基于XML规则模型的防火墙日志自动提取与分析方法

1.基于XML规则模型的防火墙日志自动提取与分析方法，该方法包括以下的步骤：
一、定义XML日志分析模板
XML日志分析模板的定义如下：
上述XML模板的含义如下：
●Firewall_id：防火墙日志标识号，用于区分不同防火墙；
●Log_type_num：日志类型数量，防火墙日志所包含的类型数；
●Max_log_len：防火墙日志中最大记录数；
●Log_type_name：防火墙每条日志的日志类型名称；
●Log_start_tag：每条日志的起始标记；
●Log_end_tag：每条日志的结束标记；
●Item_type：每条日志中包含多个字段，每个字段的类型；
●Item_name：每个字段的名称；
●Item_start_offset：每个字段的在记录中的偏移地址；
●Item_Match：每个字段的匹配字符；
二、防火墙日志的自动提取
防火墙XML日志模板定义完成后，进行日志自动提取过程，具体流程如下：
2.1）接收防火墙日志文件，当收到新的防火墙日志时对其根据XML模板进行处理；
2.2）读取防火墙日志对应的XML分析模板；
2.3）根据模板中定义的Log_start_tag和Log_end_tag从日志文件中获取一条日志记录；
2.4）根据XML模板中“数据项”定义的Item_type属性、Item_name属性、Item_start_offset属性、Item_Match属性提前日志记录中的时间、源IP地址、源端口、目的IP地址、目的端口；
2.5）根据2.4）得到的五组数据以结构化数据表结构进行存储；
2.6）判断该日志文件中的所有记录是否处理完毕，如果没有处理完毕，转到2.3），如果处理完毕，则进入防火墙日志分析流程；
三、防火墙日志的分析
防火墙日志分析方法采用方差分析方法，包括以下步骤：
3.1）根据时间范围n，从防火墙日志结构化数据表中提取所有时间值在此时间范围内的日志集合；
3.2）根据分析目标A，A为源IP地址、源端口、目的IP地址、目的端口四个参数中的一个，对3.1）所涉及的日志集合中所有不同的A的取值进行分类，产生集合{a1，a2，a3…am}；
3.3）从集合{a1，a2，a3…am}中提取一个元素，根据3.1）所涉及的日志集合，按天为单位进行统计，统计出该元素每天发生的次数：x1，x2，x3…xn；
3.4）对x1，x2，x3…xn进行方差分析，如果方差值超过方差阀值，则进行报警处理；
3.5）重复3.3）和3.4），直到对集合{a1，a2，a3…am}中的每一个元数都处理完毕。

暂无