CN101673292B - 关联分析方法和系统及汇聚关联装置和分布式关联装置 - Google Patents
关联分析方法和系统及汇聚关联装置和分布式关联装置 Download PDFInfo
- Publication number
- CN101673292B CN101673292B CN2009101808236A CN200910180823A CN101673292B CN 101673292 B CN101673292 B CN 101673292B CN 2009101808236 A CN2009101808236 A CN 2009101808236A CN 200910180823 A CN200910180823 A CN 200910180823A CN 101673292 B CN101673292 B CN 101673292B
- Authority
- CN
- China
- Prior art keywords
- associated apparatus
- rule
- daily record
- sign
- matched
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 9
- 238000010219 correlation analysis Methods 0.000 title claims abstract description 7
- 230000007704 transition Effects 0.000 claims description 26
- 238000012097 association analysis method Methods 0.000 claims description 22
- 238000004321 preservation Methods 0.000 claims 1
- 238000012098 association analyses Methods 0.000 description 20
- 238000010586 diagram Methods 0.000 description 8
- 238000003066 decision tree Methods 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明实施例公开了一种关联分析方法,包括:获取用户配置的关联规则所有匹配规则,并为每个匹配规则分配标识;将匹配规则和对应的标识下发给分布式关联装置;接收分布式关联装置上报的被日志命中的匹配规则的标识;若根据接收到的标识判定关联规则得到满足,则根据预置的关联策略产生一个特定的关联事件。本发明实施例还提供相应的设备与系统。本发明实施例能够提高处理性能。
Description
技术领域
本发明涉及通信技术领域,具体涉及一种关联分析方法和系统及汇聚关联装置和分布式关联装置。
背景技术
随着信息化程度不断提高,对信息系统的依赖程度也随之增加,因此,如何保障信息系统安全是人们都十分关注的一个问题。信息系统的安全状况可以通过设备的日志中反映出来,一个故障现象或是攻击行为,需要对数台甚至数十台设备的日志进行关联分析才能确定真正的故障原因。
基于关联策略的关联分析是目前比较常用的关联分析方案。关联策略描述了当一个关联规则得到满足时,就会产生一个需要进行处理的关联事件。
现有的基于关联策略的关联分析技术主要采用集中式分析,即对接收到的所有日志进行预处理后,将预处理后的所有日志上报到统一的关联分析设备,关联分析设备再对上报的所有日志进行规则匹配,在日志命中匹配规则之后,再判断关联规则是否得到满足,若是,则关联分析设备根据预置的关联策略产生一个关联事件。
在对现有技术的研究和实践过程中,本发明的发明人发现,现有技术中,关联分析设备需要对所有的日志进行规则匹配,导致关联分析设备的处理负荷较大,降低了处理性能。
发明内容
本发明实施例提供一种关联分析设备不需要对所有的日志进行规则匹配的关联分析方法和系统及汇聚关联装置和分布式关联装置。
本发明实施例提供了一种关联分析方法,包括:获取用户配置的关联规则的所有匹配规则,并为每个匹配规则分配标识;将匹配规则和对应的标识下发给分布式关联装置;接收分布式关联装置上报的被日志命中的匹配规则的标识;若根据接收到的标识判定关联规则得到满足,则根据预置的关联策略产生一个特定的关联事件。
本发明实施例提供了一种关联分析方法,包括:接收并保存汇聚关联装置下发的匹配规则和对应的标识;接收设备发送的日志;根据匹配规则对日志进行规则匹配;若日志命中匹配规则,则将日志命中的匹配规则的标识上报给汇聚关联装置,以便于汇聚关联装置根据接收到的标识判断关联规则是否得到满足。
本发明实施例提供了一种汇聚关联装置,包括:分配模块,用于获取用户配置的关联规则的所有匹配规则,并为每个匹配规则分配标识;下发模块,用于将匹配规则和对应的标识下发给分布式关联装置;第一接收模块,用于接收分布式关联装置上报的被日志命中的匹配规则的标识;产生模块,用于当根据接收到的标识判定关联规则得到满足时,根据预置的关联策略产生一个特定的关联事件。
本发明实施例提供了一种分布式关联装置,包括:接收保存模块,用于接收并保存汇聚关联装置下发的匹配规则和对应的标识;接收模块,用于接收设备发送的日志;匹配模块,用于根据匹配规则对日志进行规则匹配;第一上报模块,用于若日志命中匹配规则,则将日志命中的匹配规则的标识上报给汇聚关联装置,以便于汇聚关联装置根据接收到的标识判断关联规则是否得到满足。
本发明实施例提供了一种关联分析系统,包括:汇聚关联装置,用于获取用户配置的关联规则的所有匹配规则,并为每个匹配规则分配标识;将匹配规则和对应的标识下发给分布式关联装置;接收分布式关联装置上报的被日志命中的匹配规则的标识;当根据接收到的标识判定关联规则得到满足时,根据预置的关联策略产生一个特定的关联事件;分布式关联装置,用于接收并保存汇聚关联装置下发的匹配规则和对应的标识;接收设备发送的日志;根据匹配规则对日志进行规则匹配;若日志命中匹配规则,则将日志命中的匹配规则的标识上报给汇聚关联装置。
从以上技术方案可以看出,本发明实施例具有以下优点:
本发明实施例中,汇聚关联装置为关联规则的每个匹配规则分配标识,并将匹配规则和对应的标识下发给分布式关联装置;然后,汇聚关联装置接收分布式关联装置上报的被日志命中的匹配规则的标识,并根据接收到的标识判断关联规则是否得到满足,若是,则根据预置的关联策略产生一个特定的关联事件。可见,相对现有技术,本实施例中,关联分析设备,即汇聚关联装置无需对日志进行规则匹配,只需根据接收到的标识判断关联规则是否得到满足,大大减小了处理负荷,提高了处理性能。
附图说明
图1是本发明实施例中关联分析方法的一个实施例的流程图;
图2是本发明实施例中关联分析方法的另一实施例的流程图;
图3是本发明实施例中关联分析方法的另一实施例的流程图;
图4是图3所示实施例中有限自动机的一个状态示意图;
图5是图3所示实施例中有限自动机的另一状态示意图;
图6是图3所示实施例中有限自动机的另一状态示意图;
图7是图3所示实施例中有限自动机的另一状态示意图;
图8是本发明实施例中汇聚关联装置的一个实施例的示意图;
图9是本发明实施例中分布式关联装置的一个实施例的示意图;
图10是本发明实施例中关联分析系统的一个实施例的示意图。
具体实施方式
本发明实施例提供一种关联分析方法和系统及汇聚关联装置和分布式关联装置,能够节约网络带宽,提高处理性能。以下分别进行详细说明。
请参阅图1,本发明实施例中关联分析方法的一个实施例包括:
101、汇聚关联装置获取用户配置的关联规则的所有匹配规则,并为每个匹配规则分配标识;
用户配置的关联规则包括匹配规则以及匹配规则之间的逻辑关系。
汇聚关联装置获取用户配置的关联规则的所有匹配规则为现有技术,此处不作赘述。
在为匹配规则分配标识后,汇聚关联装置可用标识的形式描述关联规则,使描述后的关联规则包括匹配规则的标识,和匹配规则的标识之间的逻辑关系。
例如,用户配置的关联规则为
(A OR B)SEQ (C AND D),
汇聚关联装置为匹配规则A、B、C和D分配的标识分别为1.1、1.2、1.3和1.4,则汇聚关联装置可用标识的形式描述关联规则成:
(1.1OR 1.2)SEQ(1.3AND 1.4)。
102、汇聚关联装置将匹配规则和对应的标识下发给分布式关联装置;
在为匹配规则分配标识后,汇聚关联装置将匹配规则和匹配规则的标识下发给分布式关联装置。
103、汇聚关联装置接收分布式关联装置上报的被日志命中的匹配规则的标识;
分布式关联装置在接收到汇聚关联装置下发的匹配规则和对应的标识后,保存接收的匹配规则和对应的标识,并在接收到设备发送的日志时,根据保存的匹配规则对日志进行规则匹配,若日志命中匹配规则,则分布式关联装置向汇聚关联装置发送该日志命中的匹配规则的标识。
104、若根据接收到的标识判定关联规则得到满足,则汇聚关联装置根据预置的关联策略产生一个特定的关联事件。
关联策略描述了当一个关联规则得到满足时,就会产生一个特定的关联事件,关联规则由多个匹配规则以及匹配规则之间的逻辑关联关系组成,关联事件可能是一个故障或是攻击。例如:当满足关联规则
(A OR B)SEQ (C AND D)
时,就会产生关联事件E,也就是说,A或B这两个日志产生以后,若接着产生了C和D这两个日志,那就意味系统产生了一个关联事件E。
汇聚关联装置在接收到分布式关联装置发送的日志和日志命中的匹配规则的标识后,根据所有接收到的标识判断关联规则是否得到满足。
例如,对应于步骤102中列举的关联规则,当汇聚关联装置依次接收到分布式关联装置发送的标识分别为1.1、1.3和1.4,则汇聚关联装置可根据这些接收到的标识判定标识形式的关联规则(1.1 OR 1.2)SEQ(1.3 AND 1.4)得到满足,进而判定关联规则(A OR B)SEQ(C AND D)得到满足。
此处需要说明的是,汇聚关联装置可以根据关联规则生成有限自动机,根据接收到的标识,通过有限自动机的状态迁移方式实现关联分析,有限自动机的迁移状态和匹配规则的标识对应。汇聚关联装置也可以根据关联规则构造决策树,通过决策树的状态迁移方式实现关联分析,此为现有公知技术,此处不作赘述。可以理解的是,汇聚关联装置也可以不通过有限自动机或决策树,而直接接收到的标识进行关联分析。
本实施例中,汇聚关联装置为关联规则的每个匹配规则分配标识,并将匹配规则和对应的标识下发给分布式关联装置;然后,汇聚关联装置接收分布式关联装置上报的被日志命中的匹配规则的标识,并根据接收到的标识判断关联规则是否得到满足,若是,则根据预置的关联策略产生一个关联事件。可见,相对现有技术,本实施例中,只有日志命中的匹配规则的标识需要上报给汇聚关联装置,节约了网络带宽;且汇聚关联装置无需对日志进行规则匹配,只需根据接收到的标识判断关联规则是否得到满足,大大减小了处理负荷,提高了处理性能。
图1所示实施例从汇聚关联装置的角度描述了本发明实施例中的关联分析方法,下面从分布式关联装置的角度描述本发明实施例中的关联分析方法。请参阅图2,本发明实施例中关联分析方法的另一实施例包括:
201、分布式关联装置接收并保存汇聚关联装置下发的匹配规则和对应的标识;
本实施例中,汇聚关联装置为关联规则的每个匹配规则分配标识,并将匹配规则和对应的标识下发给分布式关联装置。
分布式关联装置在接收匹配规则和对应的标识后,可更新匹配规则库,匹配规则库保存有匹配规则和标识的对应关系。
202、分布式关联装置接收设备发送的日志;
本实施例中,由分布式关联装置接收设备发送的日志。
203、分布式关联装置根据匹配规则对日志进行规则匹配;
在接收设备发送的日志后,分布式关联装置根据保存的匹配规则对日志进行规则匹配,以判断接收到的日志是否命中匹配规则。
204、若日志命中匹配规则,则分布式关联装置将日志命中的匹配规则的标识上报给汇聚关联装置,以便于汇聚关联装置根据接收到的标识判断关联规则是否得到满足。
此处需要说明的是,分布式关联装置在将日志命中的匹配规则的标识上报给汇聚关联装置的同时,也可以将该日志上报给汇聚关联装置,以便于汇聚关联装置对命中匹配规则的日志进行统计。
本实施例中,分布式关联装置在接收并保存汇聚关联装置下发的匹配规则和对应的标识后,根据匹配规则对设备发送的日志进行规则匹配,若日志命中匹配规则,则分布式关联装置将该日志命中的匹配规则的标识上报给汇聚关联装置,以便于汇聚关联装置根据接收到的标识判断关联规则是否得到满足。可见,相对现有技术,本实施例中,只有日志命中的匹配规则的标识需要上报给汇聚关联装置,节约了网络带宽;且汇聚关联装置无需对日志进行规则匹配,只需根据接收到的标识判断关联规则是否得到满足,大大减小了处理负荷,提高了处理性能。
为便于理解,下面以一具体的应用场景对本发明实施例中的关联分析方法进行详细说明。请参阅图3,本发明实施例中关联分析方法的另一实施例包括:
301、汇聚关联装置获取用户配置的关联规则的所有匹配规则,并为每个匹配规则分配标识;
例如,用户配置的关联规则为
(A OR B)SEQ (C AND D),
汇聚关联装置为匹配规则A、B、C和D分配的标识分别为1.1、1.2、1.3和1.4,则汇聚关联装置可用标识的形式描述关联规则成:
(1.1OR 1.2)SEQ(1.3AND 1.4)。
302、汇聚关联装置根据关联规则生成有限自动机,并将有限自动机设置为初始状态,有限自动机的迁移状态和匹配规则的标识对应;
对应于步骤301中列举的关联规则,汇聚关联装置根据关联规则生成的有限自动机请参阅图4。
303、汇聚关联装置将匹配规则和对应的标识下发给分布式关联装置;
对应于步骤301中列举的关联规则,汇聚关联装置将表1的匹配规则和对应的标识下发给分布式关联装置:
| 匹配规则 | 标识 |
| A | 1.1 |
| B | 1.2 |
| C | 1.3 |
| D | 1.4 |
表1
304、分布式关联装置接收并保存汇聚关联装置下发的匹配规则和对应的标识;
分布式关联装置可将接收的匹配规则和对应的标识保存于匹配规则库中,匹配规则库保存了匹配规则和标识的对应关系。分布式关联装置需根据接收的匹配规则和对应的标识更新匹配规则库。
305、分布式关联装置接收设备发送的日志;
306、分布式关联装置根据匹配规则对日志进行规则匹配;
307、分布式关联装置则将日志命中的匹配规则的标识、以及该日志上报给汇聚关联装置;
本实施例中,分布式关联装置将命中匹配规则的日志也上报给汇聚关联装置,以便于汇聚关联装置对命中匹配规则的日志进行统计。
308、汇聚关联装置判断接收到的标识是否能够触发有限自动机状态迁移,若是,则执行步骤309,否则执行步骤311;
309、汇聚关联装置更新有限自动机的状态;
汇聚关联装置若判定接收到的标识能够触发有限自动机状态迁移,则汇聚关联装置根据该接收到的标识更新有限自动机的状态,否则保持有限自动机的状态不变。
310、若有限自动机更新后的状态为结束状态,则汇聚关联装置判定关联规则得到满足,并根据预置的关联策略产生一个特定的关联事件;
汇聚关联装置更新有限自动机的状态后,若判定有限自动机更新后的状态为结束状态,则确定关联规则得到满足,并根据预置的关联策略产生一个特定的关联事件,该关联策略描述了该关联规则得到满足时,就会产生该特定的关联事件。
若有限自动机更新后的状态不是结束状态,则汇聚关联装置结束本次操作。
下面,对应于步骤301中列举的关联规则,假设汇聚关联装置依次接收到匹配规则的标识1.4、1.1、1.3、1.3和1.4,对步骤308至步骤310进行详细说明:
(1)汇聚关联装置接收到标识1.4,判定标识1.4不能够触发有限自动机的状态迁移,故有限自动机的状态图同于图4。
(2)汇聚关联装置接收到标识1.1,判定标识1.1能够触发有限自动机的状态迁移,更新有限自动机的状态,并判定有限自动机更新后的状态不是结束状态,结束本次操作,此时有限自动机的状态如图5所示。
(3)汇聚关联装置接收到标识1.3,判定标识1.3能够触发有限自动机的状态迁移,更新有限自动机的状态,并判定有限自动机更新后的状态不是结束状态,结束本次操作,此时有限自动机的状态如图6所示。
(4)汇聚关联装置接收到标识1.3,判定标识1.3不能够触发有限自动机的状态迁移,此时有限自动机的状态图同于图6。
(5)汇聚关联装置接收到标识1.4,判定标识1.4能够触发有限自动机的状态迁移,更新有限自动机的状态,并判定有限自动机更新后的状态是结束状态,结束本次操作,此时有限自动机的状态如图7所示。
311、汇聚关联装置丢弃不能够触发有限自动机状态迁移的分布式关联装置上报的标识,和命中该标识所对应的匹配规则的日志。
若在步骤308中判定分布式关联装置上报的标识不能够触发有限自动机状态迁移,则汇聚关联装置可以丢弃该标识和命中该标识对应的匹配规则的日志,以减小存储开销,并避免对该日志进行统计。
本实施例中,汇聚关联装置根据关联规则生成有限自动机,通过有限自动机的状态迁移方式实现关联分析。
此处需要说明的是,汇聚关联装置也可以根据关联规则构造决策树,通过决策树的状态迁移方式实现关联分析,此为现有公知技术,此处不作赘述。可以理解的是,汇聚关联装置也可以不通过有限自动机或决策树,而直接对分布式关联装置上报的标识进行关联分析。
本实施例中,汇聚关联装置为关联规则的每个匹配规则分配标识,并将匹配规则和对应的标识下发给分布式关联装置;然后,汇聚关联装置接收分布式关联装置上报的被日志命中的匹配规则的标识和该日志,并根据接收到的标识判断关联规则是否得到满足,若是,则根据预置的关联策略产生一个关联事件。可见,相对现有技术,本实施例中,只有命中匹配规则的日志和该日志命中的匹配规则的标识需要上报给汇聚关联装置,节约了网络带宽;且汇聚关联装置无需再对日志进行规则匹配,只需根据接收到的标识判断关联规则是否得到满足,大大减小了处理负荷,提高了处理性能。
下面对本发明实施例中的汇聚关联装置进行详细说明,请参阅图8,本发明实施例中汇聚关联装置的一个实施例包括:
分配模块801,用于获取用户配置的关联规则的所有匹配规则,并为每个匹配规则分配标识;
下发模块802,用于将匹配规则和对应的标识下发给分布式关联装置;
第一接收模块803,用于接收分布式关联装置上报的被日志命中的匹配规则的标识;
产生模块804,用于当根据接收到的标识判定关联规则得到满足时,根据预置的关联策略产生一个特定的关联事件。
此处需要说明的是,汇聚关联装置可以根据关联规则生成有限自动机,根据接收到的标识,通过有限自动机的状态迁移方式实现关联分析,有限自动机的迁移状态和匹配规则的标识对应。
当汇聚关联装置采用有限自动机实现关联分析时,汇聚关联装置还包括:生成模块,用于在分配模块801执行相关操作之后,根据关联规则生成有限自动机,并将有限自动机设置为初始状态,有限自动机的迁移状态和匹配规则的标识对应;并且,
产生模块804用于判断接收到的标识是否能够触发有限自动机状态迁移,若是,则更新有限自动机的状态,若有限自动机更新后的状态为结束状态,则确定关联规则得到满足,并根据预置的关联策略产生一个特定的关联事件。
此外需要说明的是,分布式关联装置在将日志命中的匹配规则的标识上报给汇聚关联装置的同时,也可以将该日志上报给汇聚关联装置,以便于汇聚关联装置对命中匹配规则的日志进行统计;此时,汇聚关联装置还包括:
第二接收模块,用于接收分布式关联装置上报的命中匹配规则的日志。
当汇聚关联装置采用有限自动机实现关联分析时,汇聚关联装置还可以包括丢弃模块,用于当产生模块804判定从分布式关联装置接收到的标识不能够触发有限自动机状态迁移时,丢弃该标识和命中该标识对应的匹配规则的日志,以减小存储开销,并避免对该日志进行统计。
本实施例的汇聚关联装置中,分配模块801为关联规则的每个匹配规则分配标识,下发模块802将匹配规则和对应的标识下发给分布式关联装置;第一接收模块803接收分布式关联装置上报的被日志命中的匹配规则的标识,当根据接收到的标识判定关联规则得到满足时,产生模块804根据预置的关联策略产生一个特地的关联事件。可见,相对现有技术,本实施例中,只有日志命中的匹配规则的标识需要上报给汇聚关联装置,节约了网络带宽;且汇聚关联装置无需对日志进行规则匹配,只需根据接收到的标识判断关联规则是否得到满足,大大减小了处理负荷,提高了处理性能。
下面对本发明实施例中的分布式关联装置进行详细说明,请参阅图9,本发明实施例中分布式关联装置的一个实施例包括:
接收保存模块901,用于接收并保存汇聚关联装置下发的匹配规则和对应的标识;
接收模块902,用于接收设备发送的日志;
匹配模块903,用于根据匹配规则对日志进行规则匹配;
第一上报模块904,用于若日志命中匹配规则,则将日志命中的匹配规则的标识上报给汇聚关联装置,以便于汇聚关联装置根据接收到的标识判断关联规则是否得到满足。
进一步地,本实施例还可以包括:第二上报模块,用于将命中匹配规则的日志上报给汇聚关联装置,以便于汇聚关联装置对命中匹配规则的日志进行统计。
本实施例中,接收保存模块901接收并保存汇聚关联装置下发的匹配规则和对应的标识后,匹配模块903根据匹配规则对接收模块902接收的日志进行规则匹配,若日志命中匹配规则,则第一上报模块904将该日志命中的匹配规则的标识上报给汇聚关联装置,以便于汇聚关联装置根据接收到的标识判断关联规则是否得到满足。可见,相对现有技术,本实施例中,只有日志命中的匹配规则的标识需要上报给汇聚关联装置,节约了网络带宽;且汇聚关联装置无需再对日志进行规则匹配,只需根据接收到的标识判断关联规则是否得到满足,大大减小了处理负荷,提高了处理性能。
下面对本发明实施例中的关联分析系统进行详细说明,请参阅图10,本发明实施例中关联分析系统的一个实施例包括:
汇聚关联装置1001,用于获取用户配置的关联规则的所有匹配规则,并为每个匹配规则分配标识;将匹配规则和对应的标识下发给分布式关联装置;接收分布式关联装置上报的被日志命中的匹配规则的标识;当根据接收到的标识判定关联规则得到满足时,根据预置的关联策略产生一个特定的关联事件;
分布式关联装置1002,用于接收并保存汇聚关联装置下发的匹配规则和对应的标识;接收设备发送的日志;根据匹配规则对日志进行规则匹配;若日志命中匹配规则,则将日志命中的匹配规则的标识上报给汇聚关联装置。
本实施例中,汇聚关联装置为关联规则的每个匹配规则分配标识,并将匹配规则和对应的标识下发给分布式关联装置;然后,汇聚关联装置接收分布式关联装置上报的被日志命中的匹配规则的标识,并根据接收到的标识判断关联规则是否得到满足,若是,则根据预置的关联策略产生一个特定的关联事件。可见,相对现有技术,本实施例中,只有日志命中的匹配规则的标识需要上报给汇聚关联装置,节约了网络带宽;且汇聚关联装置无需再对日志进行规则匹配,只需根据接收到的标识判断关联规则是否得到满足,大大减小了处理负荷,提高了处理性能。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:只读内存(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁盘或光盘等。
以上对本发明实施例所提供的关联分析方法和系统及汇聚关联装置和分布式关联装置进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (13)
1.一种关联分析方法,其特征在于,包括:
汇聚关联装置获取用户配置的关联规则的所有匹配规则,并为每个匹配规则分配标识;
汇聚关联装置将所述匹配规则和对应的标识下发给分布式关联装置,使得所述分布式关联装置根据所述匹配规则对设备发送的日志进行规则匹配;
汇聚关联装置接收所述分布式关联装置上报的被日志命中的匹配规则的标识,所述日志为设备发送至分布式关联装置的日志;
若根据接收到的标识判定所述关联规则得到满足,则汇聚关联装置根据预置的关联策略产生一个特定的关联事件。
2.根据权利要求1所述的关联分析方法,其特征在于,在所述为每个匹配规则分配标识之后还包括:根据所述关联规则生成有限自动机,并将所述有限自动机设置为初始状态,所述有限自动机的迁移状态和匹配规则的标识对应;
所述若根据接收到的标识判定所述关联规则得到满足,则根据预置的关联策略产生一个特定的关联事件包括:
判断接收到的标识是否能够触发所述有限自动机状态迁移;
若是,则更新所述有限自动机的状态;
若所述有限自动机更新后的状态为结束状态,则判定所述关联规则得到满足,根据预置的关联策略产生一个特定的关联事件。
3.根据权利要求2所述的关联分析方法,其特征在于,若判定接收到的标识不能够触发所述有限自动机状态迁移,则丢弃该接收到的标识。
4.一种关联分析方法,其特征在于,包括:
分布式关联装置接收并保存汇聚关联装置下发的匹配规则和汇聚关联装置为所述匹配规则分配的标识,所述匹配规则为汇聚关联装置获取的用户配置的关联规则的所有匹配规则;
分布式关联装置接收设备发送的日志;
分布式关联装置根据所述匹配规则对日志进行规则匹配;
若所述日志命中匹配规则,则分布式关联装置将所述日志命中的匹配规则的标识上报给汇聚关联装置,以便于汇聚关联装置根据接收到的标识判断关联规则是否得到满足,并使得汇聚关联装置在确定所述关联规则得到满足时,根据关联策略产生一个特定的关联事件。
5.根据权利要求4所述的关联分析方法,其特征在于,所述方法还包括:
将命中所述匹配规则的日志上报给汇聚关联装置。
6.根据权利要求4所述的关联分析方法,其特征在于,所述方法还包括:
在所述接收并保存汇聚关联装置下发的匹配规则和对应的标识后,更新匹配规则库,所述匹配规则库保存有匹配规则和标识的对应关系。
7.一种汇聚关联装置,其特征在于,包括:
分配模块,用于获取用户配置的关联规则的所有匹配规则,并为每个匹配规则分配标识;
下发模块,用于将所述匹配规则和对应的标识下发给分布式关联装置,使得所述分布式关联装置根据所述匹配规则对设备发送的日志进行规则匹配;
第一接收模块,用于接收分布式关联装置上报的被日志命中的匹配规则的标识,所述日志为设备发送至分布式关联装置的日志;
产生模块,用于当根据接收到的标识判定所述关联规则得到满足时,根据预置的关联策略产生一个特定的关联事件。
8.根据权利要求7所述的汇聚关联装置,其特征在于,所述汇聚关联装置还包括:生成模块,用于在分配模块执行相关操作之后,根据所述关联规则生成有限自动机,并将所述有限自动机设置为初始状态,所述有限自动机的迁移状态和匹配规则的标识对应;
产生模块具体用于判断接收到的标识是否能够触发所述有限自动机状态迁移,若是,则更新所述有限自动机的状态,若所述有限自动机更新后的状态为结束状态,则确定所述关联规则得到满足,根据预置的关联策略产生一个特定的关联事件。
9.根据权利要求7所述的汇聚关联装置,其特征在于,所述汇聚关联装置还包括:
第二接收模块,用于接收分布式关联装置上报的命中匹配规则的日志。
10.根据权利要求9所述的汇聚关联装置,其特征在于,所述汇聚关联装置还包括:
丢弃模块,用于当产生模块判定接收到的标识不能够触发所述有限自动机状态迁移时,丢弃该标识和命中该标识所对应的匹配规则的日志。
11.一种分布式关联装置,其特征在于,包括:
接收保存模块,用于接收并保存汇聚关联装置下发的匹配规则和汇聚关联装置为所述匹配规则分配的标识,所述匹配规则为汇聚关联装置获取的用户配置的关联规则的所有匹配规则;
接收模块,用于接收设备发送的日志;
匹配模块,用于根据所述匹配规则对日志进行规则匹配;
第一上报模块,用于若所述日志命中匹配规则,则将所述日志命中的匹配规则的标识上报给汇聚关联装置,以便于汇聚关联装置根据接收到的标识判断关联规则是否得到满足,并使得汇聚关联装置在确定所述关联规则得到满足时,根据关联策略产生一个特定的关联事件。
12.根据权利要求11所述的分布式关联装置,其特征在于,所述引擎还包括:
第二上报模块,用于将命中所述匹配规则的日志上报给汇聚关联装置。
13.一种关联分析系统,其特征在于,包括:
汇聚关联装置,用于获取用户配置的关联规则的所有匹配规则,并为每个匹配规则分配标识;将所述匹配规则和对应的标识下发给分布式关联装置,使得所述分布式关联装置根据所述匹配规则对设备发送的日志进行规则匹配;接收分布式关联装置上报的被日志命中的匹配规则的标识,所述日志为设备发送至分布式关联装置的日志;当根据接收到的标识判定所述关联规则得到满足时,根据预置的关联策略产生一个特定的关联事件;
分布式关联装置,用于接收并保存汇聚关联装置下发的所述匹配规则和汇聚关联装置为所述匹配规则分配的标识;接收设备发送的日志;根据所述匹配规则对日志进行规则匹配;若所述日志命中匹配规则,则将所述日志命中的匹配规则的标识上报给汇聚关联装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009101808236A CN101673292B (zh) | 2009-10-15 | 2009-10-15 | 关联分析方法和系统及汇聚关联装置和分布式关联装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009101808236A CN101673292B (zh) | 2009-10-15 | 2009-10-15 | 关联分析方法和系统及汇聚关联装置和分布式关联装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101673292A CN101673292A (zh) | 2010-03-17 |
| CN101673292B true CN101673292B (zh) | 2012-05-02 |
Family
ID=42020515
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009101808236A Expired - Fee Related CN101673292B (zh) | 2009-10-15 | 2009-10-15 | 关联分析方法和系统及汇聚关联装置和分布式关联装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101673292B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101894162B (zh) * | 2010-07-22 | 2012-05-09 | 北京天融信科技有限公司 | 一种动态网络事件关联与联动的实现方法和装置 |
| CN106603473B (zh) * | 2015-10-19 | 2021-01-01 | 华为技术有限公司 | 网络安全信息的处理方法及网络安全信息的处理系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1682187A (zh) * | 2002-09-12 | 2005-10-12 | 汤姆森许可贸易公司 | 通过使用拓扑编辑器对数据网络状态的关联通知 |
| US7003779B2 (en) * | 2000-12-21 | 2006-02-21 | International Business Machines Corporation | Hierarchical connected graph model for implementation of event management design |
| CN100478944C (zh) * | 2003-06-06 | 2009-04-15 | 微软公司 | 自动任务生成器的方法和系统 |
-
2009
- 2009-10-15 CN CN2009101808236A patent/CN101673292B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7003779B2 (en) * | 2000-12-21 | 2006-02-21 | International Business Machines Corporation | Hierarchical connected graph model for implementation of event management design |
| CN1682187A (zh) * | 2002-09-12 | 2005-10-12 | 汤姆森许可贸易公司 | 通过使用拓扑编辑器对数据网络状态的关联通知 |
| CN100478944C (zh) * | 2003-06-06 | 2009-04-15 | 微软公司 | 自动任务生成器的方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101673292A (zh) | 2010-03-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102263825B (zh) | 一种基于云位置的混合云存储系统数据传输方法 | |
| CN104023082B (zh) | 一种集群负载均衡的实现方法 | |
| CN102523291A (zh) | 实现移动对等网络流媒体体验质量策略管理的模型架构 | |
| CN103166990A (zh) | P2p对等连接建立方法及系统 | |
| CN101945358A (zh) | 垃圾短信的过滤方法、系统、终端和服务器 | |
| CN101673292B (zh) | 关联分析方法和系统及汇聚关联装置和分布式关联装置 | |
| CN101686473B (zh) | 认知无线电系统及其频谱检测的方法、基站 | |
| CN105701168B (zh) | 一种数据存储方法、装置及电子设备 | |
| US8867377B2 (en) | Dynamic selection between active and passive probing in computer network | |
| CN110855424B (zh) | 一种DPI领域非对称流量xDR合成的方法和装置 | |
| CN117221295A (zh) | 一种基于边缘计算和网络切片的低延迟视频传输系统 | |
| US20080168030A1 (en) | Method and system for identifying and selecting a wireless device or network for connection | |
| CN100527685C (zh) | 一种确定归属超级节点的实现方法与系统 | |
| CN108011870B (zh) | 一种软件远程在线升级信息自动识别管理方法 | |
| CN105243078A (zh) | 一种文件资源的分发方法、系统和装置 | |
| Ma et al. | Socially aware distributed caching in device-to-device communication networks | |
| CN110177383B (zh) | 移动边缘计算中基于任务调度和功率分配的效率优化方法 | |
| CN105227924B (zh) | 一种视频监控平台媒体流的异网调度方法 | |
| Xu et al. | Trustworthy caching for mobile big data in social networks | |
| CN102695154A (zh) | 基于基站直通架构的计费处理方法、设备和系统 | |
| CN107592643A (zh) | 一种基于在线用户量的大量ap同时上线处理方法 | |
| CN106407307A (zh) | 一种分布式数据库节点数据交互方法及装置 | |
| CN103095742B (zh) | 用于p2p系统的节点加入方法及相应的p2p系统 | |
| Sou et al. | Exploiting spatial locality for content placement in roadside-unit caching with delay constraint | |
| CN117154747B (zh) | 一种基于多租户技术的虚拟电厂需求响应系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: HUAWEI DIGITAL TECHNOLOGY (CHENGDU) CO., LTD. Free format text: FORMER NAME: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES CO., LTD. |
|
| CP01 | Change in the name or title of a patent holder |
Address after: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee after: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd. Address before: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee before: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES Co.,Ltd. |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20220916 Address after: No. 1899 Xiyuan Avenue, high tech Zone (West District), Chengdu, Sichuan 610041 Patentee after: Chengdu Huawei Technologies Co.,Ltd. Address before: 611731 Qingshui River District, Chengdu hi tech Zone, Sichuan, China Patentee before: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120502 |