CN115150261A - 告警分析的方法、装置、电子设备及存储介质 - Google Patents
告警分析的方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN115150261A CN115150261A CN202210760968.9A CN202210760968A CN115150261A CN 115150261 A CN115150261 A CN 115150261A CN 202210760968 A CN202210760968 A CN 202210760968A CN 115150261 A CN115150261 A CN 115150261A
- Authority
- CN
- China
- Prior art keywords
- alarm
- information
- log
- field
- network address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 98
- 238000000034 method Methods 0.000 claims abstract description 36
- 238000000605 extraction Methods 0.000 claims abstract description 15
- 230000006399 behavior Effects 0.000 claims description 27
- 230000002159 abnormal effect Effects 0.000 claims description 20
- 238000004590 computer program Methods 0.000 claims description 13
- 238000012216 screening Methods 0.000 claims description 5
- 238000012544 monitoring process Methods 0.000 abstract description 4
- 238000010586 diagram Methods 0.000 description 14
- 230000006870 function Effects 0.000 description 12
- 230000008569 process Effects 0.000 description 7
- 101001019013 Homo sapiens Mitotic interactor and substrate of PLK1 Proteins 0.000 description 6
- 102100033607 Mitotic interactor and substrate of PLK1 Human genes 0.000 description 6
- 241000700605 Viruses Species 0.000 description 6
- 238000007726 management method Methods 0.000 description 5
- 238000012986 modification Methods 0.000 description 5
- 230000004048 modification Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 230000002155 anti-virotic effect Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000014509 gene expression Effects 0.000 description 3
- 230000000153 supplemental effect Effects 0.000 description 3
- 238000013500 data storage Methods 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 230000001133 acceleration Effects 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000007599 discharging Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000003058 natural language processing Methods 0.000 description 1
- 238000010606 normalization Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
- 238000010897 surface acoustic wave method Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Alarm Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请属于监控技术领域,公开了告警分析的方法、装置、电子设备及存储介质,该方法包括,对待分析的日志告警信息进行字段提取,获得告警字段;基于告警字段进行查询,获得告警关联信息,告警关联信息中包含告警类别;获取告警类别对应设置的告警分析模板;基于告警关联信息以及告警分析模板,获得告警分析结果。这样,基于日志告警信息的告警关联信息,结合告警分析模板,生成告警分析结果,不需要人工进行告警分析以及做出分析报告,减少了耗费的时间成本和人力成本。
