CN115065536A - 网络安全数据解析器、解析方法、电子设备及存储介质 - Google Patents
网络安全数据解析器、解析方法、电子设备及存储介质 Download PDFInfo
- Publication number
- CN115065536A CN115065536A CN202210686466.6A CN202210686466A CN115065536A CN 115065536 A CN115065536 A CN 115065536A CN 202210686466 A CN202210686466 A CN 202210686466A CN 115065536 A CN115065536 A CN 115065536A
- Authority
- CN
- China
- Prior art keywords
- network security
- data
- analysis
- security data
- log
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本公开实施例公开了一种网络安全数据解析器、解析方法、电子设备及存储介质,网络安全数据解析器包括解析方法库、流程控制单元、数据解析单元和结果装配单元,解析方法库用于提供多种数据解析方法;数据解析单元用于根据网络安全数据的种类,调用解析方法库中对应的数据解析方法,对各日志文本中具有第一内容格式的第一部分进行解析,得到第一解析结果;流程控制单元用于对各日志文本进行分类,确定各类别的日志文本中的第二部分的数据解析流程,以及,根据各数据解析流程对各类别的日志文本中的第二部分进行解析,并对解析结果进行装配,得到多个第二解析结果;结果装配单元用于对第一解析结果和多个第二解析结果进行装配,得到最终解析结果。
Description
技术领域
本公开涉及网络安全技术领域,尤其涉及一种网络安全数据解析器、解析方法、电子设备及存储介质。
背景技术
当前国内外网络安全形势复杂,各种黑客攻击层出不穷,为应对复杂多样的网络攻击,各大安全厂商生产了多种不同的安全设备来应对不同特点的网络攻击行为,为了综合分析和监控整体的网络安全状况,需要对所有安全设备产生的安全数据进行采集和分析,但是不同设备产生的网络安全日志在格式和取值规范等方面都存在很大差别,存在同一种安全设备包含多种类型不同安全数据的问题,对数据解析工作造成很大挑战。
现有的一种网络安全数据解析方法采用编程的方式,开发不同的适配器程序,对不同的网络设备进行适配。此方法通过定制开发的方法适配不同的安全设备,但适配开发的工作量大,升级改造成本高,无法应对当今网络安全设备多样化的场景。
现有的另一种网络安全数据解析方法先基于通用协议把数据解析成对象,然后根据配置的字段转换字典进行字段转换,转换为系统标准数据,但该方法不能根据日志特点自动适配不同格式的日志,自动适配解析,也不能分步骤多次解析一条数据,所以不能适应一种设备包含多种不同日志数据的解析场景。
发明内容
有鉴于此,本公开实施例提供了一种网络安全数据解析器、解析方法、电子设备及存储介质,至少部分的解决现有技术中存在的难以对多类型混合的网络安全数据进行自动适配解析的问题。
第一方面,本公开实施例提供一种网络安全数据解析器,用于对网络安全数据进行数据解析,所述网络安全数据包括多条日志文本,至少一条所述日志文本的内容具有两种及以上内容格式,所述网络安全数据解析器包括解析方法库、流程控制单元、数据解析单元和结果装配单元,其中:
所述解析方法库用于提供多种数据解析方法;
所述数据解析单元用于根据所述网络安全数据的种类,调用所述解析方法库中对应的数据解析方法,对各所述日志文本中具有第一内容格式的第一部分进行解析,得到第一解析结果;
所述流程控制单元用于对各所述日志文本进行分类,确定各类别的所述日志文本中的第二部分的数据解析流程,以及,根据各所述数据解析流程对各类别的所述日志文本中的第二部分进行解析,并对解析结果进行装配,得到多个第二解析结果,所述日志文本中除所述第一部分以外的内容为所述第二部分;
所述结果装配单元用于对所述第一解析结果和所述多个第二解析结果进行装配,得到最终解析结果。
可选地,所述数据解析方法与所述网络安全数据的种类一一对应;所述第一内容格式与所述网络安全数据的种类相对应。
可选地,所述解析方法库提供针对syslog、json和xml种类的网络安全数据的数据解析方法。
可选地,所述网络安全数据为syslog种类的网络安全数据,所述数据解析单元将所述第一部分解析为键值对数据。
可选地,所述流程控制单元包括分类子单元和多个流程控制子单元,所述分类子单元用于根据每条所述日志文本中的预定字段对各所述日志文本进行分类;一个所述流程控制子单元用于确定一个类别的所述日志文本中的第二部分的数据解析流程,根据所述数据解析流程对所述日志文本中的第二部分进行解析,以及对解析结果进行装配,得到一个第二解析结果。
可选地,所述网络安全数据为syslog种类的网络安全数据,所述预定字段为proto字段。
可选地,所述流程控制子单元根据所述第二部分的报文特点,确定所述第二部分的数据解析流程,以及,对解析结果进行装配的装配逻辑。
