(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211159903.5 (22)申请日 2022.09.22 (71)申请人 山东中睿天下信息技 术有限公司 地址 250000 山东省济南市 市中区杆石桥 街道经七路28-1号山东数字产业大厦 5楼511室 (72)发明人 刘庆林　刘正伟　李小琼　魏海宇　 谢辉　安恩庆　张乃亮　杨晓峰　 刘海洋　刘刚　 (74)专利代理 机构 广州蓝晟专利代理事务所 (普通合伙) 44452 专利代理师 李小花 (51)Int.Cl. G06F 16/2457(2019.01) G06F 16/2453(2019.01)G06F 16/22(2019.01) (54)发明名称 一种基于主机威胁数据快速 检索方法 (57)摘要 本发明提供了一种基于主机威胁数据快速 检索方法， 属于复杂数据检索技术领域， 它解决 了现有的数据库在海量数据检索时运行缓慢或 排列杂乱等技术问题。 本基于主机威胁数据快速 检索方法， 包括以下步骤： S1、 采集端将linux主 机数据采集完成送检到分析端进行分析； S2、 捕 获到威胁数据按指定存储方式存入到非关系型 数据库当中； S3、 用户通过系统全局搜索功能， 选 取指定模块， 再通过筛选条件精确命中指定数 据； S4、 页面高效的将数据展现在用户面前。 本发 明具有快速 检索、 合理分类的优点。 权利要求书1页 说明书4页 附图3页 CN 115495490 A 2022.12.20 CN 115495490 A 1.一种基于主机威胁数据快速检索方法， 其特 征在于， 包括以下步骤： S1、 采集端将l  inux主机数据采集完成送检到分析端 进行分析； S2、 捕获到威胁数据按指定存 储方式存 入到非关系型 数据库当中； S3、 用户通过系统全局搜索功能， 选取指定模块(已然相当于缩小了搜索范围)， 再通过 筛选条件精确命中指定数据； S4、 页面高效的将数据展现在用户面前； 提高了系统性能也 提升了用户体验。 2.根据权利要求1所述的一种基于主机威胁数据快速检索方法， 其特征在于， 数据采集 检索流程如下： (1)采集器 配置/下载； (2)对比采集器是否正确； (3)对步骤(2)进行判定， 如果 不正确， 比对 采集器错 误， 重新配置 /下载， 回到步骤(1)； (4)对步骤(2)进行判定， 如果 正确， 则运行L inux， 采集器数据采集； (5)样本送检至分析端； (6)分析完成归类入库； (7)用户使用全局搜索功能， 选择模块输入条件； (8)数据库快速检索数据； (9)页面呈现。 3.一种计算机设备， 包括处理器、 存储器以及存储在存储器中且被配置为由处理器执 行的计算机程序， 其特征在于， 所述处理器执行所述程序时实现如权利要求 1‑2所述的基于 主机威胁数据快速检索方法。 4.一种计算机可读存储介质， 所述计算机可读存储介质存储有计算机程序， 其特征在 于， 所述计算机程序被处理器执行时执行如权利要求1 ‑2所述的基于主机威胁数据快速检 索方法。权　利　要　求　书 1/1 页 2 CN 115495490 A 2一种基于主机威胁数据 快速检索方 法 技术领域 [0001]本发明属于复杂数据检索技 术领域， 涉及一种基于主机威胁数据快速检索方法。 背景技术 [0002]随着经济全球化的迅速发展， 如何保证生产企业、 管理活动的全过程保持高度统 一行动和高效率的运行是每一个企业在瞬息万变、 机遇与危机并存的经济环境中所面临的 挑战与解决 的难题。 随着企业信息化的不断应用， 企业数据日益庞大,在这样庞大的信息资 源的利诱下， 一些利用不正常手段获取企业信息的人就会窃取企业重要情报， 反黑溯源产 品继而尤为重要， 我们会获取黑客的活动轨迹， 重要信息入库保存， 要想细致的去做分析， 那么我们必定需要大量的数据来做背后支撑， 数据量庞大， 如何在海量的数据里面提供给 用户所想看到的数据， 这即需要一种动态高效的复杂数据检索技术， 帮助企业从大量入侵 数据中找到 想要得到的信息， 继而 主机反黑取证全局搜索功能来实现。 [0003]此功能诞生于中睿linux主机反黑溯源系统， 当系统配置好指定采集模式的采集 器， 下发在受检主机上面进行数据采集， 此时将会根据规则去分析这些采集数据， 发现威胁 立即收集， 存入数据库。 由于数据量巨大， 使用关系 型数据库已无法高效的应对需求， 即使 用非关系 型数据库解决此问题， 如何在大量的数据中命中用户想看的数据， 由全局搜索功 能来实现。 [0004]首先关系数据库检索的缺点是每次操作都要进行sql语句的解析， 消耗量较大， 不 能很好的满足并发需求， 特别是海量数据爆发， 关系型数据库读写能力会显的不足， 关系型 数据库每一步 都要进行加锁的操作， 也造成了数据库的负 担， 数据一致性高， 有时也会使 数 据的存储不灵活。 非关系型数据库elasticsearch虽可高效的检索数据， 但是数据存储 方式 以及查询语句的变化比较繁琐， 在分类不明确且数据混乱的情况下也无法高效的命中数 据。 [0005]继而本发明的全局搜索功能解决了此问题， 根据数据的特殊性(linux系统数据)， 本发明将数据在存储时进行了索引的归类， 由时间日期作为前提条件将文件、 进程、 启动 项、 网络、 痕迹等5大模块进行了分类存储， 到检索数据时缩小了查询范围， 范围缩小是前 提， 加上由条件变化的D SL预处理查询语句也会更高效命中数据。 发明内容 [0006]本发明的目的是针对现有的技术存在上述问题， 提出了一种基于主机威胁数据快 速检索方法， 该发明要解决的技术问题是： 如何实现数据采集过后在大量数据里面快速检 索出用户所需要的数据信息 。 [0007]本发明的目的可通过 下列技术方案来实现： [0008]一种基于主机威胁数据快速检索方法， 其特 征在于， 包括以下步骤： [0009]S1、 采集端将l inux主机数据采集完成送检到分析端 进行分析； [0010]S2、 捕获到威胁数据按指定存 储方式存 入到非关系型 数据库当中；说　明　书 1/4 页 3 CN 115495490 A 3