基于xml规则模型的防火墙日志自动提取与分析方法
【专利摘要】本发明涉及基于XML规则模型的防火墙日志自动提取与分析方法,该方法包括以下的步骤:一、定义XML日志分析模板,二、防火墙日志的自动提取,三、防火墙日志的分析。本发明提取出每条日志中所包含的五元组信息:时间、源IP地址、源端口、目的IP地址、目的端口;根据每类防火墙日志文件的结构特点制定XML模板,在XML模板中为防火墙日志文件中包含的每种记录类型定义特征标识,根据这些标识,对防火墙日志文件进行提取,自动识别防火墙日志中的五元组信息,并根据预先定义的安全规则,自动判断目标设备的运行状态是否正常。本发明可以自动快速提取大量防火墙日志信息,分析异常网络访问行为,为网络安全分析与管理提供依据。
【专利说明】基于XML规则模型的防火墙日志自动提取与分析方法
【技术领域】
[0001]本发明涉及一种针对信息安全领域的基于XML规则模型的防火墙安全日志自动提取方法,根据防火墙安全日志文件的结构特点采用XML语言定义规则模板,基于模板的日志分析系统进入防火墙日志信息的自动提取过程,将提取出的日志信息与对应的XML安全规则进行匹配,从而有效判断提取出的防火墙日志信息中是否反映了目标设备或系统的异常运行使用情况,于信息【技术领域】。
【背景技术】
[0002]防火墙在计算机网络安全上得到了广泛应用。防火墙都具有日志记录功能,能够记录下所有经过防火墙访问内网和外网的情况。日志的内容主要包括时间、源IP地址、源端口、目的IP地址、目的端口,统称为网络访问的五元组。对防火墙日志进行采集、管理和分析,从而发现异常网络访问行为,是网络安全管理的普遍做法。尽管防火墙日志中包含了大量有用的信息,但是这些日志只有在经过深入分析后才能够发挥作用。虽然防火墙厂家大多提供防火墙日志管理系统,但只侧重于日志的统一采集、存储、查询和统计,日志的分析能力比较弱,很难发现日志中的异常情况。通常是在发生严重安全事件的情况下采取人工观察的方式搜查日志记录,从中获取有用信息。由于防火墙每天产生大量的日志记录,日志量非常庞大,管理员关注的信息往往淹没在大量普通的信息中,采用人工方式对防火墙日志进行分析,工作量异常繁重,效率也很低。同时,防火墙日志都是记录的对某些主机、某些应用服务的访问,至于对这些主机、这些服务的访问是否正常,防火墙日志本身无法体现。而网络安全管理中需要经常针对网络访问的异常情况进行分析,需要从表面上看似正常的防火墙日志中分析挖掘出异常的行为。
[0003]现在已有一些对防火墙日志进行管理的工具,但这些工具通常只针对某种特定防火墙的日志进行管理,例如天融信日志管理系统,主要针对天融信防火墙日志进行管理,同时主要功能集中在日志采集、存储、展示和查询,而没有对异常日志的分析功能,无法从大量日志中分析异常行为的信息。由于各种防火墙日志信息没有采用统一格式,都是非结构化数据,因此为防火墙统一分析带来极大的不便。
[0004]可扩展标记语言(Extensible Markup Language, XML),用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML是标准通用标记语言(SGML)的子集,非常适合Web传输。XML提供统一的方法来描述和交换独立于应用程序或供应商的结构化数据。它能有效实现将各种非结构化日志数据转换成结构化数据,为日志的分析带来很多方便。
【发明内容】
[0005]本发明的目的在于克服防火墙日志分析技术中的不足,提出一种基于XML模板的异构防火墙日志提取与分析方法,从各种不同防火墙日志信息中,通过定义的XML日志分析模板,即可实现对多种异构防火墙日志的提取和分析,从而有效提高防火墙日志的挖掘和利用能量,为安全管理系统和网络监控分析系统提供有利的技术支持。
[0006]为了实现上述的目的,本发明采用了以下的技术方案:
[0007]基于XML规则模型的防火墙日志自动提取与分析方法,该方法包括以下的步骤:
[0008]—、定义XML日志分析模板
[0009]XML日志分析模板的定义如下:
[0010]
【权利要求】
1.基于XML规则模型的防火墙日志自动提取与分析方法,该方法包括以下的步骤:一、定义XML日志分析模板XML日志分析模板的定义如下:
【文档编号】G06F11/34GK103577307SQ201310549140
【公开日】2014年2月12日 申请日期:2013年11月7日 优先权日:2013年11月7日
【发明者】姜学峰, 李威, 李健俊, 董惠良 申请人:浙江中烟工业有限责任公司