本发明专利技术提供了一种报文系统产出安全日志数据的处理方法及装置,其中方法包括:获取报文系统产出的多个安全日志数据;对所述多个安全日志数据进行预处理;基于至少一个事件分析模型,分别对预处理后的多个安全日志数据进行相应事件类型的事件分析,得到检出的网络安全事件;所述至少一个事件分析模型与至少一个事件类型一一对应;确定每一个网络安全事件所对应的关注特征,将网络安全事件按照相同关注特征进行统计,以得到可通报的网络安全事件。本方案,能够基于报文系统产出的安全日志数据,快速有效的分析出可通报的网络安全事件。快速有效的分析出可通报的网络安全事件。快速有效的分析出可通报的网络安全事件。
【技术实现步骤摘要】
报文系统产出安全日志数据的处理方法及装置
[0001]本专利技术实施例涉及网络安全
,特别涉及一种报文系统产出安全日志数据的处理方法及装置。
技术介绍
[0002]报文系统作为一种检测引擎,每日产出大量网络安全事件的安全日志数据,该报文系统常用于持续开展网络安全事件监测业务,发现针对重要单位、重要设施的网络攻击事件。但是,报文系统单一的依据报文检测规则进行网络安全事件的监测,面对如今互联网协议的复杂性和多样性,使得报文系统存在大量误报,无法准确的通报网络安全事件。
技术实现思路
[0003]本专利技术实施例提供了一种报文系统产出安全日志数据的处理方法及装置,能够基于报文系统产出的安全日志数据,快速有效的分析出可通报的网络安全事件。
[0004]第一方面,本专利技术实施例提供了一种报文系统产出安全日志数据的处理方法,包括:
[0005]获取报文系统产出的多个安全日志数据;
[0006]对所述多个安全日志数据进行预处理;
[0007]基于至少一个事件分析模型,分别对预处理后的多个安全日志数据进行相应事件类型的事件分析,得到检出的网络安全事件;所述至少一个事件分析模型与至少一个事件类型一一对应;
[0008]确定每一个网络安全事件所对应的关注特征,将网络安全事件按照相同关注特征进行统计,以得到可通报的网络安全事件。
[0009]在一种可能的实现方式中,所述获取报文系统产出的安全日志数据,包括:
[0010]建立规则知识库,并将所述规则知识库推送至报文系统中,以使所述报文系统基于所述规则知识库中的报文检测规则进行报文检测;
[0011]接收所述报文系统产出的安全日志数据。
[0012]在一种可能的实现方式中,在将所述规则知识库推送至报文系统中之前,还包括:
[0013]针对所述规则知识库中的每一个报文检测规则,均执行:形成与该报文检测规则相适配的规则测试环境,利用该规则测试环境对该报文检测规则进行命中效果的测试,将通过测试的报文检测规则推送至报文系统中。
[0014]在一种可能的实现方式中,所述规则知识库中的报文检测规则被划分至少一个规则组;所述至少一个规则组与所述至少一个事件类型一一对应。
[0015]在一种可能的实现方式中,所述对所述多个安全日志数据进行预处理,包括:从所述安全日志数据中提取攻陷信标;
[0016]所述对预处理后的多个安全日志数据进行相应事件类型的事件分析,包括:基于安全日志数据中的攻陷信标与相应事件类型的威胁情报进行对比,以根据对比结果进行相
应事件类型的事件分析。
[0017]在一种可能的实现方式中,所述对所述多个安全日志数据进行预处理,进一步包括:针对每一个安全日志数据,建立报文检测规则、安全日志数据的位置行和攻陷信标之间的对照关系;
[0018]所述可通报的网络安全事件还包括:根据所述对照关系,将与所述网络安全事件所对应攻陷信标具有对照关系的报文检测规则和安全日志数据的位置行,添加至网络安全事件的通报内容中。
[0019]在一种可能的实现方式中,所述关注特征包括:攻击者IP、受害者IP、事件类型、检出该网络安全事件的事件分析模型和受害者IP所属单位中的至少一个。
[0020]第二方面,本专利技术实施例还提供了一种报文系统产出安全日志数据的处理装置,包括:
[0021]获取单元,用于获取报文系统产出的多个安全日志数据;
[0022]预处理单元,用于对所述多个安全日志数据进行预处理;
[0023]事件分析单元,用于基于至少一个事件分析模型,分别对预处理后的多个安全日志数据进行相应事件类型的事件分析,得到检出的网络安全事件;所述至少一个事件分析模型与至少一个事件类型一一对应;
[0024]通报处理单元,用于确定每一个网络安全事件所对应的关注特征,将网络安全事件按照相同关注特征进行统计,以得到可通报的网络安全事件。
[0025]第三方面,本专利技术实施例还提供了一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现本说明书任一实施例所述的方法。
[0026]第四方面,本专利技术实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行本说明书任一实施例所述的方法。
[0027]本专利技术实施例提供了一种报文系统产出安全日志数据的处理方法及装置,通过将报文系统产出的多个安全日志数据进行预处理,并利用至少一个事件分析模型,分别对预处理后的多个安全日志数据进行相应事件类型的事件分析,得到检出的网络安全事件,由于至少一个事件分析模型与至少一个事件类型一一对应,能够分析得出相应事件类型的网络安全事件,通过将由至少一个事件分析模型得出的网络安全事件按照相同关注特征进行统计,从而可以得到可通报的网络安全事件。可见,本方案通过结合事件分析模型对报文系统产出的安全日志数据进行进一步分析,事件分析模型在相应事件类型上的分析结果更加准确和高效,从而可以快速有效的分析出可通报的网络安全事件。
附图说明
[0028]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0029]图1是本专利技术一实施例提供的一种报文系统产出安全日志数据的处理方法流程
图;
[0030]图2是本专利技术一实施例提供的一种电子设备的硬件架构图;
[0031]图3是本专利技术一实施例提供的一种报文系统产出安全日志数据的处理装置结构图。
具体实施方式
[0032]为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例,基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0033]如前所述,报文系统作为网络安全事件单一的监测手段,存在大量误报,对网络安全事件通报的准确性较差。
[0034]基于此,为了提高网络安全事件通报的准确性,可以结合不同事件类型的事件分析模型从不同角度对报文系统产出的安全日志数据进行进一步分析,以从海量的安全日志数据中筛选出攻击有效的网络安全事件,并形成可供通报的事件,以对网络安全事件进行通报。
[0035]下面描述以上构思的具体实现方式。
[0036]请参考图1,本专利技术实施例提供了一种报文系统产出安全日志数据的处理方法,该方法包括:
[0037]步骤100,获取报文系统产出的多个安全日志数据;
[0038]步骤102,对所述多个安全日志数据进行预处理;
[0039]步骤104,基本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种报文系统产出安全日志数据的处理方法,其特征在于,包括:获取报文系统产出的多个安全日志数据;对所述多个安全日志数据进行预处理;基于至少一个事件分析模型,分别对预处理后的多个安全日志数据进行相应事件类型的事件分析,得到检出的网络安全事件;所述至少一个事件分析模型与至少一个事件类型一一对应;确定每一个网络安全事件所对应的关注特征,将网络安全事件按照相同关注特征进行统计,以得到可通报的网络安全事件。2.根据权利要求1所述的方法,其特征在于,所述获取报文系统产出的安全日志数据,包括:建立规则知识库,并将所述规则知识库推送至报文系统中,以使所述报文系统基于所述规则知识库中的报文检测规则进行报文检测;接收所述报文系统产出的安全日志数据。3.根据权利要求2所述的方法,其特征在于,在将所述规则知识库推送至报文系统中之前,还包括:针对所述规则知识库中的每一个报文检测规则,均执行:形成与该报文检测规则相适配的规则测试环境,利用该规则测试环境对该报文检测规则进行命中效果的测试,将通过测试的报文检测规则推送至报文系统中。4.根据权利要求2所述的方法,其特征在于,所述规则知识库中的报文检测规则被划分至少一个规则组;所述至少一个规则组与所述至少一个事件类型一一对应。5.根据权利要求1所述的方法,其特征在于,所述对所述多个安全日志数据进行预处理,包括:从所述安全日志数据中提取攻陷信标;所述对预处理后的多个安全日志数据进行相应事件类型的事件分析,包括:基于安全日志数据中的攻陷信标与相应事件类型的威胁情报进行对比,以根据对比结果进行相应事件类型的事件分析。6.根据...
【专利技术属性】
技术研发人员:郑勇,沈长伟,肖新光,
申请(专利权)人:安天科技集团股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。