[发明专利]海量安全事件存储方法

说明书

技术领域

本发明涉及电力信息网络领域，尤其涉及一种海量安全事件存储方法。

背景技术

随着电力网络智能化的提升，电力信息网络中部署的应用系统和各种设备的数量急剧增加，对复杂环境下IT操作的有效、及时审计分析极为迫切。安全审计的数据基础是防病毒系统、防火墙、入侵检测系统、漏洞扫描系统、UTM、运行主机、交换机、路由器、数据库系统、中间件等日志事件、状态事件和网络数据包信息。在目前的网络环境中，各种设备的日志已经成为海量数据，syslog作为主要的日志类型，被各种操作系统，网络设备和安全设备广泛支持，成为日志的重要标准，对于其他类型的日志，也可以转换为syslog日志格式，便于统一分析。

由于电力信息网络安全事件数量极大，其安全事件的采集速率已经超过的每秒10000条，对电力信息网络IT操作审计分析的关键点变为如何实时、高效的读取海量安全事件并进行多维度的统计分析。传统的将安全事件存储至硬盘的数据库中，再进行审计分析的方式已经变得不可行，由于硬盘I/O的物理限制，首先，海量安全事件无法有效存储，其次，从硬盘读取安全事件的效率也极为低下。

发明内容

本发明提供了一种海量安全事件存储方法，解决了安全事件存储效率低下的问题。

一种海量安全事件存储方法，包括：

配置安全事件内存缓冲池，所述安全事件内存缓冲池包括存储活跃类型安全事件第一子缓冲区、存储非活跃类型安全事件的第二子缓冲区以及存储公用的管理信息和监控信息的全局工作区三个子缓冲区组成，每个子缓冲区都包含存储接口与读取接口；

对待存储的安全事件进行活跃度评估；

根据评估结果将所述安全事件缓存至所述第一子缓冲区或所述第二子缓冲区。

可选地，根据评估结果将所述安全事件存储至所述第一子缓冲区或所述第二子缓冲区的步骤之前，还包括：

通过对第一子缓冲区、第二子缓冲区的读取接口调用的监控获得各类型安全事件被调用的次数，在一个活跃度评估周期内被调用次数越多的安全事件类型的关注度越高，所述安全事件按照关注度分为活跃类型和非活跃类型；

根据关注度评估结果，将关注度较高的安全事件类型对应的安全事件进行优先缓存。

可选地，该方法还包括维护一活跃安全事件类型的list，具体包括：

按照预置的活跃度评估周期，持续进行以安全事件类型为中心的事件归并计算，当一个活跃度评估周期达到时，根据以下步骤进行活跃度评估计算：

根据以下表达式计算各安全事件类型活跃度：

根据以下表达式判定安全事件的活跃度：

Pi≥APi*(1.1)，

其中，Ti表示安全事件类型，N表示采集周期内出现的安全事件类型的总数，Ci表示本周期Ti类型安全事件的总数量，Pi表示采集周期内Ti类型事件占总事件量的百分比，APi表示各安全事件类型的平均活跃度；

生成包括各安全事件类型的平均活跃度的活跃安全事件类型的list。

可选地，对待存储的安全事件进行活跃度评估包括：

判断采集到的安全事件的安全事件类型是否被所述活跃安全事件类型的list所包含；

如果采集到的安全事件的安全事件类型存在于所述list中，则输入活跃类型安全事件，将该安全事件存入第一子缓冲区；

如果采集到的安全事件的安全事件类型不存在于所述list中，则输入非活跃类型安全事件，将该安全事件存入第二子缓冲区。

可选地，各子缓冲区分别采用缓存队列数据结构，环形队列存储的元素的数据结构是一段时间内同类型安全事件组成的事件队列组，不同的事件队列组相互独立。

可选地，所述事件队列组的形成周期与安全事件的采集周期一致，每个事件队列组都包含一周期标记。

可选地，该方法还包括：

所述安全事件缓存池采用共享信息黑板来设定一个公共的计时器，来记录安全事件采集周期；

当一个采集器周期达到时，或者当事件队列组占用的存储空间达到预置的空间限制阈值时，以所述事件队列组为最小元素，向外输出包含安全事件的数据。

可选地，该方法还包括所述全局工作区存储和计算安全事件采集流速，具体包括：

按照预置的采集周期持续对安全事件的数量进行计数，计数内容包括总事件量、活跃类型安全事件量和非活跃类型安全事件量；

在一个采集周期结束后，进行安全事件采集流速计算，包括：

根据以下表达式计算总的安全事件平均流速：