集群评估方法、装置、电子设备及存储介质与流程

本技术实施例涉及集群评估，尤其涉及一种集群评估方法、装置、电子设备及存储介质。

背景技术：

1、kubernetes作为主流的容器编排平台，其日志数据量随着业务增长而急剧增加。在kubernetes集群日志评估领域，许多现有的日志分析系统依赖于静态的规则引擎来匹配特定的日志模式，尝试通过观察日志中的异常模式来识别潜在的安全威胁，然而传统的日志分析方法已经难以满足实时性、准确性的需求，尤其是在面对复杂的网络攻击模式和系统故障诊断的时候，缺乏自适应学习机制，不能根据新的安全态势自动调整其分析策略。

技术实现思路

1、为了解决上述技术问题或者至少部分地解决上述技术问题，本技术实施例提供一种集群评估方法、装置、电子设备及存储介质，用以解决传统的日志分析方法已经难以满足实时性、准确性的需求的问题。

2、为了实现上述目的，本技术实施例提供的技术方案如下：

3、第一方面，本技术实施例提供一种集群评估方法，所述集群评估方法包括：获取目标集群对应的历史日志数据和实时日志数据，所述日志数据至少包括：容器日志、api服务器日志、控制器管理日志；

4、对所述实时日志数据进行特征提取，得到目标特征数据集；

5、通过所述历史日志数据和历史安全事件对初始模型进行预训练，并通过所述目标特征数据集和目标安全事件对预训练后的初始模型进行微调，得到目标风险评估模型；

6、通过所述目标风险评估模型，对所述目标集群的日志数据进行风险评估。

7、作为一种可选的实施方式，在本技术实施例的第一方面中，所述对所述实时日志数据进行特征提取，得到目标特征数据集，包括：

8、对所述实时日志数据进行预处理，得到预处理后的日志数据，所述预处理包括以下至少一项：数据清洗、数据去重、数据格式化；

9、对所述预处理后的日志数据进行特征提取，得到所述目标特征数据集。

10、作为一种可选的实施方式，在本技术实施例的第一方面中，所述通过所述历史日志数据和历史安全事件对初始模型进行预训练，包括：

11、对所述历史日志数据进行数据分析，得到历史通用模式和历史异常特征；

12、通过所述历史通用模式、所述历史异常特征和所述历史安全事件对所述初始模型进行预训练。

13、作为一种可选的实施方式，在本技术实施例的第一方面中，所述通过所述目标特征数据集和目标安全事件对预训练后的初始模型进行微调，得到目标风险评估模型，包括：

14、将所述目标特征数据集输入所述预训练后的初始模型，得到初始评估结果；

15、根据所述初始评估结果和所述目标安全事件，对所述预训练后的初始模型进行微调，得到所述目标风险评估模型。

16、作为一种可选的实施方式，在本技术实施例的第一方面中，所述通过所述目标风险评估模型，对所述目标集群的日志数据进行风险评估，包括：

17、实时获取所述目标集群的待测日志数据；

18、将所述待测日志数据输入到所述目标风险评估模型中，得到目标风险评估结果，所述目标风险评估结果包括至少一项：风险等级、潜在威胁、系统故障。

19、作为一种可选的实施方式，在本技术实施例的第一方面中，所述将所述待测日志数据输入到所述目标风险评估模型中，得到目标风险评估结果之后，所述方法还包括：

20、根据预先存储的风险评估结果和安全策略之间的对应关系，确定与所述目标风险评估结果对应的目标安全策略。

21、作为一种可选的实施方式，在本技术实施例的第一方面中，所述方法还包括：

22、通过实时获取到的日志数据和反馈信息，对所述目标风险评估模型进行更新优化。

23、第二方面，本技术实施例提供一种集群评估装置，所述集群评估装置包括：获取模块，用于获取目标集群对应的历史日志数据和实时日志数据，所述日志数据至少包括：容器日志、api服务器日志、控制器管理日志；

24、处理模块，用于对所述实时日志数据进行特征提取，得到目标特征数据集；

25、所述处理模块，还用于通过所述历史日志数据和历史安全事件对初始模型进行预训练，并通过所述目标特征数据集和目标安全事件对预训练后的初始模型进行微调，得到目标风险评估模型；

26、所述处理模块，还用于通过所述目标风险评估模型，对所述目标集群的日志数据进行风险评估。

27、作为一种可选的实施方式，在本技术实施例的第二方面中，所述处理模块，具体用于对所述实时日志数据进行预处理，得到预处理后的日志数据，所述预处理包括以下至少一项：数据清洗、数据去重、数据格式化；

28、所述处理模块，具体用于对所述预处理后的日志数据进行特征提取，得到所述目标特征数据集。

29、作为一种可选的实施方式，在本技术实施例的第二方面中，所述处理模块，具体用于对所述历史日志数据进行数据分析，得到历史通用模式和历史异常特征；

30、所述处理模块，具体用于通过所述历史通用模式、所述历史异常特征和所述历史安全事件对所述初始模型进行预训练。

31、作为一种可选的实施方式，在本技术实施例的第二方面中，所述处理模块，具体用于将所述目标特征数据集输入所述预训练后的初始模型，得到初始评估结果；

32、所述处理模块，具体用于根据所述初始评估结果和所述目标安全事件，对所述预训练后的初始模型进行微调，得到所述目标风险评估模型。

33、作为一种可选的实施方式，在本技术实施例的第二方面中，所述获取模块，具体用于实时获取所述目标集群的待测日志数据；

34、所述处理模块，具体用于将所述待测日志数据输入到所述目标风险评估模型中，得到目标风险评估结果，所述目标风险评估结果包括至少一项：风险等级、潜在威胁、系统故障。

35、作为一种可选的实施方式，在本技术实施例的第二方面中，所述处理模块，还用于根据预先存储的风险评估结果和安全策略之间的对应关系，确定与所述目标风险评估结果对应的目标安全策略。

36、作为一种可选的实施方式，在本技术实施例的第二方面中，所述处理模块，还用于通过实时获取到的日志数据和反馈信息，对所述目标风险评估模型进行更新优化。

37、第三方面，本技术实施例提供一种电子设备，所述电子设备包括：

38、存储有可执行程序代码的存储器；

39、与所述存储器耦合的处理器；

40、所述处理器调用所述存储器中存储的所述可执行程序代码，执行本技术实施例第一方面中的集群评估方法。

41、第四方面，本技术实施例提供一种计算机可读存储介质，其存储计算机程序，所述计算机程序使得计算机执行本技术实施例第一方面中的集群评估方法。所述计算机可读存储介质包括rom/ram、磁盘或光盘等。

42、第五方面，本技术实施例提供一种计算机程序产品，当所述计算机程序产品在计算机上运行时，使得所述计算机执行第一方面的任意一种方法的部分或全部步骤。

43、第六方面，本技术实施例提供一种应用发布平台，所述应用发布平台用于发布计算机程序产品，其中，当所述计算机程序产品在计算机上运行时，使得所述计算机执行第一方面的任意一种方法的部分或全部步骤。

44、与现有技术相比，本技术实施例具有以下有益效果：

45、本技术实施例提供一种集群评估方法、装置、电子设备及存储介质，获取目标集群对应的历史日志数据和实时日志数据，日志数据至少包括：容器日志、api服务器日志、控制器管理日志；对实时日志数据进行特征提取，得到目标特征数据集；通过历史日志数据和历史安全事件对初始模型进行预训练，并通过目标特征数据集和目标安全事件对预训练后的初始模型进行微调，得到目标风险评估模型；通过目标风险评估模型，对目标集群的日志数据进行风险评估。在该方案中，通过自动化的日志数据采集，以及针对模型的预训练和微调，能够实现准确识别潜在的安全威胁和系统问题，提高集群日志评估的自动化水平和准确性，降低了系统运维的难度和成本，同时提升了系统的安全性和稳定性。