【技术实现步骤摘要】
一种基于APT分析的Elasticsearch索引方法、装置和计算机设备
本申请涉及数据查询
,特别是涉及一种基于APT分析的Elasticsearch索引方法、装置和计算机设备。
技术介绍
Elasticsearch是一个开源的基于Lucene的搜索服务器,它提供了一个分布式多用户能力的全文搜索引擎。在大数据行业里,Elasticsearch的分布式检索功能便于数据多维度呈现、分析和预测,有利于发挥数据的价值。在相关技术,APT攻击特点为:团队协同作战,攻击方式多样,攻击持续及间隔时间长。当对这种攻击进行分析时,需要对历史上的其他攻击进行联动分析,通过攻击方式,攻击习惯,攻击指纹等信息确认是否属于APT攻击。现有的基于日志的APT大数据分析平台均使用时间轴,作为日志存储索引的基础,但当通过其他非日期关键字查询数据时,需要遍历所有覆盖时间段的索引,进而存在检索效率低的问题。目前针对相关技术中基于日志的APT大数据分析使用时间轴,作为日志存储索引的基础,存在检索效率低的问题,尚未提出有效的解决方案...
【技术保护点】
1.一种基于APT分析的Elasticsearch索引方法,其特征在于,所述方法包括:/n获取待查询的指令;/n在数据库中包含有与所述指令相对应索引的情况下,在所述索引中查询所述指令,并确定索引结果;其中,所述数据库中创建有日期和IP段的索引,并根据IP池宽度确定所述IP段,且所述索引创建有文档,所述文档与攻击信息有关。/n
【技术特征摘要】
1.一种基于APT分析的Elasticsearch索引方法,其特征在于,所述方法包括:
获取待查询的指令;
在数据库中包含有与所述指令相对应索引的情况下,在所述索引中查询所述指令,并确定索引结果;其中,所述数据库中创建有日期和IP段的索引,并根据IP池宽度确定所述IP段,且所述索引创建有文档,所述文档与攻击信息有关。
2.根据权利要求1所述的方法,其特征在于,在数据库中包含有与所述指令相对应索引的情况下,在所述索引中查询所述指令之前,所述方法还包括:
根据所述索引对所述指令进行拆解,并判断所述数据库中是否包含有与拆解后的指令相对应的索引。
3.根据权利要求1所述的方法,其特征在于,在数据库中包含有与所述指令相对应索引的情况下,在所述索引中查询所述指令之前,所述方法还包括:
启动与所述指令相对应的索引,并在确定所述索引结果之后,关闭所述索引。
4.根据权利要求3所述的方法,其特征在于,所述启动与所述指令相对应的索引之后,所述方法还包括:
停止所述攻击信息接入所述数据库,通过本地缓存形式保存所述攻击信息,并在确定所述索引结果之后,所述攻击信息导入所述数据库。
5.根据权利要求1所述的方法,其特征在于,所述索引下创建有文档,所述文档与攻击信息有关的情况下,所述文档包括至少以下之一:告警信息、流量信息、IP信息、地理位置信息、来源设备信息。
6.根...
【专利技术属性】
技术研发人员:李昭宇,范渊,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。