專利名稱:網絡安全數據集成與轉換系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及網絡安全領域,特別涉及一種網絡安全數據集成與轉換系統(tǒng)���。
背景技術:
隨著網絡應用的日益普及���,網絡安全問題越來越受到重視。目前的各種網絡防護設施如數據流采集器�、入侵檢測系統(tǒng)、病毒檢測系統(tǒng)�����、漏洞掃描系統(tǒng)和防火墻等都從不同的角度獲取了部分網絡安全數據�。為了獲取更加完整的數據,必須將各種廠商的檢測工具所檢測到的數據集成到一起進行統(tǒng)一的分析���。由于不同廠商所設定的數據格式以及其存儲的方式各有不同��,所以需要從各種異構的探測工具中抽取相應的安全數據���,并將這些安全數據以一定的格式集成轉換成統(tǒng)一的數據,只有這樣才能夠對網絡安全的態(tài)勢做出正確的判斷,從而準確�����、及時地做出決策?���,F(xiàn)有技術中存在一些將異構的安全數據進行數據集成與轉換的方法��。如一種基于ODBC的數據集成與轉換方法����。所述的0DBC(0pen Database Connectivity)是“開放數據庫互連”的簡稱,它是一種使用SQL的應用程序接口(API)����,是微軟公司開放服務結構 (Windows Open Services Architecture,W0S)中有關數據庫的一個組成部分���。ODBC 建立了一組規(guī)范�����,并提供了一組對數據庫訪問的標準API���。這些API利用SQL來完成其大部分任務���,ODBC本身也提供了對SQL語言的支持,用戶可以直接將SQL語句送給ODBC��。所以ODBC 屏蔽了底層的數據庫系統(tǒng)的形式��,從而使得對數據庫的訪問得到了簡化����。基于ODBC的數據轉換系統(tǒng)的結構如圖1所示��,其由五個部分組成���,分別為應用程序(Application)��、驅動程序管理器���、ODBC API、ODBC驅動程序����、數據源(Data Source)����。在這個數據轉換結構中�����,應用程序將作為用戶和數據轉換的一個橋梁����,用戶通過應用程序來調用ODBC API���,從而執(zhí)行SQL以對數據庫進行操作����。而對于一個ODBC應用程序來說其必須具有環(huán)境(Environment)�����、連接(Connection)�����、語句(Statement)這三個對象�, 而且對于這三個對象應用程序都是通過句柄(Handle)來實現(xiàn)的。應用程序與數據源中的數據進行交換是通過ODBC API來實現(xiàn)的。ODBC API是一套復雜的函數集合����,其提供了一些通用的接口,方便訪問后臺的各種數據庫�����。通過ODBC實現(xiàn)數據轉換是按照以下步驟實現(xiàn)的0DBC分配環(huán)境句柄����、執(zhí)行SQL語句、檢索結果與服務器斷開��。其具體實現(xiàn)如下步驟1)�、進行包括分配環(huán)境、分配連接句柄及語句句柄在內的初始化���,連接源數據庫與目標數據庫��,并在目標數據庫中建立相應的表結構信息�;步驟2)�、調用ODBC API來讀取源數據庫中需要轉換的數據表的數據類型;步驟3)����、根據目標數據庫中相應數據的類型����,獲取源數據類型與目標數據庫類型的一個映射關系���;步驟4)��、逐行讀取源表中的每條記錄,并將相應的數據根據映射關系進行轉換然后再加載到目標數據庫中��;步驟5)����、轉換結束,釋放句柄�、連接以及環(huán)境,并斷開服務器�。
基于ODBC的數據轉換方法主要是通過ODBC API以及SQL實現(xiàn),其轉換能夠實現(xiàn)的功能比較強大����,容易得到各種元數據的信息,但也存在如下缺點1�、性能較低��?����;贠DBC進行數據集成的過程由于使用了 ODBC接口����,使得它不可避免地存在轉換性能問題��。2����、底層網絡安全數據源只支持數據庫格式?�;贠DBC的集成方式受限于數據庫的ODBC接口�����,所以底層的數據源只能是數據庫格式�����,而以文件形式存儲的網絡安全數據很難集成到系統(tǒng)中�。3���、不支持海量網絡安全數據的動態(tài)轉換。雖然用戶可以通過ODBC數據庫轉換進行一定的修改�,但是其修改是有限的。只能對表的表名進行一些修改����,而對數據類型的修改以及對字段一些操作(如整合、拆分�、修改等)都是無法實現(xiàn)的,因此很難進行動態(tài)擴展�����,不支持外部數據源動態(tài)接入系統(tǒng)��。在現(xiàn)有技術中還提出了一種基于XML的數據集成與轉換方法���。XML(extensible Markup Language,可擴展標記語言)是由W3C于1998年2月發(fā)布的一種標準�����。它是SGML 的一個簡化子集�����,它將SGML的豐富功能與HTML的易用性結合到Web的應用中,以一種開放的自我描述方式定義了數據結構�����。在描述數據內容的同時能突出對結構的描述����,從而體現(xiàn)出數據之間的關系。這樣所組織的數據對于應用程序和用戶都是友好的����、可操作的。將XML技術運用到數據轉換上�����,其實就是將XML文檔當作中間的存儲介質�����,所涉及的數據轉換總體上包括兩個步驟���,先是將異構的數據源中的數據轉換成XML形式�����,然后再將XML文檔的數據轉換到指定的目標數據中以形成匯總數據����。這一數據轉換的過程如圖2 所示。在上述的數據轉換過程中��,將異構的數據源中的數據轉換成XML格式可以采用現(xiàn)有技術中一些已有的工具�,如XML Extender,XML-DBMS,Silkroute以及XPERANT0等。在圖 3中給出了將數據源中的數據轉換成XML格式的基本實現(xiàn)步驟��,它包括步驟1)���、首先將源數據的數據結構和數據內容區(qū)分開�����,并將數據結構抽出,根據定義的轉換映射規(guī)則�,將關系數據的數據結構映射到XML定義的Schema中,而且在關系數據庫中的鍵的約束也同樣要相應的加到Schema中�;步驟2)、根據Schema中格式的要求將關系數據中的數據逐條加入到Schema文件中�����;步驟3)、轉換結束�����,形成XML文檔�。將XML文檔的數據轉換到指定的目標數據中以形成匯總數據的過程與將數據源中的數據轉換成XML格式的數據相比是一個反向的過程,因此不在此處重復����。基于XML的數據集成與轉換方法充分利用了 XML的特性�����,將XML文檔作為數據轉換的中間存儲過程��,這種轉換既支持以數據庫格式存儲的源數據���,也支持以文件形式存儲的源數據�����,但該方法依然存在如下缺點1����、數據轉換復雜,轉換效率低����。基于XML的數據轉換首先要將源數據轉成XML文件�,之后又將XML文件轉換為目標格式,需要進行兩次數據轉換���,效率較低����。2��、對源數據限制較多���,容易出現(xiàn)轉換錯誤����?����;赬ML的數據轉換根據制定的映射規(guī)則進行相應的數據轉換��,映射規(guī)則對源數據的數據格式有嚴格的限制���,一旦源數據中出現(xiàn)規(guī)則中沒有定義的數據格式����,則會引起轉換錯誤��,使得數據轉換的靈活性和準確性都是
4有待提高����。綜上所述,現(xiàn)有技術中將異構的安全數據進行數據集成與轉換的方法存在著數據轉換復雜�、性能低、不支持網絡安全探針動態(tài)加入系統(tǒng)等問題��。數據集成轉換的性能���、靈活性和準確性都有待提高�����,難以適應網絡安全數據轉換的需求�����。
發(fā)明內容
本發(fā)明的目的是克服現(xiàn)有技術中將異構的安全數據進行數據集成與轉換的方法存在著數據轉換復雜���、性能低�����、不支持網絡安全探針動態(tài)加入系統(tǒng)等問題���,提供一種高效、 方便�����、準確的數據集成與轉換方法�����。為了實現(xiàn)上述目的�����,本發(fā)明提供了一種網絡安全數據集成與轉換系統(tǒng),包括網絡安全探測工具����、代理模塊���、配置模塊��、數據采集器以及數據分類歸并處理模塊�;其中�����,所述的網絡安全探測工具至少有一個����,每一個所述的網絡安全探測工具擁有與其配套的至少一個代理模塊與至少一個配置模塊;所述的配置模塊中包括有配置文件��,所述配置文件中包括有由正則表達式所描述的數據格式轉換規(guī)則�����;所述的網絡安全探測工具獲取所在網絡的網絡安全數據�;所述代理模塊根據所述配置文件從所述網絡安全探測工具獲取網絡安全數據����,并根據所述正則表達式將所述網絡安全數據中的安全事件數據抽取出來并轉換為與該安全事件對應的統(tǒng)一數據格式����;所述的數據采集器搜集由各個代理模塊轉換而成的安全事件數據,并將這些數據發(fā)送到所述數據分類歸并處理模塊��,由該模塊對數據做分類�����、歸并���。上述技術方案中�����,所述的數據采集器采用被動接收模式從網絡安全檢測工具獲取網絡安全數據��;在該模式下���,所述網絡安全探測工具實時產生探針日志,所述代理模塊實時采集所述探針日志中的日志信息��,將所述日志信息中的安全事件數據做格式轉換后傳送給所述數據采集器。上述技術方案中��,所述的數據采集器采用主動詢問模式從網絡安全檢測工具獲取網絡安全數據���;在該模式下�,當所述數據采集器需要網絡安全數據時�����,調用所述代理模塊����, 由所述代理模塊驅動所述網絡安全檢測工具實時生成網絡監(jiān)控數據�����,所述代理模塊將所述網絡監(jiān)控數據中的安全事件數據做格式轉換后傳送給所述數據采集器�。上述技術方案中,所述的配置文件中還包括網絡安全探測工具的ID和類型����、探針日志文件的位置、網絡安全探測工具開啟或關閉時的相關配置�����、網絡安全檢測工具所檢測的網絡安全事件的類型。上述技術方案中����,所述的網絡安全探測工具、代理模塊以及配置模塊位于客戶端����, 所述的數據采集器與所述的數據分類歸并處理模塊位于服務器端;所述的代理模塊通過所述客戶端與所述服務器端之間的網絡實現(xiàn)與所述數據采集器的數據傳輸�。本發(fā)明的優(yōu)點在于1、提高網絡安全數據集成和轉換的性能���;2���、支持網絡安全數據源的動態(tài)加入和退出;3����、提高了數據轉換的準確性。
圖1為現(xiàn)有技術中基于ODBC的數據轉換系統(tǒng)的結構圖��;圖2為現(xiàn)有技術中的基于XML的數據集成與轉換方法的示意圖;圖3為本發(fā)明的基于正則表達式的網絡安全數據集成與轉換系統(tǒng)的結構圖��。
具體實施例方式下面結合附圖和具體實施方式
對本發(fā)明加以說明���。由于在本發(fā)明中將利用正則表達式(Regular Expression)來實現(xiàn)對異構安全數據的集成與轉換�,因此在對本發(fā)明方法做詳細說明前�����,首先對正則表達式做一簡要說明���。正則表達式就是由一系列特殊字符組成的字符串,其中每個特殊字符都被稱為元字符����,這些元字符并不表示為它們字面上的含義,而會被解釋為一些特定的含義��。正則表達式的主要用途有1��、驗證字符串是否符合指定特征��,比如驗證是否是合法的郵件地址���。2����、用來查找字符串。利用正則表達式從一個長的文本中查找符合指定特征的字符串比查找固定字符串更加靈活方便�。3、用來替換�。用正則表達式做替換比普通的替換方法在功能上更為強大。如可以使用正則表達式來識別文檔中的特定文本�����,完全刪除該文本或者用其他文本替換它���。正則表達式具有能夠比較靈活地對字符串進行匹配并且能夠高效地匹配復雜文本的優(yōu)點����,使得它能夠被用于數據集成與轉換的領域中�。在圖3中給出了本發(fā)明的基于正則表達式的網絡安全數據集成與轉換系統(tǒng),該系統(tǒng)包括網絡安全檢測工具(在本系統(tǒng)中也被稱為探針)���、代理模塊����、配置模塊、數據采集器以及數據分類歸并處理模塊����;其中,對于網絡中的每一個網絡安全檢測工具分別配置有至少一個所述的代理模塊與配置模塊�����,網絡安全檢測工具在所述配置模塊與代理模塊的協(xié)同下從其檢測到的網絡安全數據中抽取出與網絡安全事件有關的數據����,并由所述數據采集器統(tǒng)一采集,最后由數據分類歸并處理模塊做分類歸并�����。所述的網絡安全檢測工具用于獲取網絡安全數據���,并以探針日志文件或網絡監(jiān)控數據的格式加以保存。在下文中將會提到�����,數據采集器具有被動接收模式與主動詢問模式這兩種工作模式�,在被動接收模式下網絡安全檢測工具所采集的網絡安全數據以探針日志文件的格式保存,在主動詢問模式下,網絡安全檢測工具所采集的網絡安全數據以網絡監(jiān)控數據的格式加以保存�����。所述的探針日志文件以文件的格式加以保存����,它會自動產生、定期自動更新�;而所述的網絡監(jiān)控數據是調用一次返回一次的結果,不會自動產生和更新���,一般以調用返回值的形式返回給用戶���。所述的網絡安全探測工具可以采用現(xiàn)有技術中各個廠商所提供的檢測工具,不同的網絡安全檢測工具很可能有不同的數據格式�,因此,不同網絡安全探測工具的探針日志文件或網絡監(jiān)控數據中所保存的內容可能會有所不同�。所述的配置模塊用于保存配置文件。本發(fā)明中的配置文件都以正則表達式為基礎�,規(guī)定了用于從探針日志文件或網絡監(jiān)控數據中查找網絡安全事件的相應元字符以及將原有的數據格式轉換為某一種統(tǒng)一數據格式的方式。配置文件中所包括的內容主要有以下方面(1)�����、定義網絡安全檢測工具的ID,以及該網絡安全檢測工具的類型�,如IDS、VDS���、 防火墻等���。
(2)、指定探針日志文件或者網絡探測數據的位置���,使得代理模塊能夠對探針日志文件進行實時檢測�。(3)���、定義所述代理模塊啟動時如何啟動網絡安全探測工具以及網絡安全探測工具啟動后的進程名��,以及當代理模塊關閉時網絡安全檢測工具如何關閉等相關配置����。(4)�、定義網絡安全檢測工具采集的網絡安全事件的類型��,這樣代理模塊就可以知道該網絡安全檢測工具所生成的事件屬于哪類事件�,在數據轉換時就能夠將相應的數據轉換成該類事件的統(tǒng)一數據格式��。(5)�����、正則表達式的值��。對探針日志文件或網絡監(jiān)控數據中的內容進行提取和格式轉換就是要將相應的內容與正則表達式做匹配操作����,并對匹配上的數據進行相應的格式轉換���,從而得到相應的數據��。從對配置模塊以及配置模塊中的配置文件的上述說明可以看出�����,為不同網絡安全檢測工具所配置的配置模塊中的配置文件會有明顯的差異����。所述的代理模塊根據配置文件的內容對相應的網絡安全檢測工具做實時監(jiān)聽����,并根據配置文件中的正則表達式所描述的規(guī)則從探針日志文件中將相應的安全事件數據抽取出來并做格式轉換�����,形成統(tǒng)一的數據格式�。格式轉換后的數據將被發(fā)送到所述的數據采集端���。根據正則表達式所描述的規(guī)則從探針日志文件中抽取數據屬于本領域技術人員所公知的技術��,因此不在此處重復說明����。需要說明的是�,此處所提到的統(tǒng)一的數據格式是就某一類型的安全事件而言的,即由不同網絡安全探測工具所探測到的同一類型的安全事件的數據應當由代理模塊轉換成同一數據格式�,但對于不同類型的安全事件而言,它們的數據在經過轉換后所得到的統(tǒng)一數據格式之間允許存在差別�,例如類型A的安全事件的統(tǒng)一數據格式允許與類型B的安全事件的統(tǒng)一數據格式有所不同。所述的數據采集器安裝在網絡安全數據集成的服務器端��,它負責搜集各代理模塊傳送過來的數據��。數據采集器在其啟動時與其管理的所有代理模塊(Agent)建立并保持網絡連接��,數據采集器支持兩種工作模式被動接收模式與主動詢問模式���。被動接收模式是指網絡安全檢測工具實時產生探針日志�����,代理模塊實時采集探針日志中的日志信息并傳送給數據采集器�。主動詢問模式是當數據采集器需要網絡安全數據時才調用代理模塊來采集網絡監(jiān)控數據�����。圖3中的系統(tǒng)同時包含探針日志與網絡監(jiān)控數據表明該系統(tǒng)中的數據采集器同時支持上述兩種工作模式�。所述的數據分類歸并處理模塊把集成后的數據按數據類型做分類并歸處理,存儲到不同的網絡事件數據庫表格中����,并將處理后的數據傳送到后續(xù)的網絡安全事件處理系統(tǒng)。在前文中已經提到���,不同安全事件的統(tǒng)一數據格式間可能存在差異�����,因此��,數據分類歸并處理模塊需要對這些數據做分類存儲����。以上是對本發(fā)明系統(tǒng)的各個組成模塊的功能與實現(xiàn)方式的說明。在該系統(tǒng)中�����,配置模塊與代理模塊結合起來服務于某一特定的網絡探測工具���。當需要在網絡中對某一新的網絡探測工具進行探測時�,只要為這一網絡探測工具配備相應的配置模塊以及代理模塊�����, 然后對該網絡探測工具的網絡安全數據的數據格式有充分的了解��,并在配置模塊的配置文件中通過正則表達式將該數據的抽取與格式轉換規(guī)則加以描述���,就能夠實現(xiàn)對該網絡探測工具中網絡安全事件數據的抽取與格式轉換����。由此可實現(xiàn)異構的網絡探測工具在系統(tǒng)中的動態(tài)擴展����。
7
下面結合實例�,對本發(fā)明的系統(tǒng)進行描述�。在一個實例中,新安裝了一個具有網絡安全功能的POF軟件����,下面要對這一軟件所采集的網絡安全數據進行數據集成與轉換�。首先要為安裝有POF軟件的計算機安裝網絡安全檢測工具與代理模塊;然后在代理模塊的安裝目錄下的Agent/Plugin目錄下創(chuàng)建POF. cfg配置文件��,該文件主要用于定義 POF網絡安全檢測工具����。在所述的POF. cfg配置文件中定義以下幾方面的內容a、定義該網絡安全檢測工具的ID :Plugin_id = 1511�,該ID用來唯一地標識POF
網絡安全檢測工具。b�、定義網絡安全檢測工具的類型,type = Detector0c�����、定義探針日志文件的存放位置location = /var/log/YHSOC/POF. log����,在做上述定義后���,代理模塊將會來監(jiān)聽該文件。d�����、定義該網絡安全檢測工具的進程名process = P0F��。一般在軟件的安裝過程中會在/etc/init. d/目錄下創(chuàng)建一個該程序的啟動腳本���,而且一般檢測客戶端是不是已經啟動這個網絡安全檢測工具就是檢測器進程中是否有process所表明的進程����。e�、定義代理模塊啟動時如何啟動POF這個軟件,一般做如下設置=Start = yes, startup = % (process)s_i\_CFG(plugin-defaults����,interface)-lUNtd-o % (location) s,該式表示代理模塊啟動的時候就啟動該軟件���。f�����、定義代理模塊退出時如何關閉POF軟件��,一般有兩種方式�����,一是通過POF自己的腳本關閉程序�,一種是采用強制殺死進程的方式���。在一個實施例中可采用第二種方式��,所以設置為 stop = yes 禾口 shutdown = killall-9% (process) s���。g、定義網絡安全檢測工具的事件類型����,event_type = host-os-event,代理模塊端通過此參數的值就可以知道從該網絡安全檢測工具獲取的事件屬于哪一類事件�,則在事件轉化時轉換成相應的事件格式。h��、定義該網絡安全檢測工具的正則表達式,在對日志文件獲取時用采用正則表達式表示的以下規(guī)則進行匹配regexp = 〃 <\S+\s+( ����? P<date>\S+\s+\S+\s+\d+:\d+:\d+)\s+ (\S+)>\s+ ( ? P<host>\IPV4):\P0RT\s+-\s+( �? P<os>\S+)〃 。代理模塊就是通過該表達式來進行匹配從而解析日志文件的�����。除此之外�,還應該對事件中一些必填的字段指定在正則表達式中的位置,對于POF檢測的OS事件����,幾個必填的字段為:date = {normalize_date ($date)} ;host = {$host} ���;os = {$os} ����;plugin_sid =1��。其中$date�、$h0St以及$os等適合正則表達式中的變量對應起來的�����。i���、最后修改代理模塊目錄下的代理模塊的配置文件config.cfg,把這個新建的 POF. cfg 加入到其 plugin 的列表下p0f = /etc/YHSOC/agent/plugins/pOf. cfg��,然后保存并退出�。上述實例中針對POF軟件的網絡安全檢測工具、配置模塊以及代理模塊都安裝在該軟件所在的本地計算機上�����,但出于安全考慮��,也可以將上述模塊安裝在遠端計算機上���。在遠端計算機上安裝上述模塊的過程如下A、在遠端的機器上安裝網絡安全檢測工具與代理模塊�����;
8
B�����、如前文的描述創(chuàng)建配置文件;C����、在所述的配置文件中有一個用于定義遠端接受數據的機器的IP的參數,將該參數的值設定為安裝有數據采集器的服務器IP���,并將相應端口 port的值設為40001 ��;D�、在數據采集器的配置文件中增加遠端網絡安全探針所在機器的IP和端口號��。通過前面的配置��,代理模塊啟動后會讀取其管轄下的網絡安全檢測工具的配置信息����,然后實時的檢測相應的日志文件,若日志文件發(fā)生變化就讀取相應的日志內容并將其配置文件中的正則表達式進行匹配����,再檢查該探針所屬的安全事件類型,根據該安全事件的數據格式從而形成安全事件流��,最后根據配置文件中定義的數據采集端的IP和端口號, 把相應的網絡安全數據發(fā)送到數據采集端�;數據采集端啟動后會自動讀取其配置文件,根據配置文件中定義的IP和端口���,數據采集端接收相應的網絡安全數據���,并進行歸并處理。本發(fā)明有以下技術效果1�、提高網絡安全數據集成和轉換的性能本發(fā)明采用正則表達式匹配的方式進行網絡安全數據集成和轉換,只在源數據(指網絡安全探針的日志文件以及網絡探測數據�����, 即數據集成前的原始數據)中匹配集成后所需的相關數據���,對大量網絡安全日志中不相關的數據會略過,極大地提高了數據集成和轉換的性能�����。2��、支持網絡安全數據源的動態(tài)加入和退出本發(fā)明采用配置文件指定遠程網絡安全探針數據源的形式�,支持網絡安全數據源的動態(tài)加入和退出����。3�����、提高了數據轉換的準確性本發(fā)明采用的基于正則表達式的數據轉換由于只在源數據中匹配集成后所需的相關數據���,對大量網絡安全日志中不相關的數據會略過��,即使這些數據出現(xiàn)格式錯誤����,也不會影響數據集成的結果�����,提高了數據轉換的準確性���。最后所應說明的是��,以上實施例僅用以說明本發(fā)明的技術方案而非限制�����。盡管參照實施例對本發(fā)明進行了詳細說明�����,本領域的普通技術人員應當理解�����,對本發(fā)明的技術方案進行修改或者等同替換�,都不脫離本發(fā)明技術方案的精神和范圍,其均應涵蓋在本發(fā)明的權利要求范圍當中�。
權利要求
1.一種網絡安全數據集成與轉換系統(tǒng),其特征在于����,包括網絡安全探測工具、代理模塊��、配置模塊���、數據采集器以及數據分類歸并處理模塊;其中�����,所述的網絡安全探測工具至少有一個,每一個所述的網絡安全探測工具擁有與其配套的至少一個代理模塊與至少一個配置模塊����;所述的配置模塊中包括有配置文件,所述配置文件中包括有由正則表達式所描述的數據格式轉換規(guī)則�����;所述的網絡安全探測工具獲取所在網絡的網絡安全數據����;所述代理模塊根據所述配置文件從所述網絡安全探測工具獲取網絡安全數據,并根據所述正則表達式將所述網絡安全數據中的安全事件數據抽取出來并轉換為與該安全事件對應的統(tǒng)一數據格式�;所述的數據采集器搜集由各個代理模塊轉換而成的安全事件數據,并將這些數據發(fā)送到所述數據分類歸并處理模塊�����,由該模塊對數據做分類����、歸并。
2.根據權利要求1所述的網絡安全數據集成與轉換系統(tǒng)���,其特征在于��,所述的數據采集器采用被動接收模式從網絡安全檢測工具獲取網絡安全數據����;在該模式下,所述網絡安全探測工具實時產生探針日志���,所述代理模塊實時采集所述探針日志中的日志信息�,將所述日志信息中的安全事件數據做格式轉換后傳送給所述數據采集器�����。
3.根據權利要求1所述的網絡安全數據集成與轉換系統(tǒng)�,其特征在于,所述的數據采集器采用主動詢問模式從網絡安全檢測工具獲取網絡安全數據��;在該模式下�,當所述數據采集器需要網絡安全數據時,調用所述代理模塊��,由所述代理模塊驅動所述網絡安全檢測工具實時生成網絡監(jiān)控數據�����,所述代理模塊將所述網絡監(jiān)控數據中的安全事件數據做格式轉換后傳送給所述數據采集器。
4.根據權利要求1所述的網絡安全數據集成與轉換系統(tǒng)����,其特征在于�,所述的配置文件中還包括網絡安全探測工具的ID和類型、探針日志文件的位置���、網絡安全探測工具開啟或關閉時的相關配置����、網絡安全檢測工具所檢測的網絡安全事件的類型��。
5.根據權利要求1所述的網絡安全數據集成與轉換系統(tǒng)���,其特征在于���,所述的網絡安全探測工具、代理模塊以及配置模塊位于客戶端��,所述的數據采集器與所述的數據分類歸并處理模塊位于服務器端�����;所述的代理模塊通過所述客戶端與所述服務器端之間的網絡實現(xiàn)與所述數據采集器的數據傳輸。
全文摘要
本發(fā)明提供一種網絡安全數據集成與轉換系統(tǒng)��,包括網絡安全探測工具����、代理模塊、配置模塊��、數據采集器以及數據分類歸并處理模塊�����;其中���,網絡安全探測工具至少有一個�����,每一個網絡安全探測工具擁有至少一個代理模塊與至少一個配置模塊�;配置模塊中包括有配置文件����,配置文件中包括有由正則表達式所描述的數據格式轉換規(guī)則;網絡安全探測工具獲取所在網絡的網絡安全數據��;代理模塊根據配置文件從網絡安全探測工具獲取網絡安全數據,并根據正則表達式將網絡安全數據中的安全事件數據抽取出來并轉換為與該安全事件對應的統(tǒng)一數據格式��;數據采集器搜集由各個代理模塊轉換而成的安全事件數據��,并發(fā)送到數據分類歸并處理模塊����,由該模塊對數據做分類��、歸并�。
文檔編號H04L29/06GK102457475SQ20101051382
公開日2012年5月16日 申請日期2010年10月15日 優(yōu)先權日2010年10月15日
發(fā)明者劉 東, 周斌, 張劍鋒, 徐鏡湖, 李愛平, 楊樹強, 賈焰, 趙光耀, 鄭黎明, 陳志坤, 韓偉紅 申請人:中國人民解放軍國防科學技術大學