CN106815125A - 一种日志审计方法及平台 - Google Patents
一种日志审计方法及平台 Download PDFInfo
- Publication number
- CN106815125A CN106815125A CN201510873300.5A CN201510873300A CN106815125A CN 106815125 A CN106815125 A CN 106815125A CN 201510873300 A CN201510873300 A CN 201510873300A CN 106815125 A CN106815125 A CN 106815125A
- Authority
- CN
- China
- Prior art keywords
- system journal
- platform
- audit
- rule
- journal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012550 audit Methods 0.000 title claims abstract description 73
- 238000000034 method Methods 0.000 title claims abstract description 19
- 238000010801 machine learning Methods 0.000 claims abstract description 12
- 238000012549 training Methods 0.000 claims abstract description 10
- 238000012216 screening Methods 0.000 claims description 12
- 238000009826 distribution Methods 0.000 claims description 9
- 230000002159 abnormal effect Effects 0.000 claims description 8
- 238000005516 engineering process Methods 0.000 abstract description 6
- 230000015572 biosynthetic process Effects 0.000 abstract 1
- 238000010586 diagram Methods 0.000 description 8
- 238000003860 storage Methods 0.000 description 8
- 238000004590 computer program Methods 0.000 description 6
- 238000012545 processing Methods 0.000 description 6
- 238000004458 analytical method Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 238000012986 modification Methods 0.000 description 5
- 230000004048 modification Effects 0.000 description 5
- 230000014509 gene expression Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 239000012141 concentrate Substances 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 239000002699 waste material Substances 0.000 description 2
- 241000208340 Araliaceae Species 0.000 description 1
- 241001269238 Data Species 0.000 description 1
- 235000005035 Panax pseudoginseng ssp. pseudoginseng Nutrition 0.000 description 1
- 235000003140 Panax quinquefolius Nutrition 0.000 description 1
- 238000012098 association analyses Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000011109 contamination Methods 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 235000008434 ginseng Nutrition 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000004321 preservation Methods 0.000 description 1
- 238000005406 washing Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3452—Performance evaluation by statistical analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3447—Performance evaluation by modeling
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3466—Performance evaluation by tracing or monitoring
- G06F11/3495—Performance evaluation by tracing or monitoring for systems
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Evolutionary Biology (AREA)
- Bioinformatics & Computational Biology (AREA)
- Life Sciences & Earth Sciences (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Probability & Statistics with Applications (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请涉及计算机技术,公开了一种日志审计方法及平台,用以实现云环境下的日志实时审计。该方法为:审计平台从云端的各类平台分别采集相应的系统日志,并将获得的系统日志缓存至分布式异步队列中,以及确定满足预计的触发条件时,从该分布式异步队列中读取符合上述触发条件的系统日志,并基于规则模型对获得的系统日志进行审计,其中,规则模型是基于历史审计数据进行机器学习训练后生成的。这样,基于历史审计数据建模形成的规则模型相较于现有技术下单一的规则,更能够描述出复杂的审计条件,便于挑选出因复杂预警事件而产生的系统日志,从而便于管理人员及时发现并进行管理。
Description
技术领域
本申请涉及计算机技术,特别涉及一种日志审计方法及平台。
背景技术
随着云计算、移动互联、虚拟化等新技术的应用日益广泛,用户面临的安全威胁越来越多。网络中的主机、服务器、网络设备、安全设备、数据库以及各种应用服务系统在运行过程中会产生大量的日志和事件,管理人员面对数量如此巨大的信息,由于缺乏分析手段,因为无法及时准确定位网络故障和真正的安全隐患所在。
在传统的计算机网络环境下,安全厂商会将集群内日志数据的收集、存储、分析、报警、归档、报表等功能集成到一个定制的硬件设备中,通过部署该硬件设备到客户的计算机集群环境中,以完成离线的日志审计功能。
但是在云计算环境下,因为虚拟化技术和网络虚拟化,无法采用传统的硬件盒子的方式来解决日志审计问题,众多的云产品运行在复杂的平台上,这些产品自身以及相互调用会有大量的操作,产生大量的日志和事件,需要实时地对日志进行审计,以便于及时处理各类事件,因此,现有的离线审计方式已不适用于云环境下的日志审计需求。
而现有的云环境下目前暂时没有好的技术方案解决该问题。
发明内容
本申请实施例提供一种日志审计方法及平台,用以实现云环境下的日志实时审计。
本申请实施例提供的具体技术方案如下:
一种日志审计方法,包括:
审计平台从云端的各类平台分别采集相应的系统日志,并将获得的系统日志缓存至分布式异步队列中;
审计平台确定满足预计的触发条件时,从所述分布式异步队列中读取符合所述触发条件的系统日志;
审计平台基于规则模型对获得的系统日志进行审计,其中,所述规则模型是基于历史审计数据进行机器学习训练后生成的。
可选的,审计平台从云端的任意一平台采集相应的系统日志,包括:
基于设定的筛选条件,实时从所述任意一平台采集符合所述筛选条件的系统日志。
可选的,所述审计平台确定满足预计的触发条件时,从所述分布式异步队列中读取符合所述触发条件的系统日志,包括:
从所述分布式异步队列中读取满足第一订阅内容的系统日志;或者,
从所述分布式异步队列中读取缓存时长满足第一设定阈值的系统日志;或者,
从所述分布式异步队列中读取缓存数据量满足第二设定阈值的系统日志。
可选的,所述审计平台基于规则模型对获得的任意一条系统日志进行审计,包括:
读取所述任意一条系统日志后,基于所述任意一条日志包含的主机字段、路径字段和参数字段获取相匹配的规则模型;
采用获得的规则模型对所述任意一条系统日志进行检测,计算所述任意一条系统日志基于所述规则模型输出的概率;
将所述概率与预设的门限值进行比较,确定所述概率低于所述门限值时,确定所述任意一条系统日志为异常日志,确定所述概率不低于所述门限值时,确定所述任意一条日志为正常日志。
可选的,进一步包括:
审计平台对应符合事件特征的系统日志及相应的审计结果进行索引构建。
可选的,进一步包括:
审计平台对应满足第二订阅内容的系统日志进行系统日志初始索引构建;或/和,
审计平台对应满足第三订阅内容的系统日志进行保存。
一种日志审计平台,包括:
采集模块,用于从云端的各类平台分别采集相应的系统日志,并将获得的系统日志缓存至分布式异步队列中;
分发模块,用于确定满足预计的触发条件时,从所述分布式异步队列中读取符合所述触发条件的系统日志;
审计模块,用于基于规则模型对获得的系统日志进行审计,其中,所述规则模型是基于历史审计数据进行机器学习训练后生成的。
可选的,从云端的任意一平台采集相应的系统日志时,所述采集模块具体用于:
基于设定的筛选条件,实时从所述任意一平台采集符合所述筛选条件的系统日志。
可选的,基于确定满足预计的触发条件时,从所述分布式异步队列中读取符合所述触发条件的系统日志时,所述分发模块具体用于:
从所述分布式异步队列中读取满足第一订阅内容的系统日志;或者,
从所述分布式异步队列中读取缓存时长满足第一设定阈值的系统日志;或者,
从所述分布式异步队列中读取缓存数据量满足第二设定阈值的系统日志。
可选的,基于规则模型对获得的系统日志进行审计时,所述审计模块具体用于:
读取所述任意一条系统日志后,基于所述任意一条日志包含的主机字段、路径字段和参数字段获取相匹配的规则模型;
采用获得的规则模型对所述任意一条系统日志进行检测,计算所述任意一条系统日志基于所述规则模型输出的概率;
将所述概率与预设的门限值进行比较,确定所述概率低于所述门限值时,确定所述任意一条系统日志为异常日志,确定所述概率不低于所述门限值时,确定所述任意一条日志为正常日志。
可选的,进一步包括:
构建模块,用于对应符合事件特征的系统日志及相应的审计结果进行索引构建。
可选的,进一步包括:
构建模块,用于对应满足第二订阅内容的系统日志进行系统日志初始索引构建;或/和,
存储模块,用于保存满足第三订阅内容的系统日志。
本发明实施例中,审计平台从云端的各类平台分别采集相应的系统日志,并将获得的系统日志缓存至分布式异步队列中,以及在确定满足预计的触发条件时,从该分布式异步队列中读取符合上述触发条件的系统日志,并基于规则模型对获得的系统日志进行审计,其中,规则模型是基于历史审计数据进行机器学习训练后生成的。这样,便通过分布式的审计平台达到了实时读取、分析云端各类平台的系统日志的目的,并且,基于历史审计数据建模形成的规则模型相较于现有技术下单一的规则,更能够描述出复杂的审计条件,便于挑选出因复杂预警事件而产生的系统日志,从而便于管理人员及时发现并进行管理。
附图说明
图1为本申请实施例中日志审计系统架构图;
图2为本申请实施例中日志审计流程图;
图3为本申请实施例中HMM模型建立示意图;
图4为本申请实施例中机器学习过程示意图。
具体实施方式
为了实时云环境下的日志文件实时审计,本申请实施例中,重新设计了一套新的审计平台,该审计平台采用分布式结构,其中,采集模块实时地从云环境下采集日志传送至分发装置,分发模块根据按照预设的触发条件,将获得的日志文件发往审计模块,审计模块根据预设的规则对日志文件进行审计。
下面结合附图对本申请优选的实施方式进行详细说明。
参阅图1所示,以分布式结构重新设计审计平台,该审计平台至少包括采集模块10、分发模块11和审计模块12;其中,采集模块10用于从云环境下采用系统日志,而分发模块11用于缓存采集的系统日志,并按照设定的触发事件发往审计模块12,审计模块则会基于预设事件规则对系统日志进行审计,获得审计结果。
基于上述日志审计系统,参阅图2所示,本申请实施例中,进行日志审计的具体流程如下:
步骤200:采集模块10从云端的各类平台分别采集相应的系统日志,并将获得的系统日志缓存至分布式异步队列中。
如图1所示,实际应用中,不同类平台可以通过应用程序编程接口(Application Programming Interface,API)或者代理(Agent)接入采集模块10,这样可以方便日志源扩展;采集模块10可以定期从各类平台采集相应的系统日志,以任意一平台A为例,假设平台A通过API接入采集模块10,那么,采集模块10可以随时从平台A读取相应的系统日志,可选的,采集模块10可以一次性读取平台A上所有的系统日志,或者,为了节省系统资源,采集模块10可以对系统日志进行初步筛选,例如,根据预设的筛选条件(如,设定日志格式,设定日志属性、设定日志日期等等)从平台A中读取出符合上述筛选条件的系统日志。
以筛选条件为设定日志格式为例,采集模块10基于设定的标准格式,进行系统日志筛选,若采集的系统日志不符合标准格式,则会丢弃,不转发到分发模块11,从而提升系统日志采集的准确率和有效性。例如,具体格式标准如表1所示:
表1
另一方面,采集模块10从云端的各类平台读取系统日志后,不立即进行存储,而是对其进行标准化处理后,以标准消息格式缓存至分布式异步队列中,所谓分布式异步队列是指构建在分布式环境中的消息队列,具有高可用、高并发、易扩展等特性,这样做的好处是能降低系统模块之间的耦合;同时在云环境下,极可能出现日志出现高并发写入,给系统带来瞬间的压力,分布式异步队列具有较高的灵活性和峰值处理能力,提升系统的健壮性。
步骤210:分发模块11确定满足预计的触发条件时,从上述分布式异步队列中读取符合上述触发条件的系统日志。
本申请实施例中,步骤210的执行方式有多种方式,包含但不限于以下几种:
1、采集模块10从分布式异步队列中读取满足第一订阅内容的系统日志。
第一订阅内容是审计模块12配置的,这样,采集模块10可以采用订阅-发送方式下发系统日志,从而令审计模块12及时获得订阅平台的最新的系统日志。
2、采集模块10从分布式异步队列中读取缓存时长满足第一设定阈值的系统日志。
采用这种方式,可以在短时间内累积一定数量的系统日志再读取,从而避免因为频繁数据交互而造成的系统资源浪费,上述第一设定阈值可以设置得较短,这样,审计模块12同样可以实时地得到所需的系统日志。
3、采集模块10从分布式异步队列中读取缓存数据量满足第二设定阈值的系统日志。
采用这种方式,同样可以累积一定数量的系统日志再读取,从而避免因为频繁数据交互而造成的系统资源浪费,上述第二设定阈值可以设置得较少,这样,审计模块12同样可以实时地得到所需的系统日志。
步骤220:审计模块12基于规则模型对获得的系统日志进行审计,其中,该规则模型是审计模块12基于历史审计数据进行机器学习训练后生成的。
主要根据隐马尔科夫算法模型(Hidden Markov Model,HMM)对海量历史审计数据进行机器学习训练后,输出规则模型。再将该规则模型应用于审计模块12,用于检测异常的系统日志。
例如,以url日志为例,大多数正常的url日志的格式都非常类似,具体如下:
http://xxx.com/index.html?id=123&user=abc&query=手套
http://xxx.com/index.html?id=124&user=apple&query=手表
http://xxx.com/index.html?id=133&user=edfc&query=冰箱
http://xxx.com/index.html?id=135&user=xxxx&query=洗衣机
而异常的url日志的格式往往都不大相同,具体如下:
http://xxx.com/index.html?id=1'union select id,name,SCHEMA_NAME from
User_information
http://xxx.com/index.html?id=%3Cscript%3Ealert('XSS')%3C/script%3E
http://xxx.com/index.html/$%7B@print(md5(acunetix_wvs_security_test))%7D
因此,基于海量正常的url日志可以建立多个HMM模型。
具体的,正常的url日志的格式中,均包括有主机字段(如,http://xxx.com)、路径字段(如,/index.html?)和参数字段(如,id=%3Cscript%3Ealert('XSS')%3C/script%3E),在针对一条url日志建立HMM模型时,是对url日志中参数字段内包含的所有参数进行映射处理,建立相应的HMM模型,再通过该url日志中主机字段和路径字段链接至该HMM模型.
例如,参阅图3所示,在建立HMM模型时,将一条url日志的中每个参数的值由可见状态按照以下规则映射为隐藏状态:a~z→A(Alphabet);0~9→N(Number);中文→C(Chinese);其他的特殊符号不进行映射;从而建立HMM模型。
在机器学习阶段,使用正常的url日志作为输入数据,避免污染模型,正常的url日志来源于通过正则表达式匹配的数据);然后,按照url日志的主机字段+路径字段进行分组,在每一组中再分别按照不同url日志包含的参数分别建立相应的HMM模型;接着,设定异常概率门限值:H=Min(概率)-ε,ε=Min(概率)/100。
参阅图4所示,通过历史数据集中提取的数据进行机器学习后,建立了多种类型的HMM模型,那么,在检测阶段,再提取到新的url日志时,可以按照url日志的主机字段+路径字段+参数字段提取相应的HMM模型进行检测,经检测,若概率<H,则表示相应的url日志属于异常日志,其中,所谓的概率表示url日志按照相应的HMM模型表征的参数输出的概率值,取值越低,表示url日志的格式越异常,有可能为非法的url日志;若概率≥H,则表示相应的url日志属于正常日志,可以作为新数据添加到历史数据集中,作为下一次机器学习训练使用。
而现有的规则是通过正则表达式表示的,采用正则表达式检测异常的系统日志,存在性能和灵活性较差的问题,因为只能逐条检测系统日志是否与正则表达匹配,无法做到关联分析,基于机器学习的规则模型可以根据历史数据中的前后系统日志的内容进行关联分析,进而检测出异常。
参阅图1所示,在审计平台中,进一步地,还可以包括构建模块13和存储模块14,这两者也可以订阅相关的系统日志,同理,分发模块11也会将满足构建模块13设置的第二订阅内容的系统日志实时发往构建模块13,以便于构建模块13对应各个系统日志构建相应的初始索引,或/和,分发模块11出会将满足存储模块14设置的第三订阅内容的系统日志实时发往存储模块14进行保存,可选的,存储模块14可以将系统日志存储至特定的存储介质,如,开放结构化数据服务(Open Table Service,OTS)开放结构化数据服务]、Hadoop数据库(Hbase[Hadoop Database],Hbase)等),同时可根据不同规格配置,将超过一定存储时长的系统日志归档至开放数据处理服务ODPS[(Open DataProcessing Service,ODPS)开放数据处理服务]中。
本申请实施例中,可选的,日志审计系统根据构建模块13和存储模块14的订阅内容进行系统日志下发,这是因为,不是所有系统日志都需要进行初始索引构建以及保存,有时海量的临时的系统日志经审计无特殊价值后可以直接丢弃,以保证系统的存储空间,因此,日志审计系统只会根据订阅内容向构建模块13和存储模块14下发相应的系统日志。
另一方面,进一步的,审计模块12对系统日志进行审计后,会将符合事件特征的系统日志及相应的审计结果(即事件描述内容)发往构建模块13进行索引构建,这是为了在系统日志和相应审计结果之间建立关联,以便后续查询;那么,构建模块13接收到系统日志和相应的审计结果后,会判断是否订阅了相关系统日志并已构建了初始索引,若是,则基于系统日志和相应的审计结果对相应的初始索引进行更新,这样,系统日志和审计结果之间便建立了关联关系,以便于后续的事件查询洄溯;否则,直接基于系统日志和相应的审计结果构建索引,即建立关联关系,便于后续的事件查询洄溯。
本申请实施例中,审计平台从云端的各类平台分别采集相应的系统日志,并将获得的系统日志缓存至分布式异步队列中,以及在确定满足预计的触发条件时,从该分布式异步队列中读取符合上述触发条件的系统日志,并基于规则模型对获得的系统日志进行审计,其中,规则模型是基于历史审计数据进行机器学习训练后生成的。这样,便通过分布式的日志审计系统达到了实时读取、分析云端各类平台的系统日志的目的,并且,基于历史审计数据建模形成的规则模型相较于现有技术下单一的规则,更能够描述出复杂的审计条件,便于挑选出因复杂预警事件而产生的系统日志,从而便于管理人员及时发现并进行管理。进一步地,本申请实施例中,将系统日志和审计结果(即审计后确定发生的事件)建立关联关联,之间,可以通过搜索引擎及时进行关联检索,方便管理人员进行关联分析。
本申请描述的整套系统基于云产品搭建,和各类云平台兼容,易部署,具有高扩展性,方便接入各式各样的审计日志源。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请实施例进行各种改动和变型而不脱离本申请实施例的精神和范围。这样,倘若本申请实施例的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (12)
1.一种日志审计方法,其特征在于,包括:
审计平台从云端的各类平台分别采集相应的系统日志,并将获得的系统日志缓存至分布式异步队列中;
审计平台确定满足预计的触发条件时,从所述分布式异步队列中读取符合所述触发条件的系统日志;
审计平台基于规则模型对获得的系统日志进行审计,其中,所述规则模型是基于历史审计数据进行机器学习训练后生成的。
2.如权利要求1所述的方法,其特征在于,审计平台从云端的任意一平台采集相应的系统日志,包括:
基于设定的筛选条件,实时从所述任意一平台采集符合所述筛选条件的系统日志。
3.如权利要求1所述的方法,其特征在于,所述审计平台确定满足预计的触发条件时,从所述分布式异步队列中读取符合所述触发条件的系统日志,包括:
从所述分布式异步队列中读取满足第一订阅内容的系统日志;或者,
从所述分布式异步队列中读取缓存时长满足第一设定阈值的系统日志;或者,
从所述分布式异步队列中读取缓存数据量满足第二设定阈值的系统日志。
4.如权利要求1、2或3所述的方法,其特征在于,所述审计平台基于规则模型对获得的任意一条系统日志进行审计,包括:
读取所述任意一条系统日志后,基于所述任意一条日志包含的主机字段、路径字段和参数字段获取相匹配的规则模型;
