CN103414758A - 日志处理方法及装置 - Google Patents
日志处理方法及装置 Download PDFInfo
- Publication number
- CN103414758A CN103414758A CN2013103059322A CN201310305932A CN103414758A CN 103414758 A CN103414758 A CN 103414758A CN 2013103059322 A CN2013103059322 A CN 2013103059322A CN 201310305932 A CN201310305932 A CN 201310305932A CN 103414758 A CN103414758 A CN 103414758A
- Authority
- CN
- China
- Prior art keywords
- daily record
- download
- rule
- identification information
- log
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
- Stored Programmes (AREA)
Abstract
本发明公开了一种日志处理方法及装置。其中,日志处理方法适用于具有海量下载日志的云安全系统,包括:分析原始下载日志,获取各日志的标识信息;利用预设的日志规则匹配已获取的标识信息;根据匹配结果对相应日志进行处理。能够实现及时发现新样本和收录可信样本。采用本发明能够实现及时发现新样本和收录可信样本。
Description
技术领域
本发明涉及互联网应用领域,具体涉及一种日志处理方法及装置。
背景技术
随着互联网的快速发展,每天都会涌现出大量的软件。从软件安全性来区分,有些软件是安全的,有些软件是不安全的恶意软件,例如熊猫烧香。而这些软件大多数都是通过互联网分发的,其中,下载站、论坛、官方网站下载链接是软件发布的重要渠道。
由于每天都会出现大量的软件,并且大部分下载站、论坛都允许用户自由提交内容。例如,很多下载站、论坛都会提供上传组件,普通的网站用户通过这些组件就可以将自己想发布的软件上传,供其他用户下载使用。因此,对于软件的安全性鉴别很难做到快速识别。特别是在云安全系统中,大批量的软件,让使用者甚至是管理者也很难对新生恶意软件进行快速区分和识别。而不法分子恰好可以利用这一点,传播病毒、木马、强制捆绑插件等恶意样本。这一方面带来了巨大的网络安全隐患,另一方面又给有下载需求的用户造成了很大的安全风险。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的日志处理装置和相应的日志处理方法。
依据本发明的一个方面,提供了一种日志处理方法,适用于具有海量下载日志的云安全系统,包括:
分析原始下载日志,获取各日志的标识信息;
利用预设的日志规则匹配已获取的标识信息;
根据匹配结果对相应日志进行处理。
可选地,所述根据匹配结果对相应日志进行处理,包括:
若当前日志的标识信息与某一日志规则匹配,获取匹配的日志规则所对应的日志动作;
根据获取的日志动作对所述当前日志进行处理,其中,日志动作是预设置的,且与日志规则相对应。
可选地,所述根据匹配结果对相应日志进行处理,还包括:
若当前日志的标识信息与某一日志规则匹配,标识该日志对应的下载任务样本为可信样本;以及
将匹配的标识信息保存到数据库中。
可选地,在对日志的处理过程中,还包括:
在数据库中保存统计结果,其中,所述统计结果包括:各日志的处理过程及结果,以及各日志规则的匹配结果。
可选地,所述日志动作包括下列至少之一:动作名称、具体动作、附加参数。
可选地,所述根据匹配结果对相应日志进行处理,包括:
若当前日志的标识信息与日志规则匹配失败,
定期提取失败的日志,重新与日志规则匹配,其中,该日志规则随时间更改设置。
可选地,所述对相应日志进行处理之后,包括:利用处理后的日志信息更新白名单数据库。
可选地,所述原始下载日志为不安全的样本下载日志。
可选地,所述日志规则包括下列至少之一:
规则名称、下载链域名、下载链路径、父页面域名、父页面路径、文件过滤匹配优先级。
可选地,所述标识信息包括:日志的durl和/或purl信息。
根据本发明的另一方面,提供了一种日志处理装置,适用于具有海量下载日志的云安全体系,包括:
获取模块,配置为分析原始下载日志,获取各日志的标识信息;
匹配模块,配置为利用预设的日志规则匹配已获取的标识信息;
处理模块,配置为根据匹配结果对相应日志进行处理。
可选地,所述处理模块还配置为:
若当前日志的标识信息与某一日志规则匹配,获取匹配的日志规则所对应的日志动作;
根据获取的日志动作对所述当前日志进行处理,其中,日志动作是预设置的,且与日志规则相对应。
可选地,上述装置还包括:
可信样本存储模块,配置为若当前日志的标识信息与某一日志规则匹配,标识该日志对应的下载任务样本为可信样本,并保存匹配的标识信息。
可选地,上述装置还包括:
统计结果保存模块,配置为在数据库中保存统计结果,其中,所述统计结果包括:各日志的处理过程及结果,以及各日志规则的匹配结果。
可选地,所述处理模块还配置为:
若当前日志的标识信息与日志规则匹配失败,
定期提取失败的日志,重新与日志规则匹配,其中,该日志规则随时间更改设置。
