[发明专利]一种异常日志和流量关联分析的方法

摘要

本发明公开了一种异常日志和流量关联分析的方法，可以在“语义”级别统一SYSLOG的含义，并且通过统一之后的格式对流量进行关联。本发明可以将一个大型网络中的风险事件和流量关联，有助于问题定位，根因溯源，通过本发明，可以将故障事件和流量信息进行自动关联，避免了手工查找带来的复杂定位过程。

主权项

一种异常日志和流量关联分析的方法，其特征在于，包括如下步骤：(1)统一接收来自不同设备的SYSLOG日志，首先根据SYSLOG日志的来源地址比对手工设置的数据库中是否存在该日志的对应系统或者厂商；(2)如果不能确定SYSLOG日志属于哪个厂商的，则分解syslog日志中的MSG部分，根据MSG的前128字节的指纹信息对SYSLOG日志进行第二次分类；(3)通过上述两个步骤，将一条syslog日志归属到某个厂商或者某个特定操作系统；(4)预存一个不同厂商、不同操作系统的日志格式库，将分类之后的日志和对应厂商、操作系统的日志进行进行快速正则化的对比，将该syslog日志翻译成一个具备唯一ID的消息；(5)一个消息ID是不同厂商的syslog消息的统一化解释，当全网不同厂商的设备发现一次“A攻击事件”告警的时候，每个设备发出的SYSLOG信息不用，系统能够将所有这些信息归类成“A攻击事件”；(6)不同的消息ID会附加一些“可选参数”，如果该消息存在“可选参数”，系统会根据可选参数信息，进一步剥离“可选参数”信息；(7)通过上述操作，一条SYSLOG消息会分解成：消息ID+可选参数列表的形式；(8)通过时间戳、消息ID存在的设备数量、可选参数中的地址信息、接口信息，去流量信息库进行对比，找到这条SYSLOG日志是由哪些流量触发的；(9)如果SYSLOG日志在已知信息库中没有翻译成“事件ID”，则将该条日志放入学习库，根据学习库中的积累和特征学习，生成新的规则ID。