本發(fā)明涉及一種分析方法���,具體是一種異常日志和流量關(guān)聯(lián)分析的方法�。
背景技術(shù):
在IT運(yùn)維領(lǐng)域��,SYSLOG日志和流量信息都是非常重要的信息來源。
系統(tǒng)日志(Syslog)協(xié)議是在一個IP網(wǎng)絡(luò)中轉(zhuǎn)發(fā)系統(tǒng)日志信息的標(biāo)準(zhǔn)�����,它是在美國加州大學(xué)伯克利軟件分布研究中心(BSD)的TCP/IP系統(tǒng)實(shí)施中開發(fā)的���,目前已成為工業(yè)標(biāo)準(zhǔn)協(xié)議�,可用它記錄設(shè)備的日志�����。Syslog記錄著系統(tǒng)中的任何事件�,管理者可以通過查看系統(tǒng)記錄隨時掌握系統(tǒng)狀況。系統(tǒng)日志通過Syslog進(jìn)程記錄系統(tǒng)的有關(guān)事件�,也可以記錄應(yīng)用程序運(yùn)作事件。通過適當(dāng)配置�����,還可以實(shí)現(xiàn)運(yùn)行Syslog協(xié)議的機(jī)器之間的通信�����。通過分析這些網(wǎng)絡(luò)行為日志���,可追蹤和掌握與設(shè)備和網(wǎng)絡(luò)有關(guān)的情況�。
為了探測網(wǎng)絡(luò)中是否存在異常的訪問,業(yè)界提出了以檢測網(wǎng)絡(luò)數(shù)據(jù)流的方法來判斷網(wǎng)絡(luò)異常和攻擊的方法�,借助實(shí)時的檢測網(wǎng)絡(luò)數(shù)據(jù)流信息,通過與歷史記錄模式匹配(判斷是否正常)�、或者與異常模式匹配(判斷是否被攻擊),讓網(wǎng)絡(luò)管理人員可以實(shí)時查看全網(wǎng)的狀態(tài)��,檢測網(wǎng)絡(luò)性能可能出現(xiàn)的瓶頸���,并進(jìn)行自動處理或告警顯示,以保證網(wǎng)絡(luò)高效�����、可靠地運(yùn)轉(zhuǎn)�����。
這兩種信息對IT系統(tǒng)的維護(hù)都具有重要意義���,SYSLOG日志中具備更明確的信息���,記錄著某個設(shè)備的故障��、出現(xiàn)的問題以及發(fā)生的準(zhǔn)確的時間�����,流量信息記錄著網(wǎng)絡(luò)中某個時刻的流量特征����。
現(xiàn)階段的技術(shù)��,都只是分離的使用兩種信息而不能綜合SYSLOG和流量信息�,自動的對網(wǎng)絡(luò)中出現(xiàn)的問題進(jìn)行分析和定位。
技術(shù)實(shí)現(xiàn)要素:
本發(fā)明的目的在于提供一種異常日志和流量關(guān)聯(lián)分析的方法�,以解決上述背景技術(shù)中提出的問題。
為實(shí)現(xiàn)上述目的�����,本發(fā)明提供如下技術(shù)方案:
一種異常日志和流量關(guān)聯(lián)分析的方法���,包括如下步驟:(1)統(tǒng)一接收來自不同設(shè)備的SYSLOG日志���,首先根據(jù)SYSLOG日志的來源地址比對手工設(shè)置的數(shù)據(jù)庫中是否存在該日志的對應(yīng)系統(tǒng)或者廠商;(2)如果不能確定SYSLOG日志屬于哪個廠商的�,則分解syslog日志中的MSG部分����,根據(jù)MSG的前128字節(jié)的指紋信息對SYSLOG日志進(jìn)行第二次分類�;(3)通過上述兩個步驟,將一條syslog日志歸屬到某個廠商或者某個特定操作系統(tǒng)��;(4)預(yù)存一個不同廠商�、不同操作系統(tǒng)的日志格式庫,將分類之后的日志和對應(yīng)廠商�、操作系統(tǒng)的日志進(jìn)行進(jìn)行快速正則化的對比,將該syslog日志翻譯成一個具備唯一ID的消息�;(5)一個消息ID是不同廠商的syslog消息的統(tǒng)一化解釋,當(dāng)全網(wǎng)不同廠商的設(shè)備發(fā)現(xiàn)一次“A攻擊事件”告警的時候��,每個設(shè)備發(fā)出的SYSLOG信息不用�,系統(tǒng)能夠?qū)⑺羞@些信息歸類成“A攻擊事件”��;(6)不同的消息ID會附加一些“可選參數(shù)”�,如果該消息存在“可選參數(shù)”,系統(tǒng)會根據(jù)可選參數(shù)信息����,進(jìn)一步剝離“可選參數(shù)”信息;(7)通過上述操作�,一條SYSLOG消息會分解成:消息ID+可選參數(shù)列表的形式�;(8)通過時間戳����、消息ID存在的設(shè)備數(shù)量、可選參數(shù)中的地址信息���、接口信息��,去流量信息庫進(jìn)行對比�,找到這條SYSLOG日志是由哪些流量觸發(fā)的�����;(9)如果SYSLOG日志在已知信息庫中沒有翻譯成“事件ID”����,則將該條日志放入學(xué)習(xí)庫,根據(jù)學(xué)習(xí)庫中的積累和特征學(xué)習(xí)�����,生成新的規(guī)則ID��。
作為本發(fā)明再進(jìn)一步的方案:完整的syslog日志消息由3部分組成,分別是PRI����、HEADER和MSG。
與現(xiàn)有技術(shù)相比��,本發(fā)明的有益效果是:本發(fā)明可以將一個大型網(wǎng)絡(luò)中的風(fēng)險事件和流量關(guān)聯(lián)���,有助于問題定位��,根因溯源���,通過本發(fā)明,可以將故障事件和流量信息進(jìn)行自動關(guān)聯(lián)���,避免了手工查找?guī)淼膹?fù)雜定位過程�����。
附圖說明
圖1為異常日志和流量關(guān)聯(lián)分析的方法的流程圖。
具體實(shí)施方式
下面將結(jié)合本發(fā)明實(shí)施例中的附圖�,對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述��,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例���,而不是全部的實(shí)施例��?�;诒景l(fā)明中的實(shí)施例���,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍����。
請參閱圖1,本發(fā)明實(shí)施例中���,一種異常日志和流量關(guān)聯(lián)分析的方法���,包括如下步驟:(1)統(tǒng)一接收來自不同設(shè)備的SYSLOG日志,首先根據(jù)SYSLOG日志的來源地址比對手工設(shè)置的數(shù)據(jù)庫中是否存在該日志的對應(yīng)系統(tǒng)或者廠商����;
(2)完整的syslog消息由3部分組成,分別是PRI�、HEADER和MSG。如果不能確定SYSLOG日志屬于哪個廠商的,則分解syslog日志中的MSG部分�����,根據(jù)MSG的前128字節(jié)的指紋信息對SYSLOG日志進(jìn)行第二次分類��;
(3)通過上述兩個步驟����,可以將一條syslog日志歸屬到某個廠商或者某個特定操作系統(tǒng);
(4)在該發(fā)明中�����,預(yù)存了一個不同廠商�、不同操作系統(tǒng)的日志格式庫,將分類之后的日志和對應(yīng)廠商���、操作系統(tǒng)的日志進(jìn)行進(jìn)行快速正則化的對比����,就可以將該syslog日志翻譯成一個具備唯一ID的消息�����;
(5)一個消息ID是不同廠商的syslog消息的統(tǒng)一化解釋�����。這樣當(dāng)全網(wǎng)不同廠商的設(shè)備發(fā)現(xiàn)一次“A攻擊事件”告警的時候��,每個設(shè)備發(fā)出的SYSLOG信息都是不一樣的�����,但是該系統(tǒng)可以將所有這些信息歸類成“A攻擊事件”�。
(6)不同的消息ID同時會附加一些“可選參數(shù)”,例如ID為001的消息���,可能會存在“來源地址”信息����,如果該消息存在“可選參數(shù)”����,系統(tǒng)會根據(jù)可選參數(shù)信息,進(jìn)一步剝離“可選參數(shù)”信息�����。
(7)通過上述操作,一條SYSLOG消息會分解成:消息ID+可選參數(shù)列表的形式����。
(8)通過時間戳、消息ID存在的設(shè)備數(shù)量����、可選參數(shù)中的地址信息、接口信息��,去流量信息庫進(jìn)行對比��,就可以找到這條SYSLOG日志是由哪些流量觸發(fā)的��。
(9)如果SYSLOG日志在已知信息庫中沒有翻譯成“事件ID”�����,則將該條日志放入學(xué)習(xí)庫��,根據(jù)學(xué)習(xí)庫中的積累和特征學(xué)習(xí)�,將會生成新的規(guī)則ID。
對于本領(lǐng)域技術(shù)人員而言���,顯然本發(fā)明不限于上述示范性實(shí)施例的細(xì)節(jié)���,而且在不背離本發(fā)明的精神或基本特征的情況下,能夠以其他的具體形式實(shí)現(xiàn)本發(fā)明���。因此�,無論從哪一點(diǎn)來看�����,均應(yīng)將實(shí)施例看作是示范性的�����,而且是非限制性的�,本發(fā)明的范圍由所附權(quán)利要求而不是上述說明限定,因此旨在將落在權(quán)利要求的等同要件的含義和范圍內(nèi)的所有變化囊括在本發(fā)明內(nèi)�����。不應(yīng)將權(quán)利要求中的任何附圖標(biāo)記視為限制所涉及的權(quán)利要求��。
此外���,應(yīng)當(dāng)理解�,雖然本說明書按照實(shí)施方式加以描述,但并非每個實(shí)施方式僅包含一個獨(dú)立的技術(shù)方案��,說明書的這種敘述方式僅僅是為清楚起見���,本領(lǐng)域技術(shù)人員應(yīng)當(dāng)將說明書作為一個整體��,各實(shí)施例中的技術(shù)方案也可以經(jīng)適當(dāng)組合�,形成本領(lǐng)域技術(shù)人員可以理解的其他實(shí)施方式�����。