本發(fā)明涉及防火墻，更具體地說，它涉及一種防火墻日志數(shù)據(jù)解析方法。

背景技術(shù)：

1、現(xiàn)有的防火墻日志分析方法存在一些不足之處，主要包括：

2、效率低下：傳統(tǒng)的基于規(guī)則或模式匹配的日志分析方法需要大量的人工干預(yù)，分析過程緩慢且容易出錯。隨著網(wǎng)絡(luò)流量和日志數(shù)據(jù)的激增，人工分析已無法滿足實時響應(yīng)的需求。

3、無法發(fā)現(xiàn)復(fù)雜攻擊模式：一些潛在的安全威脅可能表現(xiàn)為復(fù)雜的攻擊模式，傳統(tǒng)方法很難從海量日志數(shù)據(jù)中發(fā)現(xiàn)這些隱藏的異常行為。

4、缺乏關(guān)聯(lián)性挖掘：單個日志條目往往無法反映整體攻擊情況，現(xiàn)有分析方法缺乏對不同日志條目進(jìn)行關(guān)聯(lián)挖掘的能力。

技術(shù)實現(xiàn)思路

1、本發(fā)明提供一種防火墻日志數(shù)據(jù)解析方法，解決相關(guān)技術(shù)中防火墻日志分析方法的技術(shù)問題。

2、本發(fā)明提供了一種防火墻日志數(shù)據(jù)解析方法，包括以下步驟：

3、步驟100，采集防火墻日志數(shù)據(jù)，防火墻日志數(shù)據(jù)包括原始網(wǎng)絡(luò)數(shù)據(jù)包、流量統(tǒng)計特征、日志文本；

4、步驟200，從日志文本拆分成單詞，然后從拆分的單詞的集合中識別出屬于事件的單詞，作為事件詞集合；

5、步驟300，為每個事件詞生成一個圖結(jié)構(gòu)數(shù)據(jù)，圖結(jié)構(gòu)數(shù)據(jù)包括節(jié)點和邊，節(jié)點包括事件詞、用戶行為、服務(wù)器和計算機，兩個分別表示事件詞和用戶行為的節(jié)點之間存在邊，則表示該用戶行為引起了該事件詞的事件；兩個分別表示事件詞和服務(wù)器的節(jié)點之間存在邊，則表示該事件詞的事件發(fā)生在該服務(wù)器；兩個分別表示事件詞和計算機的節(jié)點之間存在邊，則表示該事件詞的事件影響了該計算機；

6、將事件詞集合中的單詞按照在日志文本中的先后順序排序獲得事件詞序列，然后將所有事件詞對應(yīng)的圖結(jié)構(gòu)數(shù)據(jù)排序獲得序列數(shù)據(jù)，序列數(shù)據(jù)包括n個序列單元，n表示事件詞集合中的單詞的總數(shù)；

7、步驟400，將序列數(shù)據(jù)輸入日志數(shù)據(jù)解析模型，日志數(shù)據(jù)解析模型包括第一中間層、第二中間層和第一輸出層，其中第一中間層輸入序列數(shù)據(jù)，輸出第一隱藏狀態(tài)到第二中間層，第二中間層輸出第二隱藏狀態(tài)到第一輸出層，第一輸出層輸出表示事件詞對應(yīng)的事件是否是危險事件的結(jié)果。

8、進(jìn)一步地，識別出屬于事件的單詞的方法是將單詞傳入分詞器進(jìn)行識別。

9、進(jìn)一步地，防火墻日志包括系統(tǒng)日志、配置日志、狀態(tài)日志、告警日志、審計日志。

10、進(jìn)一步地，防火墻風(fēng)險評估模型的第一中間層的計算公式如下：

11、

12、其中表示圖結(jié)構(gòu)數(shù)據(jù)的第v個單元的第一隱藏狀態(tài)，是與圖結(jié)構(gòu)數(shù)據(jù)的第v個單元存在邊的節(jié)點的集合，表示圖結(jié)構(gòu)數(shù)據(jù)的第v個單元的輸入特征，是一個歸一化常數(shù)，是sigmoid函數(shù)，表示第一權(quán)重參數(shù)，是第一偏置參數(shù)。

13、進(jìn)一步地，的缺省值為10。

14、進(jìn)一步地，第二中間層的計算公式如下：

15、

16、其中表示第二中間層輸出的第v個節(jié)點的第t個第二隱藏狀態(tài)，表示第v個節(jié)點的第t-1個第二隱藏狀態(tài)，表示序列數(shù)據(jù)的第t個序列單元輸入第一中間層時輸出的第v個單元的第一隱藏狀態(tài)，和是第三和第四權(quán)重參數(shù)，是第二偏置參數(shù)，tanh是雙曲正切函數(shù)。

17、進(jìn)一步地，第一輸出層的計算公式如下：

18、

19、其中表示第v個單元表示的事件是危險事件的概率值，表示第二中間層輸出的第v個節(jié)點的第t個第二隱藏狀態(tài)，是第一輸出權(quán)重參數(shù)，是第一輸出偏置參數(shù)，表示sigmoid函數(shù)。

20、進(jìn)一步地，還包括將危險事件的信息發(fā)送給運維人員的步驟。

21、進(jìn)一步地，還包括將危險事件對應(yīng)的用戶的權(quán)限取消的步驟。

22、本發(fā)明提供了一種計算機存儲介質(zhì)，其用于存儲計算機可讀指令，當(dāng)該計算機可讀指令被讀取時能夠執(zhí)行前述的一種防火墻日志數(shù)據(jù)解析方法。

23、本發(fā)明的有益效果在于：

24、本發(fā)明的方法能夠自動從大量數(shù)據(jù)中學(xué)習(xí)特征模式，無需人工規(guī)則，大大提高了分析效率；

25、本發(fā)明的模型可自動捕捉日志間的時序關(guān)聯(lián)性，還原整體攻擊過程，降低分析錯誤的概率。

26、本發(fā)明采用深度學(xué)習(xí)技術(shù)，具備自主學(xué)習(xí)和遷移學(xué)習(xí)能力，能夠適應(yīng)新的日志和攻擊形式。

技術(shù)特征：

1.一種防火墻日志數(shù)據(jù)解析方法，其特征在于，包括以下步驟：

2.根據(jù)權(quán)利要求1所述的一種防火墻日志數(shù)據(jù)解析方法，其特征在于，識別出屬于事件的單詞的方法是將單詞傳入分詞器進(jìn)行識別。

3.根據(jù)權(quán)利要求1所述的一種防火墻日志數(shù)據(jù)解析方法，其特征在于，防火墻日志包括系統(tǒng)日志、配置日志、狀態(tài)日志、告警日志、審計日志。

4.根據(jù)權(quán)利要求1所述的一種防火墻日志數(shù)據(jù)解析方法，其特征在于，防火墻風(fēng)險評估模型的第一中間層的計算公式如下：

5.根據(jù)權(quán)利要求4所述的一種防火墻日志數(shù)據(jù)解析方法，其特征在于，的缺省值為10。

6.根據(jù)權(quán)利要求4所述的一種防火墻日志數(shù)據(jù)解析方法，其特征在于，第二中間層的計算公式如下：

7.根據(jù)權(quán)利要求6所述的一種防火墻日志數(shù)據(jù)解析方法，其特征在于，第一輸出層的計算公式如下：

8.根據(jù)權(quán)利要求1所述的一種防火墻日志數(shù)據(jù)解析方法，其特征在于，還包括將危險事件的信息發(fā)送給運維人員的步驟。

9.根據(jù)權(quán)利要求1所述的一種防火墻日志數(shù)據(jù)解析方法，其特征在于，還包括將危險事件對應(yīng)的用戶的權(quán)限取消的步驟。

10.一種計算機存儲介質(zhì)，其特征在于，其用于存儲計算機可讀指令，當(dāng)該計算機可讀指令被讀取時能夠執(zhí)行如權(quán)利要求1-9任一所述的一種防火墻日志數(shù)據(jù)解析方法。

技術(shù)總結(jié)
本發(fā)明涉及防火墻技術(shù)領(lǐng)域，公開了一種防火墻日志數(shù)據(jù)解析方法，包括以下步驟：采集防火墻日志數(shù)據(jù)，防火墻日志數(shù)據(jù)包括原始網(wǎng)絡(luò)數(shù)據(jù)包、流量統(tǒng)計特征、日志文本；從日志文本拆分成單詞，然后從拆分的單詞的集合中識別出屬于事件的單詞，作為事件詞集合；為每個事件詞生成一個圖結(jié)構(gòu)數(shù)據(jù)，將所有事件詞對應(yīng)的圖結(jié)構(gòu)數(shù)據(jù)排序獲得序列數(shù)據(jù)；將序列數(shù)據(jù)輸入日志數(shù)據(jù)解析模型，輸出表示事件詞對應(yīng)的事件是否是危險事件的結(jié)果；本發(fā)明的方法能夠自動從大量數(shù)據(jù)中學(xué)習(xí)特征模式，無需人工規(guī)則，大大提高了分析效率。

技術(shù)研發(fā)人員：薛亞芳,王鼎盛,周宗平,郭清紅,周旺平
受保護的技術(shù)使用者：深圳市科服信息技術(shù)有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2025/1/6