CN115033876A - 日志处理方法、日志处理装置、计算机设备及存储介质 - Google Patents
日志处理方法、日志处理装置、计算机设备及存储介质 Download PDFInfo
- Publication number
- CN115033876A CN115033876A CN202210689197.9A CN202210689197A CN115033876A CN 115033876 A CN115033876 A CN 115033876A CN 202210689197 A CN202210689197 A CN 202210689197A CN 115033876 A CN115033876 A CN 115033876A
- Authority
- CN
- China
- Prior art keywords
- log
- log data
- target
- data
- type
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/17—Details of further file system functions
- G06F16/1734—Details of monitoring file system events, e.g. by the use of hooks, filter drivers, logs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/18—File system types
- G06F16/1805—Append-only file systems, e.g. using logs or journals to store data
- G06F16/1815—Journaling file systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Computer Hardware Design (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请实施例提供了一种日志处理方法、日志处理装置、计算机设备及存储介质,属于人工智能技术领域。该方法包括:从消息系统获取初始日志数据集;对初始日志数据集进行分类处理得到每一日志数据的日志类型;根据日志类型对初始日志数据集进行信息提取得到每一日志数据的数据信息;对数据信息进行特征提取得到数据特征;根据数据特征从多个预设计算模型中筛选出目标计算模型;根据目标计算模型对日志数据进行计算得到计算数值;获取计算数值大于预设阈值的日志数据得到目标日志数据集;将目标日志数据集存入事件监控系统;其中,目标日志数据集能够使事件监控系统监控用户端的行为。本申请实施例能够提高网络威胁检测和防御能力。
Description
技术领域
本申请涉及人工智能技术领域,尤其涉及一种日志处理方法、日志处理装置、计算机设备及存储介质。
背景技术
目前,互联网的安全存在很大的隐患,且互联网被攻击的手段也越来越多。对于互联网的安全防护措施主要是对漏洞特征进行提取,并对漏洞特征进行分析以排查出攻击行为。但是对于未公开的漏洞被黑客利用、厂商未及时发布升级包或者管理员未及时更新程序时,难以对互联网进行攻击防范。
发明内容
本申请实施例的主要目的在于提出一种日志处理方法、日志处理装置、计算机设备及存储介质,旨在根据日志分析排查出攻击行为,以提高互联网的攻击防范。
为实现上述目的,本申请实施例的第一方面提出了一种日志处理方法,所述方法包括:
从消息系统获取初始日志数据集;其中,所述初始日志数据集是用户端访问所述消息系统生成,所述初始日志数据集至少包括两个日志数据;
对所述初始日志数据集进行分类处理,得到每一所述日志数据的日志类型;
根据所述日志类型对所述初始日志数据集进行信息提取,得到每一所述日志数据的数据信息;
对所述数据信息进行特征提取,得到数据特征;
根据所述数据特征从多个预设计算模型中筛选出目标计算模型;
根据所述目标计算模型对所述日志数据进行计算,得到计算数值;
获取所述计算数值大于预设阈值的所述日志数据,得到目标日志数据集;
将所述目标日志数据集存入事件监控系统;其中,所述目标日志数据集能够使所述事件监控系统监控所述用户端的行为。
在一些实施例,所述对所述初始日志数据集进行分类处理,得到日志类型,包括:
获取初始日志数据集的数据类型;
根据所述数据类型对所述初始日志数据集进行分类处理,得到所述日志类型。
在一些实施例,每一所述日志数据的数据信息包括以下其中之一:业务数据信息、接口数据信息、埋点数据信息、安全数据信息,对应地,所述根据所述日志类型对所述初始日志数据集进行信息提取,得到每一所述日志数据的数据信息,包括以下其中一个步骤:
若所述日志类型为全局业务类型,则将所述日志数据以预设数据格式进行信息提取,得到所述业务数据信息;
若所述日志类型为接口访问类型,则将所述日志数据以预设提取指令进行信息提取,得到所述接口数据信息;
若所述日志类型为业务日志埋点类型,则根据预设字段对所述日志数据进行信息提取,得到所述埋点数据信息;
若所述日志类型为安全设备类型,则将所述日志数据以预设的正则表达式进行信息提取,得到所述安全数据信息。
在一些实施例,所述根据所述数据特征从多个预设计算模型中筛选出目标计算模型,包括:
获取每一所述预设计算模型的模型类别标签;
调用预设的匹配引擎对所述数据特征和所述模型类别标签进行匹配处理,得到目标类别标签集;其中,所述目标类别标签集包括至少一个所述模型类别标签;
根据所述目标类别标签集从多个所述预设计算模型中筛选出所述目标计算模型。
在一些实施例,若所述目标类别标签集包括至少两个所述模型类别标签,所述根据所述目标类别标签集从多个所述预设计算模型中筛选出所述目标计算模型,包括:
根据至少两个所述模型类别标签从多个所述预设计算模型中筛选出至少两个初始计算模型;其中,所述模型类别标签的数量与所述初始计算模型的数量相等;
对至少两个所述模型类别标签进行排序,得到排序结果;
根据所述排序结果将至少两个所述初始计算模型进行组合处理,得到所述目标计算模型。
在一些实施例,所述将所述目标日志数据集存入事件监控系统,包括:
访问所述事件监控系统的存储数据库;其中,所述存储数据库包括存储类型;
获取所述目标日志数据集的日志类别;其中,所述日志类别是所述日志类型的其中一种;
根据所述存储类型与所述日志类型从所述存储数据库筛选出目标数据库;
将所述日志数据存储至所述目标数据库。
在一些实施例,所述将所述目标日志数据集存入事件监控系统之后,所述方法还包括:
将所述日志数据可视化展示,具体包括:
接收所述用户端发送的查询请求;
对所述查询请求进行关键字提取,得到目标关键词;
根据所述目标关键词从所述事件监控系统中提取目标日志;其中所述目标日志是所述日志数据;
将所述目标日志进行可视化处理,得到日志分析视图。
为实现上述目的,本申请实施例的第二方面提出了一种日志处理装置,所述装置包括:
日志获取模块,用于从消息系统获取初始日志数据集;其中,所述初始日志数据集是用户端访问所述消息系统生成,所述初始日志数据集至少包括两个日志数据;
分类模块,用于对所述初始日志数据集进行分类处理,得到每一所述日志数据的日志类型;
信息提取模块,用于根据所述日志类型对所述初始日志数据集进行信息提取,得到每一所述日志数据的数据信息;
特征提取模块,用于对所述数据信息进行特征提取,得到数据特征;
筛选模块,用于根据所述数据特征从多个预设计算模型中筛选出目标计算模型;
计算模块,用于根据所述目标计算模型对所述日志数据进行计算,得到计算数值;
数据获取模块,用于获取所述计算数值大于预设阈值的所述日志数据,得到目标日志数据集;
存储模块,用于将所述目标日志数据集存入事件监控系统;其中,所述目标日志数据集能够使所述事件监控系统监控所述用户端的行为。
为实现上述目的,本申请实施例的第三方面提出了一种计算机设备,所述计算机设备包括存储器、处理器、存储在所述存储器上并可在所述处理器上运行的程序以及用于实现所述处理器和所述存储器之间的连接通信的数据总线,所述程序被所述处理器执行时实现上述第一方面所述的方法。
为实现上述目的,本申请实施例的第四方面提出了一种存储介质,所述存储介质为计算机可读存储介质,用于计算机可读存储,所述存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现上述第一方面所述的方法。
本申请提出的日志处理方法、日志处理装置、计算机设备及存储介质,其通过对用户端访问消息系统生成的初始日志数据集进行分析,以根据日志类型采用对应的目标计算模型进行计算,以通过事件监控系统根据日志数据对用户端行为进行监控,以便于快速排查出可疑的用户行为,及时检查出攻击行为便于做出对应的防护措施,提高互联网的安全性。
附图说明
图1是本申请实施例提供的日志处理方法的流程图;
图2是图1中的步骤S102的流程图;
图3是图1中的步骤S103的流程图;
图4是图1中的步骤S105的流程图;
图5是图4中的步骤S403的流程图;
图6是图1中的步骤S108的流程图;
图7是本申请另一实施例提供的日志处理方法的流程图;
图8是本申请实施例提供的日志处理装置的结构示意图;
图9是本申请实施例提供的计算机设备的硬件结构示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本申请,并不用于限定本申请。
需要说明的是,虽然在装置示意图中进行了功能模块划分,在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于装置中的模块划分,或流程图中的顺序执行所示出或描述的步骤。说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
除非另有定义,本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同。本文中所使用的术语只是为了描述本申请实施例的目的,不是旨在限制本申请。
首先,对本申请中涉及的若干名词进行解析:
人工智能(artificial intelligence,AI):是研究、开发用于模拟、延伸和扩展人的智能的理论、方法、技术及应用系统的一门新的技术科学;人工智能是计算机科学的一个分支,人工智能企图了解智能的实质,并生产出一种新的能以人类智能相似的方式做出反应的智能机器,该领域的研究包括机器人、语言识别、图像识别、自然语言处理和专家系统等。人工智能可以对人的意识、思维的信息过程的模拟。人工智能还是利用数字计算机或者数字计算机控制的机器模拟、延伸和扩展人的智能,感知环境、获取知识并使用知识获得最佳结果的理论、方法、技术及应用系统。
Flume NG:Flume NG是一个分布式、可靠、可用的系统,它能够将不同数据源的海量日志数据进行高效收集、聚合、移动,最后存储到一个中心化数据存储系统中。由原来的Flume OG到现在的Flume NG,进行了架构重构,并且现在NG版本完全不兼容原来的OG版本。经过架构重构后,Flume NG更像是一个轻量的小工具,非常简单,容易适应各种方式日志收集,并支持failover和负载均衡。
日志格式化:日志格式化对日志消息进行格式化,以便各种日志处理程序可以使用这些日志消息。可以使用一个知道如何对日志记录进行格式化的日志格式化程序来配置处理程序。(由日志记录对象表示的)事件被处理程序传递给适当的格式化程序。格式化程序将经过格式化的输出返回给处理程序,处理程序再将该输出写入输出设备。
日志埋点:所谓埋点,就是在业务系统的程序中,植入一些收集事件数据的SDK(工具代码),进行各种事件的收集;日志埋点是数据仓库主要的数据来源,埋点分为两种:①、埋点代码可以植入到业务系统的后端程序中(比如java、php等);②埋点代码也可以植入到业务系统的前端程序(原生app、页面js、微信小程序)中。
Nginx:Nginx是一个高性能的HTTP和反向代理web服务器,同时也提供了IMAP/POP3/SMTP服务。其将源代码以类BSD许可证的形式发布,因它的稳定性、丰富的功能集、简单的配置文件和低系统资源的消耗而闻名。Nginx是一款轻量级的Web服务器/反向代理服务器及电子邮件代理服务器,在BSD-like协议下发行。其特点是占有内存少,并发能力强,事实上Nginx的并发能力在同类型的网页服务器中表现较好。
log_format:Nginx服务器日志相关指令主要有两条:一条是log_format,用来设置日志格式;另外一条是access_log,用来指定日志文件的存放路径、格式和缓存大小,一般在Nginx的配置文件中进行配置。
Kafka:Kafka是一种高吞吐量的分布式发布订阅消息系统,它可以处理消费者在网站中的所有动作流数据。这种动作(网页浏览,搜索和其他用户的行动)是在现代网络上的许多社会功能的一个关键因素。这些数据通常是由于吞吐量的要求而通过处理日志和日志聚合来解决。对于像Hadoop一样的日志数据和离线分析系统,但又要求实时处理的限制,这是一个可行的解决方案。Kafka的目的是通过Hadoop的并行加载机制来统一线上和离线的消息处理,也是为了通过集群来提供实时的消息。
正则表达式:正则表达式又称规则表达式,计算机科学的一个概念。正则表达式通常被用来检索、替换那些符合某个模式(规则)的文本。正则表达式是对字符串操作的一种逻辑公式,就是用事先定义好的一些特定字符、及这些特定字符的组合,组成一个“规则字符串”,这个“规则字符串”用来表达对字符串的一种过滤逻辑。
Flink:Apache Flink是一个框架和分布式处理引擎,用于在无边界和有边界数据流上进行有状态的计算。Flink能在所有常见集群环境中运行,并能以内存速度和任意规模进行计算。Apache Flink功能强大,支持开发和运行多种不同种类的应用程序。它的主要特性包括:批流一体化、精密的状态管理、事件时间支持以及精确一次的状态一致性保障等。Flink不仅可以运行在包括YARN、Mesos、Kubernetes在内的多种资源管理框架上,还支持在裸机集群上独立部署。在启用高可用选项的情况下,它不存在单点失效问题。事实证明,Flink已经可以扩展到数千核心,其状态可以达到TB级别,且仍能保持高吞吐、低延迟的特性。世界各地有很多要求严苛的流处理应用都运行在Flink之上。
webshell:webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作。使用方法简单,只需上传一个代码文件,通过网址访问,便可进行很多日常操作,极大地方便了使用者对网站和服务器的管理。正因如此,也有小部分人将代码修改后当作后门程序使用,以达到控制网站服务器的目的。
