本發(fā)明公開一種數(shù)據(jù)庫安全事件的管理方法及分析系統(tǒng)，屬于網(wǎng)絡(luò)入侵檢測(cè)技術(shù)領(lǐng)域。

背景技術(shù)：

現(xiàn)在網(wǎng)絡(luò)入侵越來越復(fù)雜，在網(wǎng)絡(luò)應(yīng)用層的漏洞成為了黑客的重點(diǎn)攻擊目標(biāo)，利用網(wǎng)絡(luò)應(yīng)用層的漏洞進(jìn)行攻擊時(shí)，攻擊者的數(shù)據(jù)(攻擊腳本)千奇百怪，想方設(shè)法繞過各種安全監(jiān)管系統(tǒng)，要將這些帶有非常規(guī)內(nèi)容的安全事件，準(zhǔn)確清晰分門別類保存到各種關(guān)系數(shù)據(jù)庫中，也是一件繁瑣細(xì)致而且重要的工作。針對(duì)入庫工作環(huán)節(jié)，傳統(tǒng)安全監(jiān)管系統(tǒng)將遇到以下二個(gè)問題：首先攻擊方式正在動(dòng)態(tài)變化，安全產(chǎn)品能夠識(shí)別出來的安全事件類型也必須進(jìn)一步細(xì)分，而且變更周期越來越短，導(dǎo)致程序代碼頻繁更新修改，造成應(yīng)用系統(tǒng)不穩(wěn)定性；其次對(duì)關(guān)系數(shù)據(jù)庫支持比較單一，無法同時(shí)支持多種關(guān)系數(shù)據(jù)庫，從而無法滿足復(fù)雜的客戶生產(chǎn)環(huán)境，就算能滿足也需要進(jìn)行較多的定制化開發(fā)。采用動(dòng)態(tài)入庫方法可以很好解決上述問題，從而提高系統(tǒng)的靈活性、穩(wěn)定性和擴(kuò)展性。

當(dāng)前，網(wǎng)絡(luò)信息安全領(lǐng)域中既有來自于外部的入侵和攻擊，也有來自內(nèi)部的違規(guī)和泄露。常見的信息安全系統(tǒng)包括防病毒系統(tǒng)、防火墻、入侵檢測(cè)系統(tǒng)、漏洞掃描系統(tǒng)、UTM等。但這些安全系統(tǒng)一般只能防堵來自某個(gè)特定方面的安全威脅，不具備協(xié)同效應(yīng)。CN201010613751介紹了一種能夠避免形成安全孤島的網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析系統(tǒng)，但只是提出了該系統(tǒng)的架構(gòu)模型，對(duì)于網(wǎng)絡(luò)安全事件的采集、關(guān)聯(lián)分析的效率和準(zhǔn)確性以及系統(tǒng)操作等方面都有進(jìn)一步提升的空間。

技術(shù)實(shí)現(xiàn)要素：

針對(duì)上述提到的現(xiàn)有技術(shù)中的數(shù)據(jù)庫安全問題，本發(fā)明提供一種數(shù)據(jù)庫安全事件的管理方法及分析系統(tǒng)，用以實(shí)現(xiàn)具有較低的安全告警延遲、且具有較高的安全監(jiān)控性能的安全事件管理及安全分析。

本發(fā)明解決其技術(shù)問題采用的技術(shù)方案是：一種數(shù)據(jù)庫安全事件的管理方法，管理方法包括下述步驟：

步驟1，服務(wù)器向用于采集安全事件的代理發(fā)送安全事件格式化標(biāo)準(zhǔn)，以使代理根據(jù)安全事件格式化標(biāo)準(zhǔn)對(duì)采集的安全事件進(jìn)行格式化；

步驟2，Server從Agent獲取經(jīng)格式化的安全事件，對(duì)安全事件進(jìn)行關(guān)聯(lián)分析并產(chǎn)生安全告警。

一種實(shí)現(xiàn)如上述的數(shù)據(jù)庫安全事件的管理方法的分析系統(tǒng)，分析系統(tǒng)包括數(shù)據(jù)采集層、集群數(shù)據(jù)庫系統(tǒng)、分析決策層和界面顯示層，數(shù)據(jù)采集層、集群數(shù)據(jù)庫系統(tǒng)、分析決策層和界面顯示層通過有線或無線網(wǎng)絡(luò)連接。

本發(fā)明解決其技術(shù)問題采用的技術(shù)方案進(jìn)一步還包括：

所述的步驟1包括下述子步驟：

步驟1A，Sever定制一套或多套安全事件格式化字段集，并根據(jù)安全事件格式化字段生成用于表征安全事件格式化標(biāo)準(zhǔn)的安全事件格式化插件；

步驟1B，Sever部署Agent時(shí)，根據(jù)Agent需要采集的設(shè)備類型，向Agent下發(fā)與設(shè)備類型相對(duì)應(yīng)的安全事件格式化插件，其中，一類設(shè)備類型可對(duì)應(yīng)一個(gè)插件，一個(gè)Agent可采集多種類型的安全事件，且不同類型的Agent可采集不同類型的安全事件；

步驟1C，Agent接收到安全事件格式化插件后，將其存放至本地磁盤；

步驟1D，Agent通過簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議、Syslog協(xié)議、FILE協(xié)議、開放數(shù)據(jù)庫互聯(lián)、可擴(kuò)展標(biāo)識(shí)語言或文件傳輸協(xié)議的方式采集到不同廠家、不同類型的網(wǎng)絡(luò)安全設(shè)備和系統(tǒng)的安全事件；

步驟1E，Agent采集到安全事件后，依據(jù)步驟1C中接收到的安全事件格式化插件對(duì)步驟1D中采集到的安全事件進(jìn)行格式化；

步驟1F，Agent將格式化后的安全事件發(fā)送至Server。

所述的步驟2包括下述子步驟：

步驟2A，Server接收到安全事件后，將安全事件存儲(chǔ)至數(shù)據(jù)庫中；

步驟2B，Server進(jìn)行關(guān)聯(lián)分析時(shí)，根據(jù)關(guān)聯(lián)規(guī)則設(shè)定的事件類型，從數(shù)據(jù)庫中讀取相應(yīng)的安全事件，然后進(jìn)行關(guān)聯(lián)分析處理，生成安全告警事件，并將安全告警事件發(fā)送至安全告警展示界面；

步驟2C，Web接收安全告警事件并顯示該安全告警事件。

所述的數(shù)據(jù)采集層包括多個(gè)狀態(tài)采集設(shè)備、多個(gè)網(wǎng)絡(luò)數(shù)據(jù)包采集設(shè)備和封裝處理器，狀態(tài)采集設(shè)備，實(shí)現(xiàn)為傳感器或自動(dòng)化儀表采集參數(shù)，網(wǎng)絡(luò)數(shù)據(jù)包采集設(shè)備，實(shí)現(xiàn)為運(yùn)行監(jiān)控腳本，包括但不僅限于安裝在服務(wù)器上的監(jiān)控腳本，封裝處理器，用于將狀態(tài)采集設(shè)備和網(wǎng)絡(luò)數(shù)據(jù)包采集設(shè)備所獲取的網(wǎng)絡(luò)安全事件數(shù)據(jù)進(jìn)行預(yù)處理和封裝，并將封裝好的網(wǎng)絡(luò)安全事件數(shù)據(jù)傳至決策層。

所述的分析決策層包括關(guān)聯(lián)分析模塊和關(guān)聯(lián)分析策略模塊，關(guān)聯(lián)分析模塊用于分析數(shù)據(jù)采集層的封裝處理器傳輸來的實(shí)時(shí)安全事件和安全事件樣本數(shù)據(jù)所存儲(chǔ)的樣本安全事件之間的關(guān)聯(lián)度，關(guān)聯(lián)分析策略模塊用于操作操作關(guān)聯(lián)分析策略數(shù)據(jù)庫。

本發(fā)明的有益效果是：根據(jù)本發(fā)明的安全事件管理方法、服務(wù)器、代理及安全管理平臺(tái)，通過由服務(wù)器將安全事件格式化標(biāo)準(zhǔn)下發(fā)給代理，由采集安全事件的代理根據(jù)安全事件格式化標(biāo)準(zhǔn)對(duì)安全事件進(jìn)行格式化，避免了由服務(wù)器對(duì)全部安全事件進(jìn)行格式化所造成的安全告警延遲的問題，極大地提高了安全監(jiān)控性能；而且當(dāng)包含多臺(tái)服務(wù)器時(shí)，還能夠避免由不同的服務(wù)器對(duì)相同的安全事件進(jìn)行多次格式化處理的問題，實(shí)現(xiàn)了一次格式化、多次應(yīng)用，提高了監(jiān)控效率，及時(shí)發(fā)現(xiàn)安全風(fēng)險(xiǎn)，極大提高了整體安全管理平臺(tái)的性能。

下面將結(jié)合附圖和具體實(shí)施方式對(duì)本發(fā)明做進(jìn)一步說明。

附圖說明

圖1為本發(fā)明安全事件管理方法的流程圖。

圖2為本發(fā)明的分析系統(tǒng)方框圖。

具體實(shí)施方式

本實(shí)施例為本發(fā)明優(yōu)選實(shí)施方式，其他凡其原理和基本結(jié)構(gòu)與本實(shí)施例相同或近似的，均在本發(fā)明保護(hù)范圍之內(nèi)。

請(qǐng)參看附圖1，本發(fā)明中的安全事件管理方法包括下述步驟：

步驟1，服務(wù)器向用于采集安全事件的代理發(fā)送安全事件格式化標(biāo)準(zhǔn)，以使代理根據(jù)安全事件格式化標(biāo)準(zhǔn)對(duì)采集的安全事件進(jìn)行格式化；

本實(shí)施例中，具體地，上述步驟1例如通過以下步驟實(shí)現(xiàn)：

步驟1A，Sever定制一套或多套安全事件格式化字段集，并根據(jù)安全事件格式化字段生成用于表征安全事件格式化標(biāo)準(zhǔn)的安全事件格式化插件。安全事件格式化標(biāo)準(zhǔn)用于將各種不同格式的安全事件統(tǒng)一為Server可識(shí)別的事件格式，以便Server對(duì)安全事件進(jìn)行關(guān)聯(lián)分析。其中，安全事件格式化插件是采用特定的語言、特定的格式、用于對(duì)安全事件進(jìn)行格式化的語句的集合，例如，在數(shù)據(jù)結(jié)構(gòu)中預(yù)先定義一個(gè)標(biāo)識(shí)插件的ID號(hào)，該ID號(hào)和安全事件格式化插件ID號(hào)相同，例如123，一類設(shè)備的安全事件的識(shí)別語句可組合一個(gè)插件，多種類型的設(shè)備安全事件可按統(tǒng)一標(biāo)準(zhǔn)格式化，也可按不同標(biāo)準(zhǔn)格式化，并且每一個(gè)安全事件格式化插件只使用一套字段集，且多個(gè)安全事件格式化插件可共用一套字段集；

步驟1B，Sever部署Agent時(shí)，根據(jù)Agent需要采集的設(shè)備類型，向Agent下發(fā)與設(shè)備類型相對(duì)應(yīng)的安全事件格式化插件，其中，一類設(shè)備類型可對(duì)應(yīng)一個(gè)插件，一個(gè)Agent可采集多種類型的安全事件，且不同類型的Agent可采集不同類型的安全事件；例如與同一Server連接的多個(gè)不同的Agent分別采集以下安全事件：第一Agent采集邊界和網(wǎng)絡(luò)安全的安全事件，例如包括防火墻/虛擬專用網(wǎng)，路由器和交換器，網(wǎng)絡(luò)入侵檢測(cè)/入侵防御設(shè)備；第二Agent采集桌面、網(wǎng)關(guān)和服務(wù)器安全的安全事件，例如包括防病毒、間諜軟件，廣告軟件，郵件和插件安全，反垃圾郵件和內(nèi)容，服務(wù)器、主機(jī)入侵檢測(cè)和防火墻；第三Agent采集策略貫徹和漏洞管理的安全事件，例如包括主機(jī)和網(wǎng)絡(luò)策略協(xié)議，主機(jī)和網(wǎng)絡(luò)漏洞，及資產(chǎn)發(fā)現(xiàn)；第四Agent采集其他應(yīng)用的安全事件，例如包括Web應(yīng)用，郵件和業(yè)務(wù)應(yīng)用。

步驟1C，Agent接收到安全事件格式化插件后，將其存放至本地磁盤；

步驟1D，Agent通過簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SimpleNetworkManagementProtocol，SNMP)、Syslog協(xié)議、其中，Syslog協(xié)議是一種工業(yè)標(biāo)準(zhǔn)的協(xié)議，允許一個(gè)設(shè)備通過IP網(wǎng)絡(luò)把通告信息傳遞給事件信息接收者，另外，可以采用的協(xié)議還包括有FILE協(xié)議、開放數(shù)據(jù)庫互聯(lián)(OpenDatabaseConnectivity，ODBC)、可擴(kuò)展標(biāo)識(shí)語言(ExtensibleMarkupLanguage，XML)和文件傳輸協(xié)議(FileTransferProtocol，F(xiàn)TP)等方式，以便于Agent采集到不同廠家、不同類型的網(wǎng)絡(luò)安全設(shè)備和系統(tǒng)的安全事件；

步驟1E，Agent采集到安全事件后，依據(jù)步驟1C中接收到的安全事件格式化插件對(duì)步驟1D中采集到的安全事件進(jìn)行格式化；

步驟1F，Agent將格式化后的安全事件發(fā)送至Server。

步驟2，Server從Agent獲取經(jīng)格式化的安全事件，對(duì)安全事件進(jìn)行關(guān)聯(lián)分析并產(chǎn)生安全告警。

具體地，上述步驟2例如通過以下步驟實(shí)現(xiàn)：

步驟2A，Server接收到安全事件后，將安全事件存儲(chǔ)至數(shù)據(jù)庫中；

步驟2B，Server進(jìn)行關(guān)聯(lián)分析時(shí)，根據(jù)關(guān)聯(lián)規(guī)則設(shè)定的事件類型，從數(shù)據(jù)庫中讀取相應(yīng)的安全事件，然后進(jìn)行關(guān)聯(lián)分析處理，生成安全告警事件，并將安全告警事件發(fā)送至安全告警展示界面(Web)，例如為瀏覽器；

步驟2C，Web接收安全告警事件并顯示該安全告警事件，Web還可提供查詢界面，以根據(jù)輸入的查詢條件檢索歷史安全告警事件并顯示。

根據(jù)上述實(shí)施例的安全事件管理方法，通過由Server將安全事件格式化標(biāo)準(zhǔn)下發(fā)至Agent，由Agent根據(jù)安全事件格式化標(biāo)準(zhǔn)對(duì)采集的安全事件進(jìn)行格式化，并將格式化后的安全事件發(fā)送至Server，以由Server進(jìn)行關(guān)聯(lián)分析、產(chǎn)生安全告警，避免了由Server對(duì)全部安全事件進(jìn)行格式化所造成的安全告警延遲的問題，極大地提高了安全監(jiān)控性能；而且當(dāng)包含多臺(tái)Server時(shí)，還能夠避免由不同的Server對(duì)相同的安全事件進(jìn)行多次格式化處理的問題，實(shí)現(xiàn)了一次格式化、多次應(yīng)用，提高了監(jiān)控效率，及時(shí)發(fā)現(xiàn)安全風(fēng)險(xiǎn)，極大提高了整體安全管理平臺(tái)的性能。

本實(shí)施例中，在上述實(shí)施例的安全事件管理方法中，Server從Agent獲取經(jīng)格式化的安全事件，對(duì)安全事件進(jìn)行關(guān)聯(lián)分析并產(chǎn)生安全告警的步驟包括：Server從代理獲取經(jīng)格式化的安全事件，將安全事件存儲(chǔ)至預(yù)置的對(duì)應(yīng)于安全事件格式化標(biāo)準(zhǔn)的數(shù)據(jù)庫表中；Server根據(jù)設(shè)定的關(guān)聯(lián)規(guī)則對(duì)應(yīng)的安全事件類型，從與安全事件類型對(duì)應(yīng)的數(shù)據(jù)庫表中讀取安全事件，進(jìn)行關(guān)聯(lián)分析，并生成安全告警事件；Server將安全告警事件發(fā)送至Web。

Server的數(shù)據(jù)庫根據(jù)不同格式化字段集創(chuàng)建不同的數(shù)據(jù)庫表，當(dāng)Agent根據(jù)安全事件格式化插件對(duì)安全事件進(jìn)行格式化時(shí)，為安全事件標(biāo)記上對(duì)應(yīng)于所依據(jù)的安全事件格式化插件的標(biāo)識(shí)，所述標(biāo)識(shí)作為安全事件的標(biāo)識(shí)，以使Server接收到安全事件后，根據(jù)所述安全事件的標(biāo)識(shí)，確定格式化該安全事件所使用的格式化插件，并將該安全事件存儲(chǔ)到相應(yīng)的數(shù)據(jù)庫表中，即Server將使用不同字段集的格式化的安全事件存儲(chǔ)到不同的數(shù)據(jù)庫表中。當(dāng)Server關(guān)聯(lián)分析時(shí)，不需遍歷所有數(shù)據(jù)庫表，依據(jù)關(guān)聯(lián)規(guī)則設(shè)定的事件類型，直接從相應(yīng)的數(shù)據(jù)庫表中讀取事件。根據(jù)上述實(shí)施例的安全事件管理方法，由于為數(shù)據(jù)庫分配對(duì)應(yīng)于不同字段集的數(shù)據(jù)庫表，將Server接收到的格式化后的安全事件存儲(chǔ)到對(duì)應(yīng)的數(shù)據(jù)庫表中，從而使得在進(jìn)行關(guān)聯(lián)分析讀取安全事件時(shí)，可以通過查找與進(jìn)行關(guān)聯(lián)分析所需的事件類型對(duì)應(yīng)的數(shù)據(jù)庫表、并讀取數(shù)據(jù)庫表中存儲(chǔ)的安全事件，來獲取進(jìn)行關(guān)聯(lián)分析所需的安全事件，而無需遍歷所有數(shù)據(jù)庫表，有利于提高讀取安全事件的速度，從而提高SOC的關(guān)聯(lián)分析性能。在上述實(shí)施例的安全事件管理方法中，Server從Agent獲取經(jīng)格式化的安全事件，將安全事件存儲(chǔ)至預(yù)置的對(duì)應(yīng)于安全事件格式化標(biāo)準(zhǔn)的數(shù)據(jù)庫表中的步驟包括：Server從代理獲取經(jīng)格式化的安全事件，根據(jù)預(yù)置的、與代理對(duì)應(yīng)的過濾規(guī)則和/或合并規(guī)則對(duì)安全事件進(jìn)行過濾和/或合并；Server將經(jīng)過濾或合并的安全事件存儲(chǔ)至預(yù)置的對(duì)應(yīng)于安全事件格式化標(biāo)準(zhǔn)的數(shù)據(jù)庫表中。具體地，可根據(jù)用戶的需要，針對(duì)從Agent接收的安全事件設(shè)置過濾規(guī)則和/或合并規(guī)則，以使得Server從Agent接收安全事件時(shí)，能夠?qū)τ脩舨魂P(guān)注的安全事件進(jìn)行過濾或?qū)χ貜?fù)的安全事件進(jìn)行合并。更具體地，該過濾規(guī)則例如為濾除源端口為某一指定端口的安全事件，該合并規(guī)則例如為對(duì)目的IP為某一指定IP的安全事件進(jìn)行合并，即在展示安全事件時(shí)并不分別展示目的IP為該指定IP的多條安全事件，而僅展示一條安全事件并在該條安全事件后注明重復(fù)的次數(shù)。

每一個(gè)過濾或合并規(guī)則只對(duì)一個(gè)Agent有效，即各過濾規(guī)則或合并規(guī)則僅與一個(gè)Agent相對(duì)應(yīng)，例如Server根據(jù)針對(duì)第一Agent設(shè)置的過濾規(guī)則和/或合并規(guī)則對(duì)從第一Agent接收的安全事件進(jìn)行過濾和/或合并時(shí)，該過濾規(guī)則和/或合并規(guī)則并不適用于Server從第二Agent接收的安全事件。

在上述實(shí)施例的安全事件管理方法中，Server從Agent獲取經(jīng)格式化的安全事件，對(duì)安全事件進(jìn)行關(guān)聯(lián)分析并產(chǎn)生安全告警的步驟之前還包括：Server從Agent獲取安全事件，若判斷獲知所獲取的安全事件為未經(jīng)格式化的安全事件(即攜帶有未經(jīng)格式化的標(biāo)識(shí)的安全事件)，則將安全事件存儲(chǔ)至原始安全事件數(shù)據(jù)庫表。具體地，數(shù)據(jù)庫中除包含對(duì)應(yīng)于各安全事件字段集的數(shù)據(jù)庫表之外，還包含一個(gè)用于存儲(chǔ)沒有格式化的原始安全事件數(shù)據(jù)庫表。當(dāng)Agent采集到安全事件后，其根據(jù)安全事件類型查找相應(yīng)的安全事件格式化插件，若找到相應(yīng)的安全事件格式化插件，則依據(jù)上述實(shí)施例對(duì)安全事件進(jìn)行格式化；若未找到相應(yīng)的安全事件格式化插件，則不對(duì)該安全事件進(jìn)行格式化，而是給該安全事件標(biāo)記上未經(jīng)格式化的標(biāo)識(shí)，并將該攜帶有標(biāo)識(shí)的安全事件發(fā)送至Server。其中，該未經(jīng)格式化的標(biāo)識(shí)可以為Agent與Server相約定的任意標(biāo)識(shí)。一般的，對(duì)于未經(jīng)格式化的標(biāo)識(shí)，ID號(hào)默認(rèn)為0。用于在Agent未對(duì)某個(gè)或某些安全事件進(jìn)行格式化并發(fā)送至Server時(shí)，Server能夠通過Agent在相應(yīng)的安全事件上所標(biāo)記的標(biāo)識(shí)識(shí)別出該安全事件未經(jīng)格式化。Server從Agent接收安全事件后，首先識(shí)別安全事件所攜帶的標(biāo)識(shí)，若獲知所接收的安全事件攜帶的標(biāo)識(shí)為未經(jīng)格式化的標(biāo)識(shí)，則將該安全事件存儲(chǔ)至原始安全事件數(shù)據(jù)庫表中。通過檢測(cè)存儲(chǔ)在原始安全事件數(shù)據(jù)庫表中的安全事件，可確定Agent中未包含的安全事件格式化插件或Server中未包含的安全事件格式化插件，從而對(duì)Server和Agent進(jìn)行開發(fā)或更新。在上述實(shí)施例的安全事件管理方法中，數(shù)據(jù)庫表中還可包含一個(gè)用于存儲(chǔ)關(guān)聯(lián)分析產(chǎn)生的安全告警的安全告警表。通過將產(chǎn)生的安全告警存儲(chǔ)在安全告警表中，能夠經(jīng)由Web為用戶提供安全告警查詢服務(wù)。在上述實(shí)施例的安全事件管理方法中，Agent通常為多個(gè)，在大規(guī)模的網(wǎng)絡(luò)環(huán)境中，Server的數(shù)量也可以為多個(gè)。

請(qǐng)參看附圖2，本發(fā)明的網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析系統(tǒng)，包括相互連接的數(shù)據(jù)采集層、集群數(shù)據(jù)庫系統(tǒng)、分析決策層和界面顯示層。連接方式可以為以太網(wǎng)線、數(shù)據(jù)線、光纖等有線形式連接，也可以使用包括WIFI在內(nèi)的無線方式連接。

數(shù)據(jù)采集層主要包括多個(gè)狀態(tài)采集設(shè)備、多個(gè)網(wǎng)絡(luò)數(shù)據(jù)包采集設(shè)備和封裝處理器。狀態(tài)采集設(shè)備，主要實(shí)現(xiàn)為傳感器或自動(dòng)化儀表，包括但不僅限于部署在以太網(wǎng)接口的傳感器，可以采集以太網(wǎng)口的網(wǎng)絡(luò)速度、帶寬；部署在遠(yuǎn)程網(wǎng)絡(luò)安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)服務(wù)器I/O口的自動(dòng)化儀表，可以采集遠(yuǎn)程設(shè)備的主板電壓、電流等性能參數(shù)。網(wǎng)絡(luò)數(shù)據(jù)包采集設(shè)備，主要實(shí)現(xiàn)為運(yùn)行監(jiān)控腳本，包括但不僅限于安裝在服務(wù)器上的監(jiān)控腳本，實(shí)時(shí)監(jiān)測(cè)服務(wù)器的CPU使用率、內(nèi)存使用率、硬盤使用率、磁盤IO速度、緩沖區(qū)大小、線程數(shù)量、隊(duì)列長度等性能參數(shù)。封裝處理器，用于將狀態(tài)采集設(shè)備和網(wǎng)絡(luò)數(shù)據(jù)包采集設(shè)備所獲取的網(wǎng)絡(luò)安全事件數(shù)據(jù)進(jìn)行預(yù)處理和封裝，并將封裝好的網(wǎng)絡(luò)安全事件數(shù)據(jù)傳至決策層。對(duì)采集設(shè)備所采集到的數(shù)據(jù)進(jìn)行預(yù)處理包括但不限于剔除明顯錯(cuò)誤的數(shù)據(jù)、設(shè)定采集設(shè)備分類標(biāo)志，規(guī)范時(shí)間等操作。封裝處理器的封裝操作通過簡(jiǎn)單的封裝協(xié)議進(jìn)行。封裝協(xié)議包括數(shù)據(jù)包頭和采集數(shù)據(jù)兩個(gè)部分。數(shù)據(jù)包頭包括三組內(nèi)容：第一組為采集設(shè)備分類標(biāo)志碼，1bit，用以區(qū)分狀態(tài)采集設(shè)備和網(wǎng)絡(luò)數(shù)據(jù)包采集設(shè)備；第二組表示采集數(shù)據(jù)的時(shí)間，精確到秒，8Byte，如果數(shù)據(jù)采集層采集的數(shù)據(jù)時(shí)間精確到毫秒，則封裝處理器在預(yù)處理時(shí)將其規(guī)范化為秒；第三部分表示數(shù)據(jù)來源設(shè)備的MAC地址。由于狀態(tài)采集設(shè)備和網(wǎng)絡(luò)數(shù)據(jù)包采集設(shè)備分布在整個(gè)網(wǎng)絡(luò)中，因此封裝處理器被設(shè)計(jì)為支持TCP/IP、HTTP、FTP、UDP、藍(lán)牙、802.11等多種網(wǎng)絡(luò)傳輸協(xié)議，從而能夠完成和狀態(tài)采集設(shè)備、網(wǎng)絡(luò)數(shù)據(jù)包采集設(shè)備的交互，避免異構(gòu)網(wǎng)絡(luò)造成的信息傳輸隔閡。另外，由于封裝處理器對(duì)網(wǎng)絡(luò)事件數(shù)據(jù)進(jìn)行了封裝，因此也簡(jiǎn)化了分析決策層，使之不必處理各種網(wǎng)絡(luò)協(xié)議，決策效率更加高效。

集群數(shù)據(jù)庫系統(tǒng)包括監(jiān)控?cái)?shù)據(jù)庫、關(guān)聯(lián)分析策略數(shù)據(jù)庫、關(guān)聯(lián)分析結(jié)果數(shù)據(jù)庫、安全事件樣本數(shù)據(jù)庫。監(jiān)控?cái)?shù)據(jù)庫用于存儲(chǔ)數(shù)據(jù)采集層所采集到的性能參數(shù)相關(guān)的數(shù)據(jù)，例如狀態(tài)采集設(shè)備所采集的主板電壓、電流等性能參數(shù)，網(wǎng)絡(luò)數(shù)據(jù)包采集設(shè)備采集的CPU使用率、內(nèi)存使用率、硬盤使用率、磁盤IO速度、緩沖區(qū)大小、線程數(shù)量、隊(duì)列長度等性能參數(shù)。關(guān)聯(lián)分析策略數(shù)據(jù)庫220用于存儲(chǔ)用來進(jìn)行關(guān)聯(lián)分析的策略，分為固定策略和用戶配置策略兩部分。關(guān)聯(lián)分析結(jié)果數(shù)據(jù)庫用于存儲(chǔ)關(guān)聯(lián)分析的歷史結(jié)果，包括判定為有關(guān)聯(lián)的報(bào)警安全事件、綠色安全事件和最新三天內(nèi)分析的安全事件。安全事件樣本數(shù)據(jù)庫用于存儲(chǔ)樣本報(bào)警安全事件和樣本綠色安全事件的名稱、安全事件的性能參數(shù)，包括但不僅限于網(wǎng)速、帶寬、CPU使用率、內(nèi)存使用率、硬盤空間使用率、磁盤IO速度、緩沖區(qū)大小、線程數(shù)量、隊(duì)列長度等。

分析決策層包括關(guān)聯(lián)分析模塊和關(guān)聯(lián)分析策略模塊。關(guān)聯(lián)分析模塊用于分析數(shù)據(jù)采集層的封裝處理器傳輸來的實(shí)時(shí)安全事件和安全事件樣本數(shù)據(jù)所存儲(chǔ)的樣本安全事件之間的關(guān)聯(lián)度。關(guān)聯(lián)分析策略模塊用于操作操作關(guān)聯(lián)分析策略數(shù)據(jù)庫，包括關(guān)聯(lián)分析策略導(dǎo)入、配置、修改、保存等功能。