一种基于主机威胁数据快速检索方法技术

本发明专利技术提供了一种基于主机威胁数据快速检索方法，属于复杂数据检索技术领域，它解决了现有的数据库在海量数据检索时运行缓慢或排列杂乱等技术问题。本基于主机威胁数据快速检索方法，包括以下步骤：S1、采集端将linux主机数据采集完成送检到分析端进行分析；S2、捕获到威胁数据按指定存储方式存入到非关系型数据库当中；S3、用户通过系统全局搜索功能，选取指定模块，再通过筛选条件精确命中指定数据；S4、页面高效的将数据展现在用户面前。本发明专利技术具有快速检索、合理分类的优点。合理分类的优点。合理分类的优点。

【技术实现步骤摘要】
一种基于主机威胁数据快速检索方法


[0001]本专利技术属于复杂数据检索
，涉及一种基于主机威胁数据快速检索方法。

技术介绍

[0002]随着经济全球化的迅速发展，如何保证生产企业、管理活动的全过程保持高度统一行动和高效率的运行是每一个企业在瞬息万变、机遇与危机并存的经济环境中所面临的挑战与解决的难题。随着企业信息化的不断应用，企业数据日益庞大,在这样庞大的信息资源的利诱下，一些利用不正常手段获取企业信息的人就会窃取企业重要情报，反黑溯源产品继而尤为重要，我们会获取黑客的活动轨迹，重要信息入库保存，要想细致的去做分析，那么我们必定需要大量的数据来做背后支撑，数据量庞大，如何在海量的数据里面提供给用户所想看到的数据，这即需要一种动态高效的复杂数据检索技术，帮助企业从大量入侵数据中找到想要得到的信息，继而主机反黑取证全局搜索功能来实现。
[0003]此功能诞生于中睿linux主机反黑溯源系统，当系统配置好指定采集模式的采集器，下发在受检主机上面进行数据采集，此时将会根据规则去分析这些采集数据，发现威胁立即收集，存入数据库。由于数据量巨大，使用关系型数据库已无法高效的应对需求，即使用非关系型数据库解决此问题，如何在大量的数据中命中用户想看的数据，由全局搜索功能来实现。
[0004]首先关系数据库检索的缺点是每次操作都要进行sql语句的解析，消耗量较大，不能很好的满足并发需求，特别是海量数据爆发，关系型数据库读写能力会显的不足，关系型数据库每一步都要进行加锁的操作，也造成了数据库的负担，数据一致性高，有时也会使数据的存储不灵活。非关系型数据库elasticsearch虽可高效的检索数据，但是数据存储方式以及查询语句的变化比较繁琐，在分类不明确且数据混乱的情况下也无法高效的命中数据。
[0005]继而本专利技术的全局搜索功能解决了此问题，根据数据的特殊性(linux系统数据)，本专利技术将数据在存储时进行了索引的归类，由时间日期作为前提条件将文件、进程、启动项、网络、痕迹等5大模块进行了分类存储，到检索数据时缩小了查询范围，范围缩小是前提，加上由条件变化的DSL预处理查询语句也会更高效命中数据。

技术实现思路

[0006]本专利技术的目的是针对现有的技术存在上述问题，提出了一种基于主机威胁数据快速检索方法，该专利技术要解决的技术问题是：如何实现数据采集过后在大量数据里面快速检索出用户所需要的数据信息。
[0007]本专利技术的目的可通过下列技术方案来实现：
[0008]一种基于主机威胁数据快速检索方法，其特征在于，包括以下步骤：
[0009]S1、采集端将linux主机数据采集完成送检到分析端进行分析；
[0010]S2、捕获到威胁数据按指定存储方式存入到非关系型数据库当中；
[0011]S3、用户通过系统全局搜索功能，选取指定模块(已然相当于缩小了搜索范围)，再通过筛选条件精确命中指定数据；
[0012]S4、页面高效的将数据展现在用户面前；提高了系统性能也提升了用户体验。
[0013]进一步的，数据采集检索流程如下：
[0014](1)采集器配置/下载；
[0015](2)对比采集器是否正确；
[0016](3)对步骤(2)进行判定，如果不正确，比对采集器错误，重新配置/下载，回到步骤(1)；
[0017](4)对步骤(2)进行判定，如果正确，则运行Linux，采集器数据采集；
[0018](5)样本送检至分析端；
[0019](6)分析完成归类入库；
[0020](7)用户使用全局搜索功能，选择模块输入条件；
[0021](8)数据库快速检索数据；
[0022](9)页面呈现。
[0023]首先，数据采集完成后，存入在关系型数据库当中，由于数据量庞大，要检索某一数据则要通库查询，耗时较长，继而排除了关系型数据库，非关系数据库ES可提高检索效率，解决了关系型数据库性能方面的短板，但是没有合理的分类存储，则无法满足高效需求，而本专利技术结合非关系型数据库ES高效检索的特点及分类明确的索引，建立起数据架构，在用户检索数据时高效命中数据的可能性最大，原有搜索只是模块化的去检索数据，无法站位整个产品角度去检索所有涉及到的数据，本专利技术的全局搜索功能解决了这一问题，无论是模块数据，还是全产品角度，只要用户所有想看到的数据，都可通过本专利技术的功能实现数据的实时展示。
[0024]根据本专利技术，提供了一种计算机设备，包括处理器、存储器以及存储在存储器中且被配置为由处理器执行的计算机程序，其特征在于，所述处理器执行所述程序时实现上述方法。
[0025]根据本专利技术，提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，其特征在于，所述计算机程序被处理器执行时执行上述方法。
[0026]与现有技术相比，本基于主机威胁数据快速检索方法具有以下优点：
[0027]1、本专利技术结合非关系型数据库ES高效检索的特点及分类明确的索引，建立起数据架构，在用户检索数据时高效命中数据的可能性最大，原有搜索只是模块化的去检索数据，无法站位整个产品角度去检索所有涉及到的数据，本专利技术的全局搜索功能解决了这一问题，无论是模块数据，还是全产品角度，只要用户所有想看到的数据，都可通过本专利技术的功能实现数据的实时展示。
[0028]2、数据存储井然有序；缩小范围高效命中数据；查询条件多样性解决用户更极致的需求；数据更加准确，价值度高。
[0029]3、减少用户查询数据的等待周期；更为快速更为准确的数据呈现，同样也是提高用户体验的一种表现。
附图说明
[0030]图1是本专利技术的原理框图。
[0031]图2是本专利技术的检索流程图。
[0032]图3是本专利技术检索后的界面展示图。
[0033]图4是本专利技术中计算机设备的结构示意图。
具体实施方式
[0034]以下是本专利技术的具体实施例并结合附图，对本专利技术的技术方案作进一步的描述，但本专利技术并不限于这些实施例。
[0035]现有技术中，相关的检索方式有很多种，但是对于网络安全而言，主机反黑取证溯源数据量过于庞大，目前还没有更好的替代方案。
[0036]如图1
‑
图4所示，本专利技术提供一种基于主机威胁数据快速检索方法，包括以下步骤：
[0037]S1、采集端将linux主机数据采集完成送检到分析端进行分析；
[0038]S2、捕获到威胁数据按指定存储方式存入到非关系型数据库当中；
[0039]S3、用户通过系统全局搜索功能，选取指定模块(已然相当于缩小了搜索范围)，再通过筛选条件精确命中指定数据；
[0040]S4、页面高效的将数据展现在用户面前；提高了系统性能也提升了用户体验。
[0041]进一步的，数据采集检索流程如下：
[0042](1)采集器配置/下载；
[0043](2)对比采集器是否正确；
[0044](3本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于主机威胁数据快速检索方法，其特征在于，包括以下步骤：S1、采集端将l inux主机数据采集完成送检到分析端进行分析；S2、捕获到威胁数据按指定存储方式存入到非关系型数据库当中；S3、用户通过系统全局搜索功能，选取指定模块(已然相当于缩小了搜索范围)，再通过筛选条件精确命中指定数据；S4、页面高效的将数据展现在用户面前；提高了系统性能也提升了用户体验。2.根据权利要求1所述的一种基于主机威胁数据快速检索方法，其特征在于，数据采集检索流程如下：(1)采集器配置/下载；(2)对比采集器是否正确；(3)对步骤(2)进行判定，如果不正确，比对采集器错误，重新配置/下载，回到步骤(1)；(4)对步骤(2...

【专利技术属性】
技术研发人员：刘庆林，刘正伟，李小琼，魏海宇，谢辉，安恩庆，张乃亮，杨晓峰，刘海洋，刘刚，
申请(专利权)人：山东中睿天下信息技术有限公司，
类型：发明
国别省市：