CN105144138B - 分布式事件关联系统 - Google Patents
分布式事件关联系统 Download PDFInfo
- Publication number
- CN105144138B CN105144138B CN201380075693.4A CN201380075693A CN105144138B CN 105144138 B CN105144138 B CN 105144138B CN 201380075693 A CN201380075693 A CN 201380075693A CN 105144138 B CN105144138 B CN 105144138B
- Authority
- CN
- China
- Prior art keywords
- event
- node
- subregion
- rule
- cluster
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0706—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
- G06F11/0709—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in a distributed system consisting of a plurality of standalone computer nodes, e.g. clusters, client-server systems
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/079—Root cause analysis, i.e. error or fault diagnosis
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/2002—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where interconnections or communication control functionality are redundant
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
- H04L41/065—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis involving logical or physical relationship, e.g. grouping and hierarchies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0654—Management of faults, events, alarms or notifications using network fault recovery
- H04L41/0659—Management of faults, events, alarms or notifications using network fault recovery by isolating or reconfiguring faulty entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0686—Additional information in the notification, e.g. enhancement of specific meta-data
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/202—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
- G06F11/2046—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant where the redundant components share persistent storage
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/2097—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements maintaining the standby controller/processing unit updated
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
- G06F17/40—Data acquisition and logging
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2201/00—Indexing scheme relating to error detection, to error correction, and to monitoring
- G06F2201/805—Real-time
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Quality & Reliability (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- Hardware Redundancy (AREA)
- Debugging And Monitoring (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
根据示例,主节点用于将各事件中的事件字段分成包括所述事件字段的值的有序的连续块的分区。每个分区可分配给一对集群节点。根据所述分区确定分区图,且所述分区图可识别每个分区、所述分区的事件字段值的块、主要集群节点和所述主要集群节点的故障转移集群节点。
Description
技术领域
本发明涉及一种分布式事件关联系统。
背景技术
计算机网络和系统已经变成现代企业不可或缺的工具。如今,实际上能够想到的每个主题的兆兆字节的信息通过网络存储和访问。在某些情况下,可能实时分析数据中的事件以作出决策。可存储及分析连续数据流中接收的大量数据,以作出与事件有关的决策。
发明内容
根据本发明的实施例,提供一种包括集群中的集群节点的分布式事件关联系统中的主节点,所述主节点包括:至少一个处理器,用于:将各事件中的事件字段分成包括所述事件字段的值的有序的连续块的分区;将每个分区分配给一对集群节点;根据所述分区确定分区图,其中所述分区图识别每个分区、所述分区的事件字段值的块、主要集群节点和所述主要集群节点的故障转移集群节点;以及数据存储器,用于存储所述分区图,其中所述至少一个处理器用于将所述分区图存储在所述数据存储器中。
根据本发明的实施例,提供一种分布式事件关联系统中的存储事件数据的分区的多个集群节点中的集群节点,该集群节点包括:数据存储器,用于存储接收的该集群节点的分区的事件;以及至少一个处理器,用于:接收用于关联各事件的规则,其中各事件被聚合以确定是否满足所述规则中的条件;接收分区的事件;确定该事件是否是所述规则的部分匹配,其中所述部分匹配包括所述条件的部分满足;如果该事件是部分匹配,则确定所述规则是与分区无关的规则还是分区的规则;如果所述规则是与分区无关的规则,则将所述部分匹配的信息发送至规则指定节点以聚合各事件,用来确定是否满足所述条件;并且如果所述规则是分区的规则,则在该集群节点处将该事件存储为部分匹配,并在该集群节点处聚合各事件以确定是否满足所述条件。
