[发明专利]一种安全事件源集成系统及其实现方法

说明书

技术领域

本发明涉及网络安全领域，特别涉及一种安全事件源集成系统及其实 现方法。

背景技术

目前，随着由入侵检测系统、防火墙、防病毒软件等各类安全设备所 组成的具有整体安全解决方案的中、大型乃至特大型网络环境的构建，各 种异构的安全事件源正在不断地涌现，业务需求也随之不断提高。因此， 各类异构安全事件源的集成已经成为了安全事件管理领域无法回避的问 题。异构安全事件源集成系统的目标就是处理和集成各类安全事件源发来 的安全事件数据。

尽管目前的数据源集成技术在其他领域的应用已经取得了许多进展， 例如地理信息的多源融合、多传感器数据融合等，有效地整合了领域内的 各类业务数据并解决了“信息孤岛”的问题，但是在安全事件源集成领域 的应用却显得不尽人意。纵观目前己有的安全事件源集成系统，常常是为 了应对某些特定的业务需求而开发的，因此往往架构混乱甚至根本没有架 构的概念。这种随意性很大的集成方式往往存在着如下问题：

①可扩展性不高，内部耦合度普遍较高，各模块之间联系过于紧密。 从而导致了系统缺乏灵活性，无法很好地适应未来的安全事件源变动所带 来的业务需求变化。

②系统可复用性较差，诸如添加新的安全事件源或抛弃旧的安全事件 源等的安全事件源微小变化往往导致不得不对已有系统做出较大的改动， 甚至是重新开发全新的系统。

③可维护性普遍较低，缺乏一种有效的全局维护管理机制，使得集成 系统的维护仍然停留在十分初级的阶段。

④系统的智能化水平普遍较低，操作的自动化水平不高，往往还需要 有大量的人工参与，影响了系统效率的发挥。

现有的安全事件源集成系统之所以存在以上诸多不足之处，其根本的 原因在于不是一种结构合理、层次分明、易于管理并且具有高度可扩展性 的软件架构。因此，迫切需要一种可配置、可扩展、可插拔和自适应的全 新异构安全事件源集成系统，从而在根本上解决目前现有系统中存在的上 述不足。

发明内容

本发明要解决的技术问题是提供一种安全事件源集成系统及其实现 方法，使得该系统能够具有可配置、可扩展、可插拔及自适应等良好特性。

根据本发明的一个方面，提供了一种安全事件源集成系统，包括：

代理图表模型，其包括代理，所述代理至少包括源代理、转换代理和 递交代理，其中所述源代理用于将来自安全事件源的数据存储在安全事件 变量中，所述转换代理用于接收所述安全事件变量并进行转换处理，所述 递交代理用于接收所述转换处理后的安全事件变量并传递到指定的集成 库，所述代理通过接口相连；

代理图表配置库，用于存储配置信息；

代理图表管理器，用于根据所述配置信息生成并初始化所述代理图表 模型的所述代理，并且启动源代理。

上述集成系统中，所述转换处理包括：剔除存储所述来自安全事件源 的数据的安全事件变量中不需要的内容，计算存储所述来自安全事件源的 数据的安全事件变量中的数值变量，拆分或合并存储所述来自安全事件源 的数据的安全事件变量中的字符串变量，和/或将一个存储所述来自安全事 件源的数据的安全事件变量拆分或重组为一个或多个粒度更细的二级变 量。

上述集成系统中，所述来自安全事件源的数据是由所述源代理主动抽 取或被动接收的。

上述集成系统中，所述源代理、所述转换代理和所述递交代理中的任 意一个可以被划分为多个层次的代理。

上述集成系统中，所述配置信息采用树状结构的组织方式。

上述集成系统中，所述树状结构的根节点为代理图表模型的标识；所 述树状结构的一级代理子节点为所述代理图表模型的组成信息；所述树状 结构的二级属性子节点为所述代理图表模型所包括的所述代理的属性信 息。

上述集成系统中，所述接口是针。

根据本发明的另一方面，还提供了一种安全事件源集成系统的实现方 法，包括：

1)确定代理图表模型的代理及其功能需求和业务逻辑，实现所述代 理，所述代理至少包括源代理、转换代理和递交代理，其中所述源代理用 于将来自安全事件源的数据存储在安全事件变量中，所述转换代理用于接 收所述安全事件变量并进行转换处理，所述递交代理用于接收所述转换处 理后的安全事件变量并传递到指定的集成库，所述代理通过接口相连；

2)根据所述代理确定配置信息；