本公開涉及一種多日志系統的安全監測方法及裝置，包括：獲取多個不同類型的日志系統的第一日志數據；將所述第一日志數據轉化為符合預先定義的安全監測所需的多字段格式的第二日志數據；基于所述第二日志數據進行安全監測，綜合多個日志系統的第二日志數據分析輸出安全監測結果。一方面，便于日志數據的存儲和訪問，另一方面，綜合多個日志系統的日志數據分析輸出安全監測結果，能夠更高效地識別出信息系統的風險。

技術領域

本發明涉及數據處理技術領域，尤其涉及一種多日志系統的安全監測方法及裝置。

背景技術

在信息系統中，為了記錄自身系統資源的運行狀況，計算機系統一般都會有相應的日志記錄系統記錄有關日常事件或者誤操作警報及時間戳信息。這些日志信息對處理計算機故障以及安全管理有很重要的作用。

但是，日志通常是完整記錄所有工作狀態的，所以戎余量很大，存儲不便，對查找與分析有用信息也造成很大困難。此外，在企業或機關的計算機系統中，包括多個功能不同的設備，具備不同的日志格式，不同的日志內容，這些日志不利于統一管理，往往是在發生故障或者事故以后人們才會去手動查詢，并沒有充分地發揮日志的作用。

發明內容

本發明的目的在于提供一種多日志系統的安全監測方法方法及裝置，對多個系統的日志進行統一處理并分析，能夠降低存儲壓力，提高系統安全監測能力。

首先，本發明提供了一種多日志系統的安全監測方法，包括以下步驟：

獲取多個不同類型的日志系統的第一日志數據；

將所述第一日志數據轉化為符合預先定義的安全監測所需的多字段格式的第二日志數據；

基于所述第二日志數據進行安全監測，綜合多個日志系統的第二日志數據分析輸出安全監測結果。

可選地，所述第一日志數據，包括：

安全設備日志、操作系統日志、網絡設備日志、應用程序日志和數據庫日志。

可選地，所述預先定義的安全監測所需格式，包括：

日志ID、時間、設備、用戶名、消息內容、IP、域、進程、消息來源。

可選地，所述消息內容，包括：

公共字段和特征字段；

所述公共字段以數值化表示，每一特征字段的記錄格式根據所述公共字段的數值預先確定。

可選地，基于所述第二日志數據進行安全監測，綜合多個日志系統的第二日志數據分析輸出安全監測結果，包括：

根據時間、設備、用戶名、消息內容、IP、域、進程、消息來源、威脅程度中的任意一種或多種參數，關聯多個日志系統的第二日志數據，根據關聯數據綜合分析輸出安全監測結果。

可選地，方法還包括：

預先采用樣本進行機器學習訓練，分析多個日志系統的時間、設備、用戶名、消息內容、IP、域、進程、消息來源、威脅程度的參數特征，用于綜合分析輸出安全監測結果。

可選地，所述預先定義的安全監測所需格式，還包括：

擴展字段。

可選地，方法還包括：

根據所述日志ID、時間、設備、用戶名、消息內容、IP、域、進程、消息來源、威脅程度，還原原始的第一日志數據。

根據本發明的另一實施例，提供了一種可讀存儲介質，適于存儲一個或多個程序，所述一個或多個程序被配置為由計算設備執行上述的多日志系統的安全監測方法。

根據本發明的另一實施例，提供了一種計算設備，包括：