可选地,上述装置还包括:
数据更新模块,配置为利用所述处理模块处理后的日志信息更新白名单数据库。
在本发明实施例中,云安全系统会每天涌现大量新软件,每个软件的下载均会生成相应的下载日志。而云安全系统的一个特性就是需要实时采集客户端设备的下载行为,并将客户端设备的下载行为记载为软件的下载日志。每个下载日志具备自己的标识信息,用于区别其他下载日志。该下载日志中会记录一些软件的下载信息,例如软件的下载路径、软件下载的网站信息等,通过这些下载信息,可以获取到软件下载的具体情况。基于此,本发明实施例分析原始下载日志,获取各日志的标识信息。随后,利用预设的日志规则匹配已获取的标识信息,即与各日志进行匹配,根据匹配结果对相应日志进行处理。由此可见,在本发明实施例中,由于每个软件的下载均为生成下载日志,因此,根据下载日志能够迅速快捷地发现在云安全系统中出现新软件。通过设置不同日志规则对海量下载日志进行匹配,能够实现及时发现新样本和收录可信样本。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了根据本发明一个实施例的日志处理方法的处理流程图;
图2示出了根据本发明一个实施例的日志处理架构的结构示意图;以及
图3示出了根据本发明一个实施例的日志处理装置的结构示意图。
具体实施方式
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
本发明实施例可以应用于计算机系统/服务器,其可与众多其它通用或专用计算系统环境或配置一起操作。适于与计算机系统/服务器一起使用的众所周知的计算系统、环境和/或配置的例子包括但不限于:个人计算机系统、服务器计算机系统、瘦客户机、厚客户机、手持或膝上设备、基于微处理器的系统、机顶盒、可编程消费电子产品、网络个人电脑、小型计算机系统﹑大型计算机系统和包括上述任何系统的分布式云计算技术环境,等等。
计算机系统/服务器可以在由计算机系统执行的计算机系统可执行指令(诸如程序模块)的一般语境下描述。通常,程序模块可以包括例程、程序、目标程序、组件、逻辑、数据结构等等,它们执行特定的任务或者实现特定的抽象数据类型。计算机系统/服务器可以在分布式云计算环境中实施,分布式云计算环境中,任务是由通过通信网络链接的远程处理设备执行的。在分布式云计算环境中,程序模块可以位于包括存储设备的本地或远程计算系统存储介质上。
为解决上述技术问题,本发明实施例提供了一种发明构思。该发明构思基于如下考虑:
当互联网中某个客户端设备在某个下载网站上下载某些软件的时候,可以采集客户端设备的下载行为记载为软件的下载日志。该下载日志中会记录一些软件的下载信息,如软件的下载路径、软件下载的网站信息等,通过这些下载信息,可以获取到软件下载的具体情况。其中,当前网站可以是下载站网站或论坛网站等等。
具体的,下载日志中一般包含如下信息:客户端设备下载的软件的签名、客户端设备下载软件的路径、软件下载的网站信息和下载的软件文件名。
当然,下载日志中还可以包括一些其他信息,例如软件的下载时间等,本发明实施例对此并不加以限制。比如,下载日志中还可以包括用户id、下载文件的哈希值(hash值)、下载文件的父页面、用户下载文件当前页面的统一资源定位符(URL,Uniform Resource Locator)等。其中,下载文件的哈希值用于唯一标识下载文件。哈希值也可以称为md5值或sha1值,如果下载文件是压缩包文件,下载日志中还要包含压缩包里的文件的md5值。
因此,本发明实施例可以通过对下载日志进行处理,及时发现新软件,进而进行相应处理。
基于上述发明构思,本发明实施例提供了一种日志处理方法,适用于具有海量下载日志的云安全系统。图1示出了根据本发明一个实施例的日志处理方法的处理流程图。参见图1,该方法包括步骤S102至步骤S106:
步骤S102、分析原始下载日志,获取各日志的标识信息;
步骤S104、利用预设的日志规则匹配已获取的标识信息;
步骤S106、根据匹配结果对相应日志进行处理。
为了快速地识别和查杀恶意程序,同时为了减轻客户端的资源消耗,目前的安全防护软件越来越多地使用云安全技术。云安全技术即把客户端的文件传给服务器端,在服务器端中存储了大量样本文件,服务器端通过将客户端上传的文件与其存储的样本文件进行比对,从而对客户端文件的安全性做出判定,然后客户端安全软件根据服务器端传回的信息对恶意程序进行报告和处理。由于恶意程序的种类和数量不断地增加,服务器端中的样本文件也要不断地更新,因此客户端每天需要将数以万计的样本文件上传到服务器端。
在本发明实施例中,云安全系统会收集每天涌现的大量新软件,在云安全系统中,每个软件的下载均会生成相应的下载日志。而云安全系统的一个特性就是可以实时采集客户端设备的下载行为,在采集的过程中可以优选采用一些加密算法对采集到信息作加密处理,并且不上传任何用户的个人信息等,从而将客户端设备的下载行为记载为软件的下载日志。每个下载日志具备自己的标识信息,用于区别其他下载日志。该下载日志中会记录一些软件的下载信息,例如软件的下载路径、软件下载的网站信息等,通过这些下载信息,可以获取到软件下载的具体情况。
基于此,本发明实施例通过分析原始下载日志,获取各日志的标识信息。随后,利用预设的日志规则匹配已获取的标识信息,即与各日志进行匹配,根据匹配结果对相应日志进行处理。由此可见,在本发明实施例中,由于每个软件的下载均需要生成下载日志,因此,根据下载日志能够迅速快捷地发现在云安全系统中出现的新软件。通过设置不同的日志规则对海量下载日志进行匹配,能够及时发现新样本,以便于收录可信样本。
步骤S102中提及的原始下载日志是不安全的样本下载日志。现提供一个下载日志的具体实例:
<md5: 5b853a78adfb11e8e4e534a9139a619a><durl:http://down.360safe.com/360zip_setup_3.0.0.2013.exe><purl:http://yasuo.360.cn/><src:ie><size:5275312><safe:unsafety>
其中md5为这个样本的md5,durl是下载url,purl是下载url的父页面地址,src代表哪个工具下载的,safe代表这个软件的安全性。
而步骤S102中提及的日志的标识信息可以包括:日志的下载链接(durl)和/或durl的父页面(purl)信息。需要说明的是,用户在互联网上下载资源时,实际上是访问的一个下载链接(durl),而一个durl可能会在多个页面出现,我们称这些页面为这个durl的父页面(purl)。
durl包括下载链域名dhost,下载链路径dpath,下载链文件名dfilename等多个属性,purl包括父页面域名phost,父页面路径ppath。
以”http://dl.qq.com/qqfile/qq.exe”这个durl为例,”dl.qq.com”是这个durl的dhost,“/qqfile/qq.exe”为dpath,qq.exe为dfilename。而这个durl在多个页面出现,如“http://im.qq.com/qq/all.shtml”、“http://im.qq.com/qq/2013/”,这两个页面就是这个durl的父页面。其中,结合durl以及purl能进一步提高下载日志的辨识性,避免因durl相似导致下载日志乃至其对应软件的混淆,进而避免相似的durl使得恶意软件不被识别出。
步骤S104中的匹配动作生成相应的匹配结果,对于任意日志而言,一种情况是当前日志能够与某一日志规则匹配,一种情况是当前日志不能够与任一日志规则匹配。在第一种情况下,当前日志的标识信息与某一日志规则匹配,那么,获取匹配的日志规则所对应的日志动作。其中,日志动作是预设置的,且与日志规则相对应的。随后,根据获取的日志动作对当前日志进行处理。
上文提及的日志规则是预设的,可以是任何与日志相应的规则或策略。本发明实施例提供了日志规则的例举,例如包括规则名称、下载链域名、下载链路径、父页面域名、父页面路径、文件过滤匹配优先级中的任意一个或多个的组合,等。具体的,例如规则名称可以过滤掉名称不符合规则的下载日志,下载链路径或下载链域名可以识别某些来自可信源的下载日志,等等。
如下载日志中有两个软件的网站信息分别为http://www.badiu.com/xxxx和http://www.baidu.com/yyyy,可以从这两个软件下载的网站信息中提取出候选网站标识信息均为www.baidu.com。提取网站标识信息的方式多种多样,本发明对此并不加以限制。而日志动作与日志规则同样是预先设置的,可以包括下列至少之一:动作名称、具体动作、附加参数。上述日志规则和日志动作都仅仅是部分例举,在实际应用中,任何能够与日志进行匹配的规则或策略或条件均能够作为日志规则来使用。同理,能够对日志进行处理的动作或行为或处理均可视为日志动作。本发明实施例具体采用的日志规则以及日志动作由具体应用环境决定。
日志规则和日志动作是多对多关系,一个日志规则可以对应多个日志动作,一个日志动作也可以对应多个日志规则。一个日志规则至少有一个日志动作。比如,有些软件被下载次数较多或者说下载效率较高,或者是一些基础类应用软件,这些软件与用户的日常网络访问息息相关,相对于某些冷门软件,有关这些软件的日志规则相对较重要。据此,可以对这些较为重要的软件的下载日志所对应的日志规则设置多个日志动作,例如,动作为将软件解包收白,即通过智能点击可以收集到压缩包等,通过分析安装界面的内容,能够自动识别出需要点击的按键(比如继续安装类的按键),并且在识别之后通过模拟点击对应的按键,实现软件包的完全自动安装,还例如,动作为发邮件通知相关运营人员。
若当前日志的标识信息与某一日志规则匹配时,意味着该日志能够被识别,那么,该日志对应的新软件也可以认为是可信或安全的,因此,可以标识该日志对应的下载任务样本为可信样本,并将匹配的标识信息保存到数据库中。
前文提及,本发明实施例适用于云安全系统,而云安全系统的一个特性就是同时存在大批量的软件,以供用户下载或应用或调用。为满足大批量下载日志的处理结果,本发明实施例考虑对日志处理的过程、结果以及其他信息进行统计,之后,在数据库中保护上述统计得到的统计结果。优选地,统计结果可以包括:各日志的处理过程及结果,以及各日志规则的匹配结果。还可以包括对各日志执行的具体日志动作、执行时间等。
若匹配结果是上文提及的第二种情况,即,当前日志的标识信息与日志规则匹配失败,那么,对于失败的日志,本发明实施例提供了一种优选的处理方式。具体地,考虑到日志规则并不是一成不变的,会随时间更改设置,因此,可以定期提取失败的日志,重新与日志规则匹配,以实现对可信样本辨别的准确性。
综上可知,采用本发明实施例提供的方法能够及时迅速并且准备地发现新样本以及辨别可信样本,因此,可以利用处理后的日志信息更新白名单数据库(也可称为白样本库),将处理后的日志信息收录到白名单数据库中,再次下载相应软件时,能够根据白名单数据库得到认可,而不会被怀疑是恶意软件。进一步,本发明实施例还可以将收集在白名单数据库中的软件信息,发送给杀毒软件或者是云查杀引擎等用于分析恶意软件的引擎。随后,当杀毒软件或云查杀引擎之类的,处理到已接收的软件信息中的某一软件,则认为其属性为“白”,对该软件放行。
为将本发明实施例提供的日志处理方法阐述地更清楚更明白,现以具体实施例对其进行说明。
本实施例提出一种利用durl、purl及人工运营的规则来发现新的样本和收录可信样本。该流程基于图2所示的日志处理架构。
图2示出了根据本发明一个实施例的日志处理架构的结构示意图。主要流程如下:
步骤A、在web后台210添加日志规则和日志动作。其中,日志规则包括:规则所属分类、规则名称、下载链域名(dhost)、下载链路径(dpath)、父页面域名(phost)、父页面路径(ppath)、文件名过滤、匹配优先级(如:金融类规则具有高优先级)等信息。日志动作包括:动作名称(对应日志规则中的所属分类)、具体动作(如邮件提醒和解包收白等)、附加参数(取决于处理类别)等信息。添加完成后,可以在指定的界面(例如“版本在线”界面)将新的日志规则和日志动作上传至网络。参见图2,web后台210将日志规则和动作发布至匹配模块220。
日志规则和日志动作是多对多关系,一个日志规则可以对应多个日志动作,一个日志动作也可以对应多个日志规则。一个日志规则至少有一个日志动作。比如,有些软件被下载次数较多或者说下载效率较高,或者是一些基础类应用软件,这些软件与用户的日常网络访问息息相关,相对于某些冷门软件,有关这些软件的日志规则、运营人员任务规则相对较重要。可以设置多个动作,例如软件解包收白,还例如邮件提醒(发邮件通知相关运营人员)。解包收白是指将样本下载到本地,再智能解包,把样本及解包释放出的样本收录到可信样本数据库中。
相应的,每个动作有一个执行模块,根据动作不同,模块也不同。参见图2,存在邮件提醒模块230、解包收白模块240以及其他下游模块N250。
步骤B、将添加的日志规则和日志动作存储在中心数据库260中。
步骤C、原始下载日志模块270利用流程(例如自动流程)从上游获取用户的原始下载日志(均是不安全的样本下载日志),由日志分析模块280对日志进行分析得到durl及purl等信息,将这些信息传给下游的匹配模块220,同时保存这些信息到保存分析结果模块290。除durl及purl等信息外,还可以获取下载时间、下载文件名等信息。
步骤D、匹配模块220利用日志规则来匹配得到的durl及purl,若匹配日志规则,则按照相应的日志动作作进一步处理,触发各相应的下游模块230-250。同时将匹配的信息保存到中心数据库260中,以便生成统计报表以便日后回查。从统计报表中可以看出每个小时/天,每个日志规则的匹配数(即产出),解包收白的下载失败数(可能是durl失效)等信息,方便运营人员统筹。另外,日志动作的执行信息及产出结果也可以保存到中心数据库260中。若生成统计报表,可以将多条信息合并处理。匹配结果能够证明下载日志对应的软件是否是新软件,是否是可信样本。
步骤E、考虑到运营人员可能添加/更新了新的日志规则或日志动作,对一定的历史日志作重提可以增加产出,重提模块2010定期将保存分析结果模块290保存的信息重新提取,并利用步骤D的操作对得新提取的信息进行处理。考虑到效率和处理时间,优选的,可以只重提近10天的日志。也可以对失败的任务定期进行重提。
在本实施例中,通过web后台的统计界面,可以看到每个日志规则的匹配数(按天或小时统计),每个日志动作的执行的成功数/失败数,每个任务失败的详细信息。这一统计结果主要关注失败的任务,进而发现系统的bug。
本实施例使用下载日志来发现新软件和收录可信样本,缩短了发现样本的时间,在及时收录可信样本的同时也保证了收录的可信样本的纯度。
基于同一发明构思,本发明实施例还提供了一种日志处理装置,适用于具有海量下载日志的云安全体系。图3示出了根据本发明一个实施例的日志处理装置的结构示意图。参见图3,该装置至少包括:
获取模块310,配置为分析原始下载日志,获取各日志的标识信息;
匹配模块320,与获取模块310耦合,配置为利用预设的日志规则匹配已获取的标识信息;
处理模块330,与匹配模块320耦合,配置为根据匹配结果对相应日志进行处理。
在一个优选的实施例中,可选的,处理模块330还可以配置为:
若当前日志的标识信息与某一日志规则匹配,获取匹配的日志规则所对应的日志动作;
根据获取的日志动作对当前日志进行处理,其中,日志动作是预设置的,且与日志规则相对应。
在一个优选的实施例中,可选的,参见图3,上述装置还包括:
可信样本存储模块340,与处理模块330耦合,配置为若当前日志的标识信息与某一日志规则匹配,标识该日志对应的下载任务样本为可信样本,并保存匹配的标识信息。
在一个优选的实施例中,可选的,参见图3,上述装置还包括:
统计结果保存模块350,配置为在数据库中保存统计结果,其中,统计结果包括:各日志的处理过程及结果,以及各日志规则的匹配结果。
在一个优选的实施例中,可选的,处理模块330还配置为:
若当前日志的标识信息与日志规则匹配失败,
定期提取失败的日志,重新与日志规则匹配,其中,该日志规则随时间更改设置。
在一个优选的实施例中,可选的,参见图3,上述装置还包括:
数据更新模块360,配置为利用处理模块330处理后的日志信息更新白名单数据库。
综上,互联网时代大多数软件都是通过互联网分发的,其中,下载站、论坛、官方网站下载链接是软件发布的重要通道。目前,大部分下载站、论坛都允许用户自由提交内容。例如,很多下载站、论坛都提供了上传组件,普通的网站用户通过这些上传组件就可以将自己想发布的软件上传,供其他用户下载使用。而不法分子恰好可以利用这一点,传播病毒、木马、强制捆绑插件等恶意样本。这一方面带来了巨大的网络安全隐患,另一方面又给有下载需求的用户造成了很大的安全风险。
所以本发明需要采用上文各实施例或其组合提供的日志处理方法及装置,从而达到如下有益效果:
在本发明实施例中,云安全系统会收集每天涌现的大量新软件,每个软件的下载均会生成相应的下载日志。而云安全系统的一个特性就是需要实时采集客户端设备的下载行为,并将客户端设备的下载行为记载为软件的下载日志。每个下载日志具备自己的标识信息,用于区别其他下载日志。该下载日志中会记录一些软件的下载信息,例如软件的下载路径、软件下载的网站信息等,通过这些下载信息,可以获取到软件下载的具体情况。基于此,本发明实施例分析原始下载日志,获取各日志的标识信息。随后,利用预设的日志规则匹配已获取的标识信息,即与各日志进行匹配,根据匹配结果对相应日志进行处理。由此可见,在本发明实施例中,由于每个软件的下载均为生成下载日志,因此,根据下载日志能够迅速快捷地发现在云安全系统中出现新软件。通过设置不同日志规则对海量下载日志进行匹配,能够实现及时发现新样本和收录可信样本。
本发明实施例的一种日志处理装置,适用于具有海量下载日志的云安全体系,包括:
获取模块,配置为分析原始下载日志,获取各日志的标识信息;
匹配模块,配置为利用预设的日志规则匹配已获取的标识信息;
处理模块,配置为根据匹配结果对相应日志进行处理。
本发明实施例中,其中,所述处理模块还配置为:
若当前日志的标识信息与某一日志规则匹配,获取匹配的日志规则所对应的日志动作;
根据获取的日志动作对所述当前日志进行处理,其中,日志动作是预设置的,且与日志规则相对应。
根据本发明实施例所述的装置,其中,还包括:
可信样本存储模块,配置为若当前日志的标识信息与某一日志规则匹配,标识该日志对应的下载任务样本为可信样本,并保存匹配的标识信息。
根据本发明实施例所述的装置,其中,还包括:
统计结果保存模块,配置为在数据库中保存统计结果,其中,所述统计结果包括:各日志的处理过程及结果,以及各日志规则的匹配结果。
根据本发明实施例所述的装置,其中,所述处理模块还配置为:
若当前日志的标识信息与日志规则匹配失败,
定期提取失败的日志,重新与日志规则匹配,其中,该日志规则随时间更改设置。
根据本发明实施例所述的装置,其中,还包括:
数据更新模块,配置为利用所述处理模块处理后的日志信息更新白名单数据库。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子模块或子组件。除了这样的特征和/或过程或者模块中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或模块进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的日志处理装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的模块权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
Claims (10)
1.一种日志处理方法,适用于具有海量下载日志的云安全系统,包括:
分析原始下载日志,获取各日志的标识信息;
利用预设的日志规则匹配已获取的标识信息;
根据匹配结果对相应日志进行处理。
2.根据权利要求1所述的方法,其中,所述根据匹配结果对相应日志进行处理,包括:
若当前日志的标识信息与某一日志规则匹配,获取匹配的日志规则所对应的日志动作;
根据获取的日志动作对所述当前日志进行处理,其中,日志动作是预设置的,且与日志规则相对应。
3.根据权利要求1或2所述的方法,其中,所述根据匹配结果对相应日志进行处理,还包括:
若当前日志的标识信息与某一日志规则匹配,标识该日志对应的下载任务样本为可信样本;以及
将匹配的标识信息保存到数据库中。
4.根据权利要求3所述的方法,其中,在对日志的处理过程中,还包括:
在数据库中保存统计结果,其中,所述统计结果包括:各日志的处理过程及结果,以及各日志规则的匹配结果。
5.根据权利要求2至4任一项所述的方法,其中,所述日志动作包括下列至少之一:动作名称、具体动作、附加参数。
6.根据权利要求1至4任一项所述的方法,其中,所述根据匹配结果对相应日志进行处理,包括:
若当前日志的标识信息与日志规则匹配失败,
定期提取失败的日志,重新与日志规则匹配,其中,该日志规则随时间更改设置。
7.根据权利要求1至6任一项所述的方法,其中,所述对相应日志进行处理之后,包括:利用处理后的日志信息更新白名单数据库。
8.根据权利要求1至7任一项所述的方法,其中,所述原始下载日志为不安全的样本下载日志。
9.根据权利要求1至8任一项所述的方法,其中,所述日志规则包括下列至少之一:
规则名称、下载链域名、下载链路径、父页面域名、父页面路径、文件过滤匹配优先级。
10.根据权利要求1至9任一项所述的方法,其中,所述标识信息包括:日志的下载链接durl和/或durl的父页面purl信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310305932.2A CN103414758B (zh) | 2013-07-19 | 2013-07-19 | 日志处理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310305932.2A CN103414758B (zh) | 2013-07-19 | 2013-07-19 | 日志处理方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103414758A true CN103414758A (zh) | 2013-11-27 |
| CN103414758B CN103414758B (zh) | 2017-04-05 |
Family
ID=49607744
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310305932.2A Active CN103414758B (zh) | 2013-07-19 | 2013-07-19 | 日志处理方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103414758B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107330090A (zh) * | 2017-07-04 | 2017-11-07 | 北京锐安科技有限公司 | 一种信息处理方法及装置 |
| CN107453908A (zh) * | 2017-08-04 | 2017-12-08 | 郑州云海信息技术有限公司 | 一种可信管理平台可信标准自动更新方法 |
| CN107590054A (zh) * | 2017-09-21 | 2018-01-16 | 大连君方科技有限公司 | 船舶服务器日志监控系统 |
| CN107870921A (zh) * | 2016-09-26 | 2018-04-03 | 杭州华为数字技术有限公司 | 一种日志数据处理方法及装置 |
| CN110020161A (zh) * | 2017-12-13 | 2019-07-16 | 阿里巴巴集团控股有限公司 | 数据处理方法、日志处理方法和终端 |
| CN110321410A (zh) * | 2019-06-21 | 2019-10-11 | 东软集团股份有限公司 | 日志提取的方法、装置、存储介质和电子设备 |
| CN110659918A (zh) * | 2018-06-28 | 2020-01-07 | 上海传漾广告有限公司 | 一种网络广告的追踪和分析的优化方法 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102004877A (zh) * | 2010-11-19 | 2011-04-06 | 珠海市君天电子科技有限公司 | 监控计算机病毒来源的方法 |
| CN102163353A (zh) * | 2011-02-25 | 2011-08-24 | 广州广电运通金融电子股份有限公司 | 电子流水日志智能分析系统及方法 |
| US20120030750A1 (en) * | 2010-07-28 | 2012-02-02 | Rishi Bhargava | System and Method for Network Level Protection Against Malicious Software |
| US20120304244A1 (en) * | 2011-05-24 | 2012-11-29 | Palo Alto Networks, Inc. | Malware analysis system |
| CN102984162A (zh) * | 2012-12-05 | 2013-03-20 | 北京奇虎科技有限公司 | 可信网站的识别方法和收集系统 |
| CN103020513A (zh) * | 2012-11-16 | 2013-04-03 | 北京奇虎科技有限公司 | 收集文件的方法和系统 |
| CN103152356A (zh) * | 2013-03-20 | 2013-06-12 | 北京奇虎科技有限公司 | 检测文件样本安全性的方法、服务器和系统 |
| CN103178982A (zh) * | 2011-12-23 | 2013-06-26 | 阿里巴巴集团控股有限公司 | 日志分析方法和装置 |
-
2013
- 2013-07-19 CN CN201310305932.2A patent/CN103414758B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120030750A1 (en) * | 2010-07-28 | 2012-02-02 | Rishi Bhargava | System and Method for Network Level Protection Against Malicious Software |
| CN102004877A (zh) * | 2010-11-19 | 2011-04-06 | 珠海市君天电子科技有限公司 | 监控计算机病毒来源的方法 |
| CN102163353A (zh) * | 2011-02-25 | 2011-08-24 | 广州广电运通金融电子股份有限公司 | 电子流水日志智能分析系统及方法 |
| US20120304244A1 (en) * | 2011-05-24 | 2012-11-29 | Palo Alto Networks, Inc. | Malware analysis system |
| CN103178982A (zh) * | 2011-12-23 | 2013-06-26 | 阿里巴巴集团控股有限公司 | 日志分析方法和装置 |
| CN103020513A (zh) * | 2012-11-16 | 2013-04-03 | 北京奇虎科技有限公司 | 收集文件的方法和系统 |
| CN102984162A (zh) * | 2012-12-05 | 2013-03-20 | 北京奇虎科技有限公司 | 可信网站的识别方法和收集系统 |
| CN103152356A (zh) * | 2013-03-20 | 2013-06-12 | 北京奇虎科技有限公司 | 检测文件样本安全性的方法、服务器和系统 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107870921A (zh) * | 2016-09-26 | 2018-04-03 | 杭州华为数字技术有限公司 | 一种日志数据处理方法及装置 |
| CN107870921B (zh) * | 2016-09-26 | 2021-10-15 | 华为技术有限公司 | 一种日志数据处理方法及装置 |
| CN107330090A (zh) * | 2017-07-04 | 2017-11-07 | 北京锐安科技有限公司 | 一种信息处理方法及装置 |
| CN107453908A (zh) * | 2017-08-04 | 2017-12-08 | 郑州云海信息技术有限公司 | 一种可信管理平台可信标准自动更新方法 |
| CN107590054A (zh) * | 2017-09-21 | 2018-01-16 | 大连君方科技有限公司 | 船舶服务器日志监控系统 |
| CN110020161A (zh) * | 2017-12-13 | 2019-07-16 | 阿里巴巴集团控股有限公司 | 数据处理方法、日志处理方法和终端 |
| CN110659918A (zh) * | 2018-06-28 | 2020-01-07 | 上海传漾广告有限公司 | 一种网络广告的追踪和分析的优化方法 |
| CN110321410A (zh) * | 2019-06-21 | 2019-10-11 | 东软集团股份有限公司 | 日志提取的方法、装置、存储介质和电子设备 |
| CN110321410B (zh) * | 2019-06-21 | 2021-08-06 | 东软集团股份有限公司 | 日志提取的方法、装置、存储介质和电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103414758B (zh) | 2017-04-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103414758A (zh) | 日志处理方法及装置 | |
| US20210385251A1 (en) | System and methods for integrating datasets and automating transformation workflows using a distributed computational graph | |
| KR20160054589A (ko) | 멀웨어 및 익스플로잇 캠패인 검출 시스템 및 방법 | |
| US11522885B1 (en) | System and method for information gain for malware detection | |
| KR102424014B1 (ko) | 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체 | |
| KR102362516B1 (ko) | 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체 | |
| KR102396237B1 (ko) | 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체 | |
| US20240054210A1 (en) | Cyber threat information processing apparatus, cyber threat information processing method, and storage medium storing cyber threat information processing program | |
