本發明專利技術提供了一種海量安全事件存儲方法。涉及電力信息領域;解決了安全事件存儲效率低下的問題。該方法包括:配置安全事件內存緩沖池,所述安全事件內存緩沖池包括存儲活躍類型安全事件第一子緩沖區、存儲非活躍類型安全事件的第二子緩沖區以及存儲公用的管理信息和監控信息的全局工作區三個子緩沖區組成,每個子緩沖區都包含存儲接口與讀取接口;對待存儲的安全事件進行活躍度評估;根據評估結果將所述安全事件存儲至所述第一子緩沖區或所述第二子緩沖區。本發明專利技術提供的技術方案適用于電力信息網絡,實現了通過內存緩沖池對安全事件分類分區存儲。
【技術實現步驟摘要】
本專利技術設及電力信息網絡領域,尤其設及一種。
技術介紹
隨著電力網絡智能化的提升,電力信息網絡中部署的應用系統和各種設備的數量 急劇增加,對復雜環境下IT操作的有效、及時審計分析極為迫切。安全審計的數據基礎是 防病毒系統、防火墻、入侵檢測系統、漏洞掃描系統、UTM、運行主機、交換機、路由器、數據庫 系統、中間件等日志事件、狀態事件和網絡數據包信息。在目前的網絡環境中,各種設備的 日志已經成為海量數據,syslog作為主要的日志類型,被各種操作系統,網絡設備和安全設 備廣泛支持,成為日志的重要標準,對于其他類型的日志,也可W轉換為syslog日志格式, 便于統一分析。 由于電力信息網絡安全事件數量極大,其安全事件的采集速率已經超過的每秒 10000條,對電力信息網絡IT操作審計分析的關鍵點變為如何實時、高效的讀取海量安全 事件并進行多維度的統計分析。傳統的將安全事件存儲至硬盤的數據庫中,再進行審計分 析的方式已經變得不可行,由于硬盤I/O的物理限制,首先,海量安全事件無法有效存儲, 其次,從硬盤讀取安全事件的效率也極為低下。
技術實現思路
本專利技術提供了一種,解決了安全事件存儲效率低下的問 題。-種,包括:配置安全事件內存緩沖池,所述安全事件內存緩沖池包括存儲活躍類型安全事件 第一子緩沖區、存儲非活躍類型安全事件的第二子緩沖區W及存儲公用的管理信息和監控 信息的全局工作區=個子緩沖區組成,每個子緩沖區都包含存儲接口與讀取接口;對待存儲的安全事件進行活躍度評估;根據評估結果將所述安全事件緩存至所述第一子緩沖區或所述第二子緩沖區。可選地,根據評估結果將所述安全事件存儲至所述第一子緩沖區或所述第二子緩 沖區的步驟之前,還包括: 通過對第一子緩沖區、第二子緩沖區的讀取接口調用的監控獲得各類型安全事件 被調用的次數,在一個活躍度評估周期內被調用次數越多的安全事件類型的關注度越高, 所述安全事件按照關注度分為活躍類型和非活躍類型; 根據關注度評估結果,將關注度較高的安全事件類型對應的安全事件進行優先緩 存。 可選地,該方法還包括維護一活躍安全事件類型的list,具體包括:按照預置的活躍度評估周期,持續進行W安全事件類型為中屯、的事件歸并計算, 當一個活躍度評估周期達到時,根據W下步驟進行活躍度評估計算: 根據W下表達式計算各安全事件類型活躍度:【主權項】1. 一種,其特征在于,包括: 配置安全事件內存緩沖池,所述安全事件內存緩沖池包括存儲活躍類型安全事件第一 子緩沖區、存儲非活躍類型安全事件的第二子緩沖區以及存儲公用的管理信息和監控信息 的全局工作區三個子緩沖區組成,每個子緩沖區都包含存儲接口與讀取接口; 對待存儲的安全事件進行活躍度評估; 根據評估結果將所述安全事件緩存至所述第一子緩沖區或所述第二子緩沖區。2. 根據權利要求1所述的,其特征在于,根據評估結果將所述 安全事件存儲至所述第一子緩沖區或所述第二子緩沖區的步驟之前,還包括: 通過對第一子緩沖區、第二子緩沖區的讀取接口調用的監控獲得各類型安全事件被調 用的次數,在一個活躍度評估周期內被調用次數越多的安全事件類型的關注度越高,所述 安全事件按照關注度分為活躍類型和非活躍類型; 根據關注度評估結果,將關注度較高的安全事件類型對應的安全事件進行優先緩存。3. 根據權利要求2所述的,其特征在于,該方法還包括維護一 活躍安全事件類型的list,具體包括: 按照預置的活躍度評估周期,持續進行以安全事件類型為中心的事件歸并計算,當一 個活躍度評估周期達到時,根據以下步驟進行活躍度評估計算: 根據以下表達式計算各安全事件類型活躍度:根據以下表達式計算各安全事件類型的平均活躍度:根據以下表達式判定安全事件的活躍度: Pi 彡 APi*(l. 1), 其中,Ti表示安全事件類型,N表示采集周期內出現的安全事件類型的總數,Ci表示本 周期Ti類型安全事件的總數量,Pi表示采集周期內Ti類型事件占總事件量的百分比,APi 表示各安全事件類型的平均活躍度; 生成包括各安全事件類型的平均活躍度的活躍安全事件類型的list。4. 根據權利要求3所述的,其特征在于,對待存儲的安全事件 進行活躍度評估包括: 判斷采集到的安全事件的安全事件類型是否被所述活躍安全事件類型的list所包 含; 如果采集到的安全事件的安全事件類型存在于所述list中,則輸入活躍類型安全事 件,將該安全事件存入第一子緩沖區; 如果采集到的安全事件的安全事件類型不存在于所述list中,則輸入非活躍類型安 全事件,將該安全事件存入第二子緩沖區。5. 根據權利要求1所述的,其特征在于, 各子緩沖區分別采用緩存隊列數據結構,環形隊列存儲的元素的數據結構是一段時間 內同類型安全事件組成的事件隊列組,不同的事件隊列組相互獨立。6. 根據權利要求5所述的,其特征在于, 所述事件隊列組的形成周期與安全事件的采集周期一致,每個事件隊列組都包含一周 期標記。7. 根據權利要求5所述的,其特征在于,該方法還包括: 所述安全事件緩存池采用共享信息黑板來設定一個公共的計時器,來記錄安全事件采 集周期; 當一個采集器周期達到時,或者當事件隊列組占用的存儲空間達到預置的空間限制閾 值時,以所述事件隊列組為最小元素,向外輸出包含安全事件的數據。8. 根據權利要求1所述的,其特征在于,該方法還包括所述全 局工作區存儲和計算安全事件采集流速,具體包括: 按照預置的采集周期持續對安全事件的數量進行計數,計數內容包括總事件量、活躍 類型安全事件量和非活躍類型安全事件量; 在一個采集周期結束后,進行安全事件采集流速計算,包括: 根據以下表達式計算總的安全事件平均流速: T=總事件量/20, 根據以下表達式計算活躍類型安全事件流速: Tl =活躍類型安全事件量/20, 根據以下表達式計算非活躍類型安全事件流速: T2 =非活躍類型安全事件量/20。9. 根據權利要求8所述的,其特征在于,該方法還包括: 所述全局工作區存儲所述第一子緩沖區和所述第二子緩沖區的空間大小信息,該信息 根據安全事件采集流速進行動態調整; 每采集周期根據全局工作區指定的空間大小對所述第一子緩沖區和/或所述第二子 緩沖區進行擴充或縮減。10. 根據權利要求2所述的,其特征在于,安全事件類型關注度 評估方法為:以5分鐘為關注度評估周期,通過對第一、二子緩沖區的讀取接口調用的監控 獲得各類型安全事件被調用的次數,以該評估周期被調用次數最多的安全事件類型作為關 注度最高的事件類型。11. 根據權利要求2所述的,其特征在于,該方法還包括: 當第一子緩沖區和/或第二子緩沖區被占用的存儲空間達到上限時,以事件隊列組為 基本元素進行對所述子緩沖區的清理,包括: 當任一或全部子緩沖區空間占用超過預置的緩沖區占用比例上限時開始清理,優先刪 除最老的事件隊列組。12. 根據權利要求11所述的,其特征在于, 當最老的事件隊列組對應關注度最高的安全事件類型時,則對該事件隊列組不進行刪 除,優先刪除其他安全事件類型的事件隊列組。13. 根據權利要求11所述的,其特征在于,當任一或全部子緩 沖區空間占用低于預置的緩沖區清理門限時停止清理。14.根據本文檔來自技高網...
【技術保護點】
一種海量安全事件存儲方法,其特征在于,包括:配置安全事件內存緩沖池,所述安全事件內存緩沖池包括存儲活躍類型安全事件第一子緩沖區、存儲非活躍類型安全事件的第二子緩沖區以及存儲公用的管理信息和監控信息的全局工作區三個子緩沖區組成,每個子緩沖區都包含存儲接口與讀取接口;對待存儲的安全事件進行活躍度評估;根據評估結果將所述安全事件緩存至所述第一子緩沖區或所述第二子緩沖區。
【技術特征摘要】
...
【專利技術屬性】
技術研發人員:陳連棟,白濤,劉成龍,張磊,李井泉,宋崢崢,趙煒,孔明,黃鏡宇,崔志坤,王靜,辛銳,付強,王震,周文芳,
申請(專利權)人:國家電網公司,國網河北省電力公司信息通信分公司,
類型:發明
國別省市:北京;11
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。