CN116185790A - 一种模块化日志审计高效管控方法及系统 - Google Patents
一种模块化日志审计高效管控方法及系统 Download PDFInfo
- Publication number
- CN116185790A CN116185790A CN202211601590.4A CN202211601590A CN116185790A CN 116185790 A CN116185790 A CN 116185790A CN 202211601590 A CN202211601590 A CN 202211601590A CN 116185790 A CN116185790 A CN 116185790A
- Authority
- CN
- China
- Prior art keywords
- log
- information
- result
- feature
- log information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 41
- 238000012550 audit Methods 0.000 title claims abstract description 38
- 238000007726 management method Methods 0.000 title claims abstract description 18
- 238000001514 detection method Methods 0.000 claims abstract description 31
- 230000005856 abnormality Effects 0.000 claims abstract description 20
- 238000004458 analytical method Methods 0.000 claims description 26
- 230000009467 reduction Effects 0.000 claims description 16
- 230000002159 abnormal effect Effects 0.000 claims description 13
- 238000010586 diagram Methods 0.000 claims description 11
- 238000004422 calculation algorithm Methods 0.000 claims description 8
- 238000010606 normalization Methods 0.000 claims description 4
- 238000007621 cluster analysis Methods 0.000 claims description 2
- 230000000694 effects Effects 0.000 abstract description 14
- 238000009833 condensation Methods 0.000 description 10
- 230000005494 condensation Effects 0.000 description 10
- 239000011159 matrix material Substances 0.000 description 8
- 238000011156 evaluation Methods 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 238000012847 principal component analysis method Methods 0.000 description 2
- 244000035744 Hura crepitans Species 0.000 description 1
- 238000013474 audit trail Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3466—Performance evaluation by tracing or monitoring
- G06F11/3476—Data logging
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3466—Performance evaluation by tracing or monitoring
- G06F11/3495—Performance evaluation by tracing or monitoring for systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/17—Details of further file system functions
- G06F16/1734—Details of monitoring file system events, e.g. by the use of hooks, filter drivers, logs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/18—File system types
- G06F16/1805—Append-only file systems, e.g. using logs or journals to store data
- G06F16/1815—Journaling file systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/30—Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
- G06F16/35—Clustering; Classification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Quality & Reliability (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明提供了一种模块化日志审计高效管控方法及系统,涉及日志审计技术领域,采集获取各目标系统基础信息,实时采集各目标系统的日志信息,进行分类处理,对每一类别的日志信息进行等级划分,获得等级划分结果,获取信息异常检测结果,根据信息异常检测结果进行日志的处理。本发明解决了解决了现有技术中,无法对日志信息进行快速分析,使得日志审计效果差、工作效率低的技术问题,实现了对日志信息的快速识别、分类,进而自动匹配相应的处理方式,达到提升日志审计效果、提高日志审计效率的技术效果。
Description
技术领域
本发明涉及日志审计技术领域,具体涉及一种模块化日志审计高效管控方法及系统。
背景技术
在一个完整的信息系统中,日志是以一个很重要的功能组成部分,当系统中出现一些管理员操作或者系统本身的报错行为时,日志就相当于系统这一天的工作汇报,系统每天都干了什么,有没有告警信息,哪些出了问题,问题可不可识别,在系统遭受安全攻击时,系统的登陆错误、异常访问等都会以日志的形式记录下来,通过分析这些日志,读懂这些系统的工作汇报可以知道系统这一天遭受了哪些攻击、完成了哪些任务。同时查看日志也为安全事件发生以后,日后查明何人所为做了什么有了一个很好的取证信息来源,日志可以为审计进行审计跟踪,而现今常用的日志审计方法还存在着一定的弊端,对于日志审计还存在着一定的可提升空间。
现有技术中,无法对日志信息进行快速分析,使得日志审计效果差、工作效率低。
发明内容
本申请实施例提供了一种模块化日志审计高效管控方法及系统,用于针对解决现有技术中,无法对日志信息进行快速分析,使得日志审计效果差、工作效率低的技术问题。
鉴于上述问题,本申请实施例提供了一种模块化日志审计高效管控方法及系统。
第一方面,本申请实施例提供了一种模块化日志审计高效管控方法,所述方法包括:采集获取各目标系统基础信息;根据各所述目标系统基础信息,实时采集各所述目标系统的日志信息;对所述日志信息进行分类处理,获取日志分类结果;根据各类别的日志分类结果,对每一类别的日志信息进行等级划分,获得等级划分结果;基于所述日志分类结果和所述等级划分结果,获取信息异常检测结果;根据所述信息异常检测结果进行日志的处理。
第二方面,本申请实施例提供了一种模块化日志审计高效管控系统,所述系统包括:基础信息获取模块,所述基础信息获取模块用于采集获取各目标系统基础信息;日志信息获取模块,所述日志信息获取模块用于根据各所述目标系统基础信息,实时采集各所述目标系统的日志信息;分类处理模块,所述分类处理模块用于对所述日志信息进行分类处理,获取日志分类结果;等级划分模块,所述等级划分模块用于根据各类别的日志分类结果,对每一类别的日志信息进行等级划分,获得等级划分结果;异常检测结果获取模块,所述异常检测结果获取模块用于基于所述日志分类结果和所述等级划分结果,获取信息异常检测结果;日志处理模块,所述日志处理模块用于根据所述信息异常检测结果进行日志的处理。
本申请实施例中提供的一个或多个技术方案,至少具有如下技术效果或优点:
本申请实施例提供的一种模块化日志审计高效管控方法,涉及日志审计技术领域,采集获取各目标系统基础信息,实时采集各目标系统的日志信息,进行分类处理,对每一类别的日志信息进行等级划分,获得等级划分结果,获取信息异常检测结果,根据信息异常检测结果进行日志的处理。解决了现有技术中,无法对日志信息进行快速分析,使得日志审计效果差、工作效率低的技术问题。实现了对日志信息的快速识别、分类,进而自动匹配相应的处理方式,达到提升日志审计效果、提高日志审计效率的技术效果。
上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
图1为本申请实施例提供了一种模块化日志审计高效管控方法流程示意图;
图2为本申请实施例提供了一种模块化日志审计高效管控方法中实时获取各目标系统的日志信息流程示意图;
图3为本申请实施例提供了一种模块化日志审计高效管控系统结构示意图。
附图标记说明:基础信息获取模块10,日志信息获取模块20,分类处理模块30,等级划分模块40,异常检测结果获取模块50,日志处理模块60。
具体实施方式
本申请实施例通过提供一种模块化日志审计高效管控方法,用于针对解决现有技术中,无法对日志信息进行快速分析,使得日志审计效果差、工作效率低的技术问题。
实施例一
如图1所示,本申请实施例提供了一种模块化日志审计高效管控方法,所述方法包括:
步骤S100:采集获取各目标系统基础信息;
具体而言,本申请实施例提供的一种模块化日志审计高效管控方法应用于模块化日志审计高效管控系统。首先,基础信息是指目标系统的操作系统、代码语言、待接入系统的接入方法等基础信息,由于操作系统的基础代码差异极大,因此读取目标系统的日志信息首先需要匹配相对应的操作系统,如windows、Linux、ios,而对于日志的代码书写语言不同也会导致读取乱码的问题出现,待接入系统的接入方法则直接影响到日志内容的读取路径以及读取数量,通过各目标系统基础信息的获取,实现了对于各目标系统基础信息的掌控,为后续对各系统的日志采集打下基础。
步骤S200:根据各所述目标系统基础信息,实时采集各所述目标系统的日志信息;
具体而言,所述目标系统基础信息是指上述目标系统的操作系统、代码语言等基础信息,接入目标系统后,在大数据中对于日志、外来攻击等代码的基础特征的学习来分辨目标系统内读取到的文件的类型,以此对数据进行标准化处理,以实现数据指标之间的可比性,将原始数据经过数据标准化处理后,各指标处于同一数量级,将其分类存储至目标系统中的存储文件夹中,该方法解决了审计系统对目标系统日志读取的时效性问题,达到了实时收集日志并且快速处理的效果。
步骤S300:对所述日志信息进行分类处理,获取日志分类结果;
具体而言,所述日志信息是指在目标系统读取到的日志信息,分类处理是指对审计系统所收集到的日志信息中的代码进行解析后得到的日志类型的分类,获取到的日志信息繁杂且冗余,如正常日志,即无错误代码的日志文件,报错日志,即代码中含有!error或类似代码的日志文件,报警日志,即代码中含有!alert或类似代码的日志文件,直接处理会导致耗费时间长、工作重复。因此对日志信息进行降维,也就是尽可能将原始特征往具有最大投影信息量的维度上进行投影,将原特征投影到这些维度上,使降维后信息量损失最小。解决了对不同内容、不同情况的日志快速识别、快速分类的问题,达到了对不同内容的日志准确处理快速分类的效果;
步骤S400:根据各类别的日志分类结果,对每一类别的日志信息进行等级划分,获得等级划分结果;
具体而言,对所述每一类别的日志信息,根据其对于系统的安全威胁进行划分,包括运行、操作、告警,分别获取运行、操作、告警特征在整个日志信息内的分布情况,以直方图的形式进行展示,直方图的高度即表征某种特征在日志信息中的占比。根据所述安全特性特征分布图,选定一定的记录作为凝聚点,凝聚点为为各类别日志信息中的数据,对各类别日志信息进行循环遍历,按就近原则将其余记录向凝聚点凝集,计算出各个初始分类的均值,用计算出的中心位置重新进行聚类,如此循环直至凝聚点位置收敛为止,根据最终得到的凝聚点位置获得等级划分结果。
步骤S500:基于所述日志分类结果和所述等级划分结果,获取信息异常检测结果;
具体而言,其中异常检测是指针对操作日志和告警日志中的日志内容和代码进行检查,通过对于大数据的学习,将不同的日志类型分别分为三类,分别为轻度、中度、重度三个等级,轻度和中度由审计系统于大数据学习代码问题处理办法后检测,查询是否能够进行系统自主处理,若检测后可以进行自主处理则进行自主修复,确认无误后归于正常日志处理,若无法处理则进行下一步处理,重度则将其暂存于系统构建的安全沙盒中存储,并进行下一步操作该方法解决了日志出现问题时如何及时处理的问题,达到了减少终端用户操作量,提升操作有效性和精度的效果。
步骤S600:根据所述信息异常检测结果进行日志的处理;
具体而言,在上述运行、操作、告警日志在上一步系统自主处理后,将无法修复的中度和重度问题提交终端用户,所述提交终端用户是指将信息发送于终端用户与系统绑定的设备上,如个人便携式智能电脑、智能手机等,轻度、中度和重度问题提交时有不同的提醒模式,如轻度提交信息后于客户终端设备主屏幕弹出消息,中度伴随响铃或振动,重度则保持信息至于设备前端持续提醒并且保持振动或响铃,直至用户处理问题日志后解除,该方法解决了终端用户无法及时收到报错信息以及了解错误信息错误程度的问题,达到了提升问题解决速度,保证目标系统以最短时间恢复正常运行的效果。
进一步而言,如图2所示,本申请步骤S200还包括:
步骤S210:对各所述目标系统基础信息进行格式归一化处理,获得标准化基础信息;
步骤S220:根据所述标准化基础信息,实时获取各所述目标系统的日志信息。
具体而言,对于不同系统,采取不同评价指标往往具有不同的量纲和量纲单位,这样的情况会影响到数据分析的结果,为了消除指标之间的量纲影响,需要进行数据标准化处理,以解决数据指标之间的可比性,将原始数据经过数据标准化处理后,各指标处于同一数量级,适合进行综合对比评价。示例性地,对原始数据进行均值和标准差的计算,根据均值和标准差进行数据的标准化,使得经过处理的数据符合标准正态分布,即均值为0,标准差为1,转换函数为:x*=(x-μ)/σ,其中,μ为所有样本数据的均值,σ为所有样本数据的标准差。根据得到的标准化基础信息进行目标系统的日志信息采集,实现了消除不同系统之间日志信息采集的差异,达到提高信息采集效率的技术效果。
进一步而言,本申请步骤S300还包括:
步骤S310:根据所述日志信息,获得所述日志信息的主特征数据集;
步骤S320:根据所述主特征数据集,对所述日志信息进行特征分类,获得所述日志分类结果。
具体而言,通过主成分分析法对日志信息中的特征数据进行降维处理,基于日志信息获得第一特征数据集,对所述第一特征数据集进行去中心化处理,即对第一特征数据集去均值,求每一个特征的平均值,然后对于所有的日志信息,每一个特征都减去自身的均值,获得第二特征数据集。获得所述第二特征数据集的第一协方差矩阵,对所述第一协方差矩阵进行运算,获得所述第一协方差矩阵的第一特征值和第一特征向量,将所述第一特征数据集投影到所述第一特征向量,获得第一降维数据集,其中所述第一降维数据集为所述第一特征数据集降维之后获得的主特征数据集。
进一步而言,本申请步骤S310还包括:
步骤S311:对所述日志信息进行特征分析,获得日志特征数据库;
步骤S312:对所述日志特征数据库进行特征降维处理,得到降为特征数据库;
步骤S313:对所述降维特征数据库进行特征提取,获得主特征数据集。
具体而言,对得到的日志信息进行数值化处理,并构建特征数据集矩阵,获得第一特征数据集,对所述第一特征数据集中的各特征进行去中心化处理,首先求解所述第一特征数据集中各特征的平均值,然后对于所有的日志信息,每一个特征都减去自身的均值,继而获得新的特征值,由新的特征数据集构成第二特征数据集,所述第二特征数据集为一数据矩阵。通过协方差公式对所述第二特征数据集进行运算,获得所述第二特征数据集的第一协方差矩阵,继而通过矩阵运算,求出所述第一协方差矩阵的特征值及特征向量,且每一特征值对应一个特征向量。
在求出的所述第一特征向量中,选取最大的前K个特征值及其对应的特征向量,并将所述第一特征数据集中的原始特征投影到所选取的特征向量之上,得到降维之后的所述主特征数据集。实现了通过主成分分析法对数据库中的特征数据进行降维处理,在保证信息量的前提下剔除冗余数据,使得数据库中特征数据的样本量减小,且降维后信息量损失最小。
进一步而言,本申请步骤S400还包括:
步骤S410:对所述每一类别的日志信息进行安全特性分析,获得安全特性特征分布图;
步骤S420:根据所述安全特性特征分布图,基于聚类分析方法,进行安全等级划分,获得各类别日志信息的等级划分结果。
具体而言,对所述每一类别的日志信息,根据其对于系统的安全威胁进行划分,包括运行、操作、告警,分别获取运行、操作、告警特征在整个日志信息内的分布情况,以直方图的形式进行展示,直方图的高度即表征某种特征在日志信息中的占比。根据所述安全特性特征分布图,选定一定的记录作为凝聚点,凝聚点为为各类别日志信息中的数据,对各类别日志信息进行循环遍历,按就近原则将其余记录向凝聚点凝集,计算出各个初始分类的均值,用计算出的中心位置重新进行聚类,如此循环直至凝聚点位置收敛为止,根据最终得到的凝聚点位置获得等级划分结果。
进一步而言,本申请步骤S410包括:
步骤S411:构建安全特征分析算法模型;
步骤S412:获取每一类别的日志信息的安全特性信息;
步骤S413:将所述安全特性信息输入所述安全特性分析算法模型,获得安全特性分析结果数据;
步骤S414:根据所述安全特性分析结果数据,获得所述安全特性特征分布图。
具体而言,根据系统日志对于系统的安全威胁进行划分,包括运行、操作、告警,其中,运行日志为系统正常记录日志类型,包括记录所有事务,无论是否提交只是做简单的记录,用于数据恢复、数据撤回等,为威胁性最低的类别,操作日志为最系统产生影响、修改的行为记录,如程序推进等,用于指出细粒度信息事件,对调试应用程序提供支持,告警日志即输出错误事件及警告,为会导致应用程序的退出的日志,根据划分结果构建安全特征分析算法模型。对每一类别的日志信息进行安全特性分析,即判别日志信息属于哪个种类,将得到的种类判别结果输入所述安全特性分析算法模型,以日志类型为横坐标,以数量为纵坐标,构建频率分布直方图。
进一步而言,本申请步骤S500还包括:
步骤S510:基于所述日志分类结果和所述等级划分结果,对所述日志进行信息异常检测,获得异常信息;
步骤S520:将所述异常信息进行标记,获取信息异常检测结果。
具体而言,根据日志分类结果获取日志类型,将三类日志针对不同情况分别处理,如日志内容,对于正常日志进行放行并存储,错误日志及报警日志进入下一层处理,根据等级划分结果获得日志在该类型中对于系统的危害等级,包括轻度、中度和重度,如对于外来攻击,将无外来攻击情况忽略,如存在外来攻击则对其进行标记,对于不同程度的标记对客户发送不同程度的报警信号,如轻度报警信息将对其进行振动或信息提醒,中度则发送多次报警信息或多次振动、响铃,重度报警信息则持续响铃并且保持报警信息置于客户终端最顶端持续提醒。实现了保证了操作系统正常运行的同时可以用户随时观察这些代码以便优化。
实施例二
基于与前述实施例中一种模块化日志审计高效管控方法相同的发明构思,如图3所示,本申请提供了一种模块化日志审计高效管控系统,系统包括:
基础信息获取模块10,所述基础信息获取模块10用于采集获取各目标系统基础信息;
日志信息获取模块20,所述日志信息获取模块20用于根据各所述目标系统基础信息,实时采集各所述目标系统的日志信息;
分类处理模块30,所述分类处理模块30用于对所述日志信息进行分类处理,获取日志分类结果;
等级划分模块40,所述等级划分模块40用于根据各类别的日志分类结果,对每一类别的日志信息进行等级划分,获得等级划分结果;
异常检测结果获取模块50,所述异常检测结果获取模块50用于基于所述日志分类结果和所述等级划分结果,获取信息异常检测结果;
日志处理模块60,所述日志处理模块60用于根据所述信息异常检测结果进行日志的处理。
进一步而言,系统还包括:
归一化处理模块,用于对各所述目标系统基础信息进行格式归一化处理,获得标准化基础信息;
日志信息实时模块,用于根据所述标准化基础信息,实时获取各所述目标系统的日志信息。
进一步而言,系统还包括:
主特征数据集获取模块,用于根据所述日志信息,获得所述日志信息的主特征数据集;
特征分类模块,用于根据所述主特征数据集,对所述日志信息进行特征分类,获得所述日志分类结果。
进一步而言,系统还包括:
特征分析模块,用于对所述日志信息进行特征分析,获得日志特征数据库;
特征降维处理模块,用于对所述日志特征数据库进行特征降维处理,得到降为特征数据库;
特征提取模块,用于对所述降维特征数据库进行特征提取,获得主特征数据集。
进一步而言,系统还包括:
安全特性分析模块,用于对所述每一类别的日志信息进行安全特性分析,获得安全特性特征分布图;
安全等级划分模块,用于根据所述安全特性特征分布图,基于聚类分析方法,进行安全等级划分,获得各类别日志信息的等级划分结果。
进一步而言,系统还包括:
模型构建模块,用于构建安全特征分析算法模型;
安全特性信息获取模块,用于获取每一类别的日志信息的安全特性信息;
分析结果数据获取模块,用于将所述安全特性信息输入所述安全特性分析算法模型,获得安全特性分析结果数据;
特征分布图获取模块,用于根据所述安全特性分析结果数据,获得所述安全特性特征分布图。
进一步而言,系统还包括:
信息异常检测模块,用于基于所述日志分类结果和所述等级划分结果,对所述日志进行信息异常检测,获得异常信息;
标记模块,用于将所述异常信息进行标记,获取信息异常检测结果。
本说明书通过前述对一种模块化日志审计高效管控方法的详细描述,本领域技术人员可以清楚的知道本实施例中一种模块化日志审计高效管控方法及系统,对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (8)
1.一种模块化日志审计高效管控方法,其特征在于,所述方法包括:
采集获取各目标系统基础信息;
根据各所述目标系统基础信息,实时采集各所述目标系统的日志信息;
对所述日志信息进行分类处理,获取日志分类结果;
根据各类别的日志分类结果,对每一类别的日志信息进行等级划分,获得等级划分结果;
基于所述日志分类结果和所述等级划分结果,获取信息异常检测结果;
根据所述信息异常检测结果进行日志的处理。
2.如权利要求1所述的方法,其特征在于,所述根据各所述目标系统基础信息,实时采集各所述目标系统的日志信息,包括:
对各所述目标系统基础信息进行格式归一化处理,获得标准化基础信息;
根据所述标准化基础信息,实时获取各所述目标系统的日志信息。
3.如权利要求1所述的方法,其特征在于,所述对所述日志信息进行分类处理,获取日志分类结果,包括:
根据所述日志信息,获得所述日志信息的主特征数据集;
根据所述主特征数据集,对所述日志信息进行特征分类,获得所述日志分类结果。
4.如权利要求3所述的方法,其特征在于,所述根据所述日志信息,获得所述日志信息的主特征数据集,包括:
对所述日志信息进行特征分析,获得日志特征数据库;
对所述日志特征数据库进行特征降维处理,得到降为特征数据库;
对所述降维特征数据库进行特征提取,获得主特征数据集。
5.如权利要求1所述的方法,其特征在于,所述根据各类别的日志分类结果,对每一类别的日志信息进行等级划分,获得等级划分结果,包括:
对所述每一类别的日志信息进行安全特性分析,获得安全特性特征分布图;
根据所述安全特性特征分布图,基于聚类分析方法,进行安全等级划分,获得各类别日志信息的等级划分结果。
6.如权利要求5所述的方法,其特征在于,所述对所述每一类别的日志信息进行安全特性分析,获得安全特性特征分布图,包括:
构建安全特征分析算法模型;
获取每一类别的日新信息的安全特性信息;
将所述安全特性信息输入所述安全特性分析算法模型,获得安全特性分析结果数据;
根据所述安全特性分析结果数据,获得所述安全特性特征分布图。
7.如权利要求1所述的方法,其特征在于,所述基于所述日志分类结果和所述等级划分结果,获取信息异常检测结果,包括:
基于所述日志分类结果和所述等级划分结果,对所述日志进行信息异常检测,获得异常信息;
将所述异常信息进行标记,获取信息异常检测结果。
8.一种模块化日志审计高效管控系统,其特征在于,所述系统包括:
基础信息获取模块,所述基础信息获取模块用于采集获取各目标系统基础信息;
日志信息获取模块,所述日志信息获取模块用于根据各所述目标系统基础信息,实时采集各所述目标系统的日志信息;
分类处理模块,所述分类处理模块用于对所述日志信息进行分类处理,获取日志分类结果;
等级划分模块,所述等级划分模块用于根据各类别的日志分类结果,对每一类别的日志信息进行等级划分,获得等级划分结果;
异常检测结果获取模块,所述异常检测结果获取模块用于基于所述日志分类结果和所述等级划分结果,获取信息异常检测结果;
日志处理模块,所述日志处理模块用于根据所述信息异常检测结果进行日志的处理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211601590.4A CN116185790A (zh) | 2022-12-13 | 2022-12-13 | 一种模块化日志审计高效管控方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211601590.4A CN116185790A (zh) | 2022-12-13 | 2022-12-13 | 一种模块化日志审计高效管控方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116185790A true CN116185790A (zh) | 2023-05-30 |
Family
ID=86443200
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211601590.4A Pending CN116185790A (zh) | 2022-12-13 | 2022-12-13 | 一种模块化日志审计高效管控方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116185790A (zh) |
-
2022
- 2022-12-13 CN CN202211601590.4A patent/CN116185790A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111475804B (zh) | 一种告警预测方法及系统 | |
| CN107633030B (zh) | 基于数据模型的信用评估方法及装置 | |
| WO2021143268A1 (zh) | 基于模糊推理理论的电力信息系统健康评估方法及系统 | |
| CN109934268B (zh) | 异常交易检测方法及系统 | |
| CN112001586A (zh) | 基于区块链共识机制的企业联网大数据审计风险控制架构 | |
| CN117094184B (zh) | 基于内网平台的风险预测模型的建模方法、系统及介质 | |
| CN111782484A (zh) | 一种异常检测方法及装置 | |
| CN117675384A (zh) | 一种智慧园区数据安全管理方法和系统 | |
| CN115983636B (zh) | 风险评估方法、装置、设备及存储介质 | |
| CN116185790A (zh) | 一种模块化日志审计高效管控方法及系统 | |
| CN117076788A (zh) | 一种基于多维感知数据的人员落脚点位分析方法和系统 | |
| CN111882135B (zh) | 一种物联网设备入侵检测方法及相关装置 | |
| CN113517998B (zh) | 预警配置数据的处理方法、装置、设备及存储介质 | |
| CN115640158A (zh) | 一种基于数据库的检测分析方法及装置 | |
| CN113569879B (zh) | 异常识别模型的训练方法、异常账号识别方法及相关装置 | |
| CN114004369A (zh) | 一种基于机器学习的学生行为分析方法 | |
| CN113220585A (zh) | 一种故障自动诊断方法及相关装置 | |
| CN114756660B (zh) | 自然灾害事件的抽取方法、装置、设备及存储介质 | |
| CN117520994B (zh) | 基于用户画像和聚类技术识别机票异常搜索用户方法及系统 | |
| CN117272198B (zh) | 一种基于商旅行程业务数据的异常用户生成内容识别方法 | |
| CN117034259B (zh) | 一种数据库审计方法及装置 | |
| CN116863481B (zh) | 一种基于深度学习的业务会话风险处理方法 | |
| CN118519820B (zh) | 基于云平台的数据存储异常检测方法及设备 | |
| CN117909970A (zh) | 一种数据处理方法、装置、设备及介质 | |
| CN113051334A (zh) | 跨国异构数据的处理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication |