The invention discloses an analysis method of an analysis engine with node thread level non redundant calculation, belonging to the technical field of information network security analysis. The working principle of the analysis engine of the invention is that the policy analysis part loads the policies with different external perspectives and different external filtering characteristics, and the loaded policies are distributed to each concurrent statistical analysis module through the policy distribution module. In a single node, the logical algorithm for classifying and processing the perspective will be independent according to the different perspective fields in the custom policy Logical processing, and then logical processing of feature filter conditions in the strategy. The analysis engine de reprocesses all the group and individual statistical algorithms, filter conditions and research conditions of the strategy to which the node is assigned, so as to ensure that the filter conditions, feature statistics and research conditions in a single node are processed only once, and the calculated feature values are stored in the set of calculated feature values.
【技术实现步骤摘要】
一种拥有节点线程级别无冗余计算的分析引擎的分析方法
本专利技术属于信息网络安全分析
,具体涉及一种拥有节点线程级别无冗余计算的分析引擎的分析方法。
技术介绍
企业所辖业务、系统产生的日志对企业来说,至关重要,不仅可以分析业务系统业务需求问题,还可以借助这些日志数据,来分析业务系统的可能存在的安全问题。分析的业务需求问题可以改进系统的相关功能,提升系统的稳定性和可靠性;通过分析业务系统安全问题,加强业务系统安全级别,即在保证用户体验良好的同时保障用户信息数据与资产的安全可靠。目前市面上有许多的日志分析产品,从技术角度上看大多是基于大数据策略规则分析引擎和机器学习引擎相结合进行分析。策略规则分析引擎,是指分析引擎中具备核心安全分析能力的可独立工作的功能模块和框架。传统规则分析引擎的工作原理是,策略规则经解析加载,通过分发策略将策略规则分发至可并发计算分析的多个节点或线程;结构化数据先后经过群体特征值统计模块、策略分析模块处理,其中策略分析模块先计算个体策略特征值,然后再进行不等式条件研判。具体的日志流数据特征统计分析过程:群体特征统计模块将时间窗口内所有的群体的策略进行增量统计出群体特征值,连同原日志数据分发给多个节点的分析模块,分析模块先按单个分析视角的视角特征值进行归类后进行策略分析。策略分析先按内设的特征过滤条件进行处理,将得到的特征按既定的时间窗口进行增量统计出该策略视角的所有特征值,然后通过群体的特征值和单个视角的特征值按照既定的研判分析不等式条件进行判断,当策略规则中的多个不等式条件均成立时,根据得到的权重值是否处于威胁区间进行判定告警。名词 ...
【技术保护点】
1.一种拥有节点线程级别无冗余计算的分析引擎的分析方法,其特征在于,包括如下步骤:步骤1:节点策略分析,数据进入节点策略管理中心进行处理,将遍历策略对数据进行统计分析;加载后的策略经过策略分发模块将策略分发给各个并发统计分析模块;步骤2:策略特征过滤,数据经过节点策略分析中的特征过滤条件进行判断,若该数据特征不匹配,则直接进入步骤1‑1,匹配则进入步骤3;步骤1‑1:未分析策略检测,分析判断是否还有节点策略未被分析,若有则进入步骤1继续遍历,若无则直接退出数据分析,该条数据分析完毕;步骤3:视角feature特征过滤,分析视角级别的特征过滤条件并进行判断,若匹配进入步骤4,否则进入步骤1‑1;步骤4:视角分类,根据视角特征字段,从数据中取出视角值,当有视角值时则进行对应该视角的统计特征进行统计,若无视角值,则从加载到节点的策略统计特征集合中复制一份统计特征给该视角进行统计,进入步骤S1;步骤S1:统计特征计算处理,首先判断该统计特征是否已经在节点所有策略中被计算过,若被计算过,则进入步骤S1‑1,若未被计算过,则进入步骤S2;步骤S1‑1:未统计特征检测,若还有,则进入步骤S1,否则进 ...
【技术特征摘要】
1.一种拥有节点线程级别无冗余计算的分析引擎的分析方法,其特征在于,包括如下步骤:步骤1:节点策略分析,数据进入节点策略管理中心进行处理,将遍历策略对数据进行统计分析;加载后的策略经过策略分发模块将策略分发给各个并发统计分析模块;步骤2:策略特征过滤,数据经过节点策略分析中的特征过滤条件进行判断,若该数据特征不匹配,则直接进入步骤1-1,匹配则进入步骤3;步骤1-1:未分析策略检测,分析判断是否还有节点策略未被分析,若有则进入步骤1继续遍历,若无则直接退出数据分析,该条数据分析完毕;步骤3:视角feature特征过滤,分析视角级别的特征过滤条件并进行判断,若匹配进入步骤4,否则进入步骤1-1;步骤4:视角分类,根据视角特征字段,从数据中取出视角值,当有视角值时则进行对应该视角的统计特征进行统计,若无视角值,则从加载到节点的策略统计特征集合中复制一份统计特征给该视角进行统计,进入步骤S1;步骤S1:统计特征计算处理,首先判断该统计特征是否已经在节点所有策略中被计算过,若被计算过,则进入步骤S1-1,若未被计算过,则进入步骤S2;步骤S1-1:未统计特征检测,若还有,则进入步骤S1,否则进入步骤A1;步骤S2:统计特征过滤处理,若特征值不满足过滤条件,则进入步骤1-1,满足则进行子feature判断,若有子feature则进行子feature处理,若无则直接进入步骤S1;当全部特征过滤条件满足,且为最后的子feature时,则进入步骤S3;步骤S3:时间窗口算法增量统计,对策略统计特征时间窗口内的桶数据特征或桶特征值进行增量计算,将以统计特征作为key,统计值作为value存入到节点策略统计特征集合中,供步骤...
【专利技术属性】
技术研发人员:李成东,常清雪,龚致,
申请(专利权)人:四川长虹电器股份有限公司,
类型:发明
国别省市:四川,51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。