System.ArgumentOutOfRangeException: 索引和长度必须引用该字符串内的位置。 参数名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind()
【技术实现步骤摘要】
本申请涉及网络安全,具体而言,涉及一种告警日志的上报方法、装置、电子设备及存储介质。
技术介绍
1、随着网络安全问题的凸显,各行各业对于网络安全也越来越重视,因此,建立对应的安全态势感知平台也越来越重要,通过收集各单位以及相关企业的告警数据,进行汇总分析,可以更好的展现整个行业的安全问题现状,从而更好的把控并且防患已知的或者未知的安全风险。
2、现有技术虽然已经实现了多种安全日志数据的接入以及标准化,但是存在多种问题,例如,数据整理后不支持自动上报,也无法根据审核结果进行上报,不能帮助企业从繁杂海量的告警数据中解放出来,且现有技术中,在的数据上报前无法按照要求过滤低质量告警数据,无法自动匹配相关网络资产与攻击类型,导致企业需要花费更多的时间精力在数据的准确性和有效性上,耗费大量人力物力。
技术实现思路
1、本申请实施例的目的在于提供一种告警日志的上报方法、装置、电子设备及存储介质,可以对接入的告警日志进行统一分析、上报,并根据用户的需求过滤低质量告警数据,提高上报效率,实现攻击类型与网络资产的自动匹配,减少用户对人力物力的消耗。
2、第一方面,本申请实施例提供了一种告警日志的上报方法,所述方法包括:
3、获取用户的告警日志;
4、对所述告警日志进行标准化处理,得到标准化告警日志数据;
5、对所述标准化告警日志数据进行数据添补,得到待上报数据;
6、对所述待上报数据进行过滤,得到过滤后的待上报数据;
8、在上述实现过程中,通过对告警日志标准化后进行数据添补、过滤,可以对接入的告警日志进行统一分析、上报,并根据用户的需求过滤低质量告警数据,提高上报效率,实现攻击类型与网络资产的自动匹配,减少用户对人力物力的消耗。
9、进一步地,所述对所述告警日志进行标准化处理,得到标准化告警日志数据的步骤,包括:
10、对所述告警日志进行解析,得到解析后的告警日志;
11、根据字段规则对所述解析后的告警日志进行字段映射,得到所述标准化告警日志数据。
12、在上述实现过程中,对告警日志进行解析,进而对解析后的告警日志进行字段映射,可以实现字段级别的数据标准化,提高标准化告警日志数据的准确性。
13、进一步地,所述对所述标准化告警日志数据进行数据添补,得到待上报数据的步骤,包括:
14、获取网络资产;
15、根据所述网络资产对所述标准化告警日志数据进行数据添补,得到补充数据;
16、对所述补充数据进行核查处理,得到所述待上报数据。
17、在上述实现过程中,根据网络资产对标准化告警日志数据进行数据添补,使得到的补充数据更加完善,便于提高核查处理过程的效率,更快实现核查。
18、进一步地,所述根据所述网络资产对所述标准化告警日志数据进行数据添补,得到补充数据的步骤,包括:
19、将所述标准化告警日志数据与所述网络资产进行攻击字段匹配,得到初始补充数据;
20、将所述初始补充数据与所述网络资产进行攻击类型匹配,得到所述补充数据。
21、在上述实现过程中,与网络资产进行攻击字段、攻击类型的匹配,能够快速地对标准化告警日志数据进行扩展,使得到的补充数据包含更多的攻击字段和攻击类型。
22、进一步地,所述将所述标准化告警日志数据与所述网络资产进行攻击字段匹配,得到初始补充数据的步骤,包括:
23、将所述标准化告警日志数据与所述网络资产进行匹配,判断所述标准化告警日志数据中是否存在被攻击ip字段;
24、若是,将所述被攻击ip字段确定为第一主键,根据所述第一主键获得所述初始补充数据;
25、若否,将所述标准化告警日志数据确定为所述初始补充数据。
26、在上述实现过程中,匹配标准化告警日志数据中的ip字段,能够精准地获取标准化告警日志数据中可能存在的攻击字段ip,提高对数据的攻击辨别能力。
27、进一步地,所述根据所述第一主键获得所述初始补充数据的步骤,包括:
28、根据所述第一主键查询所述网络资产中的每条资产数据;
29、若查询到所述网络资产中存在与所述第一主键对应的资产数据,则将所述第一主键对应的资产数据的属性信息添加至所述标准化告警日志数据中,得到所述初始补充数据;其中,所述属性信息包括所述第一主键对应的资产数据的归属系统、分支机构名称和机构所属地区。
30、在上述实现过程中,根据第一主键查询网络资产的每条资产数据,并将属性信息一一补充至标准化告警日志数据中,能够快速、精准地扩充标准化告警日志数据,提高标准化告警日志数据的泛化能力。
31、进一步地,所述将所述初始补充数据与所述网络资产进行攻击类型匹配,得到所述补充数据的步骤,包括:
32、将所述标准化告警日志数据与所述网络资产进行匹配,判断所述标准化告警日志数据中是否存在攻击细分子类字段;
33、若是,将所述攻击细分子类字段确定为第二主键,根据所述第二主键获得所述补充数据;
34、若否,将所述初始补充数据确定为所述补充数据。
35、在上述实现过程中,匹配攻击细分子类字段,可以精确标准化告警日志数据中的攻击范围,提高对攻击字段进行进一步确认的效率,减小误差和出错概率。
36、进一步地,所述根据所述第二主键获得所述补充数据的步骤,包括:
37、根据所述第二主键查询所述网络资产中的攻击类型枚举数据;
38、若查询到所述网络资产中存在与所述第二主键对应的攻击类型枚举数据,则将所述第二主键对应的攻击类型枚举数据的攻击类型编码添加至所述初始补充数据中,得到所述补充数据。
39、在上述实现过程中,将攻击类型枚举数据的攻击类型编码进行添加,可以避免后续对攻击类型编码的查找过程,提高匹配、查询的精度,使得补充数据更加完善。
40、进一步地,所述对所述补充数据进行核查处理,得到所述待上报数据的步骤,包括:
41、根据所述补充数据判断二次审核接口是否开启;
42、在所述二次审核接口开启的情况下,判断所述补充数据是否符合二次审核的条件,若所述补充数据符合二次审核的条件,将所述补充数据进行缓存,等待二次审核,若所述补充数据不符合二次审核的条件,将所述补充数据确定为所述待上报数据,并将所述待上报数据的状态更新为待上报;所述二次审核的条件包括所属系统、攻击类型/病毒类型、是否命中恶意情报;
43、在所述二次审核接口未开启的情况下,将所述补充数据确定为所述待上报数据,并将所述待上报数据的状态更新为待上报。
44、在上述实现过程中,对补充数据进行核查处理,根据二次审核接口的开启情况分别对补充数据进行不同的处理,能够进一步地对补充数据中存在的攻击字段进行核本文档来自技高网...
【技术保护点】
1.一种告警日志的上报方法,其特征在于,所述方法包括:
2.根据权利要求1所述的告警日志的上报方法,其特征在于,所述对所述告警日志进行标准化处理,得到标准化告警日志数据的步骤,包括:
3.根据权利要求1所述的告警日志的上报方法,其特征在于,所述对所述标准化告警日志数据进行数据添补,得到待上报数据的步骤,包括:
4.根据权利要求3所述的告警日志的上报方法,其特征在于,所述根据所述网络资产对所述标准化告警日志数据进行数据添补,得到补充数据的步骤,包括:
5.根据权利要求4所述的告警日志的上报方法,其特征在于,所述将所述标准化告警日志数据与所述网络资产进行攻击字段匹配,得到初始补充数据的步骤,包括:
6.根据权利要求5所述的告警日志的上报方法,其特征在于,所述根据所述第一主键获得所述初始补充数据的步骤,包括:
7.根据权利要求4所述的告警日志的上报方法,其特征在于,所述将所述初始补充数据与所述网络资产进行攻击类型匹配,得到所述补充数据的步骤,包括:
8.根据权利要求7所述的告警日志的上报方法,其特征在于
9.根据权利要求3所述的告警日志的上报方法,其特征在于,所述对所述补充数据进行核查处理,得到所述待上报数据的步骤,包括:
10.根据权利要求1所述的告警日志的上报方法,其特征在于,所述对所述待上报数据进行过滤,得到过滤后的待上报数据的步骤,包括:
11.根据权利要求1所述的告警日志的上报方法,其特征在于,所述将所述过滤后的待上报数据进行上报,得到上报结果的步骤,包括:
12.根据权利要求11所述的告警日志的上报方法,其特征在于,所述依次根据第一上报方式、第二上报方式和第三上报方式对所述过滤后的待上报数据进行上报,得到对应的第一上报结果、第二上报结果和第三上报结果的步骤,包括:
13.一种告警日志的上报装置,其特征在于,所述装置包括:
14.一种电子设备,其特征在于,包括存储器及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行根据权利要求1至12中任一项所述的告警日志的上报方法。
15.一种存储介质,其特征在于,其存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至12中任一项所述的告警日志的上报方法。
...【技术特征摘要】
1.一种告警日志的上报方法,其特征在于,所述方法包括:
2.根据权利要求1所述的告警日志的上报方法,其特征在于,所述对所述告警日志进行标准化处理,得到标准化告警日志数据的步骤,包括:
3.根据权利要求1所述的告警日志的上报方法,其特征在于,所述对所述标准化告警日志数据进行数据添补,得到待上报数据的步骤,包括:
4.根据权利要求3所述的告警日志的上报方法,其特征在于,所述根据所述网络资产对所述标准化告警日志数据进行数据添补,得到补充数据的步骤,包括:
5.根据权利要求4所述的告警日志的上报方法,其特征在于,所述将所述标准化告警日志数据与所述网络资产进行攻击字段匹配,得到初始补充数据的步骤,包括:
6.根据权利要求5所述的告警日志的上报方法,其特征在于,所述根据所述第一主键获得所述初始补充数据的步骤,包括:
7.根据权利要求4所述的告警日志的上报方法,其特征在于,所述将所述初始补充数据与所述网络资产进行攻击类型匹配,得到所述补充数据的步骤,包括:
8.根据权利要求7所述的告警日志的上报方法,其特征在于,所述根据所述第二主键获得所述补充数据的步骤,包括:<...
【专利技术属性】
技术研发人员:闫云龙,薛锋,童兆丰,樊兴华,
申请(专利权)人:北京微步在线科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。