基于云计算的信息防护方法、服务器及存储介质

技术领域

本申请实施例涉及云计算和信息安防技术领域，具体涉及一种基于云计算的信息防护方法、服务器及存储介质。

背景技术

云计算技术的不断发展使得许多业务从线下转移到线上，在线业务的不断成熟在给人们的日常生产生活带来诸多便利的同时，也带来了一些隐患。网络信息的安全防护问题一直是人们重点关注的问题。在信息化时代，信息的泄露和篡改案例层出不穷，给相关企业或者个人造成了不可弥补的损失，因此，实现网络信息的安全防护是现目前的重点。

在相关的信息安防技术中，通常可以配备不同的入侵检测网关进行入侵行为识别以实现后续的信息安防，然而这种信息安防技术在进行入侵行为事件记录时，常常出现记录误差。

发明内容

有鉴于此，本申请实施例提供了一种基于云计算的信息防护方法、服务器及存储介质。

本申请实施例提供了一种基于云计算的信息防护方法，应用于信息防护服务器，所述方法包括：

获得第一入侵检测网关传入的第一入侵检测日志；所述第一入侵检测网关为目标入侵检测场景对应的多组入侵检测网关中的其中一组入侵检测网关，所述目标入侵检测场景对应的多组入侵检测网关用于对目标入侵检测场景进行入侵行为事件数记录；

在确定所述第一入侵检测网关优化完成，且当前存在第二入侵检测网关的前提下，将所述第一入侵检测日志迁移至过渡日志存留空间；其中，所述第二入侵检测网关为所述目标入侵检测场景对应的所有入侵检测网关中未完成优化的入侵检测网关；

根据所述过渡日志存留空间中迁移的入侵检测日志，与入侵检测日志数据库中保存的入侵检测日志，确定所述目标入侵检测场景对应的真实入侵检测日志。

优选的，确定所述第一入侵检测网关优化完成，包括：

在入侵检测日志数据库保存有所述第一入侵检测网关的入侵检测日志，且所述第一入侵检测网关未被判定为优化失败、以及所述第一入侵检测日志对应的更新频率小于所述入侵检测日志数据库保存的所述第一入侵检测网关的入侵检测日志对应的更新频率的前提下，确定所述第一入侵检测网关优化完成。

优选的，在确定所述第一入侵检测网关优化完成的前提下，所述方法还包括：

在第三入侵检测网关皆优化完成的前提下，将所述入侵检测日志数据库中保存的所述第三入侵检测网关的入侵检测日志对应调整为所述过渡日志存留空间中迁移的各第三入侵检测网关的入侵检测日志，将所述入侵检测日志数据库中保存的所述第一入侵检测网关的入侵检测日志调整为所述第一入侵检测日志，并过滤所述目标入侵检测场景对应的所有入侵检测网关的迁移入侵检测日志；其中，所述第三入侵检测网关为所述目标入侵检测场景对应的所有入侵检测网关中除所述第一入侵检测网关之外的其他入侵检测网关。

优选的，未完成优化指示入侵检测网关在上一次优化步骤中优化完成的前提下，本次优化步骤未再次优化，或在上一次优化步骤中优化失败的前提下，本次优化步骤中首次优化完成；

所述在确定所述第一入侵检测网关优化完成，且当前存在第二入侵检测网关的前提下，所述方法还包括：

在确定所述第二入侵检测网关优化失败的前提下，将所述第一入侵检测网关判定为未完成优化，将所述入侵检测日志数据库中保存的所述第一入侵检测网关的入侵检测日志调整为所述第一入侵检测日志，并过滤所述过渡日志存留空间中迁移的所述第一入侵检测网关的入侵检测日志；

以及，在存在第四入侵检测网关的前提下，将所述第四入侵检测网关判定为未完成优化，将所述入侵检测日志数据库中保存的所述第四入侵检测网关的入侵检测日志对应调整为所述过渡日志存留空间中迁移的各第四入侵检测网关的入侵检测日志，并过滤所述过渡日志存留空间中迁移的所述第四入侵检测网关的入侵检测日志；

其中，所述第四入侵检测网关为所述目标入侵检测场景对应的所有入侵检测网关中除所述第一入侵检测网关和所述第二入侵检测网关之外的其他入侵检测网关，所述优化失败表示入侵检测网关由于失败未进行优化；

