一种多级联动的分析模型分发控制与结果同步的方法与流程

1.本发明涉及网络安全技术领域，特别是涉及一种多级联动的分析模型分发控制与结果同步的方法。


背景技术：

2.对于网络安全大数据分析产品，由于涉及的日志量非常庞大，上级系统往往无法对下级系统的所有日志进行收集，下级系统的日志由下级系统自行存储。下级系统自行存储后会导致上级系统仅能对本级自身日志进行模型分析，无法覆盖模型分析范围至下级系统，导致大量下级系统的安全事件无法发现。


技术实现要素：

3.鉴于以上所述现有技术的缺点，本发明的目的在于提供一种多级联动的分析模型分发控制与结果同步的方法，用于解决现有技术中上下系统之间分析模型不一致，导致安全事件漏报或者误报的问题。
4.本发明提供一种多级联动的分析模型分发控制与结果同步的方法，所述方法包括以下步骤：
5.s101：获取多级联动的系统上下级关系；
6.s102：上级系统下发分析模型至下级系统；
7.s103：下级系统接收上级系统下发的分析模型；
8.s104：下级系统执行上级系统下发的分析模型；
9.s105：下级系统上报分析模型的分析结果；
10.s106：上级系统获取上报的分析结果。
11.于本发明的一实施例中，所述步骤s101具体如下：
12.获取本级系统的系统上下级关系，从而确定本级系统是否需要构建分析模型、下发分析模型、接收分析模型、上报告警信息。
13.于本发明的一实施例中，所述步骤s102具体如下：
14.读取本级系统的所有分析模型，包括上级系统下发到本级系统的分析模型；读取所有下级系统节点，通过模型下发接口传输所有本级系统的分析模型至所有下级系统节点，并且持续监听下级系统是否反馈分析模型更新成功，并做记录。
15.于本发明的一实施例中，所述步骤s103具体如下：
16.读取所有上级系统节点，处理下发来源为上级系统节点的分析模型，对比当前存储的分析模型，执行新增或者更新操作，同时反馈分析模型更新成功的信息至上级系统节点。
17.于本发明的一实施例中，所述步骤s104具体如下：
18.根据分析模型执行条件读取本级系统中的所有分析模型，执行并输出告警结果。
19.于本发明的一实施例中，对于告警结果的处理方式为：
20.对于上级系统的分析模型计算输出的告警结果，在告警结果中额外增加上报对象编号字段，并且对这份告警结果打上未上报的标签；对于本级系统自有分析模型计算输出的告警结果，打上无需上报的标签。
21.于本发明的一实施例中，所述步骤s105具体如下：
22.本级系统读取所有未上报数据，确定上级系统节点告警上报接口地址，从而进行告警上报；并且在告警上报时附加上报对象编号、原始上报系统编号、本次上报系统编号。
23.于本发明的一实施例中，所述步骤s106具体如下：
24.本级系统获取所有下级节点列表，处理本次上报系统编号在下级系统节点列表中的数据，不在列表中的数据不进行处理。
25.于本发明的一实施例中，对于上报数据的处理方式为：
26.获取上报数据后对数据中的上报对象编号进行判断，上报对象编号与本级系统编号相符的数据修改上报状态为无需上报，上报对象编号与本级系统编号不相符的数据，进行数据存储，再次对该条数据再次进行上报，并且修改数据中的本次上报系统编号为当前上报系统编号。
27.如上所述，本发明的一种多级联动的分析模型分发控制与结果同步的方法，具有以下有益效果：
28.本发明解决了现有网络安全大数据分析产品存在的上级系统无法对下级系统进行数据收集，上下系统之间分析模型不一致，导致安全事件漏报或者误报的问题。
附图说明
29.图1显示为本发明实施例中公开的分析模型分发控制与结果同步的方法的流程图。
30.图2显示为本发明实施例中公开的分析模型分发控制与结果同步的方法的系统层级关系图。
具体实施方式
31.以下通过特定的具体实例说明本发明的实施方式，本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用，本说明书中的各项细节也可以基于不同观点与应用，在没有背离本发明的精神下进行各种修饰或改变。需说明的是，在不冲突的情况下，以下实施例及实施例中的特征可以相互组合。
32.需要说明的是，以下实施例中所提供的图示仅以示意方式说明本发明的基本构想，遂图式中仅显示与本发明中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制，其实际实施时各组件的型态、数量及比例可为一种随意的改变，且其组件布局型态也可能更为复杂。
33.请参阅图1，本发明提供一种多级联动的分析模型分发控制与结果同步的方法，所述方法包括以下步骤：
34.s101：获取多级联动的系统上下级关系；
35.通过级联模块获取当前系统的系统上下级关系，从而确定本级系统是否需要构建
分析模型、下发分析模型、接收分析模型、上报告警等动作。
36.s102：上级系统下发分析模型至下级系统；
37.读取本级系统中的所有分析模型，包括上级系统下发到本级系统的分析模型(如果存在)。读取级联模块中所有下级系统节点，通过模型下发接口传输所有本级系统中的分析模型至所有下级系统节点，并且持续监听下级系统是否反馈分析模型更新成功，并做记录。
38.s103：下级系统接收上级系统下发的分析模型；
39.读取级联模块中所有上级系统节点，在模型接收模块中仅处理下发来源为上级系统节点的分析模型，对比当前库中的分析模型，执行新增或者更新操作，同时反馈分析模型更新成功的信息至上级系统节点。
40.s104：下级系统执行上级系统下发的分析模型；
41.根据分析模型执行条件读取本级系统中的所有分析模型，执行分析结果，并且通过计算分析结果输出告警结果到告警库；对于上级系统的分析模型计算出来的告警结果，在告警结果中额外增加上报对象编号字段，并且对这份告警结果打上未上报的标签，对于本级系统自有分析模型计算出来的告警结果，打上无需上报的标签。
42.s105：下级系统上报分析模型的分析结果；
43.本级系统从告警库中读取所有未上报数据，确定上级系统节点告警上报接口地址，从而进行上报；上报时附加上报对象编号、原始上报系统编号、本次上报系统编号。
44.s106：上级系统获取上报的分析结果。
45.本级系统通过级联模块获取所有下级节点列表，在告警上报模块中仅处理本次上报系统编号在下级系统节点列表中的数据，不在列表中的数据不进行处理；获取上报数据后对数据中的上报对象编号进行判断，上报对象编号与本级系统编号相符的数据修改上报状态为无需上报，而后存储到本级的告警库中；上报对象编号与本级系统编号不相符的数据，存储数据到本级告警库中后，再次调用下级系统的告警上报模块对该条数据再次进行上报，
46.并且修改数据中的本次上报系统编号为当前上报系统编号。
47.请参阅体2，为本发明一种基于多级联动模型进行分发控制与结果同步的方法对各个系统层级进行介绍：
48.一级级联模块，也是最顶层的级联模块，具备模型构建模块、分析引擎模块、告警库和模型下发模块；
49.用户通过模型构建模块创建分析模型，分析模型通过本级安全大数据存储提取元素进行计算，并且生成告警结果。当该分析模型被设置为需要进行下发时，系统通过级联注册模块获取所有下级系统列表，向下级系统发送该分析模型并要求执行/周期执行；同时持续监听分析模型下发状况与告警上报信息。
50.二级、三级级联模块为中间层级联模块，具备模型构建模块、模型接收模块、分析引擎模块、告警库、模型下发模块、告警上报模块。中间层级联模块也可以通过模型构建模块创建分析模型，也可以通过模型接收模块获取上级下发的分析模型；分析模型运行同样通过本级安全大数据存储提取元素进行计算后生成告警结果。生成告警结果后，根据告警生成的模型来源判断该告警是否需要进行上报；模型下发模块通过获取级联模块中所有下
级系统列表，向下级发送所有需要下发的分析模型并要求执行/周期执行；同时持续监听分析模型下发状况与告警上报信息。
51.最下级级联模块为底层级联模块，具备模型构建模块、模型接收模块、分析引擎模块、告警库和告警上报模块。底层级联模块也可以通过模型构建创建分析模型，也可以通过模型接收获取上级下发的分析模型；分析模型运行同样通过本级安全大数据存储提取元素进行计算后生成告警结果。生成告警后，根据告警生成的模型来源判断该告警是否需要进行上报。
52.综上所述，本发明解决了现有技术中上下系统之间分析模型不一致，导致安全事件漏报或者误报的问题。所以，本发明有效克服了现有技术中的种种缺点而具高度产业利用价值。
53.上述实施例仅例示性说明本发明的原理及其功效，而非用于限制本发明。任何熟悉此技术的人士皆可在不违背本发明的精神及范畴下，对上述实施例进行修饰或改变。因此，举凡所属技术领域中具有通常知识者在未脱离本发明所揭示的精神与技术思想下所完成的一切等效修饰或改变，仍应由本发明的权利要求所涵盖。