网络攻击日志筛选方法、装置、设备及存储介质制造方法及图纸

本发明专利技术提供一种网络攻击日志筛选方法、装置、设备及存储介质，属于网络安全技术领域，该方法包括：将待筛选的网络日志分别与预先构建的网络攻击行为的行为特征树进行匹配，得到匹配结果；网络攻击行为的行为特征树中的节点通过目标逻辑结构表示，节点用于表征相应的网络攻击行为的行为特征；目标逻辑结构包括以下至少一项：逻辑关系判断结构和逻辑内容校验结构；逻辑关系判断结构用于表示所述行为特征中逻辑内容之间的逻辑关系；逻辑内容用于表示所述网络日志中的字段校验结果；所述逻辑内容校验结构用于表示所述逻辑内容；根据匹配结果，获取包括网络攻击行为的行为特征的网络攻击日志。上述方案中，网络攻击日志的筛选效率较高。高。高。

【技术实现步骤摘要】
网络攻击日志筛选方法、装置、设备及存储介质


[0001]本专利技术涉及网络安全
，尤其涉及一种网络攻击日志筛选方法、装置、设备及存储介质。

技术介绍

[0002]随着计算机技术的发展，网络安全问题越来越严峻，例如网络攻击和病毒威胁，造成信息泄露、数据篡改等。
[0003]网络攻击行为一般具有特定的行为特征，不同网络攻击行为的行为特征既有相似的基础行为逻辑，也有各自不同的具体行为细节。比如大部分网络攻击行为的行为特征均由日志中的多个字段中的特定内容构成，但是具体到不同的网络攻击行为，其行为特征则体现在不同的字段及字段内容中。
[0004]通常用户访问网络会产生海量的网络日志，对于从海量的网络日志中筛选出具有网络攻击行为的网络日志来说，一般是基于已有的网络攻击行为的行为特征对网络日志进行筛选，需要为每一种网络攻击行为的行为特征进行程序编码，每次新增，减少或者修改网络攻击行为的行为特征均需要对程序代码进行调整，操作繁琐，效率较低。

技术实现思路

[0005]本专利技术提供一种网络攻击日志筛选方法、装置、设备及存储介质，用以解决现有技术中更新行为特征时操作繁琐，效率较低的缺陷，实现快速且灵活地调整各类网络攻击行为的行为特征。
[0006]本专利技术提供一种网络攻击日志筛选方法，包括：
[0007]将待筛选的网络日志分别与预先构建的网络攻击行为的行为特征树进行匹配，得到匹配结果；所述网络攻击行为的行为特征树中的节点通过目标逻辑结构表示，所述节点用于表征相应的网络攻击行为的行为特征；所述目标逻辑结构包括以下至少一项：逻辑关系判断结构和逻辑内容校验结构；所述逻辑关系判断结构用于表示所述行为特征中逻辑内容之间的逻辑关系；所述逻辑内容用于表示所述网络日志中的字段校验结果；所述逻辑内容校验结构用于表示所述逻辑内容；
[0008]根据所述匹配结果，获取包括网络攻击行为的行为特征的网络攻击日志。
[0009]根据本专利技术提供的一种网络攻击日志筛选方法，所述将待筛选的网络日志分别与至少一个网络攻击行为的行为特征树进行匹配，得到匹配结果，包括：
[0010]提取所述待筛选的网络日志的行为特征；
[0011]将提取的行为特征转化为具有目标逻辑结构的待匹配节点；
[0012]将所述待匹配节点，与预先构建的网络攻击行为的行为特征树的节点进行匹配，得到所述匹配结果。
[0013]根据本专利技术提供的一种网络攻击日志筛选方法，所述方法还包括：
[0014]获取至少一个网络攻击行为的行为特征的描述信息，并提取所述描述信息中的至
少一个行为特征；
[0015]将各个所述行为特征分别转化为具有目标逻辑结构的节点，并基于所述具有目标逻辑结构的节点得到所述网络攻击行为的行为特征树。
[0016]根据本专利技术提供的一种网络攻击日志筛选方法，所述目标逻辑结构包括类型字段；
[0017]在所述类型字段表征所述目标逻辑结构为逻辑关系判断结构的情况下，所述逻辑关系判断结构还包括：第一逻辑关系字段和至少一个逻辑内容校验结构；所述第一逻辑关系字段用于表示所述至少一个逻辑内容校验结构的逻辑关系；
[0018]在所述类型字段表征所述目标逻辑结构构为逻辑内容校验结构的情况下，所述逻辑内容校验结构还包括：内容字段、期望字段、内容类型、第二逻辑关系字段；所述期望字段用于表示所述内容字段的期望值；所述第二逻辑关系字段用于表示所述内容字段与所述期望字段的逻辑关系。
[0019]根据本专利技术提供的一种网络攻击日志筛选方法，若不同逻辑内容校验结构中的内容类型不同，则所述不同逻辑内容校验结构的逻辑关系字段的取值也不同。
[0020]根据本专利技术提供的一种网络攻击日志筛选方法，所述方法还包括：
[0021]通过网络攻击行为描述表和网络攻击行为的特征树表，将所述行为特征树以及所述网络攻击行为的行为特征的描述信息存储在数据库中；
[0022]网络攻击行为描述表，用于存储所述网络攻击行为的行为特征的描述信息；
[0023]网络攻击行为的特征树表，用于保存所述行为特征树的信息，以及所述行为特征树与网络攻击行为之间的关系；
[0024]所述网络攻击活动描述表包括：第一标识字段以及以下至少一项：网络攻击行为名称、网络攻击行为类型、应对建议、紧急程度；
[0025]所述网络攻击行为的特征树表包括：第一标识字段、第二标识字段、树结构和行为特征的描述信息；所述第一标识字段用于将所述网络攻击行为的特征树与网络攻击行为描述表进行关联。
[0026]根据本专利技术提供的一种网络攻击日志筛选方法，所述将待筛选的网络日志分别与至少一个网络攻击行为的行为特征树进行匹配之前，所述方法还包括：
[0027]从数据库中预先获取多个所述网络攻击行为的行为特征的描述信息，以及各个所述网络攻击行为对应的行为特征树，并加载至缓存中，以便在所述缓存中将待筛选的网络日志分别与预先构建的网络攻击行为的行为特征树进行匹配。
[0028]根据本专利技术提供的一种网络攻击日志筛选方法，所述方法还包括：
[0029]在获取到网络攻击行为的行为特征的描述信息的更新请求，或所述行为特征树的更新请求时，更新所述数据库中存储的所述行为特征树的信息，以及缓存的所述行为特征树的信息。
[0030]本专利技术还提供一种网络攻击日志筛选装置，包括：
[0031]处理模块，用于将待筛选的网络日志分别与预先构建的网络攻击行为的行为特征树进行匹配，得到匹配结果；所述网络攻击行为的行为特征树中的节点通过目标逻辑结构表示，所述节点用于表征相应的网络攻击行为的行为特征；所述目标逻辑结构包括以下至少一项：逻辑关系判断结构和逻辑内容校验结构；所述逻辑关系判断结构用于表示所述行
为特征中逻辑内容之间的逻辑关系；所述逻辑内容用于表示所述网络日志中的字段校验结果；所述逻辑内容校验结构用于表示所述逻辑内容；获取模块，用于根据所述匹配结果，获取包括网络攻击行为的行为特征的网络攻击日志。
[0032]本专利技术还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述任一种所述网络攻击日志筛选方法。
[0033]本专利技术还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述任一种所述网络攻击日志筛选方法。
[0034]本专利技术还提供一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现如上述任一种所述网络攻击日志筛选方法。
[0035]本专利技术提供的网络攻击日志筛选方法、装置、设备及存储介质，通过将待筛选的网络日志分别与预先构建的网络攻击行为的行为特征树进行匹配，得到匹配结果；所述网络攻击行为的行为特征树中的节点通过目标逻辑结构表示，所述节点用于表征相应的网络攻击行为的行为特征；所述目标逻辑结构包括以下至少一项：逻辑关系判断结构和逻辑内容校验结构；所述逻辑关系判断结构用于表本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络攻击日志筛选方法，其特征在于，包括：将待筛选的网络日志分别与预先构建的网络攻击行为的行为特征树进行匹配，得到匹配结果；所述网络攻击行为的行为特征树中的节点通过目标逻辑结构表示，所述节点用于表征相应的网络攻击行为的行为特征；所述目标逻辑结构包括以下至少一项：逻辑关系判断结构和逻辑内容校验结构；所述逻辑关系判断结构用于表示所述行为特征中逻辑内容之间的逻辑关系；所述逻辑内容用于表示所述网络日志中的字段校验结果；所述逻辑内容校验结构用于表示所述逻辑内容；根据所述匹配结果，获取包括网络攻击行为的行为特征的网络攻击日志。2.根据权利要求1所述的网络攻击日志筛选方法，其特征在于，所述将待筛选的网络日志分别与预先构建的网络攻击行为的行为特征树进行匹配，得到匹配结果，包括：提取所述待筛选的网络日志的行为特征；将提取的行为特征转化为具有所述目标逻辑结构的待匹配节点；将所述待匹配节点，与预先构建的网络攻击行为的行为特征树的节点进行匹配，得到所述匹配结果。3.根据权利要求1所述的网络攻击日志筛选方法，其特征在于，所述方法还包括：获取至少一个网络攻击行为的行为特征的描述信息，并提取所述描述信息中的至少一个行为特征；将各个所述行为特征分别转化为具有目标逻辑结构的节点，并基于所述具有目标逻辑结构的节点得到所述网络攻击行为的行为特征树。4.根据权利要求1
‑
3任一项所述的网络攻击日志筛选方法，其特征在于，所述目标逻辑结构包括类型字段；在所述类型字段表征所述目标逻辑结构为逻辑关系判断结构的情况下，所述逻辑关系判断结构还包括：第一逻辑关系字段和至少一个逻辑内容校验结构；所述第一逻辑关系字段用于表示所述至少一个逻辑内容校验结构的逻辑关系；在所述类型字段表征所述目标逻辑结构构为逻辑内容校验结构的情况下，所述逻辑内容校验结构还包括：内容字段、期望字段、内容类型、第二逻辑关系字段；所述期望字段用于表示所述内容字段的期望值；所述第二逻辑关系字段用于表示所述内容字段与所述期望字段的逻辑关系。5.根据权利要求4所述的网络攻击日志筛选方法，其特征在于，若不同逻辑内容校验结构中的内容类型不同，则所述不同逻辑内容校验结构的逻辑关系字段的取值也不同。6.根据权利要求3所述的网络攻击日志筛选方法，其特征在于，所述方法还包括：通过网络攻击行为描述表和网络攻击行为的特征树表，将所述行为特征树以及所述网络攻击行为的行为特征的描述信息存储在数据库中；网络攻击行为描述表，用于存储所述网络攻击行为的...

【专利技术属性】
技术研发人员：张希涛，庄志健，张嫱嫱，田泳，常月，
申请(专利权)人：奇安信科技集团股份有限公司，
类型：发明
国别省市：