WO2016107306A1

WO2016107306A1 - 消息订阅方法、处理节点设备和消息总线

Info

Publication number: WO2016107306A1
Application number: PCT/CN2015/094623
Authority: WO
Inventors: 朱禄
Original assignee: 北京奇虎科技有限公司; 奇智软件（北京）有限公司
Priority date: 2014-12-30
Filing date: 2015-11-13
Publication date: 2016-07-07
Also published as: CN104618142B; CN104618142A

Abstract

本发明提供一种消息订阅方法、处理节点设备和消息总线，其中，消息订阅方法包括：在事件源通过消息总线发布消息事件时，加载在所述消息总线上的至少一个第一处理节点，根据第一配置信息在所述消息事件中获取与所述第一配置信息对应的消息事件（101）；所述第一处理节点根据所述第一配置信息处理获取的消息事件（102）。其中，所述第一处理节点为采用插件形式动态加载在所述消息总线上的节点。上述消息订阅方法能够实现对消息总线的动态扩展，方便以消息事件为粒度的网络安全产品进行后期维护。

Description

消息订阅方法、处理节点设备和消息总线

技术领域

本发明涉及数据处理技术领域，尤其涉及一种消息订阅方法、处理节点设备和消息总线。

背景技术

在现有网络安全产品中，很多产品都是以消息或事件为粒度进行统计或拟合，例如，网络安全产品中入侵检测***(Intrusion Detection Systems，简称IDS)、入侵防御***(Intrusion Prevention System，简称IPS)、安全运行中心(Security Operations Center，简称SOC)以及安全网关(Unified Threat Management，简称UTM)等都会以消息事件来作为输入或输出。

但是，现有的网络安全产品中以消息事件作为输入或输出的消息总线是固定的，无法进行后期维护，进而无法对网络安全产品进行扩展，导致网络安全产品的效率低，并对产品功能的扩展带来一定限制。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的消息订阅方法、处理节点设备和消息总线，能够实现对消息总线的动态扩展，方便以消息事件为粒度的网络安全产品进行后期维护。

根据本发明的一方面，提供了一种处理节点设备，处理节点设备为采用插件形式加载在消息总线上，所述处理节点设备包括：

第一获取模块，用于在事件源通过所述消息总线发布消息事件时，根据第一配置信息在所述消息事件中获取与所述第一配置信息对应的消息事件；

处理模块，用于根据所述第一配置信息处理获取的消息事件。

根据本发明的另一方面，还提供了一种消息总线，包括：

加载模块，用于加载插件形式的至少一个第一处理节点，并生成该第一处理节点的第一配置信息；

查找模块，用于在事件源通过所述消息总线发布消息事件时，根据所述第一配置信息查找与所述第一配置信息对应的消息事件；

发送模块，用于将查找的消息事件发送至所述第一处理节点，以使所述第一处理节点处理发送的消息事件。

根据本发明的另一方面，还提供了一种消息订阅方法，包括：

在事件源通过消息总线发布消息事件时，加载在所述消息总线上的至少一个第一处理节点，根据第一配置信息在所述消息事件中获取与所述第一配置信息对应的消息事件；

所述第一处理节点根据所述第一配置信息处理获取的消息事件；

其中，所述第一处理节点为采用插件形式加载在所述消息总线上的节点。

消息总线加载插件形式的至少一个第一处理节点，并生成该第一处理节点的第一配置信息；

在事件源通过所述消息总线发布消息事件时，所述消息总线根据所述第一配置信息查找与所述第一配置信息对应的消息事件，将查找的消息事件发送所述第一处理节点，以使所述第一处理节点处理发送的消息事件。

根据本发明的又一方面，提供了一种计算机程序，其包括计算机可读代码，当所述计算机可读代码在计算设备上运行时，导致所述计算设备执行根据上文所述的消息订阅方法。

根据本发明的再一方面，提供了一种计算机可读介质，其中存储了上述的计算机程序。

本发明的有益效果为：

由上述技术方案可知，本发明的消息订阅方法、处理节点设备和消息总线，通过动态加载在消息总线上的至少一个第一处理节点获取消息总线中的消息事件，并处理获取的消息事件，进而可实现对消息总线中输入/输出的消息事件进行动态扩展，方便以消息事件为粒度的网络安全产品进行后期维护，提高网络安全产品的效率。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1为本发明一实施例提供的消息订阅方法的流程示意图；

图2为本发明另一实施例提供的消息订阅方法的示意图；

图3为本发明另一实施例提供的消息订阅方法的示意图；

图4为本发明另一实施例提供的消息订阅方法的流程示意图；

图5为本发明另一实施例提供的消息订阅方法的示意图；

图6为本发明另一实施例提供的消息订阅方法的流程示意图；

图7为本发明一实施例提供的处理节点设备的结构示意图；

图8为本发明一实施例提供的消息总线的结构示意图；

图9示意性地示出了用于执行根据本发明的消息订阅方法的计算设备的框图；以及

图10示意性地示出了用于保持或者携带实现根据本发明的消息订阅方法的程序代码的存储单元。

具体实施方式

下面结合附图和具体的实施方式对本发明作进一步的描述。

其中，在本发明的所有实施例中，“/”表示“或者”的关系。

图1示出了本发明一实施例提供的消息订阅方法的流程示意图，图2示出了本发明另一实施例提供的消息订阅方法的示意图，结合图1和图2所示，本实施例的消息订阅方法如下所述。

101、在事件源通过消息总线发布消息事件时，加载在所述消息总线上的至少一个第一处理节点，根据第一配置信息在所述消息事件中获取与所述第一配置信息对应的消息事件。

其中，所述第一处理节点为采用插件形式动态加载在所述消息总线上的节点。第一配置信息可为消息总线动态加载第一处理节点过程中生成的配置信息，第一处理节点按照该配置信息获取消息总线中的消息事件。

举例来说，该步骤中的事件源可理解为：服务器中的主机事件源、互联网中的网络事件源、和/或，通过所述消息总线发布消息事件的任一接入***，第三方消息事件源等。

本实施例对事件源仅为举例说明，任意能够在消息总线中发布消息事件的均可理解为该消息总线的事件源。

102、第一处理节点根据所述第一配置信息处理获取的消息事件。

在本实施例中，消息总线可在一服务器的内存中运行，类似一个广播的流，可以广播/发布任何消息事件，但不存储该消息事件。该消息总线上可以动态加载多个第一处理节点，如图2所示，该第一处理节点可以根据第一配置信息订阅消息总线中广播的消息事件。

第一处理节点可以对消息总线中的消息事件进行丢弃、删除消息事件，添加消息属性、存储消息事件等。本实施例不对该第一处理节点进行限定，该第一处理节点可理解为以软件形式实现的插件***在硬件中实现对消息总线中消息事件的处理。例如，第一处理节点可为订阅插件、消息发布插件等。

若第一处理节点向消息总线中发布消息事件，则可认为该第一处理节点为该消息总线的一个事件源。

应说明的是，本实施例中消息总线中的消息事件的格式为键-值格式，即key-value格式。

本实施例中的消息订阅方法，通过动态加载在消息总线上的至少一个第一处理节点获取消息总线中的消息事件，并处理获取的消息事件，进而可实现对消息总线中输入/输出的消息事件进行动态扩展，方便以消息事件为粒度的网络安全产品进行后期维护，提高网络安全产品的效率。

此外，上述图2中示出的消息总线中消息事件可为MAP类型的消息事件，MAP为移动实体之间传递消息的信令，MAP消息可为包括事务处理能力应用部分(Transaction Capabilities Application Part，简称TCAP)、信令连接控制部分(Signaling Connection Control Part，简称SCCP)、媒体传输协议(Media Transfer Protocol，简称MTP)协议层的协议数据。

在图1所示的流程图中，所述方法还包括：多个第一处理节点之间还可以相互订阅消息事件，即，第一处理节点根据所述第一配置信息从另一第一处理节点中订阅或发布的消息事件中获取与所述第一配置信息对应的消息事件。

如图3所示，第一处理节点a2根据第一配置信息可从第一处理节点a1中订阅的消息事件中获取与第一配置信息对应的消息事件。

举例来说，在图3中，若第一处理节点a1为订阅消息总线中源IP为198.102.151.11的消息事件，并将订阅的消息事件入库。此时，第一处理节点a2可从第一处理节点a1中订阅符合需求的消息事件。由于第一处理节点a1为将订阅的消息事件入库处理，则第一处理节点a2可以订阅第一处理节点a1已经订阅过的所有消息事件。

如果第一处理节点a1没有对订阅的源IP为198.102.151.11的消息事件进行入库处理，则第一处理节点a2只能动态实时地订阅第一处理节点a1中订阅的消息事件。即，第一处理节点a2无法订阅所述第一处理节点a1和第一处理节点a2在建立订阅关系之前第一处理节点a1从消息总线中订阅的消息事件。

通常，第一处理节点a1和第一处理节点a2可以构成树型结构，如二叉树结构，本实施例仅为举例说明，不对其进行限定。

图4示出了本发明另一实施例提供的消息订阅方法的流程示意图，图5示出了本发明另一实施例提供的消息订阅方法的示意图，结合图4和图5所示，本实施例的消息订阅方法如下所述。

401、消息总线动态加载至少一个第一处理节点，生成与该第一处理节点对应的第一配置信息。

举例来说，本实施例中的第一配置信息包括下述的一种或多种：

在所述消息总线中订阅符合预设规则的消息事件、删除符合预设规则的消息事件、添加符合预设规则的消息事件的属性、发布消息事件、丢弃符合预设规则的消息事件、转发符合预设规则的消息事件、实名制映射符合预设规则的消息事件、关联分析符合预设规则的消息事件、存储符合预设规则的消息事件等等。

402、在事件源通过消息总线发布消息事件时，至少一个第一处理节点根据第一配置信息在所述消息事件中获取与所述第一配置信息对应的消息事件。

403、第一处理节点根据所述第一配置信息处理获取的消息事件。

例如，第一处理节点可根据第一配置信息修改获取的消息事件的属性，并将修改属性后的消息事件发布；或者，第一处理节点可根据第一配置信息丢弃获取的消息事件；或者，第一处理节点可根据第一配置信息将获取的消息事件存储在数据库中；或者，第一处理节点可根据获取的消息事件进行流量统计分析或安全统计分析；或者，第一处理节点根据获取的消息事件进行关联分析(如人名映射)；或者，第一处理节点转发获取的消息事件等等。该处仅为举例说明第一处理节点如何处理获取的消息事件，本实施例不对其进行限定，可根据实际需要进行处理。

404、第一处理节点还用于动态加载至少一个第二处理节点，生成与该第二处理节点对应的第二配置信息；

所述第二处理节点根据所述第二配置信息从所述第一处理节点订阅或发布的消息事件中获取与所述第二配置信息对应的消息事件，以及处理所获取的消息事件。

可理解的是，第M处理节点还可动态加载至少一个第M+1处理节点，生成与该第M+1处理节点对应的第M+1配置信息；

该第M+1处理节点根据第M+1配置信息从第M处理节点订阅或发布的消息事件中获取与第M+1配置信息对应的消息事件，以处理所获取的消息事件。

上述M取值可为正整数。

也就是说，第M处理节点和第M+1处理节点可构成树型结构，如二叉树结构；或者，第M处理节点和第M+1处理节点可构成链式结构，本实施例不对其进行限定，图5中示出的是构成二叉树结构的第一处理节点a2和第二处理节点b1、b2。

本实施例中，在事件源通过消息总线发布消息事件之前，该消息总线需要动态加载至少一个处理节点，以便这些处理节点能够获取消息总线中的消息事件。

举例来说，处理节点可以是产品准入的插件，或者抓取某一源IP流量的插件，或者是入侵检查***分析的插件等。该些插件可以是通过软件实现的，预先加载在一服务器的消息总线中。该消息总线可以把统一格式的消息事件发布，以供加载在消息总线上的多个插件订阅。

消息总线上插件的订阅或者插件与插件之间的订阅与该消息总线所在的服务器/主机没有关联，且和服务器/主机所在的网络也是无关联的。

可理解的是，上述任一实施例中，消息总线中的任一消息事件的属性均可包括该消息事件的源IP、目的IP、源端口和目的端口等信息。

上述实施例中的消息事件的消息格式可动态扩展，进而针对该消息格式而建立的一套基于发布订阅模式的消息总线，消息总线上的订阅插件或发布插件以动态加载的方式挂到消息总线上，以达到可插拔消息总线模式。

发布插件通过消息总线发布消息事件，消息总线上动态加载的各种订阅插件，对发布插件发出的消息事件进行处理，例如，删除、添加消息属性发布，丢弃等。

本发明实施例中基于上述的消息总线可构建常用的网络安全***，例如日志服务器、安全审计***、流量统计***等。

图6示出了本发明另一实施例提供的消息订阅方法的流程示意图，如图6所示，本实施例的消息订阅方法如下所述。

601、消息总线动态加载插件形式的至少一个第一处理节点，并生成该第一处理节点的第一配置信息。

举例来说，第一配置信息可包括下述的一种或多种：在所述消息总线中订阅符合预设规则的消息事件、删除符合预设规则的消息事件、添加符合预设规则的消息事件的属性、发布消息事件、丢弃符合预设规则的消息事件、转发符合预设规则的消息事件、实名制映射符合预设规则的消息事件、关联分析符合预设规则的消息事件、存储符合预设规则的消息事件等等。

602、在事件源通过所述消息总线发布消息事件时，所述消息总线根据所述第一配置信息查找与所述第一配置信息对应的消息事件，将查找的消息事件发送所述第一处理节点，以使所述第一处理节点处理发送的消息事件。

举例来说，本实施例中所述消息事件为MAP消息类型的消息事件；

所述消息事件的格式为动态扩展的键-值格式(key-value)；消息事件的属性可包括：所述消息事件的源IP、目的IP、源端口号和目的端口号。

步骤602中的事件源可为下述的一种或多种：服务器中的主机事件源、互联网中的网络事件源、和第一处理节点中的事件源、第三方事件源、通过所述消息总线发布消息事件的任一接入***等。

可选地，在具体应用中，上述图6所示的方法还可包括下述图中未示出的步骤603：

603、删除加载的至少一个第一处理节点。

本实施例的消息订阅方法，消息总线动态加载至少一个第一处理节点，进而向至少一个第一处理节点发送该第一处理节点订阅的消息总线中的消息事件，以使至少一个第一处理节点处理获取的消息事件，进而可实现对消息总线中输入/输出的消息事件进行动态扩展，方便以消息事件为粒度的网络安全产品进行后期维护，提高网络安全产品的效率。

上述任一实施例中的消息总线ftms可以理解为一个主机的stml，消息总线广播有定义统一类型的消息事件，消息总线上可以定义很多插件，即处理节点，每个插件可以对消息事件进行添加、删除、或修改。该消息总线类似于物理总线，在该消息总线上广播的消息事件不被存储，后加载在该消息总线上的处理节点是无法获知加载之前的消息总线中广播的内容。

本实施例的消息总线中加载有多个处理节点，具体应用中，该些处理节点可为采用插件形式加载在消息总线上。

图7示出了本发明实施例提供的一种处理节点设备的结构示意图，如图7所示，该处理节点设备包括：第一获取模块71和处理模块72。

第一获取模块71用于在事件源通过所述消息总线发布消息事件时，根据第一配置信息在所述消息事件中获取与所述第一配置信息对应的消息事件；

处理模块72用于根据所述第一配置信息处理获取的消息事件。

可选地，所述处理节点设备还包括图中未示出的加载模块；该加载模块，用于加载至少一个第二处理节点，生成与该第二处理节点对应的第二配置信息；

所述第二处理节点根据所述第二配置信息从所述处理节点设备订阅或发布的消息事件中获取与所述第二配置信息对应的消息事件，以及处理获取的消息事件。

需要说明的是，本实施例中的处理节点设备即为第一处理节点。

举例来说，所述第一配置信息包括下述的一种或多种：

在所述消息总线中订阅符合预设规则的消息事件、删除符合预设规则的消息事件、添加符合预设规则的消息事件的属性、发布消息事件、丢弃符合预设规则的消息事件、转发符合预设规则的消息事件、实名制映射符合预设规则的消息事件、关联分析符合预设规则的消息事件、存储符合预设规则的消息事件。

在本实施例中，所述处理节点设备和所述至少一个第二处理节点组成二叉树结构；

或者，

所述处理节点设备和所述至少一个第二处理节点组成链式结构。

在另一可能的实现方式中，所述处理节点设备还可包括图中未示出的第二获取模块，该第二获取模块，用于根据所述第一配置信息从另一处理节点设备中订阅或发布的消息事件中获取与所述第一配置信息对应的消息事件。

本实施例中的事件源可包括下述的一种或多种：

服务器中的主机事件源、互联网中的网络事件源和所述处理节点设备中的事件源、通过所述消息总线发布消息事件的任一接入***。

可理解的是，本实施例中的处理模块可具体用于：修改获取的消息事件的属性，并将修改属性后的消息事件发布；或者，丢弃获取的消息事件；或者，将获取的消息事件存储在数据库中；或者，根据获取的消息事件进行流量统计分析或安全统计分析；或者，根据获取的消息事件进行关联分析；或者，转发获取的消息事件。

上述任一实施例中的消息事件可为MAP消息类型的消息事件；

所述消息事件的格式为动态扩展的键-值key-value格式；

和/或，所述消息事件的属性包括：所述消息事件的源IP、目的IP、源端口号和目的端口号。

本实施例的处理节点设备处理获取的消息事件，进而可实现对消息总线中输入/输出的消息事件进行动态扩展，方便以消息事件为粒度的网络安全产品进行后期维护，提高网络安全产品的效率。

图8示出了本发明实施例提供的一种消息总线的结构示意图，如图8所示，该消息总线包括：加载模块81、生成模块82、查找模块83和发送模块84；

加载模块81用于加载插件形式的至少一个第一处理节点；

生成模块82用于根据所述加载模块加载的至少一个第一处理节点，生成该第一处理节点的第一配置信息；

查找模块83用于在事件源通过所述消息总线发布消息事件时，根据所述第一配置信息查找与所述第一配置信息对应的消息事件；

发送模块84用于将查找的消息事件发送至所述第一处理节点，以使所述第一处理节点处理发送的消息事件。

可选地，所述消息总线还可包括图中未示出的删除模块，该删除模块84用于删除加载的至少一个第一处理节点。

举例来说，所述消息事件为MAP消息类型的消息事件；

所述消息事件的格式为动态扩展的键-值key-value格式；和/或，所述消息事件的属性包括：所述消息事件的源IP、目的IP、源端口号和目的端口号。

本实施例中，事件源可包括下述的一种或多种：

服务器中的主机事件源、互联网中的网络事件源、和第一处理节点中的事件源、通过所述消息总线发布消息事件的任一接入***。

所述第一配置信息包括下述的一种或多种：在所述消息总线中订阅符合预设规则的消息事件、删除符合预设规则的消息事件、添加符合预设规则的消息事件的属性、发布消息事件、丢弃符合预设规则的消息事件、转发符合预设规则的消息事件、实名制映射符合预设规则的消息事件、关联分析符合预设规则的消息事件、存储符合预设规则的消息事件。

本实施例中的消息总线可实现对输入/输出的消息事件进行动态扩展，方便以消息事件为粒度的网络安全产品进行后期维护，提高网络安全产品的效率。

上述处理节点、消息总线可执行前述的方法实施例的流程，本发明不再对上述处理节点和消息总线进行详细的举例说明。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的处理节点设备和消息总线中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。

例如，图9示出了可以实现消息订阅方法的计算设备。该计算设备传统上包括处理器910和以存储器920形式的计算机程序产品或者计算机可读介质。存储器920可以是诸如闪存、EEPROM(电可擦除可编程只读存储器)、EPROM、硬盘或者ROM之类的电子存储器。存储器920具有用于执行上述方法中的任何方法步骤的程序代码931的存储空间930。例如，用于程序代码的存储空间930可以包括分别用于实现上面的方法中的各种步骤的各个程序代码931。这些程序代码可以从一个或者多个计算机程序产品中读出或者写入到这一个或者多个计算机程序产品中。这些计算机程序产品包括诸如硬盘，紧致盘(CD)、存储卡或者软盘之类的程序代码载体。这样的计算机程序产品通常为如参考图10所述的便携式或者固定存储单元。该存储单元可以具有与图9的计算设备中的存储器920类似布置的存储段、存储空间等。程序代码可以例如以适当形式进行压缩。通常，存储单元包括计算机可读代码931’，即可以由例如诸如910之类的处理器读取的代码，这些代码当由计算设备运行时，导致该计算设备执行上面所描述的方法中的各个步骤。

本文中所称的“一个实施例”、“实施例”或者“一个或者多个实施例”意味着，结合实施例描述的特定特征、结构或者特性包括在本发明的至少一个实施例中。此外，请注意，这里“在一个实施例中”的词语例子不一定全指同一个实施例。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。

此外，还应当注意，本说明书中使用的语言主要是为了可读性和教导的目的而选择的，而不是为了解释或者限定本发明的主题而选择的。因此，在不偏离所附权利要求书的范围和精神的情况下，对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。对于本发明的范围，对本发明所做的公开是说明性的，而非限制性的，本发明的范围由所附权利要求书限定。

Claims

一种处理节点设备，所述处理节点设备为采用插件形式加载在消息总线上，所述处理节点设备包括：

第一获取模块，用于在事件源通过所述消息总线发布消息事件时，根据第一配置信息在所述消息事件中获取与所述第一配置信息对应的消息事件；

处理模块，用于根据所述第一配置信息处理获取的消息事件。
根据权利要求1所述的处理节点设备，其中，所述处理节点设备还包括：

加载模块，用于加载至少一个第二处理节点，生成与该第二处理节点对应的第二配置信息；

所述第二处理节点根据所述第二配置信息从所述处理节点设备订阅或发布的消息事件中获取与所述第二配置信息对应的消息事件，以及处理获取的消息事件。
根据权利要求2所述的处理节点设备，其中，所述处理节点设备和所述至少一个第二处理节点组成二叉树结构；

或者，

所述处理节点设备和所述至少一个第二处理节点组成链式结构。
根据权利要求1至3任一所述的处理节点设备，其中，所述处理节点设备还包括：

第二获取模块，用于根据所述第一配置信息从另一处理节点设备中订阅或发布的消息事件中获取与所述第一配置信息对应的消息事件。
根据权利要求1至3任一所述的处理节点设备，其中，所述事件源包括下述的一种或多种：

服务器中的主机事件源、互联网中的网络事件源和所述处理节点设备中的事件源、通过所述消息总线发布消息事件的任一接入***。
根据权利要求1至5任一所述的处理节点设备，其中，所述第一配置信息包括下述的一种或多种：

在所述消息总线中订阅符合预设规则的消息事件、删除符合预设规则的消息事件、添加符合预设规则的消息事件的属性、发布消息事件、丢弃符合预设规则的消息事件、转发符合预设规则的消息事件、实名制映射符合预设规则的消息事件、关联分析符合预设规则的消息事件、存储符合预设规则的消息事件。
根据权利要求1至6任一所述的处理节点设备，其中，所述处理模块，具体用于：

修改获取的消息事件的属性，并将修改属性后的消息事件发布；

或者，

丢弃获取的消息事件；

或者，

将获取的消息事件存储在数据库中；

或者，

根据获取的消息事件进行流量统计分析或安全统计分析；

或者，

根据获取的消息事件进行关联分析；

或者，

转发获取的消息事件。
根据权利要求1至7任一所述的处理节点设备，其中，所述消息事件为MAP消息类型的消息事件；

所述消息事件的格式为动态扩展的键-值key-value格式；

和/或，

所述消息事件的属性包括：所述消息事件的源IP、目的IP、源端口号和目的端口号。
一种消息总线，包括：

加载模块，用于加载插件形式的至少一个第一处理节点；

生成模块，用于根据所述加载模块加载的至少一个第一处理节点，生成该第一处理节点的第一配置信息；

查找模块，用于在事件源通过所述消息总线发布消息事件时，根据所述第一配置信息查找与所述第一配置信息对应的消息事件；

发送模块，用于将查找的消息事件发送至所述第一处理节点，以使所述第一处理节点处理发送的消息事件。
根据权利要求9所述的消息总线，其中，所述消息总线还包括：

删除模块，用于删除加载的至少一个第一处理节点。
根据权利要求9或10所述的消息总线，其中，所述消息事件为MAP消息类型的消息事件；

所述消息事件的格式为动态扩展的键-值key-value格式；

和/或，

所述消息事件的属性包括：所述消息事件的源IP、目的IP、源端口号和目的端口号。
根据权利要求9至11任一所述的消息总线，其中，所述事件源包括下述的一种或多种：

服务器中的主机事件源、互联网中的网络事件源、和第一处理节点中的事件源、通过所述消息总线发布消息事件的任一接入***。
根据权利要求9至12任一所述的消息总线，其中，所述第一配置信息包括下述的一种或多种：

在所述消息总线中订阅符合预设规则的消息事件、删除符合预设规则的消息事件、添加符合预设规则的消息事件的属性、发布消息事件、丢弃符合预设规则的消息事件、转发符合预设规则的消息事件、实名制映射符合预设规则的消息事件、关联分析符合预设规则的消息事件、存储符合预设规则的消息事件。
一种消息订阅方法，包括：

在事件源通过消息总线发布消息事件时，加载在所述消息总线上的至少一个第一处理节点，根据第一配置信息在所述消息事件中获取与所述第一配置信息对应的消息事件；

所述第一处理节点根据所述第一配置信息处理获取的消息事件；

其中，所述第一处理节点为采用插件形式加载在所述消息总线上的节点。
根据权利要求14所述的方法，其中，所述方法还包括：

所述第一处理节点还用于加载至少一个第二处理节点，生成与该第二处理节点对应的第二配置信息；

所述第二处理节点根据所述第二配置信息从所述第一处理节点订阅或发布的消息事件中获取与所述第二配置信息对应的消息事件，以及处理获取的消息事件。
根据权利要求15所述的方法，其中，所述至少一个第一处理节点和所述至少一个第二处理节点组成二叉树结构；

或者，

所述至少一个第一处理节点和所述至少一个第二处理节点组成链式结构。
根据权利要求14至16任一所述的方法，其中，所述方法还包括：

所述第一处理节点根据所述第一配置信息从另一第一处理节点中订阅或发布的消息事件中获取与所述第一配置信息对应的消息事件。
根据权利要求14至16任一所述的方法，其中，所述事件源包括下述的一种或多种：

服务器中的主机事件源、互联网中的网络事件源和第一处理节点中的事件源、通过所述消息总线发布消息事件的任一接入***。
根据权利要求14至18任一所述的方法，其中，所述加载在所述消息总线上的至少一个第一处理节点，根据第一配置信息在所述消息事件中获取与所述第一配置信息对应的消息事件之前，所述方法还包括：

所述消息总线加载所述至少一个第一处理节点，生成与该第一处理节点对应的第一配置信息。
根据权利要求14至19任一所述的方法，其中，所述第一配置信息包括下述的一种或多种：

在所述消息总线中订阅符合预设规则的消息事件、删除符合预设规则的消息事件、添加符合预设规则的消息事件的属性、发布消息事件、丢弃符合预设规则的消息事件、转发符合预设规则的消息事件、实名制映射符合预设规则的消息事件、关联分析符合预设规则的消息事件、存储符合预设规则的消息事件。
根据权利要求14至20任一所述的方法，所述第一处理节点根据所述第一配置信息处理获取的消息事件，包括：

所述第一处理节点修改获取的消息事件的属性，并将修改属性后的消息事件发布；

或者，

所述第一处理节点丢弃获取的消息事件；

或者，

所述第一处理节点将获取的消息事件存储在数据库中；

或者，

所述第一处理节点根据获取的消息事件进行流量统计分析或安全统计分析；

或者，

所述第一处理节点根据获取的消息事件进行关联分析；

或者，

所述第一处理节点转发获取的消息事件。
根据权利要求14至21任一所述的方法，所述消息事件为MAP消息类型的消息事件；

所述消息事件的格式为动态扩展的键-值key-value格式；

和/或，

所述消息事件的属性包括：所述消息事件的源IP、目的IP、源端口号和目的端口号。
一种消息订阅方法，包括：

消息总线加载插件形式的至少一个第一处理节点，并生成该第一处理节点的第一配置信息；

在事件源通过所述消息总线发布消息事件时，所述消息总线根据所述第一配置信息查找与所述第一配置信息对应的消息事件，将查找的消息事件发送至所述第一处理节点，以使所述第一处理节点处理发送的消息事件。
根据权利要求23所述的方法，其中，所述方法还包括：

所述消息总线删除加载的至少一个第一处理节点。
根据权利要求23或24所述的方法，其中，所述消息事件为MAP消息类型的消息事件；

所述消息事件的格式为动态扩展的键-值key-value格式；

和/或，

所述消息事件的属性包括：所述消息事件的源IP、目的IP、源端口号和目的端口号。
根据权利要求23至25任一所述的方法，所述事件源包括下述的一种或多种：

服务器中的主机事件源、互联网中的网络事件源、和第一处理节点中的事件源、通过所述消息总线发布消息事件的任一接入***。
根据权利要求23至26任一所述的方法，所述第一配置信息包括下述的一种或多种：

在所述消息总线中订阅符合预设规则的消息事件、删除符合预设规则的消息事件、添加符合预设规则的消息事件的属性、发布消息事件、丢弃符合预设规则的消息事件、转发符合预设规则的消息事件、实名制映射符合预设规则的消息事件、关联分析符合预设规则的消息事件、存储符合预设规则的消息事件。
一种计算机程序，包括计算机可读代码，当所述计算机可读代码在计算设备上运行时，导致所述计算设备执行根据权利要求14至27任一项所述的消息订阅方法。
一种计算机可读介质，其中存储了如权利要求28所述的计算机程序。