[发明专利]基于告警关联的日志密文检索方法

权利要求书

1.基于告警关联的日志密文检索系统，其特征在于：由日志拥有者模块、基于区块链的分布式存储模块和日志检索者模块三个模块组成；

上述的日志拥有者模块是告警日志的拥有者部分，负责将告警日日志加密上传到存储结构，从告警日志提取出日志元数据和密文索引结构发送到区块链节点，保管加密日志的密钥并负责发送密钥给完成身份验证的日志检索者；

基于区块链的分布式存储模块负责告警日志的存储和管理；接收并存储加密日志文件，将密文索引结构与日志元数据存入区块中并将新区块连接到区块链，接收关键词后负责日志检索，通过匹配区块告警标识获取区块，从区块的索引结构中检索告警日志，将查询到的加密日志，发送给提交关键词的日志检索者；

日志检索模块是告警日志的检索者部分，告警日志的检索者负责通过客户端提交检索关键词，并发送密钥请求到日志拥有者模块，得到返回的密钥后对检索得到的加密日志进行解密得到告警日志；

日志拥有者模块与基于区块链的分布式存储模块共同完成告警日志的存储流程，通过日志拥有者模块向存储模块发送日志信息，存储模块将日志信息进行分开管理，保证了告警日志的安全存储；日志拥有者、存储模块、日志检索者模块共同完成告警日志的检索流程，通过日志检索者提交检索信息，存储模块根据检索信息进行区块和日志的检索并将结果返回给检索者，日志拥有者通过身份验证后将加密密钥返回给检索者以解密密文日志。

2.利用权利要求1所述系统进行的基于告警关联的日志密文检索方法，其特征在于：

本方法定义了日志源地址威胁程度的计算函数，通过计算日志源地址的威胁程度，对告警日志进行有效的聚类并构建密文索引，同时本方法出了使用告警关联的方法对日志进行相关性分析，通过查找告警日志间的逻辑关系，将同一攻击过程的告警日志分类，分析日志间的先后顺序，提取出属于同一攻击场景的告警日志并构建安全索引结构，通过日志检索和场景检索快速获取到具有攻击意图的告警日志。

3.根据权利要求2所述的基于告警关联的日志密文检索方法，其特征在于：本发明的存储和检索过程为：

步骤21，日志拥有者上传告警日志文件；

步骤22，根据索引构建算法，构建告警日志索引结构；

步骤23，将索引结构进行加密，生成密文索引结构；

步骤24，计算告警日志的Hash值和告警日志存储地址组成日志元数据上传到区块链节点通过生成新区块连入区块链中；

步骤25，使用日志拥有者的加密密钥将明文日志进行加密生成密文日志安全存储在分布式数据库中；

步骤26，日志检索者提交明文检索关键词；

步骤27，将关键词进行加密生成密文检索关键词并提交到区块链节点，根据区块检索得到密文索引结构，根据索引结构的日志存储地址得到密文日志文件，将日志检索结果发送到日志检索者；

步骤28，日志检索者接收密文告警日志；

步骤29，日志检索者根据密钥申请得到加密密钥对密文日志进行解密得到明文日志。