CN102253948A - 在多源信息***中搜索信息的方法和装置 - Google Patents

Abstract

本发明提供一种多源信息***中搜索信息的方法，涉及信息管理领域；解决现有技术中无法对同一事物的多个描述信息关联搜索的问题。所述方法，包括：获取用户为同一事物的多个描述信息设置的搜索顺序和搜索内容；按照所述用户设置的搜索顺序，在存储有该描述信息的数据库中采用对应的搜索内容进行搜索。本发明提供的技术方案可应用于搜索信息。

Description

在多源信息***中搜索信息的方法和装置

技术领域

本发明涉及信息管理领域，尤其涉及一种在多源信息***中搜索信息的方法和装置。

背景技术

Internet的飞速发展，为信息的传播和利用带来了极大的方便，同时也带来了信息安全的巨大挑战。为了缓解日益严重的安全问题，越来越多的企业和机构部署了防火墙、入侵检测***(Intrusion Detection Systems，IDS)、漏洞扫描设备、流量检测设备等一系列的网络安全设备，有效降低了企业的安全风险，但同时带来了安全相关数据分散、事件量大难以处理等问题。

以一次缓冲区溢出攻击为例，与该攻击相关的检测数据可能会分布在防火墙、IDS、流量检测设备的日志中，同时与被攻击主机相关的信息可能会存在于漏洞检测设备的日志中，每个检测设备的日志都存放于独立的数据库中，数据库的类型也各不相同，这就为安全分析人员的日志分析带来了很大不便。例如安全分析人员在根据IDS的报警判断一次缓冲区溢出攻击是否成功时，需要先到防火墙的日志中搜索本次攻击是否被防火墙阻断；如果未进行阻断，则需要到漏洞检测设备的日志中搜索目标主机上是否存在相应的漏洞。由于与该报警相关的日志分布在不同的数据库中，这就需要安全分析人员在不同的数据库中反复进行搜索，事件分析过程变得复杂且费时费力。如何充分利用多源安全日志，实现对攻击行为的检测和分析，降低事件分析的复杂度，是目前网络安全领域急需解决的技术问题。

为了解决上述问题，安全管理平台(Security Operations Center，SOC)等产品得到了越来越广泛的应用。SOC产品的工作原理是汇总多源安全设备的报警信息，将分散在多个数据库中的日志集中在同一个数据库中，在日志汇总的基础上进行事件的关联搜索，其中关联搜索是在不同类型的安全日志中，查找与搜索关键字相关的全部日志信息。该方案能够在一定程度上解决数据源分散给事件分析造成的困难，但却存在以下不足：首先，由于数据量过大，或业务管理上的原因，在很多应用场合中难以将所有相关的数据汇总到同一个数据库中，事件分析过程仍有可能需要访问多个不同数据库中的数据；其次，即使将所有的数据汇总到了同一个数据库中，由于一次事件分析过程需要包括多个步骤，安全分析人员仍然需要编写多个结构化搜索(SQL)语句，在多个数据表中进行反复搜索，才能得到需要的结果，而编写、组织SQL语句的过程仍然十分复杂，加重了数据库的运营维护成本，延长数据库的开发时间。

发明内容

本发明提供一种在多源信息***中搜索信息的方法和装置，解决现有技术中无法对同一事物的多个描述信息关联搜索的问题。

为达到上述发明目的，本发明提供了如下技术方案：

一种在多源信息***中搜索信息的方法，包括：

获取用户为同一事物的多个描述信息设置的搜索顺序和搜索内容；

按照所述用户设置的搜索顺序，在存储有该描述信息的数据库中采用对应的搜索内容进行搜索。

进一步的，所述方法具有如下特点：所述获取用户为同一事物的多个描述信息设置的搜索顺序和搜索内容，包括：

在检测到所述用户需要进行检索时，向所述用户发送包括请求每种信息的搜索顺序和搜索内容的对话框；

接收所述用户填写完成后的对话框。

进一步的，所述方法具有如下特点：所述搜索内容包括搜索关键字的内容、搜索关键字的来源和搜索结果。

进一步的，所述方法具有如下特点：所述按照所述用户设置的搜索顺序，在存储有该描述信息的数据库中采用对应的搜索内容进行搜索，包括：

如果所述同一事物的多个描述信息不存储在同一数据库中，获取用于存储该描述信息的数据库的身份信息；

采用所述数据库的身份信息，识别所述用于存储该描述信息的数据库；

按照所述用户设置的搜索顺序，在识别得到的数据库中采用对应的搜索内容进行搜索。

一种在多源信息***中搜索信息的装置，包括：

获取模块，用于获取用户为同一事物的多个描述信息设置的搜索顺序和搜索内容；

搜索模块，用于按照所述用户设置的搜索顺序，在存储有该描述信息的数据库中采用对应的搜索内容进行搜索。

进一步的，所述装置具有如下特点：所述获取模块，包括：

发送单元，用于在检测到所述用户需要进行检索时，向所述用户发送包括请求每种信息的搜索顺序和搜索内容的对话框；

接收单元，用于接收所述用户填写完成后的对话框。

进一步的，所述方法具有如下特点：所述搜索模块进行搜索时的搜索内容包括搜索关键字的内容、搜索关键字的来源和搜索结果。

进一步的，所述装置具有如下特点：所述搜索模块，包括：

获取单元，用于在所述同一事物的多个描述信息不存储在同一数据库中时，获取用于存储该描述信息的数据库的身份信息；

识别单元，与所述获取单元相连，用于采用所述获取单元获取的数据库的身份信息，识别所述用于存储该描述信息的数据库；

搜索单元，与所述识别单元相连，用于按照所述用户设置的搜索顺序，在所述识别单元识别得到的数据库中采用对应的搜索内容进行搜索。

本发明提供的技术方案，在用户进行关联搜索时，通过人机交互，用户设置在不同数据库间的搜索顺序以及在每个数据库内的搜索内容，实现在多个数据库之间的搜索，无需开发用于数据库间关联搜索的脚本文件，降低了***的运营成本；根据用户明确指示的搜索关键字和搜索结果进行搜索，提高搜索的精度，降低了搜索的复杂度，提高***对搜索的处理速度；由于只需要开发一个人机交互页面，用于请求用户添加数据库的搜索顺序以及在每个数据库内的搜索关键字和搜索结果，实现方式简单且方便。

附图说明

图1为本发明提供的在多源信息***中搜索信息的***实施例的结构示意图；

图2为图1所示实施例中获取模块101的结构示意图；

图3为图1所示实施例中搜索模块102的结构示意图；

图4为本发明提供的在多源信息***中搜索信息的方法实施例的流程示意图；

图5为本发明提供的获取用户对每种信息设置的搜索顺序和搜索内容信息页面构示意图；

图6为本发明提供的建立子查询点之间关联关系的页面示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图及具体实施例对本发明作进一步的详细描述。

图1为本发明中在多源信息***中搜索信息的装置实施例的结构示意图。图1所示装置实施例主要包括获取模块101和搜索模块102，其中

获取模块101，用于获取用户为同一事物的多个描述信息设置的搜索顺序和搜索内容；

搜索模块102，用于按照所述用户设置的搜索顺序，在存储有该描述信息的数据库中采用对应的搜索内容进行搜索。

其中多源信息***包括多种不同类型的描述信息，该不同类型的信息是指从不同方面对同一事物进行描述的信息，以具体的应用实例进行说明，如网络安全***包括多种检测设备，每个检测设备的安全日志就是不同的描述信息，以下以对一个网站的安全管理进行描述。

下面对所述装置作进一步介绍：

图2为图1所示实施例中获取模块101的结构示意图。图2所示实施例中获取模块101包括：

发送单元201，用于在检测到所述用户需要进行检索时，向所述用户发送包括请求每种信息的搜索顺序和搜索内容的对话框；

接收单元202，用于接收所述用户填写完成后的对话框。

具体的，当用户进行搜索，所述获取模块101以对话框的形式获取用户对本次搜索的需要，具体通过如下几个页面依次来获取：

1、用于请求用户设置待搜索范围的页面，其中待搜索范围由多种不同类型的信息组成；

在页面中，首先列举出多种信息，待用户从中选取所需检测的信息后，生成对应的查询点，其中包括初始查询点和多个子查询点，其中子查询点的个数为信息的种类总数，例如，选择了3个的描述信息，则生成3个子查询点。

2、用于请求用户设置对每个描述信息的搜索顺序和搜索内容，其中搜索内容包括搜索关键字的内容、搜索关键字的来源和搜索结果；

由于搜索信息可以集中存储在一个总数据库，即设置一个总数据库，该总数据库可以从只存特定的安全日志的数据库中获取；也可以分别存储在不同的数据库，一个数据库只存储一种特定信息。以下分别对上述两种情况进行介绍：

