(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211250455.X (22)申请日 2022.10.13 (71)申请人 北京微步在线科技有限公司 地址 100082 北京市海淀区苏州街 49-3号3 层301室 (72)发明人 孙晓申　薛锋　任政　童兆丰　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 专利代理师 赵兴 (51)Int.Cl. H04L 41/069(2022.01) H04L 9/40(2022.01) G06K 9/62(2022.01) G06F 16/29(2019.01) G06F 16/215(2019.01) (54)发明名称 基于场景的日志归类方法、 装置、 电子设备 及存储介质 (57)摘要 本申请实施例提供一种基于场景的日志归 类方法、 装置、 电子设备及存储介质， 其中， 该方 法包括： 获取原始日志数据； 对所述原始日志数 据进行解析， 得到日志关键特征信息； 根据预先 构建的威胁特征库对所述日志关键特征信息进 行补充； 根据预先构建的场景特征库对补充后的 日志关键特征信息进行归类， 得到归类结果。 实 施本申请实施例， 可 以提高归类的准确率， 减小 归类过程中产生的误差， 并且使得归类更加灵 活， 不依赖历史数据， 不 易出现误判。 权利要求书2页 说明书8页 附图2页 CN 115333930 A 2022.11.11 CN 115333930 A 1.一种基于场景的日志归类方法， 其特 征在于， 所述方法包括： 获取原始日志数据； 对所述原 始日志数据进行解析， 得到日志关键特 征信息； 根据预先构建的威胁特 征库对所述日志关键特 征信息进行补充； 根据预先构建的场景 特征库对补充后的日志关键特 征信息进行归类， 得到归类结果。 2.根据权利要求1所述的基于场景的日志归类方法， 其特征在于， 预先构建所述威胁特 征库的步骤， 包括： 获取融合字段和融合策略； 根据所述融合策略对所述融合字段进行融合， 生成所述 威胁特征库。 3.根据权利要求2所述的基于场景的日志归类方法， 其特征在于， 所述根据预先构建的 威胁特征库对所述日志关键特 征信息进行补充的步骤， 包括： 提取所述威胁特征库中的威胁特 征数据； 根据所述 威胁特征数据对所述日志关键特 征信息进行补充。 4.根据权利要求1所述的基于场景的日志归类方法， 其特征在于， 预先构建所述场景特 征库的步骤， 包括： 设置包含威胁维度、 日志维度和地理位置维度的特 征字段； 根据所述包 含威胁维度、 日志维度和地理位置维度的特 征字段构建所述场景 特征库。 5.根据权利要求1所述的基于场景的日志归类方法， 其特征在于， 所述根据预先构建的 场景特征库对补充后的日志关键特 征信息进行归类， 得到归类结果的步骤， 包括： 提取所述场景 特征库中的场景 特征字段； 根据所述场景 特征字段对所述日志关键特 征信息进行归类， 得到所述归类结果。 6.一种基于场景的日志归类装置， 其特 征在于， 所述装置包括： 获取模块， 用于获取原 始日志数据； 解析模块， 用于对所述原 始日志数据进行解析， 得到日志关键特 征信息； 补充模块， 用于根据预 先构建的威胁特 征库对所述日志关键特 征信息进行补充； 归类模块， 用于根据预先构建的场景特征库对补充后的日志关键特征信息进行归类， 得到归类结果。 7.根据权利要求6所述的基于场景的日志归类装置， 其特征在于， 所述装置还包括构建 模块， 用于： 获取融合字段和融合策略； 根据所述融合策略对所述融合字段进行融合， 生成所述 威胁特征库。 8.根据权利要求6所述的基于场景的日志归类装置， 其特征在于， 所述补充模块还用 于： 提取所述威胁特征库中的威胁特 征数据； 根据所述 威胁特征数据对所述日志关键特 征信息进行补充。 9.一种电子设备， 其特征在于， 包括存储器及处理器， 所述存储器用于存储计算机程 序， 所述处理器运行所述计算机程序以使 所述电子 设备执行根据权利要求 1至5中任一项 所 述的基于场景的日志归类方法。 10.一种计算机可读存储介质， 其特征在于， 其存储有计算机程序， 所述计算机程序被权　利　要　求　书 1/2 页 2 CN 115333930 A 2处理器执行时实现如权利要求1至 5中任一项所述的基于场景的日志归类方法。权　利　要　求　书 2/2 页 3 CN 115333930 A 3