[发明专利]一种可容错的分布式安全事件数据传输协议的实现方法

权利要求书

1.一种可容错的分布式安全事件数据传输协议的实现方法，其特征在于包括如下步骤：

A、对于全网的安全事件采用事件处理分布式集群的方式进行：所述分布式集群的每一个节点称为Performer，每一个Performer节点都是计算性能相当的、独立的实体服务器或虚拟机，每一个Performer节点都建立消息队列ML，该消息队列ML是一个先入先出数组；

B、所述事件处理分布式集群会定期选举事物节点Transactional，所述事物节点Transcational负责进行集群的容错处理，事物节点Transactional除了具备一般Performer节点的功能外，还会构建事物消息映射表TMM，该事物消息映射表实时备份每个Performer节点中未处理的消息；如果某个Performer节点出现故障，事物节点Transcational会将Performer节点未处理的消息分发给其他Performer节点；

C、事物节点Transactional选举的评分因素包括：CPU利用率、内存利用率和消息队列ML中未处理消息个数，当事物节点Transactional出现故障时，所述集群会立即选择新的事物节点；

D、一个Performer节点可以并行处理多个Performer节点的安全事件传输请求，每次采集一个安全事件，构建该安全事件的消息信息Message，该消息信息包括MID和EventEntity字段，分别代表：

·MID：消息信息的唯一序号；

·EventEntity：安全事件的实体

将该消息信息Message写入消息队列ML，同时写入事物节点Transactional的事物消息映射表TMM中；

E、Performer节点在处理一个消息信息时，从其消息队列ML拿出一个消息信息进行处理，处理完毕后通知事物节点Transactional，如果事物节点在线，则事物节点事物消息映射表TMM删除该消息信息，如果事物节点故障，则重新选举事物节点。

2.根据权利要求1的方法，其特征在于：在步骤B中，事物节点的事物消息映射表TMM，其数据结构如下：TMM采用多层哈希映射表数据结构HashMap嵌套的方式实现，

HashMap<k_ip,Hashmap<k_message，v_event>>

其中，

k_ip是集群中某个Performer的IP地址；

k_message是消息信息Message的唯一序号MID；

v_event是该消息的事件数据。

3.根据权利要求1的方法，其特征在于：在步骤B中，消息信息Message的唯一序号MID的实现算法为：

MID＝ip_performer+event_ssid

其中，

ip_performer是安全事件传输发起者Performer的IP地址；

event_ssid是事件数据的唯一序号。

4.根据权利要求1的方法，其特征在于：在步骤B中，所述事物节点选举的评分算法是：

首先计算除当前事物节点Transactional外的各个Performer节点的选举指数：

EI_i＝C＊(2M)*(N/L)

其中，EI_i表示序号为i的Performer节点的选举指数，C表示该Performer节点的CPU利用率，M表示该Performer节点的内存利用率，N表示该Performer节点未处理的消息个数，L表示消息队列ML的总长度；

其次，从选举指数最低的Performer节点确定为新的事物节点Transactional为T：

T＝min(EI_i)。

5.根据权利要求1的方法，其特征在于：在步骤D中，事件处理集群会定期选举事物节点Transactional，该选举周期为1天，选举时间点为3:00。

6.根据权利要求1的方法，其特征在于：在步骤E中，本发明处理的安全事件内容信息包含但不限于：事件名称、事件摘要、事件分类、采集类型、等级、网络协议、网络应用协议。