CN105550378A - 一种复杂网络体系下异构安全日志信息的提取与分析方法 - Google Patents

Abstract

本发明公开了一种复杂网络体系下异构安全日志信息的提取与分析方法，它包括：步骤A、学习阶段；步骤B、缓存阶段；步骤C、解析阶段：新采集日志数据，根据日志数据信息提取决策树进行解析，按照日志报送地址、日志类型、日志各位置字段逐层解析，形成规范格式的安全日志信息数据；现有技术存在的安全日志信息提取和分析方式是基于解析模板技术，每一个新的日志类型都需要人工编写解析模板，这种方式下项目实施成本高，且人工编写出错概率高，对复杂网络环境SYSLOG信息提取的适应性差等技术问题。

Description

一种复杂网络体系下异构安全日志信息的提取与分析方法

技术领域：

本发明属于信息安全技术领域，尤其涉及一种复杂网络体系下异构安全日志信息的提取与分析方法。

背景技术：

电力系统是国民经济和人民生活的重要基础设施，其网络和应用系统的安全是电力系统安全运行及对社会可靠供电的保证，直接关系到我国各行各业的发展、社会的安定和人民的生活水平。电力系统安全防护的主要目标是防止关键业务信息系统数据或信息被窃取或篡改，防止网络被恶意渗透或监听，确保不发生因信息安全引发的电网事故和大面积停电事故，实现信息安全风险可控、能控、在控。国家非常重视电力系统的信息安全，建立了电力系统信息安全纵深防御体系，部署了大量不同类型的安全设备，各种设备的日志记录了设备运行状态，各类用户执行的操作等等详细信息。在目前的网络环境中，各种设备的日志已经成为海量数据，SYSLOG作为主要的日志类型，被各种操作系统，网络设备和安全设备广泛支持，成为日志的重要标准，对于其他类型的日志，也可以转换为SYSLOG日志格式，便于统一分析。

由于不同类型安全设备报送的SYSLOG日志格式千差万别，因此，需要对日志进行格式归一化，才能够对日志进行规则处理分析和有效的统计分析。目前业界常用的安全日志信息提取和分析方式是基于解析模板技术，每一个新的日志类型都需要人工编写解析模板，这种方式下项目实施成本高，且人工编写出错概率高，对复杂网络环境SYSLOG信息提取的适应性差。

发明内容：

本发明要解决的技术问题：提供一种复杂网络体系下异构安全日志信息的提取与分析方法，以解决现有技术存在的安全日志信息提取和分析方式是基于解析模板技术，每一个新的日志类型都需要人工编写解析模板，这种方式下项目实施成本高，且人工编写出错概率高，对复杂网络环境SYSLOG信息提取的适应性差等技术问题。

本发明技术方案：

一种复杂网络体系下异构安全日志信息的提取与分析方法，它包括：

步骤A、学习阶段：持续采集异构安全日志数据，采用分词工具对日志数据结构进行分拆，按照正则匹配对日志中指定位置的字段数据进行内容属性定义，动态构建日志信息提取决策树，该决策树信息随着新的日志结构的加入不断更新；

步骤B、缓存阶段：对学习构建的日志信息提取决策树信息在计算机内存中进行缓存，该缓存根据决策树动态学习过程实时更新；以文本形式存储于硬盘，该存储信息周期性更新；

步骤C、解析阶段：新采集日志数据，根据日志数据信息提取决策树进行解析，按照日志报送地址、日志类型、日志各位置字段逐层解析，形成规范格式的安全日志信息数据。

它还包括：步骤D、人工优化：用户对日志信息提取决策树中的内容属性定

义进行人工设置，将经过人工设置规范化后的安全日志信息存储进入数据库

系统。

步骤1所述的学习阶段，具体步骤包括：

步骤A1、通过SYSLOG协议采集一条安全日志记录，作为SYSLOG日志，通

过对协议头部分解析获取该SYSLOG日志的报送设备IP，以报送设备IP作

为决策树一级节点；

步骤A2、采用分词工具对SYSLOG日志中代表原始日志的MSG字段进行分词，并按顺序对分词字段进行索引；

步骤A3、对各分词字段进行正则匹配分析，获取各个分词字段的内容属性；

步骤A4、通过各分词字段属性和对应索引计算“日志解析指纹”，将日志解析指纹作为决策树的二级节点；

步骤A5、将各分词字段的索引和内容属性作为决策树的三级节点；

步骤A6、不断学习新的SYSLOG日志，动态更新决策树。

所述计算日志解析指纹，其算法表达式为：

S₀R₀-S₁R₁-S₂R₂-S₃R₃…S_nR_n

式中：S_i(i＝0,1,2,3…n,n是分词字段总个数)是各个分词字段的索引；

R_i(i＝0,1,2,3…n,n是分词字段总个数)是各个分词字段对应的内容正则解析规则。

所述分词工具为：采用以标志切分为手段的基于字符串的分词算法，具体工具是采用开源StandardAnalyzer分词算法。

所述日志信息提取决策树的结构是：第一层级为报送SYSLOG日志的设备IP；第二层级是日志类型的解析指纹；第三层级是第二层级日志类型的解析指纹对应的解析内容属性。

步骤B所述的日志信息提取决策树信息在计算机内存中进行缓存，其缓存数据结构以多层HashMap嵌套的方式实现，日志信息提取决策树在硬盘的存储的文本格式以XML技术存储。

步骤C解析阶段的具体步骤包括：

步骤C1、采集SYSLOG日志数据，解析其报送设备IP信息，匹配日志数据信息提取决策树一级节点，定位该日志数据信息对应的决策分支，如果匹配不上，则进入步骤A学习阶段；

步骤C2、采用分词工具对SYSLOG日志数据中代表原始日志的MSG字段进行分词，并按顺序对分词结果进行索引；

步骤C3、对各分词字段进行正则匹配分析，获取各个分词字段的内容属性；

步骤C4、计算获得该日志的“日志解析指纹”，匹配日志信息提取决策树二级节点，定位该日志对应的解析分支；

步骤C5、通过该日志分词数据与决策树三级节点的对应，获得对该日志数据的解析结果。

本发明的有益效果：

本发明采用将日志数据信息提取决策树机制作为日志信息解析模型，该模型是由持续的机器学习构建，采用分词技术和正则匹配技术构建该学习模型；在日志解析阶段，根据自动学习获取的日志信息解析模型对新的日志样本进行解析，并提供统一格式的日志记录，从而实现了复杂网络体系下异构安全日志的自适应提取与分析；解决了现有技术存在的安全日志信息提取和分析方式是基于解析模板技术，每一个新的日志类型都需要人工编写解析模板，这种方式下项目实施成本高，且人工编写出错概率高，对复杂网络环境SYSLOG信息提取的适应性差等技术问题。

具体实施方式：

一种复杂网络体系下异构安全日志信息的提取与分析方法，它包括：

步骤A、学习阶段：持续采集异构安全日志数据，采用分词工具对日志数据结构进行分拆，按照正则匹配对日志中指定位置的字段数据进行内容属性定义，动态构建日志信息提取决策树简称简称LIDT树，该决策树信息随着新的日志结构的加入不断更新；

步骤B、缓存阶段：对学习构建的日志信息提取决策树信息在计算机内存中进行缓存，该缓存根据决策树动态学习过程实时更新；以文本形式存储于硬盘，该存储信息周期性更新；

步骤C、解析阶段：新采集日志数据，根据日志数据信息提取决策树进行解析，按照日志报送地址、日志类型、日志各位置字段逐层解析，形成规范格式的安全日志信息数据。

它还包括：

步骤D、人工优化：用户对日志信息提取决策树中的内容属性定义进行人工

设置，将经过人工设置规范化后的安全日志信息存储进入数据库系统。

用户可以对日志信息提取决策树中的内容属性定义进行人工设置，以保证从异构安全日志提出的信息可读性更强。最终经过人工设置和规范格式化后的安全日志信息存储进入数据库系统，共同其它系统使用。

其中，经过信息提取后规范格式化后的安全日志格式见表1

表1

步骤1所述的学习阶段，具体步骤包括：

步骤A1、通过SYSLOG协议采集一条安全日志记录，作为SYSLOG日志，通过对协议头部分解析获取该SYSLOG日志的报送设备IP，以报送设备IP作为决策树一级节点；

步骤A2、采用分词工具对SYSLOG日志中代表原始日志的MSG字段进行分词，并按顺序对分词字段进行索引；

步骤A3、对各分词字段进行正则匹配分析，获取各个分词字段的内容属性；

步骤A4、通过各分词字段属性和对应索引计算“日志解析指纹”，将日志解析指纹作为决策树的二级节点；

步骤A5、将各分词字段的索引和内容属性作为决策树的三级节点；

步骤A6、不断学习新的SYSLOG日志，动态更新决策树。

步骤A中，所述计算日志解析指纹，其算法表达式为：

S₀R₀-S₁R₁-S₂R₂-S₃R₃···S_nR_n

式中：S_i(i＝0,1,2,3…n,n是分词字段总个数)是各个分词字段的索引；

R_i(i＝0,1,2,3…n,n是分词字段总个数)是各个分词字段对应的内容正则解析规则。

所述分词工具为：采用以标志切分为手段的基于字符串的分词算法，具体工具是采用开源StandardAnalyzer分词算法。

所述日志信息提取决策树的结构是：第一层级为报送SYSLOG日志的设备IP；第二层级是日志类型的解析指纹；第三层级是第二层级日志类型的解析指纹对应的解析内容属性。

步骤B所述的日志信息提取决策树信息在计算机内存中进行缓存，其缓存数据结构以多层HashMap嵌套的方式实现，日志信息提取决策树在硬盘的存储的文本格式以XML技术存储，存储示例为：

步骤C解析阶段的具体步骤包括：

步骤C1、采集SYSLOG日志数据，解析其报送设备IP信息，匹配日志数据信息提取决策树一级节点，定位该日志数据信息对应的决策分支，如果匹配不上，则进入步骤A学习阶段；

步骤C2、采用分词工具对SYSLOG日志数据中代表原始日志的MSG字段进行分词，并按顺序对分词结果进行索引；

步骤C3、对各分词字段进行正则匹配分析，获取各个分词字段的内容属性；

步骤C4、计算获得该日志的“日志解析指纹”，匹配日志信息提取决策树二级节点，定位该日志对应的解析分支；

步骤C5、通过该日志分词数据与决策树三级节点的对应，获得对该日志数据的解析结果。

Claims (8)

1.一种复杂网络体系下异构安全日志信息的提取与分析方法，它包括：

步骤A、学习阶段：持续采集异构安全日志数据，采用分词工具对日志数据结构进行分拆，按照正则匹配对日志中指定位置的字段数据进行内容属性定义，动态构建日志信息提取决策树，该决策树信息随着新的日志结构的加入不断更新；

步骤B、缓存阶段：对学习构建的日志信息提取决策树信息在计算机内存中进行缓存，该缓存根据决策树动态学习过程实时更新；以文本形式存储于硬盘，该存储信息周期性更新；

步骤C、解析阶段：新采集日志数据，根据日志数据信息提取决策树进行解析，按照日志报送地址、日志类型、日志各位置字段逐层解析，形成规范格式的安全日志信息数据。

2.根据权利要求1所述的一种复杂网络体系下异构安全日志信息的提取与分析方法，其特征在于：它还包括：步骤D、人工优化：用户对日志信息提取决策树中的内容属性定义进行人工设置，将经过人工设置规范化后的安全日志信息存储进入数据库系统。

3.根据权利要求1所述的一种复杂网络体系下异构安全日志信息的提取与分析方法，其特征在于：步骤1所述的学习阶段，具体步骤包括：

步骤A1、通过SYSLOG协议采集一条安全日志记录，作为SYSLOG日志，通过对协议头部分解析获取该SYSLOG日志的报送设备IP，以报送设备IP作为决策树一级节点；

步骤A2、采用分词工具对SYSLOG日志中代表原始日志的MSG字段进行分词，并按顺序对分词字段进行索引；

步骤A3、对各分词字段进行正则匹配分析，获取各个分词字段的内容属性；

步骤A4、通过各分词字段属性和对应索引计算“日志解析指纹”，将日志解析指纹作为决策树的二级节点；

步骤A5、将各分词字段的索引和内容属性作为决策树的三级节点；

步骤A6、不断学习新的SYSLOG日志，动态更新决策树。

4.根据权利要求3所述的一种复杂网络体系下异构安全日志信息的提取与分析方法，其特征在于：所述计算日志解析指纹，其算法表达式为：S₀R₀-S₁R₁-S₂R₂-S₃R₃···S_nR_n

式中：S_i(i＝0,1,2,3…n,n是分词字段总个数)是各个分词字段的索引；

R_i(i＝0,1,2,3…n,n是分词字段总个数)是各个分词字段对应的内容正则解析规则。

5.根据权利要求3所述的一种复杂网络体系下异构安全日志信息的提取与分析方法，其特征在于：所述分词工具为：采用以标志切分为手段的基于字符串的分词算法，具体工具是采用开源StandardAnalyzer分词算法。

6.根据权利要求1所述的一种复杂网络体系下异构安全日志信息的提取与分析方法，其特征在于：所述日志信息提取决策树的结构是：第一层级为报送SYSLOG日志的设备IP；第二层级是日志类型的解析指纹；第三层级是第二层级日志类型的解析指纹对应的解析内容属性。

7.根据权利要求1所述的一种复杂网络体系下异构安全日志信息的提取与分析方法，其特征在于：步骤B所述的日志信息提取决策树信息在计算机内存中进行缓存，其缓存数据结构以多层HashMap嵌套的方式实现，日志信息提取决策树在硬盘的存储的文本格式以XML技术存储。

8.根据权利要求1所述的一种复杂网络体系下异构安全日志信息的提取与分析方法，其特征在于：步骤C解析阶段的具体步骤包括：

步骤C1、采集SYSLOG日志数据，解析其报送设备IP信息，匹配日志数据信息提取决策树一级节点，定位该日志数据信息对应的决策分支，如果匹配不上，则进入步骤A学习阶段；

步骤C2、采用分词工具对SYSLOG日志数据中代表原始日志的MSG字段进行分词，并按顺序对分词结果进行索引；

步骤C3、对各分词字段进行正则匹配分析，获取各个分词字段的内容属性；

步骤C4、计算获得该日志的“日志解析指纹”，匹配日志信息提取决策树二级节点，定位该日志对应的解析分支；

步骤C5、通过该日志分词数据与决策树三级节点的对应，获得对该日志数据的解析结果。