CN115208657A - 日志安全检测方法、装置、电子设备及存储介质 - Google Patents
日志安全检测方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN115208657A CN115208657A CN202210814930.5A CN202210814930A CN115208657A CN 115208657 A CN115208657 A CN 115208657A CN 202210814930 A CN202210814930 A CN 202210814930A CN 115208657 A CN115208657 A CN 115208657A
- Authority
- CN
- China
- Prior art keywords
- safety detection
- log
- expression
- detection rule
- matched
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 184
- 230000014509 gene expression Effects 0.000 claims abstract description 177
- 238000000034 method Methods 0.000 claims abstract description 35
- 238000004590 computer program Methods 0.000 claims description 15
- 238000004364 calculation method Methods 0.000 abstract description 28
- 230000002829 reductive effect Effects 0.000 abstract description 8
- 238000012545 processing Methods 0.000 description 10
- 238000004891 communication Methods 0.000 description 8
- 238000012423 maintenance Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 230000000670 limiting effect Effects 0.000 description 2
- 238000011897 real-time detection Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000004140 cleaning Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000010606 normalization Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 238000011895 specific detection Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本申请提供了一种日志安全检测方法、装置、电子设备及存储介质,涉及云计算技术领域。方法包括:获取待检测日志;在待检测日志与安全检测规则集中的正则表达式匹配的情况下,确定匹配表达式,以及匹配表达式所属的安全检测规则;正则表达式包括预先进行编译得到的处理器指令集;基于匹配表达式,以及匹配表达式所属的安全检测规则,确定安全检测结果。本实施例中,通过对安全检测规则中的正则表达式进行抽象,编译成CPU指令集,将安全检测计算从CPU密集型转换成输入输出操作,提升了计算性能。而且,根据匹配出的表达式和安全检测规则,确定安全检测结果,减少了安全检测规则的计算数量,从而实现高效的对海量日志进行实时安全检测。
Description
技术领域
本申请涉及云计算技术领域,尤其涉及一种日志安全检测方法、装置、电子设备及存储介质。
背景技术
云计算是分布式计算的一种,通过网络将巨大的数据计算处理程序分解成无数个小的程序,然后,通过多部服务器组成的系统进行处理和分析这些小的程序,得到结果并返回给用户。用户在使用网络过程中,网络中会记录系统日志,日志中包括:访问者网际互连协议(Internet Protocol,IP)地址、访问时间、访问次数等信息,日志可以用于网站维护,以及给网站管理者统计信息使用。
在云计算的场景下,有海量的日志需要进行审计和安全检测,需要将日志和安全检测规则进行匹配,在大量规则的场景下,所有规则都计算一遍,需要消耗大量的中央处理器(Central Processing Unit,CPU)计算资源,无法满足用户对日志实时检测的需求。
发明内容
本申请实施例提供一种日志安全检测方法、装置、电子设备及存储介质,以节省计算资源,实现高效的对海量日志进行实时安全检测。
第一方面,本申请实施例提供了一种日志安全检测方法,包括:
获取待检测日志;
在待检测日志与安全检测规则集中的正则表达式匹配的情况下,确定匹配表达式,以及匹配表达式所属的安全检测规则;正则表达式包括预先进行编译得到的处理器指令集;
基于匹配表达式,以及匹配表达式所属的安全检测规则,确定安全检测结果。
第二方面,本申请实施例提供了一种日志安全检测装置,包括:
日志获取模块,用于获取待检测日志;
日志匹配模块,用于在待检测日志与安全检测规则集中的正则表达式匹配的情况下,确定匹配表达式,以及匹配表达式所属的安全检测规则;正则表达式包括预先进行编译得到的处理器指令集;
结果确定模块,用于基于匹配表达式,以及匹配表达式所属的安全检测规则,确定安全检测结果。
第三方面,本申请实施例提供一种电子设备,包括存储器、处理器及存储在存储器上的计算机程序,处理器在执行计算机程序时实现本申请任一实施例提供的方法。
第四方面,本申请实施例提供一种计算机可读存储介质,计算机可读存储介质内存储有计算机程序,计算机程序被处理器执行时实现本申请任一实施例提供的方法。
与现有技术相比,本申请具有如下优点:
本申请实施例提供的日志安全检测方法、装置、电子设备及存储介质,获取待检测日志;在待检测日志与安全检测规则集中的正则表达式匹配的情况下,确定匹配表达式,以及匹配表达式所属的安全检测规则;正则表达式包括预先进行编译得到的处理器指令集;基于匹配表达式,以及匹配表达式所属的安全检测规则,确定安全检测结果。本实施例中,通过对安全检测规则中的正则表达式进行抽象,编译成处理器指令集,将安全检测计算从CPU密集型转换成输入输出操作,提升了计算性能。而且,根据匹配出的表达式和安全检测规则,确定安全检测结果,减少了安全检测规则的计算数量,从而实现高效的对海量日志进行实时安全检测。
上述概述仅仅是为了说明书的目的,并不意图以任何方式进行限制。除上述描述的示意性的方面、实施方式和特征之外,通过参考附图和以下的详细描述,本申请进一步的方面、实施方式和特征将会是容易明白的。
附图说明
在附图中,除非另外规定,否则贯穿多个附图相同的附图标记表示相同或相似的部件或元素。这些附图不一定是按照比例绘制的。应该理解,这些附图仅描绘了根据本申请公开的一些实施方式,而不应将其视为是对本申请范围的限制。
图1为本申请一实施例提供的日志安全检测方法的流程图;
图2为本申请一实施例提供的日志安全检测方法的流程图;
图3为本申请一实施例提供的日志安全检测装置的示意图;
图4为用来实现本申请实施例的电子设备的框图。
具体实施方式
在下文中,仅简单地描述了某些示例性实施例。正如本领域技术人员可认识到的那样,在不脱离本申请的精神或范围的情况下,可通过各种不同方式修改所描述的实施例。因此,附图和描述被认为本质上是示例性的而非限制性的。
为便于理解本申请实施例的技术方案,以下对本申请实施例的相关技术进行说明,以下相关技术作为可选方案与本申请实施例的技术方案可以进行任意结合,其均属于本申请实施例的保护范围。
为了更清楚地展示本申请实施例中提供的日志安全检测方法,首先介绍可用于实现该方法的应用场景。本申请实施例可以应用于对日志进行安全检测,了解网络运行状态、避免网络攻击、保证数据安全等场景中。
相关技术中,利用安全检测规则中的正则表达式进行正则计算以实现对日志进行安全检测。然而,直接利用正则表达式进行正则计算,性能非常低,而且,需要所有规则都计算一遍,在大量规则的场景下,消耗大量的CPU计算资源,无法满足用户对日志实时检测的需求。
本实施例中,通过对安全检测规则中的正则表达式进行抽象,编译成CPU指令集,将待检测日志与CPU指令集进行匹配计算,从而将安全检测计算从CPU密集型计算转换成输入输出操作,提升了计算性能。而且,根据匹配出的表达式和安全检测规则,确定安全检测结果,减少了安全检测规则的计算数量,从而实现高效的对海量日志进行实时安全检测。
图1为本申请一实施例的日志安全检测方法的流程图,本实施例提供的日志安全检测方法可以应用于日志安全检测装置,该装置可以部署于用户终端、服务器或其它处理设备中。用户终端可以包括手机、电脑等任意具有数据处理能力的终端设备。在一些可能的实现方式中,该方法还可以通过处理器调用存储器中存储的计算机可读指令的方式来实现。如图1所示,该方法包括:
步骤S101,获取待检测日志。
其中,待检测日志可以是包括但不限于访问者IP地址、用户名,访问时间、访问次数、所使用的操作系统、停留时间、出错信息、系统运行状态等信息的日志文件。
可选的,获取到待检测日志之后,可以对日志进行预处理。预处理可以包括以下至少一项:过滤不合规数据,清洗无效的数据,对数据进行格式转换和归一化处理,根据后续的安全检测需求筛选分离出不同属性的数据等。
获取待检测日志的具体方式可以是从预设的数据库中调用,也可以是接收其他设备发送的数据,也可以是通过任意方式抓取等,本实施例对此不作限定。
