CN105843901B - 一种显示事件和对象之间关系的方法及系统 - Google Patents
一种显示事件和对象之间关系的方法及系统 Download PDFInfo
- Publication number
- CN105843901B CN105843901B CN201610168448.3A CN201610168448A CN105843901B CN 105843901 B CN105843901 B CN 105843901B CN 201610168448 A CN201610168448 A CN 201610168448A CN 105843901 B CN105843901 B CN 105843901B
- Authority
- CN
- China
- Prior art keywords
- event
- user
- request
- information
- relationship
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/903—Querying
- G06F16/9038—Presentation of query results
Landscapes
- Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Theoretical Computer Science (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种显示事件和对象之间关系的方法,包括如下步骤:识别一组能够对跨组计算设备进行监控的事件类型;记录数据库里每个计算组中的计算设备,任何发生在所述计算设备上的事件以及与发生在所述计算设备上的每个记录相关联的对象;在所述数据库中创建相同事件类型和相同对象类型之间的关系;接收用户用于观测关于时间或对象信息的请求;利用存储在所述数据库中的关系来检索用户所请求的信息;将用户请求的信息以及用于检索用户请求的信息通过图形用户界面显示给用户。本发明还涉及一种实现上述方法的系统。实施本发明的显示事件和对象之间关系的方法及系统,具有以下有益效果:能跟踪数据片段之间的关系、便于快速检索。
Description
技术领域
本发明涉及计算机领域,特别涉及一种显示事件和对象之间关系的方法及系统。
背景技术
每天,每台计算设备上都会有成百上千个文件被上传或下载,电子邮件被发送,数据被复制、移动、修改或删除。同样也会有成百上千个数据包通过合法的服务器,僵尸网络或是攻击者被计算设备所接收,而这仅仅只是一个典型的计算设备上的小部分活动。每个文件、数据包和其他数据片段都与多个附加数据片段相关联,诸如统一资源定位符(URLs)、签名、网络或计算装置。可以对所有这些活动和数据进行跟踪,让管理员对类似事情产生重要见解。包括:病毒是如何进入内部网络然后蔓延,文件是否受到攻击,或者是确定在发生信息丢失以前最后一个取得安全权限对信息进行操作的员工。
但不幸的是,对如此多的信息轨迹进行跟踪是个不小的任务,传统追踪计算设备信息轨迹的系统可能需要在数据追踪库中搜索各个相关条目,以便检索到相关响应的检索请求,但传统系统可能会因为不能跟踪数据片段之间的关系而失败。鉴于以上原因,亟需一款改进系统来显示事件和对象之间的关系。
发明内容
本发明要解决的技术问题在于,针对现有技术的上述不能跟踪数据片段之间的关系而导致检索失败的缺陷,提供一种能跟踪数据片段之间的关系、便于快速检索的显示事件和对象之间关系的方法及系统。
本发明解决其技术问题所采用的技术方案是:构造一种显示事件和对象之间关系的方法,包括如下步骤:
A)识别一组能够对跨组计算设备进行监控的事件类型;
B)记录数据库里每个计算组中的计算设备,任何发生在所述计算设备上的事件以及与发生在所述计算设备上的每个记录相关联的对象;
C)在所述数据库中创建相同事件类型和相同对象类型之间的关系;
D)接收用户用于观测关于时间或对象信息的请求;
E)利用存储在所述数据库中的关系来检索用户所请求的信息;
F)将用户请求的信息以及用于检索用户请求的信息通过图形用户界面显示给用户。
在本发明所述的显示事件和对象之间关系的方法中,所述显示用户请求的信息是显示一个包括每个设备组内各计算装置所观察到的事件或对象的列表,或者显示各个数据库中所观察到的各计算设备上的对象以及任意含有对象或事件存储关系的对象。
在本发明所述的显示事件和对象之间关系的方法中,所述显示用户请求的信息包含显示数据库中关于计算设备上观察到的事件以及任意含有对象或事件存储关系的对象。
在本发明所述的显示事件和对象之间关系的方法中,所述显示用户请求的信息为显示出一系列包含某个时间点上的用户请求事件或是被用户的请求对象所影响的一个附加的事件。
在本发明所述的显示事件和对象之间关系的方法中,所述显示用户请求的信息包含关于拥有潜在的恶意动作事件的存储信息。
