(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN113722479A(43)申请公布日2021.11.30(21)申请号202110913299.XG06F21/55(2013.01)(22)申请日2021.08.10G06F21/57(2013.01)(71)申请人深圳开源互联网安全技术有限公司地址518100广东省深圳市龙华区龙华街道清祥路清湖工业园宝能科技园7栋B座6楼KL单位(72)发明人何成刚万振华王颉李华董燕(74)专利代理机构深圳市恒申知识产权事务所(普通合伙)44312代理人郑姣(51)Int.Cl.G06F16/35(2019.01)G06K9/62(2006.01)G06F40/284(2020.01)权利要求书2页说明书7页附图3页(54)发明名称一种日志的检测方法、装置及存储介质(57)摘要本发明提供了一种日志的检测方法、装置及存储介质，通过对Web系统的访问日志中目标日志数据进行特征提取，得到模型训练样本；根据所述模型训练样本对预设分类决策模型进行训练，得到漏洞检测模型；将待检测日志文件输入至所述漏洞检测模型，输出所述待检测日志文件的异常检测结果；其中，所述异常检测结果包括：所述待检测日志文件为正常文件、所述待检测日志文件为漏洞文件。由此，只需要少量的模型训练样本以及对模型训练样本的简单处理，即可得到漏洞检测模型，进而对待检测日志文件进行检测，使用方便的同时可以实现漏洞检测的高准确率。CN113722479ACN113722479A权利要求书1/2页1.一种日志的检测方法，其特征在于，所述方法包括：对Web系统的访问日志中目标日志数据进行特征提取，得到模型训练样本；根据所述模型训练样本对预设分类决策模型进行训练，得到漏洞检测模型；将待检测日志文件输入至所述漏洞检测模型，输出所述待检测日志文件的异常检测结果；其中，所述异常检测结果包括：所述待检测日志文件为正常文件、所述待检测日志文件为漏洞文件。2.如权利要求1所述的日志的检测方法，其特征在于，所述根据所述模型训练样本对预设分类决策模型进行训练，得到漏洞检测模型的步骤，包括：调用OneclassSVM模型；将所述模型训练样本输入至所述分类决策模型进行模型训练，对所述分类决策模型进行参数调优，得到所述漏洞检测模型。3.如权利要求2所述的日志的检测方法，其特征在于，所述OneclassSVM模型表示为：||xi‑o||2≤r+ζi,i＝1,2,3...mζi≥0,i＝1,2...m其中，o为球体中心，r为超球体半径，V(r)为超球体体积，C为惩罚系数，ζi为松弛变量。4.如权利要求3所述的日志的检测方法，其特征在于，所述分类决策模型表示为：其中，x(i)为行向量，σ为样本方差的算术平方根，γ为K为核函数。5.如权利要求1所述的日志的检测方法，其特征在于，所述对Web系统的访问日志中目标日志数据进行特征提取，得到模型训练样本的步骤之前，还包括：获取所述Web系统的访问日志中所有类型日志数据的重要级别；根据所述重要级别从所述所有类型日志数据中，选择所述目标日志数据。6.如权利要求1所述的日志的检测方法，其特征在于，所述对Web系统的访问日志的访问路径数据进行特征提取，得到模型训练样本的步骤，包括：对Web系统的访问日志的访问路径数据进行分词提取；其中，每个分词对应一个维度向量；计算所提取的分词的分类值，并将所述分类值填入对应向量位置，得到模型训练样本。7.如权利要求6所述的日志的检测方法，其特征在于，所述计算所提取的分词的分类值的步骤，包括：计算所提取的分词在所归属的字符串中的词频值；获取多条字符串，计算所提取的分词在所述多条字符串中的逆路径频率值；根据所述词频值以及所述逆路径频率值，计算出所述所提取的分词对应的分类值。8.一种日志的检测装置，其特征在于，所述装置包括：获取模块，用于对Web系统的访问日志中目标日志数据进行特征提取，得到模型训练样2CN113722479A权利要求书2/2页本；训练模块，用于根据所述模型训练样本对预设分类决策模型进行训练，得到漏洞检测模型；检测模块，将待检测日志文件输入至所述漏洞检测模型，输出所述待检测日志文件的异常检测结果；其中，所述异常检测结果包括：所述待检测日志文件为正常文件、所述待检测日志文件为漏洞文件。9.一种电子设备，其特征在于，所述电子设备包括处理器、存储器及通信总线；所述通信总线用于实现所述存储器、处理器之间的连接通信；所述处理器用于执行所述存储器中存储的计算机程序，以使得所述设备执行如权利要求1‑7任一项所述的方法。10.一种计算机可读存储介质，用于存储计算机程序，其特征在于，所述计算机程序被执行时，实现如权利要求1至7任一项所述的方法。3CN113722479A说明书1/7页一种日