[发明专利]日志异常检测方法、装置、计算机设备和存储介质

说明书

本申请涉及安全监控领域，实现基于日志数据的数据量、时效性以及完整性等特性，有针对性地调用不同性能的日志分类模型对日志数据进行分类预测，提高了日志数据异常检测的效率与准确性。涉及一种日志异常检测方法、装置、计算机设备和存储介质，该方法包括：获取待检测的目标日志数据；将第一日志数据输入第一日志分类模型进行分类预测，获得第一日志数据对应的第一日志分类结果，以及将第二日志数据输入第二日志分类模型进行分类预测，获得第二日志数据对应的第二日志分类结果；根据第一日志分类结果与第二日志分类结果，确定目标日志数据中是否存在异常日志数据。此外，本申请还涉及区块链技术，目标日志数据可存储于区块链中。

技术领域

本申请涉及安全监控领域，尤其涉及一种日志异常检测方法、装置、计算机设备和存储介质。

背景技术

随着网络技术的普及，如何加强网络安全成为网络与信息建设中的紧要任务。在黑客的攻击型行为中，主机失陷是一个过程；黑客往往在信息收集、漏洞探测、漏洞验证等过程中有大量组合的敏感命令行，并且命令行之间有强相关性，包括隐藏网络代理字符串、攻击类字符串等等。由于日志数据记录这些命令行，因此可以通过日志数据检测出黑客的攻击型行为。现有日志数据检测过程中，常常采用特征匹配方法对单一或少量日志数据进行特征匹配，例如通过正则式进行特征匹配或简单统计实现对日志数据进行异常检测，这种特征匹配方法会导致误报率和漏报率较高。另外，这种特征匹配方法检测日志数据的效率低，对于海量日志数据，无法及时检测出异常的日志数据。

因此，如何提高日志数据异常检测的效率与准确性成为亟需解决的问题。

发明内容

本申请提供了一种日志异常检测方法、装置、计算机设备和存储介质，通过获取由不同采集周期采集得到的第一日志数据与第二日志数据，可以实现基于日志数据的数据量、时效性以及完整性等特性，有针对性地调用不同性能的日志分类模型对日志数据进行分类预测，提高了日志数据异常检测的效率与准确性。

第一方面，本申请提供了一种日志异常检测方法，所述方法包括：

获取待检测的目标日志数据，所述目标日志数据包括基于第一采集周期采集的第一日志数据以及基于第二采集周期采集的第二日志数据，所述第一采集周期大于所述第二采集周期；

将所述第一日志数据输入第一日志分类模型进行分类预测，获得所述第一日志数据对应的第一日志分类结果，以及将所述第二日志数据输入第二日志分类模型进行分类预测，获得所述第二日志数据对应的第二日志分类结果；

根据所述第一日志分类结果与所述第二日志分类结果，确定所述目标日志数据中是否存在异常日志数据。

第二方面，本申请还提供了一种日志异常检测装置，所述装置包括：

日志数据采集模块，用于获取待检测的目标日志数据，所述目标日志数据包括基于第一采集周期采集的第一日志数据以及基于第二采集周期采集的第二日志数据，所述第一采集周期大于所述第二采集周期；

分类预测模块，用于将所述第一日志数据输入第一日志分类模型进行分类预测，获得所述第一日志数据对应的第一日志分类结果，以及将所述第二日志数据输入第二日志分类模型进行分类预测，获得所述第二日志数据对应的第二日志分类结果；

异常数据确定模块，用于根据所述第一日志分类结果与所述第二日志分类结果，确定所述目标日志数据是否存在异常日志数据。

第三方面，本申请还提供了一种计算机设备，所述计算机设备包括存储器和处理器；

所述存储器，用于存储计算机程序；

所述处理器，用于执行所述计算机程序并在执行所述计算机程序时实现如上述的日志异常检测方法。