技術領域

本發明涉及網絡安全領域，特別涉及一種安全事件源集成系統及其實 現方法。

背景技術

目前，隨著由入侵檢測系統、防火墻、防病毒軟件等各類安全設備所 組成的具有整體安全解決方案的中、大型乃至特大型網絡環境的構建，各 種異構的安全事件源正在不斷地涌現，業務需求也隨之不斷提高。因此， 各類異構安全事件源的集成已經成為了安全事件管理領域無法回避的問 題。異構安全事件源集成系統的目標就是處理和集成各類安全事件源發來 的安全事件數據。

盡管目前的數據源集成技術在其他領域的應用已經取得了許多進展， 例如地理信息的多源融合、多傳感器數據融合等，有效地整合了領域內的 各類業務數據并解決了“信息孤島”的問題，但是在安全事件源集成領域 的應用卻顯得不盡人意。縱觀目前己有的安全事件源集成系統，常常是為 了應對某些特定的業務需求而開發的，因此往往架構混亂甚至根本沒有架 構的概念。這種隨意性很大的集成方式往往存在著如下問題：

①可擴展性不高，內部耦合度普遍較高，各模塊之間聯系過于緊密。 從而導致了系統缺乏靈活性，無法很好地適應未來的安全事件源變動所帶 來的業務需求變化。

②系統可復用性較差，諸如添加新的安全事件源或拋棄舊的安全事件 源等的安全事件源微小變化往往導致不得不對已有系統做出較大的改動， 甚至是重新開發全新的系統。

③可維護性普遍較低，缺乏一種有效的全局維護管理機制，使得集成 系統的維護仍然停留在十分初級的階段。

④系統的智能化水平普遍較低，操作的自動化水平不高，往往還需要 有大量的人工參與，影響了系統效率的發揮。

現有的安全事件源集成系統之所以存在以上諸多不足之處，其根本的 原因在于不是一種結構合理、層次分明、易于管理并且具有高度可擴展性 的軟件架構。因此，迫切需要一種可配置、可擴展、可插拔和自適應的全 新異構安全事件源集成系統，從而在根本上解決目前現有系統中存在的上 述不足。

發明內容

本發明要解決的技術問題是提供一種安全事件源集成系統及其實現 方法，使得該系統能夠具有可配置、可擴展、可插拔及自適應等良好特性。

根據本發明的一個方面，提供了一種安全事件源集成系統，包括：

代理圖表模型，其包括代理，所述代理至少包括源代理、轉換代理和 遞交代理，其中所述源代理用于將來自安全事件源的數據存儲在安全事件 變量中，所述轉換代理用于接收所述安全事件變量并進行轉換處理，所述 遞交代理用于接收所述轉換處理后的安全事件變量并傳遞到指定的集成 庫，所述代理通過接口相連；

代理圖表配置庫，用于存儲配置信息；

代理圖表管理器，用于根據所述配置信息生成并初始化所述代理圖表 模型的所述代理，并且啟動源代理。

上述集成系統中，所述轉換處理包括：剔除存儲所述來自安全事件源 的數據的安全事件變量中不需要的內容，計算存儲所述來自安全事件源的 數據的安全事件變量中的數值變量，拆分或合并存儲所述來自安全事件源 的數據的安全事件變量中的字符串變量，和/或將一個存儲所述來自安全事 件源的數據的安全事件變量拆分或重組為一個或多個粒度更細的二級變 量。

上述集成系統中，所述來自安全事件源的數據是由所述源代理主動抽 取或被動接收的。

上述集成系統中，所述源代理、所述轉換代理和所述遞交代理中的任 意一個可以被劃分為多個層次的代理。

上述集成系統中，所述配置信息采用樹狀結構的組織方式。

上述集成系統中，所述樹狀結構的根節點為代理圖表模型的標識；所 述樹狀結構的一級代理子節點為所述代理圖表模型的組成信息；所述樹狀 結構的二級屬性子節點為所述代理圖表模型所包括的所述代理的屬性信 息。

上述集成系統中，所述接口是針。

根據本發明的另一方面，還提供了一種安全事件源集成系統的實現方 法，包括：

1)確定代理圖表模型的代理及其功能需求和業務邏輯，實現所述代 理，所述代理至少包括源代理、轉換代理和遞交代理，其中所述源代理用 于將來自安全事件源的數據存儲在安全事件變量中，所述轉換代理用于接 收所述安全事件變量并進行轉換處理，所述遞交代理用于接收所述轉換處 理后的安全事件變量并傳遞到指定的集成庫，所述代理通過接口相連；

2)根據所述代理確定配置信息；