專利名稱:關(guān)聯(lián)分析方法和系統(tǒng)及匯聚關(guān)聯(lián)引擎和分布式關(guān)聯(lián)引擎的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域,具體涉及一種關(guān)聯(lián)分析方法和系統(tǒng)及匯聚關(guān)聯(lián)引擎和分布式關(guān)聯(lián)引擎。
背景技術(shù):
隨著信息化程度不斷提高,對(duì)信息系統(tǒng)的依賴程度也隨之增加,因此,如何保障信息系統(tǒng)安全是人們都十分關(guān)注的 一個(gè)問(wèn)題。信息系統(tǒng)的安全狀況可以通過(guò)設(shè)備的日志中反映出來(lái), 一個(gè)故障現(xiàn)象或是攻擊行為,需要對(duì)數(shù)臺(tái)甚至數(shù)十臺(tái)設(shè)備的日志進(jìn)行關(guān)聯(lián)分析才能確定真正的故障原因。
基于關(guān)聯(lián)策略的關(guān)聯(lián)分析是目前比較常用的關(guān)聯(lián)分析方案。關(guān)聯(lián)策略描述了當(dāng)一個(gè)關(guān)聯(lián)規(guī)則得到滿足時(shí),就會(huì)產(chǎn)生一個(gè)需要進(jìn)行處理的關(guān)聯(lián)事件。
現(xiàn)有的基于關(guān)聯(lián)策略的關(guān)聯(lián)分析技術(shù)主要采用集中式分析,即對(duì)接收到的所有日志進(jìn)行預(yù)處理后,將預(yù)處理后的所有日志上報(bào)到統(tǒng)一的關(guān)聯(lián)分析設(shè)備,
關(guān)聯(lián)分析設(shè)備再對(duì)上報(bào)的所有日志進(jìn)行規(guī)則匹配,在日志命中匹配MJ'j之后,再判斷關(guān)聯(lián)規(guī)則是否得到滿足,若是,則關(guān)聯(lián)分析設(shè)備根據(jù)預(yù)置的關(guān)聯(lián)策略產(chǎn)生一個(gè)關(guān)聯(lián)事件。
在對(duì)現(xiàn)有技術(shù)的研究和實(shí)踐過(guò)程中,本發(fā)明的發(fā)明人發(fā)現(xiàn),現(xiàn)有技術(shù)中,關(guān)聯(lián)分析設(shè)備需要對(duì)所有的日志進(jìn)行規(guī)則匹配,導(dǎo)致關(guān)聯(lián)分析設(shè)備的處理負(fù)荷較大,降低了處理性能。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供一種關(guān)聯(lián)分析設(shè)備不需要對(duì)所有的日志進(jìn)行規(guī)則匹配的關(guān)聯(lián)分析方法和系統(tǒng)及匯聚關(guān)聯(lián)引擎和分布式關(guān)聯(lián)引擎。
本發(fā)明實(shí)施例提供了一種關(guān)聯(lián)分析方法,包括獲取用戶配置的關(guān)聯(lián)規(guī)則的所有匹配失見(jiàn)則,并為每個(gè)匹配失見(jiàn)則分配標(biāo)識(shí);將匹配規(guī)則和對(duì)應(yīng)的標(biāo)識(shí)下發(fā)給分布式關(guān)聯(lián)引擎;接收分布式關(guān)聯(lián)引擎上報(bào)的被日志命中的匹配規(guī)則的標(biāo)識(shí);若根據(jù)接收到的標(biāo)識(shí)判定關(guān)聯(lián)規(guī)則得到滿足,則根據(jù)預(yù)置的關(guān)聯(lián)策略產(chǎn)生一個(gè)特定的關(guān)聯(lián)事件。本發(fā)明實(shí)施例提供了一種關(guān)聯(lián)分析方法,包括接收并保存匯聚關(guān)聯(lián)引擎下發(fā)的匹配規(guī)則和對(duì)應(yīng)的標(biāo)識(shí);接收設(shè)備發(fā)送的日志;根據(jù)匹配規(guī)則對(duì)日志進(jìn)行規(guī)則匹配;若日志命中匹配規(guī)則,則將日志命中的匹配規(guī)則的標(biāo)識(shí)上報(bào)給匯聚關(guān)聯(lián)引擎,以便于匯聚關(guān)聯(lián)引擎根據(jù)接收到的標(biāo)識(shí)判斷關(guān)聯(lián)規(guī)則是否得到滿足。
本發(fā)明實(shí)施例提供了一種匯聚關(guān)聯(lián)引擎,包括分配模塊,用于獲取用戶配置的關(guān)聯(lián)規(guī)則的所有匹配規(guī)則,并為每個(gè)匹配規(guī)則分配標(biāo)識(shí);下發(fā)模塊,用于將匹配規(guī)則和對(duì)應(yīng)的標(biāo)識(shí)下發(fā)給分布式關(guān)聯(lián)引擎;第一接收模塊,用于接收分布式關(guān)聯(lián)引擎上報(bào)的被日志命中的匹配規(guī)則的標(biāo)識(shí);產(chǎn)生模塊,用于當(dāng)根據(jù)接收到的標(biāo)識(shí)判定關(guān)聯(lián)規(guī)則得到滿足時(shí),根據(jù)預(yù)置的關(guān)聯(lián)策略產(chǎn)生一個(gè)特定的關(guān)聯(lián)事件。
本發(fā)明實(shí)施例提供了一種分布式關(guān)聯(lián)引擎,包括接收保存模塊,用于接收并保存匯聚關(guān)聯(lián)引擎下發(fā)的匹配規(guī)則和對(duì)應(yīng)的標(biāo)識(shí);接收模塊,用于接收設(shè)備發(fā)送的日志;匹配模塊,用于根據(jù)匹配規(guī)則對(duì)日志進(jìn)行規(guī)則匹配;第一上報(bào)模塊,用于若日志命中匹配規(guī)則,則將日志命中的匹配規(guī)則的標(biāo)識(shí)上報(bào)給匯聚關(guān)聯(lián)引擎,以便于匯聚關(guān)聯(lián)引擎根據(jù)接收到的標(biāo)識(shí)判斷關(guān)聯(lián)規(guī)則是否得到滿足。
本發(fā)明實(shí)施例提供了一種關(guān)聯(lián)分析系統(tǒng),包括匯聚關(guān)聯(lián)引擎,用于獲取用戶配置的關(guān)聯(lián)規(guī)則的所有匹配規(guī)則,并為每個(gè)匹配規(guī)則分配標(biāo)識(shí);將匹配規(guī)則和對(duì)應(yīng)的標(biāo)識(shí)下發(fā)給分布式關(guān)聯(lián)引擎;接收分布式關(guān)聯(lián)引擎上報(bào)的被日志命中的匹配規(guī)則的標(biāo)識(shí);當(dāng)根據(jù)接收到的標(biāo)識(shí)判定關(guān)聯(lián)規(guī)則得到滿足時(shí),根據(jù)預(yù)置的關(guān)聯(lián)策略產(chǎn)生一個(gè)特定的關(guān)聯(lián)事件;分布式關(guān)聯(lián)引擎,用于接收并保存匯聚關(guān)聯(lián)引擎下發(fā)的匹配規(guī)則和對(duì)應(yīng)的標(biāo)識(shí);接收設(shè)備發(fā)送的日志;根據(jù)匹配規(guī)則對(duì)日志進(jìn)行規(guī)則匹配;若日志命中匹配規(guī)則,則將日志命中的匹配規(guī)則的標(biāo)識(shí)上報(bào)給匯聚關(guān)聯(lián)引擎。
從以上^支術(shù)方案可以看出,本發(fā)明實(shí)施例具有以下優(yōu)點(diǎn)本發(fā)明實(shí)施例中,匯聚關(guān)聯(lián)引擎為關(guān)聯(lián)規(guī)則的每個(gè)匹配規(guī)則分配標(biāo)識(shí),并將匹配規(guī)則和對(duì)應(yīng)的標(biāo)識(shí)下發(fā)給分布式關(guān)聯(lián)引擎;然后,匯聚關(guān)聯(lián)引擎接收分布式關(guān)聯(lián)引擎上報(bào)的被日志命中的匹配規(guī)則的標(biāo)識(shí),并根據(jù)接收到的標(biāo)識(shí)判斷關(guān)聯(lián)規(guī)則是否得到滿足,若是,則根據(jù)預(yù)置的關(guān)聯(lián)策略產(chǎn)生一個(gè)特定的關(guān)聯(lián)事件??梢?jiàn),相對(duì)現(xiàn)有技術(shù),本實(shí)施例中,關(guān)聯(lián)分析設(shè)備,即匯聚關(guān)聯(lián)引擎無(wú)需對(duì)曰志進(jìn)行規(guī)則匹配,只需根據(jù)接收到的標(biāo)識(shí)判斷關(guān)聯(lián)規(guī)則是否得到滿足,大大減小了處理負(fù)荷,提高了處理性能。
圖l是本發(fā)明實(shí)施例中關(guān)聯(lián)分析方法的一個(gè)實(shí)施例的流程圖2是本發(fā)明實(shí)施例中關(guān)聯(lián)分析方法的另 一實(shí)施例的流程圖3是本發(fā)明實(shí)施例中關(guān)聯(lián)分析方法的另 一 實(shí)施例的流程圖4是圖3所示實(shí)施例中有限自動(dòng)機(jī)的 一個(gè)狀態(tài)示意圖5是圖3所示實(shí)施例中有限自動(dòng)機(jī)的另 一狀態(tài)示意圖6是圖3所示實(shí)施例中有限自動(dòng)機(jī)的另 一狀態(tài)示意圖7是圖3所示實(shí)施例中有限自動(dòng)機(jī)的另 一狀態(tài)示意圖8是本發(fā)明實(shí)施例中匯聚關(guān)聯(lián)引擎的 一個(gè)實(shí)施例的示意圖9是本發(fā)明實(shí)施例中分布式關(guān)聯(lián)引擎的一個(gè)實(shí)施例的示意圖IO是本發(fā)明實(shí)施例中關(guān)聯(lián)分析系統(tǒng)的一個(gè)實(shí)施例的示意圖。
具體實(shí)施例方式
本發(fā)明實(shí)施例提供一種關(guān)聯(lián)分析方法和系統(tǒng)及匯聚關(guān)聯(lián)引擎和分布式關(guān)聯(lián)引擎,能夠節(jié)約網(wǎng)絡(luò)帶寬,提高處理性能。以下分別進(jìn)行詳細(xì)說(shuō)明。請(qǐng)參閱圖1,本發(fā)明實(shí)施例中關(guān)聯(lián)分析方法的一個(gè)實(shí)施例包括101、匯聚關(guān)聯(lián)引擎獲取用戶配置的關(guān)聯(lián)規(guī)則的所有匹配規(guī)則,并為每個(gè)匹配^見(jiàn)則分配標(biāo)識(shí);
用戶配置的關(guān)聯(lián)規(guī)則包括匹配規(guī)則以及匹配規(guī)則之間的邏輯關(guān)系。匯聚關(guān)聯(lián)引擎獲取用戶配置的關(guān)聯(lián)規(guī)則的所有匹配規(guī)則為現(xiàn)有技術(shù),此處不作贅述。
在為匹配規(guī)則分配標(biāo)識(shí)后,匯聚關(guān)聯(lián)引擎可用標(biāo)識(shí)的形式描述關(guān)聯(lián)規(guī)則,使描述后的關(guān)聯(lián)規(guī)則包括匹配-見(jiàn)則的標(biāo)識(shí),和匹配失見(jiàn)則的標(biāo)識(shí)之間的邏輯關(guān)系。例如,用戶配置的關(guān)聯(lián)規(guī)則為
(AORB) SEQ (CANDD),匯聚關(guān)聯(lián)引擎為匹配規(guī)則A、 B、 C和D分配的標(biāo)識(shí)分別為l.l、 1.2、 1.3和1.4,則匯聚關(guān)聯(lián)引擎可用標(biāo)識(shí)的形式描述關(guān)聯(lián)規(guī)則成
(1.1 OR 1.2) SEQ (1.3 AND 1.4)。
102、 匯聚關(guān)聯(lián)引擎將匹配規(guī)則和對(duì)應(yīng)的標(biāo)識(shí)下發(fā)給分布式關(guān)聯(lián)引擎;
在為匹配規(guī)則分配標(biāo)識(shí)后,匯聚關(guān)聯(lián)51擎將匹配規(guī)則和匹配規(guī)則的標(biāo)識(shí)下發(fā)給分布式關(guān)聯(lián)引擎。
103、 匯聚關(guān)聯(lián)引擎接收分布式關(guān)聯(lián)引擎上報(bào)的被日志命中的匹配規(guī)則的標(biāo)識(shí)5
分布式關(guān)聯(lián)引擎在接收到匯聚關(guān)聯(lián)引擎下發(fā)的匹配規(guī)則和對(duì)應(yīng)的標(biāo)識(shí)后,保存接收的匹配規(guī)則和對(duì)應(yīng)的標(biāo)識(shí),并在接收到設(shè)備發(fā)送的日志時(shí),根據(jù)保存的匹配規(guī)則對(duì)日志進(jìn)行規(guī)則匹配,若日志命中匹配規(guī)則,則分布式關(guān)聯(lián)引擎向匯聚關(guān)聯(lián)引擎發(fā)送該日志命中的匹配規(guī)則的標(biāo)識(shí)。
104、 若根據(jù)接收到的標(biāo)識(shí)判定關(guān)聯(lián)規(guī)則得到滿足,則匯聚關(guān)聯(lián)引擎根據(jù)預(yù)置的關(guān)聯(lián)策略產(chǎn)生一個(gè)特定的關(guān)聯(lián)事件。
關(guān)聯(lián)策略描述了當(dāng)一個(gè)關(guān)聯(lián)規(guī)則得到滿足時(shí),就會(huì)產(chǎn)生一個(gè)特定的關(guān)聯(lián)事件,關(guān)聯(lián)規(guī)則由多個(gè)匹配規(guī)則以及匹配規(guī)則之間的邏輯關(guān)聯(lián)關(guān)系組成,關(guān)聯(lián)事件可能是一個(gè)故障或是攻擊。例如當(dāng)滿足關(guān)聯(lián)規(guī)則
(AORB) SEQ (CANDD)
時(shí),就會(huì)產(chǎn)生關(guān)聯(lián)事件E ,也就是說(shuō),A或B這兩個(gè)日志產(chǎn)生以后,若接著產(chǎn)生了 C和D這兩個(gè)曰志,那就意味系統(tǒng)產(chǎn)生了 一個(gè)關(guān)聯(lián)事件E。
匯聚關(guān)聯(lián)引擎在接收到分布式關(guān)聯(lián)引擎發(fā)送的日志和日志命中的匹配規(guī)則的標(biāo)識(shí)后,根據(jù)所有接收到的標(biāo)識(shí)判斷關(guān)聯(lián)規(guī)則是否得到滿足。
例如,對(duì)應(yīng)于步驟102中列舉的關(guān)聯(lián)規(guī)則,當(dāng)匯聚關(guān)聯(lián)引擎依次接收到分布式關(guān)聯(lián)引擎發(fā)送的標(biāo)識(shí)分別為l丄1.3和1.4,則匯聚關(guān)聯(lián)引擎可根據(jù)這些接收到的標(biāo)識(shí)判定標(biāo)識(shí)形式的關(guān)聯(lián)規(guī)則(1.1 OR 1.2 ) SEQ ( 1.3 AND 1.4 )得到滿足,進(jìn)而判定關(guān)聯(lián)規(guī)則(AORB) SEQ (CANDD)得到滿足。此處需要說(shuō)明的是,匯聚關(guān)聯(lián)引擎可以根據(jù)關(guān)聯(lián)規(guī)則生成有限自動(dòng)機(jī),根據(jù)接收到的標(biāo)識(shí),通過(guò)有限自動(dòng)機(jī)的狀態(tài)遷移方式實(shí)現(xiàn)關(guān)聯(lián)分析,有限自動(dòng)機(jī)的遷移狀態(tài)和匹配規(guī)則的標(biāo)識(shí)對(duì)應(yīng)。匯聚關(guān)聯(lián)引擎也可以根據(jù)關(guān)聯(lián)MJ'J構(gòu)造決策樹(shù),通過(guò)決策樹(shù)的狀態(tài)遷移方式實(shí)現(xiàn)關(guān)聯(lián)分析,此為現(xiàn)有公知技術(shù),此處不作贅述。可以理解的是,匯聚關(guān)聯(lián)引擎也可以不通過(guò)有限自動(dòng)機(jī)或決策樹(shù),而直接接收到的標(biāo)識(shí)進(jìn)行關(guān)聯(lián)分析。
本實(shí)施例中,匯聚關(guān)聯(lián)引擎為關(guān)聯(lián)規(guī)則的每個(gè)匹配規(guī)則分配標(biāo)識(shí),并將匹
配規(guī)則和對(duì)應(yīng)的標(biāo)識(shí)下發(fā)給分布式關(guān)聯(lián)引擎;然后,匯聚關(guān)聯(lián)引擎接收分布式關(guān)聯(lián)引擎上報(bào)的被日志命中的匹配規(guī)則的標(biāo)識(shí),并根據(jù)接收到的標(biāo)識(shí)判斷關(guān)聯(lián)規(guī)則是否得到滿足,若是,則根據(jù)預(yù)置的關(guān)聯(lián)策略產(chǎn)生一個(gè)關(guān)聯(lián)事件??梢?jiàn),相對(duì)現(xiàn)有技術(shù),本實(shí)施例中,只有日志命中的匹配規(guī)則的標(biāo)識(shí)需要上報(bào)給匯聚關(guān)聯(lián)引擎,節(jié)約了網(wǎng)絡(luò)帶寬;且匯聚關(guān)聯(lián)引擎無(wú)需對(duì)日志進(jìn)行規(guī)則匹配,只需
根據(jù)接收到的標(biāo)識(shí)判斷關(guān)聯(lián)規(guī)則是否得到滿足,大大減小了處理負(fù)荷,提高了處理性能。
圖1所示實(shí)施例從匯聚關(guān)聯(lián)引擎的角度描述了本發(fā)明實(shí)施例中的關(guān)聯(lián)分析方法,下面從分布式關(guān)聯(lián)引擎的角度描述本發(fā)明實(shí)施例中的關(guān)聯(lián)分析方法。請(qǐng)
參閱圖2,本發(fā)明實(shí)施例中關(guān)聯(lián)分析方法的另 一 實(shí)施例包括
201、 分布式關(guān)聯(lián)引擎接收并保存匯聚關(guān)聯(lián)引擎下發(fā)的匹配規(guī)則和對(duì)應(yīng)的標(biāo)識(shí);
本實(shí)施例中,匯聚關(guān)聯(lián)引擎為關(guān)聯(lián)MJ'J的每個(gè)匹配規(guī)則分配標(biāo)識(shí),并將匹配規(guī)則和對(duì)應(yīng)的標(biāo)識(shí)下發(fā)給分布式關(guān)聯(lián)引擎。
分布式關(guān)聯(lián)引擎在4^收匹配MJ'j和對(duì)應(yīng)的標(biāo)識(shí)后,可更新匹配失見(jiàn)則庫(kù),匹配頭見(jiàn)則庫(kù)保存有匹配失見(jiàn)則和標(biāo)識(shí)的對(duì)應(yīng)關(guān)系。
202、 分布式關(guān)聯(lián)引擎接收設(shè)備發(fā)送的日志;本實(shí)施例中,由分布式關(guān)聯(lián)引擎接收設(shè)備發(fā)送的曰志。
203、 分布式關(guān)聯(lián)引擎根據(jù)匹配規(guī)則對(duì)日志進(jìn)行規(guī)則匹配;在接收設(shè)備發(fā)送的日志后,分布式關(guān)聯(lián)引擎根據(jù)保存的匹配規(guī)則對(duì)日志進(jìn)
行規(guī)則匹配,以判斷接收到的日志是否命中匹配規(guī)則。204、若日志命中匹配規(guī)則,則分布式關(guān)聯(lián)引擎將日志命中的匹配規(guī)則的
標(biāo)識(shí)上報(bào)給匯聚關(guān)聯(lián)引擎,以便于匯聚關(guān)聯(lián)引擎根據(jù)接收到的標(biāo)識(shí)判斷關(guān)聯(lián)規(guī)則是否得到滿足。
此處需要說(shuō)明的是,分布式關(guān)聯(lián)引擎在將日志命中的匹配MJ'J的標(biāo)識(shí)上才艮給匯聚關(guān)聯(lián)引擎的同時(shí),也可以將該日志上報(bào)給匯聚關(guān)聯(lián)引擎,以便于匯聚關(guān)聯(lián)引擎對(duì)命中匹配規(guī)則的日志進(jìn)行統(tǒng)計(jì)。
本實(shí)施例中,分布式關(guān)聯(lián)引擎在接收并保存匯聚關(guān)聯(lián)引擎下發(fā)的匹配規(guī)則和對(duì)應(yīng)的標(biāo)識(shí)后,根據(jù)匹配規(guī)則對(duì)設(shè)備發(fā)送的日志進(jìn)行規(guī)則匹配,若日志命中匹配規(guī)則,則分布式關(guān)聯(lián)引擎將該日志命中的匹配規(guī)則的標(biāo)識(shí)上報(bào)給匯聚關(guān)聯(lián)引擎,以便于匯聚關(guān)聯(lián)引擎根據(jù)接收到的標(biāo)識(shí)判斷關(guān)聯(lián)規(guī)則是否得到滿足??梢?jiàn),相對(duì)現(xiàn)有技術(shù),本實(shí)施例中,只有日志命中的匹配規(guī)則的標(biāo)識(shí)需要上報(bào)給匯聚關(guān)聯(lián)引擎,節(jié)約了網(wǎng)絡(luò)帶寬;且匯聚關(guān)聯(lián)引擎無(wú)需對(duì)日志進(jìn)行規(guī)則匹配,只需根據(jù)接收到的標(biāo)識(shí)判斷關(guān)聯(lián)規(guī)則是否得到滿足,大大減小了處理負(fù)荷,提高了處理性能。
為便于理解,下面以 一具體的應(yīng)用場(chǎng)景對(duì)本發(fā)明實(shí)施例中的關(guān)聯(lián)分析方法進(jìn)行詳細(xì)說(shuō)明。請(qǐng)參閱圖3,本發(fā)明實(shí)施例中關(guān)聯(lián)分析方法的另 一 實(shí)施例包括
301、 匯聚關(guān)聯(lián)引擎獲取用戶配置的關(guān)聯(lián)規(guī)則的所有匹配規(guī)則,并為每個(gè)匹配MJ'j分配標(biāo)識(shí);
例如,用戶配置的關(guān)聯(lián)規(guī)則為
(AORB) SEQ (CANDD),匯聚關(guān)聯(lián)引擎為匹配規(guī)則A、 B、 C和D分配的標(biāo)識(shí)分別為l.l、 1.2、 1.3和1.4,則匯聚關(guān)聯(lián)引擎可用標(biāo)識(shí)的形式描述關(guān)聯(lián)規(guī)則成(1.1 OR 1.2) SEQ (1.3 AND 1.4)。
302、 匯聚關(guān)聯(lián)引擎根據(jù)關(guān)聯(lián)規(guī)則生成有限自動(dòng)機(jī),并將有限自動(dòng)機(jī)設(shè)置為初始狀態(tài),有限自動(dòng)機(jī)的遷移狀態(tài)和匹配規(guī)則的標(biāo)識(shí)對(duì)應(yīng);
對(duì)應(yīng)于步驟301中列舉的關(guān)聯(lián)規(guī)則,匯聚關(guān)聯(lián)引擎根據(jù)關(guān)聯(lián)規(guī)則生成的有限自動(dòng)機(jī)請(qǐng)參閱圖4。
303、 匯聚關(guān)聯(lián)引擎將匹配規(guī)則和對(duì)應(yīng)的標(biāo)識(shí)下發(fā)給分布式關(guān)聯(lián)引擎;對(duì)應(yīng)于步驟301中列舉的關(guān)聯(lián)規(guī)則,匯聚關(guān)聯(lián)引擎將表l的匹配規(guī)則和對(duì)應(yīng)
的標(biāo)識(shí)下發(fā)給分布式關(guān)聯(lián)引擎
匹配失見(jiàn)則標(biāo)識(shí)
A1.1
B1.2
C1.3
D1.4
表l
304、 分布式關(guān)聯(lián)引擎接收并保存匯聚關(guān)聯(lián)引擎下發(fā)的匹配規(guī)則和對(duì)應(yīng)的標(biāo)識(shí);
分布式關(guān)聯(lián)引擎可將接收的匹配規(guī)則和對(duì)應(yīng)的標(biāo)識(shí)保存于匹配規(guī)則庫(kù)中,匹配規(guī)則庫(kù)保存了匹配規(guī)則和標(biāo)識(shí)的對(duì)應(yīng)關(guān)系。分布式關(guān)聯(lián)引擎需根據(jù)接收的匹配失見(jiàn)則和對(duì)應(yīng)的標(biāo)識(shí)更新匹配關(guān)見(jiàn)則庫(kù)。
305、 分布式關(guān)聯(lián)引擎接收設(shè)備發(fā)送的日志;
306、 分布式關(guān)聯(lián)引擎根據(jù)匹配規(guī)則對(duì)日志進(jìn)行規(guī)則匹配;
307、 分布式關(guān)聯(lián)引擎則將日志命中的匹配規(guī)則的標(biāo)識(shí)、以及該日志上報(bào)給匯聚關(guān)聯(lián)引擎;
本實(shí)施例中,分布式關(guān)聯(lián)引擎將命中匹配規(guī)則的日志也上報(bào)給匯聚關(guān)聯(lián)引擎,以便于匯聚關(guān)聯(lián)引擎對(duì)命中匹配規(guī)則的日志進(jìn)行統(tǒng)計(jì)。
308、 匯聚關(guān)聯(lián)引擎判斷接收到的標(biāo)識(shí)是否能夠觸發(fā)有限自動(dòng)機(jī)狀態(tài)遷移,若是,則執(zhí)行步驟309,否則執(zhí)行步驟311;
309、 匯聚關(guān)聯(lián)引擎更新有限自動(dòng)機(jī)的狀態(tài);
匯聚關(guān)聯(lián)引擎若判定接收到的標(biāo)識(shí)能夠觸發(fā)有限自動(dòng)機(jī)狀態(tài)遷移,則匯聚關(guān)聯(lián)引擎根據(jù)該接收到的標(biāo)識(shí)更新有限自動(dòng)機(jī)的狀態(tài),否則保持有限自動(dòng)機(jī)的狀態(tài)不變。
310、 若有限自動(dòng)機(jī)更新后的狀態(tài)為結(jié)束狀態(tài),則匯聚關(guān)聯(lián)引擎判定關(guān)聯(lián)規(guī)則得到滿足,并根據(jù)預(yù)置的關(guān)聯(lián)策略產(chǎn)生一個(gè)特定的關(guān)聯(lián)事件;匯聚關(guān)聯(lián)引擎更新有限自動(dòng)機(jī)的狀態(tài)后,若判定有限自動(dòng)機(jī)更新后的狀態(tài)為結(jié)束狀態(tài),則確定關(guān)聯(lián)規(guī)則得到滿足,并根據(jù)預(yù)置的關(guān)聯(lián)策略產(chǎn)生一個(gè)特定的關(guān)聯(lián)事件,該關(guān)聯(lián)策略描述了該關(guān)聯(lián)規(guī)則得到滿足時(shí),就會(huì)產(chǎn)生該特定的關(guān)聯(lián)事件。
若有限自動(dòng)機(jī)更新后的狀態(tài)不是結(jié)束狀態(tài),則匯聚關(guān)聯(lián)引擎結(jié)束本次操作。
下面,對(duì)應(yīng)于步驟301中列舉的關(guān)聯(lián)規(guī)則,假設(shè)匯聚關(guān)聯(lián)引擎依次接收到匹配規(guī)則的標(biāo)識(shí)1.4、 1.1、 1.3、 1.3和1.4,對(duì)步驟308至步驟310進(jìn)行詳細(xì)說(shuō)明
(1 )匯聚關(guān)聯(lián)引擎接收到標(biāo)識(shí)1.4,判定標(biāo)識(shí)1.4不能夠觸發(fā)有限自動(dòng)機(jī)的狀態(tài)遷移,故有限自動(dòng)機(jī)的狀態(tài)圖同于圖4。
(2 )匯聚關(guān)聯(lián)引擎接收到標(biāo)識(shí)l.l,判定標(biāo)識(shí)l.l能夠觸發(fā)有限自動(dòng)機(jī)的狀態(tài)遷移,更新有限自動(dòng)機(jī)的狀態(tài),并判定有限自動(dòng)機(jī)更新后的狀態(tài)不是結(jié)束狀態(tài),結(jié)束本次操作,此時(shí)有限自動(dòng)機(jī)的狀態(tài)如圖5所示。
(3 )匯聚關(guān)聯(lián)引擎接收到標(biāo)識(shí)1.3,判定標(biāo)識(shí)1.3能夠觸發(fā)有限自動(dòng)機(jī)的狀態(tài)遷移,更新有限自動(dòng)機(jī)的狀態(tài),并判定有限自動(dòng)機(jī)更新后的狀態(tài)不是結(jié)束狀態(tài),結(jié)束本次操作,此時(shí)有限自動(dòng)機(jī)的狀態(tài)如圖6所示。
(4)匯聚關(guān)聯(lián)引擎接收到標(biāo)識(shí)1.3,判定標(biāo)識(shí)1.3不能夠觸發(fā)有限自動(dòng)機(jī)的狀態(tài)遷移,此時(shí)有限自動(dòng)機(jī)的狀態(tài)圖同于圖6。
(5 )匯聚關(guān)聯(lián)引擎接收到標(biāo)識(shí)1.4,判定標(biāo)識(shí)1.4能夠觸發(fā)有限自動(dòng)機(jī)的狀態(tài)遷移,更新有限自動(dòng)機(jī)的狀態(tài),并判定有限自動(dòng)機(jī)更新后的狀態(tài)是結(jié)束狀態(tài),結(jié)束本次操作,此時(shí)有限自動(dòng)機(jī)的狀態(tài)如圖7所示。
311 、匯聚關(guān)聯(lián)引擎丟棄不能夠觸發(fā)有跟自動(dòng)機(jī)狀態(tài)遷移的分布式關(guān)聯(lián)引擎上報(bào)的標(biāo)識(shí),和命中該標(biāo)識(shí)所對(duì)應(yīng)的匹配*見(jiàn)則的日志。
若在步驟308中判定分布式關(guān)聯(lián)引擎上報(bào)的標(biāo)識(shí)不能夠觸發(fā)有限自動(dòng)機(jī)狀態(tài)遷移,則匯聚關(guān)聯(lián)引擎可以丟棄該標(biāo)識(shí)和命中該標(biāo)識(shí)對(duì)應(yīng)的匹配規(guī)則的曰志,以減小存儲(chǔ)開(kāi)銷,并避免對(duì)該日志進(jìn)行統(tǒng)計(jì)。
本實(shí)施例中,匯聚關(guān)聯(lián)引擎根據(jù)關(guān)聯(lián)規(guī)則生成有限自動(dòng)機(jī),通過(guò)有限自動(dòng)機(jī)的狀態(tài)遷移方式實(shí)現(xiàn)關(guān)聯(lián)分析。此處需要說(shuō)明的是,匯聚關(guān)聯(lián)引擎也可以根據(jù)關(guān)聯(lián)規(guī)則構(gòu)造決策樹(shù),通過(guò)決策樹(shù)的狀態(tài)遷移方式實(shí)現(xiàn)關(guān)聯(lián)分析,此為現(xiàn)有公知技術(shù),此處不作贅述??梢岳斫獾氖牵瑓R聚關(guān)聯(lián)引擎也可以不通過(guò)有限自動(dòng)機(jī)或決策樹(shù),而直接對(duì)分布式關(guān)聯(lián)引擎上報(bào)的標(biāo)識(shí)進(jìn)行關(guān)聯(lián)分析。
本實(shí)施例中,匯聚關(guān)聯(lián)引擎為關(guān)聯(lián)規(guī)則的每個(gè)匹配規(guī)則分配標(biāo)識(shí),并將匹
配規(guī)則和對(duì)應(yīng)的標(biāo)識(shí)下發(fā)給分布式關(guān)聯(lián)引擎;然后,匯聚關(guān)聯(lián)引擎接收分布式關(guān)聯(lián)引擎上報(bào)的被日志命中的匹配規(guī)則的標(biāo)識(shí)和該日志,并根據(jù)接收到的標(biāo)識(shí)判斷關(guān)聯(lián)MJ'J是否得到滿足,若是,則根據(jù)預(yù)置的關(guān)聯(lián)策略產(chǎn)生一個(gè)關(guān)聯(lián)事件??梢?jiàn),相對(duì)現(xiàn)有技術(shù),本實(shí)施例中,只有命中匹配規(guī)則的日志和該日志命中的匹配規(guī)則的標(biāo)識(shí)需要上報(bào)給匯聚關(guān)聯(lián)引擎,節(jié)約了網(wǎng)絡(luò)帶寬;且匯聚關(guān)聯(lián)引擎無(wú)需再對(duì)日志進(jìn)行規(guī)則匹配,只需根據(jù)接收到的標(biāo)識(shí)判斷關(guān)聯(lián)規(guī)則是否得到滿足,大大減小了處理負(fù)荷,提高了處理性能。
下面對(duì)本發(fā)明實(shí)施例中的匯聚關(guān)聯(lián)引擎進(jìn)行詳細(xì)說(shuō)明,請(qǐng)參閱圖8,本發(fā)明實(shí)施例中匯聚關(guān)聯(lián)引擎的一個(gè)實(shí)施例包括
分配模塊801,用于獲取用戶配置的關(guān)聯(lián)規(guī)則的所有匹配規(guī)則,并為每個(gè)匹配失見(jiàn)則分配標(biāo)識(shí);
下發(fā)模塊802,用于將匹配規(guī)則和對(duì)應(yīng)的標(biāo)識(shí)下發(fā)給分布式關(guān)聯(lián)引擎;
第一接收模塊803,用于接收分布式關(guān)聯(lián)引擎上報(bào)的被日志命中的匹配規(guī)則的標(biāo)識(shí);
產(chǎn)生模塊804,用于當(dāng)根據(jù)接收到的標(biāo)識(shí)判定關(guān)聯(lián)規(guī)則得到滿足時(shí),根據(jù)預(yù)置的關(guān)聯(lián)策略產(chǎn)生一個(gè)特定的關(guān)聯(lián)事件。
此處需要說(shuō)明的是,匯聚關(guān)聯(lián)引擎可以根據(jù)關(guān)聯(lián)規(guī)則生成有限自動(dòng)機(jī),根據(jù)接收到的標(biāo)識(shí),通過(guò)有限自動(dòng)機(jī)的狀態(tài)遷移方式實(shí)現(xiàn)關(guān)聯(lián)分析,有限自動(dòng)機(jī)的遷移狀態(tài)和匹配^L則的標(biāo)識(shí)義十應(yīng)。
當(dāng)匯聚關(guān)聯(lián)引擎采用有限自動(dòng)機(jī)實(shí)現(xiàn)關(guān)聯(lián)分析時(shí),匯聚關(guān)聯(lián)引擎還包括生成模塊,用于在分配模塊801執(zhí)行相關(guān)操作之后,根據(jù)關(guān)聯(lián)MJ'J生成有限自動(dòng)機(jī),并將有限自動(dòng)機(jī)設(shè)置為初始狀態(tài),有限自動(dòng)機(jī)的遷移狀態(tài)和匹配規(guī)則的標(biāo)識(shí)對(duì)應(yīng);并且,
13產(chǎn)生模塊804用于判斷接收到的標(biāo)識(shí)是否能夠觸發(fā)有限自動(dòng)機(jī)狀態(tài)遷移,若是,則更新有限自動(dòng)機(jī)的狀態(tài),若有限自動(dòng)機(jī)更新后的狀態(tài)為結(jié)束狀態(tài),則確定關(guān)聯(lián)規(guī)則得到滿足,并根據(jù)預(yù)置的關(guān)聯(lián)策略產(chǎn)生一個(gè)特定的關(guān)聯(lián)事件。
此外需要說(shuō)明的是,分布式關(guān)聯(lián)引擎在將日志命中的匹配規(guī)則的標(biāo)識(shí)上報(bào)給匯聚關(guān)聯(lián)引擎的同時(shí),也可以將該日志上報(bào)給匯聚關(guān)聯(lián)引擎,以便于匯聚關(guān)聯(lián)引擎對(duì)命中匹配規(guī)則的日志進(jìn)行統(tǒng)計(jì);此時(shí),匯聚關(guān)聯(lián)引擎還包括
第二接收模塊,用于接收分布式關(guān)聯(lián)引擎上報(bào)的命中匹配規(guī)則的日志。
當(dāng)匯聚關(guān)聯(lián)引擎采用有限自動(dòng)機(jī)實(shí)現(xiàn)關(guān)聯(lián)分析時(shí),匯聚關(guān)聯(lián)引擎還可以包括丟棄模塊,用于當(dāng)產(chǎn)生模塊804判定從分布式關(guān)聯(lián)引擎接收到的標(biāo)識(shí)不能夠觸發(fā)有限自動(dòng)機(jī)狀態(tài)遷移時(shí),丟棄該標(biāo)識(shí)和命中該標(biāo)識(shí)對(duì)應(yīng)的匹配規(guī)則的曰志,以減小存々者開(kāi)銷,并避免對(duì)該日志進(jìn)行統(tǒng)計(jì)。
本實(shí)施例的匯聚關(guān)聯(lián)引擎中,分配模塊801為關(guān)聯(lián)規(guī)則的每個(gè)匹配規(guī)則分配標(biāo)識(shí),下發(fā)模塊802將匹配規(guī)則和對(duì)應(yīng)的標(biāo)識(shí)下發(fā)給分布式關(guān)聯(lián)引擎;第一接收模塊803接收分布式關(guān)聯(lián)引擎上報(bào)的被日志命中的匹配規(guī)則的標(biāo)識(shí),當(dāng)根據(jù)接收到的標(biāo)識(shí)判定關(guān)聯(lián)規(guī)則得到滿足時(shí),產(chǎn)生模塊804根據(jù)預(yù)置的關(guān)聯(lián)策略產(chǎn)生一個(gè)特地的關(guān)聯(lián)事件??梢?jiàn),相對(duì)現(xiàn)有技術(shù),本實(shí)施例中,只有日志命中的匹配規(guī)則的標(biāo)識(shí)需要上報(bào)給匯聚關(guān)聯(lián)引擎,節(jié)約了網(wǎng)絡(luò)帶寬;且匯聚關(guān)聯(lián)引擎無(wú)需對(duì)日志進(jìn)行規(guī)則匹配,只需根據(jù)接收到的標(biāo)識(shí)判斷關(guān)聯(lián)規(guī)則是否得到滿足,大大減小了處理負(fù)荷,提高了處理性能。
下面對(duì)本發(fā)明實(shí)施例中的分布式關(guān)聯(lián)引擎進(jìn)行詳細(xì)說(shuō)明,請(qǐng)參閱圖9,本發(fā)明實(shí)施例中分布式關(guān)聯(lián)引擎的一個(gè)實(shí)施例包括
接收保存模塊901,用于接收并保存匯聚關(guān)聯(lián)引擎下發(fā)的匹配規(guī)則和對(duì)應(yīng)的標(biāo)識(shí);
接收模塊902,用于接收設(shè)備發(fā)送的日志;
匹配模塊903,用于根據(jù)匹配規(guī)則對(duì)日志進(jìn)行規(guī)則匹配;
第 一上報(bào)模塊904,用于若日志命中匹配規(guī)則,則將日志命中的匹配規(guī)則
的標(biāo)識(shí)上報(bào)給匯聚關(guān)聯(lián)引擎,以便于匯聚關(guān)聯(lián)引擎根據(jù)接收到的標(biāo)識(shí)判斷關(guān)聯(lián)
規(guī)則是否得到滿足。進(jìn)一步地,本實(shí)施例還可以包括第二上報(bào)模塊,用于將命中匹配規(guī)則的
曰志上報(bào)給匯聚關(guān)聯(lián)引擎,以便于匯聚關(guān)聯(lián)引擎對(duì)命中匹配規(guī)則的日志進(jìn)行統(tǒng)計(jì)。
本實(shí)施例中,接收保存模塊901接收并保存匯聚關(guān)聯(lián)引擎下發(fā)的匹配MJ'J和對(duì)應(yīng)的標(biāo)識(shí)后,匹配模塊903根據(jù)匹配規(guī)則對(duì)接收模塊902接收的日志進(jìn)行頭見(jiàn)則匹配,若日志命中匹配規(guī)則,則第 一上報(bào)模塊904將該日志命中的匹配規(guī)則的標(biāo)識(shí)上報(bào)給匯聚關(guān)聯(lián)引擎,以便于匯聚關(guān)聯(lián)引擎根據(jù)接收到的標(biāo)識(shí)判斷關(guān)聯(lián)規(guī)則是否得到滿足??梢?jiàn),相對(duì)現(xiàn)有技術(shù),本實(shí)施例中,只有日志命中的匹配規(guī)則的標(biāo)識(shí)需要上報(bào)給匯聚關(guān)聯(lián)引擎,節(jié)約了網(wǎng)絡(luò)帶寬;且匯聚關(guān)聯(lián)引擎無(wú)需再對(duì)日志進(jìn)行規(guī)則匹配,只需根據(jù)接收到的標(biāo)識(shí)判斷關(guān)聯(lián)規(guī)則是否得到滿足,大大減小了處理負(fù)荷,提高了處理性能。
下面對(duì)本發(fā)明實(shí)施例中的關(guān)聯(lián)分析系統(tǒng)進(jìn)行詳細(xì)說(shuō)明,請(qǐng)參閱圖IO,本發(fā)明實(shí)施例中關(guān)聯(lián)分析系統(tǒng)的 一個(gè)實(shí)施例包括
匯聚關(guān)聯(lián)引擎IOOI,用于獲取用戶配置的關(guān)聯(lián)規(guī)則的所有匹配規(guī)則,并為每個(gè)匹配規(guī)則分配標(biāo)識(shí);將匹配規(guī)則和對(duì)應(yīng)的標(biāo)識(shí)下發(fā)給分布式關(guān)聯(lián)引擎;接收分布式關(guān)聯(lián)引擎上報(bào)的被日志命中的匹配規(guī)則的標(biāo)識(shí);當(dāng)根據(jù)接收到的標(biāo)識(shí)判定關(guān)聯(lián)規(guī)則得到滿足時(shí),根據(jù)預(yù)置的關(guān)聯(lián)策略產(chǎn)生一個(gè)特定的關(guān)聯(lián)事件;
分布式關(guān)聯(lián)引擎1002,用于接收并保存匯聚關(guān)聯(lián)引擎下發(fā)的匹配規(guī)則和對(duì)應(yīng)的標(biāo)識(shí);接收設(shè)備發(fā)送的日志;根據(jù)匹配規(guī)則對(duì)日志進(jìn)行規(guī)則匹配;若日志命中匹配規(guī)則,則將日志命中的匹配規(guī)則的標(biāo)識(shí)上報(bào)給匯聚關(guān)聯(lián)引擎。
本實(shí)施例中,匯聚關(guān)聯(lián)引擎為關(guān)聯(lián)規(guī)則的每個(gè)匹配規(guī)則分配標(biāo)識(shí),并將匹配規(guī)則和對(duì)應(yīng)的標(biāo)識(shí)下發(fā)給分布式關(guān)聯(lián)引擎;然后,匯聚關(guān)聯(lián)引擎接收分布式關(guān)聯(lián)引擎上報(bào)的被日志命中的匹配規(guī)則的標(biāo)識(shí),并根據(jù)接收到的標(biāo)識(shí)判斷關(guān)聯(lián)規(guī)則是否得到滿足,若是,則根據(jù)預(yù)置的關(guān)聯(lián)策略產(chǎn)生一個(gè)特定的關(guān)聯(lián)事件??梢?jiàn),相對(duì)現(xiàn)有技術(shù),本實(shí)施例中,只有日志命中的匹配規(guī)則的標(biāo)識(shí)需要上報(bào)給匯聚關(guān)聯(lián)引擎,節(jié)約了網(wǎng)絡(luò)帶寬;且匯聚關(guān)聯(lián)引擎無(wú)需再對(duì)日志進(jìn)行規(guī)則匹酉己,只需根據(jù)接收到的標(biāo)識(shí)判斷關(guān)聯(lián)規(guī)則是否得到滿足,大大減小了處理負(fù)荷,提高了處理性能。
本領(lǐng)域普通技術(shù)人員可以理解上述實(shí)施例的各種方法中的全部或部分步驟是可以通過(guò)程序來(lái)指令相關(guān)的硬件來(lái)完成,該程序可以存儲(chǔ)于 一計(jì)算機(jī)可讀
存儲(chǔ)介質(zhì)中,存儲(chǔ)介質(zhì)可以包括只讀內(nèi)存(ROM, Read-Only Memory)、隨機(jī)存耳又存儲(chǔ)器(RAM, Random Access Memory )、磁盤(pán)或光盤(pán)等。
以上對(duì)本發(fā)明實(shí)施例所提供的關(guān)聯(lián)分析方法和系統(tǒng)及匯聚關(guān)聯(lián)引擎和分布式關(guān)聯(lián)引擎進(jìn)行了詳細(xì)介紹,本文中應(yīng)用了具體個(gè)例對(duì)本發(fā)明的原理及實(shí)施方式進(jìn)行了闡述,以上實(shí)施例的說(shuō)明只是用于幫助理解本發(fā)明的方法及其核心思想;同時(shí),對(duì)于本領(lǐng)域的一般技術(shù)人員,依據(jù)本發(fā)明的思想,在具體實(shí)施方式
及應(yīng)用范圍上均會(huì)有改變之處,綜上所述,本說(shuō)明書(shū)內(nèi)容不應(yīng)理解為對(duì)本發(fā)明的限制。
權(quán)利要求
1、一種關(guān)聯(lián)分析方法,其特征在于,包括獲取用戶配置的關(guān)聯(lián)規(guī)則的所有匹配規(guī)則,并為每個(gè)匹配規(guī)則分配標(biāo)識(shí);將所述匹配規(guī)則和對(duì)應(yīng)的標(biāo)識(shí)下發(fā)給分布式關(guān)聯(lián)引擎;接收分布式關(guān)聯(lián)引擎上報(bào)的被日志命中的匹配規(guī)則的標(biāo)識(shí);若根據(jù)接收到的標(biāo)識(shí)判定所述關(guān)聯(lián)規(guī)則得到滿足,則根據(jù)預(yù)置的關(guān)聯(lián)策略產(chǎn)生一個(gè)特定的關(guān)聯(lián)事件。
2、 根據(jù)權(quán)利要求l所述的關(guān)聯(lián)分析方法,其特征在于,在所述為每個(gè)匹配 規(guī)則分配標(biāo)識(shí)之后還包括根據(jù)所述關(guān)聯(lián)規(guī)則生成有限自動(dòng)機(jī),并將所述有限 自動(dòng)機(jī)設(shè)置為初始狀態(tài),所述有限自動(dòng)4兒的遷移狀態(tài)和匹配規(guī)則的標(biāo)識(shí)對(duì)應(yīng);所述若根據(jù)接收到的標(biāo)識(shí)判定所述關(guān)聯(lián)規(guī)則得到滿足,則根據(jù)預(yù)置的關(guān)聯(lián) 策略產(chǎn)生一個(gè)特定的關(guān)聯(lián)事件包括判斷接收到的標(biāo)識(shí)是否能夠觸發(fā)所述有限自動(dòng)機(jī)狀態(tài)遷移; 若是,則更新所述有限自動(dòng)機(jī)的狀態(tài);若所述有限自動(dòng)機(jī)更新后的狀態(tài)為結(jié)束狀態(tài),則判定所述關(guān)聯(lián)規(guī)則得到滿 足,根據(jù)預(yù)置的關(guān)聯(lián)策略產(chǎn)生一個(gè)特定的關(guān)聯(lián)事件。
3、 根據(jù)權(quán)利要求2所述的關(guān)聯(lián)分析方法,其特征在于,若判定接收到的標(biāo) 識(shí)不能夠觸發(fā)所述有限自動(dòng)機(jī)狀態(tài)遷移,則丟棄該接收到的標(biāo)識(shí)。
4、 一種關(guān)聯(lián)分析方法,其特征在于,包括 接收并保存匯聚關(guān)聯(lián)引擎下發(fā)的匹配規(guī)則和對(duì)應(yīng)的標(biāo)識(shí); 接收設(shè)備發(fā)送的日志;根據(jù)所述匹配規(guī)則對(duì)日志進(jìn)行規(guī)則匹配;若所述日志命中匹配規(guī)則,則將所述日志命中的匹配規(guī)則的標(biāo)識(shí)上報(bào)給匯聚關(guān)聯(lián)引擎,以便于匯聚關(guān)聯(lián)引擎根據(jù)接收到的標(biāo)識(shí)判斷關(guān)聯(lián)規(guī)則是否得到滿 足。
5、 根據(jù)權(quán)利要求4所述的關(guān)聯(lián)分析方法,其特征在于,所述方法還包括 將命中所述匹配規(guī)則的日志上報(bào)給匯聚關(guān)聯(lián)引擎。
6、 根據(jù)權(quán)利要求4所述的關(guān)聯(lián)分析方法,其特征在于,所述方法還包括 在所述"t妻收并保存匯聚關(guān)聯(lián)引擎下發(fā)的匹配MJ'J和對(duì)應(yīng)的標(biāo)識(shí)后,更新匹配規(guī)則庫(kù),所述匹配*見(jiàn)則庫(kù)保存有匹配^L則和標(biāo)識(shí)的對(duì)應(yīng)關(guān)系。
7、 一種匯聚關(guān)聯(lián)引擎,其特征在于,包括分配模塊,用于獲取用戶配置的關(guān)聯(lián)規(guī)則的所有匹配規(guī)則,并為每個(gè)匹配 MJ'j分配標(biāo)識(shí);下發(fā)模塊,用于將所述匹配規(guī)則和對(duì)應(yīng)的標(biāo)識(shí)下發(fā)給分布式關(guān)聯(lián)引擎; 第一接收模塊,用于接收分布式關(guān)聯(lián)引擎上報(bào)的被日志命中的匹配規(guī)則的 標(biāo)識(shí);產(chǎn)生模塊,用于當(dāng)根據(jù)接收到的標(biāo)識(shí)判定所述關(guān)聯(lián)規(guī)則得到滿足時(shí),根據(jù) 預(yù)置的關(guān)聯(lián)策略產(chǎn)生一個(gè)特定的關(guān)聯(lián)事件。
8、 根據(jù)權(quán)利要求7所述的匯聚關(guān)聯(lián)引擎,其特征在于,所述匯聚關(guān)聯(lián)引擎 還包括生成模塊,用于在分配模塊執(zhí)行相關(guān)操作之后,根據(jù)所述關(guān)聯(lián)規(guī)則生 成有限自動(dòng)機(jī),并將所述有限自動(dòng)機(jī)設(shè)置為初始狀態(tài),所述有限自動(dòng)機(jī)的遷移 狀態(tài)和匹配MJ'j的標(biāo)識(shí)對(duì)應(yīng);產(chǎn)生模塊具體用于判斷接收到的標(biāo)識(shí)是否能夠觸發(fā)所述有限自動(dòng)機(jī)狀態(tài) 遷移,若是,則更新所述有限自動(dòng)機(jī)的狀態(tài),若所述有限自動(dòng)機(jī)更新后的狀態(tài) 為結(jié)束狀態(tài),則確定所述關(guān)聯(lián)規(guī)則得到滿足,根據(jù)預(yù)置的關(guān)聯(lián)策略產(chǎn)生一個(gè)特 定的關(guān)聯(lián)事件。
9、 根據(jù)權(quán)利要求7所述的匯聚關(guān)聯(lián)引擎,其特征在于,所述匯聚關(guān)聯(lián)引擎 還包括第二接收模塊,用于接收分布式關(guān)聯(lián)引擎上報(bào)的命中匹配規(guī)則的日志。
10、根據(jù)權(quán)利要求9所述的匯聚關(guān)聯(lián)引擎,其特征在于,所述匯聚關(guān)聯(lián)引 擎還包括丟棄模塊,用于當(dāng)產(chǎn)生模塊判定接收到的標(biāo)識(shí)不能夠觸發(fā)所述有限自動(dòng)機(jī) 狀態(tài)遷移時(shí),丟棄該標(biāo)識(shí)和命中該標(biāo)識(shí)所對(duì)應(yīng)的匹配MJ'J的日志。
11、 一種分布式關(guān)聯(lián)引擎,其特征在于,包括接收保存模塊,用于接收并保存匯聚關(guān)聯(lián)引擎下發(fā)的匹配規(guī)則和對(duì)應(yīng)的標(biāo)識(shí);接收模塊,用于接收設(shè)備發(fā)送的日志;匹配模塊,用于根據(jù)所述匹配規(guī)則對(duì)日志進(jìn)行規(guī)則匹配;第一上報(bào)模塊,用于若所述日志命中匹配規(guī)則,則將所述日志命中的匹配 規(guī)則的標(biāo)識(shí)上報(bào)給匯聚關(guān)聯(lián)引擎,以便于匯聚關(guān)聯(lián)引擎根據(jù)接收到的標(biāo)識(shí)判斷 關(guān)聯(lián)規(guī)則是否得到滿足。
12、 根據(jù)權(quán)利要求ll所述的分布式關(guān)聯(lián)引擎,其特征在于,所述引擎還包括第二上報(bào)模塊,用于將命中所述匹配規(guī)則的日志上報(bào)給匯聚關(guān)聯(lián)引擎。
13、 一種關(guān)聯(lián)分析系統(tǒng),其特征在于,包括匯聚關(guān)聯(lián)引擎,用于獲取用戶配置的關(guān)聯(lián)規(guī)則的所有匹配規(guī)則,并為每個(gè) 匹配規(guī)則分配標(biāo)識(shí);將所述匹配規(guī)則和對(duì)應(yīng)的標(biāo)識(shí)下發(fā)給分布式關(guān)聯(lián)引擎;接 收分布式關(guān)聯(lián)引擎上報(bào)的被日志命中的匹配規(guī)則的標(biāo)識(shí);當(dāng)根據(jù)接收到的標(biāo)識(shí) 判定所述關(guān)聯(lián)規(guī)則得到滿足時(shí),根據(jù)預(yù)置的關(guān)聯(lián)策略產(chǎn)生一個(gè)特定的關(guān)聯(lián)事 件;分布式關(guān)聯(lián)引擎,用于接收并保存匯聚關(guān)聯(lián)引擎下發(fā)的匹配規(guī)則和對(duì)應(yīng)的 標(biāo)識(shí);接收設(shè)備發(fā)送的日志;根據(jù)所述匹配規(guī)則對(duì)日志進(jìn)行規(guī)則匹配;若所述 日志命中匹配規(guī)則,則將所述日志命中的匹配規(guī)則的標(biāo)識(shí)上報(bào)給匯聚關(guān)聯(lián)引擎。
全文摘要
本發(fā)明實(shí)施例公開(kāi)了一種關(guān)聯(lián)分析方法,包括獲取用戶配置的關(guān)聯(lián)規(guī)則所有匹配規(guī)則,并為每個(gè)匹配規(guī)則分配標(biāo)識(shí);將匹配規(guī)則和對(duì)應(yīng)的標(biāo)識(shí)下發(fā)給分布式關(guān)聯(lián)引擎;接收分布式關(guān)聯(lián)引擎上報(bào)的被日志命中的匹配規(guī)則的標(biāo)識(shí);若根據(jù)接收到的標(biāo)識(shí)判定關(guān)聯(lián)規(guī)則得到滿足,則根據(jù)預(yù)置的關(guān)聯(lián)策略產(chǎn)生一個(gè)特定的關(guān)聯(lián)事件。本發(fā)明實(shí)施例還提供相應(yīng)的設(shè)備與系統(tǒng)。本發(fā)明實(shí)施例能夠提高處理性能。
文檔編號(hào)H04L12/24GK101673292SQ20091018082
公開(kāi)日2010年3月17日 申請(qǐng)日期2009年10月15日 優(yōu)先權(quán)日2009年10月15日
發(fā)明者張錁斌 申請(qǐng)人:成都市華為賽門(mén)鐵克科技有限公司