获取待检测日志的触发方式可以包括根据用户输入的指令触发获取,或者也可以是预先配置数据获取的触发条件,当条件满足时自动触发获取,例如,按照预配置时间周期,定期获取日志等。
步骤S102,在待检测日志与安全检测规则集中的正则表达式匹配的情况下,确定匹配表达式,以及匹配表达式所属的安全检测规则;正则表达式包括预先进行编译得到的处理器指令集。
其中,安全检测规则集中包括多个安全检测规则,每个安全检测规则对应的具体检测对象可以根据具体需要进行配置。
可选的,安全检测规则中包括表达式以及表达式之间的逻辑关系。表达式包括正则表达式、数值、字符串、数组、IP段,表达式的逻辑关系包括正则表达式匹配、正则表达式不匹配、等式、不等式、包含、不包含、数值比较、IP段匹配等。
示例性的,安全检测规则检查用户的行为是不是删除数据库表的高危操作,正则表达式可以是drop\s+table\s+.*,用这个正则表达式去匹配日志中的结构化查询语言(Structured Query Language,SQL)语句看是否匹配,如果匹配就是删除表的高危操作。
示例性的,安全检测规则的内容可以是“数据库名称包含AA,并且用户名是User”。该安全检测规则中的表达式是由“数据库名称包含AA”和“用户名是User”这两个表达式组成,并且这两个表达式的关系是“并且”的关系。
安全检测规则的表达式中包括正则表达式。正则表达式是一种文本模式,包括普通字符(例如,a到z之间的字母)和元字符,元字符使正则表达式具有处理能力。元字符是一个或一组代替一个或多个字符的字符,可以指在正则表达式中具有特殊意义的专用字符,可以用来规定其前导字符(即位于元字符前面的字符)在目标对象中的出现模式。安全检测规则中除了包括正则表达式之外,还可以包括其他形式的表达式。
预先对安全检测规则中的正则表达式进行编译处理,得到处理器指令集,具体的,可以是基于CPU指令集的正则表达式匹配库,例如,Hyperscan数据库。
将待检测日志与CPU指令集进行匹配处理,如果待检测日志与CPU指令集不匹配,则不会进行告警。如果匹配,则输出与待检测日志匹配的正则表达式的唯一标识,以及匹配的正则表达式所属的安全检测规则的唯一标识。
在一示例中,安全检测规则中的表达式定义如下:
Expression{
String varName;//变量的名称,如database_name
String value;//变量的值,如AA
String operator;//比较操作符,等于、大于、正则等等
}
安全检测规则的定义如下:
Rule{
List expressions;//表达式数组
String relation;//表达式的关系,并且还是或
}
Hyperscan数据库匹配输出的结果定义如下:
RuleOut{
String expressionId;//命中表达式ID
String ruleId;//表达式所属的规则
}
步骤S103,基于匹配表达式,以及匹配表达式所属的安全检测规则,确定安全检测结果。
基于匹配出的表达式和所属的安全检测规则来确定安全检测结果,不需要与所有的安全检测规则全部进行正则计算,可以减少计算量,节省计算资源。其中,安全检测结果可以包括正常或异常,可以针对不同的安全检测结果进行提示。
本申请实施例提供的日志安全检测方法,获取待检测日志;在待检测日志与安全检测规则集中的正则表达式匹配的情况下,确定匹配表达式,以及匹配表达式所属的安全检测规则;正则表达式包括预先进行编译得到的处理器指令集;基于匹配表达式,以及匹配表达式所属的安全检测规则,确定安全检测结果。本实施例中,通过对安全检测规则中的正则表达式进行抽象,编译成处理器指令集,将安全检测计算从CPU密集型转换成输入输出操作,提升了计算性能。而且,根据匹配出的表达式和安全检测规则,确定安全检测结果,减少了安全检测规则的计算数量,从而实现高效的对海量日志进行实时安全检测。
本实施例提供的日志安全检测方法,在步骤S102之前,还可以包括对正则表达式进行处理的步骤,具体见如下实施例:
在一种可能的实现方式中,在确定匹配表达式之前,日志安全检测方法还包括:预先按照预设时间周期,获取安全检测规则集;从安全检测规则集中提取多个正则表达式,将多个正则表达式编译成处理器指令集。
在实际应用中,可以按照预先配置的时间周期定期获取多个安全检测规则,以实现获取到的安全检测规则为最新的安全检测规则,从安全检测规则中提取正则表达式,进行编译处理,得到处理器指令集。只要安全检测规则集没有更新,则编译得到的处理器指令集可以一直使用,在之后每次进行日志安全检测中,将待检测日志与预先编译得到的处理器指令集进行匹配处理,使得日志与安全检测规则的匹配过程更加简单,不需要每次安全检测都将待检测日志与安全检测规则进行正则计算。相关技术中的将待检测日志与安全检测规则进行正则计算的匹配方式,与本实施例中的将待检测日志与处理器指令集进行匹配相比,计算匹配性能非常低,需要消费大量的CPU计算资源。本实施例中,从CPU密集型计算转换成输入输出IO操作,提升了计算性能,节省了计算资源,可以满足实时进行安全检测的需求。
