行为安全基线的规则编译方法、装置、设备和存储介质制造方法及图纸

本发明专利技术实施例提供一种行为安全基线的规则编译方法、装置、设备和存储介质。该方法包括：对至少一个行为安全基线的规则进行解析，得到各个所述规则的数据结构；所述数据结构包括以下至少一项：规则名、规则标识ID、运行参数、处理节点；根据各个所述规则的数据结构，生成各个所述规则对应的规则子图；将各个所述规则子图进行融合处理，得到目标执行图；基于所述目标执行图生成可执行代码。上述方案中提高了规则使用的效率。了规则使用的效率。了规则使用的效率。

【技术实现步骤摘要】
行为安全基线的规则编译方法、装置、设备和存储介质


[0001]本专利技术涉及计算机
，尤其涉及一种行为安全基线的规则编译方法、装置、设备和存储介质。

技术介绍

[0002]随着技术的发展和知识的扩散，网络攻击方法和数量也随之大幅增加，各种新攻击手段层出不穷，给安全分析人员和产品带来了很大的挑战和压力。
[0003]传统的安全分析和检测手段是基于先验知识，采用特征的方式来对网络数据和日志进行安全检测，这种方式可以很好的应对已知攻击方法，但是对未知和新的攻击方法则不能有效的检测，无法适应当前严峻的网络安全态势。
[0004]近年来随着机器学习的发展和实时计算框架的兴起，通过对网络数据和日志进行学习，就可以得到用户的行为安全基线；进而将学习出的行为安全基线，作为异常行为分析和检测的基准数据，进行异常行为的分析和检测。

技术实现思路

[0005]本专利技术实施例提供一种行为安全基线的规则编译方法、装置、设备和存储介质，以实现行为安全基线的规则编译方法。
[0006]具体地，本专利技术实施例提供了以下技术方案：
[0007]第一方面，本专利技术实施例提供了一种行为安全基线的规则编译方法，包括：
[0008]对至少一个行为安全基线的规则进行解析，得到各个所述规则的数据结构；所述数据结构包括以下至少一项：规则名、规则标识ID、运行参数、处理节点；
[0009]根据各个所述规则的数据结构，生成各个所述规则对应的规则子图；
[0010]将各个所述规则子图进行融合处理，得到目标执行图；
[0011]基于所述目标执行图生成可执行代码。
[0012]可选地，所述对至少一个行为安全基线的规则进行解析，得到各个所述规则的数据结构，包括：
[0013]根据规则的语义格式和/或参数格式，对各个所述规则进行解析，得到各个所述规则的数据结构。
[0014]可选地，所述根据各个所述规则的数据结构，生成各个所述规则对应的规则子图，包括：
[0015]根据运行参数和处理节点的前驱节点和后继节点的配置信息，生成各个所述规则对应的规则子图，其中，每个所述处理节点对应规则子图中的一个节点。
[0016]可选地，所述基于所述目标执行图生成可执行代码，包括：
[0017]生成所述目标执行图中所有节点对应的可执行代码；和/或
[0018]生成所述目标执行图的数据流对应的可执行代码；和/或
[0019]根据所述目标执行图相关的消息节点的运行参数信息，生成消息流对应的可执行
代码；所述消息节点包括以下至少一项：消息发布节点、消息处理节点、消息反馈节点；和/或
[0020]根据所述目标执行图的语义，生成所述目标执行图到底层计算框架映射的可执行代码。
[0021]可选地，所述处理节点的参数包括以下至少一项：节点ID、节点名、节点运行参数、节点处理方式；
[0022]所述生成所述目标执行图中所有节点对应的可执行代码，包括：
[0023]根据所述处理节点的参数，生成所述目标执行图中所有节点对应的可执行代码，所述可执行代码包括：节点属性代码，和/或，节点处理逻辑代码。
[0024]可选地，所述生成所述目标执行图的数据流对应的可执行代码，包括：
[0025]根据所述目标执行图中节点之间的连接信息生成所述数据流对应的可执行代码，所述数据流对应的可执行代码用于将输入数据从当前节点发送到后继节点；所述连接信息是根据所述处理节点的前驱节点和后继节点的配置信息确定的。
[0026]可选地，所述根据所述目标执行图相关的消息配置信息，生成消息流对应的可执行代码，包括：
[0027]构建依次从消息发布节点、消息处理节点到消息反馈节点的消息数据流管道，并生成消息流对应的可执行代码，所述可执行代码用于处理所述数据流管道中的消息流。
[0028]可选地，所述生成所述目标执行图中所有节点对应的可执行代码之后，还包括：
[0029]对所述目标执行图中节点对应的可执行代码进行优化，包括以下至少一项：常量语句预处理、等价语句逻辑归并、公共语句归并。
[0030]可选地，所述将各个所述规则子图进行融合处理，得到目标执行图，包括：
[0031]将所述规则子图进行融合，并对入口节点进行归并处理得到执行图；
[0032]对所述执行图进行优化处理，得到目标执行图，所述优化处理包括以下至少一项：
[0033]根据数据流的特征，对所述执行图进行数据流优化处理；
[0034]对所述执行图中数据字段进行字段优化处理，所述字段优化处理包括以下至少一项：字段计算、字段裁剪或字段归并；
[0035]对所述执行图引用的资源进行资源优化处理。
[0036]可选地，所述数据流优化处理包括以下至少一项：语义等价节点融合、网络吞吐均衡、中间节点归并或出口节点归并；
[0037]所述资源优化处理包括以下至少一项：
[0038]在所述引用的资源为表的情况下，进行索引优化处理；
[0039]引用所述资源的等价语义归并；或，
[0040]引用所述资源的等价实例归并。
[0041]第二方面，本专利技术实施例提供了一种行为安全基线的规则编译装置，包括：
[0042]获取模块，用于对至少一个行为安全基线的规则进行解析，得到各个所述规则的数据结构；所述数据结构包括以下至少一项：规则名、规则标识ID、运行参数、处理节点；
[0043]处理模块，用于根据各个所述规则的数据结构，生成各个所述规则对应的规则子图；
[0044]所述处理模块，还用于将各个所述规则子图进行融合处理，得到目标执行图；
[0045]基于所述目标执行图生成可执行代码。
[0046]第三方面，本专利技术实施例还提供了一种电子设备，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述程序时实现如第一方面所述浏览器的访问授权方法的步骤。
[0047]第四方面，本专利技术实施例还提供了一种非暂态计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如第一方面所述浏览器的访问授权方法的步骤。
[0048]第五方面，本专利技术实施例还提供了一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现如第一方面所述浏览器的访问授权方法的步骤。
[0049]本专利技术实施例提供的行为安全基线的规则编译方法、装置、设备和存储介质，对至少一个行为安全基线的规则进行解析，得到各个所述规则的数据结构；根据各个规则的数据结构，生成各个规则对应的规则子图；将各个规则子图进行融合处理，得到目标执行图；基于目标执行图生成可执行代码，基于执行图生成可执行代码，规则编译的准确性和效率，而且由于将规则转换成了可执行代码，提高了规则应用的效率，以及便利性。
附图说明
[0050]为了更清楚地说明本专利技术或现有技术中的技术方案，下面将对本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种行为安全基线的规则编译方法，其特征在于，包括：对至少一个行为安全基线的规则进行解析，得到各个所述规则的数据结构；所述数据结构包括以下至少一项：规则名、规则标识ID、运行参数、处理节点；根据各个所述规则的数据结构，生成各个所述规则对应的规则子图；将各个所述规则子图进行融合处理，得到目标执行图；基于所述目标执行图生成可执行代码。2.根据权利要求1所述的行为安全基线的规则编译方法，其特征在于，所述对至少一个行为安全基线的规则进行解析，得到各个所述规则的数据结构，包括：根据规则的语义格式和/或参数格式，对各个所述规则进行解析，得到各个所述规则的数据结构。3.根据权利要求1或2所述的行为安全基线的规则编译方法，其特征在于，所述根据各个所述规则的数据结构，生成各个所述规则对应的规则子图，包括：根据运行参数和处理节点的前驱节点和后继节点的配置信息，生成各个所述规则对应的规则子图，其中，每个所述处理节点对应规则子图中的一个节点。4.根据权利要求1或2所述的行为安全基线的规则编译方法，其特征在于，所述基于所述目标执行图生成可执行代码，包括：生成所述目标执行图中所有节点对应的可执行代码；和/或生成所述目标执行图的数据流对应的可执行代码；和/或根据所述目标执行图相关的消息节点的运行参数信息，生成消息流对应的可执行代码；所述消息节点包括以下至少一项：消息发布节点、消息处理节点、消息反馈节点；和/或根据所述目标执行图的语义，生成所述目标执行图到底层计算框架映射的可执行代码。5.根据权利要求4所述的行为安全基线的规则编译方法，其特征在于，所述处理节点的参数包括以下至少一项：节点ID、节点名、节点运行参数、节点处理方式；所述生成所述目标执行图中所有节点对应的可执行代码，包括：根据所述处理节点的参数，生成所述目标执行图中所有节点对应的可执行代码，所述可执行代码包括：节点属性代码，和/或，节点处理逻辑代码。6.根据权利要求4所述的行为安全基线的规则编译方法，其特征在于，所述生成所述目标执行图的数据流对应的可执行代码，包括：根据所述目标执行图中节点之间的连接信息生成所述数据流对应的可执行代码，所述数据流对应的可执行代码用于将输入数据从当前节点发送到后继节点；所述连接信息是根据所述处理节点的前驱节点和后继节点的配置信息确定的。7.根据权利要求4所述的行为安全基线的规则编译方法，其特征在于，所述根据所述目标执行图相关的消息配置信...

【专利技术属性】
技术研发人员：覃永靖，
申请(专利权)人：奇安信网神信息技术北京股份有限公司，
类型：发明
国别省市：