本公开提供了一种多源异构安全日志的处理方法及装置,处理方法包括获取第一安全日志和第二安全日志;第一安全日志和第二安全日志属于不同的安全设备;若第一安全日志和第二安全日志满足预设条件,将情报库内的预设字段分别与第一安全日志的所有第一字段、第二安全日志的所有第二字段进行匹配,得到第一匹配结果和第二匹配结果;若第一匹配结果与第二匹配结果不一致,计算第一安全日志的第一偏离值以及计算第二安全日志的第二偏离值;对第一偏离值和第二偏离值进行相似度计算得到相似度值,基于计算得到的相似度值确定第一安全日志和第二安全日志是否为针对同一安全事件生成的。本公开实现了对不同安全设备的日志内容进行可信度关联对比分析。信度关联对比分析。信度关联对比分析。
【技术实现步骤摘要】
一种多源异构安全日志的处理方法及装置
[0001]本公开涉及数据处理
,特别涉及一种多源异构安全日志的处理方法及装置。
技术介绍
[0002]随着互联网信息技术的发展,以及我国网络安全法和等保安全体系的要求,各企业单位、组织机构和政府为了应对网络攻击和国家法规政策要求的需求,都在其网络中部署安装了各种网络安全防御和安全检测等网络安全设备,为了集中管理网络安全设备和各资产产生的事件,监测整体网络的运营态势,还需要在网络中部署统一的网络安全管理平台,对安全事件进行统一的采集、分析、展示管理。
[0003]但现有技术无法对不同安全设备的日志内容的可信度或者不同安全设备能力进行关联对比分析。因此,亟需一种针对不同安全设备的日志及能力进行对比分析的方法。
技术实现思路
[0004]有鉴于此,本公开实施例的目的在于提供一种多源异构安全日志的处理方法及装置,用于解决现有技术无法对不同安全设备的日志内容的可信度或者不同安全设备的能力进行关联对比分析的问题。
[0005]第一方面,本公开实施例提供了一种多源异构安全日志的处理方法,其中,包括:
[0006]获取第一安全日志和第二安全日志;其中,所述第一安全日志和所述第二安全日志属于不同的安全设备;
[0007]在所述第一安全日志和所述第二安全日志满足预设条件的情况下,将情报库内的预设字段分别与所述第一安全日志的所有第一字段进行匹配,得到第一匹配结果,以及将情报库内的预设字段分别与所述第二安全日志的所有第二字段进行匹配,得到第二匹配结果;
[0008]在所述第一匹配结果与所述第二匹配结果不一致的情况下,计算所述第一安全日志的第一偏离值以及计算所述第二安全日志的第二偏离值;
[0009]对所述第一偏离值和所述第二偏离值进行相似度计算得到相似度值,基于计算得到的相似度值确定所述第一安全日志和所述第二安全日志是否为针对同一安全事件生成的。
[0010]在一种可能的实施方式中,所述获取第一安全日志和第二安全日志,包括:
[0011]获取第一安全设备生成的第三安全日志以及第二安全设备生成的第四安全日志;
[0012]基于所述第一安全设备对应的字段解析规则,将所述第三安全日志转化成符合标准规则的第三安全日志,以及基于所述第二安全设备对应的字段解析规则,将所述第四安全日志转化成符合所述标准规则的第四安全日志;
[0013]将所述第三安全日志进行结构化得到所述第一安全日志,以及将所述第四安全日志进行结构化得到所述第二安全日志。
[0014]在一种可能的实施方式中,所述处理方法还包括:
[0015]对比所述第一安全日志中的基础数据与所述第二安全日志中的基础数据是否相同,其中,所述基础数据包括源地址、目标地址、源端口、目标端口、协议类型、请求统一资源定位符以及请求返回值;
[0016]若不同,则确定所述第一安全日志和所述第二安全日志满足所述预设条件。
[0017]在一种可能的实施方式中,所述计算所述第一安全日志的第一偏离值以及计算所述第二安全日志的第二偏离值,包括:
[0018]利用所有所述第一字段的影响程度计算得到所述第一安全日志的第一偏离值,利用所有所述第二字段的影响程度计算得到所述第二安全日志的第二偏离值。
[0019]在一种可能的实施方式中,所述利用所有所述第一字段的影响程度计算得到所述第一安全日志的第一偏离值,利用所有所述第二字段的影响程度计算得到所述第二安全日志的第二偏离值,包括:
[0020]获取所述第一安全日志的第一告警时间以及所述第二安全日志的第二告警时间;
[0021]计算所述第一告警时间和所述第二告警时间之间的告警时间差值;
[0022]利用所有所述第一字段的影响程度以及所述告警时间差值计算得到所述第一偏离值,利用所有所述第二字段的影响程度以及所述告警时间差值计算得到所述第二偏离值。
[0023]在一种可能的实施方式中,所述基于计算得到的相似度值确定所述第一安全日志和所述第二安全日志是否为针对同一安全事件生成的,包括:
[0024]在所述相似度值大于预设阈值的情况下,确定所述第一安全日志和所述第二安全日志为针对同一安全事件生成的。
[0025]在一种可能的实施方式中,处理方法还包括:
[0026]基于所述第一安全日志和所述第二安全日志是否为针对同一安全事件生成,生成所述第一安全日志所属的安全设备以及所述第二安全日志所属的安全设备之间的关联报告。
[0027]第二方面,本公开实施例还提供了一种属性确定装置,其中,包括:
[0028]获取模块,其配置地获取第一安全日志和第二安全日志;其中,所述第一安全日志和所述第二安全日志属于不同的安全设备;
[0029]匹配模块,其配置地在所述第一安全日志和所述第二安全日志满足预设条件的情况下,将情报库内的预设字段分别与所述第一安全日志的所有第一字段进行匹配,得到第一匹配结果,以及将情报库内的预设字段分别与所述第二安全日志的所有第二字段进行匹配,得到第二匹配结果;
[0030]计算模块,其配置地在所述第一匹配结果与所述第二匹配结果不一致的情况下,计算所述第一安全日志的第一偏离值以及计算所述第二安全日志的第二偏离值;
[0031]第一确定模块,其配置地对所述第一偏离值和所述第二偏离值进行相似度计算得到相似度值,基于计算得到的相似度值确定所述第一安全日志和所述第二安全日志是否为针对同一安全事件生成的。
[0032]第三方面,本公开实施例还提供了一种存储介质,其中,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行如下步骤:
[0033]获取第一安全日志和第二安全日志;其中,所述第一安全日志和所述第二安全日志属于不同的安全设备;
[0034]在所述第一安全日志和所述第二安全日志满足预设条件的情况下,将情报库内的预设字段分别与所述第一安全日志的所有第一字段进行匹配,得到第一匹配结果,以及将情报库内的预设字段分别与所述第二安全日志的所有第二字段进行匹配,得到第二匹配结果;
[0035]在所述第一匹配结果与所述第二匹配结果不一致的情况下,计算所述第一安全日志的第一偏离值以及计算所述第二安全日志的第二偏离值;
[0036]对所述第一偏离值和所述第二偏离值进行相似度计算得到相似度值,基于计算得到的相似度值确定所述第一安全日志和所述第二安全日志是否为针对同一安全事件生成的。
[0037]第四方面,本公开实施例还提供了一种电子设备,其中,包括:处理器和存储器,所述存储器存储有所述处理器可执行的机器可读指令,当电子设备运行时,所述处理器与所述存储器之间通过总线通信,所述机器可读指令被所述处理器执行时执行如下步骤:
[0038]获取第一安全日志和第二安全日志;其中,所述第一安全日志和所述第二安全日志属于不同的安全设备;
[0039]在所述第一安全日志和所述第二安全日志满足预设条件的情况本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种多源异构安全日志的处理方法,其特征在于,包括:获取第一安全日志和第二安全日志;其中,所述第一安全日志和所述第二安全日志属于不同的安全设备;在所述第一安全日志和所述第二安全日志满足预设条件的情况下,将情报库内的预设字段分别与所述第一安全日志的所有第一字段进行匹配,得到第一匹配结果,以及将情报库内的预设字段分别与所述第二安全日志的所有第二字段进行匹配,得到第二匹配结果;在所述第一匹配结果与所述第二匹配结果不一致的情况下,计算所述第一安全日志的第一偏离值以及计算所述第二安全日志的第二偏离值;对所述第一偏离值和所述第二偏离值进行相似度计算得到相似度值,基于计算得到的相似度值确定所述第一安全日志和所述第二安全日志是否为针对同一安全事件生成的。2.根据权利要求1所述的处理方法,其特征在于,所述获取第一安全日志和第二安全日志,包括:获取第一安全设备生成的第三安全日志以及第二安全设备生成的第四安全日志;基于所述第一安全设备对应的字段解析规则,将所述第三安全日志转化成符合标准规则的第三安全日志,以及基于所述第二安全设备对应的字段解析规则,将所述第四安全日志转化成符合所述标准规则的第四安全日志;将所述第三安全日志进行结构化得到所述第一安全日志,以及将所述第四安全日志进行结构化得到所述第二安全日志。3.根据权利要求1所述的处理方法,其特征在于,还包括:对比所述第一安全日志中的基础数据与所述第二安全日志中的基础数据是否相同,其中,所述基础数据包括源地址、目标地址、源端口、目标端口、协议类型、请求统一资源定位符以及请求返回值;若不同,则确定所述第一安全日志和所述第二安全日志满足所述预设条件。4.根据权利要求1所述的处理方法,其特征在于,所述计算所述第一安全日志的第一偏离值以及计算所述第二安全日志的第二偏离值,包括:利用所有所述第一字段的影响程度计算得到所述第一安全日志的第一偏离值,利用所有所述第二字段的影响程度计算得到所述第二安全日志的第二偏离值。5.根据权利要求所述的处理方法,其特征在于,所述利用所有所述第一字段的影响程度计算得到所述第一安全日志的第一偏离值,利用所有所述第二字段的影响程度计算得到所述第二安全日志的第二偏离值,包括:获取所述第一安全日志的第一告警时间以及所述第二安全日志的第二告警时间;计算所述第一告警时间和所述第二告警时间之间的告警时间差值;利用所有所述第一字段的影响程度以及所述告警时间差值计算得到所述第一偏离值,利用所有所述第二字段的影响程度以及所述告警时间差值计算得到所述第二偏离值。6.根据权利要求1所述的处理方法,其特征在于,所述基于计算得到的相似度值确定所述第一安全日志和所述第二安全日志是否为针对同一安全事件生成的,包括:在所述相似度值大于预设阈值的情况下,确定所述第一安全日志和所述第二安全日志为针对同一安全事件生成的。7.根据权利要求1所述的处理方法,其特征在于,...
【专利技术属性】
技术研发人员:郑飞,惠红刚,张彩霞,崔明哲,杨欣欣,
申请(专利权)人:北京天融信科技有限公司北京天融信软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。