[发明专利]一种日志分组的方法、装置及电子设备

说明书

本申请涉及一种日志分组的方法、装置及电子设备，用于解决现有日志分组不适用于真实的日志分析场景导致日志分析结果不准确的问题。该方法包括确定待分组日志对应的第一目标字段序列和第二目标序列，第一目标字段序列至少包括一个数值类目标字段，第二目标序列至少包括一个文本类目标字段，然后计算第一目标字段序列与第一日志分组对应的第一参考字段序列之间的第一距离、以及所述第二目标字段序列与所述第一日志分组对应的第二参考字段序列之间的第二距离，如果第一距离与第二距离之和小于等于预设阈值，则将待分组日志添加到所述第一日志分组中。基于上述方法能够有助于提高日志分析结果的准确性。

技术领域

本申请涉及信息安全技术领域，尤其涉及一种日志分组的方法、装置及电子设备。

背景技术

在网络安全运维中，运维人员一般通过分析日志的操作来发现如网络攻击、漏洞风险等安全风险，然后采用相应的安全策略对发现的安全风险作防护处理。

然而，面对海量日志时，运维人员难以在短时间内完成对海量日志的人工分析。基于此，现有技术一般采用日志文本聚类的方式，根据日志中文本类数据的相似程度，将文本类数据相似的日志划分到同一分组中，再基于划分的分组进行分析，从而提高人工分析的效率。

但是，日志通常是一种异构数据，换而言之，日志可以包含文本类数据，也可以包含其他类型的数据。因此，现有技术通过日志中文本类数据进行日志分组，只考虑到日志的单一类型数据，这样将导致得到的分组不适用于真实的日志分析场景，进而造成日志分析的结果不准确。

发明内容

本申请提供一种日志分组的方法、装置及电子设备，用以对海量人像数据进行人像聚类。

第一方面，本申请提供了一种日志分组的方法，所述方法包括：

确定待分组日志对应的第一目标字段序列和第二目标序列，所述第一目标字段序列至少包括一个数值类目标字段，所述第二目标序列至少包括一个文本类目标字段；

计算所述第一目标字段序列与第一日志分组对应的第一参考字段序列之间的第一距离，所述第一参考字段序列至少包括一个数值类参考字段；

计算所述第二目标字段序列与所述第一日志分组对应的第二参考字段序列之间的第二距离，所述第二参考字段序列至少包括一个文本类参考字段；

若所述第一距离与所述第二距离之和小于等于预设阈值，则将所述待分组日志添加到所述第一日志分组中。

通过上述方法，基于日志中字段的不同类型来对日志进行分组，能够有效提高分组结果的准确性，进而有助于提升后续日志分析的效率和分析结果的准确率。一方面，针对数值类字段和文本类字段的距离进行分开计算，能够更加贴合实际应用场景，进一步还提出动态调整距离计算中的权重，这样有助于得到更准确的日志分组，并且对于计算出的距离有更好的解释意义。另一方面，第一参考字段序列和第二参考字段序列分别用于表征第一日志分组中日志的数值类字段和文本类字段，通过这种方式有效提高在线处理场景下的处理性能，节约计算时间和计算资源。

在一种可能的设计中，所述确定待分组日志对应的第一目标字段序列和第二目标字段序列，包括：根据分类字段与数值类字段之间的映射关系，确定待分组日志中各个分类字段各自对应的第一数值类字段；将所述待分组日志中的各个数值类字段以及确定的各个第一数值类字段作为组成第一目标字段序列的数值类目标字段；将所述待分组日志中的各个文本类字段作为组成第二目标字段序列的文本类目标字段。

通过上述方法，考虑到日志的分类字段这种类型，通过将分类字段映射为数值类字段，能够有效减少日志中需要计算距离的字段类型，并且映射为数值类字段还有助于提升后面计算距离所消耗的计算时间和计算效率。