[发明专利]一种自动化日志安全审计的方法及系统

说明书

本发明公开了一种自动化日志安全审计的方法及系统，包括，获取冗余的日志信息，将冗余的日志信息通过规则转换成数字化信息的日志信息，训练均值漂移模型；获取需要审计的日志信息，将需要审计的日志信息转换规则后放入训练完成的均值漂移模型当中，并与预先设定半径比较，若超过预先设定的半径，则需要审计的日志信息属于“可疑日志信息”；若未超过预先设定的半径，则需要审计的日志信息属于“正常日志信息”；通过上述方式，本发明能够利用冗余的日志，通过冗余日志建立好日志的数据转换规则，并且通过神经网络建立均值漂移的模型并使用冗余日志进行训练，训练好后并通过该模型进行日志审计可疑日志信息筛查工作。

技术领域

本发明涉及信息安全技术领域，特别是涉及一种自动化日志安全审计的方法及系统。

背景技术

目前各个网络平台都会有各种类型的日志，每天每时都在不断的生成日志，而各个平台的维护人员则需要从海量的日志中筛选出可能包含可疑行为中的信息，并进行进一步的跟踪和处理；因为系统日志的数据量十分庞大，随着系统运行的时间越来越长，会有越来越冗余的日志信息。完全靠人力来排除总会存在疏漏。

目前的系统日志审计方法都是通过一个分析模块，进行当前的日志进行解析，解析出的结果相对来说不准确，并且不同平台虽然策略不同，但是旧的日志数据都会定期删除，对于大量的日志信息，其实我们并没有完全利用起来。不同时期的日志之间并没有建立有用的联系。

发明内容

本发明主要解决的技术问题是提供一种自动化日志安全审计的方法及系统，能够利用冗余的日志，通过冗余日志建立好日志的数据转换规则，并且通过神经网络建立均值漂移的模型并使用冗余日志进行训练，训练好后并通过该模型进行日志审计可疑日志信息筛查工作。

为解决上述技术问题，本发明采用的一个技术方案是：提供一种自动化日志安全审计的方法，包括：采集服务器中日志信息；

建立转换规则，将日志信息中的数据转换为数字化数据；所述转换规则为将不同操作行为使用不同数值代替；

将所述服务器中日志信息的数据通过转换规则转换为均值漂移模型的数字化数据，并通过均值漂移模型的数字化数据训练均值漂移模型，找到日志信息数据的质心；

设置判断半径的长度；当审计日志信息时，使用均值漂移模型计算需要审计的日志信息数据与日志信息数据质心的距离，并与判断半径的长度比较；

若距离超过判断半径的长度，则需要审计的日志信息属于“可疑日志信息”；

若距离未超过判断半径的长度，则需要审计的日志信息属于“正常日志信息”。

进一步，所述转换规则包括IP数字转换规则、请求类型转换规则和返回码转换规则。

进一步，所述请求类型转换规则为使用不同的变量值来代替不同的请求。

进一步，所述返回码转换规则为将若干返回码乘以一个统一的系数，将乘以统一的系数后的值作为返回码的变量值。

进一步，所述IP数字转换规则为通过后台记录若干IP的每日出现的频次、每周出现的频次、每月出现的频次，计算若干IP的安全等级系数。

进一步，所述计算若干IP的安全等级系数包括以下步骤：

将IP地址中的数据作为一个四维向量，并增加三个配合的变量，分别是所述IP每日出现的频次、每周出现的频次、每月出现的频次；将以上信息放入七个维度的向量中；

设置安全的网络IP或者网段并设置自定义系数C；

找出所述七个维度的向量中所述IP本周出现的频次、IP本月出现的频次，分别计算得到所述IP平均每日出现频次M、平均每周出现频次N，并与所述IP今日出现的频次A和本周出现的频次B进行比对。

进一步，所述进行比对包括