在一种可能的实现方式中,基于匹配表达式,以及匹配表达式所属的安全检测规则,确定安全检测结果,包括:基于匹配表达式,以及匹配表达式所属的安全检测规则,确定待检测日志与匹配表达式所属的安全检测规则中除了匹配表达式之外的多个表达式是否匹配,如果待检测日志与多个表达式匹配,则生成告警提示信息。
在实际应用中,由于步骤S102中是将待检测日志与安全检测规则中的正则表达式进行了匹配,安全检测规则中还包括多个除了正则表达式之外的其他表达式,因此,确定了匹配表达式所属的安全检测规则之后,再将待检测日志与除了正则表达式之外的其他表达式进行匹配操作,如果与其他表达式也匹配,则生成告警提示信息。告警提示信息中包括日志发生时间、IP地址、用户名、用户行为、命中的安全检测规则等信息。告警提示信息用于提示日志中存在异常行为,可以将告警提示信息发送至相关的运维人员或管理人员的终端设备,以便于运维人员或管理人员采集及时相应的安全处理措施。
在一种可能的实现方式中,日志安全检测方法还包括:
如果待检测日志与除了匹配表达式之外的多个表达式匹配,则根据预先配置的安全检测规则的安全等级信息,确定告警提示等级。
在实际应用中,可以为不同的安全检测规则预先配置相应的安全等级信息,例如,安全等级可以分为高、中、低三个等级,可以根据待检测日志匹配的表达式所属的安全检测规则的安全等级,来输出不同等级的告警提示信息,每个等级可以对应不同的处理措施,将告警提示信息发送到运维人员的终端设备,使得运维人员可以根据告警提示等级采取相应的措施。
在一种可能的实现方式中,日志安全检测方法还包括:
如果待检测日志与除了匹配表达式之外的多个表达式匹配,根据匹配的表达式的数量,确定告警提示等级。
在实际应用中,输出与待检测日志匹配的匹配表达式以及匹配表达式所属的安全检测规则之后,可以确定待检测日志与安全检测规则中的匹配的表达式的数量,其中可以包括正则表达式之外的表达式的数量,也可以是每个安全检测规则下匹配的正则表达式和匹配的其他表达式的数量之和。根据匹配的表达式的数量,输出不同等级的告警提示信息。将告警提示信息发送到运维人员的终端设备,使得运维人员可以根据告警提示等级采取相应的措施。
在一种可能的实现方式中,安全检测规则集包括:预配置的安全规则和/或自定义的安全规则。
其中,预配置的安全规则可以是预先配置的不同属性的日志通用的安全规则,还可以是根据不同用户输入的配置指令确定的用户自定义的安全规则。本实施例中的安全检测规则集既可以满足通用的安全检测需要,又可以满足用户的个性化安全检测需求。
为了更加清晰的理解本申请的技术思路,下面通过一个具体的实施例介绍技术方案的具体实现过程。图2为本申请一实施例提供的日志安全检测方法的流程图。如图2所示,本实施例包括如下过程:
1.获取安全检测规则集。安全检测规则集中的安全检测规则包括内置规则和用户自定义的规则,定期从规则数据库获取规则。其中,内置规则是预先配置的不同属性的日志通用的安全规则,用户自定义规则是根据不同用户输入的配置指令确定的安全规则。
2.从安全检测规则中抽取正则表达式,编译成基于CPU指令集的Hyperscan数据库。
3.接收日志,用编译好的Hyperscan数据库进行匹配。
4.日志与Hyperscan数据库匹配之后,输出匹配的表达式数组,以及表达式所属的安全检测规则。
5.对结果表达式数组中的安全检测规则再进行检测,检测规则的其他表达式是否已匹配命中。
6.安全检测规则中所有的表达式都命中,则表示规则匹配,输出告警提示信息。
7.判断与日志匹配的所有安全检测规则是否都检测完成,如果未完成,则返回步骤5继续检测下一安全检测规则。
本实施例中,将安全检测规则进行抽象,编译成基于CPU指令集的Hyperscan数据库,转成IO操作,性能有非常显著的提升,通过Hyperscan数据库进行匹配,输出匹配的少量安全检测规则,再对这少量的安全检测规则进一步检测,大大降低了要检测的规则数量,从而达到高效的检测和实时性的要求。
与本申请实施例提供的方法的应用场景以及方法相对应地,本申请实施例还提供一种日志安全检测装置。如图3所示,该日志安全检测装置可以包括:
日志获取模块301,用于获取待检测日志;
日志匹配模块302,用于在待检测日志与安全检测规则集中的正则表达式匹配的情况下,确定匹配表达式,以及匹配表达式所属的安全检测规则;正则表达式包括预先进行编译得到的处理器指令集;
结果确定模块303,用于基于匹配表达式,以及匹配表达式所属的安全检测规则,确定安全检测结果。
本申请实施例提供的日志安全检测装置,获取待检测日志;在待检测日志与安全检测规则集中的正则表达式匹配的情况下,确定匹配表达式,以及匹配表达式所属的安全检测规则;正则表达式包括预先进行编译得到的处理器指令集;基于匹配表达式,以及匹配表达式所属的安全检测规则,确定安全检测结果。本实施例中,通过对安全检测规则中的正则表达式进行抽象,编译成CPU指令集,将安全检测计算从CPU密集型转换成输入输出操作,提升了计算性能。而且,根据匹配出的表达式和安全检测规则,确定安全检测结果,减少了安全检测规则的计算数量,从而能够高效的对海量日志进行实时安全检测。
