关联分析方法和系统及汇聚关联引擎和分布式关联引擎的制作方法

专利名称：关联分析方法和系统及汇聚关联引擎和分布式关联引擎的制作方法
技术领域：
本发明涉及通信技术领域，具体涉及一种关联分析方法和系统及汇聚关联引擎和分布式关联引擎。
背景技术：
随着信息化程度不断提高，对信息系统的依赖程度也随之增加，因此，如何保障信息系统安全是人们都十分关注的 一个问题。信息系统的安全状况可以通过设备的日志中反映出来， 一个故障现象或是攻击行为，需要对数台甚至数十台设备的日志进行关联分析才能确定真正的故障原因。
基于关联策略的关联分析是目前比较常用的关联分析方案。关联策略描述了当一个关联规则得到满足时，就会产生一个需要进行处理的关联事件。
现有的基于关联策略的关联分析技术主要采用集中式分析，即对接收到的所有日志进行预处理后，将预处理后的所有日志上报到统一的关联分析设备，
关联分析设备再对上报的所有日志进行规则匹配，在日志命中匹配MJ'j之后，再判断关联规则是否得到满足，若是，则关联分析设备根据预置的关联策略产生一个关联事件。
在对现有技术的研究和实践过程中，本发明的发明人发现，现有技术中，关联分析设备需要对所有的日志进行规则匹配，导致关联分析设备的处理负荷较大，降低了处理性能。

发明内容
本发明实施例提供一种关联分析设备不需要对所有的日志进行规则匹配的关联分析方法和系统及汇聚关联引擎和分布式关联引擎。
本发明实施例提供了一种关联分析方法，包括获取用户配置的关联规则的所有匹配失见则，并为每个匹配失见则分配标识；将匹配规则和对应的标识下发给分布式关联引擎；接收分布式关联引擎上报的被日志命中的匹配规则的标识；若根据接收到的标识判定关联规则得到满足，则根据预置的关联策略产生一个特定的关联事件。本发明实施例提供了一种关联分析方法，包括接收并保存汇聚关联引擎下发的匹配规则和对应的标识；接收设备发送的日志；根据匹配规则对日志进行规则匹配；若日志命中匹配规则，则将日志命中的匹配规则的标识上报给汇聚关联引擎，以便于汇聚关联引擎根据接收到的标识判断关联规则是否得到满足。
本发明实施例提供了一种汇聚关联引擎，包括分配模块，用于获取用户配置的关联规则的所有匹配规则，并为每个匹配规则分配标识；下发模块，用于将匹配规则和对应的标识下发给分布式关联引擎；第一接收模块，用于接收分布式关联引擎上报的被日志命中的匹配规则的标识；产生模块，用于当根据接收到的标识判定关联规则得到满足时，根据预置的关联策略产生一个特定的关联事件。
本发明实施例提供了一种分布式关联引擎，包括接收保存模块，用于接收并保存汇聚关联引擎下发的匹配规则和对应的标识；接收模块，用于接收设备发送的日志；匹配模块，用于根据匹配规则对日志进行规则匹配；第一上报模块，用于若日志命中匹配规则，则将日志命中的匹配规则的标识上报给汇聚关联引擎，以便于汇聚关联引擎根据接收到的标识判断关联规则是否得到满足。
本发明实施例提供了一种关联分析系统，包括汇聚关联引擎，用于获取用户配置的关联规则的所有匹配规则，并为每个匹配规则分配标识；将匹配规则和对应的标识下发给分布式关联引擎；接收分布式关联引擎上报的被日志命中的匹配规则的标识；当根据接收到的标识判定关联规则得到满足时，根据预置的关联策略产生一个特定的关联事件；分布式关联引擎，用于接收并保存汇聚关联引擎下发的匹配规则和对应的标识；接收设备发送的日志；根据匹配规则对日志进行规则匹配；若日志命中匹配规则，则将日志命中的匹配规则的标识上报给汇聚关联引擎。
从以上^支术方案可以看出，本发明实施例具有以下优点本发明实施例中，汇聚关联引擎为关联规则的每个匹配规则分配标识，并将匹配规则和对应的标识下发给分布式关联引擎；然后，汇聚关联引擎接收分布式关联引擎上报的被日志命中的匹配规则的标识，并根据接收到的标识判断关联规则是否得到满足，若是，则根据预置的关联策略产生一个特定的关联事件。可见，相对现有技术，本实施例中，关联分析设备，即汇聚关联引擎无需对曰志进行规则匹配，只需根据接收到的标识判断关联规则是否得到满足，大大减小了处理负荷，提高了处理性能。


图l是本发明实施例中关联分析方法的一个实施例的流程图2是本发明实施例中关联分析方法的另 一实施例的流程图3是本发明实施例中关联分析方法的另 一 实施例的流程图4是图3所示实施例中有限自动机的 一个状态示意图5是图3所示实施例中有限自动机的另 一状态示意图6是图3所示实施例中有限自动机的另 一状态示意图7是图3所示实施例中有限自动机的另 一状态示意图8是本发明实施例中汇聚关联引擎的 一个实施例的示意图9是本发明实施例中分布式关联引擎的一个实施例的示意图IO是本发明实施例中关联分析系统的一个实施例的示意图。
具体实施例方式
本发明实施例提供一种关联分析方法和系统及汇聚关联引擎和分布式关联引擎，能够节约网络带宽，提高处理性能。以下分别进行详细说明。请参阅图1,本发明实施例中关联分析方法的一个实施例包括101、汇聚关联引擎获取用户配置的关联规则的所有匹配规则，并为每个匹配^见则分配标识；
用户配置的关联规则包括匹配规则以及匹配规则之间的逻辑关系。汇聚关联引擎获取用户配置的关联规则的所有匹配规则为现有技术，此处不作赘述。
在为匹配规则分配标识后，汇聚关联引擎可用标识的形式描述关联规则，使描述后的关联规则包括匹配-见则的标识，和匹配失见则的标识之间的逻辑关系。例如，用户配置的关联规则为
(AORB) SEQ (CANDD)，汇聚关联引擎为匹配规则A、 B、 C和D分配的标识分别为l.l、 1.2、 1.3和1.4,则汇聚关联引擎可用标识的形式描述关联规则成
(1.1 OR 1.2) SEQ (1.3 AND 1.4)。
102、 汇聚关联引擎将匹配规则和对应的标识下发给分布式关联引擎；
在为匹配规则分配标识后，汇聚关联51擎将匹配规则和匹配规则的标识下发给分布式关联引擎。
103、 汇聚关联引擎接收分布式关联引擎上报的被日志命中的匹配规则的标识5
分布式关联引擎在接收到汇聚关联引擎下发的匹配规则和对应的标识后，保存接收的匹配规则和对应的标识，并在接收到设备发送的日志时，根据保存的匹配规则对日志进行规则匹配，若日志命中匹配规则，则分布式关联引擎向汇聚关联引擎发送该日志命中的匹配规则的标识。
104、 若根据接收到的标识判定关联规则得到满足，则汇聚关联引擎根据预置的关联策略产生一个特定的关联事件。
关联策略描述了当一个关联规则得到满足时，就会产生一个特定的关联事件，关联规则由多个匹配规则以及匹配规则之间的逻辑关联关系组成，关联事件可能是一个故障或是攻击。例如当满足关联规则
(AORB) SEQ (CANDD)
时，就会产生关联事件E ,也就是说，A或B这两个日志产生以后，若接着产生了 C和D这两个曰志，那就意味系统产生了 一个关联事件E。
汇聚关联引擎在接收到分布式关联引擎发送的日志和日志命中的匹配规则的标识后，根据所有接收到的标识判断关联规则是否得到满足。
例如，对应于步骤102中列举的关联规则，当汇聚关联引擎依次接收到分布式关联引擎发送的标识分别为l丄1.3和1.4，则汇聚关联引擎可根据这些接收到的标识判定标识形式的关联规则(1.1 OR 1.2 ) SEQ ( 1.3 AND 1.4 )得到满足，进而判定关联规则(AORB) SEQ (CANDD)得到满足。此处需要说明的是，汇聚关联引擎可以根据关联规则生成有限自动机，根据接收到的标识，通过有限自动机的状态迁移方式实现关联分析，有限自动机的迁移状态和匹配规则的标识对应。汇聚关联引擎也可以根据关联MJ'J构造决策树，通过决策树的状态迁移方式实现关联分析，此为现有公知技术，此处不作赘述。可以理解的是，汇聚关联引擎也可以不通过有限自动机或决策树，而直接接收到的标识进行关联分析。
本实施例中，汇聚关联引擎为关联规则的每个匹配规则分配标识，并将匹
配规则和对应的标识下发给分布式关联引擎；然后，汇聚关联引擎接收分布式关联引擎上报的被日志命中的匹配规则的标识，并根据接收到的标识判断关联规则是否得到满足，若是，则根据预置的关联策略产生一个关联事件。可见，相对现有技术，本实施例中，只有日志命中的匹配规则的标识需要上报给汇聚关联引擎，节约了网络带宽；且汇聚关联引擎无需对日志进行规则匹配，只需
根据接收到的标识判断关联规则是否得到满足，大大减小了处理负荷，提高了处理性能。
图1所示实施例从汇聚关联引擎的角度描述了本发明实施例中的关联分析方法，下面从分布式关联引擎的角度描述本发明实施例中的关联分析方法。请
参阅图2,本发明实施例中关联分析方法的另 一 实施例包括
201、 分布式关联引擎接收并保存汇聚关联引擎下发的匹配规则和对应的标识；
本实施例中，汇聚关联引擎为关联MJ'J的每个匹配规则分配标识，并将匹配规则和对应的标识下发给分布式关联引擎。
分布式关联引擎在4^收匹配MJ'j和对应的标识后，可更新匹配失见则库，匹配头见则库保存有匹配失见则和标识的对应关系。
202、 分布式关联引擎接收设备发送的日志；本实施例中，由分布式关联引擎接收设备发送的曰志。
203、 分布式关联引擎根据匹配规则对日志进行规则匹配；在接收设备发送的日志后，分布式关联引擎根据保存的匹配规则对日志进
行规则匹配，以判断接收到的日志是否命中匹配规则。204、若日志命中匹配规则，则分布式关联引擎将日志命中的匹配规则的
标识上报给汇聚关联引擎，以便于汇聚关联引擎根据接收到的标识判断关联规则是否得到满足。
此处需要说明的是，分布式关联引擎在将日志命中的匹配MJ'J的标识上才艮给汇聚关联引擎的同时，也可以将该日志上报给汇聚关联引擎，以便于汇聚关联引擎对命中匹配规则的日志进行统计。
本实施例中，分布式关联引擎在接收并保存汇聚关联引擎下发的匹配规则和对应的标识后，根据匹配规则对设备发送的日志进行规则匹配，若日志命中匹配规则，则分布式关联引擎将该日志命中的匹配规则的标识上报给汇聚关联引擎，以便于汇聚关联引擎根据接收到的标识判断关联规则是否得到满足。可见，相对现有技术，本实施例中，只有日志命中的匹配规则的标识需要上报给汇聚关联引擎，节约了网络带宽；且汇聚关联引擎无需对日志进行规则匹配，只需根据接收到的标识判断关联规则是否得到满足，大大减小了处理负荷，提高了处理性能。
为便于理解，下面以 一具体的应用场景对本发明实施例中的关联分析方法进行详细说明。请参阅图3,本发明实施例中关联分析方法的另 一 实施例包括
301、 汇聚关联引擎获取用户配置的关联规则的所有匹配规则，并为每个匹配MJ'j分配标识；
例如，用户配置的关联规则为
(AORB) SEQ (CANDD),汇聚关联引擎为匹配规则A、 B、 C和D分配的标识分别为l.l、 1.2、 1.3和1.4,则汇聚关联引擎可用标识的形式描述关联规则成(1.1 OR 1.2) SEQ (1.3 AND 1.4)。
302、 汇聚关联引擎根据关联规则生成有限自动机，并将有限自动机设置为初始状态，有限自动机的迁移状态和匹配规则的标识对应；
对应于步骤301中列举的关联规则，汇聚关联引擎根据关联规则生成的有限自动机请参阅图4。
303、 汇聚关联引擎将匹配规则和对应的标识下发给分布式关联引擎；对应于步骤301中列举的关联规则，汇聚关联引擎将表l的匹配规则和对应
的标识下发给分布式关联引擎
匹配失见则标识
A1.1
B1.2
C1.3
D1.4
表l
304、 分布式关联引擎接收并保存汇聚关联引擎下发的匹配规则和对应的标识；
分布式关联引擎可将接收的匹配规则和对应的标识保存于匹配规则库中，匹配规则库保存了匹配规则和标识的对应关系。分布式关联引擎需根据接收的匹配失见则和对应的标识更新匹配关见则库。
305、 分布式关联引擎接收设备发送的日志；
306、 分布式关联引擎根据匹配规则对日志进行规则匹配；
307、 分布式关联引擎则将日志命中的匹配规则的标识、以及该日志上报给汇聚关联引擎；
本实施例中，分布式关联引擎将命中匹配规则的日志也上报给汇聚关联引擎，以便于汇聚关联引擎对命中匹配规则的日志进行统计。
308、 汇聚关联引擎判断接收到的标识是否能够触发有限自动机状态迁移，若是，则执行步骤309,否则执行步骤311;
309、 汇聚关联引擎更新有限自动机的状态；
汇聚关联引擎若判定接收到的标识能够触发有限自动机状态迁移，则汇聚关联引擎根据该接收到的标识更新有限自动机的状态，否则保持有限自动机的状态不变。
310、 若有限自动机更新后的状态为结束状态，则汇聚关联引擎判定关联规则得到满足，并根据预置的关联策略产生一个特定的关联事件；汇聚关联引擎更新有限自动机的状态后，若判定有限自动机更新后的状态为结束状态，则确定关联规则得到满足，并根据预置的关联策略产生一个特定的关联事件，该关联策略描述了该关联规则得到满足时，就会产生该特定的关联事件。
若有限自动机更新后的状态不是结束状态，则汇聚关联引擎结束本次操作。
下面，对应于步骤301中列举的关联规则，假设汇聚关联引擎依次接收到匹配规则的标识1.4、 1.1、 1.3、 1.3和1.4,对步骤308至步骤310进行详细说明
(1 )汇聚关联引擎接收到标识1.4,判定标识1.4不能够触发有限自动机的状态迁移，故有限自动机的状态图同于图4。
(2 )汇聚关联引擎接收到标识l.l,判定标识l.l能够触发有限自动机的状态迁移，更新有限自动机的状态，并判定有限自动机更新后的状态不是结束状态，结束本次操作，此时有限自动机的状态如图5所示。
(3 )汇聚关联引擎接收到标识1.3，判定标识1.3能够触发有限自动机的状态迁移，更新有限自动机的状态，并判定有限自动机更新后的状态不是结束状态，结束本次操作，此时有限自动机的状态如图6所示。
(4)汇聚关联引擎接收到标识1.3,判定标识1.3不能够触发有限自动机的状态迁移，此时有限自动机的状态图同于图6。
(5 )汇聚关联引擎接收到标识1.4,判定标识1.4能够触发有限自动机的状态迁移，更新有限自动机的状态，并判定有限自动机更新后的状态是结束状态，结束本次操作，此时有限自动机的状态如图7所示。
311 、汇聚关联引擎丟弃不能够触发有跟自动机状态迁移的分布式关联引擎上报的标识，和命中该标识所对应的匹配*见则的日志。
若在步骤308中判定分布式关联引擎上报的标识不能够触发有限自动机状态迁移，则汇聚关联引擎可以丢弃该标识和命中该标识对应的匹配规则的曰志，以减小存储开销，并避免对该日志进行统计。
本实施例中，汇聚关联引擎根据关联规则生成有限自动机，通过有限自动机的状态迁移方式实现关联分析。此处需要说明的是，汇聚关联引擎也可以根据关联规则构造决策树，通过决策树的状态迁移方式实现关联分析，此为现有公知技术，此处不作赘述。可以理解的是，汇聚关联引擎也可以不通过有限自动机或决策树，而直接对分布式关联引擎上报的标识进行关联分析。
本实施例中，汇聚关联引擎为关联规则的每个匹配规则分配标识，并将匹
配规则和对应的标识下发给分布式关联引擎；然后，汇聚关联引擎接收分布式关联引擎上报的被日志命中的匹配规则的标识和该日志，并根据接收到的标识判断关联MJ'J是否得到满足，若是，则根据预置的关联策略产生一个关联事件。可见，相对现有技术，本实施例中，只有命中匹配规则的日志和该日志命中的匹配规则的标识需要上报给汇聚关联引擎，节约了网络带宽；且汇聚关联引擎无需再对日志进行规则匹配，只需根据接收到的标识判断关联规则是否得到满足，大大减小了处理负荷，提高了处理性能。
下面对本发明实施例中的汇聚关联引擎进行详细说明，请参阅图8，本发明实施例中汇聚关联引擎的一个实施例包括
分配模块801,用于获取用户配置的关联规则的所有匹配规则，并为每个匹配失见则分配标识；
下发模块802,用于将匹配规则和对应的标识下发给分布式关联引擎；
第一接收模块803,用于接收分布式关联引擎上报的被日志命中的匹配规则的标识；
产生模块804,用于当根据接收到的标识判定关联规则得到满足时，根据预置的关联策略产生一个特定的关联事件。
此处需要说明的是，汇聚关联引擎可以根据关联规则生成有限自动机，根据接收到的标识，通过有限自动机的状态迁移方式实现关联分析，有限自动机的迁移状态和匹配^L则的标识义十应。
当汇聚关联引擎采用有限自动机实现关联分析时，汇聚关联引擎还包括生成模块，用于在分配模块801执行相关操作之后，根据关联MJ'J生成有限自动机，并将有限自动机设置为初始状态，有限自动机的迁移状态和匹配规则的标识对应；并且，
13产生模块804用于判断接收到的标识是否能够触发有限自动机状态迁移，若是，则更新有限自动机的状态，若有限自动机更新后的状态为结束状态，则确定关联规则得到满足，并根据预置的关联策略产生一个特定的关联事件。
此外需要说明的是，分布式关联引擎在将日志命中的匹配规则的标识上报给汇聚关联引擎的同时，也可以将该日志上报给汇聚关联引擎，以便于汇聚关联引擎对命中匹配规则的日志进行统计；此时，汇聚关联引擎还包括
第二接收模块，用于接收分布式关联引擎上报的命中匹配规则的日志。
当汇聚关联引擎采用有限自动机实现关联分析时，汇聚关联引擎还可以包括丢弃模块，用于当产生模块804判定从分布式关联引擎接收到的标识不能够触发有限自动机状态迁移时，丢弃该标识和命中该标识对应的匹配规则的曰志，以减小存々者开销，并避免对该日志进行统计。
本实施例的汇聚关联引擎中，分配模块801为关联规则的每个匹配规则分配标识，下发模块802将匹配规则和对应的标识下发给分布式关联引擎；第一接收模块803接收分布式关联引擎上报的被日志命中的匹配规则的标识，当根据接收到的标识判定关联规则得到满足时，产生模块804根据预置的关联策略产生一个特地的关联事件。可见，相对现有技术，本实施例中，只有日志命中的匹配规则的标识需要上报给汇聚关联引擎，节约了网络带宽；且汇聚关联引擎无需对日志进行规则匹配，只需根据接收到的标识判断关联规则是否得到满足，大大减小了处理负荷，提高了处理性能。
下面对本发明实施例中的分布式关联引擎进行详细说明，请参阅图9，本发明实施例中分布式关联引擎的一个实施例包括
接收保存模块901,用于接收并保存汇聚关联引擎下发的匹配规则和对应的标识；
接收模块902,用于接收设备发送的日志；
匹配模块903,用于根据匹配规则对日志进行规则匹配；
第 一上报模块904，用于若日志命中匹配规则，则将日志命中的匹配规则
的标识上报给汇聚关联引擎，以便于汇聚关联引擎根据接收到的标识判断关联
规则是否得到满足。进一步地，本实施例还可以包括第二上报模块，用于将命中匹配规则的
曰志上报给汇聚关联引擎，以便于汇聚关联引擎对命中匹配规则的日志进行统计。
本实施例中，接收保存模块901接收并保存汇聚关联引擎下发的匹配MJ'J和对应的标识后，匹配模块903根据匹配规则对接收模块902接收的日志进行头见则匹配，若日志命中匹配规则，则第 一上报模块904将该日志命中的匹配规则的标识上报给汇聚关联引擎，以便于汇聚关联引擎根据接收到的标识判断关联规则是否得到满足。可见，相对现有技术，本实施例中，只有日志命中的匹配规则的标识需要上报给汇聚关联引擎，节约了网络带宽；且汇聚关联引擎无需再对日志进行规则匹配，只需根据接收到的标识判断关联规则是否得到满足，大大减小了处理负荷，提高了处理性能。
下面对本发明实施例中的关联分析系统进行详细说明，请参阅图IO，本发明实施例中关联分析系统的 一个实施例包括
汇聚关联引擎IOOI,用于获取用户配置的关联规则的所有匹配规则，并为每个匹配规则分配标识；将匹配规则和对应的标识下发给分布式关联引擎；接收分布式关联引擎上报的被日志命中的匹配规则的标识；当根据接收到的标识判定关联规则得到满足时，根据预置的关联策略产生一个特定的关联事件;
分布式关联引擎1002,用于接收并保存汇聚关联引擎下发的匹配规则和对应的标识；接收设备发送的日志；根据匹配规则对日志进行规则匹配；若日志命中匹配规则，则将日志命中的匹配规则的标识上报给汇聚关联引擎。
本实施例中，汇聚关联引擎为关联规则的每个匹配规则分配标识，并将匹配规则和对应的标识下发给分布式关联引擎；然后，汇聚关联引擎接收分布式关联引擎上报的被日志命中的匹配规则的标识，并根据接收到的标识判断关联规则是否得到满足，若是，则根据预置的关联策略产生一个特定的关联事件。可见，相对现有技术，本实施例中，只有日志命中的匹配规则的标识需要上报给汇聚关联引擎，节约了网络带宽；且汇聚关联引擎无需再对日志进行规则匹酉己，只需根据接收到的标识判断关联规则是否得到满足，大大减小了处理负荷，提高了处理性能。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，该程序可以存储于 一计算机可读
存储介质中，存储介质可以包括只读内存(ROM, Read-Only Memory)、随机存耳又存储器(RAM, Random Access Memory )、磁盘或光盘等。
以上对本发明实施例所提供的关联分析方法和系统及汇聚关联引擎和分布式关联引擎进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式
及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。
权利要求
1、一种关联分析方法，其特征在于，包括获取用户配置的关联规则的所有匹配规则，并为每个匹配规则分配标识；将所述匹配规则和对应的标识下发给分布式关联引擎；接收分布式关联引擎上报的被日志命中的匹配规则的标识；若根据接收到的标识判定所述关联规则得到满足，则根据预置的关联策略产生一个特定的关联事件。
2、 根据权利要求l所述的关联分析方法，其特征在于，在所述为每个匹配 规则分配标识之后还包括根据所述关联规则生成有限自动机，并将所述有限 自动机设置为初始状态，所述有限自动4儿的迁移状态和匹配规则的标识对应；所述若根据接收到的标识判定所述关联规则得到满足，则根据预置的关联 策略产生一个特定的关联事件包括判断接收到的标识是否能够触发所述有限自动机状态迁移； 若是，则更新所述有限自动机的状态；若所述有限自动机更新后的状态为结束状态，则判定所述关联规则得到满 足，根据预置的关联策略产生一个特定的关联事件。
3、 根据权利要求2所述的关联分析方法，其特征在于，若判定接收到的标 识不能够触发所述有限自动机状态迁移，则丢弃该接收到的标识。
4、 一种关联分析方法，其特征在于，包括 接收并保存汇聚关联引擎下发的匹配规则和对应的标识； 接收设备发送的日志；根据所述匹配规则对日志进行规则匹配；若所述日志命中匹配规则，则将所述日志命中的匹配规则的标识上报给汇聚关联引擎，以便于汇聚关联引擎根据接收到的标识判断关联规则是否得到满 足。
5、 根据权利要求4所述的关联分析方法，其特征在于，所述方法还包括 将命中所述匹配规则的日志上报给汇聚关联引擎。
6、 根据权利要求4所述的关联分析方法，其特征在于，所述方法还包括 在所述"t妻收并保存汇聚关联引擎下发的匹配MJ'J和对应的标识后，更新匹配规则库，所述匹配*见则库保存有匹配^L则和标识的对应关系。
7、 一种汇聚关联引擎，其特征在于，包括分配模块，用于获取用户配置的关联规则的所有匹配规则，并为每个匹配 MJ'j分配标识；下发模块，用于将所述匹配规则和对应的标识下发给分布式关联引擎； 第一接收模块，用于接收分布式关联引擎上报的被日志命中的匹配规则的 标识；产生模块，用于当根据接收到的标识判定所述关联规则得到满足时，根据 预置的关联策略产生一个特定的关联事件。
8、 根据权利要求7所述的汇聚关联引擎，其特征在于，所述汇聚关联引擎 还包括生成模块，用于在分配模块执行相关操作之后，根据所述关联规则生 成有限自动机，并将所述有限自动机设置为初始状态，所述有限自动机的迁移 状态和匹配MJ'j的标识对应；产生模块具体用于判断接收到的标识是否能够触发所述有限自动机状态 迁移，若是，则更新所述有限自动机的状态，若所述有限自动机更新后的状态 为结束状态，则确定所述关联规则得到满足，根据预置的关联策略产生一个特 定的关联事件。
9、 根据权利要求7所述的汇聚关联引擎，其特征在于，所述汇聚关联引擎 还包括第二接收模块，用于接收分布式关联引擎上报的命中匹配规则的日志。
10、根据权利要求9所述的汇聚关联引擎，其特征在于，所述汇聚关联引 擎还包括丢弃模块，用于当产生模块判定接收到的标识不能够触发所述有限自动机 状态迁移时，丢弃该标识和命中该标识所对应的匹配MJ'J的日志。
11、 一种分布式关联引擎，其特征在于，包括接收保存模块，用于接收并保存汇聚关联引擎下发的匹配规则和对应的标识；接收模块，用于接收设备发送的日志；匹配模块，用于根据所述匹配规则对日志进行规则匹配；第一上报模块，用于若所述日志命中匹配规则，则将所述日志命中的匹配 规则的标识上报给汇聚关联引擎，以便于汇聚关联引擎根据接收到的标识判断 关联规则是否得到满足。
12、 根据权利要求ll所述的分布式关联引擎，其特征在于，所述引擎还包括第二上报模块，用于将命中所述匹配规则的日志上报给汇聚关联引擎。
13、 一种关联分析系统，其特征在于，包括汇聚关联引擎，用于获取用户配置的关联规则的所有匹配规则，并为每个 匹配规则分配标识；将所述匹配规则和对应的标识下发给分布式关联引擎；接 收分布式关联引擎上报的被日志命中的匹配规则的标识；当根据接收到的标识 判定所述关联规则得到满足时，根据预置的关联策略产生一个特定的关联事 件；分布式关联引擎，用于接收并保存汇聚关联引擎下发的匹配规则和对应的 标识；接收设备发送的日志；根据所述匹配规则对日志进行规则匹配；若所述 日志命中匹配规则，则将所述日志命中的匹配规则的标识上报给汇聚关联引擎。
全文摘要
本发明实施例公开了一种关联分析方法，包括获取用户配置的关联规则所有匹配规则，并为每个匹配规则分配标识；将匹配规则和对应的标识下发给分布式关联引擎；接收分布式关联引擎上报的被日志命中的匹配规则的标识；若根据接收到的标识判定关联规则得到满足，则根据预置的关联策略产生一个特定的关联事件。本发明实施例还提供相应的设备与系统。本发明实施例能够提高处理性能。
文档编号H04L12/24GK101673292SQ20091018082
公开日2010年3月17日 申请日期2009年10月15日 优先权日2009年10月15日
发明者张锞斌 申请人:成都市华为赛门铁克科技有限公司