CN110166421B

CN110166421B - 基于日志监控的入侵控制方法、装置及终端设备

Info

Publication number: CN110166421B
Application number: CN201910256921.7A
Authority: CN
Inventors: 张纪昆; 王一
Original assignee: Ping An Technology Shenzhen Co Ltd
Current assignee: Ping An Technology Shenzhen Co Ltd
Priority date: 2019-04-01
Filing date: 2019-04-01
Publication date: 2022-10-14
Anticipated expiration: 2039-04-01
Also published as: CN110166421A

Abstract

本发明适用于数据处理技术领域，提供了基于日志监控的入侵控制方法、装置、终端设备以及计算机可读存储介质，包括：接收至少两个监控客户端上的日志记录，对日志记录按照预设的解析规则进行过滤，并将得到的过滤记录存储至预设的存储集群中的第一索引；若第一索引中的过滤记录达到预设的告警条件，则获取过滤记录中位于预设字段的待检测元素，并将待检测元素与存储集群的第二索引中的至少一个告警元素进行比对；若待检测元素与告警元素比对成功，则将待检测元素确定为目标元素，并基于目标元素在至少两个监控客户端对应的待监控主机中设置屏蔽参数。本发明结合第一索引和第二索引中的存储内容进行入侵控制，提升了入侵控制的准确性。

Description

基于日志监控的入侵控制方法、装置及终端设备

技术领域

本发明属于数据处理技术领域，尤其涉及基于日志监控的入侵控制方法、装置、终端设备以及计算机可读存储介质。

背景技术

随着计算机技术的发展，计算机已能实现数据存储和数据交互等多种功能，但在利用计算机在互联网中进行数据交互的过程中，一并带来的是如何保证计算机的数据安全的问题。

在现有技术中，通常是通过查看待监控主机的日志来判断是否出现异常入侵，但由于待监控主机本身的存储空间有限，故查看的日志通常仅为当前日志，导致无法结合以前的日志来判断进行控制的程度，即控制程度判定不准确，容易造成入侵者再次侵入或非入侵者被高度控制。综上，现有技术中仅根据当前日志进行入侵控制，造成控制程度判定不准确。

发明内容

有鉴于此，本发明实施例提供了基于日志监控的入侵控制方法、装置、终端设备以及计算机可读存储介质，以解决现有技术中仅根据当前日志进行入侵控制，控制程度判定不准确的问题。

本发明实施例的第一方面提供了一种基于日志监控的入侵控制方法，包括：

接收至少两个监控客户端上的日志记录，对所述日志记录按照预设的解析规则进行过滤，并将得到的过滤记录存储至预设的存储集群中的第一索引，其中，每个监控客户端对应一个待监控主机，所述解析规则与所述日志记录的日志类型相关；

若所述第一索引中的所述过滤记录达到预设的告警条件，则获取所述过滤记录中位于预设字段的待检测元素，并将所述待检测元素与所述存储集群的第二索引中的至少一个告警元素进行比对，其中，所述告警条件与所述过滤记录的所述日志类型相关，所述第二索引中存储有标记为异常的所述过滤记录的副本，所述告警元素为所述过滤记录的副本中位于所述预设字段的元素；

若所述待检测元素与所述告警元素比对成功，则将所述待检测元素确定为目标元素，并基于所述目标元素在所述至少两个监控客户端对应的待监控主机中设置屏蔽参数，所述屏蔽参数用于使所述待监控主机屏蔽接收到的包含所述目标元素的请求。

本发明实施例的第二方面提供了一种基于日志监控的入侵控制装置，包括：

过滤单元，用于接收至少两个监控客户端上的日志记录，对所述日志记录按照预设的解析规则进行过滤，并将得到的过滤记录存储至预设的存储集群中的第一索引，其中，每个监控客户端对应一个待监控主机，所述解析规则与所述日志记录的日志类型相关；

比对单元，用于若所述第一索引中的所述过滤记录达到预设的告警条件，则获取所述过滤记录中位于预设字段的待检测元素，并将所述待检测元素与所述存储集群的第二索引中的至少一个告警元素进行比对，其中，所述告警条件与所述过滤记录的所述日志类型相关，所述第二索引中存储有标记为异常的所述过滤记录的副本，所述告警元素为所述过滤记录的副本中位于所述预设字段的元素；

设置单元，用于若所述待检测元素与所述告警元素比对成功，则将所述待检测元素确定为目标元素，并基于所述目标元素在所述至少两个监控客户端对应的待监控主机中设置屏蔽参数，所述屏蔽参数用于使所述待监控主机屏蔽接收到的包含所述目标元素的请求。

本发明实施例的第三方面提供了一种终端设备，所述终端设备包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如下步骤：

本发明实施例的第四方面提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现如下步骤：

本发明实施例与现有技术相比存在的有益效果是：

在本发明实施例中，接收监控客户端上的日志记录，并按照预设的解析规则对日志记录进行过滤，将得到的过滤记录存储至预设的存储集群中的第一索引，若过滤记录达到预设的告警条件，则将过滤记录的待检测元素与存储集群的第二索引下的每个告警元素进行比对，在比对成功的情况下，将对应的告警元素确定为目标元素，并基于目标元素在至少两个监控客户端对应的待监控主机中设置屏蔽参数。本发明实施例通过将所有待监控主机的过滤记录在存储集群中进行集中存储，并在存储集群的第二索引中存储标记为异常的过滤记录的副本，根据第二索引的存储内容来判断进行入侵控制的控制程度，在需要进行入侵控制时，根据目标元素在所有待监控主机中设置屏蔽参数，实现了对入侵者和非入侵者的有效识别，提升了入侵控制的准确性。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例一提供的基于日志监控的入侵控制方法的实现流程图；

图2是本发明实施例二提供的基于日志监控的入侵控制方法的实现流程图；

图3是本发明实施例三提供的基于日志监控的入侵控制方法的实现流程图；

图4是本发明实施例四提供的基于日志监控的入侵控制方法的实现流程图；

图5是本发明实施例五提供的基于日志监控的入侵控制装置的结构框图；

图6是本发明实施例六提供的终端设备的示意图。

具体实施方式

以下描述中，为了说明而不是为了限定，提出了诸如特定系统结构、技术之类的具体细节，以便透彻理解本发明实施例。然而，本领域的技术人员应当清楚，在没有这些具体细节的其它实施例中也可以实现本发明。在其它情况中，省略对众所周知的系统、装置、电路以及方法的详细说明，以免不必要的细节妨碍本发明的描述。

为了说明本发明所述的技术方案，下面通过具体实施例来进行说明。

图1示出了本发明实施例提供的基于日志监控的入侵控制方法的实现流程，详述如下：

在S101中，接收至少两个监控客户端上的日志记录，对所述日志记录按照预设的解析规则进行过滤，并将得到的过滤记录存储至预设的存储集群中的第一索引，其中，每个监控客户端对应一个待监控主机，所述解析规则与所述日志记录的日志类型相关。

在本发明实施例中，接收至少两个监控客户端上的日志记录，其中每个监控客户端对应一个待监控主机，具体可在待监控主机上搭建监控客户端，并通过运行监控客户端来收集待监控主机上的日志记录，其中，待监控主机可为虚拟机或实体机器。为了便于说明本发明实施例的内容，后文假设基于ELK监控架构来实现监控客户端的部署及日志监控，但这并不构成对本发明实施例的限定，即还可应用其他的监控架构或监控方式来进行日志监控及后续的其他处理操作。

ELK监控架构中的E代表Elasticsearch，L代表Logstash，K代表Kibana。具体地，Logstash是一款由JRuby语言编写，基于消息(message-based)的日志搜集处理工具，用于收集分散的日志，并执行处理及传输等操作。不同于其他的日志监控软件需要同时部署代理端(agent)主机端(server)，LogStash可仅配置单一的代理端，故在本发明实施例中，在每个待监控主机上部署LogStash代理端，将LogStash代理端作为监控客户端，在搭建过程中，还可结合基于Filebeat、Fluentd、rsyslog、syslog-ng或Logagent等其他开源工具进行搭建，在此不做赘述。在待监控主机上部署监控客户端时，设置监控客户端读取待监控主机上指定的日志文件，如此，部署完成的监控客户端便可通过读取日志文件，来收集待监控主机产生的日志记录，值得一提的是，本发明实施例对日志记录的日志类型并不做限定，比如日志类型可为操作系统日志、应用日志或web访问日志等，一个监控客户端可监控至少一个日志类型的日志记录。由于监控客户端收集到的部分日志记录是非必要的，如用于维护系统运行的日志记录，故对日志记录按照预设的解析规则进行过滤，为了便于区分，将符合解析规则的日志记录命名为过滤记录。解析规则与日志记录的日志类型相关，可根据实际应用场景预先进行设置，比如设置解析规则为仅将包含HTTP字段的日志记录确定为过滤记录，忽略其他的不含HTTP字段的日志记录；也可设置解析规则为将含有符合预设的正则表达式的内容的日志记录确定为过滤记录，忽略其他的不含符合预设的正则表达式的内容的日志记录。在监控客户端基于Logstash搭建的情况下，可将解析规则写入至Logstash的filter模块中，由Logstash对收集到的日志记录进行自动过滤。

