本發明公開了一種網絡日志審計方法，包括以下步驟：從若干數據源中獲取原始的日志數據；將認證失敗的原始的日志數據構成的異常模式數據集和認證成功的原始的日志數據構成的正常模式數據集轉化成統一格式的數據集；從轉化后的異常模式數據集和正常模式數據集中提取相應的特征，根據相應的特征建立異常/正常模式知識庫；通過異常/正常模式知識庫識別新輸入的日志數據的異常網絡行為。本發明還公開了一種設備和介質。通過本發明的一種網絡日志審計方法、設備和介質具有日志審計的檢測準確率高、檢測速度快、自適應性高以及日志格式統一等優點。

技術領域

本發明涉及網絡安全領域，更具體地，特別是指一種網絡日志審計方法、設備和介質。

背景技術

近年來，隨著國產基礎軟硬件的蓬勃發展，國產軟件平臺的應用越來越廣泛。基于國產平臺的網絡安全問題日益凸顯?；ヂ摼W的迅猛發展，網絡應用的覆蓋面越來越廣，相應的安全問題也越來越多樣化，迫切需要行之有效的網絡安全保障技術。

網絡安全最重要的目標是能夠對網絡系統指定有效的策略以確保其安全，為實現這個目標，出現了許多不同類型的技術：訪問控制、數據加密、安全審計、身份認證等，其中安全審計已成為整個系統安全的重要組成部分。

計算機網絡系統由各種基礎軟硬件設備、網絡安全設備以及應用服務組成，上述各設備及服務的運行都會產生大量的運行日志，這些日志的主要內容會比較詳實地記錄網絡和系統中的各種各樣的事件，對于記錄、檢測、分析、識別基于網絡的各種安全事件有非常重要的作用。

日志審計作為實現網絡系統安全審計的重要機制之一，對建立完善的信息管理保障體系具有重要的作用，傳統的網絡日志審計系統存在檢測準確率低，檢測速度慢、自適應性差和日志格式無法統一等問題。

發明內容

有鑒于此，本發明實施例的目的在于提供一種基于國產平臺的網絡日志審計系統，用于解決傳統日志審計系統存在檢測準確率低、檢測速度慢、自適應性差和日志格式不統一的問題?？梢詫崿F將計算機網絡系統中處于網絡不同位置的、格式不同的各種日志數據進行統一收集、并進行綜合分析。

基于上述目的，本發明一方面提供了一種網絡日志審計方法，該方法包括：從若干數據源中獲取原始的日志數據；將認證失敗的原始的所述日志數據構成的異常模式數據集和認證成功的原始的所述日志數據構成的正常模式數據集轉化成統一格式的數據集；從轉化后的所述異常模式數據集和所述正常模式數據集中提取相應的特征，根據所述相應的特征建立異常/正常模式知識庫；通過所述異常/正常模式知識庫識別新輸入的日志數據的異常網絡行為。

在本發明的網絡日志審計方法的一些實施方式中，從若干數據源中獲取原始的日志數據還包括：通過過濾規則定義審計策略，根據所述審計策略從所述若干數據源中獲取原始的所述日志數據。

在本發明的網絡日志審計方法的一些實施方式中，審計策略包括對審計的記錄進行查看、過濾以及打印。

在本發明的網絡日志審計方法的一些實施方式中，該方法還包括：實時顯示安全事件，以及響應于識別到威脅網絡安全的所述異常網絡行為，發出警告信息。

在本發明的網絡日志審計方法的一些實施方式中，從轉化后的所述異常模式數據集和所述正常模式數據集中提取相應的特征，根據所述相應的特征建立異常/正常模式知識庫還包括：通過數據挖掘技術對所述異常模式數據集和所述正常模式數據集中的若干所述日志數據進行處理，從而提取若干所述日志數據的所述相應的特征。