方法、设备和系统,可以通过 其它的方式实现。例如,以上所描述的设备实施例仅是是示意性的,所述功能模块的划分, 仅为一种逻辑功能的划分,实际实现时可以有另外的划分方式,例如多个模块可以结合或 者可以集成到另一个系统,或者一些特征可以忽略,或不执行。
[0097]最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管 参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可 以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换; 而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和 范围。
【主权项】
1. 一种系统消息处理方法,应用于包括传感器和收集器的系统消息处理系统中,所述 一个收集器连接至少一个所述传感器,其特征在于,包括以下步骤: 收集器接收传感器发送的系统消息, 收集器将所述系统消息和与预存的与所述传感器一一对应的规则文件进行匹配,所述 规则文件包括至少一个规则条目,所述规则条目为系统消息与相应的处理规则之间的对应 关系, 收集器将匹配的系统消息进行归一化处理,生成与所述系统消息一一对应的归一化消 息,所述归一化消息为具有统一的归一化属性的事件记录, 收集器输出所述归一化消息。2. 根据权利要求1所述的系统消息处理方法,其特征在于,所述归一化属性,具体包括: 收集器在匹配成功的系统消息中直接提取的提取属性,和收集器根据所述匹配成功的 系统消息进行回填的回填属性,所述系统消息为传感器根据不同的系统事件生成的自定义 的事件记录消息, 所述提取属性包括:帐号,源IP,源端口,目的IP,目的端口,协议类型,事件发生时间, 事件结束时间,事件发生次数,事件摘要,访问的网站,访问的DNS,整形保留属性,字符串类 型保留属性, 所述回填属性包括:归一化事件级别,客户ID,自定义事件ID,自定义事件类型,传感器ID,传感器IP,传感器掩码,传感器类型,收集器ID,收集器IP,系统消息接收时间,原始日 ν·、ι、〇3.根据权利要求2所述的系统消息处理方法,其特征在于,所述归一化事件级别,具体 包括: 根据匹配成功的系统消息中自定义的事件类型和预设的归一化事件级别对应关系,确 定归一化事件级别,所述预设的归一化事件级别对应关系,为匹配成功的系统消息中的自 定义的事件类型和归一化事件级别之间一一对应的关系。4. 根据权利要求1所述的系统消息处理方法,其特征在于,在收集器接收传感器发送的 系统消息之后,收集器将接收到的系统消息与预存的与所述传感器一一对应的规则文件进 行匹配之前,所述方法还包括: 收集器将具有不同的字符编码方式的系统消息转换为具有统一的字符编码方式的系 统消息。5.根据权利要求1所述的系统消息处理方法,其特征在于,在收集器将接收到的系统消 息与预存的与所述传感器一一对应的规则文件进行匹配之后,所述方法还包括: 当收集器接收到的系统消息与预存的与所述传感器一一对应的规则文件不匹配时,收 集器将接收到的系统消息与预存的其他传感器对应的规则文件进行匹配。6. 根据权利要求1所述的系统消息处理方法,其特征在于,在收集器将匹配成功的系统 消息生成与所述系统消息一一对应的归一化消息之后,所述方法还包括: 收集器在预设时间范围内将具有至少一个归一化属性内容相同的多个归一化消息合 并,生成合并消息,所述合并消息为与归一化消息具有统一的归一化属性的事件记录, 所述收集器输出所述归一化消息,具体包括: 收集器输出所述归一化消息和合并消息。7. 根据权利要求6所述的系统消息处理方法,其特征在于,所述收集器将具有至少一个 归一化属性的内容相同的多个归一化消息合并生成合并消息,具体包括: 所述至少一个归一化属性包括自定义事件ID,传感器类型,传感器IP,源IP和目的IP, 所述合并生成合并消息包括: 将进行合并的第一个归一化消息中的事件发生时间确定为合并消息中的事件发生时 间, 将进行合并的最后一个归一化消息中的事件结束时间确定为合并消息中的事件结束 时间, 将合并的所有归一化消息中的事件发生次数相加得到的和确定为合并消息中的事件 发生次数。8. -种收集器,其特征在于,包括: 接收模块,用于接收传感器发送的系统消息, 匹配模块,用于将所述系统消息和与预存的与所述传感器一一对应的规则文件进行匹 配,所述规则文件包括至少一个规则条目,所述规则条目为系统消息与相应的处理规则之 间的对应关系, 归一化模块,用于将匹配的系统消息进行归一化处理,生成与所述系统消息一一对应 的归一化消息,所述归一化消息为具有统一的归一化属性的文件, 输出模块,用于输出所述归一化消息。9. 根据权利要求8所述的收集器,其特征在于: 所述匹配模块,具体用于在匹配成功的系统消息中直接提取的提取属性,和收集器根 据所述匹配成功的系统消息进行回填的回填属性,所述系统消息为传感器根据不同的系统 事件生成的自定义的事件记录消息, 所述提取属性包括:所述提取属性包括:帐号,源IP,源端口,目的IP,目的端口,协议类 型,事件发生时间,事件结束时间,事件发生次数,事件摘要,访问的网站,访问的DNS,整形 保留属性,字符串类型保留属性, 所述回填属性包括:归一化事件级别,客户ID,自定义事件ID,自定义事件类型,传感器ID,传感器IP,传感器掩码,传感器类型,收集器ID,收集器IP,系统消息接收时间,原始日 ν·、ι、〇10. 根据权利要求9所述的收集器,其特征在于: 所述匹配模块,具体用于根据匹配成功的系统消息中自定义的事件类型和预设的归一 化事件级别对应关系,确定归一化事件级别,所述预设的归一化事件级别对应关系,为匹配 成功的系统消息中的自定义的事件类型和归一化事件级别之间一一对应的关系。11. 根据权利要求8所述的收集器,其特征在于,还包括: 编码统一模块,用于将具有不同的字符编码方式的系统消息转换为具有统一的字符编 码方式的系统消息。12. 根据权利要求8所述的收集器,其特征在于: 所述匹配模块,具体用于当收集器接收到的系统消息与预存的与所述传感器一一对应 的规则文件不匹配时,收集器将接收到的系统消息与预存的其他传感器对应的规则文件进 行匹配。13. 根据权利要求8所述的收集器,其特征在于,还包括: 合并模块,用于在预设时间范围内将具有至少一个归一化属性内容相同的多个归一化 消息合并,生成合并消息,所述合并消息为与归一化消息具有统一的归一化属性的事件记 录, 所述输出模块,具体用于输出所述归一化消息和合并消息。14.根据权利要求13所述的收集器,其特征在于: 所述合并模块,具体用于所述至少一个归一化属性包括自定义事件ID,传感器类型,传 感器IP,源IP和目的IP, 所述合并生成合并消息包括:将进行合并的第一个归一化消息中的事件发生时间确定 为合并消息中的事件发生时间,将进行合并的最后一个归一化消息中的事件结束时间确定 为合并消息中的事件结束时间,将合并的所有归一化消息中的事件发生次数相加得到的和 确定为合并消息中的事件发生次数。
【专利摘要】本发明提供一种系统消息处理方法,应用于包括传感器和收集器的系统消息处理系统中,所述一个收集器与至少一个所述传感器连接,包括收集器接收传感器发送的系统消息,收集器将所述系统消息和与预存的与所述传感器一一对应的规则文件进行匹配,收集器将匹配的系统消息进行归一化处理,生成与所述系统消息一一对应的归一化消息,收集器输出所述归一化消息。本发明能够将局域网中不同设备所发送的系统消息进行归一化处理,为分析和数据挖掘提供了数据,便于局域网系统消息的统一管理和监控。
【IPC分类】H04L29/08, H04L12/24
【公开号】CN105450459
【申请号】CN201511023137
【发明人】刘鹏, 张权, 荆华娟
【申请人】中电长城网际系统应用有限公司
【公开日】2016年3月30日
【申请日】2015年12月30日