关系型数据库:关系型数据库是指采用了关系模型来组织数据的数据库,其以行和列的形式存储数据,以便于用户理解,关系型数据库这一系列的行和列被称为表,一组表组成了数据库。用户通过查询来检索数据库中的数据,而查询是一个用于限定数据库中某些区域的执行代码。关系模型可以简单理解为二维表格模型,而一个关系型数据库就是由二维表及其之间的关系组成的一个数据组织。
随着互联网的快速发展,越来越多的网络安全时间,使得互联网安全面临着前所未有的挑战。攻击者也从单一的攻击行为发展成为有组织、有目标、持续时间长的攻击,因此APT攻击也被越来越多的人熟悉。由于攻击者为了获得某个组织甚至国家的重要信息,会利用多种攻击手段,甚至很多攻击利用的漏洞还未公开,在攻击过程中也会使用各种技巧,长期潜伏在系统中,不断收集各种信息,最终达到目的。
虽然互联网领域已经部署了大量针对某类威胁的安全防护设备,但很多安全防护设备还是依赖于提取漏洞特征的方式检测攻击,如果碰到未公开的漏洞被黑客利用、厂商未及时发布升级包或者管理员未及时更新程序等,都会导致安全防护设备无法检测和防范攻击。
基于此,本申请实施例提供了一种日志处理方法、日志处理装置、计算机设备及存储介质,通过对用户端访问消息系统生成的初始日志数据集进行分析,以根据日志类型采用对应的目标计算模型进行计算,以通过事件监控系统根据日志数据对用户端行为进行监控,以便于快速排查出可疑的用户行为,及时检查出攻击行为便于做出对应的防护措施,提高互联网的安全性。
本申请实施例提供的日志处理方法、日志处理装置、计算机设备及存储介质,具体通过如下实施例进行说明,首先描述本申请实施例中的日志处理方法。
本申请实施例可以基于人工智能技术对相关的数据进行获取和处理。其中,人工智能(Artificial Intelligence,AI)是利用数字计算机或者数字计算机控制的机器模拟、延伸和扩展人的智能,感知环境、获取知识并使用知识获得最佳结果的理论、方法、技术及应用系统。
人工智能基础技术一般包括如传感器、专用人工智能芯片、云计算、分布式存储、大数据处理技术、操作/交互系统、机电一体化等技术。人工智能软件技术主要包括计算机视觉技术、机器人技术、生物识别技术、语音处理技术、自然语言处理技术以及机器学习/深度学习等几大方向。
本申请实施例提供的日志处理方法,涉及人工智能技术领域。本申请实施例提供的日志处理方法可应用于终端中,也可应用于服务器端中,还可以是运行于终端或服务器端中的软件。在一些实施例中,终端可以是智能手机、平板电脑、笔记本电脑、台式计算机等;服务器端可以配置成独立的物理服务器,也可以配置成多个物理服务器构成的服务器集群或者分布式系统,还可以配置成提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN以及大数据和人工智能平台等基础云计算服务的云服务器;软件可以是实现日志处理方法的应用等,但并不局限于以上形式。
本申请可用于众多通用或专用的计算机系统环境或配置中。例如:个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器系统、基于微处理器的系统、置顶盒、可编程的消费电子设备、网络PC、小型计算机、大型计算机、包括以上任何系统或设备的分布式计算环境等等。本申请可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本申请,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
需要说明的是,在本申请的各个具体实施方式中,当涉及到需要根据用户信息、用户行为数据,用户历史数据以及用户位置信息等与用户身份或特性相关的数据进行相关处理时,都会先获得用户的许可或者同意,而且,对这些数据的收集、使用和处理等,都会遵守相关国家和地区的相关法律法规和标准。此外,当本申请实施例需要获取用户的敏感个人信息时,会通过弹窗或者跳转到确认页面等方式获得用户的单独许可或者单独同意,在明确获得用户的单独许可或者单独同意之后,再获取用于使本申请实施例能够正常运行的必要的用户相关数据。
图1是本申请实施例提供的日志处理方法的一个可选的流程图,图1中的方法可以包括但不限于包括步骤S101至步骤S108。
步骤S101,从消息系统获取初始日志数据集;其中,初始日志数据集是用户端访问消息系统生成,初始日志数据集至少包括两个日志数据;
步骤S102,对初始日志数据集进行分类处理,得到每一日志数据的日志类型;
步骤S103,根据日志类型对初始日志数据集进行信息提取,得到每一日志数据的数据信息;
步骤S104,对数据信息进行特征提取,得到数据特征;
步骤S105,根据数据特征从多个预设计算模型中筛选出目标计算模型;
步骤S106,根据目标计算模型对日志数据进行计算,得到计算数值;
步骤S107,获取计算数值大于预设阈值的日志数据,得到目标日志数据集;
步骤S108,将目标日志数据集存入事件监控系统;其中,目标日志数据集能够使事件监控系统监控用户端的行为。
本申请实施例所示意的步骤S101至步骤S108,通过获取用户端访问消息系统生成的初始日志数据集,且初始日志数据集至少包括两个日志数据,然后对初始日志数据集中的日志数据进行分类处理得到日志数据的日志类型。根据日志数据的日志类型将初始日志数据集进行信息提取,以将同一种日志类型的日志数据采用对应的信息提取方式,以得到日志数据的数据信息。通过对数据信息进行特征提取得到数据特征,并根据数据特征从多个预设计算模型中筛选出目标计算模型,也即确定了每一种日志数据对应的目标计算模型,然后根据目标计算模型对日志数据进行计算得到计算数值,并将计算数值大于预设阈值的日志数据汇集成目标日志数据集,将目标日志数据集存入事件监控系统,以根据目标日志数据集对用户端的行为进行监控,以通过监控用户行为以分析出可疑行为,从而进一步追查异常原因,以及时对异常问题进行对应的防护措施处理。
在一些实施例的步骤S101中,通过将消息系统加载于互联网平台,则外部用户端访问互联网平台时会先到达消息系统,以通过消息系统对用户端访问互联网平台进行监控。同时,消息系统根据用户访问生成日志数据,并将日志数据存入初始日志数据集中。因此,通过从消息系统获取初始日志数据集,以根据初始日志数据集对用户端的访问行为进行监控。
需要说明的是,本实施例中消息系统为Flume NG系统,且Flume NG系统的存储系统为Kafka消息队列。Flume NG系统将用户端访问互联网平台的日志数据进行收集、聚合和移动,最后将日志数据存储到Kafka消息队列。因此,通过设置Flume NG系统对用户端访问互联网平台时收集日志数据,以得到初始日志数据集,以根据初始日志数据集对互联网平台的访问进行安全检测和攻击防范,从而提高互联网的网络威胁检测和防御能力。
在一些实施例的步骤S102中,由于用户端访问消息系统所生成的日志数据的日志类型不同,且根据不同的日志类型采用的信息提取方式不同。因此通过对初始日志数据集进行分类处理,以将初始日志数据集中的日志数据分类处理得到每一个日志数据的日志类型,便于根据日志类型确定每一个日志数据的日志格式化方式。
在一些实施例的步骤S103中,通过根据日志类型对初始日志数据集进行信息提取,也即根据同一种日志类型采用同一种信息提取方式将日志数据中信息提取。其中,根据日志类型对初始日志数据集进行信息提取也即对初始日志数据集进行日志格式化,以将同一日志类型的日志数据进行格式统一化以得到日志数据的数据信息。具体地,数据信息包括至少一种:数据来源信息、数据请求参数、请求的代理、请求响应值和返回数据长度。因此,对日志数据进行日志格式化,以将同一日志类型的日志数据以统一的格式进行输出,以便于后续的日志数据分析。
在一些实施例的步骤S104中,对日志数据格式化后得到数据信息,通过对数据信息进行特征提取以得到数据特征,且数据特征用于表征数据信息的特征,以通过数据特征确定日志数据的类型,以便于根据数据特征与多个预设计算模型相匹配。例如,若数据信息为手机号码的信息,则对数据信息进行特征提取得到的数据特征为号码长度、归属地等。因此,对数据信息进行特征提取得到数据特征,以通过数据特征确定日志数据的特征标识。
在一些实施例的步骤S105中,根据日志数据分析所需要用到的模型提前设置多个预设计算模型,且不同数据特征匹配的预设计算模型不同,以根据针对不同的数据特征匹配对应的预设计算模型。因此,通过数据特征从多个预设计算模型中筛选出目标计算模型,以筛选出用于日志数据计算对应的目标计算模型,以实现日志数据的对应分析。
在一些实施例的步骤S106中,通过目标计算模型对日志数据进行计算得到计算数值,且计算数值用于表征日志数据的异常程度,且计算数值与异常程度成正比。因此,通过计算日志数据的计算数值,以便于快速分析出存在异常的日志数据,以根据异常的日志数据分析出用户端的可疑行为,以及时排查出外部攻击,从而提高网络威胁检测和防御能力。
在一些实施例的步骤S107中,将计算数值大于预设阈值的日志数据汇集得到目标日志数据集,且目标日志数据集中的日志数据为可疑的日志数据,以通过目标日志数据集进一步分析出异常日志数据,无需根据全部的日志数据进行用户端的行为监控,以减少监控所耗费的资源,提高异常日志数据的检测效率。
在一些实施例的步骤S108中,将目标日志数据集存入事件监控系统,以通过事件监控系统根据目标日志数据集分析用户端的行为,以快速检测出互联网平台有没有受到攻击,并可以分析出互联网平台受到攻击后哪些应用受到影响,从而提高网络威胁检测能力。具体地,事件监控系统中的存储数据库为关系型数据库,且关系型数据库中的日志数据以行和列的形式存储,则用户可以通过查询请求检索出关系型数据库中的日志数据,以通过人工确认的方式进一步检测出日志数据中是否存在可疑特征,以便于根据可疑特征做出对应的防范措施,从而提高互联网平台的安全性。
请参阅图2,在一些实施例中,步骤S102可以包括但不限于包括步骤S201至步骤S202:
步骤S201,获取初始日志数据集的数据类型;
步骤S202,根据数据类型对初始日志数据集进行分类处理,得到日志类型。
在一些实施例的步骤S201中,通过获取初始日志数据集中日志数据的数据类型,以确定初始日志数据集中每一个日志数据的日志类型。
在一些实施例的步骤S202中,根据每一日志数据的日志类型将初始日志数据集进行分类处理,也即将同一个数据类型的日志数据归为一类以得到每一日志数据的日志类型。因此,通过根据数据类型将初始日志数据集的日志数据分类后以确定日志类型,使得日志数据分类处理简易。
请参阅图3,在一些实施例中,每一日志数据的数据信息包括以下其中之一:业务数据信息、接口数据信息、埋点数据信息、安全数据信息,对应地,步骤S103可以包括以下其中一个步骤S301、步骤S302、步骤S303、步骤S304:
步骤S301,若日志类型为全局业务类型,则将日志数据以预设数据格式进行信息提取,得到业务数据信息;
步骤S302,若日志类型为接口访问类型,则将日志数据以预设提取指令进行信息提取,得到接口数据信息;
步骤S303,若日志类型为业务日志埋点类型,则根据预设字段对日志数据进行信息提取,得到埋点数据信息;
步骤S304,若日志类型为安全设备类型,则将日志数据以预设的正则表达式进行信息提取,得到安全数据信息。
需要说明的是,通过消息系统生成的日志数据主要有全局业务日志数据、接口访问日志数据、业务日志埋点数据和安全设备日志数据,且同一日志类型的日志数据需要变成统一格式的数据信息,则需根据不同的信息提取方式分别对日志数据进行信息提取得到数据信息。
在一些实施例的步骤S301中,若日志类型为全局业务类型,则对日志数据以预设数据格式进行信息提取,以将全局业务日志数据都统一数据格式,以固定、分段地输出业务数据信息。
其中,若日志类型为全局业务类型,获取全局业务日志数据则是通过分布式日志链路,通过每一个访问线程分配一个追踪,通过追踪串联全局用户端访问消息系统的全流程。具体地,提供一个逻辑译码单元,且逻辑译码单元为log-unit项目,通过log-unit项目让用户端访问消息系统所有的模块都依赖这个项目,且log-unit项目提供统一的log-back.xml文件,以将采集的全局业务日志数据存入log-back.xml文件中,实现全局业务日志数据的采集。
在一些实施例的步骤S302中,根据预设提取指令对日志数据进行信息提取也即对日志数据进行日志格式化,以实现格式统一。若日志类型为接口访问类型,通过预设提取指令将日志数据进行信息提取得到接口数据信息,也即对日接口访问日志数据进行日志格式化以实现接口访问日志数据的格式统一输出。
其中,预设提取指令在本实施例中为Nginx的log_format指令,且通过log_format指令设置日志数据格式,根据log_format指令对应的日志数据格式将日志数据中符合日志数据格式的信息提取,以得到接口数据信息。具体地,log_format指令用来设置日志的数据格式,且语法为“log_format name format{format…}”,其中name表示定义的格式名称,format表示定义的格式样式。因此,通过log_format指令将日志数据进行字段分割,并按照log_format指令对应的日志数据格式组合以得到数据格式统一的接口数据信息。
在一些实施例的步骤S303中,若日志类型为业务日志埋点类型,则日志数据为业务日志埋点数据。其中,业务日志埋点数据为记录某特定线上业务关键点数据,收集不同场景下的业务信息。因此,根据预设字段对日志数据进行信息提取,也即提取日志数据中符合预设字段的关键字段信息以得到埋点数据信息。例如,若预设字段包括:客户号、案件号、流水号等,则提取日志数据中为客户号、案件号和流水号的关键字段信息以得到埋点数据信息,以根据埋点数据信息进行关联检测处理,以确定业务关键点是否存在风险,提高互联网风险检测能力。
在一些实施例的步骤S304中,若日志类型为安全设备类型,则对安全设备日志数据的信息提取,其中,信息提取为日志格式化,则主要是通过预设的正则表达式进行日志格式化以得到安全数据信息,以将安全设备日志数据以统一数据格式输出安全数据信息。其中,正则表达式用事先定义好的一些特定字符及这些特定字符的组合,组成一个“规则字符串”,这个“规则字符串”用来表达对字符串的一种过滤逻辑。因此,通过将安全数据信息以“规则字符串”进行表示,以便于后续对安全数据信息进行特征提取。
需要说明的是,通过对日志数据进行信息提取得到每一日志数据的数据信息。其中,全局业务日志数据对应的业务数据信息,接口访问日志数据对应的接口数据信息,业务日志埋点数据对应的埋点数据信息,安全设备日志数据对应的安全数据信息。因此,根据不同的日志类型采用对应信息提取以得到日志数据的数据信息,以针对性地对日志数据进行信息提取。
