一種顯示事件和對(duì)象之間關(guān)系的方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種顯示事件和對(duì)象之間關(guān)系的方法���,包括如下步驟:識(shí)別一組能夠?qū)缃M計(jì)算設(shè)備進(jìn)行監(jiān)控的事件類型�;記錄數(shù)據(jù)庫(kù)里每個(gè)計(jì)算組中的計(jì)算設(shè)備����,任何發(fā)生在所述計(jì)算設(shè)備上的事件以及與發(fā)生在所述計(jì)算設(shè)備上的每個(gè)記錄相關(guān)聯(lián)的對(duì)象;在所述數(shù)據(jù)庫(kù)中創(chuàng)建相同事件類型和相同對(duì)象類型之間的關(guān)系��;接收用戶用于觀測(cè)關(guān)于時(shí)間或?qū)ο笮畔⒌恼?qǐng)求�����;利用存儲(chǔ)在所述數(shù)據(jù)庫(kù)中的關(guān)系來(lái)檢索用戶所請(qǐng)求的信息�;將用戶請(qǐng)求的信息以及用于檢索用戶請(qǐng)求的信息通過圖形用戶界面顯示給用戶。本發(fā)明還涉及一種實(shí)現(xiàn)上述方法的系統(tǒng)�����。實(shí)施本發(fā)明的顯示事件和對(duì)象之間關(guān)系的方法及系統(tǒng)���,具有以下有益效果:能跟蹤數(shù)據(jù)片段之間的關(guān)系�、便于快速檢索�����。
【專利說明】
一種顯示事件和對(duì)象之間關(guān)系的方法及系統(tǒng)
技術(shù)領(lǐng)域
[0001]本發(fā)明涉及計(jì)算機(jī)領(lǐng)域,特別涉及一種顯示事件和對(duì)象之間關(guān)系的方法及系統(tǒng)�����。
【背景技術(shù)】
[0002]每天��,每臺(tái)計(jì)算設(shè)備上都會(huì)有成百上千個(gè)文件被上傳或下載�����,電子郵件被發(fā)送�,數(shù)據(jù)被復(fù)制、移動(dòng)���、修改或刪除�����。同樣也會(huì)有成百上千個(gè)數(shù)據(jù)包通過合法的服務(wù)器��,僵尸網(wǎng)絡(luò)或是攻擊者被計(jì)算設(shè)備所接收�,而這僅僅只是一個(gè)典型的計(jì)算設(shè)備上的小部分活動(dòng)。每個(gè)文件����、數(shù)據(jù)包和其他數(shù)據(jù)片段都與多個(gè)附加數(shù)據(jù)片段相關(guān)聯(lián)��,諸如統(tǒng)一資源定位符(URLs)���、簽名����、網(wǎng)絡(luò)或計(jì)算裝置����。可以對(duì)所有這些活動(dòng)和數(shù)據(jù)進(jìn)行跟蹤��,讓管理員對(duì)類似事情產(chǎn)生重要見解�。包括:病毒是如何進(jìn)入內(nèi)部網(wǎng)絡(luò)然后蔓延,文件是否受到攻擊����,或者是確定在發(fā)生信息丟失以前最后一個(gè)取得安全權(quán)限對(duì)信息進(jìn)行操作的員工。
[0003]但不幸的是����,對(duì)如此多的信息軌跡進(jìn)行跟蹤是個(gè)不小的任務(wù)�,傳統(tǒng)追蹤計(jì)算設(shè)備信息軌跡的系統(tǒng)可能需要在數(shù)據(jù)追蹤庫(kù)中搜索各個(gè)相關(guān)條目���,以便檢索到相關(guān)響應(yīng)的檢索請(qǐng)求�,但傳統(tǒng)系統(tǒng)可能會(huì)因?yàn)椴荒芨檾?shù)據(jù)片段之間的關(guān)系而失敗��。鑒于以上原因���,亟需一款改進(jìn)系統(tǒng)來(lái)顯示事件和對(duì)象之間的關(guān)系�����。
【發(fā)明內(nèi)容】
[0004]本發(fā)明要解決的技術(shù)問題在于�����,針對(duì)現(xiàn)有技術(shù)的上述不能跟蹤數(shù)據(jù)片段之間的關(guān)系而導(dǎo)致檢索失敗的缺陷�,提供一種能跟蹤數(shù)據(jù)片段之間的關(guān)系��、便于快速檢索的顯示事件和對(duì)象之間關(guān)系的方法及系統(tǒng)����。
[0005]本發(fā)明解決其技術(shù)問題所采用的技術(shù)方案是:構(gòu)造一種顯示事件和對(duì)象之間關(guān)系的方法�,包括如下步驟:
[0006]A)識(shí)別一組能夠?qū)缃M計(jì)算設(shè)備進(jìn)行監(jiān)控的事件類型����;
[0007]B)記錄數(shù)據(jù)庫(kù)里每個(gè)計(jì)算組中的計(jì)算設(shè)備,任何發(fā)生在所述計(jì)算設(shè)備上的事件以及與發(fā)生在所述計(jì)算設(shè)備上的每個(gè)記錄相關(guān)聯(lián)的對(duì)象���;
[0008]C)在所述數(shù)據(jù)庫(kù)中創(chuàng)建相同事件類型和相同對(duì)象類型之間的關(guān)系;
[0009]D)接收用戶用于觀測(cè)關(guān)于時(shí)間或?qū)ο笮畔⒌恼?qǐng)求����;
[0010]E)利用存儲(chǔ)在所述數(shù)據(jù)庫(kù)中的關(guān)系來(lái)檢索用戶所請(qǐng)求的信息;
[0011]F)將用戶請(qǐng)求的信息以及用于檢索用戶請(qǐng)求的信息通過圖形用戶界面顯示給用戶���。
[0012]在本發(fā)明所述的顯示事件和對(duì)象之間關(guān)系的方法中��,所述顯示用戶請(qǐng)求的信息是顯示一個(gè)包括每個(gè)設(shè)備組內(nèi)各計(jì)算裝置所觀察到的事件或?qū)ο蟮牧斜?���,或者顯示各個(gè)數(shù)據(jù)庫(kù)中所觀察到的各計(jì)算設(shè)備上的對(duì)象以及任意含有對(duì)象或事件存儲(chǔ)關(guān)系的對(duì)象����。
[0013]在本發(fā)明所述的顯示事件和對(duì)象之間關(guān)系的方法中,所述顯示用戶請(qǐng)求的信息包含顯示數(shù)據(jù)庫(kù)中關(guān)于計(jì)算設(shè)備上觀察到的事件以及任意含有對(duì)象或事件存儲(chǔ)關(guān)系的對(duì)象��。
[0014]在本發(fā)明所述的顯示事件和對(duì)象之間關(guān)系的方法中,所述顯示用戶請(qǐng)求的信息為顯示出一系列包含某個(gè)時(shí)間點(diǎn)上的用戶請(qǐng)求事件或是被用戶的請(qǐng)求對(duì)象所影響的一個(gè)附加的事件����。
[0015]在本發(fā)明所述的顯示事件和對(duì)象之間關(guān)系的方法中,所述顯示用戶請(qǐng)求的信息包含關(guān)于擁有潛在的惡意動(dòng)作事件的存儲(chǔ)信息����。
[0016]在本發(fā)明所述的顯示事件和對(duì)象之間關(guān)系的方法中,進(jìn)一步包括如下步驟:
[0017]G)接收到新的用戶查詢新的請(qǐng)求事件�����,并顯示其中至少一項(xiàng)�;
[0018]H)涉及到事件的多個(gè)計(jì)算設(shè)備中的每個(gè)計(jì)算設(shè)備的表示;
[0019]I)涉及到事件的每個(gè)對(duì)象的表示��;
[0020]J)在一系列事件中每個(gè)事件的表示���;
[0021]K)每個(gè)計(jì)算設(shè)備���、事件和涉及到事件中的對(duì)象之間的一系列關(guān)系的表示。
[0022]本發(fā)明還涉及一種實(shí)現(xiàn)上述顯示事件和對(duì)象之間關(guān)系的方法的系統(tǒng)��,包括:
[0023]識(shí)別模塊:用于識(shí)別一組能夠?qū)缃M計(jì)算設(shè)備進(jìn)行監(jiān)控的事件類型�����;
[0024]記錄模塊:用于記錄數(shù)據(jù)庫(kù)里每個(gè)計(jì)算組中的計(jì)算設(shè)備,任何發(fā)生在所述計(jì)算設(shè)備上的事件以及與發(fā)生在所述計(jì)算設(shè)備上的每個(gè)記錄相關(guān)聯(lián)的對(duì)象����;
[0025]創(chuàng)建模塊:用于在所述數(shù)據(jù)庫(kù)中創(chuàng)建相同事件類型和相同對(duì)象類型之間的關(guān)系;
[0026]接收模塊:用于接收用戶用于觀測(cè)關(guān)于時(shí)間或?qū)ο笮畔⒌恼?qǐng)求�����;
[0027]檢索模塊:用于利用存儲(chǔ)在所述數(shù)據(jù)庫(kù)中的關(guān)系來(lái)檢索用戶所請(qǐng)求的信息���;
[0028]顯示模塊:用于將用戶請(qǐng)求的信息以及用于檢索用戶請(qǐng)求的信息通過圖形用戶界面顯示給用戶;
[0029]至少含有一個(gè)物理處理器����,用于處理所述識(shí)別模塊、記錄模塊����、創(chuàng)建模塊、接收模塊��、檢索模塊和顯示模塊�����。
[0030]在本發(fā)明所述的系統(tǒng)中,所述顯示模塊顯示用戶請(qǐng)求的信息����,并由能夠觀察到事件或?qū)ο蟮亩鄠€(gè)計(jì)算設(shè)備中的每一個(gè)計(jì)算設(shè)備的列表來(lái)顯示用于檢索用戶請(qǐng)求的信息的關(guān)系。
[0031]在本發(fā)明所述的系統(tǒng)中����,所述記錄模塊存儲(chǔ)關(guān)于潛在的惡意動(dòng)作的事件或?qū)ο蟆?br>[0032]在本發(fā)明所述的系統(tǒng)中,所述顯示模塊通過圖形用戶界面顯示多組數(shù)據(jù)�����,每個(gè)數(shù)據(jù)分別代表用戶請(qǐng)求的某個(gè)時(shí)間點(diǎn)或一個(gè)附加事件影響用戶請(qǐng)求的對(duì)象的某個(gè)時(shí)間點(diǎn)��。
[0033]實(shí)施本發(fā)明的顯示事件和對(duì)象之間關(guān)系的方法及系統(tǒng)�,具有以下有益效果:由于利用存儲(chǔ)在數(shù)據(jù)庫(kù)中的關(guān)系來(lái)檢索用戶所請(qǐng)求的信息,這樣就無(wú)需通過對(duì)數(shù)據(jù)庫(kù)中的每個(gè)條目進(jìn)行搜索�,另外,可通過圖像用戶界面將用戶請(qǐng)求的信息以及用于檢索用戶請(qǐng)求的信息顯示給用戶����,其能高效地進(jìn)行相關(guān)事件和對(duì)象的檢索,所以其能跟蹤數(shù)據(jù)片段之間的關(guān)系�、便于快速檢索����。
【附圖說明】
[0034]為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案�����,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹�,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例��,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講���,在不付出創(chuàng)造性勞動(dòng)性的前提下,還可以根據(jù)這些附圖獲得其他的附圖��。
[0035]圖1為本發(fā)明顯示事件和對(duì)象之間關(guān)系的方法及系統(tǒng)一個(gè)實(shí)施例中方法的流程圖����;
[0036]圖2為所述實(shí)施例中收到用戶查詢并進(jìn)行處理的流程圖;
[0037]圖3為所述實(shí)施例中當(dāng)檢測(cè)到正在下載文件時(shí)的處理流程圖����;
[0038]圖4為所述實(shí)施例中系統(tǒng)的結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0039]下面將結(jié)合本發(fā)明實(shí)施例中的附圖���,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚����、完整地描述,顯然�����,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例���,而不是全部的實(shí)施例��?�;诒景l(fā)明中的實(shí)施例���,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍�。
[0040]在本發(fā)明顯示事件和對(duì)象之間關(guān)系的方法及系統(tǒng)實(shí)施例中,其顯示事件和對(duì)象之間關(guān)系的方法的流程圖如圖1所示����。計(jì)算設(shè)備上至少有一個(gè)處理器執(zhí)行該方法。圖1中,該顯示事件和對(duì)象之間關(guān)系的方法包括如下步驟:
[0041]步驟SOl識(shí)別一組能夠?qū)缃M計(jì)算設(shè)備進(jìn)行監(jiān)控的事件類型:本步驟中���,識(shí)別一組能夠?qū)缃M計(jì)算設(shè)備進(jìn)行監(jiān)控的事件類型��,也就是識(shí)別一系列事件類型�,其中的事件可以跨越多個(gè)計(jì)算設(shè)備被監(jiān)控�。本實(shí)施例中,事件是指由計(jì)算設(shè)備觀察到的狀態(tài)變化或?qū)ο蟮臓顟B(tài)改變�。事件類型是指在計(jì)算設(shè)備上事件的任意分類。事件類型可以包括但不限于:文件的創(chuàng)建�,文件下載,文件上傳�����,文件刪除����,新的網(wǎng)絡(luò)連接����,關(guān)閉的網(wǎng)絡(luò)連接,成功授權(quán)或失敗的授權(quán)����。一個(gè)事件可以指任意一個(gè)描述了某個(gè)具體時(shí)間點(diǎn)上一個(gè)系統(tǒng)的不可變狀態(tài)的數(shù)據(jù)集���。
[0042]步驟S02記錄數(shù)據(jù)庫(kù)里每個(gè)計(jì)算組中的計(jì)算設(shè)備,任何發(fā)生在計(jì)算設(shè)備上的事件以及與發(fā)生在計(jì)算設(shè)備上的每個(gè)記錄相關(guān)聯(lián)的對(duì)象:本實(shí)施例中�����,計(jì)算設(shè)備可以全部由一個(gè)組織控制�。例如,一個(gè)組織可以監(jiān)控該組織在其計(jì)算設(shè)備上產(chǎn)生的所有事件�����。在本實(shí)施例的一些情況下�����,計(jì)算設(shè)備可以全部連接到一個(gè)網(wǎng)絡(luò)�����,也可以連接到多個(gè)網(wǎng)絡(luò)����。同樣,計(jì)算設(shè)備可以由屬于相同組織的成員所獨(dú)立擁有。另外�����,多個(gè)計(jì)算設(shè)備可供該組織的成員使用����,但其并不是由該組織所擁有。多個(gè)計(jì)算設(shè)備可以包括:由該組織的成員擁有的移動(dòng)設(shè)備����、用于相關(guān)任務(wù)的移動(dòng)設(shè)備以及在本組織中擁有的臺(tái)式機(jī)和服務(wù)器。
[0043]值得一提的是��,本實(shí)施例中����,數(shù)據(jù)庫(kù)可以被配置成用于存儲(chǔ)對(duì)象和事件之間關(guān)系的數(shù)據(jù)庫(kù)。其可以代表一個(gè)單獨(dú)的數(shù)據(jù)庫(kù)�����、單獨(dú)的計(jì)算設(shè)備����、多個(gè)數(shù)據(jù)庫(kù)或多個(gè)計(jì)算設(shè)備。本步驟中���,數(shù)據(jù)庫(kù)代表了一個(gè)或多個(gè)物理上分離的跨計(jì)算設(shè)備的裝置����。
[0044]本步驟中���,一個(gè)或多個(gè)計(jì)算設(shè)備可以被記錄在數(shù)據(jù)庫(kù)中���。該記錄包括:發(fā)生在計(jì)算設(shè)備上的任何事件,以及與每個(gè)記錄的事件相關(guān)聯(lián)的對(duì)象���。本實(shí)施例中���,對(duì)象一般是指與事件相關(guān)聯(lián)的任意數(shù)據(jù)。在本實(shí)施例的一些情況下��,對(duì)象可以包括在計(jì)算設(shè)備上進(jìn)行構(gòu)建(例如�����,虛擬對(duì)象)的內(nèi)容���,例如:文件��、文件夾�����、URL或帳戶�。在本實(shí)施例的一些情況下,對(duì)象可以包括物理項(xiàng)目��,如雇員卡�。另外,對(duì)象也可以是事件�,如時(shí)間、地點(diǎn)或被存儲(chǔ)為元數(shù)據(jù)的對(duì)象����,還可以包括但不限于:網(wǎng)絡(luò)連接、域名�����、網(wǎng)際協(xié)議(IP)地址或計(jì)算設(shè)備等�����。
[0045]步驟S03在數(shù)據(jù)庫(kù)中創(chuàng)建相同事件類型和相同對(duì)象類型之間的關(guān)系:本步驟中,在數(shù)據(jù)庫(kù)中創(chuàng)建相同事件類型和相同對(duì)象類型之間的關(guān)系����。本實(shí)施例中的關(guān)系一般是指兩個(gè)事件���,兩個(gè)對(duì)象����,或一個(gè)對(duì)象與事件之間的任意連接���。
[0046]步驟S04接收用戶用于觀測(cè)關(guān)于時(shí)間或?qū)ο笮畔⒌恼?qǐng)求:本實(shí)施例中�,可以接受多個(gè)來(lái)自用戶對(duì)一個(gè)或多個(gè)事件或?qū)ο蟮牟榭凑?qǐng)求���。具體的����,本步驟中��,接收用戶用于觀測(cè)關(guān)于時(shí)間或?qū)ο笮畔⒌恼?qǐng)求(也就是用戶查詢信息的請(qǐng)求)��。本實(shí)施例中�,請(qǐng)求通常指的是由用戶發(fā)起的任意干預(yù)�����。在本實(shí)施例的一些情況下���,用戶可通過執(zhí)行搜索,點(diǎn)擊用戶接口的按鈕���,通過在命令行接口運(yùn)行一個(gè)查詢命令或啟動(dòng)一個(gè)應(yīng)用程序��。
[0047]步驟S05利用存儲(chǔ)在數(shù)據(jù)庫(kù)中的關(guān)系來(lái)檢索用戶所請(qǐng)求的信息:本步驟中��,利用存儲(chǔ)在數(shù)據(jù)庫(kù)中的關(guān)系來(lái)檢索用戶所請(qǐng)求的信息�,而無(wú)需通過在數(shù)據(jù)庫(kù)中的每個(gè)條目進(jìn)行搜索��。這樣可以確保用戶在對(duì)數(shù)據(jù)庫(kù)中關(guān)于事件����、對(duì)象或他們之間的關(guān)系進(jìn)行檢索時(shí),能夠更迅速的從數(shù)據(jù)庫(kù)中接收到響應(yīng)�����。
[0048]步驟S06將用戶請(qǐng)求的信息以及用于檢索用戶請(qǐng)求的信息通過圖形用戶界面顯示給用戶:本步驟中����,將用戶請(qǐng)求的信息以及用于檢索用戶請(qǐng)求的信息通過圖形用戶界面顯示給用戶����,具體的����,可以由圖形用戶界面顯示用戶的請(qǐng)求信息���,以及至少一種用于檢索信息請(qǐng)求的關(guān)系����,可以使用戶通過圖形用戶界面更加有效的對(duì)事件��、對(duì)象以及之間的事件進(jìn)行分析����。
[0049]值得一提的是,本實(shí)施例中��,顯示用戶請(qǐng)求的信息可以是顯示一個(gè)包括每個(gè)設(shè)備組內(nèi)各計(jì)算裝置所觀察到的事件或?qū)ο蟮牧斜?�,也可以顯示各個(gè)數(shù)據(jù)庫(kù)中所觀察到的各計(jì)算設(shè)備上的對(duì)象或以及任意含有對(duì)象或事件存儲(chǔ)關(guān)系的對(duì)象����。顯示用戶請(qǐng)求的信息可以包含顯示數(shù)據(jù)庫(kù)中關(guān)于計(jì)算設(shè)備上觀察到的事件以及任意含有對(duì)象或事件存儲(chǔ)關(guān)系的對(duì)象�����。圖形用戶界面可以顯示出一系列包含某個(gè)時(shí)間點(diǎn)上的用戶請(qǐng)求事件或是被用戶的請(qǐng)求對(duì)象所影響的一個(gè)附加的事件�����。使用上述方法可以顯示事件和對(duì)象之間的關(guān)系�����,上述步驟SOl至步驟S06可以通過任意適合的計(jì)算機(jī)可執(zhí)行代碼或計(jì)算系統(tǒng)來(lái)執(zhí)行����。
[0050]本實(shí)施例的上述顯示事件和對(duì)象之間關(guān)系的方法利用存儲(chǔ)在數(shù)據(jù)庫(kù)中的關(guān)系來(lái)檢索用戶所請(qǐng)求的信息�����,這樣就無(wú)需通過對(duì)數(shù)據(jù)庫(kù)中的每個(gè)條目進(jìn)行搜索���,另外����,可通過圖像用戶界面將用戶請(qǐng)求的信息以及用于檢索用戶請(qǐng)求的信息顯示給用戶,其能高效地進(jìn)行相關(guān)事件和對(duì)象的檢索����,所以其能跟蹤數(shù)據(jù)片段之間的關(guān)系、便于快速檢索�。
[0051]上述方法可被編碼為非臨時(shí)性計(jì)算機(jī)可讀介質(zhì)上的計(jì)算機(jī)可讀指令。計(jì)算機(jī)可讀介質(zhì)指的是任何形式的設(shè)備��、載體或介質(zhì)�����,能夠存儲(chǔ)或攜帶計(jì)算機(jī)可讀指令�。計(jì)算機(jī)可讀介質(zhì)包括但不限于:傳輸型介質(zhì)(諸如載波)�����,非暫時(shí)性介質(zhì)(諸如磁存儲(chǔ)介質(zhì):硬盤驅(qū)動(dòng)器�����、磁帶驅(qū)動(dòng)器和軟盤)��,光存儲(chǔ)介質(zhì)(例如:光盤(CD)、數(shù)字視頻盤(DVD)和藍(lán)光盤)����,電子存儲(chǔ)介質(zhì)(例如:固態(tài)驅(qū)動(dòng)器和閃速介質(zhì))以及其他分布式系統(tǒng)。
[0052]在本實(shí)施例的一些情況下���,上述方法可以包括存儲(chǔ)關(guān)于至少攜帶一個(gè)潛在惡意行為的事件或?qū)ο蟮男畔?���,這樣���,上述顯示用戶請(qǐng)求的信息包含關(guān)于擁有潛在的惡意動(dòng)作事件的存儲(chǔ)信息�����。
[0053]本實(shí)施例中�,上述顯示事件和對(duì)象之間關(guān)系的方法還進(jìn)一步包括一些步驟�,其流程圖如圖2所示。圖2中���,上述顯示事件和對(duì)象之間關(guān)系的方法進(jìn)一步包括如下步驟:
[0054]步驟Sll接收到新的用戶查詢新的請(qǐng)求事件���,并顯示其中至少一項(xiàng):本步驟中�����,接收到新的用戶查詢新的請(qǐng)求事件�,并顯示其中至少一項(xiàng)��,具體的說��,接收到新的用戶查詢新的請(qǐng)求事件�����,并顯示至少以下一個(gè)方面:(I)代表涉及以上事件的每個(gè)計(jì)算設(shè)備����;(2)代表涉及事件的每個(gè)對(duì)象�����;(3)代表產(chǎn)生事件的對(duì)象��;(4)代表一系列計(jì)算設(shè)備����、事件以及涉及事件對(duì)象之間的關(guān)系。
[0055]步驟S12涉及到事件的多個(gè)計(jì)算設(shè)備中的每個(gè)計(jì)算設(shè)備的表示:本步驟中,對(duì)涉及到事件的多個(gè)計(jì)算設(shè)備中的每個(gè)計(jì)算設(shè)備進(jìn)行表示����。
[0056]步驟S13涉及到事件的每個(gè)對(duì)象的表示:本步驟中,對(duì)涉及到事件的每個(gè)對(duì)象進(jìn)行表不�。
[0057]步驟S14在一系列事件中每個(gè)事件的表示:本步驟中,對(duì)在一系列事件中的每個(gè)事件進(jìn)行表示���。
[0058]步驟SI5每個(gè)計(jì)算設(shè)備�、事件和涉及到事件中的對(duì)象之間的一系列關(guān)系的表示:本步驟中����,對(duì)每個(gè)計(jì)算設(shè)備、事件和涉及到事件中的對(duì)象之間的一系列關(guān)系進(jìn)行表示����。
[0059]圖3為本實(shí)施例中當(dāng)檢測(cè)到正在下載文件時(shí)的處理流程圖。圖3中�,具體的流程包括如下步驟:
[0060]步驟S21檢測(cè)到一個(gè)計(jì)算設(shè)備正在下載文件:本步驟中,檢測(cè)到一個(gè)計(jì)算設(shè)備正在下載文件�,該計(jì)算設(shè)備從網(wǎng)站下載一個(gè)文件,也可以從本地服務(wù)器上下載文件�。
[0061]步驟S22解析與文件相關(guān)聯(lián)的所有對(duì)象:本步驟中,當(dāng)計(jì)算設(shè)備從網(wǎng)站下載文件時(shí)���,本步驟可以解析網(wǎng)站的域名��、URL���、哈希列表��、指紋��、文件的數(shù)字簽名���、文件的大小、該文件在計(jì)算設(shè)備上的路徑�,文件下載發(fā)生時(shí)的時(shí)間戳以及該文件的計(jì)算設(shè)備。
[0062]步驟S23如果上述文件不存在����,在數(shù)據(jù)庫(kù)中創(chuàng)建上述文件的表示:在本步驟中,可以在數(shù)據(jù)庫(kù)中創(chuàng)建文件的表示(當(dāng)文件不存在時(shí))ο例如����,可以檢查一個(gè)文件的SHA-256哈希是否存在于數(shù)據(jù)庫(kù)中�����,如果沒有,將在數(shù)據(jù)庫(kù)中創(chuàng)建并記錄����。
[0063]步驟S24如果相關(guān)聯(lián)的對(duì)象不存在,在數(shù)據(jù)庫(kù)中創(chuàng)建每個(gè)相關(guān)聯(lián)的對(duì)象的表示:本步驟中��,可以在數(shù)據(jù)庫(kù)中創(chuàng)建每個(gè)相關(guān)聯(lián)的對(duì)象的表示���。例如�����,可以創(chuàng)建域名����、URL��、文件�����、時(shí)間戳��、文件的路徑和該計(jì)算設(shè)備的信息�����。
[0064]步驟S25存儲(chǔ)上述文件與對(duì)象以及相關(guān)聯(lián)的對(duì)象之間的關(guān)系:本步驟中,可以存儲(chǔ)文件和對(duì)象��,以及它們相互之間的關(guān)系�。由于計(jì)算設(shè)備先前已經(jīng)與網(wǎng)站交互,但這個(gè)關(guān)系并不存在于域名和路徑之間����,所以可確定一個(gè)已存在于數(shù)據(jù)庫(kù)中的域名和計(jì)算設(shè)備之間的關(guān)系。本步驟中���,可以創(chuàng)建域名和路徑之間的關(guān)系��。還可以創(chuàng)建各文件�����、URL����、域名�、路徑����、時(shí)間戳和計(jì)算設(shè)備之間的關(guān)系�。
[0065]本實(shí)施例還涉及一種實(shí)現(xiàn)上述顯示事件和對(duì)象之間關(guān)系的方法的系統(tǒng)����,其結(jié)構(gòu)示意圖如圖4所示。該系統(tǒng)可以包括用于執(zhí)行一個(gè)或多個(gè)任務(wù)的一個(gè)或多個(gè)模塊�。圖4中,該系統(tǒng)包括識(shí)別模塊1�、記錄模塊2、創(chuàng)建模塊3�、接收模塊4、檢索模塊5����、顯示模塊6以及至少含有一個(gè)物理處理器(圖中未示出);其中�,識(shí)別模塊I使用存儲(chǔ)器進(jìn)行存儲(chǔ),用于識(shí)別一組能夠?qū)缃M計(jì)算設(shè)備進(jìn)行監(jiān)控的事件類型;記錄模塊2使用存儲(chǔ)器進(jìn)行存儲(chǔ)�����,用于記錄數(shù)據(jù)庫(kù)里每個(gè)計(jì)算組中的計(jì)算設(shè)備����,任何發(fā)生在所述計(jì)算設(shè)備上的事件以及與發(fā)生在計(jì)算設(shè)備上的每個(gè)記錄相關(guān)聯(lián)的對(duì)象;創(chuàng)建模塊3使用存儲(chǔ)器進(jìn)行存儲(chǔ)�����,用于在數(shù)據(jù)庫(kù)中創(chuàng)建相同事件類型和相同對(duì)象類型之間的關(guān)系;接收模塊4使用存儲(chǔ)器進(jìn)行存儲(chǔ)�,用于接收用戶用于觀測(cè)關(guān)于時(shí)間或?qū)ο笮畔⒌恼?qǐng)求;檢索模塊5使用存儲(chǔ)器進(jìn)行存儲(chǔ)�����,用于利用存儲(chǔ)在數(shù)據(jù)庫(kù)中的關(guān)系來(lái)檢索用戶所請(qǐng)求的信息��,而不通過對(duì)數(shù)據(jù)庫(kù)中的每個(gè)條目搜索;顯示模塊6使用存儲(chǔ)器進(jìn)行存儲(chǔ)��,用于將用戶請(qǐng)求的信息以及用于檢索用戶請(qǐng)求的信息通過圖形用戶界面顯示給用戶��。物理處理器用于處理識(shí)別模塊1����、記錄模塊2、創(chuàng)建模塊3�����、接收模塊4�����、檢索模塊5和顯不豐旲塊6。
[0066]值得一提的是���,本實(shí)施例中���,顯示模塊6顯示用戶請(qǐng)求的信息�,并由能夠觀察到事件或?qū)ο蟮亩鄠€(gè)計(jì)算設(shè)備中的每一個(gè)計(jì)算設(shè)備的列表來(lái)顯示用于檢索用戶請(qǐng)求的信息的關(guān)系�。顯示模塊6通過圖形用戶界面顯示多組數(shù)據(jù),每個(gè)數(shù)據(jù)分別代表用戶請(qǐng)求的某個(gè)時(shí)間點(diǎn)或一個(gè)附加事件影響用戶請(qǐng)求的對(duì)象的某個(gè)時(shí)間點(diǎn)�����。
[0067]本實(shí)施例中��,檢索模塊5使用存儲(chǔ)在數(shù)據(jù)庫(kù)中的關(guān)系來(lái)檢索用戶所請(qǐng)求的信息�����,而無(wú)需通過數(shù)據(jù)庫(kù)中的每個(gè)條目進(jìn)行搜索�����。檢索模塊5可以使用多種方式來(lái)檢索信息。用戶可以請(qǐng)求承載一個(gè)特定文件的所有計(jì)算設(shè)備的列表����,檢索模塊5可以快速地通過使用文件和計(jì)算設(shè)備之間關(guān)系進(jìn)行信息檢索,而不需要搜索所有計(jì)算設(shè)備條目��。在本實(shí)施例的一些情況下��,用戶請(qǐng)求一個(gè)用戶的列表�,該列表包含使用讀卡器進(jìn)入安全的區(qū)域中的所有用戶信息。檢索模塊5可以檢索用戶的身份卡與讀卡器之間的關(guān)系��,而不是通過識(shí)別所有身份卡或所有讀卡器認(rèn)證事件進(jìn)行信息檢索��。本實(shí)施例利用存儲(chǔ)在數(shù)據(jù)庫(kù)中的關(guān)系來(lái)檢索用戶所請(qǐng)求的信息�����,這樣就無(wú)需通過對(duì)數(shù)據(jù)庫(kù)中的每個(gè)條目進(jìn)行搜索�,另外,可通過圖像用戶界面將用戶請(qǐng)求的信息以及用于檢索用戶請(qǐng)求的信息顯示給用戶�,其能高效地進(jìn)行相關(guān)事件和對(duì)象的檢索,所以其能跟蹤數(shù)據(jù)片段之間的關(guān)系�����、便于快速檢索。
[0068]在本實(shí)施例的一些情況下����,當(dāng)計(jì)算設(shè)備執(zhí)行命令時(shí),圖4中的每個(gè)模塊可以代表一個(gè)或多個(gè)軟件應(yīng)用或程序�����,而計(jì)算設(shè)備也可以同時(shí)執(zhí)行一個(gè)或多個(gè)任務(wù)�����。圖4中的每個(gè)模塊可以代表被存儲(chǔ)和配置在一個(gè)或多個(gè)計(jì)算設(shè)備上的軟件模型����。計(jì)算設(shè)備可以用一個(gè)或多個(gè)模塊和存儲(chǔ)在數(shù)據(jù)庫(kù)中的全部或部分?jǐn)?shù)據(jù)進(jìn)行編程�����。
[0069]本實(shí)施例中�����,當(dāng)計(jì)算設(shè)備中的一個(gè)處理器處理事件和對(duì)象之間的顯示關(guān)系時(shí)��,圖4中的一個(gè)或多個(gè)模塊將被執(zhí)行。例如���,識(shí)別模塊I用于識(shí)別一組被監(jiān)控的跨計(jì)算設(shè)備組的事件類型�。記錄模塊2可以將以下信息記錄在數(shù)據(jù)庫(kù)中��,包括:設(shè)備組內(nèi)的每個(gè)計(jì)算設(shè)備��,發(fā)生在計(jì)算設(shè)備任何事件���,記錄時(shí)間相關(guān)的對(duì)象的事件類型下的任何事件���。創(chuàng)建模塊3可以在數(shù)據(jù)庫(kù)中創(chuàng)建具有相同事件類型的事件以及具有相同對(duì)象類型的對(duì)象之間關(guān)系。在一段時(shí)間后����,接收模塊4可接收一個(gè)來(lái)自用戶關(guān)于查詢事件或?qū)ο蟮恼?qǐng)求。檢索模塊5可以使用存儲(chǔ)在數(shù)據(jù)庫(kù)中的關(guān)系來(lái)檢索用戶所請(qǐng)求的信息�����。最后�,顯示模塊6通過圖形用戶界面將用戶的檢索響應(yīng)進(jìn)行顯示。計(jì)算設(shè)備可以是筆記本電腦�����、平板電腦、臺(tái)式機(jī)����、服務(wù)器、蜂窩電話���、個(gè)人數(shù)字助理(PDA)��、多媒體播放器����、嵌入式系統(tǒng)�����、可穿戴式設(shè)備(例如�����,智能手表����,智能眼鏡等),游戲控制臺(tái)或以上設(shè)備的組合���。
[0070]本實(shí)施例中�����,識(shí)別模塊I可通過多種方式識(shí)別一系列的事件類型����。識(shí)別模塊I可從管理員處接收該組的事件類型����,也可以通過一組事件類型被預(yù)配置。另外��,識(shí)別模塊I可以從另一個(gè)應(yīng)用程序接收關(guān)于該組的事件類型���。在本實(shí)施例的一些情況下�,識(shí)別模塊I可以識(shí)別事件類型���,如安全事件類型�,行政事件時(shí)間����,數(shù)據(jù)丟失事件類型和數(shù)據(jù)存儲(chǔ)的事件類型�。[0071 ]本實(shí)施例中��,記錄模塊2可以以多種方式記錄關(guān)于事件和對(duì)象的信息�。例如,記錄模塊2可檢查數(shù)據(jù)庫(kù)中現(xiàn)有的事件和對(duì)象條目�,如果不存在,即創(chuàng)建新條目�����。在本實(shí)施例的一些情況下�,記錄模塊2可以記錄從另一個(gè)應(yīng)用程序接收到的事件或?qū)ο蟮男畔ⅰ@?,記錄模塊2可接收防火墻應(yīng)用程序的網(wǎng)絡(luò)連接事件的信息(通過接入系統(tǒng)日志或操作系統(tǒng)日志)。在本實(shí)施例的一些情況下�,記錄模塊2可接收安全應(yīng)用程序的文件下載事件信息����。另夕卜,對(duì)象可以是由主鍵(例如哈希表)定義���,記錄模塊2可使用該主鍵以確定一個(gè)對(duì)象是否已經(jīng)存在于數(shù)據(jù)庫(kù)中�����。
[0072]在本實(shí)施例的一些情況下����,記錄模塊2可以記錄發(fā)生在跨越多個(gè)網(wǎng)絡(luò)的計(jì)算設(shè)備的事件信息。計(jì)算設(shè)備可以控制圖4中的模塊����,也可被連接到網(wǎng)絡(luò)。在本實(shí)施例的一些情況下�,計(jì)算設(shè)備可以托管對(duì)象。計(jì)算設(shè)備可以托管與事件相連接的對(duì)象�����。
[0073]本實(shí)施例中����,創(chuàng)建模塊3可以在數(shù)據(jù)庫(kù)中創(chuàng)建存在于計(jì)算設(shè)備上的一個(gè)計(jì)算裝置和一個(gè)文件之間的關(guān)系。同樣���,創(chuàng)建模塊3也可以創(chuàng)建一個(gè)文件的哈希列表與該文件被下載到計(jì)算設(shè)備的時(shí)間戳之間的關(guān)系���。另外��,創(chuàng)建模塊3可以創(chuàng)建所下載的文件與文件的哈希列表之間的關(guān)系�����。最后�����,創(chuàng)建模塊3可以創(chuàng)建被下載到兩個(gè)不同設(shè)備上的文件之間的關(guān)系����。
[0074]在本實(shí)施例的一些情況下��,創(chuàng)建模塊3可以創(chuàng)建一系列與標(biāo)記閱讀器連接的關(guān)系�����,也可以創(chuàng)建以下內(nèi)容:標(biāo)記閱讀器和標(biāo)記掃描事件之間的關(guān)系�����、涉及的標(biāo)記掃描事件���、該標(biāo)記的所有者�����、標(biāo)記掃描事件的時(shí)間戳以及安全領(lǐng)域被監(jiān)控的標(biāo)記閱讀器��。創(chuàng)建模塊3可以創(chuàng)建標(biāo)記掃描事件��、標(biāo)記��、標(biāo)記擁有者����、時(shí)間戳和安全區(qū)域之間的關(guān)系�。另外,創(chuàng)建模塊3可以創(chuàng)建與網(wǎng)絡(luò)連接相關(guān)的一組關(guān)系��,也可以創(chuàng)建一個(gè)迀輸入IP地址���、一個(gè)輸出IP地址����、網(wǎng)絡(luò)連接���、防火墻規(guī)則�����、允許網(wǎng)絡(luò)連接開始的時(shí)間戳以及用戶帳戶發(fā)起的網(wǎng)絡(luò)連接之間的關(guān)系��。創(chuàng)建模塊3可以在與一個(gè)文件的連接中創(chuàng)建各種關(guān)系�����。
[0075]本實(shí)施例中�,接收模塊4可接收多種方式的請(qǐng)求。例如���,接收模塊4可經(jīng)由圖形用戶界面接收請(qǐng)求��,也可接收經(jīng)過應(yīng)用編程接口的請(qǐng)求�����,同時(shí)還可接收經(jīng)由命令行接口的請(qǐng)求����。
[0076]本實(shí)施例中�,顯示模塊6可通過各種方式進(jìn)行信息顯示�����。例如,顯示模塊6可以顯示一組代表每個(gè)事件�、對(duì)象或信息的關(guān)系,也可以顯示圖標(biāo)以表示事件和對(duì)象之間關(guān)系的連接線�。另外,顯示模塊6可以以文本格式顯示信息�。
[0077]在本實(shí)施例的一些情況下,顯示模塊6可以通過圖形用戶界面顯示信息��,這些信息包括:多組代表用戶請(qǐng)求數(shù)據(jù)的時(shí)間點(diǎn)�����,以及能夠影響用戶請(qǐng)求的附加事件的時(shí)間點(diǎn)����。例如,關(guān)于有多少計(jì)算設(shè)備管理某個(gè)文件的用戶請(qǐng)求信息�����。顯示模塊6可以用多個(gè)屏幕顯示數(shù)據(jù)��,第一個(gè)屏幕顯示下載文件的初始計(jì)算設(shè)備,第二個(gè)屏幕顯示兩天后�,三個(gè)計(jì)算設(shè)備管理文件的信息,第三個(gè)屏幕顯示五天以后6個(gè)計(jì)算設(shè)備管理文件的信息�。
[0078]本實(shí)施例中,顯示模塊6可以顯示用戶的信息查詢請(qǐng)求����,該信息查詢請(qǐng)求包含了設(shè)備組內(nèi)每個(gè)計(jì)算設(shè)備上觀察到的一系列事件或?qū)ο蟆S脩艨梢哉?qǐng)求關(guān)于哪些計(jì)算設(shè)備已經(jīng)有用戶登錄���。顯示模塊6可以顯示已經(jīng)觀察到的涉及用戶請(qǐng)求的授權(quán)事件的設(shè)備列表��。在本實(shí)施例的另外一些情況下�����,一個(gè)用戶請(qǐng)求可以是關(guān)于哪些計(jì)算設(shè)備曾經(jīng)管理了特定文件的信息�����,也可以顯示當(dāng)前管理文件以及曾經(jīng)管理文件的時(shí)間點(diǎn)���。
[0079]在本實(shí)施例中,顯示模塊6通過顯示用戶的信息請(qǐng)求���,顯示數(shù)據(jù)庫(kù)中觀察到的每個(gè)計(jì)算設(shè)備上的對(duì)象以及在該數(shù)據(jù)庫(kù)中事件和對(duì)象之間存儲(chǔ)的關(guān)系����。例如,一個(gè)用戶可以請(qǐng)求與文件連接的對(duì)象的詳細(xì)信息�����。顯示模塊6可以顯示文件下載的URL�����、下載的時(shí)間戳�����、與那些下載相關(guān)聯(lián)的域名����、下載到計(jì)算設(shè)備的文件路徑以及下載的用戶帳戶����。另外,顯示模塊6可以顯示用戶請(qǐng)求與文件有關(guān)的活動(dòng)的信息���、每個(gè)文件的下載��、文件的修改���、文件的移動(dòng)和發(fā)生在多個(gè)計(jì)算設(shè)備上的文件傳輸事件�����。
[0080]在本實(shí)施例的一些情況下����,該系統(tǒng)存儲(chǔ)涉及一個(gè)潛在的惡意動(dòng)作的事件或?qū)ο?��,具體就是記錄模塊2還可以存儲(chǔ)關(guān)于潛在的惡意動(dòng)作的事件或?qū)ο?。在一些情況下����,事件可以被定義為一些一直未解決的,直到被人或系統(tǒng)自動(dòng)解決的狀態(tài)��。例如�����,一個(gè)事件可包括:網(wǎng)絡(luò)中的病毒感染、針對(duì)一個(gè)或多個(gè)設(shè)備的攻擊或安全區(qū)域的入侵者���。一個(gè)潛在的惡意操作也并不總是一個(gè)惡意操作�����。例如�����,同一天用同一個(gè)用戶賬戶在三個(gè)不同的計(jì)算機(jī)的4次失敗登錄嘗試,進(jìn)一步的調(diào)查可能顯示該用戶帳戶的合法擁有者僅僅只是忘記了自己的新密碼�����。在另外一些情況下�����,事件可被分配給一個(gè)特定的用戶用于調(diào)查或諸如“打開”���,“調(diào)查之下”或“已解決”的一些狀態(tài)����,上述系統(tǒng)可以記錄事件狀態(tài)的重新分配或改變。
[0081]本實(shí)施例中���,上述系統(tǒng)可接收來(lái)自用戶查看信息的請(qǐng)求��,并且顯示涉及事件的每個(gè)計(jì)算設(shè)備�、參與到事件中的每個(gè)對(duì)象的表示����、參與到事件中的事件表示、計(jì)算設(shè)備�����、事件或涉及事件的對(duì)象之間的一系列關(guān)系的表示��。例如��,病毒檢測(cè)事件可以被歸類為一個(gè)事件�,顯示模塊6可以顯示與感染病毒的計(jì)算設(shè)備相連接的病毒檢測(cè)事件。顯示模塊6還可以顯示管理文件對(duì)象的計(jì)算設(shè)備����,這些對(duì)象可能代表了受感染的文件。舉一個(gè)例子,文件對(duì)象可能通過電子郵件對(duì)象已經(jīng)到達(dá)計(jì)算設(shè)備�。由文件對(duì)象626所表示的文件可從URL對(duì)象下載。
[0082]在本實(shí)施例的一些情況下�,顯示模塊6還可以顯示如下內(nèi)容:每個(gè)計(jì)算設(shè)備被感染時(shí)的時(shí)間戳、每個(gè)計(jì)算設(shè)備上被感染文件的位置��、下載已被感染文件的用戶賬戶���、打開包含受感染文件的郵件的用戶賬戶���、任何與被感染的文件或計(jì)算設(shè)備相關(guān)的事件或?qū)ο蟆Mㄟ^顯示所有的對(duì)象�����、事件以及所涉及的關(guān)系���,上述系統(tǒng)可以使分析人員快速確定感染起源及其進(jìn)展。例如���,分析人員可以確定兩個(gè)不同的URL對(duì)象代表相同的網(wǎng)站���,因?yàn)樵摼W(wǎng)站包含惡意軟件。同樣,分析員可確定當(dāng)相同的用戶帳戶登錄到了三種不同計(jì)算設(shè)備時(shí)感染發(fā)生�,因?yàn)榇藭r(shí)登陸用戶可能是惡意行為。
[0083]在本實(shí)施例的另外一些情況下�,顯示模塊6可以幫助分析人員通過顯示對(duì)象之間缺乏的關(guān)系解決事件。例如�����,分析員可以查詢特定敏感文件被訪問是否由攻擊者發(fā)起�����,也可以顯示一個(gè)被計(jì)算設(shè)備上沒有特定事件發(fā)生的文件�����。
[0084]本實(shí)施例中�,用戶可以通過各種方式瀏覽圖形用戶界面。在一些情況下�����,用戶可以通過點(diǎn)擊表示對(duì)象或事件的圖標(biāo)瀏覽GUI(圖形用戶界面)����,這時(shí),點(diǎn)擊表示對(duì)象或事件的圖標(biāo)可以顯示關(guān)于對(duì)象或事件的附加信息。用戶也可以通過顯示模塊6提供的文本界面選擇項(xiàng)目瀏覽GUI�。用戶還可以使用多種過濾器,以確定顯示模塊6所顯示的信息內(nèi)容以及如何顯示�,也可以使用過濾器來(lái)隱藏所有文件的刪除事件,或是根據(jù)日期對(duì)文件進(jìn)行排序�����。
[0085]另外��,用戶可通過移動(dòng)不同時(shí)間點(diǎn)的不同屏幕的滑塊瀏覽GUIAUI可能是以時(shí)間為基礎(chǔ)的信息或是建立在基于狀態(tài)的關(guān)系圖��。用戶可以使顯示模塊6使用自動(dòng)循環(huán)的圖標(biāo)��。顯示模塊6還可以顯示事件或?qū)ο蟮逆溄踊驁D標(biāo)�,允許用戶采取一系列行動(dòng)。也可以顯示一個(gè)按鈕���,允許用戶將一個(gè)代表URL對(duì)象的文章加入黑名單?��;蝻@示一個(gè)鏈接�����,允許用戶查找關(guān)于已感染的文件對(duì)象的病毒詳細(xì)信息�����。
[0086]總之�,在本實(shí)施例中,該顯示事件和對(duì)象之間關(guān)系的方法及系統(tǒng)可以使用戶獲得大的視圖畫面�����,了解對(duì)象��、事件以及系統(tǒng)中的事件之間的關(guān)系�。隨著環(huán)境中事件的發(fā)生,該系統(tǒng)可以記錄事件�����、涉及到事件的對(duì)象���,以及它們之間的關(guān)系�����。如果發(fā)生事件��,用戶可以使用上述系統(tǒng)了解每個(gè)設(shè)備�����、對(duì)象����、涉及的事件或受影響的事件,而不是試圖用部分信息重建事件的發(fā)生��,或者通過搜索事件日志或其他與事件相關(guān)的數(shù)據(jù)源�����。通過存儲(chǔ)有關(guān)事件����、對(duì)象和作為事件發(fā)生的關(guān)系的信息,該系統(tǒng)可以保留發(fā)生在計(jì)算環(huán)境中事件的詳盡記錄��。通過使用關(guān)系檢索有關(guān)事件的信息�����,該系統(tǒng)可以有效地進(jìn)行檢索�,而不必通過在數(shù)據(jù)庫(kù)中對(duì)每一個(gè)類似的條目進(jìn)行搜索。在GUI中有效地檢索信息���,該系統(tǒng)可以使用戶快速和直觀地理解計(jì)算環(huán)境中事件的影響����。
[0087]以上所述僅為本發(fā)明的較佳實(shí)施例而已�,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi)����,所作的任何修改、等同替換����、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)���。
【主權(quán)項(xiàng)】
1.一種顯示事件和對(duì)象之間關(guān)系的方法����,其特征在于����,包括如下步驟: A)識(shí)別一組能夠?qū)缃M計(jì)算設(shè)備進(jìn)行監(jiān)控的事件類型����; B)記錄數(shù)據(jù)庫(kù)里每個(gè)計(jì)算組中的計(jì)算設(shè)備����,任何發(fā)生在所述計(jì)算設(shè)備上的事件以及與發(fā)生在所述計(jì)算設(shè)備上的每個(gè)記錄相關(guān)聯(lián)的對(duì)象; C)在所述數(shù)據(jù)庫(kù)中創(chuàng)建相同事件類型和相同對(duì)象類型之間的關(guān)系��; D)接收用戶用于觀測(cè)關(guān)于時(shí)間或?qū)ο笮畔⒌恼?qǐng)求�; E)利用存儲(chǔ)在所述數(shù)據(jù)庫(kù)中的關(guān)系來(lái)檢索用戶所請(qǐng)求的信息; F)將用戶請(qǐng)求的信息以及用于檢索用戶請(qǐng)求的信息通過圖形用戶界面顯示給用戶����。2.根據(jù)權(quán)利要求1所述的顯示事件和對(duì)象之間關(guān)系的方法,其特征在于�����,所述顯示用戶請(qǐng)求的信息是顯示一個(gè)包括每個(gè)設(shè)備組內(nèi)各計(jì)算裝置所觀察到的事件或?qū)ο蟮牧斜?���,或者顯示各個(gè)數(shù)據(jù)庫(kù)中所觀察到的各計(jì)算設(shè)備上的對(duì)象以及任意含有對(duì)象或事件存儲(chǔ)關(guān)系的對(duì)象。3.根據(jù)權(quán)利要求1所述的顯示事件和對(duì)象之間關(guān)系的方法����,其特征在于��,所述顯示用戶請(qǐng)求的信息包含顯示數(shù)據(jù)庫(kù)中關(guān)于計(jì)算設(shè)備上觀察到的事件以及任意含有對(duì)象或事件存儲(chǔ)關(guān)系的對(duì)象。4.根據(jù)權(quán)利要求1所述的顯示事件和對(duì)象之間關(guān)系的方法��,其特征在于���,所述顯示用戶請(qǐng)求的信息為顯示出一系列包含某個(gè)時(shí)間點(diǎn)上的用戶請(qǐng)求事件或是被用戶的請(qǐng)求對(duì)象所影響的一個(gè)附加的事件����。5.根據(jù)權(quán)利要求1至4任意一項(xiàng)所述的顯示事件和對(duì)象之間關(guān)系的方法��,其特征在于����,所述顯示用戶請(qǐng)求的信息包含關(guān)于擁有潛在的惡意動(dòng)作事件的存儲(chǔ)信息。6.根據(jù)權(quán)利要求5所述的顯示事件和對(duì)象之間關(guān)系的方法���,其特征在于�,進(jìn)一步包括如下步驟: G)接收到新的用戶查詢新的請(qǐng)求事件���,并顯示其中至少一項(xiàng)��; H)涉及到事件的多個(gè)計(jì)算設(shè)備中的每個(gè)計(jì)算設(shè)備的表示�; I)涉及到事件的每個(gè)對(duì)象的表示; J)在一系列事件中每個(gè)事件的表示���; K)每個(gè)計(jì)算設(shè)備����、事件和涉及到事件中的對(duì)象之間的一系列關(guān)系的表示�����。7.—種實(shí)現(xiàn)如權(quán)利要求1所述的顯示事件和對(duì)象之間關(guān)系的方法的系統(tǒng)�,其特征在于,包括: 識(shí)別模塊:用于識(shí)別一組能夠?qū)缃M計(jì)算設(shè)備進(jìn)行監(jiān)控的事件類型�����; 記錄模塊:用于記錄數(shù)據(jù)庫(kù)里每個(gè)計(jì)算組中的計(jì)算設(shè)備��,任何發(fā)生在所述計(jì)算設(shè)備上的事件以及與發(fā)生在所述計(jì)算設(shè)備上的每個(gè)記錄相關(guān)聯(lián)的對(duì)象�; 創(chuàng)建模塊:用于在所述數(shù)據(jù)庫(kù)中創(chuàng)建相同事件類型和相同對(duì)象類型之間的關(guān)系; 接收模塊:用于接收用戶用于觀測(cè)關(guān)于時(shí)間或?qū)ο笮畔⒌恼?qǐng)求���; 檢索模塊:用于利用存儲(chǔ)在所述數(shù)據(jù)庫(kù)中的關(guān)系來(lái)檢索用戶所請(qǐng)求的信息��; 顯示模塊:用于將用戶請(qǐng)求的信息以及用于檢索用戶請(qǐng)求的信息通過圖形用戶界面顯示給用戶����; 至少含有一個(gè)物理處理器,用于處理所述識(shí)別模塊�、記錄模塊、創(chuàng)建模塊����、接收模塊�����、檢索模塊和顯示模塊�����。8.根據(jù)權(quán)利要求7所述的實(shí)現(xiàn)如權(quán)利要求1所述的顯示事件和對(duì)象之間關(guān)系的方法的系統(tǒng)�����,其特征在于�����,所述顯示模塊顯示用戶請(qǐng)求的信息,并由能夠觀察到事件或?qū)ο蟮亩鄠€(gè)計(jì)算設(shè)備中的每一個(gè)計(jì)算設(shè)備的列表來(lái)顯示用于檢索用戶請(qǐng)求的信息的關(guān)系�����。9.根據(jù)權(quán)利要求7所述的實(shí)現(xiàn)如權(quán)利要求1所述的顯示事件和對(duì)象之間關(guān)系的方法的系統(tǒng)��,其特征在于�����,所述記錄模塊存儲(chǔ)關(guān)于潛在的惡意動(dòng)作的事件或?qū)ο蟆?0.根據(jù)權(quán)利要求7所述的實(shí)現(xiàn)如權(quán)利要求1所述的顯示事件和對(duì)象之間關(guān)系的方法的系統(tǒng)�����,其特征在于����,所述顯示模塊通過圖形用戶界面顯示多組數(shù)據(jù),每個(gè)數(shù)據(jù)分別代表用戶請(qǐng)求的某個(gè)時(shí)間點(diǎn)或一個(gè)附加事件影響用戶請(qǐng)求的對(duì)象的某個(gè)時(shí)間點(diǎn)�。
【文檔編號(hào)】G06F17/30GK105843901SQ201610168448
【公開日】2016年8月10日
【申請(qǐng)日】2016年3月21日
【發(fā)明人】張晶
【申請(qǐng)人】合肥賽猊騰龍信息技術(shù)有限公司