Description
技术领域
本申请涉及监控技术领域,具体而言,涉及告警分析的方法、装置、电子设备及存储介质。
背景技术
随着互联网技术的发展,网络监控以及防护的应用越来越普及,生成的日志告警信息也越来越多。
现有技术下,通常采用人工分析的方式对海量的日志告警信息进行进一步分析,以根据告警分析结果判断是否真的出现异常,从而进行后续的设备防护。
但是,日志告警信息通常需要专业的安全分析人员才能理解以及做出告警分析,这会耗费大量的人力成本和时间成本。
发明内容
本申请实施例的目的在于提供告警分析的方法、装置、电子设备及存储介质,用以降低告警分析耗费的人力成本和时间成本。
一方面,提供一种告警分析的方法,包括:
对待分析的日志告警信息进行字段提取,获得告警字段;
基于告警字段进行查询,获得告警关联信息,告警关联信息中包含告警类别;
获取告警类别对应设置的告警分析模板;
基于告警关联信息以及告警分析模板,获得告警分析结果。
在上述实现过程中,基于日志告警信息的告警关联信息,结合告警分析模板,生成告警分析结果,不需要人工进行告警分析以及做出分析报告,减少了耗费的时间成本和人力成本。
一种实施方式中,对待分析的日志告警信息进行字段提取,获得告警字段,包括:
采用关键字匹配的方式,将日志告警信息与设定关键字进行匹配,获得匹配的告警字段。
在上述实现过程中,可以准确提取告警字段。
一种实施方式中,告警字段包括以下字段:
告警时间、源网络地址、目的网络地址,以及包括异常对象的告警行为信息;
异常对象包括以下信息中的至少一种:网络地址、域名、统一资源定位符以及文件。
在上述实现过程中,提取与告警相关的字段。
一种实施方式中,基于告警字段进行查询,获得告警关联信息,包括:
基于告警字段中的源网络地址进行查询,获得本地设备关联信息;
基于告警字段中的目的网络地址进行查询,获得目的设备关联信息;
基于告警字段中的告警行为信息进行查询,获得安全事件描述信息,安全事件描述信息包括告警类别。
一种实施方式中,安全事件描述信息还包括以下参数中的至少一个:事件背景、异常对象、恶意类型、恶意概率、恶意软件信息、恶意网络行为。
在上述实现过程中,补充告警相关的事件细节。
一种实施方式中,在基于告警关联信息以及告警分析模板,获得告警分析结果之前,方法还包括:
根据告警字段中的源网络地址以及目的网络地址,对设定时间段内的各日志信息进行筛选,获得日志信息集合;
基于日志信息集合中的各日志信息,获得该日志告警信息的告警补充信息;
将告警补充信息添加到告警关联信息中。
在上述实现过程中,还可以结合相关的日志信息,进一步完善了告警关联信息。
一种实施方式中,基于告警关联信息以及告警分析模板,获得告警分析结果,包括:
将告警关联信息填充到分析模板中,获得告警分析结果。
在上述实现过程中,采用模板填充的方式,便于用户不是专业的网络安全人员,也可以充分理解告警分析结果。
一方面,提供一种告警分析的装置,包括:
提取单元,用于对待分析的日志告警信息进行字段提取,获得告警字段;
查询单元,用于基于告警字段进行查询,获得告警关联信息,告警关联信息中包含告警类别;
获取单元,用于获取告警类别对应设置的告警分析模板;
获得单元,用于基于告警关联信息以及告警分析模板,获得告警分析结果。
一种实施方式中,提取单元用于:
采用关键字匹配的方式,将日志告警信息与设定关键字进行匹配,获得匹配的告警字段。
一种实施方式中,告警字段包括以下字段:
告警时间、源网络地址、目的网络地址,以及包括异常对象的告警行为信息;
异常对象包括以下信息中的至少一种:网络地址、域名、统一资源定位符以及文件。
一种实施方式中,查询单元用于:
基于告警字段中的源网络地址进行查询,获得本地设备关联信息;
基于告警字段中的目的网络地址进行查询,获得目的设备关联信息;
基于告警字段中的告警行为信息进行查询,获得安全事件描述信息,安全事件描述信息包括告警类别。
一种实施方式中,安全事件描述信息还包括以下参数中的至少一个:事件背景、异常对象、恶意类型、恶意概率、恶意软件信息、恶意网络行为。
一种实施方式中,获得单元还用于:
根据告警字段中的源网络地址以及目的网络地址,对设定时间段内的各日志信息进行筛选,获得日志信息集合;
基于日志信息集合中的各日志信息,获得该日志告警信息的告警补充信息;
将告警补充信息添加到告警关联信息中。
一种实施方式中,获得单元用于:
将告警关联信息填充到分析模板中,获得告警分析结果。
一方面,提供了一种电子设备,包括处理器以及存储器,存储器存储有计算机可读取指令,当计算机可读取指令由处理器执行时,运行如上述任一种告警分析的各种可选实现方式中提供的方法的步骤。
一方面,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时运行如上述任一种告警分析的各种可选实现方式中提供的方法的步骤。
一方面,提供了一种计算机程序产品,计算机程序产品在计算机上运行时,使得计算机执行如上述任一种告警分析的各种可选实现方式中提供的方法的步骤。
本申请的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请而了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种告警分析的方法的流程图;
图2为本申请实施例提供的一种安全事件返回结果的示例图;
图3为本申请实施例提供的一种告警分析的装置的结构框图;
图4为本申请实施方式中一种电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
首先对本申请实施例中涉及的部分用语进行说明,以便于本领域技术人员理解。
