[发明专利]关联分析方法和系统及汇聚关联引擎和分布式关联引擎

权利要求书

1.一种关联分析方法，其特征在于，包括：

汇聚关联装置获取用户配置的关联规则的所有匹配规则，并为每个匹配规 则分配标识；

汇聚关联装置将所述匹配规则和对应的标识下发给分布式关联装置，使得 所述分布式关联装置根据所述匹配规则对设备发送的日志进行规则匹配；

汇聚关联装置接收所述分布式关联装置上报的被日志命中的匹配规则的 标识，所述日志为设备发送至分布式关联装置的日志；

若根据接收到的标识判定所述关联规则得到满足，则汇聚关联装置根据预 置的关联策略产生一个特定的关联事件。

2.根据权利要求1所述的关联分析方法，其特征在于，在所述为每个匹配 规则分配标识之后还包括：根据所述关联规则生成有限自动机，并将所述有限 自动机设置为初始状态，所述有限自动机的迁移状态和匹配规则的标识对应；

所述若根据接收到的标识判定所述关联规则得到满足，则根据预置的关联 策略产生一个特定的关联事件包括：

判断接收到的标识是否能够触发所述有限自动机状态迁移；

若是，则更新所述有限自动机的状态；

若所述有限自动机更新后的状态为结束状态，则判定所述关联规则得到满 足，根据预置的关联策略产生一个特定的关联事件。

3.根据权利要求2所述的关联分析方法，其特征在于，若判定接收到的标 识不能够触发所述有限自动机状态迁移，则丢弃该接收到的标识。

4.一种关联分析方法，其特征在于，包括：

分布式关联装置接收并保存汇聚关联装置下发的匹配规则和汇聚关联装 置为所述匹配规则分配的标识，所述匹配规则为汇聚关联装置获取的用户配置 的关联规则的所有匹配规则；

分布式关联装置接收设备发送的日志；

分布式关联装置根据所述匹配规则对日志进行规则匹配；

若所述日志命中匹配规则，则分布式关联装置将所述日志命中的匹配规则 的标识上报给汇聚关联装置，以便于汇聚关联装置根据接收到的标识判断关联 规则是否得到满足，并使得汇聚关联装置在确定所述关联规则得到满足时，根 据关联策略产生一个特定的关联事件。

5.根据权利要求4所述的关联分析方法，其特征在于，所述方法还包括：

将命中所述匹配规则的日志上报给汇聚关联装置。

6.根据权利要求4所述的关联分析方法，其特征在于，所述方法还包括：

在所述接收并保存汇聚关联装置下发的匹配规则和对应的标识后，更新匹 配规则库，所述匹配规则库保存有匹配规则和标识的对应关系。

7.一种汇聚关联装置，其特征在于，包括：

分配模块，用于获取用户配置的关联规则的所有匹配规则，并为每个匹配 规则分配标识；

下发模块，用于将所述匹配规则和对应的标识下发给分布式关联装置，使 得所述分布式关联装置根据所述匹配规则对设备发送的日志进行规则匹配；

第一接收模块，用于接收分布式关联装置上报的被日志命中的匹配规则的 标识，所述日志为设备发送至分布式关联装置的日志；

产生模块，用于当根据接收到的标识判定所述关联规则得到满足时，根据 预置的关联策略产生一个特定的关联事件。

8.根据权利要求7所述的汇聚关联装置，其特征在于，所述汇聚关联装置 还包括：生成模块，用于在分配模块执行相关操作之后，根据所述关联规则生 成有限自动机，并将所述有限自动机设置为初始状态，所述有限自动机的迁移 状态和匹配规则的标识对应；

产生模块具体用于判断接收到的标识是否能够触发所述有限自动机状态 迁移，若是，则更新所述有限自动机的状态，若所述有限自动机更新后的状态 为结束状态，则确定所述关联规则得到满足，根据预置的关联策略产生一个特 定的关联事件。