一種網(wǎng)絡(luò)審計(jì)中的事件流轉(zhuǎn)控制方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明實(shí)施例公開(kāi)了一種網(wǎng)絡(luò)審計(jì)中的事件流轉(zhuǎn)控制方法及系統(tǒng)�����,其中方法可包括:事件流轉(zhuǎn)模塊根據(jù)配置信息訂閱網(wǎng)絡(luò)事件����,并調(diào)用功能插件對(duì)所述網(wǎng)絡(luò)事件進(jìn)行處理;所述事件流轉(zhuǎn)模塊在完成所述網(wǎng)絡(luò)事件處理之后�����,發(fā)布所述網(wǎng)絡(luò)事件��,以使其他事件流轉(zhuǎn)模塊訂閱所述網(wǎng)絡(luò)事件���,所述其他事件流轉(zhuǎn)模塊與本事件流轉(zhuǎn)模塊之間存在訂閱關(guān)系����。如此技術(shù)方案能夠?qū)崿F(xiàn)網(wǎng)絡(luò)審計(jì)中對(duì)網(wǎng)絡(luò)事件的并行處理���,提高網(wǎng)絡(luò)事件的處理速度����,并且降低系統(tǒng)資源的消耗。
【專利說(shuō)明】一種網(wǎng)絡(luò)審計(jì)中的事件流轉(zhuǎn)控制方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)審計(jì)領(lǐng)域���,特別是涉及一種網(wǎng)絡(luò)審計(jì)中的事件流轉(zhuǎn)控制方法及系統(tǒng)。
【背景技術(shù)】
[0002]網(wǎng)絡(luò)審計(jì)是指通過(guò)捕獲網(wǎng)絡(luò)數(shù)據(jù)報(bào)文����,解析報(bào)文各層內(nèi)容,最終達(dá)到還原網(wǎng)絡(luò)傳輸內(nèi)容的目的�����。網(wǎng)絡(luò)審計(jì)一般用于規(guī)范員工上網(wǎng)行為����、提高工作效率,防止企業(yè)機(jī)密資料外泄�,威懾違法行為,為企業(yè)提供網(wǎng)絡(luò)安全保障���。
[0003]網(wǎng)絡(luò)審計(jì)系統(tǒng)主要具備審計(jì)功能和事件處理功能����;其中,審計(jì)功能負(fù)責(zé)還原網(wǎng)絡(luò)傳輸內(nèi)容生成網(wǎng)絡(luò)事件����;事件處理功能是通過(guò)若干個(gè)處理網(wǎng)絡(luò)事件的功能點(diǎn)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)事件的加工處理,每個(gè)功能點(diǎn)完成一項(xiàng)或者多項(xiàng)對(duì)事件的加工�����。網(wǎng)絡(luò)事件在一個(gè)功能點(diǎn)被處理后�,被傳送到下一個(gè)功能點(diǎn)進(jìn)行處理的過(guò)程,即為事件流轉(zhuǎn)�����。
[0004]目前�,事件處理功能有以下兩種實(shí)現(xiàn)方式,第一種實(shí)現(xiàn)方式是將所有功能點(diǎn)融合在一個(gè)進(jìn)程中���,將所有功能點(diǎn)編譯在一起并執(zhí)行��。第二種實(shí)現(xiàn)方式是將各個(gè)功能點(diǎn)獨(dú)立模塊化���,每個(gè)模塊是一個(gè)獨(dú)立進(jìn)程�,每個(gè)模塊需要從上一個(gè)功能點(diǎn)模塊接收網(wǎng)絡(luò)事件���,處理之后再將該網(wǎng)絡(luò)事件發(fā)送給下一個(gè)功能點(diǎn)模塊���。
[0005]第一種實(shí)現(xiàn)方式的可擴(kuò)展性差,當(dāng)增加或者減少某個(gè)功能點(diǎn)時(shí)����,需重新編譯程序�����;并且該方式無(wú)法實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)事件的并行處理���。第二種實(shí)現(xiàn)方式在進(jìn)行并行處理時(shí)需要多次拷貝分發(fā)��,多次拷貝分發(fā)就需要多次內(nèi)存分配和回收�����,將消耗大量系統(tǒng)資源��。
【發(fā)明內(nèi)容】
[0006]為了解決上述技術(shù)問(wèn)題����,本發(fā)明提供了一種網(wǎng)絡(luò)審計(jì)中的事件流轉(zhuǎn)控制方法及系統(tǒng),用以實(shí)現(xiàn)網(wǎng)絡(luò)審計(jì)中對(duì)網(wǎng)絡(luò)事件的并行處理�����,提高網(wǎng)絡(luò)事件的處理速度�,并且降低系統(tǒng)資源的消耗。
[0007]為此���,本發(fā)明提供如下技術(shù)方案:
[0008]一種網(wǎng)絡(luò)審計(jì)中的事件流轉(zhuǎn)控制方法�����,所述方法包括:
[0009]事件流轉(zhuǎn)模塊根據(jù)配置信息訂閱網(wǎng)絡(luò)事件��,并調(diào)用功能插件對(duì)所述網(wǎng)絡(luò)事件進(jìn)行處理�;
[0010]所述事件流轉(zhuǎn)模塊在完成所述網(wǎng)絡(luò)事件處理之后����,發(fā)布所述網(wǎng)絡(luò)事件,以使其他事件流轉(zhuǎn)模塊訂閱所述網(wǎng)絡(luò)事件����,所述其他事件流轉(zhuǎn)模塊與本事件流轉(zhuǎn)模塊之間存在訂閱關(guān)系����。
[0011]本發(fā)明還提供一種網(wǎng)絡(luò)審計(jì)中的事件流轉(zhuǎn)控制系統(tǒng)��,所述系統(tǒng)包括:至少一個(gè)事件流轉(zhuǎn)模塊�����;
[0012]所述事件流轉(zhuǎn)模塊包括:
[0013]事件訂閱模塊���,用于根據(jù)配置信息訂閱網(wǎng)絡(luò)事件����;
[0014]事件處理模塊���,用于調(diào)用功能插件對(duì)所訂閱的網(wǎng)絡(luò)事件進(jìn)行處理;[0015]事件發(fā)布模塊�,用于在完成所述網(wǎng)絡(luò)事件處理之后,發(fā)布所述網(wǎng)絡(luò)事件���,以使其他事件流轉(zhuǎn)模塊訂閱所述網(wǎng)絡(luò)事件����,所述其他事件流轉(zhuǎn)模塊與本事件流轉(zhuǎn)模塊之間存在訂閱關(guān)系。
[0016]本發(fā)明實(shí)施例一種網(wǎng)絡(luò)審計(jì)中的事件流轉(zhuǎn)控制方法及系統(tǒng)���,為了達(dá)到網(wǎng)絡(luò)審計(jì)中對(duì)網(wǎng)絡(luò)事件的并行處理��,提高網(wǎng)絡(luò)事件的處理速度��,并且降低系統(tǒng)資源的消耗的目的����,首先�����,事件流轉(zhuǎn)模塊根據(jù)配置信息訂閱網(wǎng)絡(luò)事件��,并調(diào)用功能插件對(duì)所述網(wǎng)絡(luò)事件進(jìn)行處理�;所述功能插件具有處理網(wǎng)絡(luò)事件的功能點(diǎn)所具有的處理功能;通過(guò)調(diào)用功能插件實(shí)現(xiàn)對(duì)事件處理的功能�����,由于功能插件不參與數(shù)據(jù)流轉(zhuǎn)�,各個(gè)功能插件之間彼此獨(dú)立互不影響,因此,當(dāng)功能插件故障后��,并不會(huì)對(duì)其他功能插件造成影響�����,從而避免現(xiàn)有技術(shù)中的一個(gè)功能點(diǎn)失效后��,整個(gè)系統(tǒng)都無(wú)法正常工作的問(wèn)題�。然后,所述事件流轉(zhuǎn)模塊在完成所述網(wǎng)絡(luò)事件處理之后����,發(fā)布所述網(wǎng)絡(luò)事件,以使其他事件流轉(zhuǎn)模塊訂閱所述網(wǎng)絡(luò)事件���,所述其他事件流轉(zhuǎn)模塊與本事件流轉(zhuǎn)模塊之間存在訂閱關(guān)系���。由于網(wǎng)絡(luò)事件流轉(zhuǎn)采用了發(fā)布-訂閱技術(shù)���,使得多個(gè)功能點(diǎn)可同時(shí)接收同一網(wǎng)絡(luò)事件并作處理��,極大的提高了事件的分發(fā)速度和處理速度�����,由于事件處理是在同一個(gè)進(jìn)程中進(jìn)行����,事件分發(fā)時(shí)無(wú)須進(jìn)行事件拷貝,減少了內(nèi)存分配與釋放�����,降低了系統(tǒng)資源的消耗����。
【專利附圖】
【附圖說(shuō)明】
[0017]為了更清楚地說(shuō)明本發(fā)明實(shí)施例中的技術(shù)方案,下面將對(duì)實(shí)施例描述中所需要使用的附圖作簡(jiǎn)單地介紹����,顯而易見(jiàn)地,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例��,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講����,在不付出創(chuàng)造性勞動(dòng)性的前提下,還可以根據(jù)這些附圖獲得其他的附圖����。
[0018]圖1是本發(fā)明實(shí)施例一種網(wǎng)絡(luò)審計(jì)中的事件流轉(zhuǎn)控制方法實(shí)施例1的流程圖�;
[0019]圖2是本發(fā)明實(shí)施例一種網(wǎng)絡(luò)審計(jì)中的事件流轉(zhuǎn)控制系統(tǒng)實(shí)施例1的結(jié)構(gòu)圖�����;
[0020]圖3是本發(fā)明實(shí)施例一種網(wǎng)絡(luò)審計(jì)中的事件流轉(zhuǎn)控制系統(tǒng)實(shí)施例2的結(jié)構(gòu)圖�����。
【具體實(shí)施方式】
[0021]為了使本【技術(shù)領(lǐng)域】的人員更好地理解本發(fā)明方案��,下面結(jié)合附圖和實(shí)施方式對(duì)本發(fā)明實(shí)施例作進(jìn)一步的詳細(xì)說(shuō)明���。
[0022]參閱圖1��,示出的本發(fā)明實(shí)施例一種網(wǎng)絡(luò)審計(jì)中的事件流轉(zhuǎn)控制方法的實(shí)施例1的流程圖��,所述方法可包括:
[0023]步驟101���,事件流轉(zhuǎn)模塊根據(jù)配置信息訂閱網(wǎng)絡(luò)事件,并調(diào)用功能插件對(duì)所述網(wǎng)絡(luò)事件進(jìn)行處理����。
[0024]由于網(wǎng)絡(luò)審計(jì)系統(tǒng)一般包括審計(jì)功能和事件處理功能,而在網(wǎng)絡(luò)審計(jì)中最重要的一個(gè)環(huán)節(jié)是對(duì)網(wǎng)絡(luò)事件的處理�����,因此����,如何實(shí)現(xiàn)事件處理功能是網(wǎng)絡(luò)審計(jì)技術(shù)中最為關(guān)鍵的一個(gè)技術(shù)點(diǎn),而本發(fā)明實(shí)施例是針對(duì)如何實(shí)現(xiàn)事件處理功能提供了一種技術(shù)方案����。
[0025]本步驟的事件流轉(zhuǎn)模塊具有控制功能,調(diào)用的功能插件提供事件處理功能�,所調(diào)用的功能插件具有處理網(wǎng)絡(luò)事件的功能點(diǎn)所具有的處理功能,比如:對(duì)網(wǎng)絡(luò)事件的儲(chǔ)存處理�����、統(tǒng)計(jì)處理���、外發(fā)處理�����、危害分析處理等功能����。
[0026]本步驟的事件流轉(zhuǎn)模塊可從本系統(tǒng)或者其他系統(tǒng)的進(jìn)程處訂閱網(wǎng)絡(luò)事件,具體是根據(jù)本事件流轉(zhuǎn)模塊的配置信息得知應(yīng)該從哪個(gè)進(jìn)程處訂閱網(wǎng)絡(luò)事件�����;所謂訂閱是指一種數(shù)據(jù)接收方式����,事件接收者從事件發(fā)布者處接收事件,稱之為訂閱�,發(fā)布于訂閱成對(duì)使用。
[0027]在實(shí)際應(yīng)用中��,當(dāng)事件流轉(zhuǎn)模塊啟動(dòng)工作時(shí)��,可根據(jù)配置信息得知應(yīng)該加載哪一個(gè)功能插件�����,然后加載對(duì)應(yīng)的功能插件��,在根據(jù)配置信息訂閱網(wǎng)絡(luò)事件��,然后調(diào)用所加載的功能插件對(duì)所訂閱的網(wǎng)絡(luò)事件進(jìn)行處理����。
[0028]步驟102,所述事件流轉(zhuǎn)模塊在完成所述網(wǎng)絡(luò)事件處理之后���,發(fā)布所述網(wǎng)絡(luò)事件�����,以使其他事件流轉(zhuǎn)模塊訂閱所述網(wǎng)絡(luò)事件�,所述其他事件流轉(zhuǎn)模塊與本事件流轉(zhuǎn)模塊之間存在訂閱關(guān)系���。
[0029]在上述步驟101對(duì)網(wǎng)絡(luò)事件處理之后����,事件流轉(zhuǎn)模塊直接發(fā)布所述網(wǎng)絡(luò)事件�;所謂發(fā)布是指一種數(shù)據(jù)分發(fā)方式,具體是指將事件以廣播的形式發(fā)送��,無(wú)論是否有接收者進(jìn)行接收���,都進(jìn)行廣播�����。
[0030]因此�����,為了將網(wǎng)絡(luò)事件流轉(zhuǎn)下去��,以便其他事件流轉(zhuǎn)模塊對(duì)該網(wǎng)絡(luò)事件進(jìn)行處理�,本事件流轉(zhuǎn)模塊在調(diào)用了功能插件實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)事件的處理之后,直接采用發(fā)布-訂閱技術(shù)�,以便其他事件流轉(zhuǎn)模塊訂閱該網(wǎng)絡(luò)事件。對(duì)于事件流轉(zhuǎn)模塊而言���,不關(guān)注所調(diào)用的功能插件的處理情況����,也就是說(shuō)�,不論所調(diào)用的功能插件處理成功或者失敗,或者功能插件出現(xiàn)故障等等��,只要所調(diào)用的功能插件處理完畢�����,則將該網(wǎng)絡(luò)事件進(jìn)行發(fā)布,可見(jiàn):事件流轉(zhuǎn)模塊可不受本模塊所調(diào)用的功能插件處理情況的影響�����,直接發(fā)布網(wǎng)絡(luò)事件��,為訂閱該網(wǎng)絡(luò)數(shù)據(jù)的其他事件流轉(zhuǎn)模塊做好技術(shù)準(zhǔn)備��。
[0031]本發(fā)明實(shí)施例網(wǎng)絡(luò)審計(jì)的事件流轉(zhuǎn)控制方法���,首先,利用事件流轉(zhuǎn)模塊訂閱網(wǎng)絡(luò)事件����,并調(diào)用功能插件對(duì)所訂閱的網(wǎng)絡(luò)事件進(jìn)行處理;所述功能插件具有處理網(wǎng)絡(luò)事件的功能點(diǎn)所具有的處理功能����;通過(guò)調(diào)用功能插件實(shí)現(xiàn)對(duì)事件處理的功能,由于功能插件不參與數(shù)據(jù)流轉(zhuǎn)����,各個(gè)功能插件之間彼此獨(dú)立互不影響,因此��,當(dāng)功能插件故障后���,并不會(huì)對(duì)其他功能插件造成影響���,從而避免現(xiàn)有技術(shù)中的一個(gè)功能點(diǎn)失效后�,整個(gè)系統(tǒng)都無(wú)法正常工作的問(wèn)題�。然后,事件流轉(zhuǎn)模塊在所述網(wǎng)絡(luò)事件處理之后����,發(fā)布所述網(wǎng)絡(luò)事件,以便與本事件流轉(zhuǎn)模塊有訂閱關(guān)系的其他事件流轉(zhuǎn)模塊訂閱所述網(wǎng)絡(luò)事件�。由于網(wǎng)絡(luò)事件流轉(zhuǎn)采用了發(fā)布-訂閱技術(shù),使得多個(gè)功能點(diǎn)可同時(shí)接收同一網(wǎng)絡(luò)事件并作處理����,極大的提高了事件的分發(fā)速度和處理速度,由于事件處理是在同一個(gè)進(jìn)程中進(jìn)行�,事件分發(fā)時(shí)無(wú)須進(jìn)行事件拷貝,減少了內(nèi)存分配與釋放�,降低了系統(tǒng)資源的消耗。
[0032]在網(wǎng)絡(luò)審計(jì)過(guò)程中�����,由于網(wǎng)絡(luò)事件的數(shù)據(jù)量較大,若每次只能對(duì)一個(gè)網(wǎng)絡(luò)事件進(jìn)行處理�����,這樣導(dǎo)致網(wǎng)絡(luò)審計(jì)處理過(guò)程較長(zhǎng)�,同時(shí)也會(huì)耗費(fèi)大量的人力物力。
[0033]基于上述技術(shù)問(wèn)題�,本發(fā)明實(shí)施例還提供了一種優(yōu)選方案。具體是在上述本發(fā)明實(shí)施例1的基礎(chǔ)上�,針對(duì)上述步驟101提供了一種優(yōu)選的實(shí)現(xiàn)方式。
[0034]優(yōu)選的��,事件流轉(zhuǎn)模塊根據(jù)配置信息訂閱網(wǎng)絡(luò)事件�,并調(diào)用功能插件對(duì)所述網(wǎng)絡(luò)事件進(jìn)行處理���,包括:
[0035]步驟1011���,所述事件流轉(zhuǎn)模塊根據(jù)配置信息啟動(dòng)至少兩個(gè)事件處理子任務(wù);
[0036]步驟1012���,所述事件流轉(zhuǎn)模塊選擇一個(gè)事件處理子任務(wù)��,將所訂閱的網(wǎng)絡(luò)事件推送給所選擇的事件處理子任務(wù)��;
[0037]步驟1013����,所選擇的事件處理子任務(wù)調(diào)用功能插件的對(duì)所述網(wǎng)絡(luò)事件進(jìn)行處理。
[0038]為了并行處理多個(gè)網(wǎng)絡(luò)事件�,設(shè)計(jì)配置信息時(shí)就設(shè)置好應(yīng)該啟動(dòng)多少個(gè)事件處理子任務(wù),對(duì)于事件流轉(zhuǎn)模塊而言�����,就根據(jù)自身的配置信息啟動(dòng)多少個(gè)事件處理子任務(wù)��;當(dāng)事件流轉(zhuǎn)模塊接收到一個(gè)網(wǎng)絡(luò)事件時(shí)�����,就考慮要將該網(wǎng)絡(luò)事件推送給哪一個(gè)事件處理子任務(wù)進(jìn)行處理��,因此���,事件流轉(zhuǎn)模塊需要從所啟動(dòng)的所有事件處理子任務(wù)中選擇一個(gè)事件處理子任務(wù)��,該被選擇的事件處理子任務(wù)拉回該網(wǎng)絡(luò)事件��,然后調(diào)用功能插件的對(duì)所述網(wǎng)絡(luò)事件進(jìn)行處理����。當(dāng)事件流轉(zhuǎn)模塊接收到多個(gè)網(wǎng)絡(luò)事件時(shí),則將這些網(wǎng)絡(luò)事件分別推送給多個(gè)事件處理子任務(wù)���,然后����,各事件處理子任務(wù)分別調(diào)用功能插件�,同時(shí)對(duì)這些網(wǎng)絡(luò)事件進(jìn)行處理,因此����,本步驟通過(guò)事件處理子任務(wù)的處理方式就能夠?qū)崿F(xiàn)網(wǎng)絡(luò)事件的并行處理。
[0039]所謂推送是指一種數(shù)據(jù)發(fā)送方式��,發(fā)送者推送事件時(shí)必須有拉回者接收��,否則將阻塞一直等待被接收�����。所謂拉回是指一種數(shù)據(jù)接收方式��,從推送者處接收事件即為拉回���,推送與拉回成對(duì)使用��。
[0040]利用本優(yōu)選方案之后�,當(dāng)事件流轉(zhuǎn)模塊接收到大量的網(wǎng)絡(luò)事件時(shí)���,可通過(guò)多個(gè)事件處理子模塊同時(shí)處理���,以提高網(wǎng)絡(luò)審計(jì)的事件處理速率,減小人力物力資源的耗費(fèi)�。
[0041]為了更快速地對(duì)網(wǎng)絡(luò)事件進(jìn)行處理,本發(fā)明實(shí)施例提供了優(yōu)選方案���,優(yōu)選的�,所述事件流轉(zhuǎn)模塊通過(guò)以下方式選擇一個(gè)事件處理子模塊����,包括:
[0042]通過(guò)負(fù)載均衡算法選擇一個(gè)空閑的事件處理子模塊。
[0043]由于有些功能插件自身可產(chǎn)生新的事件��,而這些新的事件也屬于網(wǎng)絡(luò)審計(jì)所要處理網(wǎng)絡(luò)事件的范疇內(nèi)���,因此�����,為了對(duì)功能插件所產(chǎn)生的新的事件也進(jìn)行處理����,本發(fā)明實(shí)施例還提供了優(yōu)選方案。具體是在上述本發(fā)明實(shí)施例1的基礎(chǔ)上�����,還包括:
[0044]所述事件流轉(zhuǎn)模塊擴(kuò)展所調(diào)用的功能插件的自身事件采集模塊��,以便所述采集模塊所采集的事件被訂閱����。
[0045]當(dāng)然,對(duì)于事件流轉(zhuǎn)模塊而言��,當(dāng)所調(diào)用的功能插件本身具有事件采集模塊時(shí)�����,且該采集模塊可在線程里獨(dú)立運(yùn)行時(shí)��,則當(dāng)調(diào)用該功能插件時(shí)���,啟動(dòng)其自身的采集模塊���,然后將該采集模塊所采集的事件通過(guò)本事件流轉(zhuǎn)模塊發(fā)布出去,這樣就保證了該功能插件自身所采集的事件在整個(gè)審計(jì)系統(tǒng)中得到流轉(zhuǎn)����。
[0046]對(duì)于本發(fā)明事件流轉(zhuǎn)模塊而言,還可根據(jù)配置信息決定是否所訂閱的網(wǎng)絡(luò)事件推送給所調(diào)用的功能插件進(jìn)行處理����,也可決定是否將處理后的網(wǎng)絡(luò)事件進(jìn)行發(fā)布。也就是說(shuō)����,在配置信息中可規(guī)定哪些網(wǎng)絡(luò)事件只是需要接收而不需要功能插件進(jìn)行處理,哪些網(wǎng)絡(luò)事件只需要本事件流轉(zhuǎn)模塊調(diào)用功能插件進(jìn)行處理�����,而不需要將其發(fā)布出去���。
[0047]另外�,由于事件流轉(zhuǎn)模塊所調(diào)用的功能插件在對(duì)網(wǎng)絡(luò)事件進(jìn)行處理后�����,可能會(huì)產(chǎn)生新的事件,比如告警事件等��,那么�,事件流轉(zhuǎn)模塊不僅可向外發(fā)布本事件流轉(zhuǎn)模塊處理的網(wǎng)絡(luò)事件,也可向外發(fā)布經(jīng)所調(diào)用的功能插件處理后產(chǎn)生新的事件���,如告警事件等�����。則新產(chǎn)生的事件經(jīng)由事件流轉(zhuǎn)模塊向外發(fā)布后�,就與其他網(wǎng)絡(luò)事件一樣了�����,可被其他事件流轉(zhuǎn)模塊所調(diào)用的功能插件訂閱�、處理和發(fā)布了。
[0048]在實(shí)際網(wǎng)絡(luò)審計(jì)過(guò)程中�����,有時(shí)需要監(jiān)測(cè)所處理的網(wǎng)絡(luò)事件個(gè)數(shù)���,或者監(jiān)測(cè)當(dāng)前網(wǎng)絡(luò)事件處理的狀態(tài)等��,了解網(wǎng)絡(luò)審計(jì)的網(wǎng)絡(luò)事件處理情況��,基于此技術(shù)問(wèn)題�,本發(fā)明還提供了優(yōu)選方案�。具體是在上述本發(fā)明實(shí)施例1的基礎(chǔ)上,所述方法還包括:
[0049]所述事件流轉(zhuǎn)模塊向控制模塊發(fā)送注冊(cè)信息��;
[0050]所述事件流轉(zhuǎn)模塊接收所述控制模塊推送的消息����,所述消息包括:控制消息、策略消息�����、命令消息任意一種或者多種�����;[0051 ] 所述事件流轉(zhuǎn)模塊依據(jù)所述消息執(zhí)行對(duì)應(yīng)的操作�。
[0052]事件流轉(zhuǎn)模塊可在啟動(dòng)時(shí)向控制模塊發(fā)送注冊(cè)信息,所謂注冊(cè)信息包括本事件流轉(zhuǎn)模塊的名稱標(biāo)識(shí)和功能標(biāo)識(shí)。則控制模塊可通過(guò)事件流轉(zhuǎn)模塊的注冊(cè)信息實(shí)現(xiàn)與事件流轉(zhuǎn)模塊的信息互通�����,以實(shí)現(xiàn)監(jiān)控該事件流轉(zhuǎn)模塊的目的���。
[0053]當(dāng)網(wǎng)絡(luò)審計(jì)處理過(guò)程中需要監(jiān)控網(wǎng)絡(luò)事件的處理狀態(tài)時(shí)�,則控制模塊可采用推送-來(lái)回技術(shù)�,根據(jù)注冊(cè)信息向?qū)?yīng)的事件流轉(zhuǎn)模塊推送消息。該消息的可包括:控制消息����、策略消息、命令消息任意一種或者多種�����;
[0054]控制消息可包括:控制事件流轉(zhuǎn)模塊的停止或者啟動(dòng)的控制信息��。
[0055]策略消息可包括:事件過(guò)濾器策略或事件丟棄策略等信息
[0056]命令消息可包括:事件流轉(zhuǎn)模塊狀態(tài)的查詢或事件處理個(gè)數(shù)查詢等信息�。
[0057]若控制模塊推送的是命令消息,則控制模塊在事件流轉(zhuǎn)模塊接收消息并處理后�,還需從事件流轉(zhuǎn)模塊將響應(yīng)信息拉回。對(duì)于事件流轉(zhuǎn)模塊而言�����,當(dāng)從控制模塊處接收到消息后,根據(jù)消息的具體內(nèi)容����,做出對(duì)應(yīng)的操作��,比如:若接收到的消息是控制消息標(biāo)識(shí)停止�����,事件流轉(zhuǎn)模塊則停止工作���。若接收到的是策略消息包括事件丟棄策略����,則事件流轉(zhuǎn)模塊丟棄當(dāng)前接收到的網(wǎng)絡(luò)事件����。
[0058]本發(fā)明實(shí)施例提供一種網(wǎng)絡(luò)審計(jì)中的事件流轉(zhuǎn)控制系統(tǒng)。
[0059]參閱圖2�,示出的本發(fā)明實(shí)施例一種網(wǎng)絡(luò)審計(jì)中的事件流轉(zhuǎn)控制系統(tǒng)實(shí)施例1的結(jié)構(gòu)圖,該系統(tǒng)可包括:
[0060]至少一個(gè)事件流轉(zhuǎn)模塊���;所述事件流轉(zhuǎn)模塊包括:
[0061]事件訂閱模塊��,用于根據(jù)配置信息訂閱網(wǎng)絡(luò)事件�;
[0062]事件處理模塊,用于調(diào)用功能插件對(duì)所訂閱的網(wǎng)絡(luò)事件進(jìn)行處理����;所述功能插件具有處理網(wǎng)絡(luò)事件的功能點(diǎn)所具有的處理功能;
[0063]事件發(fā)布模塊�,用于在完成所述網(wǎng)絡(luò)事件處理之后,發(fā)布所述網(wǎng)絡(luò)事件�,以使其他事件流轉(zhuǎn)模塊訂閱所述網(wǎng)絡(luò)事件,所述其他流轉(zhuǎn)模塊與本事件流轉(zhuǎn)模塊之間存在訂閱關(guān)系O
[0064]所述事件訂閱模塊�,實(shí)質(zhì)上是根據(jù)本事件流轉(zhuǎn)模塊的配置信息,從訂閱源處訂閱網(wǎng)絡(luò)事件��,所謂訂閱源可以是系統(tǒng)中的其他進(jìn)程�,或者其他事件訂閱模塊,或者其他系統(tǒng)的進(jìn)程等��。在事件流轉(zhuǎn)模塊的配置信息中預(yù)先規(guī)定了本事件流轉(zhuǎn)模塊應(yīng)該加載并調(diào)用的功能插件����,同時(shí)也規(guī)定了本事件流轉(zhuǎn)模塊與其他事件流轉(zhuǎn)模塊之間的訂閱關(guān)系,一般情況下��,啟動(dòng)該功能插件所在的事件流轉(zhuǎn)模塊時(shí),需要先啟動(dòng)其訂閱的事件流轉(zhuǎn)模塊���。依次遞歸����,啟動(dòng)系統(tǒng)中所有事件流轉(zhuǎn)模塊��。事件流轉(zhuǎn)模塊在加載功能插件時(shí)����,調(diào)用功能插件的初始化接口對(duì)功能插件進(jìn)行初始化��。
[0065]事件流轉(zhuǎn)控制系統(tǒng)中的各個(gè)事件流轉(zhuǎn)模塊是利用彼此之間的訂閱關(guān)系而相互通信連接的�����,在實(shí)際應(yīng)用中�����,可根據(jù)改變配置信息以使事件流轉(zhuǎn)模塊調(diào)用不同的功能模塊實(shí)現(xiàn)不同的處理功能����,因此�����,事件流轉(zhuǎn)模塊實(shí)質(zhì)上是通過(guò)訂閱���、發(fā)布網(wǎng)絡(luò)事件的方式實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)事件的流轉(zhuǎn)控制功能,并通過(guò)調(diào)用功能插件實(shí)現(xiàn)網(wǎng)絡(luò)事件處理功能�。
[0066]本發(fā)明實(shí)施例網(wǎng)絡(luò)審計(jì)的事件流轉(zhuǎn)控制系統(tǒng),利用事件流轉(zhuǎn)模塊訂閱網(wǎng)絡(luò)事件��,并調(diào)用功能插件對(duì)所訂閱的網(wǎng)絡(luò)事件進(jìn)行處理���;所述功能插件具有處理網(wǎng)絡(luò)事件的功能點(diǎn)所具有的處理功能�����;通過(guò)調(diào)用功能插件實(shí)現(xiàn)對(duì)事件處理的功能�����,由于功能插件不參與數(shù)據(jù)流轉(zhuǎn)�,各個(gè)功能插件之間彼此獨(dú)立互不影響�,因此,當(dāng)功能插件故障后�,并不會(huì)對(duì)其他功能插件造成影響�,從而避免現(xiàn)有技術(shù)中的一個(gè)功能點(diǎn)失效后�,整個(gè)系統(tǒng)都無(wú)法正常工作的問(wèn)題。然后�,事件流轉(zhuǎn)模塊在所述網(wǎng)絡(luò)事件處理之后,發(fā)布所述網(wǎng)絡(luò)事件�,以便與本事件流轉(zhuǎn)模塊有訂閱關(guān)系的其他事件流轉(zhuǎn)模塊訂閱所述網(wǎng)絡(luò)事件。由于網(wǎng)絡(luò)事件流轉(zhuǎn)采用了發(fā)布-訂閱技術(shù)���,使得多個(gè)功能點(diǎn)可同時(shí)接收同一網(wǎng)絡(luò)事件并作處理���,極大的提高了事件的分發(fā)速度和處理速度�,由于事件處理是在同一個(gè)進(jìn)程中進(jìn)行,事件分發(fā)時(shí)無(wú)須進(jìn)行事件拷貝����,減少了內(nèi)存分配與釋放,降低了系統(tǒng)資源的消耗���。
[0067]當(dāng)網(wǎng)絡(luò)事件數(shù)據(jù)量較大時(shí)���,為了更快的對(duì)這些網(wǎng)絡(luò)事件進(jìn)行處理,本發(fā)明實(shí)施例提供優(yōu)選方案��,優(yōu)選的,所述事件處理模塊����,包括:
[0068]啟動(dòng)子模塊,用于根據(jù)配置信息啟動(dòng)至少兩個(gè)事件處理子任務(wù)�����;
[0069]選擇子模塊��,用于選擇任一個(gè)事件處理子任務(wù)����,將所訂閱的網(wǎng)絡(luò)事件推送給所選擇的事件處理子任務(wù);
[0070]事件處理子模塊���,用于調(diào)用功能插件對(duì)所選擇的事件處理子任務(wù)所拉回的所述網(wǎng)絡(luò)事件進(jìn)行處理�����。
[0071]為了更好地為網(wǎng)絡(luò)事件分配處理子任務(wù)���,本發(fā)明實(shí)施例提供有效方案,優(yōu)選的��,所述選擇子模塊,具體用于通過(guò)負(fù)載均衡算法選擇一個(gè)空閑的事件處理子任務(wù)��,將所訂閱的網(wǎng)絡(luò)事件推送給所選擇的事件處理子模塊�����。
[0072]優(yōu)選的��,所述事件流轉(zhuǎn)模塊還包括:
[0073]擴(kuò)展模塊���,用于擴(kuò)展本事件流轉(zhuǎn)模塊所調(diào)用的功能插件的自身事件采集模塊�����,以便所述采集模塊所采集的事件被訂閱���。
[0074]為了更好地監(jiān)控整個(gè)審計(jì)過(guò)程中網(wǎng)絡(luò)事件的處理情況�,本發(fā)明實(shí)施例提供了優(yōu)選方案,具體參閱圖3����,示出的本發(fā)明實(shí)施例一種網(wǎng)絡(luò)審計(jì)中的網(wǎng)絡(luò)事件流轉(zhuǎn)控制系統(tǒng)的實(shí)施例2的流程圖,該系統(tǒng)可包括:
[0075]至少一個(gè)事件流轉(zhuǎn)模塊�;所述事件流轉(zhuǎn)模塊包括:
[0076]事件訂閱模塊����,用于訂閱網(wǎng)絡(luò)事件����;
[0077]事件處理模塊,用于調(diào)用功能插件對(duì)所訂閱的網(wǎng)絡(luò)事件進(jìn)行處理�����;所述功能插件具有處理網(wǎng)絡(luò)事件的功能點(diǎn)所具有的處理功能���;
[0078]事件發(fā)布模塊�����,用于在所述網(wǎng)絡(luò)事件處理之后����,發(fā)布所述網(wǎng)絡(luò)事件����,以便與本事件流轉(zhuǎn)模塊所調(diào)用的功能插件有訂閱關(guān)系的其他功能插件所在的事件流轉(zhuǎn)模塊訂閱所述網(wǎng)絡(luò)事件。
[0079]控制模塊,用于接收所述事件流轉(zhuǎn)模塊發(fā)送的注冊(cè)信息����,并根據(jù)所述注冊(cè)信息向所述事件流轉(zhuǎn)模塊推送消息,所述消息包括:控制消息����、策略消息、命令消息任意一種或者多種����;
[0080]所述事件流轉(zhuǎn)模塊,根據(jù)所接收的消息內(nèi)容執(zhí)行對(duì)應(yīng)的操作��。
[0081]利用本發(fā)明優(yōu)選方案之后�����,不僅能夠達(dá)到網(wǎng)絡(luò)審計(jì)中對(duì)網(wǎng)絡(luò)事件的并行處理����,提高網(wǎng)絡(luò)事件的處理速度,降低系統(tǒng)資源的消耗的目的�����,還可利用控制模塊通過(guò)推送-拉回技術(shù)��,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)審計(jì)過(guò)程中網(wǎng)絡(luò)事件的處理情況的監(jiān)控����。
[0082]需要說(shuō)明的是,本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例方法中的全部或部分流程�,是可以通過(guò)計(jì)算機(jī)程序來(lái)指令處理器來(lái)完成,所述的程序可存儲(chǔ)于計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中�,該程序在執(zhí)行時(shí),可包括如上述各方法的實(shí)施例的流程��。其中����,所述的存儲(chǔ)介質(zhì)可為磁碟、光盤����、只讀存儲(chǔ)器(Read-Only Memory, ROM)或隨機(jī)存取存儲(chǔ)器(Random-Access Memory, RAM)等。
[0083]需要說(shuō)明的是���,本說(shuō)明書(shū)中的各個(gè)實(shí)施例均采用遞進(jìn)的方式描述����,各個(gè)實(shí)施例之間相同相似的部分互相參見(jiàn)即可,每個(gè)實(shí)施例重點(diǎn)說(shuō)明的都是與其他實(shí)施例的不同之處��。尤其����,對(duì)于設(shè)備及系統(tǒng)實(shí)施例而言,由于其基本相似于方法實(shí)施例��,所以描述得比較簡(jiǎn)單���,相關(guān)之處參見(jiàn)方法實(shí)施例的部分說(shuō)明即可��。以上所描述的設(shè)備及系統(tǒng)實(shí)施例僅僅是示意性的��,其中作為分離部件說(shuō)明的單元可以是或者也可以不是物理上分開(kāi)的�,作為單元顯示的部件可以是或者也可以不是物理單元�,即可以位于一個(gè)地方,或者也可以分布到多個(gè)網(wǎng)絡(luò)單元上����。可以根據(jù)實(shí)際的需要選擇其中的部分或者全部模塊來(lái)實(shí)現(xiàn)本實(shí)施例方案的目的����。本領(lǐng)域普通技術(shù)人員在不付出創(chuàng)造性勞動(dòng)的情況下����,即可以理解并實(shí)施����。
[0084]以上對(duì)本發(fā)明所提供的網(wǎng)絡(luò)審計(jì)的網(wǎng)絡(luò)事件流轉(zhuǎn)控制方法及系統(tǒng)進(jìn)行了詳細(xì)介紹����,本文中應(yīng)用了具體實(shí)施例對(duì)本發(fā)明的原理及實(shí)施方式進(jìn)行了闡述,以上實(shí)施例的說(shuō)明只是用于幫助理解本發(fā)明的方法����;同時(shí),對(duì)于本領(lǐng)域的一般技術(shù)人員��,依據(jù)本發(fā)明�,在【具體實(shí)施方式】及應(yīng)用范圍上均會(huì)有改變之處,綜上所述�,本說(shuō)明書(shū)內(nèi)容不應(yīng)理解為對(duì)本發(fā)明的限制。
【權(quán)利要求】
1.一種網(wǎng)絡(luò)審計(jì)中的事件流轉(zhuǎn)控制方法��,其特征在于��,所述方法包括: 事件流轉(zhuǎn)模塊根據(jù)配置信息訂閱網(wǎng)絡(luò)事件��,并調(diào)用功能插件對(duì)所述網(wǎng)絡(luò)事件進(jìn)行處理; 所述事件流轉(zhuǎn)模塊在完成所述網(wǎng)絡(luò)事件處理之后��,發(fā)布所述網(wǎng)絡(luò)事件��,以使其他事件流轉(zhuǎn)模塊訂閱所述網(wǎng)絡(luò)事件����,所述其他事件流轉(zhuǎn)模塊與本事件流轉(zhuǎn)模塊之間存在訂閱關(guān)系O
2.根據(jù)權(quán)利要求1所述的方法,其特征在于�,所述事件流轉(zhuǎn)模塊根據(jù)配置信息訂閱網(wǎng)絡(luò)事件,并調(diào)用功能插件對(duì)所述網(wǎng)絡(luò)事件進(jìn)行處理����,包括: 所述事件流轉(zhuǎn)模塊根據(jù)配置信息啟動(dòng)至少兩個(gè)事件處理子任務(wù); 所述事件流轉(zhuǎn)模塊選擇一個(gè)事件處理子任務(wù)��,將所訂閱的網(wǎng)絡(luò)事件推送給所選擇的事件處理子任務(wù)���; 所選擇的事件處理子任務(wù)調(diào)用功能插件的對(duì)所述網(wǎng)絡(luò)事件進(jìn)行處理�。
3.根據(jù)權(quán)利要求2所述的方法�����,其特征在于����,所述事件流轉(zhuǎn)模塊通過(guò)以下方式選擇一個(gè)事件處理子任務(wù)�����,包括: 通過(guò)負(fù)載均衡算法選擇一個(gè)空閑的事件處理子任務(wù)。
4.根據(jù)權(quán)利 要求1所述的方法���,其特征在于�����,所述方法還包括: 所述事件流轉(zhuǎn)模塊擴(kuò)展所調(diào)用的功能插件的自身事件采集模塊���,以便所述采集模塊所采集的事件被訂閱。
5.根據(jù)權(quán)利要求1至4任一項(xiàng)所述的方法���,其特征在于���,所述方法還包括: 所述事件流轉(zhuǎn)模塊向控制模塊發(fā)送注冊(cè)信息; 所述事件流轉(zhuǎn)模塊接收所述控制模塊推送的消息�,所述消息包括:控制消息、策略消息���、命令消息任意一種或者多種���; 所述事件流轉(zhuǎn)模塊依據(jù)所述消息執(zhí)行對(duì)應(yīng)的操作��。
6.一種網(wǎng)絡(luò)審計(jì)中的事件流轉(zhuǎn)控制系統(tǒng)�,其特征在于�����,所述系統(tǒng)包括:至少一個(gè)事件流轉(zhuǎn)模塊��; 所述事件流轉(zhuǎn)模塊包括: 事件訂閱模塊�����,用于根據(jù)配置信息訂閱網(wǎng)絡(luò)事件�; 事件處理模塊,用于調(diào)用功能插件對(duì)所訂閱的網(wǎng)絡(luò)事件進(jìn)行處理���; 事件發(fā)布模塊��,用于在完成所述網(wǎng)絡(luò)事件處理之后���,發(fā)布所述網(wǎng)絡(luò)事件��,以使其他事件流轉(zhuǎn)模塊訂閱所述網(wǎng)絡(luò)事件�����,所述其他事件流轉(zhuǎn)模塊與本事件流轉(zhuǎn)模塊之間存在訂閱關(guān)系O
7.根據(jù)權(quán)利要求6所述的系統(tǒng)�����,其特征在于,所述事件處理模塊�,包括: 啟動(dòng)子模塊,用于根據(jù)配置信息啟動(dòng)至少兩個(gè)事件處理子任務(wù)��; 選擇子模塊���,用于選擇任一個(gè)事件處理子任務(wù)�,將所訂閱的網(wǎng)絡(luò)事件推送給所選擇的事件處理子任務(wù)����; 事件處理子模塊,用于調(diào)用功能插件對(duì)所選擇的事件處理子任務(wù)所拉回的所述網(wǎng)絡(luò)事件進(jìn)行處理��。
8.根據(jù)權(quán)利要求7所述的系統(tǒng)���,其特征在于�, 所述選擇子模塊,具體用于通過(guò)負(fù)載均衡算法選擇一個(gè)空閑的事件處理子任務(wù)����,將所訂閱的網(wǎng)絡(luò)事件推送給所選擇的事件處理子任務(wù)。
9.根據(jù)權(quán)利要求6所述的系統(tǒng)��,其特征在于���,所述事件流轉(zhuǎn)模塊還包括: 擴(kuò)展模塊�����,用于擴(kuò)展本事件流轉(zhuǎn)模塊所調(diào)用的功能插件的自身事件采集模塊��,以便所述采集模塊所采集的事件被訂閱����。
10.根據(jù)權(quán)利要求6至9任一項(xiàng)所述的系統(tǒng)�,其特征在于,還包括: 控制模塊���,用于接收所述事件流轉(zhuǎn)模塊發(fā)送的注冊(cè)信息�����,并根據(jù)所述注冊(cè)信息向所述事件流轉(zhuǎn)模塊推送消息���,所述消息包括:控制消息����、策略消息����、命令消息任意一種或者多種; 則所述事件流轉(zhuǎn)模塊����,還用 于根據(jù)所接收的消息內(nèi)容執(zhí)行對(duì)應(yīng)的操作��。
【文檔編號(hào)】H04L12/26GK103780678SQ201310741884
【公開(kāi)日】2014年5月7日 申請(qǐng)日期:2013年12月27日 優(yōu)先權(quán)日:2013年12月27日
【發(fā)明者】劉勇 申請(qǐng)人:北京天融信軟件有限公司, 北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司, 北京天融信科技有限公司