[发明专利]一种基于XML标签语言的日志管理方法和系统

权利要求书

1.一种基于XML标签语言的日志管理方法，其特征在于：该方法以XML语言的语法规则为基础，从所有的入侵检测系统、防火墙、操作系统、应用软件和防病毒系统中获得安全事件，定义范化引擎和范化策略，根据范化引擎加载范化策略，并根据待范化的数据，选择合适的范化规则进行日志样本数据的范化。

2.根据权利要求1所述的基于XML标签语言的日志管理方法，其特征在于：具体定义范化引擎和范化策略的方法是利用XML语言的元素来表示类别，利用XML的属性来表示特性，并引入扩展的特征，包括类型、常量、函数。

3.根据权利要求1所述的基于XML标签语言的日志管理方法，其特征在于：该方法的具体步骤如下：

步骤一、分析日志；收集日志或者告警样本，并对所收集到的日志或者告警样本进行分析，分析的目的在于明确需要定义的数据结构，以及范化规则和映射规则的基本框架；

步骤二、定义范化数据结构；合理范化给定日志样本数据的数据结构；

步骤三、定义规则；编制出合理的范化策略以及映射策略，并定义出相应的范化规则和映射规则；

步骤四、 加载策略；通过范化引擎将加载范化策略；

步骤五、查找匹配；根据待范化的数据，选择合适的规则进行范化，具体做法是，查找匹配的规则，每成功匹配一次，就执行一个对应的范化动作；

步骤六、关联数据结构；将范化操作得到日志样本数据的字段与数据结构的相关字段相关联；

步骤七、映射处理；根据所述关联结构，应用映射规则决定是否做日记数据字段与数据结构字段的映射处理；

步骤八、类型转换；负责执行格式与类型转换操作；

步骤九、输出结果；输出范化后的结果。

4.根据权利要求3所述的基于XML标签语言的日志管理方法，其特征在于：范化规则组织成一个规则树，并提供正则表达式匹配、规则查找接口，并将查找的相关关键字段以链表形式输出。

5.根据权利要求3所述的基于XML标签语言的日志管理方法，其特征在于：映射策略组织成内存中的可实现高速查询的B+树，并提供映射查找接口。

6.根据权利要求3所述的基于XML标签语言的日志管理方法，其特征在于：查找匹配的原理是利用“频繁使用优先算法”查找与事件数据相匹配的范化规则，并选择映射规则进行规则映射。

7.根据权利要求3所述的基于XML标签语言的日志管理方法，其特征在于：类行转换指将事件数据由字符串形式转换成IP、MAC、时间、整数数据类型，同时能将数据写到指定的内存位置。

8.一种基于XML标签语言的日志管理系统，其特征在于：该管理系统包括范化调度模块、数据结构管理模块、规则管理模块、映射管理模块和类型转换模块；范化调度模块与数据结构管理模块、规则管理模块、映射管理模块和类型转换模块之间进行控制流的连接，范化调度模块发出控制指令，负责调度数据结构管理模块、规则管理模块、映射管理模块和类型转换模块；规则管理模块以数据流的方式与范化调度模块、数据结构管理模块、映射管理模块和类型转换模块相连接，传递数据信息。

9.根据权利要求8所述的基于XML标签语言的日志管理系统，其特征在于：所述范化调度模块负责调度和管理数据结构管理模块、规则管理模块、映射管理模块、类型转换模块4个功能模块，使用优先算法查找与事件数据相匹配的范化规则，并选择合适的映射规则进行规则映射，然后调用类型转换模块，对事件数据进行范化；类型转换模块负责将事件数据由字符串形式转换成IP、MAC、时间、整数数据类型，同时能将数据写到指定的内存位置。