采用获得的规则模型对所述任意一条系统日志进行检测,计算所述任意一条系统日志基于所述规则模型输出的概率;
将所述概率与预设的门限值进行比较,确定所述概率低于所述门限值时,确定所述任意一条系统日志为异常日志,确定所述概率不低于所述门限值时,确定所述任意一条日志为正常日志。
5.如权利要求4所述的方法,其特征在于,进一步包括:
审计平台对应符合事件特征的系统日志及相应的审计结果进行索引构建。
6.如权利要求1、2或3所述的方法,其特征在于,进一步包括:
审计平台对应满足第二订阅内容的系统日志进行系统日志初始索引构建;或/和,
审计平台对应满足第三订阅内容的系统日志进行保存。
7.一种日志审计平台,其特征在于,包括:
采集模块,用于从云端的各类平台分别采集相应的系统日志,并将获得的系统日志缓存至分布式异步队列中;
分发模块,用于确定满足预计的触发条件时,从所述分布式异步队列中读取符合所述触发条件的系统日志;
审计模块,用于基于规则模型对获得的系统日志进行审计,其中,所述规则模型是基于历史审计数据进行机器学习训练后生成的。
8.如权利要求7所述的平台,其特征在于,从云端的任意一平台采集相应的系统日志时,所述采集模块具体用于:
基于设定的筛选条件,实时从所述任意一平台采集符合所述筛选条件的系统日志。
9.如权利要求7所述的平台,其特征在于,基于确定满足预计的触发条件时,从所述分布式异步队列中读取符合所述触发条件的系统日志时,所述分发模块具体用于:
从所述分布式异步队列中读取满足第一订阅内容的系统日志;或者,
从所述分布式异步队列中读取缓存时长满足第一设定阈值的系统日志;或者,
从所述分布式异步队列中读取缓存数据量满足第二设定阈值的系统日志。
10.如权利要求7、8或9所述的平台,其特征在于,基于规则模型对获得的系统日志进行审计时,所述审计模块具体用于:
读取所述任意一条系统日志后,基于所述任意一条日志包含的主机字段、路径字段和参数字段获取相匹配的规则模型;
采用获得的规则模型对所述任意一条系统日志进行检测,计算所述任意一条系统日志基于所述规则模型输出的概率;
将所述概率与预设的门限值进行比较,确定所述概率低于所述门限值时,确定所述任意一条系统日志为异常日志,确定所述概率不低于所述门限值时,确定所述任意一条日志为正常日志。
11.如权利要求10所述的平台,其特征在于,进一步包括:
构建模块,用于对应符合事件特征的系统日志及相应的审计结果进行索引构建。
12.如权利要求7、8或9所述的平台,其特征在于,进一步包括:
构建模块,用于对应满足第二订阅内容的系统日志进行系统日志初始索引构建;或/和,
存储模块,用于保存满足第三订阅内容的系统日志。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510873300.5A CN106815125A (zh) | 2015-12-02 | 2015-12-02 | 一种日志审计方法及平台 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510873300.5A CN106815125A (zh) | 2015-12-02 | 2015-12-02 | 一种日志审计方法及平台 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106815125A true CN106815125A (zh) | 2017-06-09 |
Family
ID=59105801
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510873300.5A Pending CN106815125A (zh) | 2015-12-02 | 2015-12-02 | 一种日志审计方法及平台 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106815125A (zh) |
Cited By (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107426022A (zh) * | 2017-07-21 | 2017-12-01 | 上海携程商务有限公司 | 安全事件监测方法及装置、电子设备、存储介质 |
| CN107645542A (zh) * | 2017-09-03 | 2018-01-30 | 中国南方电网有限责任公司 | 一种应用于云审计系统的数据采集装置 |
| CN107656973A (zh) * | 2017-09-03 | 2018-02-02 | 中国南方电网有限责任公司 | 一种应用于云审计系统的日志审计子系统 |
| CN107818150A (zh) * | 2017-10-23 | 2018-03-20 | 中国移动通信集团广东有限公司 | 一种日志审计方法及装置 |
| CN107979640A (zh) * | 2017-11-21 | 2018-05-01 | 广东电网有限责任公司电力科学研究院 | 一种数据传输方法及装置 |
| CN108132868A (zh) * | 2018-01-15 | 2018-06-08 | 政采云有限公司 | 一种数据监控方法、装置、计算设备及存储介质 |
| CN108322306A (zh) * | 2018-03-17 | 2018-07-24 | 北京工业大学 | 一种基于可信第三方的面向隐私保护的云平台可信日志审计方法 |
| CN108769121A (zh) * | 2018-04-24 | 2018-11-06 | 浙江正泰电器股份有限公司 | 智能工业装备物联网数据采集系统及采集数据的上传方法 |
| CN108920951A (zh) * | 2018-07-20 | 2018-11-30 | 山东浪潮通软信息科技有限公司 | 一种基于云模式下的安全审计框架 |
| CN109359098A (zh) * | 2018-10-31 | 2019-02-19 | 云南电网有限责任公司 | 一种调度数据网行为监测系统及方法 |
| CN110008695A (zh) * | 2018-01-05 | 2019-07-12 | 中国信息通信研究院 | 一种基于分布式记账的混合型用户行为审计方法及系统 |
| CN110109809A (zh) * | 2019-04-08 | 2019-08-09 | 武汉思普崚技术有限公司 | 根据syslog测试日志审计功能的方法及设备 |
| CN110224850A (zh) * | 2019-04-19 | 2019-09-10 | 北京亿阳信通科技有限公司 | 电信网络故障预警方法、装置及终端设备 |
| CN110858214A (zh) * | 2018-08-22 | 2020-03-03 | 北京国双科技有限公司 | 推荐模型训练、及进一步审计程序推荐方法、装置及设备 |
| CN110941952A (zh) * | 2018-09-19 | 2020-03-31 | 北京国双科技有限公司 | 一种完善审计分析模型的方法及装置 |
| CN111052704A (zh) * | 2017-07-10 | 2020-04-21 | 向心网络公司 | 网络分析工作流程加速 |
| CN111177779A (zh) * | 2019-12-24 | 2020-05-19 | 深圳昂楷科技有限公司 | 数据库审计方法、其装置、电子设备及计算机存储介质 |
| CN112416909A (zh) * | 2020-12-11 | 2021-02-26 | 深圳昂楷科技有限公司 | 一种云上数据库审计方法、装置和服务器 |
| CN112463740A (zh) * | 2020-11-18 | 2021-03-09 | 苏州浪潮智能科技有限公司 | 一种自动化日志安全审计的方法及系统 |
| CN112631900A (zh) * | 2020-12-14 | 2021-04-09 | 贝壳技术有限公司 | 接口的巡检方法、装置、电子设备和存储介质 |
| CN113111037A (zh) * | 2021-04-30 | 2021-07-13 | 杭州远石科技有限公司 | 日志审计告警方法、装置及存储介质 |
| CN113778826A (zh) * | 2021-09-16 | 2021-12-10 | 北京天融信网络安全技术有限公司 | 一种日志处理方法及装置 |
| CN114143162A (zh) * | 2020-08-13 | 2022-03-04 | 中盈优创资讯科技有限公司 | 基于缓存的网络设备syslog信息的规则匹配方法 |
| CN114185848A (zh) * | 2020-09-15 | 2022-03-15 | 中国移动通信集团山东有限公司 | 一种接口状态的生成方法、装置、计算机设备和存储介质 |
| CN114462373A (zh) * | 2022-02-09 | 2022-05-10 | 星环信息科技(上海)股份有限公司 | 审计规则确定方法、装置、电子设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20040012285A (ko) * | 2002-08-02 | 2004-02-11 | 한국정보보호진흥원 | 은닉 마르코프 모델을 이용한 비정상행위 침입탐지 시스템및 방법 |
| CN101483553A (zh) * | 2009-02-24 | 2009-07-15 | 中兴通讯股份有限公司 | 一种用户网络行为审计装置及方法 |
| CN101615186A (zh) * | 2009-07-28 | 2009-12-30 | 东北大学 | 一种基于隐马尔科夫理论的bbs用户异常行为审计方法 |
| CN103124293A (zh) * | 2012-12-31 | 2013-05-29 | 中国人民解放军理工大学 | 一种基于多Agent的云数据安全审计方法 |
| CN104376023A (zh) * | 2013-08-16 | 2015-02-25 | 北京神州泰岳软件股份有限公司 | 一种基于日志的审计方法及系统 |
| CN104618343A (zh) * | 2015-01-06 | 2015-05-13 | 中国科学院信息工程研究所 | 一种基于实时日志的网站威胁检测的方法及系统 |
-
2015
- 2015-12-02 CN CN201510873300.5A patent/CN106815125A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20040012285A (ko) * | 2002-08-02 | 2004-02-11 | 한국정보보호진흥원 | 은닉 마르코프 모델을 이용한 비정상행위 침입탐지 시스템및 방법 |
| CN101483553A (zh) * | 2009-02-24 | 2009-07-15 | 中兴通讯股份有限公司 | 一种用户网络行为审计装置及方法 |
| CN101615186A (zh) * | 2009-07-28 | 2009-12-30 | 东北大学 | 一种基于隐马尔科夫理论的bbs用户异常行为审计方法 |
| CN103124293A (zh) * | 2012-12-31 | 2013-05-29 | 中国人民解放军理工大学 | 一种基于多Agent的云数据安全审计方法 |
| CN104376023A (zh) * | 2013-08-16 | 2015-02-25 | 北京神州泰岳软件股份有限公司 | 一种基于日志的审计方法及系统 |
| CN104618343A (zh) * | 2015-01-06 | 2015-05-13 | 中国科学院信息工程研究所 | 一种基于实时日志的网站威胁检测的方法及系统 |
Cited By (35)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US12019745B2 (en) | 2017-07-10 | 2024-06-25 | Centripetal Networks, Llc | Cyberanalysis workflow acceleration |
| CN111052704A (zh) * | 2017-07-10 | 2020-04-21 | 向心网络公司 | 网络分析工作流程加速 |
| US11574047B2 (en) | 2017-07-10 | 2023-02-07 | Centripetal Networks, Inc. | Cyberanalysis workflow acceleration |
| US11797671B2 (en) | 2017-07-10 | 2023-10-24 | Centripetal Networks, Llc | Cyberanalysis workflow acceleration |
| CN107426022A (zh) * | 2017-07-21 | 2017-12-01 | 上海携程商务有限公司 | 安全事件监测方法及装置、电子设备、存储介质 |
| CN107426022B (zh) * | 2017-07-21 | 2020-06-16 | 上海携程商务有限公司 | 安全事件监测方法及装置、电子设备、存储介质 |
| CN107656973A (zh) * | 2017-09-03 | 2018-02-02 | 中国南方电网有限责任公司 | 一种应用于云审计系统的日志审计子系统 |
| CN107645542A (zh) * | 2017-09-03 | 2018-01-30 | 中国南方电网有限责任公司 | 一种应用于云审计系统的数据采集装置 |
| CN107818150A (zh) * | 2017-10-23 | 2018-03-20 | 中国移动通信集团广东有限公司 | 一种日志审计方法及装置 |
| CN107979640A (zh) * | 2017-11-21 | 2018-05-01 | 广东电网有限责任公司电力科学研究院 | 一种数据传输方法及装置 |
| CN107979640B (zh) * | 2017-11-21 | 2020-08-14 | 广东电网有限责任公司电力科学研究院 | 一种数据传输方法及装置 |
| CN110008695A (zh) * | 2018-01-05 | 2019-07-12 | 中国信息通信研究院 | 一种基于分布式记账的混合型用户行为审计方法及系统 |
| CN108132868A (zh) * | 2018-01-15 | 2018-06-08 | 政采云有限公司 | 一种数据监控方法、装置、计算设备及存储介质 |
| CN108322306A (zh) * | 2018-03-17 | 2018-07-24 | 北京工业大学 | 一种基于可信第三方的面向隐私保护的云平台可信日志审计方法 |
| CN108322306B (zh) * | 2018-03-17 | 2020-11-27 | 北京工业大学 | 一种基于可信第三方的面向隐私保护的云平台可信日志审计方法 |
| CN108769121A (zh) * | 2018-04-24 | 2018-11-06 | 浙江正泰电器股份有限公司 | 智能工业装备物联网数据采集系统及采集数据的上传方法 |
| CN108769121B (zh) * | 2018-04-24 | 2021-11-30 | 浙江正泰电器股份有限公司 | 智能工业装备物联网数据采集系统及采集数据的上传方法 |
| CN108920951A (zh) * | 2018-07-20 | 2018-11-30 | 山东浪潮通软信息科技有限公司 | 一种基于云模式下的安全审计框架 |
| CN110858214A (zh) * | 2018-08-22 | 2020-03-03 | 北京国双科技有限公司 | 推荐模型训练、及进一步审计程序推荐方法、装置及设备 |
| CN110941952A (zh) * | 2018-09-19 | 2020-03-31 | 北京国双科技有限公司 | 一种完善审计分析模型的方法及装置 |
| CN109359098A (zh) * | 2018-10-31 | 2019-02-19 | 云南电网有限责任公司 | 一种调度数据网行为监测系统及方法 |
| CN109359098B (zh) * | 2018-10-31 | 2023-04-11 | 云南电网有限责任公司 | 一种调度数据网行为监测系统及方法 |
| CN110109809B (zh) * | 2019-04-08 | 2020-04-10 | 武汉思普崚技术有限公司 | 根据syslog测试日志审计功能的方法及设备 |
| CN110109809A (zh) * | 2019-04-08 | 2019-08-09 | 武汉思普崚技术有限公司 | 根据syslog测试日志审计功能的方法及设备 |
| CN110224850A (zh) * | 2019-04-19 | 2019-09-10 | 北京亿阳信通科技有限公司 | 电信网络故障预警方法、装置及终端设备 |
| CN111177779A (zh) * | 2019-12-24 | 2020-05-19 | 深圳昂楷科技有限公司 | 数据库审计方法、其装置、电子设备及计算机存储介质 |
| CN114143162A (zh) * | 2020-08-13 | 2022-03-04 | 中盈优创资讯科技有限公司 | 基于缓存的网络设备syslog信息的规则匹配方法 |
| CN114185848A (zh) * | 2020-09-15 | 2022-03-15 | 中国移动通信集团山东有限公司 | 一种接口状态的生成方法、装置、计算机设备和存储介质 |
| CN112463740A (zh) * | 2020-11-18 | 2021-03-09 | 苏州浪潮智能科技有限公司 | 一种自动化日志安全审计的方法及系统 |
| CN112416909A (zh) * | 2020-12-11 | 2021-02-26 | 深圳昂楷科技有限公司 | 一种云上数据库审计方法、装置和服务器 |
| CN112631900A (zh) * | 2020-12-14 | 2021-04-09 | 贝壳技术有限公司 | 接口的巡检方法、装置、电子设备和存储介质 |
| CN113111037A (zh) * | 2021-04-30 | 2021-07-13 | 杭州远石科技有限公司 | 日志审计告警方法、装置及存储介质 |
| CN113778826A (zh) * | 2021-09-16 | 2021-12-10 | 北京天融信网络安全技术有限公司 | 一种日志处理方法及装置 |
| CN113778826B (zh) * | 2021-09-16 | 2023-11-28 | 北京天融信网络安全技术有限公司 | 一种日志处理方法及装置 |
| CN114462373A (zh) * | 2022-02-09 | 2022-05-10 | 星环信息科技(上海)股份有限公司 | 审计规则确定方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106815125A (zh) | 一种日志审计方法及平台 | |
| US11741089B1 (en) | Interactive location queries for raw machine data | |
| US11886464B1 (en) | Triage model in service monitoring system | |
| US11811805B1 (en) | Detecting fraud by correlating user behavior biometrics with other data sources | |
| US10855793B2 (en) | Proxying hypertext transfer protocol (HTTP) requests for microservices | |
| US11829330B2 (en) | Log data extraction from data chunks of an isolated execution environment | |
| CN104618343B (zh) | 一种基于实时日志的网站威胁检测的方法及系统 | |
| CN110347716A (zh) | 日志数据处理方法、装置、终端及存储介质 | |
| CN108537544A (zh) | 一种交易系统实时监控方法及其监控系统 | |
| CN109842628A (zh) | 一种异常行为检测方法及装置 | |
| CN111885040A (zh) | 分布式网络态势感知方法、系统、服务器及节点设备 | |
| US11372956B2 (en) | Multiple input neural networks for detecting fraud | |
| CN109582861A (zh) | 一种数据隐私信息检测系统 | |
| CN107992746A (zh) | 恶意行为挖掘方法及装置 | |
| CN107273267A (zh) | 基于elastic组件的日志分析方法 | |
| CN113342564A (zh) | 日志审计方法、装置、电子设备和介质 | |
| CN108446305A (zh) | 多维度统计业务数据的系统和方法 | |
| CN109254901B (zh) | 一种指标监测方法及系统 | |
| CN106453320B (zh) | 恶意样本的识别方法及装置 | |
| CN107463479A (zh) | 一种社交数据监控系统 | |
| US11676345B1 (en) | Automated adaptive workflows in an extended reality environment | |
| US11315010B2 (en) | Neural networks for detecting fraud based on user behavior biometrics | |
| CN107409134A (zh) | 法证分析 | |
| CN112491779A (zh) | 一种异常行为检测方法及装置、电子设备 | |
| CN109729095A (zh) | 数据处理方法、装置和计算设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1237481 Country of ref document: HK |
|
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170609 |
|
| RJ01 | Rejection of invention patent application after publication | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: WD Ref document number: 1237481 Country of ref document: HK |