第二方面,本公开实施例提供一种网络安全数据解析方法,用于对网络安全数据进行数据解析,所述网络安全数据包括多条日志文本,至少一条所述日志文本的内容具有两种及以上内容格式,所述网络安全数据解析方法包括:
提供多种数据解析方法;
根据所述网络安全数据的种类,调用对应的数据解析方法,对各所述日志文本中具有第一内容格式的第一部分进行解析,得到第一解析结果;
对各所述日志文本进行分类,确定各类别的所述日志文本中的第二部分的数据解析流程;
根据各所述数据解析流程对各类别的所述日志文本中的第二部分进行解析,并对解析结果进行装配,得到多个第二解析结果,所述日志文本中除所述第一部分以外的内容为所述第二部分;
对所述第一解析结果和所述多个第二解析结果进行装配,得到最终解析结果。
第三方面,本公开实施例提供一种电子设备,所述电子设备包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行以上所述的网络安全数据解析方法。
第四方面,本公开实施例提供一种计算机可读存储介质,其特征在于,该计算机可读存储介质存储计算机指令,该计算机指令用于使计算机执行以上所述的网络安全数据解析方法。
根据本公开实施例的网络安全数据解析器、解析方法、电子设备及存储介质,通过该网络安全数据解析器对网络安全数据进行数据解析时,针对网络安全数据包括多条日志文本,至少一条日志文本的内容具有两种及以上内容格式的情况,通过数据解析单元可以对各日志文本中具有相同内容格式的第一部分进行解析,进一步通过流程控制单元对各日志文本进行分类,确定各类别的日志文本中的具有其他内容格式的第二部分的数据解析流程,进而根据各数据解析流程对各类别的日志文本中的第二部分进行解析,并对解析结果进行装配,得到多个第二解析结果,最后通过结果装配单元对第一解析结果和多个第二解析结果进行装配,得到最终解析结果,在以上过程中,能够根据网络安全数据中每条日志文本的特点,控制相应的数据解析流程,实现了对多类型混合的网络安全数据的自动适配解析。
上述说明仅是本公开技术方案的概述,为了能更清楚了解本公开的技术手段,而可依照说明书的内容予以实施,并且为让本公开的上述和其他目的、特征和优点能够更明显易懂,以下特举较佳实施例,并配合附图,详细说明如下。
附图说明
为了更清楚地说明本公开实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本公开实施例提供的网络安全数据解析器的原理框图;
图2为本公开实施例提供的网络安全数据解析器对第一部分进行解析处理时的原理框图;
图3为本公开实施例提供的流程控制单元的原理框图;
图4为本公开实施例提供的网络安全数据解析方法的流程图;
图5为本公开实施例提供的电子设备的原理框图。
具体实施方式
下面结合附图对本公开实施例进行详细描述。
应当明确,以下通过特定的具体实例说明本公开的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本公开的其他优点与功效。显然,所描述的实施例仅仅是本公开一部分实施例,而不是全部的实施例。本公开还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本公开的精神下进行各种修饰或改变。需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合。基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
需要说明的是,下文描述在所附权利要求书的范围内的实施例的各种方面。应显而易见,本文中所描述的方面可体现于广泛多种形式中,且本文中所描述的任何特定结构及/或功能仅为说明性的。基于本公开,所属领域的技术人员应了解,本文中所描述的一个方面可与任何其它方面独立地实施,且可以各种方式组合这些方面中的两者或两者以上。举例来说,可使用本文中所阐述的任何数目个方面来实施设备及/或实践方法。另外,可使用除了本文中所阐述的方面中的一或多者之外的其它结构及/或功能性实施此设备及/或实践此方法。
还需要说明的是,以下实施例中所提供的图示仅以示意方式说明本公开的基本构想,图式中仅显示与本公开中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制,其实际实施时各组件的型态、数量及比例可为一种随意的改变,且其组件布局型态也可能更为复杂。
另外,在以下描述中,提供具体细节是为了便于透彻理解实例。然而,所属领域的技术人员将理解,可在没有这些特定细节的情况下实践所述方面。
为了便于理解,如图1所示,本实施例公开了一种网络安全数据解析器10,该网络安全数据解析器10用于对网络安全数据进行数据解析,该网络安全数据包括多条日志文本,至少一条日志文本的内容具有两种及以上内容格式,网络安全数据解析器10可以包括解析方法库11、数据解析单元12、流程控制单元13和结果装配单元14。
具体而言,解析方法库11用于提供多种数据解析方法。可选地,数据解析方法与网络安全数据的种类一一对应。例如,解析方法库11可以提供针对syslog、json、xml等种类的网络安全数据的数据解析方法。
数据解析单元12用于根据网络安全数据的种类,调用解析方法库中对应的数据解析方法,对各日志文本中具有第一内容格式的第一部分进行解析,得到第一解析结果。可选地,第一内容格式与网络安全数据的种类相对应,即一旦网络安全数据的种类确定,第一内容格式就已经确定。
流程控制单元13用于对各日志文本进行分类(或称为逻辑表达式判断),确定各类别的日志文本中的第二部分的数据解析流程(或称为流程组装),以及,根据各数据解析流程对各类别的日志文本中的第二部分进行解析(或称为流程执行),并对解析结果进行装配,得到多个第二解析结果。其中,日志文本中除第一部分以外的内容为第二部分。具有以上功能的流程控制单元13相当于内置了一个数据解析模块和一个结果装配模块。
结果装配单元14用于对第一解析结果和多个第二解析结果进行装配,得到最终解析结果。
下面将通过一个具体实例来详细说明书本公开实施例。在本具体实例中,网络安全数据可以是syslog种类的网络安全数据,其包括如下4条日志文本:
(1)Dec 4 16:20:54 ksgv ips[2971]:id=gw:ips time='2012-12-04 16:20: 54'fw=ksgv pri=1 proto=TCP src=192.168.40.113:1768 dst=221.8.69.25:80rule=2009024action=drop msg='Downadup/Conficker A or B Worm reporting'class='A Network Trojan was detected'
(2)Jan 25 17:33:09 ksgv ips[3075]:id=gw:ips time='2013-01-25 17:33: 09'fw=ksgv pri=4 proto=ICMP src=192.168.1.118:3 dst=192.168.1.105:4 rule=3626action=none msg='ICMP PATH MTU拒绝服务'class='Attempted Denial ofService'
(3)Jan 25 17:30:18 ksgv ips[3075]:id=gw:av time='2013-01-25 17:30: 18'fw=ksgv pri=1 proto=http src=192.168.1.105:50240 dst=192.168.1.205:80rule=0 op=GET url='http://www.aaabbb.org/download/aaa1.com.txt action='destroy'msg='the EICAR test string'
(4)Jan 2517:39:44 ksgv ips[3075]:id=gw:avtime='2013-01-25 17:39:44' fw=ksgv pri=1 proto=ftp src=192.168.1.105:50373 dst=192.168.1.7:55133mode=PASV user=”op=STOR url='ftp://192.168.1.7/test.txt'action='destroy'msg='the EICAR test string'rule=0
以上只是通过4条日志文本为例来说明本公开实施例,本领域技术人员应当理解,本公开实施例中的网络安全数据可以不限于syslog种类,其包括的日志文本的数量和内容格式也不局限于此。
如图2所示,网络安全数据解析器10接收到上述网络安全数据,数据解析单元12调用解析方法库中对应的数据解析方法,对各条日志文本中内容格式相同(即具有第一内容格式)的第一部分进行解析。上述4条日志文本中内容格式相同的第一部分,即上述4条日志文本中标有下划线的部分,而未标有下划线的部分为第二部分。由于第一部分的内容格式相同,则必然可以采用相同的数据解析方法,数据解析单元12可以将上述日志文本中标有下划线的第一部分解析为系统标准格式,更具体地可以将第一部分解析为图2中的键值对数据。数据解析单元12得到第一解析结果之后,可以先通过结果装配单元14将第一解析结果进行装配。
网络安全数据经数据解析单元12之后,通过流程控制单元13进行下一步处理,流程控制单元13对网络安全数据包括的所有日志文本进行分类,并对各类日志文本的第二部分分别进行相应的解析处理。具体可以为,确定各类别的日志文本中的第二部分对应的数据解析流程,也就是说,不同类别的日志文本的第二部分采用不同的数据解析流程,而同一类别的所有日志文本的第二部分则均采用相同的数据解析流程,以及,根据各数据解析流程对各类别的日志文本中的第二部分进行解析,并对解析结果进行装配,得到多个第二解析结果。
更具体地,流程控制单元13包括分类子单元和多个流程控制子单元,分类子单元用于根据每条日志文本中的预定字段对各日志文本进行分类;一个流程控制子单元用于确定一个类别的日志文本中的第二部分的数据解析流程(即流程控制子单元的个数与日志文本的预设类别数量相同,其在实际应用过程中应大于或等于网络安全数据包括的日志文本的类别数),根据数据解析流程对日志文本中的第二部分进行解析,以及对解析结果进行装配,得到一个第二解析结果。
