基于分布式日志的威胁信息处理方法、装置及存储介质与流程

本发明涉及信息安全领域，尤其是涉及一种基于分布式日志的威胁信息处理方法、装置及存储介质。

背景技术：

1、保证组织机构访问互联网安全对于企业来说非常必要，大型企业会租用分布式的多处办公地点以适应公司业务发展需要。一方面，位于不同地理位置的公司员工有访问互联网资源的日常办公需求；另一方面，员工访问互联网资源的行为需要被记录，同时，应能识别相应行为是否存在威胁并及时响应。

2、中国专利cn108337290a公开了一种企业员工网络行为分析的方法和装置，该方法包括：记录企业员工网络行为信息；对企业员工网络行为信息进行汇总、分析，得到企业员工网络行为规律；使用一段时间内记录的企业员工网络行为信息和企业员工网络行为规律进行比较，如果一段时间内记录的企业员工网络行为信息和企业员工网络行为规律有差异，则上报企业员工网络行为异常的信息。本方法通过对企业员工访问网络行为监控，可以实时发现企业员工的异常行为，如某些员工在一段时间内经常访问公司的资料库并下载资料时，则该员工可能存在盗取公司技术资料的行为，提示网络管理员进行相应处理。但是，在现有技术中，通常是通过ip地址或者mac地址来识别用户的，只能监控到上网设备，并通过绑定ip地址和mac地址的方式来对应到人，如此当设备绑定发生改变的时候，并不能第一时间获知该消息，无法实现比较准确的追溯，在大型企业内部进行问题溯源时进展缓慢，并且当遇到公用设备出现上网风险时，难以责任到人。此外，在访问互联网高峰时段，告警容易产生阻塞或延迟现象，难以对风险进行及时告警。

技术实现思路

1、本发明的目的就是为了提供一种基于分布式日志的威胁信息处理方法、装置及存储介质，通过联网控制实名化告警信息，从而可以风险告警定位于企业员工工号，加快风险处理速度，降低溯源难度，并且根据实名化告警信息的延迟时间来调整线程数，在业务高峰时段，通过自适应策略调整告警规则，降低告警延迟，优化服务器资源使用。

2、本发明的目的可以通过以下技术方案来实现：

3、一种基于分布式日志的威胁信息处理方法，包括：

4、获取设备联网请求，并在联网请求获得通过时，建立设备和联网账号的对应的关系；

5、获取设备的互联网访问日志，其中，所述互联网访问日志中含有用于表征联网行为发生事件的日志时间戳；

6、基于风险识别规则对互联网访问日志进行风险识别，并针对识别出的风险日志创建一条告警信息，其中，所述告警信息至少包括日志时间戳、告警代码和告警编号；

7、基于识别出的风险日志，根据对应设备和联网账号的对应的关系得到对应的联网账号，并添加至告警信息中得到实名化的告警信息；

8、对外发送实名化的告警信息，并记录实名化的告警信息的发送时间；

9、根据实名化的告警信息的发送时间和实名化的告警信息中的日志时间戳得到告警延迟时间，并与延迟时间阈值进行比较，当告警延迟时间超过延迟时间阈值时，记录此实名化的告警信息的告警状态为延迟告警，反之，记录此实名化的告警信息的告警状态为非延迟告警；

10、根据连续的多个实名化的告警信息的告警状态调节用于处理威胁信息的线程数。

11、所述根据连续的多个实名化的告警信息的告警状态调节用于处理威胁信息的线程数，包括：

12、判断连续出现告警状态为延迟告警的实名化的告警信息的数量是否超过第一设定数量，若为是，则增加用于处理威胁信息的线程数。

13、所述根据连续的多个实名化的告警信息的告警状态调节用于处理威胁信息的线程数，包括：

14、判断连续出现告警状态为延迟告警的实名化的告警信息的持续时间时间是否超过第一设定时长，若为是，则增加用于处理威胁信息的线程数。

15、所述方法还包括：

16、判断连续出现告警状态为非延迟告警的实名化的告警信息的数量是否超过第二设定数量，若为是，则减小用于处理威胁信息的线程数。

17、所述方法包括：

18、判断连续出现告警状态为非延迟告警的实名化的告警信息的持续时间时间是否超过第二设定时长，若为是，则减小用于处理威胁信息的线程数。

19、所述用于处理威胁信息的线程数的上限为cpu核心数的两倍。

20、所述联网账号为工号。

21、所述互联网访问日志至少包括设备局域网ip、目标ip和数据包头文件。

22、一种基于分布式日志的威胁信息处理装置，包括存储器、处理器，以及存储于所述存储器中的程序，所述处理器执行所述程序时实现如上述的方法。

23、所述程序被执行时实现上述的方法。

24、与现有技术相比，本发明具有以下有益效果：

25、1、通过联网控制实名化告警信息，从而可以风险告警定位于企业员工工号，加快风险处理速度，降低溯源难度，并且根据实名化告警信息的延迟时间来调整线程数，在业务高峰时段，通过自适应策略调整告警规则，降低告警延迟，优化服务器资源使用。

26、2、将告警数量来作为增大线程数的依据，信息处理效率更高，可以更加敏感。

27、3、将延迟告警的持续时间作为增大线程数的依据，更加准确，在高峰期可以减少调节次数。

技术特征：

1.一种基于分布式日志的威胁信息处理方法，其特征在于，包括：

2.根据权利要求1所述的一种基于分布式日志的威胁信息处理方法，其特征在于，所述根据连续的多个实名化的告警信息的告警状态调节用于处理威胁信息的线程数，包括：

3.根据权利要求1所述的一种基于分布式日志的威胁信息处理方法，其特征在于，所述根据连续的多个实名化的告警信息的告警状态调节用于处理威胁信息的线程数，包括：

4.根据权利要求1-3中任一所述的一种基于分布式日志的威胁信息处理方法，其特征在于，所述方法还包括：

5.根据权利要求1-3中任一所述的一种基于分布式日志的威胁信息处理方法，其特征在于，所述方法包括：

6.根据权利要求1所述的一种基于分布式日志的威胁信息处理方法，其特征在于，所述用于处理威胁信息的线程数的上限为cpu核心数的两倍。

7.根据权利要求1所述的一种基于分布式日志的威胁信息处理方法，其特征在于，所述联网账号为工号。

8.根据权利要求1所述的一种基于分布式日志的威胁信息处理方法，其特征在于，所述互联网访问日志至少包括设备局域网ip、目标ip和数据包头文件。

9.一种基于分布式日志的威胁信息处理装置，包括存储器、处理器，以及存储于所述存储器中的程序，其特征在于，所述处理器执行所述程序时实现如权利要求1-8中任一所述的方法。

10.一种存储介质，其上存储有程序，其特征在于，所述程序被执行时实现如权利要求1-8中任一所述的方法。

技术总结
本发明涉及一种基于分布式日志的威胁信息处理方法、装置及存储介质，其中方法包括：建立设备和联网账号的对应的关系；获取设备的互联网访问日志；基于风险识别规则对互联网访问日志进行风险识别，并针对识别出的风险日志创建一条告警信息；实名化告警信息；对外发送实名化的告警信息，并记录实名化的告警信息的发送时间；根据实名化的告警信息的发送时间和实名化的告警信息中的日志时间戳得到告警延迟时间，当告警延迟时间超过延迟时间阈值时，记录此实名化的告警信息的告警状态为延迟告警；根据连续的多个实名化的告警信息的告警状态调节用于处理威胁信息的线程数。与现有技术相比，本发明具有平衡延迟和计算资源并可以定位至具体人员等优点。

技术研发人员：丰帆,张英良
受保护的技术使用者：中国人寿保险股份有限公司上海数据中心
技术研发日：
技术公布日：2024/2/8