東軟安全運(yùn)維管理平臺(tái)V50詳細(xì)技術(shù)介紹方案v20

1、東軟安全運(yùn)維管理平臺(tái)詳細(xì)技術(shù)介紹方案（v2.0）東軟公司2011年3月更改履歷版本號(hào)更改時(shí)間章節(jié)號(hào)狀態(tài)更改簡要描述更改人批準(zhǔn)人v1.0曹鵬v1.1曹鵬v1.22010-9-4曹鵬v2.02011-3-10m侯小東注：狀態(tài)可以為n-新建、a-增加、m-更改、d-刪除。目 錄一、東軟安全運(yùn)維管理平臺(tái)5.0系統(tǒng)亮點(diǎn)11.1觸摸屏的全新操作模式11.2以晴雨表形象化比擬安全狀態(tài)21.3業(yè)務(wù)系統(tǒng)的全面監(jiān)控21.4基于地圖或者組織結(jié)構(gòu)的監(jiān)控預(yù)警31.5海量異構(gòu)數(shù)據(jù)收集、智能分析31.6平臺(tái)支撐設(shè)備的運(yùn)維細(xì)致到位3二、系統(tǒng)總體規(guī)劃設(shè)計(jì)52.1系統(tǒng)業(yè)務(wù)架構(gòu)52.2系統(tǒng)功能架構(gòu)62.3系統(tǒng)數(shù)據(jù)架構(gòu)8三、東軟安全

2、運(yùn)維管理平臺(tái)的技術(shù)路線103.1數(shù)據(jù)采集之“信息資源轉(zhuǎn)換”103.2數(shù)據(jù)采集之“海量異構(gòu)數(shù)據(jù)集成”103.3數(shù)據(jù)分析之“信息安全指數(shù)模型”133.4數(shù)據(jù)分析之“風(fēng)險(xiǎn)分析模型”143.5數(shù)據(jù)分析之“多源告警數(shù)據(jù)交叉確認(rèn)機(jī)制”153.6數(shù)據(jù)分析之“安全審計(jì)模型”16四、核心功能184.1安全監(jiān)控184.1.1宏觀的安全態(tài)勢展示184.1.2靈活的報(bào)警統(tǒng)計(jì)分析204.1.3基于地圖/組織結(jié)構(gòu)的監(jiān)控預(yù)警204.1.4業(yè)務(wù)系統(tǒng)的深度監(jiān)控214.1.5以責(zé)任單位為視角的宏觀分析234.1.6對重要業(yè)務(wù)系統(tǒng)的宏觀分析244.2運(yùn)維管理254.2.1整體技術(shù)分析從全局角度關(guān)注安全254.2.2資產(chǎn)管理模塊26

3、責(zé)任單位管理2監(jiān)控中心管理284.2.3安全報(bào)警管理與分析模塊2詳細(xì)的安全報(bào)警展現(xiàn)2廣泛的數(shù)據(jù)采集范圍30靈活多樣的數(shù)據(jù)采集方式3分布式可自定義的事件采集策略3采集模塊的多重合理化工作設(shè)計(jì)3自主設(shè)計(jì)避免事件誤告與漏告的核心關(guān)聯(lián)分析框架介紹3基于統(tǒng)計(jì)的關(guān)聯(lián)分析使告警事件信息更加準(zhǔn)確3基于規(guī)則的關(guān)聯(lián)分析完成告警事件信息的深度挖掘354.2.4性能故障報(bào)警分析模塊434.2.5業(yè)務(wù)系統(tǒng)綜合分析模塊4業(yè)務(wù)系統(tǒng)安全狀況匯總444.2.

4、5.2完整性檢測4安全性檢測4可用性檢測4業(yè)務(wù)系統(tǒng)監(jiān)控策略464.2.6符合國內(nèi)運(yùn)維習(xí)慣的工作流管理4工單的操作4工單的管理4根據(jù)報(bào)警觸發(fā)的流程4設(shè)備使用流程4設(shè)備巡檢流程50設(shè)備升級(jí)流程5設(shè)備故障處置流程524.2.7面對不同運(yùn)維人員需求設(shè)計(jì)的報(bào)表管理模塊534.2.8業(yè)務(wù)數(shù)據(jù)監(jiān)控與處理5主機(jī)系統(tǒng)數(shù)據(jù)處理5數(shù)據(jù)庫系統(tǒng)的數(shù)據(jù)處理5中間件系統(tǒng)的數(shù)據(jù)處理594.2.9可持續(xù)升級(jí)的安全知識(shí)庫管理模

5、塊604.2.10平臺(tái)支撐設(shè)備的運(yùn)維服務(wù)614.3系統(tǒng)維護(hù)634.3.1用戶與權(quán)限管理634.3.2可擴(kuò)展的多引擎多應(yīng)用管理654.3.3基礎(chǔ)數(shù)據(jù)維護(hù)654.3.4系統(tǒng)策略配置654.3.5平臺(tái)自身操作行為的日志管理66五、產(chǎn)品部署675.3.1產(chǎn)品基本形態(tài)介紹675.3.2標(biāo)準(zhǔn)網(wǎng)絡(luò)環(huán)境部署方案675.3.3大型網(wǎng)絡(luò)規(guī)模的分布式部署方案68一、 東軟安全運(yùn)維管理平臺(tái)5.0系統(tǒng)亮點(diǎn) 中國安全管理平臺(tái)起源于國內(nèi)高端用戶的需求，發(fā)展于行業(yè)用戶的應(yīng)用，soc市場也是一直被用戶稱為具有中國特色的安全細(xì)分市場。在這個(gè)細(xì)分市場中，拼的不是硬件，而是軟件；搏的不僅僅是性能，更是功能。東軟neteye安全運(yùn)維平

6、臺(tái)(soc) v5.0版本恰恰充分利用了東軟的“軟”優(yōu)勢，憑借東軟在中國it界軟件領(lǐng)軍的技術(shù)實(shí)力，真正實(shí)現(xiàn)了東軟neteye安全運(yùn)維平臺(tái)(soc) v5.0版本的成功“軟”著陸（這里的“軟”指的是東軟強(qiáng)大的自主軟件研發(fā)能力）。2010年5月東軟正式對外發(fā)布東軟neteye安全運(yùn)維平臺(tái)(soc) v5.0版本。該新版本較之以前架構(gòu)更先進(jìn)、功能更強(qiáng)大，設(shè)計(jì)更新穎，更體現(xiàn)人性化。本次發(fā)布的東軟soc v5.0版本是東軟自2005年發(fā)布soc v1.0版本后，依靠連續(xù)5年在高端行業(yè)用戶應(yīng)用中所積累的實(shí)踐經(jīng)驗(yàn)而研發(fā)生產(chǎn)的。其中私有云的技術(shù)架構(gòu)、基于觸摸屏的操作模式、美觀的界面展示、全面的數(shù)據(jù)采集、智能的

7、關(guān)聯(lián)風(fēng)險(xiǎn)分析、事件的快速響應(yīng)和定位機(jī)制、在掌控整體安全狀況下提供的細(xì)致分析報(bào)告功能、定制開發(fā)快速實(shí)現(xiàn)用戶個(gè)性需求的軟件研發(fā)優(yōu)勢和東軟安全15年的安全行業(yè)整體解決方案服務(wù)能力，逐一在東軟neteye安全運(yùn)維平臺(tái)(soc) v5.0版本中予以實(shí)現(xiàn)。東軟neteye soc已成功實(shí)施部署在金融、電信、電力、政府、能源、航空、煙草等高端行業(yè)用戶的網(wǎng)絡(luò)系統(tǒng)中，采用模塊化的靈活部署方式，東軟soc1000系列為中小型企業(yè)提供量身定制的soc解決方案，滿足日漸提升的細(xì)分行業(yè)市場安全運(yùn)維管理需求。而東軟soc4000系列則是將不同高端用戶需求再次深度挖掘，細(xì)加工之后奉獻(xiàn)給高端用戶的一件接近完美的軟件作品。1.

8、1 觸摸屏的全新操作模式東軟neteye soc v5.0系統(tǒng)突破傳統(tǒng)的安全產(chǎn)品的鼠標(biāo)鍵盤的操作模式，在所有安全廠商中率先將觸摸屏操作機(jī)制兼容到系統(tǒng)平臺(tái)操作中，使得圖形化的人機(jī)交互界面變得更為直觀易用。由專業(yè)人員針對系統(tǒng)的圖標(biāo)形狀、文字大小、展示區(qū)域比例、導(dǎo)航伸縮等方面一一進(jìn)行了細(xì)致設(shè)計(jì)，充分考慮到觸摸屏操作時(shí)手指點(diǎn)擊、滑動(dòng)、拖動(dòng)時(shí)的有效點(diǎn)，并兼顧系統(tǒng)展示的美觀度。在保留原有數(shù)據(jù)分析的基礎(chǔ)上，東軟neteye soc v5.0系統(tǒng)還使用了大量的flex技術(shù)，力圖將數(shù)據(jù)分析的結(jié)果用最好的展示效果來實(shí)現(xiàn)。1.2 以晴雨表形象化比擬安全狀態(tài)以往安全狀況多采用數(shù)字、文字、圖表等方式進(jìn)行描述，這種展示晦

9、澀、美觀度較差、不支撐宏觀決策分析。東軟neteye soc v5.0系統(tǒng)試圖以一種全新的視角來詮釋安全，因此在系統(tǒng)中，我們創(chuàng)新的采用了以天氣預(yù)報(bào)中的晴雨表的方式形象化比擬被監(jiān)控對象的安全狀況，分別用晴天、多云、陰天、小雨、和大雨5種天氣預(yù)報(bào)來比喻從很低到很高的5個(gè)不同等級(jí)的安全狀況。在原有技術(shù)支撐的基礎(chǔ)上，用晴雨表這種人性化形態(tài)來看待安全，使得neteye soc v5.0系統(tǒng)的宏觀展示效果更為美觀和直觀。1.3 業(yè)務(wù)系統(tǒng)的全面監(jiān)控業(yè)務(wù)系統(tǒng)監(jiān)控，是東軟neteye soc v5.0系統(tǒng)中的一個(gè)重要模塊。我們的業(yè)務(wù)系統(tǒng)監(jiān)控模塊支持分布式部署，具備良好的擴(kuò)充性，每個(gè)模塊可支持同時(shí)對100個(gè)業(yè)務(wù)系

10、統(tǒng)進(jìn)行實(shí)時(shí)檢測。 這個(gè)模塊實(shí)現(xiàn)了針對b/s架構(gòu)的業(yè)務(wù)系統(tǒng)，尤其是網(wǎng)站進(jìn)行全面的監(jiān)控，主要檢測這些業(yè)務(wù)系統(tǒng)的可用性、安全性和完整性。落實(shí)到監(jiān)控的具體功能點(diǎn)上，即為：系統(tǒng)是否服務(wù)中斷、不可達(dá)，是否被掛馬，是否被惡意篡改，如果是網(wǎng)站，是否包含一些敏感言論的關(guān)鍵詞，從而進(jìn)行相關(guān)的檢索與查看。針對網(wǎng)頁篡改，我們neteye soc v5.0系統(tǒng)主要通過：網(wǎng)頁快照瀏覽器對比、文本對比、源代碼對比、更改報(bào)告等幾種方式來綜合進(jìn)行分析；針對網(wǎng)站掛馬，系統(tǒng)采用靜態(tài)分析和動(dòng)態(tài)模擬技術(shù)，能夠智能跟蹤最新黑客掛馬技術(shù)手段，對網(wǎng)頁中出現(xiàn)的多層嵌套地址也能徹底分析，一旦發(fā)現(xiàn)掛馬，系統(tǒng)自動(dòng)生成掛馬分析報(bào)告。1.4 基于地圖或

11、者組織結(jié)構(gòu)的監(jiān)控預(yù)警在用戶的網(wǎng)絡(luò)結(jié)構(gòu)中，會(huì)涉及到眾多的被監(jiān)控的業(yè)務(wù)系統(tǒng)，安全設(shè)備，報(bào)警數(shù)據(jù)、安全事件等等，那么如何將虛擬網(wǎng)絡(luò)世界這些雜亂無章的信息通過一種有序的方式將這些數(shù)據(jù)一一表現(xiàn)出來呢。 東軟neteye soc v5.0系統(tǒng)直觀的采用地圖或者組織結(jié)構(gòu)的方式進(jìn)行業(yè)務(wù)系統(tǒng)、安全設(shè)備等靜態(tài)信息的標(biāo)注和報(bào)警數(shù)據(jù)、安全事件動(dòng)態(tài)信息的分布展示。在地圖或者組織結(jié)構(gòu)中，東軟neteye soc v5.0系統(tǒng)首先標(biāo)注了責(zé)任單位、監(jiān)控節(jié)點(diǎn)、重要信息系統(tǒng)這些基本信息。其次通過地圖或者組織結(jié)構(gòu)的方式展現(xiàn)soc平臺(tái)所收集的報(bào)警信息的分布情況，這些信息可以有效協(xié)助運(yùn)維人員快速準(zhǔn)確定位發(fā)生安全問題的具體單位以及其具體

12、位置，在每次面臨威脅攻擊事件時(shí)，其設(shè)計(jì)可以更早的將事件信息通報(bào)到具體的責(zé)任單位相關(guān)人員，為安全事件的應(yīng)急處理爭取時(shí)間。1.5 海量異構(gòu)數(shù)據(jù)收集、智能分析東軟neteye soc v5.0系統(tǒng)的數(shù)據(jù)采集引擎支持分布式部署，從而實(shí)現(xiàn)海量數(shù)據(jù)的收集與分析。系統(tǒng)通過在分布式部署的數(shù)據(jù)采集引擎和中心服務(wù)器上配置的收集、分析策略實(shí)現(xiàn)對海量異構(gòu)數(shù)據(jù)進(jìn)行過濾、歸并、分析和處理，大量過濾重復(fù)、無效數(shù)據(jù)。目前在一個(gè)較大的項(xiàng)目實(shí)施中，soc平臺(tái)每天收集的原始日志最高可達(dá)到6500萬條，通過不斷積累完善的歸并、分析策略，平臺(tái)每日上報(bào)的有效報(bào)警數(shù)據(jù)可以達(dá)到500條左右。當(dāng)需要進(jìn)行深入數(shù)據(jù)分析時(shí)，可隨時(shí)將保存在數(shù)據(jù)采集引

13、擎上的原始日志上調(diào)到中心。1.6 平臺(tái)支撐設(shè)備的運(yùn)維細(xì)致到位目前東軟所實(shí)施一個(gè)較大的soc平臺(tái)案例，共涉及50余臺(tái)soc服務(wù)器、200余臺(tái)安全設(shè)備與網(wǎng)絡(luò)設(shè)備，那么支撐soc平臺(tái)運(yùn)轉(zhuǎn)的it基礎(chǔ)設(shè)施的運(yùn)維也是技術(shù)人員的日常工作，為此，我們設(shè)計(jì)了一個(gè)專門的功能模塊來協(xié)助運(yùn)維人員針對it支撐設(shè)施進(jìn)行日常的運(yùn)維、管理。通過總體健康度，可實(shí)時(shí)監(jiān)控soc平臺(tái)整體運(yùn)行情況，實(shí)時(shí)監(jiān)控支撐soc平臺(tái)服務(wù)的所有核心服務(wù)器的關(guān)鍵運(yùn)行指標(biāo)，所有采集服務(wù)器的關(guān)鍵運(yùn)行指標(biāo)，所有it支撐設(shè)備的性能故障異常報(bào)警。在設(shè)備監(jiān)控中，可以按照監(jiān)控節(jié)點(diǎn)或者設(shè)備類型，對支撐soc平臺(tái)服務(wù)的所有網(wǎng)絡(luò)設(shè)備和安全設(shè)備進(jìn)行實(shí)時(shí)監(jiān)控，包括cpu、內(nèi)

14、存、磁盤等關(guān)鍵運(yùn)行指標(biāo)。并對根據(jù)各個(gè)設(shè)備的特點(diǎn)，設(shè)置了相應(yīng)的閥值，一旦超出閥值，及時(shí)進(jìn)行性能異常報(bào)警。上述這些平臺(tái)支撐設(shè)備運(yùn)維功能，實(shí)現(xiàn)了安全產(chǎn)品和soc的緊密聯(lián)系，達(dá)到了soc平臺(tái)自身以及其it支撐設(shè)備的高效管理。二、 系統(tǒng)總體規(guī)劃設(shè)計(jì)2.1 系統(tǒng)業(yè)務(wù)架構(gòu)從上圖可看出，東軟neteye soc v5.0系統(tǒng)致力于實(shí)現(xiàn)：以監(jiān)控預(yù)警為核心業(yè)務(wù)，以對監(jiān)控?cái)?shù)據(jù)進(jìn)行獲取和分析為主要手段的綜合性業(yè)務(wù)平臺(tái)。業(yè)務(wù)類型總體分為以下6個(gè)方面：業(yè)務(wù)系統(tǒng)監(jiān)控。neteye soc系統(tǒng)實(shí)時(shí)監(jiān)控、檢測重要業(yè)務(wù)系統(tǒng)的運(yùn)行情況，提供對重要業(yè)務(wù)系統(tǒng)，尤其是網(wǎng)站的可用性、網(wǎng)站的安全性、網(wǎng)站的完整性三方面的檢測功能。網(wǎng)絡(luò)監(jiān)控。n

15、eteye soc系統(tǒng)提供對業(yè)務(wù)網(wǎng)絡(luò)環(huán)境下的拓?fù)涔芾怼㈡溌饭芾?、網(wǎng)絡(luò)設(shè)備管理等具體業(yè)務(wù)功能?；ヂ?lián)網(wǎng)出口監(jiān)控。neteye soc系統(tǒng)實(shí)時(shí)監(jiān)控、檢測用戶互聯(lián)網(wǎng)接入點(diǎn)，可配合病毒入侵監(jiān)測、互聯(lián)網(wǎng)行為與內(nèi)容審計(jì)、網(wǎng)絡(luò)入侵行為監(jiān)測安全設(shè)備來實(shí)現(xiàn)針對互聯(lián)網(wǎng)出口的全面安全管理與監(jiān)控功能。信息系統(tǒng)監(jiān)控。neteye soc系統(tǒng)負(fù)責(zé)實(shí)時(shí)監(jiān)控受保護(hù)下的各個(gè)重要信息系統(tǒng)的安全狀況，可配合病毒入侵監(jiān)測、互聯(lián)網(wǎng)行為與內(nèi)容審計(jì)、網(wǎng)絡(luò)入侵行為監(jiān)測和僵尸網(wǎng)絡(luò)檢測等安全設(shè)備來實(shí)現(xiàn)針對重要信息系統(tǒng)的全面安全管理與監(jiān)控功能。責(zé)任單位管理。 責(zé)任單位是neteye soc系統(tǒng)的保護(hù)對象，系統(tǒng)支持對責(zé)任單位的基本信息、組織結(jié)構(gòu)、ip

16、地址、信息系統(tǒng)、測評檢查工作、應(yīng)急事件上報(bào)情況等進(jìn)行定義、登記和管理的功能。運(yùn)維管理。neteye soc系統(tǒng)一旦監(jiān)測到某個(gè)受保護(hù)系統(tǒng)或設(shè)備受到安全破壞的威脅時(shí)，系統(tǒng)能夠通過數(shù)據(jù)分析報(bào)表、組織結(jié)構(gòu)定位等形式幫助技術(shù)人員對安全破壞行為進(jìn)行快速定位，同時(shí)技術(shù)人員可利用平臺(tái)數(shù)據(jù)庫中的責(zé)任單位信息協(xié)助向責(zé)任單位提供有效的應(yīng)急響應(yīng)和預(yù)警服務(wù)。2.2 系統(tǒng)功能架構(gòu)根據(jù)對soc系統(tǒng)核心業(yè)務(wù)分析形成的總體業(yè)務(wù)架構(gòu)，對核心業(yè)務(wù)目標(biāo)的支持手段進(jìn)一步豐富，對擴(kuò)展出的功能點(diǎn)進(jìn)行歸并整合，形成了系統(tǒng)總體功能框架，如下圖所示：如上圖所示，neteye soc系統(tǒng)以各種it硬件設(shè)備的監(jiān)控信息和日志信息做為數(shù)據(jù)源，以各類數(shù)據(jù)

17、的流轉(zhuǎn)和處理為功能劃分依據(jù)，將總體功能分為4大類別：1、數(shù)據(jù)采集功能：根據(jù)平臺(tái)指定的運(yùn)維策略，數(shù)據(jù)采集層負(fù)責(zé)從網(wǎng)絡(luò)設(shè)備、安全設(shè)備、業(yè)務(wù)系統(tǒng)、服務(wù)器等采集各種安全信息、日志信息、流量信息，經(jīng)過數(shù)據(jù)格式標(biāo)準(zhǔn)化、數(shù)據(jù)歸并、數(shù)據(jù)壓縮等處理后，提交給上層數(shù)據(jù)處理平臺(tái)。平臺(tái)支持從指定的互聯(lián)網(wǎng)網(wǎng)站主動(dòng)采集與安全相關(guān)的輿情信息，平臺(tái)支持根據(jù)網(wǎng)站的結(jié)構(gòu)、網(wǎng)站的內(nèi)容結(jié)構(gòu)進(jìn)行信息采集，采集后的信息經(jīng)過歸并匯總后，可在系統(tǒng)中進(jìn)行查看和編輯。2、數(shù)據(jù)處理功能：平臺(tái)將采集到的原始數(shù)據(jù)按照業(yè)務(wù)系統(tǒng)數(shù)據(jù)、網(wǎng)絡(luò)數(shù)據(jù)、安全數(shù)據(jù)進(jìn)行分門別類，經(jīng)過基于統(tǒng)計(jì)、基于資產(chǎn)、基于規(guī)則的關(guān)聯(lián)分析后，科學(xué)合理的定義安全事件的性質(zhì)和處理級(jí)別，作為

18、展示平臺(tái)的數(shù)據(jù)基礎(chǔ)。3、數(shù)據(jù)分析功能：以豐富的報(bào)表展現(xiàn)手段對各類數(shù)據(jù)進(jìn)行直觀顯示，輔助以網(wǎng)絡(luò)拓?fù)?、地理位置兩種圖形化功能為平臺(tái)用戶提供方便快捷的信息獲取途徑。對于安全數(shù)據(jù)的分析，也會(huì)借助知識(shí)庫提供的分析策略提高數(shù)據(jù)分析的準(zhǔn)確性。4、監(jiān)控預(yù)警功能：實(shí)現(xiàn)整個(gè)平臺(tái)的靈活展示和配置管理。一方面通過豐富的圖形化展示方式呈現(xiàn)業(yè)務(wù)網(wǎng)絡(luò)整體安全狀況，提供有效的安全預(yù)警，減少安全破壞的發(fā)生，降低安全事件所造成的損失；另一方面對平臺(tái)進(jìn)行配置與維護(hù)。2.3 系統(tǒng)數(shù)據(jù)架構(gòu)數(shù)據(jù)物理存儲(chǔ)結(jié)構(gòu)neteye soc系統(tǒng)采集的業(yè)務(wù)系統(tǒng)信息數(shù)據(jù)和安全日志數(shù)據(jù)信息在一定輪詢周期（時(shí)間較短）就需進(jìn)行一次存儲(chǔ)，數(shù)據(jù)特征為數(shù)據(jù)量大、插入

19、操作頻繁、查詢操作范圍小。因此對采集上來的數(shù)據(jù)存儲(chǔ)邏輯進(jìn)行優(yōu)化，使用專業(yè)技術(shù)將監(jiān)控?cái)?shù)據(jù)的歷史時(shí)序業(yè)務(wù)數(shù)據(jù)表進(jìn)行分區(qū)管理，按月分區(qū)將數(shù)據(jù)表進(jìn)一步劃分。這樣在查詢歷史數(shù)據(jù)時(shí)間跨度在一個(gè)月內(nèi)時(shí)查詢速度等效，使用分區(qū)表本地索引及全局索引對查詢進(jìn)行優(yōu)化。所有安全監(jiān)控與管理的業(yè)務(wù)信息都有當(dāng)前數(shù)據(jù)存儲(chǔ)表用于快速監(jiān)控業(yè)務(wù)信息數(shù)據(jù)查看，并對安全監(jiān)控與管理的業(yè)務(wù)數(shù)據(jù)獨(dú)立建立索引存儲(chǔ)空間減少單文件i/o爭用，提高索引讀寫速度。數(shù)據(jù)邏輯結(jié)構(gòu)根據(jù)數(shù)據(jù)的類別和來源，將neteye soc系統(tǒng)中的數(shù)據(jù)分為安全日志數(shù)據(jù)、業(yè)務(wù)系統(tǒng)信息數(shù)據(jù)、責(zé)任單位信息、平臺(tái)系統(tǒng)信息、運(yùn)維管理數(shù)據(jù)、知識(shí)庫數(shù)據(jù)6大類型。具體參見下圖： 上圖列舉了

20、neteye soc系統(tǒng)數(shù)據(jù)庫的各數(shù)據(jù)實(shí)體，用樹形結(jié)構(gòu)展現(xiàn)了6大類數(shù)據(jù)下包含的各級(jí)數(shù)據(jù)關(guān)系。其中安全日志數(shù)據(jù)和業(yè)務(wù)系統(tǒng)信息是neteye soc系統(tǒng)重要數(shù)據(jù)對象，安全策略信息是支撐系統(tǒng)監(jiān)控職能的重要配置信息。在總體數(shù)據(jù)架構(gòu)圖中進(jìn)行了第3級(jí)的細(xì)分，下面將列舉各類數(shù)據(jù)的具體數(shù)據(jù)項(xiàng)。1、安全日志數(shù)據(jù)，此類數(shù)據(jù)主要來自采集引擎對安全設(shè)備和網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)獲取。安全設(shè)備日志數(shù)據(jù)主要來源ids、網(wǎng)絡(luò)行為審計(jì)系統(tǒng)、病毒檢測系統(tǒng)、防火墻、vpn等安全系統(tǒng)的告警日志。網(wǎng)絡(luò)設(shè)備數(shù)據(jù)包括接口數(shù)量，每個(gè)接口的ip地址/mac地址，接口信息、接口索引、接口類型、接口描述、接口速率、工作狀態(tài)、管理狀態(tài)、接口總流量、入口流量

21、、出口流量、丟包信息、錯(cuò)包信息等等。2、業(yè)務(wù)系統(tǒng)信息，指neteye soc系統(tǒng)監(jiān)控下重要信息系統(tǒng)中的數(shù)據(jù)服務(wù)器、中間件服務(wù)器、應(yīng)用服務(wù)主機(jī)操作系統(tǒng)的各類信息。針對操作系統(tǒng)，獲取的信息包括：操作系統(tǒng)類型和版本，網(wǎng)絡(luò)接口數(shù)量， ip地址/mac地址、子網(wǎng)掩碼，cpu編號(hào)、內(nèi)核數(shù)、cpu品牌，內(nèi)存大小，cpu動(dòng)態(tài)信息、內(nèi)存動(dòng)態(tài)信息、系統(tǒng)進(jìn)程動(dòng)態(tài)信息、硬盤動(dòng)態(tài)信息、用戶訪問信息等，平臺(tái)支持主流的windows、unix、linux等各類衍生系統(tǒng)的信息獲??；針對數(shù)據(jù)庫，獲取的信息包括：數(shù)據(jù)庫名稱、數(shù)據(jù)路徑、基本目錄、數(shù)據(jù)庫版本、字符集、配置的臨時(shí)表大小、臨時(shí)表目錄、數(shù)據(jù)表信息、緩存信息、線程信息、鎖信

22、息、頁和行鎖信息，平臺(tái)支持當(dāng)前主流的oracle、db2、sqlserver、mysql中對應(yīng)信息的獲取；針對中間件，獲取的信息包括：中間件系統(tǒng)類型、中間件系統(tǒng)版本信息、會(huì)話動(dòng)態(tài)信息、進(jìn)程池動(dòng)態(tài)信息、jdbc連接池動(dòng)態(tài)信息、事務(wù)數(shù)動(dòng)態(tài)信息、事務(wù)的平均持續(xù)時(shí)間、jvm動(dòng)態(tài)信息、ejb動(dòng)態(tài)信息等，平臺(tái)支持websphere、apachetomcat、weblobic、iis這四類主流中間件產(chǎn)品運(yùn)行信息的獲取。3、責(zé)任單位信息。責(zé)任單位主要是指neteye soc系統(tǒng)的保護(hù)對象，在平臺(tái)數(shù)據(jù)庫中需要維護(hù)責(zé)任單位的基本信息、組織結(jié)構(gòu)、ip地址、信息系統(tǒng)、測評檢查工作、應(yīng)急事件上報(bào)情況信息，一旦監(jiān)控對象的

23、網(wǎng)絡(luò)或信息化系統(tǒng)發(fā)生故障或受到攻擊，系統(tǒng)可第一時(shí)間通過安全設(shè)備的日志信息分析得到告警信息，技術(shù)人員可在數(shù)據(jù)庫中查找責(zé)任單位基本信息，迅速向責(zé)任單位提供有效的應(yīng)急響應(yīng)和預(yù)警服務(wù)。4、運(yùn)維管理數(shù)據(jù)，運(yùn)維管理是建立在數(shù)據(jù)的采集、處理、分析這一系列基礎(chǔ)功能至上的核心業(yè)務(wù)，此部分?jǐn)?shù)據(jù)除包括工單的問題描述、處理跟蹤、狀態(tài)信息等信息，還包括平臺(tái)管理員對平臺(tái)整體監(jiān)控策略的調(diào)配信息。5、知識(shí)庫數(shù)據(jù)，知識(shí)庫的應(yīng)用是擴(kuò)充平臺(tái)數(shù)據(jù)處理能力，提高平臺(tái)監(jiān)控準(zhǔn)確性的重要手段。本平臺(tái)在知識(shí)庫數(shù)據(jù)收集和處理方面，考慮到方便系統(tǒng)運(yùn)維、完善安全策略、普及安全知識(shí)等多方面，內(nèi)容涵蓋ip地址庫、漏洞庫、監(jiān)控平臺(tái)規(guī)則庫、網(wǎng)絡(luò)知識(shí)、政策文

24、件、工作手冊、監(jiān)控報(bào)告、態(tài)勢報(bào)告、案例分析、數(shù)據(jù)庫知識(shí)、操作系統(tǒng)知識(shí)、安全知識(shí)等。6、平臺(tái)系統(tǒng)信息，是平臺(tái)應(yīng)用系統(tǒng)的支撐數(shù)據(jù)，包括用戶信息、權(quán)限控制信息、系統(tǒng)日志等應(yīng)用數(shù)據(jù)。平臺(tái)還提供了直接登陸監(jiān)控設(shè)備控制頁面的快捷通道，這些通道的地址或url信息都作為設(shè)備資產(chǎn)信息的一部分保存在平臺(tái)系統(tǒng)信息庫中。三、 東軟安全運(yùn)維管理平臺(tái)的技術(shù)路線3.1 數(shù)據(jù)采集之“信息資源轉(zhuǎn)換”東軟neteye soc v5.0系統(tǒng)的工作基礎(chǔ)是統(tǒng)一的信息安全庫，隨著it基礎(chǔ)設(shè)施種類的增加、品牌的擴(kuò)充，隨著安全的逐步發(fā)展，信息安全庫的內(nèi)容也會(huì)日趨豐富。應(yīng)用信息資源轉(zhuǎn)換技術(shù)首先從每個(gè)品牌的it基礎(chǔ)設(shè)施收集原始的日志全集（也稱為

25、原始信息安全庫），然后進(jìn)行統(tǒng)一的轉(zhuǎn)換和解析，保存到監(jiān)控預(yù)警平臺(tái)的統(tǒng)一信息知識(shí)庫中。不同品牌的it基礎(chǔ)設(shè)施輸出原始信息安全庫的方式各有差異，針對目前的研究，我們總結(jié)至少包括：mib庫形式；xml格式文件；文本文件方式；數(shù)據(jù)庫文件形式；針對不同形式的原始信息安全庫的輸出，信息資源轉(zhuǎn)換技術(shù)和系統(tǒng)分別設(shè)計(jì)單獨(dú)的模塊進(jìn)行資源轉(zhuǎn)換，具體會(huì)遵從如下技術(shù)路線：針對每種原始信息安全庫的輸出，根據(jù)廠商提供的輸出格式，信息資源轉(zhuǎn)換技術(shù)和系統(tǒng)首先設(shè)計(jì)信息安全庫識(shí)別模塊，從原始信息安全庫讀取所有的內(nèi)容；將讀取后的內(nèi)容按照監(jiān)控預(yù)警平臺(tái)規(guī)定的安全信息接口規(guī)范，進(jìn)行逐一轉(zhuǎn)換；對轉(zhuǎn)換后的內(nèi)容按照安全事件的基本類型進(jìn)行歸類，再按

26、照子類型進(jìn)行細(xì)分；將歸類后的內(nèi)容存放在平臺(tái)的統(tǒng)一的信息安全庫中。3.2 數(shù)據(jù)采集之“海量異構(gòu)數(shù)據(jù)集成”海量異構(gòu)數(shù)據(jù)集成是數(shù)據(jù)采集過程中最為重要的技術(shù)。異構(gòu)數(shù)據(jù)集成采用xml這種標(biāo)準(zhǔn)、開放的數(shù)據(jù)結(jié)構(gòu)來表示數(shù)據(jù)信息；xml 是一種半結(jié)構(gòu)化的數(shù)據(jù)模型。xml的諸多特性使得它可以描述不規(guī)則的數(shù)據(jù)；能夠集成來自不同數(shù)據(jù)源的數(shù)據(jù)；可以將多個(gè)應(yīng)用程序所生成的數(shù)據(jù)納入同一個(gè)xml文件。因此把xml作為集成系統(tǒng)中集成層的數(shù)據(jù)描述工具和轉(zhuǎn)換工具是海量異構(gòu)數(shù)據(jù)集成技術(shù)和系統(tǒng)必然的選擇。海量異構(gòu)數(shù)據(jù)集成技術(shù)和系統(tǒng)實(shí)現(xiàn)路線的結(jié)構(gòu)圖如下圖所示。在此模型中，用戶對信息的訪問、操作并不是直接作用于數(shù)據(jù)源，而是通過訪問虛擬數(shù)據(jù)

27、庫接口實(shí)現(xiàn)的。此結(jié)構(gòu)圖分為三層：(1)數(shù)據(jù)源層 該層負(fù)責(zé)提供系統(tǒng)數(shù)據(jù)，包括以各種方式獲取的數(shù)據(jù)；(2)通信層 完成各類數(shù)據(jù)源與xml 數(shù)據(jù)模型的轉(zhuǎn)換。將數(shù)據(jù)存儲(chǔ)到集成模式空間中，并維持集成模式空間與異構(gòu)數(shù)據(jù)源之間的映射；(3)集成層 其實(shí)是一個(gè)虛擬的數(shù)據(jù)庫。通信層統(tǒng)一格式的易于通信的數(shù)據(jù)借助于元數(shù)據(jù)字典，集成為統(tǒng)一視圖。虛擬數(shù)據(jù)庫的建立過程是針對所有數(shù)據(jù)源數(shù)據(jù)模式的抽取過程，它將各應(yīng)用系統(tǒng)數(shù)據(jù)庫中的不同數(shù)據(jù)表示形式統(tǒng)一成一致的數(shù)據(jù)視圖。上層（接口層）針對虛擬數(shù)據(jù)庫進(jìn)行，與具體應(yīng)用數(shù)據(jù)庫無關(guān)。因此也使得采用目前流行、成熟的軟件構(gòu)件方法開發(fā)的構(gòu)件可以集成到任意一個(gè)應(yīng)用系統(tǒng)中, 具有構(gòu)件集成簡單、與

28、數(shù)據(jù)庫聯(lián)系緊密等特點(diǎn)。此外，集成存取處理模塊用來實(shí)現(xiàn)對異構(gòu)數(shù)據(jù)的存取、查詢等操作。通信層主要完成xml數(shù)據(jù)模型與數(shù)據(jù)源的雙向轉(zhuǎn)換。在這里，用xml描述集成數(shù)據(jù)，用xml 文檔和格式文件dtd表示集成模式與數(shù)據(jù)源之間的映射。xml 數(shù)據(jù)模型與數(shù)據(jù)庫的轉(zhuǎn)換主要體現(xiàn)在xml 的dtd 和數(shù)據(jù)庫數(shù)據(jù)模型的相互轉(zhuǎn)換。從dtd 轉(zhuǎn)換到數(shù)據(jù)庫模型的原理如下: 從dtd 生成一個(gè)關(guān)系模式，并在此基礎(chǔ)上建立關(guān)系數(shù)據(jù)庫；對dtd 中的每一個(gè)元素，產(chǎn)生關(guān)系數(shù)據(jù)庫的一個(gè)表和一個(gè)主鍵列； 對每一個(gè)有混合內(nèi)容的元素，產(chǎn)生一個(gè)獨(dú)立的表，用來存儲(chǔ)pcdata，并通過父表的主鍵與父表相連；對元素類型中的每一個(gè)單一值的屬性，即對