终端设备:可以是移动终端、固定终端或便携式终端,例如移动手机、站点、单元、设备、多媒体计算机、多媒体平板、互联网节点、通信器、台式计算机、膝上型计算机、笔记本计算机、上网本计算机、平板计算机、个人通信***设备、个人导航设备、个人数字助理、音频/视频播放器、数码相机/摄像机、定位设备、电视接收器、无线电广播接收器、电子书设备、游戏设备或者其任意组合,包括这些设备的配件和外设或者其任意组合。还可预见到的是,终端设备能够支持任意类型的针对用户的接口(例如可穿戴设备)等。
服务器:可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式***,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务以及大数据和人工智能平台等基础云计算服务的云服务器。
为了可以降低告警分析耗费的人力成本和时间成本,本申请实施例提供了告警分析的方法、装置、电子设备及存储介质。
参阅图1所示,为本申请实施例提供的一种告警分析的方法的流程图,应用于电子设备,电子设备可以为服务器,也可以为终端设备,该方法的具体实施流程如下:
步骤100:对待分析的日志告警信息进行字段提取,获得告警字段。
具体的,获取待分析的日志告警信息,并采用关键字匹配的方式,提取日志告警信息中的告警字段。
其中,日志告警信息可以为一个,也可以为多个。告警字段为日志告警信息中与告警相关的字段。告警字段可以为一个也可以为多个。
一种实施方式中,告警字段可以包括但不限于以下字段:告警时间、源网络地址、目的网络地址,以及包括异常对象的告警行为信息。作为一个示例,源网络地址为源互联网协议(Internet Protocol,IP),目的网络地址为目的IP。
告警时间为告警事件发生的时间。告警行为信息为触发告警的行为(如,下载包含的病毒的文件)。异常对象为告警事件中疑似存在异常的对象。异常对象可以包括但不限于以下信息中的至少一种:网络地址、域名、统一资源定位符(Uniform Resource Locator,URL)以及文件。如,目的IP(即网络地址)为攻击者的IP,又如,域名为不安全网站的域名,又如,URL为非法网站的网址,又如,下载的文件为病毒文件。
一种实施方式中,执行步骤100时,可以采用以下步骤:
采用关键字匹配的方式,将日志告警信息与设定关键字进行匹配,获得匹配的告警字段。
实际应用中,设定关键字可以根据实际应用场景进行设置,如,时间,在此不作限制。
作为一个示例,关键字匹配的方式可以为正则表达式匹配,即采用正则表达式匹配,对日志告警信息进行匹配,获得匹配的告警字段。
进一步的,由于不同日志告警信息的格式不同,因此,还可以先将日志告警信息进行格式标准化,获得标准化后的日志告警信息。可选的,由于日志告警信息通常由用户难以理解的机器语言(如,字符串)组成,因此,格式标准化可以为将日志告警信息的字符转换,获取各字符串对应设置的文本信息,以便后续关键字匹配、查询以及用户理解。
需要说明的是,告警字段为日志告警信息中的属性信息,并不依赖于特定设备,即对生成日志告警信息的设备不做限制,以及,由于不同日志告警信息通常有不同的格式,因此,可以先将日志告警信息进行初步分析,以对日志告警信息进行格式标准化,然后,再提取日志告警信息中匹配出的告警字段,并将告警字段存储到文件中。
作为一个示例,采用人工的方式,对日志告警信息进行格式标准化。可选的,格式标准化可以包括:将日志告警信息中的字符等转化成对应设置的文本信息(如,字符N对应设置的文本信息为异常)。
这样,就可以采用人工分析等方式对日志告警文件进行初步解析(即,格式标准化)后,通过正则表达式等方式匹配需要的字段,并将匹配得到的数据保存到文件,可选的,告警字段提取和保存可以通过编写Python代码实现。
步骤101:基于告警字段进行查询,获得告警关联信息。
具体的,根据日志告警信息中的告警字段,从不同的信息源中提取与日志告警信息关联的信息(即,告警关联信息),以对日志告警信息进行信息补充说明,以便用户可以充分了解日志告警。告警关联信息中包含告警类别。由于不同告警类别的日志告警信息确定出的告警关联信息的参数不同,因此,告警类别用于在后续步骤中针对不同告警类别的日志告警信息输出不同样式的告警分析结果。
其中,执行步骤101时,可以采用以下步骤:
S1011:基于告警字段中的源网络地址进行查询,获得本地设备关联信息。
具体的,在本地知识库中,检索源网络地址,获得检索出的本地设备关联信息。
本申请实施例中,预先针对不同的源网络地址,设置(可以采用注册或配置等方式)相应的本地设备关联信息。本地设备关联信息为本地设备(如,终端设备以及服务器等)的相关信息。本地设备即为源网络地址对应的设备。可选的,本地设备关联信息可以包括以下至少一个:IP地址、域名、管理员、位置、安全级别以及软硬件配置信息(如,已经安装的应用程序)。
S1012:基于告警字段中的目的网络地址进行查询,获得目的设备关联信息。
具体的,在外部知识库中,检索目的网络地址,获得检索出的目的设备关联信息。
作为一个示例,外部知识库为Whois查询网站(用于提供IP和域名的注册信息的网站)以及CVE漏洞库(用于提供漏洞信息的数据库)。
其中,目的设备关联信息是目的设备相关的信息。目的设备即为目的网络地址对应的设备。目的设备关联信息可以包括以下至少一个:IP地址、域名、管理员、位置、安全级别、软硬件配置信息以及漏洞信息。
S1013:基于告警字段中的告警行为信息进行查询,获得安全事件描述信息。
一种实施方式中,调用程序设计语言提供应用编程接口(ApplicationProgramming Interface,API)接口,在安全事件查询库中,检索告警行为信息(如,URL),获得检索出的安全事件描述信息。其中,安全事件描述信息包括告警类别。
