消息订阅方法、处理节点设备和总线设备的制造方法
【技术领域】
[0001]本发明涉及数据处理技术领域,尤其涉及一种消息订阅方法、处理节点设备和总线。
【背景技术】
[0002]在现有网络安全产品中,很多产品都是以消息或事件为粒度进行统计或拟合,例如,网络安全产品中入侵检测系统(Intrus1n Detect1n Systems,简称IDS)、入侵防御系统(Intrus1n Prevent1n System,简称 IPS)、安全运行中心(Security Operat1nsCenter,简称SOC)以及安全网关(Unified Threat Management,简称UTM)等都会以消息事件来作为输入或输出。
[0003]但是,现有的网络安全产品中以消息事件作为输入或输出的消息总线是固定的,无法进行后期维护,进而无法对网络安全产品进行扩展,导致网络安全产品的效率低,并对产品功能的扩展带来一定限制。
【发明内容】
[0004]针对现有技术中的缺陷,本发明提供了一种消息订阅方法、处理节点和总线,能够实现对对消息总线的动态扩展,方便以消息事件为粒度的网络安全产品进行后期维护。
[0005]第一方面,本发明提供一种处理节点设备,处理节点为采用插件形式加载在消息总线上,所述处理节点包括:
[0006]第一获取模块,用于在事件源通过所述消息总线发布消息事件时,根据第一配置信息在所述消息事件中获取与所述第一配置信息对应的消息事件;
[0007]处理模块,用于根据所述第一配置信息处理获取的消息事件。
[0008]可选地,所述处理节点还包括:
[0009]加载模块,用于加载至少一个第二处理节点,生成与该第二处理节点对应的第二配置信息;
[0010]所述第二处理节点根据所述第二配置信息从所述处理节点订阅或发布的消息事件中获取与所述第二配置信息对应的消息事件,以及处理获取的消息事件。
[0011]可选地,所述至少一个处理节点和所述至少一个第二处理节点组成二叉树结构;
[0012]或者,
[0013]所述至少一个处理节点和所述至少一个第二处理节点组成链式结构。
[0014]可选地,所述处理节点设备还包括:
[0015]第二获取模块,用于根据所述第一配置信息从另一处理节点中订阅或发布的消息事件中获取与所述第一配置信息对应的消息事件。
[0016]可选地,所述事件源包括下述的一种或多种:
[0017]服务器中的主机事件源、互联网中的网络事件源和第一处理节点中的事件源、通过所述消息总线发布消息事件的任一接入系统。
[0018]可选地,所述第一配置信息包括下述的一种或多种:
[0019]在所述消息总线中订阅符合预设规则的消息事件、删除符合预设规则的消息事件、添加符合预设规则的消息事件的属性、发布消息事件、丢弃符合预设规则的消息事件、转发符合预设规则的消息事件、实名制映射符合预设规则的消息事件、关联分析符合预设规则的消息事件、存储符合预设规则的消息事件。
[0020]可选地,所述处理模块,具体用于:
[0021]修改获取的消息事件的属性,并将修改属性后的消息事件发布;
[0022]或者,
[0023]丢弃获取的消息事件;
[0024]或者,
[0025]将获取的消息事件存储在数据库中;
[0026]或者,
[0027]根据获取的消息事件进行流量统计分析或安全统计分析;
[0028]或者,
[0029]根据获取的消息事件进行关联分析;
[0030]或者,
[0031]转发获取的消息事件。
[0032]可选地,所述消息事件为MAP消息类型的消息事件;
[0033]所述消息事件的格式为动态扩展的键-值key-value格式;
[0034]和/ 或,
[0035]所述消息事件的属性包括:所述消息事件的源IP、目的IP、源端口号和目的端口号。
[0036]第二方面,本发明还提供了一种总线设备,包括:
[0037]加载模块,用于加载插件形式的至少一个第一处理节点,并生成该第一处理节点的第一配置信息;
[0038]查找模块,用于在事件源通过所述消息总线发布消息事件时,根据所述第一配置信息查找与所述第一配置信息对应的消息事件;
[0039]发送模块,用于将查找的消息事件发送所述第一处理节点,以使所述第一处理节点处理发送的消息事件。
[0040]可选的,所述消息总线还包括:
[0041]删除模块,用于删除加载的至少一个第一处理节点。
[0042]可选的,所述消息事件为MAP消息类型的消息事件;
[0043]所述消息事件的格式为动态扩展的键-值key-value格式;
[0044]和/ 或,
[0045]所述消息事件的属性包括:所述消息事件的源IP、目的IP、源端口号和目的端口号。
[0046]可选的,所述事件源包括下述的一种或多种:
[0047]服务器中的主机事件源、互联网中的网络事件源、和第一处理节点中的事件源、通过所述消息总线发布消息事件的任一接入系统。
[0048]可选的,所述第一配置信息包括下述的一种或多种:
[0049]在所述消息总线中订阅符合预设规则的消息事件、删除符合预设规则的消息事件、添加符合预设规则的消息事件的属性、发布消息事件、丢弃符合预设规则的消息事件、转发符合预设规则的消息事件、实名制映射符合预设规则的消息事件、关联分析符合预设规则的消息事件、存储符合预设规则的消息事件。
[0050]第三方面,本发明还提供了一种消息订阅方法,包括:
[0051]在事件源通过消息总线发布消息事件时,加载在所述消息总线上的至少一个消息事件,所述消息事件为第一处理节点根据第一配置信息在所述消息事件中获取与所述第一配置信息对应的消息事件;
[0052]所述第一处理节点根据所述第一配置信息处理获取的消息事件;
[0053]其中,所述第一处理节点为采用插件形式加载在所述消息总线上的节点。
[0054]可选的,所述方法还包括:
[0055]所述第一处理节点还用于加载至少一个第二处理节点,生成与该第二处理节点对应的第二配置信息;
[0056]所述第二处理节点根据所述第二配置信息从所述第一处理节点订阅或发布的消息事件中获取与所述第二配置信息对应的消息事件,以及处理获取的消息事件。
[0057]可选的,所述至少一个第一处理节点和所述至少一个第二处理节点组成二叉树结构;
[0058]或者,
[0059]所述至少一个第一处理节点和所述至少一个第二处理节点组成链式结构。
[0060]可选的,所述方法还包括:
[0061]所述第一处理节点根据所述第一配置信息从另一第一处理节点中订阅或发布的消息事件中获取与所述第一配置信息对应的消息事件。
[0062]可选的,所述事件源包括下述的一种或多种:
[0063]服务器中的主机事件源、互联网中的网络事件源、和第一处理节点中的事件源、通过所述消息总线发布消息事件的任一接入系统。
[0064]可选的,所述加载在所述消息总线上的至少一个第一处理节点根据第一配置信息在所述消息事件中获取与所述第一配置信息对应的消息事件之前,所述方法还包括:
[0065]所述消息总线加载至少一个第一处理节点,生成与该第一处理节点对应的第一配置信息;
[0066]和/ 或,
[0067]所述第一配置信息包括下述的一种或多种:
[0068]在所述消息总线中订阅符合预设规则的消息事件、删除符合预设规则的消息事件、添加符合预设规则的消息事件的属性、发布消息事件、丢弃符合预设规则的消息事件、转发符合预设规则的消息事件、实名制映射符合预设规则的消息事件、关联分析符合预设规则的消息事件、存储符合预设规则的消息事件。
[0069]可选的,所述第一处理节点根据所述第一配置信息处理获取的消息事件,包括:
[0070]所述第一处理节点修改获取的消息事件的属性,并将修改属性后的消息事件发布;
[0071]或者,
[0072]所述第一处理节点丢弃获取的消息事件;
[0073]或者,
[0074]所述第一处理节点将获取的消息事件存储在数据库中;
[0075]或者,
[0076]所述第一处理节点根据获取的消息事件进行流量统计分析或安全统计分析;
[0077]或者,
[0078]所述第一处理节点根据获取的消息事件进行关联分析;
[0079]或者,
[0080]所述第一处理节点转发获取的消息事件。
[0081 ] 可选的,所述消息事件为MAP消息类型的消息事件;
[0082]所述消息事件的格式为动态扩展的键-值key-value格式;
[0083]和/ 或,
[0084]所述消息事件的属性包括:所述消息事件的源IP、目的IP、源端口号和目的端口号。
[0085]第四方面,本发明还提供了一种消息订阅方法,包括: