[发明专利]一种数据处理方法及存储设备

说明书

本发明公开了一种数据处理方法及存储设备，以至少解决目前管理员在进行会话的日志数据查询时效率低的问题。方法包括：存储设备接收日志存储请求，该日志存储请求携带会话的日志数据；确定该日志数据的第一级目录的索引值，该第一级目录的索引值用E0表示；确定该日志数据的第二级目录的索引值，该第二级目录的索引值用B0表示；确定该日志数据对应的第三级目录的索引值，该第三级目录的索引值用(X0，Y0)表示，(X0，Y0)代表在以(E0，B0)为原点，以会话的结束时间为横坐标系，以会话的开始时间为纵坐标系的第一直角坐标系中横坐标为X0、纵坐标为Y0的一个坐标点；根据E0、B0和(X0，Y0)存储该日志数据。本发明适用于存储技术领域。

技术领域

本发明涉及存储技术领域，尤其涉及一种数据处理方法及存储设备。

背景技术

高级持续性威胁(advanced persistent threat，APT)是一种利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。从攻击原理分析，APT攻击的高级性体现在攻击者在发动APT攻击之前需要精确地收集攻击对象的业务流程信息。在收集业务流程信息的过程中，攻击者会主动分析被攻击对象所使用的应用程序的漏洞，利用这些漏洞实施攻击。

为了应对APT，对APT攻击实施过程中的信息收集行为进行溯源，现有技术在企业网接入核心网的位置部署采集器。采集器将采集到的日志数据上报给存储服务器。管理员在发生一些关键的安全事件后，可以通过存储服务器安装的查询软件，例如网络安全智能系统(cybersecurity intelligent system，CIS)对这些关键事件进行溯源，例如通过查询会话的日志数据分析攻击者所使用的攻击网络，攻击模式等等。按时间段对会话的日志数据进行查询是最常用的一种查询方式。按时间段查询会话的日志数据的匹配过程是：存储服务器中存储的每条会话的日志数据至少包含该会话的开始时间和结束时间。管理员输入一个时间段作为查询条件，查询软件取出每条会话的日志数据，如果由该日志数据中包含的会话的开始时间和结束时间构成的时间段与管理员输入的时间段有交集，则确定该会话的日志数据为符合查询条件的会话的日志数据。

存储服务器在接收采集器发送的会话的日志数据时，会记录接收时间，存储服务器按照该接收时间来保存日志数据，例如按照将每天收到的日志数据保存到一个单独的目录的方式，将会话的日志数据存储到非关系型(nosql)数据库中。管理员在进行会话的日志数据查询时，在查询软件提供的页面上输入查询时间段发起查询过程。存储服务器根据该查询时间段选择对应的目录，进一步将该目录中保存的日志数据与输入的查询时间段进行匹配，将符合查询条件的日志数据返回给用户。其中，在nosql数据库中查询每一条会话的日志数据时，需要根据管理员输入的时间段和会话的日志数据中包含的会话本身发生的时间进行比较。

一方面，由于存储服务器存储日志数据时，是按照存储服务器接收日志数据的时间存储会话的日志数据。存储服务器接收日志数据的时间和会话本身发生的时间可能并不一致，符合查询条件的日志数据并非全部保存在根据接收时间生成的目录中，因此可能存在查不全的问题。另一方面，在目录中查询会话的日志数据时，需要遍历该目录中每一条会话的日志数据，来判断用户的查询时间和会话本身发生的时间是否存在交集，进而过滤出符合条件的会话的日志数据。这样需要耗费存储服务器的处理器和存储器之间大量的输入输出(input-output，IO)操作，而且查询结果返回的时间不可控。由于在最坏情况下，目录中保存的最后一个会话的日志数据是符合查询条件的会话的日志数据，因此存储服务器需要遍历目录中所有会话的日志数据才能完成查询，查询效率较低。

发明内容

本发明实施例提供一种数据处理方法及存储设备，以至少解决目前管理员在进行会话的日志数据查询时效率低的问题。

为达到上述目的，本发明实施例提供如下技术方案：