完成对日志记录的过滤后，对得到的过滤记录进行存储，在本发明实施例中，基于ELK监控架构中的Elasticsearch实现存储，ElasticSearch是一个基于Java语言的开源分布式搜索引擎，主要提供搜集、分析和存储数据等功能，由于在本发明实施例中待监控主机的数量为至少两个，故得到的过滤记录的数据量一般较大，故为了提升对日志的处理能力，预先搭建包含至少两个节点的Elasticsearch集群(cluster)，并命名为存储集群，其中，存储集群中每个节点保存的数据一致。索引(Index)是ElasticSearch中的存储单位，其定义了文档的逻辑存储和字段类型，相当于关系型数据库中的库。为了便于区分，预先设置存储集群中包括第一索引和第二索引，并将过滤后得到的过滤记录统一存储至第一索引中。

可选地，在第一索引中为每个日志类型单独创建索引类型，并将过滤记录存储至第一索引中对应的索引类型下。在本发明实施例中，由于监控的对象是待监控主机中的至少一个日志类型对应的日志记录，故可在存储集群的第一索引中为每个日志类型单独创建索引类型，用于存放该日志类型对应的过滤记录，最后创建出的索引类型的数量与日志类型的数量相同，其中，索引类型在存储集群中指示索引下的一个逻辑分区，索引类型即文档类型(Type)，相当于关系型数据库中的表。同样地，也在存储集群的第二索引下创建同样的索引类型，即第二索引的存储格式与第一索引相同。通过上述方法，实现了不同日志类型的过滤记录的分别存储，便于进行统计分析及告警。

可选地，将过滤后得到的过滤记录输入至预设的消息队列，并在过滤记录排至消息队列的队尾时，从消息队列中取出过滤记录，将过滤记录存储至存储集群中的第一索引中。由于待监控主机可能会出现掉线、传输网速不稳定或运行崩溃等不可预期的情况，影响过滤记录的传输，故在本发明实施例中，可将过滤后得到的过滤记录输入至预设的消息队列的队首，并在过滤记录排至消息队列的队尾时，从消息队列中取出过滤记录，并将该过滤记录存储至存储集群的第一索引中。由于先将过滤记录存储到了消息队列中，故就算待监控主机出现掉线、传输网速不稳定或运行崩溃等不可预期的情况，也不会影响已有的过滤记录的传输，提升了过滤记录的传输可靠性。其中，消息队列优选为分布式消息队列，如kafka消息队列。

在S102中，若所述第一索引中的所述过滤记录达到预设的告警条件，则获取所述过滤记录中位于预设字段的待检测元素，并将所述待检测元素与所述存储集群的第二索引中的至少一个告警元素进行比对，其中，所述告警条件与所述过滤记录的所述日志类型相关，所述第二索引中存储有标记为异常的所述过滤记录的副本，所述告警元素为所述过滤记录的副本中位于所述预设字段的元素。

对于不同日志类型的过滤记录，在本发明实施例中，可设置不同的告警条件，并根据告警条件对第一索引中的过滤记录进行告警分析，其中，告警条件与过滤记录的日志类型相关，若第一索引中是通过创建不同的索引类型来存放不同日志类型的过滤记录，则可直接在每个索引类型下设置对应的告警条件。举例来说，若过滤记录的日志类型为操作系统日志，如Linux系统的messages和secure日志，则可设置告警条件为在第一索引中检测到包含“Failed password”且数量达到第一预设次数的过滤记录，也可设置告警条件为在第一索引中检测到包含固定IP地址且数量达到第二预设次数的过滤记录；若过滤记录的日志类型为web访问日志，则可设置告警条件为在第一索引中检测到包含某接口或某统一资源定位符(Uniform Resource Locator，URL)且数量达到第四预设次数的过滤记录。上述的第一预设次数、第二预设次数、第三预设次数以及第四预设次数仅用于作为数量的示例，而并不是指某一个具体的数值。

若第一索引中的过滤记录达到告警条件，则获取达到告警条件的过滤记录中位于预设字段的待检测元素，预设字段为过滤记录的发起方(即访问过滤记录所在的待监控主机的发起方)具有的标识信息的存储字段。为了便于说明，后文以待检测元素为达到告警条件的过滤记录中的IP地址进行说明，则可预先根据IP地址在过滤记录中的位置来确定预设字段。在获取到待检测元素后，将待检测元素与存储集群的第二索引中的至少一个告警元素进行一一比对，与第一索引不同的是，第二索引中存储的是标记为异常的过滤记录的副本，告警元素为过滤记录的副本中位于预设字段的元素，即标记为异常的IP地址，值得一提的是，进行比对的告警元素与待检测元素对应同一个日志类型。

在S103中，若所述待检测元素与所述告警元素比对成功，则将所述待检测元素确定为目标元素，并基于所述目标元素在所述至少两个监控客户端对应的待监控主机中设置屏蔽参数，所述屏蔽参数用于使所述待监控主机屏蔽接收到的包含所述目标元素的请求。

对于得到的待检测元素，将其与至少一个告警元素进行比对。若告警元素的数量仅为一个，则在待检测元素与告警元素相同时，判定待检测元素与告警元素比对成功；若告警元素的数量为至少两个，则在待检测元素与任一告警元素相同时，判定待检测元素与告警元素比对成功。若待检测元素与告警元素比对成功，则进行告警，具体将该待检测元素确定为目标元素，基于目标元素在至少两个监控客户端对应的待监控主机中设置屏蔽参数，该屏蔽参数用于使待监控主机屏蔽接收到的包含目标元素的请求。本发明实施例对屏蔽参数的类型以及设置方式并不做限定，比如屏蔽参数可为目标元素本身，在设置屏蔽参数时，将屏蔽参数加入至所有待监控主机的黑名单中。在进行告警时，除了设置屏蔽参数之外，还可基于ELK监控架构中的Kibana向外输出告警提示，其中，Kibana是一个开源的可视化平台，用于与Logstash或Elasticsearch中的数据进行交互，并提供向外展示的前端界面，从而实现数据展示，当然，告警提示还可通过短信或邮件等方式输出，本发明实施例对此不做限定。

通过图1所示实施例可知，在本发明实施例中，对监控客户端上的日志记录按照预设的解析规则进行过滤得到过滤记录，并将过滤记录存储至存储集群中的第一索引，若第一索引中的过滤记录达到预设的告警条件，则获取过滤记录中位于预设字段的待检测元素，并将待检测元素与存储集群的第二索引中的至少一个告警元素进行比对，若待检测元素与告警元素比对成功，则将该待检测元素确定为目标元素，并基于目标元素在至少两个监控客户端对应的待监控主机中设置屏蔽参数，本发明实施例结合第二索引中的告警元素来确定入侵控制的控制程度，在需要进行入侵控制时，通过设置屏蔽参数来实现控制，提升了入侵控制的准确性，并且能够对至少两个待监控主机进行同时控制，提升了入侵控制的同步性。

图2所示，是在本发明实施例一的基础上，对将待检测元素与存储集群的第二索引中的至少一个告警元素进行比对之后的过程进行扩展后得到的一种方法。本发明实施例提供了基于日志监控的入侵控制方法的实现流程图，如图2所示，该入侵控制方法可以包括以下步骤：

在S201中，若所述待检测元素与所述告警元素比对失败，则创建包含所述待检测元素的所述过滤记录的副本，并将所述过滤记录的副本迁移至所述第二索引中。

若告警元素的数量仅为一个，则在待检测元素与告警元素不相同时，判定待检测元素与告警元素比对失败；若告警元素的数量为至少两个，则在待检测元素与所有告警元素均不相同时，判定待检测元素与告警元素比对失败。若待检测元素与告警元素比对失败，证明该待检测元素是第一次进行告警，则判定待检测元素与告警元素比对失败，确定第一索引中包含待检测元素的过滤记录，并创建该过滤记录的副本，将过滤记录的副本迁移至存储集群中的第二索引中。值得一提的是，由于待监控客户端在收集日志记录时可能存在收集间隔，而在未进行日志收集的时间段内，待监控主机上可能并发多个相同的日志记录，故本发明实施例中包含待检测元素的过滤记录的数量为至少一个。

在S202中，基于所述待检测元素在所述至少两个监控客户端对应的待监控主机中设置所述屏蔽参数，并设置所述屏蔽参数的维持时长为预设的基础屏蔽时长。

同时，由于待检测元素所在的过滤记录达到了告警条件，故仍基于待检测元素在至少两个监控客户端对应的待监控主机中设置屏蔽参数，只是额外设置屏蔽参数的维持时长为基础屏蔽时长，该基础屏蔽时长可根据实际应用场景进行设置，如设置为1分钟。

通过图2所示实施例可知，在本发明实施例中，若待检测元素与告警元素比对失败，则创建包含待检测元素的过滤记录的副本，将过滤记录的副本迁移至第二索引中，同时基于待检测元素在至少两个监控客户端对应的待监控主机中设置屏蔽参数，并设置屏蔽参数的维持时长为预设的基础屏蔽时长，本发明实施例在判断出待检测元素是第一次进行告警时，根据基础屏蔽时长设置屏蔽参数，同时保存过滤记录的副本，在实现入侵控制的同时提升了待检测元素的可复现性。

图3所示，是在本发明实施例一的基础上，对基于目标元素在至少两个监控客户端对应的待监控主机中设置屏蔽参数的过程进行细化后得到的一种方法。本发明实施例提供了基于日志监控的入侵控制方法的实现流程图，如图3所示，该入侵控制方法可以包括以下步骤：

在S301中，获取所述目标元素在所述第二索引中的出现频次，根据所述出现频次确定对应的目标屏蔽时长，并将所述第一索引中包含所述待检测元素的所述过滤记录的副本迁移至所述第二索引中。

在本发明实施例中，若第二索引中存在与告警元素比对成功的目标元素，则获取目标元素在第二索引中的出现频次，并根据出现频次确定对应的目标屏蔽时长。具体地，可预先划分至少两个频次区间，每一个频次区间对应一个目标屏蔽时长，频次区间内的数值越大，则对应的目标屏蔽时长越大，在本步骤中，通过确定出现频次所在的频次区间，从而确定出目标屏蔽时长，比如设定频次区间(0，10]对应的目标屏蔽时长为1分钟，设定频次区间(10，50]对应的目标屏蔽时长为10分钟，设定频次区间(50，+∞)对应的目标屏蔽时长为1小时，若目标元素在第二索引中的出现频次为20次，则确定出目标屏蔽时长为10分钟。与之同时，将第一索引中包含待检测元素的过滤记录的副本迁移至第二索引中。

可选地，为第二索引中所有包含待检测元素的过滤记录的副本设置过期时长，并在过期时长后，删除第二索引中所有包含待检测元素的过滤记录的副本，其中，过期时长大于或等于目标屏蔽时长。为了实现对第二索引中的内容的实时更新，在将第一索引中包含待检测元素的过滤记录的副本迁移至第二索引中之后，为第二索引中所有包含待检测元素的过滤记录的副本设置过期时长，并在经过过期时长后，删除第二索引中所有包含待检测元素的过滤记录的副本，其中，过期时长可自定义设置，并限定过期时长大于或等于目标屏蔽时长。值得一提的是，在计算是否过期时，以第二索引中最新添加的包含待检测元素的过滤记录的副本的添加时间为起点时间，判断当前时间与起点时间之差是否到达过期时长。通过上述方法可对第二索引中的内容进行更新，减小存储集群的存储压力，同时提升了告警元素的可更新性。

在S302中，基于所述目标元素在所述至少两个监控客户端对应的待监控主机中设置所述屏蔽参数，并设置所述屏蔽参数的维持时长为所述目标屏蔽时长。

在确定出目标屏蔽时长后，基于目标屏蔽时长以及目标元素在至少两个监控客户端对应的待监控主机中设置屏蔽参数，该屏蔽参数的维持时长为目标屏蔽时长。

通过图3所示实施例可知，在本发明实施例中，根据目标元素在第二索引中的出现频次确定对应的目标屏蔽时长，将第一索引中包含待检测元素的过滤记录的副本迁移至第二索引中，然后基于目标元素在至少两个监控客户端对应的待监控主机中设置屏蔽参数，并设置屏蔽参数的维持时长为目标屏蔽时长，本发明实施例基于目标元素在第二索引中的出现频次确定出屏蔽时长(控制程度)，提升了入侵控制的准确性，即识别出的非入侵者进行短暂屏蔽即可，识别出的入侵者则进行长时屏蔽。

图4所示，是在本发明实施例一的基础上，并在屏蔽参数包括第一屏蔽参数和第二屏蔽参数，且第一屏蔽参数的屏蔽等级高于第二屏蔽参数的基础上，对基于目标元素在至少两个监控客户端对应的待监控主机中设置屏蔽参数的过程进行细化后得到的一种方法。本发明实施例提供了基于日志监控的入侵控制方法的实现流程图，如图4所示，该入侵控制方法可以包括以下步骤：

在S401中，获取所述目标元素在所述第二索引中的所述出现频次。

除了设定屏蔽时长之外，在本发明实施例中，还可根据目标元素在第二索引中的出现频次对屏蔽方式进行设置。具体地，预先设定屏蔽参数包括第一屏蔽参数和第二屏蔽参数，且第一屏蔽参数的屏蔽等级高于第二屏蔽参数，当然，根据实际应用场景的不同还可设置屏蔽参数包括更多的内容，举例来说，为了便于说明，假设第一屏蔽参数为预设的安全IP地址集中的安全IP地址(安全IP地址集中包括至少两个安全IP地址)，第一屏蔽参数的设置方式为将待监控主机的IP地址设置为安全IP地址；第二屏蔽参数为目标元素本身，第二屏蔽参数的设置方式为将第二屏蔽参数添加至待监控主机的黑名单中。

在S402中，若所述出现频次大于或等于预设的频次阈值，则基于所述目标元素在所述至少两个监控客户端对应的待监控主机中设置所述第一屏蔽参数。

通过预先设置频次阈值(如50次)来衡量待设置的屏蔽等级，具体地，若出现频次大于或等于频次阈值，则设置较高的屏蔽等级，具体在至少两个监控客户端对应的待监控主机中设置第一屏蔽参数，即是将所有待监控主机的IP地址更新为第一屏蔽参数，并且不同的待监控主机的IP地址更新的是安全IP地址集中的不同安全IP地址，通过更换IP地址的方式防止入侵者再次侵入。

在S403中，若所述出现频次小于所述频次阈值，则基于所述目标元素在所述至少两个监控客户端对应的待监控主机中设置所述第二屏蔽参数。

若出现频次小于频次阈值，则设置较低的屏蔽等级，具体在至少两个监控客户端对应的待监控主机中设置第二屏蔽参数，通过设置黑名单来拒绝入侵者的访问请求。

通过图4所示实施例可知，在本发明实施例中，将目标元素在第二索引中的出现频次与预设的频次阈值进行比对，若出现频次大于或等于频次阈值，则基于目标元素在至少两个监控客户端对应的待监控主机中设置第一屏蔽参数；若出现频次小于频次阈值，则基于目标元素在至少两个监控客户端对应的待监控主机中设置第二屏蔽参数，本发明实施例根据出现频次的不同情况实施不同的屏蔽方式，提升了入侵控制的自适应性。

应理解，上述实施例中各步骤的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。

对应于上文实施例所述的基于日志监控的入侵控制方法，图5示出了本发明实施例提供的基于日志监控的入侵控制装置的结构框图，参照图5，该入侵控制装置包括：

过滤单元51，用于接收至少两个监控客户端上的日志记录，对所述日志记录按照预设的解析规则进行过滤，并将得到的过滤记录存储至预设的存储集群中的第一索引，其中，每个监控客户端对应一个待监控主机，所述解析规则与所述日志记录的日志类型相关；

比对单元52，用于若所述第一索引中的所述过滤记录达到预设的告警条件，则获取所述过滤记录中位于预设字段的待检测元素，并将所述待检测元素与所述存储集群的第二索引中的至少一个告警元素进行比对，其中，所述告警条件与所述过滤记录的所述日志类型相关，所述第二索引中存储有标记为异常的所述过滤记录的副本，所述告警元素为所述过滤记录的副本中位于所述预设字段的元素；

设置单元53，用于若所述待检测元素与所述告警元素比对成功，则将所述待检测元素确定为目标元素，并基于所述目标元素在所述至少两个监控客户端对应的待监控主机中设置屏蔽参数，所述屏蔽参数用于使所述待监控主机屏蔽接收到的包含所述目标元素的请求。

