CN112434244A - 基于ueba进行日志处理的方法、装置及相关产品 - Google Patents

Abstract

本申请实施例提供了一种基于UEBA进行日志处理的方法、装置及相关产品。基于UEBA进行日志处理的方法包括：通过实时抓取关联于用户实体行为的***操作日志源数据，并确定控制所述***操作日志源数据生成的安全服务进程；确定在生成所述***操作日志源数据的过程中所述安全服务进程的变化；根据所述安全服务进程的变化，生成安全服务进程树，以确定所述***操作日志源数据的上下文关系，从而对大量的日志进行有效的处理，便于在各种场景中的应用，比如在异常侦测场景中建立异常侦测模型，或者，在异常侦测过程中，对日志进行结构化处理，便于异常侦测的判断等。

Description

基于UEBA进行日志处理的方法、装置及相关产品

技术领域

本申请涉及信息技术领域，特别是涉及一种基于UEBA进行日志处理的方法、装置及相关产品。

背景技术

21世纪是数据信息大发展的时代，移动互联、社交网络、电子商务等极大拓展了互联网的边界和应用范围，各种数据正在迅速膨胀并变大。互联网(社交、搜索、电商)、移动互联网(微博)、物联网(传感器，智慧地球)、车联网、GPS、医学影像、安全监控、金融(银行、股市、保险)、电信(通话、短信)都在疯狂产生着数据，海量的数据隐含着巨大的信息。

而这些信息的产生，必然会伴随着大量日志的形成，因此，如何对大量的日志进行有效的处理，便于在各种场景中的应用，成为亟待解决的技术问题。

发明内容

基于上述问题，本申请实施例提供了一种基于UEBA进行日志处理的方法、装置及相关产品。

本申请实施例公开了如下技术方案：

一种基于UEBA进行日志处理的方法，其包括：

实时抓取关联于用户实体行为的***操作日志源数据，并确定控制所述***操作日志源数据生成的安全服务进程；

确定在生成所述***操作日志源数据的过程中所述安全服务进程的变化；

根据所述安全服务进程的变化，生成安全服务进程树，以确定所述***操作日志源数据的上下文关系。

可选地，在本申请一实施例中，所述实时抓取关联于用户实体行为的***操作日志源数据，包括：以事件的方式从数据源获取关联于用户实体行为的***操作日志源数据。

可选地，在本申请一实施例中，所述以事件的方式获取关联于用户实体行为的***操作日志源数据，包括：对从数据源获取到的关联于用户实体行为的***操作日志源数据进行封装处理得到事件，以所述事件为数据单元获取关联于用户实体行为的***操作日志源数据。

可选地，在本申请一实施例中，所述实时抓取关联于用户实体行为的***操作日志源数据，包括：按照设定的PUSH模型或者PULL模型实时抓取关联于用户实体行为的***操作日志源数据。

可选地，在本申请一实施例中，在所述PUSH模型中设置有日志搜集器，所述日志搜集器的容量需要大于***操作日志源数据的最大生成量。

可选地，在本申请一实施例中，在所述PULL模型中设置有日志搜集器，所述日志搜集器的容量大于***操作日志源数据的平均生成量，且根据***操作日志源数据的实时生成量调整数据收集的吞吐量。

可选地，在本申请一实施例中，所述确定控制所述***操作日志源数据生成的安全服务进程，包括：通过进程ID匹配的方式，确定控制所述***操作日志源数据生成的安全服务进程。

可选地，在本申请一实施例中，所述确定在生成所述***操作日志源数据的过程中所述安全服务进程的变化，包括：根据寄存器中的值、进程的状态以及堆栈中的内容至少其一，确定在生成所述***操作日志源数据的过程中所述安全服务进程的变化。

可选地，在本申请一实施例中，所述根据所述安全服务进程的变化，生成安全服务进程树，以确定所述***操作日志源数据的上下文关系，包括：将当前安全服务进程作为安全服务进程树中的父节点，将当前安全服务进程的下一安全服务进程作为所述父节点的子节点，以确定所述***操作日志源数据的上下文关系，其中，所述父节点的特征信息包括所述当前安全服务进程的ID，以及对应的***操作日志源数据，所述子节点的特征信息包括所述下一安全服务进程的ID，以及对应的***操作日志源数据。

一种基于UEBA进行日志处理的装置，其包括：

实时数据处理单元，用于实时抓取关联于用户实体行为的***操作日志源数据，并确定控制所述***操作日志源数据生成的安全服务进程；

进程变化确定单元，用于确定在生成所述***操作日志源数据的过程中所述安全服务进程的变化；

进程树确定单元，用于根据所述安全服务进程的变化，生成安全服务进程树，以确定所述***操作日志源数据的上下文关系。

可选地，在本申请一实施例中，所述实时数据处理单元进一步用于以事件的方式从数据源获取关联于用户实体行为的***操作日志源数据。

可选地，在本申请一实施例中，所述实时数据处理单元进一步用于对从数据源获取到的关联于用户实体行为的***操作日志源数据进行封装处理得到事件，以所述事件为数据单元获取关联于用户实体行为的***操作日志源数据。

可选地，在本申请一实施例中，所述实时数据处理单元进一步用于按照设定的PUSH模型或者PULL模型实时抓取关联于用户实体行为的***操作日志源数据。

可选地，在本申请一实施例中，在所述PUSH模型中设置有日志搜集器，所述日志搜集器的容量需要大于***操作日志源数据的最大生成量。

可选地，在本申请一实施例中，在所述PULL模型中设置有日志搜集器，所述日志搜集器的容量大于***操作日志源数据的平均生成量，且根据***操作日志源数据的实时生成量调整数据收集的吞吐量。

可选地，在本申请一实施例中，所述进程变化确定单元进一步用于通过进程 ID匹配的方式，确定控制所述***操作日志源数据生成的安全服务进程。

可选地，在本申请一实施例中，所述进程变化确定单元进一步用于根据寄存器中的值、进程的状态以及堆栈中的内容至少其一，确定在生成所述***操作日志源数据的过程中所述安全服务进程的变化。

可选地，在本申请一实施例中，所述进程树确定单元进一步用于：将当前安全服务进程作为安全服务进程树中的父节点，将当前安全服务进程的下一安全服务进程作为所述父节点的子节点，以确定所述***操作日志源数据的上下文关系，其中，所述父节点的特征信息包括所述当前安全服务进程的ID，以及对应的***操作日志源数据，所述子节点的特征信息包括所述下一安全服务进程的ID，以及对应的***操作日志源数据。

一种电子设备，其包括存储器以及处理器，所述存储器上存储有计算机可执行指令，所述处理器用于执行所述计算机可执行指令执行如下步骤：

实时抓取关联于用户实体行为的***操作日志源数据，并确定控制所述***操作日志源数据生成的安全服务进程；

确定在生成所述***操作日志源数据的过程中所述安全服务进程的变化；

根据所述安全服务进程的变化，生成安全服务进程树，以确定所述***操作日志源数据的上下文关系。

可选地，在本申请一实施例中，所述处理器执行实时抓取关联于用户实体行为的***操作日志源数据的步骤，包括：以事件的方式从数据源获取关联于用户实体行为的***操作日志源数据。

可选地，在本申请一实施例中，所述处理器执行以事件的方式获取关联于用户实体行为的***操作日志源数据的步骤，包括：对从数据源获取到的关联于用户实体行为的***操作日志源数据进行封装处理得到事件，以所述事件为数据单元获取关联于用户实体行为的***操作日志源数据。

可选地，在本申请一实施例中，所述处理器执行实时抓取关联于用户实体行为的***操作日志源数据的步骤，包括：按照设定的PUSH模型或者PULL模型实时抓取关联于用户实体行为的***操作日志源数据。

可选地，在本申请一实施例中，在所述PUSH模型中设置有日志搜集器，所述日志搜集器的容量需要大于***操作日志源数据的最大生成量。

可选地，在本申请一实施例中，在所述PULL模型中设置有日志搜集器，所述日志搜集器的容量大于***操作日志源数据的平均生成量，且根据***操作日志源数据的实时生成量调整数据收集的吞吐量。

可选地，在本申请一实施例中，所述处理器执行确定控制所述***操作日志源数据生成的安全服务进程的步骤，包括：通过进程ID匹配的方式，确定控制所述***操作日志源数据生成的安全服务进程。

可选地，在本申请一实施例中，所述处理器执行确定在生成所述***操作日志源数据的过程中所述安全服务进程的变化的步骤，包括：根据寄存器中的值、进程的状态以及堆栈中的内容至少其一，确定在生成所述***操作日志源数据的过程中所述安全服务进程的变化。

可选地，在本申请一实施例中，所述处理器执行根据所述安全服务进程的变化，生成安全服务进程树，以确定所述***操作日志源数据的上下文关系的步骤，包括：将当前安全服务进程作为安全服务进程树中的父节点，将当前安全服务进程的下一安全服务进程作为所述父节点的子节点，以确定所述***操作日志源数据的上下文关系，其中，所述父节点的特征信息包括所述当前安全服务进程的ID，以及对应的***操作日志源数据，所述子节点的特征信息包括所述下一安全服务进程的ID，以及对应的***操作日志源数据。

一种计算计算机存储介质，所述计算机存储介质上存储有计算机可执行指令，所述计算机可执行指令被执行时实施权利要求1-9任一项所述基于UEBA进行日志处理的方法。

本申请实施例的技术方案中，通过实时抓取关联于用户实体行为的***操作日志源数据，并确定控制所述***操作日志源数据生成的安全服务进程；确定在生成所述***操作日志源数据的过程中所述安全服务进程的变化；根据所述安全服务进程的变化，生成安全服务进程树，以确定所述***操作日志源数据的上下文关系，从而对大量的日志进行有效的处理，便于在各种场景中的应用，比如在异常侦测场景中建立异常侦测模型，或者，在异常侦测过程中，对日志进行结构化处理，便于异常侦测的判断等。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例一中基于UEBA进行日志处理的方法流程示意图；

图2为本申请实施例二中基于UEBA进行日志处理的方法流程示意图；

图3为本申请实施例三中基于UEBA进行日志处理的方法流程示意图；

图4为本申请实施例四中基于UEBA进行日志处理的装置结构示意图；

图5为本申请实施例五中基于UEBA进行日志处理的装置结构示意图；

图6为本申请实施例五中基于UEBA进行日志处理的装置结构示意图；

图7为本申请实施例中电子设备的结构示意图；

图8为本申请实施例八中计算计算机存储介质的示意图；

图9为本申请实施例十一中电子设备的硬件结构示意图。

具体实施方式

实施本申请实施例的任一技术方案必不一定需要同时达到以上的所有优点。

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图1为本申请实施例一中基于UEBA进行日志处理的方法流程示意图；如图 1所示，其包括：

S101、实时抓取关联于用户实体行为的***操作日志源数据，并确定控制所述***操作日志源数据生成的安全服务进程；

本实施例中，所述用户实体行为可以包括：时间、地点、人物、交互、交互的内容。比如用户搜索：在什么时间、什么平台上、哪一个ID、做了搜索、搜索的内容是什么。

本实施例中，可以通过在数据源上加载监测代码(或者又称之为埋点)，通过该监测代码监测用户是否点击了注册按钮、用户下了什么订单。

本实施例中，***操作日志源数据的存在形式不做任何限定，比如为txt文档，或者列表方式。

本实施例中，所述***操作日志源数据存储在用户所使用的各种终端上。

可选地，本实施例中，步骤S101中在实时抓取关联于用户实体行为的***操作日志源数据时，包括：以事件的方式从数据源获取关联于用户实体行为的***操作日志源数据。

可选地，本实施例中，所述以事件的方式获取关联于用户实体行为的***操作日志源数据，包括：对从数据源获取到的关联于用户实体行为的***操作日志源数据进行封装处理得到事件，以所述事件为数据单元获取关联于用户实体行为的***操作日志源数据。

具体地，本实施例中，在进行封装时，配置可选的header以及数据位阵列，所述数据位阵列中存储***操作日志源样本数据，所述header主要用于***操作日志源样本数据的上下文扩展。通过这种结构的事件，从而有效地实现了***操作日志源样本数据的传输，提高了数据传输的效率。

可选地，本实施例中，可以通过对资源管理器进行监控，以直接从资源管理器中确定出控制所述***操作日志源数据生成的安全服务进程。比如，具体地，所述确定控制所述***操作日志源数据生成的安全服务进程，包括：通过进程ID 匹配的方式，确定控制所述***操作日志源数据生成的安全服务进程。由于对于特定操作***来说，其安全服务进程一般具有固定的ID，因此，通过进程ID匹配的这种方式，可以快速地确定出控制所述***操作日志源数据生成的安全服务进程。

S102、确定在生成所述***操作日志源数据的过程中所述安全服务进程的变化；

可选地，本实施例中，步骤S102中确定在生成所述***操作日志源数据的过程中所述安全服务进程的变化时，包括：根据，确定在生成所述***操作日志源数据的过程中所述安全服务进程的变化，从而更为准确地。

进一步地，所述寄存器中的值、进程的状态以及堆栈中的内容至少其一可以按照任务数据结构的方式进行存储，从而在执行步骤S102时，通过对该任务数据结构进行解析从中直接寄存器中的值、进程的状态以及堆栈中的内容至少其一，一方面实现了对所述寄存器中的值、进程的状态以及堆栈中的内容至少其一的高效管理，同时，可以通过该任务数据结构记录所有的所述寄存器中的值、进程的状态以及堆栈中的内容至少其一，从而在直接可以依据该任务数据结构快速且准确地确定出所述安全服务进程的变化。

S103、根据所述安全服务进程的变化，生成安全服务进程树，以确定所述***操作日志源数据的上下文关系。

本实施例中，步骤S103中根据所述安全服务进程的变化，生成安全服务进程树，以确定所述***操作日志源数据的上下文关系，包括：将当前安全服务进程作为安全服务进程树中的父节点，将当前安全服务进程的下一安全服务进程作为所述父节点的子节点，以确定所述***操作日志源数据的上下文关系，其中，所述父节点的特征信息包括所述当前安全服务进程的ID，以及对应的***操作日志源数据，所述子节点的特征信息包括所述下一安全服务进程的ID，以及对应的***操作日志源数据，以此类推，从而通过树的这种结构实现了对安全服务进程的有效管理，从而便于在后续要获取所述安全服务进程及其变化时，直接对安全服务进程树进行解析，可以实现快速的解析、查找等等操作。

本实施例中，通过所述***操作日志源数据的上下文关系可以确定出用户实体行为的轨迹。

图2为本申请实施例二中基于UEBA进行日志处理的方法流程示意图；如图 2所示，其包括如下步骤：

S201、实时抓取关联于用户实体行为的***操作日志源数据，并确定控制所述***操作日志源数据生成的安全服务进程；

S202、确定在生成所述***操作日志源数据的过程中所述安全服务进程的变化；

本实施例中，步骤S202中实时抓取关联于用户实体行为的***操作日志源数据时，包括：按照设定的PUSH模型实时抓取关联于用户实体行为的***操作日志源数据。

可选地，在所述PUSH模型(或者又称之为主动推送模型)中设置有日志搜集器，所述日志搜集器的容量需要大于***操作日志源数据的最大生成量，从而避免主动推送过来的***操作日志源数据不能及时被处理而衍生其他的问题，比如如何在日志搜集器上进行暂存，如果暂存的话，日志搜集器是否还有足够的剩余空间以及是否能够保存瞬时而至的大量***操作日志源数据，或者，如果不能够暂存，需要暂存到其他地方而导致的网络开销等问题。

可选地，本实施例中，在日志搜集器对***操作日志源数据进行存储处理之前判断日志搜集器的数据接收模式是否正常，如果正常，则日志搜集器接收***操作日志源数据，否则，将所述***操作日志源数据临时存储到一本地硬盘上，等日志搜集器恢复正常后，再将本地硬盘上暂存的***操作日志源数据发送到日志搜集器上进行存储处理。

可选地，本实施例中，所述日志搜集器可以设置在分布式的虚拟机上，以便于可快速地使得所述日志搜集器进行上述存储处理，从而降低了数据处理的延迟。

可选地，上述虚拟机的数量可以有多个，从而形成集群，便于在有***操作日志源数据需要存储时，按照负载均衡机制，优选具有较小负载的一个或者多个所述日志搜集器对***操作日志源数据进行存储处理。

S203、根据所述安全服务进程的变化，生成安全服务进程树，以确定所述***操作日志源数据的上下文关系。

本实施例中，步骤S201、S203类似参见上述实施例一的记载。此处需要说明的是，在其他实施例中，也可以采取与上述步骤S101、S103不同的方式进行处理。

图3为本申请实施例三中基于UEBA进行日志处理的方法流程示意图；如图 3所示，其包括：

S301、实时抓取关联于用户实体行为的***操作日志源数据，并确定控制所述***操作日志源数据生成的安全服务进程；

可选地，步骤S301中实时抓取关联于用户实体行为的***操作日志源数据，包括：按照设定的PULL模型实时抓取关联于用户实体行为的***操作日志源数据。

可选地，在步骤S301中，在所述PULL模型中设置有日志搜集器，所述日志搜集器的容量大于***操作日志源数据的平均生成量，且根据***操作日志源数据的实时生成量调整数据收集的吞吐量。

选择PULL模型(业界又称之为拉取模型)，相比于PUSH模型，日志搜集器可以主动根据其自身的存储资源，以拉取***操作日志源数据，从而可避免大量的的***操作日志源数据在设定的时段内逐渐进行存储处理。

可选地，本实施例中，所述日志搜集器可以设置在分布式的虚拟机上，以便于可快速地使得所述日志搜集器进行上述存储处理，从而降低了数据处理的延迟。

可选地，上述虚拟机的数量可以有多个，从而形成集群，便于在有***操作日志源数据需要存储时，按照负载均衡机制，优选具有较小负载的一个或者多个所述日志搜集器对***操作日志源数据进行存储处理。

进一步地，在某一个虚拟上，PULL模型上设置的日志搜集器出现任务调动或者某个日志搜集器挂掉(统称为异常日志搜集器)，就会有其他虚拟机上的日志搜集器接替其工作，在接替异常日志搜集器时，只要使用同样的***操作日志源数据即可获取后续的增量日志，从而对单个日志搜集器的稳定性要求大大降低，只要整个集群持续有足够的资源，即可实现***操作日志源数据获取的可靠性。

S302、确定在生成所述***操作日志源数据的过程中所述安全服务进程的变化；

S303、根据所述安全服务进程的变化，生成安全服务进程树，以确定所述***操作日志源数据的上下文关系。

本实施中，步骤S301、S303类似上述实施例一的记载，详细不再赘述。当然，此处需要说明的是，在其他实施例中，也可以采取与上述步骤S101、S103不同的方式进行处理。

图4为本申请实施例四中基于UEBA进行日志处理的装置结构示意图；如图 4所示，其包括：

实时数据处理单元401，用于实时抓取关联于用户实体行为的***操作日志源数据，并确定控制所述***操作日志源数据生成的安全服务进程；

进程变化确定单元402，用于确定在生成所述***操作日志源数据的过程中所述安全服务进程的变化；

进程树确定单元403，用于根据所述安全服务进程的变化，生成安全服务进程树，以确定所述***操作日志源数据的上下文关系。

可选地，在一实施例中，所述实时数据处理单元进一步用于以事件的方式从数据源获取关联于用户实体行为的***操作日志源数据。

可选地，在一实施例中，所述实时数据处理单元进一步用于对从数据源获取到的关联于用户实体行为的***操作日志源数据进行封装处理得到事件，以所述事件为数据单元获取关联于用户实体行为的***操作日志源数据。

可选地，在一实施例中，所述进程变化确定单元进一步用于通过进程ID匹配的方式，确定控制所述***操作日志源数据生成的安全服务进程。

可选地，在一实施例中，所述进程变化确定单元进一步用于根据寄存器中的值、进程的状态以及堆栈中的内容至少其一，确定在生成所述***操作日志源数据的过程中所述安全服务进程的变化。

可选地，在一实施例中，所述进程树确定单元进一步用于：将当前安全服务进程作为安全服务进程树中的父节点，将当前安全服务进程的下一安全服务进程作为所述父节点的子节点，以确定所述***操作日志源数据的上下文关系，其中，所述父节点的特征信息包括所述当前安全服务进程的ID，以及对应的***操作日志源数据，所述子节点的特征信息包括所述下一安全服务进程的ID，以及对应的***操作日志源数据。

图5为本申请实施例五中基于UEBA进行日志处理的装置结构示意图；如图5所示，与上述图4所示不同的是，本实施例中，所述实时数据处理单元401 进一步用于按照设定的PUSH模型实时抓取关联于用户实体行为的***操作日志源数据。

可选地，在一实施例中，在所述PUSH模型中设置有日志搜集器，所述日志搜集器的容量需要大于***操作日志源数据的最大生成量。

图6为本申请实施例五中基于UEBA进行日志处理的装置结构示意图；如图6所示，与上述图4所示不同的是，本实施例中，所述实时数据处理单元401 进一步用于按照设定的PULL模型实时抓取关联于用户实体行为的***操作日志源数据。

可选地，在一实施例中，在所述PULL模型中设置有日志搜集器，所述日志搜集器的容量大于***操作日志源数据的平均生成量，且根据***操作日志源数据的实时生成量调整数据收集的吞吐量。

图7为本申请实施例中电子设备的结构示意图；如图7所示，所述电子设备包括：存储器701以及处理器702，所述存储器上存储有计算机可执行指令，所述处理器用于执行所述计算机可执行指令执行如下步骤：

实时抓取关联于用户实体行为的***操作日志源数据，并确定控制所述***操作日志源数据生成的安全服务进程；

确定在生成所述***操作日志源数据的过程中所述安全服务进程的变化；

根据所述安全服务进程的变化，生成安全服务进程树，以确定所述***操作日志源数据的上下文关系。

可选地，在一实施例中，所述处理器执行实时抓取关联于用户实体行为的***操作日志源数据的步骤，包括：以事件的方式从数据源获取关联于用户实体行为的***操作日志源数据。

可选地，在一实施例中，所述处理器执行以事件的方式获取关联于用户实体行为的***操作日志源数据的步骤，包括：对从数据源获取到的关联于用户实体行为的***操作日志源数据进行封装处理得到事件，以所述事件为数据单元获取关联于用户实体行为的***操作日志源数据。

可选地，在一实施例中，所述处理器执行实时抓取关联于用户实体行为的***操作日志源数据的步骤，包括：按照设定的PUSH模型或者PULL模型实时抓取关联于用户实体行为的***操作日志源数据。

可选地，在一实施例中，在所述PUSH模型中设置有日志搜集器，所述日志搜集器的容量需要大于***操作日志源数据的最大生成量。

可选地，在一实施例中，在所述PULL模型中设置有日志搜集器，所述日志搜集器的容量大于***操作日志源数据的平均生成量，且根据***操作日志源数据的实时生成量调整数据收集的吞吐量。

可选地，在一实施例中，所述处理器执行确定控制所述***操作日志源数据生成的安全服务进程的步骤，包括：通过进程ID匹配的方式，确定控制所述***操作日志源数据生成的安全服务进程。

可选地，在一实施例中，所述处理器执行确定在生成所述***操作日志源数据的过程中所述安全服务进程的变化的步骤，包括：根据寄存器中的值、进程的状态以及堆栈中的内容至少其一，确定在生成所述***操作日志源数据的过程中所述安全服务进程的变化。

可选地，在一实施例中，所述处理器执行根据所述安全服务进程的变化，生成安全服务进程树，以确定所述***操作日志源数据的上下文关系的步骤，包括：将当前安全服务进程作为安全服务进程树中的父节点，将当前安全服务进程的下一安全服务进程作为所述父节点的子节点，以确定所述***操作日志源数据的上下文关系，其中，所述父节点的特征信息包括所述当前安全服务进程的ID，以及对应的***操作日志源数据，所述子节点的特征信息包括所述下一安全服务进程的ID，以及对应的***操作日志源数据。

图8为本申请实施例八中计算计算机存储介质的示意图；如图8所示，所述计算机存储介质上存储有计算机可执行指令，所述计算机可执行指令被执行时实施如下步骤：

实时抓取关联于用户实体行为的***操作日志源数据，并确定控制所述***操作日志源数据生成的安全服务进程；

确定在生成所述***操作日志源数据的过程中所述安全服务进程的变化；

根据所述安全服务进程的变化，生成安全服务进程树，以确定所述***操作日志源数据的上下文关系。

可选地，在一实施例中，在实施实时抓取关联于用户实体行为的***操作日志源数据的步骤时时，包括：以事件的方式从数据源获取关联于用户实体行为的***操作日志源数据。

可选地，在一实施例中，在实施以事件的方式获取关联于用户实体行为的***操作日志源数据的步骤时，包括：对从数据源获取到的关联于用户实体行为的***操作日志源数据进行封装处理得到事件，以所述事件为数据单元获取关联于用户实体行为的***操作日志源数据。

可选地，在一实施例中，在实施实时抓取关联于用户实体行为的***操作日志源数据的步骤时，包括：按照设定的PUSH模型或者PULL模型实时抓取关联于用户实体行为的***操作日志源数据。

可选地，在一实施例中，在所述PUSH模型中设置有日志搜集器，所述日志搜集器的容量需要大于***操作日志源数据的最大生成量。

可选地，在一实施例中，在所述PULL模型中设置有日志搜集器，所述日志搜集器的容量大于***操作日志源数据的平均生成量，且根据***操作日志源数据的实时生成量调整数据收集的吞吐量。

可选地，在一实施例中，在实施确定控制所述***操作日志源数据生成的安全服务进程的步骤时，包括：通过进程ID匹配的方式，确定控制所述***操作日志源数据生成的安全服务进程。

可选地，在一实施例中，在实施确定在生成所述***操作日志源数据的过程中所述安全服务进程的变化的步骤时，包括：根据寄存器中的值、进程的状态以及堆栈中的内容至少其一，确定在生成所述***操作日志源数据的过程中所述安全服务进程的变化。

可选地，在一实施例中，在实施根据所述安全服务进程的变化，生成安全服务进程树，以确定所述***操作日志源数据的上下文关系的步骤时，包括：将当前安全服务进程作为安全服务进程树中的父节点，将当前安全服务进程的下一安全服务进程作为所述父节点的子节点，以确定所述***操作日志源数据的上下文关系，其中，所述父节点的特征信息包括所述当前安全服务进程的ID，以及对应的***操作日志源数据，所述子节点的特征信息包括所述下一安全服务进程的ID，以及对应的***操作日志源数据。

图9为本申请实施例十一中电子设备的硬件结构示意图；如图9所示，该电子设备的硬件结构可以包括：处理器901，通信接口902，计算机可读介质903 和通信总线904；

其中，处理器901、通信接口902、计算机可读介质903通过通信总线904 完成相互间的通信；

可选的，通信接口902可以为通信模块的接口，如GSM模块的接口；

其中，处理器901具体可以配置为运行存储器上存储的可执行程序，从而执行上述任一方法实施例的所有处理步骤或者其中部分处理步骤。

处理器1501可以是通用处理器，包括中央处理器(Central Processing Unit，简称CPU)、网络处理器(Network Processor，简称NP)等；还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其它可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

本申请实施例的电子设备以多种形式存在，包括但不限于:

(1)移动通信设备:这类设备的特点是具备移动通信功能，并且以提供话音、数据通信为主要目标。这类终端包括:智能手机(例如iPhone)、多媒体手机、功能性手机，以及低端手机等。

(2)超移动个人计算机设备:这类设备属于个人计算机的范畴，有计算和处理功能，一般也具备移动上网特性。这类终端包括:PDA、MID和UMPC设备等，例如iPad。

(3)便携式娱乐设备:这类设备可以显示和播放多媒体内容。该类设备包括:音频、视频播放器(例如iPod)，掌上游戏机，电子书，以及智能玩具和便携式车载导航设备。

(4)服务器:提供计算服务的设备，服务器的构成包括处理器710、硬盘、内存、***总线等，服务器和通用的计算机架构类似，但是由于需要提供高可靠的服务，因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。

(5)其他具有数据交互功能的电子装置。

特别地，根据本公开的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本公开的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分从网络上被下载和安装，和/或从可拆卸介质被安装。在该计算机程序被中央处理单元(CPU) 执行时，执行本申请的方法中限定的上述功能。需要说明的是，本申请所述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的***、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器 (CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行***、装置或者器件使用或者与其结合使用。而在本申请中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行***、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、电线、光缆、RF等等，或者上述的任意合适的组合。

可以以一种或多种程序设计语言或其组合来编写用于执行本申请的操作的计算机程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如Java、 Smalltalk、C++，还包括常规的过程式程序设计语言—诸如”C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。

附图中的流程图和框图，图示了按照本申请各种实施例的***、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的***来实现，或者可以用专用硬件与计算机指令的组合来实现。

以上所述，仅为本申请的一种具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应该以权利要求的保护范围为准。

Claims (10)

1.一种基于UEBA进行日志处理的方法，其特征在于，包括：

实时抓取关联于用户实体行为的***操作日志源数据，并确定控制所述***操作日志源数据生成的安全服务进程；

确定在生成所述***操作日志源数据的过程中所述安全服务进程的变化；

根据所述安全服务进程的变化，生成安全服务进程树，以确定所述***操作日志源数据的上下文关系。

2.根据权利要求1所述基于UEBA进行日志处理的方法，其特征在于，所述实时抓取关联于用户实体行为的***操作日志源数据，包括：以事件的方式从数据源获取关联于用户实体行为的***操作日志源数据。

3.根据权利要求2所述基于UEBA进行日志处理的方法，其特征在于，所述以事件的方式获取关联于用户实体行为的***操作日志源数据，包括：对从数据源获取到的关联于用户实体行为的***操作日志源数据进行封装处理得到事件，以所述事件为数据单元获取关联于用户实体行为的***操作日志源数据。

4.根据权利要求1所述基于UEBA进行日志处理的方法，其特征在于，所述实时抓取关联于用户实体行为的***操作日志源数据，包括：按照设定的PUSH模型或者PULL模型实时抓取关联于用户实体行为的***操作日志源数据。

5.根据权利要求4所述基于UEBA进行日志处理的方法，其特征在于，在所述PUSH模型中设置有日志搜集器，所述日志搜集器的容量需要大于***操作日志源数据的最大生成量。

6.根据权利要求4所述基于UEBA进行日志处理的方法，其特征在于，在所述PULL模型中设置有日志搜集器，所述日志搜集器的容量大于***操作日志源数据的平均生成量，且根据***操作日志源数据的实时生成量调整数据收集的吞吐量。

7.根据权利要求1所述基于UEBA进行日志处理的方法，其特征在于，所述确定在生成所述***操作日志源数据的过程中所述安全服务进程的变化，包括：根据寄存器中的值、进程的状态以及堆栈中的内容至少其一，确定在生成所述***操作日志源数据的过程中所述安全服务进程的变化。

8.根据权利要求1所述基于UEBA进行日志处理的方法，其特征在于，所述根据所述安全服务进程的变化，生成安全服务进程树，以确定所述***操作日志源数据的上下文关系，包括：将当前安全服务进程作为安全服务进程树中的父节点，将当前安全服务进程的下一安全服务进程作为所述父节点的子节点，以确定所述***操作日志源数据的上下文关系，其中，所述父节点的特征信息包括所述当前安全服务进程的ID，以及对应的***操作日志源数据，所述子节点的特征信息包括所述下一安全服务进程的ID，以及对应的***操作日志源数据。

9.一种基于UEBA进行日志处理的装置，其特征在于，包括：

实时数据处理单元，用于实时抓取关联于用户实体行为的***操作日志源数据，并确定控制所述***操作日志源数据生成的安全服务进程；

进程变化确定单元，用于确定在生成所述***操作日志源数据的过程中所述安全服务进程的变化；

进程树确定单元，用于根据所述安全服务进程的变化，生成安全服务进程树，以确定所述***操作日志源数据的上下文关系。

10.一种电子设备，其特征在于，存储器以及处理器，所述存储器上存储有计算机可执行指令，所述处理器用于执行所述计算机可执行指令执行如下步骤：

实时抓取关联于用户实体行为的***操作日志源数据，并确定控制所述***操作日志源数据生成的安全服务进程；

确定在生成所述***操作日志源数据的过程中所述安全服务进程的变化；

根据所述安全服务进程的变化，生成安全服务进程树，以确定所述***操作日志源数据的上下文关系。

Images