[发明专利]基于环境的日志分析转换方法及装置

说明书

技术领域

本发明涉及计算机网络病毒领域，特别涉及一种基于环境的日志分析转换方法及装置。

背景技术

计算机病毒的传播是需要介质的，随着互联网的发展与壮大，计算机病毒传播的主要媒介也从移动存储传播转向了网络传播。目前每年所监控到的病毒数量正在以一年近一倍的速度在增长。并且随着网络上通讯方式的增加，计算机病毒正在以更多样化的形式出现在我们面前。一些病毒也正在从一种，衍生成为一类。网络协议是为计算机网络中进行数据交换而建立的规则、标准或约定的集合。病毒的传播也是数据交换，所以在传播过程中也会使用到某一种协议。在对网络流量的监控中，一种协议代表着一种数据交换方式，有时甚至可以精确到一种特定数据交换行为。

在现有的病毒判定过程中，病毒样本经过反病毒引擎的扫描之后确定其特征，根据病毒特征，给出其病毒类型。而对于同一类病毒，它们可能有着相似的特征，但是传播途径不一，因此反病毒引擎也会做出错误的判断，再例如一些高风险的文件传输是我们已知并且需要的，那么这种情况则不能判断为病毒而后上报。

发明内容

本发明提供了一种基于环境的日志分析转换方法及装置，解决了计算机病毒网络流量病毒前端捕获体系中，反病毒引擎产生误报的问题。

一种基于环境的日志分析转换方法，包括：

建立日志分析转换规则，通过病毒类型的hash值建立hash列表，所述hash列表中的每个hash值节点对应至少一种传输协议类型及转换规则；

获取反病毒引擎发送的病毒日志信息，所述病毒日志信息中至少包括病毒类型、传输协议类型及日志类型；

读取病毒日志信息中病毒类型并计算病毒类型hash值，与日志分析转换规则中的hash列表匹配，若匹配成功，则进一步获取病毒日志信息中传输协议类型，与hash值节点中的传输协议类型匹配，若匹配成功，则根据传输协议类型对应的转换规则，对病毒日志信息进行修改，否则结束本条日志分析；若hash列表匹配失败，则结束本条日志分析。

所述的方法中，所述的hash列表中的每个hash值节点对应至少一种传输协议类型及转换规则中，所述的协议类型为与hash值对应的病毒类型的传输协议不符的传输协议类型，且每一传输协议类型对应一个转换规则。

所述的方法中，所述传输协议类型及转换规则以红黑树方式存储在对应hash值节点中。

所述的方法中，所述的日志分析转换规则可扩展。

一种基于环境的日志分析转换装置，包括：

存储模块，用于存储建立的日志分析转换规则，通过病毒类型的hash值建立hash列表，所述hash列表中的每个hash值节点对应至少一种传输协议类型及转换规则；

获取模块，用于获取反病毒引擎发送的病毒日志信息，所述病毒日志信息中至少包括病毒类型、传输协议类型及日志类型；

读取模块，用于读取病毒日志信息中病毒类型并计算病毒类型hash值；

匹配模块，用于将读取模块计算的病毒类型hash值与日志分析转换规则中的hash列表匹配，若匹配成功，则进一步获取病毒日志信息中传输协议类型，与hash值节点中的传输协议类型匹配，若匹配成功，则根据传输协议类型对应的转换规则，对病毒日志信息进行修改，否则结束本条日志分析；若hash列表匹配失败，则结束本条日志分析。

所述的装置中，所述的hash列表中的每个hash值节点对应至少一种传输协议类型及转换规则中，所述的协议类型为与hash值对应的病毒类型的传输协议不符的传输协议类型，且每一传输协议类型对应一个转换规则。

所述的装置中，所述传输协议类型及转换规则以红黑树方式存储在对应hash值节点中。

所述的装置中，所述的日志分析转换规则可扩展。

本发明提供一种基于环境的日志分析转换方法及装置，所述方法包括：建立日志分析转换规则，通过病毒类型的hash值建立hash列表，所述hash列表中的每个hash值节点对应至少一种传输协议类型及转换规则；获取反病毒引擎发送的病毒日志信息中的病毒类型并计算hash值，及传输协议类型，与转换规则中的hash值节点及传输协议类型匹配，若匹配成功，则根据传输协议类型对应的转换规则，对病毒日志信息进行修改，否则结束本条日志分析；若hash列表匹配失败，则结束本条日志分析。通过本发明方法及装置，将反病毒引擎的判断结果与网络流量信息中的传输协议相结合，对病毒进行二次判断并将反病毒引擎判断错误的病毒日志信息进行修改。

附图说明