本发明专利技术实施例提供一种基于图的告警事件确定方法、装置、电子设备及存储介质,方法包括:将安全日志转换成所述安全日志对应的目标图信息;基于所述目标图信息及预先获取的图规则配置信息,生成第一图查询语句;所述图规则配置信息至少包括:用于生成所述第一图查询语句的规则;将所述第一图查询语句与图数据库中的图信息进行图信息匹配操作;所述图数据库用于存储至少一类图信息;根据所述第一图查询语句匹配到的图信息,生成告警事件。本发明专利技术实施例通过图数据库,实现了安全日志的前后关联和多源安全日志间的关联,可以有效降低误报率;另外,基于图数据库自身的关联关系高效查询能力,可以实现多类安全日志的低耗时和低资源消耗的关联分析。耗的关联分析。耗的关联分析。
【技术实现步骤摘要】
基于图的告警事件确定方法、装置、电子设备及存储介质
[0001]本专利技术涉及网络安全
,尤其涉及一种基于图的告警事件确定方法、装置、电子设备及存储介质。
技术介绍
[0002]互联网技术的高速发展,以及各行各业数字化转型的逐步深化过程,给人们的生活和工作带来了巨大的便利,但同时也面临着越来越多的网络攻击风险,因此如何有效保护网络安全的问题变得尤其重要。
[0003]现有技术中的防护方案一,是对各类安全产品采集的日志结合安全专家经验进行实时的单一事件规则匹配;现有技术中的防护方案二,是通过离线任务的方式对存储在分布式文件系统或者关系型数据库中海量的日志信息进行关联分析。
[0004]现有技术中通过规则进行实时匹配的防护方案一,虽然能够保证发现异常事件的时效性,但是往往因为缺乏事件前后信息或者多类安全事件源的信息的关联,而导致误报率较高。另外,现有技术中通过离线任务分析的防护方案二,虽然可以对不同的日志进行关联,但其耗费时间较长,对于安全分析人员应对网络攻击极易错失先机,并且在海量日志情况下,对多个安全事件或者不同安全事件源的安全事件按条件进行关联时,资源消耗也是巨大的。
技术实现思路
[0005]针对现有技术中的问题,本专利技术实施例提供一种基于图的告警事件确定方法、装置、电子设备及存储介质。
[0006]具体地,本专利技术实施例提供了以下技术方案:
[0007]第一方面,本专利技术实施例提供了一种基于图的告警事件确定方法,方法包括:
[0008]将安全日志转换成所述安全日志对应的目标图信息;基于所述目标图信息及预先获取的图规则配置信息,生成第一图查询语句;其中,所述图规则配置信息至少包括:用于生成所述第一图查询语句的规则;
[0009]将所述第一图查询语句与图数据库中的图信息进行图信息匹配操作;其中,所述图数据库用于存储至少一类图信息;
[0010]根据所述第一图查询语句匹配到的图信息,生成告警事件。
[0011]进一步地,所述用于生成所述第一图查询语句的规则包括规则模板,所述规则模板中包括至少一个动态属性,所述动态属性用于在生成所述第一图查询语句时,被对应替换为基于所述目标图信息计算的所述第一图查询语句的开始时间、结束时间及起始节点ID中任一项。
[0012]进一步地,所述图规则配置信息还包括以下至少一项:
[0013]安全日志标识ID集合;
[0014]安全日志过滤规则;
[0015]起始节点类型,用于表示所述第一图查询语句的起始节点的类型;
[0016]开始时间偏移量,用于表示所述第一图查询语句的开始时间相对于所述安全日志的发生时间的提前量;
[0017]结束时间偏移量,用于表示所述第一图查询语句的结束时间相对于所述安全日志的发生时间的后置量;
[0018]计算窗口值,用于表示所述图信息匹配操作的有效时间;
[0019]滑动窗口值,用于表示所述图信息匹配操作的间隔时间。
[0020]进一步地,所述目标图信息包括以下至少一项:
[0021]起点的ID;所述起点是基于所述安全日志中第一安全主体的相关信息得到的节点,所述起点的属性包括所述第一安全主体的文件路径、名称和MD5值中的至少一项;
[0022]终点的ID;所述终点是基于所述安全日志中第二安全主体的相关信息得到的节点,所述终点的属性包括所述第二安全主体的地理信息;
[0023]边;所述边用于表征所述第一安全主体和所述第二安全主体之间的关系,所述边的属性包括通信的端口、通信协议和所述安全日志的发生时间中的至少一项。
[0024]进一步地,所述基于所述目标图信息及预先获取的图规则配置信息,生成第一图查询语句,包括:
[0025]在所述目标图信息包括所述起点的ID和所述终点的ID,且所述图规则配置信息还包括所述开始时间偏移量、所述结束时间偏移量和所述起始节点类型的情况下,根据所述开始时间偏移量、所述结束时间偏移量及所述安全日志的原始信息中的安全日志的发生时间,确定所述第一图查询语句的开始时间及所述第一图查询语句的结束时间;
[0026]根据所述起始节点类型、所述起点的ID及所述终点的ID,确定所述第一图查询语句的起始节点ID;
[0027]使用所述第一图查询语句的开始时间、所述第一图查询语句的结束时间及所述第一图查询语句的起始节点ID,替换所述规则模板中的动态属性,得到所述第一图查询语句。
[0028]进一步地,在所述基于所述目标图信息及预先获取的图规则配置信息,生成第一图查询语句之前,所述方法还包括:
[0029]判断所述安全日志的安全日志ID是否在所述安全日志ID集合中;