其中,安全事件描述信息包括以下参数中的至少一个:事件背景、异常对象、恶意类型、恶意概率、恶意软件信息以及恶意网络行为。作为一个示例,异常对象包括但不限于:IP、域名、URL以及文件。恶意类型可以包括:恶意以及非恶意。恶意网络行为包括流量攻击以及文件病毒下载传播。可选的,告警类别可以是检索获得的,还可以根据异常对象确定。作为一个示例,告警类别包括IP、域名、URL以及文件。
作为一个示例,安全事件查询库可以包括以下至少一个:在线公共存储的威胁情报数据库(如,Virus Total),以及开源威胁情报管理平台,如,开源威胁情报和共享平台(Malware Information Sharing Platform,MISP)。
作为一个示例,Virus Total提供了用于通过告警行为信息中的URL进行查询的API接口,API接口为https://www.virustotal.com/api/v3/urls/{id}。其中,id为需要查询的url。通过发送Get请求获取包含该url的详细信息的安全事件返回结果,并对返回结果进行解析,获得安全事件描述信息。
参阅图2所示,为一种安全事件返回结果的示例图。安全事件返回结果为图2中采用json格式返回的data。对安全事件返回结果进行解析,获取需要的字段,并将各字段组合获得安全事件描述信息。如,图2中的stats字段中的malicious值表示有多少个杀毒软件将该url判定为恶意的。需要说明的是,图2仅用于说明安全事件返回结果的数据格式,若图2中文字不清晰,不影响说明书的清楚。
本申请实施例中,仅以Virus Total为例进行说明,实际应用中,还可以从其它安全事件查询库中查询,不同安全事件查询库的数据存储方式以及API接口可以相同,也可以不同,在此不作限制。
需要说明的是,在安全事件查询库中检索时,不仅可以采用告警行为信息进行查询,还可以采用其它任意一个或多个告警字段进行查询,在此不作限制。
一种实施方式中,通过API接口,在MISP平台中查询告警行为信息,获得事件背景、异常对象、恶意类型、恶意概率、恶意软件信息以及恶意网络行为。
可选的,恶意软件信息可以为恶意软件的哈希值(Hash)和/或标签(tag)等。
其中,MISP是一个用于安全事件管理的开源威胁情报管理平台。一种实施方式中,从多个顶级安全技术博客爬取安全事件文章,并采用命名实体识别、自然语言处理等手段将安全事件文章(如,对Lorenz勒索软件攻击事件的记录)中的安全事件要素(如,事件背景、异常对象、恶意类型、恶意概率、恶意软件信息以及恶意网络行为)进行提取后添加到MISP平台中,以便后续告警查询。
这样,就可以通过告警字段的查询,重建告警事件的各个细节,从而可以确定出日志告警信息中的攻击者,造成的后果以及攻击手段,即攻击者通过什么样的攻击手段做了什么攻击事件,造成了什么样的风险以及后果。
进一步的,还可以根据告警字段中的源网络地址以及目的网络地址,对设定时间段内的各日志信息进行筛选,获得日志告警信息关联的日志信息集合;基于日志信息集合中的各日志信息,获得该日志告警信息的告警补充信息;将告警补充信息添加到告警关联信息中。
其中,日志信息集合中各日志信息中的源网络地址以及目的网络地址均相同。
作为一个示例,基于日志信息集合中的各日志信息进行查询,获得该日志告警信息的告警补充信息。
作为另一个示例,获取日志信息集合中各日志信息的日志数量(即连接次数),并获取该日志数量对应设置的告警补充信息。
作为一个示例,告警补充信息为一组源IP和目的IP之间的连接次数。作为另一个示例,若日志数量高于数量阈值,则告警补充信息为恶意流量攻击,否则,为正常流程。
这样,就可以通过日志告警信息关联的日志信息集合,获得更加全面的告警关联信息。
步骤102:获取告警类别对应设置的告警分析模板。
具体的,由于不同告警类别的告警关联信息通常是不同的,因此,为便于后续的用户阅读理解,预先分别针对每一告警类别,设置相应的告警分析模板。作为一个示例,分别针对IP、URL以及文件,制定不同的告警分析模板。
需要说明的是,告警分析模板为用于填充告警关联信息的模板,用于基于结合填充的告警关联信息,生成用于便于阅读的语句连贯的文章形式的分析报告。
步骤103:基于告警关联信息以及告警分析模板,获得告警分析结果。
具体的,将告警关联信息填充到分析模板中,获得告警分析结果。
一种实施方式中,通过编写的Python代码,按照数据类型或字段(如,告警字段),将告警关联信息,自动填充到相应的告警分析模板中,生成告警分析报告(即告警分析结果)。
作为一个示例,告警类别为文件,对应的告警分析模板为:
我们在……(即告警时间)收到一个日志告警信息,该日志告警信息的源IP为……,本地设备关联信息包括:***类型为……、所属人员为……、主机或服务器功能为……、位置为……;目的IP为……,目的设备关联信息包括:域名为……、注册者为……、注册时间为……、位置为……;在过去……(如,1天)时间内该源IP和目的IP之间的连接次数为……。
导致该告警的原因是:下载了文件……(文件名及其哈希值),经VirusTotal验证该文件,其中……个杀毒软件中有……个将其判定为恶意软件,经查询MISP平台,该文件为……(即从MISP平台获取的恶意软件的相关信息)。
进一步的,还可以采用邮件等形式将告警分析结果推送到用户设备中。
作为一个示例,采用邮件的形式周期性或实时将告警分析结果推送到用户设备中。该功能可以通过Python代码实现。
进一步的,还可以根据用户基于告警分析结果下发的防护指令,执行防护操作。
本申请实施例中,可以应用于安全防护等应用场景中,可以通过关联信息查询,获取日志告警信息的告警关联信息,以自动对日志报警信息进行进一步判断,减少了人工判断的人力成本(如,网络安全从业人员的工作量),且通过本地知识库、外部知识库以及安全事件查询库多个角度的信息补充,提高了告警判断的准确性,再者,按照告警分析模板获得告警分析结果,生成便于用户读取的分析报告,使得非专业网络安全人员也可以看懂并做出后续的防护措施,减少了网络安全人员的投入,提高了用户体验,解决了当前专业网络安全人员短缺的难题,降低了人力成本和时间成本,以及根据告警分析结果执行防护措施,提高了网络安全。
基于同一发明构思,本申请实施例中还提供了一种告警分析的装置,由于上述装置及设备解决问题的原理与一种告警分析的方法相似,因此,上述装置的实施可以参见方法的实施,重复之处不再赘述。
如图3所示,其为本申请实施例提供的一种告警分析的装置的结构示意图,包括:
提取单元301,用于对待分析的日志告警信息进行字段提取,获得告警字段;
查询单元302,用于基于告警字段进行查询,获得告警关联信息,告警关联信息中包含告警类别;
获取单元303,用于获取告警类别对应设置的告警分析模板;
获得单元304,用于基于告警关联信息以及告警分析模板,获得告警分析结果。
一种实施方式中,提取单元301用于:
采用关键字匹配的方式,将日志告警信息与设定关键字进行匹配,获得匹配的告警字段。
一种实施方式中,告警字段包括以下字段:
告警时间、源网络地址、目的网络地址,以及包括异常对象的告警行为信息;
异常对象包括以下信息中的至少一种:网络地址、域名、统一资源定位符以及文件。
一种实施方式中,查询单元302用于:
基于告警字段中的源网络地址进行查询,获得本地设备关联信息;
基于告警字段中的目的网络地址进行查询,获得目的设备关联信息;
基于告警字段中的告警行为信息进行查询,获得安全事件描述信息,安全事件描述信息包括告警类别。
一种实施方式中,安全事件描述信息还包括以下参数中的至少一个:事件背景、异常对象、恶意类型、恶意概率、恶意软件信息、恶意网络行为。
一种实施方式中,获得单元304还用于:
根据告警字段中的源网络地址以及目的网络地址,对设定时间段内的各日志信息进行筛选,获得日志信息集合;
基于日志信息集合中的各日志信息,获得该日志告警信息的告警补充信息;
将告警补充信息添加到告警关联信息中。
一种实施方式中,获得单元304用于:
将告警关联信息填充到分析模板中,获得告警分析结果。
本申请实施例提供的告警分析的方法、装置、电子设备及存储介质中,对待分析的日志告警信息进行字段提取,获得告警字段;基于告警字段进行查询,获得告警关联信息,告警关联信息中包含告警类别;获取告警类别对应设置的告警分析模板;基于告警关联信息以及告警分析模板,获得告警分析结果。这样,基于日志告警信息的告警关联信息,结合告警分析模板,生成告警分析结果,不需要人工进行告警分析以及做出分析报告,减少了耗费的时间成本和人力成本。
图4示出了一种电子设备4000的结构示意图。参阅图4所示,电子设备4000包括:处理器4010以及存储器4020,可选的,还可以包括电源4030、显示单元4040、输入单元4050。
处理器4010是电子设备4000的控制中心,利用各种接口和线路连接各个部件,通过运行或执行存储在存储器4020内的软件程序和/或数据,执行电子设备4000的各种功能,从而对电子设备4000进行整体监控。
本申请实施例中,处理器4010调用存储器4020中存储的计算机程序时执行上述实施例中的各个步骤。
可选的,处理器4010可包括一个或多个处理单元;优选的,处理器4010可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作***、用户界面和应用等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器4010中。在一些实施例中,处理器、存储器、可以在单一芯片上实现,在一些实施例中,它们也可以在独立的芯片上分别实现。
存储器4020可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作***、各种应用等;存储数据区可存储根据电子设备4000的使用所创建的数据等。此外,存储器4020可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件等。
电子设备4000还包括给各个部件供电的电源4030(比如电池),电源可以通过电源管理***与处理器4010逻辑相连,从而通过电源管理***实现管理充电、放电、以及功耗等功能。
显示单元4040可用于显示由用户输入的信息或提供给用户的信息以及电子设备4000的各种菜单等,本发明实施例中主要用于显示电子设备4000中各应用的显示界面以及显示界面中显示的文本、图片等对象。显示单元4040可以包括显示面板4041。显示面板4041可以采用液晶显示屏(Liquid Crystal Display,LCD)、有机发光二极管(Organic Light-Emitting Diode,OLED)等形式来配置。
输入单元4050可用于接收用户输入的数字或字符等信息。输入单元4050可包括触控面板4051以及其他输入设备4052。其中,触控面板4051,也称为触摸屏,可收集用户在其上或附近的触摸操作(比如用户使用手指、触摸笔等任何适合的物体或附件在触控面板4051上或在触控面板4051附近的操作)。
具体的,触控面板4051可以检测用户的触摸操作,并检测触摸操作带来的信号,将这些信号转换成触点坐标,发送给处理器4010,并接收处理器4010发来的命令并加以执行。此外,可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触控面板4051。其他输入设备4052可以包括但不限于物理键盘、功能键(比如音量控制按键、开关机按键等)、轨迹球、鼠标、操作杆等中的一种或多种。
当然,触控面板4051可覆盖显示面板4041,当触控面板4051检测到在其上或附近的触摸操作后,传送给处理器4010以确定触摸事件的类型,随后处理器4010根据触摸事件的类型在显示面板4041上提供相应的视觉输出。虽然在图4中,触控面板4051与显示面板4041是作为两个独立的部件来实现电子设备4000的输入和输出功能,但是在某些实施例中,可以将触控面板4051与显示面板4041集成而实现电子设备4000的输入和输出功能。
电子设备4000还可包括一个或多个传感器,例如压力传感器、重力加速度传感器、接近光传感器等。当然,根据具体应用中的需要,上述电子设备4000还可以包括摄像头等其它部件,由于这些部件不是本申请实施例中重点使用的部件,因此,在图4中没有示出,且不再详述。
本领域技术人员可以理解,图4仅仅是电子设备的举例,并不构成对电子设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件。
本申请实施例中,一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时,使得通信设备可以执行上述实施例中的各个步骤。
为了描述的方便,以上各部分按照功能划分为各模块(或单元)分别描述。当然,在实施本申请时可以把各模块(或单元)的功能在同一个或多个软件或硬件中实现。
本领域内的技术人员应明白,本申请的实施例可提供为方法、***、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (16)
1.一种告警分析的方法,其特征在于,包括:
对待分析的日志告警信息进行字段提取,获得告警字段;
基于所述告警字段进行查询,获得告警关联信息,所述告警关联信息中包含告警类别;
获取所述告警类别对应设置的告警分析模板;
基于所述告警关联信息以及所述告警分析模板,获得告警分析结果。
2.如权利要求1所述的方法,其特征在于,所述对待分析的日志告警信息进行字段提取,获得告警字段,包括:
采用关键字匹配的方式,将所述日志告警信息与设定关键字进行匹配,获得匹配的告警字段。
3.如权利要求1所述的方法,其特征在于,所述告警字段包括以下字段:
告警时间、源网络地址、目的网络地址,以及包括异常对象的告警行为信息;
所述异常对象包括以下信息中的至少一种:网络地址、域名、统一资源定位符以及文件。
4.如权利要求1所述的方法,其特征在于,所述基于所述告警字段进行查询,获得告警关联信息,包括:
基于所述告警字段中的源网络地址进行查询,获得本地设备关联信息;
基于所述告警字段中的目的网络地址进行查询,获得目的设备关联信息;
基于所述告警字段中的告警行为信息进行查询,获得安全事件描述信息,所述安全事件描述信息包括告警类别。
5.如权利要求4所述的方法,其特征在于,所述安全事件描述信息还包括以下参数中的至少一个:事件背景、异常对象、恶意类型、恶意概率、恶意软件信息、恶意网络行为。
6.如权利要求4或5所述的方法,其特征在于,在所述基于所述告警关联信息以及所述告警分析模板,获得告警分析结果之前,所述方法还包括:
根据所述告警字段中的源网络地址以及目的网络地址,对设定时间段内的各日志信息进行筛选,获得日志信息集合;
基于所述日志信息集合中的各日志信息,获得该日志告警信息的告警补充信息;
将所述告警补充信息添加到所述告警关联信息中。
7.如权利要求1-4任一项所述的方法,其特征在于,所述基于所述告警关联信息以及所述告警分析模板,获得告警分析结果,包括:
将所述告警关联信息填充到所述分析模板中,获得告警分析结果。
8.一种告警分析的装置,其特征在于,包括:
提取单元,用于对待分析的日志告警信息进行字段提取,获得告警字段;
查询单元,用于基于所述告警字段进行查询,获得告警关联信息,所述告警关联信息中包含告警类别;
获取单元,用于获取所述告警类别对应设置的告警分析模板;
获得单元,用于基于所述告警关联信息以及所述告警分析模板,获得告警分析结果。
9.如权利要求8所述的装置,其特征在于,所述提取单元用于:
采用关键字匹配的方式,将所述日志告警信息与设定关键字进行匹配,获得匹配的告警字段。
10.如权利要求8所述的装置,其特征在于,所述告警字段包括以下字段:
告警时间、源网络地址、目的网络地址,以及包括异常对象的告警行为信息;
所述异常对象包括以下信息中的至少一种:网络地址、域名、统一资源定位符以及文件。
11.如权利要求8所述的装置,其特征在于,所述查询单元用于:
基于所述告警字段中的源网络地址进行查询,获得本地设备关联信息;
基于所述告警字段中的目的网络地址进行查询,获得目的设备关联信息;
基于所述告警字段中的告警行为信息进行查询,获得安全事件描述信息,所述安全事件描述信息包括告警类别。
12.如权利要求11所述的装置,其特征在于,所述安全事件描述信息还包括以下参数中的至少一个:事件背景、异常对象、恶意类型、恶意概率、恶意软件信息、恶意网络行为。
13.如权利要求11或12所述的装置,其特征在于,所述获得单元还用于:
根据所述告警字段中的源网络地址以及目的网络地址,对设定时间段内的各日志信息进行筛选,获得日志信息集合;
基于所述日志信息集合中的各日志信息,获得该日志告警信息的告警补充信息;
将所述告警补充信息添加到所述告警关联信息中。
14.如权利要求8-12任一项所述的装置,其特征在于,所述获得单元用于:
将所述告警关联信息填充到所述分析模板中,获得告警分析结果。
15.一种电子设备,其特征在于,包括处理器以及存储器,所述存储器存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,运行如权利要求1-7任一所述方法。
