本申請提供了一種日志處理方法及裝置，用于在內網攻擊事件中區分包含相同IP地址的不同攻擊事件，并確定攻擊源。所述方法包括：獲取第一威脅日志和第二威脅日志；其中，第一威脅日志和第二威脅日志包括相同的源IP地址，第一威脅日志和第二威脅日志包括相同的目的IP地址，所述源IP地址和所述目的IP地址均屬于內網的IP地址；當確定所述第一威脅日志來自第一網絡設備時，確定所述第一威脅日志由第一攻擊事件產生；所述第一攻擊事件是由連接所述第一網絡設備的終端設備產生的；當確定所述第二威脅日志來自第二網絡設備時，確定所述第二威脅日志由第二攻擊事件產生；所述第二攻擊事件是由連接所述第二網絡設備的終端設備產生的。

技術領域

本申請涉及網絡安全領域，尤其涉及一種日志處理方法及裝置。

背景技術

隨著網絡技術的發展，出現了網絡安全技術，網絡安全技術主要是為了維護計算機通信網絡的安全，主要包括網絡的硬件和軟件的正常運行、以及數據信息交換的安全。在實際應用中，由于網絡攻擊行為的頻發常常會對系統的網絡安全造成隱患。為了保障系統安全，對網絡攻擊進行識別，并確定攻擊源就變得尤為重要了。

現有的大數據威脅分析系統中通常會獲取網絡設備產生的多條威脅日志，一般通過解析多條威脅日志中的五元組(源IP地址、源端口、目的IP地址、目的端口、傳輸層協議)，將攻擊事件進行分組，相同的IP地址即認為是同一事件。但是，由于不同內網中的IP地址可能相同，所以可能會將多個不同的攻擊事件判定為一個攻擊事件，導致無法及時預警。

發明內容

本申請提供一種日志處理方法及裝置，根據網絡設備標識區分在內網攻擊事件中包含相同IP地址的不同的攻擊事件。

第一方面，本申請實施例提供了一種日志處理方法，包括：獲取第一威脅日志和第二威脅日志；

其中，所述第一威脅日志和所述第二威脅日志包括相同的源IP地址，所述第一威脅日志和所述第二威脅日志包括相同的目的IP地址，所述源IP地址和所述目的IP地址均屬于內網的IP地址；

當確定所述第一威脅日志來自第一網絡設備時，確定所述第一威脅日志由第一攻擊事件產生；所述第一攻擊事件是由連接所述第一網絡設備的終端設備產生的；

當確定所述第二威脅日志來自第二網絡設備時，確定所述第二威脅日志由第二攻擊事件產生；所述第二攻擊事件是由連接所述第二網絡設備的終端設備產生的。

基于上述方案，在獲取到第一威脅日志和第二威脅日志時，若兩條威脅日志中的源IP地址或者目的IP地址相同，本申請提出了根據威脅日志來自不同的網絡設備將不同的威脅日志加以區分。解決了由于內網攻擊事件中來自不同內網的IP地址可能會相同，導致無法區分不同的攻擊事件的問題。

在一種可能的實現方式中，確定所述第一威脅日志來自第一網絡設備，包括：

根據所述第一威脅日志包括的第一網絡設備的標識，確定所述第一威脅日志來自第一網絡設備；或者，

確定所述第二威脅日志來自第二網絡設備，包括：

根據所述第二威脅日志包括的第二網絡設備的標識，確定所述第二威脅日志來自第二網絡設備。

基于上述方案，根據威脅日志中包含的網絡設備的標識，區分不同的威脅日志，可以更加準確的將不同的威脅日志區分開，避免區分錯誤的情況發生。

在一種可能的實現方式中，所述方法還包括：

確定與所述第一網絡設備的標識關聯的第一資源組，所述第一資源組包括與所述第一網絡設備連接的一個或多個第一終端設備的IP地址；將所述第一資源組中與所述源IP地址匹配的第一終端設備確定為所述第一攻擊事件的攻擊源；或者，