请参阅图4,在一些实施例中,步骤S105可以包括但不限于包括步骤S401至步骤S403:
步骤S401,获取每一预设计算模型的模型类别标签;
步骤S402,调用预设的匹配引擎对数据特征和模型类别标签进行匹配处理,得到目标类别标签集;其中,目标类别标签集包括至少一个模型类别标签;
步骤S403,根据目标类别标签集从多个预设计算模型中筛选出目标计算模型。
在一些实施例的步骤S401中,预设计算模型用于对日志数据进行计算,且不同的数据特征对匹配不同的预设计算模型,因此根据不同的数据特征调节原始计算模型的模型参数后得到预设计算模型,并对预设计算模型设置对应的模型类别标签,以通过模型类别标签区分每一个预设计算模型。因此,获取每一预设计算模型的模型类别标签,通过模型类别标签与数据特征进行匹配。
在一些实施例的步骤S402中,通过调用预设的匹配引擎对数据特征和模型类别标签进行匹配处理。其中,预设的匹配引擎为搜索引擎,且在本实施例中,搜索引擎为Flink引擎,Flink引擎以Key-Value的方式进行搜索,且Flink引擎设置Key为数据特征,Value为模型类别标签。因此,根据数据特征快速查找到对应的模型类别标签,以得到目标类别标签集。例如,若数据特征为号码长度、归属地,则匹配到的模型类别标签为手机号码分析标签,且模型类别标签对应的预设计算模型用于对手机号码进行分析处理以得到手机号码分析结果,且手机号码分析结果为计算数值,并以计算数值表示手机号码的异常程度。
在一些实施例的步骤S403中,得到目标类别标签集后,通过目标类别标签集中的模型类别标签从多个预设计算模型中筛选出目标计算模型。其中,目标计算模型可以为一个预设计算模型也可以为多个预设计算模型组合形成的计算模型链。例如,若目标计算模型为手机号码分析模型,则通过手机号码分析模型对日志数据中手机号码的长度、归属地进行分析,以确定手机号码长度是否达标,归属地是否正确以得到手机号码分析结果,且手机号码分析结果为计算数值,若计算数值大于预设阈值,表示手机号码异常。因此,将手机号码异常对应的日志数据记录下来,以便于事件监控系统对用户端的行为进行监控,以确认是否由于外部攻击导致手机号码异常,从而提高互联网平台的异常检测能力。
请参阅图5,在一些实施例中,若目标类别标签集包括至少两个模型类别标签,步骤S403可以包括但不限于包括步骤S501至步骤S503:
步骤S501,根据至少两个模型类别标签从多个预设计算模型中筛选出至少两个初始计算模型;其中,模型类别标签的数量与初始计算模型的数量相等;
步骤S502,对至少两个模型类别标签进行排序,得到排序结果;
步骤S503,根据排序结果将至少两个初始计算模型进行组合处理,得到目标计算模型。
在一些实施例的步骤S501中,若目标类别标签集包括至少两个模型类别标签,则表示目标计算模型由多个预设计算模型组合得到,为了确保日志数据进行计算的准确性,需要根据至少两个模型类别标签从多个预设计算模型筛选出至少两个初始计算模型,也即提取与模型类别标签对应的预设计算模型以得到至少两个初始计算模型。
在一些实施例的步骤S502中,通过对模型类别标签进行排序以得到排序结果,且排序结果为每个模型类别标签对应的排序顺序。例如,若模型类别标签有3个,且对应为分析标签、统计标签、匹配标签,若确定分析标签对应的排序结果为第三,统计标签对应的排序结果为第二,匹配标签对应的排序结果为第一,因此根据对模型类别标签进行排序以确定每一模型类别标签的排序结果,以便于根据排序结果构建目标计算模型。
在一些实施例的步骤S503中,确定模型类别标签的排序结果,也即确定模型类别标签对应的初始计算模型的排序结果,则根据排序结果将至少两个初始计算模型进行组合处理得到目标计算模型,则构建的目标计算模型对日志数据进行分析以得到计算数值更加准确。例如,若分析标签对应的排序结果为第三,统计标签对应的排序结果为第二,匹配标签对应的排序结果为第一,则根据排序结果将匹配模型、统计模型和分析模型组合形成目标计算模型,则根据目标计算模型对日志数据先进行匹配处理,再进行统计处理,最后进行分析处理以得到对应的计算数值。例如,目标计算模型用于计算“B字段”出现次数是否异常,则先对日志数据中字段与“B字段”进行匹配,并统计B字段的出现次数,最后对出现次数进行分析确定异常结果,并以计算数值表示异常结果。因此,通过排序结果将初始计算模型进行组合处理得到目标计算模型,以根据目标计算模型对日志数据进行计算能够得到更加准确的计算数值。
请参阅图6,在一些实施例,步骤S108包括但不限于包括步骤S601至步骤S604:
步骤S601,访问事件监控系统的存储数据库;其中,存储数据库包括存储类型;
步骤S602,获取目标日志数据集的日志类别;其中,日志类别是日志类型的其中一种;
步骤S603,根据存储类型与日志类型从存储数据库筛选出目标数据库;
步骤S604,将日志数据存储至目标数据库。
在一些实施例的步骤S601中,事件监控系统上设置多个存储数据库,因此通过访问事件监控系统的存储数据库,以获取存储数据库的存储类型,即可将日志数据分类存储至对应的存储数据库中,以实现日志数据的分类存储。
在一些实施例的步骤S602中,获取目标日志数据集的日志类别,也即获取目标日志数据集中每一日志数据的日志类型以得到日志类别,即可根据日志类别将目标日志数据集中日志数据分类存储。
在一些实施例的步骤S603中,根据日志类型和存储类型进行匹配,以获取存储类型和日志类型匹配的存储数据库为目标数据库。例如,若日志类型为全局业务类型,则获取存储类型也为全局业务类型的存储数据库为目标数据库。
在一些实施例的步骤S604中,筛选出目标数据库后,将日志类型对应的日志数据存储至目标数据库,以将目标日志数据集中的日志数据分类存储至对应的存储数据库,实现日志数据的分类存储,以便于日志数据查询时能够快速获取日志数据,使得日志数据提取更加快速。
请参阅图7,在一些实施例中,在步骤S108之后,日志处理方法还包括步骤:将日志数据可视化展示。
需要说明的是,为了便于用户对日志数据快速分析,将日志数据进行可视化展示,则用户可以通过可视化展示的日志数据快速查找出异常的数据,以检测出用户端的攻击行为。
其中,将日志数据可视化展示,可以包括但不限于包括步骤S701至步骤704:
步骤S701,接收用户端发送的查询请求;
步骤S702,对查询请求进行关键字提取,得到目标关键词;
步骤S703,根据目标关键词从事件监控系统中提取目标日志;其中目标日志是日志数据;
步骤S704,将目标日志进行可视化处理,得到日志分析视图。
在一些实施例的步骤S701中,当用户需要查询日志数据以对日志数据进行分析,以判断日志数据中是否存在webshell,所以接收用户端发送的查询请求,且查询请求用于查询指定的日志数据。其中,webshell为黑客发现互联网平台的系统漏洞,并利用系统漏洞获取上传权限,并会互联网平台上传webshell,且webshell为一种后门程序,此程序由脚本语言编写,可以在互联网平台上运行,且攻击者可以通过网页执行系统命令读取系统文本。因此,从用户端的访问行为来说,webshell为攻击者入侵网站会存在的一个命令执行环境,因此通过对webshell检测以判断网络是否有攻击者的用户端访问。因此,通过获取异常的日志数据后,根据用户端的查询执行输出日志数据,以通过人工分析的方式检测出日志数据中是否存在webshell,从而快速判断出互联网平台受到的攻击,以提高互联网平台的网络威胁检测能力。
