本发明专利技术公开了一种日志访问关系的威胁追踪方法、装置、电子设备及可读存储介质,该方法包括:获取访问关系查询请求;其中,访问关系查询请求包括查询目标和查询类型;若查询类型包括详情类型,则从详情数据库中搜索查询目标对应的详情数据;若查询类型包括表单类型,则从表单数据库中搜索查询目标对应的表单数据;其中,表单数据库中存储原始访问日志对应的表单数据;本发明专利技术利用表单数据库存储各查询目标对应的表单数据,通过表单数据的存储提升日志访问关系的搜索速度;利用详情数据库存储各查询目标对应的详情数据,使得最新的日志详情能够快速存储到详情数据库中,从而在保证日志访问关系的搜索性能的前提下,实现最新数据的实时搜索。搜索。搜索。
【技术实现步骤摘要】
一种日志访问关系的威胁追踪方法、装置及电子设备
[0001]本专利技术涉及信息安全
,特别涉及一种日志访问关系的威胁追踪方法、装置、电子设备及可读存储介质。
技术介绍
[0002]目前,日志访问关系的威胁追踪系统主要目的是通过搜索IP(Internet Protocol,网际互连协议)、URL(Uniform Resource Locator,统一资源定位符)和域名等关键信息去发现日志中存在的威胁,并通过扩展搜索追踪威胁传播的路径;使人们能够从错综复杂的日志中,形象而生动的观察出存在的威胁及其扩展传播的路径。
[0003]然而,现有技术中日志访问关系的威胁追踪方案往往因为日志数据的数据量庞大,难以做到搜索的秒级响应;并且在保证搜索性能的前提下,难以实时搜索最新的数据。因此,如何能够提高日志访问关系的搜索性能,并在保证搜索性能的前提下,实现最新数据的实时搜索,是现今急需解决的问题。
技术实现思路
[0004]本专利技术的目的是提供一种日志访问关系的威胁追踪方法、装置、电子设备及可读存储介质,以提高日志访问关系的搜索性能,并在保证搜索性能的前提下,实现最新数据的实时搜索。
[0005]为解决上述技术问题,本专利技术提供一种日志访问关系的威胁追踪方法,包括:
[0006]获取访问关系查询请求;其中,所述访问关系查询请求包括查询目标和查询类型,所述查询目标包括源IP、目标IP、端口信息、URL信息、域名信息和资产信息中的至少一项,所述查询类型包括详情类型和/或表单类型;
[0007]若所述查询类型包括所述详情类型,则从详情数据库中搜索所述查询目标对应的详情数据;其中,所述详情数据库中存储原始访问日志对应的详情数据,所述原始访问日志包括安全访问日志、网络流量日志、DNS日志和HTTP日志中的至少一项;
[0008]若所述查询类型包括所述表单类型,则从表单数据库中搜索所述查询目标对应的表单数据;其中,所述表单数据库中存储所述原始访问日志对应的表单数据。
[0009]可选的,所述从表单数据库中搜索所述查询目标对应的表单数据,包括:
[0010]通过分布式表向数据库节点发送所述查询目标的数据请求,以控制所述数据库节点请求目标节点中的所述查询目标对应的表单数据;其中,所述数据库节点为表单数据库集群的任一节点,所述目标节点为所述表单数据库集群中存储有所述查询目标对应的表单数据的节点;
[0011]接收所述数据库节点返回的所述查询目标对应的表单数据。
[0012]可选的,该方法还包括:
[0013]根据获取的所述原始访问日志,配置所述详情数据库和/或所述表单数据库;
[0014]其中,根据所述原始访问日志,配置所述表单数据库的过程,包括:
[0015]对所述原始访问日志进行筛选,获取目标数据;其中,所述目标数据包括所述原始访问日志中访问关系对应的数据;
[0016]将所述目标数据存储到所述表单数据库。
[0017]可选的,当所述原始访问日志包括所述安全访问日志和所述网络流量日志的情况下,所述对所述原始访问日志进行筛选,获取目标数据,包括:
[0018]根据所述原始访问日志的协议类型和响应流量,确定所述原始访问日志中的所述目标数据。
[0019]可选的,当所述原始访问日志包括所述HTTP日志的情况下,所述对所述原始访问日志进行筛选,获取目标数据,包括:
[0020]删除所述HTTP日志中统一资源定位符中的查询参数,得到目标HTTP日志,并将所述目标HTTP日志作为所述目标数据。
[0021]可选的,所述将所述目标数据存储到所述表单数据库,包括:
[0022]数据库节点根据业务需求信息,生成各自的目标数据对应的物化视图;根据全部所述数据库节点各自对应的目标数据和物化视图,生成分布式表。
[0023]可选的,所述数据库节点根据业务需求信息,生成各自的目标数据对应的物化视图,包括:
[0024]所述数据库节点对各自的目标数据进行去重合并,得到合并数据;
[0025]根据所述根据业务需求信息,生成各自的合并数据对应的物化视图。
[0026]本专利技术还提供了一种日志访问关系的威胁追踪装置,包括:
[0027]请求获取模块,用于获取访问关系查询请求;其中,所述访问关系查询请求包括查询目标和查询类型,所述查询目标包括源IP、目标IP、端口信息、URL信息、域名信息和资产信息中的至少一项,所述查询类型包括详情类型和/或表单类型;
[0028]详情查询模块,用于若所述查询类型包括所述详情类型,则从详情数据库中搜索所述查询目标对应的详情数据;其中,所述详情数据库中存储原始访问日志对应的详情数据,所述原始访问日志包括安全访问日志、网络流量日志、DNS日志和HTTP日志中的至少一项;
[0029]表单查询模块,用于若所述查询类型包括所述表单类型,则从表单数据库中搜索所述查询目标对应的表单数据;其中,所述表单数据库中存储所述原始访问日志对应的表单数据。
[0030]本专利技术还提供了一种电子设备,包括:
[0031]存储器,用于存储计算机程序;
[0032]处理器,用于执行所述计算机程序时实现如上述所述的日志访问关系的威胁追踪方法的步骤。
[0033]此外,本专利技术还提供了一种可读存储介质,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述所述的日志访问关系的威胁追踪方法的步骤。
[0034]本专利技术所提供的一种日志访问关系的威胁追踪方法,包括:获取访问关系查询请求;其中,访问关系查询请求包括查询目标和查询类型,查询目标包括源IP、目标IP、端口信息、URL信息、域名信息和资产信息中的至少一项,查询类型包括详情类型和/或表单类型;
若查询类型包括详情类型,则从详情数据库中搜索查询目标对应的详情数据;其中,详情数据库中存储原始访问日志对应的详情数据,原始访问日志包括安全访问日志、网络流量日志、DNS日志和HTTP日志中的至少一项;若查询类型包括表单类型,则从表单数据库中搜索查询目标对应的表单数据;其中,表单数据库中存储原始访问日志对应的表单数据;
[0035]可见,本专利技术利用表单数据库存储各查询目标对应的表单数据,通过表单数据的存储提升日志访问关系的搜索速度;利用详情数据库存储各查询目标对应的详情数据,使得最新的日志详情能够快速存储到详情数据库中,从而在保证日志访问关系的搜索性能的前提下,实现最新数据的实时搜索。此外,本专利技术还提供了一种日志访问关系的威胁追踪装置、电子设备及可读存储介质,同样具有上述有益效果。
附图说明
[0036]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
[0037本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种日志访问关系的威胁追踪方法,其特征在于,包括:获取访问关系查询请求;其中,所述访问关系查询请求包括查询目标和查询类型,所述查询目标包括源IP、目标IP、端口信息、URL信息、域名信息和资产信息中的至少一项,所述查询类型包括详情类型和/或表单类型;若所述查询类型包括所述详情类型,则从详情数据库中搜索所述查询目标对应的详情数据;其中,所述详情数据库中存储原始访问日志对应的详情数据,所述原始访问日志包括安全访问日志、网络流量日志、DNS日志和HTTP日志中的至少一项;若所述查询类型包括所述表单类型,则从表单数据库中搜索所述查询目标对应的表单数据;其中,所述表单数据库中存储所述原始访问日志对应的表单数据。2.根据权利要求1所述的日志访问关系的威胁追踪方法,其特征在于,所述从表单数据库中搜索所述查询目标对应的表单数据,包括:通过分布式表向数据库节点发送所述查询目标的数据请求,以控制所述数据库节点请求目标节点中的所述查询目标对应的表单数据;其中,所述数据库节点为表单数据库集群的任一节点,所述目标节点为所述表单数据库集群中存储有所述查询目标对应的表单数据的节点;接收所述数据库节点返回的所述查询目标对应的表单数据。3.根据权利要求1或2所述的日志访问关系的威胁追踪方法,其特征在于,还包括:根据获取的所述原始访问日志,配置所述详情数据库和/或所述表单数据库;其中,根据所述原始访问日志,配置所述表单数据库的过程,包括:对所述原始访问日志进行筛选,获取目标数据;其中,所述目标数据包括所述原始访问日志中访问关系对应的数据;将所述目标数据存储到所述表单数据库。4.根据权利要求3所述的日志访问关系的威胁追踪方法,其特征在于,当所述原始访问日志包括所述安全访问日志和所述网络流量日志的情况下,所述对所述原始访问日志进行筛选,获取目标数据,包括:根据所述原始访问日志的协议类型和响应流量,确定所述原始访问日志中的所述目标数据。5.根据权利要求3所述的日志访问关系的威胁追踪方法,其特征在于,当所述原始访问日志...
【专利技术属性】
技术研发人员:刘飞,夏章杰,柯超建,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。