一种日志处理方法技术

本申请提供了一种日志处理方法

【技术实现步骤摘要】
一种日志处理方法、装置、设备及介质


[0001]本申请涉及数据处理
，尤其涉及一种日志处理方法
、
装置
、
设备和介质
。

技术介绍

[0002]随着信息技术的发展，安全风险逐渐增加，企业
、
政府等机构面临越来越复杂的安全威胁
。
为了应对这些威胁，安全从业者需要对各种安全告警进行分析和处理，以识别潜在的攻击，并采取相应的措施
。ATT&CK(Adversarial Tactics,Techniques,and Common Knowledge
，入侵者战术
、
技术和共有知识库
)
提供了一种有效的方式来理解攻击者的行为模式和技术，以帮助安全从业者更好地预测和防御攻击
。
但是将
ATT&CK
语义规则应用于实际的安全告警分析中是具有挑战性的
。
安全告警通常以不同的格式和形式呈现，而且安全告警的描述信息通常是自由文本，这给安全从业者带来了很大的困扰
。
[0003]为了让
ATT&CK
应用到安全告警中，目前会通过人工识别的方式将安全日志映射到
ATT&CK
语义规则中，以识别安全日志中的安全告警
。
这样一来，不仅人工成功高而且效率低
。

技术实现思路

[0004]有鉴于此，本申请提供一种日志处理方法
、
装置
、
设备和介质，用以智能实现将安全日志映射到
ATT&CK
中，从而识别出安全日志中的告警，提高数据处理效率且降低人工成本
。
[0005]具体地，本申请是通过如下技术方案实现的：
[0006]根据本申请的第一方面，提供一种日志处理方法，包括：
[0007]从安全日志数据中提取出存在的各网络实体，并分析得到各网络实体中存在的第一网络实体关系；
[0008]将所述安全日志数据中的网络实体
、
所述第一网络实体关系与预先构建的
ATT&CK
语义规则模型中的每个语义规则进行匹配处理，每个语义规则包括该语义规则对应的网络实体规则和网络实体关系规则；
[0009]当匹配结果满足告警条件时，则识别所述安全日志数据中命中所述
ATT&CK
语义规则模型的告警数据；
[0010]其中，所述
ATT&CK
语义规则模型为对当前网络安全存在的各攻击的文本描述信息进行语义分析构建得到的
。
[0011]根据本申请的第二方面，提供一种日志处理装置，包括：
[0012]分析处理模块，用于从安全日志数据中提取出存在的各网络实体，并分析得到各网络实体中存在的第一网络实体关系；
[0013]匹配模块，用于将所述安全日志数据中的网络实体
、
所述第一网络实体关系与预先构建的
ATT&CK
语义规则模型中的每个语义规则进行匹配处理，每个语义规则包括该语义规则对应的网络实体规则和网络实体关系规则；
[0014]识别模块，用于当匹配结果满足告警条件时，则识别所述安全日志数据中命中所述
ATT&CK
语义规则模型的告警数据；
[0015]其中，所述
ATT&CK
语义规则模型为对当前网络安全存在的各攻击的文本描述信息进行语义分析构建得到的
。
[0016]根据本申请的第三方面，提供一种电子设备，包括处理器和机器可读存储介质，机器可读存储介质存储有能够被处理器执行的计算机程序，处理器被计算机程序促使执行本申请实施例第一方面所提供的方法
。
[0017]根据本申请的第四方面，提供一种机器可读存储介质，机器可读存储介质存储有计算机程序，在被处理器调用和执行时，计算机程序促使处理器执行本申请实施例第一方面所提供的方法
。
[0018]本申请实施例的有益效果：
[0019]本申请实施例提供的日志处理方法
、
装置
、
设备及介质中，从安全日志数据中提取出存在的各网络实体，并分析得到各网络实体中存在的第一网络实体关系；将所述安全日志数据中的网络实体
、
所述第一网络实体关系与预先构建的
ATT&CK
语义规则模型中的每个语义规则进行匹配处理，每个语义规则包括该语义规则对应的网络实体规则和网络实体关系规则；当匹配结果满足告警条件时，则识别所述安全日志数据中命中所述
ATT&CK
语义规则模型的告警数据
。
[0020]由于上述
ATT&CK
语义规则模型为对当前网络安全存在的各攻击的文本描述信息进行语义分析构建得到的，因此，在将安全日志数据中存在的网络实体及第一网络实体关系输入到模型中，通过上述匹配结果就可以准确地得出是否存在与当前网络安全存在的各攻击相匹配的网络实体关系，进而在匹配结果满足告警条件时，就可以根据匹配结果识别出安全日志数据中命中所述
ATT&CK
语义规则模型的告警数据，由此，不仅能够准确地识别出安全日志数据中的安全告警，而且也提高了数据处理效率；此外，本申请不需要人工识别，由此大大降低了人工识别成本
。
附图说明
[0021]图1是本申请实施例提供的一种日志处理方法的流程示意图；
[0022]图2是本申请实施例提供的一种日志处理装置的结构示意图；
[0023]图3是本申请实施例提供的一种实施日志处理方法的电子设备的硬件结构示意图
。
具体实施方式
[0024]这里将详细地对示例性实施例进行说明，其示例表示在附图中
。
下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素
。
以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式
。
相反，它们仅是与如本申请的一些方面相一致的装置和方法的例子
。
[0025]在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请
。
在本申请中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义
。
还应当理解，本文中使用的术语“和
/
或”是指并包含一个或多个相对
应的列出项目的任何或所有可能组合
。
[0026]应当理解，尽管在本申请可能采用术语第一
、
第二
、...

