[发明专利]一种日志分析方法、服务器、电子设备及存储介质

说明书

本申请提供了一种日志分析方法、服务器、电子设备及存储介质。所述方法包括：获得待分析的第一日志文件；对所述第一日志文件的文件特征和行为特征进行检测，得到检测结果；对所述第一日志文件包括的语句进行解析，得到解析结果；根据所述检测结果和所述解析结果，确定所述第一日志文件对应的日志分析结果，所述日志分析结果表征所述第一日志文件是恶意文件还是非恶意文件；展示所述第一日志文件对应的日志分析结果。本申请在日志文件发送到内网终端之前，采用检测文件特征和行为特征以及解析语句相结合的检测方式对日志文件进行检测，能及时获得日志文件中的安全信息、异常信息或应用相关信息等，克服了相关技术中日志分析时效滞后的问题。

技术领域

本发明涉及网络安全技术领域，特别是涉及一种日志分析方法、服务器、电子设备及存储介质。

背景技术

计算机在运行过程中会产生大量的日志文件，技术人员通过记录和分析这些日志文件，能够获取到计算机运行过程中的安全信息、异常信息、系统错误等，进而能够确定产生异常或系统错误的原因，并对相应的原始代码进行改进。

在相关技术中，技术人员只能针对已经产生的日志文件进行分析，即技术人员永远滞后地获取到日志文件，换言之，当一些日志文件是恶意文件时，由于无法及时地判断其是否为恶意文件，只能等到其对计算机运行产生了恶意行为后，才能将其记录并阻止其下一次访问计算机，而无法主动在第一时间追踪到其恶意行为并及时防范，因而，相关技术中急需一种更好地检测日志文件的方式。

发明内容

本申请实施例提供了一种日志分析方法、服务器、电子设备及存储介质，旨在克服相关技术中存在的日志文件检测时效滞后的问题。

本申请实施例第一方面提供了一种日志分析方法，应用于服务器，所述方法包括：

获得待分析的第一日志文件；

对所述第一日志文件的文件特征和行为特征进行检测，得到检测结果；对所述第一日志文件包括的语句进行解析，得到解析结果；

根据所述检测结果和所述解析结果，确定所述第一日志文件对应的日志分析结果，所述日志分析结果表征所述第一日志文件是恶意文件还是非恶意文件；

展示所述第一日志文件对应的日志分析结果。

可选地，在根据所述检测结果和所述解析结果，确定所述第一日志文件对应的日志分析结果之后，所述方法还包括：

记录并存储所述第一日志文件对应的日志分析结果；

对所述第一日志文件对应的日志分析结果进行自学习，得到恶意文件的通用文件形式或非恶意文件的通用文件形式；

获得待分析的第二日志文件，所述第二日志文件不同于所述第一日志文件；

判断所述第二日志文件的文件形式是否与恶意文件的通用文件形式或非恶意文件的通用文件形式相匹配；

在所述第二日志文件的文件形式与恶意文件的通用文件形式相匹配时，确定所述第二日志文件是恶意文件；

在所述第二日志文件的文件形式与非恶意文件的通用文件形式相匹配时，确定所述第二日志文件是非恶意文件。

可选地，在根据所述检测结果和所述解析结果，确定所述第一日志文件对应的日志分析结果之后，所述方法还包括：

在所述第一日志文件对应的日志分析结果表征所述第一日志文件是恶意文件时，拦截所述第一日志文件；

在所述第一日志文件对应的日志分析结果表征所述第一日志文件是非恶意文件时，通过网络将所述第一日志文件发送给终端。

可选地，所述服务器上运行有OSSEC服务端程序；获得待分析的第一日志文件，包括：