专利名称:关联分析方法、装置及系统的制作方法
技术领域:
本发明涉及数据业务技术领域,特别是指一种关联分析方法、装置及系统。
背景技术:
在审计分析系统中,需要对大量的数据进行事后分析,从各个零散分布的事件当中发现彼此之间的联系,从而发现一切可能的违规现象。目前使用的事件分析方法是基于Rete算法的一种改进的方法,即关联分析算法。Rete算法是一个用来实现产生式规则系统的高效模式匹配算法。该算法是由卡内基梅隆大学的Charles L.Forgy在1974年发表的论文中提出的。Rete算法的核心是创建一个Rete网络,其中包含了 Alpha网络和Beta网络,以进行规则的匹配、选择和执行。现有的关联分析算法中,依照Rete网络模式匹配的特点,可将上报事件关联分析的匹配过程划分为两个部分:逻辑表达式运算(Alpha网络)、统计及上下级关联推进(Beta网络)。第一部分为对定制规则中的所有条件项目进行匹配操作,此部分在Alpha网络完成;第二部分则包括规则状态节点中定义的统计计算以及规则树上下级状态节点之间的推进关系实现,此部分在Beta网络完成。此外,关联后事件的生成以及追溯信息的记录则作为独立部分放在Rete网络终结节点中完成。图1所示为包含有两条规则的Rete网络,两条规则分别是:规则1:目的端口 = 8088or(源 IP = 192.168.12.12and 目的 IP =192.168.12.11)规则2:首层规则:目的端口 = 8080下层规则:源IP = 192.168.12.4and 目的 IP = 192.168.12.5其中每个AM (Alpha Memory, Alpha存储器)对应一条逻辑表达式。当接收到一条事件之后,这条事件会遍历整个Alpha网络,对其中的任何一个AM所代表的表达式都要进行匹配,符合其中的某一条表达式都要向下激活,激活至Beta网络后,在相应Count (计数)节点的Terminal (末端)节点产生关联分析后事件。图1的较粗的线条即表示了一次匹配过程。假如现在有一条事件,符合上面规则I的所有表达式,那么该条事件在进入Rete网络之后,会产生如下结果:遍历事件属性列表,对于其中的目的端口、源IP、目的IP属性进行表达式的判断,激活相应的AM1、AM2以及AM3 ;激活相应的AND (与)节点和OR(或)节点,从而激活AM7 ;激活Beta网络的Countl节点,在Countl节点相应的Terminall节点产生关联分析后事件。在事后关联分析中,数据的来源不再是实时接收到的数据,而是从数据库捞取出的数据。根据两条不同的查询策略捞取出来的数据必定是要将它们作用在两条不同的关联分析规则上,分别分析出各自的关联结果,两批数据之间不应该相互影响。在用现有的关联分析算法进行关联分析时,如图2所示,由查询策略I捞取出来的数据,很有可能即满足关联分析规则1,又满足关联分析规则2 ;同样,查询策略2捞取出来的数据,也可能同时满足两个关联分析规则。但是如图1所示,现有的关联分析算法中,所有的规则都被添加在同一个Rete网络中,因为只允许有一个Rete网络,这个Rete网络中只包含一个Alpha网络和一个Beta网络,所以每一条进入Rete网络的数据,都必须去匹配所有的规则。这样每一条数据都会对任何一条规则的关联结果造成影响,降低了关联分析的准确率。
发明内容
本发明要解决的技术问题是提供一种关联分析方法、装置及系统,能够提高关联分析的准确率。为解决上述技术问题,本发明的实施例提供技术方案如下:一方面,提供一种关联分析方法,包括:接收待分析数据,所述待分析数据的标识字段中包含有数据标识;根据接收到的所述待分析数据及其数据标识与预设的关联分析规则进行匹配,得到一匹配结果;根据所述匹配结果和预设的关联策略产生关联分析后事件。进一步地,所述接收待分析数据之前还包括:获取用户配置的所有关联分析规则,并为每个关联分析规则分配一规则标识;在待分析数据的数据字段中添加一数据标识,所述数据标识与所述待分析数据对应的关联分析规则的规则标识一致。