[发明专利]一种基于设备日志量检测设备异常的方法及装置

说明书

本发明公开一种基于设备日志量检测设备异常的方法及装置。所述方法包括：对设备的日志进行采集处理；对日志进行范化解析和分类统计，计算不同类别日志在时间周期内的日志量，形成多条时间序列数据；针对每一类日志的时间序列数据进行周期学习；将学习期间多个周期的数据，进行同类项取均值得到基准模型；针对每一类日志每一个时间点的日志量，对比基线值计算波动量，根据波动量计算偏差率，然后对各类日志量偏差率进行加和，作为这个时间点的日志量偏差率，形成一条时间序列曲线，即日志量偏差率曲线；为日志量偏差曲线设立阈值，超过阈值代表日志量异常，系统产生告警，提醒管理员检查设备运行状态。本发明能够实现精确的设备异常检测。

技术领域

本发明涉及IT技术和网络安全技术领域，尤其涉及一种基于设备日志量检测设备异常的方法及装置。

背景技术

近年来随着网络安全事件不断涌现，潜在网络攻击威胁日益严重，造成网络安全事件的异常网络行为，如网络攻击与窃密等，往往涉及到网络流量的异常，或用户行为的异常。这些异常情况一般也会伴随着设备日志量的异常，对设备的日志量进行技术分析，也可以检测异常情况，及时发现业务异常问题。

目前日志审计系统是网络安全必备的系统之一。日志审计系统除了做日志留存和审计，还可以通过日志分析业务的异常情况。通常将通过对设备日志量进行分类统计，获得各类日志量的周期趋势，并对日志量进行分析建模，从而检测设备业务异常。目前有通过聚类算法对日志进行处理，以检测设备异常，但是运算过程复杂，运算结果也不是很精确。基于此，本发明构建一种既能够简化运算过程也能够提高运算精确度的基于设备日志量检测设备异常的方法及系统。

发明内容

本发明提供了一种基于设备日志量检测设备异常的方法，包括：

步骤110、对设备的日志进行采集处理；

步骤120、对日志进行范化解析和分类统计，计算不同类别日志在时间周期内的日志量，形成多条时间序列数据；

步骤130、针对每一类日志的时间序列数据进行周期学习；

步骤140、将学习期间多个周期的数据，进行同类项取均值，作为该类日志量的基准模型；

步骤150、针对每一类日志每一个时间点的日志量，对比基线值计算波动量，根据波动量计算偏差率，然后对各类日志量偏差率进行加和，作为这个时间点的日志量偏差率，形成一条时间序列曲线，即日志量偏差率曲线；

步骤160、为日志量偏差曲线设立阈值，超过阈值代表日志量异常，系统产生告警，提醒管理员检查设备运行状态。

如上所述的一种基于设备日志量检测设备异常的方法，其中，采集方式包括Syslog接收、日志文件读取、数据库读取，对外发送的日志包括会话日志、文件传输日志、操作日志。

如上所述的一种基于设备日志量检测设备异常的方法，其中，形成的多条时间序列数据的数据统计结果为三维矩阵：[C,(T,N)]，C代表日志分类，T代表时间点，N代表该时间周期的日志量统计值。

如上所述的一种基于设备日志量检测设备异常的方法，其中，利用ACF算法，计算每一类日志的时间序列的相关性，找出不同类型日志量序列的周期，自相关系数最大的序列即为一个完整的周期。

如上所述的一种基于设备日志量检测设备异常的方法，其中，将每个周期同一个偏移点的日志量求和做均值作为该周期点的基线，凑成完整的周期基线模型。

如上所述的一种基于设备日志量检测设备异常的方法，其中，波动量是每一类日志每一个时间点的日志量，对比基线值计算所得差值，并用波动量除以基线值，得到偏差率。

如上所述的一种基于设备日志量检测设备异常的方法，其中，为日志量偏差率按类别设立不同的权重。