【技术实现步骤摘要】
一种日志处理方法、装置、设备及介质
[0001]本申请涉及数据处理
,尤其涉及一种日志处理方法
、
装置
、
设备和介质
。
技术介绍
[0002]随着信息技术的发展,安全风险逐渐增加,企业
、
政府等机构面临越来越复杂的安全威胁
。
为了应对这些威胁,安全从业者需要对各种安全告警进行分析和处理,以识别潜在的攻击,并采取相应的措施
。ATT&CK(Adversarial Tactics,Techniques,and Common Knowledge
,入侵者战术
、
技术和共有知识库
)
提供了一种有效的方式来理解攻击者的行为模式和技术,以帮助安全从业者更好地预测和防御攻击
。
但是将
ATT&CK
语义规则应用于实际的安全告警分析中是具有挑战性的
。
安全告警通常以不同的格式和形式呈现,而且安全告警的描述信息通常是自由文本,这给安全从业者带来了很大的困扰
。
[0003]为了让
ATT&CK
应用到安全告警中,目前会通过人工识别的方式将安全日志映射到
ATT&CK
语义规则中,以识别安全日志中的安全告警
。
这样一来,不仅人工成功高而且效率低
。
技术实现思路
[0004]有鉴于此,本申请提供一
【技术保护点】
【技术特征摘要】
1.
一种日志处理方法,其特征在于,包括:从安全日志数据中提取出存在的各网络实体,并分析得到各网络实体中存在的第一网络实体关系;将所述安全日志数据中的网络实体
、
所述第一网络实体关系与预先构建的
ATT&CK
语义规则模型中的每个语义规则进行匹配处理,每个语义规则包括该语义规则对应的网络实体规则和网络实体关系规则;当匹配结果满足告警条件时,则识别所述安全日志数据中命中所述
ATT&CK
语义规则模型的告警数据;其中,所述
ATT&CK
语义规则模型为对当前网络安全存在的各攻击的文本描述信息进行语义分析构建得到的
。2.
根据权利要求1所述的方法,其特征在于,将所述安全日志数据中的网络实体
、
所述第一网络实体关系与预先构建的
ATT&CK
语义规则模型中的每个语义规则进行匹配处理,包括:基于所述安全日志数据中的网络实体
、
所述第一网络实体关系构建起源图;通过路径搜索,在路径搜索范围内将所述起源图与每个语义规则进行匹配;计算所述起源图中的网络实体关系与该语义规则对应的网络实体关系规则之间的匹配分值;则,当匹配结果满足告警条件时,则识别所述安全日志数据中命中所述
ATT&CK
语义规则模型的告警数据,包括:基于计算出的各匹配分值,所述起源图中筛选出匹配分值大于设定匹配阈值的目标网络实体关系
。3.
根据权利要求1所述的方法,其特征在于,所述
ATT&CT
语义规则模型为按照下述方法创建的:对当前网络安全存在的每个攻击的文本描述信息进行文本分析处理,得到词性满足网络实体所属词性且词汇之间关系满足相关性条件的词汇对构成的词汇集合,所述词汇集合包括词汇对,每个词汇对包括一组词汇
、
该组词汇的词性和该组词汇之间的依赖关系;基于路径搜索的关系抽取算法对所述词汇集合进行抽取,得到该攻击存在的网络实体和第二网络实体关系;对得到的网络实体
、
所述第二网络实体关系进行标签化处理,得到各语义规则对应的网络实体规则和网络实体关系规则;基于各语义规则,构建所述
ATT&CT
语义规则模型
。4.
根据权利要求3所述的方法,其特征在于,对当前网络安全存在的每个攻击的文本描述信息进行文本分析处理,得到词性满足网络实体所属词性且单词之间关系满足相关性条件的词汇集合,包括:对每个攻击的文本描述信息进行语义分析处理,以识别出满足相关性条件的第一关键词组;对第一关键词组中用于表征操作行为的动词词组进行词典替换,得到第二关键词组;对所述第二关键词组进行分词处理,并对分词得到的每个词汇进行词性标注,以及分析各词汇之间的依赖关系,得到词汇集合
。
5.
根据权利要求3所述的方法,其特征在于,基于路径搜索的关系抽取算法对所述词汇集合进行抽取,得到该攻击存在的网络实体和第二网络实体关系,包括遍历预设实体集合;遍历所述...
【专利技术属性】
技术研发人员:鲍超,
申请(专利权)人:新华三网络信息安全软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。