在本公开实施例的一种可选实施方式中,以网络安全数据为syslog种类的网络安全数据为例,该预定字段可以为proto字段。
继续以上文中的4条日志文本为例,其中第1条日志文本的proto字段为TCP,第2条日志文本的proto字段为ICMP,第3条日志文本的proto字段为http,第4条日志文本的proto字段为ftp,第1条日志文本与第2条日志文本的未标有下划线的第二部分的内容格式是相同的,可以采用相同的数据解析方法,而第3条日志文本和第4条日志文本的未标有下划线的第二部分的内容格式是不同的,并且也不同于第1条日志文本和第2条日志文本的未标有下划线的第二部分的内容格式,因此,第3条日志文本和第4条日志文本的第二部分需要采用不同的数据解析方法。由此可知,流程控制单元13根据proto字段将该4条日志文本分为三类,并各类日志文本的第二部分分别进行相应的解析处理。
继续以上文中的4条日志文本为例,流程控制单元13根据proto字段将该4条日志文本分为三类,从而从流程控制单元13包括多个流程控制子单元中选择3个流程控制子单元,不同的流程控制子单元根据proto字段的不同取值对对应的日志文本的第二部分进行不同的处理流程,如图3所示,第一流程控制子单元131对应于proto字段为TCP或ICMP的处理流程,以解析处理第1条日志文本与第2条日志文本的未标有下划线的第二部分;第二流程控制子单元132对应于proto字段为http的处理流程,以解析处理第3条日志文本的未标有下划线的第二部分;第三流程控制子单元133对应于proto字段为ftp的处理流程,以解析处理第4条日志文本的未标有下划线的第二部分。
在本公开实施例的一种可选实施方式中,流程控制子单元根据第二部分的报文特点,确定第二部分的数据解析流程,以及,对解析结果进行装配的装配逻辑。
仍以上文中的4条日志文本为例,流程控制子单元根据proto字段为TCP、ICMP、http或ftp的报文特点,确定对应的数据解析流程和对解析结果进行装配的装配逻辑。
由此可知,通过该网络安全数据解析器对网络安全数据进行数据解析时,针对网络安全数据包括多条日志文本,至少一条日志文本的内容具有两种及以上内容格式的情况,通过数据解析单元可以对各日志文本中具有相同内容格式的第一部分进行解析,进一步通过流程控制单元对各日志文本进行分类,确定各类别的日志文本中的具有其他内容格式的第二部分的数据解析流程,进而根据各数据解析流程对各类别的日志文本中的第二部分进行解析,并对解析结果进行装配,得到多个第二解析结果,最后通过结果装配单元对第一解析结果和多个第二解析结果进行装配,得到最终解析结果,在以上过程中,能够根据网络安全数据中每条日志文本的特点,控制相应的数据解析流程,实现了对多类型混合的网络安全数据的自动适配解析。
本公开实施例还提供了一种网络安全数据解析方法,如图4所示,该网络安全数据解析方法可以包括:
S21.提供多种数据解析方法。
可选地,数据解析方法与网络安全数据的种类一一对应。例如,提供针对syslog、json、xml等种类的网络安全数据的数据解析方法。
S22.根据网络安全数据的种类,调用对应的数据解析方法,对各日志文本中具有第一内容格式的第一部分进行解析,得到第一解析结果。
以上文中的4条日志文本为例,在本步骤中,根据网络安全数据的种类,调用对应的数据解析方法,对这4条日志文本中标有下划线的第一部分进行解析处理,得到第一解析结果。
作为本公开实施例的一种可选实施方式,以网络安全数据为syslog种类的网络安全数据为例,根据网络安全数据的种类,调用对应的数据解析方法,将各日志文本中的第一部分解析为键值对数据。在得到第一解析结果之后,可以先将第一解析结果进行装配。
S23.对各日志文本进行分类,确定各类别的日志文本中的第二部分的数据解析流程。
其中,日志文本中除第一部分以外的内容为第二部分。
不同类别的日志文本的第二部分采用不同的数据解析流程,而同一类别的所有日志文本的第二部分则均采用相同的数据解析流程。
在本公开实施例的一种可选实施方式中,可以按照预定字段对网络安全数据包括的各条日志文本进行分类。更具体地,以网络安全数据为syslog种类的网络安全数据为例,可以按照proto字段对多条日志文本进行分类。
仍以上文中的4条日志文本为例,根据proto字段的不同,将第1条日志文本与第2条日志文本分为第1类,将第3条日志文本分为第2类,将第4条日志文本分为第3类,第1类的日志文本的未标有下划线的第二部分的内容格式是相同的,可以采用相同的数据解析流程,而第2类和第3类的日志文本的未标有下划线的第二部分的内容格式是不同的,并且也不同于第1类的日志文本的未标有下划线的第二部分的内容格式,因此针对这三类日志文本,需要采用三种不同的数据解析流程进行解析处理。
在本公开实施例的一种可选实施方式中,根据第二部分的报文特点,确定第二部分的数据解析流程。仍以上文中的4条日志文本为例,根据proto字段为TCP、ICMP、http或ftp的报文特点,确定对应的数据解析流程。
S24.根据各数据解析流程对各类别的日志文本中的第二部分进行解析,并对解析结果进行装配,得到多个第二解析结果。
