CN116599690A - 一种船舶信息安全事件处理方法、装置以及计算机设备 - Google Patents
一种船舶信息安全事件处理方法、装置以及计算机设备 Download PDFInfo
- Publication number
- CN116599690A CN116599690A CN202310315926.9A CN202310315926A CN116599690A CN 116599690 A CN116599690 A CN 116599690A CN 202310315926 A CN202310315926 A CN 202310315926A CN 116599690 A CN116599690 A CN 116599690A
- Authority
- CN
- China
- Prior art keywords
- event
- log
- monitoring
- determining
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000003672 processing method Methods 0.000 title abstract description 14
- 238000012544 monitoring process Methods 0.000 claims abstract description 150
- 238000012545 processing Methods 0.000 claims abstract description 96
- 238000000034 method Methods 0.000 claims abstract description 47
- 230000002776 aggregation Effects 0.000 claims abstract description 28
- 238000004220 aggregation Methods 0.000 claims abstract description 28
- 238000004891 communication Methods 0.000 claims description 8
- 238000004590 computer program Methods 0.000 claims description 8
- 230000004931 aggregating effect Effects 0.000 claims description 7
- 230000004044 response Effects 0.000 claims description 6
- 238000004458 analytical method Methods 0.000 description 13
- 230000008569 process Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 7
- 230000006378 damage Effects 0.000 description 6
- 238000012423 maintenance Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 238000012550 audit Methods 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 239000003795 chemical substances by application Substances 0.000 description 2
- 238000011156 evaluation Methods 0.000 description 2
- 239000004973 liquid crystal related substance Substances 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 230000010485 coping Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 101150108030 ppiD gene Proteins 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本公开提供了一种船舶信息安全事件处理方法、装置以及计算机设备,其中,该方法包括:获取监测对象对应的原始运行日志,并确定为所述监测对象设置的监测文件;运行所述监测文件,并在所述原始运行日志中,确定预设时间间隔内命中所述监测文件中关键字的目标日志;所述目标日志用于指示针对所述监测对象进行的风险操作;基于所述目标日志进行聚合处理,得到待确认事件,并在所述待确认事件满足触发条件时,将所述待确认事件确定为安全事件;获取知识库,并基于所述安全事件与所述知识库中的执行文件的匹配结果处理所述安全事件。
Description
技术领域
本公开涉及安全防控技术领域,具体而言,涉及一种船舶信息安全事件处理方法、装置以及计算机设备。
背景技术
近年来,航运业界已认识到船舶数字化、网络化可能招致的风险,出台了一系列船舶网络安全相关的行业标准规范。但是船舶网络系统涉及到IT系统、主机以及多种网络设备,运维人员管理分析船舶网络系统时,往往是在发生网络安全事件后,针对该网络安全事件进行分析并补救,这种处理方式存在处理不够及时,导致事件风险延迟,同时,人工分析效率较低等问题,提高了船舶网络系统的风险程度。
发明内容
本公开实施例至少提供一种船舶信息安全事件处理方法、装置以及计算机设备。
第一方面,本公开实施例提供了一种船舶信息安全事件处理方法,其特征在于,包括:
获取监测对象对应的原始运行日志,并确定为所述监测对象设置的监测文件;
运行所述监测文件,并在所述原始运行日志中,确定预设时间间隔内命中所述监测文件中关键字的目标日志;所述目标日志用于指示针对所述监测对象进行的风险操作;
基于所述目标日志进行聚合处理,得到待确认事件,并在所述待确认事件满足触发条件时,将所述待确认事件确定为安全事件;
获取知识库,并基于所述安全事件与所述知识库中的执行文件的匹配结果处理所述安全事件。
一种可选的实施方式中,所述确定为所述监测对象设置的监测文件,包括:
确定历史风险操作对应的操作日志,并在所述操作日志中确定所述历史风险操作的操作特征对应的关键字;
确定对所述监测对象进行监测时的监测参数;所述监测参数包括:威胁类型、预设时间间隔、抖动次数、判断条件、响应超时时间、监测对象地址中至少一种;
基于所述监测参数以及所述关键字,确定所述监测文件。
一种可选的实施方式中,所述在所述原始运行日志中,确定预设时间间隔内命中所述监测文件中关键字的目标日志,包括:
在所述监测文件中的匹配规则为多条时,依次使用所述匹配规则与所述原始运行日志进行匹配操作;所述监测文件中的各条匹配规则包括的关键字不相同;
基于所述匹配操作,在所述原始运行日志中确定命中至少一条匹配规则的目标日志。
一种可选的实施方式中,所述基于所述目标日志进行聚合处理,得到待确认事件,包括:
基于所述目标日志的配置信息进行分析,得到指示同一风险操作的多条第一日志;
基于所述第一日志,对所述目标日志进行去重处理,得到第二日志;
对所述第二日志中日志类型相同的日志进行聚合处理,得到待确认事件。
一种可选的实施方式中,所述执行文件中包括至少一条执行规则;
所述基于所述安全事件与所述知识库中的执行文件的匹配结果处理所述安全事件,包括:
基于所述安全事件中的目标日志,确定所述安全事件的事件内容;
将所述执行规则与所述事件内容进行匹配,得到匹配结果;
在根据所述匹配结果确定所述事件内容与所述执行文件中的任意执行规则相匹配的情况下,基于所述执行规则,处理所述安全事件对应的待处理对象。
一种可选的实施方式中,所述方法还包括:
在根据所述匹配结果确定所述事件内容不与所述执行文件中的任意执行规则相匹配的情况下,获取所述监测文件的监测参数;
基于所述监测参数,确定所述安全事件的风险程度值;
在所述风险程度值超过风险阈值时,生成告警信息。
一种可选的实施方式中,所述方法还包括:
获取新增安全事件;
确定所述新增安全事件的事件内容,并基于该事件内容对所述执行文件进行更新操作;所述更新操作包括以下至少之一:修改所述执行文件中的执行规则、新增所述执行文件中的执行规则、删除所述执行文件中的执行规则。
一种可选的实施方式中,所述触发条件为待确认事件对应的抖动次数超过抖动阈值,所述方法还包括:
在所述待确认事件对应的抖动次数未超出抖动阈值时,基于所述目标日志,生成临时事件;
等待与所述临时事件相匹配的第三日志;所述第三日志的日志类型与所述临时事件中的目标日志相同;
将所述第三日志聚合到所述临时事件中,直至所述临时事件对应的抖动次数超过抖动阈值时,将所述临时事件确定为安全事件。
第二方面,本公开实施例还提供一种船舶信息安全事件处理装置,包括:
获取单元,用于获取监测对象对应的原始运行日志,并确定为所述监测对象设置的监测文件;
运行单元,用于运行所述监测文件,并在所述原始运行日志中,确定预设时间间隔内命中所述监测文件中关键字的目标日志;所述目标日志用于指示针对所述监测对象进行的风险操作;
确定单元,用于基于所述目标日志进行聚合处理,得到待确认事件,并在所述待确认事件满足触发条件时,将所述待确认事件确定为安全事件;
处理单元,用于获取知识库,并基于所述安全事件与所述知识库中的执行文件的匹配结果处理所述安全事件。
第三方面,本公开实施例还提供一种计算机设备,包括:处理器、存储器和总线,所述存储器存储有所述处理器可执行的机器可读指令,当计算机设备运行时,所述处理器与所述存储器之间通过总线通信,所述机器可读指令被所述处理器执行时执行上述第一方面,或第一方面中任一种可能的实施方式中的步骤。
第四方面,本公开实施例还提供一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行上述第一方面,或第一方面中任一种可能的实施方式中的步骤。
本公开实施例提供的一种船舶信息安全事件处理方法、装置以及计算机设备。在本公开实施例中,首先可以获取监测对象对应的原始运行日志,应理解的是,该监测对象可以为船舶网络系统中的软件部分或者硬件部分,可以为该监测对象设置监测文件,以监测该监测对象对应的安全事件。具体的,可以运行该监测文件,并按照预设时间间隔,在原始运行日志中确定命中该监测文件中关键字的目标日志,然后,可以对该目标日志进行聚合处理,得到待确认事件,并在待确认事件对应的抖动次数超过抖动阈值时,将待确认事件确定为安全事件。接下来,可以获取执行文件,并基于该安全事件与执行文件的匹配结果,处理该安全事件,从而实现持续的对安全事件进行分析以及处理,降低了事件风险延迟,提高了安全事件的处理效率,同时提高了船舶信息安全评估的科学性。
为使本公开的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本公开实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,此处的附图被并入说明书中并构成本说明书中的一部分,这些附图示出了符合本公开的实施例,并与说明书一起用于说明本公开的技术方案。应当理解,以下附图仅示出了本公开的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1示出了本公开实施例所提供的一种船舶信息安全事件处理方法的流程图;
图2示出了本公开实施例所提供的匹配规则的监测参数设置界面的示意图;
图3示出了本公开实施例所提供的设置匹配规则的规则信息的设置界面的示意图;
图4示出了本公开实施例所提供的执行规则编辑界面的示意图;
图5示出了本公开实施例所提供的另一种船舶信息安全事件处理方法的流程图;
图6示出了本公开实施例所提供的一种船舶信息安全事件处理装置的示意图;
图7示出了本公开实施例所提供的一种计算机设备的示意图。
具体实施方式
为使本公开实施例的目的、技术方案和优点更加清楚,下面将结合本公开实施例中附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本公开一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本公开实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本公开的实施例的详细描述并非旨在限制要求保护的本公开的范围,而是仅仅表示本公开的选定实施例。基于本公开的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本公开保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
本文中术语“和/或”,仅仅是描述一种关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中术语“至少一种”表示多种中的任意一种或多种中的至少两种的任意组合,例如,包括A、B、C中的至少一种,可以表示包括从A、B和C构成的集合中选择的任意一个或多个元素。
经研究发现,近年来,航运业界已认识到船舶数字化、网络化可能招致的风险,出台了一系列船舶网络安全相关的行业标准规范。但是船舶网络系统涉及到IT系统、主机以及多种网络设备,运维人员管理分析船舶网络系统时,往往是在发生网络安全事件后,针对该网络安全事件进行分析并补救,这种处理方式存在处理不够及时,人工分析效率较低等问题,提高了船舶网络系统的风险程度。
基于上述研究,本公开提供了一种船舶信息安全事件处理方法、装置以及计算机设备。在本公开实施例中,首先可以获取监测对象对应的原始运行日志,应理解的是,该监测对象可以为船舶网络系统中的软件部分或者硬件部分,可以为该监测对象设置监测文件,以监测该监测对象对应的安全事件。具体的,可以运行该监测文件,并按照预设时间间隔,在原始运行日志中确定命中该监测文件中关键字的目标日志,然后,可以对该目标日志进行聚合处理,得到待确认事件,并在待确认事件满足触发条件时,将待确认事件确定为安全事件。接下来,可以获取知识库,并基于该安全事件与知识库中的执行文件的匹配结果,处理该安全事件,从而实现持续的对安全事件进行分析以及处理,降低了事件风险延迟,提高了安全事件的处理效率,同时提高了船舶信息安全评估的科学性。
为便于对本实施例进行理解,首先对本公开实施例所公开的一种船舶信息安全事件处理方法进行详细介绍,本公开实施例所提供的船舶信息安全事件处理方法的执行主体一般为具有一定计算能力的计算机设备。在一些可能的实现方式中,该船舶信息安全事件处理方法可以通过处理器调用存储器中存储的计算机可读指令的方式来实现。
参见图1所示,为本公开实施例提供的一种船舶信息安全事件处理方法的流程图,所述方法包括步骤S101~S107,其中:
S101:获取监测对象对应的原始运行日志,并确定为所述监测对象设置的监测文件。
在本公开实施例中,监测对象为船舶网络系统中的软件部分,例如,防火墙,或者硬件部分,例如,主机,处理器等。该监测对象与船舶网络系统中的安防功能相关,因此,该监测对象对应的原始运行日志可以用于确定船舶网络系统中的安全事件,其中,该安全事件可以为对威胁该船舶网络系统安全的事件。
具体的,可以预先为监测对象设置监测文件,该监测文件中可以包括用于匹配原始运行日志所指示的安全事件的匹配规则。因此,在设置该匹配规则时,可以确定该安全事件对应的风险操作,并根据该风险操作的操作逻辑设置对应的匹配规则。
这里,如图2所示为匹配规则的监测参数设置界面,该匹配规则对应的安全事件可以为主机wget审计,因此,该匹配规则的具体规则名称为主机wget审计规则。另外的,图2中该匹配规则的其他监测参数可以基于实际使用需求进行设置,具体如下所述,此处不再赘述。
应理解的是,还可以对匹配规则的规则信息进行设置,如图3所示为匹配规则的规则信息设置界面,其中,威胁方式可以用于指示对安全事件的应对方式,例如,拒绝风险操作(对应失败标识),允许执行风险操作(对应成功标识),进行安全事件报警(对应警告标识),其余的信息可以基于实际使用需求进行设置,本公开中不再赘述。
在本公开实施例中,可以通过图3中所示的设置界面设置匹配规则的规则信息,并调出匹配规则的参数设置界面,以对该匹配规则的监测参数进行设置,具体的,可以点击“新建具体规则”标识触发展示图2中的参数设置界面。
S103:运行所述监测文件,并在所述原始运行日志中,确定预设时间间隔内命中所述监测文件中关键字的目标日志;所述目标日志用于指示针对所述监测对象进行的风险操作。
在本公开实施例中,预设时间间隔即图2中的“聚合分析事件间隔”参数,为了减少在进行下述聚合处理时的运算量,可以对预设时间间隔内的目标日志进行聚合。在确定该目标日志时,由于原始运行日志中包括多条关键字,可以将命中检测文件中关键字的原始运行日志确定为目标日志。这里,该关键字可以包括ip地址,日志对应的具体执行动作key以及该执行动作的执行结果等。
应理解的是,监测对象在执行接收到的指令时,可以生成对应的原始运行日志,举例来说,在监测对象为主机时,该主机在接收到资源下载指令并执行时,可以生成如下的原始运行日志:
主机IP:192.30.3.209tag_audit_log:type=SYSCALL msg=audit(1628666134.027:33397):arch=c000003e syscall=59success=yes exit=0a0=2468210a1=2554440a2=2472860a3=7ffcda1bb260 items=2ppid=1700pid=5456auid=0uid=0gid=0euid=0suid=0fsuid=0egid=0sgid=0fsgid=0tty=pts1 ses=1772comm="wget"exe="/usr/bin/wget"subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023key="download"。
那么,如图2所示,在监测文件中的关键字为audit,comm=“wget”,key=“download”时,可以确定该条原始运行日志为目标日志,主机在执行上述资源下载指令时对应的操作为风险操作。
S105:基于所述目标日志进行聚合处理,得到待确认事件,并在所述待确认事件满足触发条件时,将所述待确认事件确定为安全事件。
在本公开实施例中,考虑到安全事件中可能包括多次风险操作,例如,在安全事件为账户违规登录事件时,可以将登录密码错误的登录操作视为风险操作,为了提高容错率,可以设置触发条件,其中,该触发条件可以包括抖动次数参数,即设置该安全事件中包括的风险操作的次数,也即目标日志的条数,具体的,该触发条件可以为待确认事件对应的抖动次数超过抖动阈值。
基于此,如图2所示,可以设置“抖动次数”参数,该抖动次数参数的值即对应上述抖动阈值。在对目标日志进行聚合得到待确认事件后,可以确定该待确认事件中目标日志的条数,并基于该目标日志的条数确定抖动次数,并在该抖动次数超过抖动阈值时,将该待确认事件确定为安全事件。
例如,在目标日志对应的风险操作为上述登录密码错误的登录操作时,抖动阈值为5,待确认事件中包括的目标日志条数为6,则该待确认事件对应的抖动次数为6,且该抖动次数超过抖动阈值,此时,可以将该待确认事件确定为安全事件,即账户违规登录事件。
S107:获取知识库,并基于所述安全事件与所述知识库中的执行文件的匹配结果处理所述安全事件。
在确定出安全事件后,可以获取知识库,该知识库中包括执行文件,其中,在该执行文件中包括各类型的安全事件对应的执行规则,以及处理该安全事件时的执行逻辑。基于此,可以在执行文件中匹配该安全事件对应的执行规则,并将该执行规则确定为匹配结果,然后,可以基于该执行规则处理该安全事件。
举例来说,针对上述账户违规登录事件,设置的执行规则对应的执行逻辑可以为ip拉黑,即获取进行登录操作的ip地址,并对该ip地址进行拉黑操作,以禁止该ip地址对该账户进行登录。
通过上述描述可知,在本公开实施例中,首先可以获取监测对象对应的原始运行日志,应理解的是,该监测对象可以为船舶网络系统中的软件部分或者硬件部分,可以为该监测对象设置监测文件,以监测该监测对象对应的安全事件。具体的,可以运行该监测文件,并按照预设时间间隔,在原始运行日志中确定命中该监测文件中关键字的目标日志,然后,可以对该目标日志进行聚合处理,得到待确认事件,并在待确认事件满足触发条件时,将待确认事件确定为安全事件。接下来,可以获取知识库,并基于该安全事件与知识库中执行文件的匹配结果,处理该安全事件,从而实现持续的对安全事件进行分析以及处理,降低了事件风险延迟,提高了安全事件的处理效率,同时提高了船舶信息安全评估的科学性。
在一个可选的实施方式中,上述步骤S101,确定为所述监测对象设置的监测文件,具体包括如下过程:
S1011:确定历史风险操作对应的操作日志,并在所述操作日志中确定所述历史风险操作的操作特征对应的关键字。
S1012:确定对所述监测对象进行监测时的监测参数;所述监测参数包括:威胁类型、预设时间间隔、抖动次数、判断条件、响应超时时间、监测对象地址中至少一种。
S1013:基于所述监测参数以及所述关键字,确定所述监测文件。
在本公开实施例中,首先可以查找历史安全事件,并确定该历史安全事件对应的历史风险操作,然后,可以获取该历史风险操作对应的操作日志,以得到多条操作日志。接下来,可以确定个多条操作日志的关键字交集,以基于该关键字交集确定历史风险操作的操作特征对应的关键字。例如,针对上述账户违规登录事件,确定出的关键字可以为图2中所示的audit,comm=“wget”,key=“download”。
在确定出上述关键字后,可以基于该关键字设置对监测对象进行监测时的监测参数,其中,威胁类型对应图3中匹配规则的威胁类型信息,预设时间间隔对应图2中匹配规则的聚合分析事件间隔参数,抖动次数对应的图2中匹配规则的抖动次数参数,判断条件对应图2中匹配规则的条件判断的字段以及条件判断的值这两个参数,响应超时时间对应图2中匹配规则的超时时间参数,监测对象地址对应图2中匹配规则对应的源IP、目的IP、源端口、目的端口这几个参数。
具体的,威胁类型参数、聚合分析事件间隔参数以及抖动次数参数如上所述,此处不再赘述。另外,条件判断的字段以及条件判断的值这两个参数用于指示附加的判断条件,以提高基于该匹配规则确定出的目标日志的准确性,超时时间参数以及规则对应的源IP、目的IP、源端口、目的端口这几个参数在本公开中不再做赘述,
举例来说,在匹配规则用于匹配上述账户违规登录事件对应的目标日志时,条件判断的字段可以用于指示该账户的成功登录操作,条件判断的值用于指示成功登录的次数,具体的,在检测到历史的成功登录操作后,可以将抖动次数从5次调整为6次。
在本公开实施例中,可以基于历史风险操作对应的操作日志,确定关键字,并基于监测参数以及该关键字确定匹配规则,进而根据该匹配规则确定监测文件,从而实现监测文件的建立以及自主更新。
在一个可选的实施方式中,上述步骤S103,在所述原始运行日志中,确定预设时间间隔内命中所述监测文件中关键字的目标日志,具体包括如下过程:
S1031:在所述监测文件中的匹配规则为多条时,依次使用所述匹配规则与所述原始运行日志进行匹配操作;所述监测文件中的各条匹配规则包括的关键字不相同。
S1032:基于所述匹配操作,在所述原始运行日志中确定命中至少一条匹配规则的目标日志。
在本公开实施例中,考虑到风险操作的多样性,可以基于各种类型的风险操作分别确定对应的匹配规则。因此,在对原始运行日志进行匹配操作时,可以依次将监测文件中的各条匹配规则与该原始运行日志进行匹配,以提高能够检测的风险操作的范围。
具体的,可以基于监测文件中的全部匹配规则建立匹配队列,并分别基于该匹配队列,将各条匹配规则与原始运行日志进行匹配操作,在原始运行日志匹命中任意匹配规则后,可以输出该匹配规则,并将该原始运行日志确定为目标日志。
应理解的是,同一条目标日志对应的风险操作与多条匹配规则成功匹配,因此,可以将每条原始运行日志均与匹配队列中的全部匹配规则进行匹配操作。
在本公开实施例中,考虑到可能存在同时命中多条匹配规则的目标日志,因此,可以基于监测文件中的全部匹配规则建立匹配队列,并分别基于该匹配队列,将各条匹配规则与原始运行日志进行匹配操作,从而能够在原始运行日志匹命中任意匹配规则后,输出该匹配规则,以输出该目标日志命中的全部匹配规则。
在一个可选的实施方式中,上述步骤S105,基于所述目标日志进行聚合处理,得到待确认事件,具体包括如下过程:
S1051:基于所述目标日志的配置信息进行分析,得到指示同一风险操作的多条第一日志。
S1052:基于所述第一日志,对所述目标日志进行去重处理,得到第二日志。
在本公开实施例中,配置信息包括目标日志中除关键字外的其他关键字,该配合信息可以用于指示对应的风险操作的基本配置,例如,进程号(例如,上述图1中所展示的原始运行日志中的“pid”)。
在监测对象中进行操作时,可以包括持续操作和实时操作,其中,实时操作可以为实时响应的,例如,登录操作,持续操作可以为持续处理的操作,例如,文件下载操作。因此,持续操作可能对应多条目标日志。
基于此,可以基于目标日志的配置信息进行分析,以确定出进程号相同的第一日志,然后,可以基于该第一日志对目标日志进行去重处理,具体的,可以在第一日志中取任意一条日志,以得到第二日志。
S1053:对所述第二日志中日志类型相同的日志进行聚合处理,得到待确认事件。
在本公开实施例中,首先可以确定第二日志中日志类型相同的日志,这里,该日志类型可以用于指示风险操作的类型,例如,登录操作、下载操作等。考虑到同一安全事件中的风险操作的类型可能是相同的,因此,可以对第二日志进行聚合处理。
具体实施时,可以对第二日志中日志类型相同的日志进行聚合处理,并基于聚合处理的聚合结果进行分析,以得到待确认事件。这里,可以确定聚合处理的第二日志对应的风险操作,以及与该风险操作相匹配的待确认事件。
在本公开实施例中,可以对指示同一风险操作的多条第一日志进行去重处理,得到第二日志,从而保证了该第二日志中的信息不一致,提高了接下来对该第二日志进行聚合处理时得到的待确认事件的内容的准确性。
在一个可选的实施方式中,上述执行文件中包括至少一条执行规则,上述步骤S107,基于所述安全事件与所述知识库中执行文件的匹配结果处理所述安全事件,具体包括如下过程:
S1071:基于所述安全事件中的目标日志,确定所述安全事件的事件内容。
S1072:将所述执行规则与所述事件内容进行匹配,得到匹配结果。
S1073:在根据所述匹配结果确定所述事件内容与所述执行文件中的任意执行规则相匹配的情况下,基于所述执行规则,处理所述安全事件对应的待处理对象。
在本公开实施例中,在确定出安全事件后,可以自动对该安全事件进行处理,以提高安全事件的处理效率。具体的,可以预先建立知识库,并设置执行文件,该执行文件中包括至少一条执行规则,每条执行规则对应一种安全事件。
基于此,在确定出安全事件后,可以与该安全事件中的目标日志确定事件内容,具体的,如图2所述,匹配规则的监测参数中包括事件描述以及具体规则名称,可以基于该事件描述以及具体规则名称确定事件内容。
接下来,可以在执行文件中确定与该事件内容相匹配的执行规则,若存在,可以确定该执行规则对应的处理方式,并基于该处理方式处理该安全事件对应的待处理对象,其中,该待处理对象可以为该安全事件涉及到的id地址等。
举例来说,在安全事件为上述账户违规登录事件时,对应的执行规则可以为“非法ip自动加白”,该执行规则对应的处理方式可以为ip拉黑,具体的,可以将该安全事件涉及到的id地址作为待处理对象,并对该ip地址进行拉黑处理,以禁止通过该ip地址登录该账户,从而保障账户安全。
在本公开实施例中,可以基于执行文件实现安全事件的自动化处理,从而降低事件风险延迟以及提高船舶信息安全评估的科学性。
在一个可选的实施方式中,上述步骤S107,还包括如下过程:
(1)、在根据所述匹配结果确定所述事件内容不与所述执行文件中的任意执行规则相匹配的情况下,获取所述监测文件的监测参数;
(2)、基于所述监测参数,确定所述安全事件的风险程度值;
(3)、在所述风险程度值超过风险阈值时,生成告警信息。
在本公开实施例中,在安全事件的事件内容不与执行文件中的任意执行规则相匹配的情况下,可以判断是否对该安全事件进行报警,这里,首先可以确定该安全事件的风险程度值。
具体实施时,可以确定上述安全事件在监测文件中对应的匹配规则,并获取该匹配规则对应的如图2所示的监测参数。然后,可以基于该监测参数确定该匹配规则的规则信息,其中,该规则信息如图3所示,具体的,可以分别获取威胁可能性以及威胁破坏程度的值。
接下来,可以确定上述监测对象对应的资产重要性的等级,并基于获取威胁可能性、威胁破坏程度以及资产重要性的等级确定出安全事件的风险程度值,应理解的是,威胁可能性、威胁破坏程度以及资产重要性这三种信息的等级的取值范围均为[0-5]。
在确定出上述三种信息的等级之后,可以计算这三种信息的等级的乘积,并基于该乘积确定安全事件的风险程度值,具体的,由于这三种信息的等级的取值范围均为[0-5],因此,可以用该乘积除以25,以使得到的风险程度值的取值范围同样处于[0-5]区间。例如,若安全事件对应的资产重要性评估等级为4,威胁可能性等级为5,威胁破坏程度等级为3,则风险程度值为4*3*5/25=2.4。
在确定出安全事件的风险程度值后,可以确定该风险程度值是否超过风险阈值,若超过,可以生成告警信息,并向运维人员展示该告警信息,以使运维人员处理该安全事件;若未超过,可以记录该安全事件,以便运维人员查看该安全事件。例如,在风险阈值为3的情况下,风险程度值为2.4,则确定该安全事件的风险程度值未超过风险阈值,并记录该安全事件。
在本公开实施例中,可以确定安全事件的风险程度值,并设置风险阈值,以使安全事件的风险程度值超出该风险阈值时,向运维人员展示告警信息,从而使得该安全事件能够及时被处理,降低了事件风险延迟。
在一个可选的实施方式中,上述步骤S107,还包括如下过程:
(1)、获取新增安全事件;
(2)、确定所述新增安全事件的事件内容,并基于该事件内容对所述执行文件进行更新操作;所述更新操作包括以下至少之一:修改所述执行文件中的执行规则、新增所述执行文件中的执行规则、删除所述执行文件中的执行规则。
在本公开实施例中,上述知识库可以实现自更新,这里,可以根据新增安全事件的事件内容对知识库的执行文件进行更新操作。例如,在上述更新操作为新增执行文件中的执行规则时,在获取到新增安全事件后,可以通过归类、统计等方式确定该安全事件所对应的知识库,并触发如图4所示的执行规则编辑界面。
在如图4所示的执行规则编辑界面中,可以对知识库名称,执行规则名称等进行修改,另外,事件经验结果用于指示对安全事件的处理方式。应理解的是,删除执行文件中的执行规则以及修改执行文件中的执行规则也可以通过该执行规则编辑界面进行,具体的操作方式本公开中不做赘述。
应理解的是,在基于新增安全事件新增执行文件中的执行规则时,可以对该新增安全事件进行筛选操作,具体的,可以确定该安全操作的威胁破坏程度,并在威胁破坏程度超过威胁阈值时,基于该新增安全事件确定执行规则,从而对高风险的安全事件进行监控并处理。
在本公开实施例中,可以对安全事件的处理进行实时总结,具体的,可以基于新增安全事件对执行文件进行更新,从而实现执行文件的自更新,以便于日后快速处理类似的安全事件。
在一个可选的实施方式中,在触发条件为待确认事件对应的抖动次数超过抖动阈值时,上述图1对应的实施例,还包括如下过程:
S11:在所述待确认事件对应的抖动次数未超出抖动阈值时,基于所述目标日志,生成临时事件。
S12:等待与所述临时事件相匹配的第三日志;所述第三日志的日志类型与所述临时事件中的目标日志相同。
S13:将所述第三日志聚合到所述临时事件中,直至所述临时事件对应的抖动次数超过抖动阈值时,将所述临时事件确定为安全事件。
在本公开实施例中,在待确认事件对应的抖动次数未超出抖动阈值时,说明在当前的预设时间间隔内,待确认事件未达到安全事件的触发条件,因此,可以基于该待确认事件对应的目标日志生成临时日志。
由上可知,可以按照预设时间间隔对原始运行日志中的目标日志进行聚合处理,例如,在预设时间间隔为5分钟时,可以每隔5分钟对确定出的目标日志进行一次聚合处理。
基于此,在确定出临时时间后,可以在接下来的预设时间间隔内等待与该临时事件相匹配的第三日志,该第三日志的日志类型与临时事件中的目标日志相同。例如,在目标日志的日志类型所指示的风险操作的类型为登录操作时,可以在后续预设时间间隔中将指示的风险操作为登录操作的目标日志作为第三日志,并将该第三日志聚合到该临时事件中。
在将第三日志聚合到临时事件中时,可以实时检测该临时事件对应的抖动次数,即该临时事件中日志的条数,并在该抖动次数超过抖动阈值时,将该临时事件确定为安全事件。然后,可以基于该安全事件与上述执行文件的匹配结果处理该安全事件,具体处理方式如上述图1对应的实施例所述,此处不再赘述。
在本公开实施例中,可以将抖动次数未超出抖动阈值的待确认事件确定为临时事件,并在接下来的时间等待与该临时事件相匹配的第三日志,以将该第三日志聚合到临时事件中,直至临时事件的抖动次数超过抖动阈值时,将该临时事件确定为安全事件,从而完善安全事件的确定流程,避免由于预设时间间隔的分隔导致临时事件丢失。
参见图5所示,为本公开实施例提供的另一种船舶信息安全事件处理方法的流程图,所述方法包括步骤S501~S514,其中:
S501:获取原始运行日志。
在本公开实施例中,可以通过采集器监听514端口、agent通信、syslog协议以及主机通信等方式获取原始运行日志,具体的,可以通过采集器监听514端口的方式获取syslog日志,同时,可以通过agent通信的方式获取主机日志。
S502:确定上述原始运行日志是否命中当前匹配规则中的关键字;若否,则执行S503,若是,执行S504。
S503:在上述监测文件中确定当前匹配规则对应的下一条匹配规则,并通过该下一条匹配规则对原始运行日志进行匹配操作。
S504:将该原始运行日志确定为目标日志。
S505:基于目标日志的配置信息进行分析,并基于分析结果对目标日志进行去重处理,得到第二日志。
在本公开实施例中,确定第二日志的方式如上述步骤S105对应的实施例所述,此处不再赘述。
S506:对所述第二日志中日志类型相同的日志进行聚合处理,得到待确认事件。
在本公开实施例中,聚合处理的过程如上述步骤S105对应的实施例所述,此处不再赘述。
S507:确定上述待确认事件对应的抖动次数是否超过抖动阈值;若是,则执行S508;若否,则执行S514。
S508:确定该安全事件是否与执行文件中的任一执行规则相匹配;若是,则执行S509,若否,则执行S510。
S509:基于该执行规则,处理该安全事件对应的待处理对象。
在本公开实施例中,基于执行规则,处理安全事件对应的待处理对象的方式如上述步骤S107对应的实施例所述,此处不再赘述。
S510:将上述待确认事件确定为安全事件。
S511:确定该安全事件的风险程度值是否超过风险阈值;若是,则执行S512,若否,则执行S513。
在本公开实施例中,确定风险程度值,并判断该风险程度值是否超过风险阈值的方式如上述步骤S107对应的实施例所述,此处不再赘述。
S512:生成告警信息。
S513:结束上述安全事件的处理流程。
S514:将上述待确认事件确定为临时事件,并等待与该临时事件相匹配的第三日志,以将第三日志聚合到该临时事件中。
在本公开实施例中,确定第三日志,并将第三日志聚合到临时事件中的方式如上述图1对应的实施例所述,此处不再赘述。
在本公开实施例中,基于执行规则,处理安全事件对应的待处理对象的方式如上述步骤S107对应的实施例所述,此处不再赘述。
综上,在本公开实施例中,首先可以获取监测对象对应的原始运行日志,应理解的是,该监测对象可以为船舶网络系统中的软件部分或者硬件部分,可以为该监测对象设置监测文件,以监测该监测对象对应的安全事件。具体的,可以运行该监测文件,并按照预设时间间隔,在原始运行日志中确定命中该监测文件中关键字的目标日志,然后,可以对该目标日志进行聚合处理,得到待确认事件,并在待确认事件满足触发条件时,将待确认事件确定为安全事件。接下来,可以获取知识库,并基于该安全事件与知识库中执行文件的匹配结果,处理该安全事件,从而实现持续的对安全事件进行分析以及处理,降低了事件风险延迟,提高了安全事件的处理效率,同时提高了船舶信息安全评估的科学性。
本领域技术人员可以理解,在具体实施方式的上述方法中,各步骤的撰写顺序并不意味着严格的执行顺序而对实施过程构成任何限定,各步骤的具体执行顺序应当以其功能和可能的内在逻辑确定。
基于同一发明构思,本公开实施例中还提供了与船舶信息安全事件处理方法对应的船舶信息安全事件处理装置,由于本公开实施例中的装置解决问题的原理与本公开实施例上述船舶信息安全事件处理方法相似,因此装置的实施可以参见方法的实施,重复之处不再赘述。
参照图6所示,为本公开实施例提供的一种船舶信息安全事件处理装置的示意图,所述装置包括:获取单元61、运行单元62、确定单元63、处理单元64;其中,
获取单元61,用于获取监测对象对应的原始运行日志,并确定为所述监测对象设置的监测文件;
运行单元62,用于运行所述监测文件,并在所述原始运行日志中,确定预设时间间隔内命中所述监测文件中关键字的目标日志;所述目标日志用于指示针对所述监测对象进行的风险操作;
确定单元63,用于基于所述目标日志进行聚合处理,得到待确认事件,并在所述待确认事件满足触发条件时,将所述待确认事件确定为安全事件;
处理单元64,用于获取知识库,并基于所述安全事件与所述知识库中的执行文件的匹配结果处理所述安全事件。
在本公开实施例中,首先可以获取监测对象对应的原始运行日志,应理解的是,该监测对象可以为船舶网络系统中的软件部分或者硬件部分,可以为该监测对象设置监测文件,以监测该监测对象对应的安全事件。具体的,可以运行该监测文件,并按照预设时间间隔,在原始运行日志中确定命中该监测文件中关键字的目标日志,然后,可以对该目标日志进行聚合处理,得到待确认事件,并在待确认事件满足触发条件时,将待确认事件确定为安全事件。接下来,可以获取知识库,并基于该安全事件与知识库中执行文件的匹配结果,处理该安全事件,从而实现持续的对安全事件进行分析以及处理,降低了事件风险延迟,提高了安全事件的处理效率,同时提高了船舶信息安全评估的科学性。
一种可能的实施方式中,获取单元61,还用于:
确定历史风险操作对应的操作日志,并在所述操作日志中确定所述历史风险操作的操作特征对应的关键字;
确定对所述监测对象进行监测时的监测参数;所述监测参数包括:威胁类型、预设时间间隔、抖动次数、判断条件、响应超时时间、监测对象地址中至少一种;
基于所述监测参数以及所述关键字,确定所述监测文件。
一种可能的实施方式中,运行单元62,还用于:
在所述监测文件中的匹配规则为多条时,依次使用所述匹配规则与所述原始运行日志进行匹配操作;所述监测文件中的各条匹配规则包括的关键字不相同;
基于所述匹配操作,在所述原始运行日志中确定命中至少一条匹配规则的目标日志。
一种可能的实施方式中,确定单元63,还用于:
基于所述目标日志的配置信息进行分析,得到指示同一风险操作的多条第一日志;
基于所述第一日志,对所述目标日志进行去重处理,得到第二日志;
对所述第二日志中日志类型相同的日志进行聚合处理,得到待确认事件。
一种可能的实施方式中,所述执行文件中包括至少一条执行规则,处理单元64,还用于:
基于所述安全事件中的目标日志,确定所述安全事件的事件内容;
将所述执行规则与所述事件内容进行匹配,得到匹配结果;
在根据所述匹配结果确定所述事件内容与所述执行文件中的任意执行规则相匹配的情况下,基于所述执行规则,处理所述安全事件对应的待处理对象。
一种可能的实施方式中,处理单元64,还用于:
在根据所述匹配结果确定所述事件内容不与所述执行文件中的任意执行规则相匹配的情况下,获取所述监测文件的监测参数;
基于所述监测参数,确定所述安全事件的风险程度值;
在所述风险程度值超过风险阈值时,生成告警信息。
一种可能的实施方式中,处理单元64,还用于:
获取新增安全事件;
确定所述新增安全事件的事件内容,并基于该事件内容对所述执行文件进行更新操作;所述更新操作包括以下至少之一:修改所述执行文件中的执行规则、新增所述执行文件中的执行规则、删除所述执行文件中的执行规则。
一种可能的实施方式中,该装置还用于:
在所述待确认事件对应的抖动次数未超出抖动阈值时,基于所述目标日志,生成临时事件;
等待与所述临时事件相匹配的第三日志;所述第三日志的日志类型与所述临时事件中的目标日志相同;
将所述第三日志聚合到所述临时事件中,直至所述临时事件对应的抖动次数超过抖动阈值时,将所述临时事件确定为安全事件。
关于装置中的各单元的处理流程、以及各单元之间的交互流程的描述可以参照上述方法实施例中的相关说明,这里不再详述。
对应于图1中的船舶信息安全事件处理方法,本公开实施例还提供了一种计算机设备700,如图7所示,为本公开实施例提供的计算机设备700结构示意图,包括:
处理器71、存储器72、和总线73;存储器72用于存储执行指令,包括内存721和外部存储器722;这里的内存721也称内存储器,用于暂时存放处理器71中的运算数据,以及与硬盘等外部存储器722交换的数据,处理器71通过内存721与外部存储器722进行数据交换,当所述计算机设备700运行时,所述处理器71与所述存储器72之间通过总线73通信,使得所述处理器71执行以下指令:
获取监测对象对应的原始运行日志,并确定为所述监测对象设置的监测文件;
运行所述监测文件,并在所述原始运行日志中,确定预设时间间隔内命中所述监测文件中关键字的目标日志;所述目标日志用于指示针对所述监测对象进行的风险操作;
基于所述目标日志进行聚合处理,得到待确认事件,并在所述待确认事件满足触发条件时,将所述待确认事件确定为安全事件;
获取知识库,并基于所述安全事件与所述知识库中的执行文件的匹配结果处理所述安全事件。
本公开实施例还提供一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行上述方法实施例中所述的船舶信息安全事件处理方法的步骤。其中,该存储介质可以是易失性或非易失的计算机可读取存储介质。
本公开实施例还提供一种计算机程序产品,该计算机程序产品承载有程序代码,所述程序代码包括的指令可用于执行上述方法实施例中所述的船舶信息安全事件处理方法的步骤,具体可参见上述方法实施例,在此不再赘述。
其中,上述计算机程序产品可以具体通过硬件、软件或其结合的方式实现。在一个可选实施例中,所述计算机程序产品具体体现为计算机存储介质,在另一个可选实施例中,计算机程序产品具体体现为软件产品,例如软件开发包(Software Development Kit,SDK)等等。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统和装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。在本公开所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本公开各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解,本公开的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本公开各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上所述实施例,仅为本公开的具体实施方式,用以说明本公开的技术方案,而非对其限制,本公开的保护范围并不局限于此,尽管参照前述实施例对本公开进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本公开揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本公开实施例技术方案的精神和范围,都应涵盖在本公开的保护范围之内。因此,本公开的保护范围应所述以权利要求的保护范围为准。
Claims (11)
1.一种船舶信息安全事件处理方法,其特征在于,包括:
获取监测对象对应的原始运行日志,并确定为所述监测对象设置的监测文件;
运行所述监测文件,并在所述原始运行日志中,确定预设时间间隔内命中所述监测文件中关键字的目标日志;所述目标日志用于指示针对所述监测对象进行的风险操作;
基于所述目标日志进行聚合处理,得到待确认事件,并在所述待确认事件满足触发条件时,将所述待确认事件确定为安全事件;
获取知识库,并基于所述安全事件与所述知识库中的执行文件的匹配结果处理所述安全事件。
2.根据权利要求1所述的方法,其特征在于,所述确定为所述监测对象设置的监测文件,包括:
确定历史风险操作对应的操作日志,并在所述操作日志中确定所述历史风险操作的操作特征对应的关键字;
确定对所述监测对象进行监测时的监测参数;所述监测参数包括:威胁类型、预设时间间隔、抖动次数、判断条件、响应超时时间、监测对象地址中至少一种;
基于所述监测参数以及所述关键字,确定所述监测文件。
3.根据权利要求1所述的方法,其特征在于,所述在所述原始运行日志中,确定预设时间间隔内命中所述监测文件中关键字的目标日志,包括:
在所述监测文件中的匹配规则为多条时,依次使用所述匹配规则与所述原始运行日志进行匹配操作;所述监测文件中的各条匹配规则包括的关键字不相同;
基于所述匹配操作,在所述原始运行日志中确定命中至少一条匹配规则的目标日志。
4.根据权利要求1所述的方法,其特征在于,所述基于所述目标日志进行聚合处理,得到待确认事件,包括:
基于所述目标日志的配置信息进行分析,得到指示同一风险操作的多条第一日志;
基于所述第一日志,对所述目标日志进行去重处理,得到第二日志;
对所述第二日志中日志类型相同的日志进行聚合处理,得到待确认事件。
5.根据权利要求1所述的方法,其特征在于,所述执行文件中包括至少一条执行规则;
所述基于所述安全事件与所述知识库中的执行文件的匹配结果处理所述安全事件,包括:
基于所述安全事件中的目标日志,确定所述安全事件的事件内容;
将所述执行规则与所述事件内容进行匹配,得到匹配结果;
在根据所述匹配结果确定所述事件内容与所述执行文件中的任意执行规则相匹配的情况下,基于所述执行规则,处理所述安全事件对应的待处理对象。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
在根据所述匹配结果确定所述事件内容不与所述执行文件中的任意执行规则相匹配的情况下,获取所述监测文件的监测参数;
基于所述监测参数,确定所述安全事件的风险程度值;
在所述风险程度值超过风险阈值时,生成告警信息。
7.根据权利要求5所述的方法,其特征在于,所述方法还包括:
获取新增安全事件;
确定所述新增安全事件的事件内容,并基于该事件内容对所述执行文件进行更新操作;所述更新操作包括以下至少之一:修改所述执行文件中的执行规则、新增所述执行文件中的执行规则、删除所述执行文件中的执行规则。
8.根据权利要求1所述的方法,其特征在于,所述触发条件为待确认事件对应的抖动次数超过抖动阈值,所述方法还包括:
在所述待确认事件对应的抖动次数未超出抖动阈值时,基于所述目标日志,生成临时事件;
等待与所述临时事件相匹配的第三日志;所述第三日志的日志类型与所述临时事件中的目标日志相同;
将所述第三日志聚合到所述临时事件中,直至所述临时事件对应的抖动次数超过抖动阈值时,将所述临时事件确定为安全事件。
9.一种船舶信息安全事件处理装置,其特征在于,包括:
获取单元,用于获取监测对象对应的原始运行日志,并确定为所述监测对象设置的监测文件;
运行单元,用于运行所述监测文件,并在所述原始运行日志中,确定预设时间间隔内命中所述监测文件中关键字的目标日志;所述目标日志用于指示针对所述监测对象进行的风险操作;
确定单元,用于基于所述目标日志进行聚合处理,得到待确认事件,并在所述待确认事件满足触发条件时,将所述待确认事件确定为安全事件;
处理单元,用于获取知识库,并基于所述安全事件与所述知识库中的执行文件的匹配结果处理所述安全事件。
10.一种计算机设备,其特征在于,包括:处理器、存储器和总线,所述存储器存储有所述处理器可执行的机器可读指令,当计算机设备运行时,所述处理器与所述存储器之间通过总线通信,所述机器可读指令被所述处理器执行时执行如权利要求1至8任意一项所述的船舶信息安全事件方法的步骤。
11.一种计算机可读存储介质,其特征在于,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行如权利要求1至8任意一项所述的船舶信息安全事件方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310315926.9A CN116599690A (zh) | 2023-03-28 | 2023-03-28 | 一种船舶信息安全事件处理方法、装置以及计算机设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310315926.9A CN116599690A (zh) | 2023-03-28 | 2023-03-28 | 一种船舶信息安全事件处理方法、装置以及计算机设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116599690A true CN116599690A (zh) | 2023-08-15 |
Family
ID=87605107
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310315926.9A Pending CN116599690A (zh) | 2023-03-28 | 2023-03-28 | 一种船舶信息安全事件处理方法、装置以及计算机设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116599690A (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107592309A (zh) * | 2017-09-14 | 2018-01-16 | 携程旅游信息技术(上海)有限公司 | 安全事件检测和处理方法、系统、设备及存储介质 |
CN108365989A (zh) * | 2018-01-26 | 2018-08-03 | 北京奇虎科技有限公司 | 事件处理方法及装置 |
CN112636957A (zh) * | 2020-12-11 | 2021-04-09 | 微医云(杭州)控股有限公司 | 基于日志的预警方法、装置、服务器及存储介质 |
CN113434855A (zh) * | 2021-06-30 | 2021-09-24 | 北京天融信网络安全技术有限公司 | 一种安全事件的处理方法及装置、可读存储介质 |
US20220050765A1 (en) * | 2020-08-17 | 2022-02-17 | Hongfujin Precision Electronics(Tianjin)Co.,Ltd. | Method for processing logs in a computer system for events identified as abnormal and revealing solutions, electronic device, and cloud server |
CN114584365A (zh) * | 2022-03-01 | 2022-06-03 | 北京优炫软件股份有限公司 | 一种安全事件分析响应方法以及系统 |
-
2023
- 2023-03-28 CN CN202310315926.9A patent/CN116599690A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107592309A (zh) * | 2017-09-14 | 2018-01-16 | 携程旅游信息技术(上海)有限公司 | 安全事件检测和处理方法、系统、设备及存储介质 |
CN108365989A (zh) * | 2018-01-26 | 2018-08-03 | 北京奇虎科技有限公司 | 事件处理方法及装置 |
US20220050765A1 (en) * | 2020-08-17 | 2022-02-17 | Hongfujin Precision Electronics(Tianjin)Co.,Ltd. | Method for processing logs in a computer system for events identified as abnormal and revealing solutions, electronic device, and cloud server |
CN112636957A (zh) * | 2020-12-11 | 2021-04-09 | 微医云(杭州)控股有限公司 | 基于日志的预警方法、装置、服务器及存储介质 |
CN113434855A (zh) * | 2021-06-30 | 2021-09-24 | 北京天融信网络安全技术有限公司 | 一种安全事件的处理方法及装置、可读存储介质 |
CN114584365A (zh) * | 2022-03-01 | 2022-06-03 | 北京优炫软件股份有限公司 | 一种安全事件分析响应方法以及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3343867B1 (en) | Methods and apparatus for processing threat metrics to determine a risk of loss due to the compromise of an organization asset | |
EP3356985B1 (en) | Detection of security incidents with low confidence security events | |
US10291630B2 (en) | Monitoring apparatus and method | |
WO2018218537A1 (zh) | 工业控制系统及其网络安全的监视方法 | |
CN113661693A (zh) | 经由日志检测敏感数据暴露 | |
US20170139759A1 (en) | Pattern analytics for real-time detection of known significant pattern signatures | |
JP6656211B2 (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
US20170061126A1 (en) | Process Launch, Monitoring and Execution Control | |
CN111935172A (zh) | 基于网络拓扑的网络异常行为检测方法、计算机装置及计算机可读存储介质 | |
US20190050562A1 (en) | Path-based program lineage inference analysis | |
CN110602135B (zh) | 网络攻击处理方法、装置以及电子设备 | |
CN105681274B (zh) | 一种原始告警信息处理的方法及装置 | |
CN105868035B (zh) | 一种故障预测的方法、装置和系统 | |
US20240070267A1 (en) | Detecting malicious behavior in a network using security analytics by analyzing process interaction ratios | |
CN108183884B (zh) | 一种网络攻击判定方法及装置 | |
CN116614287A (zh) | 一种网络安全事件评估处理方法、装置、设备及介质 | |
CN114124587A (zh) | 一种攻击链的处理方法、系统及电子设备 | |
RU2647616C1 (ru) | Способ обнаружения атак перебора на веб-сервис | |
CN116599690A (zh) | 一种船舶信息安全事件处理方法、装置以及计算机设备 | |
CN116248381A (zh) | 一种告警聚合方法、装置、电子设备及存储介质 | |
CN115811421A (zh) | 网络安全事件的监测方法、装置、电子设备以及存储介质 | |
CN113986843A (zh) | 数据风险预警处理方法、装置及电子设备 | |
CN109462503B (zh) | 一种数据检测方法和装置 | |
CN113127855A (zh) | 安全防护系统及方法 | |
KR20150133368A (ko) | 지능형 지속 위협 탐지 방법 및 장치 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |