日志管理系统、日志管理方法、计算设备和存储介质技术方案

本发明专利技术实施例公开了日志管理系统、日志管理方法、计算设备和存储介质，系统包括：客户端向域控制服务器发送日志；域控制服务器对日志进行预处理得到第一日志，并对第一日志进行分类确定第一日志的类别，根据第一日志的类别识别出异常操作日志，将异常操作日志的客户端作为目标客户端；域控制服务器确定异常操作日志的异常行为类别，根据异常操作日志的异常行为类别确定目标干预策略，发送至目标客户端，以便执行与接收到的目标干预策略所对应的干预操作。本发明专利技术通过日志分类模型对日志进行智能分类，通过关键词快速识别出异常操作日志，提高异常操作日志的定位效率，在异常操作日志的客户端出现异常操作时，对客户端做出告警或干预。预。预。

【技术实现步骤摘要】
日志管理系统、日志管理方法、计算设备和存储介质


[0001]本专利技术涉及计算机
，尤其涉及日志管理系统、日志管理方法、计算设备和存储介质。

技术介绍

[0002]域管，是通过域控制器来管理域(网段内)中的计算机，域控制器即为域控制服务器，可以理解为安装了域管软件的计算机，根据域的规模大小，一个域中可以有一个或多个域控制器。域内的每一计算设备可以为一个客户端，通过域控制服务器管理域内的客户端，每一客户端中又安装有多个应用，应用的执行可以理解为用户行为，用户行为数据可以通过日志进行记录，从而域内的日志会随着用户行为增多而不断增加，使得域内包含的日志的信息量巨大且种类繁多。用户行为在域管中十分复杂，需要对系统程序和用户操作实时进行监控，如果能高效的监控用户行为，对整个生态网络的安全具有十分重要的意义。
[0003]已有的对用户行为(即日志)进行管理的方法包括：1、通过使用LDA分析模型对采集到的日志打分，评分低于预定阈值，判为可疑日志，即可疑用户行为，那么告警信息，对用户行为进行警告。但是该案，若用户存在拷贝公司重要数据和敏感交互等操作无法精准进行判断。2、针对Unix平台上的用户接口shell命令，利用机器学习模型来建立计算机网络系统中一个(或一组)关键合法用户的正常行为轮廓，并在检测中通过比较关键合法用户的当前行为与其正常行为轮廓来识别异常行为，如果该用户的当前行为较大程度地偏离了其历史上的正常行为轮廓，可能是关键合法用户进行了非授权操作，或是外部入侵者冒用关键合法用户的账号进行了非法操作，即认为发生了异常。但是该方案只能对用户命令行操作进行识别告警，如对UI交互的软件违规操作就无法识别，应用范围受限。
[0004]因此，期望提供日志管理方法，以解决已有的日志处理方法准确性差、应用范围受限的技术问题。

技术实现思路

[0005]为此，本专利技术实施例提供日志管理系统、日志管理方法、计算设备和存储介质，以力图解决或至少缓解上面存在的问题。
[0006]根据本专利技术实施例的一个方面，提供了一种日志管理系统，包括域控制服务器和与域控制服务器通信连接的客户端；客户端，适于向域控制服务器发送日志；域控制服务器，适于接收日志，对日志进行预处理，得到第一日志，并对第一日志进行分类，确定第一日志的类别；域控制服务器，还适于根据第一日志的类别识别出异常操作日志，将异常操作日志的客户端标记为目标客户端异常操作日志；域控制服务器，还适于确定异常操作日志的异常行为类别，并根据异常行为类别确定目标干预策略，发送至目标客户端；目标客户端，还适于执行与接收到的目标干预策略所对应的干预操作。
[0007]可选地，域控制服务器中存储有日志类别与异常行为关键词的对应关系，其中，根据第一日志的类别识别出异常操作日志包括：从日志类别与异常行为关键词的对应关系中
查找出与各第一日志的类别对应的异常行为关键词；判断是否从各第一日志的内容中查找出对应的异常行为关键词，若是，则异常操作日志确定异常操作日志，若否，则接收日志，对日志进行预处理，得到第一日志，并对第一日志进行分类。
[0008]可选地，域控制服务器还适于：根据异常操作日志的内容确定异常应用；标记异常应用，标记的信息包括U盘数据拷贝、非办公软件进程、匿名用户访问、软件安装卸载、终端入域和终端出域中的一种或多种，将标记后的异常应用通知给所述目标客户端异常操作日志异常操作日志。
[0009]可选地，目标客户端还适于：捕获屏幕数据，并发送至域控制服务器。
[0010]可选地，域控制服务器中存储有异常行为类别与干预策略的对应关系，域控制服务器确定异常操作日志的异常行为类别，并根据异常行为类别确定目标干预策略包括：通过异常行为分类模型确定异常操作日志的异常行为类别，其中，异常行为类别包括第一类别和第二类别，第一类别包括拷贝重要数据和破坏客户端的异常行为，第二类别包括拷贝普通数据和启动非办公应用的异常行为；根据屏幕数据识别异常行为是否持续操作，若是，则从异常行为类别与干预策略的对应关系，确定与异常行为类别对应的干预策略，作为所述目标干预策略，其中，干预策略包括第一策略和第二策略，第一策略为弹出警告的策略，第二策略为关闭目标客户端的计算设备的策略，异常行为类别与干预策略的对应关系中，第一类别对应第一策略，第二类别对应第二策略。
[0011]可选地，屏幕数据包括窗口位置数据，域控制服务器根据屏幕数据识别异常行为是否持续操作包括：判断目标客户端中屏幕的前预设数值个帧数据的窗口位置数据是否发生改变，若是，则判定屏幕数据识别异常行为是持续操作。
[0012]可选地，屏幕数据还包括窗口内容数据，根据所述屏幕数据识别异常行为是否持续操作包括：判断目标客户端中屏幕的前预设数值个帧数据的窗口内容数据是否发生改变，若是，则判定屏幕数据识别异常行为是持续操作。
[0013]可选地，根据屏幕数据识别异常行为是否持续操作包括：根据窗口内容数据，判断目标客户端中屏幕上是否包括拷贝数据进度条，若是，则判定屏幕数据识别异常行为是持续操作。
[0014]可选地，异常行为分类模型是通过单阶段目标检测算法创建的。
[0015]可选地，第一日志的类别包括终端日志、终端应用使用日志、USB设备日志、平台日志和配置变更日志，其中，终端日志包括应用安装卸载日志、系统日志、终端登录日志和终端退出日志，终端应用使用日志包括文档日志、视频日志、下载日志、游戏日志、网络日志、社交通讯日志、生活日志和金融理财日志，USB设备日志包括USB接入日志和USB移除日志。
[0016]根据本专利技术的又一个方面，提供了一种日志管理方法，适于在域控制服务器中执行，域控制服务器与域内的客户端通信连接，所述方法包括：接收客户端发送的日志，对日志进行预处理，得到第一日志；并对第一日志进行分类，确定第一日志的类别；根据第一日志的类别识别出异常操作日志，将异常操作日志的客户端标记为目标客户端异常操作日志；异常操作日志确定异常操作日志的异常行为类别，并根据异常操作日志的异常行为类别确定目标干预策略，发送至目标客户端，以便目标客户端执行与接收到的目标干预策略所对应的干预操作。
[0017]根据本专利技术的又一个方面，提供了一种计算设备，包括：至少一个处理器；以及存
储器，存储有程序指令，其中，所述程序指令被配置为适于由所述至少一个处理器执行，所述程序指令包括用于执行如上所述方法的指令。
[0018]根据本专利技术的另一个方面，提供了一种存储有程序指令的可读存储介质，当所述程序指令被计算设备读取并执行时，使得所述计算设备执行如上所述的方法。
[0019]根据本专利技术实施例的日志管理方法，首先通过域控制服务器接收日志，对日志进行预处理，得到第一日志，并对第一日志进行分类，确定第一日志的类别，根据第一日志的类别识别出异常操作日志，将异常操作日志的客户端标记为目标客户端。通过域控制服务器确定异常操作日志的异常行为类别，并根据异常行为类别确定干预策略，发送至目标客户端，以使目标客户端执行与接收到本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种日志管理系统，包括域控制服务器和与所述域控制服务器通信连接的客户端；所述客户端，适于向所述域控制服务器发送日志；所述域控制服务器，适于接收所述日志，对所述日志进行预处理，得到第一日志，并对所述第一日志进行分类，确定所述第一日志的类别；所述域控制服务器，还适于根据所述第一日志的类别识别出异常操作日志，将异常操作日志的客户端标记为目标客户端；所述域控制服务器，还适于确定所述异常操作日志的异常行为类别，并根据异常行为类别确定目标干预策略，发送至所述目标客户端；所述目标客户端，还适于执行与接收到的目标干预策略所对应的干预操作。2.如权利要求1所述的系统，其中，所述域控制服务器中存储有日志类别与异常行为关键词的对应关系，其中，所述根据所述第一日志的类别识别出异常操作日志包括：从日志类别与异常行为关键词的对应关系中查找出与各所述第一日志的类别对应的异常行为关键词；判断是否从各所述第一日志的内容中查找出对应的异常行为关键词，若是，则确定当前的第一日志为异常操作日志，若否，则接收所述日志，对所述日志进行预处理，得到第一日志，并对所述第一日志进行分类。3.如权利要求1或2所述的系统，所述域控制服务器还适于：根据所述异常操作日志的内容确定异常应用；标记所述异常应用，标记的信息包括U盘数据拷贝、非办公软件进程、匿名用户访问、软件安装卸载、终端入域和终端出域中的一种或多种；将标记后的异常应用通知给所述目标客户端。4.如权利要求1至3中任一项所述的系统，所述目标客户端还适于：捕获屏幕数据，并发送至所述域控制服务器。5.如权利要求4所述的系统，其中，所述域控制服务器中存储有异常行为类别与干预策略的对应关系，所述确定所述异常操作日志的异常行为类别，并根据异常行为类别确定目标干预策略包括：通过异常行为分类模型确定所述异常操作日志的异常行为类别，其中，所述异常行为类别包括第一类别和第二类别，所述第一类别包括拷贝重要数据和破坏客户端的异常行为，所述第二类别包括拷贝普通数据和启动非办公应用的异常行为；根据所述屏幕数据识别异常行为是否持续操作，若是，则从异常行为类别与干预策略的对应关系，确定与异常行为类别对应的干预策略，作为所述目标干预策略，其中，所述干预策略包括第一策略和第二策略，所述第一策略为弹出警告的策略，所述第二策略为关闭所述目标客户端的计算设备的策...

【专利技术属性】
技术研发人员：刘郑，侯程秋，赵泽东，
申请(专利权)人：统信软件技术有限公司，
类型：发明
国别省市：