[发明专利]一种日志归并的方法、装置及电子设备

说明书

本申请公开一种日志归并的方法、装置及电子设备，该方法包括当检测到第一攻击事件时，确定所述第一攻击事件的事件类型；在N个归并池中，判定是否存在根据所述事件类型建立的第一归并池，其中，N为大于等于1的整数；若存在，则将所述第一攻击事件归并到所述第一归并池中；若不存在，则根据所述第一攻击事件的事件类型创建新的归并池。基于上述方法可以适配多样化的攻击事件的日志归并，并生成多维度的攻击报告，解决由多样化的攻击事件产生大量无效警告日志导致设备资源的无效浪费和运维人员工作效率低下的问题，有效提高设备资源的利用率和运维人员的工作效率。

技术领域

本申请涉及网络安全技术领域，尤其涉及一种日志归并的方法、装置及电子设备。

背景技术

在网络安全中，如果设备监测到攻击事件，便会瞬间产生相应的告警日志。随着信息爆发时代的到来，攻击事件呈现指数级增长，进而产生成千上万的告警日志。在这些告警日志中存在许多冗杂且繁复的攻击事件，若将每一次产生攻击事件都作告警通知的处理，重复通知相同的攻击事件是没有意义的，不仅会导致设备资源的浪费，还将增加运维人员的工作负担。

当前，为了防止相同攻击事件浪费设备资源和增加运维人员负担，提出归并DNS(Domain Name System，域名系统)协议下的日志数据，或者归并属于同一IP(InternetProtocol，网际互连协议)策略攻击事件的日志的方法。

然而，无论是DNS协议还是同一IP策略，都属于单一化的归并场景，仅使用单一化的日志归并方法并不能处理多样化的攻击事件，仍然存在大量无效警告日志，而导致设备资源无效浪费和运维人员工作效率低下的问题。

发明内容

本申请提供一种日志归并的方法、装置及电子设备，实现多样化攻击事件场景下，攻击事件对应日志的归并。

第一方面，本申请提供了一种日志归并的方法，所述方法包括：

当检测到第一攻击事件时，确定所述第一攻击事件的事件类型；

在N个归并池中，判定是否存在根据所述事件类型建立的第一归并池，其中，N为大于等于1的整数；

若存在，则将所述第一攻击事件归并到所述第一归并池中；

若不存在，则根据所述第一攻击事件的事件类型创建新的归并池。

通过上述方法，能够覆盖多样化的攻击场景，为运维人员提供更多样化有用的攻击信息，进一步提高设备资源利用率，进一步引入归并池对攻击事件类型分类，提高日志归并的维护和更新的灵活化和多元化。

在一种可能的设计中，所述当检测到第一攻击事件时，确定所述第一攻击事件的事件类型，包括：

当检测到第一攻击事件时，获取所述第一攻击事件的第一事件编码；

根据事件编码与事件类型之间的对应关系，确定所述第一攻击事件的事件类型。

通过上述方法，通过事件编码确定多样化攻击事件相应的事件类型，可以适用于多场景多维度的事件归并。

在一种可能的设计中，所述将所述第一攻击事件归并到所述第一归并池中，包括：

获取所述第一攻击事件的特征参数，并根据所述特征参数计算所述第一攻击事件的第一特征值；

判定所述第一归并池中是否存在第二攻击事件的第二特征值与所述第一特征值相同；

若不存在，则发出所述第一攻击事件对应的告警通知，并将所述第一攻击事件归并到所述第一归并池中；

若存在，则判定所述第二攻击事件的归并时间是否处于预设时间内：若是，则将所述第一攻击事件归并到所述第一归并池中；若否，则发出所述第一攻击事件对应的告警信息，清除所述第一归并池中所有的攻击事件，并将所述第一攻击事件归并到所述第一归并池中。