可选地，比对单元52还包括：

创建单元，用于若所述待检测元素与所述告警元素比对失败，则创建包含所述待检测元素的所述过滤记录的副本，并将所述过滤记录的副本迁移至所述第二索引中；

第一时长设置单元，用于基于所述待检测元素在所述至少两个监控客户端对应的待监控主机中设置所述屏蔽参数，并设置所述屏蔽参数的维持时长为预设的基础屏蔽时长。

可选地，设置单元53包括：

时长确定单元，用于获取所述目标元素在所述第二索引中的出现频次，根据所述出现频次确定对应的目标屏蔽时长，并将所述第一索引中包含所述待检测元素的所述过滤记录的副本迁移至所述第二索引中；

第二时长设置单元，用于基于所述目标元素在所述至少两个监控客户端对应的待监控主机中设置所述屏蔽参数，并设置所述屏蔽参数的维持时长为所述目标屏蔽时长。

可选地，时长确定单元还包括：

删除单元，用于为所述第二索引中所有包含所述待检测元素的所述过滤记录的副本设置过期时长，并在所述过期时长后，删除所述第二索引中所有包含所述待检测元素的所述过滤记录的副本，其中，所述过期时长大于或等于所述目标屏蔽时长。

可选地，屏蔽参数包括第一屏蔽参数和第二屏蔽参数，且第一屏蔽参数的屏蔽等级高于第二屏蔽参数，设置单元53包括：

频次获取单元，用于获取所述目标元素在所述第二索引中的所述出现频次；

第一参数设置单元，用于若所述出现频次大于或等于预设的频次阈值，则基于所述目标元素在所述至少两个监控客户端对应的待监控主机中设置所述第一屏蔽参数；

第二参数设置单元，用于若所述出现频次小于所述频次阈值，则基于所述目标元素在所述至少两个监控客户端对应的待监控主机中设置所述第二屏蔽参数。

可选地，过滤单元51包括：

单独创建单元，用于在所述第一索引中为每个所述日志类型单独创建索引类型，并将所述过滤记录存储至所述第一索引中对应的索引类型下。

可选地，过滤单元51包括：

过滤子单元，用于将过滤后得到的所述过滤记录输入至预设的消息队列，并在所述过滤记录排至所述消息队列的队尾时，从所述消息队列中取出所述过滤记录，将所述过滤记录存储至所述存储集群中的所述第一索引中。

因此，本发明实施例提供的基于日志监控的入侵控制装置在第一索引下的过滤记录达到告警条件时，根据第二索引的存储内容来判断进行入侵控制的控制程度，在需要进行入侵控制时通过设置屏蔽参数进行控制，实现了对入侵者和非入侵者的有效识别，提升了入侵控制的准确性。

图6是本发明实施例提供的终端设备的示意图。如图6所示，该实施例的终端设备6包括：处理器60、存储器61以及存储在所述存储器61中并可在所述处理器60上运行的计算机程序62，例如基于日志监控的入侵控制程序。所述处理器60执行所述计算机程序62时实现上述各个基于日志监控的入侵控制方法实施例中的步骤，例如图1所示的步骤S101至S103。或者，所述处理器60执行所述计算机程序62时实现上述各基于日志监控的入侵控制装置实施例中各单元的功能，例如图5所示单元51至53的功能。

示例性的，所述计算机程序62可以被分割成一个或多个单元，所述一个或者多个单元被存储在所述存储器61中，并由所述处理器60执行，以完成本发明。所述一个或多个单元可以是能够完成特定功能的一系列计算机程序指令段，该指令段用于描述所述计算机程序62在所述终端设备6中的执行过程。例如，所述计算机程序62可以被分割成过滤单元、比对单元以及设置单元，各单元具体功能如下：

所述终端设备6可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述终端设备可包括，但不仅限于，处理器60、存储器61。本领域技术人员可以理解，图6仅仅是终端设备6的示例，并不构成对终端设备6的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件，例如所述终端设备还可以包括输入输出设备、网络接入设备、总线等。

所称处理器60可以是中央处理单元(Central Processing Unit，CPU)，还可以是其他通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现成可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

所述存储器61可以是所述终端设备6的内部存储单元，例如终端设备6的硬盘或内存。所述存储器61也可以是所述终端设备6的外部存储设备，例如所述终端设备6上配备的插接式硬盘，智能存储卡(Smart Media Card，SMC)，安全数字(Secure Digital，SD)卡，闪存卡(Flash Card)等。进一步地，所述存储器61还可以既包括所述终端设备6的内部存储单元也包括外部存储设备。所述存储器61用于存储所述计算机程序以及所述终端设备所需的其他程序和数据。所述存储器61还可以用于暂时地存储已经输出或者将要输出的数据。

所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，仅以上述各功能单元的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能单元完成，即将所述终端设备的内部结构划分成不同的功能单元，以完成以上描述的全部或者部分功能。实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中，上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。另外，各功能单元的具体名称也只是为了便于相互区分，并不用于限制本申请的保护范围。上述系统中单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述或记载的部分，可以参见其它实施例的相关描述。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

在本发明所提供的实施例中，应该理解到，所揭露的终端设备和方法，可以通过其它的方式实现。例如，以上所描述的终端设备实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口，装置或单元的间接耦合或通讯连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实现上述实施例方法中的全部或部分流程，也可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一计算机可读存储介质中，该计算机程序在被处理器执行时，可实现上述各个方法实施例的步骤。其中，所述计算机程序包括计算机程序代码，所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括：能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random AccessMemory，RAM)、电载波信号、电信信号以及软件分发介质等。需要说明的是，所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减，例如在某些司法管辖区，根据立法和专利实践，计算机可读介质不包括电载波信号和电信信号。

以上所述实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围，均应包含在本发明的保护范围之内。

Claims

1.一种基于日志监控的入侵控制方法，其特征在于，包括：

2.如权利要求1所述的入侵控制方法，其特征在于，所述将所述待检测元素与所述存储集群的第二索引中的至少一个告警元素进行比对之后，还包括：

若所述待检测元素与所述告警元素比对失败，则创建包含所述待检测元素的所述过滤记录的副本，并将所述过滤记录的副本迁移至所述第二索引中；

基于所述待检测元素在所述至少两个监控客户端对应的待监控主机中设置所述屏蔽参数，并设置所述屏蔽参数的维持时长为预设的基础屏蔽时长。

3.如权利要求1所述的入侵控制方法，其特征在于，所述基于所述目标元素在所述至少两个监控客户端对应的待监控主机中设置屏蔽参数，包括：

获取所述目标元素在所述第二索引中的出现频次，根据所述出现频次确定对应的目标屏蔽时长，并将所述第一索引中包含所述待检测元素的所述过滤记录的副本迁移至所述第二索引中；

基于所述目标元素在所述至少两个监控客户端对应的待监控主机中设置所述屏蔽参数，并设置所述屏蔽参数的维持时长为所述目标屏蔽时长。

4.如权利要求3所述的入侵控制方法，其特征在于，所述将所述第一索引中包含所述待检测元素的所述过滤记录的副本迁移至所述第二索引中之后，还包括：

为所述第二索引中所有包含所述待检测元素的所述过滤记录的副本设置过期时长，并在所述过期时长后，删除所述第二索引中所有包含所述待检测元素的所述过滤记录的副本，其中，所述过期时长大于或等于所述目标屏蔽时长。

5.如权利要求1所述的入侵控制方法，其特征在于，所述屏蔽参数包括第一屏蔽参数和第二屏蔽参数，且所述第一屏蔽参数的屏蔽等级高于所述第二屏蔽参数，所述基于所述目标元素在所述至少两个监控客户端对应的待监控主机中设置屏蔽参数，包括：

获取所述目标元素在所述第二索引中的出现频次；

若所述出现频次大于或等于预设的频次阈值，则基于所述目标元素在所述至少两个监控客户端对应的待监控主机中设置所述第一屏蔽参数；

若所述出现频次小于所述频次阈值，则基于所述目标元素在所述至少两个监控客户端对应的待监控主机中设置所述第二屏蔽参数。

6.如权利要求1所述的入侵控制方法，其特征在于，所述将得到的过滤记录存储至预设的存储集群中的第一索引，包括：

在所述第一索引中为每个所述日志类型单独创建索引类型，并将所述过滤记录存储至所述第一索引中对应的索引类型下。

7.如权利要求1所述的入侵控制方法，其特征在于，所述将得到的过滤记录存储至预设的存储集群中的第一索引，包括：

将过滤后得到的所述过滤记录输入至预设的消息队列，并在所述过滤记录排至所述消息队列的队尾时，从所述消息队列中取出所述过滤记录，将所述过滤记录存储至所述存储集群中的所述第一索引中。

8.一种基于日志监控的入侵控制装置，其特征在于，包括：

9.一种终端设备，其特征在于，所述终端设备包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如下步骤：

10.一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至7任一项所述入侵控制方法的步骤。