[发明专利]日志审计的关联分析方法与系统

权利要求书

1.日志审计的关联分析方法，其特征在于，包括：

接收事件对象：所述事件对象由采集代理对日志经过包括归并、过滤与解析的处理后发送至缓存队列，再通过TCP方式不断发送至关联分析引擎；

根据关联分析规则，对事件对象进行关联处理；

若事件对象触发关联分析规则，按照预定义的告警规则产生告警信息并入库。

2.根据权利要求1所述的关联分析方法，其特征在于，

所述关联分析规则包括事件规则、统计规则与时间规则；

所述事件规则包括事件名称、规则描述与规则配置，规则配置包括事件名称、事件类型、设备类型与触发方式，所述触发方式包括每M秒有n个事件符合匹配条件，所述匹配条件包括事件在设定的时长内发生设定的次数；

所述关联分析规则包括系统内置规则与自定义规则，且规则状态包括启用状态和禁用状态。

3.根据权利要求2所述的关联分析方法，其特征在于，多个关联分析规则的关系包括“或”和“与”；所述“或”关系：当符合其中任一个规则即可触发；所述“与”关系：当符合所有的规则才能触发。

4.根据权利要求1所述的关联分析方法，其特征在于，关联分析引擎启动时进行初始化，加载启用状态的系统内置关联分析规则并翻译为EPL语句后按照规则ID加入Esper引擎；

所述系统内置的关联分析规则，设置相应的数据表并设置目录存放以规则ID命名的规则xml文件。

5.根据权利要求4所述的关联分析方法，其特征在于，新增关联分析规则时，根据前端提交的规则描述生成以规则ID命名的规则xml文件；修改关联分析规则时，根据规则ID删除旧的规则xml文件，再根据提交的规则内容生成对应的新的规则xml文件；删除关联分析规则时，根据规则ID删除其xml文件，并发送socket通知Esper引擎移除该规则。

6.根据权利要求5所述的关联分析方法，其特征在于，修改关联分析规则时，若规则为启用状态，则发送socket通知Esper引擎重新加载该规则。

7.根据权利要求1所述的关联分析方法，其特征在于，所述告警规则包括触发关联分析规则后的告警动作，可选择是否开启告警，告警动作包括防火墙阻断、Snmp trap告警、邮件、声光报警、短信、弹窗、交换机端口禁用。

8.根据权利要求1所述的关联分析方法，其特征在于，入库后的告警信息，以设定的频率进行实时统计，用于监控展示。

9.日志审计的关联分析系统，其特征在于，包括：

规则库，存放系统默认内置的规则列表；

关联分析引擎，接收实时的事件对象，按照关联分析规则进行事件的关联和分析处理并产生告警；

规则处理模块，用于实现对关联分析规则进行添加、修改与删除处理；

Esper监听器，用于监听和加载关联分析规则，监听并接收事件对象；

告警模块，用于对关联分析引擎产生的告警信息入库，并对告警进行响应。

10.根据权利要求9所述的关联分析系统，其特征在于，关联分析引擎接收来自采集代理发送的事件对象，根据不同的关联分析规则，将事件对象进行设定时长或设定长度窗口的缓存，当事件对象触发关联分析规则时，按照预定义的告警规则进行告警，并将告警数据入库。