云计算是国家重要的基础信息设施,支撑着电子政务、金融证券等复杂性系统。云计算平台安全保障与健康管理是其广泛应用的前提和基础。伴随云计算服务过程,产生海量的系统运行、安全防护、设备状态等日志。多源异构海量的云计算日志分析是其安全保障和健康管理的重要手段。云平台安全日志格式种类多、语义级别低、信息不统一的特点导致传统的日志分析方法在精确性、实时性和效率方面无法满足云计算平台安全分析的要求。本文聚焦于多源异构安全日志的精确解析、基于海量安全事件规则关联分析的主动防御,设计和开发了云平台安全日志实时分析系统。基于聚类分类的日志解析方法仅提取日志关键信息,在日志转换精确度方面无法满足云计算安全平台的要求。针对云平台安全日志格式种类多、语义级别低、信息不统一的特点,提出一种基于流式架构的多源异构安全日志解析方法,实现了低语义级别多源异构安全日志的规范化、结构化处理,为日志关联分析提供支撑。基于机器学习的海量安全事件批处理方法因缺乏考虑时间关联导致其在实时性和准确度方面无法满足云计算平台的要求。将单次规则关联转换为多次混合规则关联,依据安全分析场景制定关联分析规则,提出一种基于时间维度的多层规则关联分析方法,实现多场景的安全事件自动快速关联分析。实际测试表明,安全事件分析平均延时小于1秒,满足云计算平台安全分析的实时性需求;多层规则关联分析方法降低假阳性率38%,提高了安全事件分析的准确度。基于所研究的技术与方法,设计并实现基于流式架构的安全日志实时分析系统,由规则关联分析子系统、日志管理与分析子系统组成。规则关联分析子系统采用基于时间维度的多层规则关联分析方法,实现可视化分析、自动关联分析功能,满足日志分析精确性、实时性和高效性的要求。日志管理与分析子系统采用基于流式架构的多源异构安全日志解析方法,实现日志的实时采集、日志索引查询、可视化分析功能。该系统已经应用在DragonStack云平台,验证了所研究技术与方法的可用性,为确保云计算平台安全分析提供支撑。