以下以一个子查询点的管理为例进行说明，其他子查询点相似，不再赘述。

情况一为检测设备的安全日志集中存储在一个总数据库

在页面中请求用户对每个子查询点定义搜索顺序和搜索内容，其中搜索顺序为用户根据自身需要，定义第几步执行对该子查询点的查询，其中搜索内容包括搜索关键字的内容、搜索关键字的来源和搜索结果，其中搜索关键字的内容可以为搜索的初始条件，可以为从搜索过的信息中得到的搜索结果。如果为搜索过的信息中得到的搜索结果，此时还需要明确指出该搜索结果是从那个搜索信息得到的，从而明确描述信息之间的关系，建立描述信息的关联信息，从而实现关联搜索。

情况二为检测设备的安全日志不是都存储在同一个数据库

为便于定位数据的位置，情况二的页面不但包括情况一页面的全部内容，还包括定义子查询点所在的数据库。当用户在设置搜索顺序和搜索内容的同时，还要设置用于存储该信息的数据库的身份信息，如数据库编号。

优选的，本实施例采用分散形式存储信息，与采用集中形式(即总数据库)管理相比，无需数据库之间信息的传递，在保证数据安全的前提下，节省了网络带宽的使用，再采用数据库编号和搜索顺序的方式获取对数据库的访问顺序，实现跨数据库之间的搜索，与现有技术中用户设置用于数据库之间关联搜索的程序相比，更易于用户操作和使用。

图3为图1所示实施例中搜索模块102的结构示意图。图3所示实施例中搜索模块102包括：

获取单元301，用于在所述同一事物的多个描述信息不存储在同一数据库中时，获取用于存储该描述信息的数据库的身份信息；

识别单元302，与所述获取单元301相连，用于采用所述获取单元301获取的数据库的身份信息，识别所述用于存储该描述信息的数据库；

搜索单元，与所述识别单元302相连，用于按照所述用户设置的搜索顺序，在所述识别单元302识别得到的数据库中采用对应的搜索内容进行搜索。

具体的，在获取模块101得到搜索顺序和搜索关键字之后，所述搜索模块按照获取模块101得到的搜索顺序，依次对信息进行搜索，在搜索过程中，按照获取模块101得到的搜索关键字搜索对应的搜索内容。现有技术中根据搜索关键字和搜索内容进行搜索的方法均适用于本发明，此处不再赘述。

图4为本发明中在多源信息***中搜索信息的方法实施例的流程示意图。结合图1所示装置实施例，该方法包括：

步骤401、获取用户为同一事物的多个描述信息设置的搜索顺序和搜索内容；

步骤402、按照所述用户设置的搜索顺序，在存储有该描述信息的数据库中采用对应的搜索内容进行搜索。

可选的，在步骤401之前，可以根据***或用户预先设置的策略，从同一事物的多个描述信息中选择部分类型的信息作为待搜索范围，再请求用户对该待搜索范围设置搜索顺序和搜索内容。

进一步的，在步骤401中，搜索内容包括搜索关键字的内容、搜索关键字的来源和搜索结果，其中如果第一信息的搜索关键字中除了包括已知的搜索关键字，还包括对第二信息搜索后得到搜索结果，此时需要用户设置该搜索关键字是从第二信息搜索后得到的，从而建立第一信息与第二信息的关联关系。

进一步的，如果每个描述信息分别存储在对应的数据库中，还需要用户设置数据库的身份标识，从而保证快速识别到数据库。

下面以本发明提供的在多源信息***中搜索信息的方法应用实例流程示意图。结合图4所示方法实施例，下面以对该应用实例为例进行说明：

例如，有3种安全检测***的安全日志，分别编号为A、B和C，依次为网页挂马监测***、域名监测***和网络流监测***。

网络安全分析人员需要获知用户群中受某个被挂马网站攻击的用户范围；当多源信息***检测到有用户需要进行搜索，则弹出对话框，该对话框中还列举有本地全部的安全检测***，用户可以实际需要选择本次中需要搜索的安全检测***，即待搜索范围，其中允许用户选择所述搜索***中全部或部分安全检测***作为待搜索范围，本例中，以选择全部搜索模块为例进行说明；在选择待搜索范围后，用户根据实际需要搜索的信息，确定每个安全检测***的搜索顺序，由于本例是搜索用户群中受某个被挂马网站攻击的用户范围，则本例中的搜索顺序为网页挂马监测***的安全日志→域名监测***的安全日志→网络流监测***的安全日志。