S25.对第一解析结果和多个第二解析结果进行装配,得到最终解析结果。
在本公开实施例的一种可选实施方式中,在得到第一解析结果之后,先对第一解析结果进行装配,得到多个第二解析结果之后,再对多个第二解析结果进行装配,得到多个第二解析结果。当然也可以,在得到第一解析结果和多个第二解析结果之后,再对第一解析结果和多个第二解析结果进行装配,得到最终解析结果。
需要说明的是,以上网络安全数据解析器的具体细节均适用于此处的网络安全数据解析方法。
通过该网络安全数据解析方法对网络安全数据进行数据解析时,针对网络安全数据包括多条日志文本,至少一条日志文本的内容具有两种及以上内容格式的情况,可以先对各日志文本中具有相同内容格式的第一部分进行解析,进一步对各日志文本进行分类,确定各类别的日志文本中的具有其他内容格式的第二部分的数据解析流程,进而根据各数据解析流程对各类别的日志文本中的第二部分进行解析,并对解析结果进行装配,得到多个第二解析结果,最后对第一解析结果和多个第二解析结果进行装配,得到最终解析结果,在以上过程中,能够根据网络安全数据中每条日志文本的特点,控制相应的数据解析流程,实现了对多类型混合的网络安全数据的自动适配解析。
根据本公开实施例的电子设备包括存储器和处理器。该存储器用于存储非暂时性计算机可读指令。具体地,存储器可以包括一个或多个计算机程序产品,该计算机程序产品可以包括各种形式的计算机可读存储介质,例如易失性存储器和/或非易失性存储器。该易失性存储器例如可以包括随机存取存储器(RAM)和/或高速缓冲存储器(cache)等。该非易失性存储器例如可以包括只读存储器(ROM)、硬盘、闪存等。
该处理器可以是中央处理单元(CPU)或者具有数据处理能力和/或指令执行能力的其它形式的处理单元,并且可以控制电子设备中的其它组件以执行期望的功能。在本公开的一个实施例中,该处理器用于运行该存储器中存储的该计算机可读指令,使得该电子设备执行前述的本公开各实施例的网络安全数据解析方法全部或部分步骤。
本领域技术人员应能理解,为了解决如何获得良好用户体验效果的技术问题,本实施例中也可以包括诸如通信总线、接口等公知的结构,这些公知的结构也应包含在本公开的保护范围之内。
如图5为本公开实施例提供的一种电子设备的结构示意图。其示出了适于用来实现本公开实施例中的电子设备的结构示意图。图5示出的电子设备仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图5所示,电子设备可以包括处理装置(例如中央处理器、图形处理器等),其可以根据存储在只读存储器(ROM)中的程序或者从存储装置加载到随机访问存储器(RAM)中的程序而执行各种适当的动作和处理。在RAM中,还存储有电子设备操作所需的各种程序和数据。处理装置、ROM以及RAM通过总线彼此相连。输入/输出(I/O)接口也连接至总线。
通常,以下装置可以连接至I/O接口:包括例如传感器或者视觉信息采集设备等的输入装置;包括例如显示屏等的输出装置;包括例如磁带、硬盘等的存储装置;以及通信装置。通信装置可以允许电子设备与其他设备(比如边缘计算设备)进行无线或有线通信以交换数据。虽然图5示出了具有各种装置的电子设备,但是应理解的是,并不要求实施或具备所有示出的装置。可以替代地实施或具备更多或更少的装置。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在非暂态计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信装置从网络上被下载和安装,或者从存储装置被安装,或者从ROM被安装。在该计算机程序被处理装置执行时,执行本公开实施例的网络安全数据解析方法的全部或部分步骤。
有关本实施例的详细说明可以参考前述各实施例中的相应说明,在此不再赘述。
根据本公开实施例的计算机可读存储介质,其上存储有非暂时性计算机可读指令。当该非暂时性计算机可读指令由处理器运行时,执行前述的本公开各实施例的网络安全数据解析方法的全部或部分步骤。
上述计算机可读存储介质包括但不限于:光存储介质(例如:CD-ROM和DVD)、磁光存储介质(例如:MO)、磁存储介质(例如:磁带或移动硬盘)、具有内置的可重写非易失性存储器的媒体(例如:存储卡)和具有内置ROM的媒体(例如:ROM盒)。
有关本实施例的详细说明可以参考前述各实施例中的相应说明,在此不再赘述。
以上结合具体实施例描述了本公开的基本原理,但是,需要指出的是,在本公开中提及的优点、优势、效果等仅是示例而非限制,不能认为这些优点、优势、效果等是本公开的各个实施例必须具备的。另外,上述公开的具体细节仅是为了示例的作用和便于理解的作用,而非限制,上述细节并不限制本公开为必须采用上述具体的细节来实现。
在本公开中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序,本公开中涉及的器件、装置、设备、系统的方框图仅作为例示性的例子并且不意图要求或暗示必须按照方框图示出的方式进行连接、布置、配置。如本领域技术人员将认识到的,可以按任意方式连接、布置、配置这些器件、装置、设备、系统。诸如“包括”、“包含”、“具有”等等的词语是开放性词汇,指“包括但不限于”,且可与其互换使用。这里所使用的词汇“或”和“和”指词汇“和/或”,且可与其互换使用,除非上下文明确指示不是如此。这里所使用的词汇“诸如”指词组“诸如但不限于”,且可与其互换使用。
另外,如在此使用的,在以“至少一个”开始的项的列举中使用的“或”指示分离的列举,以便例如“A、B或C的至少一个”的列举意味着A或B或C,或AB或AC或BC,或ABC(即A和B和C)。此外,措辞“示例的”不意味着描述的例子是优选的或者比其他例子更好。
还需要指出的是,在本公开的系统和方法中,各部件或各步骤是可以分解和/或重新组合的。这些分解和/或重新组合应视为本公开的等效方案。
可以不脱离由所附权利要求定义的教导的技术而进行对在此所述的技术的各种改变、替换和更改。此外,本公开的权利要求的范围不限于以上所述的处理、机器、制造、事件的组成、手段、方法和动作的具体方面。可以利用与在此所述的相应方面进行基本相同的功能或者实现基本相同的结果的当前存在的或者稍后要开发的处理、机器、制造、事件的组成、手段、方法或动作。因而,所附权利要求包括在其范围内的这样的处理、机器、制造、事件的组成、手段、方法或动作。
提供所公开的方面的以上描述以使本领域的任何技术人员能够做出或者使用本公开。对这些方面的各种修改对于本领域技术人员而言是非常显而易见的,并且在此定义的一般原理可以应用于其他方面而不脱离本公开的范围。因此,本公开不意图被限制到在此示出的方面,而是按照与在此公开的原理和新颖的特征一致的最宽范围。
为了例示和描述的目的已经给出了以上描述。此外,此描述不意图将本公开的实施例限制到在此公开的形式。尽管以上已经讨论了多个示例方面和实施例,但是本领域技术人员将认识到其某些变型、修改、改变、添加和子组合。
Claims (10)
1.一种网络安全数据解析器,用于对网络安全数据进行数据解析,所述网络安全数据包括多条日志文本,至少一条所述日志文本的内容具有两种及以上内容格式,其特征在于,所述网络安全数据解析器包括解析方法库、流程控制单元、数据解析单元和结果装配单元,其中:
所述解析方法库用于提供多种数据解析方法;
所述数据解析单元用于根据所述网络安全数据的种类,调用所述解析方法库中对应的数据解析方法,对各所述日志文本中具有第一内容格式的第一部分进行解析,得到第一解析结果;
所述流程控制单元用于对各所述日志文本进行分类,确定各类别的所述日志文本中的第二部分的数据解析流程,以及,根据各所述数据解析流程对各类别的所述日志文本中的第二部分进行解析,并对解析结果进行装配,得到多个第二解析结果,所述日志文本中除所述第一部分以外的内容为所述第二部分;
所述结果装配单元用于对所述第一解析结果和所述多个第二解析结果进行装配,得到最终解析结果。
2.根据权利要求1所述的网络安全数据解析器,其特征在于,所述数据解析方法与所述网络安全数据的种类一一对应;所述第一内容格式与所述网络安全数据的种类相对应。
3.根据权利要求2所述的网络安全数据解析器,其特征在于,所述解析方法库提供针对syslog、json和xml种类的网络安全数据的数据解析方法。
4.根据权利要求3所述的网络安全数据解析器,其特征在于,所述网络安全数据为syslog种类的网络安全数据,所述数据解析单元将所述第一部分解析为键值对数据。
5.根据权利要求1所述的网络安全数据解析器,其特征在于,所述流程控制单元包括分类子单元和多个流程控制子单元,所述分类子单元用于根据每条所述日志文本中的预定字段对各所述日志文本进行分类;一个所述流程控制子单元用于确定一个类别的所述日志文本中的第二部分的数据解析流程,根据所述数据解析流程对所述日志文本中的第二部分进行解析,以及对解析结果进行装配,得到一个第二解析结果。
6.根据权利要求5所述的网络安全数据解析器,其特征在于,所述网络安全数据为syslog种类的网络安全数据,所述预定字段为proto字段。
7.根据权利要求5所述的网络安全数据解析器,其特征在于,所述流程控制子单元根据所述第二部分的报文特点,确定所述第二部分的数据解析流程,以及,对解析结果进行装配的装配逻辑。
8.一种网络安全数据解析方法,用于对网络安全数据进行数据解析,所述网络安全数据包括多条日志文本,至少一条所述日志文本的内容具有两种及以上内容格式,其特征在于,所述网络安全数据解析方法包括:
提供多种数据解析方法;
根据所述网络安全数据的种类,调用对应的数据解析方法,对各所述日志文本中具有第一内容格式的第一部分进行解析,得到第一解析结果;
对各所述日志文本进行分类,确定各类别的所述日志文本中的第二部分的数据解析流程,所述日志文本中除所述第一部分以外的内容为所述第二部分;
根据各所述数据解析流程对各类别的所述日志文本中的第二部分进行解析,并对解析结果进行装配,得到多个第二解析结果;
对所述第一解析结果和所述多个第二解析结果进行装配,得到最终解析结果。
9.一种电子设备,其特征在于,所述电子设备包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求8所述的网络安全数据解析方法。
10.一种计算机可读存储介质,其特征在于,该计算机可读存储介质存储计算机指令,该计算机指令用于使计算机执行权利要求8所述的网络安全数据解析方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210686466.6A CN115065536B (zh) | 2022-06-16 | 2022-06-16 | 网络安全数据解析器、解析方法、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210686466.6A CN115065536B (zh) | 2022-06-16 | 2022-06-16 | 网络安全数据解析器、解析方法、电子设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115065536A true CN115065536A (zh) | 2022-09-16 |
CN115065536B CN115065536B (zh) | 2023-08-25 |
Family
ID=83203135
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210686466.6A Active CN115065536B (zh) | 2022-06-16 | 2022-06-16 | 网络安全数据解析器、解析方法、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115065536B (zh) |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100235368A1 (en) * | 2009-03-13 | 2010-09-16 | Partha Bhattacharya | Multiple Related Event Handling Based on XML Encoded Event Handling Definitions |
CN103412924A (zh) * | 2013-08-12 | 2013-11-27 | 东软集团股份有限公司 | 日志多语言查询方法和系统 |
CN103607291A (zh) * | 2013-10-25 | 2014-02-26 | 北京科东电力控制系统有限责任公司 | 用于电力二次系统内网安全监视平台的告警解析归并方法 |
CN107273269A (zh) * | 2017-06-12 | 2017-10-20 | 北京奇虎科技有限公司 | 日志解析方法及装置 |
CN109308289A (zh) * | 2018-09-27 | 2019-02-05 | 厦门服云信息科技有限公司 | 一种日志解析模板及基于该模板的日志解析方法 |
CN111026400A (zh) * | 2019-11-20 | 2020-04-17 | 中国铁道科学研究院集团有限公司电子计算技术研究所 | 业务数据流的解析方法及其装置 |
CN111367874A (zh) * | 2020-02-28 | 2020-07-03 | 北京神州绿盟信息安全科技股份有限公司 | 一种日志处理方法、装置、介质和设备 |
CN113626400A (zh) * | 2021-07-11 | 2021-11-09 | 南京理工大学 | 基于日志树和解析树的日志事件提取方法及系统 |
US20220019588A1 (en) * | 2020-07-14 | 2022-01-20 | Vmware, Inc. | Methods and systems for constructing expressions that extracts metrics from log messages |
CN114385396A (zh) * | 2021-12-27 | 2022-04-22 | 华青融天(北京)软件股份有限公司 | 一种日志解析方法、装置、设备及介质 |
-
2022
- 2022-06-16 CN CN202210686466.6A patent/CN115065536B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100235368A1 (en) * | 2009-03-13 | 2010-09-16 | Partha Bhattacharya | Multiple Related Event Handling Based on XML Encoded Event Handling Definitions |
CN103412924A (zh) * | 2013-08-12 | 2013-11-27 | 东软集团股份有限公司 | 日志多语言查询方法和系统 |
CN103607291A (zh) * | 2013-10-25 | 2014-02-26 | 北京科东电力控制系统有限责任公司 | 用于电力二次系统内网安全监视平台的告警解析归并方法 |
CN107273269A (zh) * | 2017-06-12 | 2017-10-20 | 北京奇虎科技有限公司 | 日志解析方法及装置 |
CN109308289A (zh) * | 2018-09-27 | 2019-02-05 | 厦门服云信息科技有限公司 | 一种日志解析模板及基于该模板的日志解析方法 |
CN111026400A (zh) * | 2019-11-20 | 2020-04-17 | 中国铁道科学研究院集团有限公司电子计算技术研究所 | 业务数据流的解析方法及其装置 |
CN111367874A (zh) * | 2020-02-28 | 2020-07-03 | 北京神州绿盟信息安全科技股份有限公司 | 一种日志处理方法、装置、介质和设备 |
US20220019588A1 (en) * | 2020-07-14 | 2022-01-20 | Vmware, Inc. | Methods and systems for constructing expressions that extracts metrics from log messages |
CN113626400A (zh) * | 2021-07-11 | 2021-11-09 | 南京理工大学 | 基于日志树和解析树的日志事件提取方法及系统 |
CN114385396A (zh) * | 2021-12-27 | 2022-04-22 | 华青融天(北京)软件股份有限公司 | 一种日志解析方法、装置、设备及介质 |
Also Published As
Publication number | Publication date |
---|---|
CN115065536B (zh) | 2023-08-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9465593B2 (en) | Method and apparatus for testing browser compatibility | |
US9218269B2 (en) | Testing multiple target platforms | |
CN103853650A (zh) | 一种模糊测试的测试用例生成方法及装置 | |
CN107273269B (zh) | 日志解析方法及装置 | |
US20150026666A1 (en) | Analysis system, analysis method, and computer program product | |
US10721143B2 (en) | Testing method, device and system | |
CN108304483B (zh) | 一种网页分类方法、装置及设备 | |
US9672197B2 (en) | Universal rebranding engine | |
US9037552B2 (en) | Methods for analyzing a database and devices thereof | |
WO1999021404A2 (en) | Apparatus and method for semi-automated generation and application of language conformity tests | |
CN111694746A (zh) | 面向编译型语言AS3的Flash缺陷模糊测评工具 | |
KR20060094851A (ko) | 타겟팅된 변수 입력을 사용하여 데이터 포맷을 테스트하기위한 시스템 및 방법 | |
CN115065536B (zh) | 网络安全数据解析器、解析方法、电子设备及存储介质 | |
CA3149794C (en) | Error handling during asynchronous processing of sequential data blocks | |
CN106681852B (zh) | 一种浏览器兼容性的调整方法及装置 | |
CN107026854B (zh) | 漏洞验证方法及装置 | |
CN115617352B (zh) | 基于安全编码标准的c代码检测方法、设备和存储介质 | |
JP2012181666A (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
CN105607909B (zh) | 一种基于mvc框架改进列表开发效率的方法和系统 | |
CN105159900A (zh) | 多媒体数据编辑方法和编辑器 | |
CN106055571A (zh) | 网站识别方法及系统 | |
CN109241501A (zh) | 文件解析方法和装置 | |
CN110765003B (zh) | 代码检测方法、装置以及设备、存储介质 | |
CN105243022B (zh) | 主机应用软件系统的性能数据分析方法及装置 | |
CN113656302A (zh) | Waf规则自动测试方法、系统、存储介质及终端设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |