本申请提供一种日志管理方法及装置,用以提高日志管理效率,该方法包括:根据预设的日志规则,对获取到的至少一个原生日志进行归一化处理,得到具有标准格式的至少一个第一日志;对所述至少一个第一日志进行关联挖掘处理,得到一个或多个关联规则;所述关联规则用于指示日志特征之间的关联;将所述一个或多个关联规则保存至用户行为模式库,所述用户行为模式库用于为日志类型的确定提供判断依据。模式库用于为日志类型的确定提供判断依据。模式库用于为日志类型的确定提供判断依据。
【技术实现步骤摘要】
一种日志管理方法及装置
[0001]本申请涉及网络安全
,具体涉及一种日志管理方法及装置。
技术介绍
[0002]随着网络信息时代的不断发展,复杂的信息技术(Information Technology,IT)资源及其安全防御设施在运行过程中不断产生大量的安全日志,用以实现日志管理的日志审计系统应运而生。
[0003]但是目前的日志审计系统对于日志的管理存在遭遇海量数据会消耗大量的资源,并且管理日志的效率较低的问题。
技术实现思路
[0004]本申请提供一种日志管理方法及装置,用以提升日志管理效率。
[0005]第一方面,本申请提供一种日志管理方法,该方法具体包括:根据预设的日志规则,对获取到的至少一个原生日志进行归一化处理,得到具有标准格式的至少一个第一日志;对所述至少一个第一日志进行关联挖掘处理,得到一个或多个关联规则;所述关联规则用于指示日志特征之间的关联;将所述一个或多个关联规则保存至用户行为模式库,所述用户行为模式库用于为日志类型的确定提供判断依据。
[0006]在本方案中,首先根据预设的日志规则对日志进行归一化处理,实现了日志的标准化存储,提高了管理日志的效率。同时,对标准化的日志进行日志关联规则提取,简化了后续对日志类型判断的流程,进一步地提高了日志管理审计的效率。并且,基于日志关联规则对日志的类型进行判断,在面对数量越多的日志时具有越大的优势,因此本方案尤其适用面对海量日志的日志管理与审计。
[0007]可选的,在根据预设的日志规则,对获取到的至少一个原生日志进行归一化处理之前,所述方法还包括:获取至少一个所述原生日志作为样本日志;根据至少一个所述样本日志具有的日志特征,对所述至少一个样本日志进行日志规则提取处理,得到一个或多个日志规则;其中,所述日志规则用于指示所述至少一个样本日志作为整体所具有的特征;对所述一个或多个日志规则进行验证,将所述一个或多个日志规则中满足第一预设条件的日志规则保存。
[0008]在本方式中,通过对样本日志进行规则提取,将符合要求日志规则进行保存,确保了预设日志的有效性以及可靠性,提高了本方案实施的可靠性。
[0009]可选的,根据至少一个所述样本日志具有的日志特征,对所述至少一个样本日志进行日志规则提取处理,包括:采用免疫遗传算法提取所述至少一个样本日志对应的日志规则。
[0010]在本方式中,采用免疫遗传算法实现对日志规则的提取,提高了日志规则提取的效率,增强了本方案的可实施性。
[0011]可选的,所述根据预设的日志规则,对获取到的至少一个原生日志进行归一化处
理之后,所述方法还包括:对所述至少一个原生日志进行归一化处理的流程进行抽象处理,生成教师模型,所述教师模型用于实现所述归一化处理的流程;采用知识蒸馏算法,对所述教师模型进行模型压缩,得到压缩后的学生模型,所述学生模型实现所述归一化处理的流程的逻辑步骤数小于所述教师模型实现所述归一化处理的流程的逻辑步骤数。
[0012]在本方式中,采用知识蒸馏的方式对归一化处理流程进行简化处理,提高了对日志管理的效率。
[0013]可选的,所述对所述至少一个第一日志进行关联挖掘处理,得到一个或多个关联规则,包括:采用关联分析FPPM算法对所述至少一个第一日志的日志信息进行挖掘,得到所述一个或多个关联规则。
[0014]在本方式中,采用关联分析FPPM算法实现对日志关联规则的挖掘,能够在降低资源消耗的同时,提高挖掘速度。
[0015]可选的,所述方法还包括:对目标日志进行监测;若确定所述目标日志的日志特征与所述用户行为模式库中的所述一个或多个关联规则之间满足第二预设条件,则发出异常告警。
[0016]在本方式中,仅需将目标日志与保存的关联规则进行判断即可确定日志的正常或异常,方式简洁且效率高,提高了日志管理与审计过程的效率。
[0017]第二方面,本申请提供一种日志管理装置,该装置包括:接收模块,用于根据预设的日志规则,对获取到的至少一个原生日志进行归一化处理,得到具有标准格式的至少一个第一日志;处理模块,用于对所述至少一个第一日志进行关联挖掘处理,得到一个或多个关联规则;所述关联规则用于指示日志特征之间的关联;存储模块,用于将所述一个或多个关联规则保存至用户行为模式库,所述用户行为模式库用于为日志类型的确定提供判断依据。
[0018]可选的,在根据预设的日志规则,对获取到的至少一个原生日志进行归一化处理之前,所述方法还包括:获取至少一个所述原生日志作为样本日志;根据至少一个所述样本日志具有的日志特征,对所述至少一个样本日志进行日志规则提取处理,得到一个或多个日志规则;其中,所述日志规则用于指示所述至少一个样本日志作为整体所具有的特征;对所述一个或多个日志规则进行验证,将所述一个或多个日志规则中满足第一预设条件的日志规则保存。
[0019]可选的,根据至少一个所述样本日志具有的日志特征,对所述至少一个样本日志进行日志规则提取处理,包括:采用免疫遗传算法提取所述至少一个样本日志对应的日志规则。
[0020]可选的,所述根据预设的日志规则,对获取到的至少一个原生日志进行归一化处理之后,所述方法还包括:对所述至少一个原生日志进行归一化处理的流程进行抽象处理,生成教师模型,所述教师模型用于实现所述归一化处理的流程;采用知识蒸馏算法,对所述教师模型进行模型压缩,得到压缩后的学生模型,所述学生模型实现所述归一化处理的流程的逻辑步骤数小于所述教师模型实现所述归一化处理的流程的逻辑步骤数。
[0021]可选的,所述对所述至少一个第一日志进行关联挖掘处理,得到一个或多个关联规则,包括:采用关联分析FPPM算法对所述至少一个第一日志的日志信息进行挖掘,得到所述一个或多个关联规则。
[0022]可选的,所述方法还包括:对目标日志进行监测;若确定所述目标日志的日志特征与所述用户行为模式库中的所述一个或多个关联规则之间满足第二预设条件,则发出异常告警。
[0023]第三方面,提供一种电子设备,包括:至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述至少一个处理器通过执行所述存储器存储的指令,使得所述至少一个处理器通过执行第一方面或第一方面任一种可选的实施方式中所述的方法。
[0024]第四方面,提供一种计算机可读存储介质,所述计算机可读存储介质用于存储指令,当所述指令被执行时,使如第一方面或第一方面任一种可选的实施方式中的方法被实现。
[0025]本申请实施例中第二、第三以及第四方面中提供的一个或多个技术方案所具有的技术效果或优点,均可以由第一方面中提供的对应的一个或多个技术方案所具有的技术效果或优点对应解释。
附图说明
[0026]为了更清楚地说明本专利技术实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域的普通技术人员来讲本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种日志管理方法,其特征在于,包括:根据预设的日志规则,对获取到的至少一个原生日志进行归一化处理,得到具有标准格式的至少一个第一日志;对所述至少一个第一日志进行关联挖掘处理,得到一个或多个关联规则;所述关联规则用于指示日志特征之间的关联;将所述一个或多个关联规则保存至用户行为模式库,所述用户行为模式库用于为日志类型的确定提供判断依据。2.如权利要求1所述的方法,其特征在于,在根据预设的日志规则,对获取到的至少一个原生日志进行归一化处理之前,所述方法还包括:获取至少一个所述原生日志作为样本日志;根据至少一个所述样本日志具有的日志特征,对所述至少一个样本日志进行日志规则提取处理,得到一个或多个日志规则;其中,所述日志规则用于指示所述至少一个样本日志作为整体所具有的特征;对所述一个或多个日志规则进行验证,将所述一个或多个日志规则中满足第一预设条件的日志规则保存。3.如权利要求2所述的方法,其特征在于,根据至少一个所述样本日志具有的日志特征,对所述至少一个样本日志进行日志规则提取处理,包括:采用免疫遗传算法提取所述至少一个样本日志对应的日志规则。4.如权利要求1所述的方法,其特征在于,所述根据预设的日志规则,对获取到的至少一个原生日志进行归一化处理之后,所述方法还包括:对所述至少一个原生日志进行归一化处理的流程进行抽象处理,生成教师模型,所述教师模型用于实现所述归一化处理的流程;采用知识蒸馏算法,对所述教师模型进行模型压缩,得到压缩后的学生模型,所述学生模型实现所述归一化处理的流程的逻辑步骤数小于所述教师模型实现所述归一化处理的流程的逻辑步骤数。5.如权利要求1所述的方法,其特征在于,所述对所述至少一个第一日志进行关联挖掘处理,得到一个或多个关联规则,包括:采用关联分析FPPM算法对所述至少一个第一日志的日志信息进行挖掘,得到所述一个或多个关联规则。6.如权利要求1所述的方法,其特征在于,所述方法还包括:对目标日志进行监测;若确定所述目标日志的日志特征与所述用户行为模式库中的所述一个或多个关联规则之间满足第二预设条件,则发出异常告警。7.一种日志管理装置,其特征在于,包括:接收模块,用于根据预设的日志规则,对获取到的至少一个原生日志进行归一化处理,得到具有标准格式的至少一个第一日志;处理模块,用于对所述至少一个第一日志进行关联挖掘处理,得到一个或多个关联规则;所述关联规则用于指示日志特征之间的关联...
【专利技术属性】
技术研发人员:岳雪婷,李蔚,张晓华,许翠娜,郭庆,
申请(专利权)人:天翼安全科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。