[发明专利]日志归并方法和装置

说明书

技术领域

本发明涉及计算机和通信技术领域，尤其涉及一种日志归并方法和装置。 

背景技术

随着网络攻击的日益猖獗、应用软件的不断丰富以及网络流量的不断增长，网络日志的数量不断增加，而其中重复日志、垃圾日志的数量也呈指数级增加。例如，一次端口扫描攻击可扫描目标主机的65535个端口，以查看目标主机是否在某个端口上开启了服务，然后根据扫描结果进行下一步的攻击。在这种情况下，若每一个扫描报文都上报一条日志，则在短时间内会产生65535条日志，形成日志风暴，这给设备、网络带宽以及日志服务器带来了巨大压力，短时间内数万条日志很容易使得系统中重要日志被淹没，导致重要信息无法得到及时处理。由此可见，用户对于减少垃圾日志，保证系统中重要日志不被淹没的需求日益强烈。 

在现有技术中，通过固定的日志归并策略对日志进行归并，如固定地根据日志的类型、ID(Identity，日志对应的唯一编码)，或源IP地址和目的IP地址等日志归并策略，现有技术中的这种方法可以对同类攻击生成的日志进行合并，可以减少日志的数量，在一定程度上抑制日志风暴。 

然而，在实现本发明过程中，发明人发现现有技术中的日志归并方法的适应性较差，固定的一种日志归并策略只针对某种特定攻击类型的日志有较好的归并效果，但是对其他攻击类型日志的归并效果并不理想。而且用户可能同时面临多种类型攻击的情况，固定的一种日志归并策略无法解决各种类型攻击所带来的日志风暴问题。 

发明内容

本发明实施例提供一种日志归并方法和装置，对各种类型网络攻击事件产生的日志的合理归并，有效抑制日志风暴，避免系统中重要日志不被淹没。 

本发明实施例提供一种日志归并方法，包括： 

在检测到网络攻击事件之后，根据所述网络攻击事件的特征确定所述网络攻击事件的类型； 

根据所述网络攻击事件的类型确定所述网络攻击事件对应的日志归并策略； 

根据所述日志归并策略对所述网络攻击事件对应的日志进行归并； 

其中，根据所述网络攻击事件的类型确定所述网络攻击事件对应的日志归并策略具体为： 

当所述网络攻击事件的类型为端口扫描类型时，确定日志归并策略为根据攻击的类型、日志对应的唯一编码、源IP、目的IP对所述网络攻击事件对应的日志进行归并； 

当所述网络攻击事件的类型为蠕虫扫描类型时，确定日志归并策略为根据攻击的类型、日志对应的唯一编码、源IP对所述网络攻击事件对应的日志进行归并； 

当所述网络攻击事件的类型为分布式拒绝服务攻击DDoS类型时，确定日志归并策略为根据攻击的类型、日志对应的唯一编码、目的IP对所述网络攻击事件对应的日志进行归并； 

当所述网络攻击事件的类型为点对点P2P类型时，确定日志归并策略为若报文的方向为入方向，则根据攻击的类型、日志对应的唯一编码、目的IP对所述网络攻击事件对应的日志进行归并，若报文的方向为出方向，则根据攻击的类型、日志对应的唯一编码、源IP对所述网络攻击事件对应的日志进行归并。 

本发明实施例提供一种日志归并装置，包括： 

类型确定模块，用于在检测到网络攻击事件之后，根据所述网络攻击事件的特征确定所述网络攻击事件的类型； 

策略确定模块，用于根据所述类型确定模块确定的所述网络攻击事件的类型确定所述网络攻击事件对应的日志归并策略； 

归并模块，用于根据所述策略确定模块确定的所述日志归并策略对所述网络攻击事件对应的日志进行归并； 

其中，所述策略确定模块具体用于： 

当所述网络攻击事件的类型为端口扫描类型时，确定日志归并策略为根据攻击的类型、日志对应的唯一编码、源IP、目的IP对所述网络攻击事件对应的日志进行归并； 

当所述网络攻击事件的类型为蠕虫扫描类型时，确定日志归并策略为根据攻击的类型、日志对应的唯一编码、源IP对所述网络攻击事件对应的日志进行归并； 

当所述网络攻击事件的类型为分布式拒绝服务攻击DDoS类型时，确定日志归并策略为根据攻击的类型、日志对应的唯一编码、目的IP对所述网络攻击事件对应的日志进行归并；