[发明专利]一种日志审计方法、装置、设备及可读存储介质

权利要求书

1.一种日志审计方法，其特征在于，所述日志审计方法包括：

基于获取的历史日志数据的多个标签，以及各标签对应的特征，构建树形标签体系；

针对所述树形标签体系中的每一个标签，确定该标签所对应的目标特征，基于目标特征，以及预设的目标特征的权重，确定目标特征对该标签的贡献率，基于所述贡献率，更新所述目标特征的权重；所述贡献率用于表征目标特征对标签的影响程度；

基于更新权重后的树形标签体系，确定待审计日志数据的标签；

基于所述标签，对所述待审计日志数据进行审计。

2.根据权利要求1所述的日志审计方法，其特征在于，在所述基于获取的历史日志数据的多个标签，以及各标签对应的特征，构建树形标签体系之前，所述日志审计方法还包括：

获取历史日志数据，对所述历史日志数据进行数据清洗和结构化处理；

确定所述历史日志数据的多个标签，以及各标签对应的特征。

3.根据权利要求2所述的日志审计方法，其特征在于，在所述确定所述历史日志数据的多个标签，以及各标签对应的特征之后，所述日志审计方法还包括：

获取预设时间范围内各标签出现的频率，将频率低于预设频率阈值的标签确定为目标标签；

滤除多个所述标签中的目标标签。

4.根据权利要求1所述的日志审计方法，其特征在于，所述树形标签体系包括至少一棵标签树，以标签为叶子节点构建所述标签树，所述标签树还包括中间节点，基于各标签对应的特征，确定所述标签树的中间节点。

5.根据权利要求1所述的日志审计方法，其特征在于，所述基于所述贡献率，更新所述目标特征的权重，包括：

确定目标特征的权重与贡献率之间的差值；

若所述差值大于或等于预设的差值阈值，则将目标特征的权重更新为贡献率，并基于更新后的权重，确定目标特征对该标签的贡献率；

若所述差值小于所述差值阈值，则将当前权重确定为最终的权重。

6.根据权利要求1所述的日志审计方法，其特征在于，根据以下方式确定目标特征对标签的贡献率：

其中，

这里，C_i是所述目标特征对标签的贡献率，N_d是所述树形标签体系中标签树的深度，w_ij是所述目标特征的权重，N_t是所述目标特征的总数量，n为所述目标特征可能取值数量，p_j为所述目标特征。

7.根据权利要求1所述的日志审计方法，其特征在于，在所述基于所述标签，对所述待审计日志数据进行审计之后，所述日志审计方法还包括：

基于所述待审计日志数据的审计结果，检测异常操作行为，并生成相应的安全预警信息。

8.一种日志审计装置，其特征在于，所述日志审计装置包括：

树形标签体系构建模块，用于基于获取的历史日志数据的多个标签，以及各标签对应的特征，构建树形标签体系；

权重更新模块，用于针对所述树形标签体系中的每一个标签，确定该标签所对应的目标特征，基于目标特征，以及预设的目标特征的权重，确定目标特征对该标签的贡献率，基于所述贡献率，更新所述目标特征的权重；所述贡献率用于表征目标特征对标签的影响程度；

标签确定模块，用于基于更新权重后的树形标签体系，确定待审计日志数据的标签；

审计模块，用于基于所述标签，对所述待审计日志数据进行审计。

9.一种计算机设备，其特征在于，包括：处理器、存储器和总线，所述存储器存储有所述处理器可执行的机器可读指令，当计算机设备运行时，所述处理器与所述存储器之间通过总线通信，所述机器可读指令被所述处理器执行时执行如权利要求1至7任一所述的日志审计方法的步骤。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器运行时执行如权利要求1至7任意一项所述的日志审计方法的步骤。