云审计的数据检测方法、装置、设备、介质及程序产品制造方法及图纸

本申请实施例提供了一种云审计的数据检测方法、装置、设备、介质及程序产品，涉及人工智能、云审计、地图等领域，应用场景包括但不限于云审计的日志数据的异常检测场景。该方法包括：获取云审计的历史日志数据；对历史日志数据进行场景关联分析处理，以确定历史日志数据与预设场景类型之间的关联关系及对应的关联规则；其中，场景类型为正常业务类型、异常业务类型中的至少一项；通过关联规则得到训练后的云审计检测模型，并基于训练后的云审计检测模型对云审计的实时日志数据进行检测，确定实时日志数据和场景类型之间构成关联关系的第一概率；提高了对日志数据检测的准确度和效率，尤其提高了对异常业务类型的日志数据检测的准确度和效率。准确度和效率。准确度和效率。

【技术实现步骤摘要】
云审计的数据检测方法、装置、设备、介质及程序产品


[0001]本申请涉及计算机
，具体而言，本申请涉及一种云审计的数据检测方法、装置、设备、介质及程序产品。

技术介绍

[0002]随着越来越多个人和公司需求，存在大量业务上公有云；云租户和云上服务之间的交互方式包括：通过AKSK(Access Key ID/Secret Access Key，访问密钥)调用云API(Application Programming Interface，应用程序编程接口)实现公有云的服务使用和资源操作；其中，AKSK为调用者的身份验证凭据。若AKSK已经泄露，则可能导致入侵行为、攻击行为、异常行为等异常业务场景的出现。云审计是一项支持对云账号进行监管、合规性检查、操作审核和风险审核的服务，通过云审计可以记录日志，也可以持续检测并保留与整个云基础设施中操作相关的账号活动；但是，对云审计提供的日志数据(例如云API的日志数据)进行检测，往往难以准确检测出异常业务场景，而且还会耗费大量人工，从而导致对日志数据检测的准确度和效率都较低。

技术实现思路

[0003]本申请针对现有的方式的缺点，提出一种云审计的数据检测方法、装置、设备、计算机可读存储介质及计算机程序产品，用于解决如何提高日志数据检测的准确度和效率的问题。
[0004]第一方面，本申请提供了一种云审计的数据检测方法，包括：
[0005]获取云审计的历史日志数据；
[0006]对历史日志数据进行场景关联分析处理，以确定历史日志数据与预设场景类型之间的关联关系及对应的关联规则；其中，场景类型为正常业务类型、异常业务类型中的至少一项；
[0007]通过关联规则得到训练后的云审计检测模型，并基于训练后的云审计检测模型对云审计的实时日志数据进行检测，确定实时日志数据和场景类型之间构成关联关系的第一概率。
[0008]在一个实施例中，对历史日志数据进行场景关联分析处理，包括以下至少一项：
[0009]通过预定的关联规则方式，对历史日志数据进行与预设的场景类型之间的关联关系的关联分析，确定历史日志数据对应的关联规则；
[0010]通过数据挖掘方式，对历史日志数据进行与预设的场景类型之间的关联关系的关联分析，确定历史日志数据对应的关联规则。
[0011]在一个实施例中，通过预定的关联规则方式，对历史日志数据进行与预设的场景类型之间的关联关系的关联分析，确定历史日志数据对应的关联规则，包括：
[0012]将历史日志数据进行特征提取，得到历史日志数据对应的日志信息、历史日志数据对应的时序特征和历史日志数据对应的行为特征，日志信息包括基本数据特征；
[0013]基于日志信息、时序特征和行为特征，通过预定的关联规则方式确定历史日志数据与预设的场景类型之间的关联关系。
[0014]在一个实施例中，基于日志信息、时序特征和行为特征，通过预定的关联规则方式确定历史日志数据与预设的场景类型之间的关联关系，包括以下至少一项：
[0015]若日志信息、时序特征和行为特征归属于预定的关联规则方式中正常业务类型的关联行为列表，则确定历史日志数据与正常业务类型之间存在关联关系；
[0016]若日志信息、时序特征和行为特征归属于预定的关联规则方式中异常业务类型的关联行为列表，则确定历史日志数据与异常业务类型之间存在关联关系。
[0017]在一个实施例中，通过数据挖掘方式，对历史日志数据进行与预设的场景类型之间的关联关系的关联分析，确定历史日志数据对应的关联规则，包括：
[0018]将历史日志数据进行特征提取，得到历史日志数据对应的日志信息、历史日志数据对应的时序特征和历史日志数据对应的行为特征，日志信息包括基本数据特征；
[0019]基于日志信息、时序特征和行为特征，通过数据挖掘算法，确定历史日志数据对应的频繁项集；
[0020]基于频繁项集，确定历史日志数据对应的关联规则。
[0021]在一个实施例中，基于日志信息、时序特征和行为特征，通过数据挖掘算法，确定历史日志数据对应的频繁项集，包括：
[0022]将日志信息、时序特征和行为特征进行统计分类，得到数据集；
[0023]对数据集进行扫描，删除数据集中支持度小于预设阈值的项集，并构建频繁模式树；
[0024]基于频繁模式树，确定历史日志数据对应的频繁项集，频繁项集的支持度大于或等于预设阈值。
[0025]在一个实施例中，基于频繁项集，确定历史日志数据对应的关联规则，包括：
[0026]基于频繁项集，从历史日志数据中确定与场景类型存在关联关系的接口；
[0027]基于接口和场景类型之间的关联关系，确定历史日志数据对应的关联规则。
[0028]在一个实施例中，通过关联规则得到训练后的云审计检测模型，包括：
[0029]将历史日志数据进行特征提取，得到历史日志数据对应的基本数据特征、历史日志数据对应的时序特征和历史日志数据对应的行为特征；
[0030]将基本数据特征、时序特征和行为特征通过特征工程处理，得到训练样本，训练样本为第一特征向量；
[0031]将第一特征向量输入至预构建的云审计检测模型，基于关联规则，对云审计检测模型进行训练，得到训练后的云审计检测模型。
[0032]在一个实施例中，将第一特征向量输入至云审计检测模型，基于关联规则，对云审计检测模型进行训练，得到训练后的云审计检测模型，包括：
[0033]将第一特征向量输入至云审计检测模型，通过机器学习算法，确定历史日志数据和场景类型之间构成关联关系的第二概率；
[0034]基于关联规则和第二概率，确定云审计检测模型的损失函数的值；
[0035]若云审计检测模型的损失函数的值大于损失阈值，则对云审计检测模型进行训练，更新云审计检测模型的网络参数；
[0036]重复执行将第一特征向量输入至云审计检测模型，通过机器学习算法，确定历史日志数据和场景类型之间构成关联关系的第二概率、基于关联规则和第二概率，确定云审计检测模型的损失函数的值、以及若云审计检测模型的损失函数的值大于损失阈值，则对云审计检测模型进行训练，更新云审计检测模型的网络参数，直至当云审计检测模型的损失函数的值等于损失阈值，得到训练后的云审计检测模型。
[0037]在一个实施例中，基于训练后的云审计检测模型，对云审计的实时日志数据进行检测，确定实时日志数据和场景类型之间构成关联关系的第一概率，包括：
[0038]将实时日志数据进行特征提取，得到实时日志数据对应的基本数据特征、实时日志数据对应的时序特征和实时日志数据对应的行为特征；
[0039]将基本数据特征、时序特征和行为特征通过特征工程处理，得到第二特征向量；
[0040]将第二特征向量输入至训练后的云审计检测模型，通过机器学习算法，确定实时日志数据和场景类型之间构成关联关系的第一概率，第一概率包括实时日志数据和正常业务类型之间构成本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种云审计的数据检测方法，其特征在于，包括：获取云审计的历史日志数据；对所述历史日志数据进行场景关联分析处理，以确定所述历史日志数据与预设场景类型之间的关联关系及对应的关联规则；其中，所述场景类型为正常业务类型、异常业务类型中的至少一项；通过所述关联规则得到训练后的云审计检测模型，并基于所述训练后的云审计检测模型对所述云审计的实时日志数据进行检测，确定所述实时日志数据和所述场景类型之间构成关联关系的第一概率。2.根据权利要求1所述的方法，其特征在于，所述对所述历史日志数据进行场景关联分析处理，包括以下至少一项：通过预定的关联规则方式，对所述历史日志数据进行与预设的场景类型之间的关联关系的关联分析，确定所述历史日志数据对应的关联规则；通过数据挖掘方式，对所述历史日志数据进行与预设的场景类型之间的关联关系的关联分析，确定所述历史日志数据对应的关联规则。3.根据权利要求2所述的方法，其特征在于，所述通过预定的关联规则方式，对所述历史日志数据进行与预设的场景类型之间的关联关系的关联分析，确定所述历史日志数据对应的关联规则，包括：将所述历史日志数据进行特征提取，得到所述历史日志数据对应的日志信息、所述历史日志数据对应的时序特征和所述历史日志数据对应的行为特征，所述日志信息包括基本数据特征；基于所述日志信息、所述时序特征和所述行为特征，通过预定的关联规则方式确定所述历史日志数据与预设的场景类型之间的关联关系。4.根据权利要求3所述的方法，其特征在于，所述基于所述日志信息、所述时序特征和所述行为特征，通过预定的关联规则方式确定所述历史日志数据与预设的场景类型之间的关联关系，包括以下至少一项：若所述日志信息、所述时序特征和所述行为特征归属于预定的关联规则方式中所述正常业务类型的关联行为列表，则确定所述历史日志数据与所述正常业务类型之间存在关联关系；若所述日志信息、所述时序特征和所述行为特征归属于所述预定的关联规则方式中所述异常业务类型的关联行为列表，则确定所述历史日志数据与所述异常业务类型之间存在关联关系。5.根据权利要求2所述的方法，其特征在于，所述通过数据挖掘方式，对所述历史日志数据进行与预设的场景类型之间的关联关系的关联分析，确定所述历史日志数据对应的关联规则，包括：将所述历史日志数据进行特征提取，得到所述历史日志数据对应的日志信息、所述历史日志数据对应的时序特征和所述历史日志数据对应的行为特征，所述日志信息包括基本数据特征；基于所述日志信息、所述时序特征和所述行为特征，通过数据挖掘算法，确定所述历史日志数据对应的频繁项集；
基于所述频繁项集，确定所述历史日志数据对应的关联规则。6.根据权利要求5所述的方法，其特征在于，所述基于所述日志信息、所述时序特征和所述行为特征，通过数据挖掘算法，确定所述历史日志数据对应的频繁项集，包括：将所述日志信息、所述时序特征和所述行为特征进行统计分类，得到数据集；对所述数据集进行扫描，删除所述数据集中支持度小于预设阈值的项集，并构建频繁模式树；基于所述频繁模式树，确定所述历史日志数据对应的频繁项集，所述频繁项集的支持度大于或等于所述预设阈值。7.根据权利要求5所述的方法，其特征在于，所述基于所述频繁项集，确定所述历史日志数据对应的关联规则，包括：基于所述频繁项集，从所述历史日志数据中确定与所述场景类型存在关联关系的接口；基于所述接口和所述场景类型之间的关联关系，确定所述历史日志数据对应的关联规则。8.根据权利要求1所述的方法，其特征在于，所述通过所述关联规则得到训练后...

【专利技术属性】
技术研发人员：陈胜，赵灿辉，陈海亚，钱业斐，董志强，黑岩，
申请(专利权)人：腾讯科技深圳有限公司，
类型：发明
国别省市：