CN113111367A - 一种安全信息管理方法、装置和系统 - Google Patents

Abstract

本发明公开了一种安全信息管理方法、装置和系统，涉及计算机技术领域。该方法的一具体实施方式包括：确定安全设备的日志数据包括的多种数据类型，并为每一种数据类型定义关键字段；当多种数据类型中的目标数据类型对应的数据存在多个嵌套元素时，为每一个嵌套元素定义对应的关键字段，并将每一个嵌套元素对应的关键字段替换目标数据类型的关键字段；通过页面提供多个关键字段以及预先设置的多种统计方式；响应于对多种统计方式中的目标统计方式以及多个关键字段中的目标关键字段的选择触发，根据目标统计方式和目标关键字段，获取并展示日志数据中的关键信息。该实施方式按照用户需求灵活统计数据，满足用户需求。

Description

一种安全信息管理方法、装置和系统

技术领域

本发明涉及计算机技术领域，尤其涉及一种安全信息管理方法、装置和系统。

背景技术

安全管理平台可对不同安全设备如芯片组、网关等或云访问安全代理系统、安全审查平台等进行统一管理和分析。

目前安全管理平台对不同安全设备或安全系统进行管理和分析的方式主要是，基于已经配置好的报告类型或者字段组合方式对安全管理平台的数据进行管理和统计。现有的这种管理方式可导致数据统计的灵活性较差。

发明内容

有鉴于此，本发明实施例提供一种安全信息管理方法、装置和系统，能够按照用户需求灵活统计数据，满足用户需求。

为实现上述目的，根据本发明实施例的一个方面，提供了一种安全信息管理方法，包括：

确定安全设备的日志数据包括的多种数据类型，并为每一种所述数据类型定义关键字段；

当多种所述数据类型中的目标数据类型对应的数据存在多个嵌套元素时，为每一个所述嵌套元素定义对应的关键字段，并将每一个所述嵌套元素对应的关键字段替换所述目标数据类型的关键字段；

通过页面提供多个所述关键字段以及预先设置的多种统计方式；

响应于对多种所述统计方式中的目标统计方式以及多个所述关键字段中的目标关键字段的选择触发，根据所述目标统计方式和所述目标关键字段，获取并展示所述日志数据中的关键信息。

可选地，所述确定安全设备的日志数据包括的多种数据类型，包括：

通过搜索服务器统计安全设备的日志数据包括的多种数据类型。

可选地，上述安全信息管理方法，进一步包括：

设置多个统计维度；

针对每一个所述统计维度，基于多个所述关键字段，为所述统计维度配置至少一个关键字段，以使每一个所述关键字段属于一个或多个所述统计维度；

通过页面提供多个所述关键字段，包括：通过页面提供为每一个所述统计维度配置的关键字段。

可选地，所述展示所述日志数据中的关键信息，包括：

针对所述目标关键字段的个数为多个，且多个所述目标关键字段分属于多个所述统计维度的情况，

根据多个所述目标关键字段所分属的多个所述统计维度之间的层级关系，统计所述关键信息，并展示统计的结果。

可选地，所述统计所述关键信息，包括：

针对每一个所述目标关键字段，执行：

判断所述目标关键字段是否属于所述层级关系中位于第一层级的统计维度，

如果是，则从所述安全设备的日志数据中筛选与所述目标关键字段相关的第一初筛信息，并清洗和处理所述第一初筛信息；

否则，根据所述目标关键字段以及所述目标关键字段所属的当前层级之前的每一个层级包括的目标关键字段，确定第二初筛信息，并清洗和处理所述第二初筛信息，其中，所述第二初筛信息包括所述目标关键字段以及所述当前层级之前的每一个层级包括的任一目标关键字段。

可选地，所述确定第二初筛信息，包括：

从所述安全设备的日志数据中筛选第二初筛信息。

可选地，所述确定第二初筛信息，包括：

从所述第一层级对应的第一初筛信息中筛选第二初筛信息。

可选地，多种所述统计方式，包括：

表格方式、图形方式、排序方式、页面展示方式以及统计结果共享方式中的任意多个。

第二方面，本发明实施例提供一种安全信息管理装置，包括：类型确定单元、字段定义单元以及信息处理单元，其中，

所述类型确定单元，用于确定安全设备的日志数据包括的多种数据类型，并为每一种所述数据类型定义关键字段；

所述字段定义单元，用于当多种所述数据类型中的目标数据类型对应的数据存在多个嵌套元素时，为每一个所述嵌套元素定义对应的关键字段，并将每一个所述嵌套元素对应的关键字段替换所述目标数据类型的关键字段；

所述信息处理单元，用于通过页面提供多个所述关键字段以及预先设置的多种统计方式；响应于对多种所述统计方式中的目标统计方式以及多个所述关键字段中的目标关键字段的选择触发，根据所述目标统计方式和所述目标关键字段，获取并展示所述日志数据中的关键信息。

第三方面，本发明实施例提供一种安全信息管理系统，包括：多个安全设备以及上述实施例提供的安全信息管理装置，其中，

所述安全设备，与所述安全信息管理装置连接，用于为所述安全信息管理装置提供日志数据。

上述发明中的一个实施例具有如下优点或有益效果：一方面，通过页面提供多个关键字段以及预先设置的多种统计方式，而该多个字段是基于安全设备的日志数据包括的数据类型定义，并基于存在于同一目标数据类型的多个嵌套元素定义得到的，使得后续基于关键字段的数据统计不仅能够统计与数据类型相关的数据，而且能够准确统计数据类型下每一个嵌套元素所对应的数据；另一方面，由于该方法可进一步响应于对多种统计方式中的目标统计方式以及多个关键字段中的目标关键字段的选择触发，根据目标统计方式和目标关键字段，获取并展示日志数据中的关键信息，即可根据选择的关键字段统计并展示关键信息，能够按照用户需求灵活统计数据，满足用户需求。

上述的非惯用的可选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。

附图说明

附图用于更好地理解本发明，不构成对本发明的不当限定。其中：

图1是根据本发明实施例的安全新信息管理应用场景的示意图；

图2A是根据本发明实施例的信息推送的方法的主要流程的示意图；

图2B是根据本发明实施例的一种展示结果的示意图；

图3是根据本发明另一实施例的安全信息管理方法的主要流程的示意图；

图4A是根据本发明实施例的各种统计维度以及关键字段的结构示意图；

图4B是根据本发明实施例的另一种展示结果的示意图；

图5是根据本发明实施例的统计关键信息的主要流程的示意图；

图6是根据本发明实施例的安全信息管理装置的主要单元的示意图；

图7是根据本发明实施例的安全信息管理系统的主要设备的示意图；

图8是本发明实施例可以应用于其中的示例性系统架构图；

图9是适于用来实现本发明实施例的终端设备或服务器的计算机系统的结构示意图。

具体实施方式

以下结合附图对本发明的示范性实施例做出说明，其中包括本发明实施例的各种细节以助于理解，应当将它们认为仅仅是示范性的。因此，本领域普通技术人员应当认识到，可以对这里描述的实施例做出各种改变和修改，而不会背离本发明的范围和精神。同样，为了清楚和简明，以下的描述中省略了对公知功能和结构的描述。

如图1所示，统一内容安全管理平台101通过执行本发明实施例提供的安全信息管理方法，可对其所连接或者所管理的芯片组(DLP)102、强型Web安全网关(ASWG)103、增强型邮件安全网关(ASEG)104、终端105、移动设备106、云访问安全代理服务器(CASB)107、统一内容安全审查平台(UCWI)108等提供统一集中管理和分析，即通过统一内容安全管理平台101对所管理的DLP102、ASWG103、ASEG104、终端105、移动设备106、CASB107、UCWI108等所产生的日志数据进行管理和分析，并为用户提供其所选择的字段对应的信息，同时可将所选择的字段对应的信息按照统计方式一目了然的展现在可视化界面，因此，本发明实施例提供的方案可以对安全信息进行收集、整理和分析数据，并根据用户选择的关键字段提炼出有价信息，能够灵活地根据用户需求提供用户所关注的信息，可有效地节省用户分析数据的时间。

即使统一内容安全管理平台101的功能增加或功能多样化，通过本发明实施例提供的方案，针对不同功能所产生的数据可直观且多样化的生成报表。即以平台产生的日志数据为基础，通过自定义或者选择用户较为关注的关键字段对应的信息生成相关的报告。由于这些关键字段可以自由组合，使统计更具有灵活性和多样性，同时使统计的结果能够满足用户需求，适用性更强。

图2A是根据本发明实施例的一种安全信息管理方法，如图2A所示，该安全信息管理方法可包括的如下步骤：

步骤S201：确定安全设备的日志数据包括的多种数据类型，并为每一种数据类型定义关键字段；

该步骤中，确定安全设备的日志数据包括的多种数据类型的具体实施方式可包括：通过搜索服务器统计安全设备的日志数据包括的多种数据类型。该数据类型可以为日期、用户账号、安全等级等。比如，由于用户账号这一数据类型，在安全设备的日志数据为用户信息，那么，通过用户账号进行数据统计可能存在偏差，则可将该“用户账号”这一数据类型定义为“用户信息”这一关键字段；又比如，“日期”这一数据类型，其可能在安全设备1的日志数据中对应的是“设备运行时间”这一关键字段，则可为“日期”定义对应的关键字段“设备运行时间”。从而保证后续基于关键字段采集日志数据的准确性。

步骤S202：当多种数据类型中的目标数据类型对应的数据存在多个嵌套元素时，为每一个嵌套元素定义对应的关键字段，并将每一个嵌套元素对应的关键字段替换目标数据类型的关键字段；

在该步骤中，一个数据类型C为嵌套类数据类型，其内不存在嵌套元素C1和嵌套元素C2，则通过该步骤可以将C1和C2拆出，并分别为该C1和C2定义对应的关键字段，以在后续数据统计过程中，能够分别统计出该C1和C2相关的数据。比如，“安全信息”嵌套有“安全标识”以及安全标识对应的“安全等级”这两个嵌套元素，则可分别为“安全标识”定义对应的关键字段“安全标识”，为“安全等级”定义对应的关键字段“安全等级”。值得说明的是，定义的关键字段可与数据类型一致。

步骤S203：通过页面提供多个关键字段以及预先设置的多种统计方式；

该多种统计方式可以为表格方式、图形方式、排序方式、页面展示方式以及统计结果共享方式中的任意多个。

步骤S204：响应于对多种统计方式中的目标统计方式以及多个关键字段中的目标关键字段的选择触发，根据目标统计方式和目标关键字段，获取并展示日志数据中的关键信息。

该步骤主要是根据选择触发的目标统计方式展示关键信息。比如，在该步骤中选择排序方式对关键字段“通道”如图2B所示的通道H1、通道H2以及通道H3，在各个“通道”下的各个设备的“安全等级”的统计也如图2B所示，通道H1下，安全等级为高的设备数量为a1，安全等级为中的设备数量为b1，安全等级为低的设备数量为c1；通道H2下，安全等级为高的设备数量为a2，安全等级为中的设备数量为b2，安全等级为低的设备数量为c2；通道H3下，安全等级为高的设备数量为a3，安全等级为中的设备数量为b3，安全等级为低的设备数量为c3。则可通过排序的方式展示各个通道下对应的安全等级为高的设备数量、安全等级中等的设备数量以及安全等级低的设备数量等。

值得说明的是，上述基于目标关键字段，获取日志数据中的关键信息可以基于分布式搜索服务器实现。该分布式搜索服务器可提供了一个分布式多用户能力的全文搜索引擎，能很方便地使大量数据具有搜索、分析和探索的能力。

