【技术实现步骤摘要】
一种多源异构安全日志的处理方法及装置
[0001]本公开涉及数据处理
,特别涉及一种多源异构安全日志的处理方法及装置。
技术介绍
[0002]随着互联网信息技术的发展,以及我国网络安全法和等保安全体系的要求,各企业单位、组织机构和政府为了应对网络攻击和国家法规政策要求的需求,都在其网络中部署安装了各种网络安全防御和安全检测等网络安全设备,为了集中管理网络安全设备和各资产产生的事件,监测整体网络的运营态势,还需要在网络中部署统一的网络安全管理平台,对安全事件进行统一的采集、分析、展示管理。
[0003]但现有技术无法对不同安全设备的日志内容的可信度或者不同安全设备能力进行关联对比分析。因此,亟需一种针对不同安全设备的日志及能力进行对比分析的方法。
技术实现思路
[0004]有鉴于此,本公开实施例的目的在于提供一种多源异构安全日志的处理方法及装置,用于解决现有技术无法对不同安全设备的日志内容的可信度或者不同安全设备的能力进行关联对比分析的问题。
[0005]第一方面,本公开实施例提供了一种多源异构安全日志的处理方法,其中,包括:
[0006]获取第一安全日志和第二安全日志;其中,所述第一安全日志和所述第二安全日志属于不同的安全设备;
[0007]在所述第一安全日志和所述第二安全日志满足预设条件的情况下,将情报库内的预设字段分别与所述第一安全日志的所有第一字段进行匹配,得到第一匹配结果,以及将情报库内的预设字段分别与所述第二安全日志的所有第二字段进行匹配,得到第二匹配结 ...
【技术保护点】
【技术特征摘要】
1.一种多源异构安全日志的处理方法,其特征在于,包括:获取第一安全日志和第二安全日志;其中,所述第一安全日志和所述第二安全日志属于不同的安全设备;在所述第一安全日志和所述第二安全日志满足预设条件的情况下,将情报库内的预设字段分别与所述第一安全日志的所有第一字段进行匹配,得到第一匹配结果,以及将情报库内的预设字段分别与所述第二安全日志的所有第二字段进行匹配,得到第二匹配结果;在所述第一匹配结果与所述第二匹配结果不一致的情况下,计算所述第一安全日志的第一偏离值以及计算所述第二安全日志的第二偏离值;对所述第一偏离值和所述第二偏离值进行相似度计算得到相似度值,基于计算得到的相似度值确定所述第一安全日志和所述第二安全日志是否为针对同一安全事件生成的。2.根据权利要求1所述的处理方法,其特征在于,所述获取第一安全日志和第二安全日志,包括:获取第一安全设备生成的第三安全日志以及第二安全设备生成的第四安全日志;基于所述第一安全设备对应的字段解析规则,将所述第三安全日志转化成符合标准规则的第三安全日志,以及基于所述第二安全设备对应的字段解析规则,将所述第四安全日志转化成符合所述标准规则的第四安全日志;将所述第三安全日志进行结构化得到所述第一安全日志,以及将所述第四安全日志进行结构化得到所述第二安全日志。3.根据权利要求1所述的处理方法,其特征在于,还包括:对比所述第一安全日志中的基础数据与所述第二安全日志中的基础数据是否相同,其中,所述基础数据包括源地址、目标地址、源端口、目标端口、协议类型、请求统一资源定位符以及请求返回值;若不同,则确定所述第一安全日志和所述第二安全日志满足所述预设条件。4.根据权利要求1所述的处理方法,其特征在于,所述计算所述第一安全日志的第一偏离值以及计算所述第二安全日志的第二偏离值,包括:利用所有所述第一字段的影响程度计算得到所述第一安全日志的第一偏离值,利用所有所述第二字段的影响程度计算得到所述第二安全日志的第二偏离值。5.根据权利要求所述的处理方法,其特征在于,所述利用所有所述第一字段的影响程度计算得到所述第一安全日志的第一偏离值,利用所有所述第二字段的影响程度计算得到所述第二安全日志的第二偏离值,包括:获取所述第一安全日志的第一告警时间以及所述第二安全日志的第二告警时间;计算所述第一告警时间和所述第二告警时间之间的告警时间差值;利用所有所述第一字段的影响程度以及所述告警时间差值计算得到所述第一偏离值,利用所有所述第二字段的影响程度以及所述告警时间差值计算得到所述第二偏离值。6.根据权利要求1所述的处理方法,其特征在于,所述基于计算得到的相似度值确定所述第一安全日志和所述第二安全日志是否为针对同一安全事件生成的,包括:在所述相似度值大于预设阈值的情况下,确定所述第一安全日志和所述第二安全日志为针对同一安全事件生成的。7.根据权利要求1所述的处理方法,其特征在于,...
【专利技术属性】
技术研发人员:郑飞,惠红刚,张彩霞,崔明哲,杨欣欣,
申请(专利权)人:北京天融信科技有限公司北京天融信软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。