[发明专利]一种可容错的分布式安全事件数据传输协议的实现方法

说明书

技术领域

本发明涉及信息安全领域，具体海量安全事件分布式处理和数据传输。

背景技术

互联网+的理念已经深入人心，各个行业信息网络中部署的应用系统和各种设备的数量急剧增加，对复杂环境下IT操作的有效、及时审计分析极为迫切。安全审计的数据基础是防病毒系统、防火墙、入侵检测系统、漏洞扫描系统、UTM、运行主机、交换机、路由器、数据库系统、中间件等日志事件、状态事件和网络数据包信息。在目前的网络环境中，各种设备的安全事件已经成为海量数据，syslog作为主要的日志类型，被各种操作系统，网络设备和安全设备广泛支持，成为日志的重要标准，对于其他类型的日志，也可以转换为syslog日志格式，便于统一分析。

借助大数据安全分析技术，人们能够更好地解决天量安全要素信息的采集、存储的问题，借助基于大数据分析技术的机器学习和数据挖据算法，能够更加智能地洞悉信息与网络安全的态势，更加主动、弹性地应对新型复杂的威胁和未知多变的风险。

攻击者的攻击行为隐藏在海量的安全事件中，通过包捕获，也能拿到天量的包含攻击流量的数据。所有这些天量数据汇聚起来就是安全大数据。通过对这些安全大数据进行实时分析和历史分析，建立行为轮廓，并进行行为建模和数据挖掘，就能帮助安全分析师识别出攻击者及其攻击行为和过程，并提取攻击特征，反馈给安全防御设施进行阻断。

网络安全的主要思想是积极防御、积极对抗。这种思想的终极目标是不求阻止任何攻击，而是尽可能地延缓攻击，拖延攻击者的时间，以便为找到对策争取时间。网络攻防很多时候就是一场夺取时间的战斗，谁得到的时间越多，谁就越有可能掌握对抗的主动权，而掌握主动就意味着更有可能获取对抗的胜利意味着更有可能获取对抗的胜利。

在这种思想的指导下，对安全审计的核心数——安全事件的处理和传输必须高效并容错。目前业界的主流技术仍以双机热备作为主要的容错方案，这种方案扩展性差，难以使用大数据时代的要求。

发明内容

本发明的目的是为了克服现有技术的缺点，提出一种可容错的分布式安全事件数据传输协议的实现方法。本发明采用分布式集群方式处理安全事件，采用定期选举机制确定集群中的事物节点，并建立消息事物映射表，保证消息数据的事务性；集群中各个节点采用消息队列机制，保证安全事件处理的并行与可扩展；从而实现了可容错的安全事件传输机制。

本发明的目的是通过以下技术方案实现的：

一种可容错的分布式安全事件数据传输协议的实现方法，包括如下步骤：

A、对于全网的安全事件采用事件处理分布式集群的方式进行：所述分布式集群的每一个节点称为Performer，每一个Performer节点都是计算性能相当的、独立的实体服务器或虚拟机，每一个Performer节点都建立消息队列ML(MessageList)，该消息队列ML是一个先入先出数组；

B、所述事件处理分布式集群会定期选举事物节点称为Transactional，所述事物节点Transcational负责进行集群的容错处理，事物节点Transactional除了具备一般Performer节点的功能外，还会构建事物消息映射表TMM(TransactionalMessageMap)，该映射表实时备份每个Performer节点中未处理的消息；如果某个Performer节点出现故障，事物节点Transcational会将Performer节点未处理的消息分发给其他Performer节点；

C、事物节点Transactional选举的评分因素包括：CPU利用率、内存利用率和消息队列ML中未处理消息个数，当事物节点Transactional出现故障时，所述集群会立即选择新的事物节点；事物节点选举的评分算法是：

首先计算除当前事物节点Transactional外的各个Performer节点的选举指数：

EIi=C*(2M)*(N/L)]]>