[发明专利]用于数据分区的多维集群

权利要求书

1.一种用于数据分区的系统，包括：

至少一个处理器;

非暂时性存储介质,存储分区指令，所述分区指令被在所述至少一个处理器上执行，用以：

获取表示多个事件的相应事件的事件数据记录，每个事件数据记录具有多个时间维度，所述多个时间维度包括：

指示存储系统何时接收相应事件的第一时间维度；

指示在与存储系统分离的源设备处何时检测到相应事件的第二时间维度；

为所述多个时间维度中的每个相应时间维度获得定义相应时间维度的时间范围的尺寸确定参数；

通过基于所述多个时间维度的每个相应时间维度的尺寸确定参数跨多个时间维度同时地执行事件数据记录的多维度分区来确定集群；以及

存储包括已分区事件数据记录的部分的集群和识别来自多个集群的集群的元数据。

2.根据权利要求1所述的系统，其中，所述分区指令被在所述至少一个处理器上执行，用以从该事件数据记录确定源点事件，并且每个相应时间维度的尺寸确定参数是与源点事件的距离。

3.根据权利要求2所述的系统，其中，每个相应时间维度的距离包括时间段。

4.根据权利要求3所述的系统，其中，所述分区指令被在所述至少一个处理器上执行，用以通过确定由事件数据记录所表示的每个相应事件的时间维度是否都落在所述源点事件的相应距离之内，并且如果相应事件的所有时间维度都处于所述源点事件的相应距离之内就把相应事件包括在所述集群中，而跨多个时间维度来分区事件数据记录。

5.根据权利要求1所述的系统，其中，所述分区指令被在所述至少一个处理器上执行，用以基于集群的事件源点来分区所接收的事件数据记录的多个集群，其中，每个事件源点根据所接收到的事件数据记录来确定。

6.根据权利要求5所述的系统，还包括查询指令，被在所述至少一个处理器上执行用以：

接收查询；

基于所述多个集群的元数据来识别包括与查询有关的数据的集群；以及

在所述识别的集群上执行所述查询。

7.根据权利要求6所述的系统，其中，所述查询指令被在所述至少一个处理器上执行，用以向用于安全信息和事件管理系统的事件处理引擎提供查询的结果以使事件数据记录相关以识别网络安全威胁。

8.根据权利要求6所述的系统，其中，所述查询指令被在所述至少一个处理器上执行，用以经由用户接口来提供查询的结果。

9.根据权利要求1所述的系统，包括：

数据存储设备，用以存储所述集群和元数据；以及

网络接口，用以通过网络从数据源设备获得事件数据记录。

10.一种安全信息和事件管理系统，包括：

至少一个处理器；

非暂时性存储介质,存储分区指令，所述分区指令被在所述至少一个处理器上执行，用以：

接收表示多个事件的相应事件的事件数据记录，每个事件数据记录具有多个时间维度，所述多个时间维度包括：

指示存储系统何时接收相应事件的第一时间维度；

指示在与存储系统分离的源设备处何时接收到相应事件的第二时间维度；

为所述多个时间维度中的每个相应时间维度获得定义相应时间维度的时间范围的尺寸确定参数；

通过基于所述多个时间维度的每个相应时间维度的尺寸确定参数跨多个时间维度执行事件数据记录的多维度分区来确定集群；以及

存储包括已分区事件数据记录的部分的集群和识别来自多个集群的集群的元数据;

在所述至少一个处理器上执行的查询指令，用以：

接收查询；

使用所述多个集群的元数据来识别包括与查询有关的数据的特定集群；以及

在所述特定集群上执行所述查询；以及

在所述至少一个处理器上执行的事件处理指令，用以：

根据规则、指令或请求使来自被执行的查询的查询结果相关以识别网络安全威胁。