[发明专利]一种日志收集与分析处理方法

说明书

本发明公开了一种日志收集与分析处理方法，包括以下步骤：身份鉴别与授权、日志的形成、日志的采集和日志的分析。本发明对各种网络设备、服务器、操作系统、应用系统和数据库等日志信息进行系统地采集、处理、存储与分析，给出告警、处理建议等信息，帮助提高网络的安全性和稳定性。

技术领域

本发明涉及信息分析处理领域，具体涉及一种日志收集与分析处理方法。

背景技术

随着计算机技术在保密行业的应用，大量网络设备、安全设备、操作系统以及应用服务得到了广泛应用。这些IT相关网络设备在工作中起到了至关重要的作用。对于安全管理人员来说，需要定期分析各设备、应用系统所产生的日志，保证设备运行安全，保护信息系统中信息的安全。通过记录与审查用户操作计算机及网络系统活动的过程，对日志进行收集分析和审计，是提高系统安全性的重要举措。通过对日志进行安全审计，能够了解系统的安全状况，及时进行调整，对已出现的破坏事件，做出评估并提供有效的灾难恢复和追究责任的依据，同时可以协助系统管理员及时发现网络系统入侵或潜在的系统漏洞及隐患。

随着网络的日益普及，利用网络实施犯罪的新型网络违法与犯罪行为日渐增多。网络的虚拟性与不确定性，造成传统的防御手段对此已力不从心，迫切需要新的技术手段来帮助应对这一新挑战。

随着大数据时代的到来，分散在各个内网主机和服务器上有价值的信息越来越多，这些包含在日志中的信息如果被合理采集并进行了分析和利用，能够大幅度提高网络的安全性和稳定性，同时也给网络管理人员带来极大的便利性，不再需要登录到每台设备上查看和下载日志，提高了工作效率。

发明内容

本发明的目的在于提供一种日志收集与分析处理方法，解决了现有技术中无法通过日志的分析处理，快速便利的提高网络的安全性和稳定性的问题。

为解决上述的技术问题，本发明采用以下技术方案：

一种日志收集与分析处理方法，包括以下步骤：身份鉴别与授权、日志的形成、日志的采集和日志的分析。

进一步的技术方案是，所述身份鉴别与授权具体为：

以管理员身份权限获取合法的已注册用户名；

获取用户名口令，并对口令进行加密后，与原密码进行对比的方式来对用户身份进行鉴别；

保持管理员的身份权限有效，并具有管理员身份鉴别尝试措施，管理IP通过对用户IP、账号、密码、MAC地址以及机器码的获取，实现对管理员的有限身份鉴定。

进一步的技术方案是，所述管理员身份认真和授权管理中，用户名长度应在6-32位，复杂度至少包括数字和字母，管理员口令更换周期至多七天，管理员长时间不操作需要重新进行身份鉴别，允许管理员锁定自己的会话，锁定后需要再次进行身份鉴别才能重新管理产品。

进一步的技术方案是，所述日志的形成具体为：

日志分为用户日志和管理员日志，用户日志记录被审计对象产生的活动，形成用户审计日志，管理员操作日志记录系统管理员和安全保密管理员对管理系统配置的查看和修改，形成管理员日志；

对审计日志进行定期保存；

实时针对各类日志流进行统计，统计维度是日志字段集合的子集，所述日志字段的子集是包括访问统计、某个IP一段时间内访问某个服务的频率、某个服务一段时间内被访问的频率；

对各类日志流进行实时的正则表达式匹配、统计特征匹配，如攻击行为，根据端口扫描、暴力破解的一些特性进行匹配；

基于日志离线统计特征，设定阈值，对实时日志流进行异常检测，如异常访问，通过http访问敏感文件。

进一步的技术方案是，所述管理系统配置的查看和修改包括策略设置、鉴别失败、系统配置修改和用户账号管理。