具体实施方式

本文公开了所要求保护的结构和方法的详细实施例；然而，可以理解，所公开的实施例仅仅是可以以不同形式体现的所要求保护的结构和方法的说明。然而，本发明可以以许多不同的形式体现，并且不应被解释为限于在此阐述的示例性实施例。在描述中，可省略众所周知的特征和技术的细节以避免不必要地模糊所呈现的实施例。

本发明实施例涉及安全信息和事件管理(下文称为“SIEM”)领域，尤其涉及一种应用基于规则的警报方案处理安全事件的方法、相关的应用基于规则的警报方案处理安全事件的SIEM系统及计算机程序产品。

在本说明书的上下文中，可以使用以下惯例、术语和/或表达式：

术语“安全事件”可以表示安全日志系统中的条目，其中，可以记录与其他系统的每次交互。安全事件可以具有多种形式，例如但不限于，电子邮件、存储系统访问、HTTP代表超文本传输协议(下文称为“HTTP”)请求、社交媒体系统的消息、数据库请求，仅举几例。

术语“安全威胁”可以表示可能利用漏洞来破坏信息技术系统的安全并因此引起可能的伤害的可能危险。该术语涉及计算机安全的技术领域并且描述由入侵者或入侵者系统对计算机或存储系统中的数据的潜在攻击、非允许的访问或潜在破坏或操纵，或者接管对计算机、存储或通信系统的控制。安全线程通常源自网络攻击。

术语“违规(offense)”可以表示对计算系统和/或网络系统以及所有存储系统的潜在攻击。如果已经识别出危险模式，则该违规可以由SIEM系统产生。违规可以与网络安全攻击链的每个阶段相关。

术语“网络攻击链”可以表示对计算机或类似系统的子攻击的序列。该序列的每个阶段或多个阶段建立在前一个阶段上。存在具有七个并且还具有18个级别的网络攻击序列或链的理论模型。在本文档的过程中，术语“部分网络攻击的序列”和“网络攻击链”可以同义地使用。

术语“规则的规则索引”可以表示用于识别对计算系统和/或网络和/或存储系统的潜在网络攻击的规则的排序列表，其中，每个规则可以具有特定的妥协指示符集，其也可以在相关的排序列表中管理。可以基于经由结构化威胁信息表达(下文称为“STIX”)协议从信息技术(下文称为“IT”)安全防御提供商的可信源接收的信息(例如，经由策略技术规程识别规则(tactic-technique-procedure，下文称为“TTP”)数据)，来改变和更新排序列表内的优先级。

术语“妥协指示符”(IoC)可以在计算机取证和IT安全性中表示在网络上或在操作系统中观察到的具有高置信度地指示计算机入侵的人为现象(artifact)。典型的IoC是病毒签名和互联网协议(下文称为“IP”)地址、恶意软件文件或僵尸网络命令和控制服务器的URL或域名的MD5散列。在事件响应和计算机取证的过程中已经识别了IoC之后，它们可以用于使用入侵检测系统和防病毒软件的未来攻击尝试的早期检测。已知的指示符通常在行业内交换。

术语“安全事件的属性”可以表示所记录的安全事件的元素。属性值可以与发件人电子邮件地址、和IP地址、电子邮件的主题、电子邮件正文中的特定文本片段、以及对特定数据库的访问、恶意附件的散列值和与安全事件的属性有关的许多其他值相关。

术语“伪安全事件”可以表示源自SIEM系统内的人工生成的安全事件，试图为来自SIEM系统外部的未来传入安全事件准备其自身。这些伪安全事件可基于指示可能的安全攻击的数据，并且可有助于使SIEM系统比其他已知的潜在攻击更警示预期攻击。以这种方式，可以针对网络安全序列的一个或多个阶段中的特定种类的预期网络攻击来训练SIEM系统。通过规则的排序列表的检测的优先级和顺序可有助于节省计算资源。

术语“结构化威胁信息表达式”(STIX)可以表示网络安全相关表达式的收集的表达式的储存库。STIX是网络安全和国土办公室的美国国土安全部领导的努力。STIX是定义和开发结构化语言(即，协议)以表示网络威胁信息的协作、社区驱动的努力。STIX语言传达了潜在网络威胁信息的全部范围，并且努力是完全表达的、灵活的、可扩展的、可自动的、以及尽可能人类可读的。所有感兴趣方都欢迎参与演化STIX作为其开放、协作社区的一部分。STIX用例包括(i)分析网络威胁；(ii)指定网络威胁的指示符模式；(iii)管理网络威胁预防和响应活动；(iv)共享网络威胁信息。

术语“策略技术规程识别规则”(TTP)可以表示一组规则，根据该组规则，可以以高概率识别网络安全攻击，因为规则可以保持为当前的，并且可以针对安全攻击序列的每个阶段提出具有相关的妥协指示符的规则。

在下文中，将给出附图的详细描述。附图中的所有说明都是示意性的。首先，给出了通过应用基于规则的警报方案来处理安全事件的本发明方法的实施例的框图。之后，将描述进一步的实施例以及用于通过应用基于规则的警报方案来处理安全事件的SIEM系统的实施例。

图1示出了用于处理安全事件的方法100的实施例的框图。该处理是通过应用基于规则的警报方案来确定接收到的安全事件是否被认为是违规来执行的。方法100的活动包括生成(102)规则的规则索引。这些规则通常在接收到传入安全事件时应用。

方法100还包括：针对规则中的每一个规则生成(104)妥协指示符(IoC)索引，妥协指示符索引的每一个条目包括将被用于与安全事件的属性值进行比较的指示符值。实际上，将仅比较安全事件的相关的IoC和属性值(通常，多个)，如电子邮件地址、IP地址、主题行或文本元素(在电子邮件的情况下)散列值等。

该方法包括通过顺序地应用规则来处理(106)传入安全事件。在常规操作期间，这可在安全事件之后发生安全事件，同时增加与处理已触发违规的触发规则有关的当前规则计数器，并增加与触发规则有关的当前妥协指示符计数器。由于所提出的概念的设计，不是所有传入安全事件都可以针对所有规则和所有IoC来处理。

方法100可以进一步包括：从接收的关于已知攻击的数据和相关的妥协指示符生成(108)伪安全事件(具体地用于训练规则集)；以及通过顺序地应用规则来处理(110)伪安全事件。因此，该处理包括：增加(112)与处理已触发违规的触发规则相关的伪安全事件的当前规则计数器，以及增加(114)与触发规则相关的伪安全事件的当前妥协指示符计数器。

最后，方法100包括根据相应的加权的规则计数器(具体地，等同于其触发违规的可能性)对规则索引中的规则进行排序(116)(例如，以降序)，以及在每个规则内根据加权的当前妥协指示符计数器对妥协指示符索引中的妥协指示符值进行排序(118)(例如，也以降序)。

图2示出了根据实施例的比较220的框图200。安全事件202的属性值与规则210和218以及相关的妥协指示符204、206、208、212、214、216、212、214、216、222、224、226的比较220的框图200。安全事件202可以进入SIEM系统。安全事件202可以具有一个或多个属性：属性_1 204、属性_2 206、...、属性_n 208。取决于安全事件202的类型，属性204、206、208可以是完全不同的。如果与数据库请求或网络访问相比，传入电子邮件可以具有完全不同的属性。然而，SIEM系统的组件可以被适配成用于对不同的属性进行识别和分离并且将它们管理为不同的属性类型以供进一步处理。

一种类型的处理可以是属性204、206、208中所选择的属性与妥协IoC_1 212、IoC_2214、......、IoC_m 216的指示符的比较。由此，SIEM系统可以仅将这些属性与相同类型的妥协指示符进行比较，这可以帮助其节省计算资源。还可以注意的是，IoC属于不同的规则，例如，负责_1 210、...、规则_x 218。通常，在SIEM系统中，管理数百或更多规则。显而易见的是，比较具有激励的安全事件202属性和相关的IoC所需的计算资源可能是计算密集的。为了减少这种计算工作量，下一幅图示出规则组的排序和优先级以及其他机制(例如，缓冲)可如何帮助减少安全识别网络安全攻击(即，恶意安全事件)的计算时间。

图3示出了实施例300的框图，其示出了根据哪个规则集和哪个IoC组来处理传入事件。SIEM记录或安全事件304在通过关联引擎(规则处理器)被发送之前被中间存储(FIFO)在例如日志文件中。在传统的SIEM系统中，这些规则由人以静态顺序放置。每个事件由每个规则处理。在每个规则中，将安全事件的属性与给定IoC的静态列表进行比较。在一个实现中，一旦违规被创建，对某个安全事件的处理可被终止，并且在另一实现中，安全事件由所有规则解析，而不管违规的生成。如302所指示的规则集包括多个规则：规则_1304、规则_2 306、规则_3 308、...、规则_n 310。

传统SIEM系统的处理效率很大程度上取决于人为做出的规则排序决策。规则顺序是静态的，并且不会根据网络安全攻击序列的各个阶段中的当前黑客活动/攻击模式而改变。对于传统SIEM系统同样有效：IoC通常被下载并且没有考虑性能参数而被排序。

与此相反，并且如图3所示，规则304、306、308、310通过生成违规的可能性来排序。在每个规则内，通过生成违规的可能性对IoC进行排序。由此，不针对规则的所有IoC检查事件；而是将IoC分组，并且将每个事件的属性与IoC的特定组进行比较。可以注意到，如果攻击者通过动态地改变其“指纹”(如IP地址、电子邮件地址、受感染文件的签名等)来掩藏其踪迹，则所提出的概念也起作用。还可以理解，IoC列表可以包括数千条条目。

图3中的编号箭头示出了由规则处理安全事件并且对照IoC检查安全事件304属性的示范性顺序。在规则_1 304中存在大多数“常见的(notorious)”IoC的组314、316、318(其可以具有生成违规的最高可能性)。箭头312可指示这些IoC将首先用于检查是否存在通过将规则_1 304应用于传入安全事件304而生成的违规。

在规则_2 306中，两个其他IoC组被高度排名，由箭头320指示。在规则_3 308中，最初将仅检查由箭头322指示的一组IoC。从这里可以清楚的是，在哪个序列1、2、3、4、5、6、7、8、9中，组和相应的IoC将被用于确定传入安全事件304是否可能是恶意的并且因此可能创建违规。

此外，为了允许通过最有可能的(promising)规则来解析下一安全事件，当前事件在步骤五(箭头5)之后被保持在中间FIFO缓冲器324中。仅当传入安全事件的流停止或中间缓冲器充满时，来自中间缓冲器的传入安全事件才由剩余的步骤6向前处理。

作为预定参数，该方法需要规则子集(或规则优先级)的数量(例如2或5)以及中间事件缓冲器的数量。事件缓冲器的数目必须比规则子集的数目低至少一个，因为缓冲器被放置在IoC的子集之间。

如可以认识到的，在规则_2 306的第二IoC组中，违规326被创建用于在这里描述的规则和IoC的排序之外的进一步处理。

所描述的方法包括至少四个方面：

准备索引和计数器(执行一次)；

处理事件(与每个传入事件一起执行)；

从关于TTP的信息生成伪安全事件和处理伪安全事件(定期执行，例如，在已经解析了预定义数量的事件之后，在已经经过了预定义时间间隔之后)；以及

规则排序和放置缓冲器(在处理伪安全事件之后执行)。

详细地：准备索引和计数器：

生成每个规则内的所有规则的索引和所有比较操作(具有IoC的事件属性)的索引；

在每个索引条目上分配两个“当前”整数计数器，一个计数器用于观察事件(真实事件)并且一个计数器用于通过此方法生成的事件(伪安全事件，参见下文)。这些计数器被命名为“当前”，因为它们对在当前时间窗口中生成的违规进行计数。

以与上述相同的方式在每个索引条目上分配两个“过往”整数计数器。这些计数器被命名为“过往”，因为它们包括先前计数的违规数量。

详细地：安全事件的处理：

当生成违规的规则增加当前(即，观察事件计数器或当前事件计数器)时。在一个实现方式中，计数器可以增加一，在另一个实现方式中，计数器可以增加违规大小的度量。

当规则已经生成违规时，匹配的IoC当前计数器增加，即，针对匹配事件的属性的当前规则的观察事件计数器。

详细地：从关于TTP的信息生成伪安全事件并且解析伪安全事件：

规则和IoC伪安全事件计数器都被设置为零。

获得包括来自可信外部源的IoC的TTP(例如，使用STIX协议)。

根据TTP信息创建伪安全事件：

a.对于所生成的每个TTP，在安全攻击序列(又名杀死链)中的每个阶段一个伪安全事件；

b.事件类型(和日志源类型)取自安全攻击序列阶段；

c.从IoC填充属性。每个IoC生成一个伪安全事件。

作为示例，考虑已知的TTP鱼叉式(spear)网络钓鱼活动，阶段2“武器化(Weaponization)”：恶意电子邮件被从具有主题“你的邮件(mail for you)”或“你的照片(photo for you)”的域@benefit-city.com发送，具有由散列密钥3CB5F标识的病毒。从上述属性的日志源邮件服务器生成“收到的包含病毒的邮件”两个事件。

通过规则集运行伪安全事件。

对于由伪安全事件产生违规的每个规则，将当前伪安全事件计数器增加一(或在另一植入中由分配给伪安全事件所起源的活动的权重)。

当规则已经生成违规时，如在先前步骤中，增加该规则的匹配的IoC当前伪安全事件计数器。

详细地：规则排序和放置缓冲器：

新规则计数器和IoC计数器是通过以下方式从过往计数器和当前计数器计算的：

新计数器＝P*过往规则计数器+(w₁*观察事件)+(w₂*伪安全事件)

新计数器＝P*过往计数器+(w₁*观察时间+w₂*伪安全事件),

其中，

P是用于限制过往事件的影响的预定百分比值(例如，50％)，并且

w₁和w₂是预定义的权重，平衡在TTP数据库中注册的正在进行的活动对观察事件和预期事件的影响。

规则按照其新规则计数器的值按照例如降序进行排序，即计数器最高的规则为规则集中的第一个；从未激发的规则处于规则集的底部并且最后被评估。

在每个规则内，由新的IOC计数器例如以降序对IoC的列表进行排序，即，首先对照过去在属性中最频繁地发现的IoC来检查事件的属性，即，首先对照最有可能对违规的生成有贡献的IoC来检查。

将所有当前规则和当前IoC计数器重置为0。

将每个新规则计数器的值分配给每个过往规则计数器，并且将新IoC计数器分配给每个过往IoC计数器，即，过往计数器＝新计数器。

在规则集内创建预定数量的事件缓冲器。规则的放置与执行顺序对齐(见下文)。

图4示出了根据实施例的规则和IoC计数器的示范性结果400的框图。图4示出了包括7个规则的规则集的简化示例。规则集中的规则已经按照“规则排序和放置缓冲器”的步骤2进行了排序。在步骤3之后对IoC进行排序。与不同规则相关的水平线。按照规则(示出为垂直线)列出IoC计数器。例如，具有顶部计数的规则示出96个计数，其中相关的IoC计数器示出：IoC1＝80、IoC2＝20、IoC3＝20、IoC4＝5、IoC5＝1、IoC6＝1等计数。

在此实例中，当规则产生违规时，规则计数器增加一(不增加违规的数量1到10)。在一个规则内，IoC计数器的总和通常高于规则计数器，因为若干IoC有助于触发违规，例如，规则可以包括关于事件属性的条件：mail_address＝[email protected]并且subject＝“mail for you”。

在该实例中，将子规则集合的数量(规则优先级)设置为3，将事件缓冲器的数量设置为2。通过相对IoC计数器或绝对IoC计数器来描述每个子规则子集。

同样在这个示例中，IoC计数器的相对数量用于定义子集。首先(最高优先级，对角条纹)，执行规则和比较操作以覆盖90％的IoC计数器(总共342个计数器中的307个计数器)，即，首先针对具有压倒命中计数的IoC检查事件的属性，然而，仅针对少数的IoC(56中的11个)检查事件的属性。在由第一子规则集合处理事件之后，缓冲事件(与图5相比)，并且由第一子规则集合处理另一传入事件。

第二子规则集(横条)由覆盖98％的IoC命中计数器(335的计数器)的规则和比较操作定义，不包括已经检查的IoC。再次，在事件被第二规则集处理之后，它被缓冲。

第三子规则集合(无条带)包括剩余的比较操作。

实际实现方式通常包括几百个规则和列表，其中IoC包括数千个条目。为了使示例更逼真，必须想象规则集底部的更多规则很少激发，并且向右添加包含具有零的IoC的数千列。这使得本发明的优点更加明显。

在另一实现方式中，第一子规则集被定义为：对于给定的事件，仅使用计数器≥10的IoC执行所有比较操作。第二子规则集合包括使用具有在9和1之间的计数器的IoC的所有比较操作。第三子规则集合包括使用IoC的所有比较操作，该IoC尚未根据它们的计数器触发任何违规。

该方法要求预先定义缓冲器大小(在事件数量或兆字节方面)和计算资源(例如，虚拟CPU)的默认分布。可取的是，对于所有缓冲器，将缓冲器大小设置为相同的值，并且将更多的计算资源分配给第一规则集，并且将更少的计算资源分配给最后的规则集，例如，50％、25％、12.5％等。

图5示出了根据实施例的与资源分配相结合的规则和IoC计数器的示例性结果500。

考虑具有8个虚拟CPU的计算机上的先前实例，默认4、2、1个CPU506、508、510可被分配以分别处理第一、第二和第三子规则集合中的事件。剩余的CPU被分配用于整体协调。

在缓冲器A 502已满并且因此前4个CPU 506空闲的情况下，它们被临时分配以处理第二子规则集(横条)中的事件。缓冲器A 502利用率一下降(例如，低于80％)，则四个CPU502被再次分配以处理第一子规则集合中的事件。当缓冲器B 504满载运行时，应用相同的方法。

通过这种方式，确保了传入事件被最有前途的规则处理以生成违规，并且针对最常见的IoC来快速检查事件属性，使得攻击被更快速地检测到。

上述方法版本的扩展也是可能的。在以上实现方式中，该方法处理一个动态优化规则集。对从两个输入源(观察事件和伪安全事件)生成的违规的两组结果进行加权。

在另一实现中，系统可管理两个规则集。一个规则集(主要规则集)可基于观察事件的违规的生成来优化(即，w2＝0)。默认情况下，主规则集被加载到规则引擎中并处理事件。

另一规则集(第二规则集)可基于观察事件和具有显著权重w3的伪安全事件的违规的生成来优化。伪安全事件通过上述方法生成并存储在数据库中。方法“处理事件”由额外步骤增强：在与伪安全事件匹配的观察事件的数量超过预定阈值的情况下，第二规则集替换主要规则集。在预定的时间段(以所处理的事件的数量或经过的时间来定义)之后，主要规则集被再次加载到规则引擎中，除非仍然观察到与伪安全事件匹配的事件。

在另一个实现方式中，定义了多于两个的规则集。伪安全事件按照威胁场景(从TTP源提取)来分组。一个规则集覆盖一个或多个威胁场景。如上所述，适当的规则集被加载到规则引擎中，与特定威胁情形的伪安全事件匹配的观察事件的数量超过预定阈值。

图6示出了SIEM系统600的框图，SIEM系统600用于通过应用基于规则的警报方案来处理安全事件以确定接收到的安全事件是否被认为是违规的。SIEM系统600包括被适配成用于生成规则的规则索引的第一生成器单元602，其中，这些规则是在接收到传入安全事件时应用的。因此，生成器单元602还适用于生成每个规则的妥协指示符索引。妥协指示符索引的每个条目包括用于与安全事件的属性进行比较的指示符值。

系统600还包括关联引擎604和递增模块606，关联引擎604适于通过顺序地应用规则来处理传入安全事件，递增模块606适于增加与处理已触发违规的触发规则有关的当前规则计数器，其中递增模块还适于增加与触发规则有关的当前妥协指示符计数器。

第二生成器单元608，适于从接收到的关于已知攻击的数据和相关妥协指示符生成伪安全事件。关联引擎604还适于通过顺序地应用规则来处理伪安全事件。因此，该处理包括：由伪安全事件计数器模块增加与已触发违规的触发规则相关的伪安全事件的当前规则计数器，并且由用于伪安全事件的妥协指示符的计数器增加用于与触发规则相关的伪安全事件的当前妥协指示符计数器。

SIEM系统600的附加排序模块610用于根据相应的加权规则计数器对规则索引中的规则进行排序，还用于在每个规则内，根据其加权的当前妥协指示符计数器对妥协指示符索引中的妥协指示符值进行排序。

本发明的实施例可以与几乎任何类型的计算机一起实现，而不管平台适于存储和/或执行程序代码。图7作为实例示出适于执行与所提出的方法相关的程序代码的计算系统700。

计算系统700仅是合适的计算机系统的一个示例，并且不旨在对在此描述的本发明的实施例的用途或功能的范围提出任何限制，而不管计算机系统700是否能够被实现和/或执行上文阐述的任何功能。在计算机系统700中，存在可与许多其他通用或专用计算系统环境或配置一起操作的组件。可以适合于与计算机系统/服务器700一起使用的众所周知的计算系统、环境和/或配置的示例包括但不限于个人计算机系统、服务器计算机系统、瘦客户机、厚客户机、手持式或膝上型设备、多处理器系统、基于微处理器的系统、机顶盒、可编程消费电子产品、网络PC、小型计算机系统、大型计算机系统和包括上述系统或设备中的任一个的分布式云计算环境等。可以在由计算机系统700执行的计算机系统可执行指令(诸如程序模块)的一般上下文中描述计算机系统/服务器700。一般而言，程序模块可包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、逻辑、数据结构等。计算机系统/服务器700可在分布式云计算环境中实践，其中任务由通过通信网络链接的远程处理设备执行。在分布式云计算环境中，程序模块可位于本地和远程计算机系统存储介质(包括存储器存储设备)两者中。

如图所示，计算机系统/服务器700以通用计算设备的形式示出。计算机系统/服务器700的组件可以包括但不限于一个或多个处理器或处理单元702、系统存储器704以及将包括系统存储器704的不同系统组件耦合到处理器702的总线706。总线706表示若干类型的总线结构中的任一种总线结构中的一种或多种，包括存储器总线或存储器控制器、外围总线、加速图形端口、以及使用各种总线架构中的任一种的处理器或局部总线。作为示例而非限制，此类架构包括工业标准架构(ISA)总线、微通道架构(MCA)总线、增强型ISA(EISA)总线、视频电子标准协会(VESA)局部总线和外围组件互连(PCI)总线。计算机系统/服务器700通常包括各种计算机系统可读媒质。这样的介质可以是可由计算机系统/服务器700访问的任何可用介质，并且它包括易失性和非易失性介质、可移动和不可移动介质两者。

系统存储器704可包括易失性存储器形式的计算机系统可读介质，诸如随机存取存储器(RAM)708和/或高速缓存存储器710。计算机系统/服务器700还可以包括其他可移动/不可移动、易失性/非易失性计算机系统存储介质。仅作为示例，存储系统712可被提供用于从不可移动、非易失性磁介质(未示出，并且通常被称为“硬盘驱动器”)读取和向其写入。虽然未示出，但是可以提供用于从可移除非易失性磁盘(例如，“软盘”)读取和向可移除非易失性磁盘写入的磁盘驱动器，以及用于从可移除非易失性光盘(诸如CD-ROM、DVD-ROM或其他光学介质)读取或向可移除非易失性光盘写入的光盘驱动器。在这样的实例中，每一个都可以通过一个或多个数据介质接口连接到总线706。如下面将进一步描绘和描述的，存储器704可以包括至少一个程序产品，该程序产品具有被配置为执行本发明的实施例的功能的程序模块的集合(例如，至少一个)。

具有一组(至少一个)程序模块716的程序/实用工具，以及操作系统、一个或多个应用程序、其他程序模块和程序数据可以通过示例而非限制的方式存储在存储器704中。操作系统、一个或多个应用程序、其他程序模块和程序数据中的每一者或其某一组合可包含联网环境的实施例。如本文所述，程序模块716通常执行本发明的实施例的功能和/或方法。

计算机系统/服务器700还可以与一个或多个外部设备718通信，诸如键盘、定点设备、显示器720等；使得用户能够与计算机系统/服务器700交互的一个或多个设备；和/或使计算机系统/服务器700能够与一个或多个其他计算设备通信的任何设备(例如，网卡、调制解调器等)。这样的通信可以经由输入/输出(I/O)接口714发生。此外，计算机系统/服务器700可以经由网络适配器722与诸如局域网(LAN)、通用广域网(WAN)和/或公共网络(例如，互联网)之类的一个或多个网络通信。如所描绘的，网络适配器722可以经由总线706与计算机系统/服务器700的其他部件通信。应当理解，虽然未示出，但是可以与计算机系统/服务器700结合使用其他硬件和/或软件组件。示例包括但不限于：微代码、设备驱动器、冗余处理单元、外部磁盘驱动器阵列、RAID系统、磁带驱动器和数据归档存储系统等。

另外，用于通过应用基于规则的警报方案来处理安全事件的SIEM系统600可被附加到总线系统706。

已经出于说明的目的呈现了本发明的不同实施例的描述，但并不旨在是穷尽性的或局限于所披露的实施例。在不背离所描述的实施例的范围和精神的情况下，许多修改和变化对本领域的普通技术人员而言将是显而易见的。这里使用的术语被选择以最佳地解释实施例的原理、实际应用或对市场上存在的技术的技术改进，或者使得本领域普通技术人员能够理解这里披露的实施例。

本发明可以体现为系统、方法和/或计算机程序产品。计算机程序产品可包含上面具有计算机可读程序指令的计算机可读存储介质，计算机可读程序指令用于致使处理器执行本发明的方面。

该介质可以是用于传播介质的电子、磁性、光学、电磁、红外或半导体系统。计算机可读介质的示例可包括半导体或固态存储器、磁带、可移动计算机磁盘、随机存取存储器(RAM)、只读存储器(ROM)、刚性磁盘和光盘。光盘的当前示例包括致密盘只读存储器(CD-ROM)、致密盘读/写(CD-R/W)、DVD和蓝光盘。

计算机可读存储介质可以是可以保留和存储指令以供指令执行设备使用的有形设备。计算机可读存储介质可以是例如但不限于电子存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或前述各项的任何合适的组合。计算机可读存储介质的更具体示例的非穷举列表包括以下：便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或闪存)、静态随机存取存储器(SRAM)、便携式致密盘只读存储器(CD-ROM)、数字通用盘(DVD)、记忆棒、软盘、机械编码设备(诸如穿孔卡或沟槽中的凸起结构，其上记录有指令)以及前述各项的任何合适的组合。如本文中所使用的计算机可读存储介质不应被解释为瞬态信号本身，诸如无线电波或其他自由传播的电磁波、通过波导或其他传输媒质传播的电磁波(例如，通过光纤电缆的光脉冲)、或通过导线传输的电信号。

本文所述的计算机可读程序指令可从计算机可读存储介质下载到相应的计算/处理设备，或经由网络(例如，互联网、局域网、广域网和/或无线网络)下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光传输光纤、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配器卡或网络接口从网络接收计算机可读程序指令，并转发计算机可读程序指令以存储在相应计算/处理设备内的计算机可读存储介质中。

用于执行本发明的操作的计算机可读程序指令可以是汇编器指令、指令集架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或以一种或多种编程语言(包括面向对象的编程语言，如Salltalk、C++等)和常规的过程式编程语言(如“C”编程语言或类似的编程语言)的任何组合编写的源代码或目标代码。计算机可读程序指令可以完全地在用户的计算机上执行、部分地作为独立软件包在用户的计算机上执行、部分地在用户的计算机上部分在远程计算机上执行、或者完全地在远程计算机或服务器上执行。在后一种情形中，远程计算机可以通过任何类型的网络(包括局域网(LAN)或广域网(WAN))连接到用户的计算机，或者可以连接到外部计算机(例如，通过使用互联网服务提供商的互联网)。在一些实施例中，电子电路(包括例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA))可以通过利用计算机可读程序指令的状态信息来执行计算机可读程序指令以使电子电路个性化，以便执行本发明的方面。

本文中参考根据本发明的实施例的方法、设备(系统)和计算机程序产品的流程图说明和/或框图描述本发明的方面。应当理解，流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合，都可以由计算机可读程序指令来实现。

这些计算机可读程序指令可以被提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器以产生机器，使得经由计算机或其他可编程数据处理装置的处理器执行的指令创建用于实现在流程图和/或框图的一个或多个块中指定的功能/动作的装置。这些计算机可读程序指令还可以存储在计算机可读存储媒质中，所述计算机可读存储媒质可以指引计算机、可编程数据处理装置和/或其他设备以特定方式工作，使得具有存储在其中的指令的计算机可读存储媒质包括制品，该制品包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的各方面的指令。

计算机可读程序指令还可以加载到计算机、其他可编程数据处理装置、或另一设备上，以使得在计算机、其他可编程装置或其他设备上执行一系列操作步骤，以产生计算机实现的过程，使得在计算机、其他可编程装置、或另一设备上执行的指令实现在流程图和/或框图的一个或多个框中指定的功能/动作。

附图中的流程图和/或框图图示了根据本发明的不同实施例的系统、方法和计算机程序产品的可能实现的架构、功能和操作。对此，流程图或框图中的每个方框可以代表模块、段或指令的一部分，其包括用于实现规定的逻辑功能的一个或多个可执行指令。在一些替代实现方式中，框中所标注的功能可以不以图中所标注的顺序发生。例如，取决于所涉及的功能，连续示出的两个框实际上可以基本上同时执行，或者这些框有时可以以相反的顺序执行。还将注意的是，框图和/或流程图中的每个框、以及框图和/或流程图中的框的组合可以由基于专用硬件的系统来实现，所述基于专用硬件的系统执行指定的功能或动作或执行专用硬件与计算机指令的组合。

在此使用的术语仅用于描述具体实施例的目的并且不旨在限制本发明。如在此使用的，单数形式“一个(a)”、“一种(an)”和“该(the)”旨在也包括复数形式，除非上下文另外清楚地指示。将进一步理解的是，当在本说明书中使用术语“包括(comprises)”和/或“包括(comprising)”时，其指定所陈述的特征、整体、步骤、操作、元件和/或组件的存在，但是不排除一个或多个其他特征、整体、步骤、操作、元件、组件和/或其组的存在或添加。

所附权利要求中的所有装置或步骤加上功能元件的对应结构、材料、动作和等效物旨在包括用于结合其他要求保护的元件(如具体要求保护的)来执行功能的任何结构、材料或动作。本发明的描述是出于说明和描述的目的而呈现的，但不旨在是穷尽性的或局限于所披露的形式的本发明。在不脱离本发明的范围和精神的情况下，许多修改和变化对本领域的普通技术人员将是显而易见的。选择和描述这些实施例是为了最好地解释本发明的原理和实际应用，并且使得本领域的普通技术人员能够针对适合于所考虑的具体用途的具有不同修改的不同实施例理解本发明。

简要地，本发明构思可以通过以下条款来描述：

一种通过应用基于规则的警报方案来处理安全事件的方法，所述基于规则的警报方案用于确定接收到的安全事件是否被认为是违规的，所述方法包括：生成规则的规则索引，所述规则在接收传入安全事件时被应用；为每个所述规则生成妥协指示符索引，所述妥协指示符索引的每个条目包括将用于与安全事件的属性进行比较的指示符值；通过顺序地应用所述规则来处理所述传入安全事件，其中，所述处理包括：在规则递增步骤中，增加与处理已经触发违规的触发规则有关的当前规则计数器，并且增加与触发规则有关的当前妥协指示符计数器；从接收到的关于已知攻击的数据和相关的妥协指示符生成伪安全事件；并且通过顺序地应用所述规则来处理所述伪安全事件，其中，处理包括：在规则递增步骤中，增加与已触发违规的触发规则相关的伪安全事件的当前规则计数器，并且增加与触发规则相关的伪安全事件的当前妥协指示符计数器，并且根据相应的加权规则计数器值对所述规则索引中的规则进行排序，并且在每个规则内，根据加权的当前妥协指示符计数器值对妥协指示符索引中的妥协指示符进行排序。

该方法中，对规则进行排序还包括通过组合规则的加权的过往规则计数器值和加权的当前规则计数器值来确定加权的规则计数器值。

该方法中，在每个规则内对妥协指示符进行排序还包括通过组合加权的过往妥协指示符计数器值和加权的当前妥协指示符计数器值来确定加权的妥协指示符计数器值。

该方法中，规则递增步骤还包括将当前规则计数器增加固定数量或增加指示违规严重性的数量。

该方法中，增加当前妥协指示符计数器还包括将当前妥协指示符计数器增加固定数目。

该方法中，生成伪安全事件包括应用从接收到的关于已知攻击的数据识别数据的策略技术规程(TTP)，其中接收到的关于已知攻击的数据是经由结构化威胁信息表达(STIX)协议来接收。

该方法中，生成伪安全事件包括为由攻击模式表示的部分网络攻击序列的每个阶段生成伪安全事件。

该方法中，生成伪安全事件包括为与相应规则相关的每个妥协指示符生成伪安全事件。

该方法中，生成伪安全事件还包括将伪安全事件的当前规则计数器重置为零，并且将伪安全事件的当前妥协指示符计数器重置为零。

该方法中，对规则索引中的规则进行排序包括通过以下步骤确定加权的规则计数器RC_w：

RC_w＝P*过往规则计数器+(w₁*观察事件)+(w₂*伪安全事件)

其中，P＝预定义百分比值，并且w1,w2＝预定义加权因子值。

该方法还包括：在已经处理了预定第一数量的规则之后并且在每个处理的规则内已处理了预定第二数量的妥协指示符计数器组之后，缓冲传入安全事件，并且如果传入安全事件的处理负载减小到低于预定义负载阈值，则继续处理所缓冲的安全事件。

一种用于通过应用基于规则的警报方案来处理安全事件的SIEM系统，该基于规则的警报方案用于判定所接收的安全事件是否被认为是违规的，该系统包括：第一生成单元，该第一生成单元被适配成用于生成规则的规则索引，所述规则将在接收传入安全事件时被应用，其中，所述生成单元还被适配成用于针对所述规则中的每个规则生成妥协指示符索引，妥协指示符索引的每个条目包括将用于与安全事件的属性进行比较的指示符值；关联引擎，适于通过顺序地应用所述规则来处理所述传入安全事件；递增模块，适于增加与处理已触发违规的触发规则相关的当前规则计数器，其中所述递增模块还适于增加与所述触发规则相关的当前妥协指示符计数器；第二生成器单元，适于从接收到的关于已知攻击的数据和相关妥协指示符生成伪安全事件；并且其中，所述关联引擎还适于通过顺序地应用所述规则来处理所述伪安全事件，其中，所述处理包括通过伪安全事件计数器模块增加与已触发所述违规的触发规则相关的伪安全事件的当前规则计数器，以及通过用于伪安全事件的妥协指示符的计数器增加与所述触发的规则相关的伪安全事件的当前妥协指示符计数器，排序模块，用于根据加权后的规则计数器值对规则索引中的规则进行排序，并且用于在每条规则内，根据加权的妥协指示符计数器值对妥协指示符索引中的妥协指示符进行排序。

该系统中，排序模块还适于结合所述规则的加权的过往规则计数器和加权的当前规则计数器来确定加权后的规则计数器值。

该系统中，排序模块还适于通过组合相应指示符值的加权的过往妥协指示符计数器和加权的当前妥协指示符计数器来确定加权的妥协指示符计数器值。

该系统中，递增模块还适于将当前规则计数器递增固定的数或递增指示违规严重性的数。

该系统中，递增模块还适于将当前妥协指示符计数器增加固定的数。

该系统中，第二生成器单元还适于应用从接收到的关于已知攻击的数据中标识数据的策略技术规程(TTP)的系统，其中接收到的关于已知攻击的数据是经由结构化威胁信息表达(STIX)协议来接收的。

该系统中，第二生成器单元还适于为由攻击模式表示的部分网络攻击序列的每个阶段生成伪安全事件。

该系统中，第二生成器单元还适于为与相应规则相关的每个妥协指示符生成伪安全事件。

该系统中，第二生成器还适于将伪安全事件的当前规则计数器重置为零，并且将伪安全事件的当前妥协指示符计数器重置为零。

该系统中，排序模块还适于通过以下步骤确定加权的规则计数器RC_w：

RC_w＝P*过往规则计数器+(w₁*观察事件)+(w₂*伪安全事件)

其中，P＝预定义百分比值，并且w1,w2＝预定义加权因子值。

该系统还包括中间存储装置，该中间存储装置适于在已经处理预定的第一数量的规则之后，并且在每个处理的规则内，预定的第二数量的指示符值组已经被处理，缓冲传入安全事件，并且还适于在到来的安全事件的处理负载减小到低于预定义负载阈值的情况下触发对缓冲的安全事件的处理的继续。

一种用于通过应用基于规则的警报方案来处理安全事件的计算机程序产品，所述基于规则的警报方案用于确定所接收的安全事件是否被认为是违规的，所述计算机程序产品包括具有体现的程序指令的计算机可读存储介质，所述程序指令可由一个或多个计算系统或控制器执行以使得所述一个或多个计算系统：生成规则的规则索引，所述规则在接收传入安全事件时被应用；为每个所述规则生成妥协指示符索引，妥协指示符索引的每个条目包括将用于与安全事件的属性进行比较的指示符值；通过顺序地应用所述规则来处理所述进入安全事件；增加与处理已触发违规的触发规则有关的当前规则计数器；增加与触发规则有关的当前妥协指示符计数器；从接收的关于已知攻击的数据和相关妥协指示符生成伪安全事件；以及通过顺序地应用所述规则来处理所述伪安全事件，其中，所述处理包括：增加与已触发违规的触发规则相关的伪安全事件的当前规则计数器，并且增加与触发规则相关的伪安全事件的当前妥协指示符计数器，以及根据相应的加权的规则计数器值对所述规则索引中的规则进行排序，并且在每个规则内根据加权的妥协指示符计数器值对所述妥协指示符索引中的妥协指示符进行排序。

本文中所描述的程序是基于其在本发明的特定实施例中实施的应用来识别的。然而，应当理解，本文中的任何特定程序命名法仅为了方便而使用，因此本发明不应限于仅在由这种命名法识别和/或暗示的任何特定应用中使用。

本发明的实施例可以通过云计算基础设施提供给终端用户。云计算通常指在网络上提供作为服务的可缩放计算资源。更正式地，云计算可以被定义为在计算资源与其底层技术架构(例如，服务器、存储装置、网络)之间提供抽象的计算能力，使得能够方便地、按需地访问可配置计算资源的共享池，所述可配置计算资源可以用最小的管理努力或服务提供商交互来快速配置和释放。因此，云计算允许用户访问“云”中的虚拟计算资源(例如，存储、数据、应用、以及甚至完整的虚拟化计算系统)，而不考虑用于提供计算资源的底层物理系统(或那些系统的位置)。

通常，基于按使用付费向用户提供云计算资源，其中仅针对实际使用的计算资源(例如，用户消耗的存储空间量或用户实例化的虚拟化系统的数量)向用户收费。用户可在任何时间和从互联网上的任何地方访问驻留在云中的任何资源。在本发明的上下文中，用户可以访问标准化搜索引擎或在云中可用的相关数据。例如，标准化搜索引擎可以在云中的计算系统上执行并且执行标准化搜索。在这样的情况下，归一化的搜索引擎可以归一化信息的语料库并且将归一化的索引存储在云中的存储位置处。这样做允许用户从附接到连接到云的网络(例如，互联网)的任何计算系统访问该信息。

预先理解的是，虽然本公开包括关于云计算的详细描述，但是本文所引用的教导的实现不限于云计算环境。相反，本发明的实施例能够结合现在已知或以后开发的任何其他类型的计算环境来实现。

云计算是一种服务递送模型，用于实现对可配置计算资源(例如，网络、网络带宽、服务器、处理、存储器、存储、应用、虚拟机和服务)的共享池的方便、按需的网络访问，可配置计算资源可以用最小的管理努力或与服务提供者的交互来快速配置和释放。该云模型可以包括至少五个特征、至少三个服务模型和至少四个部署模型。

特征如下：

按需自助服务：云消费者可按需自动地单方面供应计算能力，诸如服务器时间和网络存储，而无需与服务的提供者的人类交互。

广泛的网络接入：能力在网络上是可用的并且通过标准机制来访问，标准机制促进由异构的瘦或厚客户端平台(例如，移动电话、膝上型计算机和PDA)的使用。

资源池化：提供者的计算资源被池化以使用多租户模型服务于多个消费者，其中不同的物理和虚拟资源根据需要被动态地指派和重新指派。存在位置独立性的意义，因为消费者通常对所提供资源的确切位置不具有控制或知识，但可能能够在较高抽象层级(例如，国家、州或数据中心)处指定位置。

快速弹性：可以快速且弹性地提供能力(在一些情况下，自动地)以快速缩小并且快速释放以快速放大。对于消费者，可用于供应的能力通常显得不受限制，并且可以在任何时间以任何数量购买。

测量的服务：云系统通过利用适于服务类型(例如，存储、处理、带宽和活动用户账户)的某种抽象级别的计量能力来自动控制和优化资源使用。资源使用可以被监测、控制和报告，从而为所利用的服务的提供者和消费者两者提供透明度。

服务模型如下：

软件即服务(SaaS)：提供给消费者的能力是使用在云基础设施上运行的提供者的应用。应用可通过诸如web浏览器(例如，基于web的电子邮件)的瘦客户端接口从不同客户端设备访问。消费者不管理或控制包括网络、服务器、操作系统、存储或甚至个体应用能力的底层云基础结构，可能的例外是有限的用户特定的应用配置设置。

平台即服务(PaaS)：向消费者提供的能力是在云基础结构上部署消费者创建或获取的应用，该应用是使用提供者所支持的编程语言和工具来创建的。消费者不管理或控制包括网络、服务器、操作系统或存储的底层云基础结构，但是具有对所部署的应用以及可能的应用托管环境配置的控制。

基础设施即服务(IaaS)：提供给消费者的能力是提供消费者能够部署和运行可包括操作系统和应用的任意软件的处理、存储、网络和其他基本计算资源。消费者不管理或控制底层云基础结构，而是具有对操作系统、存储、所部署的应用的控制，以及对所选联网组件(例如，主机防火墙)的可能有限的控制。

部署模型如下：

私有云：云基础结构仅为组织操作。它可由组织或第三方管理，并且可存在于该组织内部或外部。

共同体云：云基础结构由若干组织共享并且支持具有共享的关注(例如，任务、安全要求、策略和合规性考虑)的特定共同体。它可由组织或第三方管理，并且可存在于共同体内部或外部。

公共云：使云基础结构对公众或大型产业组可用并且由出售云服务的组织拥有。

混合云：云基础架构是两个或更多个云(私有云、共同体云或公共云)的组成，这些云保持独特的实体但通过标准化或专有技术来绑定在一起，这些技术实现数据和应用便携性(例如，用于云之间的负载平衡的云突发)。

云计算环境是面向服务的，关注于状态、低耦合、模块性和语义互操作性。云计算的核心是包括互连节点网络的基础设施。

现在参见图8，描绘了说明性云计算环境800。如图所示，云计算环境800包括一个或多个云计算节点810，云消费者使用的本地计算设备(诸如例如个人数字助理(PDA)或蜂窝电话840A、台式计算机840B、膝上型计算机840C和/或汽车计算机系统840N)可与云计算节点810通信。云计算节点810可彼此通信。它们可以被物理地或虚拟地分组(未示出)在一个或多个网络中，诸如上文描述的私有云、社区云、公共云或混合云或其组合。这允许云计算环境800提供基础结构、平台和/或软件作为云消费者不需要维护本地计算设备上的资源的服务。应当理解，图8中所示的计算设备840A-N的类型旨在仅是说明性的，并且云计算节点810和云计算环境800可通过任何类型的网络和/或网络可寻址连接(例如，使用web浏览器)与任何类型的计算机化设备通信。

现在参见图9，示出了由云计算环境800(如图8所示)提供的一组功能抽象层。应预先理解，图9中所示的部件、层和功能旨在仅是说明性的，并且本发明的实施例不限于此。如所描绘的，提供了以下层和相应的功能：

硬件和软件层960包括硬件和软件组件。硬件组件的示例包括：大型机961；基于RISC(精简指令集计算机)架构的服务器962；服务器963；刀片服务器964；存储设备965；以及网络和联网组件966。在一些实施例中，软件组件包括网络应用服务器软件967和数据库软件968。

虚拟层970提供抽象层，从该抽象层可以提供虚拟实体的以下示例：虚拟服务器971；虚拟存储972，例如如图7所示的系统存储器；虚拟网络973，包括虚拟专用网络；虚拟应用和操作系统974；以及虚拟客户端975。

在示例中，管理层980可以提供以下描述的功能。资源供应981提供用于在云计算环境内执行任务的计算资源和其他资源的动态获取。计量和定价982在资源在云计算环境内被利用时提供成本跟踪，并针对这些资源的消费进行计费或发票。在示例中，这些资源可以包括应用软件许可证。安全性为云消费者和任务提供身份验证，以及对数据和其他资源的保护。用户门户983为消费者和系统管理员提供对云计算环境的访问。服务级别管理984提供云计算资源分配和管理，使得满足所需的服务级别。服务水平协议(SLA)计划和履行985为根据SLA预期未来要求的云计算资源提供预安排和采购。

工作负载层990提供可以利用云计算环境的功能的示例。可以从该层提供的工作负荷和功能的示例包括：地图和导航991；软件开发和生命周期管理992；虚拟课堂教育交付993；数据分析处理994；事务处理995；以及安全信息和事件管理996。安全信息和事件管理996可涉及通过应用基于规则的方案来处理安全事件。

本发明可以是任何可能的集成技术细节水平的系统、方法和/或计算机程序产品。计算机程序产品可包含上面具有计算机可读程序指令的计算机可读存储介质，计算机可读程序指令用于致使处理器执行本发明的方面。

计算机可读存储介质可以是可以保留和存储指令以供指令执行设备使用的有形设备。计算机可读存储介质可以是例如但不限于电子存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或前述各项的任何合适的组合。计算机可读存储介质的更具体示例的非穷举列表包括以下：便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或闪存)、静态随机存取存储器(SRAM)、便携式紧凑盘只读存储器(CD-ROM)、数字通用盘(DVD)、记忆棒、软盘、诸如穿孔卡或具有记录在其上的指令的凹槽中的凸起结构的机械编码设备、以及前述的任意合适组合。如本文中所使用的计算机可读存储介质不应被解释为瞬态信号本身，诸如无线电波或其他自由传播的电磁波、通过波导或其他传输媒质传播的电磁波(例如，通过光纤电缆的光脉冲)、或通过导线传输的电信号。

本文所述的计算机可读程序指令可从计算机可读存储介质下载到相应的计算/处理设备，或经由网络(例如，互联网、局域网、广域网和/或无线网络)下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光传输光纤、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配器卡或网络接口从网络接收计算机可读程序指令，并转发计算机可读程序指令以存储在相应计算/处理设备内的计算机可读存储介质中。

用于执行本发明的操作的计算机可读程序指令可以是汇编指令、指令集架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、集成电路的配置数据、或以一种或多种编程语言的任何组合编写的源代码或目标代码，这些编程语言包括面向对象的编程语言(如Smalltalk、C++等)和过程式编程语言(如“C”编程语言或类似的编程语言)。计算机可读程序指令可完全在用户的计算机上执行、部分在用户的计算机上执行、作为独立软件包执行、部分在用户的计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在后一种情形中，远程计算机可以通过任何类型的网络(包括局域网(LAN)或广域网(WAN))连接到用户的计算机，或者可以连接到外部计算机(例如，通过使用互联网服务提供商的互联网)。在一些实施例中，电子电路(包括例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA))可以通过利用计算机可读程序指令的状态信息来执行计算机可读程序指令以使电子电路个性化，以便执行本发明的方面。

本文中参考根据本发明的实施例的方法、设备(系统)和计算机程序产品的流程图说明和/或框图描述本发明的方面。应当理解，流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合，都可以由计算机可读程序指令来实现。

这些计算机可读程序指令可以被提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器以产生机器，使得经由计算机或其他可编程数据处理装置的处理器执行的指令创建用于实现在流程图和/或框图的一个或多个块中指定的功能/动作的装置。这些计算机可读程序指令还可以存储在计算机可读存储介质中，计算机可读存储介质可以指引计算机、可编程数据处理装置和/或其他设备以特定方式工作，使得具有存储在其中的指令的计算机可读存储介质包括制品，该制品包括实现在流程图和/或框图的一个或多个框中指定的功能/动作的各方面的指令。

计算机可读程序指令还可以被加载到计算机、其他可编程数据处理装置或其他设备上，以使得一系列操作步骤在计算机、其他可编程装置或其他设备上执行以产生计算机实现的过程，使得在计算机、其他可编程装置或其他设备上执行的指令实现在流程图和/或框图的一个或多个框中指定的功能/动作。

附图中的流程图和框图图示了根据本发明的不同实施例的系统、方法和计算机程序产品的可能实现的架构、功能和操作。对此，流程图或框图中的每个方框可以表示模块、段或指令的一部分，其包括用于实现规定的逻辑功能的一个或多个可执行指令。在一些替代实施例中，框中所标注的功能可以不以图中所标注的次序发生。例如，取决于所涉及的功能，连续示出的两个框实际上可以基本上同时执行，或者这些框有时可以以相反的顺序执行。还将注意的是，框图和/或流程图中的每个框、以及框图和/或流程图中的框的组合可以由基于专用硬件的系统来实现，基于专用硬件的系统执行指定的功能或动作或执行专用硬件与计算机指令的组合。

已经出于说明的目的呈现了本发明的不同实施例的描述，但并不旨在是穷尽性的或局限于所披露的实施例。在不脱离所描述的实施例的范围的情况下，许多修改和变化对本领域的普通技术人员而言将是显而易见的。选择在此使用的术语以最佳地解释实施例的原理、实际应用或在市场上找到的技术上的技术改进，或使得本领域普通技术人员能够理解在此披露的实施例。