| KR20230103275A (ko) | 사이버 보안 위협 정보 처리 장치, 사이버 보안 위협 정보 처리 방법 및 사이버 보안 위협 정보 처리하는 프로그램을 저장하는 저장매체 | |
| US20230252146A1 (en) | Cyber threat information processing apparatus, cyber threat information processing method, and storage medium storing cyber threat information processing program | |
| KR102420884B1 (ko) | 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체 | |
| KR102432649B1 (ko) | 사이버 위협 정보 처리 프로세서, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체 | |
| CN103152356A (zh) | 检测文件样本安全性的方法、服务器和系统 | |
| KR102411383B1 (ko) | 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체 | |
| Tan et al. | ColdPress: An extensible malware analysis platform for threat intelligence | |
| KR102396236B1 (ko) | 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체 | |
| EP4386597A1 (en) | Cyber threat information processing device, cyber threat information processing method, and storage medium storing cyber threat information processing program | |
| CN104899515A (zh) | 一种应用程序安全性的变更方法和装置 | |
| CA3204750A1 (en) | Web attack simulator | |
| CN103093149B (zh) | 常用软件/文件感染后的修复方法及系统、修复服务器 | |
| US20240214406A1 (en) | Cyber threat information processing apparatus, cyber threat information processing method, and storage medium storing cyber threat information processing program | |
| KR102396238B1 (ko) | 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체 | |
| US20240346140A1 (en) | Cyber threat information processing apparatus, cyber threat information processing method, and storage medium storing cyber threat information processing program | |
| KR102437376B1 (ko) | 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체 | |
| US20240348639A1 (en) | Cyber threat information processing apparatus, cyber threat information processing method, and storage medium storing cyber threat information processing program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220727 Address after: Room 801, 8th floor, No. 104, floors 1-19, building 2, yard 6, Jiuxianqiao Road, Chaoyang District, Beijing 100015 Patentee after: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Address before: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park) Patentee before: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Patentee before: Qizhi software (Beijing) Co.,Ltd. |