[发明专利]抑制日志风暴的方法及装置

说明书

本发明公开了一种抑制日志风暴的方法及装置，涉及通信技术领域，为解决垃圾日志过多导致的重要日志被覆盖的问题而发明。本发明的方法包括：按照时间间隔粒度对日志进行归并，获得归并日志，根据归并日志生成反馈信息，反馈信息用于反映系统中单位时间日志数量的增减变化，根据反馈信息调整时间间隔粒度，得到调节时间间隔粒度，按照调节时间间隔粒度进行下一次日志归并。本发明主要用于对网络攻击日志归并的过程中。

技术领域

本发明涉及通信技术领域，尤其涉及一种抑制日志风暴的方法及装置。

背景技术

随着计算机系统的发展和大流量网络时代的到来，网络带宽和网络流量迅猛增加，各类网络攻击，例如入侵预防系统（Intrusion Prevention System，简称IPS）攻击、分布式拒绝服务（Distributed Denial of Service，简称DDos）攻击等日益猖獗。网络和各类系统中的垃圾日志呈几何指数形态上升，产生了日志风暴。在发生日志风暴时，大量的垃圾日志会覆盖真实有效的系统日志，使之无法被获取使用，同时日志风暴会急剧提升系统负担，从而产生系统性能下降、存储空间不足等现象，因此网络对抑制日志风暴的需求愈发强烈。

现有抑制日志风暴的方式主要是根据固定的日志归并策略对日志进行归并，从而减少日志数量。通常，一条日志会涉及多个维度的属性信息，例如日志类型、日志身份标识（Identity，简称ID），网间协议地址（Internet Protocol，简称IP）、端口号等。在制定日志归并策略时，设定某一个维度作为归并维度，然后根据归并维度对网络日志进行归并。以源端口号作为归并维度为例：系统在10秒钟的时间内产生了700条日志，700条日志的源端口号涉及端口1、端口2和端口3，其他属性信息存在26种不同的组合。在进行日志归并时，以源端口号作为归并依据，依据26种不同的属性信息组合，将700条日志归并为26条日志。

在上述日志归并的过程中，发明人发现现有技术中至少存在如下问题：现有的日志归并方式仅仅根据固定的归并策略按照预设时段（例如10秒）对各时段内产生的日志进行归并，虽然可以在一定程度上减少垃圾日志的绝对数量，但是从一个更大范围的时间粒度来看，例如以一天或一周作为一个统计周期，归并后的日志总量仍不可小觑。特别是当日志数量增多时，会出现更多非归并维度属性信息不同的日志，归并日志的数量会相应提升，进一步限制了日志归并的效果。如果系统当前遭受蠕虫病毒攻击产生大量的攻击事件，那么每10秒就会产生许多归并后的蠕虫攻击日志，大量无用的日志很快就会覆盖掉重要的系统日志，使系统在对重要日志处理之前就已无法对其进行获取。

发明内容

本发明实施例提供一种抑制日志风暴的方法及装置，能够对日志归并策略进行灵活调控，解决垃圾日志过多导致的重要日志被覆盖的问题。

一方面，本发明实施例提供了一种抑制日志风暴的方法，包括：

按照时间间隔粒度对日志进行归并，获得归并日志；

根据所述归并日志生成反馈信息，所述反馈信息用于反映系统中单位时间日志数量的增减变化；

根据所述反馈信息调整所述时间间隔粒度，得到调节时间间隔粒度；

按照所述调节时间间隔粒度进行下一次日志归并。

另一方面，本发明实施例提供了一种抑制日志风暴的装置，包括：

归并单元，用于按照时间间隔粒度对日志进行归并，获得归并日志；

反馈单元，用于根据所述归并单元归并后的所述归并日志生成反馈信息，所述反馈信息用于反映系统中单位时间日志数量的增减变化；

粒度调整单元，用于根据所述反馈单元生成的所述反馈信息调整所述时间间隔粒度，得到调节时间间隔粒度；

所述归并单元还用于按照所述粒度调整单元调整后的所述调节时间间隔粒度进行下一次日志归并。