在本发明所述的显示事件和对象之间关系的方法中,进一步包括如下步骤:
G)接收到新的用户查询新的请求事件,并显示其中至少一项;
H)涉及到事件的多个计算设备中的每个计算设备的表示;
I)涉及到事件的每个对象的表示;
J)在一系列事件中每个事件的表示;
K)每个计算设备、事件和涉及到事件中的对象之间的一系列关系的表示。
本发明还涉及一种实现上述显示事件和对象之间关系的方法的系统,包括:
识别模块:用于识别一组能够对跨组计算设备进行监控的事件类型;
记录模块:用于记录数据库里每个计算组中的计算设备,任何发生在所述计算设备上的事件以及与发生在所述计算设备上的每个记录相关联的对象;
创建模块:用于在所述数据库中创建相同事件类型和相同对象类型之间的关系;
接收模块:用于接收用户用于观测关于时间或对象信息的请求;
检索模块:用于利用存储在所述数据库中的关系来检索用户所请求的信息;
显示模块:用于将用户请求的信息以及用于检索用户请求的信息通过图形用户界面显示给用户;
至少含有一个物理处理器,用于处理所述识别模块、记录模块、创建模块、接收模块、检索模块和显示模块。
在本发明所述的系统中,所述显示模块显示用户请求的信息,并由能够观察到事件或对象的多个计算设备中的每一个计算设备的列表来显示用于检索用户请求的信息的关系。
在本发明所述的系统中,所述记录模块存储关于潜在的恶意动作的事件或对象。
在本发明所述的系统中,所述显示模块通过图形用户界面显示多组数据,每个数据分别代表用户请求的某个时间点或一个附加事件影响用户请求的对象的某个时间点。
实施本发明的显示事件和对象之间关系的方法及系统,具有以下有益效果:由于利用存储在数据库中的关系来检索用户所请求的信息,这样就无需通过对数据库中的每个条目进行搜索,另外,可通过图像用户界面将用户请求的信息以及用于检索用户请求的信息显示给用户,其能高效地进行相关事件和对象的检索,所以其能跟踪数据片段之间的关系、便于快速检索。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明显示事件和对象之间关系的方法及系统一个实施例中方法的流程图;
图2为所述实施例中收到用户查询并进行处理的流程图;
图3为所述实施例中当检测到正在下载文件时的处理流程图;
图4为所述实施例中系统的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明显示事件和对象之间关系的方法及系统实施例中,其显示事件和对象之间关系的方法的流程图如图1所示。计算设备上至少有一个处理器执行该方法。图1中,该显示事件和对象之间关系的方法包括如下步骤:
步骤S01识别一组能够对跨组计算设备进行监控的事件类型:本步骤中,识别一组能够对跨组计算设备进行监控的事件类型,也就是识别一系列事件类型,其中的事件可以跨越多个计算设备被监控。本实施例中,事件是指由计算设备观察到的状态变化或对象的状态改变。事件类型是指在计算设备上事件的任意分类。事件类型可以包括但不限于:文件的创建,文件下载,文件上传,文件删除,新的网络连接,关闭的网络连接,成功授权或失败的授权。一个事件可以指任意一个描述了某个具体时间点上一个系统的不可变状态的数据集。
步骤S02记录数据库里每个计算组中的计算设备,任何发生在计算设备上的事件以及与发生在计算设备上的每个记录相关联的对象:本实施例中,计算设备可以全部由一个组织控制。例如,一个组织可以监控该组织在其计算设备上产生的所有事件。在本实施例的一些情况下,计算设备可以全部连接到一个网络,也可以连接到多个网络。同样,计算设备可以由属于相同组织的成员所独立拥有。另外,多个计算设备可供该组织的成员使用,但其并不是由该组织所拥有。多个计算设备可以包括:由该组织的成员拥有的移动设备、用于相关任务的移动设备以及在本组织中拥有的台式机和服务器。
值得一提的是,本实施例中,数据库可以被配置成用于存储对象和事件之间关系的数据库。其可以代表一个单独的数据库、单独的计算设备、多个数据库或多个计算设备。本步骤中,数据库代表了一个或多个物理上分离的跨计算设备的装置。
本步骤中,一个或多个计算设备可以被记录在数据库中。该记录包括:发生在计算设备上的任何事件,以及与每个记录的事件相关联的对象。本实施例中,对象一般是指与事件相关联的任意数据。在本实施例的一些情况下,对象可以包括在计算设备上进行构建(例如,虚拟对象)的内容,例如:文件、文件夹、URL或帐户。在本实施例的一些情况下,对象可以包括物理项目,如雇员卡。另外,对象也可以是事件,如时间、地点或被存储为元数据的对象,还可以包括但不限于:网络连接、域名、网际协议(IP)地址或计算设备等。
步骤S03在数据库中创建相同事件类型和相同对象类型之间的关系:本步骤中,在数据库中创建相同事件类型和相同对象类型之间的关系。本实施例中的关系一般是指两个事件,两个对象,或一个对象与事件之间的任意连接。
步骤S04接收用户用于观测关于时间或对象信息的请求:本实施例中,可以接受多个来自用户对一个或多个事件或对象的查看请求。具体的,本步骤中,接收用户用于观测关于时间或对象信息的请求(也就是用户查询信息的请求)。本实施例中,请求通常指的是由用户发起的任意干预。在本实施例的一些情况下,用户可通过执行搜索,点击用户接口的按钮,通过在命令行接口运行一个查询命令或启动一个应用程序。
步骤S05利用存储在数据库中的关系来检索用户所请求的信息:本步骤中,利用存储在数据库中的关系来检索用户所请求的信息,而无需通过在数据库中的每个条目进行搜索。这样可以确保用户在对数据库中关于事件、对象或他们之间的关系进行检索时,能够更迅速的从数据库中接收到响应。
步骤S06将用户请求的信息以及用于检索用户请求的信息通过图形用户界面显示给用户:本步骤中,将用户请求的信息以及用于检索用户请求的信息通过图形用户界面显示给用户,具体的,可以由图形用户界面显示用户的请求信息,以及至少一种用于检索信息请求的关系,可以使用户通过图形用户界面更加有效的对事件、对象以及之间的事件进行分析。
值得一提的是,本实施例中,显示用户请求的信息可以是显示一个包括每个设备组内各计算装置所观察到的事件或对象的列表,也可以显示各个数据库中所观察到的各计算设备上的对象或以及任意含有对象或事件存储关系的对象。显示用户请求的信息可以包含显示数据库中关于计算设备上观察到的事件以及任意含有对象或事件存储关系的对象。图形用户界面可以显示出一系列包含某个时间点上的用户请求事件或是被用户的请求对象所影响的一个附加的事件。使用上述方法可以显示事件和对象之间的关系,上述步骤S01至步骤S06可以通过任意适合的计算机可执行代码或计算系统来执行。
本实施例的上述显示事件和对象之间关系的方法利用存储在数据库中的关系来检索用户所请求的信息,这样就无需通过对数据库中的每个条目进行搜索,另外,可通过图像用户界面将用户请求的信息以及用于检索用户请求的信息显示给用户,其能高效地进行相关事件和对象的检索,所以其能跟踪数据片段之间的关系、便于快速检索。
上述方法可被编码为非临时性计算机可读介质上的计算机可读指令。计算机可读介质指的是任何形式的设备、载体或介质,能够存储或携带计算机可读指令。计算机可读介质包括但不限于:传输型介质(诸如载波),非暂时性介质(诸如磁存储介质:硬盘驱动器、磁带驱动器和软盘),光存储介质(例如:光盘(CD)、数字视频盘(DVD)和蓝光盘),电子存储介质(例如:固态驱动器和闪速介质)以及其他分布式系统。
在本实施例的一些情况下,上述方法可以包括存储关于至少携带一个潜在恶意行为的事件或对象的信息,这样,上述显示用户请求的信息包含关于拥有潜在的恶意动作事件的存储信息。
本实施例中,上述显示事件和对象之间关系的方法还进一步包括一些步骤,其流程图如图2所示。图2中,上述显示事件和对象之间关系的方法进一步包括如下步骤:
步骤S11接收到新的用户查询新的请求事件,并显示其中至少一项:本步骤中,接收到新的用户查询新的请求事件,并显示其中至少一项,具体的说,接收到新的用户查询新的请求事件,并显示至少以下一个方面:(1)代表涉及以上事件的每个计算设备;(2)代表涉及事件的每个对象;(3)代表产生事件的对象;(4)代表一系列计算设备、事件以及涉及事件对象之间的关系。
步骤S12涉及到事件的多个计算设备中的每个计算设备的表示:本步骤中,对涉及到事件的多个计算设备中的每个计算设备进行表示。
步骤S13涉及到事件的每个对象的表示:本步骤中,对涉及到事件的每个对象进行表示。
步骤S14在一系列事件中每个事件的表示:本步骤中,对在一系列事件中的每个事件进行表示。
步骤S15每个计算设备、事件和涉及到事件中的对象之间的一系列关系的表示:本步骤中,对每个计算设备、事件和涉及到事件中的对象之间的一系列关系进行表示。
图3为本实施例中当检测到正在下载文件时的处理流程图。图3中,具体的流程包括如下步骤:
步骤S21检测到一个计算设备正在下载文件:本步骤中,检测到一个计算设备正在下载文件,该计算设备从网站下载一个文件,也可以从本地服务器上下载文件。
步骤S22解析与文件相关联的所有对象:本步骤中,当计算设备从网站下载文件时,本步骤可以解析网站的域名、URL、哈希列表、指纹、文件的数字签名、文件的大小、该文件在计算设备上的路径,文件下载发生时的时间戳以及该文件的计算设备。
步骤S23如果上述文件不存在,在数据库中创建上述文件的表示:在本步骤中,可以在数据库中创建文件的表示(当文件不存在时)。例如,可以检查一个文件的SHA-256哈希是否存在于数据库中,如果没有,将在数据库中创建并记录。
步骤S24如果相关联的对象不存在,在数据库中创建每个相关联的对象的表示:本步骤中,可以在数据库中创建每个相关联的对象的表示。例如,可以创建域名、URL、文件、时间戳、文件的路径和该计算设备的信息。
步骤S25存储上述文件与对象以及相关联的对象之间的关系:本步骤中,可以存储文件和对象,以及它们相互之间的关系。由于计算设备先前已经与网站交互,但这个关系并不存在于域名和路径之间,所以可确定一个已存在于数据库中的域名和计算设备之间的关系。本步骤中,可以创建域名和路径之间的关系。还可以创建各文件、URL、域名、路径、时间戳和计算设备之间的关系。
本实施例还涉及一种实现上述显示事件和对象之间关系的方法的系统,其结构示意图如图4所示。该系统可以包括用于执行一个或多个任务的一个或多个模块。图4中,该系统包括识别模块1、记录模块2、创建模块3、接收模块4、检索模块5、显示模块6以及至少含有一个物理处理器(图中未示出);其中,识别模块1使用存储器进行存储,用于识别一组能够对跨组计算设备进行监控的事件类型;记录模块2使用存储器进行存储,用于记录数据库里每个计算组中的计算设备,任何发生在所述计算设备上的事件以及与发生在计算设备上的每个记录相关联的对象;创建模块3使用存储器进行存储,用于在数据库中创建相同事件类型和相同对象类型之间的关系;接收模块4使用存储器进行存储,用于接收用户用于观测关于时间或对象信息的请求;检索模块5使用存储器进行存储,用于利用存储在数据库中的关系来检索用户所请求的信息,而不通过对数据库中的每个条目搜索;显示模块6使用存储器进行存储,用于将用户请求的信息以及用于检索用户请求的信息通过图形用户界面显示给用户。物理处理器用于处理识别模块1、记录模块2、创建模块3、接收模块4、检索模块5和显示模块6。
值得一提的是,本实施例中,显示模块6显示用户请求的信息,并由能够观察到事件或对象的多个计算设备中的每一个计算设备的列表来显示用于检索用户请求的信息的关系。显示模块6通过图形用户界面显示多组数据,每个数据分别代表用户请求的某个时间点或一个附加事件影响用户请求的对象的某个时间点。
本实施例中,检索模块5使用存储在数据库中的关系来检索用户所请求的信息,而无需通过数据库中的每个条目进行搜索。检索模块5可以使用多种方式来检索信息。用户可以请求承载一个特定文件的所有计算设备的列表,检索模块5可以快速地通过使用文件和计算设备之间关系进行信息检索,而不需要搜索所有计算设备条目。在本实施例的一些情况下,用户请求一个用户的列表,该列表包含使用读卡器进入安全的区域中的所有用户信息。检索模块5可以检索用户的身份卡与读卡器之间的关系,而不是通过识别所有身份卡或所有读卡器认证事件进行信息检索。本实施例利用存储在数据库中的关系来检索用户所请求的信息,这样就无需通过对数据库中的每个条目进行搜索,另外,可通过图像用户界面将用户请求的信息以及用于检索用户请求的信息显示给用户,其能高效地进行相关事件和对象的检索,所以其能跟踪数据片段之间的关系、便于快速检索。
在本实施例的一些情况下,当计算设备执行命令时,图4中的每个模块可以代表一个或多个软件应用或程序,而计算设备也可以同时执行一个或多个任务。图4中的每个模块可以代表被存储和配置在一个或多个计算设备上的软件模型。计算设备可以用一个或多个模块和存储在数据库中的全部或部分数据进行编程。
本实施例中,当计算设备中的一个处理器处理事件和对象之间的显示关系时,图4中的一个或多个模块将被执行。例如,识别模块1用于识别一组被监控的跨计算设备组的事件类型。记录模块2可以将以下信息记录在数据库中,包括:设备组内的每个计算设备,发生在计算设备任何事件,记录时间相关的对象的事件类型下的任何事件。创建模块3可以在数据库中创建具有相同事件类型的事件以及具有相同对象类型的对象之间关系。在一段时间后,接收模块4可接收一个来自用户关于查询事件或对象的请求。检索模块5可以使用存储在数据库中的关系来检索用户所请求的信息。最后,显示模块6通过图形用户界面将用户的检索响应进行显示。计算设备可以是笔记本电脑、平板电脑、台式机、服务器、蜂窝电话、个人数字助理(PDA)、多媒体播放器、嵌入式系统、可穿戴式设备(例如,智能手表,智能眼镜等),游戏控制台或以上设备的组合。
本实施例中,识别模块1可通过多种方式识别一系列的事件类型。识别模块1可从管理员处接收该组的事件类型,也可以通过一组事件类型被预配置。另外,识别模块1可以从另一个应用程序接收关于该组的事件类型。在本实施例的一些情况下,识别模块1可以识别事件类型,如安全事件类型,行政事件时间,数据丢失事件类型和数据存储的事件类型。
本实施例中,记录模块2可以以多种方式记录关于事件和对象的信息。例如,记录模块2可检查数据库中现有的事件和对象条目,如果不存在,即创建新条目。在本实施例的一些情况下,记录模块2可以记录从另一个应用程序接收到的事件或对象的信息。例如,记录模块2可接收防火墙应用程序的网络连接事件的信息(通过接入系统日志或操作系统日志)。在本实施例的一些情况下,记录模块2可接收安全应用程序的文件下载事件信息。另外,对象可以是由主键(例如哈希表)定义,记录模块2可使用该主键以确定一个对象是否已经存在于数据库中。
在本实施例的一些情况下,记录模块2可以记录发生在跨越多个网络的计算设备的事件信息。计算设备可以控制图4中的模块,也可被连接到网络。在本实施例的一些情况下,计算设备可以托管对象。计算设备可以托管与事件相连接的对象。
