專利名稱:安全管理中心系統(tǒng)中的日志格式化單元及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及日志處理技術(shù)����,更具體的說,本發(fā)明涉及一種安全管理中心系統(tǒng)中的日志格式化單元及方法。
背景技術(shù):
安全管理中心(Security Operation Center�,SOC)系統(tǒng)主要功能是從各種安全對(duì)象設(shè)備(主機(jī)、防火墻��、IDS�����、數(shù)據(jù)庫�、WEB服務(wù)器等)收集日志,進(jìn)行格式化處理�,然后進(jìn)行相關(guān)性分析,生成與安全相關(guān)的日志����。因此,收集各種安全對(duì)象設(shè)備的日志是SOC系統(tǒng)的重要工作�。由于各種安全對(duì)象設(shè)備產(chǎn)生的日志格式都不一樣,如何統(tǒng)一處理這些日志成為一個(gè)重要的問題��。
現(xiàn)有技術(shù)中主要采用針對(duì)各種安全對(duì)象產(chǎn)生的各種格式的日志(主要是SYSLOG�,SNMP TRAP),采用代碼匹配�,將各種安全對(duì)象設(shè)備日志里的內(nèi)容提取出來,并填寫到一個(gè)統(tǒng)一的格式里去��,基本上針對(duì)一種安全對(duì)象設(shè)備的日志格式,需要編寫對(duì)應(yīng)的一種代碼來處理�。
如圖1所示,對(duì)于每種類型的安全對(duì)象設(shè)備�����,例如圖示的A類型防火墻�、B類型防火墻和路由器����,需要編寫對(duì)應(yīng)的格式化器1�、格式化器2及格式化器3去格式化相應(yīng)類型設(shè)備上報(bào)的日志,最終生成統(tǒng)一格式的日志����,但該種方案存在如下的缺點(diǎn)當(dāng)增加新的安全對(duì)象設(shè)備或者安全對(duì)象設(shè)備更改了日志格式時(shí)將需要增加和修改對(duì)應(yīng)的格式化器才能做到正確的采集格式化日志,即在SOC系統(tǒng)中需要對(duì)應(yīng)的修改代碼�,重新發(fā)布,這樣會(huì)造成系統(tǒng)維護(hù)量大�,造成系統(tǒng)升級(jí)頻繁����,而且每次更改代碼需要重新編譯系統(tǒng)����。
發(fā)明內(nèi)容
本發(fā)明解決的技術(shù)問題是提供一種安全管理中心系統(tǒng)中的日志格式化單元及方法,在安全管理中心系統(tǒng)增加新的安全對(duì)象設(shè)備����,或者安全對(duì)象設(shè)備更改了日志格式時(shí),不需要對(duì)應(yīng)的修改代碼��,也不需要重新編寫代碼編譯系統(tǒng),不會(huì)造成系統(tǒng)頻繁升級(jí)����。
為解決上述問題,本發(fā)明的安全管理中心系統(tǒng)中的日志格式化單元����,所述安全管理中心系統(tǒng)包括多個(gè)安全對(duì)象設(shè)備����,所述格式化單元包括存儲(chǔ)單元�����,用于存儲(chǔ)各安全對(duì)象設(shè)備對(duì)應(yīng)的日志格式化描述信息���;格式化單元��,用于按照所述各安全對(duì)象設(shè)備對(duì)應(yīng)的日志格式化描述信息對(duì)各安全對(duì)象設(shè)備的日志進(jìn)行格式化����。
其中��,所述格式化單元具體包括載入單元�����,用于載入各安全對(duì)象設(shè)備日志格式化對(duì)應(yīng)的日志格式化描述信息�����;日志格式化描述信息獲取單元,用于獲取安全對(duì)象設(shè)備對(duì)應(yīng)的日志格式化描述信息�;格式化處理單元���,用于按照該安全對(duì)象設(shè)備對(duì)應(yīng)的日志格式化描述信息對(duì)該安全對(duì)象設(shè)備的日志進(jìn)行格式化���。
其中����,所述日志格式化描述信息包括該安全對(duì)象設(shè)備標(biāo)識(shí)信息、該安全對(duì)象設(shè)備日志格式化需提取的各字段名稱��、各字段提取公式���;所述日志格式化描述信息獲取單元具體包括查詢處理單元�,用于根據(jù)安全對(duì)象設(shè)備標(biāo)識(shí)信息查詢是否存在該安全對(duì)象設(shè)備對(duì)應(yīng)的日志格式化需提取的各字段名稱以及各字段提取公式�����;提取單元,在查詢處理單元查詢結(jié)果為是后提取該安全對(duì)象設(shè)備對(duì)應(yīng)的日志格式化需提取的各字段名稱以及各字段提取公式���。
其中���,所述安全對(duì)象設(shè)備標(biāo)識(shí)信息為安全對(duì)應(yīng)類型和/或版本信息�����。
相應(yīng)地��,本發(fā)明的一種安全管理中心系統(tǒng)中的日志格式化方法�����,該方法包括載入各安全對(duì)象設(shè)備日志格式化對(duì)應(yīng)的日志格式化描述信息����;接收安全對(duì)象設(shè)備的日志�����,獲取該安全對(duì)象設(shè)備對(duì)應(yīng)的日志格式化描述信息�����;按照該安全對(duì)象設(shè)備對(duì)應(yīng)的日志格式化描述信息對(duì)該安全對(duì)象設(shè)備的日志進(jìn)行格式化。
其中��,所述日志格式化描述信息包括該安全對(duì)象設(shè)備標(biāo)識(shí)信息��、該安全對(duì)象設(shè)備日志格式化需提取的各字段名稱���、各字段提取公式�����;所述獲取安全對(duì)象設(shè)備對(duì)應(yīng)的日志格式化描述信息具體包括根據(jù)安全對(duì)象設(shè)備標(biāo)識(shí)信息查詢是否存在該安全對(duì)象設(shè)備對(duì)應(yīng)的日志格式化需提取的各字段名稱以及各字段提取公式���;在查詢處理單元查詢結(jié)果為是后提取該安全對(duì)象設(shè)備對(duì)應(yīng)的日志格式化需提取的各字段名稱以及各字段提取公式��。
其中�����,所述安全對(duì)象設(shè)備標(biāo)識(shí)信息為安全對(duì)應(yīng)類型和/或版本信息���。
與現(xiàn)有技術(shù)相比��,本發(fā)明具有以下有益效果本發(fā)明預(yù)先存儲(chǔ)各安全對(duì)象設(shè)備對(duì)應(yīng)的日志格式化描述信息�;接收到安全對(duì)象設(shè)備的日志后,按照該安全對(duì)象設(shè)備對(duì)應(yīng)的日志格式化描述信息對(duì)各安全對(duì)象設(shè)備的日志進(jìn)行格式化�����。由于采用基于描述的方式���,將對(duì)各種安全對(duì)象設(shè)備的日志進(jìn)行格式化的信息以日志格式化描述信息清楚的描述出來,對(duì)各安全對(duì)象設(shè)備的日志僅需根據(jù)相應(yīng)的日志格式化描述信息進(jìn)行日志格式化�����,當(dāng)安全管理中心系統(tǒng)增加新的安全對(duì)象設(shè)備�����,或者安全對(duì)象設(shè)備更改了日志格式時(shí),而只需載入新的日志格式化描述信息即可��,不需要對(duì)應(yīng)的修改代碼�,也不需要重新編寫代碼編譯系統(tǒng),減少了系統(tǒng)開發(fā)維護(hù)的工作量�,減少了系統(tǒng)的頻繁升級(jí)����,有效的節(jié)約了成本,提高了系統(tǒng)的運(yùn)行質(zhì)量和穩(wěn)定性。
圖1是現(xiàn)有技術(shù)安全管理中心系統(tǒng)中進(jìn)行日志格式化示意圖��;圖2是本發(fā)明安全管理中心系統(tǒng)中的日志格式化單元組成功能模塊圖�;圖3是本發(fā)明安全管理中心系統(tǒng)中的日志格式化單元進(jìn)行日志格式化的一種示例示意圖;圖4是本發(fā)明安全管理中心系統(tǒng)中日志格式化方法的主要流程圖��。
具體實(shí)施例方式
本發(fā)明的核心在于基于描述的方式��,將對(duì)各種安全對(duì)象設(shè)備的日志進(jìn)行格式化的信息以日志格式化描述信息清楚的描述出來�,對(duì)各安全對(duì)象設(shè)備的日志僅需根據(jù)相應(yīng)的日志格式化描述信息進(jìn)行日志格式化�,當(dāng)安全管理中心系統(tǒng)增加新的安全對(duì)象設(shè)備,或者安全對(duì)象設(shè)備更改了日志格式時(shí)�����,不需要對(duì)應(yīng)的修改代碼����,也不需要重新編寫代碼編譯系統(tǒng)、頻繁升級(jí)�,而只需載入新的日志格式化描述信息即可���,下面詳細(xì)說明。
參考圖2���,該圖是本發(fā)明安全管理中心系統(tǒng)中的日志格式化單元組成功能模塊圖。
本發(fā)明中安全管理中心系統(tǒng)日志格式化單元主要包括存儲(chǔ)單元1和格式化單元2��,其中存儲(chǔ)單元1�,主要用于存儲(chǔ)各安全對(duì)象設(shè)備對(duì)應(yīng)的日志格式化描述信息,具體實(shí)現(xiàn)時(shí)����,所述日志格式化描述信息可包括該安全對(duì)象設(shè)備標(biāo)識(shí)信息(例如安全對(duì)象設(shè)備類型、版本號(hào)等)��、該安全對(duì)象設(shè)備日志格式化需提取的各字段名稱�、各字段提取公式�;格式化單元2,主要用于按照所述存儲(chǔ)單元1存儲(chǔ)的各安全對(duì)象設(shè)備對(duì)應(yīng)的日志格式化描述信息對(duì)各安全對(duì)象設(shè)備的日志進(jìn)行格式化�����,作為一種具體的實(shí)現(xiàn)����,所述格式化單元2可包括載入單元21�����,所述載入單元21主要用于載入各安全對(duì)象設(shè)備日志格式化對(duì)應(yīng)的日志格式化描述信息,本發(fā)明中日志格式化單元需提供接口����,允許用戶控制重新加載日志描述表,以實(shí)現(xiàn)系統(tǒng)的動(dòng)態(tài)加載功能;日志格式化描述信息查詢獲取單元22��,所述日志格式化描述信息查詢獲取單元22主要用于查詢獲取安全對(duì)象設(shè)備對(duì)應(yīng)的日志格式化描述信息��,具體實(shí)現(xiàn)時(shí)��,對(duì)于日志格式化描述信息包括該安全對(duì)象設(shè)備標(biāo)識(shí)信息�����、該安全對(duì)象設(shè)備日志格式化需提取的各字段名稱����、各字段提取公式�,一種具體實(shí)現(xiàn),所述日志格式化描述信息查詢獲取單元22具體包括查詢處理單元221���,用于根據(jù)安全對(duì)象設(shè)備標(biāo)識(shí)信息查詢是否存在該安全對(duì)象設(shè)備對(duì)應(yīng)的日志格式化需提取的各字段名稱以及各字段提取公式���;提取單元222��,在查詢處理單元查詢結(jié)果為是后提取該安全對(duì)象設(shè)備對(duì)應(yīng)的日志格式化需提取的各字段名稱以及各字段提取公式����。
格式化處理單元23,所述格式化處理單元23主要用于按照所述查詢獲取的該安全對(duì)象設(shè)備對(duì)應(yīng)的日志格式化描述信息對(duì)該安全對(duì)象設(shè)備的日志進(jìn)行格式化��。
上述本發(fā)明中安全管理中心系統(tǒng)針對(duì)各種安全對(duì)象設(shè)備和該安全對(duì)象設(shè)備產(chǎn)生的日志格式,可定制一個(gè)對(duì)應(yīng)的日志格式化描述信息��,各個(gè)安全對(duì)象設(shè)備對(duì)應(yīng)的日志格式化描述可以日志格式化描述信息表的形式存儲(chǔ)����,所述日志格式化描述信息表用來描述各安全對(duì)象設(shè)備產(chǎn)生的特定格式的日志包含哪些字段,以及字段的類型��、位置和標(biāo)志等信息����,以及該字段對(duì)應(yīng)的格式化日志的字段名稱和提取公式,例如一種日志格式化描述信息表如表一所示表一
上述表一是如何提取某防火墻上報(bào)的日志里的信息的日志格式化描述信息表的一部分��。當(dāng)收到該防火墻設(shè)備的日志后,根據(jù)該防火墻設(shè)備的類型��、版本等信息可以查詢得到該設(shè)備對(duì)應(yīng)在日志格式化描述信息表中的相關(guān)記錄��,根據(jù)這些記錄�,可以確定該防火墻設(shè)備上報(bào)的日志中包含哪些字段,根據(jù)各字段對(duì)應(yīng)的提取方法可進(jìn)行格式化�����,將相關(guān)信息提取出來���,對(duì)應(yīng)到格式化日志的字段中����。當(dāng)增加新的安全對(duì)象設(shè)備類型,或者某安全對(duì)象設(shè)備類型變更了日志格式�,比如增加�、刪除字段,改變字段定義等�,只需要通過更新日志格式化描述信息表就可以完成新的安全對(duì)象設(shè)備的日志的格式化工作,不需要編寫代碼���,不需要重新編譯,甚至不需要重新啟動(dòng)程序���,下面舉例說明���。
參考圖3,該圖是一種安全管理中心系統(tǒng)中的日志格式化單元進(jìn)行日志格式化的一種示例示意圖���。
本實(shí)施例中安全管理中心系統(tǒng)中包括3種安全對(duì)象設(shè)備A類型防火墻、B類型防火墻和路由器����,現(xiàn)有技術(shù)中需要編寫對(duì)應(yīng)的格式化器1、格式化器2及格式化器3�����,去格式化相應(yīng)類型設(shè)備上報(bào)的日志���,而本發(fā)明中只需要一個(gè)統(tǒng)一日志格式化單元即可��,所述日志格式化單元在接收到一個(gè)安全對(duì)象設(shè)備的日志后�,例如接收到A類型防火墻的日志,則獲取配置的A類型防火墻對(duì)應(yīng)的日志格式化描述信息���,根據(jù)所述A類型防火墻對(duì)應(yīng)的日志格式化描述信息的描述進(jìn)行格式化����,而接收到B類型防火墻的日志,則獲取配置的B類型防火墻對(duì)應(yīng)的日志格式化描述信息���,根據(jù)所述B類型防火墻對(duì)應(yīng)的日志格式化描述信息的描述進(jìn)行格式化�����,在增加新的安全對(duì)象設(shè)備或安全對(duì)象設(shè)備的日志格式改變時(shí),只需修改日志格式化描述表�,然后重新加載新的日志格式化描述表即可��,無需重新修改編碼��。
參考圖4,該圖是本發(fā)明安全管理中心系統(tǒng)日志格式化方法的主要流程圖����,主要的工作流程如下步驟s11,日志格式化單元初始化時(shí)加載日志格式化描述信息表�����,完成初始化工作。
步驟s12�,接收到日志后,根據(jù)日志對(duì)應(yīng)的安全對(duì)象的類型和版本信息����,得到對(duì)應(yīng)的日志格式化描述信息記錄。
步驟s13���,根據(jù)日志格式化描述信息記錄�,從日志中提取出相關(guān)數(shù)據(jù)���,生成格式化日志中對(duì)應(yīng)的字段內(nèi)容�����。
步驟s14���,對(duì)一個(gè)日志分析完成后��,將生成的格式化日志的內(nèi)容填寫到格式化日志中對(duì)應(yīng)的字段�,生成格式化日志����。
綜上��,本發(fā)明采用基于描述的方式���,將對(duì)各種安全對(duì)象設(shè)備的日志進(jìn)行格式化的信息以日志格式化描述信息清楚的描述出來����,對(duì)各安全對(duì)象設(shè)備的日志僅需根據(jù)相應(yīng)的日志格式化描述信息進(jìn)行日志格式化����,當(dāng)安全管理中心系統(tǒng)增加新的安全對(duì)象設(shè)備���,或者安全對(duì)象設(shè)備更改了日志格式時(shí)�����,而只需載入新的日志格式化描述信息即可�����,不需要對(duì)應(yīng)的修改代碼�,也不需要重新編寫代碼編譯系統(tǒng)�,減少了系統(tǒng)開發(fā)維護(hù)的工作量,減少了系統(tǒng)的頻繁升級(jí)�,有效的節(jié)約了成本���,提高了系統(tǒng)的運(yùn)行質(zhì)量和穩(wěn)定性��。
以上所述僅是本發(fā)明的優(yōu)選實(shí)施方式��,應(yīng)當(dāng)指出,對(duì)于本技術(shù)領(lǐng)域的普通技術(shù)人員來說�,在不脫離本發(fā)明原理的前提下,還可以作出若干改進(jìn)和潤飾����,這些改進(jìn)和潤飾也應(yīng)視為本發(fā)明的保護(hù)范圍。
權(quán)利要求
1.一種安全管理中心系統(tǒng)中的日志格式化單元�,所述安全管理中心系統(tǒng)包括多個(gè)安全對(duì)象設(shè)備����,其特征在于,包括存儲(chǔ)單元��,用于存儲(chǔ)各安全對(duì)象設(shè)備對(duì)應(yīng)的日志格式化描述信息��;格式化單元�����,用于按照所述各安全對(duì)象設(shè)備對(duì)應(yīng)的日志格式化描述信息對(duì)各安全對(duì)象設(shè)備的日志進(jìn)行格式化����。
2.根據(jù)權(quán)利要求1所述的安全管理中心系統(tǒng)中的日志格式化單元���,其特征在于��,所述格式化單元具體包括載入單元���,用于載入各安全對(duì)象設(shè)備日志格式化對(duì)應(yīng)的日志格式化描述信息���;日志格式化描述信息獲取單元�,用于獲取安全對(duì)象設(shè)備對(duì)應(yīng)的日志格式化描述信息���;格式化處理單元����,用于按照該安全對(duì)象設(shè)備對(duì)應(yīng)的日志格式化描述信息對(duì)該安全對(duì)象設(shè)備的日志進(jìn)行格式化�。
3.根據(jù)權(quán)利要求2所述的安全管理中心系統(tǒng)中的日志格式化單元,其特征在于����,所述日志格式化描述信息包括該安全對(duì)象設(shè)備標(biāo)識(shí)信息、該安全對(duì)象設(shè)備日志格式化需提取的各字段名稱�����、各字段提取公式�;所述日志格式化描述信息獲取單元具體包括查詢處理單元��,用于根據(jù)安全對(duì)象設(shè)備標(biāo)識(shí)信息查詢是否存在該安全對(duì)象設(shè)備對(duì)應(yīng)的日志格式化需提取的各字段名稱以及各字段提取公式;提取單元�,在查詢處理單元查詢結(jié)果為是后提取該安全對(duì)象設(shè)備對(duì)應(yīng)的日志格式化需提取的各字段名稱以及各字段提取公式。
4.根據(jù)權(quán)利要求3所述的安全管理中心系統(tǒng)中的日志格式化單元���,其特征在于����,所述安全對(duì)象設(shè)備標(biāo)識(shí)信息為安全對(duì)應(yīng)類型和/或版本信息�。
5.一種安全管理中心系統(tǒng)中日志格式化方法,其特征在于�����,包括載入各安全對(duì)象設(shè)備日志格式化對(duì)應(yīng)的日志格式化描述信息���;接收安全對(duì)象設(shè)備的日志����,獲取該安全對(duì)象設(shè)備對(duì)應(yīng)的日志格式化描述信息;按照該安全對(duì)象設(shè)備對(duì)應(yīng)的日志格式化描述信息對(duì)該安全對(duì)象設(shè)備的日志進(jìn)行格式化��。
6.根據(jù)權(quán)利要求5所述的安全管理中心系統(tǒng)中日志格式化方法����,其特征在于,所述日志格式化描述信息包括該安全對(duì)象設(shè)備標(biāo)識(shí)信息�����、該安全對(duì)象設(shè)備日志格式化需提取的各字段名稱�、各字段提取公式;所述獲取安全對(duì)象設(shè)備對(duì)應(yīng)的日志格式化描述信息具體包括根據(jù)安全對(duì)象設(shè)備標(biāo)識(shí)信息查詢是否存在該安全對(duì)象設(shè)備對(duì)應(yīng)的日志格式化需提取的各字段名稱以及各字段提取公式��;在查詢處理單元查詢結(jié)果為是后提取該安全對(duì)象設(shè)備對(duì)應(yīng)的日志格式化需提取的各字段名稱以及各字段提取公式���。
7.根據(jù)權(quán)利要求6所述的安全管理中心系統(tǒng)中日志格式化方法�����,其特征在于�,所述安全對(duì)象設(shè)備標(biāo)識(shí)信息為安全對(duì)應(yīng)類型和/或版本信息。
全文摘要
本發(fā)明公開一種安全管理中心系統(tǒng)中的日志格式化單元��,所述安全管理中心系統(tǒng)包括多個(gè)安全對(duì)象設(shè)備�,所述格式化單元包括存儲(chǔ)單元,用于存儲(chǔ)各安全對(duì)象設(shè)備對(duì)應(yīng)的日志格式化描述信息�����;格式化單元����,用于按照所述各安全對(duì)象設(shè)備對(duì)應(yīng)的日志格式化描述信息對(duì)各安全對(duì)象設(shè)備的日志進(jìn)行格式化。相應(yīng)的����,本發(fā)明還公開一種安全管理中心系統(tǒng)中日志格式化方法。本發(fā)明在安全管理中心系統(tǒng)增加新的安全對(duì)象設(shè)備�����,或者安全對(duì)象設(shè)備更改了日志格式時(shí)�����,不需要對(duì)應(yīng)的修改代碼����,也不需要重新編寫代碼編譯系統(tǒng),不會(huì)造成系統(tǒng)頻繁升級(jí)�����。
文檔編號(hào)G06F12/14GK1889459SQ20061003661
公開日2007年1月3日 申請(qǐng)日期2006年7月20日 優(yōu)先權(quán)日2006年7月20日
發(fā)明者徐君 申請(qǐng)人:華為技術(shù)有限公司