[0020] 为了能够更清楚地理解本发明的上述目的、特征和优点,下面结合附图和具体实施方式对本发明进行进一步的详细描述。需要说明的是,在不冲突的情况下,本申请的实施例及实施例中的特征可以相互组合。
[0021] 在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是,本发明还可以采用其他不同于在此描述的其他方式来实施,因此,本发明的保护范围并不受下面公开的具体实施例的限制。
[0022] 为使本发明的目的、技术方案和优点更加清楚明白,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,需要指出的是,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0023] 需要说明的是,本发明实施例中所有使用“第一”和“第二”的表述均是为了区分两个相同名称非相同的实体或者非相同的参量,可见“第一”“第二”仅为了表述的方便,不应理解为对本发明实施例的限定,后续实施例对此不再一一说明。
[0024] 图1是布置为实现根据本发明的多日志系统的安全监测方法的示例计算设备100的框图。在基本的配置102中,计算设备100典型地包括系统存储器106和一个或者多个处理器104。存储器总线108可以用于在处理器104和系统存储器106之间的通信。
[0025] 取决于期望的配置,处理器104可以是任何类型的处理,包括但不限于:微处理器((µP)、微控制器(µC)、数字信息处理器(DSP)或者它们的任何组合。处理器104可以包括诸如一级高速缓存110和二级高速缓存112之类的一个或者多个级别的高速缓存、处理器核心114和寄存器116。示例的处理器核心114可以包括运算逻辑单元(ALU)、浮点数单元(FPU)、数字信号处理核心(DSP核心)或者它们的任何组合。示例的存储器控制器118可以与处理器
104一起使用,或者在一些实现中,存储器控制器118可以是处理器104的一个内部部分。
[0026] 取决于期望的配置,系统存储器106可以是任意类型的存储器,包括但不限于:易失性存储器(诸如RAM)、非易失性存储器(诸如ROM、闪存等)或者它们的任何组合。系统存储器106可以包括操作系统120、一个或者多个程序122以及程序数据124。在一些实施方式中,程序122可以被配置为在操作系统上由一个或者多个处理器104利用程序数据124执行指令。
[0027] 计算设备100还可以包括有助于从各种接口设备(例如,输出设备142、外设接口144和通信设备146)到基本配置102经由总线/接口控制器130的通信的接口总线140。示例的输出设备142包括图形处理单元148和音频处理单元150。它们可以被配置为有助于经由一个或者多个A/V端口152与诸如显示器或者扬声器之类的各种外部设备进行通信。示例外设接口144可以包括串行接口控制器154和并行接口控制器156,它们可以被配置为有助于经由一个或者多个I/O端口158和诸如输入设备(例如,键盘、鼠标、笔、语音输入设备、触摸输入设备)或者其他外设(例如打印机、扫描仪等)之类的外部设备进行通信。示例的通信设备146可以包括网络控制器160,其可以被布置为便于经由一个或者多个通信端口164与一个或者多个其他计算设备162通过网络通信链路的通信。
[0028] 网络通信链路可以是通信介质的一个示例。通信介质通常可以体现为在诸如载波或者其他传输机制之类的调制数据信号中的计算机可读指令、数据结构、程序模块,并且可以包括任何信息递送介质。“调制数据信号”可以这样的信号,它的数据集中的一个或者多个或者它的改变可以在信号中编码信息的方式进行。作为非限制性的示例,通信介质可以包括诸如有线网络或者专线网络之类的有线介质,以及诸如声音、射频(RF)、微波、红外(IR)或者其它无线介质在内的各种无线介质。这里使用的术语计算机可读介质可以包括存储介质和通信介质二者。
[0029] 计算设备100可以实现为小尺寸便携(或者移动)电子设备的一部分,这些电子设备可以是诸如蜂窝电话、个人数字助理(PDA)、个人媒体播放器设备、无线网络浏览设备、个人头戴设备、应用专用设备、或者可以包括上面任何功能的混合设备。计算设备100还可以实现为包括桌面计算机和笔记本计算机配置的个人计算机。
[0030] 其中,计算设备100的一个或多个程序122包括用于执行根据本发明的多日志系统的安全监测方法的指令。
[0031] 图2为本发明实施例提供的一种多日志系统的安全监测方法的流程图,如图2所述,所述方法包括以下步骤:S210、获取多个不同类型的日志系统的第一日志数据;
S220、将所述第一日志数据转化为符合预先定义的安全监测所需的多字段格式的第二日志数据;
S230、基于所述第二日志数据进行安全监测,综合多个日志系统的第二日志数据分析输出安全监测结果。
[0032] 本发明实施例中,不同类型的日志系统包括:安全设备日志、操作系统日志、网络设备日志、应用程序日志和数据库日志。
[0033] 安全设备包括:防火墙、入侵检测等。
[0034] 操作系统包括:windows、linux等。
[0035] 网络设备包括:路由器、交换机等。
[0036] 应用程序则包括企事业单位所使用的多种业务应用,以及常用软件,例如:办公软件。
[0037] 数据库则包括MySQL、Oracle等。
[0038] 目前,上述各类产品均对日志格式作了规定。例如,应用程序常用的Apache日志格式如下:本发明实施例根据已知的各类产品的通用日志格式,基于安全角度,选取日志ID、时间、设备、用户名、消息内容、IP、域、进程、消息来源、威胁程度作为统一日志字段记录到最终的统一日志中,能够满足安全监测所需,覆盖大部分地安全事故场景。
[0039] 对于未采用通用日志格式的产品的日志,在进行统一格式处理时,同样可以采用上述的若干字段进行转化。
[0040] 在进行日志的统一格式处理时,对于原始数据不包含的字段,以预先约定的方式表示。例如,某些应用的日志数据并不包括威胁程度,在统一格式处理后该字段则一律以缺省表示,或者特定字符串表示。
[0041] 此外,统一日志字段还包括扩展字段。对于原始数据包含但统一格式处理后不包含的重要字段,则写入统一日志扩展字段。扩展字段除了用于记录用于恢复原始日志数据的关键信息以外,也可以用于记录安全监测分析数据。
[0042] 为了对原始日志数据进行深度地格式化处理,所述消息内容,包括:公共字段和特征字段;所述公共字段以数值化表示,每一特征字段的记录内容根据所述公共字段的数值可以确定出来。通过提取公共字段内容,从而避免日志中冗余字段的重复出现,降低存储和分析成本。以及,由于日志的消息内容的格式通常是固定的几种,通过提取公共字段,并以数值化表示,则可以明确消息内容的类型和格式,从而只需要在特征字段记录对应的变量即可。
[0043] 可选地,步骤S130中,基于所述第二日志数据进行安全监测,综合多个日志系统的第二日志数据分析输出安全监测结果,包括:根据时间、设备、用户名、消息内容、IP、域、进程、消息来源、威胁程度中的任意一种或多种参数,关联多个日志系统的第二日志数据,根据关联数据综合分析输出安全监测结果。
[0044] 一方面,安全事件的踪迹往往不是在某一个孤立的节点被监测到,而是在系统各个层级存在一定的关联关系;另一方面,集中在某一个节点的安全事件的监测必然容易导致漏检。因此,通过对多个日志系统的统一综合关联分析,追踪安全事件的全过程,能够有效提升安全监测效率。
[0045] 进一步地,方法还包括:预先采用样本进行机器学习训练,分析多个日志系统的时间、设备、用户名、消息内容、IP、域、进程、消息来源、威胁程度的参数特征,用于综合分析输出安全监测结果。即采用机器学习的方式,从多个角度观察监测信息系统的运行状态,综合地判断出系统风险。
[0046] 本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质包括只读存储器(Read-Only Memory,ROM)、随机存储器(Random Access Memory,RAM)、可编程只读存储器(Programmable Read-only Memory,PROM)、可擦除可编程只读存储器(Erasable Programmable Read Only Memory,EPROM)、一次可编程只读存储器(One-time Programmable Read-Only Memory,OTPROM)、电子抹除式可复写只读存储器(Electrically-Erasable Programmable Read-Only Memory,EEPROM)、只读光盘(Compact Disc Read-Only Memory,CD-ROM)或其他光盘存储器、磁盘存储器、磁带存储器、或者能够用于携带或存储数据的计算机可读的任何其他介质。
[0047] 以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。