在一些实施例的步骤S702中,由于查询请求中包括关键字,因此对查询请求进行关键字提取以得到目标关键字,则根据目标关键字进行日志数据的提取,使日志数据提取更加准确。
在一些实施例的步骤S703中,根据目标关键词从事件监控系统中提取目标日志,先根据目标关键字确定存储类型,再根据存储类型确定目标数据库,即可根据目标关键字从目标数据库中提取日志数据为目标日志,使得目标日志提取更加准确。
在一些实施例的步骤S704中,为了方便用户端的用户快速检测出webshell,将目标日志进行可视化处理得到日志分析视图,以通过目标分析视图可以查看是否存在webshell,以及时根据webshell确定互联网平台受到攻击,并及时进行对应的防御措施,从而提高互联网平台的网络防御能力。其中,日志分析视图可在系统特定页面根据查询请求展示,以便于用户可以针对性分析哪一个页面存在攻击行为,以及时进行防御措施。
本申请实施例通过根据用户端访问消息系统后生成日志数据,并将日志数据汇集成初始日志数据集,然后获取初始日志数据集中每一日志数据的数据类型,以根据数据类型对初始日志数据进行分类处理得到日志类型。若日志类型为全局业务类型,则对日志数据以预设数据格式进行信息提取,得到业务数据信息;若日志类型为接口访问类型,则将日志数据以预设提取指令进行信息提取得到接口数据信息;若日志类型为业务日志埋点类型,则对日志数据中符合预设字段的字段信息提取得到埋点数据信息;若日志类型为安全设备类型,将日志数据以预设的正则表达式进行设置得到安全数据信息。将日志数据格式后得到对应的数据信息,并对数据信息进行特征提取得到数据特征,再调用预设的匹配引擎对数据特征和模型类别标签进行匹配处理得到目标类别标集,并根据目标类别标签集从多个预设计算模型筛选出初始计算模型。对模型类别标签进行排序得到排序结果,根据排序结果将初始计算模型进行组合得到目标计算模型,则根据目标计算模型对日志数据进行计算得到计算数值。获取计算数值大于预设阈值的日志数据以得到目标日志数据集,并将目标日志数据集存入事件监控系统,则根据目标日志数据使得事件监控系统对用户端对应的行为进行监控,以检查出是否存在异常行为,从而提高互联网平台的网络威胁检测和防御能力。
请参阅图8,本申请实施例还提供一种日志处理装置,可以实现上述日志处理方法,该装置包括:
日志获取模块801,用于从消息系统获取初始日志数据集;其中,初始日志数据集是用户端访问消息系统生成,初始日志数据集至少包括两个日志数据;
分类模块802,用于对初始日志数据集进行分类处理,得到每一日志数据的日志类型;
信息提取模块803,用于根据日志类型对初始日志数据集进行信息提取,得到每一日志数据的数据信息;
特征提取模块804,用于对数据信息进行特征提取,得到数据特征;
筛选模块805,用于根据数据特征从多个预设计算模型中筛选出目标计算模型;
计算模块806,用于根据目标计算模型对日志数据进行计算,得到计算数值;
数据获取模块807,用于获取计算数值大于预设阈值的日志数据,得到目标日志数据集;
存储模块808,用于将目标日志数据集存入事件监控系统;其中,目标日志数据集能够使事件监控系统监控用户端的行为。
该日志处理装置的具体实施方式与上述日志处理方法的具体实施例基本相同,在此不再赘述。
本申请实施例还提供了一种计算机设备,计算机设备包括:存储器、处理器、存储在存储器上并可在处理器上运行的程序以及用于实现处理器和存储器之间的连接通信的数据总线,程序被处理器执行时实现上述日志处理方法。该计算机设备可以为包括平板电脑、车载电脑等任意智能终端。
请参阅图9,图9示意了另一实施例的计算机设备的硬件结构,计算机设备包括:
处理器901,可以采用通用的CPU(CentralProcessingUnit,中央处理器)、微处理器、应用专用集成电路(ApplicationSpecificIntegratedCircuit,ASIC)、或者一个或多个集成电路等方式实现,用于执行相关程序,以实现本申请实施例所提供的技术方案;
存储器902,可以采用只读存储器(ReadOnlyMemory,ROM)、静态存储设备、动态存储设备或者随机存取存储器(RandomAccessMemory,RAM)等形式实现。存储器902可以存储操作系统和其他应用程序,在通过软件或者固件来实现本说明书实施例所提供的技术方案时,相关的程序代码保存在存储器902中,并由处理器901来调用执行本申请实施例的日志处理方法;
输入/输出接口903,用于实现信息输入及输出;
通信接口904,用于实现本设备与其他设备的通信交互,可以通过有线方式(例如USB、网线等)实现通信,也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信;
总线905,在设备的各个组件(例如处理器901、存储器902、输入/输出接口903和通信接口904)之间传输信息;
其中处理器901、存储器902、输入/输出接口903和通信接口904通过总线905实现彼此之间在设备内部的通信连接。
本申请实施例还提供了一种存储介质,存储介质为计算机可读存储介质,用于计算机可读存储,存储介质存储有一个或者多个程序,一个或者多个程序可被一个或者多个处理器执行,以实现上述日志处理方法。
存储器作为一种非暂态计算机可读存储介质,可用于存储非暂态软件程序以及非暂态性计算机可执行程序。此外,存储器可以包括高速随机存取存储器,还可以包括非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施方式中,存储器可选包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至该处理器。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
本申请实施例提供的日志处理方法、日志处理装置、计算机设备及存储介质,其通过获取消息系统根据用户端访问生成的初始日志数据集,并对初始日志数据集进行分类处理得到每一日志数据的日志类型,然后根据日志类型对初始日志数据集进行信息提取得到每一日志数据的数据信息,并对数据信息进行特征提取得到数据特征,再根据数据特征从多个预设计算模型筛选出目标计算模型,通过目标计算模型对日志数据进行计算得到计算数值,获取计算数值大于预设数值的目标日志数据集,并将目标日志数据集存入事件监控系统,使得事件监控系统根据目标日志数据集对用户端的行为进行检测。因此,通过日志分析的方式对用户端访问的异常行为进行管控,以检测出消息系统是否受到攻击,以及时做出对应的防御措施,从而提高网络威胁检测和防御能力。
本申请实施例描述的实施例是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,本领域技术人员可知,随着技术的演变和新应用场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
本领域技术人员可以理解的是,图1-7中示出的技术方案并不构成对本申请实施例的限定,可以包括比图示更多或更少的步骤,或者组合某些步骤,或者不同的步骤。
