[发明专利]关联分析方法和系统及汇聚关联引擎和分布式关联引擎

说明书

技术领域

本发明涉及通信技术领域，具体涉及一种关联分析方法和系统及汇聚关联 装置和分布式关联装置。

背景技术

随着信息化程度不断提高，对信息系统的依赖程度也随之增加，因此，如 何保障信息系统安全是人们都十分关注的一个问题。信息系统的安全状况可以 通过设备的日志中反映出来，一个故障现象或是攻击行为，需要对数台甚至数 十台设备的日志进行关联分析才能确定真正的故障原因。

基于关联策略的关联分析是目前比较常用的关联分析方案。关联策略描述 了当一个关联规则得到满足时，就会产生一个需要进行处理的关联事件。

现有的基于关联策略的关联分析技术主要采用集中式分析，即对接收到的 所有日志进行预处理后，将预处理后的所有日志上报到统一的关联分析设备， 关联分析设备再对上报的所有日志进行规则匹配，在日志命中匹配规则之后， 再判断关联规则是否得到满足，若是，则关联分析设备根据预置的关联策略产 生一个关联事件。

在对现有技术的研究和实践过程中，本发明的发明人发现，现有技术中， 关联分析设备需要对所有的日志进行规则匹配，导致关联分析设备的处理负荷 较大，降低了处理性能。

发明内容

本发明实施例提供一种关联分析设备不需要对所有的日志进行规则匹配 的关联分析方法和系统及汇聚关联装置和分布式关联装置。

本发明实施例提供了一种关联分析方法，包括：获取用户配置的关联规则 的所有匹配规则，并为每个匹配规则分配标识；将匹配规则和对应的标识下发 给分布式关联装置；接收分布式关联装置上报的被日志命中的匹配规则的标 识；若根据接收到的标识判定关联规则得到满足，则根据预置的关联策略产生 一个特定的关联事件。

本发明实施例提供了一种关联分析方法，包括：接收并保存汇聚关联装置 下发的匹配规则和对应的标识；接收设备发送的日志；根据匹配规则对日志进 行规则匹配；若日志命中匹配规则，则将日志命中的匹配规则的标识上报给汇 聚关联装置，以便于汇聚关联装置根据接收到的标识判断关联规则是否得到满 足。

本发明实施例提供了一种汇聚关联装置，包括：分配模块，用于获取用户 配置的关联规则的所有匹配规则，并为每个匹配规则分配标识；下发模块，用 于将匹配规则和对应的标识下发给分布式关联装置；第一接收模块，用于接收 分布式关联装置上报的被日志命中的匹配规则的标识；产生模块，用于当根据 接收到的标识判定关联规则得到满足时，根据预置的关联策略产生一个特定的 关联事件。

本发明实施例提供了一种分布式关联装置，包括：接收保存模块，用于接 收并保存汇聚关联装置下发的匹配规则和对应的标识；接收模块，用于接收设 备发送的日志；匹配模块，用于根据匹配规则对日志进行规则匹配；第一上报 模块，用于若日志命中匹配规则，则将日志命中的匹配规则的标识上报给汇聚 关联装置，以便于汇聚关联装置根据接收到的标识判断关联规则是否得到满 足。

本发明实施例提供了一种关联分析系统，包括：汇聚关联装置，用于获取 用户配置的关联规则的所有匹配规则，并为每个匹配规则分配标识；将匹配规 则和对应的标识下发给分布式关联装置；接收分布式关联装置上报的被日志命 中的匹配规则的标识；当根据接收到的标识判定关联规则得到满足时，根据预 置的关联策略产生一个特定的关联事件；分布式关联装置，用于接收并保存汇 聚关联装置下发的匹配规则和对应的标识；接收设备发送的日志；根据匹配规 则对日志进行规则匹配；若日志命中匹配规则，则将日志命中的匹配规则的标 识上报给汇聚关联装置。

从以上技术方案可以看出，本发明实施例具有以下优点：

本发明实施例中，汇聚关联装置为关联规则的每个匹配规则分配标识，并 将匹配规则和对应的标识下发给分布式关联装置；然后，汇聚关联装置接收分 布式关联装置上报的被日志命中的匹配规则的标识，并根据接收到的标识判断 关联规则是否得到满足，若是，则根据预置的关联策略产生一个特定的关联事 件。可见，相对现有技术，本实施例中，关联分析设备，即汇聚关联装置无需 对日志进行规则匹配，只需根据接收到的标识判断关联规则是否得到满足，大 大减小了处理负荷，提高了处理性能。

附图说明

图1是本发明实施例中关联分析方法的一个实施例的流程图；

图2是本发明实施例中关联分析方法的另一实施例的流程图；