(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202211223822.7 (22)申请日 2022.10.08 (65)同一申请的已公布的文献号 申请公布号 CN 115309907 A (43)申请公布日 2022.11.08 (73)专利权人 北京升鑫网络科技有限公司 地址 100176 北京市北京经济技 术开发区 科谷一街10号院6号楼5层5 05-4C (72)发明人 文洲　朱金涛　朱震　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 专利代理师 张萌 (51)Int.Cl. G06F 16/35(2019.01) G06F 16/36(2019.01)G06F 21/55(2013.01) G06F 40/295(2020.01) G06F 40/30(2020.01) (56)对比文件 US 10348767 B1,2019.07.09 CN 111221625 A,2020.0 6.02 CN 112114995 A,2020.12.2 2 CN 113901450 A,2022.01.07 CN 113965407 A,202 2.01.21 CN 114024775 A,202 2.02.08 审查员 方婷 (54)发明名称 告警日志关联 方法及装置 (57)摘要 本发明提供了一种告警日志关联方法及装 置， 先获取每个攻击告警日志对应的实体元素； 再基于实体元素间的访问关系， 将每个攻击告警 日志对应的实体元素组成相应的第一进程树； 之 后按照预设关联规则 （包括进程维度规则和时间 维度规则） ， 将获取到的全部第一进程树关联成 一个或多个攻击事件。 采用本发 明可以高效完成 多种告警日志的实时关联， 准确灵活且可拓展性 好。 权利要求书2页 说明书14页 附图13页 CN 115309907 B 2022.12.27 CN 115309907 B 1.一种告警日志关联 方法， 其特 征在于， 所述方法包括： 获取每个攻击告警日志对应的实体元 素； 基于实体元素间的访问关系， 将每个所述攻击告警日志对应的实体元素组成相应的第 一进程树； 其中， 所述第一进程树中的节点表征实体元素， 所述第一进程树中节点间的连线 表征实体元 素间的访问关系； 按照预设关联规则， 将 获取到的全部第一进程树关联成一个或多个攻击事件； 其中， 所 述预设关联规则包括进程维度规则和时间维度规则； 获取每个攻击告警日志对应的实体元 素的步骤之后， 所述方法还 包括： 基于预设的攻击图存储模型， 将 获取到的每个攻击告警日志对应的实体元素和实体元 素间的关系存 储为攻击图； 按照预设关联规则， 将获取到的全部第一进程树关联成一个或多个攻击事件的步骤， 包括： 对于新得到的每个第一进程树， 均按照预设关联规则， 将该第一进程树与所述攻击 图 中已有的第一进程 树关联， 并用该第一进程 树的关联 结果更新所述 攻击图； 按照预设关联规则， 将获取到的全部第一进程树关联成一个或多个攻击事件的步骤， 还包括： 按照进程维度规则确定每个第 一进程树中的关联点， 并将关联点相同的第 一进程树关 联成同一个子事件， 得到一个或多个子事件； 其中， 关联点为第一进程树中表征攻击开始的 节点； 按照时间维度规则， 将所述 一个或多个子事 件聚合成一个或多个攻击事 件。 2.根据权利要求1所述的告警日志关联方法， 其特征在于， 按照进程维度规则确定每个 第一进程 树中的关联点的步骤， 包括： 对于每个第一进程树， 将该第一进程树与一个或多个预设攻击路径进行匹配； 如果匹 配成功， 则将匹配最长的预设攻击路径的末端节点作为该第一进程树中的关联点； 如果匹 配失败， 则基于预设节点白名单， 沿从根节点到子节点的顺序遍历该第一进程树， 并将该第 一进程树中首次遍历到的不在预设节点白名单中的节点作为该第一进程 树中的关联点。 3.根据权利要求2所述的告警日志关联 方法， 其特 征在于， 所述方法还 包括： 如果该第一进程树中的关联点不在所述攻击 图中， 将该关联点作为一个新的关联点， 在所述攻击图中将该第一进程 树关联在一个新的子事 件中； 如果该第一进程树满足预设条件， 在所述攻击图中将该第 一进程树关联在一个新的子 事件中； 其中， 所述预设条件 包括子事 件中节点的数量和子事 件的时间信息 。 4.根据权利要求1所述的告警日志关联方法， 其特征在于， 按照 时间维度规则， 将所述 一个或多个子事 件聚合成一个或多个攻击事 件的步骤， 包括： 基于预设的多个不同时间范围和每个子事件的时间信 息， 将时间信 息与同一 时间范围 对应的子事 件聚合成同一个攻击事 件， 得到一个或多个攻击事 件。 5.根据权利要求1所述的告警日志关联方法， 其特征在于， 获取每个攻击告警日志对应 的实体元 素的步骤之后， 所述方法还 包括： 基于预设的多个不同虚 表结构， 分别确定每 个访问关系的类型； 基于确定的每 个访问关系的类型， 分别为每 个访问关系对应分配相应的类型 标识。权　利　要　求　书 1/2 页 2 CN 115309907 B 26.根据权利要求1所述的告警日志关联方法， 其特征在于， 对于每个网络访 问关系， 均 为该网络访问关系分配相应的四元组作为该网络访问关系的类型标识； 其中， 所述四元组 包括源ip地址、 源端口、 目标端口和目标ip地址 。 7.根据权利要求1所述的告警日志关联方法， 其特征在于， 所述攻击告警日志对应的实 体元素不包括进程； 所述方法还 包括： 基于目标实体元素间的扫描关系， 将具有相同目标实体元素的攻击告警日志关联成同 一个攻击事 件。 8.一种告警日志关联装置， 其特 征在于， 所述装置包括： 实体元素获取模块， 用于获取每 个攻击告警日志对应的实体元 素； 攻击图生成模块， 用于基于实体元素间的访 问关系， 将每个所述攻击告警日志对应的 实体元素组成相应的第一进程树； 其中， 所述第一进程树中的节点表征实体元素， 所述第一 进程树中节点间的连线表征实体元 素间的访问关系； 关联模块， 用于按照预设关联规则， 将获取到的全部第一进程树关联成一个或多个攻 击事件； 其中， 所述预设 关联规则包括进程维度规则和时间维度规则； 所述装置还 包括： 入图模块， 用于基于预设的攻击 图存储模型， 将获取到的每个攻击告警日志对应的实 体元素和实体元 素间的关系存 储为攻击图； 所述关联模块还用于： 对于新得到的每个第一进程树， 均按照预设关联规则， 将该第一 进程树与所述攻击图中已有的第一进程树关联， 并用该第一进程树的关联结果更新所述攻 击图； 所述关联模块还用于： 按照进程维度规则确定每个第一进程树中的关联点， 并将关联 点相同的第一进程树关联成同一个子事件， 得到一个或多个子事件； 其中， 关联点为第一进 程树中表征攻击开始的节点； 按照时间维度规则， 将所述一个或多个子事件聚合成一个或 多个攻击事 件。权　利　要　求　书 2/2 页 3 CN 115309907 B 3