[发明专利]安全事件监测方法及装置、电子设备、存储介质

说明书

本发明提供一种安全事件监测方法及装置、电子设备、存储介质。所述安全事件监测方法，包括：流式执行器从一消息队列获取日志数据；将所述日志数据中的每条日志进行分片；对经分片的所述日志数据根据一个或多个预定字段进行聚合计数；若流式执行器判断所述一个或多个预定字段的计数值在第一时间段内超过第一预定阈值，则输出一阶事件；于所述日志数据中搜索该所述一个或多个预定字段，对第二时间段内的所述一个或多个预定字段进行聚合计数；以及若判断所述第二时间段内的所述一个或多个预定字段的计数值超过所述第二预定阈值，则输出所述一阶事件并进行告警。本发明提供的方法及装置全面的安全事件监测方法以防告警的漏报和误报。

技术领域

本发明涉及计算机应用技术领域，尤其涉及一种安全事件监测方法及装置、电子设备、存储介质。

背景技术

随着互联网行业的不断发展，基于安全检测的日志分析的方案也越来越多。现在应用最广泛的日志分析引擎当属流式分析，对于针对原始日志分析的场景，如服务器安全日志及网络日志。具体而言，通常流式数据分析从一分布式消息队列获取消息，经由一具有多个节点的分布式拓扑图进行处理。流式数据分析的好处是能够实时得分析日志数据，但其无法在一个较大的时间跨度内对日志数据进行。因此，仅仅使用单一的流式分析仅能满足日志分析的实时性、时间维度日志前后关联性，而无法满足基于长跨度历史日志的准实时规律判断。由此，现有技术中的流式分析将带来大量误报，增加安全运维响应人员不必要的工作量。

发明内容

本发明为了克服上述现有技术存在的缺陷，提供一种安全事件监测方法及装置、电子设备、存储介质，以实现全面的安全事件监测方法以防告警的漏报和误报。

根据本发明的一个方面，提供一种安全事件监测方法，包括：流式执行器从一消息队列获取日志数据；将所述日志数据中的每条日志进行分片，划分成多个字段；对经分片的所述日志数据根据一个或多个预定字段进行聚合计数；所述流式执行器判断所述一个或多个预定字段的计数值是否在第一时间段内超过第一预定阈值；若流式执行器判断所述一个或多个预定字段的计数值在第一时间段内超过第一预定阈值，则输出一阶事件，所述一阶事件至少包括所述一个或多个预定字段及其计数值；利用搜索引擎于所述日志数据中搜索该所述一个或多个预定字段，对第二时间段内的所述一个或多个预定字段进行聚合计数，所述第二时间段的时间跨度大于所述第一时间段的时间跨度；判断所述第二时间段内的所述一个或多个预定字段的计数值是否超过第二预定阈值；以及若判断所述第二时间段内的所述一个或多个预定字段的计数值超过所述第二预定阈值，则输出所述一阶事件并进行告警。

可选地，所述对经分片的所述日志数据根据一个或多个预定字段进行聚合计数的步骤包括：对登陆账号相同、登陆状态为登陆失败的字段进行聚合计数，对应地，所述流式执行器判断登陆账号相同、登陆状态为登陆失败的计数值是否在第一时间段内超过第一预定阈值；利用搜索引擎于所述日志数据中搜索该所述该登陆账号，对第二时间段内的与该登陆账号相同、登陆状态为登陆失败的字段进行聚合计数。

可选地，所述对经分片的所述日志数据根据一个或多个预定字段进行聚合计数的步骤包括：对源IP地址相同、登陆状态为登陆失败的登陆账号进行聚合计数，对应地，所述流式执行器判断源IP地址相同、登陆状态为登陆失败的登陆账号数量是否在第一时间段内超过第一预定阈值；利用搜索引擎于所述日志数据中搜索该所述该源IP地址，对第二时间段内的与该源IP地址相同、登陆状态为登陆失败的登陆账号进行聚合计数。

可选地，所述第一时间段及所述第二时间段预先设定。

可选地，所述一阶事件包括还包括所述第一时间段，于所述日志数据中搜索该所述一个或多个预定字段，对第二时间段内的所述一个或多个预定字段进行聚合计数还包括：根据所述第一时间段自动生成所述第二时间段。

可选地，所述第一预定阈值及所述第二预定阈值预先设定。