本發(fā)明涉及日志管理領(lǐng)域，尤其涉及一種日志管理方法。

背景技術(shù)：

1、在網(wǎng)絡(luò)安全威脅日增加劇的背景之下，通過分析日志數(shù)據(jù)識別潛在的風(fēng)險和異常行為，幫助檢測和響應(yīng)安全事件成為日志管理所需具備的關(guān)鍵性能，同時，日志管理還可以監(jiān)控系統(tǒng)性能指標(biāo)，通過分析日志數(shù)據(jù)，發(fā)現(xiàn)性能瓶頸，進(jìn)而，優(yōu)化系統(tǒng)配置和資源分配，為了滿足日益增長的時長需求，日志管理方法也在不斷演進(jìn)。

2、中國專利公開號：cn116303253a，公開了一種事件日志管理，該系統(tǒng)被配置為獲得與該系統(tǒng)的租戶相關(guān)聯(lián)的一個或多個事件日志，該系統(tǒng)可以被配置為基于一個或多個事件日志來確定與租戶相關(guān)聯(lián)的事件率，并由此基于事件率來確定輪換間隔，該系統(tǒng)可以被配置為基于輪換間隔來使得數(shù)據(jù)結(jié)構(gòu)被生成以用于存儲在時間窗口期間獲得的、與租戶相關(guān)聯(lián)的事件日志，該系統(tǒng)可以被配置為在時間窗口內(nèi)獲得與租戶相關(guān)聯(lián)的一個或多個附加事件日志，并且基于在時間窗口內(nèi)獲得一個或多個附加事件日志來使一個或多個附加事件日志被存儲在數(shù)據(jù)結(jié)構(gòu)中。

3、但是，現(xiàn)有技術(shù)中還存在以下問題；

4、由于各日志事件間可能存在關(guān)聯(lián)性且具有一定的依賴性，因此，篡改方和竊取方容易對存在關(guān)聯(lián)或依賴的日志事件進(jìn)行攻擊，在實際情況中，單個日志事件的相關(guān)記錄被篡改或竊取后，與其關(guān)聯(lián)或依賴的相關(guān)日志事件被篡改和竊取的風(fēng)險會較高，現(xiàn)有技術(shù)中，未針對性的對相關(guān)日志事件采取防護(hù)措施，導(dǎo)致日志事件相關(guān)記錄安全性較低。

技術(shù)實現(xiàn)思路

1、為此，本發(fā)明提供一種日志管理方法，用以克服現(xiàn)有技術(shù)中，單個日志事件的相關(guān)記錄被篡改或竊取后，與其關(guān)聯(lián)或依賴的相關(guān)日志事件被篡改和竊取的風(fēng)險會較高，現(xiàn)有技術(shù)中，未針對性的對相關(guān)日志事件采取防護(hù)措施，導(dǎo)致日志事件相關(guān)記錄安全性較低的問題。

2、為實現(xiàn)上述目的，本發(fā)明提供一種日志管理方法，其包括：

3、日志數(shù)據(jù)庫實時獲取所創(chuàng)建日志事件的特征信息，包括，創(chuàng)建時間戳以及描述日志事件的上下文信息；

4、依據(jù)各日志事件間對應(yīng)上下文信息的內(nèi)容關(guān)聯(lián)特征以及時間戳差值計算日志事件間關(guān)聯(lián)表征參數(shù)，以基于所述關(guān)聯(lián)表征參數(shù)對各日志事件進(jìn)行聚類，得到若干聚類日志集；

5、監(jiān)測所述日志數(shù)據(jù)庫的訪問端口流量波動結(jié)合針對單個日志事件的訪問頻率計算各所述日志事件的異常傾向表征參量，以判定是否觸發(fā)針對所述聚類日志集的關(guān)聯(lián)響應(yīng)保護(hù)，包括，

6、對各所述日志事件的上下文信息以對應(yīng)切割粒度進(jìn)行切割，為所得切割碎片設(shè)置序號標(biāo)簽，以對應(yīng)提取比例將各所述日志事件對應(yīng)的切割碎片交換拼接，得到若干偽裝上下文信息，同步記錄所交換切割碎片的交換記錄序列，以分發(fā)至授權(quán)訪問端，其中，切割粒度以及切割碎片的提取比例分別基于所述異常傾向表征參量所確定；

7、授權(quán)訪問端對所述聚類日志集進(jìn)行訪問，通過所接收交換記錄序列對偽裝上下文信息進(jìn)行還原，同步驗證還原后所得上下文信息與對應(yīng)切割前上下文信息的一致性，判定是否鎖定所述聚類日志集。

8、進(jìn)一步地，判定日志事件間對應(yīng)上下文信息的內(nèi)容關(guān)聯(lián)特征的過程包括，

9、確定日志事件間對應(yīng)上下文信息中所引用組件，比對重合組件數(shù)量；

10、提取日志事件間對應(yīng)上下文信息中的重復(fù)關(guān)鍵詞，求解關(guān)鍵詞重合度。

11、進(jìn)一步地，按照公式(1)計算日志事件間關(guān)聯(lián)表征參數(shù)，

12、

13、公式(1)中，r表示日志事件間關(guān)聯(lián)表征參數(shù)，c表示重合組件數(shù)量，c0表示預(yù)設(shè)的重合組件數(shù)量標(biāo)準(zhǔn)閾值，d表示關(guān)鍵詞重合度，d0表示預(yù)設(shè)的關(guān)鍵詞重合度標(biāo)準(zhǔn)閾值，s表示時間戳差值，s0表示預(yù)設(shè)的時間戳差值標(biāo)準(zhǔn)閾值。

14、進(jìn)一步地，對各日志事件進(jìn)行聚類，其中，所得各聚類日志集中任意日志事件間的關(guān)聯(lián)表征參數(shù)均大于預(yù)定的關(guān)聯(lián)表征參數(shù)標(biāo)準(zhǔn)閾值。

15、進(jìn)一步地，按照公式(2)計算日志事件的異常傾向表征參量，

16、

17、公式(2)中，h表示日志事件的異常傾向表征參量，f表示針對所述日志事件的訪問頻率，f0表示預(yù)設(shè)的訪問頻率標(biāo)準(zhǔn)閾值，mi表示第i時刻訪問端口流量，δm表示預(yù)定時間周期內(nèi)各時刻訪問端口流量均值，t表示預(yù)定時間周期。進(jìn)一步地，判定是否觸發(fā)針對所述聚類日志集的關(guān)聯(lián)響應(yīng)保護(hù)，包括，

18、若異常傾向表征參量大于或等于預(yù)設(shè)的異常傾向表征參量標(biāo)準(zhǔn)閾值，則觸發(fā)針對所述聚類日志集的關(guān)聯(lián)響應(yīng)保護(hù)。

19、進(jìn)一步地，所設(shè)置的所述序號標(biāo)簽包括，主標(biāo)簽以及副標(biāo)簽，所述主標(biāo)簽為日志事件的順序序號，所述副標(biāo)簽為日志事件對應(yīng)上下文信息中切割碎片的順序序號。

20、進(jìn)一步地，將各所述日志事件對應(yīng)的切割碎片交換拼接，得到若干偽裝上下文信息的交換記錄序列，過程包括，

21、由所述聚類日志集中選定若干日志事件組；

22、將日志事件組的各日志事件對應(yīng)上下文信息中的打亂片段交換后拼接，得到針對所述日志事件組的偽裝上下文信息；

23、所述打亂片段為從上下文信息中所提取的以隨機(jī)順序打亂并拼接的切割碎片；

24、所述交換記錄序列包括各打亂片段的打亂順序記錄以及各打亂片段中切割碎片的序號標(biāo)簽。

25、進(jìn)一步地，確定切割粒度以及切割碎片的提取比例，其中，

26、所確定的切割粒度與所述異常傾向表征參量呈負(fù)相關(guān)；

27、所確定的提取比例與所述異常傾向表征參量呈正相關(guān)。

28、進(jìn)一步地，驗證還原后所得上下文信息與對應(yīng)切割前上下文信息的一致性，判定是否鎖定所述聚類日志集包括，

29、提取還原后所得上下文信息并與對應(yīng)的切割前上下文信息進(jìn)行比對；

30、若所述還原后所得上下文信息與所述切割前上下文信息不一致，則判定需鎖定所述聚類日志集。

31、與現(xiàn)有技術(shù)相比，本發(fā)明通過日志數(shù)據(jù)庫實時獲取所創(chuàng)建日志事件的特征信息，依據(jù)各日志事件間對應(yīng)上下文信息的內(nèi)容關(guān)聯(lián)特征以及時間戳差值計算日志事件間關(guān)聯(lián)表征參數(shù)，對各日志事件進(jìn)行聚類，得到若干聚類日志集，監(jiān)測日志數(shù)據(jù)庫的訪問端口流量波動結(jié)合針對單個日志事件的訪問頻率計算各日志事件的異常傾向表征參量，以判定是否觸發(fā)針對聚類日志集的關(guān)聯(lián)響應(yīng)保護(hù)，授權(quán)訪問端對聚類日志集進(jìn)行訪問，通過所接收交換記錄序列對偽裝上下文信息進(jìn)行還原，同步驗證還原后所得上下文信息與對應(yīng)切割前上下文信息的一致性，判定是否鎖定所述聚類日志集，進(jìn)而，降低日志事件的異常風(fēng)險，提高日志事件的安全性。

32、尤其，本發(fā)明依據(jù)各日志事件間對應(yīng)上下文信息的內(nèi)容關(guān)聯(lián)特征以及時間戳差值計算日志事件間關(guān)聯(lián)表征參數(shù)，在實際情況中，不同的日志事件之間可能存在關(guān)聯(lián)，例如，上下文信息中的重合組件數(shù)量以及關(guān)鍵詞重合度、時間戳差值，表征了日志事件間的關(guān)聯(lián)以及依賴性，在實際情況中，存在關(guān)聯(lián)性且具有一定依賴性的各日志事件聚類成日志事件集，其中任意日志事件的相關(guān)記錄存在篡改或竊取風(fēng)險傾向后，日志事件的相關(guān)風(fēng)險也會增大，導(dǎo)致日志事件相關(guān)記錄的安全性降低，進(jìn)而，本技術(shù)通過各日志事件間對應(yīng)上下文信息的內(nèi)容關(guān)聯(lián)特征以及時間戳差值計算日志事件間關(guān)聯(lián)表征參數(shù)，為后續(xù)對各日志事件進(jìn)行聚類，得到若干聚類日志集提供數(shù)據(jù)支持，進(jìn)而，監(jiān)測日志數(shù)據(jù)庫的訪問端口流量波動結(jié)合針對單個日志事件的訪問頻率計算各日志事件的異常傾向表征參量，適應(yīng)性地對觸發(fā)關(guān)聯(lián)響應(yīng)保護(hù)的聚類日志集進(jìn)行調(diào)整，進(jìn)而，降低日志事件的異常風(fēng)險，提高日志事件的安全性。

33、尤其，本發(fā)明通過監(jiān)測日志數(shù)據(jù)庫的訪問端口流量波動結(jié)合針對單個日志事件的訪問頻率計算各日志事件的異常傾向表征參量，在實際情況中，日志事件受到異常訪問時可能導(dǎo)致訪問端口的流量波動，同時，日志事件的訪問請求頻率可能會會顯著增加，依據(jù)上述情況表征各日志事件的異常傾向，以確定存在異常風(fēng)險的聚類日志集并及時進(jìn)行采取防護(hù)措施，因此，本技術(shù)通過監(jiān)測日志數(shù)據(jù)庫的訪問端口流量波動結(jié)合針對單個日志事件的訪問頻率計算各日志事件的異常傾向表征參量，為后續(xù)判定是否觸發(fā)聚類日志集的關(guān)聯(lián)響應(yīng)保護(hù)提供數(shù)據(jù)支持，進(jìn)而，適應(yīng)性地針對觸發(fā)關(guān)聯(lián)響應(yīng)保護(hù)的聚類日志集進(jìn)行調(diào)整，進(jìn)而，降低日志事件的異常風(fēng)險，提高日志事件的安全性。

34、尤其，本發(fā)明采用關(guān)聯(lián)響應(yīng)保護(hù)，考慮以對應(yīng)切割粒度對出現(xiàn)異常風(fēng)險的日志事件所在聚類日志集中日志事件的上下文信息進(jìn)行切割，針對切割后的切割碎片以對應(yīng)提取比例進(jìn)行交換拼接，以隱藏聚類日志集中各日志事件對應(yīng)上下文信息的真實內(nèi)容，實現(xiàn)關(guān)聯(lián)響應(yīng)保護(hù)，其中，切割粒度以及提取比例依據(jù)異常傾向表征參量確定，在實際情況中，由于日志事件存在的異常傾向較高，對所在聚類日志集的日志事件應(yīng)以更小的粒度進(jìn)行切割，降低異常訪問對切割碎片還原的成功率，并且，對異常傾向較高的日志事件所在聚類日志集中日志事件進(jìn)行劃分組別交換時，提取比例越大會更加降低還原的成功率，進(jìn)而，本技術(shù)通過對應(yīng)提取比例將以對應(yīng)切割粒度切割后的日志事件對應(yīng)的切割碎片交換拼接，得到若干偽裝上下文信息，實現(xiàn)關(guān)聯(lián)響應(yīng)保護(hù)聚類日志集中的日志事件，進(jìn)而，降低日志事件的異常風(fēng)險，提高日志事件的安全性。