进一步地,所述根据接收到的所述待分析数据及其数据标识与预设的关联分析规则进行匹配,得到一匹配结果,根据所述匹配结果和预设的关联策略产生关联分析后事件包括:判断所述待分析数据的数据标识与所述关联分析规则的规则标识是否一致;当所述待分析数据的数据标识与所述关联分析规则的规则标识一致时,判断所述待分析数据是否满足所述关联分析规则;当所述待分析数据满足所述关联分析规则时,根据预置的关联策略产生关联分析后事件。进一步地,当所述待分析数据的数据标识与所述关联分析规则的规则标识不一致时,丢弃所述待分析数据。本发明实施例还提供了一种关联分析装置,包括:接收模块,用于接收待分析数据,所述待分析数据的标识字段中包含有数据标识;匹配模块,用于根据接收到的所述待分析数据及其数据标识与预设的关联分析规则进行匹配,得到一匹配结果;处理模块,用于根据所述匹配结果和预设的关联策略产生关联分析后事件。进一步地,所述装置还包括:设置模块,用于获取用户配置的所有关联分析规则,并为每个关联分析规则分配一规则标识。进一步地,所述匹配模块包括:
第一判断子模块,用于判断所述待分析数据的数据标识与所述关联分析规则的规则标识是否一致;第二判断子模块,用于当所述待分析数据的数据标识与所述关联分析规则的规则标识一致时,判断所述待分析数据是否满足所述关联分析规则;所述处理模块具体用于当所述待分析数据满足所述关联分析规则时,根据预置的关联策略产生关联分析后事件。进一步地,所述处理模块还用于当所述第一判断子模块判断所述待分析数据的数据标识与所述关联分析规则的规则标识不一致时,丢弃所述待分析数据。本发明实施例还提供了一种关联分析系统,包括:关联分析装置,用于接收待分析数据,所述待分析数据的标识字段中包含有数据标识,根据接收到的所述待分析数据及其数据标识与预设的关联分析规则进行匹配,得到一匹配结果,根据所述匹配结果和预设的关联策略产生关联分析后事件。进一步地,所述关联分析装置还用于获取用户配置的所有关联分析规则,并为每个关联分析规则分配一规则标识;所述系统还包括:一个以上数据产生器,用于在待分析数据的数据字段中添加一数据标识,所述数据标识与所述待分析数据对应的关联分析规则的规则标识一致,并将添加数据标识后的待分析数据发送至所述关联分析装置。本发明的实施例具有以下有益效果:上述方案中,待分析数据中包含有数据标识,在对待分析数据进行关联分析时,首先需要根据待分析数据的数据标识进行匹配,这样当一条待分析数据到来之后,能够使其只与对应的关联分析规则进行匹配,而不会对其他关联分析规则的分析结果产生影响。本发明的技术方案可以分批次的对数据进行处理,将不同批次的数据作用于特定的关联分析规则,从而实现待分析数据与关联分析规则的绑定,不同关联分析规则之间的数据互不影响,从而提闻了关联分析的准确率。
图1为现有技术中包含有两条规则的Rete网络示意图;图2为两条不同的查询策略捞取出来的数据可能同时符合两条关联分析规则的示意图;图3为本发明实施例的关联分析方法的流程示意图;图4为本发明实施例的关联分析装置的结构示意图;图5为本发明实施例的关联分析系统的结构示意图;图6为本发明实施例的为待分析数据添加流水号的示意图;图7为本发明实施例的包含有两条关联分析规则的Rete网络示意图。
具体实施例方式为使本发明的实施例要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
本发明的实施例针对现有技术中某一规则的数据都会对其他规则的关联结果造成影响,降低关联分析的准确率的问题,提供一种关联分析方法、装置及系统,能够提高关联分析的准确率。图3为本发明实施例的关联分析方法的流程示意图,如图3所示,本实施例包括:步骤301:接收待分析数据,待分析数据的标识字段中包含有数据标识;步骤302:根据接收到的待分析数据及其数据标识与预设的关联分析规则进行匹配,得到一匹配结果;步骤303:根据匹配结果和预设的关联策略产生关联分析后事件。本发明的关联分析方法中,待分析数据中包含有数据标识,在对待分析数据进行关联分析时,首先需要根据待分析数据的数据标识进行匹配,这样当一条待分析数据到来之后,能够使其只与对应的关联分析规则进行匹配,而不会对其他关联分析规则的分析结果产生影响。本发明的技术方案可以分批次的对数据进行处理,将不同批次的数据作用于特定的关联分析规则,从而实现待分析数据与关联分析规则的绑定,不同关联分析规则之间的数据互不影响,从而提高了关联分析的准确率。图4为本发明实施例的关联分析装置的结构示意图,如图4所示,本实施例包括:接收模块41,用于接收待分析数据,待分析数据的标识字段中包含有数据标识;匹配模块42,用于根据接收到的待分析数据及其数据标识与预设的关联分析规则进行匹配,得到一匹配结果;处理模块43,用于根据匹配结果和预设的关联策略产生关联分析后事件。进一步地,该装置还包括:设置模块40,用于获取用户配置的所有关联分析规则,并为每个关联分析规则分配一规则标识。其中,匹配模块42包括:第一判断子模块,用于判断待分析数据的数据标识与关联分析规则的规则标识是