在一种可能的实现方式中,日志安全检测装置还包括编译模块,用于:
在确定匹配表达式之前,预先按照预设时间周期,获取安全检测规则集;从安全检测规则集中提取多个正则表达式,将多个正则表达式编译成处理器指令集。
在一种可能的实现方式中,结果确定模块303,用于:
基于匹配表达式,以及匹配表达式所属的安全检测规则,确定待检测日志与匹配表达式所属的安全检测规则中除了匹配表达式之外的多个表达式是否匹配,如果待检测日志与多个表达式匹配,则生成告警提示信息。
在一种可能的实现方式中,日志安全检测装置还包括第一告警等级确定模块,用于:
如果待检测日志与除了匹配表达式之外的多个表达式匹配,则根据预先配置的安全检测规则的安全等级信息,确定告警提示等级。
在一种可能的实现方式中,日志安全检测装置还包括第二告警等级确定模块,用于:
如果待检测日志与除了匹配表达式之外的多个表达式匹配,根据匹配的表达式的数量,确定告警提示等级。
在一种可能的实现方式中,安全检测规则集包括:预配置的安全规则和/或自定义的安全规则。
本申请实施例各装置中的各模块的功能可以参见上述方法中的对应描述,并具备相应的有益效果,在此不再赘述。
图4为用来实现本申请实施例的电子设备的框图。如图4所示,该电子设备包括:存储器410和处理器420,存储器410内存储有可在处理器420上运行的计算机程序。处理器420执行该计算机程序时实现上述实施例中的方法。存储器410和处理器420的数量可以为一个或多个。
该电子设备还包括:
通信接口430,用于与外界设备进行通信,进行数据交互传输。
如果存储器410、处理器420和通信接口430独立实现,则存储器410、处理器420和通信接口430可以通过总线相互连接并完成相互间的通信。该总线可以是工业标准体系结构(Industry Standard Architecture,ISA)总线、外部设备互连(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准体系结构(Extended Industry StandardArchitecture,EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。为便于表示,图4中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
可选的,在具体实现上,如果存储器410、处理器420及通信接口430集成在一块芯片上,则存储器410、处理器420及通信接口430可以通过内部接口完成相互间的通信。
本申请实施例提供了一种计算机可读存储介质,其存储有计算机程序,该程序被处理器执行时实现本申请实施例中提供的方法。
本申请实施例还提供了一种芯片,该芯片包括,包括处理器,用于从存储器中调用并运行存储器中存储的指令,使得安装有芯片的通信设备执行本申请实施例提供的方法。
本申请实施例还提供了一种芯片,包括:输入接口、输出接口、处理器和存储器,输入接口、输出接口、处理器以及存储器之间通过内部连接通路相连,处理器用于执行存储器中的代码,当代码被执行时,处理器用于执行申请实施例提供的方法。
应理解的是,上述处理器可以是中央处理器(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(FieldProgrammable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者是任何常规的处理器等。值得说明的是,处理器可以是支持进阶精简指令集机器(Advanced RISC Machines,ARM)架构的处理器。
进一步地,可选的,上述存储器可以包括只读存储器和随机存取存储器,还可以包括非易失性随机存取存储器。该存储器可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以包括只读存储器(Read-OnlyMemory,ROM)、可编程只读存储器(Programmable ROM,PROM)、可擦除可编程只读存储器(Erasable PROM,EPROM)、电可擦除可编程只读存储器(Electrically EPROM,EEPROM)或闪存。易失性存储器可以包括随机存取存储器(Random Access Memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用。例如,静态随机存取存储器(Static RAM,SRAM)、动态随机存取存储器(Dynamic Random Access Memory,DRAM)、同步动态随机存取存储器(Synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data Rate SDRAM,DDR SDRAM)、增强型同步动态随机存取存储器(EnhancedSDRAM,ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM,SLDRAM)和直接内存总线随机存取存储器(Direct Rambus RAM,DR RAM)。