在图2A所示的实施例中，一方面，通过页面提供多个关键字段以及预先设置的多种统计方式，而该多个字段是基于安全设备的日志数据包括的数据类型定义，并基于存在于同一目标数据类型的多个嵌套元素定义得到的，使得后续基于关键字段的数据统计不仅能够统计与数据类型相关的数据，而且能够准确统计数据类型下每一个嵌套元素所对应的数据；另一方面，由于该方法可进一步响应于对多种统计方式中的目标统计方式以及多个关键字段中的目标关键字段的选择触发，根据目标统计方式和目标关键字段，获取并展示日志数据中的关键信息，即可根据选择的关键字段统计并展示关键信息，能够按照用户需求灵活统计数据，满足用户需求。

在本发明实施例中，如图3所示，上述安全信息管理方法可进一步包括如下步骤：

步骤S301：设置多个统计维度；

如图4所示的多个统计维度分别为第一维度、第二维度、…第N维度。

步骤S302：针对每一个统计维度，基于多个关键字段，为统计维度配置至少一个关键字段，以使每一个关键字段属于一个或多个统计维度；

如图4A所示，第一维度包括关键字段为：关键字段1、关键字段2、关键字段3、关键字段4、关键字段5、…、关键字段m，第二维度包括关键字段为：关键字段1、关键字段2、关键字段3、关键字段5、…、关键字段m，第N维度包括关键字段为：关键字段1、关键字段2、关键字段3、…、关键字段m。值得说明的是，各个维度可包括相同或不同的关键字段。

另外，上述统计维度以及各个维度对应的关键字段，用户可根据自己的需求进行相应地设置，使关键字段以及统计维度具有设置灵活性，满足不同用户的需求。

步骤S303：通过页面提供为每一个统计维度配置的关键字段。

基于各个统计维度对应的关键字段获取并统计关键信息的展示结果可根据上述统计方式实现。比如图2B所示的一种统计方式中，第一维度为通道信息，其包括通道H1、通道H2、通道H3。又比如，将图2B的统计结果以图4B给出的图形结构的方式进行统计，其第一维度也为通道信息，分别为通道H1、通道H2、通道H3，第二维度也为安全等级分别为高、中、低，则图形的统计结果可如图4B所示。

值得说明的是，图2B和图4B仅是示例性地给出了一种关键信息的展示形式或者展示架构，关键信息还可以有其他的展示形式或展示架构在此不做限定。

在本发明实施例中，上述展示日志数据中的关键信息的具体实施方式可包括：针对目标关键字段的个数为多个，且多个目标关键字段分属于多个统计维度的情况，根据多个目标关键字段所分属的多个统计维度之间的层级关系，统计关键信息，并展示统计的结果。值得说明的是，不同统计维度所包括的目标关键字段一般不同，比如，第一统计维度选择的目标关键字段为关键字段1，则第二统计字段、…、第N统计字段则不再选择该关键字段1作为目标关键字段。

上述根据多个目标关键字段所分属的多个统计维度之间的层级关系，统计关键信息主要是指，当前层级对应的统计维度对应的下一层级的统计维度，是在该当前层级对应的统计维度的基础上或者统计的结果的基础上，进一步统计。比如，当前层级对应的统计维度为第一统计维度，则第二统计维度的统计，是在第一统计维度的统计结果基础上或者第一统计维度的基础上进一步统计。

具体地，如图5所示，上述统计关键信息的具体实施方式可包括如下步骤：

针对每一个目标关键字段，执行步骤S501至步骤S503：

步骤S501：判断目标关键字段是否属于层级关系中位于第一层级的统计维度，如果是，则执行步骤S502；否则，执行步骤S503；

该第一层级可以是指图4A所示的第一维度。

步骤S502：从安全设备的日志数据中筛选与目标关键字段相关的第一初筛信息，并清洗和处理第一初筛信息，并结束当前流程；

该步骤清洗和处理的过程主要是为了去除噪音数据，比如，针对第一统计维度的目标关键字段为通道信息，统计结果是涉及各个通道的信息，通过清洗和处理后可以得到与通道相关的信息比如：通过H1下的安全信息、用户信息等，通过H2下的安全信息、用户信息等。

步骤S503：根据目标关键字段以及目标关键字段所属的当前层级之前的每一个层级包括的目标关键字段，确定第二初筛信息，并清洗和处理第二初筛信息，其中，第二初筛信息包括目标关键字段以及当前层级之前的每一个层级包括的任一目标关键字段。

比如，当前层级为第二统计维度，该第二统计维度的目标关键字段为安全等级，其之前的层级为第一统计维度，对应的关键字段为通道信息，则需基于该安全等级以及通道信息，得到与安全等级和通道信息均相关的第二初筛信息。

另外，以图4A示出的统计维度为例，通过上述选择触发操作，选择出了第一层级为第一统计维度、第二层级为第二统计维度以及第三层级为第N统计维度，其中，第一统计维度中的目标关键字段为关键字段1、关键字段2、关键字段3，第二统计维度中的目标关键字段为关键字段5，第N统计维度中的目标关键字段为关键字段m。

在该步骤中，针对当前层级为第二层级，则采用第一统计维度中的关键字段1、关键字段2以及关键字段3分别结合第二统计维度中的关键字段5，得到第二初筛信息：包括关键字段1和关键字段5的信息、包括关键字段2和关键字段5的信息以及包括关键字段3和关键字段5的信息。

在该步骤中，针对当前层级为第三层级，则采用第一统计维度中的关键字段1、关键字段2以及关键字段3分别结合第二统计维度中的关键字段5以及第N统计维度中的关键字段m，得到第二初筛信息：包括关键字段1、关键字段5以及关键字段m的信息、包括关键字段2、关键字段5以及关键字段m的信息以及包括关键字段3、关键字段5以及关键字段m的信息。

该步骤S503中确定第二初筛信息可有两种实现方式。

第一种实现方式：从安全设备的日志数据中筛选第二初筛信息。

第二种实现方式：从第一层级对应的第一初筛信息中筛选第二初筛信息。

上述第二初筛信息的两种实现方式用户可以根据需求进行相应地选择，提高筛选和获取关键信息的灵活性。

另外，本发明实施例提供的方案还可进一步对产生的统计结果的展示方式/统计方式进行编辑，以满足用户不同的展示需求。

另外，本发明实施例可对展示的结果进行导出，作为报表依据。期中，导出方式可根据用户需求进行选择，比如打印、分享到邮箱、通信客户端等。

综上可知，本发明实施例提供的方式实现了用户对报表或者统计结果、统计结果的展示进行定制，根据相关日志数据的所有关键字段可自由组合为一维和二维等各个维度的统计，为用户提供了多样化的报表展示，解除了预置报告的各种限制因素。提高了展示的灵活性和多样性。

如图6所示，本发明实施例提供一种安全信息管理装置600，该安全信息管理装置600可包括：类型确定单元601、字段定义单元602以及信息处理单元603，其中，

类型确定单元601，用于确定安全设备的日志数据包括的多种数据类型，并为每一种数据类型定义关键字段；

字段定义单元602，用于当多种数据类型中的目标数据类型对应的数据存在多个嵌套元素时，为每一个嵌套元素定义对应的关键字段，并将每一个嵌套元素对应的关键字段替换目标数据类型的关键字段；

信息处理单元603，用于通过页面提供多个关键字段以及预先设置的多种统计方式；响应于对多种统计方式中的目标统计方式以及多个关键字段中的目标关键字段的选择触发，根据目标统计方式和目标关键字段，获取并展示日志数据中的关键信息。

在本发明实施例中，信息处理单元603，进一步用于设置多个统计维度；针对每一个统计维度，基于多个关键字段，为统计维度配置至少一个关键字段，以使每一个关键字段属于一个或多个统计维度；通过页面提供为每一个统计维度配置的关键字段。

在本发明实施例中，信息处理单元603，进一步用于针对目标关键字段的个数为多个，且多个目标关键字段分属于多个统计维度的情况，根据多个目标关键字段所分属的多个统计维度之间的层级关系，统计关键信息，并展示统计的结果。

在本发明实施例中，信息处理单元603，进一步用于针对每一个目标关键字段，执行：判断目标关键字段是否属于层级关系中位于第一层级的统计维度，如果是，则从安全设备的日志数据中筛选与目标关键字段相关的第一初筛信息，并清洗和处理第一初筛信息；否则，根据目标关键字段以及目标关键字段所属的当前层级之前的每一个层级包括的目标关键字段，确定第二初筛信息，并清洗和处理第二初筛信息，其中，第二初筛信息包括目标关键字段以及当前层级之前的每一个层级包括的任一目标关键字段。

在本发明实施例中，信息处理单元603，进一步用于从安全设备的日志数据中筛选第二初筛信息。

在本发明实施例中，信息处理单元603，进一步用于从第一层级对应的第一初筛信息中筛选第二初筛信息。

在本发明实施例中，统计方式可包括：表格方式、图形方式、排序方式、页面展示方式以及统计结果共享方式中的任意多个。

如图7所示，本发明实施例提供安全信息管理系统700，该安全信息管理系统700可包括：多个安全设备701以及上述安全信息管理装置600，其中，

安全设备701，与安全信息管理装置600连接，用于为安全信息管理装置600提供日志数据。

在本发明实施例中，安全信息管理系统700可进一步包括：搜索服务器702，其中，

搜索服务器702，用于统计安全设备的日志数据包括的多种数据类型，并提供该多种数据类型给安全信息管理装置600。

值得说明的是，安全信息管理装置600可应用于图1所示的统一内容安全管理平台101，以使统一内容安全管理平台101实现本发明实施例提供的方案。

图8示出了可以应用本发明实施例的安全信息管理方法或安全信息管理装置的示例性系统架构800。

如图8所示，系统架构800可以包括芯片组801、网关802、终端803、云访问安全代理服务器804、统一内容安全审查平台805，网络806、搜索服务器807以及统一内容安全管理平台808。网络806用以在芯片组801、网关802、终端803、云访问安全代理服务器804、统一内容安全审查平台805和搜索服务器807以及统一内容安全管理平台808之间提供通信链路的介质。网络806可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。

搜索服务器807以及统一内容安全管理平台808可以通过网络806与芯片组801、网关802、终端803、云访问安全代理服务器804、统一内容安全审查平台805交互，以接收或发送消息等。芯片组801、网关802、终端803、云访问安全代理服务器804、统一内容安全审查平台805上可以安装有各种应用，以满足用户不同需求。

其中，网关802可以为强型Web安全网关、增强型邮件安全网关等。

终端803可以是具有显示屏并且支持网页浏览的各种电子设备，包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。

统一内容安全审查平台808可以是提供各种服务的服务器，例如对芯片组801、网关802、终端803、云访问安全代理服务器804、统一内容安全审查平台805的日志数据提供整理和统计的后台管理服务器(仅为示例)。后台管理服务器可以对获取到的日志数据等数据进行分析等处理，并将处理结果(例如运行情况统计的结果--仅为示例)通过可视化界面显示或者反馈给用户使用的终端设备。

需要说明的是，本发明实施例所提供的安全信息管理方法一般由统一内容安全审查平台808执行，相应地，安全信息管理装置一般设置于统一内容安全审查平台808中。

应该理解，图8中的芯片组、网关、终端、云访问安全代理服务器、统一内容安全审查平台，网络、搜索服务器以及统一内容安全管理平台的数目仅仅是示意性的。根据实现需要，可以具有任意数目的终端设备、网络和服务器。

下面参考图9，其示出了适于用来实现本发明实施例的终端设备的计算机系统900的结构示意图。图9示出的终端设备仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。

如图9所示，计算机系统900包括中央处理单元(CPU)901，其可以根据存储在只读存储器(ROM)902中的程序或者从存储部分908加载到随机访问存储器(RAM)903中的程序而执行各种适当的动作和处理。在RAM 903中，还存储有系统900操作所需的各种程序和数据。CPU 901、ROM 902以及RAM 903通过总线904彼此相连。输入/输出(I/O)接口905也连接至总线904。

以下部件连接至I/O接口905：包括键盘、鼠标等的输入部分906；包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分907；包括硬盘等的存储部分908；以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分909。通信部分909经由诸如因特网的网络执行通信处理。驱动器910也根据需要连接至I/O接口905。可拆卸介质911，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器910上，以便于从其上读出的计算机程序根据需要被安装入存储部分908。

特别地，根据本发明公开的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本发明公开的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分909从网络上被下载和安装，和/或从可拆卸介质911被安装。在该计算机程序被中央处理单元(CPU)901执行时，执行本发明的系统中限定的上述功能。

需要说明的是，本发明所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、电线、光缆、RF等等，或者上述的任意合适的组合。

附图中的流程图和框图，图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

描述于本发明实施例中所涉及到的单元可以通过软件的方式实现，也可以通过硬件的方式来实现。所描述的单元也可以设置在处理器中，例如，可以描述为：一种处理器包括类型确定单元、字段定义单元以及信息处理单元。其中，这些单元的名称在某种情况下并不构成对该单元本身的限定，例如，类型确定单元还可以被描述为“为每一种所述数据类型定义关键字段的单元”。

作为另一方面，本发明还提供了一种计算机可读介质，该计算机可读介质可以是上述实施例中描述的设备中所包含的；也可以是单独存在，而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被一个该设备执行时，使得该设备包括：确定安全设备的日志数据包括的多种数据类型，并为每一种数据类型定义关键字段；当多种数据类型中的目标数据类型对应的数据存在多个嵌套元素时，为每一个嵌套元素定义对应的关键字段，并将每一个嵌套元素对应的关键字段替换目标数据类型的关键字段；通过页面提供多个关键字段以及预先设置的多种统计方式；响应于对多种统计方式中的目标统计方式以及多个关键字段中的目标关键字段的选择触发，根据目标统计方式和目标关键字段，获取并展示日志数据中的关键信息。

根据本发明实施例的技术方案，一方面，通过页面提供多个关键字段以及预先设置的多种统计方式，而该多个字段是基于安全设备的日志数据包括的数据类型定义，并基于存在于同一目标数据类型的多个嵌套元素定义得到的，使得后续基于关键字段的数据统计不仅能够统计与数据类型相关的数据，而且能够准确统计数据类型下每一个嵌套元素所对应的数据；另一方面，由于该方法可进一步响应于对多种统计方式中的目标统计方式以及多个关键字段中的目标关键字段的选择触发，根据目标统计方式和目标关键字段，获取并展示日志数据中的关键信息，即可根据选择的关键字段统计并展示关键信息，能够按照用户需求灵活统计数据，满足用户需求。

上述具体实施方式，并不构成对本发明保护范围的限制。本领域技术人员应该明白的是，取决于设计要求和其他因素，可以发生各种各样的修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等，均应包含在本发明保护范围之内。

Claims (12)

1.一种安全信息管理方法，其特征在于，包括：

确定安全设备的日志数据包括的多种数据类型，并为每一种所述数据类型定义关键字段；

当多种所述数据类型中的目标数据类型对应的数据存在多个嵌套元素时，为每一个所述嵌套元素定义对应的关键字段，并将每一个所述嵌套元素对应的关键字段替换所述目标数据类型的关键字段；

通过页面提供多个所述关键字段以及预先设置的多种统计方式；

响应于对多种所述统计方式中的目标统计方式以及多个所述关键字段中的目标关键字段的选择触发，根据所述目标统计方式和所述目标关键字段，获取并展示所述日志数据中的关键信息。

2.根据权利要求1所述的安全信息管理方法，其特征在于，所述确定安全设备的日志数据包括的多种数据类型，包括：

通过搜索服务器统计安全设备的日志数据包括的多种数据类型。

3.根据权利要求1所述的安全信息管理方法，其特征在于，进一步包括：

设置多个统计维度；

针对每一个所述统计维度，基于多个所述关键字段，为所述统计维度配置至少一个关键字段，以使每一个所述关键字段属于一个或多个所述统计维度；

通过页面提供多个所述关键字段，包括：通过页面提供为每一个所述统计维度配置的关键字段。

4.根据权利要求3所述的安全信息管理方法，其特征在于，所述展示所述日志数据中的关键信息，包括：

针对所述目标关键字段的个数为多个，且多个所述目标关键字段分属于多个所述统计维度的情况，

根据多个所述目标关键字段所分属的多个所述统计维度之间的层级关系，统计所述关键信息，并展示统计的结果。

5.根据权利要求4所述的安全信息管理方法，其特征在于，所述统计所述关键信息，包括：

针对每一个所述目标关键字段，执行：

判断所述目标关键字段是否属于所述层级关系中位于第一层级的统计维度，

如果是，则从所述安全设备的日志数据中筛选与所述目标关键字段相关的第一初筛信息，并清洗和处理所述第一初筛信息；

否则，根据所述目标关键字段以及所述目标关键字段所属的当前层级之前的每一个层级包括的目标关键字段，确定第二初筛信息，并清洗和处理所述第二初筛信息，其中，所述第二初筛信息包括所述目标关键字段以及所述当前层级之前的每一个层级包括的任一目标关键字段。

6.根据权利要求5所述的安全信息管理方法，其特征在于，所述确定第二初筛信息，包括：

从所述安全设备的日志数据中筛选第二初筛信息。

7.根据权利要求5所述的安全信息管理方法，其特征在于，所述确定第二初筛信息，包括：

从所述第一层级对应的第一初筛信息中筛选第二初筛信息。

8.根据权利要求1所述的安全信息管理方法，其特征在于，多种所述统计方式，包括：

表格方式、图形方式、排序方式、页面展示方式以及统计结果共享方式中的任意多个。

9.一种安全信息管理装置，其特征在于，包括：类型确定单元、字段定义单元以及信息处理单元，其中，

所述类型确定单元，用于确定安全设备的日志数据包括的多种数据类型，并为每一种所述数据类型定义关键字段；

所述字段定义单元，用于当多种所述数据类型中的目标数据类型对应的数据存在多个嵌套元素时，为每一个所述嵌套元素定义对应的关键字段，并将每一个所述嵌套元素对应的关键字段替换所述目标数据类型的关键字段；

所述信息处理单元，用于通过页面提供多个所述关键字段以及预先设置的多种统计方式；响应于对多种所述统计方式中的目标统计方式以及多个所述关键字段中的目标关键字段的选择触发，根据所述目标统计方式和所述目标关键字段，获取并展示所述日志数据中的关键信息。

10.一种安全信息管理系统，其特征在于，包括：多个安全设备以及权利要求9所述的安全信息管理装置，其中，

所述安全设备，与所述安全信息管理装置连接，用于为所述安全信息管理装置提供日志数据。

11.一种安全信息管理电子设备，其特征在于，包括：

一个或多个处理器；

存储装置，用于存储一个或多个程序，

当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现如权利要求1-8中任一所述的方法。

12.一种计算机可读介质，其上存储有计算机程序，其特征在于，所述程序被处理器执行时实现如权利要求1-8中任一所述的方法。

Images