一種網(wǎng)絡(luò)審計中的事件流轉(zhuǎn)控制方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明實施例公開了一種網(wǎng)絡(luò)審計中的事件流轉(zhuǎn)控制方法及系統(tǒng)��,其中方法可包括:事件流轉(zhuǎn)模塊根據(jù)配置信息訂閱網(wǎng)絡(luò)事件���,并調(diào)用功能插件對所述網(wǎng)絡(luò)事件進行處理���;所述事件流轉(zhuǎn)模塊在完成所述網(wǎng)絡(luò)事件處理之后,發(fā)布所述網(wǎng)絡(luò)事件�����,以使其他事件流轉(zhuǎn)模塊訂閱所述網(wǎng)絡(luò)事件�,所述其他事件流轉(zhuǎn)模塊與本事件流轉(zhuǎn)模塊之間存在訂閱關(guān)系。如此技術(shù)方案能夠?qū)崿F(xiàn)網(wǎng)絡(luò)審計中對網(wǎng)絡(luò)事件的并行處理�,提高網(wǎng)絡(luò)事件的處理速度,并且降低系統(tǒng)資源的消耗�����。
【專利說明】一種網(wǎng)絡(luò)審計中的事件流轉(zhuǎn)控制方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)審計領(lǐng)域,特別是涉及一種網(wǎng)絡(luò)審計中的事件流轉(zhuǎn)控制方法及系統(tǒng)���。
【背景技術(shù)】
[0002]網(wǎng)絡(luò)審計是指通過捕獲網(wǎng)絡(luò)數(shù)據(jù)報文����,解析報文各層內(nèi)容����,最終達到還原網(wǎng)絡(luò)傳輸內(nèi)容的目的。網(wǎng)絡(luò)審計一般用于規(guī)范員工上網(wǎng)行為�����、提高工作效率�,防止企業(yè)機密資料外泄��,威懾違法行為��,為企業(yè)提供網(wǎng)絡(luò)安全保障����。
[0003]網(wǎng)絡(luò)審計系統(tǒng)主要具備審計功能和事件處理功能�;其中����,審計功能負(fù)責(zé)還原網(wǎng)絡(luò)傳輸內(nèi)容生成網(wǎng)絡(luò)事件;事件處理功能是通過若干個處理網(wǎng)絡(luò)事件的功能點實現(xiàn)對網(wǎng)絡(luò)事件的加工處理�,每個功能點完成一項或者多項對事件的加工。網(wǎng)絡(luò)事件在一個功能點被處理后�����,被傳送到下一個功能點進行處理的過程�����,即為事件流轉(zhuǎn)��。
[0004]目前�����,事件處理功能有以下兩種實現(xiàn)方式�,第一種實現(xiàn)方式是將所有功能點融合在一個進程中,將所有功能點編譯在一起并執(zhí)行��。第二種實現(xiàn)方式是將各個功能點獨立模塊化����,每個模塊是一個獨立進程���,每個模塊需要從上一個功能點模塊接收網(wǎng)絡(luò)事件,處理之后再將該網(wǎng)絡(luò)事件發(fā)送給下一個功能點模塊��。
[0005]第一種實現(xiàn)方式的可擴展性差�,當(dāng)增加或者減少某個功能點時,需重新編譯程序��;并且該方式無法實現(xiàn)對網(wǎng)絡(luò)事件的并行處理�����。第二種實現(xiàn)方式在進行并行處理時需要多次拷貝分發(fā)���,多次拷貝分發(fā)就需要多次內(nèi)存分配和回收����,將消耗大量系統(tǒng)資源�����。
【發(fā)明內(nèi)容】
[0006]為了解決上述技術(shù)問題�����,本發(fā)明提供了一種網(wǎng)絡(luò)審計中的事件流轉(zhuǎn)控制方法及系統(tǒng)��,用以實現(xiàn)網(wǎng)絡(luò)審計中對網(wǎng)絡(luò)事件的并行處理�����,提高網(wǎng)絡(luò)事件的處理速度���,并且降低系統(tǒng)資源的消耗���。
[0007]為此,本發(fā)明提供如下技術(shù)方案:
[0008]一種網(wǎng)絡(luò)審計中的事件流轉(zhuǎn)控制方法���,所述方法包括:
[0009]事件流轉(zhuǎn)模塊根據(jù)配置信息訂閱網(wǎng)絡(luò)事件����,并調(diào)用功能插件對所述網(wǎng)絡(luò)事件進行處理�����;
[0010]所述事件流轉(zhuǎn)模塊在完成所述網(wǎng)絡(luò)事件處理之后����,發(fā)布所述網(wǎng)絡(luò)事件�,以使其他事件流轉(zhuǎn)模塊訂閱所述網(wǎng)絡(luò)事件����,所述其他事件流轉(zhuǎn)模塊與本事件流轉(zhuǎn)模塊之間存在訂閱關(guān)系。
[0011]本發(fā)明還提供一種網(wǎng)絡(luò)審計中的事件流轉(zhuǎn)控制系統(tǒng)���,所述系統(tǒng)包括:至少一個事件流轉(zhuǎn)模塊�����;
[0012]所述事件流轉(zhuǎn)模塊包括:
[0013]事件訂閱模塊����,用于根據(jù)配置信息訂閱網(wǎng)絡(luò)事件����;
[0014]事件處理模塊,用于調(diào)用功能插件對所訂閱的網(wǎng)絡(luò)事件進行處理�;[0015]事件發(fā)布模塊,用于在完成所述網(wǎng)絡(luò)事件處理之后����,發(fā)布所述網(wǎng)絡(luò)事件,以使其他事件流轉(zhuǎn)模塊訂閱所述網(wǎng)絡(luò)事件���,所述其他事件流轉(zhuǎn)模塊與本事件流轉(zhuǎn)模塊之間存在訂閱關(guān)系���。
[0016]本發(fā)明實施例一種網(wǎng)絡(luò)審計中的事件流轉(zhuǎn)控制方法及系統(tǒng),為了達到網(wǎng)絡(luò)審計中對網(wǎng)絡(luò)事件的并行處理�,提高網(wǎng)絡(luò)事件的處理速度,并且降低系統(tǒng)資源的消耗的目的����,首先,事件流轉(zhuǎn)模塊根據(jù)配置信息訂閱網(wǎng)絡(luò)事件��,并調(diào)用功能插件對所述網(wǎng)絡(luò)事件進行處理�;所述功能插件具有處理網(wǎng)絡(luò)事件的功能點所具有的處理功能;通過調(diào)用功能插件實現(xiàn)對事件處理的功能��,由于功能插件不參與數(shù)據(jù)流轉(zhuǎn)���,各個功能插件之間彼此獨立互不影響��,因此����,當(dāng)功能插件故障后,并不會對其他功能插件造成影響����,從而避免現(xiàn)有技術(shù)中的一個功能點失效后,整個系統(tǒng)都無法正常工作的問題�����。然后�,所述事件流轉(zhuǎn)模塊在完成所述網(wǎng)絡(luò)事件處理之后,發(fā)布所述網(wǎng)絡(luò)事件���,以使其他事件流轉(zhuǎn)模塊訂閱所述網(wǎng)絡(luò)事件���,所述其他事件流轉(zhuǎn)模塊與本事件流轉(zhuǎn)模塊之間存在訂閱關(guān)系。由于網(wǎng)絡(luò)事件流轉(zhuǎn)采用了發(fā)布-訂閱技術(shù)�����,使得多個功能點可同時接收同一網(wǎng)絡(luò)事件并作處理��,極大的提高了事件的分發(fā)速度和處理速度����,由于事件處理是在同一個進程中進行��,事件分發(fā)時無須進行事件拷貝,減少了內(nèi)存分配與釋放�����,降低了系統(tǒng)資源的消耗����。
【專利附圖】
【附圖說明】
[0017]為了更清楚地說明本發(fā)明實施例中的技術(shù)方案,下面將對實施例描述中所需要使用的附圖作簡單地介紹��,顯而易見地����,下面描述中的附圖僅僅是本發(fā)明的一些實施例,對于本領(lǐng)域普通技術(shù)人員來講���,在不付出創(chuàng)造性勞動性的前提下��,還可以根據(jù)這些附圖獲得其他的附圖����。
[0018]圖1是本發(fā)明實施例一種網(wǎng)絡(luò)審計中的事件流轉(zhuǎn)控制方法實施例1的流程圖;
[0019]圖2是本發(fā)明實施例一種網(wǎng)絡(luò)審計中的事件流轉(zhuǎn)控制系統(tǒng)實施例1的結(jié)構(gòu)圖���;
[0020]圖3是本發(fā)明實施例一種網(wǎng)絡(luò)審計中的事件流轉(zhuǎn)控制系統(tǒng)實施例2的結(jié)構(gòu)圖�����。
【具體實施方式】
[0021]為了使本【技術(shù)領(lǐng)域】的人員更好地理解本發(fā)明方案���,下面結(jié)合附圖和實施方式對本發(fā)明實施例作進一步的詳細說明。
[0022]參閱圖1�,示出的本發(fā)明實施例一種網(wǎng)絡(luò)審計中的事件流轉(zhuǎn)控制方法的實施例1的流程圖,所述方法可包括:
[0023]步驟101����,事件流轉(zhuǎn)模塊根據(jù)配置信息訂閱網(wǎng)絡(luò)事件,并調(diào)用功能插件對所述網(wǎng)絡(luò)事件進行處理���。
[0024]由于網(wǎng)絡(luò)審計系統(tǒng)一般包括審計功能和事件處理功能�,而在網(wǎng)絡(luò)審計中最重要的一個環(huán)節(jié)是對網(wǎng)絡(luò)事件的處理��,因此�����,如何實現(xiàn)事件處理功能是網(wǎng)絡(luò)審計技術(shù)中最為關(guān)鍵的一個技術(shù)點,而本發(fā)明實施例是針對如何實現(xiàn)事件處理功能提供了一種技術(shù)方案��。
[0025]本步驟的事件流轉(zhuǎn)模塊具有控制功能�����,調(diào)用的功能插件提供事件處理功能����,所調(diào)用的功能插件具有處理網(wǎng)絡(luò)事件的功能點所具有的處理功能���,比如:對網(wǎng)絡(luò)事件的儲存處理���、統(tǒng)計處理、外發(fā)處理����、危害分析處理等功能。
[0026]本步驟的事件流轉(zhuǎn)模塊可從本系統(tǒng)或者其他系統(tǒng)的進程處訂閱網(wǎng)絡(luò)事件���,具體是根據(jù)本事件流轉(zhuǎn)模塊的配置信息得知應(yīng)該從哪個進程處訂閱網(wǎng)絡(luò)事件�;所謂訂閱是指一種數(shù)據(jù)接收方式��,事件接收者從事件發(fā)布者處接收事件,稱之為訂閱�����,發(fā)布于訂閱成對使用��。
[0027]在實際應(yīng)用中�����,當(dāng)事件流轉(zhuǎn)模塊啟動工作時����,可根據(jù)配置信息得知應(yīng)該加載哪一個功能插件,然后加載對應(yīng)的功能插件�����,在根據(jù)配置信息訂閱網(wǎng)絡(luò)事件���,然后調(diào)用所加載的功能插件對所訂閱的網(wǎng)絡(luò)事件進行處理�。
[0028]步驟102�����,所述事件流轉(zhuǎn)模塊在完成所述網(wǎng)絡(luò)事件處理之后,發(fā)布所述網(wǎng)絡(luò)事件����,以使其他事件流轉(zhuǎn)模塊訂閱所述網(wǎng)絡(luò)事件,所述其他事件流轉(zhuǎn)模塊與本事件流轉(zhuǎn)模塊之間存在訂閱關(guān)系���。
[0029]在上述步驟101對網(wǎng)絡(luò)事件處理之后��,事件流轉(zhuǎn)模塊直接發(fā)布所述網(wǎng)絡(luò)事件���;所謂發(fā)布是指一種數(shù)據(jù)分發(fā)方式�����,具體是指將事件以廣播的形式發(fā)送�,無論是否有接收者進行接收,都進行廣播����。
[0030]因此,為了將網(wǎng)絡(luò)事件流轉(zhuǎn)下去�����,以便其他事件流轉(zhuǎn)模塊對該網(wǎng)絡(luò)事件進行處理,本事件流轉(zhuǎn)模塊在調(diào)用了功能插件實現(xiàn)對網(wǎng)絡(luò)事件的處理之后�,直接采用發(fā)布-訂閱技術(shù),以便其他事件流轉(zhuǎn)模塊訂閱該網(wǎng)絡(luò)事件��。對于事件流轉(zhuǎn)模塊而言��,不關(guān)注所調(diào)用的功能插件的處理情況����,也就是說,不論所調(diào)用的功能插件處理成功或者失敗��,或者功能插件出現(xiàn)故障等等����,只要所調(diào)用的功能插件處理完畢,則將該網(wǎng)絡(luò)事件進行發(fā)布��,可見:事件流轉(zhuǎn)模塊可不受本模塊所調(diào)用的功能插件處理情況的影響����,直接發(fā)布網(wǎng)絡(luò)事件,為訂閱該網(wǎng)絡(luò)數(shù)據(jù)的其他事件流轉(zhuǎn)模塊做好技術(shù)準(zhǔn)備���。
[0031]本發(fā)明實施例網(wǎng)絡(luò)審計的事件流轉(zhuǎn)控制方法�,首先,利用事件流轉(zhuǎn)模塊訂閱網(wǎng)絡(luò)事件�,并調(diào)用功能插件對所訂閱的網(wǎng)絡(luò)事件進行處理;所述功能插件具有處理網(wǎng)絡(luò)事件的功能點所具有的處理功能��;通過調(diào)用功能插件實現(xiàn)對事件處理的功能����,由于功能插件不參與數(shù)據(jù)流轉(zhuǎn),各個功能插件之間彼此獨立互不影響���,因此�,當(dāng)功能插件故障后����,并不會對其他功能插件造成影響���,從而避免現(xiàn)有技術(shù)中的一個功能點失效后�,整個系統(tǒng)都無法正常工作的問題��。然后�,事件流轉(zhuǎn)模塊在所述網(wǎng)絡(luò)事件處理之后,發(fā)布所述網(wǎng)絡(luò)事件����,以便與本事件流轉(zhuǎn)模塊有訂閱關(guān)系的其他事件流轉(zhuǎn)模塊訂閱所述網(wǎng)絡(luò)事件����。由于網(wǎng)絡(luò)事件流轉(zhuǎn)采用了發(fā)布-訂閱技術(shù)�,使得多個功能點可同時接收同一網(wǎng)絡(luò)事件并作處理,極大的提高了事件的分發(fā)速度和處理速度���,由于事件處理是在同一個進程中進行���,事件分發(fā)時無須進行事件拷貝,減少了內(nèi)存分配與釋放���,降低了系統(tǒng)資源的消耗�����。
[0032]在網(wǎng)絡(luò)審計過程中��,由于網(wǎng)絡(luò)事件的數(shù)據(jù)量較大��,若每次只能對一個網(wǎng)絡(luò)事件進行處理��,這樣導(dǎo)致網(wǎng)絡(luò)審計處理過程較長�,同時也會耗費大量的人力物力。
[0033]基于上述技術(shù)問題�,本發(fā)明實施例還提供了一種優(yōu)選方案。具體是在上述本發(fā)明實施例1的基礎(chǔ)上����,針對上述步驟101提供了一種優(yōu)選的實現(xiàn)方式。
[0034]優(yōu)選的����,事件流轉(zhuǎn)模塊根據(jù)配置信息訂閱網(wǎng)絡(luò)事件,并調(diào)用功能插件對所述網(wǎng)絡(luò)事件進行處理��,包括:
[0035]步驟1011����,所述事件流轉(zhuǎn)模塊根據(jù)配置信息啟動至少兩個事件處理子任務(wù);
[0036]步驟1012�����,所述事件流轉(zhuǎn)模塊選擇一個事件處理子任務(wù)���,將所訂閱的網(wǎng)絡(luò)事件推送給所選擇的事件處理子任務(wù);
[0037]步驟1013,所選擇的事件處理子任務(wù)調(diào)用功能插件的對所述網(wǎng)絡(luò)事件進行處理�。
[0038]為了并行處理多個網(wǎng)絡(luò)事件,設(shè)計配置信息時就設(shè)置好應(yīng)該啟動多少個事件處理子任務(wù)����,對于事件流轉(zhuǎn)模塊而言,就根據(jù)自身的配置信息啟動多少個事件處理子任務(wù)�;當(dāng)事件流轉(zhuǎn)模塊接收到一個網(wǎng)絡(luò)事件時,就考慮要將該網(wǎng)絡(luò)事件推送給哪一個事件處理子任務(wù)進行處理����,因此,事件流轉(zhuǎn)模塊需要從所啟動的所有事件處理子任務(wù)中選擇一個事件處理子任務(wù)����,該被選擇的事件處理子任務(wù)拉回該網(wǎng)絡(luò)事件,然后調(diào)用功能插件的對所述網(wǎng)絡(luò)事件進行處理���。當(dāng)事件流轉(zhuǎn)模塊接收到多個網(wǎng)絡(luò)事件時�����,則將這些網(wǎng)絡(luò)事件分別推送給多個事件處理子任務(wù)��,然后���,各事件處理子任務(wù)分別調(diào)用功能插件��,同時對這些網(wǎng)絡(luò)事件進行處理�,因此�,本步驟通過事件處理子任務(wù)的處理方式就能夠?qū)崿F(xiàn)網(wǎng)絡(luò)事件的并行處理。
[0039]所謂推送是指一種數(shù)據(jù)發(fā)送方式�,發(fā)送者推送事件時必須有拉回者接收,否則將阻塞一直等待被接收���。所謂拉回是指一種數(shù)據(jù)接收方式�,從推送者處接收事件即為拉回�����,推送與拉回成對使用���。
[0040]利用本優(yōu)選方案之后�,當(dāng)事件流轉(zhuǎn)模塊接收到大量的網(wǎng)絡(luò)事件時��,可通過多個事件處理子模塊同時處理��,以提高網(wǎng)絡(luò)審計的事件處理速率����,減小人力物力資源的耗費。
[0041]為了更快速地對網(wǎng)絡(luò)事件進行處理����,本發(fā)明實施例提供了優(yōu)選方案,優(yōu)選的����,所述事件流轉(zhuǎn)模塊通過以下方式選擇一個事件處理子模塊,包括:
[0042]通過負(fù)載均衡算法選擇一個空閑的事件處理子模塊��。
[0043]由于有些功能插件自身可產(chǎn)生新的事件����,而這些新的事件也屬于網(wǎng)絡(luò)審計所要處理網(wǎng)絡(luò)事件的范疇內(nèi),因此��,為了對功能插件所產(chǎn)生的新的事件也進行處理���,本發(fā)明實施例還提供了優(yōu)選方案�。具體是在上述本發(fā)明實施例1的基礎(chǔ)上�����,還包括:
[0044]所述事件流轉(zhuǎn)模塊擴展所調(diào)用的功能插件的自身事件采集模塊,以便所述采集模塊所采集的事件被訂閱���。
[0045]當(dāng)然��,對于事件流轉(zhuǎn)模塊而言��,當(dāng)所調(diào)用的功能插件本身具有事件采集模塊時���,且該采集模塊可在線程里獨立運行時,則當(dāng)調(diào)用該功能插件時���,啟動其自身的采集模塊�����,然后將該采集模塊所采集的事件通過本事件流轉(zhuǎn)模塊發(fā)布出去����,這樣就保證了該功能插件自身所采集的事件在整個審計系統(tǒng)中得到流轉(zhuǎn)�����。
[0046]對于本發(fā)明事件流轉(zhuǎn)模塊而言��,還可根據(jù)配置信息決定是否所訂閱的網(wǎng)絡(luò)事件推送給所調(diào)用的功能插件進行處理,也可決定是否將處理后的網(wǎng)絡(luò)事件進行發(fā)布��。也就是說�,在配置信息中可規(guī)定哪些網(wǎng)絡(luò)事件只是需要接收而不需要功能插件進行處理����,哪些網(wǎng)絡(luò)事件只需要本事件流轉(zhuǎn)模塊調(diào)用功能插件進行處理,而不需要將其發(fā)布出去����。
[0047]另外,由于事件流轉(zhuǎn)模塊所調(diào)用的功能插件在對網(wǎng)絡(luò)事件進行處理后�����,可能會產(chǎn)生新的事件����,比如告警事件等,那么����,事件流轉(zhuǎn)模塊不僅可向外發(fā)布本事件流轉(zhuǎn)模塊處理的網(wǎng)絡(luò)事件,也可向外發(fā)布經(jīng)所調(diào)用的功能插件處理后產(chǎn)生新的事件����,如告警事件等�。則新產(chǎn)生的事件經(jīng)由事件流轉(zhuǎn)模塊向外發(fā)布后����,就與其他網(wǎng)絡(luò)事件一樣了,可被其他事件流轉(zhuǎn)模塊所調(diào)用的功能插件訂閱��、處理和發(fā)布了�。
[0048]在實際網(wǎng)絡(luò)審計過程中,有時需要監(jiān)測所處理的網(wǎng)絡(luò)事件個數(shù)��,或者監(jiān)測當(dāng)前網(wǎng)絡(luò)事件處理的狀態(tài)等�����,了解網(wǎng)絡(luò)審計的網(wǎng)絡(luò)事件處理情況����,基于此技術(shù)問題,本發(fā)明還提供了優(yōu)選方案�����。具體是在上述本發(fā)明實施例1的基礎(chǔ)上,所述方法還包括:
[0049]所述事件流轉(zhuǎn)模塊向控制模塊發(fā)送注冊信息���;
[0050]所述事件流轉(zhuǎn)模塊接收所述控制模塊推送的消息��,所述消息包括:控制消息�����、策略消息�����、命令消息任意一種或者多種;[0051 ] 所述事件流轉(zhuǎn)模塊依據(jù)所述消息執(zhí)行對應(yīng)的操作�����。
[0052]事件流轉(zhuǎn)模塊可在啟動時向控制模塊發(fā)送注冊信息��,所謂注冊信息包括本事件流轉(zhuǎn)模塊的名稱標(biāo)識和功能標(biāo)識���。則控制模塊可通過事件流轉(zhuǎn)模塊的注冊信息實現(xiàn)與事件流轉(zhuǎn)模塊的信息互通�����,以實現(xiàn)監(jiān)控該事件流轉(zhuǎn)模塊的目的���。
[0053]當(dāng)網(wǎng)絡(luò)審計處理過程中需要監(jiān)控網(wǎng)絡(luò)事件的處理狀態(tài)時���,則控制模塊可采用推送-來回技術(shù),根據(jù)注冊信息向?qū)?yīng)的事件流轉(zhuǎn)模塊推送消息�����。該消息的可包括:控制消息����、策略消息、命令消息任意一種或者多種����;
[0054]控制消息可包括:控制事件流轉(zhuǎn)模塊的停止或者啟動的控制信息。
[0055]策略消息可包括:事件過濾器策略或事件丟棄策略等信息
[0056]命令消息可包括:事件流轉(zhuǎn)模塊狀態(tài)的查詢或事件處理個數(shù)查詢等信息��。
[0057]若控制模塊推送的是命令消息���,則控制模塊在事件流轉(zhuǎn)模塊接收消息并處理后���,還需從事件流轉(zhuǎn)模塊將響應(yīng)信息拉回。對于事件流轉(zhuǎn)模塊而言,當(dāng)從控制模塊處接收到消息后����,根據(jù)消息的具體內(nèi)容,做出對應(yīng)的操作�����,比如:若接收到的消息是控制消息標(biāo)識停止�,事件流轉(zhuǎn)模塊則停止工作。若接收到的是策略消息包括事件丟棄策略�����,則事件流轉(zhuǎn)模塊丟棄當(dāng)前接收到的網(wǎng)絡(luò)事件�����。
[0058]本發(fā)明實施例提供一種網(wǎng)絡(luò)審計中的事件流轉(zhuǎn)控制系統(tǒng)�����。
[0059]參閱圖2��,示出的本發(fā)明實施例一種網(wǎng)絡(luò)審計中的事件流轉(zhuǎn)控制系統(tǒng)實施例1的結(jié)構(gòu)圖�����,該系統(tǒng)可包括:
[0060]至少一個事件流轉(zhuǎn)模塊�����;所述事件流轉(zhuǎn)模塊包括:
[0061]事件訂閱模塊�,用于根據(jù)配置信息訂閱網(wǎng)絡(luò)事件;
[0062]事件處理模塊����,用于調(diào)用功能插件對所訂閱的網(wǎng)絡(luò)事件進行處理;所述功能插件具有處理網(wǎng)絡(luò)事件的功能點所具有的處理功能�����;
[0063]事件發(fā)布模塊�����,用于在完成所述網(wǎng)絡(luò)事件處理之后����,發(fā)布所述網(wǎng)絡(luò)事件,以使其他事件流轉(zhuǎn)模塊訂閱所述網(wǎng)絡(luò)事件�,所述其他流轉(zhuǎn)模塊與本事件流轉(zhuǎn)模塊之間存在訂閱關(guān)系O
[0064]所述事件訂閱模塊����,實質(zhì)上是根據(jù)本事件流轉(zhuǎn)模塊的配置信息��,從訂閱源處訂閱網(wǎng)絡(luò)事件�����,所謂訂閱源可以是系統(tǒng)中的其他進程����,或者其他事件訂閱模塊,或者其他系統(tǒng)的進程等�。在事件流轉(zhuǎn)模塊的配置信息中預(yù)先規(guī)定了本事件流轉(zhuǎn)模塊應(yīng)該加載并調(diào)用的功能插件,同時也規(guī)定了本事件流轉(zhuǎn)模塊與其他事件流轉(zhuǎn)模塊之間的訂閱關(guān)系�,一般情況下,啟動該功能插件所在的事件流轉(zhuǎn)模塊時��,需要先啟動其訂閱的事件流轉(zhuǎn)模塊�����。依次遞歸���,啟動系統(tǒng)中所有事件流轉(zhuǎn)模塊�。事件流轉(zhuǎn)模塊在加載功能插件時�,調(diào)用功能插件的初始化接口對功能插件進行初始化。
[0065]事件流轉(zhuǎn)控制系統(tǒng)中的各個事件流轉(zhuǎn)模塊是利用彼此之間的訂閱關(guān)系而相互通信連接的����,在實際應(yīng)用中,可根據(jù)改變配置信息以使事件流轉(zhuǎn)模塊調(diào)用不同的功能模塊實現(xiàn)不同的處理功能�����,因此�����,事件流轉(zhuǎn)模塊實質(zhì)上是通過訂閱���、發(fā)布網(wǎng)絡(luò)事件的方式實現(xiàn)對網(wǎng)絡(luò)事件的流轉(zhuǎn)控制功能��,并通過調(diào)用功能插件實現(xiàn)網(wǎng)絡(luò)事件處理功能����。
[0066]本發(fā)明實施例網(wǎng)絡(luò)審計的事件流轉(zhuǎn)控制系統(tǒng)����,利用事件流轉(zhuǎn)模塊訂閱網(wǎng)絡(luò)事件���,并調(diào)用功能插件對所訂閱的網(wǎng)絡(luò)事件進行處理;所述功能插件具有處理網(wǎng)絡(luò)事件的功能點所具有的處理功能�;通過調(diào)用功能插件實現(xiàn)對事件處理的功能,由于功能插件不參與數(shù)據(jù)流轉(zhuǎn)��,各個功能插件之間彼此獨立互不影響��,因此�,當(dāng)功能插件故障后,并不會對其他功能插件造成影響���,從而避免現(xiàn)有技術(shù)中的一個功能點失效后�,整個系統(tǒng)都無法正常工作的問題�。然后,事件流轉(zhuǎn)模塊在所述網(wǎng)絡(luò)事件處理之后����,發(fā)布所述網(wǎng)絡(luò)事件,以便與本事件流轉(zhuǎn)模塊有訂閱關(guān)系的其他事件流轉(zhuǎn)模塊訂閱所述網(wǎng)絡(luò)事件���。由于網(wǎng)絡(luò)事件流轉(zhuǎn)采用了發(fā)布-訂閱技術(shù),使得多個功能點可同時接收同一網(wǎng)絡(luò)事件并作處理�,極大的提高了事件的分發(fā)速度和處理速度����,由于事件處理是在同一個進程中進行����,事件分發(fā)時無須進行事件拷貝,減少了內(nèi)存分配與釋放����,降低了系統(tǒng)資源的消耗。
[0067]當(dāng)網(wǎng)絡(luò)事件數(shù)據(jù)量較大時�,為了更快的對這些網(wǎng)絡(luò)事件進行處理,本發(fā)明實施例提供優(yōu)選方案�,優(yōu)選的,所述事件處理模塊��,包括:
[0068]啟動子模塊���,用于根據(jù)配置信息啟動至少兩個事件處理子任務(wù)����;
[0069]選擇子模塊����,用于選擇任一個事件處理子任務(wù)�����,將所訂閱的網(wǎng)絡(luò)事件推送給所選擇的事件處理子任務(wù)���;
[0070]事件處理子模塊,用于調(diào)用功能插件對所選擇的事件處理子任務(wù)所拉回的所述網(wǎng)絡(luò)事件進行處理��。
[0071]為了更好地為網(wǎng)絡(luò)事件分配處理子任務(wù)����,本發(fā)明實施例提供有效方案,優(yōu)選的��,所述選擇子模塊����,具體用于通過負(fù)載均衡算法選擇一個空閑的事件處理子任務(wù),將所訂閱的網(wǎng)絡(luò)事件推送給所選擇的事件處理子模塊�����。
[0072]優(yōu)選的����,所述事件流轉(zhuǎn)模塊還包括:
[0073]擴展模塊�����,用于擴展本事件流轉(zhuǎn)模塊所調(diào)用的功能插件的自身事件采集模塊,以便所述采集模塊所采集的事件被訂閱��。
[0074]為了更好地監(jiān)控整個審計過程中網(wǎng)絡(luò)事件的處理情況�,本發(fā)明實施例提供了優(yōu)選方案,具體參閱圖3���,示出的本發(fā)明實施例一種網(wǎng)絡(luò)審計中的網(wǎng)絡(luò)事件流轉(zhuǎn)控制系統(tǒng)的實施例2的流程圖���,該系統(tǒng)可包括:
[0075]至少一個事件流轉(zhuǎn)模塊;所述事件流轉(zhuǎn)模塊包括:
[0076]事件訂閱模塊�,用于訂閱網(wǎng)絡(luò)事件;
[0077]事件處理模塊��,用于調(diào)用功能插件對所訂閱的網(wǎng)絡(luò)事件進行處理�;所述功能插件具有處理網(wǎng)絡(luò)事件的功能點所具有的處理功能;
[0078]事件發(fā)布模塊���,用于在所述網(wǎng)絡(luò)事件處理之后�,發(fā)布所述網(wǎng)絡(luò)事件,以便與本事件流轉(zhuǎn)模塊所調(diào)用的功能插件有訂閱關(guān)系的其他功能插件所在的事件流轉(zhuǎn)模塊訂閱所述網(wǎng)絡(luò)事件��。
[0079]控制模塊����,用于接收所述事件流轉(zhuǎn)模塊發(fā)送的注冊信息,并根據(jù)所述注冊信息向所述事件流轉(zhuǎn)模塊推送消息����,所述消息包括:控制消息、策略消息���、命令消息任意一種或者多種�����;
[0080]所述事件流轉(zhuǎn)模塊���,根據(jù)所接收的消息內(nèi)容執(zhí)行對應(yīng)的操作。
[0081]利用本發(fā)明優(yōu)選方案之后��,不僅能夠達到網(wǎng)絡(luò)審計中對網(wǎng)絡(luò)事件的并行處理�����,提高網(wǎng)絡(luò)事件的處理速度,降低系統(tǒng)資源的消耗的目的�,還可利用控制模塊通過推送-拉回技術(shù),實現(xiàn)對網(wǎng)絡(luò)審計過程中網(wǎng)絡(luò)事件的處理情況的監(jiān)控�����。
[0082]需要說明的是���,本領(lǐng)域普通技術(shù)人員可以理解實現(xiàn)上述實施例方法中的全部或部分流程,是可以通過計算機程序來指令處理器來完成�����,所述的程序可存儲于計算機可讀取存儲介質(zhì)中�����,該程序在執(zhí)行時�,可包括如上述各方法的實施例的流程。其中���,所述的存儲介質(zhì)可為磁碟����、光盤、只讀存儲器(Read-Only Memory, ROM)或隨機存取存儲器(Random-Access Memory, RAM)等��。
[0083]需要說明的是����,本說明書中的各個實施例均采用遞進的方式描述,各個實施例之間相同相似的部分互相參見即可����,每個實施例重點說明的都是與其他實施例的不同之處。尤其�����,對于設(shè)備及系統(tǒng)實施例而言����,由于其基本相似于方法實施例,所以描述得比較簡單�,相關(guān)之處參見方法實施例的部分說明即可。以上所描述的設(shè)備及系統(tǒng)實施例僅僅是示意性的��,其中作為分離部件說明的單元可以是或者也可以不是物理上分開的�����,作為單元顯示的部件可以是或者也可以不是物理單元,即可以位于一個地方�,或者也可以分布到多個網(wǎng)絡(luò)單元上?���?梢愿鶕?jù)實際的需要選擇其中的部分或者全部模塊來實現(xiàn)本實施例方案的目的。本領(lǐng)域普通技術(shù)人員在不付出創(chuàng)造性勞動的情況下�����,即可以理解并實施����。
[0084]以上對本發(fā)明所提供的網(wǎng)絡(luò)審計的網(wǎng)絡(luò)事件流轉(zhuǎn)控制方法及系統(tǒng)進行了詳細介紹����,本文中應(yīng)用了具體實施例對本發(fā)明的原理及實施方式進行了闡述,以上實施例的說明只是用于幫助理解本發(fā)明的方法��;同時��,對于本領(lǐng)域的一般技術(shù)人員����,依據(jù)本發(fā)明����,在【具體實施方式】及應(yīng)用范圍上均會有改變之處��,綜上所述�,本說明書內(nèi)容不應(yīng)理解為對本發(fā)明的限制。
【權(quán)利要求】
1.一種網(wǎng)絡(luò)審計中的事件流轉(zhuǎn)控制方法�,其特征在于,所述方法包括: 事件流轉(zhuǎn)模塊根據(jù)配置信息訂閱網(wǎng)絡(luò)事件���,并調(diào)用功能插件對所述網(wǎng)絡(luò)事件進行處理�����; 所述事件流轉(zhuǎn)模塊在完成所述網(wǎng)絡(luò)事件處理之后���,發(fā)布所述網(wǎng)絡(luò)事件,以使其他事件流轉(zhuǎn)模塊訂閱所述網(wǎng)絡(luò)事件�����,所述其他事件流轉(zhuǎn)模塊與本事件流轉(zhuǎn)模塊之間存在訂閱關(guān)系O
2.根據(jù)權(quán)利要求1所述的方法�,其特征在于,所述事件流轉(zhuǎn)模塊根據(jù)配置信息訂閱網(wǎng)絡(luò)事件���,并調(diào)用功能插件對所述網(wǎng)絡(luò)事件進行處理�,包括: 所述事件流轉(zhuǎn)模塊根據(jù)配置信息啟動至少兩個事件處理子任務(wù); 所述事件流轉(zhuǎn)模塊選擇一個事件處理子任務(wù)�,將所訂閱的網(wǎng)絡(luò)事件推送給所選擇的事件處理子任務(wù); 所選擇的事件處理子任務(wù)調(diào)用功能插件的對所述網(wǎng)絡(luò)事件進行處理��。
3.根據(jù)權(quán)利要求2所述的方法����,其特征在于,所述事件流轉(zhuǎn)模塊通過以下方式選擇一個事件處理子任務(wù)����,包括: 通過負(fù)載均衡算法選擇一個空閑的事件處理子任務(wù)。
4.根據(jù)權(quán)利 要求1所述的方法���,其特征在于,所述方法還包括: 所述事件流轉(zhuǎn)模塊擴展所調(diào)用的功能插件的自身事件采集模塊���,以便所述采集模塊所采集的事件被訂閱�����。
5.根據(jù)權(quán)利要求1至4任一項所述的方法����,其特征在于,所述方法還包括: 所述事件流轉(zhuǎn)模塊向控制模塊發(fā)送注冊信息����; 所述事件流轉(zhuǎn)模塊接收所述控制模塊推送的消息,所述消息包括:控制消息��、策略消息���、命令消息任意一種或者多種����; 所述事件流轉(zhuǎn)模塊依據(jù)所述消息執(zhí)行對應(yīng)的操作�。
6.一種網(wǎng)絡(luò)審計中的事件流轉(zhuǎn)控制系統(tǒng),其特征在于�����,所述系統(tǒng)包括:至少一個事件流轉(zhuǎn)模塊��; 所述事件流轉(zhuǎn)模塊包括: 事件訂閱模塊��,用于根據(jù)配置信息訂閱網(wǎng)絡(luò)事件��; 事件處理模塊,用于調(diào)用功能插件對所訂閱的網(wǎng)絡(luò)事件進行處理��; 事件發(fā)布模塊���,用于在完成所述網(wǎng)絡(luò)事件處理之后�����,發(fā)布所述網(wǎng)絡(luò)事件�,以使其他事件流轉(zhuǎn)模塊訂閱所述網(wǎng)絡(luò)事件��,所述其他事件流轉(zhuǎn)模塊與本事件流轉(zhuǎn)模塊之間存在訂閱關(guān)系O
7.根據(jù)權(quán)利要求6所述的系統(tǒng)�����,其特征在于���,所述事件處理模塊,包括: 啟動子模塊���,用于根據(jù)配置信息啟動至少兩個事件處理子任務(wù)���; 選擇子模塊����,用于選擇任一個事件處理子任務(wù)����,將所訂閱的網(wǎng)絡(luò)事件推送給所選擇的事件處理子任務(wù); 事件處理子模塊��,用于調(diào)用功能插件對所選擇的事件處理子任務(wù)所拉回的所述網(wǎng)絡(luò)事件進行處理�����。
8.根據(jù)權(quán)利要求7所述的系統(tǒng)����,其特征在于, 所述選擇子模塊��,具體用于通過負(fù)載均衡算法選擇一個空閑的事件處理子任務(wù)��,將所訂閱的網(wǎng)絡(luò)事件推送給所選擇的事件處理子任務(wù)�����。
9.根據(jù)權(quán)利要求6所述的系統(tǒng),其特征在于����,所述事件流轉(zhuǎn)模塊還包括: 擴展模塊,用于擴展本事件流轉(zhuǎn)模塊所調(diào)用的功能插件的自身事件采集模塊�����,以便所述采集模塊所采集的事件被訂閱����。
10.根據(jù)權(quán)利要求6至9任一項所述的系統(tǒng),其特征在于����,還包括: 控制模塊,用于接收所述事件流轉(zhuǎn)模塊發(fā)送的注冊信息����,并根據(jù)所述注冊信息向所述事件流轉(zhuǎn)模塊推送消息,所述消息包括:控制消息�����、策略消息�、命令消息任意一種或者多種; 則所述事件流轉(zhuǎn)模塊�,還用 于根據(jù)所接收的消息內(nèi)容執(zhí)行對應(yīng)的操作。
【文檔編號】H04L12/26GK103780678SQ201310741884
【公開日】2014年5月7日 申請日期:2013年12月27日 優(yōu)先權(quán)日:2013年12月27日
【發(fā)明者】劉勇 申請人:北京天融信軟件有限公司, 北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司, 北京天融信科技有限公司