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时,全部或部分地产生按照本申请的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包括于本申请的至少一个实施例或示例中。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或隐含地包括至少一个该特征。在本申请的描述中,“多个”的含义是两个或两个以上,除非另有明确具体的限定。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分。并且本申请的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能。
在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。
应理解的是,本申请的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。上述实施例方法的全部或部分步骤是可以通过程序来指令相关的硬件完成,该程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本申请各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。上述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读存储介质中。该存储介质可以是只读存储器,磁盘或光盘等。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到其各种变化或替换,这些都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种日志安全检测方法,其特征在于,所述方法包括:
获取待检测日志;
在所述待检测日志与安全检测规则集中的正则表达式匹配的情况下,确定匹配表达式,以及所述匹配表达式所属的安全检测规则;所述正则表达式包括预先进行编译得到的处理器指令集;
基于所述匹配表达式,以及所述匹配表达式所属的安全检测规则,确定安全检测结果。
2.根据权利要求1所述的方法,其特征在于,在所述确定匹配表达式之前,所述方法还包括:
预先按照预设时间周期,获取所述安全检测规则集;
从所述安全检测规则集中提取多个正则表达式,将所述多个正则表达式编译成处理器指令集。
3.根据权利要求1所述的方法,其特征在于,所述基于所述匹配表达式,以及所述匹配表达式所属的安全检测规则,确定安全检测结果,包括:
基于所述匹配表达式,以及所述匹配表达式所属的安全检测规则,确定所述待检测日志与所述匹配表达式所属的安全检测规则中除了所述匹配表达式之外的多个表达式是否匹配,如果所述待检测日志与所述多个表达式匹配,则生成告警提示信息。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
如果所述待检测日志与除了所述匹配表达式之外的多个表达式匹配,则根据预先配置的所述安全检测规则的安全等级信息,确定告警提示等级。
5.根据权利要求3所述的方法,其特征在于,所述方法还包括:
如果所述待检测日志与除了所述匹配表达式之外的多个表达式匹配,根据匹配的表达式的数量,确定告警提示等级。
6.根据权利要求1-3任一项所述的方法,其特征在于,所述安全检测规则集包括:预配置的安全规则和/或自定义的安全规则。
7.一种日志安全检测装置,其特征在于,所述装置包括:
日志获取模块,用于获取待检测日志;
日志匹配模块,用于在所述待检测日志与安全检测规则集中的正则表达式匹配的情况下,确定匹配表达式,以及所述匹配表达式所属的安全检测规则;所述正则表达式包括预先进行编译得到的处理器指令集;
结果确定模块,用于基于所述匹配表达式,以及所述匹配表达式所属的安全检测规则,确定安全检测结果。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括编译模块,用于:
在确定匹配表达式之前,预先按照预设时间周期,获取所述安全检测规则集;
从所述安全检测规则集中提取多个正则表达式,将所述多个正则表达式编译成处理器指令集。
9.一种电子设备,包括存储器、处理器及存储在存储器上的计算机程序,所述处理器在执行所述计算机程序时实现权利要求1-6中任一项所述的方法。
10.一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-6中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210814930.5A CN115208657A (zh) | 2022-07-11 | 2022-07-11 | 日志安全检测方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210814930.5A CN115208657A (zh) | 2022-07-11 | 2022-07-11 | 日志安全检测方法、装置、电子设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115208657A true CN115208657A (zh) | 2022-10-18 |
Family
ID=83580544
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210814930.5A Pending CN115208657A (zh) | 2022-07-11 | 2022-07-11 | 日志安全检测方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115208657A (zh) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140283083A1 (en) * | 2013-03-15 | 2014-09-18 | Tenable Network Security, Inc. | System and method for correlating log data to discover network vulnerabilities and assets |
| CN106598827A (zh) * | 2016-12-19 | 2017-04-26 | 东软集团股份有限公司 | 提取日志数据的方法及装置 |
| CN107733902A (zh) * | 2017-10-23 | 2018-02-23 | 中国移动通信集团广东有限公司 | 一种目标数据扩散过程的监控方法及装置 |
| CN108170580A (zh) * | 2017-11-22 | 2018-06-15 | 链家网(北京)科技有限公司 | 一种基于规则的日志报警方法、装置及系统 |
| CN109413131A (zh) * | 2018-04-28 | 2019-03-01 | 武汉思普崚技术有限公司 | 一种日志解析的方法及装置 |
| CN111786959A (zh) * | 2020-06-10 | 2020-10-16 | 中移(杭州)信息技术有限公司 | 安全防护方法、waf系统、电子设备及存储介质 |
| CN112104628A (zh) * | 2020-09-04 | 2020-12-18 | 福州林科斯拉信息技术有限公司 | 一种自适应特征规则匹配的实时恶意流量检测方法 |
| CN113810242A (zh) * | 2020-06-16 | 2021-12-17 | 中盈优创资讯科技有限公司 | 系统日志分析方法及装置 |
-
2022
- 2022-07-11 CN CN202210814930.5A patent/CN115208657A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140283083A1 (en) * | 2013-03-15 | 2014-09-18 | Tenable Network Security, Inc. | System and method for correlating log data to discover network vulnerabilities and assets |
| CN106598827A (zh) * | 2016-12-19 | 2017-04-26 | 东软集团股份有限公司 | 提取日志数据的方法及装置 |
| CN107733902A (zh) * | 2017-10-23 | 2018-02-23 | 中国移动通信集团广东有限公司 | 一种目标数据扩散过程的监控方法及装置 |
| CN108170580A (zh) * | 2017-11-22 | 2018-06-15 | 链家网(北京)科技有限公司 | 一种基于规则的日志报警方法、装置及系统 |
| CN109413131A (zh) * | 2018-04-28 | 2019-03-01 | 武汉思普崚技术有限公司 | 一种日志解析的方法及装置 |
| CN111786959A (zh) * | 2020-06-10 | 2020-10-16 | 中移(杭州)信息技术有限公司 | 安全防护方法、waf系统、电子设备及存储介质 |
