(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111506423.7 (22)申请日 2021.12.10 (71)申请人 北京天融信网络安全技 术有限公司 地址 100085 北京市海淀区上地 东路1号院 3号楼四层 申请人 北京天融信科技有限公司 　 北京天融信软件 有限公司 (72)发明人 郑飞　惠红刚　张彩霞　崔明哲　 杨欣欣　 (74)专利代理 机构 北京金信知识产权代理有限 公司 11225 代理人 韩岳松 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/0631(2022.01)H04L 41/069(2022.01) G06F 16/2455(2019.01) G06F 16/25(2019.01) G06F 16/31(2019.01) (54)发明名称 一种多源异构安全日志的处 理方法及装置 (57)摘要 本公开提供了一种多源异构安全日志的处 理方法及装置， 处理方法包括获取第一安全日志 和第二安全日志； 第一安全日志和第二安全日志 属于不同的安全设备； 若第一安全日志和第二安 全日志满足预设条件， 将情报库内的预设字段分 别与第一安全日志的所有第一字段、 第二安全日 志的所有第二字段进行匹配， 得到第一匹配结果 和第二匹配结果； 若第一匹配结果与第二匹配结 果不一致， 计算第一安全日志的第一偏离值以及 计算第二安全日志的第二偏离值； 对第一偏离值 和第二偏 离值进行相似度计算得到相似度值， 基 于计算得到的相似度值确定第一安全日志和第 二安全日志是否为针对同一安全事件生成的。 本 公开实现了对不同安全设备的日志内容进行可 信度关联对比分析。 权利要求书2页 说明书12页 附图2页 CN 114205146 A 2022.03.18 CN 114205146 A 1.一种多源异构安全日志的处 理方法， 其特 征在于， 包括： 获取第一安全日志和第二安全日志； 其中， 所述第一安全日志和所述第二安全日志属 于不同的安全设备； 在所述第一安全日志和所述第 二安全日志满足预设条件的情况下， 将情报库内的预设 字段分别与所述第一安全日志的所有第一字段进行匹配， 得到第一匹配结果， 以及将情报 库内的预设字段分别与所述第二 安全日志的所有第二字段进行匹配， 得到第二匹配结果； 在所述第一匹配结果与所述第 二匹配结果不一致的情况下， 计算所述第 一安全日志的 第一偏离值以及计算所述第二 安全日志的第二偏离值； 对所述第一偏离值和所述第 二偏离值进行相似度计算得到相似度值， 基于计算得到的 相似度值确定所述第一 安全日志和所述第二 安全日志是否为针对同一 安全事件生成的。 2.根据权利要求1所述的处理方法， 其特征在于， 所述获取第 一安全日志和第 二安全日 志， 包括： 获取第一 安全设备生成的第三 安全日志以及第二 安全设备生成的第四安全日志； 基于所述第 一安全设备对应的字段解析规则， 将所述第 三安全日志转化成符合标准规 则的第三安全日志， 以及基于所述第二安全设备对应的字段解析规则， 将所述第四安全日 志转化成符合所述标准 规则的第四安全日志； 将所述第三安全日志进行结构化得到所述第 一安全日志， 以及将所述第四安全日志进 行结构化得到所述第二 安全日志。 3.根据权利要求1所述的处 理方法， 其特 征在于， 还 包括： 对比所述第 一安全日志中的基础数据与 所述第二安全日志中的基础数据 是否相同， 其 中， 所述基础数据包括源地址、 目标地址、 源端口、 目标端口、 协议类型、 请求统一资源定位 符以及请求返回值； 若不同， 则确定所述第一 安全日志和所述第二 安全日志满足所述预设条件。 4.根据权利要求1所述的处理方法， 其特征在于， 所述计算所述第 一安全日志的第 一偏 离值以及计算所述第二 安全日志的第二偏离值， 包括： 利用所有所述第一字段的影响程度计算得到所述第 一安全日志的第 一偏离值， 利用所 有所述第二字段的影响程度计算得到所述第二 安全日志的第二偏离值。 5.根据权利要求所述的处理方法， 其特征在于， 所述利用所有所述第一字段的影响程 度计算得到所述第一安全日志的第一偏离值， 利用所有所述第二字段的影响程度计算得到 所述第二 安全日志的第二偏离值， 包括： 获取所述第一 安全日志的第一告警时间以及所述第二 安全日志的第二告警时间； 计算所述第一告警时间和所述第二告警时间之间的告警时间差值； 利用所有所述第一字段的影响程度以及所述告警时间差值计算得到所述第 一偏离值， 利用所有所述第二字段的影响程度以及所述告警时间差值计算得到所述第二偏离值。 6.根据权利要求1所述的处理方法， 其特征在于， 所述基于计算得到的相似度值确定所 述第一安全日志和所述第二 安全日志是否为针对同一 安全事件生成的， 包括： 在所述相似度值大于预设阈值的情况下， 确定所述第 一安全日志和所述第 二安全日志 为针对同一 安全事件生成的。 7.根据权利要求1所述的处 理方法， 其特 征在于， 还 包括：权　利　要　求　书 1/2 页 2 CN 114205146 A 2基于所述第 一安全日志和所述第 二安全日志是否为针对同一安全事件生成， 生成所述 第一安全日志所属的安全设备以及所述第二 安全日志所属的安全设备之间的关联报告。 8.一种多源异构安全日志的处 理装置， 其特 征在于， 包括： 获取模块， 其配置地获取第 一安全日志和第二安全日志； 其中， 所述第 一安全日志和所 述第二安全日志属于不同的安全设备； 匹配模块， 其配置地在所述第一安全日志和所述第二安全日志满足预设条件的情况 下， 将情报库内的预设字段分别与所述第一安全 日志的所有第一字段进行匹配， 得到第一 匹配结果， 以及将情报库内的预设字段分别与所述第二安全日志的所有第二字段进行匹 配， 得到第二匹配结果； 计算模块， 其配置地在所述第一匹配结果与所述第二匹配结果不一致的情况下， 计算 所述第一 安全日志的第一偏离值以及计算所述第二 安全日志的第二偏离值； 第一确定模块， 其配置地对所述第 一偏离值和所述第 二偏离值进行相似度计算得到相 似度值， 基于计算得到的相似度值确定所述第一安全日志和所述第二安全日志是否为针对 同一安全事件生成的。 9.一种存储介质， 其特征在于， 该计算机可读存储介质上存储有计算机程序， 该计算机 程序被处 理器运行时执 行如下步骤： 获取第一安全日志和第二安全日志； 其中， 所述第一安全日志和所述第二安全日志属 于不同的安全设备； 在所述第一安全日志和所述第 二安全日志满足预设条件的情况下， 将情报库内的预设 字段分别与所述第一安全日志的所有第一字段进行匹配， 得到第一匹配结果， 以及将情报 库内的预设字段分别与所述第二 安全日志的所有第二字段进行匹配， 得到第二匹配结果； 在所述第一匹配结果与所述第 二匹配结果不一致的情况下， 计算所述第 一安全日志的 第一偏离值以及计算所述第二 安全日志的第二偏离值； 对所述第一偏离值和所述第 二偏离值进行相似度计算得到相似度值， 基于计算得到的 相似度值确定所述第一 安全日志和所述第二 安全日志是否为针对同一 安全事件生成的。 10.一种电子设备， 其特征在于， 包括： 处理器和存储器， 所述存储器存储有所述处理器 可执行的机器可读指 令， 当电子 设备运行时， 所述处理器与所述存储器之 间通过总线通信， 所述机器可读指令被所述处 理器执行时执行如下步骤： 获取第一安全日志和第二安全日志； 其中， 所述第一安全日志和所述第二安全日志属 于不同的安全设备； 在所述第一安全日志和所述第 二安全日志满足预设条件的情况下， 将情报库内的预设 字段分别与所述第一安全日志的所有第一字段进行匹配， 得到第一匹配结果， 以及将情报 库内的预设字段分别与所述第二 安全日志的所有第二字段进行匹配， 得到第二匹配结果； 在所述第一匹配结果与所述第 二匹配结果不一致的情况下， 计算所述第 一安全日志的 第一偏离值以及计算所述第二 安全日志的第二偏离值； 对所述第一偏离值和所述第 二偏离值进行相似度计算得到相似度值， 基于计算得到的 相似度值确定所述第一 安全日志和所述第二 安全日志是否为针对同一 安全事件生成的。权　利　要　求　书 2/2 页 3 CN 114205146 A 3