[发明专利]一种网络集中管理平台上的事件处理系统和方法

说明书

技术领域

本发明是一种网络集中管理平台上的事件处理系统和方法，涉及计算机系统集成及应用技术，涉及网络安全中集中管理平台软件事件过滤规则管理系统的建立。

背景技术

随着网络环境规模的日益扩大，网络中各种设备的数量也急剧增加，这包括各种路由交换设备，存储设备和众多的安全设备，比如防火墙，IDS等等。

对众多的安全设备进行统一管理是实现全网安全的高效手段，这其中涉及到的一个重要环节就是对全网各种各样的事件进行分析，分析的主要途径就是通过安全管理平台的规则检验对接收到的事件进行判断，以发掘问题并触发动作。

安全集中管理平台会接收各种设备发来的事件信息。这些事件信息会经过安全管理平台中的规则过滤，判断某事件是否符合预先制定的策略，并决定是否应该触发相关的动作。

规则主要由条件和动作两部分组成，条件主要是逻辑表达式。

由于系统往往设置多条规则，而且安全管理平台处理的是全网各类事件，那么对规则处理的效率有较高要求，这取决于规则处理的方式，规则往往是一段普通文本描述，以往大多采用对规则解释执行的方式，即分析规则文本内容，然后再结合接收到的事件进行判断的方式进行。解释规则并不事先处理规则的内容，而是收到事件后再读取文本，然后执行判断条件的整体过程。解释规则的行为并没有将这一整体过程进行分解。从而导致每次对收到的事件进行逻辑判断时，都需要进行上述完整的执行过程。每次解释规则往往耗费了大量时间。

其次，网络中的设备变化更新很快，这对规则处理的灵活性要求较高，以往的规则判断，往往只能满足某些类型设备事件的判断，即某些规则条件的解释范围是固定的，当需要支持新的事件分析时，需要对规则引擎进行较大的改动才能满足要求。

发明内容

本发明正是针对现在技术中存在的缺陷而设计提供一种网络集中管理平台上的事件处理系统和方法。该系统采取了灵活的规则引擎结构，不采用解释执行规则的方式，而是采用预编译的方式处理规则，在规则创建的时刻就将规则编译成可以直接进行逻辑判断的内存结构放在系统的规则缓存中，在处理事件时，直接计算逻辑表达式的值，其目的是节省了每次都要解析文本规则内容而耗费的时间。

另外，网络集中管理平台上的事件处理系统还通过连接一个接口模块，就可以嵌入其他各种类型的逻辑判断方式，并将其通过规则添加模块导入到内存中。这使得系统具有良好的扩充和接入第三方判断的能力。

本发明的目的是通过以下技术方案来实现的：

首先，本发明技术方案设计提供了一种网络集中管理平台上的事件处理系统，包括作为宿主的服务器和网络设备，其特征在于：该系统包括：

A一个数据内存模块，用于将规则按照一定的格式存储在计算机的内存当中；包括：

一个逻辑表达模块，规则的逻辑表达形式，它按照规则编号索引规则内容；

一个动态取值模块，用于实时映射需要被规则检验的变量的值；

一个逻辑判断模块，连接至所述逻辑表达模块和动态取值模块，用于将规则组织成计算机能够直接操作的规则格式；

B一个规则管理模块，用于维护数据内存驻留模块；包括：

一个规则导入模块，连接至所述数据存贮模块中的逻辑表达模块，用于提取磁盘文件中的规则内容；

一个规则编译模块，连接至所述规则导入模块，用于将文本描述的规则内容经过处理变为计算机可以直接操作的规则格式；

C一个规则执行模块，用于判断网络事件对设定规则的满足程度，包括：

一个规则判断模块，连接至所述数据存贮模块中的逻辑判断模块，用于计算规则的结果，它以网络事件为输入条件，如果满足规则，则以触发的动作为输出；

一个事件参数设置模块，连接至所述数据存贮模块中的动态取值模块和上述规则判断模块，它将接收到的网络事件中的数据内容提取出来，并按照规则约定的变量名称将变量名和变量对应的值交给动态取值模块，同时向规则判断模块发出请求事件处理的指令。

规则管理模块还包括：一个规则添加模块，连接至所述规则编译模块，用于从磁盘文件中读取规格文件，并将其导入到内存中。

规则添加模块连接一个接口模块，用于嵌入其他各种类型的逻辑判断方式，并将其通过规则添加模块导入到内存中。

规则管理模块还包括：一个规则更新模块，连接至所述规则编译模块，用于更改内存中规则集中指定规则的内容，同时更新磁盘文件中的规则内容。

规则管理模块还包括：一个规则查询模块，连接至所述逻辑表达模块，用于查找内容中指定条件的规则内容