16.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时运行如权利要求1-7任一所述方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210760968.9A CN115150261B (zh) | 2022-06-29 | 2022-06-29 | 告警分析的方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210760968.9A CN115150261B (zh) | 2022-06-29 | 2022-06-29 | 告警分析的方法、装置、电子设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115150261A true CN115150261A (zh) | 2022-10-04 |
CN115150261B CN115150261B (zh) | 2024-04-19 |
Family
ID=83411045
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210760968.9A Active CN115150261B (zh) | 2022-06-29 | 2022-06-29 | 告警分析的方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115150261B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116010220A (zh) * | 2023-02-09 | 2023-04-25 | 北京优特捷信息技术有限公司 | 一种告警诊断方法、装置、设备及存储介质 |
CN116471174A (zh) * | 2023-05-05 | 2023-07-21 | 北京优特捷信息技术有限公司 | 一种日志数据监测***、方法、装置和存储介质 |
CN117155755A (zh) * | 2023-08-29 | 2023-12-01 | 北京优特捷信息技术有限公司 | 一种告警信息处理方法、装置、电子设备和存储介质 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1553724A1 (en) * | 2004-01-09 | 2005-07-13 | Alcatel | Alarm log file reporting using XML tagging |
US20090288135A1 (en) * | 2008-05-19 | 2009-11-19 | Rohati Systems, Inc. | Method and apparatus for building and managing policies |
CN106789195A (zh) * | 2016-12-02 | 2017-05-31 | 华为技术有限公司 | 一种事件处理方法及网管设备、服务器 |
WO2017181805A1 (zh) * | 2016-04-20 | 2017-10-26 | 中兴通讯股份有限公司 | 告警信息的显示方法及装置、计算机存储介质 |
US20180255170A1 (en) * | 2017-03-06 | 2018-09-06 | Samsung Electronics Co., Ltd. | Method and electronic device for setting alarm |
CN111030857A (zh) * | 2019-12-06 | 2020-04-17 | 深圳前海微众银行股份有限公司 | 网络告警方法、装置、***与计算机可读存储介质 |
WO2021008414A1 (zh) * | 2019-07-17 | 2021-01-21 | 深圳市智物联网络有限公司 | 一种物联网设备的告警方法及相关装置 |
CN113162897A (zh) * | 2020-12-24 | 2021-07-23 | 江苏天创科技有限公司 | 一种工业控制网络安全过滤***及方法 |
CN113381890A (zh) * | 2021-06-08 | 2021-09-10 | 中国电信股份有限公司 | 告警信息关联方法、装置、电子设备和可读存储介质 |
CN114006748A (zh) * | 2021-10-28 | 2022-02-01 | 国网山东省电力公司信息通信公司 | 一种网络安全综合监控方法、***、设备和存储介质 |
-
2022
- 2022-06-29 CN CN202210760968.9A patent/CN115150261B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1553724A1 (en) * | 2004-01-09 | 2005-07-13 | Alcatel | Alarm log file reporting using XML tagging |
US20090288135A1 (en) * | 2008-05-19 | 2009-11-19 | Rohati Systems, Inc. | Method and apparatus for building and managing policies |
WO2017181805A1 (zh) * | 2016-04-20 | 2017-10-26 | 中兴通讯股份有限公司 | 告警信息的显示方法及装置、计算机存储介质 |
CN106789195A (zh) * | 2016-12-02 | 2017-05-31 | 华为技术有限公司 | 一种事件处理方法及网管设备、服务器 |
US20180255170A1 (en) * | 2017-03-06 | 2018-09-06 | Samsung Electronics Co., Ltd. | Method and electronic device for setting alarm |
WO2021008414A1 (zh) * | 2019-07-17 | 2021-01-21 | 深圳市智物联网络有限公司 | 一种物联网设备的告警方法及相关装置 |
CN111030857A (zh) * | 2019-12-06 | 2020-04-17 | 深圳前海微众银行股份有限公司 | 网络告警方法、装置、***与计算机可读存储介质 |
CN113162897A (zh) * | 2020-12-24 | 2021-07-23 | 江苏天创科技有限公司 | 一种工业控制网络安全过滤***及方法 |
CN113381890A (zh) * | 2021-06-08 | 2021-09-10 | 中国电信股份有限公司 | 告警信息关联方法、装置、电子设备和可读存储介质 |
CN114006748A (zh) * | 2021-10-28 | 2022-02-01 | 国网山东省电力公司信息通信公司 | 一种网络安全综合监控方法、***、设备和存储介质 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116010220A (zh) * | 2023-02-09 | 2023-04-25 | 北京优特捷信息技术有限公司 | 一种告警诊断方法、装置、设备及存储介质 |
CN116471174A (zh) * | 2023-05-05 | 2023-07-21 | 北京优特捷信息技术有限公司 | 一种日志数据监测***、方法、装置和存储介质 |
CN116471174B (zh) * | 2023-05-05 | 2024-02-09 | 北京优特捷信息技术有限公司 | 一种日志数据监测***、方法、装置和存储介质 |
CN117155755A (zh) * | 2023-08-29 | 2023-12-01 | 北京优特捷信息技术有限公司 | 一种告警信息处理方法、装置、电子设备和存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN115150261B (zh) | 2024-04-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109479061B (zh) | 遵从性违反检测 | |
US10862907B1 (en) | Techniques for detecting domain threats | |
CN115150261B (zh) | 告警分析的方法、装置、电子设备及存储介质 | |
CN110716910B (zh) | 一种日志管理方法、装置、设备和存储介质 | |
CN102254111B (zh) | 恶意网站检测方法及装置 | |
CN112491602B (zh) | 行为数据的监控方法、装置、计算机设备及介质 | |
CN113489713B (zh) | 网络攻击的检测方法、装置、设备及存储介质 | |
CN110177114B (zh) | 网络安全威胁指标识别方法、设备、装置以及计算机可读存储介质 | |
US11503070B2 (en) | Techniques for classifying a web page based upon functions used to render the web page | |
CN107506256B (zh) | 一种崩溃数据监控的方法和装置 | |
CN106022349B (zh) | 用于设备类型确定的方法和*** | |
CN111654495B (zh) | 用于确定流量产生来源的方法、装置、设备及存储介质 | |
CN111400170A (zh) | 一种数据权限测试方法及装置 | |
CN114253866B (zh) | 恶意代码检测的方法、装置、计算机设备及可读存储介质 | |
CN110895587B (zh) | 用于确定目标用户的方法和装置 | |
CN113609479A (zh) | 一种文件检测的方法、装置、电子设备及可读存储介质 | |
CN114153703A (zh) | 微服务的异常定位方法、装置、电子设备和程序产品 | |
US20230252146A1 (en) | Cyber threat information processing apparatus, cyber threat information processing method, and storage medium storing cyber threat information processing program | |
KR102411383B1 (ko) | 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체 | |
CN112416875B (zh) | 日志管理方法、装置、计算机设备及存储介质 | |
CN115544558A (zh) | 敏感信息检测方法、装置、计算机设备及存储介质 | |
CN113987496A (zh) | 恶意攻击检测的方法、装置、电子设备及可读存储介质 | |
Bo et al. | Tom: A threat operating model for early warning of cyber security threats | |
CN114024691A (zh) | 基于云安全的漏洞情报处理方法、装置、设备及介质 | |
US20220210186A1 (en) | Systems and methods for protection against theft of user credentials by email phishing attacks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |