CN103765432A - 视觉组件和下钻映射 - Google Patents
视觉组件和下钻映射 Download PDFInfo
- Publication number
- CN103765432A CN103765432A CN201280043582.0A CN201280043582A CN103765432A CN 103765432 A CN103765432 A CN 103765432A CN 201280043582 A CN201280043582 A CN 201280043582A CN 103765432 A CN103765432 A CN 103765432A
- Authority
- CN
- China
- Prior art keywords
- lower brill
- visual component
- data
- brill
- mapped
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6227—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
Abstract
一种下钻管理器系统可以包括确定用于视觉组件的字段的自省模块,以及基于所述字段和用于下钻的数据输出来将该下钻映射到视觉组件的映射模块。该系统可以在被映射到所述下钻的视觉组件中呈现用于所述下钻的数据输出。
Description
优先权
本申请要求在2011年9月8日提交的序列号为61/532,455的美国临时专利申请的优先权,并通过引用将其全部内容包含在内。
背景技术
计算机网络和系统对现代业务而言已变成不可缺少的工具。现在,关于虚拟可想象的每个主题的兆兆位信息被存储在此类网络中,并被遍及世界的用户跨所述网络所访问。在某种程度上,该信息中的许多是机密的,并需要保护。于是不出意外地,入侵检测系统(IDS)被开发以帮助发现由未授权的个人和/或设备为获得对计算机网络和在其中存储的信息的访问而进行的尝试。
入侵检测可以被视为检测计算机网络或系统内或者涉及所述计算机网络或系统的不适当、不正确、或异常的活动。可以从各种源中收集用于检测入侵的数据。例如,不同类型的网络设备的数据监视器(诸如,路由器、防火墙等)可以监视不同类型的数据以检测攻击。由于从许多不同的数据源所提供的不同类型的数据,所以难以将跨许多数据源的不同类型的数据与关于入侵的当前所期望的信息进行相关。
附图说明
在以下描述中,参考以下附图中所示出的示例来详细描述实施例。
图1图示了下钻(drill down)管理器系统。
图2图示了安全信息和事件管理系统。
图3图示了一种方法。
图4图示了可以被用于所述方法和系统的计算机系统。
具体实施方式
为了简单和说明的目的,主要通过参考实施例的示例来描述其原理。在以下描述中,阐述了许多特定细节,以便提供对实施例的透彻理解。明显的是,可以在不限定于所有特定细节的情况下实施实施例。还有,可以采用各种组合来一起使用实施例。
根据一个实施例,一种下钻管理器系统确定下钻的输入和输出,并且确定哪些视觉组件能够为下钻提供数据。下钻可以包括从当前信息移动到关于当前信息中的至少一些的更详细的信息。视觉组件可以包括用于呈现数据的显示工具。每个显示工具可以采用不同的格式来呈现数据,并且还可以显示不同的数据。例如,一种格式可以包括按行来显示用于每个事件的字段中的值。另一种格式可以在活动频道中呈现用于事件的概要信息。在另一个示例中,视觉组件可以采用图表或条形图来图形地显示用户的带宽使用或失败登录尝试。在另一个示例中,视觉组件可以列出查询结果。视觉组件的示例可以包括活动频道、仪表盘、查询查看器、和数据监视器,以下进一步详细描述了所述视觉组件的示例。下钻管理器系统为每个下钻自动地创建一个或多个视觉组件的映射。下钻能够被预定义或动态创建。当添加新的下钻或者添加或移除新的视觉组件时,下钻管理器自动地找到映射。
下钻管理器系统跨多个不同类型的视觉组件来对下钻进行映射。因而,用户不被限制于仅特定于从单个视觉组件中可获得的数据的数据查看。这为用户提供以各种粒度来查看从多个视觉组件中可获得的许多不同类型的数据的机会。还有,下钻管理器系统可以存储多个下钻,并且向用户呈现与该用户匹配的下钻。例如,用户可以查看其被授权查看的下钻。下钻管理器系统可以依据用户类型(例如,分析者或执行者)来对下钻进行分组,并且呈现匹配于用户的类型的下钻组。可以采用可以与组织层级一致的层级来对下钻分组进行组织。
针对其可以执行下钻并且显示视觉组件的数据类型的一个示例是事件数据,然而,可以使用任何类型的数据。事件数据包括与在计算机设备上或在计算机网络中执行的活动相关的任何数据。事件数据可以被相关并分析以识别网络或计算机安全威胁。所述活动可以与用户(也称为行动者)相关联以识别安全威胁以及安全威胁的原因。活动可以包括登录、登出、通过网络发送数据、发送电子邮件、访问应用、读或写数据等。安全威胁可以包括被确定成指示可疑或不适当行为的可以通过网络或在连接到网络的系统上执行的活动。通过示例的方式,一种常见的安全威胁是用户或代码尝试通过网络来获得对机密信息(诸如社会保险号、信用卡号等)的未授权访问。
事件数据的数据源可以包括网络设备、应用、或以下所描述的可操作以提供事件数据的其他类型的数据源,所述事件数据可以被用来识别网络安全威胁。可以在由数据源所生成的日志或消息中捕获描述事件的事件数据。例如,入侵检测系统(IDS)、入侵防御系统(IPS)、漏洞评估工具、防火墙、杀毒工具、反垃圾邮件工具、以及加密工具可以生成描述由源所执行的活动的日志。例如可以通过日志文件或系统日志服务器中的条目、警告、警报、网络分组、电子邮件、或者通知页来提供事件数据。
事件数据能够包括关于生成了该事件的设备或应用的信息。事件源是网络端点标识符(例如,IP地址或媒体访问控制(MAC)地址)和/或可能包括关于产品的供应商和版本的信息的对源的描述。时间属性、源信息和其他信息被用来将事件与用户相关,并且针对安全威胁而分析事件。
图1图示了根据一个实施例的下钻管理器系统100。下钻管理器系统100可以包括下钻创建模块121、视觉组件创建模块122、自省(introspect)模块123、映射模块124、运行模块125和用户界面126。系统100的组件可以包括硬件、机器可读指令、或者硬件和机器可读指令的组合。机器可读指令可以被存储在存储设备上,并由一个或多个处理器来运行。
下钻管理器系统100跨不同的数据输入和不同的视觉组件来提供所期望粒度的事件数据的可见度,以如用户或另一个系统所请求的那样呈现信息。下钻创建模块121在数据存储111中创建并存储下钻113。下钻可以包括呈现与捕获事件数据相关的数据。可以根据用户为下钻提供的要求来确定下钻中的信息。所述要求可以指定数据输入、数据输出、和/或计算数据输出的功能。在数据存储111中存储该信息以表示下钻。用户还能够依据在系统中静态或动态地可用的字段、字段数据类型、或满足功能的实际运行时间输入值来指定关于数据输入的进一步约束。用户可以经由用户界面126通过选择或提供用于下钻的信息来创建下钻。例如,用户可以经由用户界面126来选择用于下钻的字段、约束等,并且将下钻存储在数据存储111中。用户界面126可以包括在显示器上生成的图形用户界面。
下钻113和视觉组件114被示出为对于系统100的数据输入。可以从数据存储111中检索下钻113和视觉组件114,并将它们作为输入提供。还有,可以在数据存储111中存储可以被生成作为系统100的输出的映射115。对视觉组件119的呈现表示例如系统100在显示器上利用所期望的数据来显示视觉组件。还有,可以从数据源接收事件数据111,并将其存储在数据存储111中。可以在数据存储111中存储可以被用于创建视觉组件或下钻的模板116。
视觉组件创建模块122在数据存储111中创建并存储视觉组件。视觉组件114可以包括用于呈现数据的显示工具。视觉组件114可以被用于对捕获的事件数据的取证(forensic)调查。视觉组件114的示例包括活动频道、仪表盘、查询查看器、和数据监视器。仪表盘可以包括为用户呈现不同屏幕以与系统100进行交互的图形用户界面(GUI)。例如,经由仪表盘,用户可以创建下钻并查看下钻的输出。可以经由用户界面126来呈现仪表盘。
查询查看器和数据监视器可以提供经由用户界面126可视的信息。查询查看器可以在用户界面126中显示查询结果。数据监视器可以显示针对事件数据的统计(例如,实时地)。例如,用户可以选择要在数据监视器中显示的事件字段以识别攻击者。
活动频道可以包括匹配于条件的事件。活动频道可以是从匹配于条件的事件数据中检测的事件的直播流。活动频道可以是基于用户所提供的条件而识别的用户感兴趣的事件。例如,活动频道可以包括由从持续接收的所捕获事件数据中不断识别的失败登录所构成的事件。可以在用户界面126中查看活动频道中的事件。活动频道可以由聚合之前的最好粒度的事件数据来构成。
可以在数据存储111中存储表示每个视觉组件114的信息。在一个示例中,可以在数据存储111中存储用于不同类型的视觉组件的模板116。每个模板可以针对不同类型的视觉组件,并且包括每种类型的视觉组件的呈现元素。所述元素可以包括边界、文本显示窗、字体大小、字体颜色、按钮、下钻菜单等。还可以在模板中包括储备(stock)字段。用户可以在用于特定类型的视觉组件的特定模板中选择要包括的不同字段,以生成视觉组件。可以在数据存储111中存储针对模板的用户选择,以创建视觉组件。
自省模块123确定视觉组件114的字段和用于每个字段的数据类型。例如,视觉组件114可以包括一百个数据监视器、五十个查询查看器、一百个活动频道等。自省模块123分析可以被存储在数据存储111中的用于视觉组件114的信息,以确定每个视觉组件中的字段以及用于每个字段的数据类型。字段可以针对所捕获事件数据或针对根据所捕获事件数据而计算的信息。字段的示例可以包括源IP地址、MAC地址、接收时间、用户ID、入-字节、出-字节、总带宽等。数据类型可以包括数值范围、预定长度的字符串、整数等。当被接收时,任何新接收的视觉组件可以被自省以确定字段以及用于每个字段的数据类型。
映射模块124基于用于下钻的输出以及为视觉组件114识别的字段,将视觉组件114中的一个或多个映射到每个下钻113。下钻中的约束也可以被用于映射。自省模块123可以例如根据在数据存储111中存储的元数据来确定用于下钻113的输入、输出、约束以及其他信息,所述元数据描述该信息。在一个示例中,下钻被定义为具有用于预定时间段内大于阈值的连续失败登录尝试的组织层级中的用户ID和用户类型的数据输出。映射模块124识别具有用于用户ID和失败登录尝试的字段以及用于失败登录尝试的时间戳的数据监视器,并且识别具有用于组织层级中的用户ID和用户类型的字段的查询查看器。在下钻与数据监视器及查询查看器之间创建关联。所述关联例如将下钻ID与数据监视器及查询查看器的ID联系起来。将所述关联存储为映射。可以为每个下钻而存储映射115。如果视觉组件不存在而不能示出用于下钻的期望数据,那么可以在数据存储111中创建并存储视觉组件,并且在下钻与新创建的视觉组件之间创建映射。
还可以执行数据类型映射。例如,下钻的输入可以指定用于输入的IP地址数据类型。事件可以包括多个IP地址(例如,源IP地址、目的地IP地址等)。来自视觉组件的每个IP地址字段都可以被映射到下钻的输入,原因在于它们具有相同的数据类型。
运行模块125运行下钻并生成对被映射到该下钻的任何视觉组件的呈现119。所述呈现可以经由用户界面126。例如,如果用户正查看仪表盘或活动频道中的事件数据,那么用户可以选择用于当前正被示出的事件数据的下钻。下钻可以表示关于事件数据的更详细的信息。例如,如示例中所描述的,诸如查询查看器之类的视觉组件可以被运行以显示用于预定时间段内大于阈值的连续失败登录尝试的组织层级中的用户ID和用户类型。
运行模块125可以向用户呈现与该用户匹配的下钻。例如,用户可以查看其被授权查看的下钻。下钻管理器系统100可以依据用户类型(例如,分析者或执行者)来对下钻进行分组,并且呈现匹配于用户的类型的下钻组。可以采用可以与组织层级一致的层级来对下钻分组进行组织。
数据存储111可以包括数据库、在线分析数据存储系统、或另一种类型的数据存储系统。数据存储111可以包括诸如硬盘驱动器、存储器、处理电路等之类的硬件,以供存储数据以及运行数据存储和检索操作。
图2图示了根据一个实施例的包括安全信息和事件管理系统(SIEM)210的环境200。SIEM 210处理事件数据,这可以包括实时事件处理。SIEM 210可以处理事件数据以确定网络-相关的状况,诸如网络安全威胁。还有,通过示例的方式,将SIEM 210描述为安全信息和事件管理系统。作为一个示例,SIEM 210是可以执行与网络安全相关的事件数据处理的系统。其可操作以执行用于与网络安全不相关的事件的事件数据处理。
环境200包括生成用于事件的事件数据的数据源201,所述事件数据由SIEM 210收集并存储在数据存储111中。数据存储111可以包括数据库或其他类型的数据存储系统。数据存储111可以包括用于执行存储器中(in-memory)处理的存储器和/或用于存储事件数据和执行数据操作的非易失性存储。数据存储111可以存储被SIEM 210用来对事件数据进行相关和分析的任何数据。
数据源201可以包括网络设备、应用、或可操作以提供可以被分析的事件数据的其他类型的数据源。可以在由数据源201所生成的日志或消息中捕获事件数据。数据源例如可以包括网络设备、入侵防御系统(IPS)、漏洞评估工具、杀毒工具、反垃圾邮件工具、加密工具、和业务应用。例如从数据源日志中检索事件数据,并将其存储在数据存储111中。例如可以通过日志文件或系统日志服务器中的条目、警告、警报、网络分组、电子邮件、或通知页来提供事件数据。数据源201可以将包括事件数据的消息发送到SIEM 210。事件数据是由数据源201所捕获的与网络活动和/或安全相关的任何信息。
事件数据能够包括关于生成该事件的源的信息以及描述该事件的信息。例如,事件数据可以将事件识别为用户登录。事件数据中的其他信息可以包括在何时从事件源接收到事件(“接收时间”)。接收时间是日期/时间戳。事件数据可以描述源,诸如,事件源是网络端点标识符(例如,IP地址或媒体访问控制(MAC)地址)和/或可能包括关于产品的供应商和版本的信息的对源的描述。日期/时间戳、源信息、和其他信息然后可以被用于由事件处理引擎221所执行的相关。事件数据可以包括用于事件的元数据,诸如事件在何时发生、事件在何处发生、所涉及的用户等。
在图1中,将数据源201的示例示出为数据库(DB)、UNIX、App1和App2。DB和UNIX是包括诸如服务器之类的网络设备并生成事件数据的系统。App1和App2是生成事件数据的应用。App1和App2可以是诸如用于信用卡和股票交易的财务应用、IT应用、人力资源应用、或任何其他类型的应用之类的业务应用。
数据源201的其他示例可以包括安全检测和代理系统、访问和策略控制、核心服务日志和日志整合器(consolidator)、网络硬件、加密设备、以及物理安全。安全检测和代理系统的示例包括IDS、IPS、多用安全装置、漏洞评估和管理、杀毒、蜜罐、威胁响应技术、以及网络监视。访问和策略控制系统的示例包括访问和身份管理、虚拟专用网络(VPN)、高速缓存引擎、防火墙、以及安全策略管理。核心服务日志和日志整合器的示例包括操作系统日志、数据库审查日志、应用日志、日志整合器、web(网络)服务器日志、以及管理控制台。网络设备的示例包括路由器和交换机。加密设备的示例包括数据安全和完整性。物理安全系统的示例包括磁卡钥匙读取器、生物计量、防盗警报器、和火灾警报器。其他数据源可以包括与网络安全不相关的数据源。
连接器202可以包括由机器可读指令所构成的代码,所述机器可读指令将事件数据从数据源提供到SIEM 210。连接器202可以提供高效、实时(或接近实时)的本地事件数据捕获,以及从一个或多个数据源201中进行过滤。连接器202例如从事件日志或消息中收集事件数据。对事件数据的收集被示出为“EVENTS”,其描述来自数据源201的被发送到SIEM 210的事件数据。连接器可以不被用于所有的数据源201。
SIEM 210收集并分析事件数据。事件能够与创建元事件的规则进行互相关。例如,相关包括例如通过生成元事件、对事件和元事件区分优先次序、以及提供用于采取动作的框架来发现事件之间的关系、推断那些关系的意义。在一个示例中由机器可读指令所构成的SIEM 210能够实现活动的聚合、相关、检测、以及调查跟踪,所述机器可读指令由诸如处理器之类的计算机硬件来运行。所述系统还支持响应管理、特别(ad-hoc)查询解析、对于取证分析的报告和重放、以及网络威胁和活动的图形视觉化。
SIEM 210可以包括可以包括硬件和/或由诸如一个或多个处理器之类的硬件所运行的机器可读指令。事件处理引擎221根据可以被存储在数据存储111中的规则和指令来处理事件。事件处理引擎221例如根据规则、指令和/或请求来将事件进行相关。例如,规则指示了由不同机器上的相同用户在同时或在短时间段内所执行的多次失败登录要向系统管理员生成警告。当应用规则时,事件处理引擎221可以提供多个事件之间的时间、位置、和用户相关性。
用户界面223可以被用于向用户传送或显示关于事件和事件处理的报告或通知。用户界面223可以向用户提供仪表盘,以与SIEM 210进行交互并呈现所请求的信息。用户界面223可以包括可以基于web的图形用户界面。用户界面223可以被用作下钻管理器系统100的用户界面126以呈现视觉组件114,并且可以显示与由SIEM 210所执行的事件处理相关的附加信息。
如以上所描述的,下钻管理器系统100跨不同的视觉组件来提供所期望粒度的事件数据的可见度,以如用户或另一个系统所请求的那样呈现信息。视觉组件的示例包括活动频道、仪表盘、查询查看器、数据监视器。查询查看器可以与查询管理器224进行交互,以运行关于所捕获事件数据的查询并经由用户界面223来显示查询结果。用户界面223可以显示报告、通知、下钻查看、或视觉组件的任何输出。
图3图示了根据一个实施例的方法300。关于图1和2中通过示例的方式而示出的下钻管理器系统100来描述方法300。可以在其他系统中执行方法300。
在301处,自省模块123确定每个视觉组件114中的字段以及用于每个字段的数据类型,并且存储该信息。例如,视觉组件114可以包括一百个数据监视器、五十个查询查看器、一百个活动频道等。自省模块123例如根据为每个视觉组件所存储的元数据来确定每个视觉组件中的字段以及用于每个字段的数据类型。字段可以针对所捕获事件数据或针对根据所捕获事件数据而计算的信息。字段的示例可以包括源IP地址、MAC地址、接收时间、用户ID、入-字节、出-字节、总带宽等。数据类型可以包括数值范围、预定长度的字符串、整数等。任何新接收的视觉组件可以在接收时被自省以确定字段和用于每个字段的数据类型。还有,可能已经为视觉组件114确定了字段和数据类型,然而,如果创建了新的视觉组件,则为所述新的视觉组件确定字段和数据类型。
在302处,自省模块123确定用于下钻113的输入和输出,这可以包括确定新接收的下钻。还可以确定用于下钻113的约束和功能。
在303处,映射模块124至少基于用于下钻的输出以及为视觉组件114识别的字段,将视觉组件114中的一个或多个映射到每个下钻113。下钻输入和约束和功能也可以被用来确定映射。例如,下钻被定义为具有用于预定时间段内大于阈值的连续失败登录尝试的组织层级中的用户ID和用户类型的输出。映射模块124识别具有用于用户ID和失败登录尝试的字段以及用于失败登录尝试的时间戳的数据监视器,并且识别具有用于组织层级中的用户ID和用户类型的字段的查询查看器。在另一个示例中,还可以执行数据类型映射。例如,用于下钻的输入可以指定用于输入的IP地址数据类型。事件可以包括多个IP地址(例如,源IP地址、目的地IP地址等)。来自视觉组件的每个IP地址字段可以被映射到下钻的输入,原因在于它们具有相同的数据类型。可以在数据存储111中存储映射。
在304处,运行模块125运行下钻以呈现对该下钻的视图。例如,用户可以从为事件所呈现的信息中选择下钻。在一个示例中,所选择的下钻向具有连续失败登录尝试的用户提供附加信息。运行模块125识别被映射到下钻的视觉组件中的一个或多个,以显示下钻的视图。可以根据在数据存储111中存储的映射来确定被映射到下钻的视觉组件。例如,被映射到下钻的数据监视器可以呈现每个用户ID的失败登录尝试和时间戳,并且被映射到下钻的查询查看器可以呈现组织层级中的用户ID、用户类型(例如,业务分析者、会计人员、主管等)、用户ID的失败登录尝试的数目、以及用于失败登录尝试的时间戳。
运行模块125通过从被映射到下钻的数据监视器中获取用户ID和每个用户ID的失败登录尝试和时间戳来运行下钻。针对每个用户ID,运行模块125从查询查看器中获取该层级中的用户类型。运行模块125运行功能以确定每个用户ID的失败登录尝试在预定时间段内是否超过阈值,并且呈现指示用户ID、用户类型、以及该时间段内的连续失败登录尝试的数目的视图。当创建下钻时,可以由用户来提供该功能。
运行模块125识别被映射到下钻的视觉组件中的一个或多个,以显示下钻的视图。例如,被映射到下钻的数据监视器可以呈现每个用户ID的失败登录尝试和时间戳,并且被映射到下钻的查询查看器可以呈现组织层级中的用户ID、用户类型(例如,业务分析者、会计人员、主管等)、用户ID的失败登录尝试的数目、以及用于失败登录尝试的时间戳。所识别的视觉组件可以被用来显示用于下钻的信息。例如,被映射到下钻的数据监视器可以呈现每个用户ID的失败登录尝试和时间戳,并且被映射到下钻的查询查看器可以呈现组织层级中的用户ID、用户类型(例如,业务分析者、会计人员、主管等)、用户ID的失败登录尝试的数目、以及用于失败登录尝试的时间戳。
通过下钻管理器122,用户能够定义有用的下钻,并且使这些被自动发现并使得可用。另外,能够创建能够被自动-发现并被视觉组件用来生成下钻视图的下钻组。在一个示例中,下钻的子集可应用于来自下钻列表的视觉组件,并且自动使得那些下钻可用。用户还能够手动地将下钻或下钻列表关联到视觉组件。视觉数据组件能够具有到取证调查机制的多个分组的链接,并且可以执行调查的定制化。例如,在一种方法中,将一组选项/默认值给予分析者以供低级别且详细的调查,而将另一组用于选项/默认值给予执行者以供更多的概观。还能够使用用户权限来限制对下钻的访问。
下钻和下钻列表的创建可以独立于随后被映射到下钻的视觉组件。下钻能够接受视觉数据组件在运行时间处能够提供的可选参数。下钻和下钻列表然后能够被视觉组件自动发现并使用。还有,用户可以手动地将下钻和下钻列表关联到视觉组件。还有,下钻管理器122能够生成多个级别的下钻。例如,可以针对从当前下钻视图中的选择而呈现附加下钻。然后,例如下钻被选择以从当前视图中查看更详细的信息。
图4示出了可以被用于本文所描述的实施例的计算机系统400。计算机系统400表示包括可以处于服务器或另一个计算机系统中的组件的通用平台。计算机系统400可以被用作数据存储系统100的平台。计算机系统400可以通过一个或多个处理器或其他硬件处理电路来运行本文所描述的方法、功能和其他过程。这些方法、功能和其他过程可以被体现为机器可读指令,所述机器可读指令被存储在可以是非临时的诸如硬件存储设备(例如,RAM(随机访问存储器)、ROM(只读存储器)、EPROM(可擦除可编程ROM)、EEPROM(电可擦除可编程ROM)、硬盘驱动器、和闪存)之类的计算机可读介质上。
计算机系统400包括可以实现或运行机器可读指令的处理器402,所述机器可读指令执行本文所描述的方法、功能和其他过程中的一些或所有。通过通信总线404来传送来自处理器402的命令和数据。计算机系统400还包括用于处理器402的机器可读指令和数据可以在运行时间期间存在于其中的诸如随机访问存储器(RAM)之类的主存储器406、以及可以是非易失性的并且存储机器可读指令和数据的辅数据存储408。例如,用于下钻管理器系统100的机器可读指令可以在运行时间期间存在于存储器406中。存储器406和辅数据存储408是计算机可读介质的示例。
计算机系统400可以包括诸如键盘、鼠标、显示器等之类的I/O设备410。例如,I/O设备410包括显示本文所描述的下钻视图和其他信息的显示器。计算机系统400可以包括用于连接到网络的网络接口412。在计算机系统400中,可以添加或代替其他已知的电子组件。还有,可以在诸如云系统之类的分布式计算环境中实现下钻管理器系统100。
虽然已经参考示例描述了实施例,但是可以做出对所描述的实施例的各种修改而不背离所要求保护的实施例的范围。
Claims (15)
1.一种下钻管理器系统包括:
自省模块,其由至少一个处理器来运行以确定复数个视觉组件的每个中的字段,并且确定用于下钻的数据输出;
映射模块,用于基于所确定的字段和所述数据输出来映射所述下钻,以将所述复数个视觉组件中的视觉组件映射到所述下钻;以及
运行模块,用于运行所述下钻并且在被映射到所述下钻的所述视觉组件中呈现用于所述下钻的数据输出。
2.如权利要求1所述的下钻管理器系统,其中所述映射模块基于所确定的字段和所述数据输出来将所述下钻映射到所述复数个视觉组件中的多个视觉组件,并且所述运行模块在所述多个视觉组件中呈现用于所述下钻的数据输出。
3.如权利要求2所述的下钻管理器系统,其中所述多个视觉组件包括多种不同类型的视觉组件,以采用不同格式来显示所述下钻的数据输出。
4.如权利要求2所述的下钻管理器系统,其中所述多个视觉组件包括活动频道、查询查看器、数据监视器和仪表盘中的至少一些。
5.如权利要求4所述的下钻管理器系统,其中被映射到所述下钻的所述多个视觉组件之一显示所述数据输出的一部分,并且被映射到所述下钻的所述多个视觉组件中的另一个显示所述数据输出的剩余部分。
6.如权利要求1所述的下钻管理器系统,其中所述下钻管理器系统接收新的下钻,并且所述映射模块将所述新的下钻映射到所述复数个视觉组件中的视觉组件。
7.如权利要求1所述的下钻管理器系统,其中所述下钻管理器系统接收新的视觉组件,并且所述映射模块在所述新的视觉组件包括用于所述数据输出的字段的情况下将所述新的视觉组件映射到所述下钻。
8.如权利要求1所述的下钻管理器系统,其中所述映射模块基于用于所述下钻的数据类型和数据约束,将所述下钻映射到所述视觉组件。
9.如权利要求8所述的下钻管理器系统,其中所述映射模块通过识别包括用于所述数据输出的字段、用于所述下钻的数据类型和数据约束的视觉组件来将所述下钻映射到所述视觉组件。
10.如权利要求1所述的下钻管理器系统,其中所述运行模块确定所述下钻是否包括用于计算所述数据输出的输出的功能,并且在所述下钻包括所述功能的情况下执行所述功能以计算所述输出。
11.如权利要求1所述的下钻管理器系统,其中所述系统将复数个下钻分组成复数个类别,并且基于用户与所述复数个类别之一的匹配,向所述用户呈现所述复数个类别之一中的所述复数个下钻的子集以供选择。
12.如权利要求1所述的下钻管理器系统,包括:
用于接收包括数据输入、所述数据输出的信息的下钻创建模块,以及用于计算用于所述下钻的数据输出之一并且在数据存储中存储用于所述下钻的信息的功能。
13.如权利要求1所述的下钻管理器系统,包括:
用于识别创建视觉组件的模板并且接收要包括在所述创建视觉组件的模板中的字段的视觉组件创建模块。
14.一种非临时计算机可读介质,包括由至少一个处理器可执行以进行以下操作的机器可读指令:
确定复数个视觉组件的每个中的字段;
确定用于下钻的数据输出,其中所述数据输出包括来自事件处理引擎所处理的事件数据的信息,所述事件处理引擎用于将来自复数个不同源的事件进行相关;
基于所确定的字段和所述数据输出来映射所述下钻,以将所述复数个视觉组件中的视觉组件映射到所述下钻;以及
运行所述下钻并且在被映射到所述下钻的所述视觉组件中呈现用于所述下钻的数据输出。
15.一种方法包括:
确定复数个视觉组件的每个中的字段;
确定用于下钻的数据输出;
通过至少一个处理器来识别所述复数个视觉组件中的多个视觉组件,所述多个视觉组件包括用于所述下钻的数据输出的字段;以及
将所述多个视觉组件映射到所述下钻。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201161532455P | 2011-09-08 | 2011-09-08 | |
US61/532,455 | 2011-09-08 | ||
PCT/US2012/054193 WO2013036785A2 (en) | 2011-09-08 | 2012-09-07 | Visual component and drill down mapping |
Publications (1)
Publication Number | Publication Date |
---|---|
CN103765432A true CN103765432A (zh) | 2014-04-30 |
Family
ID=47832783
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201280043582.0A Pending CN103765432A (zh) | 2011-09-08 | 2012-09-07 | 视觉组件和下钻映射 |
Country Status (4)
Country | Link |
---|---|
US (1) | US20140189870A1 (zh) |
EP (1) | EP2754070A4 (zh) |
CN (1) | CN103765432A (zh) |
WO (1) | WO2013036785A2 (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110019974A (zh) * | 2017-09-30 | 2019-07-16 | 北京国双科技有限公司 | 图表下钻实现方法及装置 |
CN113676497A (zh) * | 2021-10-22 | 2021-11-19 | 广州锦行网络科技有限公司 | 数据阻断的方法和装置、电子设备和存储介质 |
Families Citing this family (49)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10438308B2 (en) * | 2003-02-04 | 2019-10-08 | Lexisnexis Risk Solutions Fl Inc. | Systems and methods for identifying entities using geographical and social mapping |
US9547693B1 (en) | 2011-06-23 | 2017-01-17 | Palantir Technologies Inc. | Periodic database search manager for multiple data sources |
US9116975B2 (en) | 2013-10-18 | 2015-08-25 | Palantir Technologies Inc. | Systems and user interfaces for dynamic and interactive simultaneous querying of multiple data stores |
US9619557B2 (en) | 2014-06-30 | 2017-04-11 | Palantir Technologies, Inc. | Systems and methods for key phrase characterization of documents |
US9535974B1 (en) | 2014-06-30 | 2017-01-03 | Palantir Technologies Inc. | Systems and methods for identifying key phrase clusters within documents |
US9584536B2 (en) * | 2014-12-12 | 2017-02-28 | Fortinet, Inc. | Presentation of threat history associated with network activity |
US10552994B2 (en) * | 2014-12-22 | 2020-02-04 | Palantir Technologies Inc. | Systems and interactive user interfaces for dynamic retrieval, analysis, and triage of data items |
US9348920B1 (en) | 2014-12-22 | 2016-05-24 | Palantir Technologies Inc. | Concept indexing among database of documents using machine learning techniques |
US9817563B1 (en) | 2014-12-29 | 2017-11-14 | Palantir Technologies Inc. | System and method of generating data points from one or more data stores of data items for chart creation and manipulation |
US9335911B1 (en) | 2014-12-29 | 2016-05-10 | Palantir Technologies Inc. | Interactive user interface for dynamic data analysis exploration and query processing |
US9727560B2 (en) | 2015-02-25 | 2017-08-08 | Palantir Technologies Inc. | Systems and methods for organizing and identifying documents via hierarchies and dimensions of tags |
US10706056B1 (en) | 2015-12-02 | 2020-07-07 | Palantir Technologies Inc. | Audit log report generator |
US10871878B1 (en) | 2015-12-29 | 2020-12-22 | Palantir Technologies Inc. | System log analysis and object user interaction correlation system |
US10698938B2 (en) | 2016-03-18 | 2020-06-30 | Palantir Technologies Inc. | Systems and methods for organizing and identifying documents via hierarchies and dimensions of tags |
US10068199B1 (en) | 2016-05-13 | 2018-09-04 | Palantir Technologies Inc. | System to catalogue tracking data |
US10545975B1 (en) | 2016-06-22 | 2020-01-28 | Palantir Technologies Inc. | Visual analysis of data using sequenced dataset reduction |
US10552002B1 (en) | 2016-09-27 | 2020-02-04 | Palantir Technologies Inc. | User interface based variable machine modeling |
US10726507B1 (en) | 2016-11-11 | 2020-07-28 | Palantir Technologies Inc. | Graphical representation of a complex task |
US10318630B1 (en) | 2016-11-21 | 2019-06-11 | Palantir Technologies Inc. | Analysis of large bodies of textual data |
GB201621434D0 (en) | 2016-12-16 | 2017-02-01 | Palantir Technologies Inc | Processing sensor logs |
US10249033B1 (en) | 2016-12-20 | 2019-04-02 | Palantir Technologies Inc. | User interface for managing defects |
US10360238B1 (en) | 2016-12-22 | 2019-07-23 | Palantir Technologies Inc. | Database systems and user interfaces for interactive data association, analysis, and presentation |
US11373752B2 (en) | 2016-12-22 | 2022-06-28 | Palantir Technologies Inc. | Detection of misuse of a benefit system |
US10762471B1 (en) | 2017-01-09 | 2020-09-01 | Palantir Technologies Inc. | Automating management of integrated workflows based on disparate subsidiary data sources |
US10133621B1 (en) | 2017-01-18 | 2018-11-20 | Palantir Technologies Inc. | Data analysis system to facilitate investigative process |
US10509844B1 (en) | 2017-01-19 | 2019-12-17 | Palantir Technologies Inc. | Network graph parser |
US10515109B2 (en) | 2017-02-15 | 2019-12-24 | Palantir Technologies Inc. | Real-time auditing of industrial equipment condition |
US10581954B2 (en) | 2017-03-29 | 2020-03-03 | Palantir Technologies Inc. | Metric collection and aggregation for distributed software services |
US10866936B1 (en) | 2017-03-29 | 2020-12-15 | Palantir Technologies Inc. | Model object management and storage system |
US10133783B2 (en) | 2017-04-11 | 2018-11-20 | Palantir Technologies Inc. | Systems and methods for constraint driven database searching |
US10563990B1 (en) | 2017-05-09 | 2020-02-18 | Palantir Technologies Inc. | Event-based route planning |
US10795749B1 (en) | 2017-05-31 | 2020-10-06 | Palantir Technologies Inc. | Systems and methods for providing fault analysis user interface |
US10430444B1 (en) | 2017-07-24 | 2019-10-01 | Palantir Technologies Inc. | Interactive geospatial map and geospatial visualization systems |
US10877984B1 (en) | 2017-12-07 | 2020-12-29 | Palantir Technologies Inc. | Systems and methods for filtering and visualizing large scale datasets |
US11314721B1 (en) | 2017-12-07 | 2022-04-26 | Palantir Technologies Inc. | User-interactive defect analysis for root cause |
US10769171B1 (en) | 2017-12-07 | 2020-09-08 | Palantir Technologies Inc. | Relationship analysis and mapping for interrelated multi-layered datasets |
US11263382B1 (en) | 2017-12-22 | 2022-03-01 | Palantir Technologies Inc. | Data normalization and irregularity detection system |
US11606373B2 (en) * | 2018-02-20 | 2023-03-14 | Darktrace Holdings Limited | Cyber threat defense system protecting email networks with machine learning models |
US10885021B1 (en) | 2018-05-02 | 2021-01-05 | Palantir Technologies Inc. | Interactive interpreter and graphical user interface |
US10855702B2 (en) | 2018-06-06 | 2020-12-01 | Reliaquest Holdings, Llc | Threat mitigation system and method |
US11709946B2 (en) | 2018-06-06 | 2023-07-25 | Reliaquest Holdings, Llc | Threat mitigation system and method |
US11126638B1 (en) | 2018-09-13 | 2021-09-21 | Palantir Technologies Inc. | Data visualization and parsing system |
US11294928B1 (en) | 2018-10-12 | 2022-04-05 | Palantir Technologies Inc. | System architecture for relating and linking data objects |
USD926810S1 (en) | 2019-06-05 | 2021-08-03 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
USD926809S1 (en) | 2019-06-05 | 2021-08-03 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
USD926782S1 (en) | 2019-06-06 | 2021-08-03 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
USD926200S1 (en) | 2019-06-06 | 2021-07-27 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
USD926811S1 (en) | 2019-06-06 | 2021-08-03 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
US11637758B2 (en) * | 2019-06-08 | 2023-04-25 | NetBrain Technologies, Inc. | Dynamic dataview templates |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2003060718A1 (en) * | 2002-01-09 | 2003-07-24 | Probaris Technologies, Inc. | Method and system for providing secure access to applications |
US20100156889A1 (en) * | 2008-12-18 | 2010-06-24 | Microsoft Corporation | Bi-directional update of a grid and associated visualizations |
CN101916349A (zh) * | 2010-07-30 | 2010-12-15 | 中山大学 | 基于过滤驱动的文件访问控制方法、系统及过滤器管理器 |
Family Cites Families (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6054987A (en) * | 1998-05-29 | 2000-04-25 | Hewlett-Packard Company | Method of dynamically creating nodal views of a managed network |
WO2002046916A2 (en) * | 2000-10-20 | 2002-06-13 | Polexis, Inc. | Extensible information system (xis) |
WO2002088998A1 (en) * | 2001-04-27 | 2002-11-07 | W. Quinn, Inc. | System for active reports with drill down capability |
US7139766B2 (en) * | 2001-12-17 | 2006-11-21 | Business Objects, S.A. | Universal drill-down system for coordinated presentation of items in different databases |
US7421660B2 (en) * | 2003-02-04 | 2008-09-02 | Cataphora, Inc. | Method and apparatus to visually present discussions for data mining purposes |
JP4837870B2 (ja) * | 2002-11-05 | 2011-12-14 | 株式会社リコー | 半導体集積回路のレイアウト設計方法 |
US7426701B2 (en) * | 2003-09-08 | 2008-09-16 | Chrysler Llc | Interactive drill down tool |
US7584172B2 (en) * | 2003-10-16 | 2009-09-01 | Sap Ag | Control for selecting data query and visual configuration |
US7830812B2 (en) * | 2004-01-27 | 2010-11-09 | Actix Limited | Monitoring system for a mobile communication network for traffic analysis using a hierarchial approach |
US20060070013A1 (en) * | 2004-09-29 | 2006-03-30 | Peter Vignet | Method and system to drill down graphically |
US8140664B2 (en) * | 2005-05-09 | 2012-03-20 | Trend Micro Incorporated | Graphical user interface based sensitive information and internal information vulnerability management system |
US7624448B2 (en) * | 2006-03-04 | 2009-11-24 | 21St Century Technologies, Inc. | Intelligent intrusion detection system utilizing enhanced graph-matching of network activity with context data |
US8266697B2 (en) * | 2006-03-04 | 2012-09-11 | 21St Century Technologies, Inc. | Enabling network intrusion detection by representing network activity in graphical form utilizing distributed data sensors to detect and transmit activity data |
US8396838B2 (en) * | 2007-10-17 | 2013-03-12 | Commvault Systems, Inc. | Legal compliance, electronic discovery and electronic document handling of online and offline copies of data |
US20110231361A1 (en) * | 2009-12-31 | 2011-09-22 | Fiberlink Communications Corporation | Consolidated security application dashboard |
US8578348B2 (en) * | 2010-09-02 | 2013-11-05 | Code Value Ltd. | System and method of cost oriented software profiling |
-
2012
- 2012-09-07 EP EP12830781.6A patent/EP2754070A4/en not_active Withdrawn
- 2012-09-07 WO PCT/US2012/054193 patent/WO2013036785A2/en active Application Filing
- 2012-09-07 CN CN201280043582.0A patent/CN103765432A/zh active Pending
- 2012-09-07 US US14/239,915 patent/US20140189870A1/en not_active Abandoned
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2003060718A1 (en) * | 2002-01-09 | 2003-07-24 | Probaris Technologies, Inc. | Method and system for providing secure access to applications |
US20100156889A1 (en) * | 2008-12-18 | 2010-06-24 | Microsoft Corporation | Bi-directional update of a grid and associated visualizations |
CN101916349A (zh) * | 2010-07-30 | 2010-12-15 | 中山大学 | 基于过滤驱动的文件访问控制方法、系统及过滤器管理器 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110019974A (zh) * | 2017-09-30 | 2019-07-16 | 北京国双科技有限公司 | 图表下钻实现方法及装置 |
CN110019974B (zh) * | 2017-09-30 | 2021-06-29 | 北京国双科技有限公司 | 图表下钻实现方法及装置 |
CN113676497A (zh) * | 2021-10-22 | 2021-11-19 | 广州锦行网络科技有限公司 | 数据阻断的方法和装置、电子设备和存储介质 |
Also Published As
Publication number | Publication date |
---|---|
WO2013036785A2 (en) | 2013-03-14 |
EP2754070A4 (en) | 2015-05-27 |
WO2013036785A3 (en) | 2013-05-10 |
EP2754070A2 (en) | 2014-07-16 |
US20140189870A1 (en) | 2014-07-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103765432A (zh) | 视觉组件和下钻映射 | |
CN103026345B (zh) | 用于事件监测优先级的动态多维模式 | |
CN103782293B (zh) | 用于数据分区的多维集群 | |
CN106789964B (zh) | 云资源池数据安全检测方法及系统 | |
CN108664375B (zh) | 用于检测计算机网络系统用户的异常行为的方法 | |
JP5631881B2 (ja) | 脅威管理システムおよび方法 | |
CN103827810B (zh) | 资产模型导入连接器 | |
US20120311562A1 (en) | Extendable event processing | |
US20160164893A1 (en) | Event management systems | |
US20160019388A1 (en) | Event correlation based on confidence factor | |
CN103563302A (zh) | 网络资产信息管理 | |
Elshoush et al. | An improved framework for intrusion alert correlation | |
CN108270716A (zh) | 一种基于云计算的信息安全审计方法 | |
CN109347808B (zh) | 一种基于用户群行为活动的安全分析方法 | |
CN116662989B (zh) | 一种安全数据解析方法及系统 | |
CN102906756A (zh) | 与安全事件和参与者分类模型相关联的安全威胁检测 | |
CN104871171A (zh) | 分布式模式发现 | |
CN113364745A (zh) | 一种日志收集与分析处理方法 | |
CN109388949B (zh) | 一种数据安全集中管控方法和系统 | |
Sauerwein et al. | From threat data to actionable intelligence: an exploratory analysis of the intelligence cycle implementation in cyber threat intelligence sharing platforms | |
Elshoush et al. | Intrusion alert correlation framework: An innovative approach | |
CN112287340B (zh) | 用于终端攻击的取证溯源方法、装置、计算机设备 | |
CN110618977B (zh) | 登录异常检测方法、装置、存储介质和计算机设备 | |
Pavlov et al. | Analysis of IDS alert correlation techniques for attacker group recognition in distributed systems | |
US10909242B2 (en) | System and method for detecting security risks in a computer system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20140430 |
|
WD01 | Invention patent application deemed withdrawn after publication |