一种海量多源异构日志关联分析方法技术

本发明专利技术属于网络安全领域，特别是一种海量多源异构日志关联分析方法。步骤1：对原始数据进行预处理，剔除错误日志，多源异构日志归一化，生成格式化的安全事件信息；步骤2：基于事件各个字段的内容，生成一个描述本事件的特征向量；步骤3：将不同设备所产生的事件分类存储；步骤4：不同设备的事件进行相似度计算并比较，判断是否属于同一类事件，将不同的事件中的同类事件进行两两合并，并剔除重复事件；步骤5：针对同一个文件内的日志进行合并，以减少数量；同时生成各类事件的统计分析结果；步骤6：在支持度和置信度下分析事件的关联关系；步骤7：生成各类事件的统计分析报告及关联分析结果报告。通过上述方法的分析使得日志分析结果更加丰富全面且易于理解，提升了网络安全管理的指导意义。

A method of heterogeneous heterogeneous log association analysis

The invention belongs to the field of network security, in particular to a mass multi-source heterogeneous log association analysis method. Step 1: preprocess the original data, eliminating the error log, multi-source heterogeneous logs normalization, security events generate formatted information; step 2: event based on the contents of each field, generating a feature description vector of this event; step 3: the classification of different storage equipment produced by different events; step 4: device event similarity calculation and comparison, determine whether the same kind of event, will be different in the event of a similar incident 22 merger, and eliminate duplication events; step 5: for the same file in the log in the merger, to reduce the number of generated events; at the same time all kinds of statistical analysis results; step 6 in the support and confidence of the relationship of events; step 7: report generation events statistical analysis and correlation analysis results. Through the analysis of the above methods, the log analysis results are more abundant, comprehensive and easy to understand, which improves the guiding significance of network security management.

【技术实现步骤摘要】

本专利技术属于网络安全
，是。
技术介绍
随着信息技术的发展，各企事业单位、党政军各级机构为了其自身内部网络安全需要，安装部署了网络安全管理系统，用于集中管理内部网络设备和各业务系统产生的事件，监测整体网络的运营态势。网络安全管理系统的主要功能是收集内部网络产生的安全事件并进行分析。收集的事件包括如下内容:防火墙日志信息、入侵检测日志信息、病毒日志信息、漏洞扫描日志信息源、主机操作日志信息、业务系统的用户操作日志信息、入侵防御日志信息、VPN日志信息、数据库操作日志信息等。目前，设备类日志格式并无统一的规范，导致设备日志结构各巳内部网络设备和业务系统所产生的事件数量，随着安全管理系统的运营，会变得异常庞大，对这些日志的分析也变得困难。由于各类事件数量非常大，目前市面常用的分析方法主要基于统计的方法，但是该方法存在以下不足:>设备之间存在功能交叉，针对同一行为会被不同设备分别上报，容易产生误报。>统计功能相对单一，分析不深入。
技术实现思路
本专利技术就是为了解决上述问题，提出，引入数据挖掘算法，对数据进行预处理，剔除重复事件，对事件进行聚合后再对事件进行深入分析。本专利技术结合各类事件的特点，对事件进行分类、聚合、不同设备间同类日志合并等处理后，基于数据挖掘算法进行分析，具体执行流程如图1所示。本专利技术方法的具体步骤如下:步骤1:对原始数据进行预处理，剔除错误日志，多源异构日志归一化，生成格式化的安全事件信息；步骤2:基于事件各个字段的内容，生成一个描述本事件的特征向量；步骤3:将不同设备所产生的事件分类存储；步骤4:不同设备的事件进行相似度计算并比较，判断是否属于同一类事件，通过基于相似度公式进行距离计算实现，若距离小于阈值，阈值大于0.9，即认为同类事件；对于不同设备上报同类事件，需要判断是否为一件事，如果是一件事需要剔除，剔除原则:I t「t21〈window其中，其中&是事件I的发生时间，t2是事件2发生的时间；window是时间阈值，可根据网络延时情况设定，建议小于I分钟；将不同的事件中的同类事件进行两两合并，并剔除重复事件；步骤5:按事件发生的顺序进行排序；针对同一个文件内的日志进行的，进行相似度计算；首先计算由于按照指定的时间窗口，指定的时间窗口小于I分钟，将在同一窗口的同类事件进行合并，以减少数量；同时生成各类事件的统计分析结果；步骤6:对事件应用关联分析算法，在支持度和置信度下分析事件的关联关系；步骤7:生成各类事件的统计分析报告及关联分析结果报告通过上述方法的分析使得日志分析结果更加丰富全面且易于理解，提升了网络安全管理的指导意义。【附图说明】图1本专利技术流程图。图2日统计报表-按各类型统计图3日统计报表-按安全类型统计图4统计报表-按来源统计图5关联分析的举例【具体实施方式】下面结合流程图，对实施方式详细说明，应该强调的是，下述说明仅仅是示例性的，而不是为了限制本专利技术的范围及其应用。步骤1:对原始数据进行预处理，剔除错误日志，多源异构日志归一化，生成格式化的安全事件信息。用于分析的日志包括防火墙日志信息、入侵检测日志信息、病毒日志信息、漏洞扫描日志信息源、主机操作日志信息、业务系统的用户操作日志信息、入侵防御日志信息、VPN日志信息、数据库操作日志信息等，可根据实际情况加入其他设备日志信息。预处理过程大概分成如下步骤:( I)数据清洗，即剔除不合格日志。不合格日志分为两类，一类是安防系统不需要接收的日志，比如系统的运维日志，由于安防设备并不会区分各类日志，而是将其产生的日志一并发送给接收者，因此需剔除这类并不是系统安全事件的日志；另一类是格式不正常的日志，比如发送方或日志在发送过程中网络异常造成的某些数据丢失，解析后得到的数据不全，这类可丢弃。(2)解析日志。将各类设备的事件进行归一化处理并存储在数据库中，为提供后续扩展性，事件属性设置为各类日志的并集，对未标识的属性值设为空。以网域设备的某类日志为例，假设数据库中存储格式为(即上面所说的并集):用户名，产生时间、事件类型、事件名称、安全级别、协议、源地址、源端口、目的地址、目的端口、操作结果。则下属两类日志的解析字段为:a) May914:09:46targe event:devid=0date=〃2013/05/0914:09:46〃dname=targe.1nfocenter logtype=16pri=4user=〃〃mod=〃ips〃 事件类型=IPS 事件名=〃Virus (Worm)Worms Microsoft SQL Server Slammer/Saphire〃安全级别=〃低〃dsp_msg=〃检测到攻击:Worms Microsoft SQL Server Slammer/Saphire,类型:Virus (Worm) 〃协议=UDP 源地址=172.31.216.18源端口 =3283目的地址=226.233.26.26目的端口 =1434重复次数=21000事件详情=〃〃动作=〃丢弃〃链路别名=〃〃fwlOg=0此类日志可解析的日志字段为(用户名:NULL，时间:2013/05/0914:09:46，事件类型:IPS,安全级别:4，事件名:Virus (Worm) Worms Microsoft SQL Server Slammer/Saphire，协议:UDP，源地址:172.31.216.18，源端口:3283 ；目的地址:226.233.26.26，目的端口:1434，操作结果:NULL)。由于该日志是非用户操作类日志且没有操作结果说明，因此用户名和操作结果的值为NULL，即设为空。(3)格式归一化。由于不同系统或设备之间日志格式不一，且表述内容不一致，这就造成同一事件相同的属性值却产生了不同的名称，比如事件名为“ Virus (Worm) WormsMicrosoft SQL Server Slammer/Saphire”的日志在另一设备中事件名称可能被称为“SQLSlammer”、“sql螺虫”或“Win32/SQLSlammer.Worm”。这里的归一化操作通过某种方式(如维护一张字典表)将各种数据统一，取值标准化，便于步骤2操作。将归一化后的日志存入数据库中。步骤2:基于事件各个字段的内容，生成一个描述本事件的特征向量；将归一化的日志进行量化，按照已建模的模型，把属性值转为数字，生成描述事件的特征向量。以步骤I中的日志为例，解析后的字段为(用户名:NULL，时间:2013/05/0914:09:46,事件类型:IPS,安全级别:4，事件名:Virus (Worm) Worms MicrosoftSQL Server Slammer/Saphire，协议:UDP，源地址:172.31.216.18，源端口:3283 ；目的地址:226.233.26.26，目的端口:1434，操作结果:NULL)。量化过程:a)此类日志没有用户名和操作结果，因此用户名和操作结果的属性值为-1 ；b)事件类型可通过字典表的形式，将其指定为某一数字，比如IPS的值为I ;c)安全级别通常数字无须更改，即为4 ；d)事件名和协议类型同样可以采用b)的量化方法，将其转为数字，假设均本文档来自技高网...

【技术保护点】
一种海量多源异构日志关联分析方法，其特征在于，包括如下步骤：步骤1：对原始数据进行预处理，剔除错误日志，多源异构日志归一化，生成格式化的安全事件信息；步骤2：基于事件各个字段的内容，生成一个描述本事件的特征向量；步骤3：将不同设备所产生的事件分类存储；步骤4：不同设备的事件进行相似度计算并比较，判断是否属于同一类事件，通过基于相似度公式进行距离计算实现，若距离小于阈值，阈值大于0.9，即认为同类事件；对于不同设备上报同类事件，需要判断是否为一件事，如果是一件事需要剔除，剔除原则：|t1?t2|析报告及关联分析结果报告。...

【技术特征摘要】
1.一种海量多源异构日志关联分析方法，其特征在于，包括如下步骤: 步骤1:对原始数据进行预处理，剔除错误日志，多源异构日志归一化，生成格式化的安全事件信息； 步骤2:基于事件各个字段的内容，生成一个描述本事件的特征向量； 步骤3:将不同设备所产生的事件分类存储； 步骤4:不同设备的事件进行相似度计算并比较，判断是否属于同一类事件，通过基于相似度公式进行距离计算实现，若距离小于阈值，阈值大于0.9，即认为同类事件； 对于不同设备上报同类事件，需要判断是否为一件事，如果是一件事需要剔除，剔除原则:|t1-ta |<win...

【专利技术属性】
技术研发人员：高景生，王润高，孙宇，孙宝贵，沈艳林，
申请(专利权)人：中国航天科工集团第二研究院七〇六所，
类型：发明
国别省市：