一種安全事件動(dòng)態(tài)入庫(kù)方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及網(wǎng)絡(luò)入侵檢測(cè)技術(shù)領(lǐng)域��,特別是一種安全事件動(dòng)態(tài)入庫(kù)方法。
【背景技術(shù)】
[0002] 現(xiàn)在網(wǎng)絡(luò)入侵越來越復(fù)雜���,在網(wǎng)絡(luò)應(yīng)用層的漏洞成為了黑客的重點(diǎn)攻擊目標(biāo)�,利 用網(wǎng)絡(luò)應(yīng)用層的漏洞進(jìn)行攻擊時(shí)����,攻擊者的數(shù)據(jù)(攻擊腳本)千奇百怪,想方設(shè)法繞過各種 安全監(jiān)管系統(tǒng)�,要將這些帶有非常規(guī)內(nèi)容的安全事件,準(zhǔn)確清晰分門別類保存到各種關(guān)系 數(shù)據(jù)庫(kù)中����,也是一件繁瑣細(xì)致而且重要的工作。針對(duì)入庫(kù)工作環(huán)節(jié)����,傳統(tǒng)安全監(jiān)管系統(tǒng)將遇 到以下二個(gè)問題:首先攻擊方式正在動(dòng)態(tài)變化,安全產(chǎn)品能夠識(shí)別出來的安全事件類型也 必須進(jìn)一步細(xì)分�����,而且變更周期越來越短�,導(dǎo)致程序代碼頻繁更新修改,造成應(yīng)用系統(tǒng)不穩(wěn) 定性����;其次對(duì)關(guān)系數(shù)據(jù)庫(kù)支持比較單一���,無(wú)法同時(shí)支持多種關(guān)系數(shù)據(jù)庫(kù)���,從而無(wú)法滿足復(fù)雜 的客戶生產(chǎn)環(huán)境���,就算能滿足也需要進(jìn)行較多的定制化開發(fā)。采用動(dòng)態(tài)入庫(kù)方法可以很好 解決上述問題�,從而提高系統(tǒng)的靈活性、穩(wěn)定性和擴(kuò)展性���。
【發(fā)明內(nèi)容】
[0003] 有鑒于此��,本發(fā)明的目的是提出一種安全事件動(dòng)態(tài)入庫(kù)方法���,支持自定義安全事 件信息動(dòng)態(tài)入庫(kù),同時(shí)支持多種關(guān)系數(shù)據(jù)庫(kù)�。
[0004] 本發(fā)明的采用以下方案實(shí)現(xiàn):一種安全事件動(dòng)態(tài)入庫(kù)方法,具體包括以下步驟: 步驟Sl :采用XML格式文件定義入庫(kù)規(guī)則�����; 步驟S2 :裝載步驟Sl定義完成的入庫(kù)規(guī)則; 步驟S3 :將指定的數(shù)據(jù)庫(kù)操作功能插件封裝為動(dòng)態(tài)庫(kù)DLL�,并裝載所述動(dòng)態(tài)庫(kù)DLL,用 以實(shí)現(xiàn)統(tǒng)一的數(shù)據(jù)庫(kù)操作接口以及之后的動(dòng)態(tài)調(diào)用����。
[0005] 步驟S4 :啟動(dòng)TCP網(wǎng)絡(luò)服務(wù),接收采集到的安全事件���,并將采集到的安全事件定 義為業(yè)務(wù)對(duì)象�����; 步驟S5 :將步驟S4中接收到的業(yè)務(wù)對(duì)象的數(shù)據(jù)轉(zhuǎn)化為通用JSON格式��;其中���,JSON業(yè) 務(wù)對(duì)象具有Key和Value值,簡(jiǎn)單易用��,可以和數(shù)據(jù)表字段有機(jī)結(jié)合起來���。
[0006] 步驟S6 :將步驟S5中的業(yè)務(wù)對(duì)象匹配對(duì)應(yīng)的入庫(kù)規(guī)則��;同時(shí)也確定了業(yè)務(wù)對(duì)象屬 性和數(shù)據(jù)庫(kù)表字段之間的對(duì)應(yīng)關(guān)系���。支持業(yè)務(wù)對(duì)象和數(shù)據(jù)庫(kù)表一對(duì)一��、一對(duì)多的映射關(guān)系����。
[0007] 步驟S7 :根據(jù)步驟S6中匹配的對(duì)應(yīng)的入庫(kù)規(guī)則生成相應(yīng)的SQL語(yǔ)句集合�; 步驟S8 :根據(jù)業(yè)務(wù)對(duì)象對(duì)應(yīng)的數(shù)據(jù)庫(kù)類型�,調(diào)用對(duì)應(yīng)的數(shù)據(jù)庫(kù)操作功能插件執(zhí)行對(duì)應(yīng) 的SQL語(yǔ)句,用以將業(yè)務(wù)對(duì)象錄入到對(duì)應(yīng)類型的數(shù)據(jù)庫(kù)中的對(duì)應(yīng)數(shù)據(jù)表中��;其中����,事務(wù)控制 粒度為單個(gè)業(yè)務(wù)對(duì)象。
[0008] 進(jìn)一步的����,所述的入庫(kù)規(guī)則配置項(xiàng)包括業(yè)務(wù)對(duì)象基本信息定義、業(yè)務(wù)對(duì)象和數(shù)據(jù) 表映射關(guān)系定義�、業(yè)務(wù)對(duì)象屬性和數(shù)據(jù)表字段映射關(guān)系定義、業(yè)務(wù)對(duì)象相關(guān)SQL語(yǔ)句定義��、 業(yè)務(wù)對(duì)象和關(guān)聯(lián)數(shù)據(jù)表映射定義以及業(yè)務(wù)對(duì)象屬性和關(guān)聯(lián)數(shù)據(jù)表字段映射關(guān)系定義�����。
[0009] 進(jìn)一步的,所述的指定數(shù)據(jù)庫(kù)插件包括Oracle操作功能插件��、MySQL操作功能插 件��、SQLITE操作功能插件以及Sybase操作功能插件�。
[0010] 進(jìn)一步的,所述的業(yè)務(wù)對(duì)象具有通信雙方約定好的業(yè)務(wù)對(duì)象類型編碼和業(yè)務(wù)內(nèi)容 信息���。
[0011] 進(jìn)一步的�����,所述的SQL語(yǔ)句集合包括建表語(yǔ)句�、建索引語(yǔ)句以及插入語(yǔ)句��。
[0012] 與現(xiàn)有技術(shù)相比�����,本發(fā)明可以不用修改入庫(kù)程序代碼����,只需要修改動(dòng)態(tài)入庫(kù)規(guī)則 配置信息�,就可以滿足新的業(yè)務(wù)功能�。本發(fā)明能夠大量減少業(yè)務(wù)變更導(dǎo)致的枚舉式代碼開 發(fā)、重復(fù)編譯工作�。提高了程序靈活性、穩(wěn)定性和擴(kuò)展性���,還可以同時(shí)將一個(gè)業(yè)務(wù)對(duì)象保存 到多個(gè)不同的數(shù)據(jù)庫(kù)的多個(gè)數(shù)據(jù)表中�����。
【附圖說明】
[0013] 圖1為本發(fā)明的方法流程示意圖。
[0014] 圖2為本發(fā)明的實(shí)施例架構(gòu)圖��。
【具體實(shí)施方式】
[0015] 下面結(jié)合附圖及實(shí)施例對(duì)本發(fā)明做進(jìn)一步說明�����。
[0016] 如圖1所示��,本實(shí)施例提供了一種安全事件動(dòng)態(tài)入庫(kù)方法���,具體包括以下步驟: 步驟Sl :采用XML格式文件定義入庫(kù)規(guī)則�����; 步驟S2 :裝載步驟Sl定義完成的入庫(kù)規(guī)則�����; 步驟S3 :將指定的數(shù)據(jù)庫(kù)操作功能插件封裝為動(dòng)態(tài)庫(kù)DLL�,并裝載所述動(dòng)態(tài)庫(kù)DLL,用 以實(shí)現(xiàn)統(tǒng)一的數(shù)據(jù)庫(kù)操作接口以及之后的動(dòng)態(tài)調(diào)用�����。
[0017] 步驟S4 :啟動(dòng)TCP網(wǎng)絡(luò)服務(wù)�,接收采集到的安全事件,并將采集到的安全事件定 義為業(yè)務(wù)對(duì)象�; 步驟S5 :將步驟S4中接收到的業(yè)務(wù)對(duì)象的數(shù)據(jù)轉(zhuǎn)化為通用JSON格式;其中�,JSON業(yè) 務(wù)對(duì)象具有Key和Value值,簡(jiǎn)單易用����,可以和數(shù)據(jù)表字段有機(jī)結(jié)合起來。
[0018] 步驟S6 :將步驟S5中的業(yè)務(wù)對(duì)象匹配對(duì)應(yīng)的入庫(kù)規(guī)則�;同時(shí)也確定了業(yè)務(wù)對(duì)象屬 性和數(shù)據(jù)庫(kù)表字段之間的對(duì)應(yīng)關(guān)系。支持業(yè)務(wù)對(duì)象和數(shù)據(jù)庫(kù)表一對(duì)一�����、一對(duì)多的映射關(guān)系。
[0019] 步驟S7 :根據(jù)步驟S6中匹配的對(duì)應(yīng)的入庫(kù)規(guī)則生成相應(yīng)的SQL語(yǔ)句集合����; 步驟S8 :根據(jù)業(yè)務(wù)對(duì)象對(duì)應(yīng)的數(shù)據(jù)庫(kù)類型,調(diào)用對(duì)應(yīng)的數(shù)據(jù)庫(kù)操作功能插件執(zhí)行對(duì)應(yīng) 的SQL語(yǔ)句��,用以將業(yè)務(wù)對(duì)象錄入到對(duì)應(yīng)類型的數(shù)據(jù)庫(kù)中的對(duì)應(yīng)數(shù)據(jù)表中��;其中����,事務(wù)控制 粒度為單個(gè)業(yè)務(wù)對(duì)象。
[0020] 在本實(shí)施例中�,所述的入庫(kù)規(guī)則配置項(xiàng)包括業(yè)務(wù)對(duì)象基本信息定義、業(yè)務(wù)對(duì)象和 數(shù)據(jù)表映射關(guān)系定義��、業(yè)務(wù)對(duì)象屬性和數(shù)據(jù)表字段映射關(guān)系定義�����、業(yè)務(wù)對(duì)象相關(guān)SQL語(yǔ)句 定義����、業(yè)務(wù)對(duì)象和關(guān)聯(lián)數(shù)據(jù)表映射定義以及業(yè)務(wù)對(duì)象屬性和關(guān)聯(lián)數(shù)據(jù)表字段映射關(guān)系定 義���。
[0021] 在本實(shí)施例中���,所述的指定數(shù)據(jù)庫(kù)插件包括Oracle操作功能插件�����、MySQL操作功 能插件���、SQLITE操作功能插件以及Sybase操作功能插件。
[0022] 在本實(shí)施例中��,所述的業(yè)務(wù)對(duì)象具有通信雙方約定好的業(yè)務(wù)對(duì)象類型編碼和業(yè)務(wù) 內(nèi)容信息����。
[0023] 在本實(shí)施例中,述的SQL語(yǔ)句集合包括建表語(yǔ)句���、建索引語(yǔ)句以及插入語(yǔ)句��。
[0024] 較佳地�����,在本實(shí)施例中�,業(yè)務(wù)對(duì)象和數(shù)據(jù)表映射關(guān)系定義如下表所示。
【主權(quán)項(xiàng)】
1. 一種安全事件動(dòng)態(tài)入庫(kù)方法�����,其特征在于包括以下步驟: 步驟Sl :采用XML格式文件定義入庫(kù)規(guī)則�; 步驟S2 :裝載步驟Sl定義完成的入庫(kù)規(guī)則; 步驟S3 :將指定的數(shù)據(jù)庫(kù)操作功能插件封裝為動(dòng)態(tài)庫(kù)DLL�,并裝載所述動(dòng)態(tài)庫(kù)DLL ; 步驟S4 :啟動(dòng)TCP網(wǎng)絡(luò)服務(wù),接收采集到的安全事件����,并將采集到的安全事件定義為 業(yè)務(wù)對(duì)象; 步驟S5 :將步驟S4中接收到的業(yè)務(wù)對(duì)象的數(shù)據(jù)轉(zhuǎn)化為通用JSON格式����; 步驟S6 :將步驟S5中的業(yè)務(wù)對(duì)象匹配對(duì)應(yīng)的入庫(kù)規(guī)則; 步驟S7 :根據(jù)步驟S6中匹配的對(duì)應(yīng)的入庫(kù)規(guī)則生成相應(yīng)的SQL語(yǔ)句集合�����; 步驟S8 :根據(jù)業(yè)務(wù)對(duì)象對(duì)應(yīng)的數(shù)據(jù)庫(kù)類型���,調(diào)用對(duì)應(yīng)的數(shù)據(jù)庫(kù)操作功能插件執(zhí)行對(duì)應(yīng) 的SQL語(yǔ)句,用以將業(yè)務(wù)對(duì)象錄入到對(duì)應(yīng)類型的數(shù)據(jù)庫(kù)中的對(duì)應(yīng)數(shù)據(jù)表中;其中�,事務(wù)控制 粒度為單個(gè)業(yè)務(wù)對(duì)象。
2. 根據(jù)權(quán)利要求1所述的一種安全事件動(dòng)態(tài)入庫(kù)方法��,其特征在于:所述的入庫(kù)規(guī)則 配置項(xiàng)包括業(yè)務(wù)對(duì)象基本信息定義��、業(yè)務(wù)對(duì)象和數(shù)據(jù)表映射關(guān)系定義���、業(yè)務(wù)對(duì)象屬性和數(shù) 據(jù)表字段映射關(guān)系定義�����、業(yè)務(wù)對(duì)象相關(guān)SQL語(yǔ)句定義�����、業(yè)務(wù)對(duì)象和關(guān)聯(lián)數(shù)據(jù)表映射定義以 及業(yè)務(wù)對(duì)象屬性和關(guān)聯(lián)數(shù)據(jù)表字段映射關(guān)系定義��。
3. 根據(jù)權(quán)利要求1所述的一種安全事件動(dòng)態(tài)入庫(kù)方法���,其特征在于:所述的指定數(shù)據(jù) 庫(kù)插件包括Oracle操作功能插件、MySQL操作功能插件�、SQLITE操作功能插件以及Sybase 操作功能插件。
4. 根據(jù)權(quán)利要求1所述的一種安全事件動(dòng)態(tài)入庫(kù)方法�,其特征在于:所述的業(yè)務(wù)對(duì)象 具有通信雙方約定好的業(yè)務(wù)對(duì)象類型編碼和業(yè)務(wù)內(nèi)容信息。
5. 根據(jù)權(quán)利要求1所述的一種安全事件動(dòng)態(tài)入庫(kù)方法,其特征在于:所述的SQL語(yǔ)句 集合包括建表語(yǔ)句����、建索引語(yǔ)句以及插入語(yǔ)句。
【專利摘要】本發(fā)明涉及一種安全事件動(dòng)態(tài)入庫(kù)方法��,首先采用XML格式文件定義入庫(kù)規(guī)則��;再裝載步驟S1定義完成的入庫(kù)規(guī)則�;然后將指定的數(shù)據(jù)庫(kù)操作功能插件封裝為動(dòng)態(tài)庫(kù)DLL,并裝載所述動(dòng)態(tài)庫(kù)DLL��;接著啟動(dòng)TCP 網(wǎng)絡(luò)服務(wù)����,接收采集到的安全事件,并將采集到的安全事件定義為業(yè)務(wù)對(duì)象��;將步驟S4中接收到的業(yè)務(wù)對(duì)象的數(shù)據(jù)轉(zhuǎn)化為通用JSON格式�����;再將步驟S5中的業(yè)務(wù)對(duì)象匹配對(duì)應(yīng)的入庫(kù)規(guī)則�;接著根據(jù)步驟S6中匹配的對(duì)應(yīng)的入庫(kù)規(guī)則生成相應(yīng)的SQL語(yǔ)句集合;最后根據(jù)業(yè)務(wù)對(duì)象對(duì)應(yīng)的數(shù)據(jù)庫(kù)類型����,調(diào)用對(duì)應(yīng)的數(shù)據(jù)庫(kù)操作功能插件執(zhí)行對(duì)應(yīng)的SQL語(yǔ)句。本發(fā)明可以便捷將各種安全事件動(dòng)態(tài)保存到各種類型的數(shù)據(jù)庫(kù)����,供安全技術(shù)分析人員進(jìn)一步跟蹤分析。
【IPC分類】G06F21-56, G06F17-30
【公開號(hào)】CN104834860
【申請(qǐng)?zhí)枴緾N201510231920
【發(fā)明人】王 琦, 張木連, 劉坤朋, 張冬青
【申請(qǐng)人】福建六壬網(wǎng)安股份有限公司
【公開日】2015年8月12日
【申請(qǐng)日】2015年5月9日