专利名称:基于环境的日志分析转换方法及装置的制作方法
技术领域:
本发明涉及计算机网络病毒领域,特别涉及一种基于环境的日志分析转换方法及
装置。
背景技术:
计算机病毒的传播是需要介质的,随着互联网的发展与壮大,计算机病毒传播的主要媒介也从移动存储传播转向了网络传播。目前每年所监控到的病毒数量正在以一年近一倍的速度在增长。并且随着网络上通讯方式的增加,计算机病毒正在以更多样化的形式出现在我们面前。一些病毒也正在从一种,衍生成为一类。网络协议是为计算机网络中进行数据交换而建立的规则、标准或约定的集合。病毒的传播也是数据交换,所以在传播过程中也会使用到某一种协议。在对网络流量的监控中,一种协议代表着一种数据交换方式,有时甚至可以精确到一种特定数据交换行为。在现有的病毒判定过程中,病毒样本经过反病毒引擎的扫描之后确定其特征,根据病毒特征,给出其病毒类型。而对于同一类病毒,它们可能有着相似的特征,但是传播途径不一,因此反病毒引擎也会做出错误的判断,再例如一些高风险的文件传输是我们已知并且需要的,那么这种情况则不能判断为病毒而后上报。
发明内容
本发明提供了一种基于环境的日志分析转换方法及装置,解决了计算机病毒网络流量病毒前端捕获体系中,反病毒引擎产生误报的问题。—种基于环境的日志分析转换方法,包括
建立日志分析转换规则,通过病毒类型的hash值建立hash列表,所述hash列表中的每个hash值节点对应至少一种传输协议类型及转换规则;
获取反病毒引擎发送的病毒日志信息,所述病毒日志信息中至少包括病毒类型、传输协议类型及日志类型;
读取病毒日志信息中病毒类型并计算病毒类型hash值,与日志分析转换规则中的hash列表匹配,若匹配成功,则进一步获取病毒日志信息中传输协议类型,与hash值节点中的传输协议类型匹配,若匹配成功,则根据传输协议类型对应的转换规则,对病毒日志信息进行修改,否则结束本条日志分析;若hash列表匹配失败,则结束本条日志分析。所述的方法中,所述的hash列表中的每个hash值节点对应至少一种传输协议类型及转换规则中,所述的协议类型为与hash值对应的病毒类型的传输协议不符的传输协议类型,且每一传输协议类型对应一个转换规则。所述的方法中,所述传输协议类型及转换规则以红黑树方式存储在对应hash值节点中。所述的方法中,所述的日志分析转换规则可扩展。一种基于环境的日志分析转换装置,包括存储模块,用于存储建立的日志分析转换规则,通过病毒类型的hash值建立hash列表,所述hash列表中的每个hash值节点对应至少一种传输协议类型及转换规则;
获取模块,用于获取反病毒引擎发送的病毒日志信息,所述病毒日志信息中至少包括病毒类型、传输协议类型及日志类型;
读取模块,用于读取病毒日志信息中病毒类型并计算病毒类型hash值;
匹配模块,用于将读取模块计算的病毒类型hash值与日志分析转换规则中的hash列表匹配,若匹配成功,则进一步获取病毒日志信息中传输协议类型,与hash值节点中的传输协议类型匹配,若匹配成功,则根据传输协议类型对应的转换规则,对病毒日志信息进行修改,否则结束本条日志分析;若hash列表匹配失败,则结束本条日志分析。所述的装置中,所述的hash列表中的每个hash值节点对应至少一种传输协议类型及转换规则中,所述的协议类型为与hash值对应的病毒类型的传输协议不符的传输协 议类型,且每一传输协议类型对应一个转换规则。所述的装置中,所述传输协议类型及转换规则以红黑树方式存储在对应hash值节点中。所述的装置中,所述的日志分析转换规则可扩展。本发明提供一种基于环境的日志分析转换方法及装置,所述方法包括建立日志分析转换规则,通过病毒类型的hash值建立hash列表,所述hash列表中的每个hash值节点对应至少一种传输协议类型及转换规则;获取反病毒引擎发送的病毒日志信息中的病毒类型并计算hash值,及传输协议类型,与转换规则中的hash值节点及传输协议类型匹配,若匹配成功,则根据传输协议类型对应的转换规则,对病毒日志信息进行修改,否则结束本条日志分析;若hash列表匹配失败,则结束本条日志分析。通过本发明方法及装置,将反病毒引擎的判断结果与网络流量信息中的传输协议相结合,对病毒进行二次判断并将反病毒引擎判断错误的病毒日志信息进行修改。
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图I为一种基于环境的日志分析转换方法流程 图2为一种基于环境的日志分析转换装置结构示意图。
具体实施例方式为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。本发明提供了一种基于环境的日志分析转换方法及装置,解决了计算机病毒网络流量病毒前端捕获体系中,反病毒引擎产生误报的问题。—种基于环境的日志分析转换方法,如图I所不,包括5101:建立日志分析转换规则,通过病毒类型的hash值建立hash列表,所述hash列表中的每个hash值节点对应至少一种传输协议类型及转换规则;
5102:获取反病毒引擎发送的病毒日志信息,所述病毒日志信息中至少包括病毒类型、传输协议类型及日志类型;
S103读取病毒日志信息中病毒类型并计算病毒类型hash值,与日志分析转换规则中的hash列表匹配,若匹配成功,则执行S104,否则执行S106 ;
5104:获取病毒日志信息中传输协议类型,与hash值节点中的传输协议类型匹配,若匹配成功,则执行S105,否则执行S106 ;
5105:根据传输协议类型对应的转换规则,对病毒日志信息进行修改;
5106:结束本条日志分析。当病毒类型的hash值及传输协议类型均匹配成功,则说明反病毒引擎对该条病毒日志信息所记录的病毒为误报。所述方法可对反病毒引擎发送的病毒日志信息进行逐条分析,直至病毒日志结束。所述的方法中,所述的hash列表中的每个hash值节点对应至少一种传输协议类型及转换规则中,所述的协议类型为与hash值对应的病毒类型的传输协议不符的传输协议类型,且每一传输协议类型对应一个转换规则。所述的方法中,所述传输协议类型及转换规则以红黑树方式存储在对应hash值节点中。本发明方法中,每个hash值节点中使用红黑树方式存储传输协议类型及对应转换规则,在 传输协议匹配的过程中具有较高的匹配效率,当然本领域其他技术人员可以想到其他类型的数据结构,用于对不同其他特征的分析转换规则进行扩展。所述的方法中,所述的日志分析转换规则可扩展。为理解上述发明方法,对发明方法进行举例说明,但该实例并不影响本发明方法的范围。例如正常邮件传输所使用到的传输协议为P0P3、SMTP或IMAP等,在日志分析转换规则中,邮件病毒所对应的hash值节点中,存储所有邮件传输所使用的传输协议及对应转换规则,当检测到病毒日志信息中日志类型的hash值所对应的为邮件病毒时,将该条病毒日志信息中的传输协议与hash值节点中存储的传输协议相匹配,若匹配成功,则说明反病毒引擎判断错误,将本条日志信息中的日志类型修改为文件传输事件。针对不同传输协议,存在不同的转换规则,本实例仅作为举例说明。本发明方法中通过将病毒类型与该病毒类型所不适用的传输协议匹配,进行检测,当检测到病毒所使用的传输协议并非该病毒所应该使用的传输协议时,确定反病毒引擎判断错误。一种基于环境的日志分析转换装置,如图2所示,包括
存储模块201,用于存储建立的日志分析转换规则,通过病毒类型的hash值建立hash列表,所述hash列表中的每个hash值节点对应至少一种传输协议类型及转换规则;
获取模块202,用于获取反病毒引擎发送的病毒日志信息,所述病毒日志信息中至少包括病毒类型、传输协议类型及日志类型;
读取模块203,用于读取病毒日志信息中病毒类型并计算病毒类型hash值;
匹配模块204,用于将读取模块计算的病毒类型hash值与日志分析转换规则中的hash列表匹配,若匹配成功,则进一步获取病毒日志信息中传输协议类型,与hash值节点中的传输协议类型匹配,若匹配成功,则根据传输协议类型对应的转换规则,对病毒日志信息进行修改,否则结束本条日志分析;若hash列表匹配失败,则结束本条日志分析。所述的装置中,所述的hash列表中的每个hash值节点对应至少一种传输协议类型及转换规则中,所述的协议类型为与hash值对应的病毒类型的传输协议不符的传输协议类型,且每一传输协议类型对应一个转换规则。所述的装置中,所述传输协议类型及转换规则以红黑树方式存储在对应hash值节点中。所述的装置中,所述的日志分析转换规则可扩展。本发明提供一种基于环境的日志分析转换方法及装置,所述方法包括建立日志分析转换规则,通过病毒类型的hash值建立hash列表,所述hash列表中的每个hash值节 点对应至少一种传输协议类型及转换规则;获取反病毒引擎发送的病毒日志信息中的病毒类型并计算hash值,及传输协议类型,与转换规则中的hash值节点及传输协议类型匹配,若匹配成功,则根据传输协议类型对应的转换规则,对病毒日志信息进行修改,否则结束本条日志分析;若hash列表匹配失败,则结束本条日志分析。通过本发明方法及装置,将反病毒引擎的判断结果与网络流量信息中的传输协议相结合,对病毒进行二次判断并将反病毒引擎判断错误的病毒日志信息进行修改。虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
权利要求
1.一种基于环境的日志分析转换方法,其特征在于,包括 建立日志分析转换规则,通过病毒类型的hash值建立hash列表,所述hash列表中的每个hash值节点对应至少一种传输协议类型及转换规则; 获取反病毒引擎发送的病毒日志信息,所述病毒日志信息中至少包括病毒类型、传输协议类型及日志类型; 读取病毒日志中病毒类型并计算病毒类型hash值,与日志分析转换规则中的hash列表匹配,若匹配成功,则进一步获取病毒日志信息中传输协议类型,与hash值节点中的传输协议类型匹配,若匹配成功,则根据传输协议类型对应的转换规则,对病毒日志信息进行修改,否则结束本条日志分析;若hash列表匹配失败,则结束本条日志分析。
2.如权利要求I所述的方法,其特征在于,所述的hash列表中的每个hash值节点对应至少一种传输协议类型及转换规则中,所述的协议类型为与hash值对应的病毒类型的传输协议不符的传输协议类型,且每一传输协议类型对应一个转换规则。
3.如权利要求I所述的方法,其特征在于,所述传输协议类型及转换规则以红黑树方式存储在对应hash值节点中。
4.如权利要求I所述的方法,其特征在于,所述的日志分析转换规则可扩展。
5.一种基于环境的日志分析转换装置,其特征在于,包括 存储模块,用于存储建立的日志分析转换规则,通过病毒类型的hash值建立hash列表,所述hash列表中的每个hash值节点对应至少一种传输协议类型及转换规则; 获取模块,用于获取反病毒引擎发送的病毒日志信息,所述病毒日志信息中至少包括病毒类型、传输协议类型及日志类型; 读取模块,用于读取病毒日志信息中病毒类型并计算病毒类型hash值; 匹配模块,用于将读取模块计算的病毒类型hash值与日志分析转换规则中的hash列表匹配,若匹配成功,则进一步获取病毒日志信息中传输协议类型,与hash值节点中的传输协议类型匹配,若匹配成功,则根据传输协议类型对应的转换规则,对病毒日志信息进行修改,否则结束本条日志分析;若hash列表匹配失败,则结束本条日志分析。
6.如权利要求5所述的装置,其特征在于,所述的hash列表中的每个hash值节点对应至少一种传输协议类型及转换规则中,所述的协议类型为与hash值对应的病毒类型的传输协议不符的传输协议类型,且每一传输协议类型对应一个转换规则。
7.如权利要求5所述的装置,其特征在于,所述传输协议类型及转换规则以红黑树方式存储在对应hash值节点中。
8.如权利要求5所述的装置,其特征在于,所述的日志分析转换规则可扩展。
全文摘要
本发明提供一种基于环境的日志分析转换方法及装置,所述方法包括建立日志分析转换规则,通过病毒类型的hash值建立hash列表,所述hash列表中的每个hash值节点对应至少一种传输协议类型及转换规则;获取反病毒引擎发送的病毒日志信息中的病毒类型并计算hash值,及传输协议类型,与转换规则中的hash值节点及传输协议类型匹配,若匹配成功,则根据传输协议类型对应的转换规则,对病毒日志信息进行修改,否则结束本条日志分析;若hash列表匹配失败,则结束本条日志分析。通过本发明方法及装置,将反病毒引擎的判断结果与网络流量信息中的传输协议相结合,对病毒进行二次判断并将反病毒引擎判断错误的病毒日志信息进行修改。
文档编号G06F21/00GK102750462SQ20111041280
公开日2012年10月24日 申请日期2011年12月13日 优先权日2011年12月13日
发明者刘凡, 肖新光, 邢梓宸, 邱勇良 申请人:北京安天电子设备有限公司