[发明专利]日志处理的方法、装置及计算机可读存储介质

权利要求书

1.一种日志处理方法，其特征在于，所述方法包括：

对预先获取的至少一个用户终端的应用操作日志进行数据清洗处理，得到处理结果；

根据所述处理结果，对所述应用操作日志与设定的可疑操作序列进行关联分析，在分析结果指示异常时，生成潜在数据泄露行为告警事件。

2.根据权利要求1所述的日志处理方法，其特征在于，所述应用操作日志包括：应用操作类型、应用名称、用户账号、操作对象及对象位置信息中的至少两种；

所述对预先获取的至少一个用户终端的应用操作日志进行数据清洗处理包括：

根据所述应用操作日志的应用操作类型、应用名称、用户账号、操作对象及对象位置信息中的一种或多种，对所述应用操作日志的日志条目进行分组，得到所述日志条目的数据分布；

根据所述日志条目的数据分布，对所述应用操作日志进行数据清洗处理。

3.根据权利要求2所述的日志处理方法，其特征在于，所述根据所述日志条目的数据分布，对所述应用操作日志进行数据清洗处理包括：

根据日志条目的数据分布，按各组日志条目占所述日志条目总数的比重确定各组日志条目的优先级，选取设定的高优先级的至少一组日志条目，作为筛选后得到的应用操作日志，对所述应用操作日志进行数据清洗处理。

4.根据权利要求2所述的日志处理方法，其特征在于，

根据所述应用操作日志的应用操作类型、应用名称、用户账号、操作对象及对象位置信息中的一种或多种，对所述应用操作日志的日志条目进行分组包括：选取所述应用操作日志的应用操作类型、应用名称、用户账号、操作对象、对象位置信息中的至少两种，构成一包括根节点和至少一级子节点的节点树；分别以所述节点树中的每个节点为关键词，依次对所述应用操作日志的日志条目进行分组，生成一树状分组结构；

所述根据所述日志条目的数据分布，对所述应用操作日志进行数据清洗处理包括：根据日志条目的数据分布，按所述树状分组结构中父节点的优先级高于子节点的优先级的原则确定各组日志条目的优先级；选取设定的高优先级的至少一组日志条目，作为筛选后得到的应用操作日志，对所述应用操作日志进行数据清洗处理。

5.根据权利要求2至4中任一项所述的日志处理方法，其特征在于，所述对应用操作日志进行数据清洗处理，包括下列处理中的任一种或任意组合：

基于专家经验，过滤所述应用操作日志中对数据泄露行为分析无关的日志条目；

基于去重策略，压缩所述应用操作日志中的重复日志条目；以及，

基于合并策略，合并所述应用操作日志中的相关日志条目。

6.根据权利要求1至5中任一项所述的日志处理方法，其特征在于，所述应用操作日志包括操作时间、用户账号及应用操作类型；

所述根据所述处理结果，对所述应用操作日志与设定的可疑操作序列进行关联分析，在分析结果指示异常时，得到潜在数据泄露行为告警事件，包括：

针对每个用户账号，在所述预先获取的至少一个用户终端的应用操作日志中选取包含所述处理结果对应时间段及其之前和\或其后的设定操作时间段内对应所述用户账号的各应用操作类型的应用操作日志；

对所选取的各应用操作类型的应用操作日志与设定的可疑操作序列进行关联，得到对应所述用户账号的一个操作关联度，所述操作关联度用于评价所选取的各应用操作类型的应用操作日志与设定的可疑操作序列的相似度。

7.根据权利要求6中所述的日志处理方法，其特征在于，所述方法包括：

在所述操作关联度大于一设定阈值时，分析结果指示异常，生成一潜在数据泄露行为告警事件。

8.一种日志处理装置，其特征在于，所述装置包括：

一个处理模块(100)，用于对预先获取的用户终端的应用操作日志进行数据清洗处理，得到处理结果，所述应用操作日志包括操作时间、用户账号以及应用操作类型；

一个分析模块(200)，用于根据所述处理结果，对所述应用操作日志与设定的可疑操作序列进行关联分析，在分析结果指示异常时，生成潜在数据泄露行为告警事件。