[发明专利]一种基于XML标签语言的日志管理方法和系统

说明书

技术领域

本发明涉及一种基于XML标签语言的日志管理方法和系统，属于安全信息管理系统领域；具体属于安全信息管理系统的核心关键技术——安全事件数据范化技术领域。 

背景技术

安全信息管理技术用于搜集、分析和关联来自于整个企业的安全事件信息，可以分为四个不同的阶段：规范化、汇总、关联和虚拟化。安全信息管理技术具体是指搜集和分析安全事件信息，及时地检测到安全事件，并采取相应的网络安全管理措施。

传统安全系统是分别独立逐步的建立起来的，比如防病毒系统、防火墙系统、入侵检测系统，各个系统都有单独的管理员或者管理控制台。这种相对独立的部署方式带来的问题是各个设备需要进行独立的配置，而各个引擎也需要配备独立的事件报警系统，这使得各类分散独立的安全事件信息难以形成全局的风险观点，导致了安全策略和配置难于统一协调。因此，对各类安全防护系统进行平台化整合提出了需求。

传统的安全管理方式是将分散在各地、不同种类的安全防护系统进行分别管理，这导致安全信息分散互不相通，安全策略难以保持一致，因此这种传统的安全管理运行方式就成为许多安全隐患形成的根源。平台化整合是针对传统安全管理方式的一种重大变革。网络安全管理平台可将不同位置、不同安全系统中分散且海量的单一安全事件进行汇总、过滤、收集和关联分析，得出全局性的安全风险事件，并最终形成统一的安全决策，对安全事件进行响应和处理。 

发明内容

本发明的目的是：一种基于XML标签语言的日志管理方法和系统，为了实现异构日志的统一管理，安全性高，可靠度好，以解决目前现有的技术问题。

本发明的技术方案

一种基于XML标签语言的日志管理方法，该方法以XML语言的语法规则为基础，从所有的入侵检测系统、防火墙、操作系统、应用软件和防病毒系统中获得安全事件，定义范化引擎和范化策略，根据范化引擎加载范化策略，并根据待范化的数据，选择合适的范化规则进行日志样本数据的范化。

上述的基于XML标签语言的日志管理方法中，具体定义范化引擎和范化策略的方法是利用XML语言的元素来表示类别，利用XML的属性来表示特性，并引入一些扩展的特征，主要包括类型、常量、函数。

上述的基于XML标签语言的日志管理方法中，该方法的具体步骤如下：

步骤一、分析日志；收集日志或者告警样本，并对所收集到的日志或者告警样本进行分析（分析方法采用正则匹配方法，分析过程是对收集到的不同格式的日志，分别编写对应的正则表达式进行匹配的过程），分析的目的在于明确需要定义的数据结构，以及范化规则和映射规则的基本框架；

步骤二、定义范化数据结构；合理范化给定日志样本数据的数据结构；

步骤三、定义规则；编制出合理的范化策略以及映射策略，并定义出相应的范化规则和映射规则；

步骤四、 加载策略；通过范化引擎将加载范化策略；

步骤五、查找匹配；根据待范化的数据，选择合适的规则进行范化，具体做法是，查找匹配的规则，每成功匹配一次，就执行一个对应的范化动作；

步骤六、关联数据结构；将范化操作得到日志样本数据的字段与数据结构的相关字段相关联；

步骤七、映射处理；根据映射规则决定是否做映射处理。如果字段的映射标记为1，则从映射文件中查找指定字段的映射表。具体方法是，以字段现有的值为源值(SourceValue)，获得映射值(GxValue)，并以映射值作为最后的值写到内存中；

步骤八、类型转换；负责执行格式与类型转换操作，具体地，所述类型转换步骤负责将不同格式的数据转换成标准格式，并提供不同类型数据之间的转换方法；

步骤九、输出结果；输出范化后的结果。

上述的基于XML标签语言的日志管理方法中，范化规则组织成一个规则树，并提供正则表达式匹配、规则查找接口，并将查找的相关关键字段以链表形式输出。

上述的基于XML标签语言的日志管理方法中，映射策略组织成内存中的可实现高速查询的B+树，并提供映射查找接口。

上述的基于XML标签语言的日志管理方法中，查找匹配的原理是利用“频繁使用优先算法”查找与事件数据相匹配的范化规则，并选择映射规则进行规则映射。

上述的基于XML标签语言的日志管理方法中，类行转换指将事件数据由字符串形式转换成IP、MAC、时间、整数数据类型，同时能将数据写到指定的内存位置。