一种安全告警分析方法技术

本发明专利技术涉及电力信息技术领域，特别是涉及一种安全告警分析方法。包括：获取需要进行告警分析的各类型网络安全设备所产生的日志信息；通过日志解析引擎自动查询预设的grok表达式解析规则库，当grok表达式解析规则库中存在与日志信息相匹配的规则时，日志解析引擎根据匹配到的规则对日志信息进行自动分词处理，并生成范式化文件；日志解析引擎将范式化文件通过logstash的过滤器插件对日志信息按标准范式化字段进行转义，生成格式统一的标准化日志信息。本发明专利技术通过对不同的日志信息进行了归类处理，生成格式统一的标准化日志信息，防止日志信息种类繁多处理过程复杂的问题，并且通过系统自动化的判定处理代替了人工处理方式，提高了工作效率。高了工作效率。高了工作效率。

【技术实现步骤摘要】
一种安全告警分析方法


[0001]本专利技术涉及电力信息
，特别是涉及一种安全告警分析方法。

技术介绍

[0002]安全告警事件是指云安全中心检测到的服务器或者云产品中存在的威胁，这些威胁可以是某个恶意IP对您的数据信息进行的攻击，也可以是个人的信息已被入侵的异常情况。然而现有技术中，当前网络安全监控平台的安全告警规则中存在以下问题，安全告警规则中触发告警的阀值都是静态设置的，没有在复杂的网络环境中细化更合理的阀值动态设置，存在准确性不高的缺点，并且人工调整阈值参数工作量大，依赖人工经验，对于网络安全事件响应的智能化程度不足，无法适应日益严峻的网络安全形势，因此，如何提供一种安全告警分析方法是本领域技术人员急需解决的技术问题。

