本发明专利技术提供一种关联分析方法、装置及系统,属于数据业务技术领域。其中,该关联分析方法,包括:接收待分析数据,所述待分析数据的标识字段中包含有数据标识;根据接收到的所述待分析数据及其数据标识与预设的关联分析规则进行匹配,得到一匹配结果;根据所述匹配结果和预设的关联策略产生关联分析后事件。本发明专利技术的技术方案能够提高关联分析的准确率。
【技术实现步骤摘要】
本专利技术涉及数据业务
,特别是指一种关联分析方法、装置及系统。
技术介绍
在审计分析系统中,需要对大量的数据进行事后分析,从各个零散分布的事件当中发现彼此之间的联系,从而发现一切可能的违规现象。目前使用的事件分析方法是基于Rete算法的一种改进的方法,即关联分析算法。Rete算法是一个用来实现产生式规则系统的高效模式匹配算法。该算法是由卡内基梅隆大学的Charles L.Forgy在1974年发表的论文中提出的。Rete算法的核心是创建一个Rete网络,其中包含了 Alpha网络和Beta网络,以进行规则的匹配、选择和执行。现有的关联分析算法中,依照Rete网络模式匹配的特点,可将上报事件关联分析的匹配过程划分为两个部分:逻辑表达式运算(Alpha网络)、统计及上下级关联推进(Beta网络)。第一部分为对定制规则中的所有条件项目进行匹配操作,此部分在Alpha网络完成;第二部分则包括规则状态节点中定义的统计计算以及规则树上下级状态节点之间的推进关系实现,此部分在Beta网络完成。此外,关联后事件的生成以及追溯信息的记录则作为独立部分放在Rete网络终结节点中完成。图1所示为包含有两条规则的Rete网络,两条规则分别是:规则1:目的端口 = 8088or(源 IP = 192.168.12.12and 目的 IP =192.168.12.11)规则2:首层规则:目的端口 = 8080下层规则:源IP = 192.168.12.4and 目的 IP = 192.168.12.5其中每个AM (Alpha Memory, Alpha存储器)对应一条逻辑表达式。当接收到一条事件之后,这条事件会遍历整个Alpha网络,对其中的任何一个AM所代表的表达式都要进行匹配,符合其中的某一条表达式都要向下激活,激活至Beta网络后,在相应Count (计数)节点的Terminal (末端)节点产生关联分析后事件。图1的较粗的线条即表示了一次匹配过程。假如现在有一条事件,符合上面规则I的所有表达式,那么该条事件在进入Rete网络之后,会产生如下结果:遍历事件属性列表,对于其中的目的端口、源IP、目的IP属性进行表达式的判断,激活相应的AM1、AM2以及AM3 ;激活相应的AND (与)节点和OR(或)节点,从而激活AM7 ;激活Beta网络的Countl节点,在Countl节点相应的Terminall节点产生关联分析后事件。在事后关联分析中,数据的来源不再是实时接收到的数据,而是从数据库捞取出的数据。根据两条不同的查询策略捞取出来的数据必定是要将它们作用在两条不同的关联分析规则上,分别分析出各自的关联结果,两批数据之间不应该相互影响。在用现有的关联分析算法进行关联分析时,如图2所示,由查询策略I捞取出来的数据,很有可能即满足关联分析规则1,又满足关联分析规则2 ;同样,查询策略2捞取出来的数据,也可能同时满足两个关联分析规则。但是如图1所示,现有的关联分析算法中,所有的规则都被添加在同一个Rete网络中,因为只允许有一个Rete网络,这个Rete网络中只包含一个Alpha网络和一个Beta网络,所以每一条进入Rete网络的数据,都必须去匹配所有的规则。这样每一条数据都会对任何一条规则的关联结果造成影响,降低了关联分析的准确率。
技术实现思路
本专利技术要解决的技术问题是提供一种关联分析方法、装置及系统,能够提高关联分析的准确率。为解决上述技术问题,本专利技术的实施例提供技术方案如下:一方面,提供一种关联分析方法,包括:接收待分析数据,所述待分析数据的标识字段中包含有数据标识;根据接收到的所述待分析数据及其数据标识与预设的关联分析规则进行匹配,得到一匹配结果;根据所述匹配结果和预设的关联策略产生关联分析后事件。进一步地,所述接收待分析数据之前还包括:获取用户配置的所有关联分析规则,并为每个关联分析规则分配一规则标识;在待分析数据的数据字段中添加一数据标识,所述数据标识与所述待分析数据对应的关联分析规则的规则标识一致。进一步地,所述根据接收到的所述待分析数据及其数据标识与预设的关联分析规则进行匹配,得到一匹配结果,根据所述匹配结果和预设的关联策略产生关联分析后事件包括:判断所述待分析数据的数据标识与所述关联分析规则的规则标识是否一致;当所述待分析数据的数据标识与所述关联分析规则的规则标识一致时,判断所述待分析数据是否满足所述关联分析规则;当所述待分析数据满足所述关联分析规则时,根据预置的关联策略产生关联分析后事件。进一步地,当所述待分析数据的数据标识与所述关联分析规则的规则标识不一致时,丢弃所述待分析数据。本专利技术实施例还提供了一种关联分析装置,包括:接收模块,用于接收待分析数据,所述待分析数据的标识字段中包含有数据标识;匹配模块,用于根据接收到的所述待分析数据及其数据标识与预设的关联分析规则进行匹配,得到一匹配结果;处理模块,用于根据所述匹配结果和预设的关联策略产生关联分析后事件。进一步地,所述装置还包括:设置模块,用于获取用户配置的所有关联分析规则,并为每个关联分析规则分配一规则标识。进一步地,所述匹配模块包括:第一判断子模块,用于判断所述待分析数据的数据标识与所述关联分析规则的规则标识是否一致;第二判断子模块,用于当所述待分析数据的数据标识与所述关联分析规则的规则标识一致时,判断所述待分析数据是否满足所述关联分析规则;所述处理模块具体用于当所述待分析数据满足所述关联分析规则时,根据预置的关联策略产生关联分析后事件。进一步地,所述处理模块还用于当所述第一判断子模块判断所述待分析数据的数据标识与所述关联分析规则的规则标识不一致时,丢弃所述待分析数据。本专利技术实施例还提供了一种关联分析系统,包括:关联分析装置,用于接收待分析数据,所述待分析数据的标识字段中包含有数据标识,根据接收到的所述待分析数据及其数据标识与预设的关联分析规则进行匹配,得到一匹配结果,根据所述匹配结果和预设的关联策略产生关联分析后事件。进一步地,所述关联分析装置还用于获取用户配置的所有关联分析规则,并为每个关联分析规则分配一规则标识;所述系统还包括:一个以上数据产生器,用于在待分析数据的数据字段中添加一数据标识,所述数据标识与所述待分析数据对应的关联分析规则的规则标识一致,并将添加数据标识后的待分析数据发送至所述关联分析装置。本专利技术的实施例具有以下有益效果:上述方案中,待分析数据中包含有数据标识,在对待分析数据进行关联分析时,首先需要根据待分析数据的数据标识进行匹配,这样当一条待分析数据到来之后,能够使其只与对应的关联分析规则进行匹配,而不会对其他关联分析规则的分析结果产生影响。本专利技术的技术方案可以分批次的对数据进行处理,将不同批次的数据作用于特定的关联分析规则,从而实现待分析数据与关联分析规则的绑定,不同关联分析规则之间的数据互不影响,从而提闻了关联分析的准确率。附图说明图1为现有技术中包含有两条规则的Rete网络示意图;图2为两条不同的查询策略捞取出来的数据可能同时符合两条关联分析规则的示意图;图3为本专利技术实施例的关联分析方法的流程示意图;图4为本专利技术实施例的关联分析装置的结构示意图;图5为本专利技术实施例的关联分析系统的结构示意图;图6为本专利技术实施例的本文档来自技高网...
【技术保护点】
一种关联分析方法,其特征在于,包括:接收待分析数据,所述待分析数据的标识字段中包含有数据标识;根据接收到的所述待分析数据及其数据标识与预设的关联分析规则进行匹配,得到一匹配结果;根据所述匹配结果和预设的关联策略产生关联分析后事件。
【技术特征摘要】
1.一种关联分析方法,其特征在于,包括: 接收待分析数据,所述待分析数据的标识字段中包含有数据标识; 根据接收到的所述待分析数据及其数据标识与预设的关联分析规则进行匹配,得到一匹配结果; 根据所述匹配结果和预设的关联策略产生关联分析后事件。2.根据权利要求1所述的关联分析方法,其特征在于,所述接收待分析数据之前还包括: 获取用户配置的所有关联分析规则,并为每个关联分析规则分配一规则标识; 在待分析数据的数据字段中添加一数据标识,所述数据标识与所述待分析数据对应的关联分析规则的规则标识一致。3.根据权利要求1所述的关联分析方法,其特征在于,所述根据接收到的所述待分析数据及其数据标识与预设的关联分析规则进行匹配,得到一匹配结果,根据所述匹配结果和预设的关联策略产生关联分析后事件包括: 判断所述待分析数据的数据标识与所述关联分析规则的规则标识是否一致; 当所述待分析数据的数据标识与所述关联分析规则的规则标识一致时,判断所述待分析数据是否满足所述关联分析规则; 当所述待分析数据满足所述关联分析规则时,根据预置的关联策略产生关联分析后事件。4.根据权利要求3所述的关联分析方法,其特征在于,当所述待分析数据的数据标识与所述关联分析规则的规则标识不一致时,丢弃所述待分析数据。5.一种关联分析装置,其特征在于,包括: 接收模块,用于接收待分析数据,所述待分析数据的标识字段中包含有数据标识; 匹配模块,用于根据接收到的所述待分析数据及其数据标识与预设的关联分析规则进行匹配,得到一匹配结果; 处理模块,用于根据所述匹配结果和预...
【专利技术属性】
技术研发人员:徐良,李杰毅,包森成,杨明,陈勇,段文国,诸葛凌啸,
申请(专利权)人:中国移动通信集团浙江有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。