[发明专利]日志处理方法及装置

说明书

技术领域

本发明涉及互联网应用领域，具体涉及一种日志处理方法及装置。

背景技术

随着互联网的快速发展，每天都会涌现出大量的软件。从软件安全性来区分，有些软件是安全的，有些软件是不安全的恶意软件，例如熊猫烧香。而这些软件大多数都是通过互联网分发的，其中，下载站、论坛、官方网站下载链接是软件发布的重要渠道。

由于每天都会出现大量的软件，并且大部分下载站、论坛都允许用户自由提交内容。例如，很多下载站、论坛都会提供上传组件，普通的网站用户通过这些组件就可以将自己想发布的软件上传，供其他用户下载使用。因此，对于软件的安全性鉴别很难做到快速识别。特别是在云安全系统中，大批量的软件，让使用者甚至是管理者也很难对新生恶意软件进行快速区分和识别。而不法分子恰好可以利用这一点，传播病毒、木马、强制捆绑插件等恶意样本。这一方面带来了巨大的网络安全隐患，另一方面又给有下载需求的用户造成了很大的安全风险。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的日志处理装置和相应的日志处理方法。

依据本发明的一个方面，提供了一种日志处理方法，适用于具有海量下载日志的云安全系统，包括：

分析原始下载日志，获取各日志的标识信息；

利用预设的日志规则匹配已获取的标识信息；

根据匹配结果对相应日志进行处理。

可选地，所述根据匹配结果对相应日志进行处理，包括：

若当前日志的标识信息与某一日志规则匹配，获取匹配的日志规则所对应的日志动作；

根据获取的日志动作对所述当前日志进行处理，其中，日志动作是预设置的，且与日志规则相对应。

可选地，所述根据匹配结果对相应日志进行处理，还包括：

若当前日志的标识信息与某一日志规则匹配，标识该日志对应的下载任务样本为可信样本；以及

将匹配的标识信息保存到数据库中。

可选地，在对日志的处理过程中，还包括：

在数据库中保存统计结果，其中，所述统计结果包括：各日志的处理过程及结果，以及各日志规则的匹配结果。

可选地，所述日志动作包括下列至少之一：动作名称、具体动作、附加参数。

可选地，所述根据匹配结果对相应日志进行处理，包括：

若当前日志的标识信息与日志规则匹配失败，

定期提取失败的日志，重新与日志规则匹配，其中，该日志规则随时间更改设置。

可选地，所述对相应日志进行处理之后，包括：利用处理后的日志信息更新白名单数据库。

可选地，所述原始下载日志为不安全的样本下载日志。

可选地，所述日志规则包括下列至少之一：

规则名称、下载链域名、下载链路径、父页面域名、父页面路径、文件过滤匹配优先级。

可选地，所述标识信息包括：日志的durl和/或purl信息。

根据本发明的另一方面，提供了一种日志处理装置，适用于具有海量下载日志的云安全体系，包括：

获取模块，配置为分析原始下载日志，获取各日志的标识信息；

匹配模块，配置为利用预设的日志规则匹配已获取的标识信息；

处理模块，配置为根据匹配结果对相应日志进行处理。

可选地，所述处理模块还配置为：

若当前日志的标识信息与某一日志规则匹配，获取匹配的日志规则所对应的日志动作；

根据获取的日志动作对所述当前日志进行处理，其中，日志动作是预设置的，且与日志规则相对应。

可选地，上述装置还包括：

可信样本存储模块，配置为若当前日志的标识信息与某一日志规则匹配，标识该日志对应的下载任务样本为可信样本，并保存匹配的标识信息。

可选地，上述装置还包括：

统计结果保存模块，配置为在数据库中保存统计结果，其中，所述统计结果包括：各日志的处理过程及结果，以及各日志规则的匹配结果。

可选地，所述处理模块还配置为：

若当前日志的标识信息与日志规则匹配失败，

定期提取失败的日志，重新与日志规则匹配，其中，该日志规则随时间更改设置。

可选地，上述装置还包括：

数据更新模块，配置为利用所述处理模块处理后的日志信息更新白名单数据库。