技術領域

本發明涉及計算機網絡病毒領域，特別涉及一種基于環境的日志分析轉換方法及裝置。

背景技術

計算機病毒的傳播是需要介質的，隨著互聯網的發展與壯大，計算機病毒傳播的主要媒介也從移動存儲傳播轉向了網絡傳播。目前每年所監控到的病毒數量正在以一年近一倍的速度在增長。并且隨著網絡上通訊方式的增加，計算機病毒正在以更多樣化的形式出現在我們面前。一些病毒也正在從一種，衍生成為一類。網絡協議是為計算機網絡中進行數據交換而建立的規則、標準或約定的集合。病毒的傳播也是數據交換，所以在傳播過程中也會使用到某一種協議。在對網絡流量的監控中，一種協議代表著一種數據交換方式，有時甚至可以精確到一種特定數據交換行為。

在現有的病毒判定過程中，病毒樣本經過反病毒引擎的掃描之后確定其特征，根據病毒特征，給出其病毒類型。而對于同一類病毒，它們可能有著相似的特征，但是傳播途徑不一，因此反病毒引擎也會做出錯誤的判斷，再例如一些高風險的文件傳輸是我們已知并且需要的，那么這種情況則不能判斷為病毒而后上報。

發明內容

本發明提供了一種基于環境的日志分析轉換方法及裝置，解決了計算機病毒網絡流量病毒前端捕獲體系中，反病毒引擎產生誤報的問題。

一種基于環境的日志分析轉換方法，包括：

建立日志分析轉換規則，通過病毒類型的hash值建立hash列表，所述hash列表中的每個hash值節點對應至少一種傳輸協議類型及轉換規則；

獲取反病毒引擎發送的病毒日志信息，所述病毒日志信息中至少包括病毒類型、傳輸協議類型及日志類型；

讀取病毒日志信息中病毒類型并計算病毒類型hash值，與日志分析轉換規則中的hash列表匹配，若匹配成功，則進一步獲取病毒日志信息中傳輸協議類型，與hash值節點中的傳輸協議類型匹配，若匹配成功，則根據傳輸協議類型對應的轉換規則，對病毒日志信息進行修改，否則結束本條日志分析；若hash列表匹配失敗，則結束本條日志分析。

所述的方法中，所述的hash列表中的每個hash值節點對應至少一種傳輸協議類型及轉換規則中，所述的協議類型為與hash值對應的病毒類型的傳輸協議不符的傳輸協議類型，且每一傳輸協議類型對應一個轉換規則。

所述的方法中，所述傳輸協議類型及轉換規則以紅黑樹方式存儲在對應hash值節點中。

所述的方法中，所述的日志分析轉換規則可擴展。

一種基于環境的日志分析轉換裝置，包括：

存儲模塊，用于存儲建立的日志分析轉換規則，通過病毒類型的hash值建立hash列表，所述hash列表中的每個hash值節點對應至少一種傳輸協議類型及轉換規則；

獲取模塊，用于獲取反病毒引擎發送的病毒日志信息，所述病毒日志信息中至少包括病毒類型、傳輸協議類型及日志類型；

讀取模塊，用于讀取病毒日志信息中病毒類型并計算病毒類型hash值；

匹配模塊，用于將讀取模塊計算的病毒類型hash值與日志分析轉換規則中的hash列表匹配，若匹配成功，則進一步獲取病毒日志信息中傳輸協議類型，與hash值節點中的傳輸協議類型匹配，若匹配成功，則根據傳輸協議類型對應的轉換規則，對病毒日志信息進行修改，否則結束本條日志分析；若hash列表匹配失敗，則結束本條日志分析。

所述的裝置中，所述的hash列表中的每個hash值節點對應至少一種傳輸協議類型及轉換規則中，所述的協議類型為與hash值對應的病毒類型的傳輸協議不符的傳輸協議類型，且每一傳輸協議類型對應一個轉換規則。

所述的裝置中，所述傳輸協議類型及轉換規則以紅黑樹方式存儲在對應hash值節點中。

所述的裝置中，所述的日志分析轉換規則可擴展。

本發明提供一種基于環境的日志分析轉換方法及裝置，所述方法包括：建立日志分析轉換規則，通過病毒類型的hash值建立hash列表，所述hash列表中的每個hash值節點對應至少一種傳輸協議類型及轉換規則；獲取反病毒引擎發送的病毒日志信息中的病毒類型并計算hash值，及傳輸協議類型，與轉換規則中的hash值節點及傳輸協議類型匹配，若匹配成功，則根據傳輸協議類型對應的轉換規則，對病毒日志信息進行修改，否則結束本條日志分析；若hash列表匹配失敗，則結束本條日志分析。通過本發明方法及裝置，將反病毒引擎的判斷結果與網絡流量信息中的傳輸協議相結合，對病毒進行二次判斷并將反病毒引擎判斷錯誤的病毒日志信息進行修改。

附圖說明