审计规则推荐方法及装置制造方法及图纸

本公开提供一种审计规则推荐方法及装置，所述方法包括：获取日志信息；从所述日志信息中确定至少一个用于配置指定审计规则的关键词，所述指定审计规则包括字符串匹配规则；将各个所述关键词推荐给审计规则配置装置，以使所述审计规则配置装置根据所述关键词配置所述指定审计规则。因此，本公开降低了审计规则配置的难度，还提高了审计规则配置的合理性，也避免了人工配置审计规则时可能造成的遗漏。

Audit Rules Recommendation Method and Device

【技术实现步骤摘要】
审计规则推荐方法及装置
本公开涉及计算机通信
，尤其涉及一种审计规则推荐方法及装置。
技术介绍
在企业信息系统或者互联网服务系统中，日志系统是一个非常重要的功能组成部分，它可以记录系统产生的所有行为，并按照某种规范表达出来。现有技术中，对于采集到的日志，进行范式化处理后，可能存入指定存储区域中。并且，为了识别异常的日志，还可以再创建一些审计规则，比如：正则表达式、字符串匹配、阈值比较等方式，对指定存储区域中的数据进行匹配，如果日志匹配，则会上报审计事件，如果审计事件满足一定的告警条件，则发送邮件或短信告警。但是，审计规则通常需要对业务非常熟悉的人员才能进行合理的配置，配置难度大，配置审计规则的时候可能会遗漏一些审计规则，不能捕获系统中的异常日志，从而隐藏一些系统风险。
技术实现思路
为克服相关技术中存在的问题，本公开提供了信息查询方法及装置。根据本公开实施例的第一方面，提供一种审计规则推荐方法，所述方法包括：获取日志信息；从所述日志信息中确定至少一个用于配置指定审计规则的关键词，所述指定审计规则包括字符串匹配规则；将各个所述关键词推荐给审计规则配置装置，以使所述审计规则配置装置根据所述关键词配置所述指定审计规则。可选地，所述从所述日志信息中确定至少一个用于配置指定审计规则的关键词，包括：使用词频-逆文档频率TF-IDF算法从所述日志信息中确定所述关键词。可选地，所述使用词频-逆文档频率TF-IDF算法从所述日志信息中确定所述关键词，包括：对所述日志信息进行分词，得到至少一个用于确定所述关键词的候选词；计算各个所述候选词的TF-IDF；根据各个所述候选词的TF-IDF确定所述关键词。可选地，所述计算各个所述候选词的TF-IDF，包括：根据所述候选词在所述日志信息中的出现次数和所述日志信息的总词数，计算所述候选词的词频TF；根据设定语料库的文档总数和所述设定语料库中包括所述候选词在的文档数，计算所述候选词的逆文档频率IDF；根据所述候选词的TF和所述候选词的IDF，计算所述候选词的TF-IDF。可选地，所述根据各个所述候选词的TF-IDF确定所述关键词，包括：按照TF-IDF值的大小对各个所述候选词的TF-IDF进行排序；从TF-IDF值最大的所述候选词开始，依次选取指定数量个所述候选词，并将选出的所述候选词确定为所述关键词。可选地，所述根据各个所述候选词的TF-IDF确定所述关键词，包括：比较所述候选词的TF-IDF是否大于指定TF-IDF阈值；若是，则将所述候选词确定为所述关键词；若否，则将所述候选词不确定为所述关键词。可选地，所述方法还包括：从设定语料库中确定至少一个与所述关键词达到指定相关条件的相关词；将各个所述相关词推荐给所述审计规则配置装置，以使所述审计规则配置装置根据所述相关词配置所述指定审计规则。可选地，所述指定相关条件包括相关度最高或所述相关度大于指定相关度阈值；所述相关词中包括所述关键词的近义词和/或所述关键词的反义词。可选地，所述从设定语料库中确定至少一个与所述关键词达到指定相关条件的相关词，包括：按照设定算法从设定语料库中确定至少一个与所述关键词达到指定相关条件的相关词，所述设定算法包括用来产生词向量的相关模型word2vec算法或频繁项集挖掘算法。根据本公开实施例的第二方面，提供一种审计规则推荐装置，所述装置包括：获取模块，被配置为获取日志信息；第一确定模块，被配置为从所述日志信息中确定至少一个用于配置指定审计规则的关键词，所述指定审计规则包括字符串匹配规则；第一推荐模块，被配置为将各个所述关键词推荐给审计规则配置装置，以使所述审计规则配置装置根据所述关键词配置所述指定审计规则。可选地，所述第一确定模块包括：第一确定子模块，被配置为使用词频-逆文档频率TF-IDF算法从所述日志信息中确定所述关键词。可选地，所述第一确定子模块包括：分词子模块，被配置为对所述日志信息进行分词，得到至少一个用于确定所述关键词的候选词；第一计算子模块，被配置为计算各个所述候选词的TF-IDF；第二确定子模块，被配置为根据各个所述候选词的TF-IDF确定所述关键词。可选地，所述第一计算子模块包括：第二计算子模块，被配置为根据所述候选词在所述日志信息中的出现次数和所述日志信息的总词数，计算所述候选词的词频TF；第三计算子模块，被配置为根据设定语料库的文档总数和所述设定语料库中包括所述候选词在的文档数，计算所述候选词的逆文档频率IDF；第四计算子模块，被配置为根据所述候选词的TF和所述候选词的IDF，计算所述候选词的TF-IDF。可选地，所述第二确定子模块包括：排序子模块，被配置为按照TF-IDF值的大小对各个所述候选词的TF-IDF进行排序；选取子模块，被配置为从TF-IDF值最大的所述候选词开始，依次选取指定数量个所述候选词，并将选出的所述候选词确定为所述关键词。可选地，所述第二确定子模块包括：比较子模块，被配置为比较所述候选词的TF-IDF是否大于指定TF-IDF阈值；第一处理子模块，被配置为若所述比较子模块的比较结果为是，则将所述候选词确定为所述关键词；第二处理子模块，被配置为若所述比较子模块的比较结果为否，则将所述候选词不确定为所述关键词。可选地，所述装置还包括：第二确定模块，被配置为从设定语料库中确定至少一个与所述关键词达到指定相关条件的相关词；第二推荐模块，被配置为将各个所述相关词推荐给所述审计规则配置装置，以使所述审计规则配置装置根据所述相关词配置所述指定审计规则。可选地，所述指定相关条件包括相关度最高或所述相关度大于指定相关度阈值；所述相关词中包括所述关键词的近义词和/或所述关键词的反义词。可选地，所述第二确定模块包括：第三确定子模块，被配置为按照设定算法从设定语料库中确定至少一个与所述关键词达到指定相关条件的相关词，所述设定算法包括用来产生词向量的相关模型word2vec算法或频繁项集挖掘算法。根据本公开实施例的第三方面，提供一种非临时性计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现上述第一方面提供的审计规则推荐方法。根据本公开实施例的第四方面，提供一种审计规则推荐装置，所述装置包括：处理器；用于存储处理器可执行指令的存储器；其中，所述处理器被配置为：获取日志信息；从所述日志信息中确定至少一个用于配置指定审计规则的关键词，所述指定审计规则为字符串匹配；将各个所述关键词推荐给审计规则配置装置，以使所述审计规则配置装置根据所述关键词配置所述指定审计规则。根据本公开实施例的第五方面，提供一种日志系统，包括上述第二方面所述的审计规则推荐装置，并用于执行上述第一方面所述的审计规则推荐方法。本公开的实施例提供的技术方案可以包括以下有益效果：本公开中的审计规则推荐装置可以通过获取日志信息，并从日志信息中确定至少一个用于配置指定审计规则的关键词，该指定审计规则包括字符串匹配规则，以及将各个关键词推荐给审计规则配置装置，这样审计规则配置装置可以根据推荐的关键词配置指定审计规则，从而降低了审计规则配置的难度，还提高了审计规则配置的合理性，也避免了人工配置审计规则时可能造成的遗漏。本公开中的审计规则推荐装置还可以使用TF-IDF算法从日志信息中确定至少一个用于配置本文档来自技高网...

【技术保护点】
1.一种审计规则推荐方法，其特征在于，所述方法包括：获取日志信息；从所述日志信息中确定至少一个用于配置指定审计规则的关键词，所述指定审计规则包括字符串匹配规则；将各个所述关键词推荐给审计规则配置装置，以使所述审计规则配置装置根据所述关键词配置所述指定审计规则。

【技术特征摘要】
1.一种审计规则推荐方法，其特征在于，所述方法包括：获取日志信息；从所述日志信息中确定至少一个用于配置指定审计规则的关键词，所述指定审计规则包括字符串匹配规则；将各个所述关键词推荐给审计规则配置装置，以使所述审计规则配置装置根据所述关键词配置所述指定审计规则。2.根据权利要求1所述的方法，其特征在于，所述从所述日志信息中确定至少一个用于配置指定审计规则的关键词，包括：使用词频-逆文档频率TF-IDF算法从所述日志信息中确定所述关键词。3.根据权利要求2所述的方法，其特征在于，所述使用词频-逆文档频率TF-IDF算法从所述日志信息中确定所述关键词，包括：对所述日志信息进行分词，得到至少一个用于确定所述关键词的候选词；计算各个所述候选词的TF-IDF；根据各个所述候选词的TF-IDF确定所述关键词。4.根据权利要求3所述的方法，其特征在于，所述计算各个所述候选词的TF-IDF，包括：根据所述候选词在所述日志信息中的出现次数和所述日志信息的总词数，计算所述候选词的词频TF；根据设定语料库的文档总数和所述设定语料库中包括所述候选词在的文档数，计算所述候选词的逆文档频率IDF；根据所述候选词的TF和所述候选词的IDF，计算所述候选词的TF-IDF。5.根据权利要求3所述的方法，其特征在于，所述根据各个所述候选词的TF-IDF确定所述关键词，包括：按照TF-IDF值的大小对各个所述候选词的TF-IDF进行排序；从TF-IDF值最大的所述候选词开始，依次选取指定数量个所述候选词，并将选出的所述候选词确定为所述关键词。6.根据权利要求3所述的方法，其特征在于，所述根据各个所述候选词的TF-IDF确定所述关键词，包括：比较所述候选词的TF-IDF是否大于指定TF-IDF阈值；若是，则将所述候选词确定为所述关键词；若否，则将所述候选词不确定为所述关键词。7.根据权利要求1所述的方法，其特征在于，所述方法还包括：从设定语料库中确定至少一个与所述关键词达到指定相关条件的相关词；将各个所述相关词推荐给所述审计规则配置装置，以使所述审计规则配置装置根据所述相关词配置所述指定审计规则。8.根据权利要求7所述的方法，其特征在于，所述指定相关条件包括相关度最高或所述相关度大于指定相关度阈值；所述相关词中包括所述关键词的近义词和/或所述关键词的反义词。9.根据权利要求7所述的方法，其特征在于，所述从设定语料库中确定至少一个与所述关键词达到指定相关条件的相关词，包括：按照设定算法从设定语料库中确定至少一个与所述关键词达到指定相关条件的相关词，所述设定算法包括用来产生词向量的相关模型word2vec算法或频繁项集挖掘算法。10.一种审计规则推荐装置，其特征在于，所述装置包括：获取模块，被配置为获取日志信息；第一确定模块，被配置为从所述日志信息中确定至少一个用于配置指定审计规则的关键词，所述指定审计规则包括字符串匹配规则；第一推荐模块，被配置为将各个所述关键词推荐给审计规则配置装置，以使所述审计规则配置装置根据所述关键词配置所述指定审计规则。11.根据权利要求10所述的装置，其特征在于，所述第一确定模块包括：第一确定子模块，被配置为使用词频...

【专利技术属性】
技术研发人员：肖峰，
申请(专利权)人：杭州数梦工场科技有限公司，
类型：发明
国别省市：浙江,33