技術特征:1.一種日志查詢方法,其特征在于�����,包括:
獲取事件查詢請求�,所述事件查詢請求包括流量源地址、目的地址�、源端口號、目的端口號和/或事件信息;
根據(jù)所述事件查詢請求按照預定策略生成事件查詢向量��;
比較事件查詢向量與日志向量���,獲取日志查詢結果�,其中���,所述日志向量為根據(jù)所述預定策略為每條日志記錄生成的向量化信息�����。
2.根據(jù)權利要求1所述的方法�,其特征在于��,根據(jù)所述事件查詢請求按照預定策略生成事件查詢向量包括:
將所述事件查詢請求中的每種信息按照預定策略生成對應向量����,包括源IP地址向量、目的IP地址向量���、源端口號向量����、目的端口號向量和/或事件名稱向量;所述向量的維數(shù)與對應種類信息中的不相同信息的個數(shù)相等����,每種信息中不相同的信息對應的向量不相同,且相同信息對應的向量相同��;所述事件查詢向量為事件查詢請求中多種信息的對應向量按照所述預定策略生成的向量組�。
3.根據(jù)權利要求1所述的方法,其特征在于����,所述比較事件查詢向量與日志向量,獲取日志查詢結果包括:
獲取事件查詢向量與每條日志向量的相關度�����;
按照與所述事件查詢向量間相關度從大到小的順序排列所述日志向量對應的日志記錄�����。
4.根據(jù)權利要求3所述的方法���,其特征在于,
所述獲取事件查詢向量與每條日志向量的相關度為:獲取事件查詢向量與每條日志向量的漢明距離����;
所述按照與所述事件查詢向量間相關度從大到小的順序排列所述日志記錄為:按照所述日志向量與所述事件查詢向量間漢明距離從 小到大的順序排列所述日志向量對應的日志記錄�����。
5.根據(jù)權利要求1所述的方法�,其特征在于��,還包括:
預處理日志文件����,按照所述預定策略為每條日志記錄生成日志向量。
6.根據(jù)權利要求5所述的方法�����,其特征在于���,還包括:采集日志信息�,按照預定模板存儲所述日志文件����;
所述預處理日志文件,按照所述預定策略為每條日志記錄生成日志向量包括:
根據(jù)預定模板獲取日志記錄索引信息��,所述日志記錄索引信息包括源IP地址、目的IP地址�、源端口號、目的端口號和/或事件名稱���;
將所述日志記錄索引信息中的每種信息按照預定策略生成對應向量����,包括源IP地址向量����、目的IP地址向量、源端口號向量����、目的端口號向量和/或事件名稱向量;所述向量的維數(shù)與對應種類信息中的不相同信息的個數(shù)相等�,每種信息中不相同的信息對應的向量不相同,且相同信息對應的向量相同�����;所述日志向量為多種索引信息的對應向量按照所述預定策略生成的向量組���。
7.根據(jù)權利要求6所述的方法���,其特征在于,所述日志向量還包括日志采集時間和/或原始日志記錄文件地址��。
8.一種日志查詢裝置�,其特征在于,包括:
請求獲取模塊�,用于獲取事件查詢請求,所述事件查詢請求包括流量源地址�����、目的地址���、源端口號����、目的端口號和/或事件信息��;
查詢向量生成模塊�����,用于根據(jù)所述事件查詢請求按照預定策略生成事件查詢向量�����;
查詢模塊,用于比較事件查詢向量與日志向量�����,獲取日志查詢結果�����,其中����,所述日志向量為根據(jù)所述預定策略為每條日志記錄生成的 向量化信息。
9.根據(jù)權利要求8所述的裝置�����,其特征在于�����,查詢向量生成模塊還用于:
將所述事件查詢請求中的每種信息按照預定策略生成對應向量��,包括源IP地址向量、目的IP地址向量����、源端口號向量、目的端口號向量和/或事件名稱向量����;所述向量的維數(shù)與對應種類信息中的不相同信息的個數(shù)相等����,每種信息中不相同的信息對應的向量不相同,且相同信息對應的向量相同����;所述事件查詢向量為事件查詢請求中多種信息的對應向量按照所述預定策略生成的向量組。
10.根據(jù)權利要求8所述的裝置���,其特征在于�����,所述查詢模塊包括:
相關度獲取單元�,用于獲取事件查詢向量與每條日志向量的相關度�;
排序單元,用于按照與所述事件查詢向量間相關度從大到小的順序排列所述日志向量對應的日志記錄。
11.根據(jù)權利要求10所述的裝置��,其特征在于����,
所述相關度獲取單元,還用于獲取事件查詢向量與每條日志向量的漢明距離���;
所述排序單元��,還用于按照所述日志向量與所述事件查詢向量間漢明距離從小到大的順序排列所述日志向量對應的日志記錄���。
12.根據(jù)權利要求8所述的裝置,其特征在于�����,還包括:
預處理模塊��,用于預處理日志文件�����,按照所述預定策略為每條日志記錄生成日志向量���。
13.根據(jù)權利要求12所述的裝置���,其特征在于�,還包括:日志 采集模塊���,用于采集日志信息�����,并按照預定模板生成所述日志文件;
所述預處理模塊包括:
信息獲取單元�,用于根據(jù)預定模板獲取日志記錄索引信息,所述日志記錄索引信息包括源IP地址�����、目的IP地址����、源端口號、目的端口號和/或事件名稱�����;
日志向量生成單元,用于將所述日志記錄索引信息中的每種信息按照預定策略生成對應向量����,包括源IP地址向量、目的IP地址向量���、源端口號向量�����、目的端口號向量和/或事件名稱向量����;所述向量的維數(shù)與對應種類信息中的不相同信息的個數(shù)相等��,每種信息中不相同的信息對應的向量不相同����,且相同信息對應的向量相同;所述日志向量為多種索引信息的對應向量按照所述預定策略生成的向量組�����。
14.根據(jù)權利要求13所述的裝置���,其特征在于���,所述日志向量還包括日志采集時間和/或原始日志記錄文件地址����。