在未确定所述第二入侵检测网关优化失败的前提下，确定进行所述将所述第一入侵检测日志迁移至过渡日志存留空间的步骤。

优选的，在确定所述第一入侵检测网关优化完成，且当前存在第二入侵检测网关的前提下，所述方法还包括：

在确定所述第二入侵检测网关优化失败的前提下，将所述入侵检测日志数据库保存的所述第二入侵检测网关的入侵检测日志迁移至所述过渡日志存留空间；

在获得到所述第二入侵检测网关传入的第二入侵检测日志的前提下，确定所述第二入侵检测日志中的入侵行为事件数是否皆为零；

在所述第二入侵检测日志的中的入侵行为事件数皆为零的前提下，将所述第二入侵检测网关判定为未完成优化，过滤所述过渡日志存留空间中迁移的所述第二入侵检测网关的入侵检测日志，并将所述入侵检测日志数据库保存的所述第二入侵检测网关的入侵检测日志调整为所述第二入侵检测日志；

在所述第二入侵检测日志中的入侵行为事件数存在不为零的前提下，根据所述第二入侵检测日志与所述过渡日志存留空间中迁移的所述第二入侵检测网关的入侵检测日志之间的比较结果，确定第三入侵检测日志，并将所述入侵检测日志数据库保存的所述第二入侵检测网关的入侵检测日志调整为所述第三入侵检测日志。

优选的，在确定所述第一入侵检测网关优化完成的前提下，所述方法还包括：

确定所述第一入侵检测网关的优化完成检测信息是否符合设定条件；

在所述第一入侵检测网关的优化完成检测信息符合设定条件，且当前存在第二入侵检测网关的前提下，确定所述第二入侵检测网关优化失败；

所述优化完成检测信息包括迁移累积次数，所述确定所述第一入侵检测网关的优化完成检测信息是否符合设定条件，包括：

确定所述第一入侵检测网关对应的迁移累积次数是否大于设定次数值，所述迁移累积次数用于统计所述第一入侵检测网关在优化完成的前提下传入入侵检测日志的次数；

在所述第一入侵检测网关对应的迁移累积次数大于所述设定次数值的前提下，确定所述第一入侵检测网关的优化完成检测信息符合设定条件；

或，

所述优化完成检测信息包括优化完成的状态持续时长，所述确定所述第一入侵检测网关的优化完成检测信息是否符合设定条件，包括：

确定所述第一入侵检测网关优化完成的状态持续时长是否大于设定持续时长值；

在所述第一入侵检测网关优化完成的状态持续时长大于所述设定持续时长值的前提下，确定所述第一入侵检测网关的优化完成检测信息符合设定条件。

优选的，在确定所述第二入侵检测网关优化失败的前提下，所述方法还包括：

初始化第五入侵检测网关的优化完成检测信息，所述第五入侵检测网关为所述目标入侵检测场景对应的所有入侵检测网关中除所述第二入侵检测网关之外的其他入侵检测网关；

在确定所述第一入侵检测网关优化完成的前提下，所述方法还包括：

在所述第一入侵检测网关的优化完成检测信息不符合设定条件，且不存在所述第二入侵检测网关的前提下，将所述目标入侵检测场景对应的所有入侵检测网关判定为未完成优化，并初始化所述目标入侵检测场景对应的所有入侵检测网关的优化完成检测信息；

