一種日志分析的計(jì)算機(jī)實(shí)現(xiàn)的方法����、計(jì)算機(jī)和系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計(jì)算機(jī)領(lǐng)域,特別涉及一種日志分析的計(jì)算機(jī)實(shí)現(xiàn)的方法�、計(jì)算機(jī)及系統(tǒng)。
【背景技術(shù)】
[0002]日志審計(jì)系統(tǒng)通過集中采集信息系統(tǒng)中的系統(tǒng)安全事件����、用戶訪問記錄��、系統(tǒng)運(yùn)行日志���、系統(tǒng)運(yùn)行狀態(tài)等各類信息,經(jīng)過規(guī)范化�����、過濾���、歸并等處理后,以統(tǒng)一格式的日志形式進(jìn)行集中存儲(chǔ)和管理�,結(jié)合豐富的日志統(tǒng)計(jì)及分析功能,實(shí)現(xiàn)對(duì)信息系統(tǒng)日志的全面審
i+o
[0003]當(dāng)前業(yè)界主流的日志分析方法主要有基于日志知識(shí)庫的分析方法���、基于統(tǒng)計(jì)的分析方法����、基于數(shù)據(jù)挖掘的分析方法����、基于狀態(tài)轉(zhuǎn)移的分析方法等,其中關(guān)聯(lián)分析方法是基于數(shù)據(jù)挖掘分析方法的一種�����,也是目前各類日志審計(jì)系統(tǒng)中應(yīng)用較廣泛的一種分析方法。
[0004]關(guān)聯(lián)分析需要對(duì)采集來的信息進(jìn)行預(yù)處理���,包括事件信息的格式統(tǒng)一化��、對(duì)無用事件信息的過濾�����、對(duì)事件信息的排序���、對(duì)重復(fù)事件信息的歸并處理等,然后通過關(guān)聯(lián)分析引擎依據(jù)模式匹配算法��,對(duì)日志進(jìn)行分析后得到相應(yīng)的結(jié)果�����。關(guān)聯(lián)算法的局限性在于�����,處理大量的報(bào)警信息時(shí)存在較多誤報(bào)警現(xiàn)象�����。
[0005]規(guī)則引擎由推理引擎發(fā)展而來,是一種嵌入在應(yīng)用程序中的組件�����,實(shí)現(xiàn)了將業(yè)務(wù)決策從應(yīng)用程序代碼中分離出來���,并使用預(yù)定義的語義模塊編寫業(yè)務(wù)決策的功能�����。規(guī)則引擎接受數(shù)據(jù)輸入��,解釋業(yè)務(wù)規(guī)則,并根據(jù)業(yè)務(wù)規(guī)則做出業(yè)務(wù)決策�,目前規(guī)則引擎較多應(yīng)用于工作流平臺(tái)等業(yè)務(wù)規(guī)則或業(yè)務(wù)流程經(jīng)常變化,以及必須依據(jù)業(yè)務(wù)規(guī)則的變化進(jìn)行快速響應(yīng)的商業(yè)應(yīng)用場(chǎng)景中����。
【發(fā)明內(nèi)容】
[0006]為了解決現(xiàn)有技術(shù)的問題,本發(fā)明實(shí)施例提供了一種日志分析的計(jì)算機(jī)實(shí)現(xiàn)的方法��、計(jì)算機(jī)及系統(tǒng)����。所述技術(shù)方案如下:
第一方面���,提供了一種日志分析的計(jì)算機(jī)實(shí)現(xiàn)的方法,所述方法包括:
從日志存儲(chǔ)裝置中�,獲取目標(biāo)日志的至少一個(gè)分析規(guī)則,所述分析規(guī)則至少包括人物����、地點(diǎn)、時(shí)間�����、操作名稱�、操作頻次和操作內(nèi)容中的一個(gè);
根據(jù)所述至少一個(gè)分析規(guī)則����,生成與所述目標(biāo)日志對(duì)應(yīng)的預(yù)警模型;
根據(jù)所述預(yù)警模型����,周期性地分析所述目標(biāo)日志。
[0007]結(jié)合第一方面��,在第一種可能的實(shí)現(xiàn)方式中,所述根據(jù)所述至少一個(gè)分析規(guī)則�,生成與所述目標(biāo)日志對(duì)應(yīng)的預(yù)警模型包括:
將所述分析規(guī)則包括的人物、地點(diǎn)���、時(shí)間�、操作名稱�、操作頻次和操作內(nèi)容按類別分別解析轉(zhuǎn)換為數(shù)據(jù)庫內(nèi)容,并將所述數(shù)據(jù)庫內(nèi)容存儲(chǔ)至預(yù)警規(guī)則表�����;
按照業(yè)務(wù)要求獲取所述預(yù)警規(guī)則表中的規(guī)則內(nèi)容��,所述規(guī)則內(nèi)容包括人物����、地點(diǎn)、時(shí)間����、操作名稱����、操作頻次和操作內(nèi)容��,并將所述規(guī)則內(nèi)容的屬性結(jié)合屬性運(yùn)算����、預(yù)警閾值和告警周期進(jìn)行自由組合�����,存儲(chǔ)至預(yù)警模型表中��,生成預(yù)警模型�����。
[0008]結(jié)合第一方面的第一種可能的實(shí)現(xiàn)方式��,在第二種可能的實(shí)現(xiàn)方式中���,在所述根據(jù)所述預(yù)警模型��,周期性地分析所述目標(biāo)日志之前�����,所述方法還包括:
周期性地獲取所述預(yù)警模型�,并對(duì)每個(gè)所述預(yù)警模型包括人物、地點(diǎn)�、時(shí)間、操作名稱���、操作頻次和操作內(nèi)容的所述分析規(guī)則進(jìn)行解析�����,并在屬性運(yùn)算符的基礎(chǔ)上���,生成數(shù)據(jù)庫可執(zhí)行的預(yù)警SQL代碼;
根據(jù)每個(gè)所述預(yù)警模型設(shè)置的所述預(yù)警閾值和所述告警周期����,生成任務(wù)調(diào)度周期,并通過逐個(gè)加載解析后生成的所述預(yù)警SQL代碼����,將所述分析規(guī)則轉(zhuǎn)換為任務(wù);
按照所述任務(wù)調(diào)度周期獲取日志表信息�,并在所述任務(wù)的基礎(chǔ)上,定期執(zhí)行所述預(yù)警SQL代碼�����,對(duì)所述日志表信息進(jìn)行比對(duì)分析��,獲取符合所述預(yù)警模型條件的日志記錄���。
[0009]結(jié)合第一方面�,在第三種可能的實(shí)現(xiàn)方式中�,在所述根據(jù)所述預(yù)警模型,周期性地分析所述目標(biāo)日志之后��,所述方法還包括:
若分析結(jié)果指示所述目標(biāo)日志中至少包括與所述預(yù)警模型匹配的異常進(jìn)程���,則生成報(bào)警信息���,并向用戶提示所述報(bào)警信息。
[0010]第二方面����,提供了一種計(jì)算機(jī),所述計(jì)算機(jī)包括:
獲取單元�����,用于從日志存儲(chǔ)裝置中,獲取目標(biāo)日志的至少一個(gè)分析規(guī)則�,所述分析規(guī)則至少包括人物、地點(diǎn)�����、時(shí)間�����、操作名稱���、操作頻次和操作內(nèi)容中的一個(gè)��;
處理單元���,用于根據(jù)所述至少一個(gè)分析規(guī)則,生成與所述目標(biāo)日志對(duì)應(yīng)的預(yù)警模型����; 分析單元,根據(jù)所述預(yù)警模型��,周期性地分析所述目標(biāo)日志��。
[0011]結(jié)合第二方面,在第一種可能的實(shí)現(xiàn)方式中���,所述處理單元具體用于:
將所述分析規(guī)則包括的人物、地點(diǎn)�、時(shí)間、操作名稱����、操作頻次和操作內(nèi)容按類別分別解析轉(zhuǎn)換為數(shù)據(jù)庫內(nèi)容,并將所述數(shù)據(jù)庫內(nèi)容存儲(chǔ)至預(yù)警規(guī)則表�;
按照業(yè)務(wù)要求獲取所述預(yù)警規(guī)則表中的規(guī)則內(nèi)容,所述規(guī)則內(nèi)容包括人物�、地點(diǎn)、時(shí)間�����、操作名稱����、操作頻次和操作內(nèi)容,并將所述規(guī)則內(nèi)容的屬性結(jié)合屬性運(yùn)算���、預(yù)警閾值和告警周期進(jìn)行自由組合��,并存儲(chǔ)至所述預(yù)警模型表中�,生成預(yù)警模型。
[0012]結(jié)合第二方面的第一種可能的實(shí)現(xiàn)方式�����,在第二種可能的實(shí)現(xiàn)方式中�����,所述處理單元還具體用于:
周期性地獲取所述預(yù)警模型����,并對(duì)每個(gè)所述預(yù)警模型包括人物、地點(diǎn)�����、時(shí)間�����、操作名稱���、操作頻次和操作內(nèi)容的所述分析規(guī)則進(jìn)行解析�,并在屬性運(yùn)算符的基礎(chǔ)上,生成數(shù)據(jù)庫可執(zhí)行的預(yù)警SQL代碼���;
根據(jù)每個(gè)所述預(yù)警模型設(shè)置的所述預(yù)警閾值和所述告警周期�����,生成任務(wù)調(diào)度周期,并通過逐個(gè)加載解析后生成的所述預(yù)警SQL代碼����,將所述分析規(guī)則轉(zhuǎn)換為任務(wù);
按照所述任務(wù)調(diào)度周期獲取日志表信息���,并在所述任務(wù)的基礎(chǔ)上�,定期執(zhí)行所述預(yù)警SQL代碼���,對(duì)所述日志表信息進(jìn)行比對(duì)分析�����,獲取符合所述預(yù)警模型條件的日志記錄��。
[0013]結(jié)合第二方面����,在第三種可能的實(shí)現(xiàn)方式中,所述處理單元還用于:
若分析結(jié)果指示所述目標(biāo)日志中至少包括與所述預(yù)警模型匹配的異常進(jìn)程��,則生成報(bào)警信息�����,并向用戶提示所述報(bào)警信息���。
[0014]第三方面�����,提供了一種日志分析的計(jì)算機(jī)實(shí)現(xiàn)的系統(tǒng)����,所述系統(tǒng)包括:
日志存儲(chǔ)裝置��,用于存儲(chǔ)至少包括目標(biāo)日志的多個(gè)日志�����; 規(guī)則解析器���,用于將至少一個(gè)分析規(guī)則分別轉(zhuǎn)換為任務(wù)���;
任務(wù)執(zhí)行器����,用于進(jìn)行所有任務(wù)的執(zhí)行部署�����;
以及��,如第二方面至第二方面的第三種可能的實(shí)現(xiàn)方式中任一所述的計(jì)算機(jī)�����。
[0015]本發(fā)明實(shí)施例提供一種日志分析的計(jì)算機(jī)實(shí)現(xiàn)的方法����,通過目標(biāo)日志的至少一個(gè)分析規(guī)則生成的預(yù)警模型對(duì)日志進(jìn)行分析�,減少處理大量的報(bào)警信息時(shí)存在的誤報(bào)警現(xiàn)象,提高了日志分析的效率���。
【附圖說明】
[0016]為了更清楚地說明本發(fā)明實(shí)施例中的技術(shù)方案�����,下面將對(duì)實(shí)施例描述中所需要使用的附圖作簡(jiǎn)單地介紹�����,顯而易見地����,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來講����,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以根據(jù)這些附圖獲得其他的附圖���。
[0017]圖1是本發(fā)明實(shí)施例提供的一種日志分析的計(jì)算機(jī)實(shí)現(xiàn)的方法流程圖��;
圖2是本發(fā)明實(shí)施例提供的一種日志分析的計(jì)算機(jī)實(shí)現(xiàn)的方法流程圖����;
圖3是本發(fā)明實(shí)施例提供的一種計(jì)算機(jī)結(jié)構(gòu)示意圖����;
圖4是本發(fā)明實(shí)施例提供的一種日志分析的計(jì)算機(jī)實(shí)現(xiàn)的系統(tǒng)示意圖�����。
【具體實(shí)施方式】
[0018]為使本發(fā)明的目的��、技術(shù)方案和優(yōu)點(diǎn)更加清楚���,下面將結(jié)合附圖對(duì)本發(fā)明實(shí)施方式作進(jìn)一步地詳細(xì)描述。
[0019]本發(fā)明實(shí)施例提供一種日志分析的計(jì)算機(jī)實(shí)現(xiàn)的方法����,參照?qǐng)D1所示,該方法包括:
101��、從日志存儲(chǔ)裝置中���,獲取目標(biāo)日志的至少一個(gè)分析規(guī)則,分析規(guī)則至少包括人物����、地點(diǎn)、時(shí)間�、操作名稱、操作頻次和操作內(nèi)容中的一個(gè);
102�����、根據(jù)至少一個(gè)分析規(guī)則��,生成與目標(biāo)日志對(duì)應(yīng)的預(yù)警模型�;
103、根據(jù)預(yù)警模型��,周期性地分析目標(biāo)日志�����。
[0020]本發(fā)明實(shí)施例提供一種日志分析的計(jì)算機(jī)實(shí)現(xiàn)的方法�,通過目標(biāo)日志的至少一個(gè)分析規(guī)則生成的預(yù)警模型對(duì)日志進(jìn)行分析,減少處理大量的報(bào)警信息時(shí)存在的誤報(bào)警現(xiàn)象��,提高了日志分析的效率��。
[0021]本發(fā)明實(shí)施例提供一種日志分析的計(jì)算機(jī)實(shí)現(xiàn)的方法�,參照?qǐng)D2所示,該方法包括:
201�����、從日志存儲(chǔ)裝置中,獲取目標(biāo)日志的至少一個(gè)分析規(guī)則����,分析規(guī)則至少包括人物、地點(diǎn)�、時(shí)間、操作名稱���、操作頻次和操作內(nèi)容中的一個(gè)���。
[0022]具體的,本發(fā)明的實(shí)施例對(duì)具體的獲取方式不加以限定��。
[0023]202��、根據(jù)至少一個(gè)分析規(guī)則��,生成與目標(biāo)日志對(duì)應(yīng)的預(yù)警模型�。
[0024]具體的,系統(tǒng)將分析規(guī)則包括的人物�、地點(diǎn)�����、時(shí)間、操作名稱�、操作頻次和操作內(nèi)容按類別分別解析轉(zhuǎn)換為計(jì)算機(jī)裝置中的數(shù)據(jù)庫內(nèi)容,存儲(chǔ)至計(jì)算機(jī)裝置中數(shù)據(jù)庫的預(yù)警規(guī)則表中����;
在計(jì)算機(jī)裝置的數(shù)據(jù)庫中增加預(yù)警模型表,按照業(yè)務(wù)要求獲取預(yù)警規(guī)則表中的規(guī)則內(nèi)容��,規(guī)則內(nèi)容包括人物�����、地點(diǎn)�、時(shí)間、操作名稱���、操作頻次和操作內(nèi)容��,將以上規(guī)則內(nèi)容的屬性結(jié)合屬性運(yùn)算��、預(yù)警閾值和告警周期進(jìn)行自由組合����,并存儲(chǔ)至預(yù)警模型表中��,生成預(yù)警模型。
[0025]203����、向規(guī)則解析器發(fā)送至少一個(gè)分析規(guī)則,以使規(guī)則解析器將至少一個(gè)分析規(guī)則分別轉(zhuǎn)換為任務(wù)��;
具體的����,規(guī)則解析器周期性獲取預(yù)警模型,從計(jì)算機(jī)裝置中的數(shù)據(jù)庫預(yù)警模型表中獲取系統(tǒng)已存儲(chǔ)的預(yù)警模型內(nèi)容���,針對(duì)每個(gè)預(yù)警模型進(jìn)行分析規(guī)則的解析���,包括人物、地點(diǎn)�����、時(shí)間����、操作名稱、操作頻次和操作內(nèi)容���,結(jié)合屬性運(yùn)算符���,生成數(shù)據(jù)庫可執(zhí)行的預(yù)警SQL代碼;
同時(shí)����,任務(wù)調(diào)度器根據(jù)每個(gè)預(yù)警模型設(shè)置的預(yù)警閾值和告警周期生成任務(wù)調(diào)度周期,逐個(gè)加載解析后生成的預(yù)警SQL代碼�,將預(yù)警分析規(guī)則轉(zhuǎn)換為任務(wù)。
[0026]204�、接收規(guī)則解析器發(fā)送的所有任務(wù),向任務(wù)執(zhí)行器發(fā)送所有任務(wù)��,以使任