[发明专利]基于图库模型的日志安全分析方法、装置及存储介质

权利要求书

1.一种基于图库模型的日志安全分析方法，其特征在于，包括：

从多个日志中提取信息，按照预设格式生成各字段；

对所述各字段进行分析，得到多个主体信息和多个关系信息；

基于所述多个主体信息及所述多个关系信息构建图库模型；

通过攻击检测图谱对所述图库模型进行训练；

所述通过攻击检测图谱对所述图库模型进行训练，包括：

构建所述攻击检测图谱，所述攻击检测图谱包括：登录账号被盗用攻击图谱、用户短期内不同IP登录攻击图谱、被撞库攻击图谱中的任意一项或任意组合；

将所述攻击检测图谱与所述图库模型进行匹配处理，得到检测结果；

若所述检测结果为被攻击，则确定检测成功；或，若所述检测结果为未攻击，则确定检测失败；

将所述检测成功信息及所述检测失败信息反馈至所述图库模型，进行模型训练。

2.根据权利要求1所述的基于图库模型的日志安全分析方法，其特征在于，所述攻击检测图谱中携带有时间属性，所述时间属性包括时间设置阈值；所述方法还包括：

通过时间分窗分析方法或时间衰减度分析方法，将所述时间属性融入所述攻击检测图谱。

3.根据权利要求1所述的基于图库模型的日志安全分析方法，其特征在于，所述方法还包括：

响应于生成web登录日志，通过所述图库模型预测所述web登录日志中是否存在入侵攻击；

若预测结果为所述web登录日志中存在入侵攻击，则产生告警信息进行提醒。

4.一种基于图库模型的日志安全分析装置，其特征在于，包括：

生成模块，用于从多个日志中提取信息，按照预设格式生成各字段；

分析模块，用于对所述各字段进行分析，得到多个主体信息和多个关系信息；

构建模块，用于基于所述多个主体信息及所述多个关系信息构建图库模型；

训练模块，用于通过攻击检测图谱对所述图库模型进行训练；

所述训练模块，还用于构建所述攻击检测图谱，所述攻击检测图谱包括：登录账号被盗用攻击图谱、用户短期内不同IP登录攻击图谱、被撞库攻击图谱中的任意一项或任意组合；将所述攻击检测图谱与所述图库模型进行匹配处理，得到检测结果；若所述检测结果为被攻击，则确定检测成功；或，若所述检测结果为未攻击，则确定检测失败；将所述检测成功信息及所述检测失败信息反馈至所述图库模型，进行模型训练。

5.根据权利要求4所述的基于图库模型的日志安全分析装置，其特征在于，

所述构建模块构建的所述攻击检测图谱中携带有时间属性，所述时间属性包括时间设置阈值；

所述构建模块，还用于通过时间分窗分析方法或时间衰减度分析方法，将所述时间属性融入所述攻击检测图谱。

6.根据权利要求4所述的基于图库模型的日志安全分析装置，其特征在于，所述装置还包括：

预测模块，用于响应于生成web登录日志，通过所述图库模型预测所述web登录日志中是否存在入侵攻击；

提醒模块，用于若预测结果为所述web登录日志中存在入侵攻击，则产生告警信息进行提醒。