其中，初始化优化完成检测信息包括将迁移累积次数或状态持续时长设置为零；

其中，所述优化完成检测信息包括迁移累积次数，所述确定所述第一入侵检测网关的优化完成检测信息是否符合设定条件，还包括：

在所述第一入侵检测网关对应的迁移累积次数未大于所述设定次数值的前提下，确定所述第一入侵检测网关的优化完成检测信息不符合设定条件；

或，

所述优化完成检测信息包括优化完成的状态持续时长，所述确定所述第一入侵检测网关的优化完成检测信息是否符合设定条件，还包括：

在所述第一入侵检测网关优化完成的状态持续时长未大于所述设定持续时长值的前提下，确定所述第一入侵检测网关的优化完成检测信息不符合设定条件；

其中，在所述优化完成检测信息包括迁移累积次数的前提下，所述方法还包括：

在所述第一入侵检测网关的优化完成检测信息不符合设定条件，且当前存在第二入侵检测网关的前提下，对所述第一入侵检测网关对应的迁移累积次数进行汇总。

优选的，在所述目标入侵检测场景对应的所有入侵检测网关中存在优化完成的入侵检测网关，以及未完成优化的入侵检测网关的前提下，所述过渡日志存留空间中迁移的入侵检测日志包括所述优化完成的入侵检测网关在本次优化完成的前提下传入的入侵检测日志，所述入侵检测日志数据库中保存的入侵检测日志包括所述优化完成的入侵检测网关在本次优化完成之前传入的入侵检测日志，以及，所述未完成优化的入侵检测网关的入侵检测日志；

所述根据所述过渡日志存留空间中迁移的入侵检测日志，与入侵检测日志数据库中保存的入侵检测日志，确定所述目标入侵检测场景对应的真实入侵检测日志，包括：

将所述过渡日志存留空间中迁移的所述优化完成的入侵检测网关最近的入侵检测日志以及所述入侵检测日志数据库中保存的各入侵检测网关最近的入侵检测日志中在线入侵行为事件数的加权结果，与所述过渡日志存留空间中迁移的所述优化完成的入侵检测网关最近的入侵检测日志以及所述入侵检测日志数据库中保存的各入侵检测网关最近的入侵检测日志中离线入侵行为事件数的加权结果之间的差异情况，确定为所述目标入侵检测场景中的有效入侵行为事件数；

在所述目标入侵检测场景对应的所有入侵检测网关中存在未完成优化的入侵检测网关，以及优化失败的入侵检测网关，但不存在优化完成的入侵检测网关的前提下，所述过渡日志存留空间中迁移的入侵检测日志包括所述优化失败的入侵检测网关在被确定为优化失败之前最后一次传入的入侵检测日志，所述入侵检测日志数据库中保存的为所述所有入侵检测网关中除所述优化失败的入侵检测网关之外其他入侵检测网关传入的入侵检测日志，以及所述优化失败的入侵检测网关在确定优化失败之后传入的入侵检测日志与该入侵检测网关在过渡日志存留空间中迁移的所述在被确定为优化失败之前最后一次传入的入侵检测日志的差异化信息；

所述根据所述过渡日志存留空间中迁移的入侵检测日志，与入侵检测日志数据库中保存的入侵检测日志，确定所述目标入侵检测场景对应的真实入侵检测日志，包括：

根据所述入侵检测日志数据库保存的各入侵检测网关最近的入侵检测日志中在线入侵行为事件数的加权结果，与所述入侵检测日志数据库保存的各入侵检测网关最近的入侵检测日志中离线入侵行为事件数的加权结果之间的差异情况，确定为所述目标入侵检测场景中的有效入侵行为事件数。

本申请实施例还提供了一种信息防护服务器，包括处理器、通信总线和存储器；所述处理器和所述存储器通过所述通信总线通信，所述处理器从所述存储器中读取计算机程序并运行，以执行上述的方法。

本申请实施例还提供了一种计算机用可读存储介质，所述可读存储介质存储有计算机程序，所述计算机程序在运行时实现上述的方法。

相较于现有技术，本申请实施例提供的基于云计算的信息防护方法、服务器及存储介质具有以下技术效果：获得第一入侵检测网关传入的第一入侵检测日志，在确定第一入侵检测网关优化完成，且当前存在第二入侵检测网关的前提下，将第一入侵检测日志迁移至过渡日志存留空间，并根据过渡日志存留空间中迁移的入侵检测日志，与入侵检测日志数据库中保存的入侵检测日志，确定目标入侵检测场景对应的真实入侵检测日志，通过在入侵检测场景对应的所有入侵检测网关中存在优化完成的入侵检测网关且存在未完成优化的入侵检测网关的前提下，对优化完成的入侵检测网关传入的入侵检测日志迁移到过渡日志存留空间，可以避免由于入侵检测日志数据库中保存部分入侵检测网关优化完成之前的入侵检测日志以及部分入侵检测网关优化完成后的入侵检测日志而造成入侵检测日志记录出现偏差，进而提高入侵检测场景的入侵行为事件数记录的准确性。

在后面的描述中，将部分地陈述其他的特征。在检查后面内容和附图时，本领域的技术人员将部分地发现这些特征，或者可以通过生产或运用了解到这些特征。通过实践或使用后面所述详细示例中列出的方法、工具和组合的各个方面，当前申请中的特征可以被实现和获得。

附图说明

为了更清楚地说明本申请实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本申请的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本申请实施例所提供的一种信息防护服务器的方框示意图。

图2为本申请实施例所提供的一种基于云计算的信息防护方法的流程图。

图3为本申请实施例所提供的一种基于云计算的信息防护装置的框图。

具体实施方式

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例只是本申请的一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。

因此，以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围，而是仅仅表示本申请的选定实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

图1示出了本申请实施例所提供的一种信息防护服务器10的方框示意图。本申请实施例中的信息防护服务器10可以为具有数据存储、传输、处理功能的服务端，如图1所示，信息防护服务器10包括：存储器11、处理器12、通信总线13和基于云计算的信息防护装置20。

存储器11、处理器12和通信总线13之间直接或间接地电性连接，以实现数据的传输或交互。例如，这些元件互相之间可以通过一条或多条通讯总线或信号线实现电性连接。存储器11中存储有基于云计算的信息防护装置20，所述基于云计算的信息防护装置20包括至少一个可以软件或固件（firmware）的形式储存于所述存储器11中的软件功能模块，所述处理器12通过运行存储在存储器11内的软件程序以及模块，例如本申请实施例中的基于云计算的信息防护装置20，从而执行各种功能应用以及数据处理，即实现本申请实施例中的基于云计算的信息防护方法。

其中，所述存储器11可以是，但不限于，随机存取存储器（Random Access Memory，RAM），只读存储器（Read Only Memory，ROM），可编程只读存储器（Programmable Read-OnlyMemory，PROM），可擦除只读存储器（Erasable Programmable Read-Only Memory，EPROM），电可擦除只读存储器（Electric Erasable Programmable Read-Only Memory，EEPROM）等。其中，存储器11用于存储程序，所述处理器12在接收到执行指令后，执行所述程序。

所述处理器12可能是一种集成电路芯片，具有数据的处理能力。上述的处理器12可以是通用处理器，包括中央处理器 (Central Processing Unit，CPU)、网络处理器(Network Processor，NP)等。可以实现或者执行本申请实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

通信总线13用于通过网络建立信息防护服务器10与其他通信终端设备之间的通信连接，实现网络信号及数据的收发操作。上述网络信号可包括无线信号或者有线信号。

可以理解，图1所示的结构仅为示意，信息防护服务器10还可包括比图1中所示更多或者更少的组件，或者具有与图1所示不同的配置。图1中所示的各组件可以采用硬件、软件或其组合实现。

本申请实施例还提供了一种计算机用可读存储介质，所述可读存储介质存储有计算机程序，所述计算机程序在运行时实现上述的方法。

图2示出了本申请实施例所提供的一种基于云计算的信息防护的流程图。所述方法有关的流程所定义的方法步骤应用于信息防护服务器10，可以由所述处理器12实现，所述方法包括以下S21-S23。

S21，信息防护服务器10获得第一入侵检测网关传入的第一入侵检测日志。

在本申请实施例中，所述第一入侵检测网关为目标入侵检测场景对应的多组入侵检测网关中的其中一组入侵检测网关，所述目标入侵检测场景对应的多组入侵检测网关用于对目标入侵检测场景进行入侵行为事件数记录。

例如，第一入侵检测网关可以向信息安防服务器10上传的第一入侵检测日志，入侵检测日志中可以记录入侵行为事件，入侵行为事件可以的分类可以按照多种分类标准实现，比如在线入侵行为事件和离线入侵行为事件，又比如本地入侵行为事件和远程入侵行为事件，亦或者数据窃取事件和数据篡改事件等。

进一步地，目标入侵检测场景可以是不同的业务场景，相应的，入侵检测网关和信息安防服务器可以应用于在线支付业务场景、在线办公业务场景或者远程教育业务场景。

S22，信息防护服务器10在确定所述第一入侵检测网关优化完成，且当前存在第二入侵检测网关的前提下，将所述第一入侵检测日志迁移至过渡日志存留空间。

在本申请实施例中，所述第二入侵检测网关为所述目标入侵检测场景对应的所有入侵检测网关中未完成优化的入侵检测网关。

例如，网关优化可以理解为入侵检测网关的配置重置或者升级，网关优化能够提高入侵检测网关的防护性能。进一步地，过渡日志存留空间可以用于对第一入侵检测日志进行缓存，过渡日志存留空间可以是备用服务器对应的存储空间也可以是其他类型的存储空间，在此不作限定。

在一些可能的实施例中，S22所描述的确定所述第一入侵检测网关优化完成，可以通过以下技术方案实现：在入侵检测日志数据库保存有所述第一入侵检测网关的入侵检测日志，且所述第一入侵检测网关未被判定为优化失败、以及所述第一入侵检测日志对应的更新频率小于所述入侵检测日志数据库保存的所述第一入侵检测网关的入侵检测日志对应的更新频率的前提下，确定所述第一入侵检测网关优化完成。

例如，入侵检测日志数据库可以是与信息防护服务器10对应的关系型数据库，例如MySQL数据库或者Hive数据库。

可以理解，通过考虑第一入侵检测日志对应的更新频率以及入侵检测日志数据库中的第一入侵检测网关的入侵检测日志考虑在内，从而准确可靠地判断第一入侵检测网关是否优化完成。

在一些可选的实施例中，在上述S22所描述的在确定所述第一入侵检测网关优化完成的前提下，该方法还可以包括以下内容步骤（1）和步骤（2）所描述的内容。

（1）在第三入侵检测网关皆优化完成的前提下，将所述入侵检测日志数据库中保存的所述第三入侵检测网关的入侵检测日志对应调整为所述过渡日志存留空间中迁移的各第三入侵检测网关的入侵检测日志。

（2）将所述入侵检测日志数据库中保存的所述第一入侵检测网关的入侵检测日志调整为所述第一入侵检测日志，并过滤所述目标入侵检测场景对应的所有入侵检测网关的迁移入侵检测日志。

在本申请实施例中，所述第三入侵检测网关为所述目标入侵检测场景对应的所有入侵检测网关中除所述第一入侵检测网关之外的其他入侵检测网关。如此设计，能够实现对迁移入侵检测日志有效过滤和调整，从而避免迁移入侵检测日志和其他的入侵检测日志之间存在混淆和重复。

在一些可能的实施例中，上述S22所描述的在确定所述第一入侵检测网关优化完成，且当前存在第二入侵检测网关的前提下，该方法还可以包括以下S31-S34所描述的技术方案。

S31，在确定所述第二入侵检测网关优化失败的前提下，将所述入侵检测日志数据库保存的所述第二入侵检测网关的入侵检测日志迁移至所述过渡日志存留空间。

S32，在获得到所述第二入侵检测网关传入的第二入侵检测日志的前提下，确定所述第二入侵检测日志中的入侵行为事件数是否皆为零；

S33，在所述第二入侵检测日志的中的入侵行为事件数皆为零的前提下，将所述第二入侵检测网关判定为未完成优化，过滤所述过渡日志存留空间中迁移的所述第二入侵检测网关的入侵检测日志，并将所述入侵检测日志数据库保存的所述第二入侵检测网关的入侵检测日志调整为所述第二入侵检测日志。

S34，在所述第二入侵检测日志中的入侵行为事件数存在不为零的前提下，根据所述第二入侵检测日志与所述过渡日志存留空间中迁移的所述第二入侵检测网关的入侵检测日志之间的比较结果，确定第三入侵检测日志，并将所述入侵检测日志数据库保存的所述第二入侵检测网关的入侵检测日志调整为所述第三入侵检测日志。

可以理解，通过上述S31-S34，能够根据不同入侵检测日志的中的入侵行为事件的统计数量以及入侵检测日志数据库中所保存的入侵检测日志实现入侵检测日志调整，从而实现对入侵行为事件的统计数量的精准追踪，避免入侵行为事件数在统计过程中出现偏差。

S23，信息防护服务器10根据所述过渡日志存留空间中迁移的入侵检测日志，与入侵检测日志数据库中保存的入侵检测日志，确定所述目标入侵检测场景对应的真实入侵检测日志。

例如，真实入侵检测日志可以理解为实际的入侵检测日志，换言之，真实入侵检测日志能够准确记录目标入侵检测场景对应的入侵行为事件数，从而避免对入侵行为事件的统计遗漏，如此，能够确保入侵检测日志的真实性和可靠性，为后续的信息安防分析提供准确可靠的依据。

在一些示例中，在所述目标入侵检测场景对应的所有入侵检测网关中存在优化完成的入侵检测网关，以及未完成优化的入侵检测网关的前提下，所述过渡日志存留空间中迁移的入侵检测日志包括所述优化完成的入侵检测网关在本次优化完成的前提下传入的入侵检测日志，所述入侵检测日志数据库中保存的入侵检测日志包括所述优化完成的入侵检测网关在本次优化完成之前传入的入侵检测日志，以及，所述未完成优化的入侵检测网关的入侵检测日志。

在上述示例的基础上，S23所描述的根据所述过渡日志存留空间中迁移的入侵检测日志，与入侵检测日志数据库中保存的入侵检测日志，确定所述目标入侵检测场景对应的真实入侵检测日志，可以通过以下S231和S232所描述的技术方案实现。

S231，将所述过渡日志存留空间中迁移的所述优化完成的入侵检测网关最近的入侵检测日志以及所述入侵检测日志数据库中保存的各入侵检测网关最近的入侵检测日志中在线入侵行为事件数的加权结果，与所述过渡日志存留空间中迁移的所述优化完成的入侵检测网关最近的入侵检测日志以及所述入侵检测日志数据库中保存的各入侵检测网关最近的入侵检测日志中离线入侵行为事件数的加权结果之间的差异情况，确定为所述目标入侵检测场景中的有效入侵行为事件数。

例如，最近的入侵检测日志可以理解为最新的入侵检测日志，加权结果可以理解为入侵行为事件数的和值，加权结果之间的差异情况可以理解为不同加权结果之间的差值。

进一步地，有效入侵行为事件可以理解为信息防护服务器10检测出的具有实际入侵攻击意图的行为事件。

S232，在所述目标入侵检测场景对应的所有入侵检测网关中存在未完成优化的入侵检测网关，以及优化失败的入侵检测网关，但不存在优化完成的入侵检测网关的前提下，所述过渡日志存留空间中迁移的入侵检测日志包括所述优化失败的入侵检测网关在被确定为优化失败之前最后一次传入的入侵检测日志，所述入侵检测日志数据库中保存的为所述所有入侵检测网关中除所述优化失败的入侵检测网关之外其他入侵检测网关传入的入侵检测日志，以及所述优化失败的入侵检测网关在确定优化失败之后传入的入侵检测日志与该入侵检测网关在过渡日志存留空间中迁移的所述在被确定为优化失败之前最后一次传入的入侵检测日志的差异化信息。

如此设计，能够将处于不同优化状态的入侵检测网关的入侵检测日志以及对应的入侵行为事件考虑在内，从而避免由于入侵检测日志数据库中保存部分入侵检测网关优化完成之前的入侵检测日志以及部分入侵检测网关优化完成后的入侵检测日志而造成入侵检测日志记录出现偏差，进而提高入侵检测场景的入侵行为事件数记录的准确性。

在一些可能的实施例中，S23所描述的根据所述过渡日志存留空间中迁移的入侵检测日志，与入侵检测日志数据库中保存的入侵检测日志，确定所述目标入侵检测场景对应的真实入侵检测日志，还可以通过以下方式实现：根据所述入侵检测日志数据库保存的各入侵检测网关最近的入侵检测日志中在线入侵行为事件数的加权结果，与所述入侵检测日志数据库保存的各入侵检测网关最近的入侵检测日志中离线入侵行为事件数的加权结果之间的差异情况，确定为所述目标入侵检测场景中的有效入侵行为事件数。

在一些示例中，未完成优化指示入侵检测网关在上一次优化步骤中优化完成的前提下，本次优化步骤未再次优化，或在上一次优化步骤中优化失败的前提下，本次优化步骤中首次优化完成。基于此，在S22所描述的在确定所述第一入侵检测网关优化完成，且当前存在第二入侵检测网关的前提下，该方法还包括以下两种实施方式中的其中一种。

第一种实施方式，在确定所述第二入侵检测网关优化失败的前提下，将所述第一入侵检测网关判定为未完成优化，将所述入侵检测日志数据库中保存的所述第一入侵检测网关的入侵检测日志调整为所述第一入侵检测日志，并过滤所述过渡日志存留空间中迁移的所述第一入侵检测网关的入侵检测日志；在存在第四入侵检测网关的前提下，将所述第四入侵检测网关判定为未完成优化，将所述入侵检测日志数据库中保存的所述第四入侵检测网关的入侵检测日志对应调整为所述过渡日志存留空间中迁移的各第四入侵检测网关的入侵检测日志，并过滤所述过渡日志存留空间中迁移的所述第四入侵检测网关的入侵检测日志。

在第一种实施方式中，所述第四入侵检测网关为所述目标入侵检测场景对应的所有入侵检测网关中除所述第一入侵检测网关和所述第二入侵检测网关之外的其他入侵检测网关，所述优化失败表示入侵检测网关由于失败未进行优化。

第二种实施方式，在未确定所述第二入侵检测网关优化失败的前提下，确定进行所述将所述第一入侵检测日志迁移至过渡日志存留空间的步骤。

可以理解，通过对第二入侵检测网关的优化状态进行判断以执行不同的步骤，能够确保入侵检测日志的处理与实际情况相适配，从而避免在处理入侵检测日志时出现混乱。

在一些可能的实施例中，S22所描述的在确定所述第一入侵检测网关优化完成的前提下，该方法还可以包括以下S41和S42所描述的技术方案。

S41，确定所述第一入侵检测网关的优化完成检测信息是否符合设定条件。

S42，在所述第一入侵检测网关的优化完成检测信息符合设定条件，且当前存在第二入侵检测网关的前提下，确定所述第二入侵检测网关优化失败。

在一些实施例中，所述优化完成检测信息包括迁移累积次数，基于此，上述S41所描述的确定所述第一入侵检测网关的优化完成检测信息是否符合设定条件，可以包括以下S411a和S412a所描述的技术方案。

S411a，确定所述第一入侵检测网关对应的迁移累积次数是否大于设定次数值，所述迁移累积次数用于统计所述第一入侵检测网关在优化完成的前提下传入入侵检测日志的次数。

S412a，在所述第一入侵检测网关对应的迁移累积次数大于所述设定次数值的前提下，确定所述第一入侵检测网关的优化完成检测信息符合设定条件。

在另外一些实施例中，所述优化完成检测信息包括优化完成的状态持续时长，基于此，上述S41所描述的确定所述第一入侵检测网关的优化完成检测信息是否符合设定条件，可以包括以下S411b和S412b所描述的技术方案。

S411b，确定所述第一入侵检测网关优化完成的状态持续时长是否大于设定持续时长值。

S412b，在所述第一入侵检测网关优化完成的状态持续时长大于所述设定持续时长值的前提下，确定所述第一入侵检测网关的优化完成检测信息符合设定条件。

如此设计，可以根据不同的优化完成检测信息，从不同的角度判断优化完成检测信息是否符合设定条件，以确保上述技术方案能够在尽可能多的场景下实施。

在上述内容的基础上，S22所描述的在确定所述第二入侵检测网关优化失败的前提下，该方法还可以包括以下技术方案：初始化第五入侵检测网关的优化完成检测信息，所述第五入侵检测网关为所述目标入侵检测场景对应的所有入侵检测网关中除所述第二入侵检测网关之外的其他入侵检测网关。基于此，S22所描述的在确定所述第一入侵检测网关优化完成的前提下，该方法还可以包括以下技术方案：在所述第一入侵检测网关的优化完成检测信息不符合设定条件，且不存在所述第二入侵检测网关的前提下，将所述目标入侵检测场景对应的所有入侵检测网关判定为未完成优化，并初始化所述目标入侵检测场景对应的所有入侵检测网关的优化完成检测信息。

在本申请实施例中，初始化优化完成检测信息包括将迁移累积次数或状态持续时长设置为零。

在一些示例中，所述优化完成检测信息包括迁移累积次数，基于此，上述步骤所描述的确定所述第一入侵检测网关的优化完成检测信息是否符合设定条件，还可以包括以下内容：在所述第一入侵检测网关对应的迁移累积次数未大于所述设定次数值的前提下，确定所述第一入侵检测网关的优化完成检测信息不符合设定条件。

在另外的一些示例中，所述优化完成检测信息包括优化完成的状态持续时长，基于此，上述步骤所描述的确定所述第一入侵检测网关的优化完成检测信息是否符合设定条件，还可以包括以下内容：在所述第一入侵检测网关优化完成的状态持续时长未大于所述设定持续时长值的前提下，确定所述第一入侵检测网关的优化完成检测信息不符合设定条件。

在一些可选的实施例中，在所述优化完成检测信息包括迁移累积次数的前提下，该方法还可以包括以下技术方案：在所述第一入侵检测网关的优化完成检测信息不符合设定条件，且当前存在第二入侵检测网关的前提下，对所述第一入侵检测网关对应的迁移累积次数进行汇总。

综上，通过应用上述技术方案，获得第一入侵检测网关传入的第一入侵检测日志，在确定第一入侵检测网关优化完成，且当前存在第二入侵检测网关的前提下，将第一入侵检测日志迁移至过渡日志存留空间，并根据过渡日志存留空间中迁移的入侵检测日志，与入侵检测日志数据库中保存的入侵检测日志，确定目标入侵检测场景对应的真实入侵检测日志，通过在入侵检测场景对应的所有入侵检测网关中存在优化完成的入侵检测网关且存在未完成优化的入侵检测网关的前提下，对优化完成的入侵检测网关传入的入侵检测日志迁移到过渡日志存留空间，可以避免由于入侵检测日志数据库中保存部分入侵检测网关优化完成之前的入侵检测日志以及部分入侵检测网关优化完成后的入侵检测日志而造成入侵检测日志记录出现偏差，进而提高目标入侵检测场景的入侵行为事件数记录的准确性。

此外，通过对目标入侵检测场景的入侵行为事件数进行准确记录，能够避免漏记带来的入侵行为分析异常，从而尽可能确保信息防护服务器能够根据真实入侵检测日志进行入侵行为分析以作出相应的信息防护动作。

在一些选择性的实施例中，该方法还可以包括以下技术方案：

根据所述真实入侵检测日志进行入侵行为分析，得到入侵行为意图信息；基于所述入侵行为意图信息触发信息防护策略。

比如，入侵行为分析可以基于神经网络模型实现，入侵行为意图信息包括数据非法访问、数据篡改等，信息防护策略包括但不限于防火墙等拦截机制。

如此，可以有效确保相关数据信息的安全性。

基于上述同样的发明构思，还提供了一种基于云计算的信息防护装置20，应用于信息防护服务器10，所述装置包括：

日志获得模块21，用于获得第一入侵检测网关传入的第一入侵检测日志；所述第一入侵检测网关为目标入侵检测场景对应的多组入侵检测网关中的其中一组入侵检测网关，所述目标入侵检测场景对应的多组入侵检测网关用于对目标入侵检测场景进行入侵行为事件数记录；

日志迁移模块22，用于在确定所述第一入侵检测网关优化完成，且当前存在第二入侵检测网关的前提下，将所述第一入侵检测日志迁移至过渡日志存留空间；其中，所述第二入侵检测网关为所述目标入侵检测场景对应的所有入侵检测网关中未完成优化的入侵检测网关；

日志确定模块23，用于根据所述过渡入侵检测存留空间中迁移的入侵检测日志，与入侵检测日志数据库中保存的入侵检测日志，确定所述目标入侵检测场景对应的真实入侵检测日志。

关于上述功能模块的描述请参阅对图2所示的方法的描述。

在本申请实施例所提供的几个实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置和方法实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

另外，在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。

所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个人计算机，信息防护服务器10，或者网络设备等）执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器（ROM，Read-Only Memory）、随机存取存储器（RAM，Random Access Memory）、磁碟或者光盘等各种可以存储程序代码的介质。需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上所述仅为本申请的优选实施例而已，并不用于限制本申请，对于本领域的技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。