方法����、設(shè)備和系統(tǒng),可以通過 其它的方式實現(xiàn)����。例如�����,以上所描述的設(shè)備實施例僅是是示意性的�����,所述功能模塊的劃分���, 僅為一種邏輯功能的劃分,實際實現(xiàn)時可以有另外的劃分方式����,例如多個模塊可以結(jié)合或 者可以集成到另一個系統(tǒng),或者一些特征可以忽略��,或不執(zhí)行�����。
[0097]最后應(yīng)說明的是:以上實施例僅用以說明本發(fā)明的技術(shù)方案�,而非對其限制;盡管 參照前述實施例對本發(fā)明進行了詳細的說明,本領(lǐng)域的普通技術(shù)人員應(yīng)當理解:其依然可 以對前述各實施例所記載的技術(shù)方案進行修改�,或者對其中部分技術(shù)特征進行等同替換; 而這些修改或者替換�,并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實施例技術(shù)方案的精神和 范圍���。
【主權(quán)項】
1. 一種系統(tǒng)消息處理方法,應(yīng)用于包括傳感器和收集器的系統(tǒng)消息處理系統(tǒng)中����,所述 一個收集器連接至少一個所述傳感器,其特征在于����,包括以下步驟: 收集器接收傳感器發(fā)送的系統(tǒng)消息��, 收集器將所述系統(tǒng)消息和與預(yù)存的與所述傳感器一一對應(yīng)的規(guī)則文件進行匹配���,所述 規(guī)則文件包括至少一個規(guī)則條目�����,所述規(guī)則條目為系統(tǒng)消息與相應(yīng)的處理規(guī)則之間的對應(yīng) 關(guān)系����, 收集器將匹配的系統(tǒng)消息進行歸一化處理����,生成與所述系統(tǒng)消息一一對應(yīng)的歸一化消 息���,所述歸一化消息為具有統(tǒng)一的歸一化屬性的事件記錄, 收集器輸出所述歸一化消息��。2. 根據(jù)權(quán)利要求1所述的系統(tǒng)消息處理方法�����,其特征在于���,所述歸一化屬性�,具體包括: 收集器在匹配成功的系統(tǒng)消息中直接提取的提取屬性�����,和收集器根據(jù)所述匹配成功的 系統(tǒng)消息進行回填的回填屬性��,所述系統(tǒng)消息為傳感器根據(jù)不同的系統(tǒng)事件生成的自定義 的事件記錄消息�, 所述提取屬性包括:帳號,源IP��,源端口��,目的IP�,目的端口�,協(xié)議類型�,事件發(fā)生時間, 事件結(jié)束時間����,事件發(fā)生次數(shù),事件摘要���,訪問的網(wǎng)站�����,訪問的DNS����,整形保留屬性�,字符串類 型保留屬性�, 所述回填屬性包括:歸一化事件級別,客戶ID�,自定義事件ID,自定義事件類型�����,傳感器ID,傳感器IP�,傳感器掩碼,傳感器類型��,收集器ID���,收集器IP���,系統(tǒng)消息接收時間,原始日 ν·���、ι��、〇3.根據(jù)權(quán)利要求2所述的系統(tǒng)消息處理方法����,其特征在于�����,所述歸一化事件級別����,具體 包括: 根據(jù)匹配成功的系統(tǒng)消息中自定義的事件類型和預(yù)設(shè)的歸一化事件級別對應(yīng)關(guān)系���,確 定歸一化事件級別,所述預(yù)設(shè)的歸一化事件級別對應(yīng)關(guān)系���,為匹配成功的系統(tǒng)消息中的自 定義的事件類型和歸一化事件級別之間一一對應(yīng)的關(guān)系���。4. 根據(jù)權(quán)利要求1所述的系統(tǒng)消息處理方法,其特征在于����,在收集器接收傳感器發(fā)送的 系統(tǒng)消息之后,收集器將接收到的系統(tǒng)消息與預(yù)存的與所述傳感器一一對應(yīng)的規(guī)則文件進 行匹配之前���,所述方法還包括: 收集器將具有不同的字符編碼方式的系統(tǒng)消息轉(zhuǎn)換為具有統(tǒng)一的字符編碼方式的系 統(tǒng)消息�����。5.根據(jù)權(quán)利要求1所述的系統(tǒng)消息處理方法,其特征在于��,在收集器將接收到的系統(tǒng)消 息與預(yù)存的與所述傳感器一一對應(yīng)的規(guī)則文件進行匹配之后�,所述方法還包括: 當收集器接收到的系統(tǒng)消息與預(yù)存的與所述傳感器一一對應(yīng)的規(guī)則文件不匹配時,收 集器將接收到的系統(tǒng)消息與預(yù)存的其他傳感器對應(yīng)的規(guī)則文件進行匹配。6. 根據(jù)權(quán)利要求1所述的系統(tǒng)消息處理方法�����,其特征在于�,在收集器將匹配成功的系統(tǒng) 消息生成與所述系統(tǒng)消息一一對應(yīng)的歸一化消息之后,所述方法還包括: 收集器在預(yù)設(shè)時間范圍內(nèi)將具有至少一個歸一化屬性內(nèi)容相同的多個歸一化消息合 并�,生成合并消息,所述合并消息為與歸一化消息具有統(tǒng)一的歸一化屬性的事件記錄����, 所述收集器輸出所述歸一化消息,具體包括: 收集器輸出所述歸一化消息和合并消息��。7. 根據(jù)權(quán)利要求6所述的系統(tǒng)消息處理方法�,其特征在于,所述收集器將具有至少一個 歸一化屬性的內(nèi)容相同的多個歸一化消息合并生成合并消息���,具體包括: 所述至少一個歸一化屬性包括自定義事件ID�,傳感器類型����,傳感器IP,源IP和目的IP����, 所述合并生成合并消息包括: 將進行合并的第一個歸一化消息中的事件發(fā)生時間確定為合并消息中的事件發(fā)生時 間��, 將進行合并的最后一個歸一化消息中的事件結(jié)束時間確定為合并消息中的事件結(jié)束 時間�����, 將合并的所有歸一化消息中的事件發(fā)生次數(shù)相加得到的和確定為合并消息中的事件 發(fā)生次數(shù)��。8. -種收集器���,其特征在于,包括: 接收模塊����,用于接收傳感器發(fā)送的系統(tǒng)消息, 匹配模塊���,用于將所述系統(tǒng)消息和與預(yù)存的與所述傳感器一一對應(yīng)的規(guī)則文件進行匹 配�����,所述規(guī)則文件包括至少一個規(guī)則條目��,所述規(guī)則條目為系統(tǒng)消息與相應(yīng)的處理規(guī)則之 間的對應(yīng)關(guān)系, 歸一化模塊,用于將匹配的系統(tǒng)消息進行歸一化處理�,生成與所述系統(tǒng)消息一一對應(yīng) 的歸一化消息,所述歸一化消息為具有統(tǒng)一的歸一化屬性的文件���, 輸出模塊���,用于輸出所述歸一化消息。9. 根據(jù)權(quán)利要求8所述的收集器�,其特征在于: 所述匹配模塊,具體用于在匹配成功的系統(tǒng)消息中直接提取的提取屬性���,和收集器根 據(jù)所述匹配成功的系統(tǒng)消息進行回填的回填屬性�����,所述系統(tǒng)消息為傳感器根據(jù)不同的系統(tǒng) 事件生成的自定義的事件記錄消息����, 所述提取屬性包括:所述提取屬性包括:帳號����,源IP,源端口���,目的IP�,目的端口,協(xié)議類 型�,事件發(fā)生時間,事件結(jié)束時間���,事件發(fā)生次數(shù)�,事件摘要����,訪問的網(wǎng)站,訪問的DNS�,整形 保留屬性,字符串類型保留屬性�����, 所述回填屬性包括:歸一化事件級別��,客戶ID��,自定義事件ID�,自定義事件類型,傳感器ID��,傳感器IP,傳感器掩碼��,傳感器類型���,收集器ID,收集器IP����,系統(tǒng)消息接收時間,原始日 ν·��、ι���、〇10. 根據(jù)權(quán)利要求9所述的收集器���,其特征在于: 所述匹配模塊,具體用于根據(jù)匹配成功的系統(tǒng)消息中自定義的事件類型和預(yù)設(shè)的歸一 化事件級別對應(yīng)關(guān)系��,確定歸一化事件級別����,所述預(yù)設(shè)的歸一化事件級別對應(yīng)關(guān)系,為匹配 成功的系統(tǒng)消息中的自定義的事件類型和歸一化事件級別之間一一對應(yīng)的關(guān)系�。11. 根據(jù)權(quán)利要求8所述的收集器���,其特征在于,還包括: 編碼統(tǒng)一模塊��,用于將具有不同的字符編碼方式的系統(tǒng)消息轉(zhuǎn)換為具有統(tǒng)一的字符編 碼方式的系統(tǒng)消息�����。12. 根據(jù)權(quán)利要求8所述的收集器���,其特征在于: 所述匹配模塊�����,具體用于當收集器接收到的系統(tǒng)消息與預(yù)存的與所述傳感器一一對應(yīng) 的規(guī)則文件不匹配時��,收集器將接收到的系統(tǒng)消息與預(yù)存的其他傳感器對應(yīng)的規(guī)則文件進 行匹配��。13. 根據(jù)權(quán)利要求8所述的收集器����,其特征在于����,還包括: 合并模塊�,用于在預(yù)設(shè)時間范圍內(nèi)將具有至少一個歸一化屬性內(nèi)容相同的多個歸一化 消息合并����,生成合并消息,所述合并消息為與歸一化消息具有統(tǒng)一的歸一化屬性的事件記 錄���, 所述輸出模塊,具體用于輸出所述歸一化消息和合并消息���。14.根據(jù)權(quán)利要求13所述的收集器����,其特征在于: 所述合并模塊��,具體用于所述至少一個歸一化屬性包括自定義事件ID�,傳感器類型,傳 感器IP���,源IP和目的IP���, 所述合并生成合并消息包括:將進行合并的第一個歸一化消息中的事件發(fā)生時間確定 為合并消息中的事件發(fā)生時間,將進行合并的最后一個歸一化消息中的事件結(jié)束時間確定 為合并消息中的事件結(jié)束時間�����,將合并的所有歸一化消息中的事件發(fā)生次數(shù)相加得到的和 確定為合并消息中的事件發(fā)生次數(shù)。
【專利摘要】本發(fā)明提供一種系統(tǒng)消息處理方法����,應(yīng)用于包括傳感器和收集器的系統(tǒng)消息處理系統(tǒng)中,所述一個收集器與至少一個所述傳感器連接��,包括收集器接收傳感器發(fā)送的系統(tǒng)消息�����,收集器將所述系統(tǒng)消息和與預(yù)存的與所述傳感器一一對應(yīng)的規(guī)則文件進行匹配�,收集器將匹配的系統(tǒng)消息進行歸一化處理,生成與所述系統(tǒng)消息一一對應(yīng)的歸一化消息����,收集器輸出所述歸一化消息。本發(fā)明能夠?qū)⒕钟蚓W(wǎng)中不同設(shè)備所發(fā)送的系統(tǒng)消息進行歸一化處理�����,為分析和數(shù)據(jù)挖掘提供了數(shù)據(jù)�,便于局域網(wǎng)系統(tǒng)消息的統(tǒng)一管理和監(jiān)控。
【IPC分類】H04L29/08, H04L12/24
【公開號】CN105450459
【申請?zhí)枴緾N201511023137
【發(fā)明人】劉鵬, 張權(quán), 荊華娟
【申請人】中電長城網(wǎng)際系統(tǒng)應(yīng)用有限公司
【公開日】2016年3月30日
【申請日】2015年12月30日