否一致;第二判断子模块,用于当待分析数据的数据标识与关联分析规则的规则标识一致时,判断待分析数据是否满足关联分析规则;处理模块43具体用于当待分析数据满足关联分析规则时,根据预置的关联策略产生关联分析后事件。进一步地,处理模块43还用于当第一判断子模块判断待分析数据的数据标识与关联分析规则的规则标识不一致时,丢弃待分析数据。本发明的关联分析装置中,待分析数据中包含有数据标识,在对待分析数据进行关联分析时,首先需要根据待分析数据的数据标识进行匹配,这样当一条待分析数据到来之后,能够使其只与对应的关联分析规则进行匹配,而不会对其他关联分析规则的分析结果产生影响。本发明的技术方案可以分批次的对数据进行处理,将不同批次的数据作用于特定的关联分析规则,从而实现待分析数据与关联分析规则的绑定,不同关联分析规则之间的数据互不影响,从而提高了关联分析的准确率。图5为本发明实施例的关联分析系统的结构示意图,如图5所示,本实施例包括:关联分析装置51,用于接收待分析数据,待分析数据的标识字段中包含有数据标识,根据接收到的待分析数据及其数据标识与预设的关联分析规则进行匹配,得到一匹配结果,根据匹配结果和预设的关联策略产生关联分析后事件。进一步地,关联分析装置51还用于获取用户配置的所有关联分析规则,并为每个关联分析规则分配一规则标识;该系统还包括:—个以上数据产生器52,用于在待分析数据的数据字段中添加一数据标识,数据标识与待分析数据对应的关联分析规则的规则标识一致,并将添加数据标识后的待分析数据发送至关联分析装置。关联分析装置51在接收到数据产生器52发送的待分析数据后,判断待分析数据的数据标识与关联分析规则的规则标识是否一致,当待分析数据的数据标识与关联分析规则的规则标识一致时,判断待分析数据是否满足关联分析规则,当待分析数据满足关联分析规则时,根据预置的关联策略产生关联分析后事件;当待分析数据的数据标识与关联分析规则的规则标识不一致时,丢弃待分析数据。本发明的关联分析系统中,待分析数据中包含有数据标识,在对待分析数据进行关联分析时,首先需要根据待分析数据的数据标识进行匹配,这样当一条待分析数据到来之后,能够使其只与对应的关联分析规则进行匹配,而不会对其他关联分析规则的分析结果产生影响。本发明的技术方案可以分批次的对数据进行处理,将不同批次的数据作用于特定的关联分析规则,从而实现待分析数据与关联分析规则的绑定,不同关联分析规则之间的数据互不影响,从而提高了关联分析的准确率。下面结合图6-7对本发明的关联分析方法进行进一步介绍:如图6所示,以Rete网络包含两条关联分析规则,有两个数据产生器为例,在关联分析规则配置好之后,会为其生成流水号(即规则标识),每一关联分析规则对应一流水号,不同关联分析规则对应的流水号不同。数据产生器获取相应关联分析规则的流水号,并为每一条待分析数据加入该流水号(即数据标识),作为一个字段。这样,待分析数据和关联分析规则分别都打上了标记,通过流水号加以区分,防止各个关联分析规则之间的数据相互影响。为关联分析规则和待分析数据都添加了流水号之后,就需要将二者之间建立联系,以真正达到不同批次的待分析数据应用于不同的关联分析规则的目的。由于在数据中,已经将流水号做为一个字段融入了数据自身,而关联分析规则又是针对数据的各个字段所配置的规则,所以,就可以将数据的“流水号”这一字段作为一个关联分析条件加入Rete网络。即对于关联分析规则的每一个状态节点,都为其添加一个条件:流水号=当前关联分析规则的流水号,这条表达式与当前状态节点的其他关联分析规则之间是“与”的关系,通过这一条件的判定,就实现了数据与关联分析规则的关联。改造之后的Rete网络如图7所
/Jn ο图7所示为包含有两条关联分析规则的Rete网络,两条关联分析规则分别是:关联分析规则1:目的端 口 = 8088or (源 IP = 192.168.12.12and 目的 IP =192.168.12.11)关联分析规则2:首层规则:目的端口 = 8080下层规则:源IP = 192.168.12.4and 目的 IP = 192.168.12.5
对该Rete网络添加了两条表达式:流水号=流水号I,流水号=流水号2,分别对应AMlO和AM9两个Alpha Memory。关联分析规则2中,有两层State (状态)节点,为每层State节点均添加表达式:流水号=流水号2,与原关联分析规则取“与”的关系;关联分析规则I中,只有一层State节点,为该关联分析规则添加表达式:流水号=流水号1,与原关联分析规则相“与”。即对于每一条关联分析规则的每一个状态节点,都添加了一个“and”类型的Alpha节点,以及该Alpha节点对应的Alpha Memory,如图7中的AM11、AM12、AM13以及各自对应的Alpha节点。当接收到一条数据之后,这条数据会遍历整个Alpha网络,对其中的任何一个AM所代表的表达式都要进行匹配,符合其中的某一条表达式都要向下激活,激活至Beta网络后,根据预设的关联策略在相应Count节点的Terminal节点产生关联分析后事件。图7中较粗的线条即表示了一次匹配过程,一条数据符合上面关联分析规则2的所有表达式,那么该条数据在进入Rete网络之后,会产生如下结果:遍历事件属性列表,对于其中的目的端口、源IP、目的IP属性和流水号进行判断,激活相应的AM4、AM5、AM6以及AM9 ;激活相应的AND节点和OR节点,从而激活AM8、AM11 ;激活相应的AND节点,从而激活AM12,最后激活Beta网络的Countl节点、Count3节点,在Countl节点和Count3节点相应的Terminal4节点产生关联分析后事件。在Rete网络包括三条以上关联分析规则时,可以根据与上述实施例相同的原理构建Rete网络,在此不再 赘述。本发明改造了 Rete网络的结构,为Alpha网络中的每一条关联分析规则都增加了流水号的表达式,以及相应的Alpha节点和Alpha Memory,同时,接收到的数据也添加了流水号的字段,这样在进行关联分析规则匹配的过程中,就可以通过对流水号字段的值的判断,将特定的一批数据应用于某一条特定的关联分析规则,避免了数据与关联分析规则之间的相互影响。本发明实施例通过对关联分析规则增加流水号,以及对进入关联分析的数据增加流水号,使数据与关联分析规则相互关联。可以实现分批次的对数据进行处理,将不同批次的数据作用于特定的关联分析规则,从而实现数据与关联分析规则的绑定,关联分析规则之间的数据互不影响,能够提供关联分析的准确性。此说明书中所描述的许多功能部件都被称为模块,以便更加特别地强调其实现方式的独立性。本发明实施例中,模块可以用软件实现,以便由各种类型的处理器执行。举例来说,一个标识的可执行代码模块可以包括计算机指令的一个或多个物理或者逻辑块,举例来说,其可以被构建为对象、过程或函数。尽管如此,所标识模块的可执行代码无需物理地位于一起,而是可以包括存储在不同位里上的不同的指令,当这些指令逻辑上结合在一起时,其构成模块并且实现该模块的规定目的。实际上,可执行代码模块可以是单条指令或者是许多条指令,并且甚至可以分布在多个不同的代码段上,分布在不同程序当中,以及跨越多个存储器设备分布。同样地,操作数据可以在模块内被识别,并且可以依照任何适当的形式实现并且被组织在任何适当类型的数据结构内。所述操作数据可以作为单个数据集被收集,或者可以分布在不同位置上(包括在不同存储设备上),并且至少部分地可以仅作为电子信号存在于系统或网络上。
在模块可以利用软件实现时,考虑到现有硬件工艺的水平,所以可以以软件实现的模块,在不考虑成本的情况下,本领域技术人员都可以搭建对应的硬件电路来实现对应的功能,所述硬件电路包括常规的超大规模集成(VLSI)电路或者门阵列以及诸如逻辑芯片、晶体管之类的现有半导体或者是其它分立的元件。模块还可以用可编程硬件设备,诸如现场可编程门阵列、可编程阵列逻辑、可编程逻辑设备等实现。在本发明各方法实施例中,所述各步骤的序号并不能用于限定各步骤的先后顺序,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,对各步骤的先后变化也在本发明的保护范围之内。以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
