一种虚拟化管理系统事件日志处理方法及装置制造方法及图纸

本发明专利技术实施例公开了一种虚拟化管理系统事件日志处理方法，通过提取虚拟化管理系统运行过程中包括用户操作行为以及系统操作行为的原始事件日志数据；然后对这些原始事件日志数据进行预处理，生成适用于数据关联规则分析格式日志数据；根据预设的数据关联规则对这些处理后的日志数据分析以确定用户的操作行为模式。本申请的优点在于利用成熟的关联规则算法，通过分析事件日志来实现对系统运行过程中行为的控制，从而准确的对当前用户或系统的行为进行分析，有效的解决虚拟管理系统的安全防护问题，保证虚拟化管理系统的安全稳定运行。此外，本发明专利技术实施例还提供了相应的实现装置，进一步使得所述方法更具有实用性，所述装置具有相应的优点。

Method and device for processing event log of virtual management system

The embodiment of the invention discloses a virtual management system event log processing method, the original event log data including user behavior and system operation behavior through the extraction of virtual management in the running process of the system; then these primitive event log data preprocessing, data generation for association rules analysis according to the data format of the log data; association rules preset on the log data analysis of these after treatment to determine the behavior of user mode operation. The advantages of this application is to use algorithms, through the analysis of the event log to achieve control of behavior in the running process of the system, analyzed and accurate for the current user or system behavior, effectively solve the security problem of virtual management system, ensure the safe and stable operation of the virtual management system. In addition, the embodiment of the invention also provides a corresponding realization device, which further makes the method more practical.

【技术实现步骤摘要】

本专利技术涉及虚拟化管理领域，特别是涉及一种虚拟化管理系统事件日志处理方法及装置。
技术介绍
随着信息化的深入发展，特别是云计算、大数据等新型IT商业模式的逐步应用，虚拟化在信息化系统中得到了日益广泛的应用。作为一种使计算机脱离真实设备的技术，虚拟化具备非常多优势，用户可以用同样的成本满足更多信息处理的需求，进而节省成本。此外，虚拟化技术使得企业可以整合运行在单一服务器、多个系统上的应用软件，这就简化了管理需求，并使得IT硬件资源更好的被利用。然而，虚拟化的广泛应用使得其管理环境有很大的变化，在物理机上适用的管理模式一旦迁移到虚拟机上，往往就会出现很大的问题，例如一台主机容易遭受攻击，那么所有的客户机以及虚拟机上的企业应用软件也同样处于危险中。在传统的架构中，如果一台服务器受到安全威胁，那么只会使该服务器上的工作负载面临险境，但是在虚拟化数据中心，如果一台虚拟化服务器遭受攻击，那么将会影响该服务器上所有的虚拟机。可见，虚拟化服务器比物理服务器的安全性要低，所以如何解决虚拟化安全防护问题是虚拟化管理系统的关键。
技术实现思路
本专利技术实施例的目的是提供一种虚拟化管理系统事件日志处理方法及装置，以解决虚拟化管理系统安全防护的问题。为解决上述技术问题，本专利技术实施例提供以下技术方案：本专利技术实施例一方面提供了一种虚拟化管理系统事件日志处理方法，包括：提取虚拟化管理系统运行过程中包括用户操作行为以及系统操作行为的原始事件日志数据；对所述原始事件日志数据进行数据预处理，生成适用于数据关联规则分析格式的处理后日志数据；根据预设的数据关联规则，对所述处理后日志数据进行关联规则分析，确定用户的操作行为模式。优选的，所述根据预设的数据关联规则，对所述处理后日志数据进行关联规则分析，确定用户的操作行为模式包括：根据预设的最小支持度阈值从所述处理后日志数据中找出满足条件的高频日志项目集；根据预设的最小置信度阈值从所述高频日志项目集中确定强关联规则，确定用户的操作行为模式。优选的，所述对所述原始事件日志数据进行数据预处理包括：对所述原始事件日志数据进行数据清洗，剔除数据中的冗余项或异常项；对所述原始事件日志数据中不完整数据项进行填充，并进行数据归类；将不同的数据格式进行归一化处理，生成适用于数据关联规则分析格式的处理后日志数据。优选的，在所述确定用户的操作行为模式之后还包括：实时检测当前用户的操作行为；对所述当前用户的操作行为进行判断，当所述当前用户的操作行为不符合所述用户的操作行为模式时，判定所述当前用户的操作行为为异常行为。优选的，在所述判定所述当前用户的操作行为为异常行为之后还包括：对产生的异常行为进行定位，生成提示系统存在异常行为的提示信息。本专利技术实施例另一方面提供了一种虚拟化管理系统事件日志处理装置，包括：数据提取模块，用于提取虚拟化管理系统运行过程中包括用户操作行为以及系统操作行为的原始事件日志数据；数据预处理模块，用于对所述原始事件日志数据进行数据预处理，生成适用于数据关联规则分析格式的处理后日志数据；数据分析模块，用于根据预设的数据关联规则，对所述处理后日志数据进行关联规则分析，确定用户的操作行为模式。优选的，所述数据分析模块包括：第一分析单元，用于根据预设的最小支持度阈值从所述处理后日志数据中找出满足条件的高频日志项目集；第二分析单元，用于根据预设的最小置信度阈值从所述高频日志项目集中确定强关联规则，确定用户的操作行为模式。优选的，所述数据预处理模块包括：数据清洗单元，用于对所述原始事件日志数据进行数据清洗，剔除数据中的冗余项或异常项；归类单元，用于对所述原始事件日志数据中不完整数据项进行填充，并进行数据归类；格式转换单元，用于将不同的数据格式进行归一化处理，生成适用于数据关联规则分析格式的处理后日志数据。优选的，还包括：检测模块，用于实时检测当前用户的操作行为；异常判断模块，用于对所述当前用户的操作行为进行判断，当所述当前用户的操作行为不符合所述用户的操作行为模式时，判定所述当前用户的操作行为为异常行为。优选的，还包括：提示模块，用于在判定所述当前用户的操作行为为异常行为之后，对产生的异常行为进行定位，生成提示系统存在异常行为的提示信息。本专利技术实施例提供了一种虚拟化管理系统事件日志处理方法，通过提取虚拟化管理系统运行过程中包括用户操作行为以及系统操作行为的原始事件日志数据；然后对这些原始事件日志数据进行预处理，生成适用于数据关联规则分析格式日志数据；根据预设的数据关联规则对这些处理后的日志数据分析以确定用户的操作行为模式。本申请的优点在于利用成熟的关联规则算法，通过分析事件日志来实现对系统运行过程中行为的控制，即通过确定操作行为模式为标准，对用户当前的操作行为与操作行为模式进行匹配，从而准确的对当前用户或系统的行为进行分析，有效的解决了虚拟管理系统的安全防护问题，提高了系统资源的安全性，从而保证虚拟化管理系统的安全稳定运行。此外，本专利技术实施例还针对虚拟化管理系统事件日志处理方法提供了相应的实现装置，进一步使得所述方法更具有实用性，所述装置具有相应的优点。附图说明为了更清楚的说明本专利技术实施例或现有技术的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术实施例提供的一种虚拟化管理系统事件日志处理方法的流程示意图；图2为本专利技术实施例提供的另一种虚拟化管理系统事件日志处理方法的流程示意图；图3为本专利技术实施例提供的虚拟化管理系统事件日志处理装置的一种具体实施方式的结构图；图4为本专利技术实施例提供的虚拟化管理系统事件日志处理装置的另一种具体实施方式的结构图。具体实施方式为了使本
的人员更好地理解本专利技术方案，下面结合附图和具体实施方式对本专利技术作进一步的详细说明。显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”“第四”等是用于区别不同的对象，而不是用于描述特定的顺序。此外术语“包括”和“具有”以及他们任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可包括没有列出的步骤或单元。本申请的专利技术人经过研究发现，虚拟化系统将大量的计算资源、存储资源以及软件资源链接在一起，形成能够共享的大规模的虚拟资源池。如何有效的分析虚拟化系统资源的用户操作行为，发现用户的行为模式，分析异常行为对提高系统资源的安全性有重要的意义。日志文件是用于记录系统操作事件的记录文件或文件集合，操作系统有操作系统日志文件，数据库系统有数据库系统日志文件。系统日志文件是包含关于系统消息的文件，包括内核、服务、在系统上运行的应用程序等。不同的日志文件记载不同的信息。例如，有的是默认的系统日志文件，有的记载特定任务。可见，事件日志是帮助系统运行管理的重要工具，在系统运行过程中会产生大量的日志信息，记录系统中用户本文档来自技高网...

【技术保护点】
一种虚拟化管理系统事件日志处理方法，其特征在于，包括：提取虚拟化管理系统运行过程中包括用户操作行为以及系统操作行为的原始事件日志数据；对所述原始事件日志数据进行数据预处理，生成适用于数据关联规则分析格式的处理后日志数据；根据预设的数据关联规则，对所述处理后日志数据进行关联规则分析，确定用户的操作行为模式。

【技术特征摘要】
1.一种虚拟化管理系统事件日志处理方法，其特征在于，包括：提取虚拟化管理系统运行过程中包括用户操作行为以及系统操作行为的原始事件日志数据；对所述原始事件日志数据进行数据预处理，生成适用于数据关联规则分析格式的处理后日志数据；根据预设的数据关联规则，对所述处理后日志数据进行关联规则分析，确定用户的操作行为模式。2.如权利要求1所述的虚拟化管理系统事件日志处理方法，其特征在于，所述根据预设的数据关联规则，对所述处理后日志数据进行关联规则分析，确定用户的操作行为模式包括：根据预设的最小支持度阈值从所述处理后日志数据中找出满足条件的高频日志项目集；根据预设的最小置信度阈值从所述高频日志项目集中确定强关联规则，确定用户的操作行为模式。3.如权利要求2所述的虚拟化管理系统事件日志处理方法，其特征在于，所述对所述原始事件日志数据进行数据预处理包括：对所述原始事件日志数据进行数据清洗，剔除数据中的冗余项或异常项；对所述原始事件日志数据中不完整数据项进行填充，并进行数据归类；将不同的数据格式进行归一化处理，生成适用于数据关联规则分析格式的处理后日志数据。4.如权利要求1至3任一项所述的虚拟化管理系统事件日志处理方法，其特征在于，在所述确定用户的操作行为模式之后还包括：实时检测当前用户的操作行为；对所述当前用户的操作行为进行判断，当所述当前用户的操作行为不符合所述用户的操作行为模式时，判定所述当前用户的操作行为为异常行为。5.如权利要求4所述的虚拟化管理系统事件日志处理方法，其特征在于，在所述判定所述当前用户的操作行为为异常行为之后还包括：对产生的异常行为进行定位，生成提示系统存在异常行为的提示信息。6.一种虚拟化管理系统事件日志...

【专利技术属性】
技术研发人员：王传芳，
申请(专利权)人：郑州云海信息技术有限公司，
类型：发明
国别省市：河南;41