根据本发明的实施例,提供一种非瞬态计算机可读介质,包括机器可读指令,所述机器可读指令由至少一个处理器可执行,所述至少一个处理器用于:将各事件中的事件字段分成包括所述事件字段的值的有序的连续块的分区;将每个分区分配给一对集群节点;根据所述分区确定分区图,其中所述分区图识别每个分区、所述分区的事件字段值的块、主要集群节点和所述主要集群节点的故障转移节点;以及存储所述分区图。
附图说明
参照下面的图中示出的示例,在下面的描述中详细描述实施例。
图1图示分布式事件关联系统的示例。
图2图示安全信息和事件管理系统的示例。
图3图示用于创建集群的方法的示例。
图4图示用于将事件路由到集群节点的方法的示例。
图5图示用于将事件匹配到规则条件的方法的示例。
图6图示用于将集群修改成包括新的集群节点的方法的示例。
图7图示用于在集群节点离开集群时修改集群的方法的示例。
图8图示可用作分布式事件关联系统中的节点的平台的计算机系统的示例。
具体实施方式
为了简单和说明的目的,通过主要参照实施例的示例来描述实施例的原理。在下面的描述中,为了提供对实施例的全面理解,提出了许多具体细节。显然,可不受限于所有具体细节来实践实施例。此外,实施例可以以各种组合方式一起使用。
根据示例,分布式事件关联系统可关联多个事件。可由一个或多个设备生成包含存储在分布式事件关联系统中的事件的数据。包含事件的数据的量可随着从设备接收的新数据而持续增长。
分布式事件关联系统中的节点的集群可存储包含事件的数据,且可对事件实施计算密集型关联。可存储包括条件的规则以关联事件。分布式事件关联系统可将规则应用到事件,以检测某些类型的活动,以及响应于检测到活动而实施某些功能。
分布式事件关联系统能够实现跨节点的集群的事件数据的动态数据分区机制,且能够将进入事件路由到包含有效事件关联的相关数据的节点。分布式事件关联系统还能够实现分布式检查点以及恢复功能,允许集群依靠快速的故障转移从故障的任何单点存活。
事件可包括活动,例如动作。活动可在计算机上和/或计算机网络中发生或被实施。事件的事件数据可包括描述和/或与计算机上或计算机网络中实施的活动有关的任何数据。可由分布式事件关联系统关联并分析事件数据,以检测某些条件以及触发包括告警或其他操作动作的某些操作。
在一个示例中,可由分布式事件关联系统关联并分析事件数据,以识别网络或计算机安全威胁。通过事件关联检测的活动可以是恶意活动,例如尝试获得对计算机网络或计算机系统的未授权访问。事件的活动可能与用户(也称为行动者)关联,以识别安全威胁以及安全威胁的原因。活动还可包括登录、退出、通过网络发送数据、发送电子邮件、访问应用、读或写数据等等。安全威胁可包括确定指示可疑或不恰当的行为的活动,其可通过网络或在连接至网络的系统上实施。例如,关联可包括检测5分钟时间段内同一的用户在多个不同的机器上的失败的登录尝试。
事件数据的数据源可包括网络设备、应用、或下面描述的可操作用于提供可用于识别网络安全威胁的事件数据的其他类型的数据源。可在数据源生成的日志或消息中采集描述事件的事件数据。例如入侵检测系统、入侵防护系统、漏洞评估工具、防火墙、反病毒工具、反垃圾邮件工具、以及可生成描述由源实施的活动的日志的加密工具。可例如通过日志文件或系统日志服务器中的条目、告警、警报、网络包、电子邮件、通知页来提供事件数据。
事件数据可包括与生成事件的设备或应用有关的信息。事件源的标识符可以是网络端点标识符(例如,互联网协议(IP)地址或媒体访问控制(MAC)地址)和/或源的描述,可能包括与产品提供商和版本有关的信息。时间属性、源信息以及其他信息被用于将事件与用户关联,并针对安全威胁分析事件。
事件关联不限于检测网络安全威胁,且可应用于许多不同的应用。例如,可关联在线购物交易以检测某些条件,或者可关联银行金融交易以检测某些条件。事件关联可应用于接收大量数据的应用,这些大量数据为实施某些动作被实时关联以检测某些条件。可检测的活动不限于恶意活动,且可以是可通过对事件的规则的应用来检测的任何类型的活动。
图1图示分布式事件关联系统100的示例。分布式事件关联系统100可包括主节点110,用作包括集群节点121a-n的集群120的控制中心。节点可包括计算机平台,计算机平台包括至少一个处理器以及数据存储器。存储器可包括内存和/或其他类型的数据存储器。集群120为一组节点,例如,集群节点121a-n以及无关的集群节点122,集群节点121a-n存储分区的事件数据。主节点110可管理集群成员关系、创建并维护对存储在每个集群节点中的事件的分区进行识别的分区图、接收包括事件的进入事件数据,以及将每个事件的事件数据路由到存储对应于事件的分区的集群节点。可通过事件数据中的字段分区事件数据,例如用户ID、设备ID、事件时间等。例如,金融应用可具有非常大的交易数据集,可通过客户ID分区,因此,可为集群节点121a-n中的每个分配客户ID的块。进入的交易事件具有编码在事件字段中的一个字段的客户ID。根据分配给每个集群节点的客户ID,将事件数据存储到集群节点121a-n上,且每个集群节点可根据规则关联事件。
集群120可包括无关的集群节点122,其关联不具有与分区有关的数据的事件,例如,没有客户ID的事件。规则指定(RD)节点130可存储用于关联跨多个数据分区的事件的规则。分布式事件关联系统100可包括备用主节点140,其维护主节点的控制数据的备份,且如果主节点故障,其可接管主节点。
数据存储器111可包括数据库、在线分析数据存储系统或其他类型的数据存储系统。数据存储器111可包括硬件(例如硬盘、内存、处理电路等),用于存储数据以及执行数据存储和获取操作。数据存储器111可存储分布式事件关联系统100使用的任何信息。数据存储器111可存储所有接收的事件数据(分区的和未分区的事件数据两者)。
分布式事件关联系统100可从一个或多个源接收事件115。事件115可包括事件数据,该事件数据包括与事件115有关的信息。事件115存储在数据存储器111中。此外,主节点110将每个分区的事件转发至对应的集群节点以供存储。例如,集群节点121a存储具有从1-10,000的客户ID的所有事件,集群节点121b存储具有从10,0001到11,000的客户ID的所有事件,等等。每个集群节点可根据RD节点130a-d提供的一个或多个规则关联事件。关联可包括转发至集群节点的事件115应用规则,以检测某些活动,这些活动可响应于活动的检测而触发动作117(例如,告警、通知、报告、事件的进一步分析等等)。
集群节点121a-n表示集群120包括多个节点。节点的数量可随时间改变,且可基于要存储和要关联的数据的量而改变。此外,RD节点130可包括一个或多个节点。此外,主节点110可管理多个集群。此外,RD节点130以及数据存储器111被示出连接至集群120,以指示RD节点130以及数据存储器111可连接至集群120中的任何集群节点。此外,集群节点121a-n和122中的每一个可提示触发动作117的执行。
图2根据示例图示安全信息和事件管理系统(SIEM)环境200。图1中示出的分布式事件关联系统100可用于SIEM 210中,以处理事件数据,SIEM 210可包括实时事件处理。SIEM 210可处理事件数据以确定网络相关的条件,例如网络安全威胁。此外,通过示例的方式,SIEM 210被描述为安全信息和事件管理系统。
数据源201生成事件的事件数据,事件数据由SIEM 210收集并存储在数据存储器111中。数据源201可包括网络设备、应用、或可操作用于提供可分析的事件数据的其他类型的数据源。可在数据源201生成的日志或消息中采集事件数据。数据源例如可包括:网络交换机、入侵防护系统(IPS)、漏洞评估工具、反病毒工具、反垃圾邮件工具、加密工具以及企业应用。事件数据例如从数据源日志获取,并存储在数据存储器111中。可例如通过日志文件或系统日志服务器中的条目、告警、警报、网络包、电子邮件或通知页来提供事件数据。数据源201可向包括事件数据的SIEM 210发送消息。
事件数据可包括与生成事件的源有关的信息以及描述事件的信息的事件字段。例如,事件数据可将事件识别为用户登录。事件数据中的其他事件字段可包括何时从事件源接收事件(“接收时间”)。接收时间是日期/时间戳。事件字段可描述源,例如事件源是网络端点标识符(例如,IP地址或MAC地址)和/或源的描述,可能包括与产品提供商和版本有关的信息。随后,日期/时间戳、源信息以及其他信息可用于事件关联系统100实施的关联。事件字段可包括事件的元数据,例如事件发生的时间、事件发生的地点、涉及的用户等等。
数据源201的示例在图1中示出为数据库(DB)、UNIX、App1和App2。DB和UNIX是包括网络设备(例如,服务器)且生成事件数据的系统。App1和App2是生成事件数据的应用。App1和App2可为企业应用,例如信用卡和股票交易的金融应用、信息技术应用、人力资源应用、或任何其他类型的应用。
数据源201的其他示例可包括安全检测和代理系统、访问和策略控制、核心服务日志及日志集运商、网络硬件、加密设备以及物理安全。安全检测和代理系统的示例包括IDS、IPS、多用途安全装置、漏洞评估和管理、反病毒、诱捕系统、威胁响应技术以及网络监控。访问和策略控制系统的示例包括访问和身份管理、虚拟专用网(VPN)、缓存引擎、防火墙以及安全策略管理。核心服务日志和日志集运商的示例包括操作系统日志、数据库审计日志、应用日志、日志集运商、网页服务器日志以及管理控制台。网络设备的示例包括路由器和交换机。加密设备的示例包括数据安全性和完整性。物理安全系统的示例包括密钥卡读卡器、生物辨识、防盗自动警铃以及火灾警报。其他数据源可包括与网络安全无关的数据源。
连接器202可包括由从数据源向SIEM 210提供事件数据的机器可读指令组成的代码。连接器202可从数据源201中的一个或多个提供有效的、实时(或接近实时)的本地事件数据采集和过滤。例如,连接器202从事件日志或消息收集事件数据。事件数据的收集被示出为“EVENTS”,其描述来自数据源201的、向SIEM 210发送的事件数据。连接器可用于所有数据源201。
分布式事件关联系统100中的主节点110可从数据源201接收事件数据,并将事件存储到数据存储器111和集群120中。分布式事件关联系统100的集群节点121a-n可例如基于分布式事件关联系统100的RD节点130提供的规则关联事件。例如,关联包括:发现事件之间的关系,例如通过生成元事件来推断那些关系的重要性,排序事件和元事件,以及提供采取行动的架构。SIEM 210还支持响应管理、点对点(ad-hoc)询问方案、报告和电子取证分析的重放以及网络威胁和活动的图形可视化。
集群节点121a-n审查接收的事件,以确定特定的一个或多个事件涉及SIME210中处理的各种规则中的哪个(如果有)。如果测试的事件具有满足或可能满足一个或多个规则的一个或多个属性,则认为涉及该规则。例如,如果测试的事件具有特定的源地址,该特定的源地址来自满足规则的条件的特定的子网,则可认为涉及该规则。在这个意义上,事件可以以与规则关联的指定的时间间隔保持兴趣且因此,通过知道这些时间窗事件,能够以正当理由存储及丢弃事件。SIEM 210可向用户传送或显示与事件和事件处理有关的报告或通知。
现在结合方法描述图1中示出的分布式事件关联系统100中各组件之间的交互的示例。图3中示出的方法300描述创建集群120。
在301处,主节点110将分区分配给每个集群节点。例如,主节点110将事件中的一个或多个字段(例如,客户ID)分成有序的连续块,并将每个块分配给一对集群节点。该对集群节点可包括主要集群节点和故障转移集群节点。例如,集群节点121a可以是事件的块的主要集群节点,且可以是事件的另一个块的故障转移节点。块分配可将事件均匀散布于集群节点121a-n且针对每个集群节点散布,块分配将事件均匀分发于故障转移节点上。任何节点故障后,随后的属性确保数据负载保持均衡。
此外,在301处,主节点110可等待直至集群120达到稳定状态,以确定分区。稳定状态例如包括预定数量的集群节点可用于集群120时。
在302处,主节点110根据分区确定分区图。分区图可识别每个分区、分区的事件字段值的块、主要集群节点、以及主集群节点的故障转移集群节点。分区图可包括元组的列表,例如{dim_start_value,dim_end_value,primary_node,failover_node}。对每个分区提供元组。Dim_start_value是维度开始值,dim_end_vlaue是维度结束值,例如,分别针对客户ID的0和10,000。维度例如是指事件中的字段,值0和10,000是客户ID的开始事件字段值和结束事件字段值的示例。值0-10,000表示分区的事件字段值的范围。
在303处,主节点110可将分区图传递至所有集群节点121a-n。分区图可存储在主节点110、集群节点121a-n中的每一个以及数据存储器111中。
在304处,集群节点121a-n中的每一个将其分配的分区的应用数据从数据存储器111加载到其数据存储器(例如内存)中。应用数据可包括与可用于基于事件关联规则关联事件的事件数据有关的任何数据。应用数据的一个示例可以是与聚合的各事件有关的信息,例如客户的跨多个天、月或年的历史购买数据。在另一个示例中,应用数据可包括源IP地址的信任列表,或之前尝试未授权访问网络的源IP地址的不友好列表。应用数据可用于事件关联。例如,关联规则可包括:如果在某时间段内发生了预定数量的失败的登录尝试,则确定源IP地址是否在不友好列表上,以及如果失败的登录尝试中的一个或多个具有不友好列表上的源IP地址,则触发告警。如果分区是基于客户ID的,每个集群节点将其分区的应用数据(例如其客户范围)加载到其内存中。那样,在集群节点接收具有对应的客户ID的事件时,其能够用内存中的所有相关数据有效地处理分区的规则。
在305处,集群节点121a-n中的每一个将确认发送至指示其加载其应用数据的主节点110。主节点110已从所有集群节点121a-n接收确认之后,主节点110开始接受进入事件并将进入事件路由至集群节点121a-n。
如果在分布式事件关联系统100中使用多个RD节点,则主节点110可将集群节点121a-n中的每一个分配给RD节点中的一个。RD节点的分配被传送至集群节点121a-n。
图4中示出的方法400描述将进入事件路由至集群节点121a-n和122。在401处,主节点110从接收的事件提取用于确定分区的字段的事件字段值。事件可以是来自外部数据源(例如,图2中示出的数据源201中的一个)的进入事件。维度可以是通过其对事件数据进行分区的字段。事件字段值可以是字段中的值。
在402处,主节点110确定事件字段值是否是非空的。空值可能意味着事件字段中没有值,或事件字段中存在不合适的值,例如替代整数或预定范围外的值的字符串。如果事件字段值是非空的,则在403处,主节点110根据分区图识别事件字段值的对应的集群节点。例如,如果事件字段值是客户ID 9000,则主节点110根据分区图识别集群节点121a存储客户ID值0-10,000的事件。在404处,主节点110将事件发送至从事件字段值和分区图确定的对应的集群节点,且主节点110还将数据发送至数据存储器111。集群节点可根据规则关联事件。
在405处,如果事件字段值是空的或不在任何分区中,则主节点110将事件发送至无关的集群节点122和数据存储器111。无关的集群节点122可根据规则关联接收的事件。
图5中示出的方法500描述将事件匹配到事件关联的规则条件。在501处,集群节点121a-n和122接收一个规则或多个规则。规则可存储在数据存储器111中并加载到集群节点121a-n和122中。可接收并存储包括条件的规则,以关联事件。集群节点121a-n和122可确定是否满足规则的条件,以触发规则中指示的动作。
在一个示例中,关联事件的所有规则(分区的或没有分区的)可跨所有集群节点部署,且可跨所有节点同步对规则的任何改变。这些规则还可称作关联规则。针对分区的规则,每个集群节点执行同一的规则,但使用对应于其分区的不同的事件数据集。对分区的事件执行的规则称作分区的规则,且可包括基于分区的事件触发的条件或动作。例如,可通过源IP地址子网分区集群节点121a-n。规则可包括适用于特定的子网的触发或动作。例如,由于一些子网使用保密数据或更敏感的数据,它们可请求比其他子网更高的安全性。具有敏感数据的一个子网的规则可指示是否检测到子网上一个或多个计算机上5分钟时段内用户的5次失败的登录尝试,随后触发告警并禁用用户ID。另一个子网的规则可包括是否检测到子网上10分钟时段内用户的10次失败的登录尝试,随后触发对系统管理员的告警,以联系用户。可由所有集群节点执行同一的分区的规则,但是,如果未对其分区应用条件,那么,不触发动作。包括不依赖于任何特定的分区且可用于所有分区或多个分区的条件的全局规则称作与分区无关的规则。子网维度的与分区无关的规则的一种示例是:如果检测到10分钟时段内用户的10次失败的登录尝试,那么触发对系统管理员的告警,以联系用户。可在不同的子网上找到部分匹配,因此,规则是与分区无关的。
可为一些规则的聚合各事件以确定是否满足规则的条件。例如,规则包括检测5分钟时间段内的5次失败的登录尝试的条件。聚合例如被集群节点确定为部分匹配(例如,指示失败的登录尝试)的事件,以确定是否已经发生5分钟时间段内的5次失败的登录尝试。可在集群节点聚合各事件,或者,可将事件发送至RD节点130以供聚合,以确定是否满足规则的条件。如果规则是全局规则,那么,部分匹配事件被从检测部分匹配的集群节点121a-n和122发送至RD节点130,因此,RD节点130可基于多个分区的事件检测是否满足规则条件。
在502处,集群节点接收其分区的事件并存储该事件。可从例如方法400中描述的主节点110接收事件。
在503处,集群节点针对在501处接收的规则中的条件评估事件。例如,聚合各事件,以确定是否满足规则中的一个或多个条件。
在504处,集群节点确定事件是否是规则的部分匹配。确定事件是否是部分匹配例如包括:确定条件是否被事件部分满足,例如,对于具有检测5次失败的登录尝试的条件的规则,事件是否识别失败的登录尝试。
在505处,如果事件是部分匹配,则集群节点确定规则是与分区无关的规则还是分区的规则。在506处,如果规则是分区的规则,则将事件在集群节点本地存储为部分匹配,并在集群节点本地聚合。如果规则是与分区无关的规则,则在507处,将可包括完整事件或与条件匹配相关的事件字段中的事件字段的子集的部分匹配的信息转发至RD节点130。RD节点130可确定聚合的部分匹配是否满足规则的条件以触发可在规则中规定的动作。部分匹配信息可排队等候,或分批发送至RD节点130。如果存在多个RD节点(每个分配给一个或多个集群节点),那么,集群节点将部分匹配信息发送至对应的RD节点。此外,在506处,部分匹配可发送至RD节点130。
在508处,更新聚合状态以包括部分匹配。集群节点和RD节点130基于部分匹配维护规则的聚合状态。聚合状态可包括规则的部分匹配的信息。例如,如果规则的条件包括5分钟时间段内一个用户的5次失败的登录尝试的检测,则聚合状态包括与规则的条件相关的部分匹配的事件字段,例如用户ID、事件时间、以及事件描述。为了有助于从单节点故障恢复,与故障转移节点共享聚合状态。例如,每个集群节点可具有其分区的故障转移节点。每个主要集群节点与其故障转移节点共享聚合状态。例如,每个主要集群节点创建包含其状态(包括聚合状态,)的快照的检查点,并将该检查点发送至指定的故障转移节点。检查点数据也可写到本地文件系统,以从更大的系统故障恢复。检查点可包括最近一次从主节点110接收的聚合状态以及事件。RD节点130还可具有故障转移节点,且RD节点130可创建检查点并将检查点发送至其故障转移节点。检查点可周期性地发送至故障转移节点。
在509处,如果基于部分匹配满足一个条件或多个条件(例如,在针对规则规定条件时),则触发规则的动作。例如,规则是分区的规则,例如,如果检测到5分钟时段内分区的子网上的一个或多个计算机的用户5次失败的登录尝试,那么,触发告警并禁用用户ID。分区的集群节点可聚合部分匹配,以确定是否基于接收的事件和接收的事件的聚合部分匹配检测到5分钟时段内用户的5次登录尝试。如果满足条件,则集群节点可触发动作。如果规则是与分区无关的规则,那么,RD节点130接收部分匹配信息,并确定是否满足条件,以触发动作。
图6中示出的方法600描述修改集群成员关系以包括新的集群节点。在601处,集群节点110确定新的集群节点是否正加入到集群120。例如,主节点110可从请求加入集群120的集群节点接收消息。
在602处,如果主节点110确定新的集群节点正加入到集群,则主节点110将集群节点121a-n中的每一个的事件数据的部分分配给新的集群节点。例如,分配是跨事件字段的分区。在603处,新的集群节点从数据存储器111加载其分区的应用数据。在604处,确定新的集群节点的故障转移节点,且该故障转移节点加载新的集群节点的应用数据。
在605处,主节点110更新分区图,以识别新的集群节点及其分区以及其故障转移节点,并且在606处,主节点110将更新的分区图分发给集群节点121a-n和新的集群节点。更新分区图可包括:作为向新的集群节点转移事件字段值的连续块的部分的结果,更新对分区的任何改变。
在一个示例中,在602处,主节点110基于与之前的跨所有集群节点(包括新的集群节点)的分区图相同的分区事件字段确定新的分区。新的分区图的块分配可跨集群节点均匀散布事件,包括用于负载均衡的新的集群节点。
图7中示出的方法700描述修改集群成员关系以包括新的集群节点。在701处,主节点110确定集群节点是否(计划的或非计划的)离开集群120。例如,主节点110可确定集群节点故障或已经从集群120移除。
在702处,主节点110将消息发送至离开集群120的集群节点的故障转移节点,以使其成为离开集群120的集群节点的分区的主要节点。例如,如果还未在内存中存储,则故障转移节点将分区的对应的应用数据从数据存储器111加载到内存中。故障转移节点从最近一次接收的检查点恢复聚合状态,且可检查从最近一次的检查点开始接收的分区的任何新的事件,以确定是否存在集群节点的规则的任何部分匹配。
在703处,主节点110从完成其恢复过程且现在正用作分区的主要集群节点的故障转移节点接收确认。
在704处,为新的主要集群节点确定新的故障转移节点。在705处,主节点110更新分区图,以识别新的故障转移节点,且在706处,主节点110将更新的分区图分发给集群节点121a-n和新的集群节点。
图8示出可与本文描述的实施例和示例一起使用的计算机系统800。计算机系统800是可用于主节点110、集群120中的任何集群节点和/或RD节点130的平台。计算机系统800可通过一个或多个处理器或其他硬件处理电路执行本文描述的方法、功能和其他过程。这些方法、功能和其他过程可体现为存储在计算机可读介质上的机器可读指令,计算机可读介质可以是非瞬态的,例如硬件存储设备(例如,RAM(随机存取存储器)、ROM(只读存储器)、EPROM(可擦除可编程ROM)、EEPROM(电可擦除可编程ROM)、硬盘以及闪存)。
计算机系统800包括至少一个处理器802,可执行实施本文描述的一些或所有方法、功能和其他过程的机器可读指令。计算机系统800还可包括数据存储器。数据存储器可包括内存806,例如,随机存取存储器(RAM)。例如,节点的机器可读指令810在运行时刻期间可位于内存806中。机器可读指令810可实施上面描述的节点的方法和其他过程中的一个或多个。例如,机器可读指令810可包括由集群节点执行用于确定是否满足规则的条件的事件关联指令810a,或包括由主节点110执行用于管理集群和路由事件的集群管理和事件路由指令810b。此外,节点的数据811可位于内存806中。数据811可包括由节点使用的任何信息。在一个示例中,如果计算机系统800用于集群节点的,则数据811包括应用数据。数据811可包括由主节点110路由至节点的最近一次接收的事件的事件数据。数据811可包括分区图。数据811可包括规则和/或检查点。计算机系统800可包括次要数据存储器808,其可以是非易失性的,且存储机器可读指令810以及节点使用的任何其他信息(也可存储在内存806中)。可通过通信总线809从处理器802传送命令和数据。计算机系统800可包括I/O设备812,例如键盘、鼠标、显示器等等。计算机系统800可包括用于连接网络的网络接口813。可在计算机系统800中增加或替换其他已知的电子组件,且计算机系统800可能不包括图8中示出的所有组件。
虽然已参照示例描述了实施例,可作出所描述的实施例的各种修改而不脱离所要求的特征的范围。
Claims (15)
1.一种包括集群中的集群节点的分布式事件关联系统中的主节点,所述主节点包括:
至少一个处理器,用于:
将各事件中的事件字段分成包括所述事件字段的值的有序的连续块的分区;
将每个分区分配给一对集群节点;
根据所述分区确定分区图,其中所述分区图识别每个分区、所述分区的事件字段值的块、主要集群节点和所述主要集群节点的故障转移节点;以及
数据存储器,用于存储所述分区图,其中所述至少一个处理器用于将所述分区图存储在所述数据存储器中。
2.根据权利要求1所述的主节点,其中所述至少一个处理器用于:
从数据源接收事件;
从该事件提取事件字段的值;
确定所提取的值是否是非空的值;
如果所提取的值是非空的,则基于所提取的值所在的块,识别所接收的事件对应的集群节点;以及
将该事件发送至所述对应的集群节点。
3.根据权利要求2所述的主节点,其中所述至少一个处理器用于:
如果所提取的值是空的,则将该事件发送至无关的集群节点,其中所述无关的集群节点未被分配给所述事件字段的值的任何连续块,且用于根据事件规则关联所接收的各事件。
4.根据权利要求1所述的主节点,其中所述至少一个处理器用于:
确定新的集群节点是否正加入到所述集群;
如果所述新的集群节点正加入到所述集群,则将事件字段值的连续块的一部分分配给所述新的集群节点;以及
更新所述分区图,以包括所述新的集群节点和其分区以及其故障转移节点,并且包括由于将事件字段值的连续块的所述一部分分配给所述新的集群节点而对所述分区的任何改变。
5.根据权利要求4所述的主节点,其中所述新的集群节点从存储所述分布式事件关联系统的事件的事件关联系统数据存储器加载所述新的集群节点的分区的应用数据。
6.根据权利要求1所述的主节点,其中所述至少一个处理器用于:
确定集群节点是否离开所述集群;
如果集群节点离开所述集群,则向离开所述集群的集群节点的故障转移节点发送消息,以使该故障转移节点成为该集群节点的分区的主要节点;以及
更新所述分区图,以包括成为所述分区的主要节点的所述故障转移节点,并且包括该主要节点的故障转移节点。
7.根据权利要求6所述的主节点,其中所述故障转移节点从最近一次接收的检查点恢复聚合状态,并从存储所述分布式事件关联系统的应用数据的事件关联系统数据存储器加载所述分区的应用数据。
8.根据权利要求1所述的主节点,其中所述至少一个处理器用于:
将所述分区图分发至所述集群节点;
响应于所述集群的改变更新所述分区图;以及
将更新的分区图分发至所述集群节点。
9.根据权利要求1所述的主节点,其中所述集群节点中的每一个用于基于规则关联从所述主节点接收的各事件,其中所述关联包括:
接收分区的事件;
确定该事件是否是所述规则的部分匹配,其中所述部分匹配包括条件的部分满足;
如果该事件是部分匹配,则确定所述规则是与分区无关的规则还是分区的规则;
如果所述规则是与分区无关的规则,则将所述部分匹配的信息发送至规则指定节点以聚合各事件,用来确定是否满足所述条件;以及
如果所述规则是分区的规则,则在所述集群节点处将所述事件存储为部分匹配,并在所述集群节点处聚合各事件以确定是否满足所述条件。
10.一种分布式事件关联系统中的存储事件数据的分区的多个集群节点中的集群节点,该集群节点包括:
数据存储器,用于存储接收的该集群节点的分区的事件;以及
至少一个处理器,用于:
接收用于关联各事件的规则,其中各事件被聚合以确定是否满足所述规则中的条件;
接收分区的事件;
确定该事件是否是所述规则的部分匹配,其中所述部分匹配包括所述条件的部分满足;
如果该事件是部分匹配,则确定所述规则是与分区无关的规则还是分区的规则;
如果所述规则是与分区无关的规则,则将所述部分匹配的信息发送至规则指定节点以聚合各事件,用来确定是否满足所述条件;并且
如果所述规则是分区的规则,则在该集群节点处将该事件存储为部分匹配,并在该集群节点处聚合各事件以确定是否满足所述条件。
11.根据权利要求10所述的集群节点,其中如果所述规则是所述与分区无关的规则,则所述规则指定节点从多个集群节点接收部分匹配的信息以聚合各事件,用来确定是否满足所述条件。
12.根据权利要求10所述的集群节点,其中所述至少一个处理器用于:
存储并更新聚合状态,其中所述聚合状态包括所述规则的部分匹配的信息;以及
将检查点发送至该集群节点的故障转移节点,其中所述检查点包括所述聚合状态以及最近一次接收的该集群节点的分区的事件的信息。
13.根据权利要求10所述的集群节点,其中所述至少一个处理器用于:接收由所述分布式事件关联系统中的主节点确定的分区图,并将所述分区图存储在所述数据存储器中,其中所述主节点用于将各事件中的事件字段分成包括事件字段的值的有序的连续块的分区,并且所述分区图识别每个分区、所述分区的事件字段值的块、主要集群节点和所述主要集群节点的故障转移节点。
14.根据权利要求13所述的集群节点,其中该集群节点用于:从所述主节点接收所述分区的进入事件,其中所述主节点用于针对每个进入事件从所述事件提取所述事件字段的值,基于所提取的值所在的块识别所接收的事件的对应的集群节点;以及将该事件发送至所述对应的集群节点。
15.一种非瞬态计算机可读介质,包括机器可读指令,所述机器可读指令由至少一个处理器可执行,所述至少一个处理器用于:
将各事件中的事件字段分成包括所述事件字段的值的有序的连续块的分区;
将每个分区分配给一对集群节点;
根据所述分区确定分区图,其中所述分区图识别每个分区、所述分区的事件字段值的块、主要集群节点和所述主要集群节点的故障转移节点;以及
存储所述分区图。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/US2013/036796 WO2014171926A1 (en) | 2013-04-16 | 2013-04-16 | Distributed event correlation system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105144138A CN105144138A (zh) | 2015-12-09 |
| CN105144138B true CN105144138B (zh) | 2018-04-24 |
Family
ID=51731709
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380075693.4A Active CN105144138B (zh) | 2013-04-16 | 2013-04-16 | 分布式事件关联系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10013318B2 (zh) |
| EP (1) | EP2987090B1 (zh) |
| CN (1) | CN105144138B (zh) |
| WO (1) | WO2014171926A1 (zh) |
Families Citing this family (38)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2908195B1 (de) * | 2014-02-13 | 2017-07-05 | Siemens Aktiengesellschaft | Verfahren zur Überwachung der Sicherheit in einem Automatisierungsnetzwerk sowie Automatisierungsnetzwerk |
| US11405410B2 (en) * | 2014-02-24 | 2022-08-02 | Cyphort Inc. | System and method for detecting lateral movement and data exfiltration |
| US9703845B2 (en) * | 2015-01-26 | 2017-07-11 | International Business Machines Corporation | Representing identity data relationships using graphs |
| AU2016204068B2 (en) | 2015-06-17 | 2017-02-16 | Accenture Global Services Limited | Data acceleration |
| US10333992B2 (en) * | 2016-02-19 | 2019-06-25 | Dell Products, Lp | System and method for collection and analysis of endpoint forensic and event data |
| CN107171820B (zh) * | 2016-03-08 | 2019-12-31 | 北京京东尚科信息技术有限公司 | 信息传输、发送、获取方法和装置 |
| US10826933B1 (en) * | 2016-03-31 | 2020-11-03 | Fireeye, Inc. | Technique for verifying exploit/malware at malware detection appliance through correlation with endpoints |
| US10893059B1 (en) | 2016-03-31 | 2021-01-12 | Fireeye, Inc. | Verification and enhancement using detection systems located at the network periphery and endpoint devices |
| US11157521B2 (en) * | 2016-06-29 | 2021-10-26 | Getac Technology Corporation | Correlating multiple sources |
| US10514952B2 (en) | 2016-09-15 | 2019-12-24 | Oracle International Corporation | Processing timestamps and heartbeat events for automatic time progression |
| US10628424B2 (en) | 2016-09-15 | 2020-04-21 | Oracle International Corporation | Graph generation for a distributed event processing system |
| US10771479B2 (en) * | 2016-09-26 | 2020-09-08 | Splunk Inc. | Configuring modular alert actions and reporting action performance information |
| US11240263B2 (en) * | 2017-01-31 | 2022-02-01 | Micro Focus Llc | Responding to alerts |
| WO2018169429A1 (en) * | 2017-03-17 | 2018-09-20 | Oracle International Corporation | Framework for the deployment of event-based applications |
| WO2018169430A1 (en) | 2017-03-17 | 2018-09-20 | Oracle International Corporation | Integrating logic in micro batch based event processing systems |
| US10984099B2 (en) * | 2017-08-29 | 2021-04-20 | Micro Focus Llc | Unauthorized authentication events |
| CN109714183A (zh) * | 2017-10-26 | 2019-05-03 | 阿里巴巴集团控股有限公司 | 一种集群中的数据处理方法及装置 |
| US10587463B2 (en) * | 2017-12-20 | 2020-03-10 | Hewlett Packard Enterprise Development Lp | Distributed lifecycle management for cloud platforms |
| US12289202B2 (en) | 2018-03-19 | 2025-04-29 | Arlo Technologies, Inc. | Adjusting parameters in a network-connected security system based on content analysis |
| US10938649B2 (en) | 2018-03-19 | 2021-03-02 | Arlo Technologies, Inc. | Adjusting parameters in a network-connected security system based on content analysis |
| US11122064B2 (en) * | 2018-04-23 | 2021-09-14 | Micro Focus Llc | Unauthorized authentication event detection |
| US10848506B2 (en) | 2018-06-06 | 2020-11-24 | Reliaquest Holdings, Llc | Threat mitigation system and method |
| US11709946B2 (en) | 2018-06-06 | 2023-07-25 | Reliaquest Holdings, Llc | Threat mitigation system and method |
| US11074143B2 (en) * | 2018-10-05 | 2021-07-27 | Rubrik, Inc. | Data backup and disaster recovery between environments |
| CN109445717B (zh) * | 2018-11-15 | 2022-01-11 | 北京国电通网络技术有限公司 | 一种双机备份时的数据存储方法及装置 |
| USD926809S1 (en) | 2019-06-05 | 2021-08-03 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
| USD926810S1 (en) | 2019-06-05 | 2021-08-03 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
| USD926200S1 (en) | 2019-06-06 | 2021-07-27 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
| USD926782S1 (en) | 2019-06-06 | 2021-08-03 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
| USD926811S1 (en) | 2019-06-06 | 2021-08-03 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
| US11385975B2 (en) * | 2019-11-27 | 2022-07-12 | Amazon Technologies, Inc. | Systems and methods for enabling a highly available managed failover service |
| US11397651B2 (en) | 2020-03-27 | 2022-07-26 | Amazon Technologies, Inc. | Managing failover region availability for implementing a failover service |
| US11119872B1 (en) * | 2020-06-02 | 2021-09-14 | Hewlett Packard Enterprise Development Lp | Log management for a multi-node data processing system |
| US11601449B2 (en) | 2020-07-21 | 2023-03-07 | Absolute Software Corporation | Event evaluation pipeline for alert engine |
| CN113592522A (zh) * | 2021-02-23 | 2021-11-02 | 腾讯科技(深圳)有限公司 | 处理流量数据的方法及设备、和计算机可读存储介质 |
| US11709741B1 (en) | 2021-03-29 | 2023-07-25 | Amazon Technologies, Inc. | Systems and methods for enabling a failover service for block-storage volumes |
| US12306810B2 (en) * | 2022-03-01 | 2025-05-20 | Kinaxis Inc. | Systems and methods for distributed version reclaim |
| US12360971B2 (en) * | 2022-03-01 | 2025-07-15 | Kinaxis Inc. | Systems and methods for distributed version reclaim |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7831705B1 (en) * | 2005-04-14 | 2010-11-09 | Symantec Corporation | Distributed event correlation using horizontally partitioned rulesets |
| CN102104869A (zh) * | 2009-12-17 | 2011-06-22 | 英特尔公司 | 安全用户识别模块服务 |
| CN102426545A (zh) * | 2010-10-27 | 2012-04-25 | 微软公司 | 分布式系统的反应式负载平衡 |
| CN102945139A (zh) * | 2011-09-12 | 2013-02-27 | 微软公司 | 存储设备驱动器和集群参与 |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5805785A (en) | 1996-02-27 | 1998-09-08 | International Business Machines Corporation | Method for monitoring and recovery of subsystems in a distributed/clustered system |
| US6298378B1 (en) | 1998-12-04 | 2001-10-02 | Sun Microsystems, Inc. | Event distribution system for computer network management architecture |
| US6728897B1 (en) * | 2000-07-25 | 2004-04-27 | Network Appliance, Inc. | Negotiating takeover in high availability cluster |
| US7206836B2 (en) * | 2002-09-23 | 2007-04-17 | Sun Microsystems, Inc. | System and method for reforming a distributed data system cluster after temporary node failures or restarts |
| US6968335B2 (en) | 2002-11-14 | 2005-11-22 | Sesint, Inc. | Method and system for parallel processing of database queries |
| US8001142B2 (en) | 2003-04-02 | 2011-08-16 | Oracle America, Inc. | Distributed data system with incremental data updates |
| US7937616B2 (en) * | 2005-06-28 | 2011-05-03 | International Business Machines Corporation | Cluster availability management |
| US8082289B2 (en) * | 2006-06-13 | 2011-12-20 | Advanced Cluster Systems, Inc. | Cluster computing support for application programs |
| US7624118B2 (en) | 2006-07-26 | 2009-11-24 | Microsoft Corporation | Data processing over very large databases |
| US7480827B2 (en) * | 2006-08-11 | 2009-01-20 | Chicago Mercantile Exchange | Fault tolerance and failover using active copy-cat |
| US8671151B2 (en) * | 2007-01-24 | 2014-03-11 | Oracle International Corporation | Maintaining item-to-node mapping information in a distributed system |
| CA2688509C (en) * | 2007-05-31 | 2017-02-28 | Informatica Corporation | Distributed system for monitoring information events |
| US8572237B2 (en) * | 2008-12-16 | 2013-10-29 | Sap Ag | Failover mechanism for distributed process execution |
| US20120254416A1 (en) | 2011-03-31 | 2012-10-04 | Meas, Llc | Mainframe Event Correlation |
| US9571508B2 (en) | 2011-07-29 | 2017-02-14 | Hewlett Packard Enterprise Development Lp | Systems and methods for distributed rule-based correlation of events |
| WO2013032911A1 (en) * | 2011-08-26 | 2013-03-07 | Hewlett-Packard Development Company, L.P. | Multidimension clusters for data partitioning |
-
2013
- 2013-04-16 CN CN201380075693.4A patent/CN105144138B/zh active Active
- 2013-04-16 US US14/783,175 patent/US10013318B2/en active Active
- 2013-04-16 WO PCT/US2013/036796 patent/WO2014171926A1/en active Application Filing
- 2013-04-16 EP EP13882517.9A patent/EP2987090B1/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7831705B1 (en) * | 2005-04-14 | 2010-11-09 | Symantec Corporation | Distributed event correlation using horizontally partitioned rulesets |
| CN102104869A (zh) * | 2009-12-17 | 2011-06-22 | 英特尔公司 | 安全用户识别模块服务 |
| CN102426545A (zh) * | 2010-10-27 | 2012-04-25 | 微软公司 | 分布式系统的反应式负载平衡 |
| CN102945139A (zh) * | 2011-09-12 | 2013-02-27 | 微软公司 | 存储设备驱动器和集群参与 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105144138A (zh) | 2015-12-09 |
| EP2987090B1 (en) | 2019-03-27 |
| US20160034361A1 (en) | 2016-02-04 |
| EP2987090A4 (en) | 2017-05-03 |
| EP2987090A1 (en) | 2016-02-24 |
| WO2014171926A1 (en) | 2014-10-23 |
| US10013318B2 (en) | 2018-07-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105144138B (zh) | 分布式事件关联系统 | |
| US12335275B2 (en) | System for monitoring and managing datacenters | |
| US11765198B2 (en) | Selecting actions responsive to computing environment incidents based on severity rating | |
| US10296739B2 (en) | Event correlation based on confidence factor | |
| CN103782293B (zh) | 用于数据分区的多维集群 | |
| US20160164893A1 (en) | Event management systems | |
| CN104038466B (zh) | 用于云计算环境的入侵检测系统、方法及设备 | |
| CN103563302A (zh) | 网络资产信息管理 | |
| CN114208114B (zh) | 每参与者的多视角安全上下文 | |
| US20170318037A1 (en) | Distributed anomaly management | |
| EP3414683B1 (en) | Comparison of behavioral populations for security and compliance monitoring | |
| Kitahara et al. | Highly-scalable container integrity monitoring for large-scale kubernetes cluster | |
| US8745010B2 (en) | Data storage and archiving spanning multiple data storage systems | |
| CN108600149B (zh) | 云计算高可用性集群资源管理方法 | |
| US20150244598A1 (en) | Remote monitoring of events on a network using localized sensors | |
| CN117692243A (zh) | 攻击链路还原方法、装置、计算机设备和存储介质 | |
| CN108270865B (zh) | 高性能云计算平台的作业调度方法 | |
| Kumar | Distributed Intrusion Detection System Scalability Enhancement using Cloud Computing. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20160923 Address after: American Texas Applicant after: HEWLETT PACKARD ENTERPRISE DEVELOPMENT LP Address before: American Texas Applicant before: Hewlett-Packard Development Company, Limited Liability Partnership |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20180612 Address after: American California Patentee after: Antite Software Co., Ltd. Address before: American Texas Patentee before: HEWLETT PACKARD ENTERPRISE DEVELOPMENT LP |
|
| TR01 | Transfer of patent right | ||
| CP03 | Change of name, title or address |
Address after: Utah, USA Patentee after: Weifosi Co., Ltd Address before: California, USA Patentee before: Antiy Software Co.,Ltd. |
|
| CP03 | Change of name, title or address |