一种安全分析方法、装置、设备及可读存储介质与流程

1.本技术涉及计算机技术领域，特别涉及一种安全分析方法、装置、设备及可读存储介质。


背景技术：

2.目前，可以用关联分析规则对告警日志进行分析。例如制定一条a-b-c这样的关联规则，当在一段时间之内，a、b、c事件依次发生的时候，则认为这是一个准确的攻击事件，a、b、c为准确的告警，黑客的攻击过程为a-b-c。
3.但是，关联分析规则需要提前在设备中内置大量的关联规则，因此需要安全分析人员针对已经发生的攻击事件进行分析来确定关联规则。而攻击方式方法复杂多变，因此基于历史攻击事件确定的关联规则很可能不适用于新攻击事件，还会因为待关联的日志中存在低确信度的日志而引入大量误报。
4.因此，如何基于告警日志较准确地分析攻击事件，是本领域技术人员需要解决的问题。


技术实现要素：

5.有鉴于此，本技术的目的在于提供一种安全分析方法、装置、设备及可读存储介质，以基于告警日志较准确地分析攻击事件。其具体方案如下：
6.第一方面，本技术提供了一种安全分析方法，包括：
7.获取目标设备中的告警日志；
8.在所述告警日志中确定危害程度高于危害程度阈值、且告警确信度高于确信度阈值的目标日志信息，并基于所述目标日志信息确定所述目标设备的被攻击状态；
9.利用与所述被攻击状态对应的分析策略分析所述告警日志。
10.优选地，所述在所述告警日志中确定危害程度高于危害程度阈值、且告警确信度高于告警确信度阈值的目标日志信息，包括：
11.确定所述告警日志中各条日志信息的危害程度和告警确信度，以按照所述危害程度阈值和所述确信度阈值从各条日志信息中选择所述目标日志信息。
12.优选地，还包括：
13.按照所述危害程度阈值和所述确信度阈值从各条日志信息中选择告警确信度低于所述确信度阈值的待评估日志信息；
14.若确定所述待评估日志信息属于误告警，则从所述告警日志中删除所述待评估日志信息。
15.优选地，若所述待评估日志信息的告警频率高于频率阈值，和/或所述待评估日志信息的普遍程度高于普遍程度阈值，则确定所述待评估日志信息属于误告警；否则，确定所述待评估日志信息不属于误告警。
16.优选地，若确定所述待评估日志信息不属于误告警，则保留所述待评估日志信息。
17.优选地，所述基于所述目标日志信息确定所述目标设备的被攻击状态，包括：
18.基于所述目标日志信息的访问方向、攻击属性和攻击结果确定所述被攻击状态。
19.优选地，所述利用与所述被攻击状态对应的分析策略分析所述告警日志，包括：
20.若所述被攻击状态为正在攻击状态，则将所述告警日志中危害程度高于危害程度阈值的日志信息按照时间线进行展示；
21.和/或
22.若所述被攻击状态为攻击成功状态，则将所述告警日志中危害程度高于危害程度阈值的日志信息按照时间线进行展示，并在所述时间线中标记攻击时间点及对应的攻击ip地址，利用安全管控策略处理当前时刻之后新生成的、危害程度高于危害程度阈值的日志信息，并对当前时刻之后新生成的、危害程度低于所述危害程度阈值的日志信息进行监控；
23.和/或
24.若所述被攻击状态为被控制状态，则将所述告警日志按照时间线进行展示，并在所述时间线中标记攻击时间点及对应的攻击ip地址、被控制时间点及对应的被控制行为，利用安全管控策略处理当前时刻之后新生成的所有日志信息。
25.第二方面，本技术提供了一种安全分析装置，包括：
26.获取模块，用于获取目标设备中的告警日志；
27.确定模块，用于在所述告警日志中确定危害程度高于危害程度阈值、且告警确信度高于确信度阈值的目标日志信息，并基于所述目标日志信息确定所述目标设备的被攻击状态；
28.分析模块，用于利用与所述被攻击状态对应的分析策略分析所述告警日志。
29.第三方面，本技术提供了一种电子设备，包括：
30.存储器，用于存储计算机程序；
31.处理器，用于执行所述计算机程序，以实现前述公开的安全分析方法。
32.第四方面，本技术提供了一种可读存储介质，用于保存计算机程序，其中，所述计算机程序被处理器执行时实现前述公开的安全分析方法。
33.通过以上方案可知，本技术提供了一种安全分析方法，包括：获取目标设备中的告警日志；在所述告警日志中确定危害程度高于危害程度阈值、且告警确信度高于确信度阈值的目标日志信息，并基于所述目标日志信息确定所述目标设备的被攻击状态；利用与所述被攻击状态对应的分析策略分析所述告警日志。
34.可见，本技术先基于告警日志中危害程度高于危害程度阈值、且告警确信度高于确信度阈值的目标日志信息，确定设备的被攻击状态，然后利用与被攻击状态对应的分析策略来分析告警日志，从而可有针对性的按照不同分析策略分析告警日志。例如：当设备处于正在被攻击状态时，对当前时刻产生的告警日志进行重点分析；亦或者，当设备处于被控制状态时，对当前时刻、当前时刻之前、当前时刻之后的告警信息都要重点分析，从而基于告警日志准确地分析当前攻击事件，而无需关联历史攻击事件，还可以提高分析效率和准确率。
35.相应地，本技术提供的一种安全分析装置、设备及可读存储介质，也同样具有上述技术效果。
附图说明
36.为了更清楚地说明本技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。
37.图1为本技术公开的一种安全分析方法流程图；
38.图2为本技术公开的另一种安全分析方法流程图；
39.图3为本技术公开的一种安全分析装置示意图；
40.图4为本技术公开的一种电子设备示意图；
41.图5为本技术公开的另一种电子设备示意图。
具体实施方式
42.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
43.目前，关联分析规则需要提前在设备中内置大量的关联规则，因此需要安全分析人员针对已经发生的攻击事件进行分析来确定关联规则。而攻击方式方法复杂多变，因此基于历史攻击事件确定的关联规则很可能不适用于新攻击事件，还会因为待关联的日志中存在低确信度的日志而引入大量误报。为此，本技术提供了一种安全分析方案，能够基于告警日志较准确地分析攻击事件。
44.参见图1所示，本技术实施例公开了一种安全分析方法，包括：
45.s101、获取目标设备中的告警日志。
46.在本实施例中，目标设备可以是服务器、终端、网关等。告警日志中的每条日志信息都可以标记有危害程度和确信度，此标记在日志信息生成时基于预设标记规则自动生成。例如：预设标记规则为漏洞利用行为属于高危害、且确信度较高，那么关于漏洞利用行为的相关日志信息就可以标记高危害、高确信度。当然，危害程度和确信度可以用分值表示。如：从0～1中取一个值。
47.s102、在告警日志中确定危害程度高于危害程度阈值、且告警确信度高于确信度阈值的目标日志信息，并基于目标日志信息确定目标设备的被攻击状态。
48.其中，危害程度阈值和确信度阈值可以灵活设定。假设危害程度和确信度都从0～1中取值得到，那么危害程度阈值和确信度阈值可以0.6。那么危害程度高于危害程度阈值、且告警确信度高于确信度阈值的目标日志信息即为：危害程度高于0.6、且告警确信度高于0.6的日志信息。
49.既然目标日志信息的危害程度高于危害程度阈值、且告警确信度高于确信度阈值，那么说明目标日志信息中记录有攻击事件的可能性极大，那么可以基于目标日志信息确定设备的被攻击状态。被攻击状态如：正在遭受攻击、已被攻击成功、已被控制等状态。
50.一般地，基于访问方向、攻击属性和攻击结果可以确定设备是正在遭受攻击、还是已被攻击成功、还是已被控制。因此在一种具体实施方式中，基于目标日志信息确定目标设
备的被攻击状态，包括：基于目标日志信息的访问方向、攻击属性和攻击结果确定被攻击状态。
51.其中，访问方向通过源ip、目的ip等具有方向性的访问信息可确定。由访问方向可知：是当前设备主动发起的访问还是被动接受访问，按照内网与外网的区别可以分为：由内至外访问，由外至内访问、由内至内访问。
52.攻击属性可以分为攻击类和控制类。攻击类即：其他设备攻击当前设备。控制类即：其他设备控制当前设备去攻击第三个设备。
53.攻击结果即：正在遭受攻击、已被攻击成功和/或已被控制等。由于设备被攻击后，还可能再次发生攻击事件，因此设备的被攻击状态可能并不唯一。
54.s103、利用与被攻击状态对应的分析策略分析告警日志。
55.在本实施例中，基于告警日志中危害程度高于危害程度阈值、且告警确信度高于确信度阈值的目标日志信息，确定设备的被攻击状态后，利用与被攻击状态对应的分析策略来分析告警日志，从而可有针对性的按照不同分析策略分析告警日志。
56.例如：当设备处于正在被攻击状态时，对当前时刻产生的告警日志进行重点分析；亦或者，当设备处于被控制状态时，对当前时刻、当前时刻之前、当前时刻之后的告警信息都要重点分析，从而基于告警日志准确地分析当前攻击事件，而无需关联历史攻击事件，还可以提高分析效率和准确率。
57.基于上述实施例，需要说明的是，在一种具体实施方式中，在告警日志中确定危害程度高于危害程度阈值、且告警确信度高于告警确信度阈值的目标日志信息，包括：确定告警日志中各条日志信息的危害程度和告警确信度，以按照危害程度阈值和确信度阈值从各条日志信息中选择目标日志信息，即：选择危害程度高于危害程度阈值、且告警确信度高于告警确信度阈值的日志信息。
58.由于每条日志信息都标记有危害程度和确信度，因此还可以按照危害程度阈值和确信度阈值从各条日志信息中选择告警确信度低于确信度阈值的待评估日志信息。
59.若确定待评估日志信息属于误告警，则从告警日志中删除待评估日志信息，以去除告警日志中的错误信息，减少告警日志的数据量，为后续分析提供有利条件。
60.若确定待评估日志信息不属于误告警，则保留待评估日志信息，以保持告警信息的全面性，提高告警日志的准确度。同时，不属于误告警的待评估日志信息也可表明设备正在被攻击、已被控制等状态，此状态与基于目标日志信息确定的状态一并记录。
61.其中，若待评估日志信息的告警频率高于频率阈值，和/或待评估日志信息的普遍程度高于普遍程度阈值，则确定待评估日志信息属于误告警；否则，确定待评估日志信息不属于误告警。可见，基于待评估日志信息的告警频率高于频率阈值可确定是否属于误告警。因为攻击事件一般属于偶发事件，而设备中运行的正常业务持续且大面积发生，因此若告警频率高于频率阈值，和/或普遍程度高于普遍程度阈值，则说明该条日志信息极可能属于业务误报，因此可判定属于误告警。
62.基于上述实施例，需要说明的是，在一种具体实施方式中，利用与被攻击状态对应的分析策略分析告警日志，包括：若被攻击状态为正在攻击状态，则将告警日志中危害程度高于危害程度阈值的日志信息按照时间线进行展示；和/或若被攻击状态为攻击成功状态，则将告警日志中危害程度高于危害程度阈值的日志信息按照时间线进行展示，并在时间线
中标记攻击时间点及对应的攻击ip地址，利用安全管控策略处理当前时刻之后新生成的、危害程度高于危害程度阈值的日志信息，并对当前时刻之后新生成的、危害程度低于所述危害程度阈值的日志信息进行监控；和/或若被攻击状态为被控制状态，则将告警日志按照时间线进行展示，并在时间线中标记攻击时间点及对应的攻击ip地址、被控制时间点及对应的被控制行为，利用安全管控策略处理当前时刻之后新生成的所有日志信息。
63.由于设备的被攻击状态是基于告警日志中危害程度高、告警确信度高的日志信息确定，因此在确定设备的被攻击状态后，说明告警日志中已记录有攻击事件。
64.可见，若设备正在被攻击，则说明告警日志中已记录有有关攻击的信息，并且告警日志中的高危害告警非常危险，因此将告警日志中危害程度高于危害程度阈值的日志信息按照时间线进行展示，以便技术人员查阅攻击事件发起时间等重要信息。
65.若设备已被攻击成功，则说明告警日志中已记录有攻击事件发起时间、当前设备被攻破的时间点等重要信息，并且，设备后续极有可能进行其他高危害操作，因此将告警日志中危害程度高于危害程度阈值的日志信息按照时间线进行展示，并在时间线中标记攻击时间点及对应的攻击ip地址，然后利用安全管控策略处理当前时刻之后新生成的、危害程度高于危害程度阈值的日志信息，并对当前时刻之后新生成的、危害程度低于所述危害程度阈值的日志信息进行监控，以及时应对设备做出的危害性操作。如：阻止不知名软件的安装、重要文件的删除等。因为此时设备已被攻击成功，因此需要关注新产生的各种告警。
66.若设备已经是被控制状态，则说明告警日志中已记录有攻击事件发起时间、当前设备被攻破的时间点、当前设备攻击其他设备的行为及时间点等重要信息，并且，设备后续极有可能继续进行其他高危害操作，因此将告警日志按照时间线进行展示，并在时间线中标记攻击时间点及对应的攻击ip地址、被控制时间点及对应的被控制行为，利用安全管控策略处理当前时刻之后新生成的所有日志信息，以及时应对设备做出的任何危险操作。因为此时设备已被恶意控制，因此新产生的各种告警都可能有极大威胁。
67.针对已被攻击成功状态和被控制状态，可以调整各种告警的阈值，以使设备对各种告警更为敏感，告警容忍度更低，从而使设备关注各种告警。
68.下述实施例将本技术提供的方法应用于网络安全检测设备(如网关)，请参见图2，具体实现过程包括：
69.1、网络安全检测设备按照危害等级、确信度等级，将内网某一主机中安全告警日志分为四个级别：
70.a类日志：高危害、高确信度；
71.b类日志：高危害、低确信度；
72.c类日志：低危害、高确信度；
73.d类日志：低危害、低确信度。
74.2、在到达检测时间点时，对b、d类日志进行检测。
75.由于b、d类日志确信度较低，可能存在大量误报。针对b、d类日志发生的频率或访问关系等进行分析，确定此类日志是黑客攻击触发的告警，还是业务访问触发的误报。
76.1)利用时序识别算法判断这些日志是偶发，还是持续发生。由于黑客攻击事件偶发性特征较强，而业务访问持续性特征较强。因此若日志是偶发，则认为是黑客攻击事件引发的告警，不属于误报；若日志是持续发生，则认为是业务访问触发的误报。
77.2)利用访问关系识别算法判断确定这些日志是大量设备普遍发生，还是只有少量设备发生。由于业务访问是大量主机对一个服务器进行访问，会出现多对一的攻击现象，故此类告警误报概率较高。而黑客攻击事件的偶发性特征较强，因此只有少量设备涉及此类告警，可确定是黑客攻击事件引发的告警，此时需借助访问关系确定是由内至外访问，还是由外至内访问、还是由内至内访问。
78.如果是误报的告警日志，则删除相关日志。如果确定是真实的攻击，则保留相关日志。
79.3、对于a类日志，结合访问方向(外对内攻击、内对内访问、内对外访问)、攻击属性(攻击类、远程控制类)、攻击结果确定主机的安全状态(遭受攻击、攻击成功、已被控制)。
80.4、针对主机的安全状态，确定该主机的告警日志分析策略。
81.(1)如果主机正在遭受攻击，说明主机当前并未被黑客控制，但存在攻击事件，此时可以对当前时间点之前的a、b类日志按照攻击属性、攻击者ip进行聚合，并以告警发生的时间线顺序进行展示。
82.(2)如果主机是被攻击成功的状态，说明该主机即将被黑客控制，此时要重点标注攻击成功时刻的告警日志，将该时刻之前的a、b类日志按照攻击属性、攻击者ip进行聚合，并以告警发生的时间线顺序进行展示，同时要重点标识出攻击成功的ip对应的告警日志。在该时刻以后的a、b类告警日志要及时进行响应处置。例如：及时阻止相关危险操作。对该时刻以后的内网的c、d类攻击日志也要重点进行监控分析。
83.(3)如果主机已经处于已被控制(已失陷)状态，此时需要对该时刻之前的a、b、c、d类日志按照攻击属性、攻击者ip进行聚合，并以告警发生的时间线进行展示，详细标识出主机被攻击的时间点、被控制的时间点及其行为。同时要对该被控制主机后续对外发出的所有告警日志重点监控分析。
84.5、每隔5分钟执行一下步骤2、3、4，以实时对主机进行检测。
85.可见，本实施例能够实时计算主机的安全状态，基于主机的安全状态自动化的对日志进行分析，并按照时间线自动化标记黑客攻击的各个过程。
86.下面对本技术实施例提供的一种安全分析装置进行介绍，下文描述的一种安全分析装置与上文描述的一种安全分析方法可以相互参照。
87.参见图3所示，本技术实施例公开了一种安全分析装置，包括：
88.获取模块301，用于获取目标设备中的告警日志；
89.确定模块302，用于在告警日志中确定危害程度高于危害程度阈值、且告警确信度高于确信度阈值的目标日志信息，并基于目标日志信息确定目标设备的被攻击状态；
90.分析模块303，用于利用与被攻击状态对应的分析策略分析告警日志。
91.在一种具体实施方式中，确定模块包括：
92.第一选择单元，用于确定告警日志中各条日志信息的危害程度和告警确信度，以按照危害程度阈值和确信度阈值从各条日志信息中选择目标日志信息。
93.在一种具体实施方式中，确定模块还包括：
94.第二选择单元，用于按照危害程度阈值和确信度阈值从各条日志信息中选择告警确信度低于确信度阈值的待评估日志信息；
95.删除单元，用于若确定待评估日志信息属于误告警，则从告警日志中删除待评估
日志信息。
96.在一种具体实施方式中，删除单元具体用于：
97.若待评估日志信息的告警频率高于频率阈值，和/或待评估日志信息的普遍程度高于普遍程度阈值，则确定待评估日志信息属于误告警；否则，确定待评估日志信息不属于误告警。
98.在一种具体实施方式中，确定模块还包括：
99.保留单元，用于若确定待评估日志信息不属于误告警，则保留待评估日志信息。
100.在一种具体实施方式中，确定模块具体用于：
101.基于目标日志信息的访问方向、攻击属性和攻击结果确定被攻击状态。
102.在一种具体实施方式中，分析模块具体用于：
103.若被攻击状态为正在攻击状态，则将告警日志中危害程度高于危害程度阈值的日志信息按照时间线进行展示；
104.和/或
105.若被攻击状态为攻击成功状态，则将告警日志中危害程度高于危害程度阈值的日志信息按照时间线进行展示，并在时间线中标记攻击时间点及对应的攻击ip地址，利用安全管控策略处理当前时刻之后新生成的、危害程度高于危害程度阈值的日志信息，并对当前时刻之后新生成的、危害程度低于所述危害程度阈值的日志信息进行监控；
106.和/或
107.若被攻击状态为被控制状态，则将告警日志按照时间线进行展示，并在时间线中标记攻击时间点及对应的攻击ip地址、被控制时间点及对应的被控制行为，利用安全管控策略处理当前时刻之后新生成的所有日志信息。
108.其中，关于本实施例中各个模块、单元更加具体的工作过程可以参考前述实施例中公开的相应内容，在此不再进行赘述。
109.可见，本实施例提供了一种安全分析装置，该装置能够基于主机的安全状态自动化的对日志进行分析，并按照时间线自动化标记黑客攻击的各个过程。
110.下面对本技术实施例提供的一种电子设备进行介绍，下文描述的一种电子设备与上文描述的一种安全分析方法及装置可以相互参照。
111.参见图4所示，本技术实施例公开了一种电子设备，包括：
112.存储器401，用于保存计算机程序；
113.处理器402，用于执行所述计算机程序，以实现上述任意实施例公开的方法。
114.请参考图5，图5为本实施例提供的另一种电子设备示意图，该电子设备可因配置或性能不同而产生比较大的差异，可以包括一个或一个以上处理器(central processing units，cpu)322(例如，一个或一个以上处理器)和存储器332，一个或一个以上存储应用程序342或数据344的存储介质330(例如一个或一个以上海量存储设备)。其中，存储器332和存储介质330可以是短暂存储或持久存储。存储在存储介质330的程序可以包括一个或一个以上模块(图示没标出)，每个模块可以包括对数据处理设备中的一系列指令操作。更进一步地，中央处理器322可以设置为与存储介质330通信，在电子设备301上执行存储介质330中的一系列指令操作。
115.电子设备301还可以包括一个或一个以上电源326，一个或一个以上有线或无线网
络接口350，一个或一个以上输入输出接口358，和/或，一个或一个以上操作系统341。例如，windows servertm，mac os xtm，unixtm，linuxtm，freebsdtm等。
116.在图5中，应用程序342可以是执行安全分析方法的程序，数据344可以是执行安全分析方法所需的或产生的数据。
117.上文所描述的安全分析方法中的步骤可以由电子设备的结构实现。
118.下面对本技术实施例提供的一种可读存储介质进行介绍，下文描述的一种可读存储介质与上文描述的一种安全分析方法、装置及设备可以相互参照。
119.一种可读存储介质，用于保存计算机程序，其中，所述计算机程序被处理器执行时实现前述实施例公开的安全分析方法。关于该方法的具体步骤可以参考前述实施例中公开的相应内容，在此不再进行赘述。
120.本技术涉及的“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法或设备固有的其它步骤或单元。
121.需要说明的是，在本技术中涉及“第一”、“第二”等的描述仅用于描述目的，而不能理解为指示或暗示其相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。另外，各个实施例之间的技术方案可以相互结合，但是必须是以本领域普通技术人员能够实现为基础，当技术方案的结合出现相互矛盾或无法实现时应当认为这种技术方案的结合不存在，也不在本技术要求的保护范围之内。
122.本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似部分互相参见即可。
123.结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(ram)、内存、只读存储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd-rom、或技术领域内所公知的任意其它形式的可读存储介质中。
124.本文中应用了具体个例对本技术的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本技术的方法及其核心思想；同时，对于本领域的一般技术人员，依据本技术的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本技术的限制。