[发明专利]基于图库模型的日志安全分析方法、装置及存储介质

说明书

本发明实施例公开了一种基于图库模型的日志安全分析方法、装置及存储介质，涉及网络安全领域。本发明的方法包括：从多个日志中提取信息，按照预设格式生成各字段；对所述各字段进行分析，得到多个主体信息和多个关系信息；基于所述多个主体信息及所述多个关系信息构建图库模型；通过攻击检测图谱对所述图库模型进行训练。本发明能够提高对海量日志进行分析的速度及准确度。

技术领域

本发明涉及网络安全领域，尤其涉及一种基于图库模型的日志安全分析方法、装置及存储介质。

背景技术

随着网络技术的发展，网络应用的增多，越来越多的服务会产生网络痕迹的日志，对于这些大量日志进行分析，并得到一些入侵攻击的蛛丝马迹，对于维护网络安全尤为重要。

目前，日志存储的数量级越来越大，产生日志的速度也越来越快，所以对于数量如此庞大的日志的分析技术也急需发展，如何从海量的日志中提取出有价值的入侵攻击信息，成为目前亟待解决的问题。

发明内容

本发明的实施例提供一种基于图库模型的日志安全分析方法、装置及存储介质，能够提高对海量日志进行入侵攻击分析的准确度。

为达到上述目的，本发明的实施例采用如下技术方案：

第一方面，本发明的实施例提供一种基于图库模型的日志安全分析方法，包括：

从多个日志中提取信息，按照预设格式生成各字段；

对所述各字段进行分析，得到多个主体信息和多个关系信息；

基于所述多个主体信息及所述多个关系信息构建图库模型；

通过攻击检测图谱对所述图库模型进行训练。

结合第一方面，在第一方面的第一种可能的实现方式中，所述方法还包括：

构建所述攻击检测图谱，所述攻击检测图谱包括：登录账号被盗用攻击图谱、用户短期内不同IP登录攻击图谱、被撞库攻击图谱中的任意一项或任意组合。

结合第一方面，或第一方面的第一种可能的实现方式，在第一方面的第二种可能的实现方式中，所述攻击检测图谱中携带有时间属性，所述时间属性包括时间设置阈值；所述方法还包括：

通过时间分窗分析方法或时间衰减度分析方法，将所述时间属性融入所述攻击检测图谱。

结合第一方面，在第一方面的第三种可能的实现方式中，所述通过攻击检测图谱对所述图库模型进行训练包括：

将所述攻击检测图谱与所述图库模型进行匹配处理，得到检测结果；

若所述检测结果为被攻击，则确定检测成功；或，若所述检测结果为未攻击，则确定检测失败；

将所述检测成功信息及所述检测失败信息反馈至所述图库模型，进行模型训练。

结合第一方面，在第一方面的第四种可能的实现方式中，所述方法还包括：

响应于生成web登录日志，通过所述图库模型预测所述web登录日志中是否存在入侵攻击；

若预测结果为所述web登录日志中存在入侵攻击，则产生告警信息进行提醒。

第二方面，本发明的实施例提供一种一种基于图库模型的日志安全分析装置，包括：

生成模块，用于从多个日志中提取信息，按照预设格式生成各字段；

分析模块，用于对所述各字段进行分析，得到多个主体信息和多个关系信息；

构建模块，用于基于所述多个主体信息及所述多个关系信息构建图库模型；

训练模块，用于通过攻击检测图谱对所述图库模型进行训练。