技术实现思路

[0003]本专利技术的目的是提供一种安全告警分析方法，本专利技术通过日志解析引擎自动查询预设的grok表达式解析规则库，当grok表达式解析规则库中存在与日志信息相匹配的规则时，日志解析引擎根据匹配到的规则对日志信息进行自动分词处理，并生成范式化文件，通过logstash的过滤器插件对日志信息按标准范式化字段进行转义，生成格式统一的标准化日志信息，本专利技术有效地对不同的日志信息进行了归类处理，并生成格式统一的标准化日志信息，防止了日志信息种类繁多，处理过程复杂的问题，并且通过系统自动化的判定处理代替了传统的人工处理方式，提高了工作效率。
[0004]为了实现上述目的，本专利技术提供了如下的技术方案：一种安全告警分析方法，包括：获取需要进行告警分析的各类型网络安全设备所产生的日志信息；通过日志解析引擎自动查询预设的grok表达式解析规则库，当所述grok表达式解析规则库中存在与所述日志信息相匹配的规则时，所述日志解析引擎根据匹配到的规则对所述日志信息进行自动分词处理，并生成范式化文件；所述日志解析引擎将所述范式化文件通过logstash的过滤器插件对所述日志信息按标准范式化字段进行转义，生成格式统一的标准化日志信息；对所述标准化日志信息进行过滤，将过滤后剩余的所述标准化日志信息转化为网络安全告警事件，并对所述网络安全告警事件进行告警等级划分。
[0005]在本申请的一些实施例中，所述通过日志解析引擎自动查询预设的grok表达式解析规则库，还包括：当所述grok表达式解析规则库中不存在与所述日志信息相匹配的规则时，将所述日志信息发送至未解析日志库，所述未解析日志库内存储有若干历史日志信息，将若干所述历史日志信息与所述日志信息进行匹配，当所述未解析日志库内存在与所述日志信息相匹配的所述历史日志信息时，通过所述历史日志信息所对应地解析引擎对所述日志信息进
行解析。
[0006]在本申请的一些实施例中，所述通过所述历史日志信息所对应地解析引擎对所述日志信息进行解析时，包括：通过选择与所述历史日志信息所对应的分词符，以及分词后各字段所对应地的转义映射规则，根据所述解析引擎解析的解析结果和所述日志信息进行对比，当对比结果不一致时，对所述转义映射规则进行调整，直至不存在于所述grok表达式解析规则库中的所述日志信息与所述存在于所述grok表达式解析规则库中的所述日志信息生成的所述标准化日志信息相同时，将对应的所述转义映射规则存储至所述未解析日志库中，并通过所述解析引擎对所述日志信息进行解析。
[0007]在本申请的一些实施例中，所述将过滤后剩余的所述标准化日志信息转化为网络安全告警事件，包括：获取转化为所述网络安全告警事件所对应的所述标准化日志信息的目的IP；所述告警等级由高到低被划分为：紧急告警、普通告警以及次要告警，其中，同一个所述网络安全告警事件所对应的所述告警等级与所述目的IP的父节点相同。
[0008]在本申请的一些实施例中，所述将过滤后剩余的所述标准化日志信息转化为网络安全告警事件，还包括：获取与所述网络安全告警事件所对应的安全事件，将与所述安全事件所对应的各所述网络安全告警事件的生成时间的先后进行排序，并生成告警序列组，根据所述告警序列组中第一个所述网络安全告警事件与最后一个所述网络安全告警事件生成时间的差值t，确定与所述安全事件的时间相关性；预先设定有预设时间差值矩阵T0和预设安全事件时间相关性矩阵A，对于所述预设安全事件时间相关性矩阵A，设定A(A1,A2,A3,A4)，其中A1为第一预设安全事件时间相关性，A2为第二预设安全事件时间相关性，A3为第三预设安全事件时间相关性，A4为第四预设安全事件时间相关性，且30%≤A1＜A2＜A3＜A4≤100%；对于所述预设时间差值矩阵T0，设定T0(T01,T02,T03,T04),其中，T01为第一预设时间差值，T02为第二预设时间差值，T03为第三预设时间差值，T04为第四预设时间差值，且30%≤T01＜T02＜T03＜T04≤100%；根据t与所述预设时间差值矩阵T0之间的关系选定相应的安全事件时间相关性作为与所述安全事件的时间相关性；当t＜T01时，选定所述第一预设安全事件时间相关性A1作为与所述安全事件的时间相关性；当T01≤t＜T02，选定所述第二预设安全事件时间相关性A2作为与所述安全事件的时间相关性；当T02≤t＜T03，选定所述第三预设安全事件时间相关性A3作为与所述安全事件的时间相关性；当T03≤t＜T04，选定所述第四预设安全事件时间相关性A4作为与所述安全事件的时间相关性。
[0009]在本申请的一些实施例中，还包括：将与所述安全事件所对应的各所述网络安全告警事件的目的IP与所述安全事件
的目的IP的重复数字信息数量K进行比对，确定与所述安全事件的目的IP关联性；预先设定有预设重复数字信息数量矩阵R0和预设目的IP关联性矩阵B，对于所述预设目的IP关联性矩阵B，设定B(B1,B2,B3,B4)，其中B1为第一预设目的IP关联性，B2为第二预设目的IP关联性，B3为第三预设目的IP关联性，B4为第四预设目的IP关联性，且30%≤B1＜B2＜B3＜B4≤100%；对于所述预设重复数字信息矩阵R0，设定R0(R01,R02,R03,R04),其中，R01为第一预设重复数字信息数量，R02为第二预设重复数字信息数量，R03为第三预设重复数字信息数量，R04为第四预设重复数字信息数量，且R01＜R02＜R03＜R04；根据K与所述预设重复数字信息数量矩阵R0之间的关系选定相应的目的IP关联性作为与所述安全事件的目的IP关联性；当K＜R01时，选定所述第一预设目的IP关联性B1作为与所述安全事件的目的IP关联性；当R01≤K＜R02，选定所述第二预设目的IP关联性B2作为与所述安全事件的目的IP关联性；当R02≤K＜R03，选定所述第三预设目的IP关联性B3作为与所述安全事件的目的IP关联性；当R03≤K＜R04，选定所述第四预设目的IP关联性B4作为与所述安全事件的目的IP关联性。
[0010]在本申请的一些实施例中，通过syslog协议由大数据组件logstash进行各类型所述网络安全设备的所述日志信息的采集，并获取不同编码格式的所述日志信息。
[0011]在本申请的本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种安全告警分析方法，其特征在于，包括：获取需要进行告警分析的各类型网络安全设备所产生的日志信息；通过日志解析引擎自动查询预设的grok表达式解析规则库，当所述grok表达式解析规则库中存在与所述日志信息相匹配的规则时，所述日志解析引擎根据匹配到的规则对所述日志信息进行自动分词处理，并生成范式化文件；所述日志解析引擎将所述范式化文件通过logstash的过滤器插件对所述日志信息按标准范式化字段进行转义，生成格式统一的标准化日志信息；对所述标准化日志信息进行过滤，将过滤后剩余的所述标准化日志信息转化为网络安全告警事件，并对所述网络安全告警事件进行告警等级划分。2.根据权利要求1所述的一种安全告警分析方法，其特征在于，所述通过日志解析引擎自动查询预设的grok表达式解析规则库，还包括：当所述grok表达式解析规则库中不存在与所述日志信息相匹配的规则时，将所述日志信息发送至未解析日志库，所述未解析日志库内存储有若干历史日志信息，将若干所述历史日志信息与所述日志信息进行匹配，当所述未解析日志库内存在与所述日志信息相匹配的所述历史日志信息时，通过所述历史日志信息所对应地解析引擎对所述日志信息进行解析。3.根据权利要求2所述的一种安全告警分析方法，其特征在于，所述通过所述历史日志信息所对应地解析引擎对所述日志信息进行解析时，包括：通过选择与所述历史日志信息所对应的分词符，以及分词后各字段所对应地的转义映射规则，根据所述解析引擎解析的解析结果和所述日志信息进行对比，当对比结果不一致时，对所述转义映射规则进行调整，直至不存在于所述grok表达式解析规则库中的所述日志信息与所述存在于所述grok表达式解析规则库中的所述日志信息生成的所述标准化日志信息相同时，将对应的所述转义映射规则存储至所述未解析日志库中，并通过所述解析引擎对所述日志信息进行解析。4.根据权利要求1所述的一种安全告警分析方法，其特征在于，所述将过滤后剩余的所述标准化日志信息转化为网络安全告警事件，包括：获取转化为所述网络安全告警事件所对应的所述标准化日志信息的目的IP；所述告警等级由高到低被划分为：紧急告警、普通告警以及次要告警，其中，同一个所述网络安全告警事件所对应的所述告警等级与所述目的IP的父节点相同。5.根据权利要求4所述的一种安全告警分析方法，其特征在于，所述将过滤后剩余的所述标准化日志信息转化为网络安全告警事件，还包括：获取与所述网络安全告警事件所对应的安全事件，将与所述安全事件所对应的各所述网络安全告警事件的生成时间的先后进行排序，并生成告警序列组，根据所述告警序列组中第一个所述网络安全告警事件与最后一个所述网络安全告警事件生成时间的差值t，确定与所述安全事件的时间相关性；预先设定有预设时间差值矩阵T0和预设安全事件时间相关性矩阵A，对于所述预设安全事件时间相关性矩阵A，设定A(A1,A2,A3,A4)，其中A1为第一预设安全事件时间相关性，A2为第二预设安全事件时间相关性，A3为第三预设安全事件时间相关性，A4为第四预设安全事件时间相关性，且30%≤A1＜...

【专利技术属性】
技术研发人员：张又新，周子岩，袁建，潘中英，
申请(专利权)人：华能信息技术有限公司，
类型：发明
国别省市：