本发明专利技术公开了一种基于XML标签语言的日志管理方法,该方法以XML语言的语法规则为基础,从所有的入侵检测系统、防火墙、操作系统、应用软件和防病毒系统中获得安全事件,定义范化引擎和范化策略,根据范化引擎加载范化策略,并根据待范化的数据,选择合适的范化规则进行日志样本数据的范化,本发明专利技术可以根据不同用户的日志的样本格式,自定义各类数据结构及其范化策略,设计出满足不同用户需求的范化安全信息管理系统。该系统可以提供良好的用户可定义接口,便于开发者和用户现场维护和管理。
【技术实现步骤摘要】
本专利技术涉及一种基于XML标签语言的日志管理方法和系统,属于安全信息管理系 统领域;具体属于安全信息管理系统的核心关键技术一一安全事件数据范化
技术介绍
安全信息管理技术用于搜集、分析和关联来自于整个企业的安全事件信息,可以 分为四个不同的阶段:规范化、汇总、关联和虚拟化。安全信息管理技术具体是指搜集和分 析安全事件信息,及时地检测到安全事件,并采取相应的网络安全管理措施。 传统安全系统是分别独立逐步的建立起来的,比如防病毒系统、防火墙系统、入侵 检测系统,各个系统都有单独的管理员或者管理控制台。这种相对独立的部署方式带来的 问题是各个设备需要进行独立的配置,而各个引擎也需要配备独立的事件报警系统,这使 得各类分散独立的安全事件信息难以形成全局的风险观点,导致了安全策略和配置难于统 一协调。因此,对各类安全防护系统进行平台化整合提出了需求。 传统的安全管理方式是将分散在各地、不同种类的安全防护系统进行分别管理, 这导致安全信息分散互不相通,安全策略难以保持一致,因此这种传统的安全管理运行方 式就成为许多安全隐患形成的根源。平台化整合是针对传统安全管理方式的一种重大变 革。网络安全管理平台可将不同位置、不同安全系统中分散且海量的单一安全事件进行汇 总、过滤、收集和关联分析,得出全局性的安全风险事件,并最终形成统一的安全决策,对安 全事件进行响应和处理。
技术实现思路
本专利技术的目的是:一种基于XML标签语言的日志管理方法和系统,为了实现异构 日志的统一管理,安全性高,可靠度好,以解决目前现有的技术问题。 本专利技术的技术方案 一种基于XML标签语言的日志管理方法,该方法以XML语言的语法规则为基础,从所有 的入侵检测系统、防火墙、操作系统、应用软件和防病毒系统中获得安全事件,定义范化引 擎和范化策略,根据范化引擎加载范化策略,并根据待范化的数据,选择合适的范化规则进 行日志样本数据的范化。 上述的基于XML标签语言的日志管理方法中,具体定义范化引擎和范化策略的方 法是利用XML语言的元素来表示类别,利用XML的属性来表示特性,并引入一些扩展的特 征,主要包括类型、常量、函数。 上述的基于XML标签语言的日志管理方法中,该方法的具体步骤如下: 步骤一、分析日志;收集日志或者告警样本,并对所收集到的日志或者告警样本进行分 析(分析方法采用正则匹配方法,分析过程是对收集到的不同格式的日志,分别编写对应的 正则表达式进行匹配的过程),分析的目的在于明确需要定义的数据结构,以及范化规则和 映射规则的基本框架; 步骤二、定义范化数据结构;合理范化给定日志样本数据的数据结构; 步骤三、定义规则;编制出合理的范化策略以及映射策略,并定义出相应的范化规则和 映射规则; 步骤四、加载策略;通过范化引擎将加载范化策略; 步骤五、查找匹配;根据待范化的数据,选择合适的规则进行范化,具体做法是,查找匹 配的规则,每成功匹配一次,就执行一个对应的范化动作; 步骤六、关联数据结构;将范化操作得到日志样本数据的字段与数据结构的相关字段 相关联; 步骤七、映射处理;根据映射规则决定是否做映射处理。如果字段的映射标记 为1,则从映射文件中查找指定字段的映射表。具体方法是,以字段现有的值为源值 (SourceValue),获得映射值(GxValue),并以映射值作为最后的值写到内存中; 步骤八、类型转换;负责执行格式与类型转换操作,具体地,所述类型转换步骤负责将 不同格式的数据转换成标准格式,并提供不同类型数据之间的转换方法; 步骤九、输出结果;输出范化后的结果。 上述的基于XML标签语言的日志管理方法中,范化规则组织成一个规则树,并提 供正则表达式匹配、规则查找接口,并将查找的相关关键字段以链表形式输出。 上述的基于XML标签语言的日志管理方法中,映射策略组织成内存中的可实现高 速查询的B+树,并提供映射查找接口。 上述的基于XML标签语言的日志管理方法中,查找匹配的原理是利用"频繁使用 优先算法"查找与事件数据相匹配的范化规则,并选择映射规则进行规则映射。 上述的基于XML标签语言的日志管理方法中,类行转换指将事件数据由字符串形 式转换成IP、MAC、时间、整数数据类型,同时能将数据写到指定的内存位置。 一种基于XML标签语言的日志管理系统,该管理系统包括范化调度模块、数据结 构管理模块、规则管理模块、映射管理模块和类型转换模块;范化调度模块与数据结构管 理模块、规则管理模块、映射管理模块和类型转换模块之间进行控制流的连接,范化调度模 块发出控制指令,负责调度数据结构管理模块、规则管理模块、映射管理模块和类型转换模 块;规则管理模块以数据流的方式与范化调度模块、数据结构管理模块、映射管理模块和类 型转换模块相连接,传递数据信息; 范化调度模块,负责对日志样本数据进行范化处理,并将范化后的数据输出,实现系统 的范化功能; 数据结构管理模块,负责组织、查找自定义的数据结构; 规则管理模块,负责加载范化策略,并将所加载的范化策略组织成内存中的树状结构, 从而实现高效查找匹配; 映射管理模块,负责加载映射策略,并根据所述查找匹配的结果,实现日志样本数据字 段与数据结构字段之间的映射; 类型转换模块,实现事件数据类型转换,负责将不同格式的数据转换成标准格式,并提 供不同类型数据之间的转换方法。 上述的基于XML标签语言的日志管理系统中,所述范化调度模块负责调度和管理 数据结构管理模块、规则管理模块、映射管理模块、类型转换模块4个功能模块,使用优先 算法查找与事件数据相匹配的范化规则,并选择合适的映射规则进行规则映射,然后调用 类型转换模块,对事件数据进行范化;类型转换模块负责将事件数据由字符串形式转换成 IP、MAC、时间、整数数据类型,同时能将数据写到指定的内存位置。 具体的,通过范化调度模块负责调度、管理数据结构管理模块、规则管理模块、映 射管理模块、类型转换模块4个功能模块,使用"频繁使用优先算法"查找与事件数据相匹 配的范化规则,并选择合适的映射规则进行规则映射,然后调用类型转换模块,对事件数据 进行范化;所述规则管理模块负责将范化规则组织成一个规则树,并提供正则表达式匹配、 规则查找接口,并将查找的相关关键字段以链表形式输出;所述映射管理模块负责将所加 载的映射策略组织成内存中的B+树,并提供映射查找接口,利用B+树实现高效的查找算 法;所述类型转换模块:将事件数据由字符串形式转换成IP、MAC、时间、整数数据类型,同 时能将数据写到指定的内存位置。 基于XML标签语言的日志管理系统的连接关系如下:范化调度模块负责调度数据 结构管理模块、规则管理模块、映射管理模块和类型转换模块。具当前第1页1 2 本文档来自技高网...
【技术保护点】
一种基于XML标签语言的日志管理方法,其特征在于:该方法以XML语言的语法规则为基础,从所有的入侵检测系统、防火墙、操作系统、应用软件和防病毒系统中获得安全事件,定义范化引擎和范化策略,根据范化引擎加载范化策略,并根据待范化的数据,选择合适的范化规则进行日志样本数据的范化。
【技术特征摘要】
【专利技术属性】
技术研发人员:王皓然,文才豪,
申请(专利权)人:贵州电网公司信息通信分公司,
类型:发明
国别省市:贵州;52
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。