(19)国家知识产权局(12)发明专利申请(10)申请公布号CN115022028A(43)申请公布日2022.09.06(21)申请号202210612473.1(22)申请日2022.05.31(71)申请人苏州浪潮智能科技有限公司地址215100江苏省苏州市吴中经济开发区郭巷街道官浦路1号9幢(72)发明人刘平(74)专利代理机构济南舜源专利事务所有限公司37205专利代理师张营磊(51)Int.Cl.H04L9/40(2022.01)权利要求书2页说明书6页附图3页(54)发明名称提取系统供攻击日志的方法、系统、终端及存储介质(57)摘要本发明属于系统安全技术领域，具体提供一种提取系统供攻击日志的方法、系统、终端及存储介质，包括：设置系统攻击相关的监测项目，并设定各监测项目的权重；在监测时段内定期采集系统日志，并解析系统日志匹配各监测项目的条目数；基于各监测项目的条目数和权重计算各监测项目的条目数的加权和，并将所述加权和作为当前次采集的系统日志的加权总分；从监测时段内采集的所有系统日志中，筛选出加权总分最高的系统日志并将其输出为可疑日志；利用异常特征库对可疑日志进行异常诊断，获取诊断结果。本发明通过对间隔取样的日志进行加权分析的方法，快速而且更有针对性的提炼出异常日志，能更高效的帮助系统管理人员排查出异常访问日志。CN115022028ACN115022028A权利要求书1/2页1.一种提取系统供攻击日志的方法，其特征在于，包括：设置系统攻击相关的监测项目，并设定各监测项目的权重；在监测时段内定期采集系统日志，并解析系统日志匹配各监测项目的条目数；基于各监测项目的条目数和权重计算各监测项目的条目数的加权和，并将所述加权和作为当前次采集的系统日志的加权总分；从监测时段内采集的所有系统日志中，筛选出加权总分最高的系统日志并将其输出为可疑日志；利用异常特征库对可疑日志进行异常诊断，获取诊断结果。2.根据权利要求1所述的方法，其特征在于，设置系统攻击相关的监测项目，并设定各监测项目的权重，包括：设定监测项目包括：mtime(最后修改时间)的改变次数；日志采集时间间隔内日志大小的增长条目，小于0则取0；日志中记载登录系统的日志条目数；日志中记载修改系统配置的日志条目数；日志中记载查看系统信息的日志条目数；设定各监测项目的权重比例，所有监测项目的权重比例之和为1。3.根据权利要求1所述的方法，其特征在于，利用异常特征库对可疑日志进行异常诊断，获取诊断结果，包括：将可疑日志备份到本地，关闭当前系统所有已开放的端口；在本地系统自动开启分析工具，对新备份的可疑日志内容进行分析以提取特征；检测可疑日志的特征是否存在于异常特征库中，所述异常特征库存储有多种异常特征；如果可疑日志的特征存在于异常特征库中，则弹出提示信息，通知管理员日志异常；如果可疑日志的特征未存在于异常特征库中，则检查可疑日志的特征中是否包含特殊字符或漏洞攻击字符；如果可疑日志的特征中不包含特殊字符或漏洞攻击字符，则弹出提示信息，通知管理员日志异常；如果可疑日志的特征中包含特殊字符或漏洞攻击字符，则将可疑日志的特征记录到异常特征库，并提示管理员日志异常。4.一种提取系统供攻击日志的系统，其特征在于，包括：项目设置单元，用于设置系统攻击相关的监测项目，并设定各监测项目的权重；日志解析单元，用于在监测时段内定期采集系统日志，并解析系统日志匹配各监测项目的条目数；总分计算单元，用于基于各监测项目的条目数和权重计算各监测项目的条目数的加权和，并将所述加权和作为当前次采集的系统日志的加权总分；可疑筛选单元，用于从监测时段内采集的所有系统日志中，筛选出加权总分最高的系统日志并将其输出为可疑日志；异常诊断单元，用于利用异常特征库对可疑日志进行异常诊断，获取诊断结果。5.根据权利要求4所述的系统，其特征在于，所述项目设置单元用于：设定监测项目包括：mtime(最后修改时间)的改变次数；日志采集时间间隔内日志大小的增长条目，小于0则取0；日志中记载登录系统的日志条目数；日志中记载修改系统配置的2CN115022028A权利要求书2/2页日志条目数；日志中记载查看系统信息的日志条目数；设定各监测项目的权重比例，所有监测项目的权重比例之和为1。6.根据权利要求4所述的系统，其特征在于，所述异常诊断单元用于：将可疑日志备份到本地，关闭当前系统所有已开放的端口；在本地系统自动开启分析工具，对新备份的可疑日志内容进行分析以提取特征；检测可疑日志的特征是否存在于异常特征库中，所述异常特征库存储有多种异常特征；如果可疑日志的特征存在于异常特征库中，则弹出提示信息，通知管理员日志异常；如果可疑日志的特征未存在于异常特征库中，则检查可疑日志的特征中是否包含特殊字符或漏洞攻击字符；如果可疑日志的特征中不包含特殊字