CN109327336B - 大量防火墙日志数据快速解析方法及设备 - Google Patents
大量防火墙日志数据快速解析方法及设备 Download PDFInfo
- Publication number
- CN109327336B CN109327336B CN201811178429.4A CN201811178429A CN109327336B CN 109327336 B CN109327336 B CN 109327336B CN 201811178429 A CN201811178429 A CN 201811178429A CN 109327336 B CN109327336 B CN 109327336B
- Authority
- CN
- China
- Prior art keywords
- data
- firewall log
- firewall
- log data
- regular
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 37
- 238000012545 processing Methods 0.000 claims abstract description 53
- 238000012795 verification Methods 0.000 claims abstract description 34
- 238000004458 analytical method Methods 0.000 claims abstract description 21
- 238000007405 data analysis Methods 0.000 claims description 9
- 238000004891 communication Methods 0.000 claims description 8
- 238000003860 storage Methods 0.000 claims description 6
- 238000001914 filtration Methods 0.000 claims description 4
- 238000006243 chemical reaction Methods 0.000 claims description 3
- 230000004069 differentiation Effects 0.000 claims 1
- 238000010168 coupling process Methods 0.000 abstract description 6
- 238000005859 coupling reaction Methods 0.000 abstract description 6
- 238000010586 diagram Methods 0.000 description 3
- 230000008878 coupling Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008094 contradictory effect Effects 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Debugging And Monitoring (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例提供了一种大量防火墙日志数据快速解析方法及设备。其中,所述方法包括:获取待解析防火墙日志数据,采集所述待解析防火墙日志数据中的正则数据,所述正则数据验证通过后,对通过验证的正则数据进行下标匹配,将通过验证及下标匹配后的正则数据,进行数据类型处理和/或内外网区分;根据数据类型处理和/或内外网区分后的正则数据,生成防火墙日志数据的解析结果集。本发明实施例提供的大量防火墙日志数据快速解析方法及设备,通过获取防火墙日志的正则数据,并对正则数据进行解析,可以低耦合、高效率及大批量的适配并解析防火墙日志数据。
Description
技术领域
本发明实施例涉及计算机技术领域,尤其涉及一种大量防火墙日志数据快速解析方法及设备。
背景技术
银行,企业,政府单位的互联网设备(例如,内网计算机集群)都有很多防火墙设备,每个防火墙设备发出的日志数据数量极大;基于防火墙日志的分析,可以提供多维度,粗细颗粒度的安全防护数据,为网络安全提供重量级的数据支撑。目前行业中没有整套的无损接收大量防火墙发出的日志数据并快速解析提取业务字段的方案。传统的接收大量防火墙发出日志数据解决方案,会有3万日志/s的数据量限制。但实际生产环境中防火墙发出的日志可能不止3万日志/s。就会造成日志数据大量丢失,对后续的业务造成严重的影响。与此同时,同一业务,同一厂商,每适配一种防火墙日志都需要修改代码,并对代码进行调试及测试。造成防火墙日志解析的高耦合,繁琐麻烦及效率不高等缺点。因此,找到一种能够低耦合、高效率及大批量的适配解析防火墙日志数据的方法,就成为业界广泛关注的问题。
发明内容
针对现有技术存在的上述问题,本发明实施例提供了一种大量防火墙日志数据快速解析方法及设备。
第一方面,本发明的实施例提供了一种大量防火墙日志数据快速解析方法,包括:获取待解析防火墙日志数据,采集所述待解析防火墙日志数据中的正则数据,所述正则数据验证通过后,对通过验证的正则数据进行下标匹配,将通过验证及下标匹配后的正则数据,进行数据类型处理和/或内外网区分;根据数据类型处理和/或内外网区分后的正则数据,生成防火墙日志数据的解析结果集。
进一步地,所述获取待解析防火墙日志数据,包括:对接收到的防火墙日志进行ip过滤,根据接收到的防火墙日志的header ip,获取待解析防火墙日志数据。
进一步地,所述采集所述待解析防火墙日志数据中的正则数据,包括:使用headerip从全局存在的序列化防火墙日志的正则数据中,采集所述待解析防火墙日志数据中的正则数据。
进一步地,在所述采集所述待解析防火墙日志数据中的正则数据之后,还包括:若一正则数据未通过验证,则匹配另一正则数据进行验证,直到验证完全部正则数据。
进一步地,所述对通过验证的正则数据进行下标匹配,还包括:若下标匹配失败,则发出匹配失败告警,告警的对象包括:header ip,log及过滤后的ip。
进一步地,所述进行数据类型处理,包括:将ip转换成long型和/或将协议号对应到相应的协议类型。
进一步地,在所述数据类型处理和/或内外网区分之后,还包括:对防火墙日志中不需要类型转换的正则数据和/或防火墙日志中没有包含的数据,赋默认值;其中,所述防火墙日志中没有包含的数据,应用在非防火墙日志数据解析业务中。
第二方面,本发明的实施例提供了一种大量防火墙日志数据快速解析装置,包括:防火墙日志数据解析模块,用于获取待解析防火墙日志数据,采集所述待解析防火墙日志数据中的正则数据,所述正则数据验证通过后,对通过验证的正则数据进行下标匹配,将通过验证并下标匹配后的正则数据,进行数据类型处理和/或内外网区分;防火墙日志数据的解析结果集生成模块,用于根据数据类型处理和/或内外网区分后的正则数据,生成防火墙日志数据的解析结果集。
第三方面,本发明的实施例提供了一种电子设备,包括:
至少一个处理器;以及
与处理器通信连接的至少一个存储器,其中:
存储器存储有可被处理器执行的程序指令,处理器调用程序指令能够执行第一方面的各种可能的实现方式中任一种可能的实现方式所提供的大量防火墙日志数据快速解析方法。
第四方面,本发明的实施例提供了一种非暂态计算机可读存储介质,非暂态计算机可读存储介质存储计算机指令,计算机指令使计算机执行第一方面的各种可能的实现方式中任一种可能的实现方式所提供的大量防火墙日志数据快速解析方法。
本发明实施例提供的大量防火墙日志数据快速解析方法及设备,通过获取防火墙日志的正则数据,并对正则数据进行解析,可以低耦合、高效率及大批量的适配并解析防火墙日志数据。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图做简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的大量防火墙日志数据快速解析方法流程图;
图2为本发明实施例提供的Storm处理单元工作原理示意图;
图3为本发明实施例提供的大量防火墙日志数据快速解析装置结构示意图;
图4为本发明实施例提供的电子设备的实体结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。另外,本发明提供的各个实施例或单个实施例中的技术特征可以相互任意结合,以形成可行的技术方案,但是必须是以本领域普通技术人员能够实现为基础,当技术方案的结合出现相互矛盾或无法实现时,应当认为这种技术方案的结合不存在,也不在本发明要求的保护范围之内。
本发明实施例提供了一种大量防火墙日志数据快速解析方法,参见图1,该方法包括:
101、获取待解析防火墙日志数据,采集所述待解析防火墙日志数据中的正则数据,所述正则数据验证通过后,对通过验证的正则数据进行下标匹配,将通过验证及下标匹配后的正则数据,进行数据类型处理和/或内外网区分;
102、根据数据类型处理和/或内外网区分后的正则数据,生成防火墙日志数据的解析结果集。其中,所述结果集中记录了防火墙日志的内容,其形式是解析过滤好的有顺序的字段集合。这些字段集合作为一个文件存储,每个文件最多100w数据,超过100w的情况下,就分成多个文件进行存储。
本发明实施例提供的大量防火墙日志数据快速解析方法,通过获取防火墙日志的正则数据,并对正则数据进行解析,可以低耦合、高效率及大批量的适配并解析防火墙日志数据。现有技术中,无损接收防火墙日志数据的极限是3万日志/s,采用本发明实施例的技术方案后,可以将无损接收防火墙日志数据的极限提升至15万日志/s,防火墙日志的解析提取速率也达到15万日志/s。
在上述实施例的基础上,本发明实施例中提供的大量防火墙日志数据快速解析方法,所述获取待解析防火墙日志数据,包括:对接收到的防火墙日志进行ip过滤,根据接收到的防火墙日志的header ip,获取待解析防火墙日志数据。
在上述实施例的基础上,本发明实施例中提供的大量防火墙日志数据快速解析方法,所述采集所述待解析防火墙日志数据中的正则数据,包括:使用header ip从全局存在的序列化防火墙日志的正则数据中,采集所述待解析防火墙日志数据中的正则数据。
在上述实施例的基础上,本发明实施例中提供的大量防火墙日志数据快速解析方法,在所述采集所述待解析防火墙日志数据中的正则数据之后,及所述正则数据验证通过后之前,还包括:若一正则数据未通过验证,则匹配另一正则数据进行验证,直到验证完全部正则数据。
在上述实施例的基础上,本发明实施例中提供的大量防火墙日志数据快速解析方法,所述对通过验证的正则数据进行下标匹配,还包括:若下标匹配失败,则发出匹配失败告警,告警的对象包括:header ip,log及过滤后的ip。
在上述实施例的基础上,本发明实施例中提供的大量防火墙日志数据快速解析方法,所述进行数据类型处理,包括:将ip转换成long型和/或将协议号对应到相应的协议类型。其中,协议类型包括但不限于:IP、ST、TCP、CBT、EGP、IGP、BBN-RCC-MON及NVP-II。
在上述实施例的基础上,本发明实施例中提供的大量防火墙日志数据快速解析方法,在所述数据类型处理和/或内外网区分之后,及根据数据类型处理和/或内外网区分后的正则数据,生成防火墙日志数据的解析结果集之前,还包括:对防火墙日志中不需要类型转换的正则数据和/或防火墙日志中没有包含的数据,赋默认值;其中,所述防火墙日志中没有包含的数据,应用在非防火墙日志数据解析业务中。
本发明的上述各个实施例中,防火墙日志数据的解析处理是通过Storm处理单元进行的,需要说明的是,该Storm处理单元可以随意对防火墙日志数据进行分发,分发对象为同级别处理单元以及下一级处理单元。具体请参见图2,图2中包括:
Storm处理单元201、Storm处理单元202、Storm处理单元203及Storm处理单元204。其中,Storm处理单元201的级别最高,Storm处理单元202与Storm处理单元204的级别次之,且两者的级别相同。Storm处理单元203的级别最低。有图中可见,Storm处理单元201可以向Storm处理单元204及Storm处理单元202分发数据流(data stream),也可以向Storm处理单元203分发数据流(data stream)。Storm处理单元202可以向同级的Storm处理单元204分发数据流(data stream),也可以向下一级的Storm处理单元203分发数据流(data stream)。Storm处理单元204可以接收(也可以执行发送,该图中并未显示)同级的Storm处理单元202分发数据流(data stream),也可以向下一级的Storm处理单元203分发数据流(datastream)。Storm处理单元203由于等级最低,所以只能接收分发的数据流(data stream)。
本发明各个实施例的实现基础是通过具有处理器功能的设备进行程序化的处理实现的。因此在工程实际中,可以将本发明各个实施例的技术方案及其功能封装成各种模块。基于这种现实情况,在上述各实施例的基础上,本发明的实施例提供了一种大量防火墙日志数据快速解析装置,该装置用于执行上述方法实施例中的大量防火墙日志数据快速解析方法。参见图3,该装置包括:
防火墙日志数据解析模块301,用于获取待解析防火墙日志数据,采集所述待解析防火墙日志数据中的正则数据,所述正则数据验证通过后,对通过验证的正则数据进行下标匹配,将通过验证并下标匹配后的正则数据,进行数据类型处理和/或内外网区分;
防火墙日志数据的解析结果集生成模块302,用于根据数据类型处理和/或内外网区分后的正则数据,生成防火墙日志数据的解析结果集。
本发明实施例提供的大量防火墙日志数据快速解析装置,通过采用防火墙日志数据解析模块及防火墙日志数据的解析结果集生成模块,获取防火墙日志的正则数据,并对正则数据进行解析,可以低耦合、高效率及大批量的适配并解析防火墙日志数据。
本发明实施例的方法是依托电子设备实现的,因此对相关的电子设备有必要做一下介绍。基于此目的,本发明的实施例提供了一种电子设备,如图4所示,该电子设备包括:至少一个处理器(processor)401、通信接口(Communications Interface)404、至少一个存储器(memory)402和通信总线403,其中,至少一个处理器401,通信接口404,至少一个存储器402通过通信总线403完成相互间的通信。至少一个处理器401可以调用至少一个存储器402中的逻辑指令,以执行如下方法:获取待解析防火墙日志数据,采集所述待解析防火墙日志数据中的正则数据,所述正则数据验证通过后,对通过验证的正则数据进行下标匹配,将通过验证及下标匹配后的正则数据,进行数据类型处理和/或内外网区分;根据数据类型处理和/或内外网区分后的正则数据,生成防火墙日志数据的解析结果集。
此外,上述的至少一个存储器402中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。例如包括:获取待解析防火墙日志数据,采集所述待解析防火墙日志数据中的正则数据,所述正则数据验证通过后,对通过验证的正则数据进行下标匹配,将通过验证及下标匹配后的正则数据,进行数据类型处理和/或内外网区分;根据数据类型处理和/或内外网区分后的正则数据,生成防火墙日志数据的解析结果集。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,RandomAccess Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (8)
1.一种大量防火墙日志数据快速解析方法,其特征在于,包括:
获取待解析防火墙日志数据,采集所述待解析防火墙日志数据中的正则数据,所述正则数据验证通过后,对通过验证的正则数据进行下标匹配,将通过验证及下标匹配后的正则数据,进行数据类型处理和/或内外网区分;
根据数据类型处理和/或内外网区分后的正则数据,生成防火墙日志数据的解析结果集,所述解析结果集记录防火墙日志数据的内容,所述内容形式为有序字段集合;
所述对通过验证的正则数据进行下标匹配,还包括:若下标匹配失败,则发出匹配失败告警,告警的对象包括:header ip,log及过滤后的ip;
所述进行数据类型处理,包括:将ip转换成long型和/或将协议号对应到相应的协议类型。
2.根据权利要求1所述的大量防火墙日志数据快速解析方法,其特征在于,所述获取待解析防火墙日志数据,包括:
对接收到的防火墙日志进行ip过滤,根据接收到的防火墙日志的header ip,获取待解析防火墙日志数据。
3.根据权利要求1所述的大量防火墙日志数据快速解析方法,其特征在于,所述采集所述待解析防火墙日志数据中的正则数据,包括:
使用header ip从全局存在的序列化防火墙日志的正则数据中,采集所述待解析防火墙日志数据中的正则数据。
4.根据权利要求1所述的大量防火墙日志数据快速解析方法,其特征在于,在所述采集所述待解析防火墙日志数据中的正则数据之后,还包括:
若一正则数据未通过验证,则匹配另一正则数据进行验证,直到验证完全部正则数据。
5.根据权利要求1所述的大量防火墙日志数据快速解析方法,其特征在于,在所述数据类型处理和/或内外网区分之后,还包括:
对防火墙日志中不需要类型转换的正则数据和/或防火墙日志中没有包含的数据,赋默认值;
其中,所述防火墙日志中没有包含的数据,应用在非防火墙日志数据解析业务中。
6.一种大量防火墙日志数据快速解析装置,其特征在于,包括:
防火墙日志数据解析模块,用于获取待解析防火墙日志数据,采集所述待解析防火墙日志数据中的正则数据,所述正则数据验证通过后,对通过验证的正则数据进行下标匹配,将通过验证并下标匹配后的正则数据,进行数据类型处理和/或内外网区分;
防火墙日志数据的解析结果集生成模块,用于根据数据类型处理和/或内外网区分后的正则数据,生成防火墙日志数据的解析结果集,所述解析结果集记录防火墙日志数据的内容,所述内容形式为有序字段集合;
所述对通过验证的正则数据进行下标匹配,还包括:
若下标匹配失败,则发出匹配失败告警,告警的对象包括:headerip,log及过滤后的ip;
所述进行数据类型处理,包括:将ip转换成long型和/或将协议号对应到相应的协议类型。
7.一种电子设备,其特征在于,包括:
至少一个处理器、至少一个存储器、通信接口和总线;其中,
所述处理器、存储器、通信接口通过所述总线完成相互间的通信;
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令,以执行如权利要求1至5任一项所述的方法。
8.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行如权利要求1至5中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811178429.4A CN109327336B (zh) | 2018-10-10 | 2018-10-10 | 大量防火墙日志数据快速解析方法及设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811178429.4A CN109327336B (zh) | 2018-10-10 | 2018-10-10 | 大量防火墙日志数据快速解析方法及设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109327336A CN109327336A (zh) | 2019-02-12 |
CN109327336B true CN109327336B (zh) | 2022-04-26 |
Family
ID=65262372
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811178429.4A Active CN109327336B (zh) | 2018-10-10 | 2018-10-10 | 大量防火墙日志数据快速解析方法及设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109327336B (zh) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104391881A (zh) * | 2014-10-30 | 2015-03-04 | 杭州安恒信息技术有限公司 | 一种基于分词算法的日志解析方法及*** |
CN105930379A (zh) * | 2016-04-14 | 2016-09-07 | 北京思特奇信息技术股份有限公司 | 一种利用***进行日志数据收集的方法及*** |
CN107181612A (zh) * | 2017-05-08 | 2017-09-19 | 深圳市众泰兄弟科技发展有限公司 | 一种基于大数据的可视化网络安全监控方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10367784B2 (en) * | 2016-09-30 | 2019-07-30 | Palo Alto Networks, Inc. | Detection of compromised credentials as a network service |
-
2018
- 2018-10-10 CN CN201811178429.4A patent/CN109327336B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104391881A (zh) * | 2014-10-30 | 2015-03-04 | 杭州安恒信息技术有限公司 | 一种基于分词算法的日志解析方法及*** |
CN105930379A (zh) * | 2016-04-14 | 2016-09-07 | 北京思特奇信息技术股份有限公司 | 一种利用***进行日志数据收集的方法及*** |
CN107181612A (zh) * | 2017-05-08 | 2017-09-19 | 深圳市众泰兄弟科技发展有限公司 | 一种基于大数据的可视化网络安全监控方法 |
Non-Patent Citations (1)
Title |
---|
基于Hadoop与Storm的日志实时处理***研究;李洋等;《西南师范大学学报(自然科学版)》;20170430;第42卷(第4期);第119-126页 * |
Also Published As
Publication number | Publication date |
---|---|
CN109327336A (zh) | 2019-02-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108763031B (zh) | 一种基于日志的威胁情报检测方法及装置 | |
US11522893B2 (en) | Virtual private cloud flow log event fingerprinting and aggregation | |
US8079081B1 (en) | Systems and methods for automated log event normalization using three-staged regular expressions | |
CN111177779B (zh) | 数据库审计方法、其装置、电子设备及计算机存储介质 | |
US10511618B2 (en) | Website information extraction device, system website information extraction method, and website information extraction program | |
CN103688489A (zh) | 一种策略处理的方法及网络设备 | |
CN111092900B (zh) | 服务器异常连接和扫描行为的监控方法和装置 | |
CN111866016A (zh) | 日志的分析方法及*** | |
CN111222019B (zh) | 特征提取的方法和装置 | |
CN101697520A (zh) | 一种***日志的处理方法和装置 | |
CN105577670A (zh) | 一种撞库攻击的告警*** | |
CN111049858A (zh) | 一种基于交叉验证的基线扫描漏洞去重方法、装置及设备 | |
CN112153062B (zh) | 基于多维度的可疑终端设备检测方法及*** | |
CN107612730A (zh) | 一种日志采集分析方法、装置以及*** | |
CN111177193A (zh) | 一种基于Flink的日志流式处理方法及*** | |
CN104243407A (zh) | 一种恶意软件网络入侵检测特征码的生成方法和设备 | |
US9641595B2 (en) | System management apparatus, system management method, and storage medium | |
CN114003904B (zh) | 情报共享方法、装置、计算机设备及存储介质 | |
CN110941823A (zh) | 威胁情报获取方法及装置 | |
CN115865525A (zh) | 日志数据处理方法、装置、电子设备和存储介质 | |
CN109327336B (zh) | 大量防火墙日志数据快速解析方法及设备 | |
CN112416642A (zh) | 一种远程运维方法及装置 | |
CN110855625A (zh) | 基于流式处理的异常分析方法、装置及存储介质 | |
CN113987478A (zh) | 基于nginx服务器检测和防护CC攻击的方法及*** | |
CN115484326A (zh) | 处理数据的方法、***及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |