本申请提供了一种日志威胁分析规则生成方法及装置,该方法包括:确定用户选择的用于筛选威胁日志的筛选条件;基于所述筛选条件,自动生成分析规则,所述分析规则用于对多个日志进行威胁分析。通过该方法中,在不同业务需求下,用户可以自行选择筛选条件,以生成日志威胁分析规则,提升了效率且降低了对技术人员编写日志威胁分析规则的能力需求。
【技术实现步骤摘要】
一种日志威胁分析规则生成方法及装置
本申请涉及网络安全领域,尤其涉及一种日志威胁分析规则生成方法及装置。
技术介绍
随着互联网技术的快速发展,计算机在人们的日常生活中发挥着越来越重要的作用,与此同时网络安全成为了大家关注的焦点。目前,业界通过对多个日志数据进行关联威胁分析,来判别日志中是否存在网络隐患。然而,一些日志对应的攻击行为隐匿性较高,需要技术人员编写复杂的分析规则才能实现对多个日志进行威胁分析,这就对技术人员的能力要求较高。一般技术人员并不能实现,许多中小型企业由于缺乏技术人才,仍然采用传统的人工排查的方法对日志进行威胁分析,严重影响威胁响应的速度和准确性。而且,不同企业需侧重排查的日志威胁类型可能不同,技术人员需编写、测试、调整以得到解决用户不同需求的分析规则,效率低且容易出错;技术人员还需要学习多种程序语言以适应不同业务需求的日志威胁分析规则的编写,学习成本较高。因此,如何简化日志威胁分析规则的制定过程,是个值得思考的问题。
技术实现思路
本申请实施例提供一种日志威胁分析规则生成方法及装置,用以提升生成日志威胁分析规则的效率。第一方面,本申请实施例提供的一种日志威胁分析规则生成方法,包括:确定用户选择的用于筛选威胁日志的筛选条件;基于所述筛选条件,自动生成分析规则,所述分析规则用于对多个日志进行威胁分析。可选的,所述筛选条件包括日志类型为第一类型,和/或,所述第一类型中的第一字段对应的参数阈值范围。可选的,所述筛选条件包括日志类型为第一类型时,所述基于所述筛选条件,自动生成分析规则,包括:将所述第一类型的代码添加到用于区分日志类型的第一功能代码中;基于所述第一功能代码,自动生成所述分析规则;可选的,所述筛选条件包括所述第一类型中的第一字段对应的参数阈值范围时,所述基于所述筛选条件,自动生成分析规则,包括:将所述第一字段对应的参数阈值范围添加到用于筛选字段的第二功能代码中;基于所述第二功能代码,自动生成所述分析规则。可选的,基于所述筛选条件,自动生成分析规则之后,还包括:确定第一日志;基于所述分析规则,确定所述第一日志中满足所述第一类型的第二日志,和/或,所述第二日志中所述第一字段的取值在所述参数阈值范围内。可选的,所述筛选条件包括与所述日志相关的第一IP地址,和/或,与所述第一IP地址相关的子筛选条件,所述子筛选条件包括与所述第一IP地址对应的相邻两条日志的产生时间的间隔小于或等于预设时长。可选的,所述筛选条件包括与所述日志相关的第一IP地址时,所述基于所述筛选条件,自动所述生成分析规则,包括:将所述第一IP地址的代码添加到用于对所述多个日志进行IP分组的第三功能代码中;基于所述第三功能代码,自动生成所述分析规则;所述筛选条件包括与所述第一IP地址相关的子筛选条件时,所述基于所述筛选条件,自动生成分析规则,包括:将所述预设时长的代码添加到用于筛选日志的第四功能代码中;基于所述第四功能代码,自动生成所述分析规则。可选的,基于所述筛选条件,自动生成分析规则之后,还包括:确定第三日志;基于所述分析规则,确定所述第三日志中满足所述第一IP地址的第四日志,和/或,所述第四日志中相邻两条日志的产生时间的间隔小于或等于预设时长。可选的,所述第一IP地址包括源IP地址和/或目的IP地址。第二方面,本申请实施例提供的一种日志威胁分析规则生成装置,包括:处理模块,用于确定用户选择的用于筛选威胁日志的筛选条件;所述处理模块,还用于基于所述筛选条件,自动生成分析规则,所述分析规则用于对多个日志进行威胁分析。第三方面,本申请实施例提供的一种电子设备,包括:至少一个处理器,以及与所述至少一个处理器通信连接的存储器,其中:存储器存储有可被至少一个处理器执行的指令,该指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行上述方法的一个或多个步骤。第四方面,本申请实施例提供的一种计算机可读介质,存储有计算机可执行指令,所述计算机可执行指令用于执行上述方法。本申请提供了一种日志威胁分析规则生成方法,该方法包括:确定用户选择的用于筛选威胁日志的筛选条件;基于所述筛选条件,自动生成分析规则,所述分析规则用于对多个日志进行威胁分析。通过该方法中,在不同业务需求下,用户可以自行选择筛选条件,以生成日志威胁分析规则,提升了效率且降低了对技术人员编写日志威胁分析规则的能力需求。本申请的这些方面或其它方面在以下实施例的描述中会更加简明易懂。附图说明此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:图1为本申请实施例提供的应用场景示意图;图2为本申请实施例提供的一种日志威胁分析规则生成方法的流程示意图;图3为本申请实施例提供的一种日志威胁分析规则生成装置的结构示意图;图4为本申请实施例提供的电子设备的结构示意图。具体实施方式为了解决现有技术中,编写日志威胁分析规则效率低下以及技术人员能力需求较高的问题,本申请实施例提供了一种日志威胁分析规则生成方法,通过该方法提高了日志威胁分析规则的生成效率,且降低了对技术人员编写日志威胁分析规则的能力需求。以下结合说明书附图对本申请的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本申请,并不用于限定本申请,并且在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。需要理解的是,在本申请实施例的描述中,“第一”、“第二”等词汇,仅用于区分描述的目的,而不能理解为指示或暗示相对重要性,也不能理解为指示或暗示顺序。在本申请实施例的描述中“多个”,是指两个或两个以上。本申请实施例中的术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。下面简要介绍下本申请的
技术介绍
。随着互联网技术的快速发展,计算机在人们的日常生活中发挥着越来越重要的作用,但是,与此同时网络安全成为了大家关注的焦点。其中,业界通过对多个日志数据进行威胁分析,来判别日志中是否存在网络隐患。然而,一些日志对应的攻击行为隐匿性较高,需要技术人员编写复杂的分析规则才能实现对多个日志进行威胁分析,这就对技术人员的能力要求较高,一般技术人员并不能实现,许多中小型企业由于缺乏技术人才,仍然采用传统的人工排查的方法对日志进行威胁分析,严重影响办公效率。而且,不同企业要排查的日志威胁可能不同,技术人员需要编写、调整、测试得到解决用户不同需求的分析规则,效率低且容易出错;技术人员还需要学习多种程序语言以适应不同业务需求的日志威胁分析规则的编写,学习成本较高。因此,如何简化日本文档来自技高网...
【技术保护点】
1.一种日志威胁分析规则生成方法,其特征在于,包括:/n确定用户选择的用于筛选威胁日志的筛选条件;/n基于所述筛选条件,自动生成分析规则,所述分析规则用于对多个日志进行关联威胁分析。/n
【技术特征摘要】
1.一种日志威胁分析规则生成方法,其特征在于,包括:
确定用户选择的用于筛选威胁日志的筛选条件;
基于所述筛选条件,自动生成分析规则,所述分析规则用于对多个日志进行关联威胁分析。
2.如权利要求1所述的方法,其特征在于,所述筛选条件包括日志类型为第一类型,和/或,所述第一类型中的第一字段对应的参数阈值范围。
3.如权利要求2所述的方法,其特征在于,所述筛选条件包括日志类型为第一类型时,所述基于所述筛选条件,自动生成分析规则,包括:将所述第一类型的代码添加到用于区分日志类型的第一功能代码中;基于所述第一功能代码,自动生成所述分析规则;
所述筛选条件包括所述第一类型中的第一字段对应的参数阈值范围时,所述基于所述筛选条件,自动生成分析规则,包括:将所述第一字段对应的参数阈值范围添加到用于筛选字段的第二功能代码中;基于所述第二功能代码,自动生成所述分析规则。
4.如权利要求2所述的方法,其特征在于,基于所述筛选条件,自动生成分析规则之后,还包括:
确定第一日志;
基于所述分析规则,确定所述第一日志中满足所述第一类型的第二日志,和/或,所述第二日志中所述第一字段的取值在所述参数阈值范围内。
5.如权利要求1或2所述的方法,其特征在于,所述筛选条件包括与所述日志相关的第一IP地址,和/或,与所述第一IP地址相关的子筛选条件,所述子筛选条件包括与所述第一IP地址对应的相邻两条日志的产生时间的间隔小...
【专利技术属性】
技术研发人员:李学良,
申请(专利权)人:北京神州绿盟信息安全科技股份有限公司,北京神州绿盟科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。