(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN112804196A(43)申请公布日2021.05.14(21)申请号202011567623.9(22)申请日2020.12.25(71)申请人北京明朝万达科技股份有限公司地址100142北京市海淀区阜外亮甲店1号恩济西园产业园16号楼B座(72)发明人梁宏宇喻波王志海安鹏(74)专利代理机构北京康信知识产权代理有限责任公司11240代理人董文倩(51)Int.Cl.H04L29/06(2006.01)权利要求书2页说明书8页附图5页(54)发明名称日志数据的处理方法及装置(57)摘要本申请公开了一种日志数据的处理方法及装置。其中，该方法包括：采集日志数据，其中，日志数据的来源包括：主服务器日志，以及与主服务器关联的至少一个客户终端的客户端日志；基于日志数据，获取待检测数据，其中，待检测数据包括：客户终端的登录用户的用户画像，以及在客户终端上发生操作时产生的行为数据；基于安全标准数据对待检测数据进行分析，确定是否存在异常数据。本申请解决了传统信息安全技术是基于规则和专家经验，通过人为设定阈值来进行防护检测，面对合法进程中的恶意攻击存在安全可见性盲区，因无法检测到未知攻击造成误报的技术问题。CN112804196ACN112804196A权利要求书1/2页1.一种日志数据的处理方法，其特征在于，包括：采集日志数据，其中，所述日志数据的来源包括：主服务器日志，以及与主服务器关联的至少一个客户终端的客户端日志；基于所述日志数据，获取待检测数据，其中，所述待检测数据包括：所述客户终端的登录用户的用户画像，以及在所述客户终端上发生操作时产生的行为数据；基于安全标准数据对所述待检测数据进行分析，确定是否存在异常数据。2.根据权利要求1所述的方法，其特征在于，在采集日志数据之后，所述方法还包括：对所述日志数据进行预处理，其中，所述预处理包括如下至少之一：分类处理、去冗余处理、非规范化数据处理和非同一量纲数据的统一化处理。3.根据权利要求1所述的方法，其特征在于，基于所述日志数据，获取待检测数据，包括：基于抽取参数的类型，对所述日志数据进行特征提取，抽取得到特征向量集合，其中，所述抽取参数的类型包括如下至少之一：访问流量、操作文件属性、收发数据类型和访问特征；基于所述特征向量集合，构建得到所述待检测数据。4.根据权利要求1至3中任意一项所述的方法，其特征在于，在基于安全标准数据对所述待检测数据进行分析，确定是否存在异常数据之前，所述方法还包括：构建所述安全标准数据，该步骤包括：采集样本数据，其中，所述样本数据包括历史时间段内所述主服务器和与所述主服务器关联的至少一个所述客户终端上产生的行为数据，所述行为数据表征用户在所述主服务器和所述客户终端上进行操作后产生的行为特征；采用所述样本数据训练神经网络模型，生成异常行为检测模型，所述异常行为检测模型用于表征所述安全标准数据的基线。5.根据权利要求4所述的方法，其特征在于，基于安全标准数据对所述待检测数据进行分析，确定是否存在异常数据，包括：将所述待检测数据输入至所述异常行为检测模型，获取所述待检测数据与所述安全标准数据的比对结果；如果所述比对结果为所述待检测数据与所述安全标准数据处于误差范围之内，则不存在异常数据；否则，确定所述待检测数据中存在所述异常数据。6.根据权利要求5所述的方法，其特征在于，在确定所述待检测数据中存在所述异常数据之后，所述方法还包括：对所述待检测数据中的异常数据进行异常行为评分；调用执行了所述异常行为评分的异常数据，来调整所述安全标准数据。7.一种日志数据的处理装置，其特征在于，包括：采集模块，用于采集日志数据，其中，所述日志数据的来源包括：主服务器日志，以及与主服务器关联的至少一个客户终端的客户端日志；获取模块，用于基于所述日志数据，获取待检测数据，其中，所述待检测数据包括：所述客户终端的登录用户的用户画像，以及在所述客户终端上发生操作时产生的行为数据；2CN112804196A权利要求书2/2页分析模块，用于基于安全标准数据对所述待检测数据进行分析，确定是否存在异常数据。8.根据权利要求7所述的装置，其特征在于，所述装置还包括：预处理模块，用于对所述日志数据进行预处理，其中，所述预处理包括如下至少之一：分类处理、去冗余处理、非规范化数据处理和非同一量纲数据的统一化处理。9.根据权利要求7所述的装置，其特征在于，所述获取模块包括：提取模块，用于基于抽取参数的类型，对所述日志数据进行特征提取，抽取得到特征向量集合，其中，所述抽取参数的类型包括如下至少之一：访问流量、操作文件属性、收发数据类型和访问特征；第一构建模块，用于基于所述特征向量集合，构建得到所述待检测数据。10.根据权利要求7至9中任