[发明专利]一种基于日志的威胁情报检测方法及装置

说明书

本发明实施例公开了一种基于日志的威胁情报检测方法及装置，方法包括：获取不同文件类型的日志文件，对所述日志文件进行解析，匹配不同威胁指标IOC类型，并将所述不同IOC类型的解析文件添加至检测引擎队列；从所述检测引擎队列中获取目标解析文件，根据所述目标解析文件的IOC类型确定对应的目标查询方式；若根据所述目标查询方式查询到所述目标解析文件中存在威胁情报，则生成威胁告警信息，如包含失陷主机或恶意文件。通过对不同文件类型的日志文件进行解析，并采用对应的失陷检测的查询方式对目标解析文件进行查询，能够同时处理大批量数据，大大提高对海量数据的网络安全检测的检测效率。

技术领域

本发明实施例涉及网络安全技术领域，具体涉及一种基于日志的威胁情报检测方法及装置。

背景技术

随着计算机技术和网络应用的迅速发展，网络信息数据量越来越大，海量数据的数据安全变得越来越重要。当今社会化网络、移动通信、网络视频音频、电子商务、传感器网络、科学实验等各种应用产生的数据，往往能够产生千万级、亿级甚至十亿、百亿级的海量数据，为了保证网络的安全，需要对这些海量数据进行检测，以保证网络的安全运行。

现有技术主要采用常规的对单一类型的日志检测方式，能够应对数据量较小的网络，但是对于海量数据网络，其检测方式的效率显然无法满足要求，从而导致网络运行速度的大幅度降低，同时数据安全检测的覆盖率较小。

在实现本发明实施例的过程中，发明人发现现有的方法对于海量数据的网络安全检测的检测效率过低。

发明内容

由于现有方法存在上述问题，本发明实施例提出一种基于日志的威胁情报检测方法及装置。

第一方面，本发明实施例提出一种基于日志的威胁情报检测方法，包括：

获取不同文件类型的日志文件，对所述日志文件进行解析，匹配不同威胁指标IOC类型，得到解析文件，并将所述解析文件添加至检测引擎队列；

从所述检测引擎队列中获取目标解析文件，根据所述目标解析文件的IOC类型确定对应的失陷检测的目标查询方式；

若根据所述目标查询方式查询到所述目标解析文件中存在威胁情报，则生成威胁告警信息。

可选地，所述对所述日志文件进行解析，得到不同威胁指标IOC类型的解析文件，具体包括：

对所述日志文件进行解析，通过主键方式所述日志文件的IOC类型，并检测所述日志文件中的恶意域名、IP或者恶意文件，得到不同IOC类型的解析文件。

可选地，所述若根据所述目标查询方式查询到所述目标解析文件中存在威胁情报，则生成威胁告警信息，具体包括：

根据所述目标查询方式对所述目标解析文件进行批量查询；

若查询到所述目标解析文件中存在威胁情报，则生成威胁告警信息。

可选地，所述获取不同文件类型的日志文件，对所述日志文件进行解析，得到不同威胁指标IOC类型的解析文件，并将所述不同IOC类型的解析文件添加至检测引擎队列之后，还包括：

若所述不同IOC类型的解析文件的数据量大于阈值，则将所述不同IOC类型的解析文件暂存至数据库。

可选地，所述若根据所述目标查询方式查询到所述目标解析文件中存在威胁情报，则生成威胁告警信息之前，还包括：

若根据所述目标查询方式查询所述目标解析文件时存在异常，则将出现异常的值队列进行保存。

可选地，所述方法还包括：

根据所述威胁告警信息的类型确定对应的显示类型，并根据所述显示类型将所述威胁告警信息发送至显示器进行显示，根据所述威胁告警信息生成告警日志，并将所述威胁告警信息和所述告警日志进行存储。