[0030]所述基于所述目标图信息及预先获取的图规则配置信息,生成第一图查询语句,包括:
[0031]在所述安全日志的安全日志ID在所述安全日志ID集合中的情况下,基于所述目标图信息及预先获取的图规则配置信息,生成第一图查询语句。
[0032]进一步地,在所述基于所述目标图信息及预先获取的图规则配置信息,生成第一图查询语句之前,所述方法还包括:
[0033]使用所述安全日志过滤规则对所述安全日志进行条件过滤;
[0034]所述基于所述目标图信息及预先获取的图规则配置信息,生成第一图查询语句,包括:
[0035]在所述安全日志满足所述安全日志过滤规则的情况下,基于所述目标图信息及预先获取的图规则配置信息,生成第一图查询语句。
[0036]进一步地,在所述将所述第一图查询语句与图数据库中的图信息进行图信息匹配
操作之前,所述方法还包括:
[0037]使用所述计算窗口值和所述安全日志的发生时间,计算出所述第一图查询语句的有效时间范围;
[0038]使用所述滑动窗口值,计算出所述第一图查询语句的查询间隔时间;
[0039]所述将所述第一图查询语句与图数据库中的图信息进行图信息匹配操作,包括:
[0040]在所述有效时间范围内,每隔所述查询间隔时间将所述第一图查询语句与所述图数据库中的图信息进行图信息匹配操作。
[0041]进一步地,在所述将安全日志转换成所述安全日志对应的目标图信息之后,所述方法还包括:
[0042]将所述目标图信息存储至所述图数据库。
[0043]第二方面,本专利技术实施例还提供了一种基于图的告警事件确定装置,包括:
[0044]转换模块,用于将安全日志转换成所述安全日志对应的目标图信息;确定模块,用于基于所述目标图信息及预先获取的图规则配置信息,生成第一图查询语句;其中,所述图规则配置信息至少包括:用于生成所述第一图查询语句的规则;
[0045]匹配模块,用于将所述第一图查询语句与图数据库中的图信息进行图信息匹配操作;其中,所述图数据库用于存储至少一类图信息;
[0046]生成模块,用于根据所述第一图查询语句匹配到的图信息,生成告警事件。
[0047]第三本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于图的告警事件确定方法,其特征在于,包括:将安全日志转换成所述安全日志对应的目标图信息;基于所述目标图信息及预先获取的图规则配置信息,生成第一图查询语句;其中,所述图规则配置信息至少包括:用于生成所述第一图查询语句的规则;将所述第一图查询语句与图数据库中的图信息进行图信息匹配操作;其中,所述图数据库用于存储至少一类图信息;根据所述第一图查询语句匹配到的图信息,生成告警事件。2.根据权利要求1所述的基于图的告警事件确定方法,其特征在于,所述用于生成所述第一图查询语句的规则包括规则模板,所述规则模板中包括至少一个动态属性,所述动态属性用于在生成所述第一图查询语句时,被对应替换为基于所述目标图信息计算的所述第一图查询语句的开始时间、结束时间及起始节点ID中的任一项。3.根据权利要求1所述的基于图的告警事件确定方法,其特征在于,所述图规则配置信息还包括以下至少一项:安全日志标识ID集合;安全日志过滤规则;起始节点类型,用于表示所述第一图查询语句的起始节点的类型;开始时间偏移量,用于表示所述第一图查询语句的开始时间相对于所述安全日志的发生时间的提前量;结束时间偏移量,用于表示所述第一图查询语句的结束时间相对于所述安全日志的发生时间的后置量;计算窗口值,用于表示所述图信息匹配操作的有效时间;滑动窗口值,用于表示所述图信息匹配操作的间隔时间。4.根据权利要求3所述基于图的告警事件确定方法,其特征在于,所述目标图信息包括以下至少一项:起点的ID;所述起点是基于所述安全日志中第一安全主体的相关信息得到的节点,所述起点的属性包括所述第一安全主体的文件路径、名称和MD5值中的至少一项;终点的ID;所述终点是基于所述安全日志中第二安全主体的相关信息得到的节点,所述终点的属性包括所述第二安全主体的地理信息;边;所述边用于表征所述第一安全主体和所述第二安全主体之间的关系,所述边的属性包括通信的端口、通信协议和所述安全日志的发生时间中的至少一项。5.根据权利要求4所述的基于图的告警事件确定方法,其特征在于,所述基于所述目标图信息及预先获取的图规则配置信息,生成第一图查询语句,包括:在所述目标图信息包括所述起点的ID和所述终点的ID,且所述图规则配置信息还包括所述开始时间偏移量、所述结束时间偏移量和所述起始节点类型的情况下,根据所述开始时间偏移量、所述结束时间偏移量及所述安全日志的原始信息中的安全日志的发生时间,确定所述第一图查询语句的开始时间及所述第一图查询语句的结束时间;根据所述起始节点类型、所述起点的ID及所述终点的ID,确定所述第一图查询语句的起始节点ID;使用所述第一图查询语句的开始时间、所述第一图查询语句的结束时间及所述第一图
查询语句的起始节点ID,替换所述规则模板中的动态属性,得到所述第一图查询语句。6.根据权利要求3所述...
【专利技术属性】
技术研发人员:陈祚松,谭学士,李云龙,
申请(专利权)人:奇安信科技集团股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。