本申请提供了一种日志处理方法及装置,用于在内网攻击事件中区分包含相同IP地址的不同攻击事件,并确定攻击源。所述方法包括:获取第一威胁日志和第二威胁日志;其中,第一威胁日志和第二威胁日志包括相同的源IP地址,第一威胁日志和第二威胁日志包括相同的目的IP地址,所述源IP地址和所述目的IP地址均属于内网的IP地址;当确定所述第一威胁日志来自第一网络设备时,确定所述第一威胁日志由第一攻击事件产生;所述第一攻击事件是由连接所述第一网络设备的终端设备产生的;当确定所述第二威胁日志来自第二网络设备时,确定所述第二威胁日志由第二攻击事件产生;所述第二攻击事件是由连接所述第二网络设备的终端设备产生的。连接所述第二网络设备的终端设备产生的。连接所述第二网络设备的终端设备产生的。
【技术实现步骤摘要】
一种日志处理方法及装置
[0001]本申请涉及网络安全领域,尤其涉及一种日志处理方法及装置。
技术介绍
[0002]随着网络技术的发展,出现了网络安全技术,网络安全技术主要是为了维护计算机通信网络的安全,主要包括网络的硬件和软件的正常运行、以及数据信息交换的安全。在实际应用中,由于网络攻击行为的频发常常会对系统的网络安全造成隐患。为了保障系统安全,对网络攻击进行识别,并确定攻击源就变得尤为重要了。
[0003]现有的大数据威胁分析系统中通常会获取网络设备产生的多条威胁日志,一般通过解析多条威胁日志中的五元组(源IP地址、源端口、目的IP地址、目的端口、传输层协议),将攻击事件进行分组,相同的IP地址即认为是同一事件。但是,由于不同内网中的IP地址可能相同,所以可能会将多个不同的攻击事件判定为一个攻击事件,导致无法及时预警。
技术实现思路
[0004]本申请提供一种日志处理方法及装置,根据网络设备标识区分在内网攻击事件中包含相同IP地址的不同的攻击事件。
[0005]第一方面,本申请实施例提供了一种日志处理方法,包括:获取第一威胁日志和第二威胁日志;
[0006]其中,所述第一威胁日志和所述第二威胁日志包括相同的源IP地址,所述第一威胁日志和所述第二威胁日志包括相同的目的IP地址,所述源IP地址和所述目的IP地址均属于内网的IP地址;
[0007]当确定所述第一威胁日志来自第一网络设备时,确定所述第一威胁日志由第一攻击事件产生;所述第一攻击事件是由连接所述第一网络设备的终端设备产生的;
[0008]当确定所述第二威胁日志来自第二网络设备时,确定所述第二威胁日志由第二攻击事件产生;所述第二攻击事件是由连接所述第二网络设备的终端设备产生的。
[0009]基于上述方案,在获取到第一威胁日志和第二威胁日志时,若两条威胁日志中的源IP地址或者目的IP地址相同,本申请提出了根据威胁日志来自不同的网络设备将不同的威胁日志加以区分。解决了由于内网攻击事件中来自不同内网的IP地址可能会相同,导致无法区分不同的攻击事件的问题。
[0010]在一种可能的实现方式中,确定所述第一威胁日志来自第一网络设备,包括:
[0011]根据所述第一威胁日志包括的第一网络设备的标识,确定所述第一威胁日志来自第一网络设备;或者,
[0012]确定所述第二威胁日志来自第二网络设备,包括:
[0013]根据所述第二威胁日志包括的第二网络设备的标识,确定所述第二威胁日志来自第二网络设备。
[0014]基于上述方案,根据威胁日志中包含的网络设备的标识,区分不同的威胁日志,可
以更加准确的将不同的威胁日志区分开,避免区分错误的情况发生。
[0015]在一种可能的实现方式中,所述方法还包括:
[0016]确定与所述第一网络设备的标识关联的第一资源组,所述第一资源组包括与所述第一网络设备连接的一个或多个第一终端设备的IP地址;将所述第一资源组中与所述源IP地址匹配的第一终端设备确定为所述第一攻击事件的攻击源;或者,
[0017]确定与所述第二网络设备的标识关联的第二资源组,所述第二资源组包括与所述第二网络设备连接的一个或多个第二终端设备的IP地址;将所述第二资源组中与所述源IP地址匹配的第二终端设备确定为所述第二攻击事件的攻击源。
[0018]基于上述方案,在接收到威胁日志后,首先根据威胁日志中包含的网络设备的标识确定与其关联的资源组,资源组中包括与网络设备连接的一个或多个终端设备的IP地址;再根据威胁日志中的源IP地址与资源组中的终端设备IP地址进行匹配,与源IP地址相同的终端设备即为攻击源。可以更加精准并迅速地确定攻击源。
[0019]在一种可能的实现方式中,所述方法还包括:
[0020]接收配置信息,配置信息包括所述第一网络设备与所述一个或者多个第一终端设备的第一关联关系,和所述第二网络设备与所述一个或者多个第二终端设备的第二关联关系;
[0021]根据所述第一关联关系和第二关联关系生成网络拓扑图;
[0022]其中,用于描述所述网络拓扑图的信息包括所述第一网络设备的标识与所述第一资源组的对应关系,所述第二网络设备的标识与所述第二资源组的对应关系。
[0023]基于上述方案,根据配置信息中包含的网络设备与终端设备的关联关系生成网络拓扑图,可以更加形象的展示网络设备、资源组和终端设备之间的关联关系。
[0024]在一种可能的实现方式中,所述方法还包括:
[0025]根据内网IP灰名单确定所述源IP地址和所述目的IP地址均属于内网的IP地址;
[0026]其中,所述内网IP灰名单包括所述源IP地址和所述目的IP地址。
[0027]基于上述方案,根据内网灰名单确定源IP地址和目的IP地址为内网的IP地址,能够更加准确的判定源IP地址和目的IP地址是否为内网IP地址。
[0028]在一种可能的实现方式中,根据内网IP灰名单确定所述源IP地址和所述目的IP地址均属于内网的IP地址之前,所述方法还包括:
[0029]确定内网识别模式已开启;所述内网识别模式用于指示采用识别内网IP地址的方式确定攻击事件。
[0030]基于上述方案,在进行确定源IP地址和目的IP地址为内网IP地址之前,先确定内网识别模式是否开启,确定开启的情况下再采用识别内网IP地址的方式确定攻击事件,可以节约计算资源。
[0031]在一种可能的实现方式中,所述方法还包括:
[0032]若确定所述内网IP灰名单中不包含所述源IP地址或者所述目的IP地址,则根据所述源IP地址确定所述第一威胁日志和所述第二威胁日志所属的攻击事件。
[0033]基于上述方案,若源IP地址和目的IP地址不是内网IP,则根据源IP地址确定攻击事件,可以避免出现错误确定攻击事件的情况。并且可以将内网攻击和不是内网攻击区分开。
[0034]在一种可能的实现方式中,所述配置信息还包括所述一个或多个第一终端设备所属人员的信息以及地理位置信息,和所述一个或多个第二终端设备所属人员的信息以及地理位置信息;
[0035]在确定所述第一攻击事件的攻击源之后,根据所述配置信息确定所述第一攻击事件的攻击源的所属人员以及地理位置;
[0036]在确定所述第二攻击事件的攻击源之后,根据所述配置信息确定所述第二攻击事件的攻击源的所属人员以及地理位置。
[0037]基于上述方案,根据配置信息中的终端设备所属人员和地理位置,确定攻击源所处的地理位置和所属人员,可以实现精准的定位攻击源,能够更快速的解决攻击事件。
[0038]第二方面,基于与第一方面同样的专利技术构思,本申请实施例提供了一种日志处理装置,所述日志处理装置可以包括用于实现上述第一方面任一种可能实现的方式,有益效果可以参见第一方面,此处不再赘述。日志处理装置包括:
[0039]获取单元,用于获取第一威胁日志和第二威胁日志;
[0本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种日志处理方法,其特征在于,所述方法包括:获取第一威胁日志和第二威胁日志;其中,所述第一威胁日志和所述第二威胁日志包括相同的源IP地址,所述第一威胁日志和所述第二威胁日志包括相同的目的IP地址,所述源IP地址和所述目的IP地址均属于内网的IP地址;当确定所述第一威胁日志来自第一网络设备时,确定所述第一威胁日志由第一攻击事件产生;所述第一攻击事件是由连接所述第一网络设备的终端设备产生的;当确定所述第二威胁日志来自第二网络设备时,确定所述第二威胁日志由第二攻击事件产生;所述第二攻击事件是由连接所述第二网络设备的终端设备产生的。2.如权利要求1所述的方法,其特征在于,确定所述第一威胁日志来自第一网络设备,包括:根据所述第一威胁日志包括的第一网络设备的标识,确定所述第一威胁日志来自第一网络设备;或者,确定所述第二威胁日志来自第二网络设备,包括:根据所述第二威胁日志包括的第二网络设备的标识,确定所述第二威胁日志来自第二网络设备。3.如权利要求2所述的方法,其特征在于,所述方法还包括:确定与所述第一网络设备的标识关联的第一资源组,所述第一资源组包括与所述第一网络设备连接的一个或多个第一终端设备的IP地址;将所述第一资源组中与所述源IP地址匹配的第一终端设备确定为所述第一攻击事件的攻击源;或者,确定与所述第二网络设备的标识关联的第二资源组,所述第二资源组包括与所述第二网络设备连接的一个或多个第二终端设备的IP地址;将所述第二资源组中与所述源IP地址匹配的第二终端设备确定为所述第二攻击事件的攻击源。4.如权利要求3所述的方法,其特征在于,还包括:接收配置信息,所述配置信息包括所述第一网络设备与所述一个或者多个第一终端设备的第一关联关系,和所述第二网络设备与所述一个或者多个第二终端设备的第二关联关系;根据所述第一关联关系和第二关联关系生成网络拓扑图;其中,用于描述所述网络拓扑图的信息包括所述第一网络设备的标识与所述第一资源组的对应关系,所述第二网络设备的标识与所述第二资源组的对应关系。5.如权利要求1
‑
4任一项所述的方法,其特征在于,还包括:根据内网IP灰名单确定所述源IP地址和所述目的IP地址均属于内网的IP地址;其中...
【专利技术属性】
技术研发人员:周维,吴浪,李学良,陈景妹,胡启明,
申请(专利权)人:北京神州绿盟科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。