CN106603304A - 一种虚拟化管理***事件日志处理方法及装置 - Google Patents
一种虚拟化管理***事件日志处理方法及装置 Download PDFInfo
- Publication number
- CN106603304A CN106603304A CN201611260364.9A CN201611260364A CN106603304A CN 106603304 A CN106603304 A CN 106603304A CN 201611260364 A CN201611260364 A CN 201611260364A CN 106603304 A CN106603304 A CN 106603304A
- Authority
- CN
- China
- Prior art keywords
- data
- behavior
- management system
- daily record
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明实施例公开了一种虚拟化管理***事件日志处理方法,通过提取虚拟化管理***运行过程中包括用户操作行为以及***操作行为的原始事件日志数据;然后对这些原始事件日志数据进行预处理,生成适用于数据关联规则分析格式日志数据;根据预设的数据关联规则对这些处理后的日志数据分析以确定用户的操作行为模式。本申请的优点在于利用成熟的关联规则算法,通过分析事件日志来实现对***运行过程中行为的控制,从而准确的对当前用户或***的行为进行分析,有效的解决虚拟管理***的安全防护问题,保证虚拟化管理***的安全稳定运行。此外,本发明实施例还提供了相应的实现装置,进一步使得所述方法更具有实用性,所述装置具有相应的优点。
Description
技术领域
本发明涉及虚拟化管理领域,特别是涉及一种虚拟化管理***事件日志处理方法及装置。
背景技术
随着信息化的深入发展,特别是云计算、大数据等新型IT商业模式的逐步应用,虚拟化在信息化***中得到了日益广泛的应用。
作为一种使计算机脱离真实设备的技术,虚拟化具备非常多优势,用户可以用同样的成本满足更多信息处理的需求,进而节省成本。此外,虚拟化技术使得企业可以整合运行在单一服务器、多个***上的应用软件,这就简化了管理需求,并使得IT硬件资源更好的被利用。然而,虚拟化的广泛应用使得其管理环境有很大的变化,在物理机上适用的管理模式一旦迁移到虚拟机上,往往就会出现很大的问题,例如一台主机容易遭受攻击,那么所有的客户机以及虚拟机上的企业应用软件也同样处于危险中。在传统的架构中,如果一台服务器受到安全威胁,那么只会使该服务器上的工作负载面临险境,但是在虚拟化数据中心,如果一台虚拟化服务器遭受攻击,那么将会影响该服务器上所有的虚拟机。
可见,虚拟化服务器比物理服务器的安全性要低,所以如何解决虚拟化安全防护问题是虚拟化管理***的关键。
发明内容
本发明实施例的目的是提供一种虚拟化管理***事件日志处理方法及装置,以解决虚拟化管理***安全防护的问题。
为解决上述技术问题,本发明实施例提供以下技术方案:
本发明实施例一方面提供了一种虚拟化管理***事件日志处理方法,包括:
提取虚拟化管理***运行过程中包括用户操作行为以及***操作行为的原始事件日志数据;
对所述原始事件日志数据进行数据预处理,生成适用于数据关联规则分析格式的处理后日志数据;
根据预设的数据关联规则,对所述处理后日志数据进行关联规则分析,确定用户的操作行为模式。
优选的,所述根据预设的数据关联规则,对所述处理后日志数据进行关联规则分析,确定用户的操作行为模式包括:
根据预设的最小支持度阈值从所述处理后日志数据中找出满足条件的高频日志项目集;
根据预设的最小置信度阈值从所述高频日志项目集中确定强关联规则,确定用户的操作行为模式。
优选的,所述对所述原始事件日志数据进行数据预处理包括:
对所述原始事件日志数据进行数据清洗,剔除数据中的冗余项或异常项;
对所述原始事件日志数据中不完整数据项进行填充,并进行数据归类;
将不同的数据格式进行归一化处理,生成适用于数据关联规则分析格式的处理后日志数据。
优选的,在所述确定用户的操作行为模式之后还包括:
实时检测当前用户的操作行为;
对所述当前用户的操作行为进行判断,当所述当前用户的操作行为不符合所述用户的操作行为模式时,判定所述当前用户的操作行为为异常行为。
优选的,在所述判定所述当前用户的操作行为为异常行为之后还包括:
对产生的异常行为进行定位,生成提示***存在异常行为的提示信息。
本发明实施例另一方面提供了一种虚拟化管理***事件日志处理装置,包括:
数据提取模块,用于提取虚拟化管理***运行过程中包括用户操作行为以及***操作行为的原始事件日志数据;
