[发明专利]一种构建日志快速匹配的方法

说明书

技术领域

本发明属于网络安全技术领域，是一种日志快速匹配技术的实现方案。

背景技术

随着信息技术发展，组织机构内部网络环境的安全状况越来越受到重视，网络安全管理系统应运而生。网络安全管理系统采集各类网络安全设备的日志，并对触发告警规则的操作日志进行报警，如用户高危操作或内部攻击事件等，提示管理员重视及时采取措施，解决相应问题。

报警功能是网络安全管理系统的核心功能之一，其最初的技术为字符串匹配技术，即基于原始日志的整串匹配，比如对于日志“id=tos time=2006-11-02 13:46:09 fw=TopsecOSpri=5 type=mgmt user=adminsrc=192.168.89.122op=system version licensemsg=null”，匹配规则为“用户名等于admin”，匹配的过程从头开始匹配直至遇到user=admin部分。这种匹配粒度较粗，效率低下。随着信息技术的发展，网络安全设备种类不断增加，相应的日志种类繁多，产生的日志数据量也越来越大，对所有日志进行同一类的匹配变得效率低下，特别是在日志采集高峰时段，这种匹配方式就成为了整个系统的瓶颈。

发明内容

本发明就是为了提高日志匹配效率，提出一种基于职责链模式的快速匹配方案，引入线程池、对象池技术机制，从而提高产生告警事件的效率。

本发明结合主流网络安全设备日志的特点，对日志进行分类、解析，然后利用基于职责链的快速匹配处理程序进行处理，对符合告警条件的事件进行报警，具体执行流程如图1所示。

本发明方法的具体步骤如下：

步骤1：接收日志，由接收线程池完成，通过对某一个或多个端口进行监听，采集日志，并放入到原始日志对象池中，等待下一步处理。

步骤2：分类，由分类线程池完成，对原始日志对象池中的日志进行分类，并将其存入到分类池中，等待解析线程处理。

步骤3：解析，由解析线程池完成，从分类池中提取到日志对象，根据所属类别的不同，用不同的方式进行解析，并将解析后的对象（称为“事件”）放入事件池中，等待进行匹配处理。

步骤4：匹配，由处理器完成，从事件池中读取相应的事件，根据类别进行处理，生成报警事件，并将报警事件存储告警事件池中，等待告警线程处理。

步骤5：告警，由告警线程完成。告警线程从告警池中读取告警事件，一旦读出告警事件，则执行相关的告警动作，提示管理员，告警事件发生了。

其中步骤4分为如下三步：

（1）制定策略

一个策略包括业务源或业务源组、业务目的或业务目的组、规则集、时间对象四个元素，策略的制定过程即为指定这四个元素内容并将这四部分进行存储的过程；

概念说明：

a）业务源或业务源组：业务源为用户发起访问的客户端IP地址，它对应一条日志的源IP属性，取值为单个IP、IP地址段、单个IP与IP段组合或子网的IP表示方式；

b）业务目的或业务目的组：业务目的为用户访问服务器端的IP，也即对应一条日志的目的IP属性，为单个IP、IP地址段、单个IP地址和IP地址段的组合或子网的IP表示方式；

c）规则集：规则集是针对某类设备日志进行的多个告警规则的集合；告警规则即是对相应设备的某一类具体操作事件制定的；

d）时间对象：用于描述一个策略的生效时间；

e）策略：一个业务源或业务源组、一个业务目的或业务目的组、一个规则集和一个时间对象共同构成了一条策略；

（2）组装策略

策略解析的过程就是解析关于业务源或业务源组、业务目的或业务目的组、时间对象、规则集以及策略的存储文件，生成针对每个策略对象的过程；

a）解析策略文件

组装策略是从解析策略文件开始的，通过解析策略文件，获取策略对应的业务源或业务源组、业务目的或业务目的组、生效时间以及使用的规则集；

b）解析业务源或业务源组文件

解析业务源或业务源组文件，生成业务源或业务源组对象；将IP地址转换为长整型数字，

c）解析业务目的或业务目的组文件

解析过程类似于解析业务源或业务源组文件，生成业务目的或业务目的组对象；将IP地址转换为长整型数字，

d）解析规则集文件

将规则集文件中的记录解析出来，生成规则集对象；

e）解析规则文件

将规则文件中的规则记录解析出来，生成规则对象；

f）解析时间对象