本發明公開了智能設備日志處理系統及方法，涉及物聯網智能設備日志處理系統，包括日志獲取器：用于根據智能設備的參數，獲取智能設備的原始日志；日志解析器：用于接收所述原始日志，將非結構化或半結構化的所述原始日志解析成結構化日志，并生成日志序列；安全規則庫：包含日志分析規則；日志分析引擎：用于接收所述結構化日志和日志序列，并根據所述安全規則庫的日志分析規則對所述結構化日志進行規則匹配，并對日志序列進行層次聚類；日志分析報告器：用于根據所述日志分析引擎的結果和所述安全規則庫，將分析結果生成報告；用戶接口模塊：用于與用戶交互，接收智能設備所述參數，及將所述報告輸出給用戶。本發明日志獲取高效、簡單、準確。

技術領域

本發明涉及物聯網智能設備日志處理系統技術領域，特別是指智能設備日志處理系統及其處理方法。

背景技術

目前日志的審計方法有很多種，其中包括基于規則庫、基于數據挖掘、基于免疫系統和基于神經網絡的審計方法等。基于規則庫的審計檢測準確率高，但不適用于多變的網絡攻擊行為。基于數據挖掘的審計可處理大規模數據文件，但準確率需要調優。基于進化算法的審計可通過多維度進行有效審計優化，但無法檢測同時發生的攻擊行為。基于免疫系統的審計可以對具有記憶的攻擊和病原體進行檢測，但無法判斷條件競爭、身份偽裝的攻擊。其中，常用的且已有一定成果是基于規則庫的審計方法以及由于大數據熱潮而得到關注的數據挖掘算法。涉及生物學的神經網絡算法、遺傳算法和進化算法仍待進一步研究。對于數據挖掘而言，針對日志的分析主要分為監督學習和無監督學習，主要取決于日志是否有標。監督學習主要采用分類算法，而無監督學習主要采用聚類算法，通過聚類分析將收集到的原始日志分為正常日志和可疑日志兩大類，然后再分別對兩類日志進行關聯規則挖掘，得出正常操作規則和異常操作規則。

目前主流的日志分析工具發展比較成熟，但是其局限性在于，收集日志時需要在采集對象上部署采集軟件或加裝日志收集工具，對于智能設備而言，在其上進行軟件部署復雜、難度較大。對于日志采集常用協議，部分智能設備并不支持，增加了對智能設備日志獲取的難度。

在對獲取到的日志進行審計時，目前主流的手段依舊是基于規則進行匹配，這種方法效率較高、簡單直觀，但是隨著攻擊手段的增多，對于不在安全規則庫中的攻擊手段而言，日志審計效果不好，而且對于大規模的日志數據無法挖掘出規則以外的信息。

發明內容

有鑒于此，本發明的目的在于提出智能設備日志處理系統及其處理方法，用于解決背景技術中智能設備日志獲取難度大，日志審計效果不好的問題，其具有日志獲取簡單，審計效果出色的特點。

本發明提供了一種智能設備日志處理系統，包括：

日志獲取器：用于根據智能設備的參數，獲取智能設備的原始日志；

日志解析器：用于接收所述原始日志，將非結構化或半結構化的所述原始日志解析成結構化日志，并生成日志序列；

安全規則庫：包含日志分析規則；

日志分析引擎：用于接收所述結構化日志和日志序列，并根據所述安全規則庫的日志分析規則對所述結構化日志進行規則匹配，并對日志序列進行層次聚類；

日志分析報告器：用于根據所述日志分析引擎的結果和所述安全規則庫，將分析結果生成報告；

用戶接口模塊：用于與用戶交互，接收智能設備所述參數，及將所述報告輸出給用戶。

可選的，所述日志獲取器通過智能設備提供的接口識別智能設備的品牌和型號，確定智能設備所采用的協議以及通信方式，根據智能設備所采用的協議和交互方式向智能設備對應的IP發送請求，并通過解析智能設備返回的響應獲取智能設備運行過程生成的原始日志。

可選的，所述日志解析器包括：

日志清洗器：用于將所述原始日志中的冗余信息去除，將所述原始日志解析為所述結構化日志；