一种异常告警的方法、装置、电子设备及可读存储介质与流程

1.本技术涉及信息安全技术领域，具体而言，涉及一种异常告警的方法、装置、电子设备及可读存储介质。


背景技术：

2.随着信息技术的发展，企业等机构中的互联网设备以及业务软件越来越多，机构中的业务操作数据也越来越多。
3.现有技术下，难以通过机构中海量的业务操作数据，对导致机构出现访问异常等问题的相关负责人员进行准确定位，进而无法及时向相关负责人员进行告警通知，不能及时对导致出现问题的相关负责人员进行处置，机构信息的安全性较差。
4.由此，如何准确定位以及告警通知问题负责人员，是一个需要解决的技术问题。


技术实现要素：

5.本技术实施例的目的在于提供一种异常告警的方法、装置、电子设备及可读存储介质，用以准确定位以及告警通知问题负责人员。
6.一方面，提供一种异常告警的方法，包括：
7.获取网络日志的网络关联数据；
8.采用多种异常分析规则，基于网络关联数据，分别对网络日志进行异常分析，获得网络日志的日志分析结果；
9.若基于日志分析结果，确定网络日志异常，则从网络关联数据中，获取网络日志对应的目标责任人；
10.基于网络日志的日志分析结果和目标责任人，进行异常告警通知。
11.在上述实现过程中，可以采用多种不同的异常分析规则，对网络日志进行多维度的分析，并可以根据网络日志的网络关联数据，准确定位异常网络日志的目标负责人，以及可以基于异常网络日志的日志分析结果和目标负责人进行异常告警通知，从而可以对导致问题的目标负责人进行告警以及处置，提高了信息安全性以及系统维护的效率。
12.一种实施方式中，采用多种异常分析规则，基于网络关联数据，分别对网络日志进行异常分析，获得网络日志的日志分析结果，包括：
13.获取各异常分析规则的执行顺序；
14.按照执行顺序，依次采用各异常分析规则对应的异常分析规则模型，基于网络日志的网络关联数据，对网络日志进行分析，获得网络日志的日志分析结果；
15.其中，异常分析规则模型是由多个算子组成的。
16.在上述实现过程中，采用各异常分析规则模型，依次分析网络日志的异常原因，可以对网络日志进行全方面的分析。
17.一种实施方式中，在采用多种异常分析规则，基于网络关联数据，分别对网络日志进行异常分析，获得网络日志的日志分析结果之前，还包括：
18.基于用户的算子选择指令，确定用户在配置应用界面中选择的各算子；
19.根据用户的算子连接指令，将用户分别针对每一异常分析规则选择的算子进行逻辑组合，获得各异常分析规则对应的异常分析规则模型。
20.在上述实现过程中，可以采用可视化拖拽算子的方式，生成异常分析规则模型，简化了异常分析规则模型生成的复杂度，提高了异常分析规则模型生成的效率。
21.一种实施方式中，网络日志的网络关联数据包括以下参数中的任意一种或任意组合：
22.网络日志对应的用户信息、操作指令信息、业务系统信息、目的资源信息、资源账号信息；
23.用户信息包括以下参数中的至少一种：源设备操作人员、资源负责人、组织负责人以及用户类别；
24.操作指令信息包括以下参数中的至少一种：操作指令、指令类型以及指令级别；
25.业务系统信息包括以下参数中的至少一种：业务系统标识信息以及业务系统级别；
26.目的资源信息包括以下参数中的至少一种：资源标识信息、资源类型以及资源级别；
27.资源账号信息包括以下参数中的至少一种：账号标识信息以及账号类别。
28.在上述实现过程中，获取网络日志在各维度的关联数据，以便后续的日志分析以及负责人定位。
29.一种实施方式中，若基于日志分析结果，确定网络日志异常，则从网络关联数据中，获取网络日志对应的目标责任人，包括：
30.判断网络日志的网络关联数据中是否存在网络日志对应的源设备操作人员；
31.若是，则将源设备操作人员，确定为网络日志对应的目标责任人；
32.否则，判断是否存在网络日志对应的目标资源负责人员；
33.若是，则将目标资源负责人员，确定为网络日志对应的目标责任人；
34.否则，将指定资源负责人员，确定为网络日志对应的目标责任人。
35.在上述实现过程中，可以按照负责人的判断顺序，准确定位目标负责人。
36.一种实施方式中，基于网络日志的日志分析结果和目标责任人，进行异常告警通知，包括：
37.获取目标责任人对应的组织负责人，组织负责人的通信地址信息，以及目标责任人的用户标识信息；
38.基于组织负责人的通信地址信息，向组织负责人发送异常告警通知消息，使得组织负责人基于日志分析结果对目标责任人进行管理；
39.其中，异常告警通知消息包含日志分析结果和目标责任人的用户标识信息。
40.在上述实现过程中，可以向目标负责人对应的组织负责人进行告警，使得组织负责人可以对目标负责人进行处罚等。
41.一种实施方式中，基于网络日志的日志分析结果和目标责任人，进行异常告警通知，包括：
42.获取目标责任人的通信地址信息；
43.基于目标责任人的通信地址信息，向目标责任人发送异常告警通知消息；
44.其中，异常告警通知消息包含日志分析结果。
45.在上述实现过程中，可以向目标负责人进行告警，使得目标负责人进行系统维护以及修正。
46.一方面，提供一种异常告警的装置，包括：
47.第一获取单元，用于获取网络日志的网络关联数据；
48.分析单元，用于采用多种异常分析规则，基于网络关联数据，分别对网络日志进行异常分析，获得网络日志的日志分析结果；
49.第二获取单元，用于若基于日志分析结果，确定网络日志异常，则从网络关联数据中，获取网络日志对应的目标责任人；
50.通知单元，用于基于网络日志的日志分析结果和目标责任人，进行异常告警通知。
51.一种实施方式中，分析单元用于：
52.获取各异常分析规则的执行顺序；
53.按照执行顺序，依次采用各异常分析规则对应的异常分析规则模型，基于网络日志的网络关联数据，对网络日志进行分析，获得网络日志的日志分析结果；
54.其中，异常分析规则模型是由多个算子组成的。
55.一种实施方式中，分析单元还用于：
56.基于用户的算子选择指令，确定用户在配置应用界面中选择的各算子；
57.根据用户的算子连接指令，将用户分别针对每一异常分析规则选择的算子进行逻辑组合，获得各异常分析规则对应的异常分析规则模型。
58.一种实施方式中，网络日志的网络关联数据包括以下参数中的任意一种或任意组合：
59.网络日志对应的用户信息、操作指令信息、业务系统信息、目的资源信息、资源账号信息；
60.用户信息包括以下参数中的至少一种：源设备操作人员、资源负责人、组织负责人以及用户类别；
61.操作指令信息包括以下参数中的至少一种：操作指令、指令类型以及指令级别；
62.业务系统信息包括以下参数中的至少一种：业务系统标识信息以及业务系统级别；
63.目的资源信息包括以下参数中的至少一种：资源标识信息、资源类型以及资源级别；
64.资源账号信息包括以下参数中的至少一种：账号标识信息以及账号类别。
65.一种实施方式中，第二获取单元用于：
66.判断网络日志的网络关联数据中是否存在网络日志对应的源设备操作人员；
67.若是，则将源设备操作人员，确定为网络日志对应的目标责任人；
68.否则，判断是否存在网络日志对应的目标资源负责人员；
69.若是，则将目标资源负责人员，确定为网络日志对应的目标责任人；
70.否则，将指定资源负责人员，确定为网络日志对应的目标责任人。
71.一种实施方式中，通知单元用于：
72.获取目标责任人对应的组织负责人，组织负责人的通信地址信息，以及目标责任人的用户标识信息；
73.基于组织负责人的通信地址信息，向组织负责人发送异常告警通知消息，使得组织负责人基于日志分析结果对目标责任人进行管理；
74.其中，异常告警通知消息包含日志分析结果和目标责任人的用户标识信息。
75.一种实施方式中，通知单元用于：
76.获取目标责任人的通信地址信息；
77.基于目标责任人的通信地址信息，向目标责任人发送异常告警通知消息；
78.其中，异常告警通知消息包含日志分析结果。
79.一方面，提供了一种电子设备，包括处理器以及存储器，存储器存储有计算机可读取指令，当计算机可读取指令由处理器执行时，运行如上述任一种异常告警的各种可选实现方式中提供的方法的步骤。
80.一方面，提供了一种可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时运行如上述任一种异常告警的各种可选实现方式中提供的方法的步骤。
81.一方面，提供了一种计算机程序产品，计算机程序产品在计算机上运行时，使得计算机执行如上述任一种异常告警的各种可选实现方式中提供的方法的步骤。
82.本技术实施例提供的一种异常告警的方法、装置、电子设备及可读存储介质中，获取网络日志的网络关联数据；采用多种异常分析规则，基于网络关联数据，分别对网络日志进行异常分析，获得网络日志的日志分析结果；若基于日志分析结果，确定网络日志异常，则从网络关联数据中，获取网络日志对应的目标责任人；基于网络日志的日志分析结果和目标责任人，进行异常告警通知。这样，可以采用多种不同的异常分析规则，对网络日志进行多维度的分析，并可以根据网络日志的网络关联数据，准确定位异常网络日志的目标负责人，以及可以基于异常网络日志的日志分析结果和目标负责人进行异常告警通知，从而可以对导致问题的目标负责人进行告警以及处置，提高了信息安全性以及系统维护的效率。
83.本技术的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本技术而了解。本技术的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
84.为了更清楚地说明本技术实施例的技术方案，下面将对本技术实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本技术的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
85.图1为本技术实施例提供的一种异常告警系统的架构示意图；
86.图2为本技术实施例提供的一种数据预处理的方法的实施流程图；
87.图3为本技术实施例提供的一种网络日志更新方法的实施流程图；
88.图4为本技术实施例提供的一种网络日志更新方法的实施流程图；
89.图5为本技术实施例提供的一种异常告警的方法的实施流程图；
90.图6为本技术实施例提供的一种异常分析的示例图；
91.图7为本技术实施例提供的一种异常分析的示例图；
92.图8为本技术实施例提供的一种异常告警通知的方法的实施流程图；
93.图9为本技术实施例提供的一种异常告警的装置的结构框图；
94.图10为本技术实施方式中一种电子设备的结构示意图。
具体实施方式
95.下面将结合本技术实施例中附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本技术实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本技术的实施例的详细描述并非旨在限制要求保护的本技术的范围，而是仅仅表示本技术的选定实施例。基于本技术的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本技术保护的范围。
96.应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本技术的描述中，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。
97.首先对本技术实施例中涉及的部分用语进行说明，以便于本领域技术人员理解。
98.终端设备：可以是移动终端、固定终端或便携式终端，例如移动手机、站点、单元、设备、多媒体计算机、多媒体平板、互联网节点、通信器、台式计算机、膝上型计算机、笔记本计算机、上网本计算机、平板计算机、个人通信系统设备、个人导航设备、个人数字助理、音频/视频播放器、数码相机/摄像机、定位设备、电视接收器、无线电广播接收器、电子书设备、游戏设备或者其任意组合，包括这些设备的配件和外设或者其任意组合。还可预见到的是，终端设备能够支持任意类型的针对用户的接口(例如可穿戴设备)等。
99.服务器：可以是独立的物理服务器，也可以是多个物理服务器构成的服务器集群或者分布式系统，还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务以及大数据和人工智能平台等基础云计算服务的云服务器。
100.为了可以准确定位以及告警通知问题负责人员，本技术实施例提供了一种异常告警的方法、装置、电子设备及可读存储介质。
101.参阅图1所示，为本技术实施例提供的一种异常告警系统的架构示意图。该异常告警系统包括数据采集模块101、异常分析模块102以及负责人员定位模块103以及异常告警通知模块104。
102.数据采集模块101：用于数据采集以及数据预处理。
103.具体的，采集网络日志以及原始网络数据，并将原始网络数据分类分级处理，以及从原始网络数据中，筛选出网络日志对应关联网络数据。
104.异常分析模块102：用于采用多种异常分析规则，基于网络日志的关联网络数据，分别网络日志进行分析，获得网络日志的日志分析结果。
105.其中，异常分析规则可以根据实际应用场景进行设置，在此不作限制。
106.负责人员定位模块103：确定网络日志异常时，从网络日志的关联数据中，获取网
络日志对应的目标责任人。
107.异常告警通知模块104：基于日志分析结果以及目标责任人，进行异常告警通知。
108.其中，网络日志可以包括以下参数中的任意一种或任意组合：
109.设备的系统日志(syslog)、应用系统的业务日志、邮件日志以及超文本传输协议(hyper text transport protocol，http)日志等。
110.一种实施方式中，数据采集模块101从设备侧(如，员工终端)采集系统日志，从应用系统采集系统的业务日志，从审计日志中筛选出邮件日志以及http日志等日志，并对冗余日志进行过滤，以及将采集的网络日志标准化，获得指定标准格式的网络日志。
111.一种实施方式中，数据采集模块101将网络日志进行标准化，获得标准化后的网络日志。
112.具体的，将网络日志进行解析，并从解析内容中提取各网络日志中的指定字段，如，where、when、who、what、why和how，以及将提取的指定字段进行组合，并将网络日志更新为组合后的日志内容。
113.其中，原始网络数据可以包括以下参数中的任意一种或任意组合：
114.员工信息、操作指令信息、业务系统信息、目的资源信息、资源账号信息。
115.员工信息可以包括：员工姓名、账号、组织、员工类型、员工对应的设备地址信息、邮箱以及手机号等。
116.例如，设备地址信息为终端互联网协议(internet protocol，ip)地址。
117.一种实施方式中，员工类别可以为内部员工、临时员工、协维员工、厂家人员等。
118.操作指令信息包括以下参数中的至少一种：操作指令、指令类型以及指令级别。
119.一种实施方式中，指令级别可以为极敏感指令操作，敏感指令操作，较敏感指令操作，低敏感日志操作。
120.实际应用中，指令级别也可以根据实际应用场景进行设置，在此不作限制。
121.业务系统信息包括以下参数中的至少一种：业务系统标识信息以及业务系统级别。
122.一种实施方式中，业务系统级别可以为核心业务系统、重要业务系统以及敏感业务系统等。
123.实际应用中，业务系统级别也可以根据实际应用场景进行设置，在此不作限制。
124.进一步的，业务系统信息还可以包括：业务系统名称，业务系统编号，以及业务系统的父级业务系统等。
125.目的资源信息包括以下参数中的至少一种：资源标识信息、资源类型以及资源级别。
126.一种实施方式中，资源级别可以为极敏感资产、敏感资产、较敏感资产以及低敏感资产。
127.实际应用中，资源级别也可以根据实际应用场景进行设置，在此不作限制。
128.进一步的，目的资源信息还可以包括：资源名称，资源地址信息，如，资源ip，资源所属业务系统以及资源负责人等。
129.资源账号信息包括以下参数中的至少一种：账号标识信息以及账号类别。
130.一种实施方式中，账号类别可以为程序账号、共享账号、运维账号、未分类账号。
131.实际应用中，账号类别也可以根据实际应用场景进行设置，在此不作限制。
132.进一步的，资源账号信息还可以包括：资源账号名称以及所属资源等。
133.需要说明的是，员工类型、指令级别、业务系统级别、资源级别以及账号类别，可以是直接采集获得的，也可以是对采集的原始网络数据进行分类分级处理后获得的，在此不作限制。
134.实际应用中，可以根据实际应用场景，对原始网络数据进行分类分级处理，在此不作限制。
135.实际应用中，网络日志、员工信息、操作指令信息、业务系统信息、目的资源信息以及资源账号信息，均可以根据实际应用场景进行设置，在此不作限制。
136.其中，根据网络日志，对原始网络数据进行筛选，获得网络日志对应的网络关联数据，网络关联数据可以包括以下参数中的任意一种或任意组合：
137.网络日志对应的用户信息、操作指令信息、业务系统信息、目的资源信息以及资源账号信息。
138.其中，用户信息可以包括以下参数中的至少一种：源设备操作人员、资源负责人、组织负责人以及用户类别。
139.其中，源设备操作人员为网络日志中的源地址信息对应的源设备的操作人员。资源负责人为网络日志中的目的访问资源的负责人员。组织负责人为组织机构中进行管理的人员，可以根据异常告警通知进行后续的系统维护以及人员处置。用户类别包括源设备操作人员、资源负责人、组织负责人。
140.实际应用中，用户类别也可以根据实际应用场景进行设置，在此不作限制。
141.本技术实施例中，执行主体可以为电子设备，可选的，电子设备可以为服务器，也可以为终端设备。用户终端可以为终端设备，在此不作限制。
142.参阅图2所示，为本技术实施例提供的一种数据预处理的方法的实施流程图。本技术实施例中，数据采集模块在采集了网络日志以及关联数据之后，将网络日志以及关联数据关联存储，并将关联数据分类分级存储。
143.数据预处理的方法的具体实施流程如下：
144.步骤200：采集并存储网络日志以及原始网络数据。
145.具体的，采集并存储网络日志、员工信息、目的资源信息、业务系统信息、资源账号信息以及操作指令信息。
146.一种实施方式中，采集设备的系统日志、应用系统的业务日志、邮件日志以及http日志等网络日志，并采集员工姓名、账号、组织、员工类型、员工对应的设备地址信息，(如，终端ip地址)，邮箱以及手机号等员工信息，以及采集资源标识信息、资源类型、资源名称，资源地址信息，资源所属业务系统以及资源负责人等目的资源信息，还可以采集业务系统名称，业务系统编号，以及业务系统的父级业务系统等业务系统信息，还可以采集业务系统标识信息、业务系统名称，业务系统编号，以及业务系统的父级业务系统等业务系统信息，还可以采集操作指令以及指令类型等操作指令信息。
147.可选的，可以采用结构化查询语言(structured query language，sql)、分布式存储系统(hadoop database，hbase)以及云数据库(cloud database，cdb)等方式存储网络日志以及原始网络数据。
148.步骤201：根据员工信息，获取员工与设备地址信息之间的第一对应关系。
149.具体的，根据员工对应的设备地址信息，获取员工与设备地址信息之间的第一对应关系。
150.实际应用中，企业等机构通常会为每一员工分配专属的终端设备(如，办公电脑)，员工可以通过员工账号等方式登录和使用自己的终端设备，从而将员工与终端设备进行绑定。
151.步骤202：根据员工与设备地址信息之间的第一对应关系，获取网络日志中的源地址信息对应的源设备操作人员。
152.具体的，源地址信息可以为源ip。
153.这样，就可以确定执行网络日志中的网络请求的源设备的操作人员。
154.步骤203：根据目标资源信息、业务系统信息以及资源账号信息，建立资源地址信息、资源负责人、资源标识信息、业务系统、业务系统负责人之间的第二对应关系。
155.步骤204：根据第二对应关系，确定网络日志中的目的地址信息对应的资源负责人、业务系统以及业务系统负责人。
156.步骤205：根据源设备操作人员、资源负责人、业务系统以及业务系统负责人，确定网络日志对应的用户信息。
157.这样，就可以直接确定网络日志的用户信息了。
158.步骤206：对原始网络数据进行分类分级处理，获得分类分级处理后的原始网络数据。
159.具体的，可以根据员工信息将员工分类，确定各用户的员工类型，并根据操作指令信息将指令分级，获得各操作指令的指令级别，以及根据业务系统信息进行级别划分，获得各业务系统的业务系统级别，并根据目的资源信息进行分级，获得各资源的资源级别，并根据资源账号信息进行分级，获得各资源账号的账号类别。
160.步骤207：根据分类分级处理后的原始网络数据以及用户信息，确定网络日志的网络关联数据。
161.进一步的，还可以将网络日志对应的网络关联数据，添加到网络日志中，获得更新后的网络日志。
162.一种实施方式中，可以根据源设备操作人员更新网络日志。参阅图3所示，为本技术实施例提供的一种网络日志更新方法的实施流程图。该方法的具体流程如下：
163.步骤300：获取网络日志中的源地址信息。
164.步骤301：根据员工与设备地址信息之间的第一对应关系，获取网络日志中的源地址信息对应的源设备操作人员。
165.步骤302：判断是否获取失败，若是，则执行步骤303，否则，执行步骤304。
166.步骤303：将指定操作人员确定为源设备操作人员。
167.步骤304：基于源设备操作人员，对网络日志进行更新。
168.其中，根据源设备操作人员，对网络日志进行更新时，可以采用以下方式：
169.将源设备操作人员的用户信息，添加到网络日志中。
170.例如，将源设备操作人员的员工标识(identification，id)、员工工号以及员工姓名添加到网络日志中。
171.一种实施方式中，可以根据目的资源信息以及业务系统信息，对网络日志进行更新，参阅图4所示，为本技术实施例提供的一种网络日志更新方法的实施流程图。该方法的具体流程如下：
172.步骤400：从网络日志中获取目的地址信息。
173.例如，从网络日志中获取目的ip。
174.步骤401：根据第二对应关系，获取目标地址信息对应的目的资源信息以及业务系统信息。
175.步骤402：判断是否获取失败，若是，则执行步骤403，否则，执行步骤404。
176.步骤403：将指定目的资源信息以及指定业务系统信息，确定为目标地址信息对应的目的资源信息以及业务系统信息。
177.步骤404：基于目标地址信息对应的目的资源信息以及业务系统信息，对网络日志进行更新。
178.一种实施方式中，将目标地址信息对应的目的资源信息以及业务系统信息，添加到网络日志中。
179.这样，就可以实现数据的采集以及预处理，从而可以在后续的步骤中，根据预处理后的数据，进行异常分析以及异常告警。
180.参阅图5所示，为本技术实施例提供的一种异常告警的方法的实施流程图，该方法的具体实施流程如下：
181.步骤500：获取网络日志的网络关联数据。
182.步骤501：采用多种异常分析规则，基于网络关联数据，分别对网络日志进行异常分析，获得网络日志的日志分析结果。
183.具体的，执行步骤501时，可以采用以下步骤：
184.s5011：获取各异常分析规则的执行顺序。
185.可选的，各异常分析规则的执行顺序可以是默认设置的，也可以根据用户的指令实时设置的，在此不作限制。
186.其中，异常分析规则可以是采用以下技术中的任意一种或任意组合生成的：
187.弗林克(flink)流式处理规则、计算引擎(spark)微批处理技术、有监督算法、支持向量机以及无监督算法。
188.其中，有监督算法可以包括：随机森林，梯度提升树，词向量生成模型(word2vec)，隐含狄利克雷分布(latent dirichlet allocation，lda)主题，朴素贝叶斯，长短期记忆网络(long short
‑
term memory，lstm)以及差分自回归移动平均模型(autoregressive integrated moving average model，arima)。支持向量机以及无监督算法可以包括：孤立森林，密度聚类，层次聚类，k均值聚类算法(k
‑
means clustering algorithm，k
‑
means)以及一异常检测算法(oneclasssvm)算法。
189.实际应用中，异常分析规则是根据实际应用场景进行设置的，在此不作限制。
190.s5012：按照各异常分析规则的执行顺序，依次采用各异常分析规则对应的异常分析规则模型，基于网络日志的网络关联数据，对网络日志进行分析，获得网络日志的日志分析结果。
191.其中，异常分析规则模型是由多个算子组成的。在执行s5012之前，还可以先设置
各异常分析规则的异常分析规则模型。
192.具体的，基于用户的算子选择指令，确定用户在配置应用界面中选择的各算子，并根据用户的算子连接指令，将用户分别针对每一异常分析规则选择的算子进行逻辑组合，获得各异常分析规则对应的异常分析规则模型。
193.其中，每一异常分析规则对应的异常分析规则模型用于采用相应的异常分析规则对网络日志进行异常分析。
194.这样，用户就可以通过可视化拖拽算子的方式，生成各异常分析规则对应的异常分析规则模型，简单方便，提高了模型生成的效率。
195.一种实施方式中，若确定普通员工执行高危敏感操作(即指令级别较高)、导出数据库指定数据、下载指定类型数据或执行离职行为操作等，则确定出现异常。异常分析规则可以设置为满足以下条件中的任意一种或任意组合：
196.条件1：确定源设备操作人员的员工类别为指定员工类别(如，临时员工)。
197.条件2：确定操作指令的指令级别为指定指令级别(如，极敏感指令操作)。
198.条件3：确定操作指令为指定操作指令，如，导出数据库指定数据、下载指定类型数据的操作指令以及执行指定离职操作行为的操作指令。
199.一种实施方式中，可以采用有监督算法以及无监督算法设置异常分析规则，从而可以根据异常分析规则，分析网络日志的资源账号是否异常、预测员工离职概率以及访问数据是否异常。
200.实际应用中，异常分析规则可以根据实际应用场景进行设置，在此不作限制。
201.参阅图6所示，为本技术实施例提供的一种异常分析的示例图。图6中，基于flink流式处理规则和spark微批处理技术，配置异常分析规则，并通过配置好的各异常分析规则，依次对网络日志进行分析，即依次判断是否存在导出数据库指定数据、执行高危敏感操作、下载指定类型数据以及执行离职行为操作等异常操作。
202.参阅图7所示，为本技术实施例提供的一种异常分析的示例图。图7中，基于有监督算法和无监督算法，配置异常分析规则，并通过配置好的各异常分析规则，依次对网络日志进行分析，即依次识别资源账号是否异常、预测员工离职概率以及是否访问业务偏离等。
203.这样，就可以通过多种异常分析规则，对网络日志进行全方面的分析，以确定网络日志是否存在异常以及异常类型。
204.步骤502：若基于日志分析结果，确定网络日志异常，则从网络关联数据中，获取网络日志对应的目标责任人。
205.具体的，网络日志的目标负责人可以为以下人员中的任意一种或任意组合：
206.源设备操作人员、目标资源负责人员以及指定资源负责人员。
207.一种实施方式中，执行步骤502时，可以采用以下步骤：
208.判断网络日志的网络关联数据中是否存在网络日志对应的源设备操作人员，若是，则将源设备操作人员，确定为网络日志对应的目标责任人，否则，判断是否存在网络日志对应的目标资源负责人员，若是，则将目标资源负责人员，确定为网络日志对应的目标责任人，否则，将指定资源负责人员，确定为网络日志对应的目标责任人。
209.这样，就可以确定网络日志的目标责任人。
210.步骤503：基于网络日志的日志分析结果和目标责任人，进行异常告警通知。
211.具体的，执行步骤503时，可以采用以下任一方式：
212.方式1：向目标责任人的组织负责人发送异常告警通知消息。
213.具体的，获取目标责任人对应的组织负责人，组织负责人的通信地址信息，以及目标责任人的用户标识信息，并基于组织负责人的通信地址信息，向组织负责人发送异常告警通知消息。
214.这样，组织负责人就可以基于日志分析结果，对目标责任人进行管理，如，确定异常类型以及目标责任人后，可以根据异常类型，通知相关人员进行系统维护以及处置目标责任人等。
215.其中，异常告警通知消息可以包含日志分析结果和目标责任人的用户标识信息。异常分析结果中可以包含网络日志的异常类型。
216.方式2：向目标责任人发送异常告警通知消息。
217.具体的，获取目标责任人的通信地址信息，并基于目标责任人的通信地址信息，向目标责任人发送异常告警通知消息。
218.其中，异常告警通知消息中可以包含日志分析结果。异常分析结果中可以包含网络日志的异常类型。
219.这样，就可以向导致出现问题的目标责任人发送告警，使得目标责任人意识到执行了敏感操作，以及时进行修正，或者，可以向负责资源维护的目标责任人发送告警，使得目标责任人意识到资源访问出现问题，则可以及时进行系统维护。
220.参阅图8所示，为本技术实施例提供的一种异常告警通知的方法的实施流程图。该方法的具体流程如下：
221.步骤800：判断网络日志的网络关联数据中是否存在网络日志对应的源设备操作人员，若是，则执行步骤801，否则，执行步骤802。
222.步骤801：将源设备操作人员，确定为网络日志对应的目标责任人，执行步骤805。
223.步骤802：判断是否存在网络日志对应的目标资源负责人员，若是，则执行步骤803，否则，执行步骤804。
224.步骤803：将目标资源负责人员，确定为网络日志对应的目标责任人，执行步骤805。
225.步骤804：将指定资源负责人员，确定为网络日志对应的目标责任人。
226.步骤805：向目标责任人对应的组织负责人，发送异常告警通知消息。
227.其中，向组织负责人进行异常告警通知时，可以采用工单、短信、邮件、推送以及音视频电话等任意方式，在此不作限制。
228.这是由于企业分工责任制规定谁使用，谁负责，谁管理，谁负责，谁审批，谁负责的定责次序，依次对实际操作人，资源负责人以及业务系统负责人顺序进行责任划定，从而可以通过工单以及短信等方式通知组织负责人，由组织负责人根据责任划定追究对应人员相关违规责任。
229.本技术实施例中，将原始网络数据中的操作主体(即源设备操作人员)、操作内容(即操作指令)以及操作客体(即访问的目的资源)进行分类以及分级处理，从而可以灵活适应于多种异常分析规则。
230.接着，从分类分级处理后的原始网络数据中，分别确定每一网络日志的网络关联
数据，建立网络日志与网络关联数据之间的对应关系，或者，将网络关联数据添加到网络日志中，以便后续的网络日志分析。
231.再者，针对不同的异常分析目标，采用不同的算法，确定不同的异常分析规则，并采用可视化拖拽算子的方式，将各算子进行逻辑组合，获得各异常分析规则模型，进而可以通过各异常分析规则模型，对网络日志进行全方面的异常分析，适用范围广，提高了异常分析的效率和准确率，降低了企业等机构面临的风险，提高了信息安全性，最后，进行责任划分，确定导致异常问题的目标责任人，以及通知管理的组织负责人进行维护以及人员处置，实现了系统的完整闭环处置，降低了人力成本投入。
232.基于同一发明构思，本技术实施例中还提供了一种异常告警的装置，由于上述装置及设备解决问题的原理与一种异常告警的方法相似，因此，上述装置的实施可以参见方法的实施，重复之处不再赘述。
233.如图9所示，其为本技术实施例提供的一种异常告警的装置的结构示意图，包括：
234.第一获取单元901，用于获取网络日志的网络关联数据；
235.分析单元902，用于采用多种异常分析规则，基于网络关联数据，分别对网络日志进行异常分析，获得网络日志的日志分析结果；
236.第二获取单元903，用于若基于日志分析结果，确定网络日志异常，则从网络关联数据中，获取网络日志对应的目标责任人；
237.通知单元904，用于基于网络日志的日志分析结果和目标责任人，进行异常告警通知。
238.一种实施方式中，分析单元902用于：
239.获取各异常分析规则的执行顺序；
240.按照执行顺序，依次采用各异常分析规则对应的异常分析规则模型，基于网络日志的网络关联数据，对网络日志进行分析，获得网络日志的日志分析结果；
241.其中，异常分析规则模型是由多个算子组成的。
242.一种实施方式中，分析单元902还用于：
243.基于用户的算子选择指令，确定用户在配置应用界面中选择的各算子；
244.根据用户的算子连接指令，将用户分别针对每一异常分析规则选择的算子进行逻辑组合，获得各异常分析规则对应的异常分析规则模型。
245.一种实施方式中，网络日志的网络关联数据包括以下参数中的任意一种或任意组合：
246.网络日志对应的用户信息、操作指令信息、业务系统信息、目的资源信息、资源账号信息；
247.用户信息包括以下参数中的至少一种：源设备操作人员、资源负责人、组织负责人以及用户类别；
248.操作指令信息包括以下参数中的至少一种：操作指令、指令类型以及指令级别；
249.业务系统信息包括以下参数中的至少一种：业务系统标识信息以及业务系统级别；
250.目的资源信息包括以下参数中的至少一种：资源标识信息、资源类型以及资源级别；
251.资源账号信息包括以下参数中的至少一种：账号标识信息以及账号类别。
252.一种实施方式中，第二获取单元903用于：
253.判断网络日志的网络关联数据中是否存在网络日志对应的源设备操作人员；
254.若是，则将源设备操作人员，确定为网络日志对应的目标责任人；
255.否则，判断是否存在网络日志对应的目标资源负责人员；
256.若是，则将目标资源负责人员，确定为网络日志对应的目标责任人；
257.否则，将指定资源负责人员，确定为网络日志对应的目标责任人。
258.一种实施方式中，通知单元904用于：
259.获取目标责任人对应的组织负责人，组织负责人的通信地址信息，以及目标责任人的用户标识信息；
260.基于组织负责人的通信地址信息，向组织负责人发送异常告警通知消息，使得组织负责人基于日志分析结果对目标责任人进行管理；
261.其中，异常告警通知消息包含日志分析结果和目标责任人的用户标识信息。
262.一种实施方式中，通知单元904用于：
263.获取目标责任人的通信地址信息；
264.基于目标责任人的通信地址信息，向目标责任人发送异常告警通知消息；
265.其中，异常告警通知消息包含日志分析结果。
266.本技术实施例提供的一种异常告警的方法、装置、电子设备及可读存储介质中，获取网络日志的网络关联数据；采用多种异常分析规则，基于网络关联数据，分别对网络日志进行异常分析，获得网络日志的日志分析结果；若基于日志分析结果，确定网络日志异常，则从网络关联数据中，获取网络日志对应的目标责任人；基于网络日志的日志分析结果和目标责任人，进行异常告警通知。这样，可以采用多种不同的异常分析规则，对网络日志进行多维度的分析，并可以根据网络日志的网络关联数据，准确定位异常网络日志的目标负责人，以及可以基于异常网络日志的日志分析结果和目标负责人进行异常告警通知，从而可以对导致问题的目标负责人进行告警以及处置，提高了信息安全性以及系统维护的效率。
267.图10示出了一种电子设备1000的结构示意图。参阅图10所示，电子设备1000包括：处理器1010和存储器1020，可选的，还可以包括电源1030、显示单元1040以及输入单元1050。
268.处理器1010是电子设备1000的控制中心，利用各种接口和线路连接各个部件，通过运行或执行存储在存储器1020内的软件程序和/或数据，执行电子设备1000的各种功能，从而对电子设备1000进行整体监控。
269.本技术实施例中，处理器1010调用存储器1020中存储的计算机程序时执行如图5中所示的实施例提供的异常告警的方法。
270.可选的，处理器1010可包括一个或多个处理单元；优选的，处理器1010可集成应用处理器和调制解调处理器，其中，应用处理器主要处理操作系统、用户界面和应用等，调制解调处理器主要处理无线通信。可以理解的是，上述调制解调处理器也可以不集成到处理器1010中。在一些实施例中，处理器、存储器、可以在单一芯片上实现，在一些实施例中，它们也可以在独立的芯片上分别实现。
271.存储器1020可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、各种应用等；存储数据区可存储根据电子设备1000的使用所创建的数据等。此外，存储器1020可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件等。
272.电子设备1000还包括给各个部件供电的电源1030(比如电池)，电源可以通过电源管理系统与处理器1010逻辑相连，从而通过电源管理系统实现管理充电、放电、以及功耗等功能。
273.显示单元1040可用于显示由用户输入的信息或提供给用户的信息以及电子设备1000的各种菜单等，本发明实施例中主要用于显示电子设备1000中各应用的显示界面以及显示界面中显示的文本、图片等对象。显示单元1040可以包括显示面板1041。显示面板1041可以采用液晶显示屏(liquid crystal display，lcd)、有机发光二极管(organic light
‑
emitting diode，oled)等形式来配置。
274.输入单元1050可用于接收用户输入的数字或字符等信息。输入单元1050可包括触控面板1051以及其他输入设备1052。其中，触控面板1051，也称为触摸屏，可收集用户在其上或附近的触摸操作(比如用户使用手指、触摸笔等任何适合的物体或附件在触控面板1051上或在触控面板1051附近的操作)。
275.具体的，触控面板1051可以检测用户的触摸操作，并检测触摸操作带来的信号，将这些信号转换成触点坐标，发送给处理器1010，并接收处理器1010发来的命令并加以执行。此外，可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触控面板1051。其他输入设备1052可以包括但不限于物理键盘、功能键(比如音量控制按键、开关机按键等)、轨迹球、鼠标、操作杆等中的一种或多种。
276.当然，触控面板1051可覆盖显示面板1041，当触控面板1051检测到在其上或附近的触摸操作后，传送给处理器1010以确定触摸事件的类型，随后处理器1010根据触摸事件的类型在显示面板1041上提供相应的视觉输出。虽然在图10中，触控面板1051与显示面板1041是作为两个独立的部件来实现电子设备1000的输入和输出功能，但是在某些实施例中，可以将触控面板1051与显示面板1041集成而实现电子设备1000的输入和输出功能。
277.电子设备1000还可包括一个或多个传感器，例如压力传感器、重力加速度传感器、接近光传感器等。当然，根据具体应用中的需要，上述电子设备1000还可以包括摄像头等其它部件，由于这些部件不是本技术实施例中重点使用的部件，因此，在图10中没有示出，且不再详述。
278.本领域技术人员可以理解，图10仅仅是电子设备的举例，并不构成对电子设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件。
279.本技术实施例中，一种可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时，使得通信设备可以执行上述实施例中的各个步骤。
280.为了描述的方便，以上各部分按照功能划分为各模块(或单元)分别描述。当然，在实施本技术时可以把各模块(或单元)的功能在同一个或多个软件或硬件中实现。
281.本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机
可用存储介质(包括但不限于磁盘存储器、cd
‑
rom、光学存储器等)上实施的计算机程序产品的形式。
282.本技术是参照根据本技术实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
283.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
284.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
285.尽管已描述了本技术的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本技术范围的所有变更和修改。
286.显然，本领域的技术人员可以对本技术进行各种改动和变型而不脱离本技术的精神和范围。这样，倘若本技术的这些修改和变型属于本技术权利要求及其等同技术的范围之内，则本技术也意图包含这些改动和变型在内。