CN117692229A - 系统事件的处理方法、装置、电子设备及存储介质 - Google Patents
系统事件的处理方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN117692229A CN117692229A CN202311744688.XA CN202311744688A CN117692229A CN 117692229 A CN117692229 A CN 117692229A CN 202311744688 A CN202311744688 A CN 202311744688A CN 117692229 A CN117692229 A CN 117692229A
- Authority
- CN
- China
- Prior art keywords
- event
- login
- target
- events
- feature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000003672 processing method Methods 0.000 title abstract description 13
- 238000000034 method Methods 0.000 claims abstract description 58
- 230000002159 abnormal effect Effects 0.000 claims abstract description 29
- 238000000605 extraction Methods 0.000 claims abstract description 21
- 238000012545 processing Methods 0.000 claims description 73
- 230000008569 process Effects 0.000 claims description 26
- 230000005540 biological transmission Effects 0.000 claims description 25
- 230000000903 blocking effect Effects 0.000 claims description 22
- 238000004590 computer program Methods 0.000 claims description 6
- 230000002452 interceptive effect Effects 0.000 claims description 5
- 238000004321 preservation Methods 0.000 claims description 3
- 230000004044 response Effects 0.000 claims description 3
- 238000004458 analytical method Methods 0.000 abstract description 17
- 238000012546 transfer Methods 0.000 abstract description 6
- 230000006399 behavior Effects 0.000 description 14
- 238000005336 cracking Methods 0.000 description 12
- 238000010586 diagram Methods 0.000 description 6
- 230000000694 effects Effects 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 235000010627 Phaseolus vulgaris Nutrition 0.000 description 2
- 244000046052 Phaseolus vulgaris Species 0.000 description 2
- 230000008878 coupling Effects 0.000 description 2
- 238000010168 coupling process Methods 0.000 description 2
- 238000005859 coupling reaction Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
本申请公开了一种系统事件的处理方法、装置、电子设备及存储介质。其中,该方法包括:从N个系统事件中确定M个系统登录事件;对M个系统登录事件进行特征提取操作,得到M个系统登录事件中的每个系统登录事件对应的多个事件特征,其中,多个事件特征用于确定每个系统登录事件对应的登录应用、登录IP、登录用户名以及登录结果;根据每个系统登录事件对应的多个事件特征确定目标IP和操作系统中的目标应用,其中,目标IP为在预设时间段内登录目标应用的失败次数大于预设阈值的IP;禁止目标IP与目标应用之间的流量传输。本申请解决了现有技术中由于对系统事件的事件特征分析不够全面导致的对于异常登录行为识别准确率较低的技术问题。
Description
技术领域
本申请涉及信息安全领域及其他相关技术领域,具体而言,涉及一种系统事件的处理方法、装置、电子设备及存储介质。
背景技术
暴力破解攻击是指攻击者使用程序或工具,通过尝试大量的用户名和密码组合,以猜测和破解目标账户的登录凭证为目的,从而获取非法访问权限或窃取敏感信息。暴力破解攻击通常采用的是穷举法,即尝试所有可能的用户名和密码组合,直到找到正确的登录凭证为止。其中,攻击者通常会使用特定的工具或脚本,自动化地进行大量的尝试,同时采用一些常见的用户名和密码组合,例如“admin/admin”、“root/12345”等,以此来提高攻击的成功率。此外,攻击者还可以通过字典攻击等技术,使用字典文件中的常用密码进行尝试,从而提高攻击的效率和成功率。
暴力破解攻击可以针对各种类型的系统和应用,例如操作系统、电子邮件、文件传输协议(File Transfer Protocol,FTP)应用、数据库等等。攻击者通常会选择目标系统或应用的弱密码进行攻击,从而获取非法访问权限或窃取敏感信息。
其中,现有技术中在识别暴力破解攻击等异常登录行为时,主要是依据安全事件的登录IP地址、端口号和登录事件ID进行识别,这种识别方式受限于安全事件的来源单一,提取到的事件特征较少,从而导致了对于异常登录行为识别准确率较低的问题。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本申请提供了一种系统事件的处理方法、装置、电子设备及存储介质,以至少解决现有技术中由于对系统事件的事件特征分析不够全面导致的对于异常登录行为识别准确率较低的技术问题。
根据本申请的一个方面,提供了一种系统事件的处理方法,包括:从N个系统事件中确定M个系统登录事件,其中,N个系统事件为操作系统运行过程生成的日志事件,M个系统登录事件为操作系统中的软件应用对应的登录日志事件,N和M均为大于1的整数,并且M小于或等于N;对M个系统登录事件进行特征提取操作,得到M个系统登录事件中的每个系统登录事件对应的多个事件特征,其中,多个事件特征用于确定每个系统登录事件对应的登录应用、登录IP、登录用户名以及登录结果;根据每个系统登录事件对应的多个事件特征确定目标IP和操作系统中的目标应用,其中,目标IP为在预设时间段内登录目标应用的失败次数大于预设阈值的IP;禁止目标IP与目标应用之间的流量传输。
可选地,系统事件的处理方法还包括:通过目标策略从N个系统事件中确定M个系统登录事件,其中,目标策略为以下至少之一:第一策略,用于依据每个系统事件对应的通道标识从N个系统事件中确定M个系统登录事件,其中,每个系统事件对应的通道标识用于表征该系统事件的来源通道,M个系统登录事件对应的通道标识为预设通道标识;第二策略,用于依据每个系统事件的事件标识从N个系统事件中确定M个系统登录事件,其中,每个系统事件的事件标识用于表征该系统事件的事件类型,M个系统登录事件对应的事件标识为预设事件标识;第三策略,用于依据目标关键词从N个系统事件中确定M个系统登录事件,其中,M个系统登录事件中的每个系统登录事件为包含目标关键词的系统事件。
可选地,系统事件的处理方法还包括:从M个系统登录事件中的每个系统登录事件的目标字段中获取该系统登录事件的第一特征和第二特征,其中,第一特征表征该系统登录事件对应的登录IP,第二特征表征该系统登录事件对应的登录用户名;根据每个系统登录事件的事件标识和状态值信息确定该系统登录事件的第三特征,其中,第三特征用于表征该系统登录事件对应的登录结果,登录结果用于表征该系统登录事件是否登陆成功以及在该系统登录事件登录失败时的失败原因,状态值信息通过不同的数值表征不同的登录失败原因;根据操作系统的系统版本确定第四特征的选取策略,其中,第四特征用于确定每个系统登录事件对应的登录应用,操作系统在不同的系统版本下对应的第四特征的选取策略不同;依据选取策略从每个系统登录事件的事件信息中获取该系统登录事件的第四特征;将每个系统登录事件对应的第一特征、第二特征、第三特征以及第四特征作为该系统登录事件对应的多个事件特征。
可选地,系统事件的处理方法还包括:根据每个系统登录事件的第三特征从M个系统登录事件中确定X个待确认事件,其中,X个待确认事件的登录结果信息均为登录失败,X为大于1的整数;获取X个待确认事件中的每个待确认事件的生成时间;根据每个待确认事件的生成时间、第四特征以及第一特征从X个待确认事件中确定Y个异常事件,其中,Y为大于预设阈值的整数,Y个异常事件的生成时间均在预设时间段内,并且Y个异常事件对应的登录IP相同;将Y个异常事件对应的登录IP作为目标IP;将Y个异常事件对应的登录应用作为目标应用。
可选地,系统事件的处理方法还包括:将目标IP记录在目标缓存区域中;在目标应用对应的服务端与目标IP对应的终端设备建立流量连接的情况下,从目标缓存区域中读取目标IP,并禁止目标IP对应的终端设备与目标应用对应的服务端之间进行流量传输。
可选地,系统事件的处理方法还包括:在将目标IP记录在目标缓存区域中之后,响应于第一操作指令,将目标IP从目标缓存区域中删除,其中,第一操作指令为目标对象通过交互界面输入的用于管理IP地址的指令;在目标IP从目标缓存区域中删除之后,停止对目标IP对应的终端设备与目标应用对应的服务端之间的流量传输阻断操作。
可选地,系统事件的处理方法还包括:在将目标IP记录在目标缓存区域中之后,检测目标IP在目标缓存区域中的保存时长是否大于预设时长;在目标IP在目标缓存区域中的保存时长大于预设时长的情况下,将目标IP从目标缓存区域中删除;在目标IP从目标缓存区域中删除之后,停止对目标IP对应的终端设备与目标应用对应的服务端之间的流量传输阻断操作;在目标IP在目标缓存区域中的保存时长小于或等于预设时长的情况下,将目标IP保留在目标缓存区域中。
根据本申请的另一方面,还提供了一种系统事件的处理装置,其中,该装置包括:第一确定单元,用于从N个系统事件中确定M个系统登录事件,其中,N个系统事件为操作系统运行过程生成的日志事件,M个系统登录事件为操作系统中的软件应用对应的登录日志事件,N和M均为大于1的整数,并且M小于或等于N;特征提取单元,用于对M个系统登录事件进行特征提取操作,得到M个系统登录事件中的每个系统登录事件对应的多个事件特征,其中,多个事件特征用于确定每个系统登录事件对应的登录应用、登录IP、登录用户名以及登录结果;第二确定单元,用于根据每个系统登录事件对应的多个事件特征确定目标IP和操作系统中的目标应用,其中,目标IP为在预设时间段内登录目标应用的失败次数大于预设阈值的IP;处理单元,用于禁止目标IP与目标应用之间的流量传输。
根据本申请的另一方面,还提供了一种计算机可读存储介质,其中,计算机可读存储介质中存储有计算机程序,其中,在计算机程序运行时控制计算机可读存储介质所在设备执行上述任意一项的系统事件的处理方法。
根据本申请的另一方面,还提供了一种电子设备,其中,电子设备包括一个或多个处理器和存储器,存储器用于存储一个或多个程序,其中,当一个或多个程序被一个或多个处理器执行时,使得一个或多个处理器实现上述任意一项的系统事件的处理方法。
在本申请中,采用根据每个系统登录事件对应的多个事件特征确定目标IP和操作系统中的目标应用的方式,首先从N个系统事件中确定M个系统登录事件,其中,N个系统事件为操作系统运行过程生成的日志事件,M个系统登录事件为操作系统中的软件应用对应的登录日志事件,N和M均为大于1的整数,并且M小于或等于N。然后,对M个系统登录事件进行特征提取操作,得到M个系统登录事件中的每个系统登录事件对应的多个事件特征,其中,多个事件特征用于确定每个系统登录事件对应的登录应用、登录IP、登录用户名以及登录结果。随后,根据每个系统登录事件对应的多个事件特征确定目标IP和操作系统中的目标应用,其中,目标IP为在预设时间段内登录目标应用的失败次数大于预设阈值的IP。最后,禁止目标IP与目标应用之间的流量传输。
由上述内容可知,本申请首先从N个系统事件中确定M个系统登录事件,从而可以在开启系统事件分析之前,预先过滤掉非系统登录事件,实现高效快速地获取登录事件的目的。然后本申请对M个系统登录事件进行特征提取操作,得到M个系统登录事件中的每个系统登录事件对应的多个事件特征,其中,多个事件特征用于确定每个系统登录事件对应的登录应用、登录IP、登录用户名以及登录结果,相比于现有技术,本申请除了获取到登录IP地址之外,还获取有登录应用、登录用户名以及登录结果等事件特征,从而增加了事件特征的全面性,有利于后续更准确地分析是否存在异常登录行为。最后,本申请根据每个系统登录事件对应的多个事件特征确定目标IP和操作系统中的目标应用,并禁止目标IP与目标应用之间的流量传输,其中,目标IP为在预设时间段内登录目标应用的失败次数大于预设阈值的IP,从而及时有效地阻断了目标IP对目标应用的异常登录行为,避免信息泄露风险。
由此可见,通过本申请的技术方案,达到了多维度分析系统登录事件的目的,从而实现了提高系统登录事件分析准确性的技术效果,进而解决了现有技术中由于对系统事件的事件特征分析不够全面导致的对于异常登录行为识别准确率较低的技术问题。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例的一种可选的系统事件的处理方法的流程图;
图2是根据本申请实施例的一种可选的事件特征的确定方法的流程图;
图3是根据本申请实施例的一种确定目标IP和目标应用的流程图;
图4是根据本申请实施例的一种暴力破解事件识别方法的示意图;
图5是根据本申请实施例的一种可选的处理系统的示意图;
图6是根据本申请实施例的一种可选的系统事件的处理装置的示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
还需要说明的是,本申请所涉及的相关信息和数据(包括但不限于用于展示的数据以及分析的数据等),均为经用户授权或者经过各方充分授权的信息和数据。例如,本系统和相关用户或机构间设置有接口,在获取相关信息之前,需要通过接口向前述的用户或机构发送获取请求,并在接收到前述的用户或机构反馈的同意信息后,获取相关信息。
下面结合各实施例来进一步说明本申请。
实施例1
根据本申请实施例,提供了一种系统事件的处理方法的实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图1是根据本申请实施例的一种可选的系统事件的处理方法的流程图,如图1所示,该方法包括如下步骤:
步骤S101,从N个系统事件中确定M个系统登录事件。
在步骤S101中,N个系统事件为操作系统运行过程生成的日志事件,M个系统登录事件为操作系统中的软件应用对应的登录日志事件,N和M均为大于1的整数,并且M小于或等于N。
在一种可选的实施例中,一种系统事件处理系统(以下简称为处理系统)可以作为本申请实施例中的系统事件的处理方法的执行主体,其中,处理系统可以是一种软件系统,也可以是一种软硬件相结合的嵌入式系统。
可选地,处理系统可以运行在终端设备上,其中,终端设备为安装有操作系统的计算机设备,例如,安装了windows操作系统的32位/64位计算机设备。
其中,处理系统可以获取终端设备上产生的N个系统事件,其中,N个系统事件可以分为系统登录事件和非系统登录事件,其中,系统登录事件为操作系统中的软件应用对应的登录日志事件,例如,登录操作系统中的软件应用A所产生的登录日志事件,登录操作系统中的软件应用B所产生的登录日志事件。
可选地,本申请可以通过预设策略从N个系统事件中确定M个系统登录事件。
步骤S102,对M个系统登录事件进行特征提取操作,得到M个系统登录事件中的每个系统登录事件对应的多个事件特征。
在步骤S102中,多个事件特征用于确定每个系统登录事件对应的登录应用、登录IP、登录用户名以及登录结果。
在一些示例中,所述系统登录事件对应的多个事件特征包括;
第一特征,用于表征所述系统登录事件对应的登录IP;
第二特征,用于表征所述系统登录事件对应的登录用户名;
第三特征,用于表征所述系统登录事件对应的登录结果,所述登录结果用于表征该系统登录事件是否登陆成功以及在该系统登录事件登录失败时的失败原因,所述状态值信息通过不同的数值表征不同的登录失败原因;
第四特征,用于确定所述系统登录事件对应的登录应用,所述操作系统在不同的系统版本下对应的所述第四特征的选取策略不同。
可选地,特征提取操作包括但不限于语义特征提取操作、关键词特征提取操作,在不同的操作系统的版本下,特征提取操作所要提取的特征信息也会有所不同。
例如,可以从系统登录事件的目标字段中获取该系统登录事件的第一特征和第二特征。
例如,可以根据系统登录事件的事件标识和状态值信息确定该系统登录事件的第三特征。
例如,可以根据所述操作系统的系统版本确定第四特征的选取策略,依据所述选取策略从所述系统登录事件的事件信息中获取该系统登录事件的第四特征。
步骤S103,根据每个系统登录事件对应的多个事件特征确定目标IP和操作系统中的目标应用。
在步骤S103中,目标IP为在预设时间段内登录目标应用的失败次数大于预设阈值的IP。
可选地,由于目标IP为在预设时间段内登录目标应用的失败次数大于预设阈值的IP,因此,可以视为目标IP在对目标应用实施暴力破解攻击行为。
步骤S104,禁止目标IP与目标应用之间的流量传输。
可选地,在步骤S104中,处理系统可以通过在目标IP和目标应用之间实施流量阻断操作,从而禁止目标IP与目标应用之间的流量传输,进而抑制了目标IP对目标应用继续实施暴力破解攻击行为。
基于上述步骤S101至步骤S104的内容可知,在本申请中,采用根据每个系统登录事件对应的多个事件特征确定目标IP和操作系统中的目标应用的方式,首先从N个系统事件中确定M个系统登录事件,其中,N个系统事件为操作系统运行过程生成的日志事件,M个系统登录事件为操作系统中的软件应用对应的登录日志事件,N和M均为大于1的整数,并且M小于或等于N。然后,对M个系统登录事件进行特征提取操作,得到M个系统登录事件中的每个系统登录事件对应的多个事件特征,其中,多个事件特征用于确定每个系统登录事件对应的登录应用、登录IP、登录用户名以及登录结果。随后,根据每个系统登录事件对应的多个事件特征确定目标IP和操作系统中的目标应用,其中,目标IP为在预设时间段内登录目标应用的失败次数大于预设阈值的IP。最后,禁止目标IP与目标应用之间的流量传输。
由上述内容可知,本申请首先从N个系统事件中确定M个系统登录事件,从而可以在开启系统事件分析之前,预先过滤掉非系统登录事件,实现高效快速地获取登录事件的目的。然后本申请对M个系统登录事件进行特征提取操作,得到M个系统登录事件中的每个系统登录事件对应的多个事件特征,其中,多个事件特征用于确定每个系统登录事件对应的登录应用、登录IP、登录用户名以及登录结果,相比于现有技术,本申请除了获取到登录IP地址之外,还获取有登录应用、登录用户名以及登录结果等事件特征,从而增加了事件特征的全面性,有利于后续更准确地分析是否存在异常登录行为。最后,本申请根据每个系统登录事件对应的多个事件特征确定目标IP和操作系统中的目标应用,并禁止目标IP与目标应用之间的流量传输,其中,目标IP为在预设时间段内登录目标应用的失败次数大于预设阈值的IP,从而及时有效地阻断了目标IP对目标应用的异常登录行为,避免信息泄露风险。
由此可见,通过本申请的技术方案,达到了多维度分析系统登录事件的目的,从而实现了提高系统登录事件分析准确性的技术效果,进而解决了现有技术中由于对系统事件的事件特征分析不够全面导致的对于异常登录行为识别准确率较低的技术问题。
在一种可选的实施例中,处理系统可以通过目标策略从N个系统事件中确定M个系统登录事件,其中,目标策略为以下至少之一:
第一策略,用于依据每个系统事件对应的通道标识从N个系统事件中确定M个系统登录事件,其中,每个系统事件对应的通道标识用于表征该系统事件的来源通道,M个系统登录事件对应的通道标识为预设通道标识;第二策略,用于依据每个系统事件的事件标识从N个系统事件中确定M个系统登录事件,其中,每个系统事件的事件标识用于表征该系统事件的事件类型,M个系统登录事件对应的事件标识为预设事件标识;第三策略,用于依据目标关键词从N个系统事件中确定M个系统登录事件,其中,M个系统登录事件中的每个系统登录事件为包含目标关键词的系统事件。
可选地,处理系统可以通过Beats进程从N个系统事件中确定M个系统登录事件,其中,Beats进程指的是beats轻量级文件监控组件以及对指定的系统事件进行处理的流水线进程。
可选地,处理系统可以通过向beats进程中的winlogbeats子进程输入需要采集的系统事件来源以及采集时对应的配置文件,以用于监听系统事件以及过滤得到系统登录事件。其中,配置文件可以设置为YAML(Yet Another Markup Language,是一种轻量级的数据序列化语言)格式。Winlogbeats可用于收集windows的系统事件日志。
可选地,配置文件中的关键配置内容如下:
1、Name(事件通道名),例如,事件通道名可以是security,代表配置了对security这一事件通道的系统事件监听。
2、Event_id(事件标识),用于表征事件通道中的系统事件对应的ID标号,不同的事件标识代表不同的事件,例如,事件标识4624表示登录成功的系统登录事件,4625表示登录失败的系统登录事件。需要说明的是,对于不同的软件应用,其event_id是有差异的。
3、Processors(事件处理规则),用于表示beats进程中配置的对系统事件的处理规则,包括但不限于简单的复制字段、添加字段等处理规则。
4、Field(目标关键词),用于实现根据目标关键词识别系统登录事件。
需要说明的是,对于winlog_beats.yaml这个配置文件,可以通过配置Event_id(事件标识)来确定需要收集哪些系统事件,还可以通过配置Field(目标关键词)来配置过滤关键词,使非系统登录事件被预过滤掉或者只允许包括目标关键词的系统登录事件通过。
可选地,对应于第一策略,处理系统可以通过配置Name(事件通道名),依据每个系统事件对应的通道标识从N个系统事件中确定M个系统登录事件,其中,每个系统事件对应的通道标识用于表征该系统事件的来源通道,M个系统登录事件对应的通道标识为预设通道标识(例如,security事件通道标识)。
可选地,对应于第二策略,处理系统可以通过配置Event_id(事件标识),依据每个系统事件的事件标识从N个系统事件中确定M个系统登录事件,其中,每个系统事件的事件标识用于表征该系统事件的事件类型,M个系统登录事件对应的事件标识为预设事件标识(例如,事件标识4624和事件标识4625)。
可选地,对应于第三策略,处理系统可以通过配置Field(目标关键词),依据目标关键词从N个系统事件中确定M个系统登录事件,其中,M个系统登录事件中的每个系统登录事件为包含目标关键词的系统事件。例如,目标关键词可以是“登录”。
在一种可选的实施例中,图2是根据本申请实施例的一种可选的事件特征的确定方法的流程图,如图2所示,包括如下步骤:
步骤S201,从M个系统登录事件中的每个系统登录事件的目标字段中获取该系统登录事件的第一特征和第二特征。
在步骤S201中,第一特征表征该系统登录事件对应的登录IP,第二特征表征该系统登录事件对应的登录用户名。
步骤S202,根据每个系统登录事件的事件标识和状态值信息确定该系统登录事件的第三特征。
在步骤S202中,第三特征用于表征该系统登录事件对应的登录结果,登录结果用于表征该系统登录事件是否登陆成功以及在该系统登录事件登录失败时的失败原因,状态值信息通过不同的数值表征不同的登录失败原因。
步骤S203,根据操作系统的系统版本确定第四特征的选取策略。
在步骤S203中,第四特征用于确定每个系统登录事件对应的登录应用,操作系统在不同的系统版本下对应的第四特征的选取策略不同。
步骤S204,依据选取策略从每个系统登录事件的事件信息中获取该系统登录事件的第四特征。
步骤S205,将每个系统登录事件对应的第一特征、第二特征、第三特征以及第四特征作为该系统登录事件对应的多个事件特征。
可选地,每个系统登录事件以特定的数据结构存储。示例性地,每个系统登录事件的数据结构至少包含9个元素:日期/时间、事件类型、用户、计算机、事件ID、来源、类别、描述、数据。
可选地,表1是从系统登录事件中可以读取到的事件信息:
表1
字段名 | 含义 |
Event_id | 事件标识(也称为事件ID) |
TargetUserName | 目标用户名(也称为登录用户名) |
TargetDomainName | 目标用户域(也称为登录用户域) |
LogonType | 登录类型 |
Status | 状态信息 |
subStatus | 子状态信息 |
LogonProcessName | 登录进程名 |
ProcessId | 进程ID |
ProcessName | 进程名 |
可选地,通过每个系统登录事件对应的表1中的信息,可以分析得到以下特征:第一特征,用于表征系统登录事件对应的登录IP;第二特征,用于表征系统登录事件对应的登录用户名;第三特征,用于表征系统登录事件对应的登录结果,其中,登录结果用于表征系统登录事件是否登陆成功以及在该系统登录事件登录失败时的失败原因,例如,“正确用户名但是密码错误”、“错误的用户名”;第四特征,用于表征/区分系统登录事件对应的登录应用。
可选地,针对于第三特征,也就是对于登录结果的区分,可以利用系统登录事件的事件标识和状态值信息来实现,例如,系统登录事件的事件标识(Event_id)为4625时,通过Status(状态信息)和subStatus(子状态信息,也即上述的状态值信息)进行区分:
(1)如果substatus是0xc0000064的状态值的话,代表登录时使用的用户名不存在;
(2)如果substatus是0xC000006D的状态值的话,代表登录时使用的用户已经损坏,或者是系统文件已经损坏;
(3)如果substatus是0xC000006A的状态值的话,代表登录时使用的用户存在,但是密码拼写错误;
(4)如果substatus是0xC0000072的状态值的话,代表登录时使用的账户已经被管理员禁用。
容易注意到的是,通过区分上述几个常见状态值,可以帮助还原攻击方的信息和行为特征。
可选地,针对于第四特征,也就是对于登录应用的区分,处理系统可以在事件分析中结合LogonProcessName登录进程名、ProcessId进程ID、ProcessName进程名等复合特征以进行分析,对于不同的登陆应用,如openSSH(Open Secure Shell,是使用SSH(远程连接工具)透过计算机网络加密通讯的实现),或者是smb(Server Message Block,信息服务块,它能被用于Web连接和客户端与服务器之间的信息沟通),在不同版本的操作系统上表现出来的第四特征有所区别,如表2所示:
表2
/>
需要说明的是,如果使用一种事件来源,比如security通道作为事件源,在低windows系统版本将会面临winRM应用的登陆事件和OpenSSH的登陆事件特征无法区分和获取的问题,所以通过在适当的版本选取不同的事件源,可以规避因为windows系统特征不全而产生的特征无法区分的问题。
在一种可选的实施例中,图3是根据本申请实施例的一种确定目标IP和目标应用的流程图,如图3所示,包括如下步骤:
步骤S301,根据每个系统登录事件的第三特征从M个系统登录事件中确定X个待确认事件。
在步骤S301中,X个待确认事件的登录结果信息均为登录失败,X为大于1的整数。
步骤S302,获取X个待确认事件中的每个待确认事件的生成时间。
步骤S303,根据每个待确认事件的生成时间、第四特征以及第一特征从X个待确认事件中确定Y个异常事件。
在步骤S303中,Y为大于预设阈值的整数,Y个异常事件的生成时间均在预设时间段内,并且Y个异常事件对应的登录IP相同。
步骤S304,将Y个异常事件对应的登录IP作为目标IP。
步骤S305,将Y个异常事件对应的登录应用作为目标应用。
可选地,识别目标IP和目标应用,也就是识别哪一个IP对哪一个应用实施了暴力破解行为,其中,识别过程需要使用到的配置参数包括:预设时间段,用于在该预设时间段进行IP计数;IP阈值,也即预设阈值,如果超过IP阈值便认定是暴力破解行为,换言之,在预设时间段内,某一个IP对一个应用的登陆行为次数超过了设定的预设阈值,则确定该IP对该应用实施例暴力破解行为。
可选地,图4是根据本申请实施例的一种暴力破解事件识别方法的示意图,如图4所示,在预设时间段内,检测到一个失败的系统登录事件(例如失败事件A),设置记录器A,记录其登陆IP、登录用户名以及登录应用;检测到下一个失败的登录事件(例如失败事件B),和记录器A记录的IP不同,则设置新记录器B;如果和记录器A记录的相同,则记录器A计数加1;循环往复执行,直到记录器A检出的使用单一IP登录的次数超过设定的IP阈值,确定检测到了暴力破解事件。
在一种可选的实施例中,为了禁止目标IP与目标应用之间的流量传输,可以将目标IP记录在目标缓存区域中,并且在目标应用对应的服务端与目标IP对应的终端设备建立流量连接的情况下,从目标缓存区域中读取目标IP,并禁止目标IP对应的终端设备与目标应用对应的服务端之间进行流量传输。
可选地,目标IP对应的流量从客户端被发送到在目标应用的服务端被自动阻断的过程如下:
处理系统提供了需要阻断的目标IP的列表,网络阻断模块将其记录在目标缓存区域中;
目标IP对应的客户端发送一个特殊的请求包(称为SYN包),目的是建立与目标应用对应的服务端之间的连接;
客户端的请求包经过审核模块(例如,FWPM_LAYER_ALE_AUTH_CONNECT_V4),它检查传输层和IP层的相关信息;
请求包通过客户端的传输层和IP层,到达服务端的入方向;
在服务端,请求包再次经过审核模块(例如,FWPM_LAYER_ALE_AUTH_CONNECT_V4)进行检查;
在操作系统上编写驱动,驱动审核模块进行阻断目标IP流量的审核,通过从目标缓存区域获取到目标IP,将目标IP可以作为过滤条件,在审核模块中针对性地执行流量阻断操作,从而阻止与目标IP相关的恶意流量传输。
在一种可选的实施例中,在将目标IP记录在目标缓存区域中之后,响应于第一操作指令,处理系统可以将目标IP从目标缓存区域中删除,其中,第一操作指令为目标对象通过交互界面输入的用于管理IP地址的指令。在目标IP从目标缓存区域中删除之后,处理系统停止对目标IP对应的终端设备与目标应用对应的服务端之间的流量传输阻断操作。
可选地,目标对象可以是运维技术人员,目标对象可以在交互界面中输入第一操作指令,用于将目标IP从目标缓存区域中删除,当目标IP从目标缓存区域中删除之后,处理系统将停止对目标IP对应的终端设备与目标应用对应的服务端之间的流量传输阻断操作。
在另一种可选的实施例中,处理系统可以检测目标IP在目标缓存区域中的保存时长是否大于预设时长,在目标IP在目标缓存区域中的保存时长大于预设时长的情况下,处理系统将目标IP从目标缓存区域中删除;在目标IP从目标缓存区域中删除之后,处理系统停止对目标IP对应的终端设备与目标应用对应的服务端之间的流量传输阻断操作。在目标IP在目标缓存区域中的保存时长小于或等于预设时长的情况下,处理系统将目标IP保留在目标缓存区域中。
需要说明的是,在现有技术中,目前没有对解除拦截流量相关功能的实现,只能等到时间结束才能自动解除拦截,用户能介入和操作的余地较小,灵活性较差。
而在本申请中,用户可以通过删除当前封禁IP以提前终止对封禁IP的流量拦截,也可以设置自动阻断时间以定时自动放开对封禁IP的流量拦截,从而提高了用户操作的灵活性。
在一种可选的实施例中,图5是根据本申请实施例的一种可选的处理系统的示意图,如图5所示,处理系统的beats进程中包括配置管控模块和分析判决模块,其中,配置管控模块用于与目标对象可视化的控制器进行交互,可以从控制器中获取用户配置的配置文件,并且向控制器传输检测到的暴力破解事件。
另外,如图5所示,分析判决模块可以从事件通道中持续实时地监控系统登录事件,通过分析系统登录事件的事件特征,识别到在预设时间段内登录目标应用的失败次数大于预设阈值的目标IP。然后,beats进程将识别到的目标IP传输给终端设备的网络阻断模块,由网络阻断模块实施针对目标IP的流量阻断操作。
需要说明的是,现有技术在获取系统事件通知之后再进行事件特征的提取,并逐条寻找最新事件直到获取最新日志信息,从而存在获取系统事件不及时的安全风险,此外,现有技术的系统事件来源单一,且检出的事件特征和参数较少,能分析得到的攻击特征并不全面。另外,现有技术中对暴力破解行为的拦截方法通常对操作系统自带的防火墙有极高的依赖性,且要求用户必须打开windows防火墙,有一定的局限性;并且要求windows操作系统在今后的版本中不能对入站规则的配置接口有较大改动。此外,现有技术目前没有对解除流量拦截相关功能的实现,只能等到时间结束才能自动解除拦截,用户能介入和操作的余地较小,灵活性较差。
而在本申请实施例中,提供了一种在操作系统上对暴力破解攻击分析、判断、拦截的解决方案,结合多个事件源,准确、快速的获取各类型系统事件,并且在用户可配规则的基础上,对攻击来源进行阻断。相比于现有技术,本申请对登录日志特征的分析将会更加完善,并且可以通过配置多种规则进行预过滤,降低对性能的需求,同时在保持默认配置的情况下,可以显著降低对技术人员技术水平和系统操作水平的依赖,自动化对事件进行检测和处理,并通过页面点击进行事件处理和IP拦截。
综上所述,本申请的技术方案可以至少实现以下技术效果:
1、通过使用更全面的特征分析方法,达到了检出更多的特征和参数的效果,以对暴力破解事件进行佐证,能全面分析攻击特征,避免错报漏报。
2、通过部署beats进程解决了现有技术中读取系统事件依赖轮询的缺点,实时监控最新的系统事件。
3、使用网络阻断模块脱离了对操作系统自带的防火墙的依赖,达到了允许用户无需修改系统环境变量或者手动配置入站规则,并且能自动化执行封禁的最终效果。
4、实现了定时解除或者用户手动操作解除拦截功能的实现,给了用户介入和操作的余地,但是在默认状态下也能自动化执行定时封禁或者永久封禁,灵活性较高。
可选地,本申请实施例的技术方案可以应用于服务器运维人员或个人用户在使用WinServer主机或Windows系统主机的场景,可以用于自动化分析暴力破解事件和阻断暴力破解攻击的场景。例如,windows终端遭受到多个IP的连续暴力破解攻击,攻击速率超过设定的每1秒500条的预设阈值,使用本申请的技术方案可以自动检测并识别到暴力破解攻击行为,并且自动使用网络隔离模块将攻击源IP封禁,保护windows终端的安全性。其中,用户还可以管理已经封禁的IP,进行删除封禁操作将其解封。
实施例2
根据本申请实施例,提供了一种系统事件的处理装置的实施例。图6是根据本申请实施例的一种可选的系统事件的处理装置的示意图,如图6所示,系统事件的处理装置包括:第一确定单元601、特征提取单元602、第二确定单元603以及处理单元604。
其中,第一确定单元601,用于从N个系统事件中确定M个系统登录事件,其中,N个系统事件为操作系统运行过程生成的日志事件,M个系统登录事件为操作系统中的软件应用对应的登录日志事件,N和M均为大于1的整数,并且M小于或等于N;特征提取单元602,用于对M个系统登录事件进行特征提取操作,得到M个系统登录事件中的每个系统登录事件对应的多个事件特征,其中,多个事件特征用于确定每个系统登录事件对应的登录应用、登录IP、登录用户名以及登录结果;第二确定单元603,用于根据每个系统登录事件对应的多个事件特征确定目标IP和操作系统中的目标应用,其中,目标IP为在预设时间段内登录目标应用的失败次数大于预设阈值的IP;处理单元604,用于禁止目标IP与目标应用之间的流量传输。
可选地,第一确定单元601,包括:确定子单元,用于通过目标策略从N个系统事件中确定M个系统登录事件,其中,目标策略为以下至少之一:第一策略,用于依据每个系统事件对应的通道标识从N个系统事件中确定M个系统登录事件,其中,每个系统事件对应的通道标识用于表征该系统事件的来源通道,M个系统登录事件对应的通道标识为预设通道标识;第二策略,用于依据每个系统事件的事件标识从N个系统事件中确定M个系统登录事件,其中,每个系统事件的事件标识用于表征该系统事件的事件类型,M个系统登录事件对应的事件标识为预设事件标识;第三策略,用于依据目标关键词从N个系统事件中确定M个系统登录事件,其中,M个系统登录事件中的每个系统登录事件为包含目标关键词的系统事件。
可选地,特征提取单元602,包括:第一获取子单元、第一确定子单元、第二确定子单元、第二获取子单元以及处理子单元。其中,第一获取子单元,用于从M个系统登录事件中的每个系统登录事件的目标字段中获取该系统登录事件的第一特征和第二特征,其中,第一特征表征该系统登录事件对应的登录IP,第二特征表征该系统登录事件对应的登录用户名;第一确定子单元,用于根据每个系统登录事件的事件标识和状态值信息确定该系统登录事件的第三特征,其中,第三特征用于表征该系统登录事件对应的登录结果,登录结果用于表征该系统登录事件是否登陆成功以及在该系统登录事件登录失败时的失败原因,状态值信息通过不同的数值表征不同的登录失败原因;第二确定子单元,用于根据操作系统的系统版本确定第四特征的选取策略,其中,第四特征用于确定每个系统登录事件对应的登录应用,操作系统在不同的系统版本下对应的第四特征的选取策略不同;第二获取子单元,用于依据选取策略从每个系统登录事件的事件信息中获取该系统登录事件的第四特征;处理子单元,用于将每个系统登录事件对应的第一特征、第二特征、第三特征以及第四特征作为该系统登录事件对应的多个事件特征。
可选地,第二确定单元603,包括:第三确定子单元、第三获取子单元、第四确定子单元、第一处理子单元以及第二处理子单元。其中,第三确定子单元,用于根据每个系统登录事件的第三特征从M个系统登录事件中确定X个待确认事件,其中,X个待确认事件的登录结果信息均为登录失败,X为大于1的整数;第三获取子单元,用于获取X个待确认事件中的每个待确认事件的生成时间;第四确定子单元,用于根据每个待确认事件的生成时间、第四特征以及第一特征从X个待确认事件中确定Y个异常事件,其中,Y为大于预设阈值的整数,Y个异常事件的生成时间均在预设时间段内,并且Y个异常事件对应的登录IP相同;第一处理子单元,用于将Y个异常事件对应的登录IP作为目标IP;第二处理子单元,用于将Y个异常事件对应的登录应用作为目标应用。
可选地,处理单元604,包括:记录子单元和第三处理子单元,其中,记录子单元,用于将目标IP记录在目标缓存区域中;第三处理子单元,用于在目标应用对应的服务端与目标IP对应的终端设备建立流量连接的情况下,从目标缓存区域中读取目标IP,并禁止目标IP对应的终端设备与目标应用对应的服务端之间进行流量传输。
可选地,系统事件的处理装置还包括:删除单元和第一处理单元,其中,删除单元,用于响应于第一操作指令,将目标IP从目标缓存区域中删除,其中,第一操作指令为目标对象通过交互界面输入的用于管理IP地址的指令;第一处理单元,用于在目标IP从目标缓存区域中删除之后,停止对目标IP对应的终端设备与目标应用对应的服务端之间的流量传输阻断操作。
可选地,系统事件的处理装置还包括:检测单元、第一删除单元、第二处理单元以及第三处理单元。其中,检测单元,用于检测目标IP在目标缓存区域中的保存时长是否大于预设时长;第一删除单元,用于在目标IP在目标缓存区域中的保存时长大于预设时长的情况下,将目标IP从目标缓存区域中删除;第二处理单元,用于在目标IP从目标缓存区域中删除之后,停止对目标IP对应的终端设备与目标应用对应的服务端之间的流量传输阻断操作;第三处理单元,用于在目标IP在目标缓存区域中的保存时长小于或等于预设时长的情况下,将目标IP保留在目标缓存区域中。
关于上述实施例中的系统事件的处理装置,其中各个单元执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
实施例3
根据本申请实施例的另一方面,还提供了一种计算机可读存储介质,计算机可读存储介质包括存储的计算机程序,其中,在计算机程序运行时控制计算机可读存储介质所在设备执行上述实施例1中任意一项的系统事件的处理方法。
实施例4
根据本申请实施例的另一方面,还提供了一种电子设备,包括:处理器;以及存储器,用于存储处理器的可执行指令;其中,处理器配置为经由执行可执行指令来执行上述实施例1中任意一项的系统事件的处理方法。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
在本申请的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上仅是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。
Claims (10)
1.一种系统事件的处理方法,其特征在于,包括:
从N个系统事件中确定M个系统登录事件,其中,所述N个系统事件为操作系统运行过程生成的日志事件,所述M个系统登录事件为所述操作系统中的软件应用对应的登录日志事件,N和M均为大于1的整数,并且M小于或等于N;
对所述M个系统登录事件进行特征提取操作,得到所述M个系统登录事件中的每个系统登录事件对应的多个事件特征,其中,所述多个事件特征用于确定所述每个系统登录事件对应的登录应用、登录IP、登录用户名以及登录结果;
根据所述每个系统登录事件对应的多个事件特征确定目标IP和所述操作系统中的目标应用,其中,所述目标IP为在预设时间段内登录所述目标应用的失败次数大于预设阈值的IP;
禁止所述目标IP与所述目标应用之间的流量传输。
2.根据权利要求1所述的系统事件的处理方法,其特征在于,从N个系统事件中确定M个系统登录事件,包括:
通过目标策略从所述N个系统事件中确定所述M个系统登录事件,其中,所述目标策略为以下至少之一:
第一策略,用于依据每个系统事件对应的通道标识从所述N个系统事件中确定所述M个系统登录事件,其中,所述每个系统事件对应的通道标识用于表征该系统事件的来源通道,所述M个系统登录事件对应的通道标识为预设通道标识;
第二策略,用于依据所述每个系统事件的事件标识从所述N个系统事件中确定所述M个系统登录事件,其中,所述每个系统事件的事件标识用于表征该系统事件的事件类型,所述M个系统登录事件对应的事件标识为预设事件标识;
第三策略,用于依据目标关键词从所述N个系统事件中确定所述M个系统登录事件,其中,所述M个系统登录事件中的每个系统登录事件为包含所述目标关键词的系统事件。
3.根据权利要求1或2所述的系统事件的处理方法,其特征在于,对所述M个系统登录事件进行特征提取操作,得到所述M个系统登录事件中的每个系统登录事件对应的多个事件特征,包括:
从所述M个系统登录事件中的每个系统登录事件的目标字段中获取该系统登录事件的第一特征和第二特征,其中,所述第一特征表征该系统登录事件对应的登录IP,所述第二特征表征该系统登录事件对应的登录用户名;
根据所述每个系统登录事件的事件标识和状态值信息确定该系统登录事件的第三特征,其中,所述第三特征用于表征该系统登录事件对应的登录结果,所述登录结果用于表征该系统登录事件是否登陆成功以及在该系统登录事件登录失败时的失败原因,所述状态值信息通过不同的数值表征不同的登录失败原因;
根据所述操作系统的系统版本确定第四特征的选取策略,其中,所述第四特征用于确定所述每个系统登录事件对应的登录应用,所述操作系统在不同的系统版本下对应的第四特征的选取策略不同;
依据所述选取策略从所述每个系统登录事件的事件信息中获取该系统登录事件的第四特征;
将所述每个系统登录事件对应的第一特征、第二特征、第三特征以及第四特征作为该系统登录事件对应的多个事件特征。
4.根据权利要求3所述的系统事件的处理方法,其特征在于,根据所述每个系统登录事件对应的多个事件特征确定目标IP和所述操作系统中的目标应用,包括:
根据所述每个系统登录事件的第三特征从所述M个系统登录事件中确定X个待确认事件,其中,所述X个待确认事件的登录结果信息均为登录失败,X为大于1的整数;
获取所述X个待确认事件中的每个待确认事件的生成时间;
根据所述每个待确认事件的生成时间、第四特征以及第一特征从所述X个待确认事件中确定Y个异常事件,其中,Y为大于所述预设阈值的整数,所述Y个异常事件的生成时间均在所述预设时间段内,并且所述Y个异常事件对应的登录IP相同;
将所述Y个异常事件对应的登录IP作为所述目标IP;
将所述Y个异常事件对应的登录应用作为所述目标应用。
5.根据权利要求1所述的系统事件的处理方法,其特征在于,禁止所述目标IP与所述目标应用之间的流量传输,包括:
将所述目标IP记录在目标缓存区域中;
在所述目标应用对应的服务端与所述目标IP对应的终端设备建立流量连接的情况下,从所述目标缓存区域中读取所述目标IP,并禁止所述目标IP对应的终端设备与所述目标应用对应的服务端之间进行流量传输。
6.根据权利要求5所述的系统事件的处理方法,其特征在于,在将所述目标IP记录在目标缓存区域中之后,所述系统事件的处理方法还包括:
响应于第一操作指令,将所述目标IP从所述目标缓存区域中删除,其中,所述第一操作指令为目标对象通过交互界面输入的用于管理IP地址的指令;
在所述目标IP从所述目标缓存区域中删除之后,停止对所述目标IP对应的终端设备与所述目标应用对应的服务端之间的流量传输阻断操作。
7.根据权利要求5所述的系统事件的处理方法,其特征在于,在将所述目标IP记录在目标缓存区域中之后,所述系统事件的处理方法还包括:
检测所述目标IP在所述目标缓存区域中的保存时长是否大于预设时长;
在所述目标IP在所述目标缓存区域中的保存时长大于所述预设时长的情况下,将所述目标IP从所述目标缓存区域中删除;
在所述目标IP从所述目标缓存区域中删除之后,停止对所述目标IP对应的终端设备与所述目标应用对应的服务端之间的流量传输阻断操作;
在所述目标IP在所述目标缓存区域中的保存时长小于或等于所述预设时长的情况下,将所述目标IP保留在所述目标缓存区域中。
8.一种系统事件的处理装置,其特征在于,包括:
第一确定单元,用于从N个系统事件中确定M个系统登录事件,其中,所述N个系统事件为操作系统运行过程生成的日志事件,所述M个系统登录事件为所述操作系统中的软件应用对应的登录日志事件,N和M均为大于1的整数,并且M小于或等于N;