数据预处理模块,用于对所述原始事件日志数据进行数据预处理,生成适用于数据关联规则分析格式的处理后日志数据;
数据分析模块,用于根据预设的数据关联规则,对所述处理后日志数据进行关联规则分析,确定用户的操作行为模式。
优选的,所述数据分析模块包括:
第一分析单元,用于根据预设的最小支持度阈值从所述处理后日志数据中找出满足条件的高频日志项目集;
第二分析单元,用于根据预设的最小置信度阈值从所述高频日志项目集中确定强关联规则,确定用户的操作行为模式。
优选的,所述数据预处理模块包括:
数据清洗单元,用于对所述原始事件日志数据进行数据清洗,剔除数据中的冗余项或异常项;
归类单元,用于对所述原始事件日志数据中不完整数据项进行填充,并进行数据归类;
格式转换单元,用于将不同的数据格式进行归一化处理,生成适用于数据关联规则分析格式的处理后日志数据。
优选的,还包括:
检测模块,用于实时检测当前用户的操作行为;
异常判断模块,用于对所述当前用户的操作行为进行判断,当所述当前用户的操作行为不符合所述用户的操作行为模式时,判定所述当前用户的操作行为为异常行为。
优选的,还包括:
提示模块,用于在判定所述当前用户的操作行为为异常行为之后,对产生的异常行为进行定位,生成提示***存在异常行为的提示信息。
本发明实施例提供了一种虚拟化管理***事件日志处理方法,通过提取虚拟化管理***运行过程中包括用户操作行为以及***操作行为的原始事件日志数据;然后对这些原始事件日志数据进行预处理,生成适用于数据关联规则分析格式日志数据;根据预设的数据关联规则对这些处理后的日志数据分析以确定用户的操作行为模式。本申请的优点在于利用成熟的关联规则算法,通过分析事件日志来实现对***运行过程中行为的控制,即通过确定操作行为模式为标准,对用户当前的操作行为与操作行为模式进行匹配,从而准确的对当前用户或***的行为进行分析,有效的解决了虚拟管理***的安全防护问题,提高了***资源的安全性,从而保证虚拟化管理***的安全稳定运行。此外,本发明实施例还针对虚拟化管理***事件日志处理方法提供了相应的实现装置,进一步使得所述方法更具有实用性,所述装置具有相应的优点。
附图说明
为了更清楚的说明本发明实施例或现有技术的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种虚拟化管理***事件日志处理方法的流程示意图;
图2为本发明实施例提供的另一种虚拟化管理***事件日志处理方法的流程示意图;
图3为本发明实施例提供的虚拟化管理***事件日志处理装置的一种具体实施方式的结构图;
图4为本发明实施例提供的虚拟化管理***事件日志处理装置的另一种具体实施方式的结构图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面结合附图和具体实施方式对本发明作进一步的详细说明。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”“第四”等是用于区别不同的对象,而不是用于描述特定的顺序。此外术语“包括”和“具有”以及他们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、***、产品或设备没有限定于已列出的步骤或单元,而是可包括没有列出的步骤或单元。
本申请的发明人经过研究发现,虚拟化***将大量的计算资源、存储资源以及软件资源链接在一起,形成能够共享的大规模的虚拟资源池。如何有效的分析虚拟化***资源的用户操作行为,发现用户的行为模式,分析异常行为对提高***资源的安全性有重要的意义。
日志文件是用于记录***操作事件的记录文件或文件集合,操作***有操作***日志文件,数据库***有数据库***日志文件。***日志文件是包含关于***消息的文件,包括内核、服务、在***上运行的应用程序等。不同的日志文件记载不同的信息。例如,有的是默认的***日志文件,有的记载特定任务。可见,事件日志是帮助***运行管理的重要工具,在***运行过程中会产生大量的日志信息,记录***中用户的操作行为的信息,这些日志信息会按照时间顺序排列。所以,通过对这些日志记录进行分析可在一定程度上还原该***曾经的操作行为,可用来作为准确分析用户行为的内容。
关联规则是形如X→Y的蕴涵式,其中,X和Y分别称为关联规则的先导和后继,关联规则XY,存在支持度和信任度。关联规则已经被广泛应用于数据挖掘技术领域中。举例来说,关联规则挖掘技术应用在金融行业企业中,它可以成功预测银行客户需求。一旦获得了这些信息,银行就可以改善自身营销。银行天天都在开发新的沟通客户的方法。各银行在自己的ATM机上就捆绑了顾客可能感兴趣的本行产品信息,供使用本行ATM机的用户了解。如果数据库中显示,某个高信用限额的客户更换了地址,这个客户很有可能新近购买了一栋更大的住宅,因此会有可能需要更高信用限额,更高端的新***,或者需要一个住房改善贷款,这些产品都可以通过***账单邮寄给客户。当客户打电话咨询的时候,数据库可以有力地帮助电话销售代表。销售代表的电脑屏幕上可以显示出客户的特点,同时也可以显示出顾客会对什么产品感兴趣。
假设I={I1,I2,……,Im}是项的集合,给定一个交易数据库D,其中每个事务是I的非空子集,即,每一个交易都与一个唯一的标识符对应。关联规则在D中的支持度是D中事务同时包含X、Y的百分比,即概率;置信度是D中事务已经包含X的情况下,包含Y的百分比,即条件概率。如果满足预设的支持度阈值和预设的置信度阈值,则认为关联规则是有意义的。这些阈值可根据挖掘的实际需要来设定。
表1
用一个简单的例子说明。表1是顾客购买记录的数据库D,包含6个事务。项集I={网球拍,网球,运动鞋,羽毛球}。考虑关联规则:网球拍与网球,事务1,2,3,4,6包含网球拍,事务1,2,6同时包含网球拍和网球,X^Y=3,D=6,支持度(X^Y)/D=0.5;X=5,置信度(X^Y)/X=0.6。若给定最小支持度α=0.5,最小置信度β=0.6,则认为购买网球拍和购买网球之间存在关联。
由上可见,可通过利用关联规则对事件日志数据进行挖掘分析,从而实现对用户操作行为模式的分析。
鉴于此,本申请通过提取虚拟化管理***运行过程中包括用户操作行为以及***操作行为的原始事件日志数据;然后对这些原始事件日志数据进行预处理,生成适用于数据关联规则分析格式日志数据;根据预设的数据关联规则对这些处理后的日志数据分析以确定用户的操作行为模式。
在介绍了本发明实施例的技术方案后,下面详细的说明本申请的各种非限制性实施方式。
首先请参见图1,图1为本发明实施例提供的一种虚拟化管理***事件日志处理方法的流程示意图,本发明实施例可包括以下内容:
S101:提取虚拟化管理***运行过程中包括用户操作行为以及***操作行为的原始事件日志数据。
虚拟化管理***会记录在运行过程中涉及到的操作行为,具体的可包括操作用户、操作时间、操作行为、操作目标等信息,操作用户可为工作人员(技术人员),也可为***自身,然后按照执行时间顺序将这些信息存放入数据库中。这些行为信息即为原始的日志数据。
举例来说,在2016年12月29号,数据库管理员张三将新入职的员工信息表存储到公司的人事记录数据库中。在此操作过程中,***的日志就会自动将2016年12月29号、张三作为操作时间与操作用户记录在事件日志中。
S102:对所述原始事件日志数据进行数据预处理,生成适用于数据关联规则分析格式的处理后日志数据。
利用关联规则分析算法进行数据挖掘分析时,关联变量的格式应满足该算法的要求,故在进行分析之前,可对原始事件日志进行预处理,以提高算法分析的准确性与效率。
具体的,可包括:
对原始事件日志数据进行数据清洗,剔除数据中的冗余项或异常项;对原始事件日志数据中不完整数据项进行填充,并进行数据归类;将不同的数据格式进行归一化处理,生成适用于数据关联规则分析格式的处理后日志数据。当然,还可进行其他数据处理,本发明对此不做任何限定。
举例来说,对于员工信息表中记录员工姓名、照片、性别、年龄、籍贯以及职务;当对于一张员工信息表中,多次出现同一个年龄时,就对其进行清洗,仅保留一个年龄信息,将其与的都删除掉;当性别的记录中出现非男非女时,就判定其为异常项,将其清洗,相应的,就需要进行补充该项数据以保证员工信息表的完整;当员工信息表中的照片信息中,照片的格式有例如tif,gif,bmp或者png等多种格式,可将其都统一为预设照片的格式如tif。
S103:根据预设的数据关联规则,对所述处理后日志数据进行关联规则分析,确定用户的操作行为模式。
具体的关联规则可为:
根据预设的最小支持度阈值从处理后日志数据中找出满足条件的高频日志项目集;根据预设的最小置信度阈值从所述高频日志项目集中确定强关联规则,确定用户的操作行为模式。
即关联规则挖掘过程可包含两个阶段:第一阶段先从事件日志中找出所有的高频日志项目集,第二阶段再由这些高频日志项目集中产生关联规则。
高频的意思是指某一项目集出现的频率相对于所有记录而言,必须达到某一水平(最小的支持度阈值)。项目集出现的频率称为支持度,以一个包含A与B两个项目的2-itemset为例,可求得包含{A,B}项目集的支持度,若支持度大于等于所设定的最小支持度阈值时,则{A,B}称为高频项目集。
从高频项目集产生强关联规则,是利用高频项目集来产生规则,在最小置信度的阈值下,若一规则所求得的置信度满足最小置信度,称此规则为强关联规则。例如,经由高频项目集{A,B}所产生的规则AB,计算其置信度,若置信度大于等于最小置信度,则称AB为强关联规则。
需要说明的是,支持度阈值与置信度阈值相关技术人员可根据实际的项目的情况进行设定,本发明对此不做任何限定。
对于满足强规则关联规则的高频项目集中的记录操作行为即可确定为用户操作行为模式。举例来说,对于保存文档,在满足强规则关联规则的高频项目集中保存文档是通过快捷键ctrl+s进行保存的,那么就将保存文档的这个操作行为的模式确定为ctrl+s。当当前用户在保存文档时,操作行为不是ctrl+s,则判定其操作行为不属于用户的操作行为模式。
由上可知,本发明实施例利用成熟的关联规则算法,通过分析事件日志来实现对***运行过程中行为的控制,从而准确的对当前用户或***的行为进行分析,有效的解决了虚拟管理***的安全防护问题,提高了***资源的安全性,从而保证虚拟化管理***的安全稳定运行。
在上述实施例中确定了用户的行为模式,在实际操作过程中,可进一步对当前用户的行为进行跟踪来判断是否符合正常的行为,从而提高虚拟化管理***的安全性。请参见图2,图2为本发明实施例提供的另一种虚拟化管理***事件日志处理方法的流程示意图,具体的可包括以下内容:
S201-S203:具体的与实施例一的S101-S103所描述一致,此处不再赘述。
S204:实时检测当前用户的操作行为。
S205:对所述当前用户的操作行为进行判断,当所述当前用户的操作行为不符合所述用户的操作行为模式时,判定所述当前用户的操作行为为异常行为。
通过实时获取当前用户的操作行为,并将用户的操作行为与同一类型的操作行为模式进行匹配,如果当前行为与行为模式不匹配,则判定其为异常行为。
举例来说,假如保存文档的操作行为模式为ctrl+s,如果当前用户在保存文档时,通过点击菜单栏中的保存符号进行保存文档的,可见该用户的操作行为不是ctrl+s,则认为其操作行为不属于用户的操作行为模式,则判定为异常行为。
可选的,在本发明实施例的一种实施方式中,所述方法例如还可包括:
S206:对产生的异常行为进行定位,生成提示***存在异常行为的提示信息。
对于某些特殊情况,例如工作人员在探索更为简单的操作流程时,所实施的操作行为与正常的用户操作行为模式必然不同,***会自动将工作人员的这些行为判定为异常行为,而判定为异常行为后,工作人员就无法正常的在管理***中进行操作,这样势必就会因误判给工作人员带来不便,降低工作人员的工作效率。
鉴于此,对异常的行为进行定位,可甄别异常行为是可允许人员的行为还是入侵者的行为,如果是可允许人员的异常行为,可认为不属于异常行为,不对实施者做任何限制;而当判定为入侵者的行为时,判定其为异常行为,对其操作行为进行限制,以防止其侵入管理***,进而破坏管理***。
通过对用户当前的操作行为进行跟踪判断,可快速的甄别出异常的用户的行为,进一步的对异常的行为进行定位,可快速的发现异常目标,快速阻止异常目标进入管理***,从而保证虚拟化管理***的安全性,提高***资源的安全性,保证虚拟化管理***的正常运行。
本发明实施例还针对虚拟化管理***事件日志处理方法提供了相应的实现装置,进一步使得所述方法更具有实用性。下面对本发明实施例提供的虚拟化管理***事件日志处理装置进行介绍,下文描述的虚拟化管理***事件日志处理装置与上文描述的虚拟化管理***事件日志处理方法可相互对应参照。
请参见图3,图3为本发明实施例提供的一种虚拟化管理***事件日志处理装置在一种具体实施方式的结构图,该装置可包括:
数据提取模块301,用于提取虚拟化管理***运行过程中包括用户操作行为以及***操作行为的原始事件日志数据;
数据预处理模块302,用于对所述原始事件日志数据进行数据预处理,生成适用于数据关联规则分析格式的处理后日志数据;
数据分析模块303,用于根据预设的数据关联规则,对所述处理后日志数据进行关联规则分析,确定用户的操作行为模式。
可选的,在本实施例的一些实施方式中,所述数据分析模块403例如可以包括:
第一分析单元3031,用于根据预设的最小支持度阈值从所述处理后日志数据中找出满足条件的高频日志项目集;
第二分析单元3032,用于根据预设的最小置信度阈值从所述高频日志项目集中确定强关联规则,确定用户的操作行为模式。
可选的,在本实施例的另一些实施方式中,所述数据预处理模块302例如可以包括:
数据清洗单元3021,用于对所述原始事件日志数据进行数据清洗,剔除数据中的冗余项或异常项;
归类单元3022,用于对所述原始事件日志数据中不完整数据项进行填充,并进行数据归类;
格式转换单元3023,用于将不同的数据格式进行归一化处理,生成适用于数据关联规则分析格式的处理后日志数据。
本发明实施例所述虚拟化管理***事件日志处理装置的各功能模块的功能可根据上述方法实施例中的方法具体实现,其具体实现过程可以参照上述方法实施例的相关描述,此处不再赘述。
由上可知,本发明实施例利用成熟的关联规则算法,通过分析事件日志来实现对***运行过程中行为的控制,从而准确的对当前用户或***的行为进行分析,有效的解决了虚拟管理***的安全防护问题,提高了***资源的安全性,从而保证虚拟化管理***的安全稳定运行。
请参阅图4,本申请还提供了另外一种实施方式,在本实施例中的数据提取模块401、数据预处理模块402、数据分析模块403与上述实施例的301-303模块的功能相同,此处就不再赘述。
在上述实施例的基础上还可包括:
检测模块404,用于实时检测当前用户的操作行为。
异常判断模块405,用于对所述当前用户的操作行为进行判断,当所述当前用户的操作行为不符合所述用户的操作行为模式时,判定所述当前用户的操作行为为异常行为。
提示模块406,用于在判定所述当前用户的操作行为为异常行为之后,对产生的异常行为进行定位,生成提示***存在异常行为的提示信息。
本发明实施例所述虚拟化管理***事件日志处理装置的各功能模块的功能可根据上述方法实施例中的方法具体实现,其具体实现过程可以参照上述方法实施例的相关描述,此处不再赘述。
通过对用户当前的操作行为进行跟踪判断,可快速的甄别出异常的用户行为;进一步的,对异常的行为进行定位,可快速的发现异常目标,快速阻止异常目标进入管理***,从而保证虚拟化管理***的安全性,提高***资源的安全性,保证虚拟化管理***的正常运行。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上对本发明所提供的一种虚拟化管理***事件日志处理方法以及装置进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。
Claims (10)
1.一种虚拟化管理***事件日志处理方法,其特征在于,包括:
提取虚拟化管理***运行过程中包括用户操作行为以及***操作行为的原始事件日志数据;
对所述原始事件日志数据进行数据预处理,生成适用于数据关联规则分析格式的处理后日志数据;
根据预设的数据关联规则,对所述处理后日志数据进行关联规则分析,确定用户的操作行为模式。
2.如权利要求1所述的虚拟化管理***事件日志处理方法,其特征在于,所述根据预设的数据关联规则,对所述处理后日志数据进行关联规则分析,确定用户的操作行为模式包括:
根据预设的最小支持度阈值从所述处理后日志数据中找出满足条件的高频日志项目集;
根据预设的最小置信度阈值从所述高频日志项目集中确定强关联规则,确定用户的操作行为模式。
3.如权利要求2所述的虚拟化管理***事件日志处理方法,其特征在于,所述对所述原始事件日志数据进行数据预处理包括:
对所述原始事件日志数据进行数据清洗,剔除数据中的冗余项或异常项;
对所述原始事件日志数据中不完整数据项进行填充,并进行数据归类;
将不同的数据格式进行归一化处理,生成适用于数据关联规则分析格式的处理后日志数据。
4.如权利要求1至3任一项所述的虚拟化管理***事件日志处理方法,其特征在于,在所述确定用户的操作行为模式之后还包括:
实时检测当前用户的操作行为;
对所述当前用户的操作行为进行判断,当所述当前用户的操作行为不符合所述用户的操作行为模式时,判定所述当前用户的操作行为为异常行为。
5.如权利要求4所述的虚拟化管理***事件日志处理方法,其特征在于,在所述判定所述当前用户的操作行为为异常行为之后还包括:
对产生的异常行为进行定位,生成提示***存在异常行为的提示信息。
6.一种虚拟化管理***事件日志处理装置,其特征在于,包括:
数据提取模块,用于提取虚拟化管理***运行过程中包括用户操作行为以及***操作行为的原始事件日志数据;
数据预处理模块,用于对所述原始事件日志数据进行数据预处理,生成适用于数据关联规则分析格式的处理后日志数据;
数据分析模块,用于根据预设的数据关联规则,对所述处理后日志数据进行关联规则分析,确定用户的操作行为模式。
7.如权利要求6所述的虚拟化管理***事件日志处理装置,其特征在于,所述数据分析模块包括:
第一分析单元,用于根据预设的最小支持度阈值从所述处理后日志数据中找出满足条件的高频日志项目集;
第二分析单元,用于根据预设的最小置信度阈值从所述高频日志项目集中确定强关联规则,确定用户的操作行为模式。
8.如权利要求7所述的虚拟化管理***事件日志处理装置,其特征在于,所述数据预处理模块包括:
数据清洗单元,用于对所述原始事件日志数据进行数据清洗,剔除数据中的冗余项或异常项;
归类单元,用于对所述原始事件日志数据中不完整数据项进行填充,并进行数据归类;
格式转换单元,用于将不同的数据格式进行归一化处理,生成适用于数据关联规则分析格式的处理后日志数据。
9.如权利要求6至8任一项所述的虚拟化管理***事件日志处理装置,其特征在于,还包括:
检测模块,用于实时检测当前用户的操作行为;
异常判断模块,用于对所述当前用户的操作行为进行判断,当所述当前用户的操作行为不符合所述用户的操作行为模式时,判定所述当前用户的操作行为为异常行为。
10.如权利要求9所述的虚拟化管理***事件日志处理装置,其特征在于,还包括:
提示模块,用于在判定所述当前用户的操作行为为异常行为之后,对产生的异常行为进行定位,生成提示***存在异常行为的提示信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611260364.9A CN106603304A (zh) | 2016-12-30 | 2016-12-30 | 一种虚拟化管理***事件日志处理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611260364.9A CN106603304A (zh) | 2016-12-30 | 2016-12-30 | 一种虚拟化管理***事件日志处理方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106603304A true CN106603304A (zh) | 2017-04-26 |
Family
ID=58581607
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611260364.9A Pending CN106603304A (zh) | 2016-12-30 | 2016-12-30 | 一种虚拟化管理***事件日志处理方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106603304A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111209314A (zh) * | 2020-01-13 | 2020-05-29 | 国网浙江省电力有限公司信息通信分公司 | 一种电力信息***海量日志数据实时处理*** |
| CN111831528A (zh) * | 2020-07-17 | 2020-10-27 | 浪潮商用机器有限公司 | 一种计算机***日志关联方法及相关装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102724176A (zh) * | 2012-02-23 | 2012-10-10 | 北京市计算中心 | 一种面向云计算环境的入侵检测*** |
| CN103824069A (zh) * | 2014-03-19 | 2014-05-28 | 北京邮电大学 | 一种基于多主机日志关联的入侵检测方法 |
| CN104038466A (zh) * | 2013-03-05 | 2014-09-10 | ***股份有限公司 | 用于云计算环境的入侵检测***、方法及设备 |
| CN105243008A (zh) * | 2015-11-02 | 2016-01-13 | 上海新炬网络信息技术有限公司 | 一种基于宿主机的虚拟机性能监控方法 |
| US20160110975A1 (en) * | 2012-01-08 | 2016-04-21 | Imagistar Llc | Intelligent Item Containers for Sensing, Monitoring, Remembering and Tracking Container Contents |
-
2016
- 2016-12-30 CN CN201611260364.9A patent/CN106603304A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160110975A1 (en) * | 2012-01-08 | 2016-04-21 | Imagistar Llc | Intelligent Item Containers for Sensing, Monitoring, Remembering and Tracking Container Contents |
| CN102724176A (zh) * | 2012-02-23 | 2012-10-10 | 北京市计算中心 | 一种面向云计算环境的入侵检测*** |
| CN104038466A (zh) * | 2013-03-05 | 2014-09-10 | ***股份有限公司 | 用于云计算环境的入侵检测***、方法及设备 |
| CN103824069A (zh) * | 2014-03-19 | 2014-05-28 | 北京邮电大学 | 一种基于多主机日志关联的入侵检测方法 |
| CN105243008A (zh) * | 2015-11-02 | 2016-01-13 | 上海新炬网络信息技术有限公司 | 一种基于宿主机的虚拟机性能监控方法 |
Non-Patent Citations (2)
| Title |
|---|
| 张辰: ""基于数据挖掘和蜜罐的新型入侵检测***研究"", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
| 李俊莉: "《电子信息环境下犯罪行为研究》", 31 October 2013, 中国人民公安大学出版社 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111209314A (zh) * | 2020-01-13 | 2020-05-29 | 国网浙江省电力有限公司信息通信分公司 | 一种电力信息***海量日志数据实时处理*** |
| CN111831528A (zh) * | 2020-07-17 | 2020-10-27 | 浪潮商用机器有限公司 | 一种计算机***日志关联方法及相关装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109347801B (zh) | 一种基于多源词嵌入和知识图谱的漏洞利用风险评估方法 | |
| CN109063966B (zh) | 风险账户的识别方法和装置 | |
| CN106371975B (zh) | 一种运维自动化预警方法和*** | |
| CN109816397A (zh) | 一种欺诈判别方法、装置及存储介质 | |
| US11568181B2 (en) | Extraction of anomaly related rules using data mining and machine learning | |
| CN107491983A (zh) | 一种微信客户行为反馈方法、设备及存储介质 | |
| CN105825094A (zh) | 管理从网络数据流量中发现的身份数据的方法和装置 | |
| CN113011889A (zh) | 账号异常识别方法、***、装置、设备及介质 | |
| CN107220867A (zh) | 对象控制方法及装置 | |
| US20220035839A1 (en) | Data item classification and organization in large data sets | |
| CN106844588A (zh) | 一种基于网络爬虫的用户行为数据的分析方法及*** | |
| CN108667678A (zh) | 一种基于大数据的运维日志安全检测方法及装置 | |
| CN110611655B (zh) | 一种黑名单筛选方法和相关产品 | |
| Las-Casas et al. | A big data architecture for security data and its application to phishing characterization | |
| Borkar et al. | Real or fake identity deception of social media accounts using recurrent neural network | |
| CN114942971A (zh) | 一种结构化数据的抽取方法及装置 | |
| CN106603304A (zh) | 一种虚拟化管理***事件日志处理方法及装置 | |
| CN109478219A (zh) | 用于显示网络分析的用户界面 | |
| CN109828995A (zh) | 一种基于视觉特征的图数据检测方法、*** | |
| CN114723548A (zh) | 数据处理方法、装置、设备、介质和程序产品 | |
| CN111581533A (zh) | 目标对象的状态识别方法、装置、电子设备和存储介质 | |
| Palaiokrassas et al. | Leveraging machine learning for multichain Defi fraud detection | |
| Sarosh | Machine Learning Based Hybrid Intrusion Detection ForVirtualized Infrastructures In Cloud Computing Environments | |
| US12015641B1 (en) | Malicious message classification using machine learning models | |
| Purushu et al. | Financial Fraud Detection adopting Distributed Deep Learning in Big Data |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170426 |