[发明专利]一种日志归并的方法、装置及电子设备

权利要求书

1.一种日志归并的方法，其特征在于，所述方法包括：

当检测到第一攻击事件时，确定所述第一攻击事件的事件类型；

在N个归并池中，判定是否存在根据所述事件类型建立的第一归并池，其中，N为大于等于1的整数；

若存在，则获取所述第一攻击事件的特征参数，并根据所述特征参数计算所述第一攻击事件的第一特征值，判定所述第一归并池中是否存在第二攻击事件的第二特征值与所述第一特征值相同；若相同，则判定所述第二攻击事件的归并时间是否处于预设时间内：若是，则将所述第一攻击事件归并到所述第一归并池中；若否，则发出所述第一攻击事件对应的告警信息，清除所述第一归并池中所有的攻击事件，并将所述第一攻击事件归并到所述第一归并池中；

若不存在，则根据所述第一攻击事件的事件类型创建新的归并池；

其中，所述第一攻击事件的特征参数，至少基于如下任意一种方式获取：

若所述第一攻击事件为恶意文件，则所述特征参数包括：源IP、目的IP、协议、文件MD5；

若所述第一攻击事件为恶意IP，则所述特征参数包括：源IP、目的IP、协议、事件ID；

若所述第一攻击事件为僵尸网络，则所述特征参数包括：源IP、目的IP、协议、事件ID；

若所述第一攻击事件为URL分类，则所述特征参数包括：源IP、目的IP、协议、URL；

若所述第一攻击事件为数据防泄漏，则所述特征参数包括：源IP、目的IP、协议、事件ID。

2.如权利要求1所述的方法，其特征在于，所述当检测到第一攻击事件时，确定所述第一攻击事件的事件类型，包括：

当检测到第一攻击事件时，获取所述第一攻击事件的第一事件编码；

根据事件编码与事件类型之间的对应关系，确定所述第一攻击事件的事件类型。

3.如权利要求1所述的方法，其特征在于，在所述根据所述第一攻击事件的事件类型创建新的归并池后，还包括：

根据所述第一攻击事件，发出对应的告警通知；

将所述第一攻击事件归并到第二归并池中。

4.一种日志归并的装置，其特征在于，所述装置包括：

确定模块，当检测到第一攻击事件时，确定所述第一攻击事件的事件类型；

判定模块，在N个归并池中，判定是否存在根据所述事件类型建立的第一归并池，其中，N为大于等于1的整数；若存在，则获取所述第一攻击事件的特征参数，并根据所述特征参数计算所述第一攻击事件的第一特征值，判定所述第一归并池中是否存在第二攻击事件的第二特征值与所述第一攻击事件的第一特征值相同；若相同，则判定所述第二攻击事件的归并时间是否处于预设时间内：若是，则将所述第一攻击事件归并到所述第一归并池中；若否，则发出所述第一攻击事件对应的告警信息，清除所述第一归并池中所有的攻击事件，并将所述第一攻击事件归并到所述第一归并池中；若不存在，则根据所述第一攻击事件的事件类型创建新的归并池；

其中，所述第一攻击事件的特征参数，至少基于如下任意一种方式获取：

若所述第一攻击事件为恶意文件，则所述特征参数包括：源IP、目的IP、协议、文件MD5；

若所述第一攻击事件为恶意IP，则所述特征参数包括：源IP、目的IP、协议、事件ID；

若所述第一攻击事件为僵尸网络，则所述特征参数包括：源IP、目的IP、协议、事件ID；

若所述第一攻击事件为URL分类，则所述特征参数包括：源IP、目的IP、协议、URL；

若所述第一攻击事件为数据防泄漏，则所述特征参数包括：源IP、目的IP、协议、事件ID。

5.如权利要求4所述的装置，其特征在于，所述确定模块，具体用于

当检测到第一攻击事件时，获取所述第一攻击事件的第一事件编码；根据事件编码与事件类型之间的对应关系，确定所述第一攻击事件的事件类型。

6.如权利要求4所述的装置，其特征在于，在所述根据所述第一攻击事件的事件类型创建新的归并池后，所述判定模块，还用于根据所述第一攻击事件，发出对应的告警通知；将所述第一攻击事件归并到第二归并池中。