| CN113810242A (zh) * | 2020-06-16 | 2021-12-17 | 中盈优创资讯科技有限公司 | 系统日志分析方法及装置 |
| CN112104628A (zh) * | 2020-09-04 | 2020-12-18 | 福州林科斯拉信息技术有限公司 | 一种自适应特征规则匹配的实时恶意流量检测方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110941528B (zh) | 一种基于故障的日志埋点设置方法、装置及系统 | |
| CN113489713B (zh) | 网络攻击的检测方法、装置、设备及存储介质 | |
| CN111817891A (zh) | 网络故障处理方法、装置、存储介质及电子设备 | |
| CN108664793B (zh) | 一种检测漏洞的方法和装置 | |
| CN109543891B (zh) | 容量预测模型的建立方法、设备及计算机可读存储介质 | |
| CN114465741B (zh) | 一种异常检测方法、装置、计算机设备及存储介质 | |
| CN110941632A (zh) | 一种数据库审计方法、装置及设备 | |
| CN112688966A (zh) | webshell检测方法、装置、介质和设备 | |
| US20230252136A1 (en) | Apparatus for processing cyber threat information, method for processing cyber threat information, and medium for storing a program processing cyber threat information | |
| CN108898014A (zh) | 一种病毒查杀方法、服务器及电子设备 | |
| CN112738094A (zh) | 可扩展的网络安全漏洞监测方法、系统、终端及存储介质 | |
| CN112559344A (zh) | 远程mock测试方法及系统 | |
| CN111416857A (zh) | 客户端崩溃处理方法、装置、系统、设备和存储介质 | |
| US20230048076A1 (en) | Cyber threat information processing apparatus, cyber threat information processing method, and storage medium storing cyber threat information processing program | |
| CN115208657A (zh) | 日志安全检测方法、装置、电子设备及存储介质 | |
| US20230254340A1 (en) | Apparatus for processing cyber threat information, method for processing cyber threat information, and medium for storing a program processing cyber threat information | |
| CN114385457A (zh) | 应用程序数据采集方法、装置、设备及存储介质 | |
| CN111191234A (zh) | 一种病毒信息检测的方法及装置 | |
| CN116566729B (zh) | 基于安全云的网络安全运营分析方法、装置、电子设备及存储介质 | |
| CN111738848B (zh) | 特征数据的生成方法、装置、计算机设备和存储介质 | |
| CN114553550B (zh) | 请求检测方法、装置、存储介质及电子设备 | |
| US20230252143A1 (en) | Apparatus for processing cyber threat information, method for processing cyber threat information, and medium for storing a program processing cyber threat information | |
| US20240211595A1 (en) | Cyber threat information processing apparatus, cyber threat information processing method, and storage medium storing cyber threat information processing program | |
| CN115185604A (zh) | 决策方法、系统、存储介质及服务器 | |
| CN115130103A (zh) | 风险处理方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |