本申請公開了一種基于時間軸的異常行為序列關聯處理方法以及裝置、設備、存儲介質。該方法包括將日志進行集中采集，通過統一格式化得到格式化日志；根據預定規則在所述格式化日志中篩選出異常行為日志；根據所述異常行為日志的時間戳建立時間軸；將散列在不同時間維度的異常日志信息進行展示，并且對于不同類型的字段信息采用不同顏色進行區分；在所述時間軸上展示以威脅告警發生時間為中心點的預設時間范圍內關聯的異常事件發生情況，以使所述異常行為序列關聯處理實現溯源。本申請解決了異常行為的檢測效果不佳的技術問題。通過本申請能夠有效檢測異常事件，關聯分析能揭示引起異常的根本原因，從而對提高檢測系統的應急響應能力。

技術領域

本申請涉及日志處理領域，具體而言，涉及一種基于時間軸的異常行為序列關聯處理方法以及裝置、設備、存儲介質。

背景技術

日志數據是故障排除、監控、安全、合規、電子取證等許多企業應用的基礎，對日志數據的深入分析可以得到很多有價值的信息。

發明人發現，檢測技術通常會導致誤報率很高、準確率很低的問題，進一步地，對于一些新型的未知威脅行為無法檢測。

針對相關技術中異常行為的檢測效果不佳的問題，目前尚未提出有效的解決方案。

發明內容

本申請的主要目的在于提供一種基于時間軸的異常行為序列關聯處理方法以及裝置、設備、存儲介質，以解決異常行為的檢測效果不佳的問題。

為了實現上述目的，根據本申請的一個方面，提供了一種基于時間軸的異常行為序列關聯處理方法以及裝置、設備、存儲介質。

根據本申請的基于時間軸的異常行為序列關聯處理方法包括：將日志進行集中采集，通過統一格式化得到格式化日志；根據預定規則在所述格式化日志中篩選出異常行為日志；根據所述異常行為日志的時間戳建立時間軸；將散列在不同時間維度的異常日志信息進行展示，并且對于不同類型的字段信息采用不同顏色進行區分；在所述時間軸上展示以威脅告警發生時間為中心點的預設時間范圍內關聯的異常事件發生情況，以使所述異常行為序列關聯處理實現溯源。

進一步地，根據預定規則在所述格式化日志中篩選出異常行為日志包括：

根據預定規則在所述格式化日志中篩選出告警事件日志、用戶登錄失敗日志、新創建賬戶日志、新出現進程日志或者權限變更日志的異常行為日志。

進一步地，將散列在不同時間維度的異常日志信息進行展示，并且對于不同類型的字段信息采用不同顏色進行區分包括：

將散列在不同時間維度的異常日志IP地址或者用戶名稱字段進行展示，并對且對于不同類型的字段信息采用不同顏色進行區。

進一步地，將日志進行集中采集，通過統一格式化得到格式化日志還包括：

將日志進行集中采集，抽取時間戳和相應字段后建立索引。

進一步地，在所述時間軸上展示以威脅告警發生時間為中心點的預設時間范圍內關聯的異常事件發生情況，以使所述異常行為序列關聯處理實現溯源包括：

在所述時間軸上展示以威脅告警發生時間為中心點的前段預設時間范圍內關聯的異常事件發生情況；

在所述時間軸上展示以威脅告警發生時間為中心點的后段預設時間范圍內關聯的異常事件發生情況；

根據所述前段預設時間范圍內關聯的異常事件發生情況和所述后段預設時間范圍內關聯的異常事件發生情況以使所述異常行為序列關聯處理實現溯源。

為了實現上述目的，根據本申請的另一方面，提供了一種基于時間軸的異常行為序列關聯處理裝置。