【技术实现步骤摘要】
本专利技术涉及运维安全管理,具体涉及一种全链路追踪分析方法、装置、计算机设备及可读存储介质。
技术介绍
1、现有运维安全管理主要通过各个安全设备的日志信息进行分析,因为各个日志之间并没有关联关系,因此无法对整个攻击行为链路进行统一分析,且按个设备出现误报的情况比较高,形成日志孤岛现象,从而造成攻击分析不及时的情况。例如专利cn114116396a“一种全链路追踪方法、系统、存储介质及设备”,该专利仅针对应用系统中业务层日志进行链路追踪,主要用于业务bug定位功能,无法对网络设备、安全设备中的日志进行追踪,形成攻击日志链。
技术实现思路
1、有鉴于此,本专利技术提供了一种全链路追踪分析方法、装置、计算机设备及可读存储介质,以解决日志孤岛造成的攻击分析不及时的问题。
2、第一方面,本专利技术提供了一种全链路追踪分析方法,方法包括:
3、获取与网络层安全设备相对应的第一日志信息、与应用层安全设备相对应的第二日志信息及与主机层安全设备相对应的第三日志信息;
4、在属于同一访问请求的第一日志信息、第二日志信息和第三日志信息中添加相同的标识信息;
5、基于标识信息对同一访问请求的攻击进行全链路追踪分析。
6、本专利技术实施例提供的全链路追踪分析方法,通过获取网络层、应用层和主机层的日志信息,在属于同一访问请求的不同日志信息中添加相同的标识信息,并基于表示信息对同一访问请求的攻击进行全链路分析。本专利技术通过对运维过程各个层面的日志进行
7、在一种可选的实施方式中,获取与网络层安全设备相对应的第一日志信息、与应用层安全设备相对应的第二日志信息及与主机层安全设备相对应的第三日志信息的过程,包括:通过系统日志获取应用层安全设备的第一日志信息;通过代理服务器获取主机层安全设备的第二日志信息;通过网络管理协议获取网络层安全设备的第三日志信息。
8、本专利技术通过多种方式获取运维过程不同层面所有安全设备的日志信息,能够对不同层面的日志信息进行联合分析,从而解决日志孤岛现象。
9、在一种可选的实施方式中,在获取与网络层安全设备相对应的第一日志信息、与应用层安全设备相对应的第二日志信息及与主机层安全设备相对应的第三日志信息之后,还包括:将第一日志信息、第二日志信息和第三日志信息按字段存储至安全运维平台的数据库;在数据库中为第一日志信息、第二日志信息和第三日志信息添加标识信息字段。
10、本专利技术通过将日志信息按字段保存至数据库,方便对日志信息进行查询。同时设置标识信息字段,能够为同一访问请求的日志设置同一标识信息提供操作基础。
11、在一种可选的实施方式中,在属于同一访问请求的第一日志信息、第二日志信息和第三日志信息中添加相同的标识信息的过程,包括:获取任一安全设备对应的日志信息的第一特征信息,特征信息包括日志信息中的源地址、源端口、目的地址、目的端口、访问时间戳或日志内容中的一项或多项;获取其他安全设备对应的日志信息的第二特征信息;根据第一特征信息和第二特征信息确定任一安全设备和其他安全设备是否属于同一访问请求所访问的不同安全设备;若属于同一访问请求,则在同一访问请求所访问的不同安全设备对应的日志信息的标识信息字段中添加标识信息。
12、本专利技术通过日志信息的多种特征能够确定同一访问请求所访问的安全设备,从而在安全设备的日志信息中添加同一标识信息,并使用同一标识信息进行多设备日志联合分析,能够提高分析效率,快速定位风险并及时响应处置。
13、在一种可选的实施方式中,基于标识信息对攻击进行全链路追踪分析的过程,包括:根据标识信息查询同一访问请求所对应攻击链路中的受攻击安全设备;根据受攻击安全设备的受攻击状况对攻击链路进行全链路分析。
14、本专利技术通过在数据库中根据标识信息,能够快速查找出同一访问请求所访问的安全设备,从而进行攻击链路的全链路分析,增加信息安全运维人员对系统的攻击情况了解,以及快速、及时处理攻击行为。
15、在一种可选的实施方式中,根据标识信息查询同一访问请求对应攻击链路中的受攻击安全设备的过程,包括:查询具有同一标识信息的日志信息;基于包含同一标识信息的日志信息确定对应的安全设备;将所确定的安全设备作为同一访问请求对应攻击链路中的受攻击安全设备。
16、本专利技术通过根据标识信息能够快速查询出受同一攻击的安全设备,从而进行多设备日志联合分析,解决日志孤岛现象,从而有效降低单个设备误报的现象。
17、在一种可选的实施方式中,根据受攻击安全设备的受攻击状况对攻击链路进行全链路分析的过程,包括:获取受攻击安全设备的预设攻击可信度和不同受攻击安全设备之间的预设权重比;根据预设攻击可信度和预设权重比,通过加权平均方式计算攻击链路的综合攻击可信度;根据综合攻击可信度对攻击链路进行攻击信息展示和告警。
18、本专利技术通过获取攻击链路每个安全设备的攻击可信度和权重比,能够计算出整个攻击链路的综合攻击可信度,能够增加信息安全运维人员对系统的攻击情况了解,以及快速、及时处理攻击行为。
19、第二方面,本专利技术提供了一种全链路追踪分析装置,装置包括:
20、日志信息获取模块,用于获取与网络层安全设备相对应的第一日志信息、与应用层安全设备相对应的第二日志信息及与主机层安全设备相对应的第三日志信息;
21、标识信息添加模块,用于在属于同一访问请求的第一日志信息、第二日志信息和第三日志信息中添加相同的标识信息;
22、链路追踪分析模块,用于基于标识信息对同一访问请求的攻击进行全链路追踪分析。
23、本专利技术实施例提供的全链路追踪分析装置,通过获取网络层、应用层和主机层的日志信息,在属于同一访问请求的不同日志信息中添加相同的标识信息,并基于表示信息对同一访问请求的攻击进行全链路分析。本专利技术通过对运维过程各个层面的日志进行统一分析,能够解决日志孤岛问题,有效降低误报的现象,快速定位风险并及时响应处置,提高攻击分析效率。
24、第三方面,本专利技术提供了一种计算机设备,包括:存储器和处理器,存储器和处理器之间互相通信连接,存储器中存储有计算机指令,处理器通过执行计算机指令,从而执行上述第一方面或其对应的任一实施方式的全链路追踪分析方法。
25、第四方面,本专利技术提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机指令,计算机指令用于使计算机执行上述第一方面或其对应的任一实施方式的全链路追踪分析方法。
26、本专利技术的有益效果:
27、(1)本专利技术通过获取运维过程网络层、应用层和主机层所有安全设备的日志信息进行联合分析,能够消除日志孤岛现象,实现对攻击全链路进行追踪和分析,有效降低单个安全设备误报的现象。
28、(2)本专利技术通过在属于同一访问请求下安全设备的日志信息中添加相同本文档来自技高网...
【技术保护点】
1.一种全链路追踪分析方法,应用于安全运维平台,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述获取与网络层安全设备相对应的第一日志信息、与应用层安全设备相对应的第二日志信息及与主机层安全设备相对应的第三日志信息的过程,包括:
3.根据权利要求2所述的方法,其特征在于,在获取与网络层安全设备相对应的第一日志信息、与应用层安全设备相对应的第二日志信息及与主机层安全设备相对应的第三日志信息之后,还包括:
4.根据权利要求1所述的方法,其特征在于,所述在属于同一访问请求的所述第一日志信息、所述第二日志信息和所述第三日志信息中添加相同的标识信息的过程,包括:
5.根据权利要求4所述的方法,其特征在于,所述基于所述标识信息对攻击进行全链路追踪分析的过程,包括:
6.根据权利要求5所述的方法,其特征在于,所述根据所述标识信息查询同一访问请求对应攻击链路中的受攻击安全设备的过程,包括:
7.根据权利要求5所述的方法,其特征在于,所述根据所述受攻击安全设备的受攻击状况对所述攻击链路进行全链路分析的过
8.一种全链路追踪分析装置,其特征在于,所述装置包括:
9.一种计算机设备,其特征在于,包括:
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机指令,所述计算机指令用于使计算机执行权利要求1至7中任一项所述的全链路追踪分析方法。
...【技术特征摘要】
1.一种全链路追踪分析方法,应用于安全运维平台,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述获取与网络层安全设备相对应的第一日志信息、与应用层安全设备相对应的第二日志信息及与主机层安全设备相对应的第三日志信息的过程,包括:
3.根据权利要求2所述的方法,其特征在于,在获取与网络层安全设备相对应的第一日志信息、与应用层安全设备相对应的第二日志信息及与主机层安全设备相对应的第三日志信息之后,还包括:
4.根据权利要求1所述的方法,其特征在于,所述在属于同一访问请求的所述第一日志信息、所述第二日志信息和所述第三日志信息中添加相同的标识信息的过程,包括:
5.根据权利要求4...
【专利技术属性】
技术研发人员:汪建涛,汪向阳,谭成宇,
申请(专利权)人:重庆长安汽车股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。