[发明专利]一种日志关联的方法、装置及电子设备

说明书

本申请公开一种日志关联的方法、装置及电子设备，该方法包括基于机器学习模型，获取预设时间窗口长度的多个序列对，并基于机器学习模型对序列对进行检测，当检测到序列对中的第一向量序列存在异常时，获取所述第一向量序列对应的第一预测结果，并根据第一预测结果得到与第一向量序列关联的目标日志，当检测到序列对中的第二向量序列存在异常时，获取第二向量序列对应的第二预测结果，并根据第二预测结果得到与第二向量序列关联的目标日志。基于上述方法又可以根据网络侧的网络告警，关联定位到终端侧的行为日志，同时可以根据终端侧的行为日志，关联到一种可能的网络侧的网络告警。解决难以完整准确定位与溯源对应的关联日志的问题。

技术领域

本申请涉及计算机技术领域，尤其涉及一种日志关联的方法、装置及电子设备。

背景技术

随着信息化的高速发展，中心化的数据汇聚平台(例如：安全信息和事件管理等)需要接入大规模的多源异构数据。由于多源异构数据可以通过不同设备采集，并且针对不同设备采集到的多源异构数据的分析机制不同，因此，为了有效还原攻击者的攻击意图，对攻击行为进行精准检测与路径溯源，针对不同设备采集到的多源异构数据的关联分析成为当前的一大挑战。

具体来说，多源异构数据可以是通过网络侧设备(例如：IPS、WAF等)采集的网络日志以及网络告警，也可以通过终端侧设备(例如：EDR等)采集的行为日志以及行为告警。一般来说，网络告警表示危险程度较高的网络日志，行为告警表示危险程度较高的行为日志。在实际采集过程中，网络侧设备一般采集网络告警，终端侧设备一般采集行为日志。

在当前多源异构数据中，为了关联分析网络侧设备采集的网络告警与终端侧设备采集的行为日志，在已有方案中提出一种跨网络、终端的弱关联的方法。

弱关联的方法：根据预设置的网络告警类型与行为日志类型之间的关联关系以及预设时序区间来定位对应的日志类型。例如，在采集到满足预设时序区间的网络告警时，可以根据采集网络告警的类型，得到对应的行为日志类型；在采集到满足预设时序区间的行为日志时，可以根据采集行为日志的类型，得到对应的网络告警类型。

但是在上述方案中，人为预设值的关联规则是非常粗糙的，只能得到关联的大致范畴(例如：对应的类型)，同时受预设时序区间的限定(例如：当与某一网络告警关联的行为日志异常庞大时，只能关联在预设时序区间内对应的行为日志)。

鉴于此，现有技术中存在针对不同设备采集到的原始数据进行关联分析时，难以完整准确定位与溯源对应的关联日志的问题。

发明内容

本申请提供一种日志关联的方法、装置及电子设备，用以根据网络侧的网络告警，关联定位到终端侧的行为日志，同时根据终端侧的行为日志，关联到一种可能的网络侧的网络告警。

第一方面，本申请提供了一种日志关联的方法，所述方法包括：

获取预设时间窗口长度的多个序列对，其中，每个序列对表征第一向量序列与第二向量序列之间一对一的对应关系，所述第一向量序列表征具有同一IP地址的多个经过向量化处理的网络告警的序列，所述第二向量序列表征具有同一主机序号的多个经过向量化处理的终端实体的序列；

当检测到所述序列对中的所述第一向量序列存在异常时，获取所述第一向量序列对应的第一预测结果，并根据所述第一预测结果得到与所述第一向量序列关联的目标日志；

当检测到所述序列对中的所述第二向量序列存在异常时，获取所述第二向量序列对应的第二预测结果，并根据所述第二预测结果得到与所述第二向量序列关联的目标日志。

通过上述方法，可以支持根据具体的网络侧的网络告警，准确关联溯源到终端侧的行为日志，并屏蔽大量无关、正常行为日志；同时支持根据终端侧的行为日志，关联到一种可能的网络侧的网络告警，有效辅助专家用户针对可能的网络告警进行研判。

在一种可能的设计中，在所述获取预设时间窗口长度的多个序列对之前，还包括：