[发明专利]基于时间轴的异常行为序列关联处理方法以及装置、设备、存储介质

说明书

本申请公开了一种基于时间轴的异常行为序列关联处理方法以及装置、设备、存储介质。该方法包括将日志进行集中采集，通过统一格式化得到格式化日志；根据预定规则在所述格式化日志中筛选出异常行为日志；根据所述异常行为日志的时间戳建立时间轴；将散列在不同时间维度的异常日志信息进行展示，并且对于不同类型的字段信息采用不同颜色进行区分；在所述时间轴上展示以威胁告警发生时间为中心点的预设时间范围内关联的异常事件发生情况，以使所述异常行为序列关联处理实现溯源。本申请解决了异常行为的检测效果不佳的技术问题。通过本申请能够有效检测异常事件，关联分析能揭示引起异常的根本原因，从而对提高检测系统的应急响应能力。

技术领域

本申请涉及日志处理领域，具体而言，涉及一种基于时间轴的异常行为序列关联处理方法以及装置、设备、存储介质。

背景技术

日志数据是故障排除、监控、安全、合规、电子取证等许多企业应用的基础，对日志数据的深入分析可以得到很多有价值的信息。

发明人发现，检测技术通常会导致误报率很高、准确率很低的问题，进一步地，对于一些新型的未知威胁行为无法检测。

针对相关技术中异常行为的检测效果不佳的问题，目前尚未提出有效的解决方案。

发明内容

本申请的主要目的在于提供一种基于时间轴的异常行为序列关联处理方法以及装置、设备、存储介质，以解决异常行为的检测效果不佳的问题。

为了实现上述目的，根据本申请的一个方面，提供了一种基于时间轴的异常行为序列关联处理方法以及装置、设备、存储介质。

根据本申请的基于时间轴的异常行为序列关联处理方法包括：将日志进行集中采集，通过统一格式化得到格式化日志；根据预定规则在所述格式化日志中筛选出异常行为日志；根据所述异常行为日志的时间戳建立时间轴；将散列在不同时间维度的异常日志信息进行展示，并且对于不同类型的字段信息采用不同颜色进行区分；在所述时间轴上展示以威胁告警发生时间为中心点的预设时间范围内关联的异常事件发生情况，以使所述异常行为序列关联处理实现溯源。

进一步地，根据预定规则在所述格式化日志中筛选出异常行为日志包括：

根据预定规则在所述格式化日志中筛选出告警事件日志、用户登录失败日志、新创建账户日志、新出现进程日志或者权限变更日志的异常行为日志。

进一步地，将散列在不同时间维度的异常日志信息进行展示，并且对于不同类型的字段信息采用不同颜色进行区分包括：

将散列在不同时间维度的异常日志IP地址或者用户名称字段进行展示，并对且对于不同类型的字段信息采用不同颜色进行区。

进一步地，将日志进行集中采集，通过统一格式化得到格式化日志还包括：

将日志进行集中采集，抽取时间戳和相应字段后建立索引。

进一步地，在所述时间轴上展示以威胁告警发生时间为中心点的预设时间范围内关联的异常事件发生情况，以使所述异常行为序列关联处理实现溯源包括：

在所述时间轴上展示以威胁告警发生时间为中心点的前段预设时间范围内关联的异常事件发生情况；

在所述时间轴上展示以威胁告警发生时间为中心点的后段预设时间范围内关联的异常事件发生情况；

根据所述前段预设时间范围内关联的异常事件发生情况和所述后段预设时间范围内关联的异常事件发生情况以使所述异常行为序列关联处理实现溯源。

为了实现上述目的，根据本申请的另一方面，提供了一种基于时间轴的异常行为序列关联处理装置。