根据用户确定的待搜索范围，***生成初始节点，该初始节点包括一个输入参数，名称为webaddress，类型为字符串型，并添加三个子查询节点，每个子查询节点的属性为：序号(即执行搜索的顺序)，数据库名称、数据库编号(在上述安全日志不存储在同一个数据库时存在，否则不需要)、搜索关键字的内容、搜索关键字的来源以及搜索结果。

下面对每个子查询点进行介绍：

子查询节点1：网页挂马监测***的数据库(以下简称为挂马时间段数据面板)的搜索关键字为网站链接，如http://www.a.com，搜索结果为开始时间和结束时间；

如图5所示，在页面的属性包括：序号为1，数据源名称为挂马时间段，输入参数为网站地址，标记为webaddress，类型为字符串型；输出参数为开始时间和结束时间，标记为begintime和endtime，类型均为日期型；查询的SQL语句为：select min(time)as begintime，max(time)as endtime fromwebsite_trojan_event where home_page＝webaddress；

子查询节点2：域名监测***的数据库的搜索关键字为网站链接和对网页挂马监测***的搜索结果，即开始时间和结束时间，搜索结果为该网站链接的IP地址；

在页面的属性包括：序号为2，数据源名称为域名监测数据源，输入参数为webaddress，类型为字符串型；begintime、endtime，类型为日期型；输出参数为IP地址，标记为ip，类型为字符串型；查询的SQL语句为：selectip from dnsmonitor where time between begimime and endtime anddnsname＝webaddress。其中begintime、endtime为子查询点1的搜索结果，还需要建立两个子查询点的关联关系，如图6所示。

子查询节点3：网络流监测***的数据库的搜索关键字为网站链接的IP地址，开始时间和结束时间，搜索结果为访问该网站链接的IP地址，如192.168.1.1。

在页面的属性包括：序号为3，数据源名称为网络流监测数据源，输入参数为ip，类型为字符串型；begintime、endtime，类型为日期型；输出参数为IP地址列表，标记为srcip，类型为字符串型；查询的SQL语句为：selectdistinct srcip from v_netflow t where eventtime between begintime and endtimeand dstip＝ip and dstport＝80。

当用户设置完成后，多源信息***按照数据库的搜索顺序，采用每个数据库对应的搜索关键字和搜索顺序，对上述三个数据库进行搜索。

在网页挂马监测***的数据库的搜索关键字为网站链接，如http://www.a.com，从得到的搜索结果中获取开始时间和结束时间，如2010-1-1～2010-1-2，得到该网站植入木马的时间；

在域名监测***的数据库的搜索关键字为http://www.a.com和2010-1-1～2010-1-2为搜索关键字，搜索结果为该网站链接的IP地址，得到该网站植入木马时采用的IP地址；

网络流监测***的数据库的搜索关键字为网站链接的IP地址和2010-1-1～2010-1-2，搜索结果为访问该网站链接的IP地址，得到在植入木马这段时间内访问该网站IP地址的用户IP地址。

上述三个搜索过程中，执行子查询节点1的查询任务：在页挂马监测数据源上，将子查询节点1中定义的SQL语句中的输入参数，根据节点间的关联关系替换为具体参数。执行SQL语句：select min(time)asbegintime，max(time)as endtime from website_trojan_event where home_page＝‘www.a.com’，并将begintime、endtime作为输出参数，假设查询结果分别为“2010-1-1”和“2010-1-2”；

执行子查询节点2的查询任务：在域名监测数据源上，将子查询节点2中定义的SQL语句中的输入参数，根据节点间的关联关系替换为具体参数。执行SQL语句：select ip from dnsmonitor where time between‘2010-1-1’and‘2010-1-2’and dnsname＝‘www.a.com’，并将ip作为输出参数，假设查询结果为“192.168.1.1”；

执行子查询节点3的查询任务：在网络流监测数据源上，将子查询节点3中定义的SQL语句中的输入参数，根据节点间的关联关系替换为具体参数。执行SQL语句：select distinct srcip from v_netflow t where eventtime between‘2010-1-1’and‘2010-1-2’and dstip＝‘192.168.1.1’and dstport＝80，并将查询结果srcip作为最终的输出。

如果上述三个安全检测***的安全日志是分散开的，在选择需要搜索的数据库时，还需要用户设置该数据库的身份标识，如数据库编号等，与现有技术不同的是，在进行搜索时，无需汇聚到一个用于提供搜索信息功能的总数据库中，减少了日志在数据库和总数据库之间的传输，降低业务管理的成本，同时，与现有技术中在多个分散的数据库中开发用于关联搜索的脚本来实现相比，更易于用户的操作。

本发明实施例提供的方法并不限于此，对于描述同一事物的多个描述信息，且多个描述信息存在信息交集(即某一个描述的搜索结果是另一搜索信息的搜索关键字)或因果关系，既可以认为该多个描述信息组成多源信息***，就可以采用本发明提供的方法。例如，银行管理***中，对一个用户而言，多源信息包括账户信息和业务信息，当需要获取评估用户的最大消费能力时，此时就需要将存储对账户信息和业务信息进行分析。

本实施例提供的方法，在用户进行关联搜索时，通过人机交互，请求用户设置数据库的搜索顺序以及在每个数据库内的搜索关键字和搜索结果，实现在多个数据库之间的搜索，无需开发用于数据库间关联搜索的脚本文件，降低了***的运营成本；根据用户明确指示的搜索关键字和搜索结果进行搜索，降低了搜索的复杂度，提高***对搜索的处理速度；由于只需要开发一个人机交互页面，用于请求用户添加数据库的搜索顺序以及在每个数据库内的搜索关键字和搜索结果，实现方式简单且方便。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤是可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，该程序在执行时，包括方法实施例的步骤之一或其组合。

另外，在本发明各个实施例中的各功能单元可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。

上述提到的存储介质可以是只读存储器，磁盘或光盘等。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求所述的保护范围为准。

Claims (8)

1.一种在多源信息***中搜索信息的方法，其特征在于，包括：

获取用户为同一事物的多个描述信息设置的搜索顺序和搜索内容；

按照所述用户设置的搜索顺序，在存储有该描述信息的数据库中采用对应的搜索内容进行搜索。

2.根据权利要求1所述的方法，其特征在于，所述获取用户为同一事物的多个描述信息设置的搜索顺序和搜索内容，包括：

在检测到所述用户需要进行检索时，向所述用户发送包括请求每种信息的搜索顺序和搜索内容的对话框；

接收所述用户填写完成后的对话框。

3.根据权利要求1所述的方法，其特征在于，所述搜索内容包括搜索关键字的内容、搜索关键字的来源和搜索结果。

4.根据权利要求1所述的方法，其特征在于，所述按照所述用户设置的搜索顺序，在存储有该描述信息的数据库中采用对应的搜索内容进行搜索，包括：

如果所述同一事物的多个描述信息不存储在同一数据库中，获取用于存储该描述信息的数据库的身份信息；

采用所述数据库的身份信息，识别所述用于存储该描述信息的数据库；

按照所述用户设置的搜索顺序，在识别得到的数据库中采用对应的搜索内容进行搜索。

5.一种在多源信息***中搜索信息的装置，其特征在于，包括：

获取模块，用于获取用户为同一事物的多个描述信息设置的搜索顺序和搜索内容；

搜索模块，用于按照所述用户设置的搜索顺序，在存储有该描述信息的数据库中采用对应的搜索内容进行搜索。

6.根据权利要求5所述的装置，其特征在于，所述获取模块，包括：

发送单元，用于在检测到所述用户需要进行检索时，向所述用户发送包括请求每种信息的搜索顺序和搜索内容的对话框；

接收单元，用于接收所述用户填写完成后的对话框。

7.根据权利要求5所述的装置，其特征在于，所述搜索模块进行搜索时的搜索内容包括搜索关键字的内容、搜索关键字的来源和搜索结果。

8.根据权利要求5所述的装置，其特征在于，所述搜索模块，包括：

获取单元，用于在所述同一事物的多个描述信息不存储在同一数据库中时，获取用于存储该描述信息的数据库的身份信息；

识别单元，与所述获取单元相连，用于采用所述获取单元获取的数据库的身份信息，识别所述用于存储该描述信息的数据库；

搜索单元，与所述识别单元相连，用于按照所述用户设置的搜索顺序，在所述识别单元识别得到的数据库中采用对应的搜索内容进行搜索。

Images