CN116860578A

CN116860578A - 一种网络与信息安全日志管理系统及方法

Info

Publication number: CN116860578A
Application number: CN202310831844.XA
Authority: CN
Inventors: 农剑; 田志宏
Original assignee: Guangzhou Shouxie Network Technology Co ltd
Current assignee: Guangzhou Shouxie Network Technology Co ltd
Priority date: 2023-07-07
Filing date: 2023-07-07
Publication date: 2023-10-10

Abstract

本发明公开了一种网络与信息安全日志管理系统及方法，通过实时获取告警日志，并将告警日志进行去重得到去重后的告警日志，然后将所述去重后的告警日志进行分类后得到分类后的告警日志，最终获取各个分类后的告警日志中的主要告警日志，进行处理并记录处理方案保存在历史告警集合中，在出现相同告警日志时作为参考提供给工作人员，方便工作人员解决告警日志，并降低服务器计算压力，提高工作人员的工作效率。

Description

一种网络与信息安全日志管理系统及方法

技术领域

本发明涉及计算机领域，尤其涉及一种网络与信息安全日志管理系统及方法。

背景技术

在信息安全技术领域中，告警日志通常是从各类安全检测、监测设备上采集到的检测、监测结果。

在对告警日志进行监测及处理时，日志分析人员往往每天需要在上亿数量级的告警日志中查看告警日志进行处理，数据量非常庞大，经常会造成漏看、漏处理等情况的发生；

并且在处理告警日志时，需要对每一条告警日志进行处理，工作量非常大，消耗时间长，严重影响工作效率(因此说，告警日志管理是一个系统性且牵扯到海量数据处理的庞大工程)；并且所有的不同类型的告警日志掺杂在一起，在工作人员需要查询或处理某一类型的告警日志时，需要在上亿个告警日志中查询，然而这样情况也会造成服务器的计算压力非常大。

发明内容

本发明的目的在于提供一种网络与信息安全日志管理系统及方法，解决了现有技术中指出的上述技术问题。

本发明提供了一种网络与信息安全日志管理系统，包括日志采集模块、去重模块、分类模块、分析处理模块；

其中，所述日志采集模块，用于实时获取当前工业控制主机的告警日志及所述告警日志的属性信息，并将所述告警日志放入第一告警集合；

所述去重模块，用于将所述日志采集模块获取的第一告警集合汇总的告警日志进行去重，获取去重后的告警日志，并将去重后的所述的告警日志放入第二告警集合；

所述分类模块，用于根据去重后的所述告警日志的属性信息，将所述去重模块获取的所述第二告警集合中的去重后的所述告警日志进行分类，获取分类后的告警集合；

所述分析处理模块，用于根据所述分类模块获取的所述分类后的告警集合中获取主要告警日志；并建立历史告警集合；判断所述主要告警日志是否为首次出现，若是，则将所述主要告警日志进行处理并记录所述当前主要告警日志的解决方案；将所述主要告警日志及所述当前主要告警日志的解决方案放入历史告警集合中；若否，则获取所述历史告警集合中与所述当前主要告警日志相同的历史主要告警日志及所述历史主要告警日志的解决方案；将所述历史主要告警日志及所述历史主要告警日志的解决方案显示并作为参考供工作人员处理当前所述主要告警日志。

较佳的，上述分析处理模块，具体用于获取所述分类模块获取的所述分类后的告警集合中的告警日志对应的初始故障事件；随机选择所述初始故障事件中任意一个故障事件，并确定为目标故障事件；获取所述目标故障事件的多个关联故障事件；

基于所述多个关联故障事件，与所述初始故障事件进行对比，若有一致，则确定当前目标故障事件为主要故障事件；

确定主要故障事件对应的告警日志为主要告警日志。

较佳的，在具体技术方案中，上述分析处理模块，用于预设神经网络结构；利用所述神经网络结构对所述目标故障事件进行烟花算法处理得到一级故障事件以及一级故障事件对应的高斯变异故障事件；确定所述一级故障事件与所述高斯变异故障事件为关联故障事件；

较佳的，上述分析处理模块，具体用于预设一级故障事件的个体适应度最大阈值m_max，预设一级故障事件总个数b，并获取所述神经网络结构的总误差E，根据所述神经网络结构的总误差E计算一级故障事件的适应度f(x_g)；根据所述一级故障事件的适应度最大阈值m_max及所述每个一级故障事件的适应度f(x_g)进行计算一级故障事件的数量Q_g；

所述一级故障事件的适应度f(x_g)的计算方式为：

式中，E为神经网络结构的总误差E；

所述一级故障事件的数量Q_g的方式为：式中，Q_g为产生一级故障事件的数量；

b为常数，为一级故障事件总个数；

m_max为一级故障事件最大的适应度；

f(x_g)为第g个一级故障事件的适应度；

p为正整数；

预设目标故障事件最大爆炸半径a；预设一级故障事件的个体适应度最小阈值m_min，根据当前所述一级故障事件的适应度f(x_g)及所述一级故障事件的个体适应度最小阈值m_min计算目标故障事件的爆炸半径R_g；

所述目标故障事件的爆炸半径R_g的计算方式为：

式中，R_g为目标故障事件的爆炸半径；

a常数；

m_min为一级故障事件最小的适应度；

f(x_g)为第g个一级故障事件的适应度；

p为正整数；

对所述目标故障事件的爆炸半径R_g进行设置，获取筛选后的目标故障事件的爆炸半径R_sg；

所述筛选后的目标故障事件的爆炸半径R_sg为：

式中，x、y为常数；

根据计算出的筛选后的所述目标故障事件的爆炸半径和所述一级故障事件的数量，将所述目标故障事件在所述目标故障事件的爆炸半径R_sg内进行随机位移操作，获取Q_g个一级故障事件，并获取所述一级故障事件的分别所处的位置；

所述一级故障事件的分别所处的位置表示为：

式中，为第g个一级故障事件在第k维的位置；

R_sg为筛选后的第g个一级故障事件的爆炸半径；

random(0，R_sg)为在爆炸半径R_sg内生成的均匀随机数；

将所述一级故障事件进行高斯变异，获取高斯变异故障事件，获取所述高斯变异故障事件的位置；

所述高斯变异故障事件的位置表示为：

式中，为一级故障事件高斯变异后产生的高斯变异故障事件g在第k维的位置；

为第g个一级故障事件在第k维的位置；

是当前集群中最优个体X_B在第k维位的位置；

Gaussian(1,1)是均值和方差均为1的高斯分布随机数；

较佳的，在具体技术方案中，上述分析处理模块，具体用于预设一级故障事件与高斯变异故障事件的个体适应度筛选阈值L；分别计算所述一级故障事件与所述高斯变异故障事件的适应度；

分别比较所述一级故障事件、所述高斯变异故障事件的个体适应度与所述故障事件的个体适应度筛选阈值L的大小关系，若所述一级故障事件、所述高斯变异故障事件的个体适应度大于所述故障事件的个体适应度筛选阈值L则将其筛除，最终确定一级故障事件与高斯变异故障事件的适应度小于或等于所述故障事件的个体适应度筛选阈值L的一级故障事件的适应度、高斯变异故障事件的适应度对应的一级故障事件、所述高斯变异故障事件为关联故障事件。

相应地，本发明还提出了一种网络与信息安全日志管理方法，包括如下操作步骤：

告警日志集合初始化；实时获取当前工业控制主机的告警日志及所述告警日志的属性信息，并将所述告警日志放入第一告警集合；

将所述第一告警集合中的告警日志基于SimHash算法去重，得到去重后的告警日志，并将去重后的所述告警日志放入第二告警集合；

对所述第二告警集合中的告警日志基于告警日志的属性信息进行分类，获取分类后的告警集合；

获取所述分类后的告警集合中的主要告警日志；

建立历史告警集合；判断当前主要告警日志是否为首次出现，若是，则将所述当前主要告警日志进行处理并记录所述当前主要告警日志的解决方案；将所述主要告警日志及所述当前主要告警日志的解决方案放入历史告警集合中；若否，则获取所述历史告警集合中与所述当前主要告警日志相同的历史主要告警日志及所述历史主要告警日志的解决方案；将所述历史主要告警日志及所述历史主要告警日志的解决方案显示并作为参考供工作人员处理当前所述主要告警日志。

与现有技术相比，本发明实施例至少存在如下方面的技术优势：

分析本发明提供的上述一种网络与信息安全日志管理系统及方法可知，在具体应用时；实时获取当前工业控制主机的告警日志及所述告警日志的属性信息，并将所述告警日志放入第一告警集合；将所述第一告警集合中的告警日志基于SimHash算法去重，得到去重后的告警日志，并将去重后的所述告警日志放入第二告警集合；本发明实施例所采用的技术方案，将数以亿计的告警日志进行去重，降低服务器计算压力；

对所述第二告警集合中的告警日志基于告警日志的属性信息进行分类，获取分类后的告警集合；本发明实施例所采用的技术方案，可将告警日志进行分类，在工作人员进行相关告警日志处理时，可分类别进行查询处理，降低服务器计算压力；

获取所述分类后的告警集合中的主要告警日志；本发明实施例采用的技术方案，可减少对每一个告警日志处理所消耗的时间，进一步地可提高工作人员的工作效率；

建立历史告警集合；判断当前主要告警日志是否为首次出现，若是，则将所述当前主要告警日志进行处理并记录所述当前主要告警日志的解决方案；将所述主要告警日志及所述当前主要告警日志的解决方案放入历史告警集合中；若否，则获取所述历史告警集合中与所述当前主要告警日志相同的历史主要告警日志及所述历史主要告警日志的解决方案；将所述历史主要告警日志及所述历史主要告警日志的解决方案显示并作为参考供工作人员处理当前所述主要告警日志；在工作人员获取到主要告警日志后，与历史告警日志进行对比，若当前主要告警日志为首次出现，则需要工作人员根据告警日志的属性信息做出相应的处理，并将处理的解决方案和当前主要告警日志共同放入历史告警集合中，在下次出现相同的主要告警日志时，将历史告警集合中的与之后告警日志相同的历史告警日志及历史告警日志的解决方案显示作为参考方案提供给工作人员，提高工作人员的工作效率，减少工作人员对每个告警日志进行获取方案然后处理告警日志所消耗的时间，并进一步的提高工作效率。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例一提供的一种网络与信息安全日志管理系统的整体架构示意图；

图2为本发明实施例二提供的一种网络与信息安全日志管理方法的操作流程示意图；

图3为本发明实施例二提供的一种网络与信息安全日志管理方法中获取主要告警日志的操作流程示意图；

图4为本发明实施例二提供的一种网络与信息安全日志管理方法中获取目标故障事件的多个关联故障事件的操作流程示意图；

图5为本发明实施例二提供的一种网络与信息安全日志管理方法中获取一级故障事件以及一级故障事件对应的高斯变异故障事件的操作流程示意图；

图6为本发明实施例二提供的一种网络与信息安全日志管理方法中确定关联故障事件的操作流程示意图。

标号：日志采集模块10；去重模块20；分类模块30；分析处理模块40。

具体实施方式

下面将结合附图对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

下面通过具体的实施例并结合附图对本发明做进一步的详细描述。

实施例一

如图1所示，本发明提出了一种网络与信息安全日志管理系统，包括日志采集模块10、去重模块20、分类模块30、分析处理模块40；

其中，所述日志采集模块10，用于实时获取当前工业控制主机的告警日志及所述告警日志的属性信息，并将所述告警日志放入第一告警集合；

所述去重模块20，用于将所述日志采集模块10获取的第一告警集合汇总的告警日志进行去重，获取去重后的告警日志，并将去重后的所述的告警日志放入第二告警集合；

所述分类模块30，用于根据去重后的所述告警日志的属性信息，将所述去重模块20获取的所述第二告警集合中的去重后的所述告警日志进行分类，获取分类后的告警集合；

所述分析处理模块40，用于根据所述分类模块30获取的所述分类后的告警集合中获取主要告警日志；并建立历史告警集合；判断所述主要告警日志是否为首次出现，若是，则将所述主要告警日志进行处理并记录所述当前主要告警日志的解决方案；将所述主要告警日志及所述当前主要告警日志的解决方案放入历史告警集合中；若否，则获取所述历史告警集合中与所述当前主要告警日志相同的历史主要告警日志及所述历史主要告警日志的解决方案；将所述历史主要告警日志及所述历史主要告警日志的解决方案显示并作为参考供工作人员处理当前所述主要告警日志。

在具体技术方案中，所述分析处理模块，具体用于获取所述分类模块获取的所述分类后的告警集合中的告警日志对应的初始故障事件；随机选择所述初始故障事件中任意一个故障事件，并确定为目标故障事件；获取所述目标故障事件的多个关联故障事件；

确定主要故障事件对应的告警日志为主要告警日志。

在具体技术方案中，所述分析处理模块，具体用于预设神经网络结构；利用所述神经网络结构对所述目标故障事件进行烟花算法处理得到一级故障事件以及一级故障事件对应的高斯变异故障事件；确定所述一级故障事件与所述高斯变异故障事件为关联故障事件；

在具体技术方案中，所述分析处理模块，还具体用于预设一级故障事件的个体适应度最大阈值m_max，预设一级故障事件总个数b，并获取所述神经网络结构的总误差E，根据所述神经网络结构的总误差E计算一级故障事件的适应度f(x_g)；根据所述一级故障事件的适应度最大阈值m_max及所述每个一级故障事件的适应度f(x_g)进行计算一级故障事件的数量Q_g；

所述一级故障事件的适应度f(x_g)的计算方式为：

式中，E为神经网络结构的总误差E；

所述一级故障事件的数量Q_g的方式为：

式中，Q_g为产生一级故障事件的数量；

b为常数，为一级故障事件总个数；

m_max为一级故障事件最大的适应度；

f(x_g)为第g个一级故障事件的适应度；

p为正整数；

所述目标故障事件的爆炸半径R_g的计算方式为：

式中，R_g为目标故障事件的爆炸半径；

a常数；

m_min为一级故障事件最小的适应度；

f(x_g)为第g个一级故障事件的适应度；

p为正整数；

所述筛选后的目标故障事件的爆炸半径R_sg为：

式中，x、y为常数；

所述一级故障事件的分别所处的位置表示为：

式中，为第g个一级故障事件在第k维的位置；

R_sg为筛选后的第g个一级故障事件的爆炸半径；

random(0，R_sg)为在爆炸半径R_sg内生成的均匀随机数；

所述高斯变异故障事件的位置表示为：

为第g个一级故障事件在第k维的位置；

是当前集群中最优个体X_B在第k维位的位置；

Gaussian(1,1)是均值和方差均为1的高斯分布随机数；

在具体技术方案中，分析处理模块，具体用于预设一级故障事件与高斯变异故障事件的个体适应度筛选阈值L；分别计算一级故障事件与高斯变异故障事件的适应度；

分别比较一级故障事件、高斯变异故障事件的个体适应度与故障事件的个体适应度筛选阈值L的大小关系；若一级故障事件、高斯变异故障事件的个体适应度大于故障事件的个体适应度筛选阈值L则将其筛除，最终确定一级故障事件与高斯变异故障事件的适应度小于或等于故障事件的个体适应度筛选阈值L的一级故障事件的适应度、高斯变异故障事件的适应度对应的一级故障事件、高斯变异故障事件为关联故障事件。

综上，本发明提供的上述一种网络与信息安全日志管理系统，在具体应用时，通过日志采集模块实时获取当前工业控制主机的告警日志及所述告警日志的属性信息，并将所述告警日志放入第一告警集合；

然后去重模块将所述日志采集模块获取的第一告警集合汇总的告警日志进行去重，获取去重后的告警日志，并将去重后的所述的告警日志放入第二告警集合；

利用分类模块根据去重后的所述告警日志的属性信息，将所述去重模块获取的所述第二告警集合中的去重后的所述告警日志进行分类，获取分类后的告警集合；

最后由分析处理模块根据所述分类模块获取的所述分类后的告警集合中获取所述分类模块获取的所述分类后的告警集合中的告警日志对应的初始故障事件；随机选择所述初始故障事件中任意一个故障事件，并确定为目标故障事件；

然后由分析处理模块预设神经网络结构；预设一级故障事件的个体适应度最大阈值m_max，预设一级故障事件总个数b，并获取所述神经网络结构的总误差E，根据所述神经网络结构的总误差E计算一级故障事件的适应度f(x_g)；根据所述一级故障事件的适应度最大阈值m_max及所述每个一级故障事件的适应度f(x_g)进行计算一级故障事件的数量Q_g；

预设目标故障事件最大爆炸半径a；预设一级故障事件的个体适应度最小阈值m_min，根据当前所述一级故障事件的适应度f(x_g)及所述一级故障事件的个体适应度最小阈值m_min计算目标故障事件的爆炸半径R_g；对所述目标故障事件的爆炸半径R_g进行设置，获取筛选后的目标故障事件的爆炸半径R_sg；

根据计算出的筛选后的所述目标故障事件的爆炸半径和所述一级故障事件的数量，将所述目标故障事件在所述目标故障事件的爆炸半径R_sg内进行随机位移操作，获取Q_g个一级故障事件，并获取所述一级故障事件的分别所处的位置；将所述一级故障事件进行高斯变异，获取高斯变异故障事件，获取所述高斯变异故障事件的位置；预设一级故障事件与高斯变异故障事件的个体适应度筛选阈值L；分别计算所述一级故障事件与所述高斯变异故障事件的适应度；分别比较所述一级故障事件、所述高斯变异故障事件的个体适应度与所述故障事件的个体适应度筛选阈值L的大小关系，若所述一级故障事件、所述高斯变异故障事件的个体适应度大于所述故障事件的个体适应度筛选阈值L则将其筛除，最终确定一级故障事件与高斯变异故障事件的适应度小于或等于所述故障事件的个体适应度筛选阈值L的一级故障事件的适应度、高斯变异故障事件的适应度对应的一级故障事件、所述高斯变异故障事件为关联故障事件；基于所述多个关联故障事件，与所述初始故障事件进行对比，若有一致，则确定当前目标故障事件为主要故障事件；确定主要故障事件对应的告警日志为主要告警日志；

并由分析处理模块建立历史告警集合；判断所述主要告警日志是否为首次出现，若是，则将所述主要告警日志进行处理并记录所述当前主要告警日志的解决方案；将所述主要告警日志及所述当前主要告警日志的解决方案放入历史告警集合中；若否，则获取所述历史告警集合中与所述当前主要告警日志相同的历史主要告警日志及所述历史主要告警日志的解决方案；将所述历史主要告警日志及所述历史主要告警日志的解决方案显示并作为参考供工作人员处理当前所述主要告警日志。

实施例二

如图2所示，相应地，本发明还提出了一种网络与信息安全日志管理方法，包括如下操作步骤：

步骤S10：告警日志集合初始化(初始化的目的是对告警日志集合进行初始清零处理操作)；(日志采集模块)实时获取当前工业控制主机的告警日志及所述告警日志的属性信息，并将所述告警日志放入第一告警集合(初始分类)；

所述告警日志的属性信息包括告警时间、告警地址、错误码信息；

步骤S20：将所述第一告警集合中的告警日志基于SimHash算法去重，得到去重后的告警日志，并将去重后的所述告警日志放入第二告警集合(二次分类，即在第一次初始分类基础上进行的去重后分类)；

需要说明的是，上述SimHash算法是Simhash是一种局部敏感hash；即假定A、B具有一定的相似性，在hash之后，仍然能保持这种相似性，就称之为局部敏感hash；得到所有告警日志的关键词集合，通过hash的方法把关键词集合hash成一串二进制，直接对比二进制数，其相似性就是两个告警日志的相似性，在查看相似性时采用海明距离，即在对比二进制的时候，看其有多少位不同，就称海明距离为多少；将告警日志simhash得到一串64位的二进制，根据经验一般取海明距离为3作为阈值，即在64位二进制中，只要有三位以内不同，就可以认为两个告警日志是相似的，这里的阈值也可以根据自己的需求来设置；也就是把一个告警日志hash之后得到一串二进制数的算法，称这个hash为simhash；最终筛除重复冗余的告警日志，获取内容不同的告警日志集合(即为上述获取得到的第二告警集合)，降低服务器存储压力及计算压力。

步骤S30：对所述第二告警集合中的告警日志基于告警日志的属性信息进行分类，获取分类后的告警集合(此为根据属性信息(错误码)等实施的第三分类操作，但是这次分类仍然属于初始分类阶段，后续步骤S40执行时才会实现的主要告警日志的识别，以对主要告警日志进行进一步处理)；

需要说明的是，上述处理过程中是基于告警日志的属性信息进行分类，具体为根据告警日志的属性信息中的告警地址或者错误码信息，即可将告警日志进行分类，得到分类后的告警集合，即所述分类后的告警集合为第二告警集合的子集。例如使用错误码信息进行分类，即错误码1007为数据库异常的错误码，错误码404为网页异常的错误码等等，将错误码类型相同的告警日志放到同一个第二告警集合的子集中(注意上述筛选是基于错误码类型相同，而不是简单的将错误码相同的告警日志归为一类，即再次举例说明，错误码1008为存储异常，错误码1009为文件丢失；那么上述错误码1007、错误码1008、错误码1009的告警日志都可以分类到数据库异常的第二告警集合的子集中)；本发明实施例所采用的技术方案可将告警日志进行分类，并进行分类显示，方便工作人员的查看与操作，在大量的告警日志中，随时可摘选工作人员所需要查找的告警日志类型。

步骤S40：获取所述分类后的告警集合中的主要告警日志；

解释说明，主要告警日志是从分类后的告警日志中选取的，主要告警日志会发生连锁反应，导致其他告警日志的出现，而其他告警日志可能会出现在分类后的告警集合中，这样选取出主要告警日志，并将主要告警日志进行处理后，其他告警日志也随即会被解决。本发明实施例采用的技术方案，可减少对每一个去重后的告警日志处理所消耗的时间，进一步地可提高工作人员的工作效率。

步骤S50：建立历史告警集合；判断当前主要告警日志是否为首次出现，若是，则将所述当前主要告警日志进行处理并记录所述当前主要告警日志的解决方案；将所述主要告警日志及所述当前主要告警日志的解决方案放入历史告警集合中；若否，则获取所述历史告警集合中与所述当前主要告警日志相同的历史主要告警日志及所述历史主要告警日志的解决方案；将所述历史主要告警日志及所述历史主要告警日志的解决方案显示并作为参考供工作人员处理当前所述主要告警日志。

需要说明的是，上述历史告警集合是当前主要告警日志以前的历史告警日志及历史告警日志的解决方案的集合，在工作人员获取到主要告警日志后，与历史告警日志进行对比，若当前主要告警日志为首次出现，则需要工作人员根据告警日志的属性信息做出相应的处理，并将处理的解决方案和当前主要告警日志共同放入历史告警集合中，在下次出现相同的主要告警日志时，将历史告警集合中的与之后告警日志相同的历史告警日志及历史告警日志的解决方案显示作为参考方案提供给工作人员，提高工作人员的工作效率，减少工作人员对每个告警日志进行获取方案然后处理告警日志所消耗的时间，并进一步的提高工作效率。

具体地，如图3所示，在步骤S40中，获取所述分类后的告警集合中的主要告警日志，包括如下操作步骤：

步骤S41：获取当前分类后的告警集合中所有告警日志对应的初始故障事件；

步骤S42：随机选择所述初始故障事件中任意一个故障事件，并确定为目标故障事件；获取所述目标故障事件的多个关联故障事件；

其中，所述关联故障事件为所示目标故障事件发生之后的故障事件；举例说明，当前初始故障事件为“数据库存储空间已满”、“文件保存失败”、“文件复制失败”、“添加文件失败”、“添加用户失败”；在确定初始故障事件中“数据库存储空间已满”为目标故障事件时，获取的目标故障事件的关联故障事件为“文件保存失败”、“文件复制失败”、“添加文件失败”、“添加用户失败”、“数据写入失败”、“数据备份失败”等，则此时产生的关联故障事件“文件保存失败”、“文件复制失败”、“添加文件失败”、“添加用户失败”、“数据写入失败”、“数据备份失败”即为目标故障事件“数据库存储空间已满”之后发生的故障事件，或称此时产生的关联故障事件“文件保存失败”、“文件复制失败”、“添加文件失败”、“添加用户失败”、“数据写入失败”、“数据备份失败”即为因目标故障事件“数据库存储空间已满”发生连锁反应产生的故障事件。

步骤S43：基于所述多个关联故障事件，与所述初始故障事件进行对比，若有一致，则确定当前目标故障事件为主要故障事件；

需要说明的是，若上述初始故障事件与关联故障事件对比存在有一致的故障事件，则可以确定与关联故障事件一致的初始故障事件是当前目标故障事件发生连锁反应产生的故障事件，则进一步地可确定当前目标故障事件为主要故障事件，同时可确定与关联故障事件一致的初始故障事件作为从属故障事件，则此时处理主要故障事件之后，从属故障事件的告警便可被解决；若上述初始故障事件与关联故障事件对比存在没有一致的故障事件，则可确定当前目标故障事件可能是由其他故障事件引起的，则当前目标故障事件可确定为其他故障事件的从属故障事件。

步骤S44：确定主要故障事件对应的告警日志为主要告警日志(即目标告警日志)。

具体地，如图4所示，在步骤S42中，获取所述目标故障事件的多个关联故障事件，包括如下操作步骤：

步骤S420：预设神经网络结构(即BP神经网络结构)；利用所述神经网络结构对所述目标故障事件进行烟花算法处理得到一级故障事件以及一级故障事件对应的高斯变异故障事件；

步骤S421：确定所述一级故障事件与所述高斯变异故障事件为关联故障事件。

具体地，如图5所示，在步骤S420执行过程中，利用所述神经网络结构对所述目标故障事件进行烟花算法处理得到一级故障事件以及一级故障事件对应的高斯变异故障事件，具体包括如下操作步骤：

步骤S4201：预设一级故障事件的个体适应度最大阈值m_max，预设一级故障事件总个数b(所述一级故障事件总个数b指的是一个目标故障事件可能引发的所有一级故障事件的个数)，并获取所述神经网络结构的总误差E，根据所述神经网络结构的总误差E计算一级故障事件的适应度f(x_g)；

需要说明的是，所述神经网络结构的神经网络总误差E的计算方法为现有技术，是通过当前网络神经结构的数据样本的个数、隐含层神经元个数、网络期望输出、网络实际输出计算而来，在此不再赘述。

所述一级故障事件的适应度f(x_g)的计算方式为：

式中，E为神经网络结构的总误差E；

根据所述一级故障事件的适应度最大阈值m_max及所述每个一级故障事件的适应度f(x_g)进行计算一级故障事件的数量Q_g；

其中，所述一级故障事件的数量Q_g按照公式计算，式中，Q_g为产生一级故障事件的数量；

b为常数，b为一级故障事件总个数，用来调整当前目标故障事件引发的一级故障事件的数量；m_max为一级故障事件最大的适应度，m值越大，则证明适应度越差；

f(x_g)为第g个一级故障事件的适应度；

N是表示上界终止值即一级故障事件的个数上限数值，g是表示起始数值且起始数值等于1，由此构成集合(g＝1,2,…,N)；

p为正整数(可以为非零的常数)，上述p为正整数的设置以防止上述数量Q_g的计算公式无意义；

步骤S4202：预设目标故障事件最大爆炸半径a；预设一级故障事件的个体适应度最小阈值m_min，根据当前所述一级故障事件的适应度f(x_g)及所述一级故障事件的个体适应度最小阈值m_min计算目标故障事件的爆炸半径(即为目标故障事件的影响范围)，计算方式为：

式中，R_g为目标故障事件的爆炸半径，即目标故障事件的爆炸半径为目标故障影响的范围半径；

a为目标故障事件最大爆炸半径(或称故障事件最大影响范围)，m_min为一级故障事件个体最优的适应度，m值越小，则适应度越高。

步骤S4203：对所述目标故障事件的爆炸半径R_g进行设置，获取筛选后的目标故障事件的爆炸半径R_sg；

所述筛选后的目标故障事件的爆炸半径R_sg为

其中，x、y为常数，取值范围为根据经验设置的两个系数；round(·)是根据四舍五入原则的取整函数；

需要说明的是，在进行实际操作时，需要对故障事件的爆炸半径进行限制，即为对故障事件的影响范围进行限制，避免一级故障事件的数量过多或过少的情况出现。

步骤S4204：根据计算出的筛选后的所述目标故障事件的爆炸半径R_sg和所述一级故障事件的数量Q_g，将所述目标故障事件在所述目标故障事件的爆炸半径R_sg内进行随机位移操作，获取Q_g个一级故障事件，并获取所述一级故障事件的分别所处的位置即为

式中，为第g个一级故障事件在第k维的位置，R_sg为筛选后的第g个一级故障事件的爆炸半径，random(0，R_sg)为在爆炸半径R_sg内生成的均匀随机数；

上述“将所述目标故障事件在所述目标故障事件的爆炸半径R_sg内进行随机位移操作，获取Q_g个一级故障事件”指的是目标故障事件在目标故障事件的爆炸半径内进行随机位移，或称目标故障事件在目标故障事件的影响范围内随机产生Q_g个一级故障事件。

步骤S4205：将所述一级故障事件进行高斯变异，获取高斯变异故障事件，获取所述高斯变异故障事件的位置；所述高斯变异故障事件的位置计算方式为

式中，为一级故障事件高斯变异后产生的高斯变异故障事件g在第k维的位置；为第g个一级故障事件在第k维的位置；/>是当前集群中最优个体X_B在第k维位的位置(其中当前集群是指多个X_g ^k个体构成的集合)；Gaussian(1,1)是均值和方差均为1的高斯分布随机数；

随后执行上述步骤S421：即确定所述一级故障事件与所述高斯变异故障事件为关联故障事件。至此上述步骤S4201-步骤S4205执行完毕。

具体地，如图6所示，在步骤S421中，确定所述一级故障事件与所述高斯变异故障事件为关联故障事件，包括如下操作步骤：

步骤S4211：预设一级故障事件与高斯变异故障事件的个体适应度筛选阈值L；分别计算所述一级故障事件与所述高斯变异故障事件的适应度；

步骤S4212：分别比较所述一级故障事件、所述高斯变异故障事件的个体适应度与所述故障事件的个体适应度筛选阈值L的大小关系，若所述一级故障事件、所述高斯变异故障事件的个体适应度大于所述故障事件的个体适应度筛选阈值L则将其筛除，最终确定一级故障事件与高斯变异故障事件的适应度小于或等于所述故障事件的个体适应度筛选阈值L的一级故障事件的适应度、高斯变异故障事件的适应度对应的一级故障事件、所述高斯变异故障事件为关联故障事件。

需要说明的是，上述一级故障事件是目标故障事件发生连锁反应产生的多个故障事件，上述高斯变异故障事件是将一级故障事件进行高斯变异产生的多个故障事件，一级故障事件与高斯变异故障事件的个体适应度的最大值与最小值即为上述步骤中计算出的m_max与m_min，通常情况下，一级故障事件与高斯变异故障事件的个体适应度越小，则证明越稳定，本发明实施例提出一级故障事件与高斯变异故障事件的个体适应度筛选阈值L，在实际计算得出的一级故障事件与高斯变异故障事件的适应度小于一级故障事件与高斯变异故障事件的个体适应度筛选阈值L时，则可缩小一级故障事件与高斯变异故障事件数量大小，使最终获得的关联故障事件更加符合实际情况，进而降低服务器处理计算的压力。

综上所述，本发明实例提出的一种网络与信息安全日志管理系统及方法，在具体应用时，通过实时获取当前工业控制主机的告警日志及所述告警日志的属性信息，并将所述告警日志放入第一告警集合；

然后将所述日志采集模块获取的第一告警集合汇总的告警日志进行去重，获取去重后的告警日志，并将去重后的所述的告警日志放入第二告警集合；本发明实施例所采用的技术方案可将告警日志进行分类，并进行分类显示，方便工作人员的查看与操作，在大量的告警日志中，随时可摘选工作人员所需要查找的告警日志类型

根据去重后的所述告警日志的属性信息，将所述去重模块获取的所述第二告警集合中的去重后的所述告警日志进行分类，获取分类后的告警集合；本发明实施例采用的技术方案，可减少对每一个去重后的告警日志处理所消耗的时间，进一步地可提高工作人员的工作效率。

最后根据所述分类模块获取的所述分类后的告警集合中获取所述分类模块获取的所述分类后的告警集合中的告警日志对应的初始故障事件；随机选择所述初始故障事件中任意一个故障事件，并确定为目标故障事件；

然后预设神经网络结构；预设一级故障事件的个体适应度最大阈值m_max，预设一级故障事件总个数b，并获取所述神经网络结构的总误差E，根据所述神经网络结构的总误差E计算一级故障事件的适应度f(x_g)；根据所述一级故障事件的适应度最大阈值m_max及所述每个一级故障事件的适应度f(x_g)进行计算一级故障事件的数量Q_g；

根据计算出的筛选后的所述目标故障事件的爆炸半径和所述一级故障事件的数量，将所述目标故障事件在所述目标故障事件的爆炸半径R_sg内进行随机位移操作，获取Q_g个一级故障事件，并获取所述一级故障事件的分别所处的位置；将所述一级故障事件进行高斯变异，获取高斯变异故障事件，获取所述高斯变异故障事件的位置；预设一级故障事件与高斯变异故障事件的个体适应度筛选阈值L；分别计算所述一级故障事件与所述高斯变异故障事件的适应度；

分别比较所述一级故障事件、所述高斯变异故障事件的个体适应度与所述故障事件的个体适应度筛选阈值L的大小关系，若所述一级故障事件、所述高斯变异故障事件的个体适应度大于所述故障事件的个体适应度筛选阈值L则将其筛除，最终确定一级故障事件与高斯变异故障事件的适应度小于或等于所述故障事件的个体适应度筛选阈值L的一级故障事件的适应度、高斯变异故障事件的适应度对应的一级故障事件、所述高斯变异故障事件为关联故障事件；

基于所述多个关联故障事件，与所述初始故障事件进行对比，若有一致，则确定当前目标故障事件为主要故障事件；确定主要故障事件对应的告警日志为主要告警日志；本发明实施例所采用的技术方案，获取分类后的告警日志集合中各个类别的主要告警日志，对主要告警日志进行处理后，便可一并解决其他告警日志，减少工作人员依次处理所有告警日志所消耗的时间，进而提高工作效率。

并建立历史告警集合；判断所述主要告警日志是否为首次出现，若是，则将所述主要告警日志进行处理并记录所述当前主要告警日志的解决方案；将所述主要告警日志及所述当前主要告警日志的解决方案放入历史告警集合中；若否，则获取所述历史告警集合中与所述当前主要告警日志相同的历史主要告警日志及所述历史主要告警日志的解决方案；将所述历史主要告警日志及所述历史主要告警日志的解决方案显示并作为参考供工作人员处理当前所述主要告警日志；

本发明实施例所采用的技术方案，可提高工作人员的工作效率，减少工作人员对每个告警日志进行获取方案然后处理告警日志所消耗的时间，并进一步的提高工作效率。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；本领域的普通技术人员可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims

1.一种网络与信息安全日志管理系统，其特征在于，包括日志采集模块、去重模块、分类模块、分析处理模块；

所述分析处理模块，用于根据所述分类模块获取的所述分类后的告警集合中获取主要告警日志；

所述分析处理模块，还用于建立历史告警集合；判断所述主要告警日志是否为首次出现，若是，则将所述主要告警日志进行处理并记录所述当前主要告警日志的解决方案；将所述主要告警日志及所述当前主要告警日志的解决方案放入历史告警集合中；若否，则获取所述历史告警集合中与所述当前主要告警日志相同的历史主要告警日志及所述历史主要告警日志的解决方案；将所述历史主要告警日志及所述历史主要告警日志的解决方案显示并作为参考供工作人员处理当前所述主要告警日志。

2.根据权利要求1所述的一种网络与信息安全日志管理系统，其特征在于，所述分析处理模块，还用于获取所述分类模块获取的所述分类后的告警集合中的告警日志对应的初始故障事件；随机选择所述初始故障事件中任意一个故障事件，并确定为目标故障事件；获取所述目标故障事件的多个关联故障事件；基于所述多个关联故障事件，与所述初始故障事件进行对比，若有一致，则确定当前目标故障事件为主要故障事件；确定主要故障事件对应的告警日志为主要告警日志。

3.根据权利要求2所述的一种网络与信息安全日志管理系统，其特征在于，所述分析处理模块，具体用于预设神经网络结构；利用所述神经网络结构对所述目标故障事件进行烟花算法处理得到一级故障事件以及一级故障事件对应的高斯变异故障事件；确定所述一级故障事件与所述高斯变异故障事件为关联故障事件。

4.根据权利要求3所述的一种网络与信息安全日志管理系统，其特征在于，所述分析处理模块，具体用于预设一级故障事件的个体适应度最大阈值m_max，预设一级故障事件总个数b，并获取所述神经网络结构的总误差E，根据所述神经网络结构的总误差E计算一级故障事件的适应度f(x_g)；预设一级故障事件的个体适应度最大阈值m_max，预设一级故障事件总个数b，并获取所述神经网络结构的总误差E，根据所述神经网络结构的总误差E计算一级故障事件的适应度f(x_g)；根据所述一级故障事件的适应度最大阈值m_max及所述每个一级故障事件的适应度f(x_g)进行计算一级故障事件的数量Q_g；

所述一级故障事件的适应度f(x_g)的计算方式为：

式中，E为神经网络结构的总误差E；

b为常数，为一级故障事件总个数；

m_max为一级故障事件最大的适应度；

f(x_g)为第g个一级故障事件的适应度；

p为正整数；

所述目标故障事件的爆炸半径R_g的计算方式为：

式中，R_g为目标故障事件的爆炸半径；

a常数；

m_min为一级故障事件最小的适应度；

f(x_g)为第g个一级故障事件的适应度；

p为正整数；

所述筛选后的目标故障事件的爆炸半径R_sg为：

式中，x、y为常数；

根据计算出的筛选后的所述目标故障事件的爆炸半径R_sg和所述一级故障事件的数量，将所述目标故障事件在所述目标故障事件的爆炸半径R_sg内进行随机位移操作，获取Q_g个一级故障事件，并获取所述一级故障事件的分别所处的位置；

所述一级故障事件的分别所处的位置表示为：

式中，为第g个一级故障事件在第k维的位置；

R_sg为筛选后的第g个一级故障事件的爆炸半径；

random(0，R_sg)为在爆炸半径R_sg内生成的均匀随机数；

所述高斯变异故障事件的位置表示为：

为第g个一级故障事件在第k维的位置；

是当前集群中最优个体X_B在第k维位的位置；

Gaussian(1,1)是均值和方差均为1的高斯分布随机数。

5.根据权利要求4所述的一种网络与信息安全日志管理系统，其特征在于，所述分析处理模块，具体用于预设一级故障事件与高斯变异故障事件的个体适应度筛选阈值L；分别计算所述一级故障事件与所述高斯变异故障事件的适应度；分别比较所述一级故障事件、所述高斯变异故障事件的个体适应度与所述故障事件的个体适应度筛选阈值L的大小关系，若所述一级故障事件、所述高斯变异故障事件的个体适应度大于所述故障事件的个体适应度筛选阈值L则将其筛除，最终确定一级故障事件与高斯变异故障事件的适应度小于或等于所述故障事件的个体适应度筛选阈值L的一级故障事件的适应度、高斯变异故障事件的适应度对应的一级故障事件、所述高斯变异故障事件为关联故障事件。

6.一种网络与信息安全日志管理方法，其特征在于，包括如下操作步骤：

获取所述分类后的告警集合中的主要告警日志；

7.根据权利要求6所述的一种网络与信息安全日志管理方法，其特征在于，所述获取所述分类后的告警集合中的主要告警日志，包括如下操作步骤：

获取当前分类后的告警集合中所有告警日志对应的初始故障事件；

随机选择所述初始故障事件中任意一个故障事件，并确定为目标故障事件；获取所述目标故障事件的多个关联故障事件；

确定主要故障事件对应的告警日志为主要告警日志。

8.根据权利要求7所述的一种网络与信息安全日志管理方法，其特征在于，所述获取所述目标故障事件的多个关联故障事件，包括如下操作步骤：

预设神经网络结构；利用所述神经网络结构对所述目标故障事件进行烟花算法处理得到一级故障事件以及一级故障事件对应的高斯变异故障事件；

确定所述一级故障事件与所述高斯变异故障事件为关联故障事件。

9.根据权利要求8所述的一种网络与信息安全日志管理方法，其特征在于，所述利用所述神经网络结构对所述目标故障事件进行烟花算法处理得到一级故障事件以及一级故障事件对应的高斯变异故障事件，具体包括如下操作步骤：

预设一级故障事件的个体适应度最大阈值m_max，预设一级故障事件总个数b，并获取所述神经网络结构的总误差E，根据所述神经网络结构的总误差E计算一级故障事件的适应度f(x_g)；根据所述一级故障事件的适应度最大阈值m_max及所述每个一级故障事件的适应度f(x_g)进行计算一级故障事件的数量Q_g；

所述一级故障事件的适应度f(x_g)的计算方式为：

式中，E为神经网络结构的总误差E；

b为常数，为一级故障事件总个数；

m_max为一级故障事件最大的适应度；

f(x_g)为第g个一级故障事件的适应度；

p为正整数；

所述目标故障事件的爆炸半径R_g的计算方式为：

式中，R_g为目标故障事件的爆炸半径；

a常数；

m_min为一级故障事件最小的适应度；

f(x_g)为第g个一级故障事件的适应度；

p为正整数；

所述筛选后的目标故障事件的爆炸半径R_sg为：

式中，x、y为常数；

所述一级故障事件的分别所处的位置表示为：

式中，为第g个一级故障事件在第k维的位置；

R_sg为筛选后的第g个一级故障事件的爆炸半径；

random(0，R_sg)为在爆炸半径R_sg内生成的均匀随机数；

所述高斯变异故障事件的位置表示为：

为第g个一级故障事件在第k维的位置；

是当前集群中最优个体X_B在第k维位的位置；

Gaussian(1,1)是均值和方差均为1的高斯分布随机数。

10.根据权利要求9所述的一种网络与信息安全日志管理方法，其特征在于，所述确定所述一级故障事件与所述高斯变异故障事件为关联故障事件，包括如下操作步骤：

预设一级故障事件与高斯变异故障事件的个体适应度筛选阈值L；分别计算所述一级故障事件与所述高斯变异故障事件的适应度；