CN117056920A - 信息获取方法及装置、电子设备、存储介质 - Google Patents
信息获取方法及装置、电子设备、存储介质 Download PDFInfo
- Publication number
- CN117056920A CN117056920A CN202310889596.4A CN202310889596A CN117056920A CN 117056920 A CN117056920 A CN 117056920A CN 202310889596 A CN202310889596 A CN 202310889596A CN 117056920 A CN117056920 A CN 117056920A
- Authority
- CN
- China
- Prior art keywords
- information
- log
- malicious software
- user terminal
- software
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 64
- 238000003860 storage Methods 0.000 title claims abstract description 19
- 230000006399 behavior Effects 0.000 claims description 111
- 230000004044 response Effects 0.000 claims description 30
- 238000004458 analytical method Methods 0.000 claims description 16
- 238000004590 computer program Methods 0.000 claims description 4
- 238000012544 monitoring process Methods 0.000 abstract description 34
- 238000007726 management method Methods 0.000 description 189
- 230000000875 corresponding effect Effects 0.000 description 56
- 238000009434 installation Methods 0.000 description 10
- 238000013515 script Methods 0.000 description 10
- 230000002776 aggregation Effects 0.000 description 9
- 238000004220 aggregation Methods 0.000 description 9
- 238000004891 communication Methods 0.000 description 9
- 238000012423 maintenance Methods 0.000 description 9
- 230000008569 process Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 7
- 238000011835 investigation Methods 0.000 description 6
- 230000008520 organization Effects 0.000 description 6
- 238000010219 correlation analysis Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 230000009286 beneficial effect Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 238000012098 association analyses Methods 0.000 description 2
- 230000002596 correlated effect Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000009826 distribution Methods 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000035945 sensitivity Effects 0.000 description 2
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000005755 formation reaction Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000005304 joining Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Virology (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供信息获取方法及装置、电子设备、存储介质。所述方法包括:获取恶意软件的信息列表、以及关联各用户终端的管理日志;其中,所述信息列表中至少包括恶意软件的标识信息;将所述信息列表中所述恶意软件的标识信息与所述管理日志中的信息进行匹配;响应于所述管理日志中包括与所述恶意软件的标识信息匹配一致的信息,基于所述管理日志在各用户终端中确定出关联所述恶意软件的目标用户终端的信息。通过该方法,能较为即时和高效的对使用恶意软件的用户终端进行自动化排查,有助于提升排查的效率和监控范围的覆盖率。
Description
技术领域
本公开涉及但不限于计算机技术领域,尤其涉及一种信息获取方法及装置、电子设备、存储介质。
背景技术
由于软件系统的开源性以及应用市场的开放性,导致市面上出现很多恶意软件。相关技术在排查使用恶意软件的用户设备时,通常基于半人工检查或者定时脚本检查的方式,利用域控等传统方式来获得域内用户设备上的软件安装列表,以分析跟踪恶意软件。
上述方式对于没有加入域内的用户设备无法进行监控。此外,脚本检查的方式采用严格的域控软件白名单限制机制,软件安装经过严格的权限审核通过后进入白名单才得以被监控,而对于恶意软件黑客隐蔽式安装,审核机制发现困难,通常在发现危害、产生损失之后才能被发现。因此,存在对使用恶意软件的用户设备的排查不全面以及效率低的问题。
发明内容
本公开实施例提供一种信息获取方法及装置、电子设备、存储介质,能较为即时和高效的对使用恶意软件的用户终端进行自动化排查,有助于提升排查的效率和监控范围的覆盖率。
本公开实施例的技术方案是这样实现的:
第一方面,本公开实施例提供一种信息获取方法,所述方法包括:
获取恶意软件的信息列表、以及关联各用户终端的管理日志;其中,所述信息列表中至少包括恶意软件的标识信息;
将所述信息列表中所述恶意软件的标识信息与所述管理日志中的信息进行匹配;
响应于所述管理日志中包括与所述恶意软件的标识信息匹配一致的信息,基于所述管理日志在各用户终端中确定出关联所述恶意软件的目标用户终端的信息。
在一些实施例中,所述管理日志包括:网络行为管理日志以及设备管理日志;
所述将所述信息列表中所述恶意软件的标识信息与所述管理日志中的信息进行匹配,包括:
将所述信息列表中所述恶意软件的标识信息与所述网络行为管理日志中的信息进行匹配;
所述响应于所述管理日志中包括与所述恶意软件的标识信息匹配一致的信息,基于所述管理日志在各用户终端中确定出关联所述恶意软件的目标用户终端的信息,包括:
响应于所述网络行为管理日志中包括与所述恶意软件的标识信息匹配一致的信息,基于所述恶意软件的标识信息在所述网络行为管理日志中确定出关联所述恶意软件的目标用户终端的第一信息;
基于所述第一信息,在所述设备管理日志中确定出所述目标用户终端的第二信息。
在一些实施例中,所述恶意软件的标识信息包括:访问地址标识,所述网络行为管理日志包括以下至少之一:访问域名DNS解析日志、防火墙流量日志、用户上网行为日志;
所述响应于所述网络行为管理日志中包括与所述恶意软件的标识信息匹配一致的信息,基于所述恶意软件的标识信息在所述网络行为管理日志中确定出关联所述恶意软件的目标用户终端的第一信息,包括:
响应于所述DNS解析日志或所述防火墙流量日志中包括与所述恶意软件的访问地址标识匹配一致的信息,在所述匹配一致的信息所属日志中确定出访问所述恶意软件的目标用户终端的源IP;
或,
响应于所述用户上网行为日志中包括与所述恶意软件的访问地址标识匹配一致的信息,在所述匹配一致的信息所属日志中确定出访问所述恶意软件的目标用户终端对应的用户标识。
在一些实施例中,所述恶意软件的标识信息包括:软件名称和软件版本号;所述网络行为管理日志包括:软件安装日志;
所述响应于所述网络行为管理日志中包括与所述恶意软件的标识信息匹配一致的信息,基于所述恶意软件的标识信息在所述网络行为管理日志中确定出关联所述恶意软件的目标用户终端的第一信息,包括:
响应于所述软件安装日志中包括与所述恶意软件的软件名称和软件版本号匹配一致的信息,在所述匹配一致的信息所属日志中确定出安装所述恶意软件的目标用户终端的设备标识,以及安装所述恶意软件的目标用户终端对应的用户标识。
在一些实施例中,所述设备管理日志包括以下至少之一:动态主机配置协议DHCP日志、网络管理日志、设备资产日志;
所述基于所述第一信息,在所述设备管理日志中确定出所述目标用户终端的第二信息,包括:
响应于所述第一信息包括所述目标用户终端的源IP,在所述DHCP日志或所述网络管理日志中确定出所述目标用户终端的设备标识;
或,
响应于所述第一信息包括所述目标用户终端的源IP,在所述设备资产日志中确定出所述目标用户终端的资产配置信息。
在一些实施例中,所述网络行为管理日志、以及所述设备管理日志中包括时间戳;
所述基于所述第一信息,在所述设备管理日志中确定出所述目标用户终端的第二信息,包括:
基于所述第一信息以及所述第一信息对应的时间戳,在所述设备管理日志中确定出所述目标用户终端的第二信息;其中,所述信息对应的时间戳与所述第一信息对应的时间戳在同一时间范围内。
在一些实施例中,所述方法还包括:
在所述网络行为管理日志包括多个日志的情况下,根据所述恶意软件的标识信息与所述多个日志中的信息匹配的日志数量,确定所述目标用户终端的告警等级;
生成至少包括所述恶意软件的标识信息、所述目标用户终端的信息以及所述告警等级的告警信息。
在一些实施例中,所述告警信息,还包括:所述恶意软件的标识信息的标识类型、以及在所述网络行为管理日志中匹配获得的所述第一信息的日志类型。
在一些实施例中,所述信息列表中还包括恶意软件的等级信息;
所述将所述信息列表中所述恶意软件的标识信息与所述管理日志中的信息进行匹配,包括:
在所述恶意软件的等级信息满足预设等级阈值的情况下,将所述恶意软件的标识信息与所述管理日志中的信息进行匹配。
第二方面,本公开实施例提供一种信息获取装置,所述装置包括:
获取模块,配置为获取恶意软件的信息列表、以及关联各用户终端的管理日志;其中,所述信息列表中至少包括恶意软件的标识信息;
匹配模块,配置为将所述信息列表中所述恶意软件的标识信息与所述管理日志中的信息进行匹配;
第一确定模块,配置为响应于所述管理日志中包括与所述恶意软件的标识信息匹配一致的信息,基于所述管理日志在各用户终端中确定出关联所述恶意软件的目标用户终端的信息。
在一些实施例中,所述管理日志包括:网络行为管理日志以及设备管理日志;
所述匹配模块,还配置为将所述信息列表中所述恶意软件的标识信息与所述网络行为管理日志中的信息进行匹配;
所述第一确定模块,还配置为响应于所述网络行为管理日志中包括与所述恶意软件的标识信息匹配一致的信息,基于所述恶意软件的标识信息在所述网络行为管理日志中确定出关联所述恶意软件的目标用户终端的第一信息;基于所述第一信息,在所述设备管理日志中确定出所述目标用户终端的第二信息。
在一些实施例中,所述恶意软件的标识信息包括:访问地址标识,所述网络行为管理日志包括以下至少之一:访问域名DNS解析日志、防火墙流量日志、用户上网行为日志;
所述第一确定模块,还配置为响应于所述DNS解析日志或所述防火墙流量日志中包括与所述恶意软件的访问地址标识匹配一致的信息,在所述匹配一致的信息所属日志中确定出访问所述恶意软件的目标用户终端的源IP;或,响应于所述用户上网行为日志中包括与所述恶意软件的访问地址标识匹配一致的信息,在所述匹配一致的信息所属日志中确定出访问所述恶意软件的目标用户终端对应的用户标识。
在一些实施例中,所述恶意软件的标识信息包括:软件名称和软件版本号;所述网络行为管理日志包括:软件安装日志;
所述第一确定模块,还配置为响应于所述软件安装日志中包括与所述恶意软件的软件名称和软件版本号匹配一致的信息,在所述匹配一致的信息所属日志中确定出安装所述恶意软件的目标用户终端的设备标识,以及安装所述恶意软件的目标用户终端对应的用户标识。
在一些实施例中,所述设备管理日志包括以下至少之一:动态主机配置协议DHCP日志、网络管理日志、设备资产日志;
所述第一确定模块,还配置为响应于所述第一信息包括所述目标用户终端的源IP,在所述DHCP日志或所述网络管理日志中确定出所述目标用户终端的设备标识;或,响应于所述第一信息包括所述目标用户终端的源IP,在所述设备资产日志中确定出所述目标用户终端的资产配置信息。
在一些实施例中,所述网络行为管理日志、以及所述设备管理日志中包括时间戳;
所述第一确定模块,还配置为基于所述第一信息以及所述第一信息对应的时间戳,在所述设备管理日志中确定出所述目标用户终端的第二信息;其中,所述第二信息对应的时间戳与所述第一信息对应的时间戳在同一时间范围内。
在一些实施例中,所述装置还包括:
第二确定模块,配置为在所述网络行为管理日志包括多个日志的情况下,根据所述恶意软件的标识信息与所述多个日志中的信息匹配的日志数量,确定所述目标用户终端的告警等级;生成至少包括所述恶意软件的标识信息、所述目标用户终端的信息以及所述告警等级的告警信息。
在一些实施例中,所述告警信息,还包括:所述恶意软件的标识信息的标识类型、以及在所述网络行为管理日志中匹配获得的所述第一信息的日志类型。
在一些实施例中,所述信息列表中还包括恶意软件的等级信息;
所述匹配模块,还配置为在所述恶意软件的等级信息满足预设等级阈值的情况下,将所述恶意软件的标识信息与所述管理日志中的信息进行匹配。
第三方面,本公开实施例提供一种信息获取装置,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为执行第一方面中所述的方法。
第四方面,本公开实施例提供一种存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现第一方面中所述的方法。
本公开的实施例提供的技术方案可以包括以下有益效果:
在本公开实施例中,利用预定义的恶意软件的信息列表以及关联各用户终端的管理日志进行信息匹配,并在管理日志中包括与恶意软件的标识信息匹配一致的信息的情况下,基于管理日志确定出关联恶意软件的目标用户终端的信息,即本公开实施例基于信息匹配的方式从管理日志中对关联恶意软件的用户终端进行跟踪排查,能减少因半人工方式效率低,因脚本安装沟通等带来的覆盖范围有限且时间成本大的问题,本公开实施例的方式,能较为即时和高效的进行自动化排查,有助于提升排查的效率和监控范围的覆盖率。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
图1为本公开实施例提供的一种信息获取方法流程图。
图2是本公开实施例中一种信息获取方法的工作流程图。
图3是本公开实施例中一种信息获取方法对应的物理结构图。
图4是本公开实施例示出的一种信息获取装置图。
图5为本公开实施例中一种电子设备的硬件实体示意图。
具体实施方式
为了使本公开的目的、技术方案和优点更加清楚,下面将结合附图对本公开作进一步地详细描述,所描述的实施例不应视为对本公开的限制,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本公开保护的范围。
在以下的描述中,涉及到“一些实施例”,其描述了所有可能实施例的子集,但是可以理解,“一些实施例”可以是所有可能实施例的相同子集或不同子集,并且可以在不冲突的情况下相互结合。
在以下的描述中,所涉及的术语“第一\第二”仅仅是区别类似的对象,不代表针对对象的特定排序,可以理解地,“第一\第二”在允许的情况下可以互换特定的顺序或先后次序,以使这里描述的本公开实施例能够以除了在这里图示或描述的以外的顺序实施。
除非另有定义,本文所使用的所有的技术和科学术语与属于本公开的技术领域的技术人员通常理解的含义相同。本文中所使用的术语只是为了描述本公开实施例的目的,不是旨在限制本公开。
本公开实施例提供一种信息获取方法,图1为本公开实施例提供的一种信息获取方法流程图,如图1所示,包括如下步骤:
S11、获取恶意软件的信息列表、以及关联各用户终端的管理日志;其中,所述信息列表中至少包括恶意软件的标识信息;
S12、将所述信息列表中所述恶意软件的标识信息与所述管理日志中的信息进行匹配;
S13、响应于所述管理日志中包括与所述恶意软件的标识信息匹配一致的信息,基于所述管理日志在各用户终端中确定出关联所述恶意软件的目标用户终端的信息。
在本公开实施例中,信息获取方法可应用于服务器等电子设备,例如服务器可提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、以及大数据和人工智能平台等基础云计算服务。电子设备获取的信息是指获取使用恶意软件的目标用户终端的信息,其中,恶意软件可以包括例如非法窃取信息的软件,还可包括盗版软件。
在步骤S11中,服务器可获取恶意软件的信息列表,该信息列表为事先定义好的列表,信息列表中至少包括恶意软件的标识信息,还可包括表征恶意软件的等级信息、开发公司、开发时间信息等。其中,恶意软件的标识信息可包括软件名称及软件版本号、访问的互联网协议地址(Internet Protocol Address,IP)、访问域名以及对应可下载或更新恶意软件的服务器的统一资源定位符(Uniform Resource Locator,URL)。本公开实施例中,可由运维人员依据制定的规则搜集各恶意软件的信息,并通过预定的编程接口(ApplicationProgramming Interface,API)提交以生成上述信息列表,信息列表中可包括一个或多个恶意软件的信息。
本公开实施例中,信息列表的内容可存储于ElasticSearch等数据库索引表中。示例性的,信息列表中的一个恶意软件的信息可按如下字段排列方式存储:【索引名】【软件名称】【软件公司】【域名】【URL】【版本号】【访问IP】【敏感级别】;其中,索引名用于标识属于恶意软件的信息列表中的信息,例如可用数字和/或字母来标识;敏感级别用于标识恶意软件的等级信息,属于运维人员自定义的信息,例如可用“高”、“中”、“低”来标识。
本公开实施例中,电子设备还可获取到管理各用户终端的管理日志,管理日志可以是基于各商用软件或维护人员自行开发的软件监测用户终端后生成的日志,管理日志中可包括用户终端的多种类的信息,管理日志可包括一个或多个日志。需要说明的是,若电子设备是服务器集群中的服务器,电子设备也可从集群中的其他服务器获取管理日志中的一个或多个日志。
本公开实施例中,管理日志可包括网络行为管理日志以及设备管理日志,还可单独包括网络行为管理日志。其中,网络行为管理日志用于记录或管理终端用户的上网行为,例如管理源IP分配、记录访问的IP,URL等;网络行为管理日志可包括访问域名(DomainName System,DNS)解析日志、软件安装日志、防火墙流量日志、用户上网行为日志中的至少之一;设备管理日志用于对用户终端进行管理,例如记录用户终端的主机名、(MediaAccess Control Address,MAC)地址、所在机房信息等;设备管理日志可包括动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)日志、基于简单网络管理协议的(Simple Network Management Protocol,SNMP)的网络管理(Intelligent ManagementCenter,IMC)日志、设备资产关联的配置管理数据库(Configuration ManagementDatabase,CMDB)日志中的至少之一。
需要说明的是,本公开实施例中,恶意软件的信息列表和管理日志均可保存在电子设备中的数据库,并以不同的索引进行区分。
在步骤S12中,电子设备将信息列表中恶意软件的标识信息与管理日志中的信息进行匹配,若管理日志中存在与恶意软件的标识信息匹配一致的信息,则说明管理日志中存在对关联恶意软件的用户终端的信息记录,因而在步骤S13中,电子设备可基于管理日志在各用户终端中确定出关联恶意软件的目标用户终端的信息,其中,目标用户终端可以是访问过标识信息所标识的恶意软件的用户终端,或者是安装过恶意软件的用户终端。本公开实施例中,电子设备支持按预定时间周期将信息列表中恶意软件的标识信息与管理日志中的信息进行匹配,也支持基于运维人员触发的指令执行上述方法。此外,在本公开实施例中,基于上述匹配确定出的目标用户终端可能是一个,也可能是多个,本公开实施例不做限制。
如前所述的,相关技术中对于恶意软件黑客隐蔽式安装,半人工或脚本检查的监控机制实现要求苛刻,发现危害滞后、产生损失之后才能发现危害;此外具有权限的维护人员才能在用户终端安装脚本,否则要沟通调节,实施和沟通的时间成本大,覆盖监控范围有限。
对此,本公开实施例中,利用预定义的恶意软件的信息列表以及关联各用户终端的管理日志进行信息匹配,并在管理日志中包括与恶意软件的标识信息匹配一致的信息的情况下,基于管理日志确定出关联恶意软件的目标用户终端的信息,即本公开实施例基于信息匹配的方式从管理日志中对关联恶意软件的用户终端进行跟踪排查,能减少因半人工方式效率低,因脚本安装沟通等带来的覆盖范围有限且时间成本大的问题,本公开实施例的方式,能较为即时和高效的进行自动化排查,有助于提升排查的效率和监控范围的覆盖率。
在一些实施例中,所述管理日志包括:网络行为管理日志以及设备管理日志;
所述将所述信息列表中所述恶意软件的标识信息与所述管理日志中的信息进行匹配,包括:
将所述信息列表中所述恶意软件的标识信息与所述网络行为管理日志中的信息进行匹配;
所述响应于所述管理日志中包括与所述恶意软件的标识信息匹配一致的信息,基于所述管理日志在各用户终端中确定出关联所述恶意软件的目标用户终端的信息,包括:
响应于所述网络行为管理日志中包括与所述恶意软件的标识信息匹配一致的信息,基于所述恶意软件的标识信息在所述网络行为管理日志中确定出关联所述恶意软件的目标用户终端的第一信息;
基于所述第一信息,在所述设备管理日志中确定出所述目标用户终端的第二信息。
在本公开实施例中,管理日志包括网络行为管理日志和设备管理日志,由于网络行为管理日志用于记录或管理终端用户的上网行为,因而电子设备将信息列表中恶意软件的标识信息与网络行为管理日志中的信息进行匹配,在匹配一致的情况下,能基于恶意软件的标识信息在网络行为管理日志中确定出关联恶意软件的目标用户终端的第一信息,例如,该第一信息是目标用户终端的源IP等。由于源IP在一定程度上也能定位出对应的目标用户终端设备,因而本公开实施例在管理日志中仅包括网络行为管理日志的情况下,也能仅根据第一信息定位目标用户终端设备。
本公开实施例中,电子设备还可基于第一信息在设备管理日志中确定出目标用户终端的第二信息,由于设备管理日志用于对用户终端进行管理,因而基于第一信息可在设备管理日志中确定出目标用户终端更多的信息,示例性的,第二信息可以是目标用户终端所在的物理区域、机房信息等。
可以理解的是,在本公开实施例中,基于多种类型的日志综合确定关联恶意软件的目标用户终端的信息,能获得目标用户终端更为全面的信息,能提升对关联恶意软件的目标用户终端溯源的精准性。
在一些实施例中,所述恶意软件的标识信息包括:访问地址标识,所述网络行为管理日志包括以下至少之一:访问域名DNS解析日志、防火墙流量日志、用户上网行为日志;
所述响应于所述网络行为管理日志中包括与所述恶意软件的标识信息匹配一致的信息,基于所述恶意软件的标识信息在所述网络行为管理日志中确定出关联所述恶意软件的目标用户终端的第一信息,包括:
响应于所述DNS解析日志或所述防火墙流量日志中包括与所述恶意软件的访问地址标识匹配一致的信息,在所述匹配一致的信息所属日志中确定出访问所述恶意软件的目标用户终端的源IP;
或,
响应于所述用户上网行为日志中包括与所述恶意软件的访问地址标识匹配一致的信息,在所述匹配一致的信息所属日志中确定出访问所述恶意软件的目标用户终端对应的用户标识。
在本公开实施例中,网络行为管理日志可包括DNS解析日志,DNS解析日志将域名和IP地址相互映射,记录的是每次网络行为发生时的访问域名、访问时间、访问的服务器的IP,访问成功或失败的状态等。电子设备获取DNS解析日志,可以是分布式日志管理平台基于用户数据报协议(User Datagram Protocol,UDP)的网络监听服务,例如通过Rsyslog服务程序将DNS日志的日志数据输出到Graylog日志中心创建的Syslog日志监听服务,Graylog日志监听服务接收到日志数据后,对日志数据进行格式化调整,然后保存到ElasticSearch数据库中。示例性的,DNS解析日志中的信息可按如下字段排列方式存储:【索引名】【用户设备IP】【访问域名】【访问IP】【访问时间戳】;其中,索引名用于标识属于DNS解析日志中的信息,用户设备IP即用户终端对应的源IP。需要说明的是,DNS解析日志中可包括监听的一个或多个用户终端的网络访问信息。
本公开实施例中,网络行为管理日志还可包括防火墙流量日志,通常企业办公网络的流量,会通过镜像交换机等服务将网络的流量复制给防火墙服务,防火墙服务会对办公网络环境下用户访问各种域名与IP服务器相关访问历史进行日志记录。防火墙服务例如可以将日志通过Syslog协议输出到Graylog日志中心创建的Syslog日志监听服务,Graylog日志监听服务接收到数据后,对日志数据进行格式化调整,然后保存到ElasticSearch数据库中。示例性的,防火墙流量日志中的信息可按如下字段排列方式存储:【索引名】【源IP】【访问IP】【访问域名】【URL】【访问时间戳】;其中,索引名用于标识属于防火墙流量日志中的信息。需要说明的是,防火墙流量日志中可包括监听的一个或多个用户终端的网络访问信息。
本公开实施例中,网络行为管理日志还可包括用户上网行为日志,用户上网行为管理服务,会监控网络中各用户终端的上网行为并生成日志,用户上网行为管理服务可以将日志通过Syslog协议,将日志输出到Graylog日志中心创建的Syslog日志监听服务,Graylog日志监听服务接收到数据后,对日志数据进行格式化调整,然后保存到ElasticSearch数据库中。示例性的,用户上网行为日志中的信息可按如下字段排列方式存储:【索引名】【用户名】【访问域名】【访问IP】【URL】【访问时间戳】;其中,索引名用于标识属于用户上网行为日志中的信息。需要说明的是,用户上网行为日志中可包括监听的一个或多个用户终端的网络访问信息。
本公开实施例中,恶意软件的标识信息包括访问地址标识可以是访问IP和、访问域名、URL中的至少之一,由于DNS解析日志、防火墙流量日志以及用户上网行为日志中均包括访问IP和访问域名,因此电子设备可通过将恶意软件的访问地址标识与上述日志进行匹配,并在匹配一致的情况下,根据访问域名和访问IP对应的能标识访问恶意软件的用户终端的信息来定位目标用户终端。此外,由于防火墙流量日志以及用户上网行为日志中均包括URL,因此电子设备也可通过将恶意软件的URL与上述日志进行匹配,并在匹配一致的情况下,根据URL对应的能标识访问恶意软件的用户终端的信息来定位目标用户终端。
示例性的,由于DNS解析日志和防火墙流量日志中均包括源IP,因而在恶意软件的访问地址标识能匹配的情况下,电子设备可基于恶意软件的访问地址标识在DNS解析日志或防火墙流量日志中确定出访问恶意软件的目标用户终端的源IP。再例如,用户上网行为日志中包括用户标识,由于用户标识用于标识使用用户终端上网的用户,因而电子设备可基于恶意软件的访问地址标识在用户上网行为日志中确定出访问恶意软件的目标用户终端对应的用户标识。
可以理解的是,本公开实施例中,通过信息关联的方式对访问恶意软件的用户终端进行定位,不仅能定位出目标用户终端,还能对访问恶意软件的用户进行定位,因而对访问恶意软件的信息溯源较为全面。
在一些实施例中,所述恶意软件的标识信息包括:软件名称和软件版本号;所述网络行为管理日志包括:软件安装日志;
所述响应于所述网络行为管理日志中包括与所述恶意软件的标识信息匹配一致的信息,基于所述恶意软件的标识信息在所述网络行为管理日志中确定出关联所述恶意软件的目标用户终端的第一信息,包括:
响应于所述软件安装日志中包括与所述恶意软件的软件名称和软件版本号匹配一致的信息,在所述匹配一致的信息所属日志中确定出安装所述恶意软件的目标用户终端的设备标识,以及安装所述恶意软件的目标用户终端对应的用户标识。
本公开实施例中,网络行为管理日志还可包括软件安装日志,软件安装日志可以是针对控制域内的用户终端所安装的软件进行监控后生成的日志。示例性的,可对控制域内的用户终端定期下发脚本,基于脚本的执行取得域内用户终端安装过的软件列表,并基于Syslog协议将软件列表发送给Graylog日志中心创建的Syslog日志监听服务,Graylog日志监听服务接收到日志数据后,对日志数据进行格式化调整,然后保存到ElasticSearch数据库中。示例性的,软件安装日志中的信息可按如下字段排列方式存储:【索引名】【用户名】【软件名称】【软件版本号】【主机名】【MAC地址】【软件的安装时间戳】;其中,索引名用于标识属于软件安装日志中的信息。需要说明的是,软件安装日志中可包括监听的一个或多个用户终端的软件安装信息。
本公开实施例中,恶意软件的标识信息包括软件名称和软件版本号,由于软件安装日志中包括软件名称和软件版本号,因此电子设备可通过将恶意软件的软件名称和软件版本号与上述日志进行匹配,并在匹配一致的情况下,根据软件名称和软件版本号对应的能标识访问恶意软件的用户终端的信息来定位目标用户终端。由于软件安装日志中还包括关联用户终端的主机名、MAC地址以及使用用户终端的用户的用户名,因而电子设备可基于恶意软件的软件名称和软件版本号在软件安装日志中确定出安装恶意软件的目标用户终端的设备标识,以及安装恶意软件的目标用户终端对应的用户标识。
需要说明的是,本公开实施例中,还可根据软件安装日志中【软件的安装时间戳】对预定时间段内安装恶意软件的用户终端进行过滤以缩小排查范围,比如:软件的安装时间戳范围是在3个月或半年内。
可以理解的是,本公开实施例中,通过将恶意软件的软件名称和软件版本号与软件安装日志匹配的方式获取安装恶意软件的目标用户终端的设备标识,能实现精准的定位,此外,还能对安装恶意软件的用户进行定位,因而对安装恶意软件的信息溯源较为全面。
在一些实施例中,所述设备管理日志包括以下至少之一:动态主机配置协议DHCP日志、网络管理日志、设备资产日志;
所述基于所述第一信息,在所述设备管理日志中确定出所述目标用户终端的第二信息,包括:
响应于所述第一信息包括所述目标用户终端的源IP,在所述DHCP日志或所述网络管理日志中确定出所述目标用户终端的设备标识;
或,
响应于所述第一信息包括所述目标用户终端的源IP,在所述设备资产日志中确定出所述目标用户终端的资产配置信息。
如前所述的,设备管理日志用于对用户终端进行管理,本公开实施例中,设备管理日志包括动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)日志,动态主机配置协议通常与用户终端连网的IP直接相关,用户终端通过DHCP协议获取源IP从而可连接网络,而DHCP信息中的源IP,可以用于判定IP的拥有者(即用户终端),所以通过关联DHCP日志,可以在恶意软件分析过程中定位目标用户终端。本公开实施例中,DHCP服务会产生日志数据,通过数据代理发送服务将日志数据发送给Graylog日志服务中心创建的Syslog日志监听服务,Graylog日志监听服务接收到日志数据后,对日志数据进行格式化调整,然后保存到ElasticSearch数据库中。示例性的,DHCP日志中的信息可按如下字段排列方式存储:【索引名】【源IP】【MAC地址】【主机名】【分配源IP的时间戳】;其中,索引名用于标识属于DHCP日志中的信息。需要说明的是,DHCP日志中可包括一个或多个用户终端的信息。
本公开实施例中,设备管理日志包括网络管理日志,例如该网络管理日志是基于SNMP协议的网络管理软件-(Intelligent Management Center,IMC)。IMC提供了集中式的管理、监控、配置和安全策略管理等功能,可以将通过无线网络或有线网络接入的用户终端对应分配的源IP以及关联用户终端的信息记录下来。IMC服务可以将记录的信息通过Syslog协议发送给Graylog日志服务中心创建的Syslog日志监听服务,Graylog日志监听服务接收到日志数据后,对日志数据进行格式化调整,然后保存到ElasticSearch数据库中。示例性的,IMC日志中的信息可按如下字段排列方式存储:【索引名】【源IP】【用户名】【MAC地址】【接入网络的时间戳】;其中,索引名用于标识属于IMC日志中的信息。需要说明的是,IMC日志中可包括一个或多个用户终端的信息。
本公开实施例中,设备管理日志包括设备资产日志,例如该设备资产日志是配置管理数据库(Configuration Management Database,CMDB)中的数据形成的日志。CMDB是一个服务器设备信息与用户终端信息关联的数据库,通过CMDB提供的API接口可查询到源IP对应的服务器的配置信息、服务器设备业务类型、管理员信息、组织信息、联系方式等信息。在进行恶意软件分析中,可以通过关联推导出的可疑源IP,去CMDB信息中关联出源IP对应的服务器的配置信息、服务器业务类型、管理员信息、所在组织、联系方式等。本公开实施例中,CMDB中的信息可在ElasticSearch数据库中按如下字段排列方式存储:【索引名】【源IP】【管理员】【业务类型】【所在组织】【机房信息】【联系方式】;其中,索引名用于标识属于CMDB日志中的信息。需要说明的是,CMDB日志中可包括一个或多个用户终端的信息。
本公开实施例中,由于DHCP日志、IMC日志以及设备资产日志中均包括源IP,因此电子设备可基于源IP从上述日志中关联出更多属于目标用户终端的信息。
示例性的,由于DHCP日志和网络管理日志中均包括用户终端的源IP和MAC地址,即设备标识,因而电子设备可基于源IP在DHCP日志或网络管理日志中确定出目标用户终端的MAC地址。此外,DHCP日志中还包括用户终端的主机名、IMC日志中还包括使用用户终端的用户的用户名,因而电子设备也可基于源IP在DHCP日志中确定出目标用户终端的主机名,以及在IMC日志中确定出使用目标用户终端的用户的用户名。
再例如,设备资产日志中包括用户终端的源IP,以及对应的服务器的配置信息、服务器业务类型、管理员信息、所在组织、联系方式等,因而电子设备可基于源IP在CMDB日志中确定出目标用户终端的资产配置信息。CMDB中服务器的配置信息、服务器业务类型、管理员信息、所在组织、联系方式等信息可帮助确认应急响应优先级并基于提供的管理员信息等进行响应。示例性的,若服务器业务类型是银行业务服务器,则对应的应急响应优先级较高,而若服务器业务类型是常规的办公管理,则对应的应急响应优先级可相对较弱。
可以理解的是,本公开实施例中,通过对安装或访问恶意软件的目标用户终端的第一信息与DHCP日志、网络管理日志、设备资产日志进行关联,能获得目标用户终端更为全面的信息,使得对目标用户终端的定位更加精准。
在一些实施例中,所述网络行为管理日志、以及所述设备管理日志中包括时间戳;
所述基于所述第一信息,在所述设备管理日志中确定出关联所述目标用户终端的第二信息,包括:
基于所述第一信息以及所述第一信息对应的时间戳,在所述设备管理日志中确定出所述目标用户终端的第二信息;其中,所述第二信息对应的时间戳与所述第一信息对应的时间戳在同一时间范围内。
在本公开实施例中,网络行为管理日志中的时间戳可为前述DNS解析日志、防火墙流量日志、用户上网行为日志中的访问时间戳,或者是软件安装日志中的软件的安装时间戳;设备管理日志中的时间戳可为IMC日志中接入网络的时间戳、或DHCP日志中分配源IP的时间戳。
以第一信息是源IP为例,由于在通常情况下,源IP地址是动态分配的,每次上网可能都会变化,因此若基于第一信息关联的设备管理日志中的时间戳相差太大,网络行为管理日志和设备管理日志中源IP对应的目标用户终端可能并不是同一目标用户终端。
因此本公开实施例通过时间信息进行约束,示例性的,若恶意软件的信息列表中【域名】【URL】信息,与防火墙流量日志中的【访问域名】【URL】进行匹配,若防火墙流量日志中数据关联匹配成功,电子设备可先获得防火墙流量日志中【源IP】地址,然后用【源IP】对应的【访问时间戳】与IMC日志中【接入网络的时间戳】为同样24小时范围内的日志记录进行比对,若源IP匹配上,则电子设备可从IMC日志中得到源IP对应的【用户名】【MAC地址】;同理,用防火墙流量日志中的【源IP】与DHCP日志中【分配源IP的时间戳】为同样24小时间戳范围内的日志数据进行对比,若源IP匹配上,则电子设备可从DHCP日志中得到源IP对应的【主机名】。
可以理解的是,本公开实施例中,在设备管理日志中确定出时间戳与第一信息对应的时间戳在同一时间范围内的目标用户终端的第二信息,能更为准确的获得目标用户终端的信息,能提升溯源的额精准度。
在一些实施例中,所述方法还包括:
在所述网络行为管理日志包括多个日志的情况下,根据所述恶意软件的标识信息与所述多个日志中的信息匹配的日志数量,确定所述目标用户终端的告警等级;
生成至少包括所述恶意软件的标识信息、所述目标用户终端的信息以及所述告警等级的告警信息。
本公开实施例中,若网络行为管理日志的多个日志中均存在与恶意软件的标识信息匹配的信息,则说明目标用户终端访问或下载恶意软件的可能性较大,因而本公开实施例中根据恶意软件的标识信息与多个日志中的信息匹配的日志数量,确定目标用户终端的告警等级,其中,告警等级可与日志数量正相关,日志数量越多,表明目标用户终端访问或下载恶意软件的概率越大,对应的告警等级也可越高。
示例性的,恶意软件的标识信息与DNS解析日志、防火墙流量日志、用户上网行为日志以及软件安装日志进行匹配时,对应生成告警等级的规则如下:匹配成功1次,告警等级:低危;匹配成功2次,告警等级:中危;匹配成功3次,告警等级:高危;匹配成功4次,告警等级:严重。
可以理解的是,本公开实施例中,基于匹配的日志数量确定告警等级,并生成包括恶意软件的标识信息、目标用户终端的信息以及告警等级在内的告警信息,一方面,采用非自定义的方式生成告警等级,能使得告警等级与实际情况更相符;另一方面,生成上述告警信息方便维护人员根据告警信息全面了解目标用户终端访问或下载恶意软件的情况。
在一些实施例中,所述告警信息,还包括:所述恶意软件的标识信息的标识类型、以及在所述网络行为管理日志中匹配获得的所述第一信息的日志类型。
需要说明的是,告警信息还可包括对应的时间戳信息,告警信息中的目标用户终端的信息可以是基于多个日志聚合后的信息,对应的告警等级为基于多个日志匹配后确认的等级。
示例性的,若恶意软件的标识信息中,仅恶意软件的【软件名称】【软件版本号】与软件安装日志中的【软件名称】【软件版本号】匹配,则生成包括【用户名】【主机名】【MAC地址】【软件名】【版本号】【类型:软件名称和软件版本号】【数据源类型:软件安装日志】【低危】字段的告警信息。当然,在该告警信息中还可包括【软件的安装时间戳】信息。在该示例中,类型:软件名称和软件版本号,即对应匹配获得第一信息的恶意软件的标识信息的标识类型、数据来源类型:软件安装日志,即对应匹配获得第一信息的日志类型。
示例性的,若恶意软件的标识信息中,【域名】【URL】与防火墙流量日志中的【访问域名】【URL】匹配,则可取得防火墙流量日志中的【源IP】,然后用【源IP】与IMC日志的【源IP】匹配,取得IMC日志中的【用户名】【MAC地址】,然后再用防火墙流量日志中的【源IP】与DHCP日志中的【源IP】进行匹配取得【主机名】。当然,在用防火墙流量日志中的【源IP】分别与IMC日志以及DHCP日志匹配时,还可基于时间信息进行筛选,如前述的用【源IP】对应的【访问时间戳】与IMC日志中【接入网络的时间戳】为同样24小时范围内的日志数据、以及DHCP中【分配源IP的时间戳】为同样24小时间戳范围内的日志数据进行比对。基于上述日志的匹配关联,结合恶意软件的安装信息中对应的【软件名称】以及【软件版本号】可生成包括【用户名】【源IP】【MAC地址】【主机名】【软件名】【类型:域名、URL】【数据源:防火墙流量日志】【访问时间戳】【低危】字段的告警信息。在该示例中,类型:域名、URL,即对应匹配获得第一信息的恶意软件的标识信息的标识类型;数据来源类型:防火墙流量日志,即对应匹配获得第一信息的日志类型。需要说明的是,在用恶意软件的标识信息与防火墙流量日志中的信息进行匹配时,并不限定于【域名】【URL】,还可以是基于【访问IP】【URL】进行匹配,或者单独基于【URL】进行匹配,对应的告警信息中【类型:】字段调整即可。
需要说明的是,在本公开实施例中,考虑到一个URL可能对应有多个域名,因而单独根据域名进行匹配的方式可能不能准确定位,对此,本公开实施例中将域名与URL关联进行匹配,能提升匹配的精度。
示例性的,若恶意软件的标识信息中,恶意软件的【域名】与DNS解析日志中的【访问域名】匹配,则取得DNS日记录中【用户设备IP】,进一步的,用【用户设备IP】与IMC日志的【源IP】匹配,取得IMC日志中的【用户名】,用DNS的日志中的【用户设备IP】地址与DHCP日志中的【源IP】进行匹配取得【主机名】【MAC地址】,则结合恶意软件的安装信息中恶意软件的【域名】对应的【软件名称】以及【软件版本号】可生成包括【用户名】【用户设备IP】【MAC地址】【软件名称】【软件版本号】【类型:域名】【数据来源类型:DNS解析日志】【低危】【访问时间戳】字段的告警信息。在该示例中,类型:域名,即对应匹配获得第一信息的恶意软件的标识信息的标识类型;数据来源类型:DNS解析日志,即对应匹配获得第一信息的日志类型。需要说明的是,在用恶意软件的标识信息与DNS解析日志中的信息进行匹配时,并不限定于【域名】,还可以是基于【访问IP】进行匹配,对应的告警信息中【类型:】字段调整即可。在该实施例中,也可将【域名】与【访问IP】结合与DNS解析日志中的信息进行关联匹配,以提升匹配的精度。
此外,若在与DNS解析日志匹配的基础上,恶意软件的【URL】信息还与用户上网行为日志中用户访问的【URL】匹配,从用户上网行为日志中也可获得【用户名】,并进一步的能基于【用户名】从IMC日志中获得【源IP】,能基于【源IP】从DHCP日志匹配取得【主机名】【MAC地址】,则生成的告警信息可为:【用户名】【用户设备IP】【MAC地址】【软件名称】【软件版本号】【类型:域名、URL】【数据来源类型:DNS解析日志、用户上网行为日志】【中危】【访问时间戳】,即在本公开实施例中,电子设备也可将多个日志的匹配情况进行聚合后生成告警信息。
当然,本公开实施例中,上述示出的各告警信息中也可包括与CMDB日志匹配后获得的信息。以电子设备将恶意软件的标识信息与DNS解析日志、用户上网行为日志匹配的基础上,基于匹配获得的【源IP】可去CMDB信息中关联出源IP对应的服务器的配置信息、服务器业务类型、管理员信息、所在组织、联系方式等,对应的,告警信息可为:【用户名】【用户设备IP】【MAC地址】【软件名称】【软件版本号】【类型:域名、URL】【数据来源类型:DNS解析日志、用户上网行为日志】【中危】【业务类型】【所在组织】【机房信息】【管理员】【联系方式】。
此外,在本公开实施例中,电子设备还可产生两种汇总类型的告警,一种是【用户名】维度为主的告警,一种是以【用户设备IP】维度为主的告警。示例性的,以用户为主的汇总告警,告警信息可包括【用户名】【主机名】【软件名:汇总所有下载或使用的恶意软件】【数据来源类型:汇总所有数据来源】【类型:汇总所有类型】【威胁等级:低危、中危、高危、严重】;以IP为主的汇总告警,告警信息可包括:【源IP】【软件名:汇总所有下载或使用的恶意软件】【数据来源类型:汇总所有数据来源】【类型:汇总所有类型】【威胁等级:低危、中危、高危、严重】。
需要说明的是,本公开实施例中,生成的告警信息可输出后展示,例如通过界面的方式展示,且界面支持运维人员的筛选操作等。此外,本公开实施例中,用恶意软件的标识信息与网络行为管理日志中的各日志的匹配方式、、用第一信息与设备管理日志中的各日志的匹配方式、以及基于上述匹配生成的告警信息的内容并不限于前述举例,基于各日志中的字段信息,进行任意同字段的匹配方式、以及生日任意内容的告警信息均在本公开实施例的保护范围之类。
可以理解的是,本公开实施例中,在告警信息中加入恶意软件的标识信息的标识类型、以及在网络行为管理日志中匹配获得第一信息的日志类型,方便维护人员基于上述信息更为准确的定位。以告警信息中包括标识类型为例,例如基于域名标识,可方便维护人员确定对应的网络区域;以告警信息中包括日志类型为例,例如基于防火墙流量日志匹配得到的告警信息,方便维护人员例如在知道两个网络区域中A区域装了防火墙服务,B区域没装防火墙服务的情况下,直接定位使用或下载恶意软件的目标用户终端属于A区域。
在一些实施例中,所述信息列表中还包括恶意软件的等级信息;
所述将所述信息列表中所述恶意软件的标识信息与所述管理日志中的信息进行匹配,包括:
在所述恶意软件的等级信息满足预设等级阈值的情况下,将所述恶意软件的标识信息与所述管理日志中的信息进行匹配。
本公开实施例中,如前所述,恶意软件的等级信息可通过“高”、“中”、“低”来标识,不同的等级信息表明不同的危险程度。例如,等级信息“高”的恶意软件比等级“低”的恶意软件造成的例如对网络的危害会更大。对此,可优先对等级信息“高”的恶意软件优先定位目标用户终端,以便于即时减轻网络危害。
可以理解的是,在本公开实施例中,在恶意软件的等级信息满足预设等级阈值的情况下,将恶意软件的标识信息与管理日志中的信息进行匹配,能方便进行针对性的排查,智能性较好。
需要说明的是,本公开实施例提供的针对使用恶意软件的用户终端的信息获取方法,全自动化的收集关联用户终端的各种日志,以便于后续的信息匹配与关联分析。上述方案,支持日志生成时间管理、日志数据的保存时长管理,且提供统一的API接口便于灵活加入日志进行分析,以及方便自定义匹配关联规则,以增加排查范围以提升对使用恶意软件的目标用户终端进行准确定位。
图2是本公开实施例中一种信息获取方法的工作流程图,如图2所示,电子设备基于L1-L8标识的信息执行K1标识的恶意软件关联分析步骤,并在步骤K2中将恶意软件的关联分析结结果入库后在步骤K3中进行展示。其中,L1标识的恶意软件规则信息聚合即电子设备依据运维人员制定的规则搜集各恶意软件的信息并进行格式化后生成信息列表存储于数据ElasticSearch库的过程;L2标识的上网行为日志聚合即电子设备基于用户上网行为管理服务监控网络中各用户终端的上网行为并生成日志,然后通过Syslog协议将日志输出到Graylog日志中心创建的Syslog数据监听服务,Graylog日志监听服务接收到数据后,对日志数据进行格式化调整,然后保存到ElasticSearch数据库的过程;L3标识的防火墙流量日志信息聚合即电子设备基于防火墙服务将日志通过Syslog协议输出到Graylog日志中心创建的Syslog日志监听服务,Graylog日志监听服务接收到数据后,对日志数据进行格式化调整,然后保存到ElasticSearch数据库的过程;L4标识的预控日志信息聚合即电子设备基于对控制域内的用户终端定期下发脚本,基于脚本的执行取得域内用户终端安装过的软件列表,并基于Syslog协议将软件列表发送给Graylog日志中心创建的Syslog日志监听服务,Graylog日志监听服务接收到日志数据后,对日志数据进行格式化调整,然后保存到ElasticSearch数据库中的过程;L5标识的DNS信息聚合即电子设备利用分布式日志管理平台基于用户数据报协议(User Datagram Protocol,UDP)的网络监听服务,通过Rsyslog服务程序将DNS日志的日志数据输出到Graylog日志中心创建的Syslog日志监听服务,Graylog日志监听服务接收到日志数据后,对日志数据进行格式化调整,然后保存到ElasticSearch数据库中的过程;L6标识的IMC日志信息聚合即电子设备基于IMC服务将记录的日志信息通过Syslog协议发送给Graylog日志服务中心创建的Syslog日志监听服务,Graylog日志监听服务接收到日志数据后,对日志数据进行格式化调整,然后保存到ElasticSearch数据库的过程;L7标识的DHCP日志信息聚合即电子设备基于DHCP服务产生日志数据,通过DHCP服务利用数据代理发送服务将日志数据发送给Graylog日志服务中心创建的Syslo日志监听服务,Graylog日志监听服务接收到日志数据后,对日志数据进行格式化调整,然后保存到ElasticSearch数据库的过程;L8标识的CMDB日志信息聚合即电子设备基于API接口查询到源IP对应的服务器的配置信息、服务器设备业务类型、管理员信息、组织信息、联系方式等信息,然后格式化后保存到ElasticSearch数据库的过程。本公开实施例中,步骤K1中的恶意软件关联分析的方式可参考前述的任意一种或多种信息匹配及信息关联方式,K2中的恶意软件的关联分析结果也可以是前述任一中方式的告警信息,K3中的恶意软件关联分析结果展示可以采用前述的界面展示方式。
图3是本公开实施例中一种信息获取方法对应的物理结构图,如图3所示,L01-L08对应图2中的L1-L8,L01-L08用于指示L1-L8中对应的服务,例如L01用于标识图2中的恶意软件规则信息聚合服务、L02用于标识用户上网行为管理服务、L03用于标识防火墙服务、L04用于标识软件安装列表服务、L05用于标识DNS解析服务、L06用于标识IMC服务、L07用于标识DHCP服务、L08用于标识CMDB服务。L01-L08所标识的服务可以是部署于电子设备中的服务,该电子设备可以是服务器集群中的中心设备,可管理各用户终端;此外,L01-L08所标识的服务还可以是部署于服务器集群中任意一个或多个设备中的服务,例如,一个服务可对应一个服务器设备,各服务器设备都可向服务器集群中的中心设备上报监控的信息,以便中心设备进行信息关联。图3中,基于L01-L08中各服务产生的信息入库,例如存储于本公开实施例的电子设备的数据库M1中,以便电子设备进行关联分析,并将分析结果存储于数据库M2中以便显示设备M3将分析结果展示。其中M1和M2可为同一数据库,例如均为ElasticSearch数据库,M3可为连接电子设备的其他显示设备,也可为电子设备本身,本公开实施例不做限制。
图4是本公开实施例示出的一种信息获取装置图。参照图4,所述装置包括:
获取模块101,配置为获取恶意软件的信息列表、以及关联各用户终端的管理日志;其中,所述信息列表中至少包括恶意软件的标识信息;
匹配模块102,配置为将所述信息列表中所述恶意软件的标识信息与所述管理日志中的信息进行匹配;
第一确定模块103,配置为响应于所述管理日志中包括与所述恶意软件的标识信息匹配一致的信息,基于所述管理日志在各用户终端中确定出关联所述恶意软件的目标用户终端的信息。
在一些实施例中,所述管理日志包括:网络行为管理日志以及设备管理日志;
所述匹配模块102,还配置为将所述信息列表中所述恶意软件的标识信息与所述网络行为管理日志中的信息进行匹配;
所述第一确定模块103,还配置为响应于所述网络行为管理日志中包括与所述恶意软件的标识信息匹配一致的信息,基于所述恶意软件的标识信息在所述网络行为管理日志中确定出关联所述恶意软件的目标用户终端的第一信息;基于所述第一信息,在所述设备管理日志中确定出所述目标用户终端的第二信息。
在一些实施例中,所述恶意软件的标识信息包括:访问地址标识,所述网络行为管理日志包括以下至少之一:访问域名DNS解析日志、防火墙流量日志、用户上网行为日志;
所述第一确定模块103,还配置为响应于所述DNS解析日志或所述防火墙流量日志中包括与所述恶意软件的访问地址标识匹配一致的信息,在所述匹配一致的信息所属日志中确定出访问所述恶意软件的目标用户终端的源IP;或,响应于所述用户上网行为日志中包括与所述恶意软件的访问地址标识匹配一致的信息,在所述匹配一致的信息所属日志中确定出访问所述恶意软件的目标用户终端对应的用户标识。
在一些实施例中,所述恶意软件的标识信息包括:软件名称和软件版本号;所述网络行为管理日志包括:软件安装日志;
所述第一确定模块103,还配置为响应于所述软件安装日志中包括与所述恶意软件的软件名称和软件版本号匹配一致的信息,在所述匹配一致的信息所属日志中确定出安装所述恶意软件的目标用户终端的设备标识,以及安装所述恶意软件的目标用户终端对应的用户标识。
在一些实施例中,所述设备管理日志包括以下至少之一:动态主机配置协议DHCP日志、网络管理日志、设备资产日志;
所述第一确定模块103,还配置为响应于所述第一信息包括所述目标用户终端的源IP,在所述DHCP日志或所述网络管理日志中确定出所述目标用户终端的设备标识;或,响应于所述第一信息包括所述目标用户终端的源IP,在所述设备资产日志中确定出所述目标用户终端的资产配置信息。
在一些实施例中,所述网络行为管理日志、以及所述设备管理日志中包括时间戳;
所述第一确定模块103,还配置为基于所述第一信息以及所述第一信息对应的时间戳,在所述设备管理日志中确定出所述目标用户终端的第二信息;其中,所述第二信息对应的时间戳与所述第一信息对应的时间戳在同一时间范围内。
在一些实施例中,所述装置还包括:
第二确定模块104,配置为在所述网络行为管理日志包括多个日志的情况下,根据所述恶意软件的标识信息与所述多个日志中的信息匹配的日志数量,确定所述目标用户终端的告警等级;生成至少包括所述恶意软件的标识信息、所述目标用户终端的信息以及所述告警等级的告警信息。
在一些实施例中,所述告警信息,还包括:所述恶意软件的标识信息的标识类型、以及在所述网络行为管理日志中匹配获得所述第一信息的日志类型。
在一些实施例中,所述信息列表中还包括恶意软件的等级信息;
所述匹配模块102,还配置为在所述恶意软件的等级信息满足预设等级阈值的情况下,将所述恶意软件的标识信息与所述管理日志中的信息进行匹配。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
图5为本公开实施例中一种电子设备的硬件实体示意图,如图5所示,该信息获取装置1000的硬件实体包括:处理器1001、通信接口1002和存储器1003,其中:
处理器1001通常控制信息获取装置1000的总体操作。
通信接口1002可以使信息获取装置1000通过网络与其他终端或服务器通信。
存储器1003配置为存储由处理器1001可执行的指令和应用,还可以缓存待处理器1001以及信息获取装置1000中各模块待处理或已经处理的数据(例如,图像数据、音频数据、语音通信数据和视频通信数据),可以通过闪存(FLASH)或随机访问存储器(RandomAccess Memory,RAM)实现。处理器1001、通信接口1002和存储器1003之间可以通过总线1004进行数据传输。其中,处理器1001用于执行上述方法中的部分或全部步骤。
对应地,本公开实施例提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时,实现上述方法中的部分或全部步骤。
这里需要指出的是:以上存储介质和设备实施例的描述,与上述方法实施例的描述是类似的,具有同方法实施例相似的有益效果。对于本公开存储介质和设备实施例中未披露的技术细节,请参照本公开方法实施例的描述而理解。
应理解,在本公开的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本公开实施例的实施过程构成任何限定。上述本公开实施例序号仅仅为了描述,不代表实施例的优劣。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
在本公开所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元;既可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本公开各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、只读存储器(Read Only Memory,ROM)、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本公开上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本公开的技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本公开各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本公开的实施例而已,并非用于限定本公开的保护范围。凡在本公开的精神和范围之内所作的任何修改、等同替换和改进等,均包含在本公开的保护范围之内。
Claims (12)
1.一种信息获取方法,其特征在于,所述方法包括:
获取恶意软件的信息列表、以及关联各用户终端的管理日志;其中,所述信息列表中至少包括恶意软件的标识信息;
将所述信息列表中所述恶意软件的标识信息与所述管理日志中的信息进行匹配;
响应于所述管理日志中包括与所述恶意软件的标识信息匹配一致的信息,基于所述管理日志在各用户终端中确定出关联所述恶意软件的目标用户终端的信息。
2.根据权利要求1所述的方法,其特征在于,所述管理日志包括:网络行为管理日志以及设备管理日志;
所述将所述信息列表中所述恶意软件的标识信息与所述管理日志中的信息进行匹配,包括:
将所述信息列表中所述恶意软件的标识信息与所述网络行为管理日志中的信息进行匹配;
所述响应于所述管理日志中包括与所述恶意软件的标识信息匹配一致的信息,基于所述管理日志在各用户终端中确定出关联所述恶意软件的目标用户终端的信息,包括:
响应于所述网络行为管理日志中包括与所述恶意软件的标识信息匹配一致的信息,基于所述恶意软件的标识信息在所述网络行为管理日志中确定出关联所述恶意软件的目标用户终端的第一信息;
基于所述第一信息,在所述设备管理日志中确定出所述目标用户终端的第二信息。
3.根据权利要求2所述的方法,其特征在于,所述恶意软件的标识信息包括:访问地址标识,所述网络行为管理日志包括以下至少之一:访问域名DNS解析日志、防火墙流量日志、用户上网行为日志;
所述响应于所述网络行为管理日志中包括与所述恶意软件的标识信息匹配一致的信息,基于所述恶意软件的标识信息在所述网络行为管理日志中确定出关联所述恶意软件的目标用户终端的第一信息,包括:
响应于所述DNS解析日志或所述防火墙流量日志中包括与所述恶意软件的访问地址标识匹配一致的信息,在所述匹配一致的信息所属日志中确定出访问所述恶意软件的目标用户终端的源IP;
或,
响应于所述用户上网行为日志中包括与所述恶意软件的访问地址标识匹配一致的信息,在所述匹配一致的信息所属日志中确定出访问所述恶意软件的目标用户终端对应的用户标识。
4.根据权利要求2所述的方法,其特征在于,所述恶意软件的标识信息包括:软件名称和软件版本号;所述网络行为管理日志包括:软件安装日志;
所述响应于所述网络行为管理日志中包括与所述恶意软件的标识信息匹配一致的信息,基于所述恶意软件的标识信息在所述网络行为管理日志中确定出关联所述恶意软件的目标用户终端的第一信息,包括:
响应于所述软件安装日志中包括与所述恶意软件的软件名称和软件版本号匹配一致的信息,在所述匹配一致的信息所属日志中确定出安装所述恶意软件的目标用户终端的设备标识,以及安装所述恶意软件的目标用户终端对应的用户标识。
5.根据权利要求2所述的方法,其特征在于,所述设备管理日志包括以下至少之一:动态主机配置协议DHCP日志、网络管理日志、设备资产日志;
所述基于所述第一信息,在所述设备管理日志中确定出所述目标用户终端的第二信息,包括:
响应于所述第一信息包括所述目标用户终端的源IP,在所述DHCP日志或所述网络管理日志中确定出所述目标用户终端的设备标识;
或,
响应于所述第一信息包括所述目标用户终端的源IP,在所述设备资产日志中确定出所述目标用户终端的资产配置信息。
6.根据权利要求2所述的方法,其特征在于,所述网络行为管理日志、以及所述设备管理日志中包括时间戳;
所述基于所述第一信息,在所述设备管理日志中确定出关联所述目标用户终端的第二信息,包括:
基于所述第一信息以及所述第一信息对应的时间戳,在所述设备管理日志中确定出所述目标用户终端的第二信息;其中,所述第二信息对应的时间戳与所述第一信息对应的时间戳在同一时间范围内。
7.根据权利要求2所述的方法,其特征在于,所述方法还包括:
在所述网络行为管理日志包括多个日志的情况下,根据所述恶意软件的标识信息与所述多个日志中的信息匹配的日志数量,确定所述目标用户终端的告警等级;
生成至少包括所述恶意软件的标识信息、所述目标用户终端的信息以及所述告警等级的告警信息。
8.根据权利要求7所述的方法,其特征在于,所述告警信息,还包括:所述恶意软件的标识信息的标识类型、以及在所述网络行为管理日志中匹配获得的所述第一信息的日志类型。
9.根据权利要求1所述的方法,其特征在于,所述信息列表中还包括恶意软件的等级信息;
所述将所述信息列表中所述恶意软件的标识信息与所述管理日志中的信息进行匹配,包括:
在所述恶意软件的等级信息满足预设等级阈值的情况下,将所述恶意软件的标识信息与所述管理日志中的信息进行匹配。
10.一种信息获取装置,其特征在于,所述装置包括:
第一获取模块,配置为获取恶意软件的信息列表、以及关联各用户终端的管理日志;其中,所述信息列表中至少包括恶意软件的标识信息;
匹配模块,配置为将所述信息列表中所述恶意软件的标识信息与所述管理日志中的信息进行匹配;
第一确定模块,配置为响应于所述管理日志中包括与所述恶意软件的标识信息匹配一致的信息,基于所述管理日志在各用户终端中确定出关联所述恶意软件的目标用户终端的信息。
11.一种电子设备,其特征在于,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为执行如权利要求1至9中任一项所述的方法。
12.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至9中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310889596.4A CN117056920A (zh) | 2023-07-19 | 2023-07-19 | 信息获取方法及装置、电子设备、存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310889596.4A CN117056920A (zh) | 2023-07-19 | 2023-07-19 | 信息获取方法及装置、电子设备、存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117056920A true CN117056920A (zh) | 2023-11-14 |
Family
ID=88659817
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310889596.4A Pending CN117056920A (zh) | 2023-07-19 | 2023-07-19 | 信息获取方法及装置、电子设备、存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117056920A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117395082A (zh) * | 2023-12-11 | 2024-01-12 | 深圳市移卡科技有限公司 | 业务处理方法、电子设备及存储介质 |
-
2023
- 2023-07-19 CN CN202310889596.4A patent/CN117056920A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117395082A (zh) * | 2023-12-11 | 2024-01-12 | 深圳市移卡科技有限公司 | 业务处理方法、电子设备及存储介质 |
CN117395082B (zh) * | 2023-12-11 | 2024-03-22 | 深圳市移卡科技有限公司 | 业务处理方法、电子设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109165136B (zh) | 终端运行数据的监控方法、终端设备及介质 | |
CN110427323B (zh) | 一种应用测试方法、装置、代理服务器和系统 | |
CN101345643B (zh) | 对网络设备进行预警的方法及装置 | |
CN114598525A (zh) | 一种针对网络攻击的ip自动封禁的方法和装置 | |
EP2532121A1 (en) | Using aggregated dns information originating from multiple sources to detect anomalous dns name resolutions | |
CN113424157A (zh) | IoT设备行为的多维周期性检测 | |
CN117056920A (zh) | 信息获取方法及装置、电子设备、存储介质 | |
CN110943984B (zh) | 一种资产安全保护方法及装置 | |
GB2519790A (en) | Configuration of network devices | |
US20240022590A1 (en) | Vulnerability scanning of a remote file system | |
CN111353136B (zh) | 一种操作请求的处理方法和装置 | |
CN114143171B (zh) | 一种基于tr069协议的告警根源定位方法及系统 | |
US20190334936A1 (en) | Malicious website discovery using web analytics identifiers | |
CN112804369A (zh) | 一种网络系统及网络访问安全检测方法、装置和相关设备 | |
CN104468207A (zh) | 终端管理的方法、装置及系统 | |
CN113536304A (zh) | 一种基于运维审计系统的防绕行方法及设备 | |
JP2020004006A (ja) | 脆弱性管理装置、脆弱性管理方法及びプログラム | |
RU2008121872A (ru) | Ближайший узел для соединений распределенных служб | |
KR20190106103A (ko) | 신규 정보보안 취약점 선제 대응 시스템 및 방법 | |
KR100655492B1 (ko) | 검색엔진을 이용한 웹서버 취약점 점검 시스템 및 방법 | |
US20180351978A1 (en) | Correlating user information to a tracked event | |
CN113347239B (zh) | 通信请求处理方法、装置、系统、电子设备及存储介质 | |
CN111510429B (zh) | 一种安卓系统应用推广中流量劫持的分析检测方法及系统 | |
CN113225404A (zh) | 一种用于监控dns配置变更生效的方法与设备 | |
CN114374534B (zh) | 测试样本集的更新方法、装置及电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |