【技术实现步骤摘要】
一种日志归并的方法、装置及电子设备
[0001]本申请涉及网络安全
,尤其涉及一种日志归并的方法、装置及电子设备。
技术介绍
[0002]在网络安全中,如果设备监测到攻击事件,便会瞬间产生相应的告警日志。随着信息爆发时代的到来,攻击事件呈现指数级增长,进而产生成千上万的告警日志。在这些告警日志中存在许多冗杂且繁复的攻击事件,若将每一次产生攻击事件都作告警通知的处理,重复通知相同的攻击事件是没有意义的,不仅会导致设备资源的浪费,还将增加运维人员的工作负担。
[0003]当前,为了防止相同攻击事件浪费设备资源和增加运维人员负担,提出归并DNS(Domain Name System,域名系统)协议下的日志数据,或者归并属于同一IP(Internet Protocol,网际互连协议)策略攻击事件的日志的方法。
[0004]然而,无论是DNS协议还是同一IP策略,都属于单一化的归并场景,仅使用单一化的日志归并方法并不能处理多样化的攻击事件,仍然存在大量无效警告日志,而导致设备资源无效浪费和运维人员工作效率低下的问...
【技术保护点】
【技术特征摘要】
1.一种日志归并的方法,其特征在于,所述方法包括:当检测到第一攻击事件时,确定所述第一攻击事件的事件类型;在N个归并池中,判定是否存在根据所述事件类型建立的第一归并池,其中,N为大于等于1的整数;若存在,则将所述第一攻击事件归并到所述第一归并池中;若不存在,则根据所述第一攻击事件的事件类型创建新的归并池。2.如权利要求1所述的方法,其特征在于,所述当检测到第一攻击事件时,确定所述第一攻击事件的事件类型,包括:当检测到第一攻击事件时,获取所述第一攻击事件的第一事件编码;根据事件编码与事件类型之间的对应关系,确定所述第一攻击事件的事件类型。3.如权利要求1所述的方法,其特征在于,所述将所述第一攻击事件归并到所述第一归并池中,包括:获取所述第一攻击事件的特征参数,并根据所述特征参数计算所述第一攻击事件的第一特征值;判定所述第一归并池中是否存在第二攻击事件的第二特征值与所述第一特征值相同;若不存在,则发出所述第一攻击事件对应的告警通知,并将所述第一攻击事件归并到所述第一归并池中;若存在,则判定所述第二攻击事件的归并时间是否处于预设时间内:若是,则将所述第一攻击事件归并到所述第一归并池中;若否,则发出所述第一攻击事件对应的告警信息,清除所述第一归并池中所有的攻击事件,并将所述第一攻击事件归并到所述第一归并池中。4.如权利要求1所述的方法,其特征在于,在所述根据所述第一攻击事件的事件类型创建新的归并池后,还包括:根据所述第一攻击事件,发出对应的告警通知;将所述第一攻击事件归并到第二归并池中。5.一种日志归并的装置,其特征在于,所述系统包括:确定模块,当检测到第一攻击事件时,确定所述第一攻击事件的事件类型;判定模块,在N个归并池中,判定是否存在根据所述事件类型建立的第...
【专利技术属性】
技术研发人员:罗浩,刘琛梅,罗果,杨朋飞,何继东,
申请(专利权)人:北京神州绿盟科技有限公司神州绿盟成都科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。