特征提取单元,用于对所述M个系统登录事件进行特征提取操作,得到所述M个系统登录事件中的每个系统登录事件对应的多个事件特征,其中,所述多个事件特征用于确定所述每个系统登录事件对应的登录应用、登录IP、登录用户名以及登录结果;
第二确定单元,用于根据所述每个系统登录事件对应的多个事件特征确定目标IP和所述操作系统中的目标应用,其中,所述目标IP为在预设时间段内登录所述目标应用的失败次数大于预设阈值的IP;
处理单元,用于禁止所述目标IP与所述目标应用之间的流量传输。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序,其中,在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行权利要求1至7中任意一项所述的系统事件的处理方法。
10.一种电子设备,其特征在于,包括一个或多个处理器和存储器,所述存储器用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现权利要求1至7中任意一项所述的系统事件的处理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311744688.XA CN117692229A (zh) | 2023-12-18 | 2023-12-18 | 系统事件的处理方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311744688.XA CN117692229A (zh) | 2023-12-18 | 2023-12-18 | 系统事件的处理方法、装置、电子设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117692229A true CN117692229A (zh) | 2024-03-12 |
Family
ID=90129934
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311744688.XA Pending CN117692229A (zh) | 2023-12-18 | 2023-12-18 | 系统事件的处理方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117692229A (zh) |
-
2023
- 2023-12-18 CN CN202311744688.XA patent/CN117692229A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3640833B1 (en) | Generation and maintenance of identity profiles for implementation of security response | |
CN109587179B (zh) | 一种基于旁路网络全流量的ssh协议行为模式识别与告警方法 | |
US20120005743A1 (en) | Internal network management system, internal network management method, and program | |
US20030084319A1 (en) | Node, method and computer readable medium for inserting an intrusion prevention system into a network stack | |
CN110868403B (zh) | 一种识别高级持续性攻击apt的方法及设备 | |
US20220070185A1 (en) | Method for responding to threat transmitted through communication network | |
US11916945B2 (en) | Method and apparatus for combining a firewall and a forensics agent to detect and prevent malicious software activity | |
CN112019330B (zh) | 一种基于联盟链的内网安全审计数据的存储方法及系统 | |
KR101214616B1 (ko) | 호스트 침해 발생 시점에서의 포렌식 증거자료 수집 시스템및 그 방법 | |
KR101823421B1 (ko) | 화이트리스트 기반의 네트워크 보안 장치 및 방법 | |
CN111800432A (zh) | 一种基于日志分析的防暴力破解方法及装置 | |
KR20160087187A (ko) | 사이버 블랙박스 시스템 및 그 방법 | |
KR101754195B1 (ko) | 복수의 로그 수집 서버를 기반으로 한 보안 강화 방법 | |
CN117692229A (zh) | 系统事件的处理方法、装置、电子设备及存储介质 | |
EP3205068A1 (fr) | Procede d'ajustement dynamique d'un niveau de verbosite d'un composant d'un reseau de communications | |
CN114172881B (zh) | 基于预测的网络安全验证方法、装置及系统 | |
US10931707B2 (en) | System and method for automatic forensic investigation | |
CN114157504A (zh) | 一种基于Servlet拦截器的安全防护方法 | |
KR100961438B1 (ko) | 실시간 침입 탐지 시스템 및 방법, 그리고 그 방법을수행하기 위한 프로그램이 기록된 기록매체 | |
CN113595958A (zh) | 一种物联网设备的安全检测系统及方法 | |
CN107124390B (zh) | 计算设备的安全防御、实现方法、装置及系统 | |
KR20050095147A (ko) | 침해유형별 시나리오를 고려한 침입방어장치 및 그 방법 | |
CN112600825B (zh) | 一种基于隔离网络的攻击事件检测方法及装置 | |
CN111859363B (zh) | 用于识别应用未授权访问的方法、装置以及电子设备 | |
CN114124559B (zh) | 一种基于公钥指纹的主机识别方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |