[发明专利]一种日志分类方法及相关装置

权利要求书

1.一种日志分类方法，其特征在于，包括：

根据攻击特征分类配置文件对待分类日志数据进行分类，得到所述待分类日志数据对应的攻击特征类别；

其中，所述待分类日志数据为从多个数据源获取到的待分类日志数据；

其中，所述攻击特征分类配置文件为采用日志数据样本进行攻击特征提取分类得到的配置文件。

2.根据权利要求1所述的日志分类方法，其特征在于，所述采用日志数据样本进行攻击特征提取分类得到所述攻击特征分类配置文件的步骤，包括：

获取所述日志数据样本；

对所述日志数据样本进行日志特征提取，得到日志特征；其中，所述日志特征为表征日志内容的特征；

对所述日志特征中的文本描述信息进行攻击特征提取，得到攻击特征；其中，所述攻击特征为表征日志攻击内容的特征；

对所述攻击特征进行分类整理，得到所述攻击特征分类配置文件。

3.根据权利要求2所述的日志分类方法，其特征在于，对所述攻击特征进行分类整理，得到所述攻击特征分类配置文件，包括：

根据所述攻击特征中相同的字段对所述攻击特征进行分类整理，得到所述攻击特征分类配置文件。

4.根据权利要求1所述的日志分类方法，其特征在于，根据攻击特征分类配置文件对待分类日志数据进行分类，得到所述待分类日志数据对应的攻击特征类别，包括：

判断接收到的所述待分类日志数据是否存在安全信息字段；

若是，则对所述待分类日志数据进行日志特征提取，得到日志特征；

根据所述攻击特征分类配置文件对所述日志特征进行分类，得到所述待分类日志数据对应的攻击特征类别。

5.根据权利要求4所述的日志分类方法，其特征在于，对所述待分类日志数据进行日志特征提取，得到日志特征，包括：

当所述待分类日志数据存在结构化数据时，对所述待分类日志数据进行结构匹配，得到结构信息；

根据结构信息对所述待分类日志数据进行拆解，得到所述日志特征。

6.根据权利要求4所述的日志分类方法，其特征在于，对所述待分类日志数据进行日志特征提取，得到日志特征，包括：

当所述待分类日志数据不存在结构化数据时，根据特征提取正则表达式对所述待分类日志数据进行特征提取，得到所述日志特征。

7.根据权利要求1至6任一项所述的日志分类方法，其特征在于，还包括：

对获取到的所述日志数据样本进行日志特征提取，得到日志特征；

根据接收到的选择指令和/或预设的正则表达式对所述日志特征进行字段提取，得到所述安全信息字段。

8.一种日志分类装置，其特征在于，包括：

日志分类模块，用于根据攻击特征分类配置文件对待分类日志数据进行分类，得到所述待分类日志数据对应的攻击特征类别；其中，所述待分类日志数据为从多个数据源获取到的待分类日志数据；其中，所述攻击特征分类配置文件为采用日志数据样本进行攻击特征提取分类得到的配置文件。

9.一种服务器，其特征在于，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现如权利要求1至7任一项所述的日志分类方法的步骤。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的日志分类方法的步骤。