● 摘要
随着信息技术的发展,企业越来越依靠信息技术来提高效率和生产力,因此保障信息系统在企业中正常运作尤为重要。业务的复杂度增加了信息系统出现问题的可能性,所以通过对日志信息的审计,当系统发生故障时,快速定位错误根源,减少损失是非常重要的。本文首先综述了当前的故障定位技术,选择了本文所采用的故障定位技术:基于规则推理的事件关联方法。着重论述了安全审计系统中的事件关联,并对规则推理中的术语进行约定,给出了事件关联类型。最后以CLIPS语言做为规则的表示语言和RETE算法做为模式匹配方法,研究和设计了基于规则推理的事件关联方法,主要包含以下内容:(1) 鉴别网络生成算法的设计鉴别网络是RETE算法的基础,本文根据所要解决的事件关联类型,对鉴别网络的建立做了分析和研究。在鉴别网络设计中,通过对alpha网络中具有相同模式结点的共享,使得模式匹配时避免了重复匹配。(2) 模式匹配算法的设计在模式匹配算法的设计中,采用基于插槽位置的方法查找事件实例集中的待匹配的事件实例;改进了RETE算法的beta结点右侧存储区结构,利用索引进行模式匹配,提高了对具有变量绑定约束模式的匹配效率。(3) UAM规则引擎的实现与性能评估利用本文的基于规则推理的事件关联方法实现了UAM规则引擎,对该引擎进行规则推理的Manners测试和左右匹配测试,并与商业规则引擎Drools4.0.3和Jess7.0p2做了比较。最后将该规则引擎用于安全审计系统当中,通过事件关联,提供给管理员有价值的故障信息。