[发明专利]一种基于安全日志关联分析的安全策略自反馈方法

权利要求书

1.一种基于安全日志关联分析的安全策略自反馈方法，其特征在于，包括以下步骤：

步骤1，创建安全日志信息采集程序；

步骤2，创建消息队列，所述消息队列包括安全日志原始消息队列、日志解析消息队列、关联分析消息队列和安全策略下发指令消息队列；

步骤3，创建与每个所述消息队列一一对应的消费服务，所述消费服务包括原始信息消费服务、解析信息消费服务、关联分析信息消费服务和安全策略指令分发服务；

步骤4，通过所述安全日志信息采集程序，采集安全日志原始信息，并将所述安全日志原始信息存入安全日志原始消息队列；

步骤5，创建事件流处理引擎、日志解析规则、日志关联分析规则及安全策略指令生成规则；

步骤6，在所述事件流处理引擎中根据各类安全日志信息注册事件，将所述事件的类型与步骤5中的规则相关联，用于当所述事件发生时通过步骤5中的规则自动触发与事件相关联的自定义动作；

步骤7，通过所述原始信息消费服务，从所述安全日志原始消息队列中取出安全日志原始信息，并包装成事件输入到所述事件流处理引擎中，匹配所述日志解析规则，输出解析后的日志信息到日志解析消息队列中；

步骤8，在所述事件流引擎的监听器中定义滑动时间窗口，通过所述解析信息消费服务，从所述日志解析消息队列中取出解析后的日志信息，输入到所述事件流处理引擎中，匹配所述日志关联分析规则，生成关联分析日志信息并输出到所述关联分析消息队列；

步骤9，通过所述关联分析信息消费服务，从所述关联分析消息队列中读取关联分析日志信息，输入到事件流处理引擎中，匹配安全策略指令生成规则，生成安全策略指令信息并输出到所述安全策略下发指令消息队列；

步骤10，通过所述安全策略指令分发服务，从所述安全策略指令消息队列中获取安全策略变更指令，下发给对应的网络安全防护设备，实现安全防护策略的变更。

2.根据权利要求1所述的一种基于安全日志关联分析的安全策略自反馈方法，其特征在于，所述步骤1包括：

步骤1-1，创建日志接口采集子程序，用于针对提供标准协议接口的网络安全防护设备，通过所述标准协议接口获取安全日志信息，并将所述安全日志信息存入到消息队列中；

步骤1-2，创建日志文件采集子程序，用于针对将所述安全日志信息写入日志文本文件中的应用程序，定期收割增量的所述安全日志信息，并将所述安全日志信息存入到消息队列中。

3.根据权利要求2所述的一种基于安全日志关联分析的安全策略自反馈方法，其特征在于，所述步骤2包括：

创建所述安全日志原始消息队列，用于存放各种不同安全设备产生的安全日志信息；创建所述日志解析消息队列，用于存放日志解析后的日志信息；创建所述关联分析消息队列，用于存放日志关联分析后的结果信息；创建所述安全策略下发指令消息队列，用于存放安全策略下发指令信息。

4.根据权利要求3所述的一种基于安全日志关联分析的安全策略自反馈方法，其特征在于，所述步骤3包括：

针对所述安全日志原始消息队列、日志解析消息队列、关联分析消息队列、安全策略下发指令消息队列创建对应的消费服务，所述消费服务与对应的消息队列绑定，用于从对应的队列中取出消息，对所述消息进行事件包装，为后续的事件流处理做准备。

5.根据权利要求4所述的一种基于安全日志关联分析的安全策略自反馈方法，其特征在于，所述步骤5包括创建事件流处理引擎、日志解析规则、日志关联分析规则和安全策略指令生成规则；

其中，所述事件流处理引擎基于Esper创建，作为实时的日志解析框架。