权利要求
1.一种关联分析方法,其特征在于,包括: 接收待分析数据,所述待分析数据的标识字段中包含有数据标识; 根据接收到的所述待分析数据及其数据标识与预设的关联分析规则进行匹配,得到一匹配结果; 根据所述匹配结果和预设的关联策略产生关联分析后事件。
2.根据权利要求1所述的关联分析方法,其特征在于,所述接收待分析数据之前还包括: 获取用户配置的所有关联分析规则,并为每个关联分析规则分配一规则标识; 在待分析数据的数据字段中添加一数据标识,所述数据标识与所述待分析数据对应的关联分析规则的规则标识一致。
3.根据权利要求1所述的关联分析方法,其特征在于,所述根据接收到的所述待分析数据及其数据标识与预设的关联分析规则进行匹配,得到一匹配结果,根据所述匹配结果和预设的关联策略产生关联分析后事件包括: 判断所述待分析数据的数据标识与所述关联分析规则的规则标识是否一致; 当所述待分析数据的数据标识与所述关联分析规则的规则标识一致时,判断所述待分析数据是否满足所述关联分析规则; 当所述待分析数据满足所述关联分析规则时,根据预置的关联策略产生关联分析后事件。
4.根据权利要求3所述的关联分析方法,其特征在于,当所述待分析数据的数据标识与所述关联分析规则的规则标识不一致时,丢弃所述待分析数据。
5.一种关联分析装置,其特征在于,包括: 接收模块,用于接收待分析数据,所述待分析数据的标识字段中包含有数据标识; 匹配模块,用于根据接收到的所述待分析数据及其数据标识与预设的关联分析规则进行匹配,得到一匹配结果; 处理模块,用于根据所述匹配结果和预设的关联策略产生关联分析后事件。
6.根据权利要求5所述的关联分析装置,其特征在于,所述装置还包括: 设置模块,用于获取用户配置的所有关联分析规则,并为每个关联分析规则分配一规则标识。
7.根据权利要求5所述的关联分析装置,其特征在于,所述匹配模块包括: 第一判断子模块,用于判断所述待分析数据的数据标识与所述关联分析规则的规则标识是否一致; 第二判断子模块,用于当所述待分析数据的数据标识与所述关联分析规则的规则标识一致时,判断所述待分析数据是否满足所述关联分析规则; 所述处理模块具体用于当所述待分析数据满足所述关联分析规则时,根据预置的关联策略产生关联分析后事件。
8.根据权利要求7所述的关联分析装置,其特征在于,所述处理模块还用于当所述第一判断子模块判断所述待分析数据的数据标识与所述关联分析规则的规则标识不一致时,丢弃所述待分析数据。
9.一种关联分析系统,其特征在于,包括:关联分析装置,用于接收待分析数据,所述待分析数据的标识字段中包含有数据标识,根据接收到的所述待分析数据及其数据标识与预设的关联分析规则进行匹配,得到一匹配结果,根据所述匹配结果和预设的关联策略产生关联分析后事件。
10.根据权利要求9所述的关联分析系统,其特征在于, 所述关联分析装置还用于获取用户配置的所有关联分析规则,并为每个关联分析规则分配一规则标识; 所述系统还包括: 一个以上数据产生器,用于在待分析数据的数据字段中添加一数据标识,所述数据标识与所述待分析数据对应的关联分析规则的规则标识一致,并将添加数据标识后的待分析数据发送至所述关联分析装置 。
全文摘要
本发明提供一种关联分析方法、装置及系统,属于数据业务技术领域。其中,该关联分析方法,包括接收待分析数据,所述待分析数据的标识字段中包含有数据标识;根据接收到的所述待分析数据及其数据标识与预设的关联分析规则进行匹配,得到一匹配结果;根据所述匹配结果和预设的关联策略产生关联分析后事件。本发明的技术方案能够提高关联分析的准确率。
文档编号G06F17/30GK103164400SQ20111040529
公开日2013年6月19日 申请日期2011年12月8日 优先权日2011年12月8日
发明者徐良, 李杰毅, 包森成, 杨明, 陈勇, 段文国, 诸葛凌啸 申请人:中国移动通信集团浙江有限公司