CN115333930B true CN115333930B (zh) 2023-03-24

Family

ID=83914622

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211250455.XA Active CN115333930B (zh) 2022-10-13 2022-10-13 基于场景的日志归类方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN115333930B (zh)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108989097A (zh) * 2018-06-29 2018-12-11 中国人民解放军战略支援部队信息工程大学 一种拟态防御系统威胁告警可视化方法及装置

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7525425B2 (en) * 2006-01-20 2009-04-28 Perdiem Llc System and method for defining an event based on relationship between an object location and a user-defined zone
JP6104149B2 (ja) * 2013-12-24 2017-03-29 三菱電機株式会社 ログ分析装置及びログ分析方法及びログ分析プログラム
CN108153603B (zh) * 2017-12-08 2019-03-19 上海陆家嘴国际金融资产交易市场股份有限公司 数据库服务器故障处理方法、装置和存储介质
CN108551449B (zh) * 2018-04-13 2021-02-05 上海携程商务有限公司 防病毒管理系统及方法
CN109756482A (zh) * 2018-12-11 2019-05-14 国网河北省电力有限公司电力科学研究院 一种基于机器学习的内网攻击检测模型构建方法
JP7311350B2 (ja) * 2019-08-07 2023-07-19 株式会社日立ソリューションズ 監視装置、監視方法、および監視プログラム
CN111935082B (zh) * 2020-06-28 2022-09-09 新浪网技术(中国)有限公司 一种网络威胁信息关联分析系统及方法
CN112714118B (zh) * 2020-12-24 2023-06-06 新浪技术(中国)有限公司 网络流量检测方法和装置

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108989097A (zh) * 2018-06-29 2018-12-11 中国人民解放军战略支援部队信息工程大学 一种拟态防御系统威胁告警可视化方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
网络安全监测设备告警日志分析系统设计和实现;李东;《网络安全技术与应用》;20200215(第02期);全文 *

Also Published As

Publication number Publication date
CN115333930A (zh) 2022-11-11

Similar Documents

Publication Publication Date Title
US10691795B2 (en) Quantitative unified analytic neural networks
US20170083703A1 (en) Leveraging behavior-based rules for malware family classification
US11888881B2 (en) Context informed abnormal endpoint behavior detection
CN113489713B (zh) 网络攻击的检测方法、装置、设备及存储介质
CN108881271B (zh) 一种代理主机的反向追踪溯源方法及装置
US10505986B1 (en) Sensor based rules for responding to malicious activity
CN107395650B (zh) 基于沙箱检测文件识别木马回连方法及装置
CN113992431B (zh) 一种联动阻断方法、装置、电子设备及存储介质
CN112600828B (zh) 基于数据报文的电力控制系统攻击检测防护方法及装置
CN115333930B (zh) 基于场景的日志归类方法、装置、电子设备及存储介质
US20230087309A1 (en) Cyberattack identification in a network environment
CN115146263B (zh) 用户账号的失陷检测方法、装置、电子设备及存储介质
CN115001724B (zh) 网络威胁情报管理方法、装置、计算设备及计算机可读存储介质
CN114003914A (zh) 一种文件的安全性检测方法、装置、电子设备及存储介质
US11222113B1 (en) Automatically generating malware definitions using word-level analysis
CN116155519A (zh) 威胁告警信息处理方法、装置、计算机设备和存储介质
CN117294527B (zh) 一种攻击判定方法、装置、存储介质及设备
CN114004604B (zh) 一种邮件中url数据的检测方法、装置、电子设备
CN115361182B (zh) 一种僵尸网络行为分析方法、装置、电子设备及介质
CN115664863B (zh) 一种网络攻击事件处理方法、装置、存储介质及设备
CN114006775B (zh) 一种入侵事件的检测方法及装置
CN117938428A (zh) 一种告警日志的上报方法、装置、电子设备及存储介质
CN117220899A (zh) 网络攻击的告警方法及装置、计算机可读存储介质
CN115733633A (zh) 一种检测方法和系统,及存储介质
CN116865986A (zh) 一种病毒检测方法、cep引擎、电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant