[发明专利]用于匿名化日志条目的系统和方法

说明书

本发明公开了一种用于匿名化日志条目的计算机实现的方法，所述方法可包括：(1)检测一组日志条目中的数据模式，所述一组日志条目记录由至少一个设备上执行的至少一个过程执行的事件，(2)在所述数据模式中识别所述日志条目中包含可变数据的至少一个数据字段，(3)评估包含可变数据的所述数据字段以确定所述数据字段是否包含敏感数据，以及(4)响应于确定所述数据字段是否包含敏感数据，将数据匿名化策略应用于所述数据字段以匿名化所述日志条目。本发明还公开了各种其他方法、系统和计算机可读介质。

背景技术

系统操作日志(诸如安全系统日志)通常包含有关信息系统操作的宝贵数据。例如，系统管理员可以监测安全日志以验证安全系统正常操作、诊断操作或性能问题、识别系统弱点、识别安全威胁的来源，并且/或者对安全漏洞进行取证分析。管理员还可以挖掘安全日志条目以发现新类型的安全威胁。此外，数据分析员可以挖掘系统操作日志以分析用户行为和/或系统性能。

然而，系统操作日志通常包括敏感信息，诸如个人识别信息(PII)或基础结构相关信息(诸如网络地址或服务器名称)。遗憾的是，此信息可能使得攻击者能够映射内部网络并搜索脆弱点。日志信息也可能暴露在社交工程攻击中可使用的工作进度表、个人关系或其他信息。因此，如果安全日志不受保护，则安全日志可能是定向威胁中使用的信息源。因此，本公开识别并解决了对用于保卫日志条目的另外且改善的系统和方法的需要。

发明内容

如以下将更详细地描述的，本公开描述了用于通过识别日志条目中的可能包含敏感信息的字段、并然后应用匿名化该敏感信息的数据匿名化策略来匿名化日志条目的各种系统和方法。本文所述的系统和方法可以应用各种机器学习技术来识别敏感信息并且对敏感信息与其他可变数据进行区分。本文所述的系统和方法还可以针对新条目监测数据日志、确定新条目是否包含敏感信息，并且在识别到包含敏感信息的新数据字段时，匿名化现有日志文件条目。

在一个示例中，一种用于匿名化日志条目的计算机实现的方法可以包括：(1)检测一组日志条目中的数据模式，该组日志条目记录由一个或多个设备上执行的一个或多个过程执行的事件，(2)在数据模式中识别日志条目中包含可变数据的一个或多个数据字段，(3)评估包含可变数据的数据字段以确定数据字段是否包含敏感数据，以及(4)响应于确定数据字段是否包含敏感数据，将数据匿名化策略应用于数据字段以匿名化日志条目。

在一些示例中，检测日志条目中的数据模式可以包括对日志条目执行消息模板学习分析。在一些示例中，检测日志条目中的数据模式可以包括对日志条目执行最长共同子序列分析。在一个实施方案中，计算机实现的方法还可以包括：(1)接收来自一个或多个附加设备上执行的附加过程的日志条目，(2)将日志条目与日志条目中先前识别的一组数据模式中的数据模式匹配，(3)识别对应于数据模式的数据匿名化策略，以及(4)通过应用对应的数据匿名化策略来匿名化日志条目。

在一个实施方案中，计算机实现的方法还可以包括：(1)确定其中必须为被认为是匿名化的数据模式找到数据模式的隐私上下文的阈值数量，(2)在一组隐私上下文中检测数据模式，(3)确定包含数据模式的隐私上下文的数量超过隐私上下文阈值，以及(4)响应于确定包含数据模式的隐私上下文的数量超过隐私上下文阈值，确定数据模式是匿名化的。在一个实施方案中，数据字段评估确定数据字段包含敏感数据，并且数据匿名化策略通过以下方式来匿名化数据字段：(1)使用单向散列来加密数据字段，(2)使用可逆加密来加密数据字段，(3)利用随机数据替换数据字段，(4)利用静态数据替换数据字段，(5)移除数据字段，并且/或者(6)一般化数据字段。

在一个实施方案中，数据字段评估确定数据字段包含所枚举的数据并且因此不包含敏感数据，并且数据匿名化策略不修改数据字段。在另一个实施方案中，数据字段评估确定数据字段包含已知不包括敏感数据的数据类型的数据，并且数据匿名化策略不修改数据字段。此外，即使数据字段先前被确定为不包含敏感数据，数据字段评估也可以确定数据字段现在包含敏感数据。数据匿名化策略然后可以匿名化一组现有日志条目中的数据字段。