一种防火墙日志数据解析方法与流程
- 国知局
- 2025-01-10 13:25:49
本发明涉及防火墙,更具体地说,它涉及一种防火墙日志数据解析方法。
背景技术:
1、现有的防火墙日志分析方法存在一些不足之处,主要包括:
2、效率低下:传统的基于规则或模式匹配的日志分析方法需要大量的人工干预,分析过程缓慢且容易出错。随着网络流量和日志数据的激增,人工分析已无法满足实时响应的需求。
3、无法发现复杂攻击模式:一些潜在的安全威胁可能表现为复杂的攻击模式,传统方法很难从海量日志数据中发现这些隐藏的异常行为。
4、缺乏关联性挖掘:单个日志条目往往无法反映整体攻击情况,现有分析方法缺乏对不同日志条目进行关联挖掘的能力。
技术实现思路
1、本发明提供一种防火墙日志数据解析方法,解决相关技术中防火墙日志分析方法的技术问题。
2、本发明提供了一种防火墙日志数据解析方法,包括以下步骤:
3、步骤100,采集防火墙日志数据,防火墙日志数据包括原始网络数据包、流量统计特征、日志文本;
4、步骤200,从日志文本拆分成单词,然后从拆分的单词的集合中识别出属于事件的单词,作为事件词集合;
5、步骤300,为每个事件词生成一个图结构数据,图结构数据包括节点和边,节点包括事件词、用户行为、服务器和计算机,两个分别表示事件词和用户行为的节点之间存在边,则表示该用户行为引起了该事件词的事件;两个分别表示事件词和服务器的节点之间存在边,则表示该事件词的事件发生在该服务器;两个分别表示事件词和计算机的节点之间存在边,则表示该事件词的事件影响了该计算机;
6、将事件词集合中的单词按照在日志文本中的先后顺序排序获得事件词序列,然后将所有事件词对应的图结构数据排序获得序列数据,序列数据包括n个序列单元,n表示事件词集合中的单词的总数;
7、步骤400,将序列数据输入日志数据解析模型,日志数据解析模型包括第一中间层、第二中间层和第一输出层,其中第一中间层输入序列数据,输出第一隐藏状态到第二中间层,第二中间层输出第二隐藏状态到第一输出层,第一输出层输出表示事件词对应的事件是否是危险事件的结果。
8、进一步地,识别出属于事件的单词的方法是将单词传入分词器进行识别。
9、进一步地,防火墙日志包括系统日志、配置日志、状态日志、告警日志、审计日志。
10、进一步地,防火墙风险评估模型的第一中间层的计算公式如下:
11、
12、其中表示图结构数据的第v个单元的第一隐藏状态,是与图结构数据的第v个单元存在边的节点的集合,表示图结构数据的第v个单元的输入特征,是一个归一化常数,是sigmoid函数,表示第一权重参数,是第一偏置参数。
13、进一步地,的缺省值为10。
14、进一步地,第二中间层的计算公式如下:
15、
16、其中表示第二中间层输出的第v个节点的第t个第二隐藏状态,表示第v个节点的第t-1个第二隐藏状态,表示序列数据的第t个序列单元输入第一中间层时输出的第v个单元的第一隐藏状态,和是第三和第四权重参数,是第二偏置参数,tanh是双曲正切函数。
17、进一步地,第一输出层的计算公式如下:
18、
19、其中表示第v个单元表示的事件是危险事件的概率值,表示第二中间层输出的第v个节点的第t个第二隐藏状态,是第一输出权重参数,是第一输出偏置参数,表示sigmoid函数。
20、进一步地,还包括将危险事件的信息发送给运维人员的步骤。
21、进一步地,还包括将危险事件对应的用户的权限取消的步骤。
22、本发明提供了一种计算机存储介质,其用于存储计算机可读指令,当该计算机可读指令被读取时能够执行前述的一种防火墙日志数据解析方法。
23、本发明的有益效果在于:
24、本发明的方法能够自动从大量数据中学习特征模式,无需人工规则,大大提高了分析效率;
25、本发明的模型可自动捕捉日志间的时序关联性,还原整体攻击过程,降低分析错误的概率。
26、本发明采用深度学习技术,具备自主学习和迁移学习能力,能够适应新的日志和攻击形式。
技术特征:1.一种防火墙日志数据解析方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的一种防火墙日志数据解析方法,其特征在于,识别出属于事件的单词的方法是将单词传入分词器进行识别。
3.根据权利要求1所述的一种防火墙日志数据解析方法,其特征在于,防火墙日志包括系统日志、配置日志、状态日志、告警日志、审计日志。
4.根据权利要求1所述的一种防火墙日志数据解析方法,其特征在于,防火墙风险评估模型的第一中间层的计算公式如下:
5.根据权利要求4所述的一种防火墙日志数据解析方法,其特征在于,的缺省值为10。
6.根据权利要求4所述的一种防火墙日志数据解析方法,其特征在于,第二中间层的计算公式如下:
7.根据权利要求6所述的一种防火墙日志数据解析方法,其特征在于,第一输出层的计算公式如下:
8.根据权利要求1所述的一种防火墙日志数据解析方法,其特征在于,还包括将危险事件的信息发送给运维人员的步骤。
9.根据权利要求1所述的一种防火墙日志数据解析方法,其特征在于,还包括将危险事件对应的用户的权限取消的步骤。
10.一种计算机存储介质,其特征在于,其用于存储计算机可读指令,当该计算机可读指令被读取时能够执行如权利要求1-9任一所述的一种防火墙日志数据解析方法。
技术总结本发明涉及防火墙技术领域,公开了一种防火墙日志数据解析方法,包括以下步骤:采集防火墙日志数据,防火墙日志数据包括原始网络数据包、流量统计特征、日志文本;从日志文本拆分成单词,然后从拆分的单词的集合中识别出属于事件的单词,作为事件词集合;为每个事件词生成一个图结构数据,将所有事件词对应的图结构数据排序获得序列数据;将序列数据输入日志数据解析模型,输出表示事件词对应的事件是否是危险事件的结果;本发明的方法能够自动从大量数据中学习特征模式,无需人工规则,大大提高了分析效率。技术研发人员:薛亚芳,王鼎盛,周宗平,郭清红,周旺平受保护的技术使用者:深圳市科服信息技术有限公司技术研发日:技术公布日:2025/1/6本文地址:https://www.jishuxx.com/zhuanli/20250110/353087.html
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 YYfuon@163.com 举报,一经查实,本站将立刻删除。
下一篇
返回列表