【技术实现步骤摘要】
一种告警溯源方法和装置
[0001]本专利技术涉及计算机
,尤其涉及一种告警溯源方法和装置。
技术介绍
[0002]现有技术中获取告警溯源采用日志检索的方案实现,比如,使用分布式的开源搜索和分析引擎检索安全日志。这种方式存在的缺陷是:由于日志检索的结果集较大,难以实现自动化并且获取的告警溯源信息的准确率较低。
技术实现思路
[0003]本专利技术提供一种告警溯源方法和装置,实现了通过构建安全事件图能够自动化获取告警溯源信息,提高了溯源的准确率。
[0004]第一方面,本专利技术实施例提供了一种告警溯源方法,包括:
[0005]获取标准化日志,通过威胁检测组件实时处理所述标准化日志生成告警;
[0006]通过所述告警获取对应的告警数据,对所述告警数据进行分析,得到对应的目标安全实体的描述信息,其中,所述告警数据中包括目标安全实体的描述信息;
[0007]基于所述描述信息在安全事件图中进行查找,确定触发所述告警的目标安全实体,其中,所述安全事件图是基于安全实体以及安全实体之间...
【技术保护点】
【技术特征摘要】
1.一种告警溯源方法,其特征在于,包括:获取标准化日志,通过威胁检测组件实时处理所述标准化日志生成告警;通过所述告警获取对应的告警数据,对所述告警数据进行分析,得到对应的目标安全实体的描述信息,其中,所述告警数据中包括目标安全实体的描述信息;基于所述描述信息在安全事件图中进行查找,确定触发所述告警的目标安全实体,其中,所述安全事件图是基于安全实体以及安全实体之间的关系构建的,所述安全事件图中包括安全实体的描述信息;基于所述目标安全实体以及安全实体之间的关系生成所述告警对应的目标告警溯源信息。2.根据权利要求1所述的告警溯源方法,其特征在于,所述基于所述目标安全实体以及安全实体之间的关系生成所述告警对应的目标告警溯源信息,包括:根据所述目标安全实体以及安全实体之间的关系,确定与所述目标安全实体关联的至少一个关联安全实体,并抽取所述目标安全实体与所述关联安全实体之间的目标关联关系;根据所述目标安全实体、所述关联安全实体以及所述目标关联关系,生成所述告警对应的目标告警溯源信息。3.根据权利要求2所述的告警溯源方法,其特征在于,所述方法还包括:对所述目标安全实体进行标识,生成目标告警标识;将所述目标告警标识添加至安全事件图中。4.根据权利要求3所述的告警溯源方法,其特征在于,在生成所述目标告警溯源信息之后,所述方法还包括:在接收到告警查询指令的情况下,通过所述告警查询指令中包括的第一告警标识在所述安全事件图中查找对应的第一安全实体;基于所述第一安全实体以及安全实体之间的关系,获取所述告警查询指令对应的第一告警溯源信息。5.根据权利要求2所述的告警溯源方法,其特征在于,在生成所述目标告警溯源信息之后,所述方法还包括:获取新生成的第二标准化日志,通过威胁检测组件实时处理所述第二标准化日志生成第二告警;通过所述第二告警获取对应的第二告警数据,对所述第二告警数据进行分析,得到对应的第二安全实体的第二描述信息,其中,所述第二告警数据中包括第二安全实体的第二描述信息;基于所述第二描述信息在所述安全事件图中进行查找,确定触发所述第二告警的第二安全实体;在确定所述第二安全实体与目标安全实体相同...
【专利技术属性】
技术研发人员:张彦功,舒鹏,王倩楠,
申请(专利权)人:网神信息技术北京股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。