【技术实现步骤摘要】
基于XML规则模型的防火墙日志自动提取与分析方法
本专利技术涉及一种针对信息安全领域的基于XML规则模型的防火墙安全日志自动提取方法,根据防火墙安全日志文件的结构特点采用XML语言定义规则模板,基于模板的日志分析系统进入防火墙日志信息的自动提取过程,将提取出的日志信息与对应的XML安全规则进行匹配,从而有效判断提取出的防火墙日志信息中是否反映了目标设备或系统的异常运行使用情况,于信息
。
技术介绍
防火墙在计算机网络安全上得到了广泛应用。防火墙都具有日志记录功能,能够记录下所有经过防火墙访问内网和外网的情况。日志的内容主要包括时间、源IP地址、源端口、目的IP地址、目的端口,统称为网络访问的五元组。对防火墙日志进行采集、管理和分析,从而发现异常网络访问行为,是网络安全管理的普遍做法。尽管防火墙日志中包含了大量有用的信息,但是这些日志只有在经过深入分析后才能够发挥作用。虽然防火墙厂家大多提供防火墙日志管理系统,但只侧重于日志的统一采集、存储、查询和统计,日志的分析能力比较弱,很难发现日志中的异常情况。通常是在发生严重安全事件的情况下采取人工观察的方式搜查日志记录,从中获取有用信息。由于防火墙每天产生大量的日志记录,日志量非常庞大,管理员关注的信息往往淹没在大量普通的信息中,采用人工方式对防火墙日志进行分析,工作量异常繁重,效率也很低。同时,防火墙日志都是记录的对某些主机、某些应用服务的访问,至于对这些主机、这些服务的访问是否正常,防火墙日志本身无法体现。而网络安全管理中需要经常针对网络访问的异常情况进行分析,需要从表面上看似正常的防火墙日志 ...
【技术保护点】
基于XML规则模型的防火墙日志自动提取与分析方法,该方法包括以下的步骤:一、定义XML日志分析模板XML日志分析模板的定义如下:上述XML模板的含义如下:●Firewall_id:防火墙日志标识号,用于区分不同防火墙;●Log_type_num:日志类型数量,防火墙日志所包含的类型数;●Max_log_len:防火墙日志中最大记录数;●Log_type_name:防火墙每条日志的日志类型名称;●Log_start_tag:每条日志的起始标记;●Log_end_tag:每条日志的结束标记;●Item_type:每条日志中包含多个字段,每个字段的类型;●Item_name:每个字段的名称;●Item_start_offset:每个字段的在记录中的偏移地址;●Item_Match:每个字段的匹配字符;二、防火墙日志的自动提取防火墙XML日志模板定义完成后,进行日志自动提取过程,具体流程如下:2.1)接收防火墙日志文件,当收到新的防火墙日志时对其根据XML模板进行处理;2.2)读取防火墙日志对应的XML分析模板;2.3)根据模板中定义的Log_start_tag和Log_end_tag从日志文 ...
【技术特征摘要】
1.基于XML规则模型的防火墙日志自动提取与分析方法,该方法包括以...
【专利技术属性】
技术研发人员:姜学峰,李威,李健俊,董惠良,
申请(专利权)人:浙江中烟工业有限责任公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。