[发明专利]智能设备日志处理系统及方法

说明书

本发明公开了智能设备日志处理系统及方法，涉及物联网智能设备日志处理系统，包括日志获取器：用于根据智能设备的参数，获取智能设备的原始日志；日志解析器：用于接收所述原始日志，将非结构化或半结构化的所述原始日志解析成结构化日志，并生成日志序列；安全规则库：包含日志分析规则；日志分析引擎：用于接收所述结构化日志和日志序列，并根据所述安全规则库的日志分析规则对所述结构化日志进行规则匹配，并对日志序列进行层次聚类；日志分析报告器：用于根据所述日志分析引擎的结果和所述安全规则库，将分析结果生成报告；用户接口模块：用于与用户交互，接收智能设备所述参数，及将所述报告输出给用户。本发明日志获取高效、简单、准确。

技术领域

本发明涉及物联网智能设备日志处理系统技术领域，特别是指智能设备日志处理系统及其处理方法。

背景技术

目前日志的审计方法有很多种，其中包括基于规则库、基于数据挖掘、基于免疫系统和基于神经网络的审计方法等。基于规则库的审计检测准确率高，但不适用于多变的网络攻击行为。基于数据挖掘的审计可处理大规模数据文件，但准确率需要调优。基于进化算法的审计可通过多维度进行有效审计优化，但无法检测同时发生的攻击行为。基于免疫系统的审计可以对具有记忆的攻击和病原体进行检测，但无法判断条件竞争、身份伪装的攻击。其中，常用的且已有一定成果是基于规则库的审计方法以及由于大数据热潮而得到关注的数据挖掘算法。涉及生物学的神经网络算法、遗传算法和进化算法仍待进一步研究。对于数据挖掘而言，针对日志的分析主要分为监督学习和无监督学习，主要取决于日志是否有标。监督学习主要采用分类算法，而无监督学习主要采用聚类算法，通过聚类分析将收集到的原始日志分为正常日志和可疑日志两大类，然后再分别对两类日志进行关联规则挖掘，得出正常操作规则和异常操作规则。

目前主流的日志分析工具发展比较成熟，但是其局限性在于，收集日志时需要在采集对象上部署采集软件或加装日志收集工具，对于智能设备而言，在其上进行软件部署复杂、难度较大。对于日志采集常用协议，部分智能设备并不支持，增加了对智能设备日志获取的难度。

在对获取到的日志进行审计时，目前主流的手段依旧是基于规则进行匹配，这种方法效率较高、简单直观，但是随着攻击手段的增多，对于不在安全规则库中的攻击手段而言，日志审计效果不好，而且对于大规模的日志数据无法挖掘出规则以外的信息。

发明内容

有鉴于此，本发明的目的在于提出智能设备日志处理系统及其处理方法，用于解决背景技术中智能设备日志获取难度大，日志审计效果不好的问题，其具有日志获取简单，审计效果出色的特点。

本发明提供了一种智能设备日志处理系统，包括：

日志获取器：用于根据智能设备的参数，获取智能设备的原始日志；

日志解析器：用于接收所述原始日志，将非结构化或半结构化的所述原始日志解析成结构化日志，并生成日志序列；

安全规则库：包含日志分析规则；

日志分析引擎：用于接收所述结构化日志和日志序列，并根据所述安全规则库的日志分析规则对所述结构化日志进行规则匹配，并对日志序列进行层次聚类；

日志分析报告器：用于根据所述日志分析引擎的结果和所述安全规则库，将分析结果生成报告；

用户接口模块：用于与用户交互，接收智能设备所述参数，及将所述报告输出给用户。

可选的，所述日志获取器通过智能设备提供的接口识别智能设备的品牌和型号，确定智能设备所采用的协议以及通信方式，根据智能设备所采用的协议和交互方式向智能设备对应的IP发送请求，并通过解析智能设备返回的响应获取智能设备运行过程生成的原始日志。

可选的，所述日志解析器包括：

日志清洗器：用于将所述原始日志中的冗余信息去除，将所述原始日志解析为所述结构化日志；