[发明专利]一种基于多主机日志关联的入侵检测方法

摘要

本发明涉及一种基于多主机日志关联的入侵检测系统及其方法，其中一种基于多主机日志关联的入侵检测系统，包括异构操作系统日志采集模块、日志过滤模块，以及一种日志匹配算法。所述异构操作系统日志采集模块用来采集虚拟机操作系统日志，并实时传输到日志服务器；所述日志过滤模块用于接收被检测日志，并按规则转换后，生成XML或者Excel格式的日志；所述日志匹配算法用于分析入侵行为特征，提取特征数据，形成匹配规则。本发明可以采集虚拟机集群中不同操作系统日志，进行归纳抽象为统一的格式，并集中存储，保证日志数据的完整性和真实性；另外，对集中存储的日志数据采用基于模型检测的思路进行关联性分析，从而对入侵路径进行有效的追踪与识别。

主权项

一种基于多主机日志关联的入侵检测系统，其特征在于，包括异构操作系统日志采集模块、日志过滤模块、以及一种日志匹配算法；所述异构操作系统日志采集模块用来采集虚拟机上操作系统的日志，并将日志实时的传输到远端的日志服务器中；所述日志过滤模块用于提高日志的有效性，减轻日志的存储负担，为后续的日志分析工作提供内容支持，包括日志选择子模块、日志解析存储子模块、日志过滤子模块以及日志输出子模块，接收异构操作系统日志采集模块传递的日志文件，并且根据需求，按一定规则转换，传递给后续模块；所述日志匹配算法使用来自日志过滤模块输出的数据，对日志数据进行关联性分析，采用基于模型检测的分析思路，将采集到的日志序列与知识库中模型进行匹配，从而对入侵路径进行有效的追踪与识别，并且将识别出的入侵和威胁信息传递给安全事件相应模块。