一种日志信息管理方法及日志信息管理终端的制作方法
【技术领域】
[0001]本发明属于信息管理领域,尤其涉及一种日志信息管理方法及日志信息管理终端。
【背景技术】
[0002]现有技术提供了一种基于用户兴趣的聚类方法和装置,该方法包括:接收用户的基础属性的数据;根据预先确定的影响用户兴趣计算的基础属性数据的聚类的中心点,计算所述用户的基础属性数据与聚类的中心点的距离;将所述距离与预设的阈值进行比较;如果所述距离小于预设的阈值,判定所述用户属于所述兴趣的聚类。
[0003]上述方案提供了根据用户基础数据,确定用户兴趣的聚类方法;但是在日志信息管理领域中,由于日志文件记录的信息非常庞大,计算机系统操作非常频繁,因此能够在杂乱的日志文件中如何采用聚类方法寻找可疑操作数据就显得尤为必要;特别是在计算机遭到攻击时,更是需要一种快速的寻找可疑操作记录的方案。
[0004]因此,迫切需要一种从日志记录中快速寻找可疑操作记录的方案。
【发明内容】
[0005]本发明提供一种日志信息管理方法及日志信息管理终端,以解决上述问题。
[0006]本发明提供一种日志信息管理方法。上述方法包括以下步骤:
[0007]获取日志记录信息并将所述日志记录信息存储至日志数据表的数据项中;
[0008]获取每条日志记录中量化的特征数据与聚类中心点之间的距离后,与预设距离进行比较并根据比较结果,对日志记录信息进行识别控制。
[0009]本发明还提供一种日志信息管理终端,包括获取模块、识别控制模块;其中,所述获取模块与所述识别控制模块相连;
[0010]所述获取模块,用于获取日志记录信息并将所述日志记录信息存储至日志数据表的数据项中,并将所述日志数据表发送至所述识别控制模块;
[0011]所述识别控制模块,用于获取每条日志记录中量化的特征数据与聚类中心点之间的距离后,与预设距离进行比较并根据比较结果,对日志记录信息进行识别控制。
[0012]通过以下方案:获取日志记录信息并将所述日志记录信息存储至日志数据表的数据项中;获取每条日志记录中量化的特征数据与聚类中心点之间的距离后,与预设距离进行比较并根据比较结果,对日志记录信息进行识别控制;实现了快速识别可疑操作的目的,大大提升了系统安全性。
[0013]通过以下方案:将所述异常日志记录信息发送至系统管理终端并由所述系统管理终端进行处理;实现了系统管理者对异常记录的及时获取,大大提升了系统安全性。
[0014]通过以下方案:通过邮件或者短信方式,将所述异常日志记录信息发送至系统管理终端,使得系统管理者能及时获取相关异常记录信息,为及时处理创造了条件。
【附图说明】
[0015]此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
[0016]图1所示为本发明实施例1的日志信息管理方法处理流程图;
[0017]图2所示为本发明实施例2的日志信息管理终端结构图。
【具体实施方式】
[0018]下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
[0019]图1所示为本发明实施例1的日志信息管理方法处理流程图,包括以下步骤:
[0020]步骤101:获取日志记录信息并将所述日志记录信息存储至日志数据表的数据项中;
[0021]进一步地,使用日志搜集工具syslog-ng,通过编写的配置文件获取日志记录信息。
[0022]进一步地,所述数据项包括host数据项、facility数据项、date数据项、time数据项、program数据项、msg数据项。
[0023]进一步地,host数据项是指远程访问的主机、facility数据项是指日志消息来源、date数据项是指日期、time数据项是指时间、program数据项是指直接实施访问的主体、msg数据项是指日志消息。
[0024]其中,program数据项可以根据程序操作的范围判断该程序是否有越权行为发生;msg数据项中日志消息记录了具体的访问行为,对判断可疑操作也具有很大程度的影响,msg数据项中包括了记录行为、目标、完成状态。
[0025]步骤102:获取每条日志记录中量化的特征数据与聚类中心点之间的距离后,与预设距离进行比较并根据比较结果,对日志记录信息进行识别控制。
[0026]进一步地,所述特征数据包括host数据、pro gram数据、msg数据。
[0027]其中,对特征数据进行量化是指为特征数据设置量化值;量化值大小在一定程度上体现对聚类分类重要性。
[0028]进一步地,所述聚类中心点是指对每类特征数据进行量化并设置对应的基准量化值。
[0029]其中,例如对host数据进行量化并设置对应的基准量化值为I。
[0030]进一步地,通过欧式距离算法或曼哈顿距离算法,获取每条日志记录中量化的特征数据与聚类中心点之间的距离。
[0031]进一步地,若日志记录中量化的特征数据与聚类中心点之间的距离小于预设距离,则所述日志记录信息属于预设的聚类类别;反之,则属于异常日志记录信息。
[0032]进一步地,将所述异常日志记录信息发送至系统管理终端并由所述系统管理终端进行处理。
[0033]其中,通过邮件或者短信方式,将所述异常日志记录信息发送至系统管理终端。
[0034]图2所示为本发明实施例2的日志信息管理终端结构图,包括获取模块201、识别控制模块202 ;其中,所述获取模块与所述识别控制模块202相连;
[0035]所述获取模块201,用于获取日志记录信息并将所述日志记录信息存储至日志数据表的数据项中,并将所述日志数据表发送至所述识别控制模块202 ;
[0036]所述识别控制模块202,用于获取每条日志记录中量化的特征数据与聚类中心点之间的距离后,与预设距离进行比较并根据比较结果,对日志记录信息进行识别控制。
[0037]通过以下方案:获取日志记录信息并将所述日志记录信息存储至日志数据表的数据项中;获取每条日志记录中量化的特征数据与聚类中心点之间的距离后,与预设距离进行比较并根据比较结果,对日志记录信息进行识别控制;实现了快速识别可疑操作的目的,大大提升了系统安全性。
[0038]通过以下方案:将所述异常日志记录信息发送至系统管理终端并由所述系统管理终端进行处理;实现了系统管理者对异常记录的及时获取,大大提升了系统安全性。
[0039]通过以下方案:通过邮件或者短信方式,将所述异常日志记录信息发送至系统管理终端,使得系统管理者能及时获取相关异常记录信息,为及时处理创造了条件。
[0040]以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
【主权项】
1.一种日志信息管理方法,其特征在于,包括以下步骤: 获取日志记录信息并将所述日志记录信息存储至日志数据表的数据项中; 获取每条日志记录中量化的特征数据与聚类中心点之间的距离后,与预设距离进行比较并根据比较结果,对日志记录信息进行识别控制。2.根据权利要求1所述的方法,其特征在于,所述数据项包括host数据项、facility数据项、date数据项、time数据项、program数据项、msg数据项。3.根据权利要求2所述的方法,其特征在于,所述host数据项是指远程访问的主机、所述facility数据项是指日志消息来源、所述date数据项是指日期、所述time数据项是指时间、所述program数据项是指直接实施访问的主体、所述msg数据项是指日志消息。4.根据权利要求1所述的方法,其特征在于,通过日志搜集工具syslog-ng及编写的配置文件获取日志记录信息。5.根据权利要求1所述的方法,其特征在于,所述特征数据包括host数据、program数据、msg数据。6.根据权利要求1所述的方法,其特征在于,所述聚类中心点是指对每类特征数据进行量化并设置对应的基准量化值。7.根据权利要求1所述的方法,其特征在于,通过欧式距离算法或曼哈顿距离算法,获取每条日志记录中量化的特征数据与聚类中心点之间的距离。8.根据权利要求1所述的方法,其特征在于,若日志记录中量化的特征数据与聚类中心点之间的距离小于预设距离,则所述日志记录信息属于预设的聚类类别;反之,则属于异常日志记录信息。9.根据权利要求8所述的方法,其特征在于,将所述异常日志记录信息发送至系统管理终端并由所述系统管理终端进行处理。10.一种日志信息管理终端,其特征在于,包括获取模块、识别控制模块;其中,所述获取模块与所述识别控制模块相连; 所述获取模块,用于获取日志记录信息并将所述日志记录信息存储至日志数据表的数据项中,并将所述日志数据表发送至所述识别控制模块; 所述识别控制模块,用于获取每条日志记录中量化的特征数据与聚类中心点之间的距离后,与预设距离进行比较并根据比较结果,对日志记录信息进行识别控制。
【专利摘要】本发明提供一种日志信息管理方法及日志信息管理终端,上述方法包括以下步骤:获取日志记录信息并将所述日志记录信息存储至日志数据表的数据项中;获取每条日志记录中量化的特征数据与聚类中心点之间的距离后,与预设距离进行比较并根据比较结果,对日志记录信息进行识别控制;实现了快速识别可疑操作的目的,大大提升了系统安全性。
【IPC分类】G06F17/30
【公开号】CN104951555
【申请号】CN201510377928
【发明人】郭美思, 宗栋瑞, 吴楠
【申请人】浪潮(北京)电子信息产业有限公司
【公开日】2015年9月30日
【申请日】2015年6月30日