一種實現(xiàn)日志數(shù)據(jù)實時關(guān)聯(lián)裝置及方法
【專利摘要】本發(fā)明公開了一種實現(xiàn)日志數(shù)據(jù)實時關(guān)聯(lián)裝置���,該裝置包括數(shù)據(jù)預處理模塊和數(shù)據(jù)分析模塊;所述數(shù)據(jù)預處理模塊��,用于對網(wǎng)絡(luò)設(shè)備中的數(shù)據(jù)進行采集���,形成原始數(shù)據(jù)�����,并將原始數(shù)據(jù)進行規(guī)范后形成規(guī)范數(shù)據(jù)���;所述數(shù)據(jù)分析模塊����,用于將所述規(guī)范數(shù)據(jù)與關(guān)聯(lián)規(guī)則進行實時匹配�,當匹配結(jié)果相同時,標識所述規(guī)范數(shù)據(jù)�����;本發(fā)明還公開了一種實現(xiàn)日志數(shù)據(jù)實時關(guān)聯(lián)的方法�����;根據(jù)本發(fā)明方案����,所述關(guān)聯(lián)規(guī)則可由實際的網(wǎng)路情況進行靈活配置,無需人工對非授權(quán)日志數(shù)據(jù)排查�,減少了人工工作量,提高了非授權(quán)日志數(shù)據(jù)的處理效率�����。
【專利說明】一種實現(xiàn)日志數(shù)據(jù)實時關(guān)聯(lián)裝置及方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及關(guān)聯(lián)規(guī)則數(shù)據(jù)挖掘【技術(shù)領(lǐng)域】�����,尤其涉及一種實現(xiàn)日志數(shù)據(jù)實時關(guān)聯(lián)裝置及方法。
【背景技術(shù)】
[0002]隨著數(shù)據(jù)庫技術(shù)的不斷發(fā)展及數(shù)據(jù)庫管理系統(tǒng)的廣泛應用���,數(shù)據(jù)庫中存儲的數(shù)據(jù)量急劇增大��,在大量的數(shù)據(jù)背后隱藏著許多重要信息�����。數(shù)據(jù)挖掘就是從大型的數(shù)據(jù)庫中提取出人們感興趣的信息數(shù)據(jù)。數(shù)據(jù)挖掘目的在于確定關(guān)聯(lián)規(guī)則����。所述關(guān)聯(lián)規(guī)則是指在日志數(shù)據(jù)、關(guān)系數(shù)據(jù)或者其它信息載體中�����,存在與項目集合或?qū)ο蠹现g的頻繁模式�����、相關(guān)性或因果結(jié)構(gòu)����。關(guān)聯(lián)規(guī)則的獲取途徑主要是利用數(shù)據(jù)挖掘方法從大量的事件記錄數(shù)據(jù)庫中找出數(shù)據(jù)之間的相關(guān)性或頻繁模式���。其中,數(shù)據(jù)挖掘方法主要以Apriori (由原因推及結(jié)果)算法為代表�,其后的MPL (The Mozilla Public License,專用許可協(xié)議)等算法大多是在Apriori算法的基礎(chǔ)上衍生或者改進��。
[0003]在網(wǎng)絡(luò)管理系統(tǒng)中�����,利用關(guān)聯(lián)規(guī)則���,網(wǎng)管系統(tǒng)可將具有關(guān)聯(lián)性的多組日志數(shù)據(jù)進行存儲��、運算等處理�,以備后續(xù)網(wǎng)絡(luò)設(shè)備進行實時調(diào)用�;而當關(guān)聯(lián)規(guī)則描述的是非授權(quán)日志數(shù)據(jù)之間的關(guān)聯(lián)性時,網(wǎng)管系統(tǒng)根據(jù)此時的關(guān)聯(lián)規(guī)則即可識別出當前的日志數(shù)據(jù)為非授權(quán)日志數(shù)據(jù)�����。
[0004]現(xiàn)有技術(shù)中����,當發(fā)現(xiàn)有多組非授權(quán)日志數(shù)據(jù)存在時��,由于非授權(quán)日志數(shù)據(jù)對于后續(xù)處理基本沒有作用���,考慮到對存儲空間的不必要占用,因此需要人工逐組進行排查���,繼而刪除非授權(quán)日志數(shù)據(jù)��。人工排查過程繁瑣��、工作量大����、且容易造成排查漏洞���。
【發(fā)明內(nèi)容】
[0005]有鑒于此,本發(fā)明的主要目的在于提供一種實現(xiàn)日志數(shù)據(jù)實時關(guān)聯(lián)裝置及方法�,進行關(guān)聯(lián)規(guī)則與數(shù)據(jù)的實時匹配,當發(fā)現(xiàn)非授權(quán)日志數(shù)據(jù)時�,標識非授權(quán)日志數(shù)據(jù),能夠解決人工排查工作量大的問題���。
[0006]為達到上述目的����,本發(fā)明的技術(shù)方案是這樣實現(xiàn)的:
[0007]本發(fā)明提供了一種實現(xiàn)日志數(shù)據(jù)實時關(guān)聯(lián)裝置,該裝置包括數(shù)據(jù)預處理模塊和數(shù)據(jù)分析模塊�����;其中���,
[0008]所述數(shù)據(jù)預處理模塊���,用于對網(wǎng)絡(luò)設(shè)備中的數(shù)據(jù)進行采集,形成原始數(shù)據(jù)��,并原始數(shù)據(jù)進行規(guī)范后形成規(guī)范數(shù)據(jù)�;
[0009]所述數(shù)據(jù)分析模塊,用于將所述規(guī)范數(shù)據(jù)與關(guān)聯(lián)規(guī)則進行實時匹配�,當匹配結(jié)果相同時,標識所述規(guī)范數(shù)據(jù)�。
[0010]上述方案中,所述數(shù)據(jù)分析模塊�����,進一步用于:當所述規(guī)范數(shù)據(jù)與所述關(guān)聯(lián)規(guī)則的匹配結(jié)果相同時,產(chǎn)生告警�����。
[0011]上述方案中�,所述數(shù)據(jù)預處理模塊包括采集單元、規(guī)范單元和接口單元���;其中����,
[0012]所述采集單元�����,用于對網(wǎng)絡(luò)設(shè)備中的數(shù)據(jù)進行采集�����,形成原始數(shù)據(jù)����,發(fā)送至所述規(guī)范單元�����;
[0013]所述規(guī)范單元,用于對收到的原始數(shù)據(jù)進行泛化形成規(guī)范數(shù)據(jù)����,發(fā)送至所述接口單元;
[0014]所述接口單元����,用于將所述規(guī)范數(shù)據(jù)發(fā)送至所述數(shù)據(jù)分析模塊。
[0015]上述方案中�����,所述接口單元為socket接口��。
[0016]上述方案中�����,所述數(shù)據(jù)分析模塊包括內(nèi)存單元和關(guān)聯(lián)規(guī)則單元�����;其中���,
[0017]所述關(guān)聯(lián)規(guī)則單元����,用于加載存儲的關(guān)聯(lián)規(guī)則到所述內(nèi)存單元;
[0018]所述內(nèi)存單元���,用于在指定的時間內(nèi)��,將所述規(guī)范數(shù)據(jù)與所述關(guān)聯(lián)規(guī)則進行匹配�����,當匹配結(jié)果相同時�,標識所述規(guī)范數(shù)據(jù)����。
[0019]上述方案中,所述內(nèi)存單元�,進一步用于:當所述規(guī)范數(shù)據(jù)與所述關(guān)聯(lián)規(guī)則的匹配結(jié)果不同時,存儲所述規(guī)范數(shù)據(jù)�����。
[0020]上述方案中��,所述內(nèi)存單元�,進一步用于:在設(shè)定時間內(nèi),存儲的所述規(guī)范數(shù)據(jù)沒有被使用����,將其刪除。
[0021]上述方案中�,所述數(shù)據(jù)分析模塊進一步包括告警單元;
[0022]所述內(nèi)存單元��,進一步用于當規(guī)范數(shù)據(jù)與關(guān)聯(lián)規(guī)則的匹配結(jié)果為相同時�,觸發(fā)所述告警單元;
[0023]所述告警單元��,用于根據(jù)所述內(nèi)存單元的觸發(fā)產(chǎn)生告警����。
[0024]本發(fā)明還提供了一種實現(xiàn)日志數(shù)據(jù)實時關(guān)聯(lián)方法,所述方法包括:
[0025]采集數(shù)據(jù)��、并將采集到的數(shù)據(jù)進行規(guī)范����,形成規(guī)范數(shù)據(jù);
[0026]將規(guī)范數(shù)據(jù)與關(guān)聯(lián)規(guī)則進行匹配���,當匹配結(jié)果相同時����,標識所述規(guī)范數(shù)據(jù)。
[0027]上述方案中�����,所述采集數(shù)據(jù)���、并將采集到的數(shù)據(jù)進行規(guī)范�,形成規(guī)范數(shù)據(jù)���,包括:
[0028]對網(wǎng)絡(luò)設(shè)備中的數(shù)據(jù)進行采集�,形成原始數(shù)據(jù)��,然后數(shù)據(jù)預處理模塊對所述原始數(shù)據(jù)進行泛化形成規(guī)范數(shù)據(jù)�,并發(fā)送至數(shù)據(jù)分析模塊。
[0029]上述方案中����,所述將規(guī)范數(shù)據(jù)與關(guān)聯(lián)規(guī)則進行匹配,當匹配結(jié)果相同時�����,標識所述規(guī)范數(shù)據(jù)��,包括:
[0030]加載存儲的關(guān)聯(lián)規(guī)則��,在指定的時間內(nèi)�,然后將所述規(guī)范數(shù)據(jù)和所述關(guān)聯(lián)規(guī)則進行匹配,當匹配結(jié)果相同即當前的規(guī)范數(shù)據(jù)為非授權(quán)日志數(shù)據(jù)時�,則標識所述規(guī)范數(shù)據(jù)。
[0031]上述方案中�����,所述標識所述規(guī)范數(shù)據(jù)之后進一步包括:產(chǎn)生告警����。
[0032]上述方案中,所述方法還包括:
[0033]當所述規(guī)范數(shù)據(jù)與所述關(guān)聯(lián)規(guī)則的匹配結(jié)果不同時���,存儲所述規(guī)范數(shù)據(jù)�。
[0034]上述方案中���,所述存儲所述規(guī)范數(shù)據(jù)之后��,進一步包括:
[0035]在設(shè)定時間內(nèi)�����,存儲的所述規(guī)范數(shù)據(jù)沒有被使用��,將其刪除����。
[0036]本發(fā)明提供的一種實現(xiàn)日志數(shù)據(jù)實時關(guān)聯(lián)裝置及方法,在指定的時間內(nèi)����,將規(guī)范數(shù)據(jù)與關(guān)聯(lián)規(guī)則進行匹配,規(guī)范數(shù)據(jù)與關(guān)聯(lián)規(guī)則匹配結(jié)果相同時���,便標識出相應規(guī)范數(shù)據(jù)����、即非授權(quán)日志數(shù)據(jù)����;在指定的時間內(nèi),自動刪除已標識的規(guī)范數(shù)據(jù),即非授權(quán)日志數(shù)據(jù)�;所述關(guān)聯(lián)規(guī)則可根據(jù)網(wǎng)絡(luò)情況進行修改,配置較靈活���;無需人工對所述非授權(quán)日志數(shù)據(jù)進行排查���,減少了人工工作量�����,提高了非授權(quán)日志數(shù)據(jù)的處理效率����。
[0037]根據(jù)本發(fā)明提供的方案,還可進一步實現(xiàn)自動告警�����,以告知維護人員當前日志數(shù)據(jù)為非授權(quán)日志數(shù)據(jù)�。【專利附圖】
【附圖說明】
[0038]圖1為本發(fā)明實現(xiàn)日志數(shù)據(jù)實時關(guān)聯(lián)裝置結(jié)構(gòu)示意圖��;
[0039]圖2為本發(fā)明實現(xiàn)日志數(shù)據(jù)實時關(guān)聯(lián)方法示意圖��;
[0040]圖3為本發(fā)明實現(xiàn)日志數(shù)據(jù)實時關(guān)聯(lián)方法的匹配過程示意圖。
【具體實施方式】
[0041]本發(fā)明提供一種實現(xiàn)日志數(shù)據(jù)實時關(guān)聯(lián)裝置��,如圖1所示�,所述裝置包括數(shù)據(jù)預處理模塊10和數(shù)據(jù)分析模塊11。其中����,
[0042]所述數(shù)據(jù)預處理模塊10,用于對網(wǎng)絡(luò)設(shè)備中的數(shù)據(jù)進行采集�,形成原始數(shù)據(jù),將原始數(shù)據(jù)進行規(guī)范后形成規(guī)范數(shù)據(jù)�,并發(fā)送至所述數(shù)據(jù)分析模塊11;
[0043]所述數(shù)據(jù)分析模塊11,用于將接收到的規(guī)范數(shù)據(jù)與關(guān)聯(lián)規(guī)則進行匹配��;當匹配結(jié)果為相同時�����,標識所述規(guī)范數(shù)據(jù)����,進一步的可產(chǎn)生告警。
[0044]其中�,當匹配結(jié)果為相同時,說明當前的規(guī)范數(shù)據(jù)為非授權(quán)日志數(shù)據(jù)���,那么需要對所述非授權(quán)日志數(shù)據(jù)進行標識�;所述標識可采用現(xiàn)有技術(shù)中的數(shù)據(jù)標識方法,例如�,將所述非授權(quán)日志數(shù)據(jù)的數(shù)據(jù)頭部添加數(shù)字“O” ;
[0045]進一步的���,所述數(shù)據(jù)預處理模塊10包括采集單元101�����、規(guī)范單元102和接口單元103 ;其中����,
[0046]具體的�,所述采集單元101�,用于對網(wǎng)絡(luò)設(shè)備中的數(shù)據(jù)進行采集,形成原始數(shù)據(jù)����,發(fā)送至所述規(guī)范單元102 ;
[0047]所述規(guī)范單元102�����,用于對收到的原始數(shù)據(jù)進行泛化形成規(guī)范數(shù)據(jù),發(fā)送至所述接口單元103 ���;
[0048]所述接口單元103���,用于將所述規(guī)范數(shù)據(jù)發(fā)送至所述數(shù)據(jù)分析模塊11。
[0049]所述接口單元103具體可以為socket接口���。
[0050]其中��,所述泛化指的是將原始數(shù)據(jù)按照記錄的事件�����、事件產(chǎn)生的時間����、地點即所屬網(wǎng)絡(luò)設(shè)備的IP(Internet Protocol,互聯(lián)網(wǎng)協(xié)議)地址��、事件性質(zhì)等屬性進行整理�����。
[0051]進一步的���,所述數(shù)據(jù)分析模塊11包括內(nèi)存單元110和關(guān)聯(lián)規(guī)則單元112 ;其中�����,
[0052]所述關(guān)聯(lián)規(guī)則單元112�����,用于加載存儲的關(guān)聯(lián)規(guī)則到所述內(nèi)存單元110 ����;
[0053]所述內(nèi)存單元110,用于在指定的時間內(nèi)��,將接收到的所述規(guī)范數(shù)據(jù)與所述關(guān)聯(lián)規(guī)則進行匹配�����,匹配結(jié)果為相同時�����,表明當前的規(guī)范數(shù)據(jù)為非授權(quán)日志數(shù)據(jù)時����,標識所述規(guī)范數(shù)據(jù);
[0054]所述內(nèi)存單元110在標識完所述規(guī)范數(shù)據(jù)后�����,刪除非授權(quán)日志數(shù)據(jù)���;
[0055]所述內(nèi)存單元110�,進一步用于當規(guī)范數(shù)據(jù)與關(guān)聯(lián)規(guī)則的匹配結(jié)果為不相同時��,存儲所述規(guī)范數(shù)據(jù)�����,以方便所述裝置或后續(xù)網(wǎng)絡(luò)設(shè)備進行調(diào)用�;進一步的,在設(shè)定時間內(nèi)����,存儲的所述規(guī)范數(shù)據(jù)沒有被使用時,將其刪除���。
[0056]所述數(shù)據(jù)分析模塊11進一步包括:告警單元111 ;
[0057]所述內(nèi)存單元110�����,進一步用于當規(guī)范數(shù)據(jù)與關(guān)聯(lián)規(guī)則的匹配結(jié)果為相同時,觸發(fā)所述告警單元111;
[0058]所述告警單元111,用于根據(jù)所述內(nèi)存單元110的觸發(fā)產(chǎn)生告警��。[0059]所述匹配過程是指將當前的規(guī)范數(shù)據(jù)遍歷所有的關(guān)聯(lián)規(guī)則���,當前的規(guī)范數(shù)據(jù)記錄的屬性與關(guān)聯(lián)規(guī)則中記錄的相同即匹配結(jié)果相同時,則認為當前的規(guī)范數(shù)據(jù)為非授權(quán)日志數(shù)據(jù)���;
[0060]當匹配結(jié)果為不同即當前的規(guī)范數(shù)據(jù)為授權(quán)日志數(shù)據(jù)時��,所述內(nèi)存單元110可將所述授權(quán)日志數(shù)據(jù)存儲�����,以方便所述裝置或后續(xù)網(wǎng)絡(luò)設(shè)備進行調(diào)用�����;而在設(shè)定時間內(nèi)��,存儲在所述內(nèi)存單元110中的所述授權(quán)日志數(shù)據(jù)沒有被自身或者其它的網(wǎng)絡(luò)設(shè)備進行使用時,所述內(nèi)存單元110會將其刪除���。
[0061]其中��,所述關(guān)聯(lián)規(guī)則�、所述指定的時間和所述設(shè)定時間均由維護人員根據(jù)網(wǎng)絡(luò)優(yōu)化經(jīng)驗制定并預先設(shè)置于所述數(shù)據(jù)分析模塊11中、具體是所述關(guān)聯(lián)規(guī)則設(shè)置于所述關(guān)聯(lián)規(guī)則單元112中��,所述指定的時間和設(shè)定時間設(shè)置于所述內(nèi)存單元110中���;所述關(guān)聯(lián)規(guī)則����、所述指定的時間和設(shè)定時間還可根據(jù)實際的網(wǎng)絡(luò)情況進行修改���。
[0062]對應于上述裝置���,本發(fā)明還提供了一種實現(xiàn)日志數(shù)據(jù)實時關(guān)聯(lián)方法,如圖2所示�,所述方法包括:
[0063]步驟20:數(shù)據(jù)預處理模塊采集數(shù)據(jù)、并將數(shù)據(jù)進行規(guī)范�����,并將形成的規(guī)范數(shù)據(jù)發(fā)送至數(shù)據(jù)分析模塊�;
[0064]具體的,所述數(shù)據(jù)預處理模塊10對網(wǎng)絡(luò)設(shè)備中的數(shù)據(jù)進行采集��,形成原始數(shù)據(jù),然后數(shù)據(jù)預處理模塊對所述原始數(shù)據(jù)進行泛化形成規(guī)范數(shù)據(jù)���,并發(fā)送至數(shù)據(jù)分析模塊�����。
[0065]步驟21:數(shù)據(jù)分析模塊將規(guī)范數(shù)據(jù)與關(guān)聯(lián)規(guī)則進行匹配����;當匹配結(jié)果相同時��,標識所述規(guī)范數(shù)據(jù)����;
[0066]具體的,所述數(shù)據(jù)分析模塊11接收所述規(guī)范數(shù)據(jù)��,加載存儲的關(guān)聯(lián)規(guī)則����,在指定的時間內(nèi),然后將所述規(guī)范數(shù)據(jù)和所述關(guān)聯(lián)規(guī)則進行匹配��,當匹配結(jié)果相同即當前的規(guī)范數(shù)據(jù)為非授權(quán)日志數(shù)據(jù)時���,則標識所述規(guī)范數(shù)據(jù)�,進一步還可產(chǎn)生告警����;當匹配結(jié)果不同即當前的規(guī)范數(shù)據(jù)為授權(quán)日志數(shù)據(jù)時,將所述當前授權(quán)日志數(shù)據(jù)進行存儲�,以便自身或后續(xù)網(wǎng)絡(luò)設(shè)備的調(diào)用;
[0067]其中�,標識出的規(guī)范數(shù)據(jù)即非授權(quán)數(shù)據(jù)可在指定的時間內(nèi)進行刪除;
[0068]進一步地����,所述步驟20中,所述數(shù)據(jù)預處理模塊10中的采集單元101先采集網(wǎng)絡(luò)設(shè)備上的數(shù)據(jù)����,形成原始數(shù)據(jù),然后所述數(shù)據(jù)預處理模塊10中的規(guī)范單元102對所述原始數(shù)據(jù)經(jīng)泛化形成規(guī)范數(shù)據(jù)��,并由所述數(shù)據(jù)預處理模塊10中的接口單元103將所述規(guī)范數(shù)據(jù)發(fā)送至所述數(shù)據(jù)分析模塊11 ��;
[0069]所述步驟21中�����,所述數(shù)據(jù)分析模塊11中的內(nèi)存單元110接收所述規(guī)范數(shù)據(jù),并由所述數(shù)據(jù)分析模塊11中的關(guān)聯(lián)規(guī)則單元112將關(guān)聯(lián)規(guī)則加載到所述內(nèi)存單元110中���,所述內(nèi)存單元110在指定的時間內(nèi)��,將所述規(guī)范數(shù)據(jù)和所述關(guān)聯(lián)規(guī)則進行匹配�����,當匹配結(jié)果相同即當前的規(guī)范數(shù)據(jù)為非授權(quán)日志數(shù)據(jù)時�,便標識所述規(guī)范數(shù)據(jù)�����,并可進一步觸發(fā)所述數(shù)據(jù)分析模塊11中的告警單元111產(chǎn)生一次告警�;當匹配結(jié)果不同即當前的規(guī)范數(shù)據(jù)為授權(quán)日志數(shù)據(jù)時,所述內(nèi)存單元110將所述當前授權(quán)日志數(shù)據(jù)進行存儲����,以便自身或后續(xù)網(wǎng)絡(luò)設(shè)備的調(diào)用。
[0070]其中�,具體的匹配過程如圖3所示,
[0071]因所述規(guī)范數(shù)據(jù)的格式為記錄的事件����、事件產(chǎn)生的時間��、事件所屬網(wǎng)絡(luò)設(shè)備的IP地址���、事件性質(zhì)等�,圖3中所示的數(shù)據(jù)I包括數(shù)據(jù)I記錄的事件1、事件I產(chǎn)生的時間���、事件I所屬網(wǎng)絡(luò)設(shè)備的IP地址1��、事件I的性質(zhì)�����;
[0072]數(shù)據(jù)2包括數(shù)據(jù)2記錄的事件2�����、事件2產(chǎn)生的時間���、事件2所屬網(wǎng)絡(luò)設(shè)備的IP地址2、事件2的性質(zhì)���;
[0073]...[0074]數(shù)據(jù)η包括數(shù)據(jù)η記錄的事件η�、事件η產(chǎn)生的時間、事件η所屬網(wǎng)絡(luò)設(shè)備的IP地址η���、事件η的性質(zhì)��;
[0075]上述數(shù)據(jù)I至數(shù)據(jù)η為指定的時間內(nèi)����、如10分鐘或者小于10分鐘的時間內(nèi)的數(shù)據(jù)���。
[0076]所述數(shù)據(jù)I至數(shù)據(jù)η與所述關(guān)聯(lián)規(guī)則進行匹配���,即將所述數(shù)據(jù)I至數(shù)據(jù)η逐一遍歷所有所述關(guān)聯(lián)規(guī)則,
[0077]其中�,所述數(shù)據(jù)I至數(shù)據(jù)η中至少一個數(shù)據(jù)記錄的屬性與至少一個所述關(guān)聯(lián)規(guī)則記錄的相同時,即認為當前數(shù)據(jù)為非授權(quán)日志數(shù)據(jù)���;所述數(shù)據(jù)I至數(shù)據(jù)η中所有數(shù)據(jù)記錄的屬性均與所述關(guān)聯(lián)規(guī)則記錄的不相同時�����,即認為當前數(shù)據(jù)為授權(quán)日志數(shù)據(jù)����;
[0078]在10分鐘或者小于10分鐘的時間內(nèi),當所述數(shù)據(jù)I至數(shù)據(jù)η中的至少一組數(shù)據(jù)記錄的屬性與至少一個所述關(guān)聯(lián)規(guī)則記錄的相同時�,便產(chǎn)生一次報警,并標識非授權(quán)日志數(shù)據(jù)��,同時將授權(quán)日志數(shù)據(jù)進行存儲�,以便后續(xù)調(diào)用�;
[0079]在10分鐘或者小于10分鐘的時間內(nèi),當所述數(shù)據(jù)I至數(shù)據(jù)η所有數(shù)據(jù)記錄的屬性與所有所述關(guān)聯(lián)規(guī)則均不相同時�,說明所述數(shù)據(jù)I至數(shù)據(jù)η為授權(quán)日志數(shù)據(jù),同時將所述數(shù)據(jù)I至數(shù)據(jù)η全部存儲到所述裝置的內(nèi)存單元110中�����,以便所述裝置或后續(xù)網(wǎng)絡(luò)設(shè)備進行調(diào)用���;
[0080]本發(fā)明提供的實現(xiàn)日志數(shù)據(jù)實時關(guān)聯(lián)裝置���,通過配置關(guān)聯(lián)規(guī)則到數(shù)據(jù)分析模塊,將規(guī)范數(shù)據(jù)與所述關(guān)聯(lián)規(guī)則進行匹配����,在指定的時間內(nèi)��,當匹配結(jié)果相同時��,標識非授權(quán)日志數(shù)據(jù)�;其中����,所述關(guān)聯(lián)規(guī)則可根據(jù)實際網(wǎng)絡(luò)情況進行修改、配置較靈活����;此外,還可進一步實現(xiàn)自動產(chǎn)生告警�,以告知維護人員當前存在非授權(quán)數(shù)據(jù),無需人工對所述非授權(quán)日志數(shù)據(jù)進行排查��,減少了人工工作量��。
[0081]以上所述���,僅為本發(fā)明較佳的實施例而已����,并非用于限定本發(fā)明的保護范圍�。
【權(quán)利要求】
1.一種實現(xiàn)日志數(shù)據(jù)實時關(guān)聯(lián)裝置��,其特征在于����,該裝置包括數(shù)據(jù)預處理模塊和數(shù)據(jù)分析模塊���;其中��, 所述數(shù)據(jù)預處理模塊��,用于對網(wǎng)絡(luò)設(shè)備中的數(shù)據(jù)進行采集���,形成原始數(shù)據(jù)��,并原始數(shù)據(jù)進行規(guī)范后形成規(guī)范數(shù)據(jù)���; 所述數(shù)據(jù)分析模塊���,用于將所述規(guī)范數(shù)據(jù)與關(guān)聯(lián)規(guī)則進行實時匹配,當匹配結(jié)果相同時����,標識所述規(guī)范數(shù)據(jù)���。
2.根據(jù)權(quán)利要求1所述的實現(xiàn)日志數(shù)據(jù)實時關(guān)聯(lián)裝置,其特征在于���,所述數(shù)據(jù)分析模塊���,進一步用于:當所述規(guī)范數(shù)據(jù)與所述關(guān)聯(lián)規(guī)則的匹配結(jié)果相同時,產(chǎn)生告警��。
3.根據(jù)權(quán)利要求1所述的實現(xiàn)日志數(shù)據(jù)實時關(guān)聯(lián)裝置�,其特征在于,所述數(shù)據(jù)預處理模塊包括采集單元���、規(guī)范單元和接口單元��;其中��, 所述采集單元���,用于對網(wǎng)絡(luò)設(shè)備中的數(shù)據(jù)進行采集,形成原始數(shù)據(jù)�����,發(fā)送至所述規(guī)范單元; 所述規(guī)范單元,用于對收到的原始數(shù)據(jù)進行泛化形成規(guī)范數(shù)據(jù)�����,發(fā)送至所述接口單元; 所述接口單元���,用于 將所述規(guī)范數(shù)據(jù)發(fā)送至所述數(shù)據(jù)分析模塊�。
4.根據(jù)權(quán)利要求3所述的實現(xiàn)日志數(shù)據(jù)實時關(guān)聯(lián)裝置���,其特征在于��,所述接口單元為socket 接 P���。
5.根據(jù)權(quán)利要求1至4任一所述的實現(xiàn)日志數(shù)據(jù)實時關(guān)聯(lián)裝置,其特征在于�����,所述數(shù)據(jù)分析模塊包括內(nèi)存單元和關(guān)聯(lián)規(guī)則單元�;其中�����, 所述關(guān)聯(lián)規(guī)則單元,用于加載存儲的關(guān)聯(lián)規(guī)則到所述內(nèi)存單元�����; 所述內(nèi)存單元�,用于在指定的時間內(nèi),將所述規(guī)范數(shù)據(jù)與所述關(guān)聯(lián)規(guī)則進行匹配�����,當匹配結(jié)果相同時�����,標識所述規(guī)范數(shù)據(jù)��。
6.根據(jù)權(quán)利要求5所述的實現(xiàn)日志數(shù)據(jù)實時關(guān)聯(lián)裝置���,其特征在于�����,所述內(nèi)存單元�,進一步用于:當所述規(guī)范數(shù)據(jù)與所述關(guān)聯(lián)規(guī)則的匹配結(jié)果不同時,存儲所述規(guī)范數(shù)據(jù)�。
7.根據(jù)權(quán)利要求6所述的實現(xiàn)日志數(shù)據(jù)實時關(guān)聯(lián)裝置,其特征在于��,所述內(nèi)存單元�,進一步用于:在設(shè)定時間內(nèi),存儲的所述規(guī)范數(shù)據(jù)沒有被使用�����,將其刪除��。
8.根據(jù)權(quán)利要求5所述的實現(xiàn)日志數(shù)據(jù)實時關(guān)聯(lián)裝置���,其特征在于�����,所述數(shù)據(jù)分析模塊進一步包括告警單元�����; 所述內(nèi)存單元,進一步用于當規(guī)范數(shù)據(jù)與關(guān)聯(lián)規(guī)則的匹配結(jié)果為相同時����,觸發(fā)所述告警單元����; 所述告警單元�����,用于根據(jù)所述內(nèi)存單元的觸發(fā)產(chǎn)生告警�����。
9.一種實現(xiàn)日志數(shù)據(jù)實時關(guān)聯(lián)方法���,其特征在于��,所述方法包括: 采集數(shù)據(jù)�、并將采集到的數(shù)據(jù)進行規(guī)范���,形成規(guī)范數(shù)據(jù)���; 將規(guī)范數(shù)據(jù)與關(guān)聯(lián)規(guī)則進行匹配,當匹配結(jié)果相同時�����,標識所述規(guī)范數(shù)據(jù)。
10.根據(jù)權(quán)利要求9所述的實現(xiàn)日志數(shù)據(jù)實時關(guān)聯(lián)方法���,其特征在于��,所述采集數(shù)據(jù)����、并將采集到的數(shù)據(jù)進行規(guī)范��,形成規(guī)范數(shù)據(jù)�����,包括: 對網(wǎng)絡(luò)設(shè)備中的數(shù)據(jù)進行采集����,形成原始數(shù)據(jù),然后數(shù)據(jù)預處理模塊對所述原始數(shù)據(jù)進行泛化形成規(guī)范數(shù)據(jù)����,并發(fā)送至數(shù)據(jù)分析模塊。
11.根據(jù)權(quán)利要求9或10所述的實現(xiàn)日志數(shù)據(jù)實時關(guān)聯(lián)方法�����,其特征在于����,所述將規(guī)范數(shù)據(jù)與關(guān)聯(lián)規(guī)則進行匹配,當匹配結(jié)果相同時����,標識所述規(guī)范數(shù)據(jù),包括: 加載存儲的關(guān)聯(lián)規(guī)則���,在指定的時間內(nèi)���,然后將所述規(guī)范數(shù)據(jù)和所述關(guān)聯(lián)規(guī)則進行匹配,當匹配結(jié)果相同即當前的規(guī)范數(shù)據(jù)為非授權(quán)日志數(shù)據(jù)時��,則標識所述規(guī)范數(shù)據(jù)�����。
12.根據(jù)權(quán)利要求11所述的實現(xiàn)日志數(shù)據(jù)實時關(guān)聯(lián)方法�,其特征在于,所述標識所述規(guī)范數(shù)據(jù)之后進一步包括:產(chǎn)生告警�����。
13.根據(jù)權(quán)利要求9或10所述的實現(xiàn)日志數(shù)據(jù)實時關(guān)聯(lián)方法,其特征在于����,所述方法還包括: 當所述規(guī)范數(shù)據(jù)與所述關(guān)聯(lián)規(guī)則的匹配結(jié)果不同時,存儲所述規(guī)范數(shù)據(jù)�。
14.根據(jù)權(quán)利要求13所述的實現(xiàn) 日志數(shù)據(jù)實時關(guān)聯(lián)方法,其特征在于���,所述存儲所述規(guī)范數(shù)據(jù)之后�,進一步包括: 在設(shè)定時間內(nèi)���,存儲的所述規(guī)范數(shù)據(jù)沒有被使用���,將其刪除。
【文檔編號】H04L12/24GK103812676SQ201210444048
【公開日】2014年5月21日 申請日期:2012年11月8日 優(yōu)先權(quán)日:2012年11月8日
【發(fā)明者】溫小明 申請人:深圳中興網(wǎng)信科技有限公司