本发明专利技术提供一种基于环境的日志分析转换方法及装置,所述方法包括:建立日志分析转换规则,通过病毒类型的hash值建立hash列表,所述hash列表中的每个hash值节点对应至少一种传输协议类型及转换规则;获取反病毒引擎发送的病毒日志信息中的病毒类型并计算hash值,及传输协议类型,与转换规则中的hash值节点及传输协议类型匹配,若匹配成功,则根据传输协议类型对应的转换规则,对病毒日志信息进行修改,否则结束本条日志分析;若hash列表匹配失败,则结束本条日志分析。通过本发明专利技术方法及装置,将反病毒引擎的判断结果与网络流量信息中的传输协议相结合,对病毒进行二次判断并将反病毒引擎判断错误的病毒日志信息进行修改。
【技术实现步骤摘要】
本专利技术涉及计算机网络病毒领域,特别涉及一种基于环境的日志分析转换方法及 装置。
技术介绍
计算机病毒的传播是需要介质的,随着互联网的发展与壮大,计算机病毒传播的主要媒介也从移动存储传播转向了网络传播。目前每年所监控到的病毒数量正在以一年近一倍的速度在增长。并且随着网络上通讯方式的增加,计算机病毒正在以更多样化的形式出现在我们面前。一些病毒也正在从一种,衍生成为一类。网络协议是为计算机网络中进行数据交换而建立的规则、标准或约定的集合。病毒的传播也是数据交换,所以在传播过程中也会使用到某一种协议。在对网络流量的监控中,一种协议代表着一种数据交换方式,有时甚至可以精确到一种特定数据交换行为。在现有的病毒判定过程中,病毒样本经过反病毒引擎的扫描之后确定其特征,根据病毒特征,给出其病毒类型。而对于同一类病毒,它们可能有着相似的特征,但是传播途径不一,因此反病毒引擎也会做出错误的判断,再例如一些高风险的文件传输是我们已知并且需要的,那么这种情况则不能判断为病毒而后上报。
技术实现思路
本专利技术提供了一种基于环境的日志分析转换方法及装置,解决了计算机病毒网络流量病毒前端捕获体系中,反病毒引擎产生误报的问题。—种基于环境的日志分析转换方法,包括 建立日志分析转换规则,通过病毒类型的hash值建立hash列表,所述hash列表中的每个hash值节点对应至少一种传输协议类型及转换规则; 获取反病毒引擎发送的病毒日志信息,所述病毒日志信息中至少包括病毒类型、传输协议类型及日志类型; 读取病毒日志信息中病毒类型并计算病毒类型hash值,与日志分析转换规则中的hash列表匹配,若匹配成功,则进一步获取病毒日志信息中传输协议类型,与hash值节点中的传输协议类型匹配,若匹配成功,则根据传输协议类型对应的转换规则,对病毒日志信息进行修改,否则结束本条日志分析;若hash列表匹配失败,则结束本条日志分析。所述的方法中,所述的hash列表中的每个hash值节点对应至少一种传输协议类型及转换规则中,所述的协议类型为与hash值对应的病毒类型的传输协议不符的传输协议类型,且每一传输协议类型对应一个转换规则。所述的方法中,所述传输协议类型及转换规则以红黑树方式存储在对应hash值节点中。所述的方法中,所述的日志分析转换规则可扩展。一种基于环境的日志分析转换装置,包括存储模块,用于存储建立的日志分析转换规则,通过病毒类型的hash值建立hash列表,所述hash列表中的每个hash值节点对应至少一种传输协议类型及转换规则; 获取模块,用于获取反病毒引擎发送的病毒日志信息,所述病毒日志信息中至少包括病毒类型、传输协议类型及日志类型; 读取模块,用于读取病毒日志信息中病毒类型并计算病毒类型hash值; 匹配模块,用于将读取模块计算的病毒类型hash值与日志分析转换规则中的hash列表匹配,若匹配成功,则进一步获取病毒日志信息中传输协议类型,与hash值节点中的传输协议类型匹配,若匹配成功,则根据传输协议类型对应的转换规则,对病毒日志信息进行修改,否则结束本条日志分析;若hash列表匹配失败,则结束本条日志分析。所述的装置中,所述的hash列表中的每个hash值节点对应至少一种传输协议类型及转换规则中,所述的协议类型为与hash值对应的病毒类型的传输协议不符的传输协 议类型,且每一传输协议类型对应一个转换规则。所述的装置中,所述传输协议类型及转换规则以红黑树方式存储在对应hash值节点中。所述的装置中,所述的日志分析转换规则可扩展。本专利技术提供一种基于环境的日志分析转换方法及装置,所述方法包括建立日志分析转换规则,通过病毒类型的hash值建立hash列表,所述hash列表中的每个hash值节点对应至少一种传输协议类型及转换规则;获取反病毒引擎发送的病毒日志信息中的病毒类型并计算hash值,及传输协议类型,与转换规则中的hash值节点及传输协议类型匹配,若匹配成功,则根据传输协议类型对应的转换规则,对病毒日志信息进行修改,否则结束本条日志分析;若hash列表匹配失败,则结束本条日志分析。通过本专利技术方法及装置,将反病毒引擎的判断结果与网络流量信息中的传输协议相结合,对病毒进行二次判断并将反病毒引擎判断错误的病毒日志信息进行修改。附图说明为了更清楚地说明本专利技术或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图I为一种基于环境的日志分析转换方法流程 图2为一种基于环境的日志分析转换装置结构示意图。具体实施例方式为了使本
的人员更好地理解本专利技术实施例中的技术方案,并使本专利技术的上述目的、特征和优点能够更加明显易懂,下面结合附图对本专利技术中技术方案作进一步详细的说明。本专利技术提供了一种基于环境的日志分析转换方法及装置,解决了计算机病毒网络流量病毒前端捕获体系中,反病毒引擎产生误报的问题。—种基于环境的日志分析转换方法,如图I所不,包括5101:建立日志分析转换规则,通过病毒类型的hash值建立hash列表,所述hash列表中的每个hash值节点对应至少一种传输协议类型及转换规则; 5102:获取反病毒引擎发送的病毒日志信息,所述病毒日志信息中至少包括病毒类型、传输协议类型及日志类型; S103读取病毒日志信息中病毒类型并计算病毒类型hash值,与日志分析转换规则中的hash列表匹配,若匹配成功,则执行S104,否则执行S106 ; 5104:获取病毒日志信息中传输协议类型,与hash值节点中的传输协议类型匹配,若匹配成功,则执行S105,否则执行S106 ; 5105:根据传输协议类型对应的转换规则,对病毒日志信息进行修改; 5106:结束本条日志分析。当病毒类型的hash值及传输协议类型均匹配成功,则说明反病毒引擎对该条病毒日志信息所记录的病毒为误报。所述方法可对反病毒引擎发送的病毒日志信息进行逐条分析,直至病毒日志结束。所述的方法中,所述的hash列表中的每个hash值节点对应至少一种传输协议类型及转换规则中,所述的协议类型为与hash值对应的病毒类型的传输协议不符的传输协议类型,且每一传输协议类型对应一个转换规则。所述的方法中,所述传输协议类型及转换规则以红黑树方式存储在对应hash值节点中。本专利技术方法中,每个hash值节点中使用红黑树方式存储传输协议类型及对应转换规则,在 传输协议匹配的过程中具有较高的匹配效率,当然本领域其他技术人员可以想到其他类型的数据结构,用于对不同其他特征的分析转换规则进行扩展。所述的方法中,所述的日志分析转换规则可扩展。为理解上述专利技术方法,对专利技术方法进行举例说明,但该实例并不影响本专利技术方法的范围。例如正常邮件传输所使用到的传输协议为P0P3、SMTP或IMAP等,在日志分析转换规则中,邮件病毒所对应的hash值节点中,存储所有邮件传输所使用的传输协议及对应转换规则,当检测到病毒日志信息中日志类型的hash值所对应的为邮件病毒时,将该条病毒日志信息中的传输协议与hash值节点中存储的传输协议相匹配,若匹配成功,则本文档来自技高网...
【技术保护点】
一种基于环境的日志分析转换方法,其特征在于,包括:建立日志分析转换规则,通过病毒类型的hash值建立hash列表,所述hash列表中的每个hash值节点对应至少一种传输协议类型及转换规则;获取反病毒引擎发送的病毒日志信息,所述病毒日志信息中至少包括病毒类型、传输协议类型及日志类型;读取病毒日志中病毒类型并计算病毒类型hash值,与日志分析转换规则中的hash列表匹配,若匹配成功,则进一步获取病毒日志信息中传输协议类型,与hash值节点中的传输协议类型匹配,若匹配成功,则根据传输协议类型对应的转换规则,对病毒日志信息进行修改,否则结束本条日志分析;若hash列表匹配失败,则结束本条日志分析。
【技术特征摘要】
【专利技术属性】
技术研发人员:肖新光,邢梓宸,刘凡,邱勇良,
申请(专利权)人:北京安天电子设备有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。