專利名稱:在多源信息系統(tǒng)中搜索信息的方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及信息管理領(lǐng)域,尤其涉及一種在多源信息系統(tǒng)中搜索信息的方法和裝置�����。
背景技術(shù):
Internet的飛速發(fā)展����,為信息的傳播和利用帶來(lái)了極大的方便,同時(shí)也帶來(lái)了信息安全的巨大挑戰(zhàn)����。為了緩解日益嚴(yán)重的安全問(wèn)題,越來(lái)越多的企業(yè)和機(jī)構(gòu)部署了防火墻���、 入侵檢測(cè)系統(tǒng)(Intrusion Detection Systems���,IDS)、漏洞掃描設(shè)備�、流量檢測(cè)設(shè)備等一系列的網(wǎng)絡(luò)安全設(shè)備,有效降低了企業(yè)的安全風(fēng)險(xiǎn)�����,但同時(shí)帶來(lái)了安全相關(guān)數(shù)據(jù)分散�、事件量大難以處理等問(wèn)題。以一次緩沖區(qū)溢出攻擊為例��,與該攻擊相關(guān)的檢測(cè)數(shù)據(jù)可能會(huì)分布在防火墻��、 IDS��、流量檢測(cè)設(shè)備的日志中,同時(shí)與被攻擊主機(jī)相關(guān)的信息可能會(huì)存在于漏洞檢測(cè)設(shè)備的日志中���,每個(gè)檢測(cè)設(shè)備的日志都存放于獨(dú)立的數(shù)據(jù)庫(kù)中�����,數(shù)據(jù)庫(kù)的類型也各不相同�����,這就為安全分析人員的日志分析帶來(lái)了很大不便���。例如安全分析人員在根據(jù)IDS的報(bào)警判斷一次緩沖區(qū)溢出攻擊是否成功時(shí),需要先到防火墻的日志中搜索本次攻擊是否被防火墻阻斷���; 如果未進(jìn)行阻斷����,則需要到漏洞檢測(cè)設(shè)備的日志中搜索目標(biāo)主機(jī)上是否存在相應(yīng)的漏洞���。 由于與該報(bào)警相關(guān)的日志分布在不同的數(shù)據(jù)庫(kù)中�,這就需要安全分析人員在不同的數(shù)據(jù)庫(kù)中反復(fù)進(jìn)行搜索,事件分析過(guò)程變得復(fù)雜且費(fèi)時(shí)費(fèi)力�。如何充分利用多源安全日志,實(shí)現(xiàn)對(duì)攻擊行為的檢測(cè)和分析��,降低事件分析的復(fù)雜度�,是目前網(wǎng)絡(luò)安全領(lǐng)域急需解決的技術(shù)問(wèn)題。為了解決上述問(wèn)題��,安全管理平臺(tái)(Security Operations Center����,S0C)等產(chǎn)品得到了越來(lái)越廣泛的應(yīng)用���。SOC產(chǎn)品的工作原理是匯總多源安全設(shè)備的報(bào)警信息��,將分散在多個(gè)數(shù)據(jù)庫(kù)中的日志集中在同一個(gè)數(shù)據(jù)庫(kù)中����,在日志匯總的基礎(chǔ)上進(jìn)行事件的關(guān)聯(lián)搜索�,其中關(guān)聯(lián)搜索是在不同類型的安全日志中,查找與搜索關(guān)鍵字相關(guān)的全部日志信息���。該方案能夠在一定程度上解決數(shù)據(jù)源分散給事件分析造成的困難����,但卻存在以下不足首先,由于數(shù)據(jù)量過(guò)大���,或業(yè)務(wù)管理上的原因�,在很多應(yīng)用場(chǎng)合中難以將所有相關(guān)的數(shù)據(jù)匯總到同一個(gè)數(shù)據(jù)庫(kù)中�,事件分析過(guò)程仍有可能需要訪問(wèn)多個(gè)不同數(shù)據(jù)庫(kù)中的數(shù)據(jù);其次�,即使將所有的數(shù)據(jù)匯總到了同一個(gè)數(shù)據(jù)庫(kù)中,由于一次事件分析過(guò)程需要包括多個(gè)步驟��,安全分析人員仍然需要編寫多個(gè)結(jié)構(gòu)化搜索(SQL)語(yǔ)句�����,在多個(gè)數(shù)據(jù)表中進(jìn)行反復(fù)搜索�,才能得到需要的結(jié)果,而編寫�����、組織SQL語(yǔ)句的過(guò)程仍然十分復(fù)雜��,加重了數(shù)據(jù)庫(kù)的運(yùn)營(yíng)維護(hù)成本��,延長(zhǎng)數(shù)據(jù)庫(kù)的開發(fā)時(shí)間。
發(fā)明內(nèi)容
本發(fā)明提供一種在多源信息系統(tǒng)中搜索信息的方法和裝置�����,解決現(xiàn)有技術(shù)中無(wú)法對(duì)同一事物的多個(gè)描述信息關(guān)聯(lián)搜索的問(wèn)題�。為達(dá)到上述發(fā)明目的,本發(fā)明提供了如下技術(shù)方案
—種在多源信息系統(tǒng)中搜索信息的方法�����,包括獲取用戶為同一事物的多個(gè)描述信息設(shè)置的搜索順序和搜索內(nèi)容���;按照所述用戶設(shè)置的搜索順序,在存儲(chǔ)有該描述信息的數(shù)據(jù)庫(kù)中采用對(duì)應(yīng)的搜索內(nèi)容進(jìn)行搜索����。進(jìn)一步的,所述方法具有如下特點(diǎn)所述獲取用戶為同一事物的多個(gè)描述信息設(shè)置的搜索順序和搜索內(nèi)容���,包括在檢測(cè)到所述用戶需要進(jìn)行檢索時(shí)���,向所述用戶發(fā)送包括請(qǐng)求每種信息的搜索順序和搜索內(nèi)容的對(duì)話框;接收所述用戶填寫完成后的對(duì)話框���。進(jìn)一步的�����,所述方法具有如下特點(diǎn)所述搜索內(nèi)容包括搜索關(guān)鍵字的內(nèi)容���、搜索關(guān)鍵字的來(lái)源和搜索結(jié)果����。進(jìn)一步的�����,所述方法具有如下特點(diǎn)所述按照所述用戶設(shè)置的搜索順序����,在存儲(chǔ)有該描述信息的數(shù)據(jù)庫(kù)中采用對(duì)應(yīng)的搜索內(nèi)容進(jìn)行搜索,包括如果所述同一事物的多個(gè)描述信息不存儲(chǔ)在同一數(shù)據(jù)庫(kù)中�,獲取用于存儲(chǔ)該描述信息的數(shù)據(jù)庫(kù)的身份信息;采用所述數(shù)據(jù)庫(kù)的身份信息�,識(shí)別所述用于存儲(chǔ)該描述信息的數(shù)據(jù)庫(kù);按照所述用戶設(shè)置的搜索順序����,在識(shí)別得到的數(shù)據(jù)庫(kù)中采用對(duì)應(yīng)的搜索內(nèi)容進(jìn)行搜索�����。一種在多源信息系統(tǒng)中搜索信息的裝置����,包括獲取模塊����,用于獲取用戶為同一事物的多個(gè)描述信息設(shè)置的搜索順序和搜索內(nèi)容;搜索模塊���,用于按照所述用戶設(shè)置的搜索順序�����,在存儲(chǔ)有該描述信息的數(shù)據(jù)庫(kù)中采用對(duì)應(yīng)的搜索內(nèi)容進(jìn)行搜索。進(jìn)一步的�,所述裝置具有如下特點(diǎn)所述獲取模塊,包括發(fā)送單元�,用于在檢測(cè)到所述用戶需要進(jìn)行檢索時(shí),向所述用戶發(fā)送包括請(qǐng)求每種信息的搜索順序和搜索內(nèi)容的對(duì)話框���;接收單元�,用于接收所述用戶填寫完成后的對(duì)話框。進(jìn)一步的�,所述方法具有如下特點(diǎn)所述搜索模塊進(jìn)行搜索時(shí)的搜索內(nèi)容包括搜索關(guān)鍵字的內(nèi)容、搜索關(guān)鍵字的來(lái)源和搜索結(jié)果����。進(jìn)一步的,所述裝置具有如下特點(diǎn)所述搜索模塊��,包括獲取單元�����,用于在所述同一事物的多個(gè)描述信息不存儲(chǔ)在同一數(shù)據(jù)庫(kù)中時(shí)�,獲取用于存儲(chǔ)該描述信息的數(shù)據(jù)庫(kù)的身份信息;識(shí)別單元�����,與所述獲取單元相連�,用于采用所述獲取單元獲取的數(shù)據(jù)庫(kù)的身份信息,識(shí)別所述用于存儲(chǔ)該描述信息的數(shù)據(jù)庫(kù)���;搜索單元��,與所述識(shí)別單元相連��,用于按照所述用戶設(shè)置的搜索順序�,在所述識(shí)別單元識(shí)別得到的數(shù)據(jù)庫(kù)中采用對(duì)應(yīng)的搜索內(nèi)容進(jìn)行搜索。本發(fā)明提供的技術(shù)方案�����,在用戶進(jìn)行關(guān)聯(lián)搜索時(shí)����,通過(guò)人機(jī)交互,用戶設(shè)置在不同數(shù)據(jù)庫(kù)間的搜索順序以及在每個(gè)數(shù)據(jù)庫(kù)內(nèi)的搜索內(nèi)容�����,實(shí)現(xiàn)在多個(gè)數(shù)據(jù)庫(kù)之間的搜索���,無(wú)需開發(fā)用于數(shù)據(jù)庫(kù)間關(guān)聯(lián)搜索的腳本文件���,降低了系統(tǒng)的運(yùn)營(yíng)成本�����;根據(jù)用戶明確指示的
4搜索關(guān)鍵字和搜索結(jié)果進(jìn)行搜索�����,提高搜索的精度,降低了搜索的復(fù)雜度��,提高系統(tǒng)對(duì)搜索的處理速度���;由于只需要開發(fā)一個(gè)人機(jī)交互頁(yè)面���,用于請(qǐng)求用戶添加數(shù)據(jù)庫(kù)的搜索順序以及在每個(gè)數(shù)據(jù)庫(kù)內(nèi)的搜索關(guān)鍵字和搜索結(jié)果,實(shí)現(xiàn)方式簡(jiǎn)單且方便�����。
圖1為本發(fā)明提供的在多源信息系統(tǒng)中搜索信息的系統(tǒng)實(shí)施例的結(jié)構(gòu)示意圖�����;圖2為圖1所示實(shí)施例中獲取模塊101的結(jié)構(gòu)示意圖�����;圖3為圖1所示實(shí)施例中搜索模塊102的結(jié)構(gòu)示意圖���;圖4為本發(fā)明提供的在多源信息系統(tǒng)中搜索信息的方法實(shí)施例的流程示意圖��;圖5為本發(fā)明提供的獲取用戶對(duì)每種信息設(shè)置的搜索順序和搜索內(nèi)容信息頁(yè)面構(gòu)示意圖����;圖6為本發(fā)明提供的建立子查詢點(diǎn)之間關(guān)聯(lián)關(guān)系的頁(yè)面示意圖。
具體實(shí)施例方式為使本發(fā)明的目的����、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面將結(jié)合附圖及具體實(shí)施例對(duì)本發(fā)明作進(jìn)一步的詳細(xì)描述�����。圖1為本發(fā)明中在多源信息系統(tǒng)中搜索信息的裝置實(shí)施例的結(jié)構(gòu)示意圖�����。圖1所示裝置實(shí)施例主要包括獲取模塊101和搜索模塊102����,其中獲取模塊101,用于獲取用戶為同一事物的多個(gè)描述信息設(shè)置的搜索順序和搜索內(nèi)容��;搜索模塊102���,用于按照所述用戶設(shè)置的搜索順序��,在存儲(chǔ)有該描述信息的數(shù)據(jù)庫(kù)中采用對(duì)應(yīng)的搜索內(nèi)容進(jìn)行搜索����。其中多源信息系統(tǒng)包括多種不同類型的描述信息����,該不同類型的信息是指從不同方面對(duì)同一事物進(jìn)行描述的信息,以具體的應(yīng)用實(shí)例進(jìn)行說(shuō)明���,如網(wǎng)絡(luò)安全系統(tǒng)包括多種檢測(cè)設(shè)備���,每個(gè)檢測(cè)設(shè)備的安全日志就是不同的描述信息,以下以對(duì)一個(gè)網(wǎng)站的安全管理進(jìn)行描述����。下面對(duì)所述裝置作進(jìn)一步介紹圖2為圖1所示實(shí)施例中獲取模塊101的結(jié)構(gòu)示意圖。圖2所示實(shí)施例中獲取模塊101包括發(fā)送單元201���,用于在檢測(cè)到所述用戶需要進(jìn)行檢索時(shí)��,向所述用戶發(fā)送包括請(qǐng)求每種信息的搜索順序和搜索內(nèi)容的對(duì)話框��;接收單元202��,用于接收所述用戶填寫完成后的對(duì)話框���。具體的����,當(dāng)用戶進(jìn)行搜索���,所述獲取模塊101以對(duì)話框的形式獲取用戶對(duì)本次搜索的需要��,具體通過(guò)如下幾個(gè)頁(yè)面依次來(lái)獲取1��、用于請(qǐng)求用戶設(shè)置待搜索范圍的頁(yè)面�,其中待搜索范圍由多種不同類型的信息組成�;在頁(yè)面中,首先列舉出多種信息����,待用戶從中選取所需檢測(cè)的信息后,生成對(duì)應(yīng)的查詢點(diǎn)���,其中包括初始查詢點(diǎn)和多個(gè)子查詢點(diǎn)��,其中子查詢點(diǎn)的個(gè)數(shù)為信息的種類總數(shù)���,例如,選擇了 3個(gè)的描述信息��,則生成3個(gè)子查詢點(diǎn)����。
2、用于請(qǐng)求用戶設(shè)置對(duì)每個(gè)描述信息的搜索順序和搜索內(nèi)容����,其中搜索內(nèi)容包括搜索關(guān)鍵字的內(nèi)容、搜索關(guān)鍵字的來(lái)源和搜索結(jié)果��;由于搜索信息可以集中存儲(chǔ)在一個(gè)總數(shù)據(jù)庫(kù)�����,即設(shè)置一個(gè)總數(shù)據(jù)庫(kù)���,該總數(shù)據(jù)庫(kù)可以從只存特定的安全日志的數(shù)據(jù)庫(kù)中獲?��。灰部梢苑謩e存儲(chǔ)在不同的數(shù)據(jù)庫(kù),一個(gè)數(shù)據(jù)庫(kù)只存儲(chǔ)一種特定信息�����。以下分別對(duì)上述兩種情況進(jìn)行介紹以下以一個(gè)子查詢點(diǎn)的管理為例進(jìn)行說(shuō)明����,其他子查詢點(diǎn)相似,不再贅述�����。情況一為檢測(cè)設(shè)備的安全日志集中存儲(chǔ)在一個(gè)總數(shù)據(jù)庫(kù)在頁(yè)面中請(qǐng)求用戶對(duì)每個(gè)子查詢點(diǎn)定義搜索順序和搜索內(nèi)容��,其中搜索順序?yàn)橛脩舾鶕?jù)自身需要����,定義第幾步執(zhí)行對(duì)該子查詢點(diǎn)的查詢,其中搜索內(nèi)容包括搜索關(guān)鍵字的內(nèi)容�、搜索關(guān)鍵字的來(lái)源和搜索結(jié)果,其中搜索關(guān)鍵字的內(nèi)容可以為搜索的初始條件���,可以為從搜索過(guò)的信息中得到的搜索結(jié)果����。如果為搜索過(guò)的信息中得到的搜索結(jié)果,此時(shí)還需要明確指出該搜索結(jié)果是從那個(gè)搜索信息得到的��,從而明確描述信息之間的關(guān)系�,建立描述信息的關(guān)聯(lián)信息,從而實(shí)現(xiàn)關(guān)聯(lián)搜索���。情況二為檢測(cè)設(shè)備的安全日志不是都存儲(chǔ)在同一個(gè)數(shù)據(jù)庫(kù)為便于定位數(shù)據(jù)的位置��,情況二的頁(yè)面不但包括情況一頁(yè)面的全部?jī)?nèi)容,還包括定義子查詢點(diǎn)所在的數(shù)據(jù)庫(kù)��。當(dāng)用戶在設(shè)置搜索順序和搜索內(nèi)容的同時(shí)��,還要設(shè)置用于存儲(chǔ)該信息的數(shù)據(jù)庫(kù)的身份信息�,如數(shù)據(jù)庫(kù)編號(hào)。優(yōu)選的���,本實(shí)施例采用分散形式存儲(chǔ)信息���,與采用集中形式(即總數(shù)據(jù)庫(kù))管理相比,無(wú)需數(shù)據(jù)庫(kù)之間信息的傳遞����,在保證數(shù)據(jù)安全的前提下����,節(jié)省了網(wǎng)絡(luò)帶寬的使用��,再采用數(shù)據(jù)庫(kù)編號(hào)和搜索順序的方式獲取對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)順序�����,實(shí)現(xiàn)跨數(shù)據(jù)庫(kù)之間的搜索��,與現(xiàn)有技術(shù)中用戶設(shè)置用于數(shù)據(jù)庫(kù)之間關(guān)聯(lián)搜索的程序相比�,更易于用戶操作和使用。圖3為圖1所示實(shí)施例中搜索模塊102的結(jié)構(gòu)示意圖�����。圖3所示實(shí)施例中搜索模塊102包括獲取單元301���,用于在所述同一事物的多個(gè)描述信息不存儲(chǔ)在同一數(shù)據(jù)庫(kù)中時(shí)���,獲取用于存儲(chǔ)該描述信息的數(shù)據(jù)庫(kù)的身份信息;識(shí)別單元302�,與所述獲取單元301相連,用于采用所述獲取單元301獲取的數(shù)據(jù)庫(kù)的身份信息��,識(shí)別所述用于存儲(chǔ)該描述信息的數(shù)據(jù)庫(kù);搜索單元���,與所述識(shí)別單元302相連����,用于按照所述用戶設(shè)置的搜索順序��,在所述識(shí)別單元302識(shí)別得到的數(shù)據(jù)庫(kù)中采用對(duì)應(yīng)的搜索內(nèi)容進(jìn)行搜索���。具體的��,在獲取模塊101得到搜索順序和搜索關(guān)鍵字之后,所述搜索模塊按照獲取模塊101得到的搜索順序���,依次對(duì)信息進(jìn)行搜索����,在搜索過(guò)程中���,按照獲取模塊101得到的搜索關(guān)鍵字搜索對(duì)應(yīng)的搜索內(nèi)容?�,F(xiàn)有技術(shù)中根據(jù)搜索關(guān)鍵字和搜索內(nèi)容進(jìn)行搜索的方法均適用于本發(fā)明����,此處不再贅述。圖4為本發(fā)明中在多源信息系統(tǒng)中搜索信息的方法實(shí)施例的流程示意圖��。結(jié)合圖 1所示裝置實(shí)施例����,該方法包括步驟401、獲取用戶為同一事物的多個(gè)描述信息設(shè)置的搜索順序和搜索內(nèi)容����;步驟402、按照所述用戶設(shè)置的搜索順序���,在存儲(chǔ)有該描述信息的數(shù)據(jù)庫(kù)中采用對(duì)應(yīng)的搜索內(nèi)容進(jìn)行搜索��?���?蛇x的�����,在步驟401之前��,可以根據(jù)系統(tǒng)或用戶預(yù)先設(shè)置的策略,從同一事物的多個(gè)描述信息中選擇部分類型的信息作為待搜索范圍����,再請(qǐng)求用戶對(duì)該待搜索范圍設(shè)置搜索順序和搜索內(nèi)容。進(jìn)一步的���,在步驟401中��,搜索內(nèi)容包括搜索關(guān)鍵字的內(nèi)容���、搜索關(guān)鍵字的來(lái)源和搜索結(jié)果,其中如果第一信息的搜索關(guān)鍵字中除了包括已知的搜索關(guān)鍵字�,還包括對(duì)第二信息搜索后得到搜索結(jié)果,此時(shí)需要用戶設(shè)置該搜索關(guān)鍵字是從第二信息搜索后得到的����, 從而建立第一信息與第二信息的關(guān)聯(lián)關(guān)系����。進(jìn)一步的,如果每個(gè)描述信息分別存儲(chǔ)在對(duì)應(yīng)的數(shù)據(jù)庫(kù)中����,還需要用戶設(shè)置數(shù)據(jù)庫(kù)的身份標(biāo)識(shí)��,從而保證快速識(shí)別到數(shù)據(jù)庫(kù)���。下面以本發(fā)明提供的在多源信息系統(tǒng)中搜索信息的方法應(yīng)用實(shí)例流程示意圖。結(jié)合圖4所示方法實(shí)施例��,下面以對(duì)該應(yīng)用實(shí)例為例進(jìn)行說(shuō)明例如��,有3種安全檢測(cè)系統(tǒng)的安全日志�����,分別編號(hào)為A�����、B和C�,依次為網(wǎng)頁(yè)掛馬監(jiān)測(cè)系統(tǒng)、域名監(jiān)測(cè)系統(tǒng)和網(wǎng)絡(luò)流監(jiān)測(cè)系統(tǒng)����。網(wǎng)絡(luò)安全分析人員需要獲知用戶群中受某個(gè)被掛馬網(wǎng)站攻擊的用戶范圍;當(dāng)多源信息系統(tǒng)檢測(cè)到有用戶需要進(jìn)行搜索�,則彈出對(duì)話框,該對(duì)話框中還列舉有本地全部的安全檢測(cè)系統(tǒng),用戶可以實(shí)際需要選擇本次中需要搜索的安全檢測(cè)系統(tǒng)����,即待搜索范圍,其中允許用戶選擇所述搜索系統(tǒng)中全部或部分安全檢測(cè)系統(tǒng)作為待搜索范圍�,本例中,以選擇全部搜索模塊為例進(jìn)行說(shuō)明�;在選擇待搜索范圍后,用戶根據(jù)實(shí)際需要搜索的信息�����,確定每個(gè)安全檢測(cè)系統(tǒng)的搜索順序�����,由于本例是搜索用戶群中受某個(gè)被掛馬網(wǎng)站攻擊的用戶范圍�,則本例中的搜索順序?yàn)榫W(wǎng)頁(yè)掛馬監(jiān)測(cè)系統(tǒng)的安全日志一域名監(jiān)測(cè)系統(tǒng)的安全日志一網(wǎng)絡(luò)流監(jiān)測(cè)系統(tǒng)的安全日志。根據(jù)用戶確定的待搜索范圍����,系統(tǒng)生成初始節(jié)點(diǎn),該初始節(jié)點(diǎn)包括一個(gè)輸入?yún)?shù)����, 名稱為webaddress,類型為字符串型��,并添加三個(gè)子查詢節(jié)點(diǎn)����,每個(gè)子查詢節(jié)點(diǎn)的屬性為 序號(hào)(即執(zhí)行搜索的順序),數(shù)據(jù)庫(kù)名稱��、數(shù)據(jù)庫(kù)編號(hào)(在上述安全日志不存儲(chǔ)在同一個(gè)數(shù)據(jù)庫(kù)時(shí)存在���,否則不需要)��、搜索關(guān)鍵字的內(nèi)容����、搜索關(guān)鍵字的來(lái)源以及搜索結(jié)果�。下面對(duì)每個(gè)子查詢點(diǎn)進(jìn)行介紹子查詢節(jié)點(diǎn)1 網(wǎng)頁(yè)掛馬監(jiān)測(cè)系統(tǒng)的數(shù)據(jù)庫(kù)(以下簡(jiǎn)稱為掛馬時(shí)間段數(shù)據(jù)面板) 的搜索關(guān)鍵字為網(wǎng)站鏈接,如http://www. a. com����,搜索結(jié)果為開始時(shí)間和結(jié)束時(shí)間;如圖5所示�����,在頁(yè)面的屬性包括序號(hào)為1,數(shù)據(jù)源名稱為掛馬時(shí)間段�����,輸入?yún)?shù)為網(wǎng)站地址���,標(biāo)記為webaddress�,類型為字符串型�����;輸出參數(shù)為開始時(shí)間和結(jié)束時(shí)間�����, 標(biāo)記為begintime和endtime���,類型均為日期型�;查詢的SQL語(yǔ)句為select min(time) as begintime, max(time)as endtime fromwebsite_trojan_event where home_page = webaddress ���;子查詢節(jié)點(diǎn)2 域名監(jiān)測(cè)系統(tǒng)的數(shù)據(jù)庫(kù)的搜索關(guān)鍵字為網(wǎng)站鏈接和對(duì)網(wǎng)頁(yè)掛馬監(jiān)測(cè)系統(tǒng)的搜索結(jié)果����,即開始時(shí)間和結(jié)束時(shí)間��,搜索結(jié)果為該網(wǎng)站鏈接的IP地址���;在頁(yè)面的屬性包括序號(hào)為2���,數(shù)據(jù)源名稱為域名監(jiān)測(cè)數(shù)據(jù)源,輸入?yún)?shù)為 webaddress��,類型為字符串型����;begintime、endtime�����,類型為日期型�����;輸出參數(shù)為IP地址�����, 標(biāo)記為ip,類型為字符串型;查詢的SQL語(yǔ)句為selectip from dnsmonitor where time between begimime and endtime anddnsname = webaddress����。其中 begintime>endtime 為子查詢點(diǎn)1的搜索結(jié)果,還需要建立兩個(gè)子查詢點(diǎn)的關(guān)聯(lián)關(guān)系��,如圖6所示�。
子查詢節(jié)點(diǎn)3 網(wǎng)絡(luò)流監(jiān)測(cè)系統(tǒng)的數(shù)據(jù)庫(kù)的搜索關(guān)鍵字為網(wǎng)站鏈接的IP地址,開始時(shí)間和結(jié)束時(shí)間�,搜索結(jié)果為訪問(wèn)該網(wǎng)站鏈接的IP地址,如192. 168. 1. 1����。在頁(yè)面的屬性包括序號(hào)為3,數(shù)據(jù)源名稱為網(wǎng)絡(luò)流監(jiān)測(cè)數(shù)據(jù)源�,輸入?yún)?shù)為ip, 類型為字符串型����;begintime、endtime��,類型為日期型����;輸出參數(shù)為IP地址列表���,標(biāo)記為 srcip,類型為字符串型���;查詢的 SQLi吾句為selectdistinct srcip from v_netflow t where eventtime between begintime and endtimeand dstip = ip and dstport = 80。當(dāng)用戶設(shè)置完成后�����,多源信息系統(tǒng)按照數(shù)據(jù)庫(kù)的搜索順序�,采用每個(gè)數(shù)據(jù)庫(kù)對(duì)應(yīng)的搜索關(guān)鍵字和搜索順序,對(duì)上述三個(gè)數(shù)據(jù)庫(kù)進(jìn)行搜索��。在網(wǎng)頁(yè)梓馬監(jiān)測(cè)系統(tǒng)的數(shù)據(jù)庫(kù)的捭索關(guān)鍵字為網(wǎng)站鏈接����,如httD://VWW. a. com, 從得到的搜索結(jié)果中獲取開始時(shí)間和結(jié)束時(shí)間,如2010-1-1 2010-1-2�����,得到該網(wǎng)站植入木馬的時(shí)間�����;在域名監(jiān)測(cè)系統(tǒng)的數(shù)據(jù)庫(kù)的捭索關(guān)鍵字為httD://www. a. com和2010_1_1 2010-1-2為搜索關(guān)鍵字,搜索結(jié)果為該網(wǎng)站鏈接的IP地址����,得到該網(wǎng)站植入木馬時(shí)采用的 IP地址;網(wǎng)絡(luò)流監(jiān)測(cè)系統(tǒng)的數(shù)據(jù)庫(kù)的搜索關(guān)鍵字為網(wǎng)站鏈接的IP地址和2010-1-1 2010-1-2�,搜索結(jié)果為訪問(wèn)該網(wǎng)站鏈接的IP地址,得到在植入木馬這段時(shí)間內(nèi)訪問(wèn)該網(wǎng)站 IP地址的用戶IP地址����。上述三個(gè)搜索過(guò)程中,執(zhí)行子查詢節(jié)點(diǎn)1的查詢?nèi)蝿?wù)在頁(yè)掛馬監(jiān)測(cè)數(shù)據(jù)源上���,將子查詢節(jié)點(diǎn)1中定義的SQL語(yǔ)句中的輸入?yún)?shù)�,根據(jù)節(jié)點(diǎn)間的關(guān)聯(lián)關(guān)系替換為具體參數(shù)����。 執(zhí)行 SQL i吾句select min (time) asbegintime, max (time) as endtime from website_ tro jan_event where home page = ^www, a. com’,并將 begintime>endtime 作為輸出參數(shù), 假設(shè)查詢結(jié)果分別為“2010-1-1”和“2010-1-2”��;執(zhí)行子查詢節(jié)點(diǎn)2的查詢?nèi)蝿?wù)在域名監(jiān)測(cè)數(shù)據(jù)源上����,將子查詢節(jié)點(diǎn)2中定義的 SQL語(yǔ)句中的輸入?yún)?shù),根據(jù)節(jié)點(diǎn)間的關(guān)聯(lián)關(guān)系替換為具體參數(shù)。執(zhí)行SQL語(yǔ)句select ip from dnsmonitor where time between ‘2010-l-l’and <2010-l-2,and dnsname = ^www, a. com�����,����,并將ip作為輸出參數(shù),假設(shè)查詢結(jié)果為“192. 168. 1.1"�;執(zhí)行子查詢節(jié)點(diǎn)3的查詢?nèi)蝿?wù)在網(wǎng)絡(luò)流監(jiān)測(cè)數(shù)據(jù)源上,將子查詢節(jié)點(diǎn)3中定義的SQL語(yǔ)句中的輸入?yún)?shù)��,根據(jù)節(jié)點(diǎn)間的關(guān)聯(lián)關(guān)系替換為具體參數(shù)��。執(zhí)行SQL語(yǔ)句select distinct srcip from v_netflow t where eventtime between'2010-1-1'and'2010-1-2' and dstip = ‘192. 168. 1. 1�,and dstport = 80��,并將查詢結(jié)果 srcip 作為最終的輸出���。如果上述三個(gè)安全檢測(cè)系統(tǒng)的安全日志是分散開的��,在選擇需要搜索的數(shù)據(jù)庫(kù)時(shí)�����,還需要用戶設(shè)置該數(shù)據(jù)庫(kù)的身份標(biāo)識(shí)��,如數(shù)據(jù)庫(kù)編號(hào)等���,與現(xiàn)有技術(shù)不同的是��,在進(jìn)行搜索時(shí)�����,無(wú)需匯聚到一個(gè)用于提供搜索信息功能的總數(shù)據(jù)庫(kù)中�����,減少了日志在數(shù)據(jù)庫(kù)和總數(shù)據(jù)庫(kù)之間的傳輸����,降低業(yè)務(wù)管理的成本�,同時(shí),與現(xiàn)有技術(shù)中在多個(gè)分散的數(shù)據(jù)庫(kù)中開發(fā)用于關(guān)聯(lián)搜索的腳本來(lái)實(shí)現(xiàn)相比�,更易于用戶的操作。本發(fā)明實(shí)施例提供的方法并不限于此����,對(duì)于描述同一事物的多個(gè)描述信息,且多個(gè)描述信息存在信息交集(即某一個(gè)描述的搜索結(jié)果是另一搜索信息的搜索關(guān)鍵字)或因果關(guān)系,既可以認(rèn)為該多個(gè)描述信息組成多源信息系統(tǒng)�����,就可以采用本發(fā)明提供的方法���。例如����,銀行管理系統(tǒng)中����,對(duì)一個(gè)用戶而言,多源信息包括賬戶信息和業(yè)務(wù)信息�����,當(dāng)需要獲取評(píng)估用戶的最大消費(fèi)能力時(shí)��,此時(shí)就需要將存儲(chǔ)對(duì)賬戶信息和業(yè)務(wù)信息進(jìn)行分析�����。本實(shí)施例提供的方法�����,在用戶進(jìn)行關(guān)聯(lián)搜索時(shí)���,通過(guò)人機(jī)交互�,請(qǐng)求用戶設(shè)置數(shù)據(jù)庫(kù)的搜索順序以及在每個(gè)數(shù)據(jù)庫(kù)內(nèi)的搜索關(guān)鍵字和搜索結(jié)果��,實(shí)現(xiàn)在多個(gè)數(shù)據(jù)庫(kù)之間的搜索���,無(wú)需開發(fā)用于數(shù)據(jù)庫(kù)間關(guān)聯(lián)搜索的腳本文件�����,降低了系統(tǒng)的運(yùn)營(yíng)成本�;根據(jù)用戶明確指示的搜索關(guān)鍵字和搜索結(jié)果進(jìn)行搜索���,降低了搜索的復(fù)雜度���,提高系統(tǒng)對(duì)搜索的處理速度; 由于只需要開發(fā)一個(gè)人機(jī)交互頁(yè)面��,用于請(qǐng)求用戶添加數(shù)據(jù)庫(kù)的搜索順序以及在每個(gè)數(shù)據(jù)庫(kù)內(nèi)的搜索關(guān)鍵字和搜索結(jié)果���,實(shí)現(xiàn)方式簡(jiǎn)單且方便��。本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例的全部或部分步驟是可以通過(guò)程序來(lái)指令相關(guān)的硬件完成�,所述的程序可以存儲(chǔ)于一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中,該程序在執(zhí)行時(shí)��,包括方法實(shí)施例的步驟之一或其組合�。另外,在本發(fā)明各個(gè)實(shí)施例中的各功能單元可以采用硬件的形式實(shí)現(xiàn)����,也可以采用軟件功能模塊的形式實(shí)現(xiàn)。所述集成的模塊如果以軟件功能模塊的形式實(shí)現(xiàn)并作為獨(dú)立的產(chǎn)品銷售或使用時(shí)���,也可以存儲(chǔ)在一個(gè)計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中��。上述提到的存儲(chǔ)介質(zhì)可以是只讀存儲(chǔ)器���,磁盤或光盤等���。以上所述��,僅為本發(fā)明的具體實(shí)施方式
���,但本發(fā)明的保護(hù)范圍并不局限于此���,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi),可輕易想到變化或替換���,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)�����。因此����,本發(fā)明的保護(hù)范圍應(yīng)以權(quán)利要求所述的保護(hù)范圍為準(zhǔn)��。
權(quán)利要求
1.一種在多源信息系統(tǒng)中搜索信息的方法����,其特征在于,包括 獲取用戶為同一事物的多個(gè)描述信息設(shè)置的搜索順序和搜索內(nèi)容��;按照所述用戶設(shè)置的搜索順序�,在存儲(chǔ)有該描述信息的數(shù)據(jù)庫(kù)中采用對(duì)應(yīng)的搜索內(nèi)容進(jìn)行搜索。
2.根據(jù)權(quán)利要求1所述的方法�,其特征在于���,所述獲取用戶為同一事物的多個(gè)描述信息設(shè)置的搜索順序和搜索內(nèi)容,包括在檢測(cè)到所述用戶需要進(jìn)行檢索時(shí)��,向所述用戶發(fā)送包括請(qǐng)求每種信息的搜索順序和搜索內(nèi)容的對(duì)話框�����;接收所述用戶填寫完成后的對(duì)話框��。
3.根據(jù)權(quán)利要求1所述的方法�����,其特征在于�����,所述搜索內(nèi)容包括搜索關(guān)鍵字的內(nèi)容�、搜索關(guān)鍵字的來(lái)源和搜索結(jié)果。
4.根據(jù)權(quán)利要求1所述的方法��,其特征在于�,所述按照所述用戶設(shè)置的搜索順序����,在存儲(chǔ)有該描述信息的數(shù)據(jù)庫(kù)中采用對(duì)應(yīng)的搜索內(nèi)容進(jìn)行搜索�����,包括如果所述同一事物的多個(gè)描述信息不存儲(chǔ)在同一數(shù)據(jù)庫(kù)中����,獲取用于存儲(chǔ)該描述信息的數(shù)據(jù)庫(kù)的身份信息����;采用所述數(shù)據(jù)庫(kù)的身份信息,識(shí)別所述用于存儲(chǔ)該描述信息的數(shù)據(jù)庫(kù)���;按照所述用戶設(shè)置的搜索順序���,在識(shí)別得到的數(shù)據(jù)庫(kù)中采用對(duì)應(yīng)的搜索內(nèi)容進(jìn)行搜索。
5.一種在多源信息系統(tǒng)中搜索信息的裝置��,其特征在于����,包括獲取模塊,用于獲取用戶為同一事物的多個(gè)描述信息設(shè)置的搜索順序和搜索內(nèi)容�; 搜索模塊��,用于按照所述用戶設(shè)置的搜索順序��,在存儲(chǔ)有該描述信息的數(shù)據(jù)庫(kù)中采用對(duì)應(yīng)的搜索內(nèi)容進(jìn)行搜索����。
6.根據(jù)權(quán)利要求5所述的裝置�,其特征在于,所述獲取模塊���,包括發(fā)送單元��,用于在檢測(cè)到所述用戶需要進(jìn)行檢索時(shí)�����,向所述用戶發(fā)送包括請(qǐng)求每種信息的搜索順序和搜索內(nèi)容的對(duì)話框����;接收單元�����,用于接收所述用戶填寫完成后的對(duì)話框。
7.根據(jù)權(quán)利要求5所述的裝置���,其特征在于,所述搜索模塊進(jìn)行搜索時(shí)的搜索內(nèi)容包括搜索關(guān)鍵字的內(nèi)容�、搜索關(guān)鍵字的來(lái)源和搜索結(jié)果。
8.根據(jù)權(quán)利要求5所述的裝置�,其特征在于,所述搜索模塊���,包括獲取單元��,用于在所述同一事物的多個(gè)描述信息不存儲(chǔ)在同一數(shù)據(jù)庫(kù)中時(shí)����,獲取用于存儲(chǔ)該描述信息的數(shù)據(jù)庫(kù)的身份信息��;識(shí)別單元�,與所述獲取單元相連,用于采用所述獲取單元獲取的數(shù)據(jù)庫(kù)的身份信息�,識(shí)別所述用于存儲(chǔ)該描述信息的數(shù)據(jù)庫(kù);搜索單元�����,與所述識(shí)別單元相連,用于按照所述用戶設(shè)置的搜索順序�,在所述識(shí)別單元識(shí)別得到的數(shù)據(jù)庫(kù)中采用對(duì)應(yīng)的搜索內(nèi)容進(jìn)行搜索。
全文摘要
本發(fā)明提供一種多源信息系統(tǒng)中搜索信息的方法��,涉及信息管理領(lǐng)域��;解決現(xiàn)有技術(shù)中無(wú)法對(duì)同一事物的多個(gè)描述信息關(guān)聯(lián)搜索的問(wèn)題����。所述方法,包括獲取用戶為同一事物的多個(gè)描述信息設(shè)置的搜索順序和搜索內(nèi)容�;按照所述用戶設(shè)置的搜索順序,在存儲(chǔ)有該描述信息的數(shù)據(jù)庫(kù)中采用對(duì)應(yīng)的搜索內(nèi)容進(jìn)行搜索���。本發(fā)明提供的技術(shù)方案可應(yīng)用于搜索信息��。
文檔編號(hào)G06F17/30GK102253948SQ20101018185
公開日2011年11月23日 申請(qǐng)日期2010年5月19日 優(yōu)先權(quán)日2010年5月19日
發(fā)明者周濤, 安占江, 陳卓 申請(qǐng)人:北京啟明星辰信息安全技術(shù)有限公司, 北京啟明星辰信息技術(shù)股份有限公司