分布式事件關(guān)聯(lián)系統(tǒng)的制作方法
【專利說明】
【背景技術(shù)】
[0001]計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)已經(jīng)變成現(xiàn)代企業(yè)不可或缺的工具��。如今�,實(shí)際上能夠想到的每個(gè)主題的兆兆字節(jié)的信息通過網(wǎng)絡(luò)存儲(chǔ)和訪問。在某些情況下����,可能實(shí)時(shí)分析數(shù)據(jù)中的事件以作出決策??纱鎯?chǔ)及分析連續(xù)數(shù)據(jù)流中接收的大量數(shù)據(jù),以作出與事件有關(guān)的決策���。
【附圖說明】
[0002]參照下面的圖中示出的示例�,在下面的描述中詳細(xì)描述實(shí)施例��。
[0003]圖1圖示分布式事件關(guān)聯(lián)系統(tǒng)的示例���。
[0004]圖2圖示安全信息和事件管理系統(tǒng)的示例�����。
[0005]圖3圖示用于創(chuàng)建集群的方法的示例�����。
[0006]圖4圖示用于將事件路由到集群節(jié)點(diǎn)的方法的示例�。
[0007]圖5圖示用于將事件匹配到規(guī)則條件的方法的示例��。
[0008]圖6圖示用于將集群修改成包括新的集群節(jié)點(diǎn)的方法的示例���。
[0009]圖7圖示用于在集群節(jié)點(diǎn)離開集群時(shí)修改集群的方法的示例�����。
[0010]圖8圖示可用作分布式事件關(guān)聯(lián)系統(tǒng)中的節(jié)點(diǎn)的平臺(tái)的計(jì)算機(jī)系統(tǒng)的示例�。
【具體實(shí)施方式】
[0011]為了簡單和說明的目的�����,通過主要參照實(shí)施例的示例來描述實(shí)施例的原理�。在下面的描述中,為了提供對(duì)實(shí)施例的全面理解�,提出了許多具體細(xì)節(jié)�。顯然����,可不受限于所有具體細(xì)節(jié)來實(shí)踐實(shí)施例。此外����,實(shí)施例可以以各種組合方式一起使用。
[0012]根據(jù)示例�����,分布式事件關(guān)聯(lián)系統(tǒng)可關(guān)聯(lián)多個(gè)事件����。可由一個(gè)或多個(gè)設(shè)備生成包含存儲(chǔ)在分布式事件關(guān)聯(lián)系統(tǒng)中的事件的數(shù)據(jù)�����。包含事件的數(shù)據(jù)的量可隨著從設(shè)備接收的新數(shù)據(jù)而持續(xù)增長�����。
[0013]分布式事件關(guān)聯(lián)系統(tǒng)中的節(jié)點(diǎn)的集群可存儲(chǔ)包含事件的數(shù)據(jù),且可對(duì)事件實(shí)施計(jì)算密集型關(guān)聯(lián)����。可存儲(chǔ)包括條件的規(guī)則以關(guān)聯(lián)事件�����。分布式事件關(guān)聯(lián)系統(tǒng)可將規(guī)則應(yīng)用到事件����,以檢測(cè)某些類型的活動(dòng)�����,以及響應(yīng)于檢測(cè)到活動(dòng)而實(shí)施某些功能�����。
[0014]分布式事件關(guān)聯(lián)系統(tǒng)能夠?qū)崿F(xiàn)跨節(jié)點(diǎn)的集群的事件數(shù)據(jù)的動(dòng)態(tài)數(shù)據(jù)分區(qū)機(jī)制�����,且能夠?qū)⑦M(jìn)入事件路由到包含有效事件關(guān)聯(lián)的相關(guān)數(shù)據(jù)的節(jié)點(diǎn)���。分布式事件關(guān)聯(lián)系統(tǒng)還能夠?qū)崿F(xiàn)分布式檢查點(diǎn)以及恢復(fù)功能����,允許集群依靠快速的故障轉(zhuǎn)移從故障的任何單點(diǎn)存活。
[0015]事件可包括活動(dòng)�,例如動(dòng)作?��;顒?dòng)可在計(jì)算機(jī)上和/或計(jì)算機(jī)網(wǎng)絡(luò)中發(fā)生或被實(shí)施�。事件的事件數(shù)據(jù)可包括描述和/或與計(jì)算機(jī)上或計(jì)算機(jī)網(wǎng)絡(luò)中實(shí)施的活動(dòng)有關(guān)的任何數(shù)據(jù)���?����?捎煞植际绞录P(guān)聯(lián)系統(tǒng)關(guān)聯(lián)并分析事件數(shù)據(jù)����,以檢測(cè)某些條件以及觸發(fā)包括告警或其他操作動(dòng)作的某些操作����。
[0016]在一個(gè)示例中,可由分布式事件關(guān)聯(lián)系統(tǒng)關(guān)聯(lián)并分析事件數(shù)據(jù)��,以識(shí)別網(wǎng)絡(luò)或計(jì)算機(jī)安全威脅。通過事件關(guān)聯(lián)檢測(cè)的活動(dòng)可以是惡意活動(dòng)�����,例如嘗試獲得對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)的未授權(quán)訪問�����。事件的活動(dòng)可能與用戶(也稱為行動(dòng)者)關(guān)聯(lián)��,以識(shí)別安全威脅以及安全威脅的原因���。活動(dòng)還可包括登錄��、退出���、通過網(wǎng)絡(luò)發(fā)送數(shù)據(jù)�、發(fā)送電子郵件���、訪問應(yīng)用�����、讀或?qū)憯?shù)據(jù)等等��。安全威脅可包括確定指示可疑或不恰當(dāng)?shù)男袨榈幕顒?dòng)�����,其可通過網(wǎng)絡(luò)或在連接至網(wǎng)絡(luò)的系統(tǒng)上實(shí)施�。例如,關(guān)聯(lián)可包括檢測(cè)5分鐘時(shí)間段內(nèi)同一的用戶在多個(gè)不同的機(jī)器上的失敗的登錄嘗試����。
[0017]事件數(shù)據(jù)的數(shù)據(jù)源可包括網(wǎng)絡(luò)設(shè)備、應(yīng)用���、或下面描述的可操作用于提供可用于識(shí)別網(wǎng)絡(luò)安全威脅的事件數(shù)據(jù)的其他類型的數(shù)據(jù)源���。可在數(shù)據(jù)源生成的日志或消息中采集描述事件的事件數(shù)據(jù)��。例如入侵檢測(cè)系統(tǒng)�����、入侵防護(hù)系統(tǒng)�����、漏洞評(píng)估工具、防火墻����、反病毒工具、反垃圾郵件工具��、以及可生成描述由源實(shí)施的活動(dòng)的日志的加密工具���?�?衫缤ㄟ^日志文件或系統(tǒng)日志服務(wù)器中的條目�、告警����、警報(bào)�、網(wǎng)絡(luò)包、電子郵件�、通知頁來提供事件數(shù)據(jù)。
[0018]事件數(shù)據(jù)可包括與生成事件的設(shè)備或應(yīng)用有關(guān)的信息�����。事件源的標(biāo)識(shí)符可以是網(wǎng)絡(luò)端點(diǎn)標(biāo)識(shí)符(例如,互聯(lián)網(wǎng)協(xié)議(IP)地址或媒體訪問控制(MAC)地址)和/或源的描述����,可能包括與產(chǎn)品提供商和版本有關(guān)的信息。時(shí)間屬性��、源信息以及其他信息被用于將事件與用戶關(guān)聯(lián)�,并針對(duì)安全威脅分析事件。
[0019]事件關(guān)聯(lián)不限于檢測(cè)網(wǎng)絡(luò)安全威脅�,且可應(yīng)用于許多不同的應(yīng)用。例如��,可關(guān)聯(lián)在線購物交易以檢測(cè)某些條件���,或者可關(guān)聯(lián)銀行金融交易以檢測(cè)某些條件�。事件關(guān)聯(lián)可應(yīng)用于接收大量數(shù)據(jù)的應(yīng)用�,這些大量數(shù)據(jù)為實(shí)施某些動(dòng)作被實(shí)時(shí)關(guān)聯(lián)以檢測(cè)某些條件?�?蓹z測(cè)的活動(dòng)不限于惡意活動(dòng)�����,且可以是可通過對(duì)事件的規(guī)則的應(yīng)用來檢測(cè)的任何類型的活動(dòng)�。
[0020]圖1圖示分布式事件關(guān)聯(lián)系統(tǒng)100的示例�。分布式事件關(guān)聯(lián)系統(tǒng)100可包括主節(jié)點(diǎn)110�,用作包括集群節(jié)點(diǎn)121a-n的集群120的控制中心。節(jié)點(diǎn)可包括計(jì)算機(jī)平臺(tái)�����,計(jì)算機(jī)平臺(tái)包括至少一個(gè)處理器以及數(shù)據(jù)存儲(chǔ)器�����。存儲(chǔ)器可包括內(nèi)存和/或其他類型的數(shù)據(jù)存儲(chǔ)器�����。集群120為一組節(jié)點(diǎn)����,例如,集群節(jié)點(diǎn)121a-n以及無關(guān)的集群節(jié)點(diǎn)122��,集群節(jié)點(diǎn)121a-n存儲(chǔ)分區(qū)的事件數(shù)據(jù)��。主節(jié)點(diǎn)110可管理集群成員關(guān)系�����、創(chuàng)建并維護(hù)對(duì)存儲(chǔ)在每個(gè)集群節(jié)點(diǎn)中的事件的分區(qū)進(jìn)行識(shí)別的分區(qū)圖��、接收包括事件的進(jìn)入事件數(shù)據(jù)�,以及將每個(gè)事件的事件數(shù)據(jù)路由到存儲(chǔ)對(duì)應(yīng)于事件的分區(qū)的集群節(jié)點(diǎn)?�?赏ㄟ^事件數(shù)據(jù)中的字段分區(qū)事件數(shù)據(jù)���,例如用戶ID����、設(shè)備ID����、事件時(shí)間等。例如����,金融應(yīng)用可具有非常大的交易數(shù)據(jù)集,可通過客戶ID分區(qū)�,因此,可為集群節(jié)點(diǎn)121a-n中的每個(gè)分配客戶ID的塊����。進(jìn)入的交易事件具有編碼在事件字段中的一個(gè)字段的客戶ID��。根據(jù)分配給每個(gè)集群節(jié)點(diǎn)的客戶ID���,將事件數(shù)據(jù)存儲(chǔ)到集群節(jié)點(diǎn)121a-n上,且每個(gè)集群節(jié)點(diǎn)可根據(jù)規(guī)則關(guān)聯(lián)事件���。
[0021]集群120可包括無關(guān)的集群節(jié)點(diǎn)122����,其關(guān)聯(lián)不具有與分區(qū)有關(guān)的數(shù)據(jù)的事件��,例如��,沒有客戶ID的事件�����。規(guī)則指定(RD)節(jié)點(diǎn)130可存儲(chǔ)用于關(guān)聯(lián)跨多個(gè)數(shù)據(jù)分區(qū)的事件的規(guī)則���。分布式事件關(guān)聯(lián)系統(tǒng)100可包括備用主節(jié)點(diǎn)140�,其維護(hù)主節(jié)點(diǎn)的控制數(shù)據(jù)的備份����,且如果主節(jié)點(diǎn)故障,其可接管主節(jié)點(diǎn)���。
[0022]數(shù)據(jù)存儲(chǔ)器111可包括數(shù)據(jù)庫���、在線分析數(shù)據(jù)存儲(chǔ)系統(tǒng)或其他類型的數(shù)據(jù)存儲(chǔ)系統(tǒng)。數(shù)據(jù)存儲(chǔ)器111可包括硬件(例如硬盤��、內(nèi)存����、處理電路等),用于存儲(chǔ)數(shù)據(jù)以及執(zhí)行數(shù)據(jù)存儲(chǔ)和獲取操作�。數(shù)據(jù)存儲(chǔ)器111可存儲(chǔ)分布式事件關(guān)聯(lián)系統(tǒng)100使用的任何信息。數(shù)據(jù)存儲(chǔ)器111可存儲(chǔ)所有接收的事件數(shù)據(jù)(分區(qū)的和未分區(qū)的事件數(shù)據(jù)兩者)�����。
[0023]分布式事件關(guān)聯(lián)系統(tǒng)100可從一個(gè)或多個(gè)源接收事件115���。事件115可包括事件數(shù)據(jù)��,該事件數(shù)據(jù)包括與事件115有關(guān)的信息����。事件115存儲(chǔ)在數(shù)據(jù)存儲(chǔ)器111中。此外��,主節(jié)點(diǎn)110將每個(gè)分區(qū)的事件轉(zhuǎn)發(fā)至對(duì)應(yīng)的集群節(jié)點(diǎn)以供存儲(chǔ)�����。例如����,集群節(jié)點(diǎn)121a存儲(chǔ)具有從1-10,000的客戶ID的所有事件���,集群節(jié)點(diǎn)121b存儲(chǔ)具有從10��,0001到11����,000的客戶ID的所有事件�,等等。每個(gè)集群節(jié)點(diǎn)可根據(jù)RD節(jié)點(diǎn)130a-d提供的一個(gè)或多個(gè)規(guī)則關(guān)聯(lián)事件����。關(guān)聯(lián)可包括轉(zhuǎn)發(fā)至集群節(jié)點(diǎn)的事件115應(yīng)用規(guī)則���,以檢測(cè)某些活動(dòng),這些活動(dòng)可響應(yīng)于活動(dòng)的檢測(cè)而觸發(fā)動(dòng)作117 (例如����,告警���、通知��、報(bào)告��、事件的進(jìn)一步分析等等)�����。
[0024]集群節(jié)點(diǎn)121a_n表示集群120包括多個(gè)節(jié)點(diǎn)��。節(jié)點(diǎn)的數(shù)量可隨時(shí)間改變�,且可基于要存儲(chǔ)和要關(guān)聯(lián)的數(shù)據(jù)的量而改變���。此外��,RD節(jié)點(diǎn)130可包括一個(gè)或多個(gè)節(jié)點(diǎn)�。此外,主節(jié)點(diǎn)110可管理多個(gè)集群�����。此外�����,RD節(jié)點(diǎn)130以及數(shù)據(jù)存儲(chǔ)器111被示出連接至集群120����,以指示RD節(jié)點(diǎn)130以及數(shù)據(jù)存儲(chǔ)器111可連接至集群120中的任何集群節(jié)點(diǎn)。此外�,集群節(jié)點(diǎn)121a-n和122中的每一個(gè)可提示觸發(fā)動(dòng)作117的執(zhí)行。
[0025]圖2根據(jù)示例圖示安全信息和事件管理系統(tǒng)(SIEM)環(huán)境210�����。圖1中示出的分布式事件關(guān)聯(lián)系統(tǒng)100可用于SIEM 210中�����,以處理事件數(shù)據(jù)��,SIEM 210可包括實(shí)時(shí)事件處理���。SIEM 210可處理事件數(shù)據(jù)以確定網(wǎng)絡(luò)相關(guān)的條件���,例如網(wǎng)絡(luò)安全威脅�����。此外,通過示例的方式�����,SIEM 210被描述為安全信息和事件管理系統(tǒng)��。
[0026]數(shù)據(jù)源201生成事件的事件數(shù)據(jù)���,事件數(shù)據(jù)由SIEM 210收集并存儲(chǔ)在數(shù)據(jù)存儲(chǔ)器111中�����。數(shù)據(jù)源201可包括網(wǎng)絡(luò)設(shè)備�、應(yīng)用�、或可操作用于提供可分析的事件數(shù)據(jù)的其他類型的數(shù)據(jù)源?����?稍跀?shù)據(jù)源201生