[发明专利]用于数据分区的多维集群

说明书

一种数据存储系统包括用以同时地跨多个维度划分数据的分区模块。该分区可基于用于每个维度的尺寸确定参数。该分区模块存储包括已分区事件数据的集群和包括识别集群的属性的元数据。

优先权要求

本申请要求2011年8月26日提交的美国临时专利申请号61/527,933的优先权，其被整体地通过引用结合到本文中。

背景技术

一般地执行数据库分区以创建数据库的较小片（pieces）以获得可管理性或性能。分区可包括将数据库的不同行放置在不同表格中或创建具有较少列数的表格。

对于在当今的市场中可用的许多数据库而言，分区是静态的，并且要求在使用之前对分区进行配置。并且，数据库管理员需要随时间推移而管理分区，诸如根据正存储在数据库中的数据而添加或丢弃分区。

附图说明

下面参考以下附图来详细地描述实施例。附图图示出实施例的示例。

图1图示出数据存储系统。

图2图示出安全信息和事件管理系统。

图3和4图示出方法。

图5图示出可用于本文所述的方法和系统的计算机系统。

具体实施方式

出于简单和说明性目的，主要参考其示例来描述实施例的原理。在以下描述中，阐述了许多特定细节以便提供实施例的透彻理解。显而易见的是可在不限于所有特定细节的情况下实践实施例。并且，可以以各种组合来一起使用实施例。

根据实施例，数据存储系统执行多维分区。该数据存储系统动态地将数据划分成多个维度。分区是同时地跨多个维度执行的。数据存储系统可存储下面描述的事件数据。事件数据包括由管理员接收时间（MRT）和事件结束时间（ET）组成的时间属性。MRT是事件被存储系统接收到的时间且ET是事件发生的时间。因此，MRT是根据系统接收到事件的时间而设置的，并且ET是例如根据检测到事件的源设备而设置的。数据存储系统可对接收到的事件数据同时地跨ET和MRT执行分区。该分区可包括动态分区过程。分区的尺寸能够改变，允许分区是动态的。并且，分区的尺寸能够包括细粒度。例如，可针对事件数据的多个基于时间的属性、诸如ET和MRT来创建集群。可将集群的尺寸设置成5分钟、30分钟或小于一个小时的其他时间段。这优化了用于尝试识别落在小时间窗内的事件的查询的查询性能。

存储在数据存储系统中的数据类型的示例是事件数据，然而，可将任何类型的数据存储在数据存储系统中。事件数据包括与在计算机设备上或在计算机网络中执行的活动有关的任何数据。可使事件数据相关且进行分析以识别安全威胁。可分析事件数据以确定其是否与安全威胁相关联。可使该活动与用户、也称为行动者相关联，以识别安全威胁和安全威胁的原因。活动可包括登陆、注销、通过网络发送数据、发送电子邮件、访问应用程序、读取或写入数据等。安全威胁可包括被确定为指示可疑或不适当行为的活动，其可通过网络或在连接到网络的系统上执行。举例来说，公共安全威胁是尝试通过网络来获得对机密信息、诸如社会安全号、信用卡号等的未授权访问的用户或代码。

用于事件的数据源可包括网络设备、应用程序或可操作用于提供可用来识别网络安全威胁的事件数据的下述其他类型的数据源。事件数据是描述事件的数据。可在由数据源生成的日志或消息中捕捉事件数据。例如，入侵检测系统（IDS）、入侵预防系统（IPS）、弱点估计工具、防火墙、防病毒工具、防垃圾邮件工具和加密工具可生成描述由源执行的活动的日志。事件数据可例如由日志文件中的条目或系统记录服务器、警报、警告、网络分组、电子邮件或通知页面来提供。

事件数据能够包括关于生成事件的设备或应用程序的信息。事件源是网络端点标识符（例如，IP地址或媒体接入控制（MAC）地址）和/或源的描述，可能包括关于产品的供应商和版本的信息。时间属性、源信息及其他信息被用来使事件与用户相关并针对安全威胁对事件进行分析。