日志行为事件生成方法、装置、设备及存储介质与流程

1.本发明涉及数据处理技术领域，尤其涉及一种日志行为事件生成方法、装置、设备及存储介质。


背景技术：

2.目前，在终端安全响应系统中用户登录等相关事件是很重要的一类上报事件，工程师可以针对用户登录等相关事件分析终端安全响应系统中所产生的问题，现有技术中仅仅通过人工在特定的时间采集终端安全响应系统中的多个用户登录信息，并利用人工组合多个用户登录信息，但这种方式不仅仅会导致生成的日志行为事件不精准，还会降低日志行为事件生成效率。
3.上述内容仅用于辅助理解本发明的技术方案，并不代表承认上述内容是现有技术。


技术实现要素：

4.本发明的主要目的在于提供了一种日志行为事件生成方法、装置、设备及存储介质，旨在解决如何在提高日志行为事件生成效率的同时，精准获取日志行为事件的技术问题。
5.为实现上述目的，本发明提供了一种日志行为事件生成方法，所述日志行为事件生成方法包括以下步骤：
6.在检测到系统登录操作指令时，根据所述系统登录操作指令获取登录行为信息；
7.对所述登录行为信息进行特征提取，以获得多个登录特征信息；
8.按照预设审计策略从多个所述登录特征信息中确定日志特征信息；
9.根据所述日志特征信息从所述登录行为信息中提取目标登录行为信息；
10.根据所述目标登录行为信息生成日志行为事件。
11.可选地，所述对所述登录行为信息进行特征提取，以获得多个登录特征信息的步骤，包括：
12.获取所述登录行为信息对应的行为类型；
13.根据所述行为类型确定对应的预设提取策略；
14.基于所述预设提取策略对所述登录行为信息进行特征提取，以获得多个登录特征信息。
15.可选地，所述根据所述行为类型确定对应的预设提取策略的步骤，包括：
16.根据所述行为类型确定所述登录行为信息对应的行为字段；
17.根据所述行为字段确定对应的预设提取策略。
18.可选地，所述根据所述行为字段确定对应的预设提取策略的步骤，包括：
19.根据所述行为字段生成登录行为编码；
20.根据所述登录行为编码从预设策略映射关系表中匹配对应的样本提取策略，所述
预设策略映射关系表中存在多个登录行为编码和多个样本提取策略；
21.将所述样本提取策略作为所述登录行为信息对应的预设提取策略。
22.可选地，所述基于所述预设提取策略对所述登录行为信息进行特征提取，以获得多个登录特征信息的步骤，包括：
23.基于所述预设提取策略对所述登录行为信息进行特征提取，获得多个待确定登录特征信息；
24.确定多个所述待确定登录特征信息对应的特征数量；
25.判断所述特征数量是否大于或等于预设特征阈值；
26.在所述特征数量大于或等于所述预设特征阈值时，将多个所述待确定登录特征信息作为所述登录行为信息对应的多个登录特征信息。
27.可选地，所述根据所述目标登录行为信息生成日志行为事件的步骤之前，还包括：
28.确定所述目标登录行为信息对应的存储量；
29.判断所述存储量是否满足预设存储条件；
30.在所述存储量满足所述预设存储条件时，执行所述根据所述目标登录行为信息生成日志行为事件的步骤。
31.可选地，所述判断所述存储量是否满足预设存储条件的步骤之后，还包括：
32.在所述存储量不满足所述预设存储条件时，根据所述目标登录行为信息确定缺失登录信息；
33.获取所述缺失登录信息对应的登录时间信息；
34.根据所述登录时间信息获取所述缺失登录信息对应的待处理登录行为信息；
35.根据所述目标登录行为信息及所述待处理登录行为信息确定待确认登录行为信息；
36.获取所述待确认登录行为信息对应的行为类型。
37.可选地，所述根据所述目标登录行为信息生成日志行为事件的步骤，包括：
38.对所述目标登录行为信息进行拆分处理，获得多个待拼接登录行为信息；
39.根据多个所述待拼接登录行为信息确定预设拼接策略；
40.基于所述预设拼接策略对多个所述待拼接登录行为信息进行组合，获得日志行为事件。
41.可选地，所述对所述目标登录行为信息进行拆分处理，获得多个待拼接登录行为信息的步骤之前，还包括：
42.获取所述目标登录行为信息对应的登录格式信息；
43.判断所述登录格式信息是否满足预设格式条件；
44.在所述登录格式信息满足所述预设格式条件时，执行所述对所述目标登录行为信息进行拆分处理，获得多个待拼接登录行为信息的步骤。
45.可选地，所述根据多个所述待拼接登录行为信息确定预设拼接策略的步骤，包括：
46.分别确定各待拼接登录行为信息对应的行为等级；
47.根据所述行为等级对多个所述待拼接登录行为信息进行排序，以获得对应的登录排序结果；
48.根据所述登录排序结果确定预设拼接策略。
49.可选地，所述根据所述登录排序结果确定预设拼接策略的步骤，包括：
50.根据所述登录排序结果从多个待拼接登录行为信息中确定第一登录行为信息和第二登录行为信息；
51.确定所述第一登录行为信息与所述第二登录行为信息之间的距离分值；
52.根据所述距离分值确定预设拼接策略。
53.此外，为实现上述目的，本发明还提出一种日志行为事件生成装置，所述日志行为事件生成装置包括：
54.获取模块，用于在检测到系统登录操作指令时，根据所述系统登录操作指令获取登录行为信息；
55.提取模块，用于对所述登录行为信息进行特征提取，以获得多个登录特征信息；
56.确定模块，用于按照预设审计策略从多个所述登录特征信息中确定日志特征信息；
57.所述提取模块，还用于根据所述日志特征信息从所述登录行为信息中提取目标登录行为信息；
58.生成模块，用于根据所述目标登录行为信息生成日志行为事件。
59.可选地，所述提取模块，还用于获取所述登录行为信息对应的行为类型；
60.所述提取模块，还用于根据所述行为类型确定对应的预设提取策略；
61.所述提取模块，还用于基于所述预设提取策略对所述登录行为信息进行特征提取，以获得多个登录特征信息。
62.可选地，所述提取模块，还用于根据所述行为类型确定所述登录行为信息对应的行为字段；
63.所述提取模块，还用于根据所述行为字段确定对应的预设提取策略。
64.可选地，所述提取模块，还用于根据所述行为字段生成登录行为编码；
65.所述提取模块，还用于根据所述登录行为编码从预设策略映射关系表中匹配对应的样本提取策略，所述预设策略映射关系表中存在多个登录行为编码和多个样本提取策略；
66.所述提取模块，还用于将所述样本提取策略作为所述登录行为信息对应的预设提取策略。
67.可选地，所述提取模块，还用于基于所述预设提取策略对所述登录行为信息进行特征提取，获得多个待确定登录特征信息；
68.所述提取模块，还用于确定多个所述待确定登录特征信息对应的特征数量；
69.所述提取模块，还用于判断所述特征数量是否大于或等于预设特征阈值；
70.所述提取模块，还用于在所述特征数量大于或等于所述预设特征阈值时，将多个所述待确定登录特征信息作为所述登录行为信息对应的多个登录特征信息。
71.可选地，所述生成模块，还用于对所述目标登录行为信息进行拆分处理，获得多个待拼接登录行为信息；
72.所述生成模块，还用于根据多个所述待拼接登录行为信息确定预设拼接策略；
73.所述生成模块，还用于基于所述预设拼接策略对多个所述待拼接登录行为信息进行组合，获得日志行为事件。
74.可选地，所述生成模块，还用于获取所述目标登录行为信息对应的登录格式信息；
75.所述生成模块，还用于判断所述登录格式信息是否满足预设格式条件；
76.所述生成模块，还用于在所述登录格式信息满足所述预设格式条件时，执行所述对所述目标登录行为信息进行拆分处理，获得多个待拼接登录行为信息的操作。
77.此外，为实现上述目的，本发明还提出一种日志行为事件生成设备，所述设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的日志行为事件生成程序，所述日志行为事件生成程序配置为实现如上文所述的日志行为事件生成方法的步骤。
78.此外，为实现上述目的，本发明还提出一种存储介质，所述存储介质上存储有日志行为事件生成程序，所述日志行为事件生成程序被处理器执行时实现如上文所述的日志行为事件生成方法的步骤。
79.本发明在检测到系统登录操作指令时，首先根据系统登录操作指令获取登录行为信息，然后对登录行为信息进行特征提取，以获得多个登录特征信息，之后按照预设审计策略从多个登录特征信息中确定日志特征信息，最后根据日志特征信息从多个登录行为信息中提取目标登录行为信息，并根据目标登录行为信息生成日志行为事件。由于现有技术中，需要人工统计终端安全响应系统中用户登录信息，而本发明中基于预设审计策略从登录行为信息中确定目标登录行为信息，之后根据目标登录行为信息生成日志行为事件，从而实现了精准获取日志行为事件，提高了日志行为事件生成效率，进而提高了用户体验。
附图说明
80.图1是本发明实施例方案涉及的硬件运行环境的日志行为事件生成设备的结构示意图；
81.图2为本发明日志行为事件生成方法第一实施例的流程示意图；
82.图3为本发明日志行为事件生成方法第二实施例的流程示意图；
83.图4为本发明日志行为事件生成方法第三实施例的流程示意图；
84.图5为本发明日志行为事件生成装置第一实施例的结构框图。
85.本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。
具体实施方式
86.应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。
87.参照图1，图1为本发明实施例方案涉及的硬件运行环境的日志行为事件生成设备结构示意图。
88.如图1所示，该日志行为事件生成设备可以包括：处理器1001，例如中央处理器(central processing unit，cpu)，通信总线1002、用户接口1003，网络接口1004，存储器1005。其中，通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(display)、输入单元比如键盘(keyboard)，可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真(w ireless-fidelity，wi-fi)接口)。存储器1005可以是高速的随机存取存储器(random access memory，ram)存储器，也可以是稳定的非易失性存储器(non-volatile memory，
nvm)，例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
89.本领域技术人员可以理解，图1中示出的结构并不构成对日志行为事件生成设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。
90.如图1所示，作为一种存储介质的存储器1005中可以包括操作系统、数据存储模块、网络通信模块、用户接口模块以及日志行为事件生成程序。
91.在图1所示的日志行为事件生成设备中，网络接口1004主要用于与网络服务器进行数据通信；用户接口1003主要用于与用户进行数据交互；本发明日志行为事件生成设备中的处理器1001、存储器1005可以设置在日志行为事件生成设备中，所述日志行为事件生成设备通过处理器1001调用存储器1005中存储的日志行为事件生成程序，并执行本发明实施例提供的日志行为事件生成方法。
92.本发明实施例提供了一种日志行为事件生成方法，参照图2，图2为本发明日志行为事件生成方法第一实施例的流程示意图。
93.本实施例中，所述日志行为事件生成方法包括以下步骤：
94.步骤s10：在检测到系统登录操作指令时，根据所述系统登录操作指令获取登录行为信息。
95.易于理解的是，本实施例的执行主体可以是具有数据处理、网络通讯和程序运行等功能的日志行为事件生成设备，也可以为其他具有相似功能的计算机设备，本实施例并不加以限制。
96.可以理解的是，系统登录操作指令可以理解为用户在进入终端安全响应系统中所进行的登录操作或浏览操作，之后可以根据登录操作或浏览操作分别生成对应的系统登录操作指令或系统浏览操作指令等。
97.还需要说明的是，系统登录操作指令中包括用户的登录行为信息，其中登录行为信息中包括登录账号、登录设备、登录密码、登录时间、登录地点等；系统浏览操作指令中包括用户在终端安全响应系统中的浏览行为信息，浏览网页、浏览文件、浏览时间、浏览设备、浏览地点等。
98.在本实施例中，在检测到系统登录操作指令时，可以通过可插拔认证模块(pluggable authentication modules，pam)获取用户的登录行为信息，并将登录行为信息发送至审计模块(audit)的用户(user)审计中。
99.步骤s20：对所述登录行为信息进行特征提取，以获得多个登录特征信息。
100.应理解的是，登录特征信息可以为登录行为信息中存在的特征信息，例如账号特征信息、设备特征信息、时间特征信息及地点特征信息等。
101.在具体实现中，对登录行为信息进行特征提取，以获得多个登录特征信息的处理方式可以为获取登录行为信息对应的行为类型，根据行为类型确定对应的预设提取策略，基于预设提取策略对登录行为信息进行特征提取，以获得多个登录特征信息。行为类型可以为登录类型，还可以为浏览类型等。预设提取策略可以为用户自定义设置，例如特征全部提取或特征部分提取等。
102.进一步地，根据行为类型确定对应的预设提取策略的处理方式可以为根据行为类型确定登录行为信息对应的行为字段，之后根据行为字段确定对应的预设提取策略。
103.需要说明的是，行为字段可以理解为登录行为信息中包含专题的信息，需要说明
的是，每个字段包含某一专题的信息。例如“通讯录”数据库中，“姓名”、“联系电话”这些都是表中所有行共有的属性，可以把这些列称为“姓名”字段和“联系电话”字段等。
104.为了能够更加精准的确定预设提取策略，根据行为字段确定对应的预设提取策略的处理方式可以为根据行为字段生成登录行为编码，之后根据登录行为编码从预设策略映射关系表中匹配对应的样本提取策略，预设策略映射关系表中存在多个登录行为编码和多个样本提取策略，登录行为编码和样本提取策略存在一一对应的关系，之后将样本提取策略作为登录行为信息对应的预设提取策略。登录行为编码可以为数字的形式存在，还可以为字符的形式存在等。
105.假设行为字段分别为姓名字段和账号字段，姓名字段和账号字段对应的登录行为编码分别为xz，则可以根据登录行为编码xz在预设策略映射关系表中匹配对应的样本提取策略，若该样本提取策略为特征全部提取，则将样本提取策略作为登录行为信息对应的预设提取策略等。
106.在具体实现中，基于预设提取策略对登录行为信息进行特征提取，以获得多个登录特征信息的处理方式可以为基于预设提取策略对登录行为信息进行特征提取，获得多个待确定登录特征信息，然后确定多个待确定登录特征信息对应的特征数量，判断特征数量是否大于或等于预设特征阈值，在特征数量大于或等于预设特征阈值时，将多个待确定登录特征信息作为登录行为信息对应的多个登录特征信息。预设特征阈值可以为用户根据登录行为信息对应的行为类型自定义设置的阈值，可以为5、还可以为7等。
107.假设通过pam模块获得用户登录行为信息，将用户的登录行为信息发送至审计模块中，通过审计模块中的审计日志分析引擎对登录行为信息进行分析。例如确定登录行为信息对应的行为类型为登录类型，登录类型对应的预设特征阈值为3，则登录行为信息中的多个待确定登录特征信息分别为设备特征信息、账号特征信息、密码特征信息、地点特征信息，可知多个待确定登录特征信息对应的特征数量为4，特征数量大于预设特征阈值，可将多个待确定登录特征信息作为登录行为信息对应的多个登录特征信息等。
108.假设登录类型对应的预设特征阈值为3，登录行为信息中的多个待确定登录特征信息分别为设备特征信息、账号特征信息，可知多个待确定登录特征信息对应的特征数量为2，特征数量小于预设特征阈值，需要通过可插拔认证模块重新获取用户的登录行为信息等。
109.步骤s30：按照预设审计策略从多个所述登录特征信息中确定日志特征信息。
110.需要说明的是，预设审计策略可以为用户自定义设置，用户可以从多个登录特征信息中选取感兴趣的日志特征信息，还可以将所有的多个登录特征信息作为日志特征信息等。
111.在具体实现中，需要通过审计模块中的审计日志分析引擎根据用户预先设置感兴趣的特征信息从多个登录特征信息中确定日志特征信息等。
112.步骤s40：根据所述日志特征信息从所述登录行为信息中提取目标登录行为信息。
113.为了避免获取的目标登录行为信息不完整，根据日志特征信息从多个登录行为信息中提取目标登录行为信息的步骤之前还需要确定目标登录行为信息对应的存储量，判断存储量是否满足预设存储条件，在存储量满足预设存储条件时，再根据目标登录行为信息生成日志行为事件；在存储量不满足预设存储条件时，需要通过可插拔认证模块重新获取
用户的登录行为信息等。预设存储条件可以为用户自定义设置，例如存储量大于预设存储阈值，预设存储阈值可以为7kb，还可以为1m等。
114.假设日志特征信息为设备特征信息、地点特征信息、账号特征信息及时间特征信息，登录行为信息为账号5226461利用设备as中午十一点在b路口进行登录，则目标登录行为信息为账号：5226461、设备：as、时间：十一点、地点：b路口。
115.在本实施例中，在存储量不满足预设存储条件时，根据目标登录行为信息确定缺失登录信息，然后获取缺失登录信息对应的登录时间信息，根据登录时间信息获取缺失登录信息对应的待处理登录行为信息，之后根据目标登录行为信息及待处理登录行为信息确定待确认登录行为信息，获取待确认登录行为信息对应的行为类型。
116.假设登录行为信息为账号2546，其登录行为信息对应的存储量为1kb，该存储量不满足预设存储条件时，目标登录行为信息为账号2546，根据目标登录行为信息对应的日志特征信息为账号特征信息，用户需要获取设备特征信息、地点特征信息、账号特征信息及时间特征信息，则用户需要根据登录行为信息对应的登录时间信息确定缺失登录行为信息，缺失登录行为信息包括设备信息、地点信息及时间信息，并将重新获取的设备信息、地点信息、时间信息及账号信息作为待确认登录行为信息，并将待确认登录信息发送至审计模块进行分析等。
117.步骤s50：根据所述目标登录行为信息生成日志行为事件。
118.为了便于用户清晰理解目标登录行为信息之间的联系，根据目标登录行为信息生成日志行为事件的处理方式可以为对目标登录行为信息进行拆分处理，获得多个待拼接登录行为信息，根据多个待拼接登录行为信息确定预设拼接策略，基于预设拼接策略对多个待拼接登录行为信息进行组合，获得日志行为事件。预设拼接策略可以为用户自定义设置，可以根据待拼接登录行为信息对应的等级进行拼接，还可以为随机拼接等。
119.进一步地，对目标登录行为信息进行拆分处理，获得多个待拼接登录行为信息的步骤之前还需要获取目标登录行为信息对应的登录格式信息，判断登录格式信息是否满足预设格式条件，在登录格式信息满足预设格式条件时，再对目标登录行为信息进行拆分处理，获得多个待拼接登录行为信息。预设格式条件为目标登录行为信息对应的登录格式信息不存在乱码情况等。
120.假设目标登录行为信息为账号：5226461、设备：as、时间：十一点、地点：b路口，则目标登录行为信息中的登录格式信息满足预设格式条件，可以对目标登录行为信息拆分为账号：5226461；设备：as；时间：十一点；地点：b路口，其中账号：5226461；设备：as；时间：十一点；地点：b路口作为多个待拼接登录行为信息等。
121.在具体实现中，根据多个待拼接登录行为信息确定预设拼接策略的处理方式可以为分别确定各待拼接登录行为信息对应的行为等级，然后根据行为等级对多个待拼接登录行为信息进行排序，以获得对应的登录排序结果，根据登录排序结果确定预设拼接策略。
122.假设多个待拼接登录行为信息分别为待拼接登录行为信息a、待拼接登录行为信息b及待拼接登录行为信息c，待拼接登录行为信息a对应的等级为十级、待拼接登录行为信息b对应的等级为八级、待拼接登录行为信息c对应的等级为七级，十级高于八级，且八级高于七级，则登录排序结果为待拼接登录行为信息a—待拼接登录行为信息b—待拼接登录行为信息c等。
123.在本实施例中根据登录排序结果确定预设拼接策略的处理方式可以为根据登录排序结果从多个待拼接登录行为信息中确定第一登录行为信息和第二登录行为信息，之后确定第一登录行为信息与第二登录行为信息之间的距离分值，根据距离分值确定预设拼接策略。
124.假设登录排序结果为待拼接登录行为信息a—待拼接登录行为信息b—待拼接登录行为信息c，待拼接登录行为信息a对应的等级为十级，十级对应的分值为10、待拼接登录行为信息b对应的等级为八级，八级对应的分值为8、待拼接登录行为信息c对应的等级为七级，七级对应的分值为7，则第一登录行为信息为待拼接登录行为信息a，第二登录行为信息为待拼接登录行为信息c，则第一登录行为信息与第二登录行为信息之间的距离分值为3，则距离分值小于或等于预设距离阈值，预设拼接策略可以为随机拼接；距离分值大于预设距离阈值，预设拼接策略可以为根据等级对多个待拼接登录行为信息进行拼接等。预设距离阈值可以为用户自定义设置，例如3或5等。
125.在具体实现中，还需要审计模块按照预设拼接策略对多个待拼接登录行为进行组合，获得日志行为事件，并将日志行为事件发送至负责人，负责人可根据日志行为事件进行系统登录分析，例如可以得到其启动的进程链，和操作的文件信息等信息等。
126.在本实施例中，在检测到系统登录操作指令时，首先根据系统登录操作指令获取登录行为信息，然后对登录行为信息进行特征提取，以获得多个登录特征信息，之后按照预设审计策略从多个登录特征信息中确定日志特征信息，最后根据日志特征信息从多个登录行为信息中提取目标登录行为信息，并根据目标登录行为信息生成日志行为事件。由于现有技术中，需要人工统计终端安全响应系统中用户登录信息，而本实施例中基于预设审计策略从登录行为信息中确定目标登录行为信息，之后根据目标登录行为信息生成日志行为事件，从而实现了精准获取日志行为事件，提高了日志行为事件生成效率，进而提高了用户体验。
127.参考图3，图3为本发明日志行为事件生成方法第二实施例的流程示意图。
128.基于上述第一实施例，在本实施例中，所述步骤s20步骤，包括：
129.步骤s201：获取所述登录行为信息对应的行为类型。
130.需要说明的是，行为类型可以为登录类型，还可以为浏览类型等。例如登录行为信息为账号5226461利用设备as中午十一点在b路口进行登录，则登录行为信息对应的行为类型为登录类型；登录行为信息为用户浏览a文件，则登录行为信息对应的行为类型为浏览类型等。
131.步骤s202：根据所述行为类型确定对应的预设提取策略。
132.进一步地，根据行为类型确定对应的预设提取策略的处理方式可以为根据行为类型确定登录行为信息对应的行为字段，之后根据行为字段确定对应的预设提取策略。预设提取策略可以为用户自定义设置，例如特征全部提取或特征部分提取等。
133.需要说明的是，行为字段可以理解为登录行为信息中包含专题的信息，需要说明的是，每个字段包含某一专题的信息。例如“通讯录”数据库中，“姓名”、“联系电话”这些都是表中所有行共有的属性，可以把这些列称为“姓名”字段和“联系电话”字段等。
134.为了能够更加精准的确定预设提取策略，根据行为字段确定对应的预设提取策略的处理方式可以为根据行为字段生成登录行为编码，之后根据登录行为编码从预设策略映
射关系表中匹配对应的样本提取策略，预设策略映射关系表中存在多个登录行为编码和多个样本提取策略，登录行为编码和样本提取策略存在一一对应的关系，之后将样本提取策略作为登录行为信息对应的预设提取策略。登录行为编码可以为数字的形式存在，还可以为字符的形式存在等。
135.假设行为字段分别为姓名字段和账号字段，姓名字段和账号字段对应的登录行为编码分别为xz，则可以根据登录行为编码xz在预设策略映射关系表中匹配对应的样本提取策略，若该样本提取策略为特征全部提取，则将样本提取策略作为登录行为信息对应的预设提取策略等。
136.步骤s203：基于所述预设提取策略对所述登录行为信息进行特征提取，以获得多个登录特征信息。
137.应理解的是，登录特征信息可以为登录行为信息中存在的特征信息，例如账号特征信息、设备特征信息、时间特征信息及地点特征信息等。
138.在具体实现中，基于预设提取策略对登录行为信息进行特征提取，以获得多个登录特征信息的处理方式可以为基于预设提取策略对登录行为信息进行特征提取，获得多个待确定登录特征信息，然后确定多个待确定登录特征信息对应的特征数量，判断特征数量是否大于或等于预设特征阈值，在特征数量大于或等于预设特征阈值时，将多个待确定登录特征信息作为登录行为信息对应的多个登录特征信息。预设特征阈值可以为用户根据登录行为信息对应的行为类型自定义设置的阈值，可以为5、还可以为7等。
139.假设登录类型对应的预设特征阈值为3，登录行为信息中的多个待确定登录特征信息分别为设备特征信息、账号特征信息，可知多个待确定登录特征信息对应的特征数量为2，特征数量小于预设特征阈值，需要通过可插拔认证模块重新获取用户的登录行为信息等。
140.假设通过pam模块获得用户登录行为信息，将用户的登录行为信息发送至审计模块中，通过审计模块中的审计日志分析引擎对登录行为信息进行分析。例如确定登录行为信息对应的行为类型为登录类型，登录类型对应的预设特征阈值为3，则登录行为信息中的多个待确定登录特征信息分别为设备特征信息、账号特征信息、密码特征信息、地点特征信息，可知多个待确定登录特征信息对应的特征数量为4，特征数量大于预设特征阈值，可将多个待确定登录特征信息作为登录行为信息对应的多个登录特征信息等。
141.在本实施中，首先获取登录行为信息对应的行为类型，然后根据行为类型确定对应的预设提取策略，之后基于预设提取策略对登录行为信息进行特征提取，以获得多个登录特征信息，相较于现有技术中预先设置固定的登录特征信息，导致不同类型对应的登录行为信息不能精准获取日志登录行为信息，而本实施例中根据登录行为信息对应的行为类型确定对应的预设提取策略，最后根据预设提取策略从登录行为信息中提取多个登录特征信息，从而提高了登录行为信息的工作效率。
142.参考图4，图4为本发明日志行为事件生成方法第三实施例的流程示意图。
143.基于上述第一实施例，在本实施例中，所述步骤s50步骤，包括：
144.步骤s501：对所述目标登录行为信息进行拆分处理，获得多个待拼接登录行为信息。
145.进一步地，对目标登录行为信息进行拆分处理，获得多个待拼接登录行为信息的
步骤之前还需要获取目标登录行为信息对应的登录格式信息，判断登录格式信息是否满足预设格式条件，在登录格式信息满足预设格式条件时，再对目标登录行为信息进行拆分处理，获得多个待拼接登录行为信息。预设格式条件为目标登录行为信息对应的登录格式信息不存在乱码情况等。
146.假设目标登录行为信息为账号：964、设备：d、时间：十二点、地点：c路口，则对目标登录行为信息拆分为多个待拼接登录行为信息账号：964；设备：d；时间：十二点；地点：c路口等。
147.步骤s502：根据多个所述待拼接登录行为信息确定预设拼接策略。
148.在具体实现中，根据多个待拼接登录行为信息确定预设拼接策略的处理方式可以为分别确定各待拼接登录行为信息对应的行为等级，然后根据行为等级对多个待拼接登录行为信息进行排序，以获得对应的登录排序结果，根据登录排序结果确定预设拼接策略。
149.假设多个待拼接登录行为信息分别为待拼接登录行为信息a、待拼接登录行为信息b及待拼接登录行为信息c，待拼接登录行为信息a对应的等级为十级、待拼接登录行为信息b对应的等级为八级、待拼接登录行为信息c对应的等级为七级，十级高于八级，且八级高于七级，则登录排序结果为待拼接登录行为信息a—待拼接登录行为信息b—待拼接登录行为信息c等。
150.在本实施例中根据登录排序结果确定预设拼接策略的处理方式可以为根据登录排序结果从多个待拼接登录行为信息中确定第一登录行为信息和第二登录行为信息，之后确定第一登录行为信息与第二登录行为信息之间的距离分值，根据距离分值确定预设拼接策略。
151.假设登录排序结果为待拼接登录行为信息a—待拼接登录行为信息b—待拼接登录行为信息c，待拼接登录行为信息a对应的等级为十级，十级对应的分值为10、待拼接登录行为信息b对应的等级为八级，八级对应的分值为8、待拼接登录行为信息c对应的等级为七级，七级对应的分值为7，则第一登录行为信息为待拼接登录行为信息a，第二登录行为信息为待拼接登录行为信息c，则第一登录行为信息与第二登录行为信息之间的距离分值为3，则距离分值小于或等于预设距离阈值，预设拼接策略可以为随机拼接；距离分值大于预设距离阈值，预设拼接策略可以为根据等级对多个待拼接登录行为信息进行拼接等。预设距离阈值可以为用户自定义设置，例如3或5等。
152.步骤s503：基于所述预设拼接策略对多个所述待拼接登录行为信息进行组合，获得日志行为事件。
153.在具体实现中，还需要审计模块按照预设拼接策略对多个待拼接登录行为进行组合，获得日志行为事件，并将日志行为事件发送至负责人，负责人可根据日志行为事件进行系统登录分析，例如可以得到其启动的进程链，和操作的文件信息等信息等。
154.假设多个待拼接登录行为信息账号：964；设备：d；时间：十二点；地点：c路口，预设拼接策略为随机拼接，则日志行为事件可以为设备：d、时间：十二点、地点：c路口、账号：964。
155.在本实施例中，首先对目标登录行为信息进行拆分处理，获得多个待拼接登录行为信息，然后根据多个待拼接登录行为信息确定预设拼接策略，之后基于预设拼接策略对多个待拼接登录行为信息进行组合，获得日志行为事件，相较于现有技术中直接根据登录
行为信息生成日志行为事件，而本实施例中需要根据登录行为信息确定多个待拼接登录行为信息，之后基于预设拼接策略对多个待拼接登录行为信息进行组合，从而实现了精准获得日志行为事件。
156.参照图5，图5为本发明日志行为事件生成装置第一实施例的结构框图。
157.如图5所示，本发明实施例提出的日志行为事件生成装置包括：
158.获取模块5001，用于在检测到系统登录操作指令时，根据所述系统登录操作指令获取登录行为信息。
159.可以理解的是，系统登录操作指令可以理解为用户在进入终端安全响应系统中所进行的登录操作或浏览操作，之后可以根据登录操作或浏览操作分别生成对应的系统登录操作指令或系统浏览操作指令等。
160.还需要说明的是，系统登录操作指令中包括用户的登录行为信息，其中登录行为信息中包括登录账号、登录设备、登录密码、登录时间、登录地点等；系统浏览操作指令中包括用户在终端安全响应系统中的浏览行为信息，浏览网页、浏览文件、浏览时间、浏览设备、浏览地点等。
161.在本实施例中，在检测到系统登录操作指令时，可以通过可插拔认证模块(pluggable authentication modules，pam)获取用户的登录行为信息，并将登录行为信息发送至审计模块(audit)的用户(user)审计中。
162.提取模块5002，用于对所述登录行为信息进行特征提取，以获得多个登录特征信息。
163.应理解的是，登录特征信息可以为登录行为信息中存在的特征信息，例如账号特征信息、设备特征信息、时间特征信息及地点特征信息等。
164.在具体实现中，对登录行为信息进行特征提取，以获得多个登录特征信息的处理方式可以为获取登录行为信息对应的行为类型，根据行为类型确定对应的预设提取策略，基于预设提取策略对登录行为信息进行特征提取，以获得多个登录特征信息。行为类型可以为登录类型，还可以为浏览类型等。预设提取策略可以为用户自定义设置，例如特征全部提取或特征部分提取等。
165.进一步地，根据行为类型确定对应的预设提取策略的处理方式可以为根据行为类型确定登录行为信息对应的行为字段，之后根据行为字段确定对应的预设提取策略。
166.需要说明的是，行为字段可以理解为登录行为信息中包含专题的信息，需要说明的是，每个字段包含某一专题的信息。例如“通讯录”数据库中，“姓名”、“联系电话”这些都是表中所有行共有的属性，可以把这些列称为“姓名”字段和“联系电话”字段等。
167.为了能够更加精准的确定预设提取策略，根据行为字段确定对应的预设提取策略的处理方式可以为根据行为字段生成登录行为编码，之后根据登录行为编码从预设策略映射关系表中匹配对应的样本提取策略，预设策略映射关系表中存在多个登录行为编码和多个样本提取策略，登录行为编码和样本提取策略存在一一对应的关系，之后将样本提取策略作为登录行为信息对应的预设提取策略。登录行为编码可以为数字的形式存在，还可以为字符的形式存在等。
168.假设行为字段分别为姓名字段和账号字段，姓名字段和账号字段对应的登录行为编码分别为xz，则可以根据登录行为编码xz在预设策略映射关系表中匹配对应的样本提取
策略，若该样本提取策略为特征全部提取，则将样本提取策略作为登录行为信息对应的预设提取策略等。
169.在具体实现中，基于预设提取策略对登录行为信息进行特征提取，以获得多个登录特征信息的处理方式可以为基于预设提取策略对登录行为信息进行特征提取，获得多个待确定登录特征信息，然后确定多个待确定登录特征信息对应的特征数量，判断特征数量是否大于或等于预设特征阈值，在特征数量大于或等于预设特征阈值时，将多个待确定登录特征信息作为登录行为信息对应的多个登录特征信息。预设特征阈值可以为用户根据登录行为信息对应的行为类型自定义设置的阈值，可以为5、还可以为7等。
170.假设通过pam模块获得用户登录行为信息，将用户的登录行为信息发送至审计模块中，通过审计模块中的审计日志分析引擎对登录行为信息进行分析。例如确定登录行为信息对应的行为类型为登录类型，登录类型对应的预设特征阈值为3，则登录行为信息中的多个待确定登录特征信息分别为设备特征信息、账号特征信息、密码特征信息、地点特征信息，可知多个待确定登录特征信息对应的特征数量为4，特征数量大于预设特征阈值，可将多个待确定登录特征信息作为登录行为信息对应的多个登录特征信息等。
171.假设登录类型对应的预设特征阈值为3，登录行为信息中的多个待确定登录特征信息分别为设备特征信息、账号特征信息，可知多个待确定登录特征信息对应的特征数量为2，特征数量小于预设特征阈值，需要通过可插拔认证模块重新获取用户的登录行为信息等。
172.确定模块5003，用于按照预设审计策略从多个所述登录特征信息中确定日志特征信息。
173.需要说明的是，预设审计策略可以为用户自定义设置，用户可以从多个登录特征信息中选取感兴趣的日志特征信息，还可以将所有的多个登录特征信息作为日志特征信息等。
174.在具体实现中，需要通过审计模块中的审计日志分析引擎根据用户预先设置感兴趣的特征信息从多个登录特征信息中确定日志特征信息等。
175.所述提取模块5002，还用于根据所述日志特征信息从所述登录行为信息中提取目标登录行为信息。
176.为了避免获取的目标登录行为信息不完整，根据日志特征信息从多个登录行为信息中提取目标登录行为信息的步骤之前还需要确定目标登录行为信息对应的存储量，判断存储量是否满足预设存储条件，在存储量满足预设存储条件时，再根据目标登录行为信息生成日志行为事件；在存储量不满足预设存储条件时，需要通过可插拔认证模块重新获取用户的登录行为信息等。预设存储条件可以为用户自定义设置，例如存储量大于预设存储阈值，预设存储阈值可以为7kb，还可以为1m等。
177.假设日志特征信息为设备特征信息、地点特征信息、账号特征信息及时间特征信息，登录行为信息为账号5226461利用设备as中午十一点在b路口进行登录，则目标登录行为信息为账号：5226461、设备：as、时间：十一点、地点：b路口。
178.在本实施例中，在存储量不满足预设存储条件时，根据目标登录行为信息确定缺失登录信息，然后获取缺失登录信息对应的登录时间信息，根据登录时间信息获取缺失登录信息对应的待处理登录行为信息，之后根据目标登录行为信息及待处理登录行为信息确
定待确认登录行为信息，获取待确认登录行为信息对应的行为类型。
179.假设登录行为信息为账号2546，其登录行为信息对应的存储量为1kb，该存储量不满足预设存储条件时，目标登录行为信息为账号2546，根据目标登录行为信息对应的日志特征信息为账号特征信息，用户需要获取设备特征信息、地点特征信息、账号特征信息及时间特征信息，则用户需要根据登录行为信息对应的登录时间信息确定缺失登录行为信息，缺失登录行为信息包括设备信息、地点信息及时间信息，并将重新获取的设备信息、地点信息、时间信息及账号信息作为待确认登录行为信息，并将待确认登录信息发送至审计模块进行分析等。
180.生成模块5004，用于根据所述目标登录行为信息生成日志行为事件。
181.为了便于用户清晰理解目标登录行为信息之间的联系，根据目标登录行为信息生成日志行为事件的处理方式可以为对目标登录行为信息进行拆分处理，获得多个待拼接登录行为信息，根据多个待拼接登录行为信息确定预设拼接策略，基于预设拼接策略对多个待拼接登录行为信息进行组合，获得日志行为事件。预设拼接策略可以为用户自定义设置，可以根据待拼接登录行为信息对应的等级进行拼接，还可以为随机拼接等。
182.进一步地，对目标登录行为信息进行拆分处理，获得多个待拼接登录行为信息的步骤之前还需要获取目标登录行为信息对应的登录格式信息，判断登录格式信息是否满足预设格式条件，在登录格式信息满足预设格式条件时，再对目标登录行为信息进行拆分处理，获得多个待拼接登录行为信息。预设格式条件为目标登录行为信息对应的登录格式信息不存在乱码情况等。
183.假设目标登录行为信息为账号：5226461、设备：as、时间：十一点、地点：b路口，则目标登录行为信息中的登录格式信息满足预设格式条件，可以对目标登录行为信息拆分为账号：5226461；设备：as；时间：十一点；地点：b路口，其中账号：5226461；设备：as；时间：十一点；地点：b路口作为多个待拼接登录行为信息等。
184.在具体实现中，根据多个待拼接登录行为信息确定预设拼接策略的处理方式可以为分别确定各待拼接登录行为信息对应的行为等级，然后根据行为等级对多个待拼接登录行为信息进行排序，以获得对应的登录排序结果，根据登录排序结果确定预设拼接策略。
185.假设多个待拼接登录行为信息分别为待拼接登录行为信息a、待拼接登录行为信息b及待拼接登录行为信息c，待拼接登录行为信息a对应的等级为十级、待拼接登录行为信息b对应的等级为八级、待拼接登录行为信息c对应的等级为七级，十级高于八级，且八级高于七级，则登录排序结果为待拼接登录行为信息a—待拼接登录行为信息b—待拼接登录行为信息c等。
186.在本实施例中根据登录排序结果确定预设拼接策略的处理方式可以为根据登录排序结果从多个待拼接登录行为信息中确定第一登录行为信息和第二登录行为信息，之后确定第一登录行为信息与第二登录行为信息之间的距离分值，根据距离分值确定预设拼接策略。
187.假设登录排序结果为待拼接登录行为信息a—待拼接登录行为信息b—待拼接登录行为信息c，待拼接登录行为信息a对应的等级为十级，十级对应的分值为10、待拼接登录行为信息b对应的等级为八级，八级对应的分值为8、待拼接登录行为信息c对应的等级为七级，七级对应的分值为7，则第一登录行为信息为待拼接登录行为信息a，第二登录行为信息
为待拼接登录行为信息c，则第一登录行为信息与第二登录行为信息之间的距离分值为3，则距离分值小于或等于预设距离阈值，预设拼接策略可以为随机拼接；距离分值大于预设距离阈值，预设拼接策略可以为根据等级对多个待拼接登录行为信息进行拼接等。预设距离阈值可以为用户自定义设置，例如3或5等。
188.在具体实现中，还需要审计模块按照预设拼接策略对多个待拼接登录行为进行组合，获得日志行为事件，并将日志行为事件发送至负责人，负责人可根据日志行为事件进行系统登录分析，例如可以得到其启动的进程链，和操作的文件信息等信息等。
189.在本实施例中，在检测到系统登录操作指令时，首先根据系统登录操作指令获取登录行为信息，然后对登录行为信息进行特征提取，以获得多个登录特征信息，之后按照预设审计策略从多个登录特征信息中确定日志特征信息，最后根据日志特征信息从多个登录行为信息中提取目标登录行为信息，并根据目标登录行为信息生成日志行为事件。由于现有技术中，需要人工统计终端安全响应系统中用户登录信息，而本实施例中基于预设审计策略从登录行为信息中确定目标登录行为信息，之后根据目标登录行为信息生成日志行为事件，从而实现了精准获取日志行为事件，提高了日志行为事件生成效率，进而提高了用户体验。
190.本发明日志行为事件生成装置的其他实施例或具体实现方式可参照上述各方法实施例，此处不再赘述。
191.需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
192.上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。
193.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如只读存储器/随机存取存储器、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本发明各个实施例所述的方法。
194.以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。
195.本发明还公开了a1、一种日志行为事件生成方法，所述日志行为事件生成方法包括以下步骤：
196.在检测到系统登录操作指令时，根据所述系统登录操作指令获取登录行为信息；
197.对所述登录行为信息进行特征提取，以获得多个登录特征信息；
198.按照预设审计策略从多个所述登录特征信息中确定日志特征信息；
199.根据所述日志特征信息从所述登录行为信息中提取目标登录行为信息；
200.根据所述目标登录行为信息生成日志行为事件。
201.a2、如a1所述的方法，所述对所述登录行为信息进行特征提取，以获得多个登录特征信息的步骤，包括：
202.获取所述登录行为信息对应的行为类型；
203.根据所述行为类型确定对应的预设提取策略；
204.基于所述预设提取策略对所述登录行为信息进行特征提取，以获得多个登录特征信息。
205.a3、如a2所述的方法，所述根据所述行为类型确定对应的预设提取策略的步骤，包括：
206.根据所述行为类型确定所述登录行为信息对应的行为字段；
207.根据所述行为字段确定对应的预设提取策略。
208.a4、如a3所述的方法，所述根据所述行为字段确定对应的预设提取策略的步骤，包括：
209.根据所述行为字段生成登录行为编码；
210.根据所述登录行为编码从预设策略映射关系表中匹配对应的样本提取策略，所述预设策略映射关系表中存在多个登录行为编码和多个样本提取策略；
211.将所述样本提取策略作为所述登录行为信息对应的预设提取策略。
212.a5、如a2所述的方法，所述基于所述预设提取策略对所述登录行为信息进行特征提取，以获得多个登录特征信息的步骤，包括：
213.基于所述预设提取策略对所述登录行为信息进行特征提取，获得多个待确定登录特征信息；
214.确定多个所述待确定登录特征信息对应的特征数量；
215.判断所述特征数量是否大于或等于预设特征阈值；
216.在所述特征数量大于或等于所述预设特征阈值时，将多个所述待确定登录特征信息作为所述登录行为信息对应的多个登录特征信息。
217.a6、如a1-a5任一项所述的方法，所述根据所述目标登录行为信息生成日志行为事件的步骤之前，还包括：
218.确定所述目标登录行为信息对应的存储量；
219.判断所述存储量是否满足预设存储条件；
220.在所述存储量满足所述预设存储条件时，执行所述根据所述目标登录行为信息生成日志行为事件的步骤。
221.a7、如a6所述的方法，所述判断所述存储量是否满足预设存储条件的步骤之后，还包括：
222.在所述存储量不满足所述预设存储条件时，根据所述目标登录行为信息确定缺失登录信息；
223.获取所述缺失登录信息对应的登录时间信息；
224.根据所述登录时间信息获取所述缺失登录信息对应的待处理登录行为信息；
225.根据所述目标登录行为信息及所述待处理登录行为信息确定待确认登录行为信息；
226.获取所述待确认登录行为信息对应的行为类型。
227.a8、如a1-a5任一项所述的方法，所述根据所述目标登录行为信息生成日志行为事件的步骤，包括：
228.对所述目标登录行为信息进行拆分处理，获得多个待拼接登录行为信息；
229.根据多个所述待拼接登录行为信息确定预设拼接策略；
230.基于所述预设拼接策略对多个所述待拼接登录行为信息进行组合，获得日志行为事件。
231.a9、如a8所述的方法，所述对所述目标登录行为信息进行拆分处理，获得多个待拼接登录行为信息的步骤之前，还包括：
232.获取所述目标登录行为信息对应的登录格式信息；
233.判断所述登录格式信息是否满足预设格式条件；
234.在所述登录格式信息满足所述预设格式条件时，执行所述对所述目标登录行为信息进行拆分处理，获得多个待拼接登录行为信息的步骤。
235.a10、如a9所述的方法，所述根据多个所述待拼接登录行为信息确定预设拼接策略的步骤，包括：
236.分别确定各待拼接登录行为信息对应的行为等级；
237.根据所述行为等级对多个所述待拼接登录行为信息进行排序，以获得对应的登录排序结果；
238.根据所述登录排序结果确定预设拼接策略。
239.a11、如a10所述的方法，所述根据所述登录排序结果确定预设拼接策略的步骤，包括：
240.根据所述登录排序结果从多个待拼接登录行为信息中确定第一登录行为信息和第二登录行为信息；
241.确定所述第一登录行为信息与所述第二登录行为信息之间的距离分值；
242.根据所述距离分值确定预设拼接策略。
243.本发明还公开了b12、一种日志行为事件生成装置，所述日志行为事件生成装置包括：
244.获取模块，用于在检测到系统登录操作指令时，根据所述系统登录操作指令获取登录行为信息；
245.提取模块，用于对所述登录行为信息进行特征提取，以获得多个登录特征信息；
246.确定模块，用于按照预设审计策略从多个所述登录特征信息中确定日志特征信息；
247.所述提取模块，还用于根据所述日志特征信息从所述登录行为信息中提取目标登录行为信息；
248.生成模块，用于根据所述目标登录行为信息生成日志行为事件。
249.b13、如b12所述的装置，所述提取模块，还用于获取所述登录行为信息对应的行为类型；
250.所述提取模块，还用于根据所述行为类型确定对应的预设提取策略；
251.所述提取模块，还用于基于所述预设提取策略对所述登录行为信息进行特征提取，以获得多个登录特征信息。
252.b14、如b13所述的装置，所述提取模块，还用于根据所述行为类型确定所述登录行为信息对应的行为字段；
253.所述提取模块，还用于根据所述行为字段确定对应的预设提取策略。
254.b15、如b14所述的装置，所述提取模块，还用于根据所述行为字段生成登录行为编码；
255.所述提取模块，还用于根据所述登录行为编码从预设策略映射关系表中匹配对应的样本提取策略，所述预设策略映射关系表中存在多个登录行为编码和多个样本提取策略；
256.所述提取模块，还用于将所述样本提取策略作为所述登录行为信息对应的预设提取策略。
257.b16、如b13所述的装置，所述提取模块，还用于基于所述预设提取策略对所述登录行为信息进行特征提取，获得多个待确定登录特征信息；
258.所述提取模块，还用于确定多个所述待确定登录特征信息对应的特征数量；
259.所述提取模块，还用于判断所述特征数量是否大于或等于预设特征阈值；
260.所述提取模块，还用于在所述特征数量大于或等于所述预设特征阈值时，将多个所述待确定登录特征信息作为所述登录行为信息对应的多个登录特征信息。
261.b17、如b12-b16任一项所述的装置，所述生成模块，还用于对所述目标登录行为信息进行拆分处理，获得多个待拼接登录行为信息；
262.所述生成模块，还用于根据多个所述待拼接登录行为信息确定预设拼接策略；
263.所述生成模块，还用于基于所述预设拼接策略对多个所述待拼接登录行为信息进行组合，获得日志行为事件。
264.b18、如b17所述的装置，所述生成模块，还用于获取所述目标登录行为信息对应的登录格式信息；
265.所述生成模块，还用于判断所述登录格式信息是否满足预设格式条件；
266.所述生成模块，还用于在所述登录格式信息满足所述预设格式条件时，执行所述对所述目标登录行为信息进行拆分处理，获得多个待拼接登录行为信息的操作。
267.本发明还公开了c19、一种日志行为事件生成设备，所述日志行为事件生成设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的日志行为事件生成程序，所述日志行为事件生成程序配置有实现如上文所述的日志行为事件生成方法的步骤。
268.本发明还公开了d20、一种存储介质，所述存储介质上存储有日志行为事件生成程序，所述日志行为事件生成程序被处理器执行时实现如上文所述的日志行为事件生成方法的步骤。

技术特征：
1.一种日志行为事件生成方法，其特征在于，所述日志行为事件生成方法包括以下步骤：在检测到系统登录操作指令时，根据所述系统登录操作指令获取登录行为信息；对所述登录行为信息进行特征提取，以获得多个登录特征信息；按照预设审计策略从多个所述登录特征信息中确定日志特征信息；根据所述日志特征信息从所述登录行为信息中提取目标登录行为信息；根据所述目标登录行为信息生成日志行为事件。2.如权利要求1所述的方法，其特征在于，所述对所述登录行为信息进行特征提取，以获得多个登录特征信息的步骤，包括：获取所述登录行为信息对应的行为类型；根据所述行为类型确定对应的预设提取策略；基于所述预设提取策略对所述登录行为信息进行特征提取，以获得多个登录特征信息。3.如权利要求2所述的方法，其特征在于，所述根据所述行为类型确定对应的预设提取策略的步骤，包括：根据所述行为类型确定所述登录行为信息对应的行为字段；根据所述行为字段确定对应的预设提取策略。4.如权利要求3所述的方法，其特征在于，所述根据所述行为字段确定对应的预设提取策略的步骤，包括：根据所述行为字段生成登录行为编码；根据所述登录行为编码从预设策略映射关系表中匹配对应的样本提取策略，所述预设策略映射关系表中存在多个登录行为编码和多个样本提取策略；将所述样本提取策略作为所述登录行为信息对应的预设提取策略。5.如权利要求2所述的方法，其特征在于，所述基于所述预设提取策略对所述登录行为信息进行特征提取，以获得多个登录特征信息的步骤，包括：基于所述预设提取策略对所述登录行为信息进行特征提取，获得多个待确定登录特征信息；确定多个所述待确定登录特征信息对应的特征数量；判断所述特征数量是否大于或等于预设特征阈值；在所述特征数量大于或等于所述预设特征阈值时，将多个所述待确定登录特征信息作为所述登录行为信息对应的多个登录特征信息。6.如权利要求1-5任一项所述的方法，其特征在于，所述根据所述目标登录行为信息生成日志行为事件的步骤，包括：对所述目标登录行为信息进行拆分处理，获得多个待拼接登录行为信息；根据多个所述待拼接登录行为信息确定预设拼接策略；基于所述预设拼接策略对多个所述待拼接登录行为信息进行组合，获得日志行为事件。7.如权利要求6所述的方法，其特征在于，所述对所述目标登录行为信息进行拆分处理，获得多个待拼接登录行为信息的步骤之前，还包括：
获取所述目标登录行为信息对应的登录格式信息；判断所述登录格式信息是否满足预设格式条件；在所述登录格式信息满足所述预设格式条件时，执行所述对所述目标登录行为信息进行拆分处理，获得多个待拼接登录行为信息的步骤。8.一种日志行为事件生成装置，其特征在于，所述日志行为事件生成装置包括：获取模块，用于在检测到系统登录操作指令时，根据所述系统登录操作指令获取登录行为信息；提取模块，用于对所述登录行为信息进行特征提取，以获得多个登录特征信息；确定模块，用于按照预设审计策略从多个所述登录特征信息中确定日志特征信息；所述提取模块，还用于根据所述日志特征信息从所述登录行为信息中提取目标登录行为信息；生成模块，用于根据所述目标登录行为信息生成日志行为事件。9.一种日志行为事件生成设备，其特征在于，所述日志行为事件生成设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的日志行为事件生成程序，所述日志行为事件生成程序配置有实现如权利要求1至7中任一项所述的日志行为事件生成方法的步骤。10.一种存储介质，其特征在于，所述存储介质上存储有日志行为事件生成程序，所述日志行为事件生成程序被处理器执行时实现如权利要求1至7中任一项所述的日志行为事件生成方法的步骤。

技术总结
本发明涉及数据处理技术领域，公开了一种日志行为事件生成方法、装置、设备及存储介质，所述方法包括：在检测到系统登录操作指令时，根据系统登录操作指令获取登录行为信息；对登录行为信息进行特征提取，以获得多个登录特征信息；按照预设审计策略从多个登录特征信息中确定日志特征信息；根据日志特征信息从多个登录行为信息中提取目标登录行为信息；根据目标登录行为信息生成日志行为事件。由于现有技术中，需要人工统计终端安全响应系统中用户登录信息，而本发明中基于预设审计策略从登录行为信息中确定目标登录行为信息，之后根据目标登录行为信息生成日志行为事件，从而实现了精准获取日志行为事件，进而提高了日志行为事件生成效率。成效率。成效率。


技术研发人员：邢超 袁立迪
受保护的技术使用者：三六零数字安全科技集团有限公司
技术研发日：2021.12.27
技术公布日：2023/7/13