本申请提供一种日志识别方法、装置、电子设备及存储介质。方法包括:获取攻击日志信息;攻击日志信息包括目标IP地址和目标规则标识;根据目标规则标识获得攻击日志信息所针对的第一资产信息;根据目标IP地址从被监控设备对应的资产表中获取第二资产信息;将第一资产信息和第二资产信息进行对比,根据对比结果确定攻击日志信息对应的目标风险级别。本申请实施例关注攻击日志信息所针对的第一资产信息以及服务器所对应的第二资产信息,通过对比第一资产信息和第二资产信息确定攻击日志信息所对应的风险等级,从而可以实现自动研判攻击日志信息是否为误报,减少了安服人员的研判工作量,提高了对日志识别的效率。提高了对日志识别的效率。提高了对日志识别的效率。
【技术实现步骤摘要】
一种日志识别方法、装置、电子设备及存储介质
[0001]本申请涉及网络安全
,具体而言,涉及一种日志识别方法、装置、电子设备及存储介质。
技术介绍
[0002]随着防火墙功能的完善,防火墙中各个功能模块在一段时间内会产生很多攻击日志,攻击日志中会含有一些误报日志,例如:服务器安装的是linux系统,攻击报文是针对windows系统攻击,这种情况就属于误报。
[0003]目前,要确认防火墙日志是否为真正攻击,需要懂得安全知识的安服人员进行人工排查,首先了解攻击日志是针对哪个操作系统或哪个应用软件攻击的,然后再确认受攻击主机的操作系统或安装的应用软件信息,结合两者的信息,来确认该攻击是否为误报日志。这样对安服人员安全知识要求较高,并且人工排查耗时耗力。
技术实现思路
[0004]本申请实施例的目的在于提供一种日志识别方法、装置、电子设备及存储介质,用以解决现有技术中对日志识别时,耗时耗力的问题,从而提高人工排查的效率。
[0005]第一方面,本申请实施例提供一种日志识别方法,包括:获取攻击日志信息;所述攻击日志信息包括目标IP地址和目标规则标识;根据所述目标规则标识获得所述攻击日志信息所针对的第一资产信息;根据所述目标IP地址从所述被监控设备对应的资产表中获取第二资产信息;将所述第一资产信息和所述第二资产信息进行对比,根据对比结果确定所述攻击日志信息对应的目标风险级别。
[0006]本申请实施例关注攻击日志信息所针对的第一资产信息以及服务器所对应的第二资产信息,通过对比第一资产信息和第二资产信息确定攻击日志信息所对应的风险等级,从而可以实现自动研判攻击日志信息是否为误报,减少了安服人员的研判工作量,提高了对日志识别的效率。
[0007]在任一实施例中,所述获取攻击日志信息包括:获取预先构建的规则库,所述规则库包括多条风险识别规则,每条所述风险识别规则包括规则标识、敏感字段和风险级别;获取流量数据,从所述规则库中获取与所述流量数据匹配的目标风险识别规则;根据所述目标风险识别规则生成所述攻击日志信息。本申请实施例通过将流量数据与预先构建的规则库进行匹配,可以快速确定流量数据是否是攻击流量数据,在是攻击流量数据的情况下,生成对应的攻击日志信息,便于后续进行日志的识别。
[0008]在任一实施例中,所述攻击日志信息还包括目标规则标识;所述根据所述攻击日志信息获得所述攻击日志信息所针对的第一资产信息,包括:根据所述目标规则标识从所述规则资产表中获取所述规则标识对应的所述第一资产信息;其中,所述规则资产表中包括每条所述风险识别规则所针对的资产信息。本申请实施例通过规则资产表可以确定攻击日志信息所对应的第一资产信息,进而可以根据第一资产信息与服务器的第二资产信息自
动确认风险等级,降低了对安服人员的依赖,提高了对攻击日志信息识别的效率。
[0009]在任一实施例中,所述第一资产信息包括第一操作系统名称,所述第二资产信息包括第二操作系统名称,所述将所述第一资产信息和所述第二资产信息进行对比,根据对比结果确定所述攻击日志信息对应的目标风险级别,包括:若所述第一操作系统名称与所述第二操作系统名称不同,则确定所述目标风险级别为低风险。本申请实施例通过比对操作系统名称,如果攻击日志信息所针对的操作系统名称与服务器的操作系统名称不同,则说明攻击日志信息为误报,因此,可以快速确定风险等级为低风险。
[0010]在任一实施例中,所述第一资产信息还包括第一应用名称和第一应用版本信息,所述第二资产信息还包括第二应用名称和第二应用版本信息,所述将所述第一资产信息和所述第二资产信息进行对比,根据对比结果确定所述攻击日志信息对应的目标风险级别,包括:若所述第一操作系统名称与所述第二操作系统名称相同,则将所述第一应用名称和所述第二应用名称进行对比,以及将所述第一应用版本信息和所述第二应用版本信息进行对比;若所述第一应用名称和所述第二应用名称相同,且所述第一应用版本信息和所述第二应用版本信息也相同,则将所述攻击日志信息对应的风险级别作为目标风险级别;否则,所述目标风险级别为低风险。本申请实施例通过比对攻击日志信息所针对的操作系统名称、应用名称、应用版本信息与服务器对应的操作系统名称、应用名称、应用版本信息进行一一比对,可以自动的确定攻击日志信息是否为误报。
[0011]在任一实施例中,在根据对比结果确定所述攻击日志信息对应的目标风险级别之后,所述方法还包括:若所述目标风险级别为高风险,则进行告警提示。通过告警提示可以告知用户服务器被攻击,使其能够及时处理。
[0012]第二方面,本申请实施例提供一种日志识别装置,包括:获取模块,用于获取攻击日志信息;所述攻击日志信息包括目标IP地址;第一资产信息获得模块,用于根据所述攻击日志信息获得所述攻击日志信息所针对的第一资产信息;第二资产信息获得模块,用于根据所述目标IP地址从所述被监控设备对应的资产表中获取第二资产信息;风险确定模块,用于将所述第一资产信息和所述第二资产信息进行对比,根据对比结果确定所述攻击日志信息对应的目标风险级别。
[0013]进一步地,所述获取模块,具体用于:获取预先构建的规则库,所述规则库包括多条风险识别规则,每条所述风险识别规则包括规则标识、IP地址和风险级别;获取流量数据,从所述规则库中获取与所述流量数据匹配的目标风险识别规则;根据所述目标风险识别规则生成所述攻击日志信息。
[0014]第三方面,本申请实施例提供一种电子设备,包括:处理器、存储器和总线,其中,所述处理器和所述存储器通过所述总线完成相互间的通信;所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行第一方面的方法。
[0015]第四方面,本申请实施例提供一种非暂态计算机可读存储介质,包括:所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行第一方面的方法。
[0016]本申请的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请实施例了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
[0017]为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
[0018]图1为本申请实施例提供的一种日志识别方法流程示意图;
[0019]图2为本申请实施例提供的一种资产信息图;
[0020]图3为本申请实施例提供的另一种日志识别方法流程示意图;
[0021]图4为本申请实施例提供的日志识别装置结构示意图;
[0022]图5为本申请实施例提供的电子设备实体结构示意图。
具体实施方式
[0023]针对防火墙产生大量的攻击日志本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种日志识别方法,其特征在于,包括:获取攻击日志信息;所述攻击日志信息包括目标IP地址和目标规则标识;根据所述目标规则标识获得所述攻击日志信息所针对的第一资产信息;根据所述目标IP地址从被监控设备对应的资产表中获取第二资产信息;将所述第一资产信息和所述第二资产信息进行对比,根据对比结果确定所述攻击日志信息对应的目标风险级别。2.根据权利要求1所述的方法,其特征在于,所述获取攻击日志信息包括:获取预先构建的规则库,所述规则库包括多条风险识别规则,每条所述风险识别规则包括规则标识、敏感字段和风险级别;获取流量数据,从所述规则库中获取与所述流量数据匹配的目标风险识别规则;根据所述目标风险识别规则生成所述攻击日志信息。3.根据权利要求1所述的方法,其特征在于,所述根据所述攻击日志信息获得所述攻击日志信息所针对的第一资产信息,包括:根据所述目标规则标识从规则资产表中获取所述规则标识对应的所述第一资产信息;其中,所述规则资产表中包括每条所述风险识别规则所针对的资产信息。4.根据权利要求1所述的方法,其特征在于,所述第一资产信息包括第一操作系统名称,所述第二资产信息包括第二操作系统名称,所述将所述第一资产信息和所述第二资产信息进行对比,根据对比结果确定所述攻击日志信息对应的目标风险级别,包括:若所述第一操作系统名称与所述第二操作系统名称不同,则确定所述目标风险级别为低风险。5.根据权利要求4所述的方法,其特征在于,所述第一资产信息还包括第一应用名称和第一应用版本信息,所述第二资产信息还包括第二应用名称和第二应用版本信息,所述将所述第一资产信息和所述第二资产信息进行对比,根据对比结果确定所述攻击日志信息对应的目标风险级别,包括:若所述第一操作系统名称与所述第二操作系统名称相同,则将所述第一应用名称和所述第二应用名称进行对比,以及将所述第一应用版本信...
【专利技术属性】
技术研发人员:刘继东,娄扬,
申请(专利权)人:北京天融信科技有限公司北京天融信软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。