程510首先從查詢服務器聽取注冊請求。此后，在步驟520中，查詢服務器注冊過程510接收一組標識注冊查詢服務器600能力的標簽(鍵/值對)。
[0059]在步驟525中，查詢服務器注冊過程510為注冊創(chuàng)建標識符并將標簽映射至這個新的標識符。在步驟530中，在哈希表中用標簽作為鍵存儲關(guān)聯(lián)的信息。在步驟535中，實施測試以確定到注冊的查詢服務器的連接是否關(guān)閉。如果在步驟535中確定到注冊的查詢服務器的聯(lián)機關(guān)閉，就在步驟540中移除標識信息并返回在步驟515中的傾聽狀態(tài)。
[0060]但是，如果在步驟535中到注冊的查詢服務器的連接沒有關(guān)閉，就前往步驟515中的傾聽狀態(tài)。
[0061]圖5B是描述了采用本發(fā)明方面的查詢服務器發(fā)現(xiàn)過程510的示范性實現(xiàn)的流程圖。如圖5B中所示的，在步驟560中，客戶機查詢服務器發(fā)現(xiàn)過程550首先等候客戶機請求。在步驟565中，客戶機查詢服務器發(fā)現(xiàn)過程550從客戶機接收標簽(鍵/值對)然后在步驟570中使用所提供的鍵在哈希表中查找所有查詢服務器標識符。
[0062]然后在步驟575中，該客戶機查詢服務器發(fā)現(xiàn)過程550確定滿足所有標簽的所有查詢服務器標識符的交集I，并在步驟580中返回標識符的集合I至客戶機。程序控制然后返回至傾聽步驟560。
[0063]杳詢服備器
[0064]該示范性的FCCE提供支持多種方式訪問該所得到知識的查詢接口。該注冊服務(RS) 500能被用于查找存儲感興趣的特征的根收集器300。此外，查詢服務器600能被用于查詢相應的特征庫400，使用具體特征類型和關(guān)鍵詞作為查詢謂詞；進而，用戶能使用訂閱服務器700向特定的抽取器/收集器(如通過注冊服務所路由的)訂閱興趣的相關(guān)特征類型。
[0065]查詢服務器600提供對特征庫400中特征的訪問，這允許分析人員使用特征類型(特征識別符)和查詢鍵作為查詢謂詞(query predicates)來查找該特征存儲庫400。該查詢服務器600能提供指示感興趣的特征的類型的特征標識符，以及一個或多個查詢鍵。每個查詢鍵與特征識別符相合并，并使用與在創(chuàng)建已編碼的鍵的組[K]抽取步驟中所用的相同的編碼格式來編碼。對于[K]中的每個已編碼的鍵，使用查找來查詢該鍵/值數(shù)據(jù)庫。如果查找失敗，就或者什么都不做，或者將該失敗的鍵與查找失敗的指示一起發(fā)出。否則，對于所獲取的記錄中的每個值，解碼編碼的{TS，V}并發(fā)出K+ITS，V}。
[0066]圖6是描述了采用本發(fā)明方面的查詢服務器過程600的示范性實現(xiàn)的流程圖。如圖6所示，當查詢服務器600開始時，在步驟605中，用該注冊服務器500注冊支持的鍵/值對。然后在步驟610中，該查詢服務器600等待客戶機請求并接收鍵。
[0067]然后，在步驟615中，查詢服務器600使用讀過程480 (圖4C)從特征庫400獲取所有匹配該接收到的鍵的值，并且在步驟620中，發(fā)送該獲取的鍵/值對至該客戶機。然后，該查詢服務器600返回至等待狀態(tài)610。
[0068]同位于根收集器節(jié)點300的查詢服務器600，維護提供關(guān)于什么數(shù)據(jù)位于它們的特征庫400的更高級的鍵控(keying)信息的注冊。例如，查詢服務器600可能注冊為特征存儲等級(fs)，為2012/04/01至2012/04/02之間的數(shù)據(jù)范圍提供特征IPByNameDate，其中兩個不同的查詢服務器600(位于節(jié)點10.10.0.6和10.10.0.7)為相同的日期提供特征。
[0069]’ class = fs,feature = IPByNameDatej date = 20120401，
[0070]address = 10.10.0.6，port = 12345，
[0071]’ class = fs, feature = IPByNameDatej date = 20120401，
[0072]address = 10.10.0.7，port = 12345，
[0073]’ class = fs, feature = IPByNameDatej date = 20120402，
[0074]address = 10.10.0.7，port = 12345，
[0075]查詢接口通過在該注冊服務器500請求’class = fs, feature = IPByNameDate’，能夠定位所有提供具有名字IPByNameDate的特征的查詢服務器600。這個查詢會返回兩個注冊的查詢服務器60(L如果只期望來自日期2012/04/02的信息，該查詢服務器會請求
[0076]’ class = fs, feature = IPByNameDatej date = 20120402’
[0077]然后，該查詢接口把該查詢直接發(fā)送到由IP地址和端口號標識的結(jié)果查詢服務器600的集合。當該注冊服務器500提供非常高性能的服務時，在實踐中，該查詢服務會緩存查找并且不必為每個將被執(zhí)行的查詢實施注冊查找。
[0078]訂閱服務器
[0079]該示范性注冊服務器700包括新的客戶機/模式訂閱過程710以及新的匹配特征流過程750，下面將結(jié)合圖7A和7B來討論。
[0080]圖7A是描述了采用本發(fā)明方面的新的客戶機/模式訂閱過程710的示范性實現(xiàn)的流程圖。如圖7A所示，該示范性的新的客戶機/模式訂閱過程710 —開始在步驟715從客戶機傾聽和接收鍵匹配模式(KMP)。
[0081]然后，該新的客戶機/模式訂閱過程710在步驟720中用特征庫400注冊鍵匹配模式，以及在步驟725中，在訂閱者列表中存儲該客戶機/匹配模式。
[0082]在步驟730中，當該新的客戶機/模式訂閱過程710探測客戶機斷開，就在步驟735中從該訂閱列表中移除該客戶機。
[0083]如果在步驟740中，該新的客戶機/模式訂閱過程710探測沒有其它具有KMP的客戶機連接，該新的客戶機/模式訂閱過程710就在步驟745中從該特征庫400中注銷該KMP。然后，程序控制返回至傾聽步驟715。
[0084]圖7B是描述了采用本發(fā)明方面的新的匹配特征流處理過程750的示范性實現(xiàn)的流程圖。如圖7B所示，該示范性的新的匹配特征流處理過程750 —開始在步驟760為注冊的匹配模式從特征庫400中接收新的特征。然后該新的匹配特征流處理過程710在步驟765中查找其匹配模式符合該新的特征的客戶機，并且在步驟770中轉(zhuǎn)發(fā)該新特征至為新接收到的特征提交匹配模式的客戶機。然后程序控制返回至步驟755。
[0085]圖8示出了根據(jù)本發(fā)明的方面的安全威脅的示范性分析800。該示范性分析800從不同位置、數(shù)據(jù)源以及時間期間自動的抽取相關(guān)事件。
[0086]網(wǎng)絡安全攻擊正變得更加的復雜，為了檢測或調(diào)查他們，需要分析大量各種不同的數(shù)據(jù)。對事件及時響應需要幾乎實時的數(shù)據(jù)分析，而調(diào)查研究則需要訪問跨越大時間窗口的歷史數(shù)據(jù)。
[0087]在10-1至810-5五個階段8，該示范性分析800分析已知的惡意或可疑的外部機器(假設其完全合格域名(Fully Qualified Domain Name)為805)的影響范圍，由此將一個相關(guān)階段810-1的輸出作為輸入輸送給下一階段810-1+l。在階段810-1，示范性分析800查找所有與所調(diào)查的外部機器的外部域名805相關(guān)的IP地址。此后，該分析800擴展與可疑外部基礎設施相關(guān)的知識。
[0088]在階段810-2，該示范性分析800查找對任何這些IP地址的所有其它歷史的或?qū)崟r的名字解析。這會將我們的知識從已經(jīng)被匯報為托管惡意行為(例如，通過黑名單或外部調(diào)查報告)的單個系統(tǒng)或在本地檢測到是惡意行為源(例如，通過僵尸網(wǎng)絡分析)的單個系統(tǒng)擴展至與該系統(tǒng)有關(guān)的更大的網(wǎng)絡基礎設施。
[0089]在階段810-3，該示范性分析800在該調(diào)查時間期間(例如一個月)查找對于任何這些名字已返回的IP地址。此時，該分析已經(jīng)擴展了可能與該事件相關(guān)的外部基礎設施的知識，并已經(jīng)看了以變化的輸入在這個時間期間收集的DNS數(shù)據(jù)三遍；這是一個難以并行化的操作。
[0090]該分析800然后分析受影響的