【技术实现步骤摘要】
本申请涉及数据处理,尤其是涉及一种工业日志分析方法及装置、设备、可读存储介质。
技术介绍
1、日志分析是指对系统、应用程序或设备生成的日志文件进行解析、处理和分析的过程。通常对日志数据进行分析,可以获取有关系统、应用程序或设备的状态、行为以及故障排查等方面的有用信息。
2、目前,需要技术人员手动分析日志,排查日志出现问题的具体情况,占用了技术人员大量的时间和精力,同时由于这些日志通常具有日志量大、日志种类繁多等特点,导致技术人员分析日志效率较低。
技术实现思路
1、本申请的目的在于提供一种工业日志分析方法及装置、设备、可读存储介质,以解决目前分析日志效率较低的问题。
2、第一方面,本申请提供了一种工业日志分析方法,该方法包括:获取工业设备的日志数据和工业现场日志数据,若日志数据的特征值与基线特征知识库不匹配时,确定日志数据为异常行为日志数据。利用工业现场日志数据、异常行为日志数据和关联规则知识库,确定异常行为日志数据中的多个威胁告警日志。对多个威胁告警日志进行关联分析,确定日志数据对应的工业安全事件。
3、本申请提供的工业日志分析方法通过对工业设备的日志数据的收集、汇总以及基于模型对日志数据进行关联分析,可以实现工业企业对工业现场网络安全状态的实时态势感知并确定该日志数据对应的工业安全事件,提高日志分析效率。
4、一种可能的实现方式,日志数据包括以下一个或多个:网络通信日志数据、协议通信日志数据和工业关键事件日志数据。若日志数据的特征
5、该可能的实现方式中,通过利用基线特征知识库通过计算网络通信日志数据、协议通信日志数据和工业关键事件日志数据的特征值的中心值与基线特征知识库的基线中心值的偏离度,在该偏离度达到阈值时,确定日志数据为异常行为数据,可以提高日志数据处理效率。
6、一种可能的实现方式,基线特征知识库的构建过程包括:获取工业设备在多个时间维度下的历史日志数据。历史日志数据包括历史网络通信日志、历史协议通信日志和历史工业关键事件日志。基于多个时间维度,构建历史网络通信日志、历史协议通信日志和历史工业关键事件日志的二维特征矩阵,得到基线特征知识库。
7、该可能的实现方式中,通过利用工业设备在多个时间维度下的历史日志数据构建基线特征知识库,通过存储基线数据,可以方便后续分析日志数据,提升工业日志分析性能。
8、一种可能的实现方式,基于网络通信日志数据、协议通信日志数据和工业关键事件日志数据的时间维度,确定网络通信日志数据、协议通信日志数据和工业关键事件日志数据的特征值,包括:将网络通信日志、协议通信日志和工业关键事件日志分为多个子集。针对多个子集中的任一子集,基于时间维度,计算任一子集的特征值。将多个子集的特征值合并,确定网络通信日志、协议通信日志和工业关键事件日志的特征值。
9、该可能的实现方式中,通过使用批流一体化的方法,以流式处理模型为基础,同时使用批处理的方式来对日志进行处理,可以实现高效且低时延处理日志,同时兼顾了数据处理的性能,保障了能够处理更大的数据吞吐量。利用分布式特性将计算能力分散到多个计算节点,有利于整体系统性能的横向扩展。
10、一种可能的实现方式,利用工业现场日志数据、异常行为日志数据和关联规则知识库,确定异常行为日志数据中的多个威胁告警日志,包括:构建关联规则知识库。关联规则知识库包括多个关联规则。利用关联规则知识库对工业现场日志数据和异常行为日志数据进行筛选,确定异常行为日志数据中的多个威胁告警日志。筛选用于指示根据工业现场日志数据和异常行为日志数据,从多个关联规则中确定至少一条关联规则对工业现场日志数据和异常行为日志数据进行筛选。
11、该可能的实现方式中,通过利用关联规则知识库对工业现场日志数据和异常行为日志数据进行筛选,确定异常行为日志数据中的多个威胁告警日志,可以深入确定工业日志数据的行为和动态,提升日志分析效率。
12、一种可能的实现方式,对多个威胁告警日志进行关联分析,确定日志数据对应的安全事件,包括:针对多个威胁告警日志中的任意两个威胁告警事件,计算任意两个威胁告警事件的关联强度。将多个威胁告警日志中的关联强度为高的威胁告警事件整合,得到安全事件。
13、该可能的实现方式中,通过对多个威胁告警日志中的任意两个威胁告警事件,计算任意两个威胁告警事件的关联强度,将关联强度为高的俄日写告警事件进行整合,得到安全事件,可以实现工业企业对工业现场网络安全状态的实时态势感知并确定该日志数据对应的工业安全事件,提高日志分析效率。
14、一种可能的实现方式,第一威胁告警事件和第二威胁告警事件为多个威胁告警日志中的任意两个威胁告警事件。针对多个威胁告警日志中的任意两个威胁告警事件,计算任意两个威胁告警事件的关联强度,包括:针对预设时间段中任一时间窗口,确定第一威胁告警事件导致第二威胁告警事件发生的概率。确定预设时间段中所有时间窗口下概率的最小值为第一威胁告警事件和第二威胁告警事件的关联强度。
15、一种可能的实现方式,本申请实施例提供的工业日志分析方法,还可以包括:将工业设备的日志数据的处理逻辑和参数分离。将工业现场日志数据的处理逻辑和参数分离。存储工业设备的日志数据的处理逻辑和参数、工业现场日志数据的处理逻辑和参数。
16、第二方面,本申请实施例提供了一种工业日志分析装置,该装置包括:获取模块、处理模块。
17、其中,获取模块,用于获取工业设备的日志数据和工业现场日志数据;
18、处理模块,用于若所述日志数据的特征值与基线特征知识库不匹配时,确定所述日志数据为异常行为日志数据;利用所述工业现场日志数据、所述异常行为日志数据和关联规则知识库,确定所述异常行为日志数据中的多个威胁告警日志;对所述多个威胁告警日志进行关联分析,确定所述日志数据对应的工业安全事件。
19、第三方面,本申请提供了一种工业日志分析设备,该工业日志分析设备具有实现上述第一方面或任一种可能的实现方式的工业日志分析方法的功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。
20、第四方面,提供了一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机可以执行上述第一方面或任一种可能的实现方式的工业日志分析方法。
21、第五方面,提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机可以执行上本文档来自技高网...
【技术保护点】
1.一种工业日志分析方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述日志数据包括以下一个或多个:网络通信日志数据、协议通信日志数据和工业关键事件日志数据;所述若所述日志数据的特征值与基线特征知识库不匹配时,确定所述日志数据为异常行为日志数据,包括:
3.根据权利要求2所述的方法,其特征在于,所述基线特征知识库的构建过程包括:
4.根据权利要求2所述的方法,其特征在于,所述基于所述网络通信日志数据、协议通信日志数据和工业关键事件日志数据的时间维度,确定所述网络通信日志数据、协议通信日志数据和工业关键事件日志数据的特征值,包括:
5.根据权利要求1所述的方法,其特征在于,所述利用所述工业现场日志数据、所述异常行为日志数据和关联规则知识库,确定所述异常行为日志数据中的多个威胁告警日志,包括:
6.根据权利要求1所述的方法,其特征在于,所述对所述多个威胁告警日志进行关联分析,确定所述日志数据对应的安全事件,包括:
7.根据权利要求6所述的方法,其特征在于,第一威胁告警事件和第二威胁告警
8.根据权利要求1所述的方法,其特征在于,所述方法还包括:
9.一种工业日志分析装置,其特征在于,所述装置包括:
10.一种工业日志分析设备,其特征在于,所述工业日志分析设备包括处理器和存储器,所述存储器存储有能够被所述处理器执行的机器可执行指令,所述处理器执行所述机器可执行指令以实现权利要求1至8中任一项所述的工业日志分析方法。
11.一种机器可读存储介质,其特征在于,所述机器可读存储介质存储有机器可执行指令,所述机器可执行指令在被处理器调用和执行时,所述机器可执行指令促使处理器实现权利要求1至8中任一项所述的工业日志分析方法。
...【技术特征摘要】
1.一种工业日志分析方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述日志数据包括以下一个或多个:网络通信日志数据、协议通信日志数据和工业关键事件日志数据;所述若所述日志数据的特征值与基线特征知识库不匹配时,确定所述日志数据为异常行为日志数据,包括:
3.根据权利要求2所述的方法,其特征在于,所述基线特征知识库的构建过程包括:
4.根据权利要求2所述的方法,其特征在于,所述基于所述网络通信日志数据、协议通信日志数据和工业关键事件日志数据的时间维度,确定所述网络通信日志数据、协议通信日志数据和工业关键事件日志数据的特征值,包括:
5.根据权利要求1所述的方法,其特征在于,所述利用所述工业现场日志数据、所述异常行为日志数据和关联规则知识库,确定所述异常行为日志数据中的多个威胁告警日志,包括:
6.根据权利要求1所述的方法,其特征在于,所述对所述多个威胁告警日志进行关联分...
【专利技术属性】
技术研发人员:白涛,章旋,潘根,刘志勇,朱玉昊,赵瑜,尤文康,
申请(专利权)人:中国联合重型燃气轮机技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。