29、只具有pcdata 內(nèi)容的按順序出現(xiàn)的子元素，產(chǎn)生一個(gè)單獨(dú)列，該列應(yīng)該可以允許為null 類型；對有多個(gè)值的屬性和可以出現(xiàn)多次的pcdata 類子元素，需要?jiǎng)?chuàng)建一個(gè)單獨(dú)的表來存儲(chǔ)這些值，并通過父表的主鍵與父表相連；對每一個(gè)包含元素或混合內(nèi)容的子元素來說，通過父表的主鍵把父元素與子元素連接起來。從數(shù)據(jù)庫模型到dtd的轉(zhuǎn)換相對容易一些，分為三步: 對一個(gè)表，創(chuàng)建一個(gè)元素；對表中的每一列，創(chuàng)建一個(gè)屬性或是一個(gè)只有pcdata 內(nèi)容的子元素；根據(jù)表中的每一個(gè)主鍵/ 外鍵關(guān)系，創(chuàng)建該表元素的子元素。xml 數(shù)據(jù)模型與數(shù)據(jù)之間的轉(zhuǎn)換可以分為模板驅(qū)動(dòng)和模型驅(qū)動(dòng)兩種形式:基于模板驅(qū)動(dòng)只能應(yīng)用于關(guān)系數(shù)據(jù)庫與xm

30、l 文檔之間傳遞數(shù)據(jù)，它需要在一個(gè)模板中嵌入帶參數(shù)的sql 命令，并用數(shù)據(jù)傳輸如中間件等實(shí)體軟件進(jìn)行處理；基于模型驅(qū)動(dòng)的轉(zhuǎn)換是，當(dāng)把數(shù)據(jù)從數(shù)據(jù)庫傳送到xml 文檔或把數(shù)據(jù)從xml文檔傳送到數(shù)據(jù)庫時(shí)，是用一個(gè)具體模型實(shí)現(xiàn)的，而不是僅僅依賴內(nèi)嵌sql命令。關(guān)系數(shù)據(jù)庫的理論依據(jù)是關(guān)系模型；面向?qū)ο蟮睦碚撘罁?jù)是對象模型；而xml 的文檔依據(jù)是xml schemas或dtd?？傮w說來，通信層的專用接口模塊就是將由各數(shù)據(jù)源的數(shù)據(jù)到一個(gè)xml數(shù)據(jù)模型的雙向轉(zhuǎn)換。集成層為用戶提供根據(jù)特定集成應(yīng)用而設(shè)計(jì)的一個(gè)虛擬集成視圖。虛擬集成視圖是一個(gè)虛擬關(guān)系（或虛擬對象類）集合。采用xml 作為集成系統(tǒng)的公共模型，用一個(gè)

31、dtd描述集成層的一個(gè)虛擬對象類，一個(gè)元素對應(yīng)虛擬對象類的一個(gè)屬性，所有虛擬對象類的dtd 組成集成系統(tǒng)的集成模式。根據(jù)不同用戶的不同需求，可定義不同的xsl 樣式表，來屏蔽一些對象或?qū)ο蟮膶傩?，改變對象的顯示形式，提供不同的用戶視圖。海量異構(gòu)數(shù)據(jù)集成技術(shù)在實(shí)現(xiàn)對各個(gè)數(shù)據(jù)源的集成存取，即將用戶對繼承視圖的存取轉(zhuǎn)換成對異構(gòu)數(shù)據(jù)源的操作時(shí)，有兩種實(shí)現(xiàn)方法，即gav（global as view）和lav（local as view）。gav方法要求為集成視圖中的每一個(gè)虛擬關(guān)系（或虛擬對象類）r寫出一個(gè)查詢，說明如何從信息源得到r 的元組（或?qū)ο螅?。這種方法的特點(diǎn)是查詢轉(zhuǎn)換簡單，但增加新數(shù)據(jù)源時(shí)比較

32、麻煩。lav 方法則相反，它要求為每一個(gè)數(shù)據(jù)源s 給出一個(gè)針對集成視圖的查詢，說明集成視圖中的哪些元組（或?qū)ο螅┛稍趕中找到。它的優(yōu)點(diǎn)是易于插入新數(shù)據(jù)源，但查詢轉(zhuǎn)換相對麻煩。在此系統(tǒng)中采用的是gav方法。海量異構(gòu)數(shù)據(jù)集成技術(shù)和系統(tǒng)為集成模式中的每一個(gè)虛擬對象類創(chuàng)建一個(gè)能動(dòng)態(tài)生成xml 文檔的腳本文件，說明如何從信息源得到該虛擬對象類的對象，如何將源數(shù)據(jù)轉(zhuǎn)換成集成數(shù)據(jù)。當(dāng)用戶要訪問集成數(shù)據(jù)時(shí)，系統(tǒng)按下列步驟進(jìn)行查詢轉(zhuǎn)換: 根據(jù)用戶提出的查詢條件，生成一棵查詢樹；將諸如選擇、投影操作盡量推向葉節(jié)點(diǎn)（即數(shù)據(jù)源）；將對各數(shù)據(jù)源的操作追加到相應(yīng)的文本文件中；調(diào)用文本文件，生成來自多數(shù)據(jù)源的包含用戶所需數(shù)

33、據(jù)的xml文檔；選擇合適的xsl，應(yīng)用于所生成的xml 文檔，提交給用戶。3.3 數(shù)據(jù)分析之“信息安全指數(shù)模型”（1）調(diào)研國內(nèi)外當(dāng)前信息安全標(biāo)準(zhǔn)和相關(guān)指標(biāo)體系、模型的研究情況，結(jié)合平臺(tái)所監(jiān)控網(wǎng)絡(luò)的自身特點(diǎn)，明確信息安全指數(shù)模型；（2）指數(shù)模型中安全評價(jià)級(jí)別的定義。明確被監(jiān)控對象的信息安全狀況。建立如高、中、低等定性描述方式的評價(jià)方法，分級(jí)別描述當(dāng)前所監(jiān)控網(wǎng)絡(luò)所處信息安全的狀況；(3)確定構(gòu)成指數(shù)模型的基本指標(biāo)項(xiàng)及其權(quán)重因素和數(shù)據(jù)來源。確定反映網(wǎng)絡(luò)安全事件、現(xiàn)有安全風(fēng)險(xiǎn)、用戶感知等情況的基本指標(biāo)項(xiàng)，以及對應(yīng)的事件具體內(nèi)容和來源。通過指標(biāo)項(xiàng)的影響、專家經(jīng)驗(yàn)和系統(tǒng)試運(yùn)行結(jié)果等，確定每類指標(biāo)項(xiàng)的實(shí)際權(quán)

34、重，以便科學(xué)準(zhǔn)確的計(jì)算出最終的評價(jià)指標(biāo)值；(4)安全評價(jià)基本計(jì)算模型和方法。計(jì)算模型采用分層模式，每個(gè)層次的指標(biāo)反映某一方面安全性的總體情況，上層指標(biāo)可由下層指標(biāo)經(jīng)過層次分析模型（ahp）匯總得出，中間層由相應(yīng)的最底層的若干基本指標(biāo)項(xiàng)加權(quán)計(jì)算得出。為使各個(gè)單一指數(shù)有統(tǒng)一的度量范圍，計(jì)算時(shí)將采用極大值法、極大極小值法或中間變量法。由于安全事件和威脅本身的復(fù)雜性，為糾正權(quán)重設(shè)置等數(shù)字計(jì)算時(shí)可能帶來的偏差，會(huì)采用神經(jīng)網(wǎng)絡(luò)學(xué)習(xí)、專家經(jīng)驗(yàn)等方式進(jìn)行適度修正，如下圖所示。3.4 數(shù)據(jù)分析之“風(fēng)險(xiǎn)分析模型”東軟neteye soc v5.0系統(tǒng)的風(fēng)險(xiǎn)分析在實(shí)現(xiàn)時(shí)，將jdl（joint director of

35、 laboratories）模型作為參考，此模型如下圖所示。jdl模型有5個(gè)級(jí)別，0級(jí)，子對象數(shù)據(jù)評估，1級(jí)，對象評估，2級(jí)，態(tài)勢評估，3級(jí)，影響評估，4級(jí)，過程改善。數(shù)據(jù)流從0級(jí)（子對象評估）進(jìn)入模型，0級(jí)提供了對于源數(shù)據(jù)位或者信號(hào)的物理訪問。另外，通過子對象數(shù)據(jù)關(guān)聯(lián)與描述可以判斷與預(yù)測一個(gè)實(shí)際存在的對象。隨著時(shí)間推移在建立事件軌跡的時(shí)候是對象是互相關(guān)聯(lián)和重疊的，1級(jí)對象評估處理過程中將進(jìn)行對象的識(shí)別。在2級(jí)態(tài)勢評估過程中，對象的知識(shí)庫，其特性，橫向、縱向的相互關(guān)系將被聚合，從而去了解當(dāng)前真實(shí)的安全態(tài)勢。在態(tài)勢評估后，對于特定態(tài)勢的影響必須被3級(jí)（影響評估）過程處理，影響評估包括可能性評估，

36、和事件發(fā)生后產(chǎn)生可能結(jié)果的成本/效用度量。4級(jí)過程改善，對于各個(gè)級(jí)別提供一個(gè)反饋機(jī)制，包括各個(gè)數(shù)據(jù)源本身，以及事件產(chǎn)生的驅(qū)動(dòng)。監(jiān)控預(yù)警平臺(tái)的風(fēng)險(xiǎn)評估模塊，利用該模型可以進(jìn)行更進(jìn)一步的分析，事實(shí)上在每個(gè)功能模塊在實(shí)現(xiàn)的同時(shí)已經(jīng)為最終的風(fēng)險(xiǎn)評估提供了必要的數(shù)據(jù)或者接口。資產(chǎn)的收集，信息資產(chǎn)有很多來源，可以是it基礎(chǔ)架構(gòu)里定義的資產(chǎn)，人工注冊登記的資產(chǎn)。初步過濾，去接收到的噪音數(shù)據(jù)，并且針對非結(jié)構(gòu)化或半結(jié)構(gòu)化等數(shù)據(jù)進(jìn)行修正。排列，所有衡量機(jī)制置于一個(gè)公共的同一時(shí)空參考系，建立統(tǒng)一的信息安全數(shù)據(jù)庫。關(guān)聯(lián)，新的風(fēng)險(xiǎn)測量機(jī)制與所有已知安全事件的預(yù)報(bào)狀態(tài)相聯(lián)系，從而確定每個(gè)測量機(jī)制是否可以用于對已知記錄的更

37、新。跟蹤，任何安全事件的數(shù)據(jù)序列用于開發(fā)一個(gè)動(dòng)態(tài)目標(biāo)模型，通過與各種新感應(yīng)數(shù)據(jù)的關(guān)聯(lián)，動(dòng)態(tài)行為模式的修正，可以預(yù)測在未來的時(shí)空范圍內(nèi)特定安全事件可能的狀態(tài)。識(shí)別，對指定安全事件的所有關(guān)聯(lián)數(shù)據(jù)會(huì)執(zhí)行自動(dòng)化的目標(biāo)識(shí)別，并且將指定的安全事件分派的一個(gè)或者多個(gè)特定類型當(dāng)中。2級(jí)和3級(jí)處理，在考慮整個(gè)場景模式以及應(yīng)用環(huán)境的前提下（地域、目標(biāo)混雜與時(shí)空交錯(cuò)），用通用的術(shù)語和方法（威脅、脆弱性等）給出當(dāng)前安全風(fēng)險(xiǎn)的真實(shí)態(tài)勢。如下圖所示。其中，關(guān)聯(lián)分析是風(fēng)險(xiǎn)評估的核心內(nèi)容，它通過如下方式實(shí)現(xiàn)：基于規(guī)則的關(guān)聯(lián)分析，基于統(tǒng)計(jì)的關(guān)聯(lián)分析，基于狀態(tài)的關(guān)聯(lián)分析，基于被監(jiān)控對象的關(guān)聯(lián)分析等。3.5 數(shù)據(jù)分析之“多源告警數(shù)

38、據(jù)交叉確認(rèn)機(jī)制”多源告警數(shù)據(jù)交叉確認(rèn)機(jī)制主要研究模糊推理理論及算法提高多源告警數(shù)據(jù)的可靠性。入侵檢測技術(shù)總是以追求高的檢測準(zhǔn)確率為目的，但是在實(shí)際運(yùn)維過程中總會(huì)因?yàn)楦鞣N各樣的原因?qū)е乱欢ǔ潭壬系恼`報(bào)、漏報(bào)，或者由于入侵手段的多樣性使得呈現(xiàn)在管理人員面前的數(shù)據(jù)總是無法使管理人員真正的把握入侵行為的脈絡(luò)。該機(jī)制的數(shù)據(jù)基礎(chǔ)正是平臺(tái)全面收集的與審計(jì)相關(guān)的各種系統(tǒng)信息和業(yè)務(wù)信息。當(dāng)多源審計(jì)結(jié)果匯總后該機(jī)制進(jìn)行交叉驗(yàn)證，輸出其中得到確認(rèn)的審計(jì)警告信息。多源告警數(shù)據(jù)交叉確認(rèn)機(jī)制如下圖所示。3.6 數(shù)據(jù)分析之“安全審計(jì)模型”以真實(shí)可靠告警數(shù)據(jù)作為安全審計(jì)模型的輸入，對平臺(tái)所監(jiān)控環(huán)境的安全狀態(tài)進(jìn)行量化評估。技術(shù)

39、路線如下圖所示。安全審計(jì)模型的計(jì)算評估過程可以被分為以下幾個(gè)過程:過程一：利用系統(tǒng)靜態(tài)漏洞評估的結(jié)果和確認(rèn)后的警告信息來得到綜合評估矩陣，利用系統(tǒng)靜態(tài)評估結(jié)果和前次得到的可能入侵方式排序來得到評估因素的權(quán)重向量；過程二：利用綜合評估矩陣和評估因素權(quán)重向量來計(jì)算系統(tǒng)當(dāng)前的安全狀態(tài)指標(biāo)，同時(shí)也就可以得到系統(tǒng)當(dāng)前可能遭受的入侵方式排序列表（注：當(dāng)綜合評估計(jì)算結(jié)束后可以得到針對多種可能入侵的評估指標(biāo)，其中的最高指標(biāo)即可以視為當(dāng)前系統(tǒng)的安全狀態(tài)指標(biāo)，而這些指標(biāo)的排序即為可能得入侵方式排序）；過程三：在計(jì)算系統(tǒng)安全狀態(tài)指標(biāo)的同時(shí)，可以對前次計(jì)算所得的可能入侵方式列表進(jìn)行驗(yàn)證。當(dāng)本次的警告信息仍然可以被該列

40、表包括時(shí)，則認(rèn)為安全狀態(tài)的評估正常;否則認(rèn)為評估的結(jié)果無法對提交的警告信息進(jìn)行解釋。此時(shí)有可能發(fā)生新類型的入侵，應(yīng)該提高安全警告的等級(jí)以引起安全管理人員的注意。模型中使用的模糊審計(jì)模型簡單描述如下：因素集：包括以前漏洞利用指數(shù)，警告權(quán)重指數(shù)，警告、漏洞相關(guān)指數(shù)等；評判集：包括危險(xiǎn)程度低，危險(xiǎn)程度中等，危險(xiǎn)程度高三種類型；權(quán)重集和評判矩陣是每次根據(jù)評估狀況動(dòng)態(tài)確立的。其中評判矩陣一般由靜態(tài)漏洞模擬提供的參考結(jié)果。而權(quán)重集的確立則是根據(jù)靜態(tài)漏洞集和上次運(yùn)行所得到的可能漏洞利用排序結(jié)果得到的。四、 核心功能4.1 安全監(jiān)控安全監(jiān)控功能主要是對業(yè)務(wù)網(wǎng)絡(luò)整體安全狀況進(jìn)行宏觀態(tài)勢統(tǒng)計(jì)與展示，通過地圖或者組

41、織結(jié)構(gòu)進(jìn)行事件的定位，按照各個(gè)分支結(jié)構(gòu)、或者不同的對象類別分門別類的進(jìn)行展示與分析。4.1.1 宏觀的安全態(tài)勢展示安全態(tài)勢分析可直觀的反應(yīng)出業(yè)務(wù)網(wǎng)絡(luò)近一周以及近一個(gè)月的整體安全狀況，主要是從事件統(tǒng)計(jì)和報(bào)警展現(xiàn)兩個(gè)層面來進(jìn)行展示的。原始日志、報(bào)警與安全事件在以往的安全概念中，經(jīng)常被混為一談，沒有嚴(yán)格的界定機(jī)制，在東軟neteye soc v5.0系統(tǒng)中，我們針對原始日志、報(bào)警和安全事件進(jìn)行了嚴(yán)格的定義。具體如下：原始日志：平臺(tái)每天要從眾多安全設(shè)備、網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)系統(tǒng)等收集到的海量數(shù)據(jù)，我們把它稱為原始日志。報(bào)警數(shù)據(jù)：針對原始日志，平臺(tái)采用了一定的聚合、歸并、和關(guān)聯(lián)分析技術(shù)后，每天上報(bào)到中心的數(shù)據(jù)

42、為報(bào)警數(shù)據(jù)。安全事件：報(bào)警數(shù)據(jù)所表現(xiàn)出來的行為仍然為疑似惡意行為，技術(shù)運(yùn)維人員針對報(bào)警數(shù)據(jù)進(jìn)行分析后，一旦判斷為真實(shí)的惡意行為，就會(huì)生成安全事件，從而進(jìn)入后續(xù)的事件處置流程。安全態(tài)勢中的事件統(tǒng)計(jì)將從從近期安全狀況、事件統(tǒng)計(jì)、事件數(shù)量趨勢三個(gè)角度來進(jìn)行展示的。通過近期安全狀況這個(gè)窗口，我們形象化地將安全狀況采用天氣預(yù)報(bào)中的晴雨表方式來進(jìn)行直觀的展示的，用晴天、多云、陰天、小雨、大雨五種不同的天氣狀態(tài)來代表不同的安全級(jí)別，通過這個(gè)窗口，我們可以看到業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)過去一周的安全狀況以及當(dāng)天最新的實(shí)時(shí)未處理的告警所代表的天氣預(yù)警。事件數(shù)量趨勢默認(rèn)是宏觀展示最近一月的事件數(shù)量的分布，同時(shí)還可分析最近一周，

43、最近一個(gè)季度，最近一年的安全事件數(shù)量分布，從而針對安全事件的發(fā)生頻率進(jìn)行橫向的對比。事件月度統(tǒng)計(jì)主要從事件類型、事件發(fā)生單位兩個(gè)不同的維度來反應(yīng)業(yè)務(wù)系統(tǒng)近一個(gè)月的事件分布范圍。上述多維度的事件展示，盡可能詳盡的從多種視角、以多種展現(xiàn)形態(tài)來展示業(yè)務(wù)系統(tǒng)近期的安全狀況。4.1.2 靈活的報(bào)警統(tǒng)計(jì)分析在報(bào)警展現(xiàn)統(tǒng)計(jì)中，系統(tǒng)分別按照報(bào)警類型和監(jiān)控對象進(jìn)行了報(bào)警月度統(tǒng)計(jì)。尤其針對報(bào)警數(shù)量趨勢，可展示最近一天、一周、一月的趨勢變化，當(dāng)網(wǎng)絡(luò)中發(fā)生大規(guī)模的蠕蟲病毒時(shí)，通過這個(gè)趨勢變化可以很快發(fā)現(xiàn)異常。通過報(bào)警的分布和變化趨勢，也能及時(shí)反應(yīng)系統(tǒng)的數(shù)據(jù)處理能力。4.1.3 基于地圖/組織結(jié)構(gòu)的監(jiān)控預(yù)警soc系統(tǒng)實(shí)

44、施過程中，會(huì)涉及眾多分支結(jié)構(gòu)、大量的業(yè)務(wù)系統(tǒng)、報(bào)警信息和監(jiān)控節(jié)點(diǎn)，那么是如何將虛擬網(wǎng)絡(luò)世界中這些雜亂無章的數(shù)據(jù)，有序的進(jìn)行一一展現(xiàn)呢？東軟neteye soc v5.0系統(tǒng)將通過地圖或者組織結(jié)構(gòu)的方式來進(jìn)行有序合理的展示。首先，東軟neteye soc v5.0系統(tǒng)在地圖上對平臺(tái)所涉及的責(zé)任單位或者分支機(jī)構(gòu)進(jìn)行了標(biāo)注，點(diǎn)擊一個(gè)責(zé)任單位時(shí)，系統(tǒng)會(huì)彈出窗口，來顯示這個(gè)單位的詳細(xì)信息。其次，我們對需要安全監(jiān)控與管理的業(yè)務(wù)系統(tǒng)、網(wǎng)站等在地圖上進(jìn)行標(biāo)注。第三，如果soc平臺(tái)采用分布式部署，我們可以把所有的數(shù)據(jù)采集引擎定義為監(jiān)控節(jié)點(diǎn)，并進(jìn)行標(biāo)注。上述這些基本信息的標(biāo)注，都會(huì)有助于我們的技術(shù)運(yùn)維人員快速的進(jìn)

45、行事件定位和系統(tǒng)運(yùn)維。除了上述所標(biāo)注的基礎(chǔ)信息外，利用地圖，我們還可以展示所有當(dāng)前報(bào)警情況，采用不同的圖標(biāo)顏色代表不同的報(bào)警等級(jí)。同時(shí)在地圖上，所有責(zé)任單位或者分支機(jī)構(gòu)的近期安全態(tài)勢情況，是通過晴雨表的方式來進(jìn)行展現(xiàn)的，點(diǎn)擊一個(gè)責(zé)任單位，還可以看到它過去三天的安全狀況。4.1.4 業(yè)務(wù)系統(tǒng)的深度監(jiān)控業(yè)務(wù)系統(tǒng)監(jiān)控，是東軟neteye soc v5.0系統(tǒng)中的一個(gè)重要模塊。這個(gè)模塊實(shí)現(xiàn)了針對b/s架構(gòu)的業(yè)務(wù)系統(tǒng)，尤其是網(wǎng)站進(jìn)行全面的監(jiān)控，主要檢測這些業(yè)務(wù)系統(tǒng)的可用性、安全性和完整性。落實(shí)到監(jiān)控的具體需求點(diǎn)上，即為：系統(tǒng)是否服務(wù)中斷、系統(tǒng)不可達(dá)，是否被掛馬，是否被惡意篡改，如果是網(wǎng)站，是否包含一些敏

46、感言論的關(guān)鍵詞，從而進(jìn)行相關(guān)的檢索與查看。系統(tǒng)首先在一個(gè)窗口中集中展示整體業(yè)務(wù)系統(tǒng)安全情況，清晰描述被監(jiān)控業(yè)務(wù)系統(tǒng)數(shù)量，近一個(gè)月內(nèi)收到的報(bào)警數(shù)量，快照記錄數(shù)量，發(fā)生的安全事件數(shù)量、各類事件分布比例。其次，系統(tǒng)可以將所有被監(jiān)控的業(yè)務(wù)系統(tǒng)按照不同的類別放到了不同的窗口中，默認(rèn)顯示的是有問題的業(yè)務(wù)系統(tǒng)，并為每個(gè)業(yè)務(wù)系統(tǒng)建立一個(gè)24小時(shí)“健康度”體檢表，綠色為正常，黃色則代表頁面更改、灰色是代表不可訪問、紅色是代表掛馬。針對業(yè)務(wù)系統(tǒng)篡改，我們neteye soc v5.0系統(tǒng)主要通過：快照瀏覽器對比、文本對比、源代碼對比、更改報(bào)告等幾種方式來綜合進(jìn)行分析；針對網(wǎng)站掛馬，系統(tǒng)采用靜態(tài)分析和動(dòng)態(tài)模擬技術(shù)，

47、能夠智能跟蹤最新黑客掛馬技術(shù)手段，對網(wǎng)頁中出現(xiàn)的多層嵌套地址也能徹底分析，一旦發(fā)現(xiàn)掛馬，系統(tǒng)自動(dòng)生成掛馬分析報(bào)告。4.1.5 以責(zé)任單位為視角的宏觀分析在東軟neteye soc v5.0系統(tǒng)的安全監(jiān)控設(shè)計(jì)中，充分考慮了用戶將會(huì)采用多種維度來展示各個(gè)單位或者分支機(jī)構(gòu)的安全狀況。因此系統(tǒng)設(shè)計(jì)了溫度計(jì)、儀表盤等多種展現(xiàn)模式來展示每個(gè)責(zé)任單位的近期安全狀況，從安全事件和報(bào)警兩個(gè)維度分別進(jìn)行宏觀統(tǒng)計(jì)和分析。安全事件統(tǒng)計(jì)考慮了按照事件類型的月度統(tǒng)計(jì)、事件數(shù)量趨勢，最新未完成事件等幾個(gè)方面。報(bào)警統(tǒng)計(jì)考慮了按攻擊源月度統(tǒng)計(jì)、按攻擊目標(biāo)月度統(tǒng)計(jì)、報(bào)警數(shù)量趨勢、報(bào)警級(jí)別趨勢等幾個(gè)方面。針對不同單位的安全狀況，定

48、期進(jìn)行橫向?qū)Ρ龋园踩录?shù)量作為衡量指標(biāo)進(jìn)行月度、年度等排名。4.1.6 對重要業(yè)務(wù)系統(tǒng)的宏觀分析除了以責(zé)任單位或者分支機(jī)構(gòu)為視角進(jìn)行宏觀分析外，當(dāng)用戶的網(wǎng)絡(luò)中有部分重要業(yè)務(wù)系統(tǒng)屬于“重點(diǎn)”監(jiān)控對象，需要進(jìn)行獨(dú)立的重點(diǎn)安全分析時(shí)，在東軟neteye soc v5.0系統(tǒng)的安全監(jiān)控設(shè)計(jì)中，也為此預(yù)留了相應(yīng)的接口，可采用獨(dú)立的界面來展示“重點(diǎn)”業(yè)務(wù)系統(tǒng)的安全狀況，同樣支持以安全事件和報(bào)警兩個(gè)維度進(jìn)行實(shí)時(shí)分析。4.2 運(yùn)維管理東軟neteye soc v5.0系統(tǒng)的運(yùn)維管理功能，是面向技術(shù)運(yùn)維人員所使用的，用于日常的技術(shù)分析，系統(tǒng)運(yùn)維，具體包括如下功能：技術(shù)監(jiān)控分析、系統(tǒng)平臺(tái)運(yùn)維、資產(chǎn)等基礎(chǔ)信息維

49、護(hù)、業(yè)務(wù)系統(tǒng)監(jiān)控分析、輿情收集與分析、知識(shí)庫收集與查詢、事件處置與跟蹤等功能。4.2.1 整體技術(shù)分析從全局角度關(guān)注安全根據(jù)soc平臺(tái)的設(shè)計(jì)，技術(shù)運(yùn)維人員進(jìn)入運(yùn)維管理首頁面，肯定希望從全局角度來關(guān)注當(dāng)前系統(tǒng)的整體安全狀況，為此soc平臺(tái)共設(shè)計(jì)了四類分析窗口，供運(yùn)維人員從不同角度進(jìn)行分析當(dāng)前安全狀況。第一類是當(dāng)前所有報(bào)警數(shù)量按小時(shí)的趨勢分布圖。通過此趨勢可發(fā)現(xiàn)報(bào)警發(fā)生頻率較高的時(shí)段。高頻段發(fā)生在凌晨，需要技術(shù)運(yùn)維人員重點(diǎn)關(guān)注。第二類是各類告警數(shù)據(jù)，包括：安全報(bào)警、網(wǎng)站報(bào)警和性能故障報(bào)警。安全報(bào)警是指soc平臺(tái)對來自所有安全設(shè)備的原始日志，歸并、分析后的結(jié)果；網(wǎng)站報(bào)警是指對業(yè)務(wù)系統(tǒng)的cia（機(jī)密性

50、、完整性和可用性）進(jìn)行深度檢測的結(jié)果；性能故障報(bào)警是soc平臺(tái)對所有it支撐設(shè)施的關(guān)鍵運(yùn)行指標(biāo)進(jìn)行實(shí)時(shí)監(jiān)控后發(fā)現(xiàn)異常分析的結(jié)果。第三類是待處理工單，這些工單屬于正在處理中狀態(tài)，因?yàn)槟承┰驔]有被關(guān)閉，需要運(yùn)維人員隨時(shí)關(guān)注。第四類是值班公告，根據(jù)不同的時(shí)間，會(huì)有不同的安全監(jiān)控與管理工作的注意事項(xiàng)，這些信息會(huì)在值班公告中有所體現(xiàn)。4.2.2 資產(chǎn)管理模塊保護(hù)信息資產(chǎn)是網(wǎng)絡(luò)安全運(yùn)維體系建設(shè)的核心目標(biāo)，也是日常安全運(yùn)維工作的核心環(huán)節(jié)。所有信息的存放，例如報(bào)警、事件、漏洞等都應(yīng)以資產(chǎn)的視角來查看，因此資產(chǎn)管理是neteye soc平臺(tái)系統(tǒng)的核心，是開展安全運(yùn)維管理工作的基礎(chǔ)。東軟neteye soc v

51、5.0系統(tǒng)的資產(chǎn)管理包括如下兩大類：責(zé)任單位：基礎(chǔ)信息、信息系統(tǒng)。監(jiān)控中心：監(jiān)控節(jié)點(diǎn)、設(shè)備管理，其中設(shè)備管理中包括：安全設(shè)備、網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備等等。 責(zé)任單位管理責(zé)任單位，主要是指客戶業(yè)務(wù)網(wǎng)絡(luò)所涉及的部門、分支機(jī)構(gòu)、下屬單位等等，這些責(zé)任單位的信息系統(tǒng)是soc平臺(tái)保護(hù)和監(jiān)控對象，在日常安全監(jiān)控與管理工作中會(huì)進(jìn)行較為頻繁的業(yè)務(wù)聯(lián)系，因此掌握責(zé)任單位相關(guān)信息是保障日常安全監(jiān)控與管理工作正常開展的基礎(chǔ)。本平臺(tái)為技術(shù)人員提供責(zé)任單位管理功能，負(fù)責(zé)將各責(zé)任單位的相關(guān)信息進(jìn)行登記、更新與維護(hù)。這些信息包括具體如下內(nèi)容：基本信息，包括單位名稱、主管單位、地址、郵編等在內(nèi)的基礎(chǔ)信息；組織結(jié)構(gòu)

52、，描述各責(zé)任單位的人員組成、部門構(gòu)成、部門上下級(jí)關(guān)系、人員聯(lián)系方式等；ip地址，涉及內(nèi)網(wǎng)區(qū)域地址、互聯(lián)網(wǎng)區(qū)域地址、專網(wǎng)地址等；安全檢查工作記錄、應(yīng)急事件上報(bào)記錄等。信息系統(tǒng)管理主要為了實(shí)現(xiàn)對各責(zé)任單位所擁有的信息系統(tǒng)的遠(yuǎn)程跟蹤，包括“外界”對信息系統(tǒng)的攻擊、信息系統(tǒng)服務(wù)中斷等等。soc平臺(tái)在進(jìn)行信息系統(tǒng)定義時(shí)，本平臺(tái)維護(hù)的信息系統(tǒng)信息包括如下內(nèi)容：基礎(chǔ)信息；包括：信息系統(tǒng)名稱、運(yùn)維單位、機(jī)房位置、聯(lián)系人、ip地址、網(wǎng)絡(luò)連接方式、是否為重要信息系統(tǒng)、系統(tǒng)等級(jí)、監(jiān)控節(jié)點(diǎn)；網(wǎng)站屬性：系統(tǒng)訪問地址、網(wǎng)站類別、運(yùn)維類型；區(qū)域定義；信息系統(tǒng)包含的區(qū)域或者子系統(tǒng)；設(shè)備情況；信息系統(tǒng)每個(gè)區(qū)域（或者子系統(tǒng)）所使

53、用的設(shè)備。需要說明每個(gè)設(shè)備的軟硬件配置；測評信息；具有多個(gè)測評記錄，每個(gè)測評記錄包括：測評時(shí)間、測評機(jī)構(gòu)、測評結(jié)果。 監(jiān)控中心管理soc平臺(tái)的監(jiān)控中心負(fù)責(zé)實(shí)時(shí)監(jiān)控各責(zé)任單位（被監(jiān)控對象）的安全狀況。一旦發(fā)現(xiàn)責(zé)任單位受到安全破壞的威脅時(shí)，soc平臺(tái)能夠幫助責(zé)任單位對安全破壞行為進(jìn)行快速定位，及時(shí)為責(zé)任單位提供有效的應(yīng)急響應(yīng)和預(yù)警服務(wù)，從而減少責(zé)任單位的破壞程度及其造成的損失。監(jiān)控中心按照責(zé)任單位的地理位置、單位屬性等進(jìn)行歸類劃分，配置相應(yīng)的監(jiān)控節(jié)點(diǎn)。當(dāng)數(shù)據(jù)采集引擎采用分布式方式部署時(shí)，通過監(jiān)控節(jié)點(diǎn)的概念，能夠?qū)踩珨?shù)據(jù)回傳的方向友好的展現(xiàn)出來。對于支撐soc平臺(tái)正常運(yùn)轉(zhuǎn)的it基礎(chǔ)實(shí)

54、施，其信息登記、維護(hù)等工作都將放到監(jiān)控中心的設(shè)備管理中，設(shè)備類型包括：網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器設(shè)備等等。soc平臺(tái)所維護(hù)的設(shè)備信息包括：設(shè)備名稱、設(shè)備編號(hào)、采購時(shí)間、廠商、ip地址、部署位置等等。4.2.3 安全報(bào)警管理與分析模塊 詳細(xì)的安全報(bào)警展現(xiàn)通過soc平臺(tái)的安全報(bào)警分析功能，可以看到平臺(tái)針對收集上來的原始日志，經(jīng)過實(shí)時(shí)歸并、分析后的結(jié)果。包括：報(bào)警名稱、類型、等級(jí)、ip地址、ip對應(yīng)的責(zé)任單位、聚合數(shù)量、發(fā)生時(shí)間等。soc平臺(tái)針對所有的ip地址，和資產(chǎn)管理中的責(zé)任單位自動(dòng)進(jìn)行關(guān)聯(lián)，在安全報(bào)警分析中實(shí)現(xiàn)將ip地址定位到責(zé)任單位，從而為后續(xù)的以責(zé)任單位進(jìn)行宏觀統(tǒng)計(jì)與分析提供

55、了依據(jù)。針對關(guān)鍵分析項(xiàng)，soc平臺(tái)都設(shè)計(jì)了以“快速鏈接”的方式提供快速搜索查詢功能，技術(shù)運(yùn)維人員可通過“一鍵點(diǎn)擊”ip地址或者報(bào)警類型等關(guān)鍵項(xiàng)的方式，直接過濾出需要重點(diǎn)分析的某個(gè)ip或某類的所有報(bào)警數(shù)據(jù)。當(dāng)需要進(jìn)行具體分析時(shí)，可查看此報(bào)警的詳細(xì)信息，包括對報(bào)警的詳盡描述。如果技術(shù)運(yùn)維人員需要進(jìn)行深入的數(shù)據(jù)分析時(shí)，可以將原始日志從遠(yuǎn)端調(diào)入到平臺(tái)。例如：查看聚合的時(shí)間周期，原始日志的對此報(bào)警的描述等。除此之外，在安全報(bào)警分析功能中，soc平臺(tái)還提供了很多的輔助工具，來協(xié)助運(yùn)維人員進(jìn)行快速和靈活的數(shù)據(jù)分析。技術(shù)運(yùn)維人員可隨時(shí)根據(jù)需要選擇，安全報(bào)警分析數(shù)據(jù)中，需要關(guān)注的數(shù)據(jù)項(xiàng)。同時(shí)在安全報(bào)警分析中，提

56、供了實(shí)時(shí)數(shù)據(jù)統(tǒng)計(jì)與分析機(jī)制，運(yùn)維人員可根據(jù)報(bào)警名稱、類型、源ip、目的ip、監(jiān)控節(jié)點(diǎn)、等級(jí)、時(shí)間等進(jìn)行條件進(jìn)行統(tǒng)計(jì)。 廣泛的數(shù)據(jù)采集范圍soc平臺(tái)主要通過數(shù)據(jù)采集引擎來實(shí)現(xiàn)原始數(shù)據(jù)的獲取。數(shù)據(jù)采集引擎負(fù)責(zé)從網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)系統(tǒng)(主流主機(jī)操作系統(tǒng)：windowsnt/2000/xp/2003、支持主流linux系統(tǒng)、主流unix系統(tǒng)等；)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用程序（主流應(yīng)用程序：web、mail、dns等）、網(wǎng)管系統(tǒng)和日志服務(wù)器系統(tǒng)等采集數(shù)據(jù)。因?yàn)槎鄶?shù)據(jù)源的特點(diǎn)，導(dǎo)致采集引擎獲取數(shù)據(jù)資源的方式各不相同。針對標(biāo)準(zhǔn)網(wǎng)絡(luò)設(shè)備、網(wǎng)管系統(tǒng)和日志服務(wù)器系統(tǒng)等，數(shù)據(jù)采集層可以通過syslog、snmp、odbc、xml等標(biāo)準(zhǔn)協(xié)議實(shí)時(shí)接收即可，但針對不同的主機(jī)系統(tǒng)、不同的數(shù)據(jù)庫系統(tǒng)、不同的應(yīng)用程序系統(tǒng)等可能需要通過telnet、ssh、ftp等方式來主動(dòng)獲取。無論數(shù)據(jù)采集引擎通過何種方式進(jìn)行數(shù)據(jù)采集，最終所獲取的數(shù)據(jù)資源體現(xiàn)為：結(jié)構(gòu)化、半結(jié)構(gòu)化和非結(jié)構(gòu)化等多種形態(tài)，這就構(gòu)成了一個(gè)復(fù)雜的異構(gòu)數(shù)據(jù)庫環(huán)境，數(shù)據(jù)采集引擎必須采用一定的異構(gòu)數(shù)據(jù)集成技術(shù)，將這些孤立的數(shù)據(jù)源集成起來，提供給用戶一個(gè)統(tǒng)一的視圖，從這些資源數(shù)據(jù)中獲取人們所需要的信