一种工控网络系统的日志分类关联方法、装置及电子设备与流程

本发明涉及工控网络，具体涉及一种工控网络系统的日志分类关联方法、装置及电子设备。

背景技术：

1、随着信息化程度的越来越高，工控网络系统中的网络设备和安全设备也越来越多，对应的工业信息日志记录的也越来越分散，体量也越来越大。运维人员在海量的日志记录中难以及时准确地发现有用的信息。若发生紧急安全攻击事件，分散在各处的信息得不到综合分析和利用，同时也难以及时掌握企业整体的安全状况，会导致安全策略调整不及时，进而事件处理不及时，使整个系统面临较高的安全风险。

2、而现有技术中通常通过工业信息安全日志平台将各个监管单元的安全数据进行汇总和分析，虽然能够采集和汇总个安全子系统的安全攻击事件情况和网络安全状态，形成对整个安全体系的综合性监管，但是工业信息日志的体量庞大，数据分散，工业信息安全日志平台难以及时准确地汇总各种日志，导致平台的信息安全防护能力较差。

技术实现思路

1、有鉴于此，本发明实施例提供了一种工控网络系统的日志分类关联方法，以解决现有技术中日志影响信息安全防护的问题。

2、为达到上述目的，本发明提供如下技术方案：

3、本发明实施例提供了一种工控网络系统的日志分类关联方法，包括：

4、从工控网络系统中获取目标日志文件，所述目标日志文件内包含多行工业信息日志；

5、根据预设安全事故信息集合对所述工业信息日志进行相似度归类，得到每条所述工业信息日志对应的日志类别，所述预设安全事故信息集合内包括多个类别的安全事故信息；

6、根据所述日志类别从预设日志数据库内筛选与所述目标日志文件在同一时间维度上的关联日志文件进行关联。

7、可选的，在根据预设安全事故信息集合对所述工业信息日志进行相似度归类之前，所述方法还包括：

8、对所述安全事故信息进行分析，得到无关日志类型；

9、基于所述无关日志类型从所述工业信息日志中筛选得到无关日志信息；

10、从所述工业信息日志中删除所述无关日志信息。

11、可选的，所述安全事故信息包括安全事故字符串信息和日志形成时间，所述根据预设安全事故信息集合对所述工业信息日志进行相似度归类，得到每条所述工业信息日志对应的日志类别，包括：

12、将每条所述工业信息日志分别与所述预设安全事故信息集合中每个类别所述安全事故信息对应的安全事故字符串信息进行相似度分析，得到相似度值；

13、判断所述相似度值是否大于或等于预设相似度阈值；

14、若所述相似度值是否大于或等于预设相似度阈值，则将所述工业信息日志对应所述安全事故信息的类别作为所述工业信息日志的日志类别。

15、可选的，所述方法还包括：

16、若所述相似度值小于所述预设相似度阈值，基于所述工业信息日志和所述日志形成时间生成对应的安全事故信息；

17、将所述安全事故信息添加到所述预设安全信息集合。

18、可选的，所述根据所述日志类别从预设日志数据库内筛选与所述目标日志文件在同一时间维度上的关联日志文件进行关联，包括：

19、将所述日志类别与预设日志数据库内的日志文件进行匹配，得到同一日志类别下的匹配日志文件；

20、计算所述匹配日志文件与所述目标日志文件在同一时间维度的余弦相似度；

21、筛选所述余弦相似度大于或等于预设关联阈值的匹配日志文件，作为所述同一时间维度上的关联日志文件；

22、将所述目标日志文件与所述关联日志文件进行关联。

23、可选的，所述方法还包括：

24、将所述日志类别与预设攻击事件库进行对比，确定所述目标日志文件和关联日志文件对应的目标安全攻击事件；

25、基于所述目标安全攻击事件分别对每个所述关联日志文件进行相似度分析，得到所述目标安全攻击事件在时间维度上的关联攻击事件；

26、将所述目标安全攻击事件和所述关联攻击事件进行汇总，得到安全攻击事件集合。

27、可选的，所述方法还包括：

28、基于所述目标安全攻击事件对所述安全攻击事件集合进行分析，得到安全攻击日志链路，所述安全攻击日志链路内包含所述关联攻击事件的攻击信息；

29、对所述安全攻击日志链路进行解析，得到所述目标安全攻击事件对应的攻击信息。

30、本发明实施例还提供了一种工控网络系统的日志分类关联装置，包括：

31、获取模块，用于从工控网络系统中获取目标日志文件，所述目标日志文件内包含多行工业信息日志；

32、分类模块，用于根据预设安全事故信息集合对所述工业信息日志进行相似度归类，得到每条所述工业信息日志对应的日志类别，所述预设安全事故信息集合内包括多个类别的安全事故信息；

33、关联模块，用于根据所述日志类别从预设日志数据库内筛选与所述目标日志文件在同一时间维度上的关联日志文件进行关联。

34、本发明实施例还提供了一种电子设备，包括：

35、存储器和处理器，所述存储器和所述处理器之间互相通信连接，所述存储器中存储有计算机指令，所述处理器通过执行所述计算机指令，从而执行本发明实施例提供的工控网络系统的日志分类关联方法。

36、本发明实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质存储计算机指令，所述计算机指令用于使计算机执行本发明实施例提供的工控网络系统的日志分类关联方法。

37、本发明技术方案，具有如下优点：

38、本发明提供了一种工控网络系统的日志分类关联方法，通过从工控网络系统中获取目标日志文件，目标日志文件内包含多行工业信息日志；根据预设安全事故信息集合对工业信息日志进行相似度归类，得到每条工业信息日志对应的日志类别，预设安全事故信息集合内包括多个类别的安全事故信息；根据日志类别从预设日志数据库内筛选与目标日志文件在同一时间维度上的关联日志文件进行关联。本发明通过相似度分析根据日志类别筛选得到目标日志文件对应的关联日志文件，并对目标日志文件进行分类关联，及时准确汇总各种工业信息日志，降低信息的离散程度，从而便于查找分析，提高工业信息安全日志平台的信息安全防护能力。

技术特征：

1.一种工控网络系统的日志分类关联方法，其特征在于，包括：

2.根据权利要求1所述的工控网络系统的日志分类关联方法，其特征在于，在根据预设安全事故信息集合对所述工业信息日志进行相似度归类之前，所述方法还包括：

3.根据权利要求1所述的工控网络系统的日志分类关联方法，其特征在于，所述安全事故信息包括安全事故字符串信息和日志形成时间，所述根据预设安全事故信息集合对所述工业信息日志进行相似度归类，得到每条所述工业信息日志对应的日志类别，包括：

4.根据权利要求3所述的工控网络系统的日志分类关联方法，其特征在于，所述方法还包括：

5.根据权利要求1所述的工控网络系统的日志分类关联方法，其特征在于，所述根据所述日志类别从预设日志数据库内筛选与所述目标日志文件在同一时间维度上的关联日志文件进行关联，包括：

6.根据权利要求1所述的工控网络系统的日志分类关联方法，其特征在于，所述方法还包括：

7.根据权利要求6所述的工控网络系统的日志分类关联方法，其特征在于，所述方法还包括：

8.一种工控网络系统的日志分类关联装置，其特征在于，包括：

9.一种电子设备，其特征在于，包括：

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机指令，所述计算机指令用于使计算机执行权利要求1-7中任一项所述的工控网络系统的日志分类关联方法。

技术总结
本发明涉及工控网络领域，其目的在于提供一种工控网络系统的日志分类关联方法、装置及电子设备，该方法包括：从工控网络系统中获取目标日志文件，目标日志文件内包含多行工业信息日志；根据预设安全事故信息集合对工业信息日志进行相似度归类，得到每条工业信息日志对应的日志类别；根据日志类别从预设日志数据库内筛选与目标日志文件在同一时间维度上的关联日志文件进行关联。本发明通过相似度分析根据日志类别筛选得到目标日志文件对应的关联日志文件，并对目标日志文件进行分类关联，及时准确汇总各种工业信息日志，降低信息的离散程度，从而便于查找分析，提高工业信息安全日志平台的信息安全防护能力。

技术研发人员：刘骁,毕玉冰,燕前,刘迪,朱博迪,肖力炀,刘鹏飞,崔逸群,王文庆,刘超飞,邓楠轶,南瑾
受保护的技术使用者：华能国际电力股份有限公司
技术研发日：
技术公布日：2024/1/14