[发明专利]一种基于事件响应相似度匹配的前后台三层关联方法

说明书

本发明公开了一种基于事件响应相似度匹配的前后台三层关联方法，涉及通信技术领域，解决了目前围绕事件请求参数角度进行设计和实现的三层关联算法的缺陷。本发明步骤如下：通过时间窗口重叠滑动方式从应用日志和数据库日志中抽取相同时间窗口范围内的两类事件信；基于上一步抽取的两类事件抽取结果，对两类事件进行响应内容清洗；通过Simhash算法计算各事件响应内容的指纹，通过Simhash指纹表达事件响应内容；基于上一步获得事件响应内容Simhash指纹，通过比对两类事件的Simhash指纹相似度，实现事件级别的三层关联。本发明基于应用日志事件和数据库日志事件的响应内容，实现事件级别的关联分析，提高了关联效率和准确性。

技术领域

本发明涉及通信技术领域，具体涉及一种基于事件响应相似度匹配的前后台三层关联方法。

背景技术

随着网络技术的发展，信息安全问题越来越受到重视，应用审计和数据库审计产品得到了越来越广泛的关注和应用。通常而言，对于审计类产品，一个普遍存在的现实需求是能够高效率、高准确率地支持应用日志事件和数据库日志事件的三层关联，从而支撑日志溯源、风险发现等安全需求。

目前审计类产品的三层关联算法大多围绕事件请求参数角度进行设计和实现。在现实场景下，由于存在参数内容加密传输、从应用层到数据库层的事件参数黑盒变换等问题，围绕事件请求参数角度的三层关联算法可能失效，从而影响关联准确性。

发明内容

本发明的目的是提供一种基于事件响应相似度匹配的前后台三层关联方法，基于应用日志事件和数据库日志事件的响应内容，实现两类事件在事件级别的关联分析，提高了关联效率和准确性。

为了实现上述目的，本发明提供如下技术方案：一种基于事件响应相似度匹配的前后台三层关联方法，步骤如下：

S1.通过时间窗口重叠滑动方式从应用日志和数据库日志中抽取相同时间窗口范围内的两类事件信息，所述的两类事件信息为应用日志事件和数据库日志事件；

S2.基于上一步抽取的两类事件抽取结果，对两类事件进行响应内容清洗；

S3.基于上一步事件响应内容的清洗结果，通过Simhash算法计算各事件响应内容的指纹，通过Simhash指纹表达事件响应内容；

S4.基于上一步获得事件响应内容Simhash指纹，通过比对两类事件的Simhash指纹相似度，实现事件级别的三层关联。

作为优选：

所述的步骤S1中，时间长度以秒级别为时间单位，例如3秒、5秒等。

所述的步骤S2中，对数据库日志事件响应内容的清洗包括将非可打印字符和特殊符号剔除；对应用日志事件响应内容的清洗包括剔除非可打印字符和特殊符号，还包括将HTML标签、XML标签等常见字符模式剔除。

所述步骤S2对应用日志事件响应内容的清洗中，根据应用日志事件的响应内容格式，将图片类、文件类等非文本类型的应用日志事件剔除。

所述步骤S2对应用日志事件响应内容的清洗中，根据应用日志事件的响应内容格式，将图片类、文件类等非文本类型的应用日志事件剔除。

所述步骤S4中，基于Simhash指纹的相似度距离测量方法包括余弦距离算法和汉明距离算法。

所述步骤S4中，同时采用多种相似度测量方法，只要其中之一的测量结果显示两类事件的Simhash指纹差异较小，即可判定两类事件响应内容匹配概率较高，从而将对应的两类事件标记为关联事件的准确度较高。

本发明所描述的一种基于事件响应相似度匹配的前后台三层关联方法，其核心技术要点在于：

1.已有相关专利、发明及其关键算法主要围绕事件参数角度实施三层关联，本发明提出的方法围绕事件响应角度实施三层关联；