本实施例中,创建模块3可以在数据库中创建存在于计算设备上的一个计算装置和一个文件之间的关系。同样,创建模块3也可以创建一个文件的哈希列表与该文件被下载到计算设备的时间戳之间的关系。另外,创建模块3可以创建所下载的文件与文件的哈希列表之间的关系。最后,创建模块3可以创建被下载到两个不同设备上的文件之间的关系。
在本实施例的一些情况下,创建模块3可以创建一系列与标记阅读器连接的关系,也可以创建以下内容:标记阅读器和标记扫描事件之间的关系、涉及的标记扫描事件、该标记的所有者、标记扫描事件的时间戳以及安全领域被监控的标记阅读器。创建模块3可以创建标记扫描事件、标记、标记拥有者、时间戳和安全区域之间的关系。另外,创建模块3可以创建与网络连接相关的一组关系,也可以创建一个迁输入IP地址、一个输出IP地址、网络连接、防火墙规则、允许网络连接开始的时间戳以及用户帐户发起的网络连接之间的关系。创建模块3可以在与一个文件的连接中创建各种关系。
本实施例中,接收模块4可接收多种方式的请求。例如,接收模块4可经由图形用户界面接收请求,也可接收经过应用编程接口的请求,同时还可接收经由命令行接口的请求。
本实施例中,显示模块6可通过各种方式进行信息显示。例如,显示模块6可以显示一组代表每个事件、对象或信息的关系,也可以显示图标以表示事件和对象之间关系的连接线。另外,显示模块6可以以文本格式显示信息。
在本实施例的一些情况下,显示模块6可以通过图形用户界面显示信息,这些信息包括:多组代表用户请求数据的时间点,以及能够影响用户请求的附加事件的时间点。例如,关于有多少计算设备管理某个文件的用户请求信息。显示模块6可以用多个屏幕显示数据,第一个屏幕显示下载文件的初始计算设备,第二个屏幕显示两天后,三个计算设备管理文件的信息,第三个屏幕显示五天以后6个计算设备管理文件的信息。
本实施例中,显示模块6可以显示用户的信息查询请求,该信息查询请求包含了设备组内每个计算设备上观察到的一系列事件或对象。用户可以请求关于哪些计算设备已经有用户登录。显示模块6可以显示已经观察到的涉及用户请求的授权事件的设备列表。在本实施例的另外一些情况下,一个用户请求可以是关于哪些计算设备曾经管理了特定文件的信息,也可以显示当前管理文件以及曾经管理文件的时间点。
在本实施例中,显示模块6通过显示用户的信息请求,显示数据库中观察到的每个计算设备上的对象以及在该数据库中事件和对象之间存储的关系。例如,一个用户可以请求与文件连接的对象的详细信息。显示模块6可以显示文件下载的URL、下载的时间戳、与那些下载相关联的域名、下载到计算设备的文件路径以及下载的用户帐户。另外,显示模块6可以显示用户请求与文件有关的活动的信息、每个文件的下载、文件的修改、文件的移动和发生在多个计算设备上的文件传输事件。
在本实施例的一些情况下,该系统存储涉及一个潜在的恶意动作的事件或对象,具体就是记录模块2还可以存储关于潜在的恶意动作的事件或对象。在一些情况下,事件可以被定义为一些一直未解决的,直到被人或系统自动解决的状态。例如,一个事件可包括:网络中的病毒感染、针对一个或多个设备的攻击或安全区域的入侵者。一个潜在的恶意操作也并不总是一个恶意操作。例如,同一天用同一个用户账户在三个不同的计算机的4次失败登录尝试,进一步的调查可能显示该用户帐户的合法拥有者仅仅只是忘记了自己的新密码。在另外一些情况下,事件可被分配给一个特定的用户用于调查或诸如“打开”,“调查之下”或“已解决”的一些状态,上述系统可以记录事件状态的重新分配或改变。
本实施例中,上述系统可接收来自用户查看信息的请求,并且显示涉及事件的每个计算设备、参与到事件中的每个对象的表示、参与到事件中的事件表示、计算设备、事件或涉及事件的对象之间的一系列关系的表示。例如,病毒检测事件可以被归类为一个事件,显示模块6可以显示与感染病毒的计算设备相连接的病毒检测事件。显示模块6还可以显示管理文件对象的计算设备,这些对象可能代表了受感染的文件。举一个例子,文件对象可能通过电子邮件对象已经到达计算设备。由文件对象626所表示的文件可从URL对象下载。
在本实施例的一些情况下,显示模块6还可以显示如下内容:每个计算设备被感染时的时间戳、每个计算设备上被感染文件的位置、下载已被感染文件的用户账户、打开包含受感染文件的邮件的用户账户、任何与被感染的文件或计算设备相关的事件或对象。通过显示所有的对象、事件以及所涉及的关系,上述系统可以使分析人员快速确定感染起源及其进展。例如,分析人员可以确定两个不同的URL对象代表相同的网站,因为该网站包含恶意软件。同样,分析员可确定当相同的用户帐户登录到了三种不同计算设备时感染发生,因为此时登陆用户可能是恶意行为。
在本实施例的另外一些情况下,显示模块6可以帮助分析人员通过显示对象之间缺乏的关系解决事件。例如,分析员可以查询特定敏感文件被访问是否由攻击者发起,也可以显示一个被计算设备上没有特定事件发生的文件。
本实施例中,用户可以通过各种方式浏览图形用户界面。在一些情况下,用户可以通过点击表示对象或事件的图标浏览GUI(图形用户界面),这时,点击表示对象或事件的图标可以显示关于对象或事件的附加信息。用户也可以通过显示模块6提供的文本界面选择项目浏览GUI。用户还可以使用多种过滤器,以确定显示模块6所显示的信息内容以及如何显示,也可以使用过滤器来隐藏所有文件的删除事件,或是根据日期对文件进行排序。
另外,用户可通过移动不同时间点的不同屏幕的滑块浏览GUI。GUI可能是以时间为基础的信息或是建立在基于状态的关系图。用户可以使显示模块6使用自动循环的图标。显示模块6还可以显示事件或对象的链接或图标,允许用户采取一系列行动。也可以显示一个按钮,允许用户将一个代表URL对象的文章加入黑名单。或显示一个链接,允许用户查找关于已感染的文件对象的病毒详细信息。
总之,在本实施例中,该显示事件和对象之间关系的方法及系统可以使用户获得大的视图画面,了解对象、事件以及系统中的事件之间的关系。随着环境中事件的发生,该系统可以记录事件、涉及到事件的对象,以及它们之间的关系。如果发生事件,用户可以使用上述系统了解每个设备、对象、涉及的事件或受影响的事件,而不是试图用部分信息重建事件的发生,或者通过搜索事件日志或其他与事件相关的数据源。通过存储有关事件、对象和作为事件发生的关系的信息,该系统可以保留发生在计算环境中事件的详尽记录。通过使用关系检索有关事件的信息,该系统可以有效地进行检索,而不必通过在数据库中对每一个类似的条目进行搜索。在GUI中有效地检索信息,该系统可以使用户快速和直观地理解计算环境中事件的影响。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (2)
1.一种显示事件和对象之间关系的方法,其特征在于,包括如下步骤:
A)识别一组能够对跨组计算设备进行监控的事件类型;事件是指由计算设备观察到的状态变化或对象的状态改变;事件类型是指在计算设备上事件的任意分类;事件类型至少包括文件的创建,文件下载,文件上传,文件删除,新的网络连接,关闭的网络连接,成功授权或失败的授权;一个事件指任意一个描述了某个具体时间点上一个系统的不可变状态的数据集;
B)记录数据库里每个计算组中的计算设备,任何发生在所述计算设备上的事件以及与发生在所述计算设备上的每个记录相关联的对象;
C)在所述数据库中创建相同事件类型和相同对象类型之间的关系;
D)接收用户用于观测关于时间或对象信息的请求;
E)利用存储在所述数据库中的关系来检索用户所请求的信息;
F)将用户请求的信息以及用于检索用户请求的信息通过图形用户界面显示给用户;图形用户界面能显示出一系列包含某个时间点上的用户请求事件或是被用户的请求对象所影响的一个附加的事件;
所述显示用户请求的信息是显示一个包括每个设备组内各计算装置所观察到的事件或对象的列表,或者显示各个数据库中所观察到的各计算设备上的对象以及任意含有对象或事件存储关系的对象;
所述显示用户请求的信息包含显示数据库中关于计算设备上观察到的事件以及任意含有对象或事件存储关系的对象;
所述显示用户请求的信息为显示出一系列包含某个时间点上的用户请求事件或是被用户的请求对象所影响的一个附加的事件;
所述显示用户请求的信息包含关于拥有潜在的恶意动作事件的存储信息;
进一步包括如下步骤:
G)接收到新的用户查询新的请求事件,并显示其中至少一项;
H)涉及到事件的多个计算设备中的每个计算设备的表示;
I)涉及到事件的每个对象的表示;
J)在一系列事件中每个事件的表示;
K)每个计算设备、事件和涉及到事件中的对象之间的一系列关系的表示。
2.一种实现如权利要求1所述的显示事件和对象之间关系的方法的系统,其特征在于,包括:
识别模块:用于识别一组能够对跨组计算设备进行监控的事件类型;事件是指由计算设备观察到的状态变化或对象的状态改变;事件类型是指在计算设备上事件的任意分类;事件类型至少包括文件的创建,文件下载,文件上传,文件删除,新的网络连接,关闭的网络连接,成功授权或失败的授权;一个事件指任意一个描述了某个具体时间点上一个系统的不可变状态的数据集;
记录模块:用于记录数据库里每个计算组中的计算设备,任何发生在所述计算设备上的事件以及与发生在所述计算设备上的每个记录相关联的对象;
创建模块:用于在所述数据库中创建相同事件类型和相同对象类型之间的关系;
接收模块:用于接收用户用于观测关于时间或对象信息的请求;
检索模块:用于利用存储在所述数据库中的关系来检索用户所请求的信息;
显示模块:用于将用户请求的信息以及用于检索用户请求的信息通过图形用户界面显示给用户;图形用户界面能显示出一系列包含某个时间点上的用户请求事件或是被用户的请求对象所影响的一个附加的事件;
至少含有一个物理处理器,用于处理所述识别模块、记录模块、创建模块、接收模块、检索模块和显示模块;
所述显示模块显示用户请求的信息,并由能够观察到事件或对象的多个计算设备中的每一个计算设备的列表来显示用于检索用户请求的信息的关系;
所述记录模块存储关于潜在的恶意动作的事件或对象;
所述显示模块通过图形用户界面显示多组数据,每个数据分别代表用户请求的某个时间点或一个附加事件影响用户请求的对象的某个时间点。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610168448.3A CN105843901B (zh) | 2016-03-21 | 2016-03-21 | 一种显示事件和对象之间关系的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610168448.3A CN105843901B (zh) | 2016-03-21 | 2016-03-21 | 一种显示事件和对象之间关系的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105843901A CN105843901A (zh) | 2016-08-10 |
| CN105843901B true CN105843901B (zh) | 2019-09-03 |
Family
ID=56584669
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610168448.3A Active CN105843901B (zh) | 2016-03-21 | 2016-03-21 | 一种显示事件和对象之间关系的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105843901B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10592749B2 (en) * | 2016-11-14 | 2020-03-17 | General Electric Company | Systems and methods for analyzing turns at an airport |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002023797A1 (en) * | 2000-09-14 | 2002-03-21 | Probix, Inc. | System for establishing an audit trail to protect objects distributed over a network |
| CN101316187A (zh) * | 2007-06-01 | 2008-12-03 | 杭州华三通信技术有限公司 | 网络管理方法和网络管理系统 |
| CN104993952A (zh) * | 2015-06-19 | 2015-10-21 | 成都艾尔普科技有限责任公司 | 网络用户行为审计与责任管理系统 |
-
2016
- 2016-03-21 CN CN201610168448.3A patent/CN105843901B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002023797A1 (en) * | 2000-09-14 | 2002-03-21 | Probix, Inc. | System for establishing an audit trail to protect objects distributed over a network |
| CN101316187A (zh) * | 2007-06-01 | 2008-12-03 | 杭州华三通信技术有限公司 | 网络管理方法和网络管理系统 |
| CN104993952A (zh) * | 2015-06-19 | 2015-10-21 | 成都艾尔普科技有限责任公司 | 网络用户行为审计与责任管理系统 |
Non-Patent Citations (1)
| Title |
|---|
| 安全审计事件可视化关联分析技术研究;王保云;《中国优秀硕士学位论文全文数据库 信息科技辑》;20100715(第7期);第1章1.1.2、第3章第3.2.2节、第四章第4.4-4.6节、第5章第5.2节 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105843901A (zh) | 2016-08-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| van Baar et al. | Digital forensics as a service: A game changer | |
| Quick et al. | Impacts of increasing volume of digital forensic data: A survey and future research challenges | |
| US20200167498A1 (en) | Preventing data leakage via version control systems | |
| Pandela et al. | Browser forensics on web-based tiktok applications | |
| Alazab et al. | A Review on the Internet of Things (IoT) Forensics: Challenges, Techniques, and Evaluation of Digital Forensic Tools | |
| Chabot et al. | Event reconstruction: A state of the art | |
| CN105843901B (zh) | 一种显示事件和对象之间关系的方法及系统 | |
| Lee et al. | A proposal for automating investigations in live forensics | |
| Kishore et al. | Big data as a challenge and opportunity in digital forensic investigation | |
| Tabona et al. | Forensic cloud environment: a solution for big data forensics | |
| Hosseinkhani et al. | Propose a framework for criminal mining by web structure and content mining | |
| Le-Khac et al. | A practical hands-on approach to database forensics | |
| Fei | Data visualisation in digital forensics | |
| Bhavsar et al. | An insider cyber threat prediction mechanism based on behavioral analysis | |
| Dokko et al. | An Intelligence Criminal Tracker for Industrial Espionage: Applying Digital Data Acquired Onsite to Target Criminals | |
| Markovic et al. | Enhancing transparency of mqtt brokers for iot applications through provenance streams | |
| Tabona et al. | Intelligence sharing in big data forensics | |
| Sharma et al. | IoT forensics in ambient intelligence environments: Legal issues, research challenges and future directions | |
| Hamooni et al. | On URL changes and handovers in social media | |
| Quick | Forensic Analysis of Cloud Storage Client Data | |
| Schroader et al. | Alternate data storage forensics | |
| US11818087B1 (en) | User-to-user messaging-based software troubleshooting tool | |
| Kim | Digital Forensics Tools Integration | |
| US11886229B1 (en) | System and method for generating a global dictionary and performing similarity search queries in a network | |
| Horan | Open-Source Intelligence Investigations: Development and Application of Efficient Tools |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |