亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

用于合并部分聚合查詢結(jié)果的系統(tǒng)和方法

文檔序號:6484807閱讀:281來源:國知局
用于合并部分聚合查詢結(jié)果的系統(tǒng)和方法
【專利摘要】提供了一種用于合并部分聚合查詢結(jié)果的系統(tǒng)和方法。確定部分聚合查詢結(jié)果。以定義的調(diào)度和持續(xù)時間在多個事件上運(yùn)行多個查詢中的每個查詢。識別部分聚合查詢結(jié)果的鍵和值。確定是否識別了用于部分聚合查詢結(jié)果的函數(shù)。如果如此,使用該鍵來確定相關(guān)部分聚合查詢結(jié)果。將部分聚合查詢結(jié)果與相關(guān)部分聚合查詢結(jié)果進(jìn)行合并。
【專利說明】 用于合并部分聚合查詢結(jié)果的系統(tǒng)和方法
【背景技術(shù)】
[0001]安全信息/事件管理(SM或者SIEM)的領(lǐng)域通常關(guān)心以下內(nèi)容:1)從網(wǎng)絡(luò)和聯(lián)網(wǎng)設(shè)備收集反映網(wǎng)絡(luò)活動和/或設(shè)備的操作的數(shù)據(jù),以及2)分析數(shù)據(jù)以增強(qiáng)安全性。例如,能夠分析數(shù)據(jù)以識別對網(wǎng)絡(luò)或聯(lián)網(wǎng)設(shè)備的攻擊以及確定哪個用戶或機(jī)器是負(fù)有責(zé)任的。如果攻擊正在進(jìn)行,那么能夠執(zhí)行對策以阻止攻擊或減輕由攻擊所引起的損害。收集的數(shù)據(jù)通常起源于由聯(lián)網(wǎng)設(shè)備所生成的消息(諸如事件、警告、或警報)或日志文件中的條目。聯(lián)網(wǎng)設(shè)備包括防火墻、入侵檢測系統(tǒng)、和服務(wù)器。
[0002]存儲每個消息或日志文件條目(“事件”)以供將來使用。安全系統(tǒng)還可以生成諸如相關(guān)性事件和審查(audit)事件之類的事件。與消息和日志文件條目一起,這些和其他事件也被存儲在磁盤上。在平均客戶部署中,可以每秒生成一千個事件。這相當(dāng)于每天一億個事件或每月三十億個事件。對如此大量數(shù)據(jù)的分析和處理能夠在安全系統(tǒng)上引起很重的負(fù)載,而引起在報告結(jié)果方面的延遲。
【專利附圖】

【附圖說明】
[0003]通過參考附圖可以更好地理解本公開并且使得其多個特征和優(yōu)勢變得明顯。
[0004]圖1是根據(jù)實施例的網(wǎng)絡(luò)安全系統(tǒng)的拓?fù)淇驁D。
[0005]圖2是根據(jù)實施例的用于合并相關(guān)部分聚合(aggregated)趨勢結(jié)果的過程流程圖。
[0006]圖3A是根據(jù)實施例的包括多個管理器中的專用管理器的網(wǎng)絡(luò)安全系統(tǒng)的拓?fù)淇驁D。
[0007]圖3B是根據(jù)實施例的包括多個管理器中的主管理器的網(wǎng)絡(luò)安全系統(tǒng)的拓?fù)淇驁D。
[0008]圖4是根據(jù)實施例的用于基于檢測的觸發(fā)條件來將存留(persisted)的聚合趨勢結(jié)果與存儲器中(in-memory)的聚合趨勢結(jié)果進(jìn)行合并的過程流程圖。
[0009]圖5圖示其中可以實現(xiàn)實施例的計算機(jī)系統(tǒng)。
【具體實施方式】
[0010]安全系統(tǒng)可以向終端用戶提供能夠被用來跟蹤諸如登錄嘗試的計數(shù)、具有成功和失敗登錄嘗試的頂部用戶、頂部入站或出站受阻源和目的地、以及針對聯(lián)網(wǎng)設(shè)備的配置改變之類的各種數(shù)據(jù)點(diǎn)的報告。一般地,報告提供關(guān)于涉及屬于安全系統(tǒng)的范圍的客戶環(huán)境中的聯(lián)網(wǎng)設(shè)備的這些和其他事件的概要信息。除非另有指示,聯(lián)網(wǎng)設(shè)備包括網(wǎng)絡(luò)附接設(shè)備(例如,網(wǎng)絡(luò)管理系統(tǒng))和網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)設(shè)備(例如,網(wǎng)絡(luò)交換器、集線器、路由器等)。
[0011]為了產(chǎn)生報告,可以針對存留在數(shù)據(jù)存儲區(qū)中的事件來運(yùn)行多個查詢。如本文所使用的,事件是消息、日志文件條目、相關(guān)性事件、審查事件等。本文通過引用而將其全部內(nèi)容包含在內(nèi)的2007年12月28日提交的序列號為11/966,078的美國專利申請中進(jìn)一步描述了事件。因為客戶環(huán)境中的事件數(shù)據(jù)量能夠是相當(dāng)大的,通常以太字節(jié)計,所以所涉及的處理量在安全系統(tǒng)上強(qiáng)加很重的負(fù)載。
[0012]此外,在同時尋找多個報告(例如,月度、季度等)的情況下,安全系統(tǒng)上的負(fù)載增力口,這可以引起在生成報告方面的延遲。例如,用于月度報告的事件的處理可以開始于月底。如果要求多個月度報告,那么安全系統(tǒng)在月底時可能經(jīng)歷負(fù)載方面的尖峰。
[0013]通過在事件上單獨(dú)地和分開地運(yùn)行每個查詢也部分地引起了安全系統(tǒng)上的負(fù)載。換句話說,從磁盤中多次讀取相同的事件來計算用于每個單獨(dú)查詢的結(jié)果。該類型的多次讀取并多次評估模型是低效的。
[0014]趨勢使得客戶能夠跟蹤諸如安全相關(guān)活動之類的各種活動。趨勢關(guān)于定義的調(diào)度和持續(xù)時間來運(yùn)行指定的查詢以計算在指定的持續(xù)時間期間的聚合結(jié)果。趨勢在數(shù)據(jù)存儲區(qū)中保持聚合數(shù)據(jù)。例如,每個趨勢在數(shù)據(jù)存儲區(qū)中的其自身的數(shù)據(jù)庫表中保持聚合數(shù)據(jù)。每個趨勢發(fā)布單個查詢并且將查詢結(jié)果的聚合保存在關(guān)聯(lián)的趨勢表中。此外,每個趨勢與查詢被應(yīng)用在事件上的頻率以及持續(xù)時間或時間間隔相關(guān)聯(lián)。安全系統(tǒng)可以用多個趨勢來預(yù)配置。趨勢也可以是用戶可配置的。
[0015]趨勢可以被用來生成報告。例如,每小時趨勢(即,具有一個小時的持續(xù)時間)測量頂部帶寬客戶,即測量由屬于安全系統(tǒng)的范圍的一組聯(lián)網(wǎng)設(shè)備所接收和發(fā)送的數(shù)據(jù)的字節(jié)數(shù)。趨勢結(jié)果可以被存留在數(shù)據(jù)庫的表中,并且趨勢表中的每個記錄表示對于每個聯(lián)網(wǎng)設(shè)備的一天中小時的字節(jié)計數(shù)。如果用戶向安全系統(tǒng)發(fā)布表達(dá)對關(guān)于上個月的從午前9:00-午后12:00的數(shù)據(jù)感興趣的查詢,那么與關(guān)于該月份中每天的那些小時對應(yīng)的表中的記錄可以被用來提供報告。
[0016]如本文所描述的,因為趨勢被流送到網(wǎng)絡(luò)安全系統(tǒng)中的趨勢處理模塊,所以通過在事件上應(yīng)用關(guān)聯(lián)的查詢來計算趨勢。在一個實施例中,如本文通過引用而將其全部內(nèi)容包含在內(nèi)的2011年4月29日提交的序列號為PCT/US2011/034674的PCT專利申請中所描述的,趨勢在存儲器中被計算。查詢結(jié)果被聚合并且周期地存留到數(shù)據(jù)存儲區(qū)。聚合趨勢結(jié)果在更長的持續(xù)時間期間分?jǐn)傔\(yùn)行報告的成本。換句話說,聚合趨勢結(jié)果表示事件的預(yù)處理。
[0017]基于安全系統(tǒng)的部署,在存儲器中生成以及合并部分聚合趨勢結(jié)果,從而產(chǎn)生然后可以被存留的另一個部分聚合趨勢結(jié)果或完整趨勢結(jié)果。如本文所使用的,部分聚合趨勢結(jié)果是在安全系統(tǒng)中的所有相關(guān)事件的子集(例如,事件的部分集)上被計算的趨勢結(jié)果。部分聚合趨勢結(jié)果可以例如通過安全系統(tǒng)的分布計算部署中的各種組件來生成,并且被提供到趨勢聚合模塊以供合并。此外,提供實時趨勢結(jié)果可以包括在存儲器中合并部分聚合趨勢結(jié)果。而且,遲的或無序的事件可以觸發(fā)部分聚合趨勢結(jié)果的合并。
[0018]當(dāng)來到提供月度報告的時間的時候,例如在月底,因為一些數(shù)據(jù)已經(jīng)被預(yù)計算,所以進(jìn)一步處理的量減少了。而且,因為部分聚合趨勢結(jié)果的合并發(fā)生在存儲器中,所以磁盤訪問的量減少了,從而減少安全系統(tǒng)上的負(fù)載。
[0019]提供了用于合并部分聚合查詢結(jié)果的系統(tǒng)和方法。確定部分聚合查詢結(jié)果。以定義的調(diào)度和持續(xù)時間在多個事件上運(yùn)行多個查詢中的每個查詢。識別部分聚合查詢結(jié)果的鍵(key)和值。確定是否識別了用于部分聚合查詢結(jié)果的函數(shù)。如果如此的話,使用該鍵來確定相關(guān)部分聚合查詢結(jié)果。將部分聚合查詢結(jié)果與相關(guān)部分聚合查詢結(jié)果進(jìn)行合并。
[0020]圖1是根據(jù)實施例的網(wǎng)絡(luò)安全系統(tǒng)100的拓?fù)淇驁D。系統(tǒng)100包括代理12a_n、至少一個管理器14和至少一個控制臺16 (其可以包括其基于瀏覽器的版本)。在一些實施例中,代理、管理器和/或控制臺可以被組合在單個平臺中或者分布在兩個、三個或更多個平臺中(例如在所圖示的示例中)。使用該多層架構(gòu)支持隨著計算機(jī)網(wǎng)絡(luò)或系統(tǒng)增長的可擴(kuò)展性。
[0021]代理12a_n是從各種網(wǎng)絡(luò)安全設(shè)備和/或應(yīng)用提供高效、實時(或近實時)本地事件數(shù)據(jù)捕獲和過濾的軟件程序,所述軟件程序是機(jī)器可讀指令。安全事件的通常源是諸如防火墻、入侵檢測系統(tǒng)和操作系統(tǒng)日志之類的常見網(wǎng)絡(luò)安全設(shè)備。代理12a-n能夠從產(chǎn)生事件日志或消息的任何源中收集事件,并且能夠在本地設(shè)備處、在網(wǎng)絡(luò)內(nèi)的集合點(diǎn)處、和/或通過簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)陷阱來操作。
[0022]通過手動和自動過程這二者并且經(jīng)由關(guān)聯(lián)的配置文件,代理12a_n是可配置的。每個代理12可以包括至少一個軟件模塊,包括標(biāo)準(zhǔn)化組件、時間校正組件、聚合組件、批處理組件、分解器組件、傳輸組件、趨勢處理模塊、和/或附加組件。通過配置文件中的適當(dāng)命令可以激活和/或去激活這些組件。
[0023]特別地,代理12a_n可以包括被配置成從源接收一組事件、通過在每個事件上應(yīng)用與趨勢關(guān)聯(lián)的過濾器來處理事件、以及將趨勢結(jié)果進(jìn)行聚合的趨勢處理模塊。代理對它所接收的事件進(jìn)行操作,并且不具有關(guān)于被其他代理接收的事件的信息。照此,由代理提供的聚合數(shù)據(jù)是基于事件的部分集的趨勢結(jié)果(例如,部分聚合趨勢結(jié)果)。趨勢處理模塊還被配置成經(jīng)由事件管理器22向管理器14提供包括部分聚合趨勢結(jié)果的事件數(shù)據(jù)消息。在一個實施例中,代理12a-n中的至少一個不包括趨勢處理模塊,并且經(jīng)由事件管理器22向管理器14提供包括事件數(shù)據(jù)而不是部分聚合趨勢結(jié)果的事件數(shù)據(jù)消息。
[0024]管理器14可以由采用規(guī)則引擎18以及集中事件和趨勢數(shù)據(jù)庫20來進(jìn)一步對從代理接收的事件進(jìn)行集合、過濾和互相關(guān)的基于服務(wù)器的組件來組成。管理器14的一個作用是捕獲和存儲所有的實時和歷史事件數(shù)據(jù)來構(gòu)造(經(jīng)由數(shù)據(jù)庫管理器22)完整、企業(yè)廣圖(enterprise-wide picture)的安全活動。管理器14還提供集中管理、通知(通過至少一個通知器24)、和報告、以及知識庫28和案例管理工作流程。管理器14可以被部署在任何計算機(jī)硬件平臺上并且一個實施例使用數(shù)據(jù)庫管理系統(tǒng)來實現(xiàn)事件數(shù)據(jù)存儲區(qū)組件。管理器14和代理12a-n之間的通信可以是雙向的(例如,允許管理器14將命令發(fā)送到托管代理12a-n的平臺)和加密的。在一些安裝中,管理器14可以為多個代理12a_n充當(dāng)集中器,并且能夠?qū)⑿畔⑥D(zhuǎn)發(fā)到其他管理器(例如,在公司總部處部署的)。
[0025]管理器14還包括負(fù)責(zé)接收由代理12a_n和/或其他管理器所發(fā)送的事件數(shù)據(jù)消息的至少一個事件管理器26。事件管理器26還負(fù)責(zé)生成諸如相關(guān)性事件和審查事件之類的事件數(shù)據(jù)消息。在實現(xiàn)與代理12a-n的雙向通信的情況下,事件管理器26可以被用來將消息發(fā)送到代理12a-n。如果對于代理管理器通信采用加密,那么事件管理器26負(fù)責(zé)解密從代理12a-n接收的消息以及加密被發(fā)送到代理12a-n的任何消息。
[0026]控制臺16是基于計算機(jī)(例如,工作站)的應(yīng)用,其允許安全專家執(zhí)行諸如事件監(jiān)視、規(guī)則編寫、事故調(diào)查和報告之類的日常管理和操作任務(wù)。訪問控制列表允許多個安全專家使用相同的系統(tǒng)以及事件和趨勢數(shù)據(jù)庫,其中每個具有適于其責(zé)任的其自身的觀點(diǎn)、相關(guān)性規(guī)則、警告、報告和知識庫。單個管理器14能夠支持多個控制臺16。
[0027]在一些實施例中,控制臺16的基于瀏覽器的版本可以被用來提供對安全事件、知識庫文章、報告、通知以及案例的訪問。也就是說,管理器14可以包括經(jīng)由被托管在個人或手持計算機(jī)(其代替控制臺16)上的web (網(wǎng)絡(luò))瀏覽器而可訪問的web服務(wù)器組件,以提供控制臺16的一些或全部功能。瀏覽器訪問對于遠(yuǎn)離控制臺16的安全專家和對于兼職用戶而言是尤其有用的。控制臺16和管理器14之間的通信是雙向的并且可以是加密的。
[0028]通過以上描述的架構(gòu),可以支持集中或分散的環(huán)境。這是有用的,原因是組織可能想實現(xiàn)系統(tǒng)100的單個實例并且使用訪問控制列表來劃分用戶??商娲?,組織可以選擇為多組中的每一組都部署單獨(dú)的系統(tǒng)100并且在“主”級別對結(jié)果進(jìn)行集合。此類部署還能夠?qū)嵤案S太陽”布置,其中地理上分散的對等群組繞過對當(dāng)前在標(biāo)準(zhǔn)業(yè)務(wù)時間工作的群組的監(jiān)督責(zé)任而彼此合作。系統(tǒng)100還能夠被部署在公司層級中,其中業(yè)務(wù)部分單獨(dú)地工作并且支持向集中管理功能的向上匯總。
[0029]網(wǎng)絡(luò)安全系統(tǒng)100還包括趨勢處理能力。在一個實施例中,管理器14進(jìn)一步包括趨勢處理模塊30和本地存儲器32。趨勢處理模塊30被配置成經(jīng)由事件管理器26從代理12a-n中的至少一個、經(jīng)由數(shù)據(jù)庫管理器22從事件和趨勢數(shù)據(jù)庫20、或者從事件管理器26自身來接收諸如安全事件之類的一組事件。該組事件可以被讀取到本地存儲器32中。本地存儲器32可以是任何適當(dāng)?shù)拇鎯橘|(zhì),并且可以位于管理器14自身上、包含管理器14的群中、或者管理器14可訪問的網(wǎng)絡(luò)節(jié)點(diǎn)上。趨勢處理模塊30進(jìn)一步被配置成通過在每個事件上應(yīng)用與趨勢關(guān)聯(lián)的過濾器并且將趨勢結(jié)果進(jìn)行聚合而例如在存儲器中(例如,在本地存儲器32中)處理事件。趨勢處理模塊30還被配置成向諸如趨勢聚合模塊32的趨勢聚合模塊提供部分聚合趨勢結(jié)果。
[0030]趨勢聚合模塊32被配置成經(jīng)由事件管理器26、趨勢處理模塊30從代理12a_n中的至少一個、經(jīng)由數(shù)據(jù)庫管理器22從事件和趨勢數(shù)據(jù)庫20、或者從其他管理器來接收一組部分聚合趨勢結(jié)果。該組部分聚合趨勢結(jié)果可以被讀取到本地存儲器32中。趨勢聚合模塊30被進(jìn)一步配置成通過例如在存儲器中(例如,在本地存儲器32中)合并那些被確定是相關(guān)的部分聚合趨勢結(jié)果來生成另一個部分聚合趨勢結(jié)果或完整趨勢結(jié)果。
[0031]如先前所描述的,趨勢是被調(diào)度成周期地運(yùn)行查詢的任務(wù),其聚合結(jié)果被周期地存儲例如在與該特定趨勢關(guān)聯(lián)的數(shù)據(jù)庫表中。趨勢可以被用于向網(wǎng)絡(luò)管理員或使用網(wǎng)絡(luò)安全系統(tǒng)100的其他分析者提供報告。
[0032]在操作中,代理12a_n可以提供事件和/或部分聚合數(shù)據(jù)。在一個示例中,代理12a-n提供由事件管理器26在事件流中所接收的并且被傳遞到規(guī)則引擎18和趨勢處理模塊30以供處理的事件。而且,由管理器14經(jīng)由事件管理器26所生成的事件還被傳遞到規(guī)則引擎18和趨勢處理模塊30以供處理。如本文所使用的,事件流是連續(xù)事件流。從代理12a-n接收的或由管理器14生成的事件數(shù)據(jù)經(jīng)由數(shù)據(jù)庫管理器22被存儲在數(shù)據(jù)庫20的事件表中。
[0033]在另一個示例中,代理12a_n向趨勢聚合模塊32提供由事件管理器26在流中所接收的并且被傳遞到趨勢聚合模塊32以供處理的部分聚合數(shù)據(jù)。
[0034]在接收到事件時,趨勢處理模塊30根據(jù)條件和計算域來過濾事件。被應(yīng)用的條件可以是該組查詢條件中的獨(dú)特條件。同樣地,被應(yīng)用的計算域可以是獨(dú)特的計算域。對于通過過濾器的事件而言,在該事件上評估每個查詢。在管理器14的存儲器中保持每個查詢的結(jié)果。對于多個事件,查詢結(jié)果被聚合為聚合趨勢結(jié)果,該聚合趨勢結(jié)果被存儲在數(shù)據(jù)庫20的趨勢表中或在流中被提供給趨勢聚合模塊32,其中聚合數(shù)據(jù)是部分聚合趨勢結(jié)果。
[0035]趨勢聚合模塊32接收部分聚合趨勢結(jié)果,并且通過確定部分聚合趨勢結(jié)果中的哪些是相關(guān)的以及合并相關(guān)的部分聚合趨勢結(jié)果來生成部分聚合趨勢結(jié)果或完整趨勢結(jié)果。完整趨勢結(jié)果被存儲在數(shù)據(jù)庫20的趨勢表中。新生成的部分聚合趨勢結(jié)果可以被提供給另一個管理器以供進(jìn)一步合并。在一個實施例中,每個趨勢與其自身的在數(shù)據(jù)庫20中的表相關(guān)聯(lián)。
[0036]當(dāng)來到提供報告的時間的時候,查詢數(shù)據(jù)庫20的趨勢表并且檢索相關(guān)的預(yù)計算數(shù)據(jù)(即,完整趨勢結(jié)果或部分聚合趨勢結(jié)果)。照此,本文描述了一次讀取并多次評估模型。通過減少磁盤訪問量和通過在代理上分布事件的評估而顯著地減少了系統(tǒng)上的負(fù)載。
[0037]圖2是根據(jù)實施例的用于合并相關(guān)的部分聚合趨勢結(jié)果的過程流程圖??梢酝ㄟ^運(yùn)行可執(zhí)行指令的序列來執(zhí)行所描繪的過程流程200。在另一個實施例中,由網(wǎng)絡(luò)安全系統(tǒng)的組件、例如專用集成電路(ASIC)等之類的硬件邏輯的布置來執(zhí)行過程流程200的各部分。例如,可以通過在網(wǎng)絡(luò)安全系統(tǒng)的趨勢聚合模塊中運(yùn)行可執(zhí)行指令的序列來執(zhí)行過程流程200的塊。趨勢聚合模塊可以被部署例如在網(wǎng)絡(luò)安全系統(tǒng)中的管理器處。
[0038]趨勢報告能力使得客戶能夠在指定的時間段期間跟蹤活動,以識別例如聯(lián)網(wǎng)設(shè)備中的風(fēng)險或威脅方面的改變。通過在到達(dá)存儲器時評估部分聚合趨勢結(jié)果,部分地改善了關(guān)于生成定期調(diào)度的報告的性能。
[0039]如先前所描述的,每個趨勢與查詢相關(guān)聯(lián)。聚合趨勢結(jié)果是在趨勢間隔的持續(xù)時間內(nèi)在由特定設(shè)備(例如,代理、管理器等)所接收的事件之上的查詢結(jié)果。在多個事件上評估相同的查詢,并且聚合每個評估的結(jié)果,從而提供單個組合的結(jié)果(即,聚合趨勢結(jié)果)。
[0040]如先前所描述的,部分聚合趨勢結(jié)果是在安全系統(tǒng)中的所有相關(guān)事件的子集上計算的聚合趨勢結(jié)果。在一個實施例中,部分聚合趨勢結(jié)果可以與其他部分聚合趨勢結(jié)果相組合,從而產(chǎn)生趨勢結(jié)果的完整聚合或另一個部分聚合趨勢結(jié)果。如本文所使用的,完整聚合是反映對于該特定趨勢的安全系統(tǒng)中的所有事件的趨勢結(jié)果。
[0041]在步驟210處,確定部分聚合趨勢結(jié)果。部分聚合趨勢結(jié)果可以由管理器來接收并且由網(wǎng)絡(luò)安全系統(tǒng)中的代理、管理器處的趨勢處理模塊、或者由網(wǎng)絡(luò)安全系統(tǒng)中的其他管理器中的模塊來生成。
[0042]例如,在代理和管理器之間的連接建立過程(握手)期間,確定支持部分聚合趨勢結(jié)果的生成的代理。這些代理中的每個然后基于它所接收的事件來提供(例如,在流中)部分聚合趨勢結(jié)果。此外,趨勢聚合模塊的相同管理器處的趨勢處理模塊可以生成部分聚合趨勢結(jié)果。
[0043]此外,其他管理器也可以生成部分聚合趨勢結(jié)果。在分布式計算環(huán)境中,多個管理器可以被采用以處理事件,其中每個管理器從其源接收一組事件或部分聚合趨勢結(jié)果。為了負(fù)載平衡,每個事件或部分聚合趨勢結(jié)果可以被導(dǎo)向網(wǎng)絡(luò)安全系統(tǒng)中的多個管理器中的單個管理器以供最終合并。照此,不執(zhí)行最終合并的管理器(即,非最終管理器)在安全系統(tǒng)的分布式部署中接收和處理所有事件的子集。在配置安全系統(tǒng)期間,非最終管理器可以被配置成根據(jù)事件生成部分聚合趨勢結(jié)果、根據(jù)其他部分聚合趨勢結(jié)果(例如,如由代理或其他較低級別管理器所接收的)生成部分聚合趨勢結(jié)果、和/或?qū)②厔萁Y(jié)果轉(zhuǎn)發(fā)到專用或主管理器以供合并。[0044]確定完整趨勢結(jié)果或另一個部分聚合趨勢結(jié)果。在步驟220處,為所接收的部分聚合趨勢結(jié)果中的每個記錄確定鍵和值。在一個實施例中,例如通過結(jié)果被組織成組的方式(例如,根據(jù)關(guān)聯(lián)的趨勢查詢中的GROUP BY (分組依據(jù))子句)來識別鍵。如果不存在此類分組,那么確定默認(rèn)鍵是NULL (空)值。
[0045]在部分聚合趨勢結(jié)果中識別與該鍵關(guān)聯(lián)的值。例如,部分聚合趨勢結(jié)果指定源IP地址1.1.1與總共50字節(jié)相關(guān)聯(lián)。鍵是源IP地址1.1.1并且值是50。
[0046]在步驟230處,確定是否為部分聚合趨勢結(jié)果確定了函數(shù)。該函數(shù)識別值的性質(zhì)。繼續(xù)先前的示例,其中鍵是源IP地址1.1.1并且值是50,函數(shù)可以是COUNT (計數(shù)),以使得50的值表示與源IP地址1.1.1關(guān)聯(lián)的字節(jié)的計數(shù)。
[0047]如果識別了函數(shù),那么在步驟240處例如使用鍵來確定一組相關(guān)的部分聚合趨勢結(jié)果。具體地,如在步驟245處所描述的,合并具有相同鍵的部分聚合趨勢結(jié)果。
[0048]在步驟245處,例如通過將函數(shù)應(yīng)用到相關(guān)的趨勢結(jié)果的值來合并相關(guān)的部分聚合趨勢結(jié)果。每個函數(shù)可以被修改或相關(guān)到另一個函數(shù),以完成值的合并。例如,COUNT函數(shù)映射到SUM (求和)函數(shù)。SUM函數(shù)直接映射到SUM函數(shù)。MIN (最小)函數(shù)直接映射到MIN函數(shù)。MAX (最大)函數(shù)直接映射到MAX函數(shù)。AVERAGE (平均)函數(shù)映射到SUM (求和)/SUM (計數(shù))函數(shù)。作為合并的結(jié)果,確定完整趨勢結(jié)果或另一個部分聚合趨勢結(jié)果。
[0049]繼續(xù)先前的示例,COUNT函數(shù)被翻譯成SUM,這被應(yīng)用于跨相關(guān)的部分聚合趨勢結(jié)果的值。一個部分聚合趨勢結(jié)果具有鍵源IP地址1.1.1,以及50的值。另一個部分聚合趨勢結(jié)果具有相同的鍵,但是具有20的值。又另一個部分聚合趨勢結(jié)果具有相同的鍵,但是具有30的值。照此,確定50、20、和30的SUM并且趨勢結(jié)果(B卩,完整或部分)反映100的值。
[0050]處理繼續(xù)從步驟245到步驟210,其中例如在管理器的存儲器中接收和處理另一個部分聚合趨勢結(jié)果。在步驟250處,確定趨勢時間間隔是否已過期。繼續(xù)處理部分聚合趨勢結(jié)果直到趨勢時間間隔已過期。
[0051]在步驟260處,例如在數(shù)據(jù)庫的趨勢表中在間隔過期時存留趨勢結(jié)果(S卩,完整或部分)。在一個實施例中,在間隔過期之后并且在寬限期之后存留趨勢結(jié)果。該寬限期允許在趨勢結(jié)果中考慮處于處理管道中的一些部分聚合趨勢結(jié)果。
[0052]如果在步驟230處沒有為部分聚合趨勢結(jié)果識別函數(shù),那么不執(zhí)行合并,并且處
理結(jié)束。
[0053]遲的和/或無序的事件
在一個實施例中,可以由例如管理器的趨勢處理器來處理事件,即使遲到(超過寬限期)和/或無序。例如,安全網(wǎng)絡(luò)的某一部分可能已停止了一段時間,并且來自網(wǎng)絡(luò)的該部分的代理不能發(fā)送事件。第二天,代理發(fā)送前一天的事件。盡管遲到和/或無序,但是這些事件可以被用來生成趨勢結(jié)果(即,完整或部分)。
[0054]管理器可以檢測出所接收的事件是遲的或無序的事件。例如,如果事件是關(guān)于已被存留的時間段,那么該事件是無序事件。在存儲器中處理無序事件并且確定被看作部分聚合趨勢結(jié)果的存儲器中聚合結(jié)果。
[0055]例如,如由圖2的步驟220-245所描述的,確定趨勢結(jié)果(S卩,完整或部分)。特別地,根據(jù)部分聚合趨勢結(jié)果來確定鍵和值。如果識別了函數(shù),那么例如通過使用該鍵來查詢數(shù)據(jù)存儲區(qū)而確定相關(guān)的部分聚合趨勢結(jié)果。數(shù)據(jù)存儲區(qū)包括存留的聚合趨勢結(jié)果。當(dāng)聚合趨勢結(jié)果被存留時,每個趨勢結(jié)果被看作完整結(jié)果。在接收遲的和/或無序的事件之后,相關(guān)的聚合趨勢結(jié)果被看作部分聚合趨勢結(jié)果。這些存留的趨勢結(jié)果與存儲器中的趨勢結(jié)果進(jìn)行合并。趨勢結(jié)果(即,完整或部分)在合并時被確定并且可以被存留例如在事件和趨勢數(shù)據(jù)庫中。在一個實施例中,新生成的趨勢結(jié)果可以被用來更新或以其他方式刷新先前存留的趨勢結(jié)果。
[0056]圖3A是根據(jù)實施例的包括多個管理器中的專用管理器的網(wǎng)絡(luò)安全系統(tǒng)300的拓?fù)淇驁D。系統(tǒng)300包括代理326a-n、代理336a_n、專用管理器314、管理器324、和管理器334。如所示出的,代理326a-n、代理336a_n、和/或管理器314-334被分布在多個平臺中。此類分布式計算部署在系統(tǒng)300的管理器之間提供負(fù)載平衡。
[0057]代理326a_n是從各種網(wǎng)絡(luò)安全設(shè)備和/或應(yīng)用提供高效、實時(或近實時)本地事件數(shù)據(jù)捕獲和過濾的軟件程序,所述軟件程序是機(jī)器可讀指令。代理326a-n被操作地耦合到管理器324。代理326a-n中的至少一個被配置成從源接收一組事件、通過在每個事件上應(yīng)用與趨勢關(guān)聯(lián)的過濾器來處理事件、以及將趨勢結(jié)果進(jìn)行聚合。代理對它接收的事件進(jìn)行操作并且不具有關(guān)于其他代理接收的事件的信息。照此,由代理提供的聚合數(shù)據(jù)是基于事件的部分集的趨勢結(jié)果(例如,部分聚合趨勢結(jié)果)。在一個實施例中,代理326a-n中的至少一個不具有生成聚合趨勢結(jié)果的能力并且作為代替,向管理器324提供包括事件數(shù)據(jù)的事件數(shù)據(jù)消息,而不是部分聚合趨勢結(jié)果。
[0058]代理336a_n是從各種網(wǎng)絡(luò)安全設(shè)備和/或應(yīng)用提供高效、實時(或近實時)本地事件數(shù)據(jù)捕獲和過濾的軟件程序,所述軟件程序是機(jī)器可讀指令。代理336a-n被操作地耦合到管理器334。代理336a-n中的至少一個被配置成從源接收一組事件、通過在每個事件上應(yīng)用與趨勢關(guān)聯(lián)的過濾器來處理事件、以及將趨勢結(jié)果進(jìn)行聚合。代理對它接收的事件進(jìn)行操作并且不具有關(guān)于被其他代理接收的事件的信息。照此,由代理提供的聚合數(shù)據(jù)是基于事件的部分集的趨勢結(jié)果(例如,部分聚合趨勢結(jié)果)。在一個實施例中,代理336a-n中的至少一個不具有生成聚合趨勢結(jié)果的能力,并且作為代替,向管理器334提供包括事件數(shù)據(jù)的事件數(shù)據(jù)消息,而不是部分聚合趨勢結(jié)果。
[0059]管理器324被操作地耦合到代理326a_n和專用管理器314。管理器324被配置成根據(jù)事件生成部分聚合趨勢結(jié)果、根據(jù)其他部分聚合趨勢結(jié)果(例如,如由代理或其他較低級別管理器所接收的)生成部分聚合趨勢結(jié)果、和/或?qū)钠湓?例如,代理326a-n)接收的部分聚合趨勢結(jié)果轉(zhuǎn)發(fā)到專用管理器314。具體地,為了根據(jù)事件生成部分聚合趨勢結(jié)果,管理器324被進(jìn)一步配置成通過在每個事件上應(yīng)用與趨勢關(guān)聯(lián)的過濾器、將趨勢結(jié)果進(jìn)行聚合、以及向管理器314提供聚合趨勢結(jié)果來處理從其源所接收的事件。與代理的做法類似,在該分布式情景中,管理器324對它接收(或其源接收)的事件進(jìn)行操作并且不具有關(guān)于被諸如管理器334的其他管理器接收的事件的信息。照此,由管理器324提供的聚合數(shù)據(jù)是基于事件的部分集的趨勢結(jié)果(例如,部分聚合趨勢結(jié)果)。
[0060]管理器334被操作地耦合到代理336a_n和專用管理器314。管理器324被配置成根據(jù)事件生成部分聚合趨勢結(jié)果、根據(jù)其他部分聚合趨勢結(jié)果(例如,如由代理或其他較低級別管理器所接收的)生成部分聚合趨勢結(jié)果、和/或?qū)钠湓?例如,代理336a-n)接收的部分聚合趨勢結(jié)果轉(zhuǎn)發(fā)到專用管理器314。具體地,為了根據(jù)事件生成部分聚合趨勢結(jié)果,管理器334被進(jìn)一步配置成通過在每個事件上應(yīng)用與趨勢關(guān)聯(lián)的過濾器、將趨勢結(jié)果進(jìn)行聚合、以及向管理器314提供聚合趨勢結(jié)果來處理從其源所接收的事件。與代理的做法類似,在該分布式情景中,管理器334對它接收(或其源接收)的事件進(jìn)行操作并且不具有關(guān)于被諸如管理器334的其他管理器接收的事件的信息。照此,由管理器334提供的聚合數(shù)據(jù)是基于事件的部分集的趨勢結(jié)果(例如,部分聚合趨勢結(jié)果)。
[0061]在配置安全系統(tǒng)期間,管理器324-334可以被配置成向?qū)S霉芾砥?14提供部分聚合趨勢結(jié)果以供合并。在一個實施例中,趨勢結(jié)果是由管理器根據(jù)事件生成的、由管理器根據(jù)其他部分聚合趨勢結(jié)果生成的、或者由代理生成并且由管理器轉(zhuǎn)發(fā)的趨勢結(jié)果。專用管理器314被操作地耦合到管理器324-334。專用管理器314被配置成執(zhí)行將來自其他管理器的部分結(jié)果進(jìn)行合并,并且例如在事件和趨勢數(shù)據(jù)庫中存留趨勢結(jié)果(即,完整或部分)。
[0062]通過在多個管理器和代理之間分布事件的處理,減少了任何單個管理器上的負(fù)載并且增強(qiáng)了系統(tǒng)300的性能。
[0063]圖3B是根據(jù)實施例的包括多個管理器中的主管理器的網(wǎng)絡(luò)安全系統(tǒng)350的拓?fù)淇驁D。系統(tǒng)350包括代理312a-n、376a-n、代理386a_n、管理器364、管理器374、和管理器384。如所示出的,代理312a-n、代理376a_n、代理386a_n、和/或管理器364-384被分布在多個平臺中。此類分布式計算部署提供系統(tǒng)300的管理器之間的負(fù)載平衡。除了管理器364-384中的任何一個被配置成充當(dāng)主管理器來合并部分結(jié)果之外,系統(tǒng)350與圖3A的系統(tǒng)300相類似。部分結(jié)果可以是來自其他管理器和/或可以由主管理器自身所生成。主管理器被進(jìn)一步配置成例如在事件和趨勢數(shù)據(jù)庫中存留趨勢結(jié)果(即,完整或部分)。
[0064]實時數(shù)據(jù)
圖4是根據(jù)實施例的用于基于檢測的觸發(fā)條件來將存留的聚合趨勢結(jié)果與存儲器中的聚合趨勢結(jié)果進(jìn)行合并的過程流程圖??梢酝ㄟ^運(yùn)行可執(zhí)行指令的序列來執(zhí)行所描繪的過程流程400。在另一個實施例中,過程流程400的各部分由網(wǎng)絡(luò)安全系統(tǒng)的組件、例如專用集成電路(ASIC)等之類的硬件邏輯的布置來執(zhí)行。例如,可以通過在網(wǎng)絡(luò)安全系統(tǒng)的趨勢聚合模塊中運(yùn)行可執(zhí)行指令的序列來執(zhí)行過程流程400的塊。趨勢聚合模塊可以被部署例如在網(wǎng)絡(luò)安全系統(tǒng)中的管理器處。
[0065]在一個實施例中,特定條件可以觸發(fā)管理器把來自永久存儲區(qū)的部分聚合趨勢結(jié)果與存儲器中的趨勢結(jié)果進(jìn)行合并。在步驟410處,檢測到觸發(fā)條件。
[0066]一個此類條件是檢測對于實時數(shù)據(jù)的請求。例如,可以(例如,由用戶)發(fā)布請求被用于一天的總帶寬的查詢。當(dāng)接收到查詢時,可以例如由管理器來識別總帶寬查詢的時間范圍(即,一天)。為了解釋的目的,在一天的結(jié)束之前的午后3:30發(fā)布查詢。在表中每小時趨勢可以跟蹤用于一天中每個小時的總帶寬信息的計數(shù)。應(yīng)該注意的是,請求的時間在當(dāng)前趨勢間隔的過期之前。
[0067]管理器確定已存留了用于時間范圍的至少一個結(jié)果。為了每小時趨勢,貫穿一天的每個小時都存留聚合趨勢結(jié)果(在表的記錄中)。照此,每個記錄跟蹤用于特定一天中的一個小時的帶寬計數(shù)。當(dāng)接收到用戶的查詢時,存留數(shù)據(jù)直至午后3:00。然而,在存儲器中存在較新的數(shù)據(jù)。具體地,趨勢可以在存儲器中運(yùn)行但是不被存留直到趨勢時間間隔在午后4:00過期。為了提供最新的數(shù)據(jù),可以采用部分聚合趨勢結(jié)果的合并。具體地,可以將來自磁盤的趨勢結(jié)果與存儲器中的趨勢結(jié)果進(jìn)行合并。
[0068]在步驟415處,關(guān)于存留的數(shù)據(jù)發(fā)布查詢。在步驟420處,確定關(guān)于存留數(shù)據(jù)的查詢的結(jié)果。例如,查詢結(jié)果包括從午夜直至午后3:00的來自永久存儲區(qū)的每小時趨勢的記錄。整個查詢結(jié)果被看作部分聚合趨勢結(jié)果。
[0069]為了提供實時數(shù)據(jù)的查看,在步驟425處,存儲器中的數(shù)據(jù)被用來確定聚合趨勢結(jié)果。繼續(xù)先前的示例,該結(jié)果被看作捕獲從當(dāng)前趨勢間隔開始的時間并且到請求的時間的3:01-3:30所接收事件的部分聚合趨勢結(jié)果。不存留部分聚合趨勢結(jié)果以便加快給用戶的最終結(jié)果。
[0070]在步驟430處,通過例如使用參考圖2的步驟220-245所描述的技術(shù)將關(guān)于存留數(shù)據(jù)的結(jié)果與存儲器中的聚合趨勢結(jié)果進(jìn)行合并來確定完整趨勢結(jié)果。然后可以響應(yīng)于對實時數(shù)據(jù)的請求而提供完整趨勢結(jié)果。
[0071]應(yīng)該認(rèn)識到的是,在提供響應(yīng)之后可以丟棄完整趨勢結(jié)果。因為每小時趨勢繼續(xù)運(yùn)行并且計算聚合趨勢結(jié)果,所以在每小時趨勢中捕獲被用來生成在步驟425處所確定的存儲器中聚合趨勢結(jié)果的事件。照此,可以丟棄完整趨勢結(jié)果。
[0072]通常,對查詢的響應(yīng)被局限于存留的數(shù)據(jù),所述存留的數(shù)據(jù)在查詢運(yùn)行的時間可能是陳舊的。通過將存儲器中的趨勢結(jié)果與關(guān)于存留數(shù)據(jù)的結(jié)果進(jìn)行合并,能夠快速地且高效地提供實時數(shù)據(jù)。
[0073]圖5圖示其中可以實現(xiàn)實施例的計算機(jī)系統(tǒng)。系統(tǒng)500可以被用來實現(xiàn)以上所描述的計算機(jī)系統(tǒng)中的任何一個。示出了包括可以經(jīng)由總線524而被電氣地耦合的硬件元素的計算機(jī)系統(tǒng)500。硬件元素可以包括至少一個中央處理單元(CPU) 502、至少一個輸入設(shè)備504、和至少一個輸出設(shè)備506。計算機(jī)系統(tǒng)500還可以包括至少一個存儲設(shè)備508。通過示例的方式,存儲設(shè)備508能夠包括諸如磁盤驅(qū)動器之類的設(shè)備、光學(xué)存儲設(shè)備、諸如隨機(jī)訪問存儲器(“RAM”)和/或只讀存儲器(“ROM”)之類的能夠是可編程、快速可更新的固態(tài)存儲設(shè)備等。
[0074]計算機(jī)系統(tǒng)500可以附加地包括計算機(jī)可讀存儲介質(zhì)讀取器512、通信系統(tǒng)514(例如,調(diào)制解調(diào)器、網(wǎng)卡(無線的或有線的)、紅外通信設(shè)備等)、以及可以包括如以上所描述的RAM和ROM設(shè)備的工作存儲器518。在一些實施例中,計算機(jī)系統(tǒng)500還可以包括能夠包括數(shù)字信號處理器(DSP)、專用處理器等的處理加速單元516。
[0075]計算機(jī)可讀存儲介質(zhì)讀取器512能夠進(jìn)一步被連接到計算機(jī)可讀存儲介質(zhì)510,一起(并且在一個實施例中與存儲設(shè)備508結(jié)合)全面地表示遠(yuǎn)程、本地、固定、和/或可移除存儲設(shè)備加上任何有形、非臨時的存儲介質(zhì)以供暫時地和/或更長久地包含、存儲、發(fā)送、和檢索計算機(jī)可讀信息(例如,指令和數(shù)據(jù))。計算機(jī)可讀存儲介質(zhì)510可以是非臨時的例如硬件存儲設(shè)備(例如,RAM、ROM、EPROM (可擦除可編程ROM)、EEPROM (電可擦除可編程ROM)、硬盤驅(qū)動器、和閃存)。通信系統(tǒng)514可以允許將數(shù)據(jù)與以上參考系統(tǒng)500所描述的網(wǎng)絡(luò)和/或任何其他計算機(jī)進(jìn)行交換。計算機(jī)可讀存儲介質(zhì)510包括趨勢聚合模塊525,并且還可以包括趨勢數(shù)據(jù)監(jiān)視器。
[0076]計算機(jī)系統(tǒng)500還可以包括被示出為當(dāng)前位于工作存儲器518內(nèi)的包括操作系統(tǒng)520和/或諸如應(yīng)用程序(其可以是客戶端應(yīng)用、web瀏覽器、中間層應(yīng)用等)之類的其他代碼522的軟件元素,所述軟件元素是機(jī)器可讀指令。應(yīng)該領(lǐng)會的是,計算機(jī)系統(tǒng)500的可替代實施例可以具有根據(jù)以上所描述的計算機(jī)系統(tǒng)的許多變形。例如,還可以使用定制硬件,和/或特定元素可以以硬件、軟件(包括可移植程序,例如小應(yīng)用程序)、或這二者來實現(xiàn)。進(jìn)一步地,可以采用到諸如網(wǎng)絡(luò)輸入/輸出設(shè)備之類的其他計算設(shè)備的連接。
[0077]因此要將本說明書和附圖以說明性而不是限制意義來考慮。然而,將明顯的是可以做出各種修改和改變。
[0078]本說明書(包括任何的附加權(quán)利要求、摘要和附圖)中所公開的每個特征可以由服務(wù)于相同、等價或類似目的的可替代特征來代替,除非另有明確說明。因而,除非另有明確說明,所公開的每個特征是一系列通用等價或類似特征的一個示例。
【權(quán)利要求】
1.一種用于處理聚合查詢結(jié)果的方法,所述方法包括: 確定部分聚合查詢結(jié)果,其中以定義的調(diào)度和持續(xù)時間在多個事件上運(yùn)行多個查詢中的每個查詢; 識別部分聚合查詢結(jié)果的鍵和值; 確定是否識別了用于部分聚合查詢結(jié)果的函數(shù); 使用所述鍵來確定多個部分聚合查詢結(jié)果中的相關(guān)部分聚合查詢結(jié)果;以及 在計算設(shè)備的本地存儲器處將部分聚合查詢結(jié)果與相關(guān)部分聚合查詢結(jié)果進(jìn)行合并。
2.權(quán)利要求1的方法,其中合并包括: 將函數(shù)應(yīng)用到部分聚合查詢結(jié)果的值以及相關(guān)部分聚合查詢結(jié)果的值。
3.權(quán)利要求1的方法,進(jìn)一步包括: 在永久存儲中存 儲查詢結(jié)果的完整聚合,其中在將部分聚合查詢結(jié)果與相關(guān)部分聚合查詢結(jié)果進(jìn)行合并時確定查詢結(jié)果的完整聚合。
4.權(quán)利要求1的方法,其中由網(wǎng)絡(luò)系統(tǒng)的分布式管理器來生成部分聚合查詢結(jié)果,并且由網(wǎng)絡(luò)系統(tǒng)的本地管理器來接收部分聚合查詢結(jié)果。
5.權(quán)利要求1的方法,進(jìn)一步包括: 檢測針對實時數(shù)據(jù)的查詢; 在永久存儲上發(fā)布針對實時數(shù)據(jù)的所述查詢,其中永久存儲包括多個部分聚合查詢結(jié)果; 確定在永久存儲上發(fā)布所述查詢的結(jié)果;以及 確定針對實時數(shù)據(jù)的所述查詢的存儲器中聚合,其中使用在永久存儲上發(fā)布所述查詢的結(jié)果和存儲器中聚合來生成查詢結(jié)果的完整聚合。
6.權(quán)利要求1的方法,進(jìn)一步包括: 在計算設(shè)備的本地存儲器處接收事件流中的多個事件; 確定所述多個事件是無序事件; 為所述多個事件中的每一個確定查詢結(jié)果;以及 基于用于所述多個事件中每一個的查詢結(jié)果來確定部分聚合查詢結(jié)果。
7.一種用于處理部分聚合查詢結(jié)果的系統(tǒng),所述系統(tǒng)包括: 用于存儲部分聚合查詢結(jié)果和完整查詢結(jié)果的永久存儲區(qū);以及 計算機(jī),所述計算機(jī)包括: 趨勢聚合模塊;以及 用于合并部分聚合查詢結(jié)果的存儲器; 其中趨勢聚合模塊被配置成: 確定部分聚合查詢結(jié)果,其中以定義的調(diào)度和持續(xù)時間在多個事件上運(yùn)行多個查詢中的每個查詢; 識別部分聚合查詢結(jié)果的鍵和值; 確定是否識別了用于部分聚合查詢結(jié)果的函數(shù); 使用所述鍵來確定多個部分聚合查詢結(jié)果的相關(guān)部分聚合查詢結(jié)果;以及 將部分聚合查詢結(jié)果與相關(guān)部分聚合查詢結(jié)果進(jìn)行合并。
8.權(quán)利要求7的系統(tǒng),其中合并包括:將函數(shù)應(yīng)用到部分聚合查詢結(jié)果的值以及相關(guān)部分聚合查詢結(jié)果的值。
9.權(quán)利要求7的系統(tǒng),其中趨勢聚合模塊被進(jìn)一步配置成: 在永久存儲中存儲完整查詢結(jié)果,其中在部分聚合查詢結(jié)果和相關(guān)部分聚合查詢結(jié)果上確定完整查詢結(jié)果。
10.權(quán)利要求7的系統(tǒng),其中趨勢聚合模塊被進(jìn)一步配置成: 檢測針對實時數(shù)據(jù)的查詢; 在永久存儲上發(fā)布針對實時數(shù)據(jù)的所述查詢; 確定在永久存儲上發(fā)布所述查詢的結(jié)果;以及 確定針對實時數(shù)據(jù)的所述查詢的存儲器中聚合,其中使用在永久存儲上發(fā)布所述查詢的結(jié)果和存儲器中聚合來生成查詢結(jié)果的完整聚合。
11.權(quán)利要求7的系統(tǒng),其中所述存儲器被進(jìn)一步配置成接收事件流中的多個事件,并且其中趨勢聚合模塊被進(jìn)一步配置成: 確定所述多個事件是無序事件; 為所述多個事件中的每一個確定查詢結(jié)果;以及 基于用于所述多個事件中每一個的查詢結(jié)果來確定部分聚合查詢結(jié)果。
12.—種非臨時計算機(jī)可讀介質(zhì),其存儲多個指令以控制數(shù)據(jù)處理器處理部分聚合查詢結(jié)果,所述多個指令包括使得數(shù)據(jù)處理器進(jìn)行以下操作的指令: 確定部分聚合查詢結(jié)果,其中以定義的調(diào)度和持續(xù)時間在多個事件上運(yùn)行多個查詢中的每個查詢; 識別部分聚合查詢結(jié)果的鍵和值; 確定是否識別了用于部分聚合查詢結(jié)果的函數(shù); 使用所述鍵來確定多個部分聚合查詢結(jié)果的相關(guān)部分聚合查詢結(jié)果;以及 在計算設(shè)備的本地存儲器處將部分聚合查詢結(jié)果與相關(guān)部分聚合查詢結(jié)果進(jìn)行合并。
13.權(quán)利要求12的非臨時計算機(jī)可讀介質(zhì),其中使得數(shù)據(jù)處理器進(jìn)行合并的指令包括使得數(shù)據(jù)處理器將函數(shù)應(yīng)用到部分聚合查詢結(jié)果的值以及相關(guān)部分聚合查詢結(jié)果的值的指令。
14.權(quán)利要求12的非臨時計算機(jī)可讀介質(zhì),其中所述多個指令進(jìn)一步包括使得數(shù)據(jù)處理器進(jìn)行以下操作的指令; 檢測針對實時數(shù)據(jù)的查詢; 在永久存儲上發(fā)布針對實時數(shù)據(jù)的所述查詢,其中永久存儲包括多個部分聚合查詢結(jié)果; 確定在永久存儲上發(fā)布所述查詢的結(jié)果;以及 確定針對實時數(shù)據(jù)的所述查詢的存儲器中聚合,其中使用在永久存儲上發(fā)布所述查詢的結(jié)果和所述存儲器中聚合來生成查詢結(jié)果的完整聚合。
15.權(quán)利要求12的非臨時計算機(jī)可讀介質(zhì),其中所述多個指令進(jìn)一步包括使得數(shù)據(jù)處理器進(jìn)行以下操作的指令: 接收事件流中的多個事件; 確定所述多個事件是無序事件;為所述多個事件中的每一個確定查詢結(jié)果;以及基于用于所述多個 事件中每一個的查詢結(jié)果來確定部分聚合查詢結(jié)果。
【文檔編號】G06F17/30GK103597473SQ201180071742
【公開日】2014年2月19日 申請日期:2011年6月30日 優(yōu)先權(quán)日:2011年6月30日
【發(fā)明者】A.辛拉 申請人:惠普發(fā)展公司,有限責(zé)任合伙企業(yè)
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點(diǎn)贊!
1