本发明专利技术实施例提供了一种日志数据的检测方法、装置、电子设备和存储介质,方法包括:可以先从待检测日志数据中,提取目标特征数据,目标特征数据包括目标时间特征数据和目标行为特征数据;然后将目标特征数据输入预设的日志异常检测模型中,得到针对待检测日志数据的异常检测结果;所述异常检测结果用于表示与所述待检测日志数据对应的目标设备是否在预设时长内遭受多次存在关联性的攻击,预设的日志异常检测模型是基于包括有时间特征数据和行为特征数据的训练用特征数据训练得到。通过本发明专利技术实施例,可以实现对目标设备在预设时长内所遭受的多次存在关联性的攻击进行有效的检测,从而保证了目标设备的安全。从而保证了目标设备的安全。从而保证了目标设备的安全。
【技术实现步骤摘要】
一种日志数据的检测方法、装置、电子设备和存储介质
[0001]本专利技术涉及数据检测的
,特别是涉及一种日志数据的检测方法、装置、电子设备和存储介质。
技术介绍
[0002]随着信息技术的不断发展,网络规模的不断扩大,安全问题日益突出,网络攻击变的越来越复杂化、多样化,各种病毒、漏洞、攻击层出不穷。网络安全问题不仅严重影响了人民的生活,还对社会的安全和经济发展产生了严重威胁。
[0003]现有的安全事件中,存在一些有预谋的长周期的恶意的攻击行为;当单独分析某一个行为数据时,其与正常行为可能会没有区别,进而导致这些周期长而又擅长潜藏的异常行为无法被有效地检测出来。
技术实现思路
[0004]鉴于上述问题,提出了以便提供克服上述问题或者至少部分地解决上述问题的一种日志数据的检测方法、装置、电子设备和存储介质,包括:
[0005]一种日志数据的检测方法,所述方法包括:
[0006]从待检测日志数据中,提取目标特征数据,所述目标特征数据包括目标时间特征数据和目标行为特征数据;
[0007]将所述目标特征数据输入预设的日志异常检测模型中,得到针对所述待检测日志数据的异常检测结果;所述异常检测结果用于表示与所述待检测日志数据对应的目标设备是否在预设时长内遭受多次存在关联性的攻击,所述预设的日志异常检测模型是基于包括有时间特征数据和行为特征数据的训练用特征数据训练得到。
[0008]可选地,所述从待检测日志数据中,提取目标特征数据,包括:
[0009]对所述待检测日志数据进行预处理;所述预处理包括以下至少一项:数据清洗,归一化;
[0010]从预处理后的待检测日志数据中,提取目标特征数据。
[0011]可选地,所述从预处理后的待检测日志数据中,提取目标特征数据,包括:
[0012]从预处理后的日志数据中,提取至少一个特征数据;
[0013]分别确定每个特征数据的权重;
[0014]根据所述权重,从所述至少一个特征数据中,确定目标特征数据。
[0015]可选地,所述预设的日志异常检测模型中设有正常行为规则库和异常行为规则库,所述方法还包括:
[0016]获取训练用日志数据,并对所述训练用日志数据进行预处理;
[0017]从预处理后的训练用日志数据中,提取至少一个训练用特征数据;
[0018]对所述至少一个训练用特征数据进行聚类,得到正常特征数据类和异常特征数据类;
[0019]根据所述正常特征数据,生成所述正常行为规则库;以及,根据所述异常特征数据,生成所述异常行为规则库。
[0020]可选地,所述将所述目标特征数据输入预设的日志异常检测模型中,得到针对所述待检测日志数据的异常检测结果,包括:
[0021]确定所述目标特征数据与所述正常行为规则库的第一距离,和与所述异常行为规则库的第二距离;
[0022]当所述第一距离小于第一距离阈值,且所述第二距离小于第二距离阈值时,生成未知异常行为的异常检测结果;
[0023]当所述第一距离大于所述第二距离时,生成已知异常行为的异常检测结果;
[0024]当所述第一距离小于第二距离,且第二距离大于第二距离阈值时,生成正常行为的异常检测结果。
[0025]可选地,所述对所述至少一个训练用特征数据进行聚类,包括:
[0026]确定一训练用特征数据与另一训练用特征数据的第三距离值;
[0027]当所述第三距离值低于第三距离阈值时,将所述一训练用特征数据和所述另一训练用特征数据聚为一类。
[0028]可选地,在根据所述正常特征数据,生成所述正常行为规则库;以及,根据所述异常特征数据,生成所述异常行为规则库时,以多线程来迭代计算支持度。
[0029]本专利技术实施例还提供了一种日志数据的检测装置,所述装置包括:
[0030]特征提取模块,用于从待检测日志数据中,提取目标特征数据,所述目标特征数据包括目标时间特征数据和目标行为特征数据;
[0031]检测模块,用于将所述目标特征数据输入预设的日志异常检测模型中,得到针对所述待检测日志数据的异常检测结果;所述异常检测结果用于表示与所述待检测日志数据对应的目标设备是否在预设时长内遭受多次存在关联性的攻击,所述预设的日志异常检测模型是基于包括有时间特征数据和行为特征数据的训练用特征数据训练得到。
[0032]可选地,所述特征提取模块,包括:
[0033]预处理子模块,用于对所述待检测日志数据进行预处理;所述预处理包括以下至少一项:数据清洗,归一化;
[0034]目标特征数据提取子模块,用于从预处理后的待检测日志数据中,提取目标特征数据。
[0035]可选地,所述目标特征数据提取子模块,用于从预处理后的日志数据中,提取至少一个特征数据;分别确定每个特征数据的权重;根据所述权重,从所述至少一个特征数据中,确定目标特征数据。
[0036]可选地,所述预设的日志异常检测模型中设有正常行为规则库和异常行为规则库,所述装置还包括:
[0037]训练模块,用于获取训练用日志数据,并对所述训练用日志数据进行预处理;从预处理后的训练用日志数据中,提取至少一个训练用特征数据;对所述至少一个训练用特征数据进行聚类,得到正常特征数据类和异常特征数据类;根据所述正常特征数据,生成所述正常行为规则库;以及,根据所述异常特征数据,生成所述异常行为规则库。
[0038]可选地,所述检测模块,包括:
[0039]距离计算子模块,用于确定所述目标特征数据与所述正常行为规则库的第一距离,和与所述异常行为规则库的第二距离;
[0040]第一异常检测结果生成子模块,用于当所述第一距离小于第一距离阈值,且所述第二距离小于第二距离阈值时,生成未知异常行为的异常检测结果;
[0041]第二异常检测结果生成子模块,用于当所述第一距离大于所述第二距离时,生成已知异常行为的异常检测结果;
[0042]第三异常检测结果生成子模块,用于当所述第一距离小于第二距离,且第二距离大于第二距离阈值时,生成正常行为的异常检测结果。
[0043]可选地,所述训练模块,包括:
[0044]聚类子模块,用于确定一训练用特征数据与另一训练用特征数据的第三距离值;当所述第三距离值低于第三距离阈值时,将所述一训练用特征数据和所述另一训练用特征数据聚为一类。
[0045]可选地,在根据所述正常特征数据,生成所述正常行为规则库;以及,根据所述异常特征数据,生成所述异常行为规则库时,以多线程来迭代计算支持度。
[0046]本专利技术实施例还提供了一种电子设备,包括处理器、存储器及存储在所述存储器上并能够在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如上的日志数据的检测方法。
[0047]本专利技术实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储计算机程序,所述计算机程序被处理器执行时实现如本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种日志数据的检测方法,其特征在于,所述方法包括:从待检测日志数据中,提取目标特征数据,所述目标特征数据包括目标时间特征数据和目标行为特征数据;将所述目标特征数据输入预设的日志异常检测模型中,得到针对所述待检测日志数据的异常检测结果;所述异常检测结果用于表示与所述待检测日志数据对应的目标设备是否在预设时长内遭受多次存在关联性的攻击,所述预设的日志异常检测模型是基于包括有时间特征数据和行为特征数据的训练用特征数据训练得到。2.根据权利要求1所述的方法,其特征在于,所述从待检测日志数据中,提取目标特征数据,包括:对所述待检测日志数据进行预处理;所述预处理包括以下至少一项:数据清洗,归一化;从预处理后的待检测日志数据中,提取目标特征数据。3.根据权利要求2所述的方法,其特征在于,所述从预处理后的待检测日志数据中,提取目标特征数据,包括:从预处理后的日志数据中,提取至少一个特征数据;分别确定每个特征数据的权重;根据所述权重,从所述至少一个特征数据中,确定目标特征数据。4.根据权利要求1所述的方法,其特征在于,所述预设的日志异常检测模型中设有正常行为规则库和异常行为规则库,所述方法还包括:获取训练用日志数据,并对所述训练用日志数据进行预处理;从预处理后的训练用日志数据中,提取至少一个训练用特征数据;对所述至少一个训练用特征数据进行聚类,得到正常特征数据类和异常特征数据类;根据所述正常特征数据,生成所述正常行为规则库;以及,根据所述异常特征数据,生成所述异常行为规则库。5.根据权利要求4所述的方法,其特征在于,所述将所述目标特征数据输入预设的日志异常检测模型中,得到针对所述待检测日志数据的异常检测结果,包括:确定所述目标特征数据与所述正常行为规则库的第一距离,和与所述异常行为规则库的第...
【专利技术属性】
技术研发人员:姚俊,陆平,戴美,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。