【技术保护点】

【技术特征摘要】
1.
一种日志处理方法，其特征在于，包括：从安全日志数据中提取出存在的各网络实体，并分析得到各网络实体中存在的第一网络实体关系；将所述安全日志数据中的网络实体
、
所述第一网络实体关系与预先构建的
ATT&CK
语义规则模型中的每个语义规则进行匹配处理，每个语义规则包括该语义规则对应的网络实体规则和网络实体关系规则；当匹配结果满足告警条件时，则识别所述安全日志数据中命中所述
ATT&CK
语义规则模型的告警数据；其中，所述
ATT&CK
语义规则模型为对当前网络安全存在的各攻击的文本描述信息进行语义分析构建得到的
。2.
根据权利要求1所述的方法，其特征在于，将所述安全日志数据中的网络实体
、
所述第一网络实体关系与预先构建的
ATT&CK
语义规则模型中的每个语义规则进行匹配处理，包括：基于所述安全日志数据中的网络实体
、
所述第一网络实体关系构建起源图；通过路径搜索，在路径搜索范围内将所述起源图与每个语义规则进行匹配；计算所述起源图中的网络实体关系与该语义规则对应的网络实体关系规则之间的匹配分值；则，当匹配结果满足告警条件时，则识别所述安全日志数据中命中所述
ATT&CK
语义规则模型的告警数据，包括：基于计算出的各匹配分值，所述起源图中筛选出匹配分值大于设定匹配阈值的目标网络实体关系
。3.
根据权利要求1所述的方法，其特征在于，所述
ATT&CT
语义规则模型为按照下述方法创建的：对当前网络安全存在的每个攻击的文本描述信息进行文本分析处理，得到词性满足网络实体所属词性且词汇之间关系满足相关性条件的词汇对构成的词汇集合，所述词汇集合包括词汇对，每个词汇对包括一组词汇
、
该组词汇的词性和该组词汇之间的依赖关系；基于路径搜索的关系抽取算法对所述词汇集合进行抽取，得到该攻击存在的网络实体和第二网络实体关系；对得到的网络实体
、
所述第二网络实体关系进行标签化处理，得到各语义规则对应的网络实体规则和网络实体关系规则；基于各语义规则，构建所述
ATT&CT
语义规则模型
。4.
根据权利要求3所述的方法，其特征在于，对当前网络安全存在的每个攻击的文本描述信息进行文本分析处理，得到词性满足网络实体所属词性且单词之间关系满足相关性条件的词汇集合，包括：对每个攻击的文本描述信息进行语义分析处理，以识别出满足相关性条件的第一关键词组；对第一关键词组中用于表征操作行为的动词词组进行词典替换，得到第二关键词组；对所述第二关键词组进行分词处理，并对分词得到的每个词汇进行词性标注，以及分析各词汇之间的依赖关系，得到词汇集合
。
5.
根据权利要求3所述的方法，其特征在于，基于路径搜索的关系抽取算法对所述词汇集合进行抽取，得到该攻击存在的网络实体和第二网络实体关系，包括遍历预设实体集合；遍历所述...

【专利技术属性】
技术研发人员：鲍超，
申请(专利权)人：新华三网络信息安全软件有限公司，
类型：发明
国别省市：