本发明涉及信息安全领域,更具体地,涉及一种安全事件的处理方法。
背景技术:
随着信息技术持续地发展,各类组织、企业对信息系统的运用也不断深入,企业部署了大量的、不同种类、形态各异的信息化系统,各类信息化系统会产生大量结构化和非结构化的数据,数据量日益增加。大数据时代,充分快速的信息获取是精确安全分析的强有力支撑,而各类信息系统产生的日志采集方式多样,针对比如syslog、snmp这种被动的采集方式,通过负载均衡设备等方式,部署多套采集设备以进行大数据量的采集。但是对于类似存在于文件、数据库中的安全事件,往往由于采集任务配置不当、安全事件量多少不一、安全事件产生的速度大小不一,导致采集的安全事件瞬间暴增或采集速度较慢等问题,影响安全分析效果。
因此,有必要开发一种安全事件的处理方法,对大数据安全事件进行高效处理。
公开于本发明背景技术部分的信息仅仅旨在加深对本发明的一般背景技术的理解,而不应当被视为承认或以任何形式暗示该信息构成已为本领域技术人员所公知的现有技术。
技术实现要素:
本发明提出了一种安全事件的处理方法,其通过管理平台的监控和管理使得采集节点和处理节点的能力发挥到最优,实现大数据安全事件的高效处理。
根据本发明提出了一种安全事件的处理方法。所述方法可以包括:管理平台监控安全事件采集节点的采集能力指标和安全事件处理节点的处理能力指标;所述管理平台准实时下发所述处理能力指标到采集节点集群,所述采集节点集群依据所述处理能力指标将所述安全事件发送到最优处理节点;所述管理平台根据所述采集能力指标将主动采集任务下发到最优采集节点进行所述安全事件采集。
优选地,所述管理平台监测到所述采集能力指标和/或所述处理能力指标异常时,产生告警信息。
优选地,通过所述采集节点的连通性、cpu利用率、内存利用率和采集性能构建所述采集能力指标。
优选地,通过所述处理节点的连通性、cpu利用率、内存利用率和处理性能构建所述处理能力指标。
优选地,所述采集能力指标采用加权取平均数进行计算,如下所示:
其中,x1,…,xk为采集节点连通性、cpu利用率、内存利用率、采集性能取值,f1,…,fk采集节点连通性、cpu利用率、内存利用率、采集性能对应的权数,n为采集节点连通性、cpu利用率、内存利用率、采集性能对应的权数求和;
采集性能=∑(每分钟业务事务量*标准事务量比率)/(1-冗余率)。
优选地,所述处理能力指标采用加权取平均数进行计算,如下所示:
其中,x1,…,xk为采集节点连通性、cpu利用率、内存利用率、处理性能取值,f1,…,fk采集节点连通性、cpu利用率、内存利用率、处理性能对应的权数,n为采集节点连通性、cpu利用率、内存利用率、处理性能对应的权数求和;
处理性能=∑(每分钟业务事务量*标准事务量比率)/(1-冗余率)。
优选地,所述采集节点集群准实时地将cpu利用率、内存利用率和采集性能发送给所述管理平台。
优选地,处理节点集群准实时地将cpu利用率、内存利用率和处理性能发送给所述管理平台。
优选地,所述采集节点集群还能够通过被动方式接收通过syslog和snmp上报的所述安全事件。
优选地,处理节点集群基于所述管理平台的分析策略进行所述安全事件分析并产生告警。
本发明的有益效果在于:通过管理平台的监控和管理,既能无缝扩展采集节点及处理节点,又将采集节点采集能力和处理节点处理能力发挥到最优,实现大数据安全事件的高效处理。
本发明的其它特征和优点将在随后具体实施方式部分予以详细说明。
附图说明
通过结合附图对本发明示例性实施例进行更详细的描述,本发明的上述以及其它目的、特征和优势将变得更加明显,其中,在本发明示例性实施例中,相同的附图标记通常代表相同部件。
图1示出了根据本发明的安全事件的处理方法的步骤的流程图。
具体实施方式
下面将参照附图更详细地描述本发明。虽然附图中显示了本发明的优选实施例,然而应该理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了使本发明更加透彻和完整,并且能够将本发明的范围完整地传达给本领域的技术人员。
实施例
图1示出了根据本发明的安全事件的处理方法的步骤的流程图。
在该实施例中,根据本发明的安全事件的处理方法可以包括:步骤101,管理平台监控安全事件采集节点的采集能力指标和安全事件处理节点的处理能力指标;步骤102,管理平台准实时下发处理能力指标到采集节点集群,采集节点集群依据处理能力指标将安全事件发送到最优处理节点;以及步骤103,管理平台根据采集能力指标将主动采集任务下发到最优采集节点进行安全事件采集。
该实施例通过管理平台的监控和管理,依据采集能力指标将主动采集任务下发到最优采集节点,依据处理能力指标将安全事件发送到最优处理节点,使得采集节点和处理节点的能力发挥到最优,实现大数据安全事件的高效处理。
下面参考图1详细说明根据本发明的安全事件的处理方法的具体步骤。
步骤101,管理平台监控安全事件采集节点的采集能力指标和安全事件处理节点的处理能力指标。
在一个示例中,管理平台监测到采集能力指标和/或处理能力指标异常时,产生告警信息,通知管理员进行处理。
具体地,在管理平台配置安全事件分析策略并下发到处理节点集群,并在管理平台展示安全事件处理结果。
在一个示例中,通过采集节点的连通性、cpu利用率、内存利用率和采集性能构建采集能力指标,采集能力指标是衡量当前采集节点性能的重要标志,管理平台依据采集能力指标将主动采集任务发送给最优采集节点,使得对安全事件的采集更加高效。
在一个示例中,通过处理节点的连通性、cpu利用率、内存利用率和处理性能构建处理能力指标,处理能力指标是衡量当前处理节点性能的重要标志,采集节点集群依据处理能力指标将安全事件发送给最优处理节点,使得对安全事件的处理更加高效。
在一个示例中,采集能力指标采用加权取平均数进行计算,如下所示:
其中,x1,…,xk为采集节点连通性、cpu利用率、内存利用率、采集性能取值,f1,…,fk采集节点连通性、cpu利用率、内存利用率、采集性能对应的权数,n为采集节点连通性、cpu利用率、内存利用率、采集性能对应的权数求和;
采集性能=∑(每分钟业务事务量*标准事务量比率)/(1-冗余率)。
具体地,采集性能是当前采集节点每分钟采集的事件量。
在一个示例中,处理能力指标采用加权取平均数进行计算,如下所示:
其中,x1,…,xk为采集节点连通性、cpu利用率、内存利用率、处理性能取值,f1,…,fk采集节点连通性、cpu利用率、内存利用率、处理性能对应的权数,n为采集节点连通性、cpu利用率、内存利用率、处理性能对应的权数求和;
处理性能=∑(每分钟业务事务量*标准事务量比率)/(1-冗余率)。
具体地,处理性能是当前处理节点每分钟处理的事件量。
步骤102,管理平台准实时下发处理能力指标到采集节点集群,采集节点集群依据处理能力指标将安全事件发送到最优处理节点。
在一个示例中,处理节点集群准实时地将cpu利用率、内存利用率和处理性能发送给管理平台,便于管理平台监控处理节点集群的状态。
在一个示例中,处理节点集群基于管理平台的分析策略进行安全事件分析并产生告警,安全事件的处理结果展示在管理平台上。
具体地,处理节点集群接收采集节点集群采集的安全事件,根据管理平台下发的分析策略进行安全事件分析并产生告警信息到管理平台。
步骤103,管理平台根据采集能力指标将主动采集任务下发到最优采集节点进行安全事件采集。
在一个示例中,采集节点集群准实时地将cpu利用率、内存利用率和处理性能发送给管理平台,便于管理平台监控采集节点集群的状态。
在一个示例中,采集节点集群还能够通过被动方式接收通过syslog和snmp上报的安全事件,管理平台通过负载均衡设备,将此类安全事件均衡的发送到事件采集节点集群对应的采集端口。
具体地,采集节点集群通过被动方式接收通过syslog和snmp上报的安全事件,通过接收管理平台下发的采集任务主动的采集文件和数据库中的安全事件,将安全事件发送到处理节点集群进行安全事件分析。
该实施例通过管理平台的监控和管理,既能无缝扩展采集节点及处理节点,又将采集节点采集能力和处理节点处理能力发挥到最优,实现大数据安全事件的高效处理。
应用示例
为便于理解本发明实施例的方案及其效果,以下给出一个具体应用示例。本领域技术人员应理解,该示例仅为了便于理解本发明,其任何具体细节并非意在以任何方式限制本发明。
首先,在管理平台注册安全事件采集节点和处理节点,注册后,通过单点登录技术在管理平台直接对安全事件采集节点及安全数据处理节点进行管理及监控;然后,采集节点集群通过被动方式接收通过syslog、snmp等方式上报的安全事件,通过接收管理平台下发的采集任务主动的采集文件和数据库中的安全事件,将安全事件发送到处理节点集群进行安全事件分析;最后,处理节点集群接收采集节点集群采集的安全事件,根据管理平台下发的分析策略进行安全事件分析并产生告警信息到管理平台。
该应用示例通过管理平台的监控和管理,既能无缝扩展采集节点及处理节点,又将采集节点采集能力和处理节点处理能力发挥到最优,实现大数据安全事件的高效处理。
本领域技术人员应理解,上面对本发明的实施例的描述的目的仅为了示例性地说明本发明的实施例的有益效果,并不意在将本发明的实施例限制于所给出的任何示例。
以上已经描述了本发明的实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的实施例。在不偏离所说明的实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。