以上所描述的装置实施例仅仅是示意性的,其中作为分离部件说明的单元可以是或者也可以不是物理上分开的,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、系统、设备中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。
本申请的说明书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
应当理解,在本申请中,“至少一个(项)”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,用于描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:只存在A,只存在B以及同时存在A和B三种情况,其中A,B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达,是指这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b或c中的至少一项(个),可以表示:a,b,c,“a和b”,“a和c”,“b和c”,或“a和b和c”,其中a,b,c可以是单个,也可以是多个。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,上述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
上述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括多指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例的方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等各种可以存储程序的介质。
以上参照附图说明了本申请实施例的优选实施例,并非因此局限本申请实施例的权利范围。本领域技术人员不脱离本申请实施例的范围和实质内所作的任何修改、等同替换和改进,均应在本申请实施例的权利范围之内。
Claims (10)
1.一种日志处理方法,其特征在于,所述方法包括:
从消息系统获取初始日志数据集;其中,所述初始日志数据集是用户端访问所述消息系统生成,所述初始日志数据集至少包括两个日志数据;
对所述初始日志数据集进行分类处理,得到每一所述日志数据的日志类型;
根据所述日志类型对所述初始日志数据集进行信息提取,得到每一所述日志数据的数据信息;
对所述数据信息进行特征提取,得到数据特征;
根据所述数据特征从多个预设计算模型中筛选出目标计算模型;
根据所述目标计算模型对所述日志数据进行计算,得到计算数值;
获取所述计算数值大于预设阈值的所述日志数据,得到目标日志数据集;
将所述目标日志数据集存入事件监控系统;其中,所述目标日志数据集能够使所述事件监控系统监控所述用户端的行为。
2.根据权利要求1所述的方法,其特征在于,所述对所述初始日志数据集进行分类处理,得到日志类型,包括:
获取初始日志数据集的数据类型;
根据所述数据类型对所述初始日志数据集进行分类处理,得到所述日志类型。
3.根据权利要求1所述的方法,其特征在于,每一所述日志数据的数据信息包括以下其中之一:业务数据信息、接口数据信息、埋点数据信息、安全数据信息,对应地,所述根据所述日志类型对所述初始日志数据集进行信息提取,得到每一所述日志数据的数据信息,包括以下其中一个步骤:
若所述日志类型为全局业务类型,则将所述日志数据以预设数据格式进行信息提取,得到所述业务数据信息;
若所述日志类型为接口访问类型,则将所述日志数据以预设提取指令进行信息提取,得到所述接口数据信息;
若所述日志类型为业务日志埋点类型,则根据预设字段对所述日志数据进行信息提取,得到所述埋点数据信息;
若所述日志类型为安全设备类型,则将所述日志数据以预设的正则表达式进行信息提取,得到所述安全数据信息。
4.根据权利要求1至3任一项所述的方法,其特征在于,所述根据所述数据特征从多个预设计算模型中筛选出目标计算模型,包括:
获取每一所述预设计算模型的模型类别标签;
调用预设的匹配引擎对所述数据特征和所述模型类别标签进行匹配处理,得到目标类别标签集;其中,所述目标类别标签集包括至少一个所述模型类别标签;
根据所述目标类别标签集从多个所述预设计算模型中筛选出所述目标计算模型。
5.根据权利要求4所述的方法,其特征在于,若所述目标类别标签集包括至少两个所述模型类别标签,所述根据所述目标类别标签集从多个所述预设计算模型中筛选出所述目标计算模型,包括:
根据至少两个所述模型类别标签从多个所述预设计算模型中筛选出至少两个初始计算模型;其中,所述模型类别标签的数量与所述初始计算模型的数量相等;
对至少两个所述模型类别标签进行排序,得到排序结果;
根据所述排序结果将至少两个所述初始计算模型进行组合处理,得到所述目标计算模型。
6.根据权利要求1至3任一项所述的方法,其特征在于,所述将所述目标日志数据集存入事件监控系统,包括:
访问所述事件监控系统的存储数据库;其中,所述存储数据库包括存储类型;
获取所述目标日志数据集的日志类别;其中,所述日志类别是所述日志类型的其中一种;
根据所述存储类型与所述日志类型从所述存储数据库筛选出目标数据库;
将所述日志数据存储至所述目标数据库。
7.根据权利要求1至3任一项所述的方法,其特征在于,所述将所述目标日志数据集存入事件监控系统之后,所述方法还包括:
将所述日志数据可视化展示,具体包括:
接收所述用户端发送的查询请求;
对所述查询请求进行关键字提取,得到目标关键词;
根据所述目标关键词从所述事件监控系统中提取目标日志;其中所述目标日志是所述日志数据;
将所述目标日志进行可视化处理,得到日志分析视图。
8.一种日志处理装置,其特征在于,所述装置包括:
日志获取模块,用于从消息系统获取初始日志数据集;其中,所述初始日志数据集是用户端访问所述消息系统生成,所述初始日志数据集至少包括两个日志数据;
分类模块,用于对所述初始日志数据集进行分类处理,得到每一所述日志数据的日志类型;
信息提取模块,用于根据所述日志类型对所述初始日志数据集进行信息提取,得到每一所述日志数据的数据信息;
特征提取模块,用于对所述数据信息进行特征提取,得到数据特征;
筛选模块,用于根据所述数据特征从多个预设计算模型中筛选出目标计算模型;
计算模块,用于根据所述目标计算模型对所述日志数据进行计算,得到计算数值;
数据获取模块,用于获取所述计算数值大于预设阈值的所述日志数据,得到目标日志数据集;
存储模块,用于将所述目标日志数据集存入事件监控系统;其中,所述目标日志数据集能够使所述事件监控系统监控所述用户端的行为。
9.一种计算机设备,其特征在于,所述计算机设备包括存储器、处理器、存储在所述存储器上并可在所述处理器上运行的程序以及用于实现所述处理器和所述存储器之间的连接通信的数据总线,所述程序被所述处理器执行时实现如权利要求1至7任一项所述的方法的步骤。
10.一种存储介质,所述存储介质为计算机可读存储介质,用于计算机可读存储,其特征在于,所述存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现权利要求1至7中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210689197.9A CN115033876A (zh) | 2022-06-17 | 2022-06-17 | 日志处理方法、日志处理装置、计算机设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210689197.9A CN115033876A (zh) | 2022-06-17 | 2022-06-17 | 日志处理方法、日志处理装置、计算机设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115033876A true CN115033876A (zh) | 2022-09-09 |
Family
ID=83125268
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210689197.9A Pending CN115033876A (zh) | 2022-06-17 | 2022-06-17 | 日志处理方法、日志处理装置、计算机设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115033876A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116149933A (zh) * | 2022-12-13 | 2023-05-23 | 北京优特捷信息技术有限公司 | 一种异常日志数据确定方法、装置、设备及存储介质 |
| CN116582339A (zh) * | 2023-05-29 | 2023-08-11 | 四川云控交通科技有限责任公司 | 一种智能楼宇网络安全监控方法、监控系统 |
| CN117857182A (zh) * | 2024-01-10 | 2024-04-09 | 江苏金融租赁股份有限公司 | 一种服务器异常访问的处理方法及装置 |
-
2022
- 2022-06-17 CN CN202210689197.9A patent/CN115033876A/zh active Pending
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116149933A (zh) * | 2022-12-13 | 2023-05-23 | 北京优特捷信息技术有限公司 | 一种异常日志数据确定方法、装置、设备及存储介质 |
| CN116149933B (zh) * | 2022-12-13 | 2023-09-08 | 北京优特捷信息技术有限公司 | 一种异常日志数据确定方法、装置、设备及存储介质 |
| CN116582339A (zh) * | 2023-05-29 | 2023-08-11 | 四川云控交通科技有限责任公司 | 一种智能楼宇网络安全监控方法、监控系统 |
| CN116582339B (zh) * | 2023-05-29 | 2024-03-08 | 四川云控交通科技有限责任公司 | 一种智能楼宇网络安全监控方法、监控系统 |
| CN117857182A (zh) * | 2024-01-10 | 2024-04-09 | 江苏金融租赁股份有限公司 | 一种服务器异常访问的处理方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107895009B (zh) | 一种基于分布式的互联网数据采集方法及系统 | |
| US10192051B2 (en) | Data acceleration | |
| CN106992994B (zh) | 一种云服务的自动化监控方法和系统 | |
| US10135936B1 (en) | Systems and methods for web analytics testing and web development | |
| CN109684370A (zh) | 日志数据处理方法、系统、设备及存储介质 | |
| CN115033876A (zh) | 日志处理方法、日志处理装置、计算机设备及存储介质 | |
| CN109885624B (zh) | 数据处理方法、装置、计算机设备和存储介质 | |
| D'Angelo et al. | Effective classification of android malware families through dynamic features and neural networks | |
| CN111177714A (zh) | 异常行为检测方法、装置、计算机设备和存储介质 | |
| US20150089415A1 (en) | Method of processing big data, apparatus performing the same and storage media storing the same | |
| CN114528457A (zh) | Web指纹检测方法及相关设备 | |
| CN109542764B (zh) | 网页自动化测试方法、装置、计算机设备和存储介质 | |
| US20160203224A1 (en) | System for analyzing social media data and method of analyzing social media data using the same | |
| CN112688966A (zh) | webshell检测方法、装置、介质和设备 | |
| CA2781391A1 (en) | Identifying equivalent links on a page | |
| CN111597422A (zh) | 埋点映射方法、装置、计算机设备和存储介质 | |
| CN113886204A (zh) | 用户行为数据收集方法、装置、电子设备及可读存储介质 | |
| CN110457603B (zh) | 用户关系抽取方法、装置、电子设备及可读存储介质 | |
| Piñeiro et al. | Web architecture for URL-based phishing detection based on Random Forest, Classification Trees, and Support Vector Machine | |
| CN109684844B (zh) | 一种webshell检测方法、装置以及计算设备、计算机可读存储介质 | |
| CN107609020B (zh) | 一种基于标注的日志分类的方法和装置 | |
| KR102349495B1 (ko) | 가상 서버들로부터 대용량 로그 파일들을 프로세싱하는 컴퓨터 시스템 및 방법. | |
| CN113781068A (zh) | 线上问题解决方法、装置、电子设备和存储介质 | |
| US20160178590A1 (en) | System and method for predicting harmful materials | |
| CN111598159B (zh) | 机器学习模型的训练方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |