CN113918534A - 一种策略处理系统及方法 - Google Patents
一种策略处理系统及方法 Download PDFInfo
- Publication number
- CN113918534A CN113918534A CN202010650074.5A CN202010650074A CN113918534A CN 113918534 A CN113918534 A CN 113918534A CN 202010650074 A CN202010650074 A CN 202010650074A CN 113918534 A CN113918534 A CN 113918534A
- Authority
- CN
- China
- Prior art keywords
- service
- policy
- target
- security policy
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012545 processing Methods 0.000 title claims abstract description 174
- 238000000034 method Methods 0.000 title claims abstract description 59
- 230000008569 process Effects 0.000 claims abstract description 40
- 238000003672 processing method Methods 0.000 claims abstract description 10
- 238000007405 data analysis Methods 0.000 claims description 77
- 238000007726 management method Methods 0.000 claims description 49
- 238000003860 storage Methods 0.000 claims description 43
- 238000011156 evaluation Methods 0.000 claims description 42
- 238000010801 machine learning Methods 0.000 claims description 42
- 238000004364 calculation method Methods 0.000 claims description 27
- 230000000694 effects Effects 0.000 claims description 21
- 238000012360 testing method Methods 0.000 claims description 21
- 238000013523 data management Methods 0.000 claims description 10
- 238000001514 detection method Methods 0.000 claims description 9
- 230000001360 synchronised effect Effects 0.000 claims description 9
- 238000003058 natural language processing Methods 0.000 claims description 5
- 230000004044 response Effects 0.000 claims description 3
- 230000010354 integration Effects 0.000 abstract description 5
- 239000010410 layer Substances 0.000 description 31
- 238000010586 diagram Methods 0.000 description 28
- 238000004458 analytical method Methods 0.000 description 24
- 238000012549 training Methods 0.000 description 12
- 230000006870 function Effects 0.000 description 10
- 230000008859 change Effects 0.000 description 4
- 238000011161 development Methods 0.000 description 4
- 238000009472 formulation Methods 0.000 description 4
- 239000000203 mixture Substances 0.000 description 4
- 238000012800 visualization Methods 0.000 description 4
- 238000004422 calculation algorithm Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000010200 validation analysis Methods 0.000 description 3
- 238000012550 audit Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 238000012790 confirmation Methods 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 238000009826 distribution Methods 0.000 description 2
- 230000014509 gene expression Effects 0.000 description 2
- 230000008676 import Effects 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 230000002452 interceptive effect Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 239000012792 core layer Substances 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 238000013075 data extraction Methods 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000003909 pattern recognition Methods 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 239000002244 precipitate Substances 0.000 description 1
- 230000001376 precipitating effect Effects 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 238000005070 sampling Methods 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/21—Design, administration or maintenance of databases
- G06F16/219—Managing data history or versioning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/25—Integrating or interfacing systems involving database management systems
- G06F16/252—Integrating or interfacing systems involving database management systems between a Database Management System and a front-end application
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/70—Software maintenance or management
- G06F8/71—Version control; Configuration management
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Data Mining & Analysis (AREA)
- Mathematical Physics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请实施例提供一种策略处理系统及方法,策略处理方法由策略处理系统中的规则引擎执行,策略处理系统包括规则引擎和至少一个服务模块;规则引擎被设置为策略处理系统中的服务联结点,至少一个服务模块均连接至规则引擎,并被规则引擎调用,其中,策略处理方法可包括:为目标业务配置目标安全策略;确定目标安全策略的生命周期中所需的安全服务;调用服务模块提供的安全服务来管理目标安全策略。本申请实施例能够提升策略处理过程的专业化、集成化、提升策略处理的效率。
Description
技术领域
本申请涉及计算机技术领域,具体涉及一种策略处理系统及一种策略处理方法。
背景技术
许多业务场景(例如,基于账户或人脸识别的网站登录场景、各类网上支付场景等等)均会涉及策略处理过程。所谓策略是指基于数据特征之上构建的各种规则,能解决某种业务问题的方案。策略处理是指当存在业务请求时,执行对应的安全策略来决策是否响应所请求的业务,避免业务过程中出现恶意注册、盗号、诈骗、色情等问题,确保业务安全。实践发现,现有技术涉及的策略处理过程存在一些问题,例如:①专业化度不足,无法较全面的处理业务安全问题;②集成化度不足,对策略处理过程中所要涉及的各项服务无法有机的结合,需要策略开发者手动组装各项服务请求,存在较多适配工作;③效率低下。
发明内容
本申请实施例提供了一种策略处理系统及方法,能够提升策略处理过程的专业化、集成化、提升策略处理的效率。
一方面,本申请实施例提供一种策略处理系统,该策略处理系统集成有规则引擎和至少一个服务模块;规则引擎被设置为策略处理系统中的服务联结点,至少一个服务模块均连接至规则引擎,并被规则引擎调用;其中,
服务模块,用于提供安全策略的生命周期中所需的安全服务;
规则引擎,用于为目标业务配置目标安全策略,并在目标安全策略的生命周期中按需调用服务模块提供的安全服务来管理目标安全策略。
在一种实施方式中,策略处理系统包括逻辑层,规则引擎和至少一个服务模块均设置于逻辑层中;规则引擎中设有插件集,插件集中包括多个插件,一个插件对应一个服务模块;规则引擎通过调用插件集中的插件来获得服务模块提供的安全服务。
在另一种实施方式中,目标安全策略由至少一个规则组成;规则引擎包括规则数据管理模块,规则数据管理模块用于为目标业务配置目标安全策略的至少一个规则。
在另一种实施方式中,目标安全策略由至少一个规则组成;规则引擎包括规则引擎核心模块,规则引擎核心模块中设有资源管理子模块、同步服务子模块和异步服务子模块;
资源管理子模块用于调用至少一个测试实例对目标安全策略的至少一个规则进行测试,并当目标安全策略的所有规则均通过测试后,发布目标安全策略;
同步服务子模块用于当管理系统接收到目标业务请求时,为目标业务匹配目标安全策略;
异步服务子模块用于执行目标安全策略;
其中,目标安全策略包括第一版本标识和第二版本标识,第一版本标识用于标识目标安全策略的第一版本,第一版本是指由资源管理子模块最新发布的版本;第二版本标识用于标识目标安全策略的第二版本;第二版本是指由资源管理子模块历史发布的版本;资源管理子模块还用于对目标安全策略进行版本管理,版本管理包括以下任一种:灰度处理、中断以及回滚。
在另一种实施方式中,服务模块包括用户反馈与策略评估服务模块,用户反馈和策略评估服务模块设置有统一的反馈接口,用户反馈与策略评估服务模块通过统一的反馈接口接收目标业务所涉及的用户反馈信息,并根据用户反馈信息评估目标安全策略对目标业务的判定准确率;
规则引擎通过插件调用用户反馈与策略评估服务模块,获得判定准确率,并根据判定准确率对目标安全策略进行管理。
在另一种实施方式中,服务模块包括通用安全能力服务模块,通用安全能力服务模块用于抽取多个业务场景中的通用安全处理逻辑形成通用安全能力服务;通用安全能力服务包括以下至少一种:频率服务、关键词匹配服务、自然语言处理服务、图片相似判断服务、反外挂检测服务;
规则引擎通过插件调用通用安全能力服务模块提供的通用安全能力服务来为目标业务配置和执行目标安全策略。
在另一种实施方式中,服务模块包括以下至少一种:数据仓库服务模块、机器学习平台服务模块、流式计算服务模块和数据分析服务模块;规则引擎通过插件调用数据仓库服务模块提供的数据仓储服务,通过插件调用机器学习平台服务模块提供的机器学习服务,通过插件调用流式计算服务模块提供的流式计算服务,以及通过插件调用数据分析服务模块提供的数据分析服务,并且规则引擎调用获得的各项安全服务来为目标业务配置目标安全策略,以及执行目标安全策略。
在另一种实施方式中,策略处理系统还包括web运营模块;
web运营模块,用于显示web页面,并在web页面中获取为目标业务所配置的安全策略的数据特征,并将数据特征传输给规则引擎,以由规则引擎利用数据特征为目标业务配置目标安全策略;以及,
web运营模块,还用于接收规则引擎返回的目标安全策略的生命周期中的各项管理数据,并在web页面中显示各项管理数据。
在另一种实施方式中,web页面显示有第一列表,第一列表中包括多个业务类型;
当第一列表中的目标业务类型被选中时,web页面中显示第二列表,第二列表包括属于目标业务类型的多个业务标识;
当目标业务标识被选择时,web页面中显示策略配置窗口,web运营模块从策略配置窗口中获取为目标业务所配置的安全策略的数据特征。
在另一种实施方式中,策略处理系统与业务系统相连接,业务系统用于处理互联网用户请求的多项业务,目标业务为多项业务中的任一项;
策略处理系统包括接入层,接入层提供统一的接入接口,业务系统中的各项业务通过统一的接入接口接入至策略处理系统中;
业务系统在检测到目标业务请求时,向规则引擎转发目标业务请求,规则引擎为目标业务匹配目标安全策略,并执行目标安全策略得到执行结果,规则引擎将目标安全策略的执行结果返回给业务系统,由业务系统根据目标安全策略的执行结果对目标业务请求进行决策响应。
在另一种实施方式中,策略处理系统包括存储层,存储层包括存储模块,存储模块用于为规则引擎和服务模块提供存储支持;存储模块包括以下至少一个模块:数据仓库、数据分析存储模块、策略规则存储模块及请求流水存储模块。
另一方面,本申请实施例提供一种策略处理方法,该策略处理方法由策略处理系统中的规则引擎执行,策略处理系统包括规则引擎和至少一个服务模块;规则引擎被设置为策略处理系统中的服务联结点,至少一个服务模块均连接至规则引擎,并被规则引擎调用;策略处理方法包括:
为目标业务配置目标安全策略;
确定目标安全策略的生命周期中所需的安全服务;
调用服务模块提供的安全服务来管理目标安全策略。
另一方面,本申请实施例提供一种策略处理设备,该策略处理设备搭载如前述所描述的策略处理系统。
本申请实施例中,策略处理系统集成了规则引擎和至少一个服务模块,其中,至少一个服务模块包括策略生命周期中每个环节对应的服务模块,这样策略处理系统集成了安全策略的生命周期中所需的所有安全服务,提高策略处理系统的集成性,从而提升策略处理系统的效率、效果和质量;规则引擎被设置为策略处理系统中的服务联结点,将策略处理系统中的各个服务模块连接在一起,并调用各个服务模块提供的安全服务来为目标业务配置目标安全策略,这样规则引擎可通过调用各个服务模块自动生成并执行安全策略,使得安全策略从配置、实现、上线等流程的各个环节能够被智能化地自动执行,提升了策略处理过程的专业化和效率。
附图说明
为了更清楚地说明本申请实施例技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了本申请一个示例性实施例提供的一种实时策略生命周期的分析示意图;
图2示出了本申请一个示例性实施例提供的一种实时策略的生命周期中的各个环节的实现示意图;
图3示出了本申请一个示例性实施例提供的一种策略处理系统的架构示意图;
图4a示出了本申请一个示例性实施例提供的一种web页面的示意图;
图4b示出了本申请另一个示例性实施例提供的一种web页面的示意图;
图4c示出了本申请另一个示例性实施例提供的一种web页面的示意图;
图5示出了本申请一个示例性实施例提供的一种规则引擎的结构示意图;
图6示出了本申请一个示例性实施例提供的一种反馈信息来源的示意图;
图7示出了本申请一个示例性实施例提供的一种数据分析服务模块的结构示意图;
图8示出了本申请一种示例性实施例提供的一种机器学习平台服务模块的结构示意图;
图9示出了本申请一种示例性实施例提供的一种流式计算服务模块的结构示意图;
图10示出了本申请一种示例性实施例提供的一种数据仓库服务模块的结构示意图;
图11示出了本申请一个示例性实施例提供的一种策略处理系统的工作原理的流程示意图;
图12示出了本申请一个示例性实施例提供的一种规则引擎导入数据仓库表的示意图;
图13示出了本申请一个示例性实施例提供的一种安全策略上线流程的示意图;
图14示出了本申请一个示例性实施例提供的一种数据分析结果的示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例涉及策略,所谓策略(又称为安全策略),是指基于数据特征之上构建的各种规则,能解决某种业务问题的方案。所谓规则是指运行、动作规律所遵循的法则。此处,业务问题可包括但不限于恶意注册、盗号、诈骗、色情等等。一个业务可以对应一个或多个安全策略,例如:即时通信应用程序的登录业务可以对应安全策略一和安全策略二,安全策略一用于解决盗号问题;安全策略二用于解决诈骗问题。一个安全策略由N(N为正整数)个规则组成;例如:以上述安全策略一为例,安全策略一包括登录地规则和外挂规则,两个规则可分别或并行执行得到决策结果,也可以组合执行得到决策结果;具体地:执行登录地规则判定登录设备所在地点是否为常用登录地,如果是就可决策是盗号低风险;如果登录设备所在地点不是常用登录地,可决策是盗号中(或高)风险的决策结果。另外,当登录设备所在地点不是常用登录地,还可结合外挂规则判定,如果登录设备未使用外挂则决策为是盗号中风险,如果使用外挂则决策为是盗号高风险。
策略具有生命周期,策略生命周期包括:问题->分析->实现->生效->效果评估;策略生命周期随着问题的变化或者评估效果的欠缺会进行不断迭代,周期性工作,因此策略也被称为实时策略。参见图1,图1示出了本申请一个示例性实施例提供的一种实时策略生命周期的分析示意图;如图1所示,实时策略的生命周期可细化为如下几个流程环节:数据特征收集、数据分析、模型训练与预测、策略制定和实现、策略的上线以及评估与反馈。各个环节相互连通形成闭环,相互影响不断迭代,并且周期性工作。结合参见图2,图2示出了本申请一个示例性实施例提供的一种实时策略的生命周期中的各个环节的实现示意图;其中:(1)数据特征收集;可通过调用各种服务实现数据特征的收集和计算,此处的数据特征包括但不限于安全策略的制定所需的各种业务特征(如业务量特征、业务地点特征、业务分布特征等等)、用户特征(如用户名、密码、用户对业务的使用数据特征)等等。此处调用的各种服务可包括但不限于:统一的数据收集服务(该服务能够实现从web页面中统一收集到的策略开发者配置的数据特征)、数据仓库服务(该服务能够提供历史存储的业务特征或用户特征)、数据特征计算服务(该服务用于提供关于各种数据特征的计算服务或流式计算服务)等等。(2)数据分析环节主要是对收集到的数据特征进行分析(例如基础数据统计、异常检测等),得到分析结果,帮助制定和实现规则或模型;(3)模型训练与预测环节,主要是通过调用一些通用的机器学习平台来创建或训练一些模型,以为策略处理过程提供机器学习服务能力;(4)策略制定和实现环节,该环节可通过本申请实施例涉及的规则引擎来自动生成和实现策略;(5)策略的上线的环节,该环节按照规范标准的策略上线流程来对生成的安全策略进行发布;(6)评估和反馈环节,该环节可以借助于用户的反馈来评估安全策略的合理性和执行效果。本申请实施例提供一种策略处理系统(即如图3所示的策略平台),该策略处理系统将上述实时策略的生命周期中(1)-(6)中的各个环节进行有机地连通结合,统一集成至策略处理系统中;另外,将各个环节的通用逻辑抽象成统一的服务,这样使得各个业务场景均可以复用该通用服务,有效提升业务场景中策略处理的效率。此外,该策略处理系统还提供统一接入层,将不同业务场景的各个业务统一接入至策略处理系统中,以对各个业务进行统一的安全策略的决策处理;同时对规则引擎进行优化,该规则引擎作为各项服务的服务联结点,将实时策略生命周期中各个环节的功能服务整合起来;并且,策略处理系统还建立友好的web工作台,使得策略处理过程中的整体流程均能够进行可视化的管理。通过本申请实施例的策略处理系统,能够将策略生命周期中的各个环节的数据和技术均沉淀至统一的策略平台中,并进行统一和规范化的管理,有效地提升了策略处理的效率和效果。
下面将结合附图,对本申请实施例提出的策略处理系统进行详细介绍。
图3示出了本申请一个示例性实施例提供的一种策略处理系统的架构示意图;该策略处理系统可称为策略处理平台、策略平台、实时策略平台等等。如图3所示,策略处理系统主要分为多个层次结构,该层次结构自上而下分别为:接入层、逻辑层以及存储层。另外,策略处理系统还包括web运营模块;其中,
一、web运营模块:
web运营模块用于为策略开发者建立友好的web工作台,具体地,web运营模块可以显示web页面,该web页面可提供如下至少一种功能:①安全策略的注册、编辑功能;策略开发者可以在web页面中为业务配置或编辑安全策略;②功能插件管理功能,web运营模块为策略开发者提供多种功能插件,这些功能插件,例如可以是对策略处理系统抽取的各种通用服务进行封装形成的插件,策略开发者可以调用这些功能插件来获得通用服务,从而简化安全策略的配置流程;③数据仓库特征管理功能,该功能可以为策略开发者提供策略开发过程中所需的一些数据或特征,方便策略开发;另外还可以收集策略开发者在web页面中配置的安全策略的数据特征,并对这些数据特征进行管理;④数据分析可视化功能,用于呈现策略管理系统的数据分析过程及分析结果,方便策略开发者浏览;⑤机器学习流程的交互功能,该功能可以使策略开发者明确安全策略的生成或执行所用到的机器学习方法(或模型),并且还允许策略开发者输入针对机器学习流程的交互信息;⑥上线流程功能,该功能提供上线确认组件,例如上线接口,策略开发者在完成安全策略的配置之后,可通过该上线确认组件提交策略上线请求,并且可以在web页面中浏览到策略上线的进度和具体流程;⑦反馈和评估功能,此功能用于输出策略处理系统接收到的用户反馈信息,以及输出策略管理系统对安全策略的效果的评估结果;⑧大盘报表功能,支持以报表形式输出安全策略的评估结果,方便策略开发者直观查看安全策略的效果,辅助策略开发者基于大盘报表对安全策略进行修改或优化。总而言之,web运营模块用于把策略生命周期中所需的展示和操作全部web化,提升策略分析、制定和上线的易用性和可管理性,针对接入至策略处理系统中的任一个新业务,与该新业务对应的策略的相关工作(包括数据获取和分析、策略的制定和上线、用户反馈和评估等等工作),策略开发者均可以通过web运营模块提供的web页面来完成。
图4a示出了本申请一个示例性实施例提供的一种web页面的示意图;如图4a所示,web页面400显示有第一列表4001,该第一列表4001中包括多个业务类型(例如图中所示的业务类型1、业务类型2......);此处业务类型可包括但不限于:帐号类型、支付类型、开放平台类型等等。当第一列表4001中的目标业务类型(例如图中的业务类型1)被选中时,web页面400中显示第二列表4002,该第二列表4002包括属于目标业务类型的多个业务标识(例如图中所示的业务标识1、业务标识2....)。每个业务标识用于唯一标识目标业务类型下的一个场景业务,例如:业务标识1用于标识帐号类型下的登录场景业务,业务标识2用于标识帐号类型下的新帐号注册场景业务等等。当目标业务标识(例如图中的业务标识1)被选择时,web页面400中显示策略配置窗口,策略开发者可在此策略配置窗口中为业务标识1所标识的场景业务配置安全策略,具体地,web运营模块用于从策略配置窗口中获取为该场景业务所配置的安全策略的数据特征,并将数据特征传输给规则引擎,以由规则引擎利用数据特征为目标业务配置目标安全策略。另外,web运营模块还用来接收规则引擎返回的目标安全策略的生命周期中的各项管理数据,并在web页面中显示各项管理数据。
图4b和图4c示出了本申请另一个示例性实施例提供的一种web页面的示意图;如图4b所示,web页面400中显示有策略配置窗口4003,策略配置窗口4003可分为区域4031、4032和4033。区域4031包括节点列表,节点列表包括基础节点区和插件节点区,基础节点区包括开始节点、判断节点和返回节点。插件节点区包括策略处理系统抽取的通用服务形成的插件(如测试插件、文本类型分析插件等)。需要说明的是,针对一个规则,基础节点区中的节点为必要节点,插件节点区中节点为可选节点。由于一个业务场景下可包含多个规则,故存在多个开始节点;多个规则形成多棵规则树,在执行安全策略时,每棵规则树会被执行,执行过程中会在判断节点进行逻辑判断,得到执行结果;该执行结果通过通过返回节点返回给业务系统。区域4032用于显示安全策略的规则,支持显示规则树列表、显示表达式、显示整理布局、显示规则的源码以及规则中的字段,同时还支持关键字的查找。区域4033用于对规则中的各个节点的属性进行编辑,如新建或节点或子节点、配置修改节点参数等等,同时用于接收策略开发者所输入的逻辑条件。策略开发者可以在图4b所示的策略配置窗口4003中配置安全策略,例如图4b中所示示例:策略开发者按需依次选择区域4031中的节点,并可以在区域4033中输入安全策略的数据特征(包括节点属性和逻辑条件);这些数据特征会由web运营模块收集并同步给策略处理系统中的规则引擎,规则引擎生成的策略可以在区域4032中查看。图4c中的策略配置窗口可参见图4b中的相关描述,在此不赘述。
二、接入层:
接入层是策略处理系统与业务系统之间的桥梁。其中,业务系统是指能够为互联网用户提供业务服务的系统,业务系统可包括多种业务场景下的多项业务,例如图3中,业务系统包括业务A、业务B以及业务C,其中,业务A可以是指即时通信应用场景下的登录业务;业务B可以是支付场景下的支付业务;业务C可以是游戏场景下的虚拟道具购买业务等等。接入层提供统一的接入接口,该接入接口符合策略处理系统的接口标准规范,策略处理系统通过接入层提供的统一的接入接口可与业务系统实现连通;具体地,策略处理系统可以向业务系统提供接入指引,业务系统可以按照接入指引通过接入层提供的统一的接入接口将各项业务接入至策略处理系统中,这样可提升业务接入效率。具体实现中,策略开发者在web工作台中为目标业务配置安全策略,目标业务可以通过接入层接入至策略处理系统中,当业务系统向策略处理系统发送目标业务的请求时,就触发策略处理系统执行该目标业务对应的安全策略,并将安全策略的执行结果返回给业务系统,业务系统则可根据安全策略的执行结果来决策如何对目标业务执行处理;例如:设目标业务是登录场景业务,业务系统中的用户向业务系统请求登录,业务系统向策略处理系统转发该登录业务的请求,策略处理系统执行登录请求中的盗号安全策略,并将该安全策略的执行结果返回给业务系统,如果安全策略执行结果表示登录请求存在盗号低风险,则业务系统可决策响应用户的登录请求;如果安全策略执行结果表示登录请求存在盗号高风险,则业务系统可决定拒绝用户的登录请求。
三、逻辑层:
逻辑层是策略处理系统的核心层,逻辑层包括规则引擎,还包括策略生命周期的各个环节所需的一个或多个服务模块,这些服务模块用于提供安全策略的生命周期中所需的安全服务。逻辑层的核心是规则引擎,规则引擎用于为目标业务配置目标安全策略,并在目标安全策略的生命周期中按需调用服务模块提供的安全服务来管理目标安全策略。规则引擎被设置为策略处理系统中的服务联结点,上述至少一个服务模块均连接至规则引擎,并被规则引擎调用来配置和管理安全策略。通过规则引擎,可以使得安全策略与代码相分离,更容易实现安全策略的变更和修改。实现方式上,规则引擎可以采用lua(一种脚本语言)、Drools(用Java语言编写的开放源码规则引擎)、Groovy(一种基于JVM(Java虚拟机)的敏捷开发语言)、Haskell(一种标准化的,通用的纯函数编程语言)实现。所有的策略都离不开规则,从策略生命周期来看,机器学习训练得到的模型得到的预测结果也可转成规则进行处理,上线以及评估和反馈的对象是策略,也即是N个规则,可见规则是策略生命周期中不可缺少的因素,可以贯穿整个策略生命周期,因此策略处理系统选择规则引擎作为服务联结点,将策略处理系统中的各项安全服务整合起来。
图5示出了本申请一个示例性实施例提供的一种规则引擎的结构示意图;如图5所示,规则引擎500包括规则数据管理模块5001和规则引擎核心模块5002。其中,规则数据管理模块5001用于根据web运营模块发送的数据特征(即策略开发者在web工作台中配置的目标安全策略的数据特征)为目标业务配置目标安全策略的至少一个规则。该规则数据管理模块5001会将生成的规则同步给规则引擎核心模块5002,并且,规则数据管理模块5001还会将生成的规则发送给规则存储模块(位于存储层)进行存储。规则引擎核心模块5002包括资源管理子模块5021、同步服务子模块5022和异步服务子模块5023。其中,资源管理子模块5021用于接收规则数据管理模块5001同步发送的目标安全策略的至少一个规则,并调用至少一个测试实例(该测试实例可以从网络中获取,也可以预先存在策略处理系统中)对目标安全策略的至少一个规则进行测试,当目标安全策略的所有规则均通过测试后,发布目标安全策略(即将目标安全策略在规则引擎中进行生效)。其中,目标安全策略包括第一版本标识和第二版本标识,第一版本标识用于标识目标安全策略的第一版本,第一版本是指由资源管理子模块最新发布的版本;第二版本标识用于标识目标安全策略的第二版本;第二版本是指由资源管理子模块历史发布的版本;那么资源管理子模块5021还用于对目标安全策略进行版本管理,版本管理包括如下任一种:灰度处理、中断以及回滚。以资源管理子模块5021根据目标安全策略的各版本标识对目标安全策略的各版本进行回滚管理为例,目标安全策略的第一版本标识为FSHshj8.3,第二版本标识为FSHshj8.2;如果FSHshj8.3版本的目标安全策略生效之后发生执行故障或被评估其执行效果未达预期,则需停用该FSHshj8.3版本的目标安全策略,并将该目标安全策略的版本回滚至FSHshj8.2,此处回滚处理的手段可以是删除FSHshj8.3版本,或者将版本FSHshj8.2的目标安全策略进行更新发布,使版本标识从FSHshj8.2更新为FSHshj8.4;通过该更新发布,使更新后的第二版本标识(FSHshj8.4)变为新的第一版本标识。另外,目标安全策略被发布之后,策略处理系统可以接收用户反馈信息,资源管理子模块5021还用于获得目标安全策略对目标业务的判定准确率,并根据判定准确率对目标安全策略进行管理,其中,判定准确率可以是分数形式(如1/3)、百分比形式(20%)或比例形式(2:3)等等,本申请实施例对此不作限定。其中,同步服务子模块5022用于当策略处理系统接收到目标业务请求时,为目标业务匹配目标安全策略(从资源管理子模块5021中获得与该目标业务相匹配的最新版本的安全策略),并将该最新版本的目标安全策略发送至异步服务子模块5023中执行。
规则引擎500中还设有插件集,插件集包含多个插件,一个插件对应一个服务模块;规则引擎通过调用插件集中的插件来获得服务模块提供的安全服务。该安全服务可包括但不限于以下至少一种:数据仓储服务、频率服务、关键词匹配服务、自然语言处理服务、图片相似判断服务、反外挂检测服务、数据分析服务、流式计算服务、机器学习服务。插件(Plug-in,又称addin、add-in、addon或add-on,又译外挂)是一种遵循一定规范的应用程序接口编写出来的程序,利用该程序可对服务模块进行访问,插件(或称为功能性插件)可包括两种类型:一种是逻辑运算插件,逻辑运算插件是指对解决某种通用问题的数据运算逻辑的封装,例如计算异常点个数分数的记分卡功能;另一种是RPC插件,RPC插件是对RPC的输入和输出做封装的插件,例如,读取数据仓库插件、调用机器学习模块诸葛ML插件、关键词匹配插件等等,又如,当策略下的规则需要数据仓库中多个数据时,RPC插件可通过并发多个插件,同时获取多个数据,使得整体处理效率得到提升。策略生命周期中所处的环节不同,其所需的安全服务也有所不同,具体地:(1)数据特征收集环节所需的安全服务可包括数据仓储服务、流式计算服务(数据特征计算服务、复杂特征计算服务)等等;(2)数据分析环节所需的安全服务可包括图片相似判断服务、反外挂检测服务、数据分析服务、频率服务、关键词匹配服务等等;(3)模型训练与预测环节所需的服务可包括机器学习服务,该机器学习服务可提供离线训练和实时预测的服务;(4)策略制订和实现环节及策略上线环节所需的服务可包括数据仓储服务、数据分析服务等等;(5)反馈和评估环节所需的服务可包括用户反馈和策略评估的服务、对策略的管理服务等,可基于用户反馈信息快速发现策略的效果。
如前述,规则引擎通过调用插件获得的服务模块提供的各项安全服务来为目标业务配置目标安全策略,以及执行目标安全策略,提升了目标安全策略的管理效率。下面以服务模块包括用户反馈与策略评估服务模块、数据分析服务模块、机器学习平台服务模块、流式计算服务模块、数据仓库服务模块以及通用安全能力服务模块为例介绍各个服务模块提供的安全服务。
1)用户反馈与策略评估服务模块:
用户反馈与策略评估服务模块用于提供用户反馈服务。具体地,用户反馈与策略评估服务模块设置有统一的反馈接口,用户反馈与策略评估服务模块通过统一的反馈接口接收目标业务所涉及的用户反馈信息,根据用户反馈信息评估目标安全策略对目标业务的判定准确率,相应的,规则引擎包括的资源管理子模块5021可通过插件调用用户反馈与策略评估服务模块中针对目标业务的判定准确率,并根据判定准确率对目标安全策略进行版本管理。其中,反馈信息可以包括:目标业务的用户受到安全打击后的投诉反馈,以及用户对一些可疑恶意的举报类反馈。可参见图6,图6示出了本申请一个示例性实施例提供的一种反馈信息来源的示意图。另外,用户反馈与策略评估服务模块还用于主动下发反馈,所谓的主动下发反馈是指在策略处理系统发送打击消息时,规则引擎发送一条通知消息给被打击用户;用户可通过通知消息查看被打击原因,以及填写反馈意见;并将反馈意见返回给策略处理系统,以便于策略处理系统判断此次打击是否为误判。以即时通信安全场景为例进行说明,在web运营模块显示的web页面中,用户可主动勾选是否开启即时通信安全场景中策略处理系统主动下发反馈入口;如果勾选,则规则引擎在对目标业务进行打击时,规则引擎通过异步服务子模块5023下发一条通知消息给被打击用户,其中,通知消息包含用户被打击的原因和反馈页面链接;用户可通过点击反馈页面链接提交反馈意见(如反馈表单);相应的,策略处理系统依据反馈意见来判断此时打击是否为误判;如果是误判,则策略处理系统可对安全策略进行优化,以提高打击的准确率,也提高用户体验。另外,用户反馈与策略评估服务模块还支持策略评估服务,策略评估包括:①用户反馈评估,是使用用户反馈系统数据进行的。②人工分拣评估,是指分别对安全策略所包含的规则进行打击、安全策略放过两种情况进行随机抽样,并通过人工审核确认误判和漏过,这个流程是分拣系统做支持。人工分拣限于人力有限,一般做专项,或者按照预设周期(如一个月一次)的常规分拣。③自建审计模型评估,是指安全策略的运营人员自己去建立一个对恶意和好人的审计,策略处理系统提供一个存储结果数据的规范,只要结果被存储,策略处理系统自动根据打击数据计算准确率和覆盖率。另外,策略处理系统可基于策略评估的结果自动生成安全策略的报表,其中,安全策略的报表包含的信息可以包括但不限于:目标业务的业务量、目标业务的打击量、目标业务的审计量、用户投诉、打击的准确率以及打击的覆盖率等等。另外,策略处理系统除了生成安全策略的报表以外,策略处理系统还支持生成安全策略的规则的报表,比如,针对安全策略的最小粒度的一条规则生成报表,规则报表包含的信息包括但不限于:这条规则的打击量、投诉量、人工分拣准确率等等。
用户反馈与策略评估模块还可以在执行目标业务的安全策略之后接收业务系统返回的反馈信息,并对反馈信息进行分析,或人工评估该反馈信息,以决策此次执行结果是否为误判。在此实施方式下,策略处理系统同样会涉及用户反馈、策略评估以及自动生成报表,具体地可参照上述实施例的相关描述,在此不作赘述。
2)数据分析服务模块:
数据分析服务模块用于提供数据分析服务。具体地,数据分析服务模块用于对策略处理系统中的数据或业务请求等信息进行数据分析,并将数据分析结果输出给web运营模块,由web运营模块在web页面中进行显示。其中,数据分析服务模块包括至少一种数据分析方法,数据分析服务模块采用数据分析方法执行上述提及的数据分析,其中,数据分析方法可包括但不限于统计、分析、趋势变化以及异常检测等等方法。另外,数据分析服务模块本身包含了请求和返回数据、证明数据等等数据,因此,数据分析服务模块还可用于日常运营投诉查询等等。参见图7,图7示出了本申请一个示例性实施例提供的一种数据分析服务模块的结构示意图;如图7所示,数据分析服务模块700可用于支持web运营模块提供的多项服务(拉全量数据仓库服务、提供已封装分析方法服务、可视化服务以及sql语句服务)。数据分析服务模块包括分析逻辑子模块、数据入库MQ子模块以及底层存储子模块(如Elasticsearch),其中,分析逻辑子模块用于管理数据分析方法,具体地,分析逻辑子模块可用于对数据分析方法不断增加、沉淀和共享;数据入库MQ子模块用于接收并存储规则引擎发送的数据特征,其中,数据特征可以是在web页面中由策略开发者配置生成的,或者,数据特征是规则引擎通过调用数据仓库服务模块拉取到的与策略开发者提供的数据特征具有关联关系的数据特征,或者,数据特征是数据分析服务模块从数据分析存储模块中拉取到的与策略开发者提供的数据特征具有关联关系的数据特征;底层子模块(如Elasticsearch)用于数据查询或统计,可实现以秒为级别的速度进行数据查询或统计,提高数据分析速率。
3)机器学习平台服务模块:
机器学习平台服务模块用于提供机器学习服务,具体地,机器学习平台服务模块用于采用多种算法对样本数据进行训练,得到训练模型;当下一次输入数据时,基于训练模型可直接获取针对输入数据的预测结果。参见图8,图8示出了本申请一种示例性实施例提供的一种机器学习平台服务模块的结构示意图;如图8所示,机器学习平台服务模块800包括样本系统和机器学习平台(例如诸葛机器学习平台),其中,样本系统用于接收数据分析服务模块提供的正负样本,以便于机器学习平台基于正负样本进行模型训练,得到训练结果,机器学习平台用于接收规则引擎发送的请求,并基于请求中携带的数据进行预测,得到预测结果并返回给规则引擎,由规则引擎结合预测结果来生成安全策略。
4)流式计算服务模块:
流式计算服务模块用于提供流式计算服务。对于大规则行为流,需要统计各种维度数据的频率、交叉不同维度数据进行特征计算、某种行为模式识别等,这就需要流式计算。具体地,流式计算服务模块用于对大规模流动数据实时地进行分析,捕捉到可能有用的信息。参见图9,图9示出了本申请一种示例性实施例提供的一种流式计算服务模块的结构示意图;如图9所示,流式计算服务模块900包括生成数据子模块、消费数据子模块、kafka子模块以及flink子模块。其中,生产数据子模块用于接收规则引擎发送的业务请求以及数据仓库发送的业务数据流(如MMData业务数据),生产数据子模块还用于将业务请求以及业务数据流转发给kafka子模块。kafka子模块用于转发业务请求以及业务数据流给flink子模块,kafka子模块还用于将来自flink子模块的计算结果发送给消费数据子模块。flink子模块用于对业务请求以及业务数据流进行计算,并将计算结果写入kafka子模块。消费数据子模块用于调用规则引擎进行安全策略的配置,消费数据子模块还用于将计算结果存储至数据仓库,供其他服务模块使用。
5)数据仓库服务模块:
数据仓库服务模块用于提供数据仓库服务。对于海量的数据,往往需要一个合理的数据管理规范来对数据以及数据的特征进行管理,实现将所有有价值的数据以及数据的特征用统一的数据管理规范放在一起,这就需要数据仓库服务。参见图10,图10示出了本申请一个示例性实施例提供的一种数据仓库服务模块的结构示意图;如图10所示,数据仓库服务模块1000用于支持web运营模块提供的多项服务(特征管理服务、特征查询服务以及特征分析服务);数据仓库服务模块包括接口层、读写层,其中,接口层用于规范读入数据仓库的数据的格式,或将读入数据仓库的数据的数据类型转换为数据仓库所要求的数据类型,读写层用于实时读写或离线写实时读,这样可实现数据的规范化管理,真正发挥大数据的优势。
6)通用安全能力服务模块:
通用安全能力服务模块用于提供通用安全能力服务。如果多个业务场景均需要进行自然语言处理、关键词匹配处理等处理逻辑,假设将通用安全处理逻辑抽象成统一的通用安全服务,那么策略开发者不用为每个业务场景提供上述处理逻辑,可以减少策略开发者的工作量,提高工作效率。基于此,本申请实施例提供通用安全能力服务模块,该通用安全能力服务模块用于抽取多个业务场景中的通用安全处理逻辑形成通用安全能力服务;其中,通用安全能力服务包括以下至少一种:频率服务、关键词匹配服务、自然语言处理服务、图片相似判断服务、反外挂检测服务等等。
四、存储层:
存储层用于存储数据,具体地,存储层包括多个存储模块,多个存储模块用于存储数据类型不相同的数据。存储层中的存储模块可包括但不限于数据仓库、数据分析存储模块、策略规则存储模块以及请求流水存储模块。其中,数据仓库(Data Warehouse,DW或DWH)是决策支持系统(dss)和联机分析应用数据源的结构化数据环节,数据仓库采用一套数据管理规范用于对数据仓库中的数据进行分类管理,这样有利于开发和数据的共享,其中,数据仓库中的数据可包括用户信息(账号信息、用户好友通讯录、群等等)、设备信息(设备标识)等等数据。存储层中的这些存储模块用于为逻辑层中的规则引擎和服务模块提供存储支持;具体地:规则引擎可以通过插件调用数据仓库服务模块,并通过数据仓库服务模块来可访问数据仓库中的数据。数据分析存储模块可用于存储数据分析服务模块输出的数据(如数据分析结果)。规则引擎可以通过插件调用数据分析服务模块,并通过数据分析服务模块访问数据分析存储模块的数据。策略规则存储模块可用于存储安全策略、安全策略的各个规则等等。规则引擎可将配置成功的安全策略存储至策略规则存储模块等等。请求流水存储模块可用来存储历史业务请求的信息(比如,业务请求时间、设备标识等等)。规则引擎的同步服务子模块5022接收到业务请求时,可将业务请求存储至请求流水存储模块。
基于前述介绍的策略处理系统,下面将结合图11对该策略处理系统的工作原理进行详细介绍。图11示出了本申请一个示例性实施例提供的一种策略处理系统的工作原理的流程示意图,该流程可包括如下步骤S1101-S1106,其中,步骤S1103-S1105所描述的策略处理方法可以由策略处理系统中的规则引擎执行,其中:
S1101,web运营模块显示web页面。
S1102,web运营模块在web页面中获取为目标业务所配置的目标安全策略的数据特征。
策略处理系统可以给策略开发者开放权限,允许策略开发者使用策略处理系统。策略开发者进入策略处理系统中即可看到如图4a所示的web页面。策略开发者在图4a所示的web页面中选中目标业务标识,进入至图4b所示的策略配置窗口中,来为目标业务配置目标安全策略。web运营模块从该策略配置窗口中获得策略开发者所配置的目标安全策略的第一数据特征。
S1103,规则引擎为目标业务配置目标安全策略。
具体地,规则引擎根据数据特征配置针对目标业务的目标安全策略。其中,数据特征包括第一数据特征和第二数据特征,第一数据特征是web运营模块向规则引擎发送的请求中携带的数据特征(web运营模块从策略配置窗口中获得的);第二数据特征是从存储层中的存储模块(如数据仓库)中获取的与第一数据特征存在关联关系的数据特征。其中,上述提及的web运营模块发送给规则引擎的请求是由一个基础请求(如baserequest)和一个计算机命令(如map)组成,baserequest包括基础的字段,例如uin、touin、clientip、deviceid等。map中的key是变量名称,value是变量值,支持常见数据类型,包括整型、浮点型、字符串等。
在一种实现方式中,规则引擎为目标业务配置目标安全策略的方式可包括:规则引擎接收web运营模块通过web页面收集到的为目标业务所配置的目标安全策略的第一数据特征;规则引擎通过插件调用流式计算服务模块对第一数据特征进行流式计算,获得流式计算结果;规则引擎通过插件调用数据仓库服务模块获取目标安全策略的第二数据特征;规则引擎根据流式计算结果和第二数据特征生成目标安全策略。其中,规则引擎根据流式计算结果和第二数据特征生成目标安全策略的方式可包括但不限于:将流式计算结果和第二数据特征组成特征向量;通过插件调用机器学习平台服务模块对特征向量进行预测处理,得到目标安全策略。
S1104,规则引擎确定目标安全策略的生命周期中所需的安全服务。
需要说明的是,目标安全策略的生命周期中所需的安全服务由策略处理系统所包括的各个服务模块提供。规则引擎可以通过插件集中的插件调用各个服务模块的安全服务,这包括:
(1)规则引擎调用数据仓库服务模块提供的数据仓库服务。图12示出了本申请一个示例性实施例提供的一种规则引擎导入数据仓库表的示意图;参见图12,策略开发者在web页面配置目标安全策略时,只需填写变量名(key)以及表标识(表ID);该Key和表ID就会作为第一数据特征传输给规则引擎,那么规则引擎可根据表ID从数据仓库中获取这个表的所有字段来进行目标安全策略的规则的生成,非常便捷。
(2)规则引擎调用流式计算服务模块提供的流式计算服务。具体地,规则引擎将web运营模块发送的请求中所携带的第一数据特征发送给流式计算服务模块,这个发送是规则引擎自动进行,不需要策略开发者进行配置。同时MMData业务数据流以及数据仓库中的存储的相关第二数据特征的业务数据流也可以配置转发给流式计算服务模块。流式计算服务模块中的Flink(开源流处理框架)计算到结果后,将结果重新写Kafka(开源流处理平台)。流数据代理模块从Kafka拉取结果进行处理,此处的处理可包括:将结果涉及的所有数据流特征写入至数据仓库中供整个策略处理系统调用;或者将结果返回给规则引擎,使得规则引擎基于此结果进行目标安全策略的生成。
(3)规则引擎调用机器学习平台服务模块提供的机器学习服务。虽然机器学习平台服务模块已经是一站式服务,但机器学习平台服务模块有一个不方便的细节,就是收集数据特征样本的能力较缺乏。本申请实施例中,规则引擎将web运营模块发送的请求中所携带的第一数据特征进行流式计算后得到的流式计算结果和从数据仓库获得的第二数据特征组成特征向量,这个特征向量就可以作为样本数据来进行模型的训练和预测。结合图8,具体是:规则引擎将这个特征向量发送给数据分析服务模块,由数据分析服务模块筛选正负样本,规则引擎则会将该正负样本导入至机器学习平台服务模块中,由机器学习平台服务模块进行训练得到模型。在规则引擎配置目标安全策略的过程中,这个训练得到的模型可以对规则引擎依据流式计算结果和从数据仓库获得的第二数据特征组成特征向量进行预测,并向规则引擎返回预测结果,规则引擎就可以根据该预测结果来生成目标安全策略。简言之,策略处理系统可以从web页面获取目标安全策略的第一数据特征,该第一数据特征进行流式计算后得到的流式计算结果及数据仓库中的与之相关的第二数据特征组成的特征向量会被分析为正负样本返回至web页面中显示;策略处理系统可在web页面中选择正负样本,跳转至机器学习平台服务模块中的机器学习平台进行训练,规则引擎打开调用机器学习平台的开关就可获得预测结果,并依据该预测结果来生成目标安全策略,整个过程可视化且操作十分便捷。
S1105,规则引擎调用服务模块提供的安全服务来管理目标安全策略。
规则引擎管理目标安全策略的方法可包括:目标安全策略生效之前对目标安全策略进行测试,基于测试结果对目标安全策略的优化;以及目标安全策略生效后,当接收到目标业务请求时执行目标安全策略,基于执行结果对目标安全策略的优化。
在一种实现方式中,规则引擎在目标安全策略生效之前对目标安全策略进行测试;并通过插件调用数据分析服务模块分析测试过程中得到的数据分析结果,根据数据分析结果优化目标安全策略。可以理解的是,一个新版本的目标安全策略在发布之前,需要进行测试,只有测试结果满足预期条件,才会将该新版本的目标安全策略发布生效。参见图13,图13示出了本申请一个示例性实施例提供的一种安全策略上线流程的示意图;如13所示,策略处理系统对安全策略的上线流程为:(1)一个新版本的安全策略在配置完成后,规则引擎对该新版本的安全策略中的规则进行评审(如检查规则的格式是否正确,或规则的完整性等等);此处的评审也可采用人工评审,即由策略开发人员来进行评审;如果评审未通过,则返回至策略配置阶段,由策略开发人员对该新版本的安全策略的规则进行优化;(2)如果评审通过,规则引擎对该新版本的安全策略的规则执行空跑,所谓策略空跑其实就是对该新版本的安全策略执行测试的过程,通过从存储层或外部设备获取业务数据,基于业务数据执行安全策略,得到空跑数据;规则引擎会调用数据分析服务模块来对空跑数据进行分析,该分析主要包括:分析新旧版本的安全策略的差异(例如针对同一业务请求新版本的安全策略与旧版本的安全策略的打击结果差异,该差异包括新版本的安全策略未进行打击而旧版本的安全策略进行了打击,或者新版本的安全策略进行打击而旧版本的安全策略未进行打击);以及分析该新版本的安全策略在空跑过程中是否命中白名单(根据用户信誉等级设置有不同等级的白名单,当命中1级白名单(该1级白名单中包括信誉等级较高的用户)时,可人工筛选是否为误判);通过上述分析来判断该新版本的安全策略是否符合预期;(3)如果新版本的安全策略的性能优于旧版本号的安全策略的性能,以及该新版本的安全策略在空跑过程中没有命中白名单(或命中白名单,但以人工筛选排除),则确定该新版本的安全策略符合全面上线条件,规则引擎会将该新版本的安全策略全面上线,包括在规则引擎中生效该新版本的安全策略,并为该新版本的安全策略分配新版本号。
如前述,规则引擎通过插件调用数据分析服务模块来分析测试过程中得到的数据分析结果,可包括:对空跑数据的分析以及生效执行阶段对执行结果数据和反馈信息的分析。结合图7,具体地:目标安全策略对目标业务的安全打击其实质就是要从数据中发现恶意的请求或用户,这本质上就是数据分析;所以本申请实施例引入数据分析服务模块,该数据分析服务模块具备如下特点:①速度快;针对统计类数据的分析可以在分钟级别内得到分析结果;针对算法类数据也可以是10分钟内返回分析结果。②可视化:图14示出了本申请一个示例性实施例提供的一种数据分析结果的示意图;如图14所示,数据分析结果可以在web页面以曲线、饼图、柱状图或聚类图等形式显示。③自动化:半自动或自动化地实现数据分析,例如异常检测过程中,可以自动化地发现异常和恶意;④数据分析方法可沉淀或共享:此处的数据分析方法包括统计、分布、趋势变化和无监督异常检测等方法,有监督类算法的分析可与机器学习平台服务模块进行交互和共享;另外,数据分析服务模块服务范围较广,可用于日常运营投诉查询、各种数据分析的统一管理等等。⑤选用Elasticsearch作为底层存储,可实现以秒级别进行数据查询和统计,提高数据分析速度;还可以对不同的业务场景生成大盘数据报表并在web页面中可视化呈现。综上所述,规则引擎通过插件调用数据分析服务模块的数据分析服务,该数据分析服务可包括但不限于:(1)分析新旧版本的目标安全策略的差异;规则引擎可根据差异优化新版本的目标安全策略,提高目标安全策略的质量。具体实现中,当同一目标业务作用于目标安全策略的新旧版本时,可得到新版本的目标安全策略对目标业务的打击效果和旧版本的目标安全策略对目标业务的打击效果,例如,新版本的目标安全策略可对目标业务—盗取账号的打击率为45%,旧版本的目标安全策略对盗取账号的打击率为50%,则规则引擎可基于新旧版本的目标安全策略对盗取账号的打击率的差异性,优化新版本的目标安全策略,进而提升新版本的目标安全策略在打击率方面的性能。(2)分析用户反馈信息;当拦截量飙升时,规则引擎可立即停止执行目标安全策略,避免发生大规模的误判或漏判规则引擎。(3)请求重放。规则系统可以从数据分析服务模块获得某一历史时间段的历史业务请求进行数据分析过程及结果的重放;等等;(4)多重分析确认,包括前述提及的白名单命中确认、用户反馈确认等等。
在另一种实现方式中,新版本的目标安全策略生效之后,当规则引擎接收到目标业务请求时执行该新版本的目标安全策略;规则引擎通过插件调用用户反馈和策略评估服务模块获得目标安全策略对目标业务的判定准确率,并根据判定准确率对目标安全策略进行版本管理。其中,目标业务请求来自于业务系统,目标业务请求可携带与目标业务相匹配的目标安全策略的标识(如目标安全策略的版本号等等);规则引擎为目标业务匹配该目标安全策略。详细地,规则引擎中的同步服务子模块接收业务系统发送的目标业务请求后,会根据目标业务请求中携带的策略标识从存储层中获取策略标识相对应的目标安全策略;并将该目标安全策略将由规则引擎中的异步服务子模块执行,得到执行结果;同步服务子模块将执行结果返回给业务系统,由业务系统根据执行结果来对目标业务请求进行决策响应。策略处理系统中逻辑层的用户反馈与策略评估服务模块设有统一反馈接口接收反馈信息,业务系统根据目标安全策略的执行结果对目标业务请求决策之后,还会接收目标业务的请求用户发送的反馈信息,例如:登录业务的盗号安全策略场景中,规则引擎执行盗号安全策略得到的执行结果为存在盗号高风险,业务系统依据该执行结果拒绝用户的登录业务,该用户可向业务系统发起投诉,业务系统会将用户的投诉作为反馈信息转发给策略处理系统,其中,反馈信息用于提示目标安全策略可能对目标业务发生了误判或漏判等等问题。策略处理系统中的用户反馈与策略评估服务模块可基于反馈信息确定目标安全策略对目标业务的判定准确率,相应的,规则引擎调用判定准确率,并根据判定准确率对目标安全策略进行版本管理(优化)。
S1106,web运营模块在web页面中显示目标安全策略、目标安全策略的执行过程及目标安全策略的执行结果。
规则引擎将目标安全策略、目标安全策略的执行过程及目标安全策略的执行结果均返回给web运营模块进行显示。其中,目标安全策略需要清晰展示,例如将目标安全策略中的各个规则的语义、表达式等等清晰明了地呈现,并不仅限于显示一串代码。目标安全策略的执行过程的显示包括:目标安全策略在执行过程中所使用的各项安全服务的显示,例如数据分析结果的显示、机器学习服务过程中的正负样本的显示等等。目标安全策略的执行结果的显示包括是否打击、打击率等等。
综上所述,本申请实施例中,策略处理系统集成了规则引擎和至少一个服务模块,其中,至少一个服务模块包括策略生命周期中每个环节对应的服务模块,这样策略处理系统集成了安全策略的生命周期中所需的所有安全服务,提高策略处理系统的集成性,从而提升策略处理系统的效率、效果和质量;规则引擎被设置为策略处理系统中的服务联结点,将策略处理系统中的各个服务模块连接在一起,并调用各个服务模块提供的安全服务来为目标业务配置目标安全策略,这样规则引擎可通过调用各个服务模块自动生成并执行安全策略,使得安全策略从配置、实现、上线等流程的各个环节能够被智能化地自动执行,提升了策略处理过程的专业化和效率。
实际应用中,将本申请实施例提供的策略处理系统与现有技术中主流的策略处理方案进行了对比,各个对比项的情况如下表1所示,其中旧系统表示现有技术中主流的策略处理系统,而新策略处理系统表示本申请实施例提供的策略处理系统:
表1:新旧策略处理系统对比项列表
对比项(一般情况下) | 旧系统 | 新策略处理系统 | 提升率(倍) |
新业务接入并初始化安全策略 | 16小时 | 4小时 | 3 |
数据分析耗时 | 2小时 | 1小时 | 1 |
安全策略日常修改 | 40分钟 | 10分钟 | 3 |
安全策略测试和效果验证耗时 | 30分钟 | 10分钟 | 2 |
安全策略上线耗时 | 40分钟 | 30分钟 | 0.33 |
日常运营数据提取 | 30分钟 | 5分钟 | 5 |
误判投诉分析 | 10分钟 | 2分钟 | 5 |
由表1所示的各项对比项的数据可知,本申请实施例提供的策略处理系统在各对比项上都有明显的提升,相比旧系统,本申请实施例提出的新的策略处理系统通过集成化、专业化的策略处理,获得高效率的提升。
本申请实施例还提供一种策略处理设备,该策略处理设备搭载如前述所描述的策略处理系统;该策略处理设备可以是一个硬件实体设备,例如策略处理设备可以是服务器。也就是说,可以将前述描述的策略处理系统封装至一个硬件设备(例如服务器)中,形成本申请实施例的策略处理设备。该策略处理设备可以被设置在各种业务场景中,处于各种业务场景中的策略处理设备基于其搭载的策略处理系统,能够为各种业务场景中的各项业务提供策略服务,并在提供策略服务的过程中将策略生命周期中的各个环节的数据和技术均沉淀至统一的策略平台中,并进行统一和规范化的管理,有效地提升了策略处理的效率和效果。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (15)
1.一种策略处理系统,其特征在于,所述策略处理系统集成有规则引擎和至少一个服务模块;所述规则引擎被设置为所述策略处理系统中的服务联结点,所述至少一个服务模块均连接至所述规则引擎,并被所述规则引擎调用;其中,
所述服务模块,用于提供安全策略的生命周期中所需的安全服务;
所述规则引擎,用于为目标业务配置目标安全策略,并在所述目标安全策略的生命周期中按需调用所述服务模块提供的安全服务来管理所述目标安全策略。
2.如权利要求1所述的策略处理系统,其特征在于,所述策略处理系统包括逻辑层,所述规则引擎和所述至少一个服务模块均设置于所述逻辑层中;所述规则引擎中设有插件集,所述插件集中包括多个插件,一个插件对应一个服务模块;所述规则引擎通过调用所述插件集中的插件来获得所述服务模块提供的安全服务。
3.如权利要求1所述的策略处理系统,其特征在于,所述目标安全策略由至少一个规则组成;所述规则引擎包括规则数据管理模块,所述规则数据管理模块用于为所述目标业务配置所述目标安全策略的至少一个规则。
4.如权利要求1所述的策略处理系统,其特征在于,所述目标安全策略由至少一个规则组成;所述规则引擎包括规则引擎核心模块,所述规则引擎核心模块中设有资源管理子模块、同步服务子模块和异步服务子模块;
所述资源管理子模块用于调用至少一个测试实例对所述目标安全策略的至少一个规则进行测试,并当所述目标安全策略的所有规则均通过测试后,发布所述目标安全策略;
所述同步服务子模块用于当所述管理系统接收到目标业务请求时,为所述目标业务匹配所述目标安全策略;
所述异步服务子模块用于执行所述目标安全策略;
其中,所述目标安全策略包括第一版本标识和第二版本标识,所述第一版本标识用于标识所述目标安全策略的第一版本,所述第一版本是指由所述资源管理子模块最新发布的版本;所述第二版本标识用于标识所述目标安全策略的第二版本;所述第二版本是指由所述资源管理子模块历史发布的版本;所述资源管理子模块还用于对所述目标安全策略进行版本管理,所述版本管理包括以下任一种:灰度处理、中断以及回滚。
5.如权利要求1所述的策略处理系统,其特征在于,所述服务模块包括用户反馈与策略评估服务模块,所述用户反馈和策略评估服务模块设置有统一的反馈接口,所述用户反馈与策略评估服务模块通过所述统一的反馈接口接收所述目标业务所涉及的用户反馈信息,并根据所述用户反馈信息评估所述目标安全策略对所述目标业务的判定准确率;
所述规则引擎通过插件调用所述用户反馈与策略评估服务模块,获得所述判定准确率,并根据所述判定准确率对所述目标安全策略进行管理。
6.如权利要求1所述的策略处理系统,其特征在于,所述服务模块包括通用安全能力服务模块,所述通用安全能力服务模块用于抽取多个业务场景中的通用安全处理逻辑形成通用安全能力服务;所述通用安全能力服务包括以下至少一种:频率服务、关键词匹配服务、自然语言处理服务、图片相似判断服务、反外挂检测服务;
所述规则引擎通过插件调用所述通用安全能力服务模块提供的所述通用安全能力服务来为目标业务配置和执行所述目标安全策略。
7.如权利要求1所述的策略处理系统,其特征在于,所述服务模块包括以下至少一种:数据仓库服务模块、机器学习平台服务模块、流式计算服务模块和数据分析服务模块;所述规则引擎通过插件调用所述数据仓库服务模块提供的数据仓储服务,通过插件调用所述机器学习平台服务模块提供的机器学习服务,通过插件调用所述流式计算服务模块提供的流式计算服务,以及通过插件调用所述数据分析服务模块提供的数据分析服务,并且所述规则引擎采用调用获得的各项安全服务来为目标业务配置所述目标安全策略,以及执行所述目标安全策略。
8.如权利要求1所述的策略处理系统,其特征在于,所述策略处理系统还包括web运营模块;
所述web运营模块,用于显示web页面,并在所述web页面中获取为目标业务所配置的安全策略的数据特征,并将所述数据特征传输给所述规则引擎,以由所述规则引擎利用所述数据特征为所述目标业务配置所述目标安全策略;以及,
所述web运营模块,还用于接收所述规则引擎返回的所述目标安全策略的生命周期中的各项管理数据,并在所述web页面中显示所述各项管理数据。
9.如权利要求8所述的策略处理系统,其特征在于,所述web页面显示有第一列表,所述第一列表中包括多个业务类型;
当第一列表中的目标业务类型被选中时,所述web页面中显示第二列表,所述第二列表包括属于所述目标业务类型的多个业务标识;
当所述目标业务标识被选择时,所述web页面中显示策略配置窗口,所述web运营模块从所述策略配置窗口中获取为所述目标业务所配置的安全策略的数据特征。
10.如权利要求1所述的策略处理系统,其特征在于,所述策略处理系统与业务系统相连接,所述业务系统用于处理互联网用户请求的多项业务,所述目标业务为所述多项业务中的任一项;
所述策略处理系统包括接入层,所述接入层提供统一的接入接口,所述业务系统中的各项业务通过所述统一的接入接口接入至所述策略处理系统中;
所述业务系统在检测到目标业务请求时,向所述规则引擎转发所述目标业务请求,所述规则引擎为所述目标业务匹配所述目标安全策略,并执行所述目标安全策略得到执行结果,所述规则引擎将所述目标安全策略的执行结果返回给所述业务系统,由所述业务系统根据所述目标安全策略的执行结果对所述目标业务请求进行决策响应。
11.如权利要求1所述的策略处理系统,其特征在于,所述策略处理系统包括存储层,所述存储层包括存储模块,所述存储模块用于为所述规则引擎和所述服务模块提供存储支持;所述存储模块包括以下至少一个模块:数据仓库、数据分析存储模块、策略规则存储模块及请求流水存储模块。
12.一种策略处理方法,其特征在于,所述策略处理方法由策略处理系统中的规则引擎执行,所述策略处理系统包括所述规则引擎和至少一个服务模块;所述规则引擎被设置为所述策略处理系统中的服务联结点,所述至少一个服务模块均连接至所述规则引擎,并被所述规则引擎调用;所述策略处理方法包括:
为目标业务配置目标安全策略;
确定所述目标安全策略的生命周期中所需的安全服务;
调用所述服务模块提供的安全服务来管理所述目标安全策略。
13.如权利要求12所述的方法,其特征在于,所述服务模块包括数据仓库服务模块和流式计算服务模块;所述策略处理系统还包括web运营模块;所述为目标业务配置目标安全策略,包括:
接收web运营模块通过web页面收集到的为目标业务所配置的目标安全策略的第一数据特征;
通过插件调用所述流式计算服务模块对所述第一数据特征进行流式计算,获得流式计算结果;
通过插件调用所述数据仓库服务模块获取所述目标安全策略的第二数据特征;
根据所述流式计算结果和所述第二数据特征生成所述目标安全策略。
14.如权利要求13所述的方法,其特征在于,所述服务模块还包括机器学习平台服务模块;所述根据所述流式计算结果和所述第二数据特征生成所述目标安全策略,包括:
将所述流式计算结果和所述第二数据特征组成特征向量;
通过插件调用所述机器学习平台服务模块对所述特征向量进行预测处理,得到所述目标安全策略。
15.如权利要求12所述的方法,其特征在于,所述服务模块包括数据分析服务模块,以及用户反馈和策略评估服务模块;所述调用所述服务模块提供的安全服务来管理所述目标安全策略,包括:
在所述目标安全策略生效之前对所述目标安全策略进行测试;
通过插件调用所述数据分析服务模块分析所述测试过程得到的数据分析结果,根据所述数据分析结果优化所述目标安全策略;
在所述目标安全策略生效之后,当接收到目标业务请求时执行所述目标安全策略;以及,
通过插件调用所述用户反馈和策略评估服务模块获得所述目标安全策略对所述目标业务的判定准确率,并根据所述判定准确率对所述目标安全策略进行版本管理。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010650074.5A CN113918534A (zh) | 2020-07-08 | 2020-07-08 | 一种策略处理系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010650074.5A CN113918534A (zh) | 2020-07-08 | 2020-07-08 | 一种策略处理系统及方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113918534A true CN113918534A (zh) | 2022-01-11 |
Family
ID=79231636
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010650074.5A Pending CN113918534A (zh) | 2020-07-08 | 2020-07-08 | 一种策略处理系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113918534A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114338231A (zh) * | 2022-02-22 | 2022-04-12 | 浙江网商银行股份有限公司 | 策略处理方法及系统 |
CN117894476A (zh) * | 2024-03-12 | 2024-04-16 | 西南医科大学附属医院 | 一种基于云数据的生殖健康管理系统 |
-
2020
- 2020-07-08 CN CN202010650074.5A patent/CN113918534A/zh active Pending
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114338231A (zh) * | 2022-02-22 | 2022-04-12 | 浙江网商银行股份有限公司 | 策略处理方法及系统 |
CN114338231B (zh) * | 2022-02-22 | 2023-10-31 | 浙江网商银行股份有限公司 | 策略处理方法及系统 |
CN117894476A (zh) * | 2024-03-12 | 2024-04-16 | 西南医科大学附属医院 | 一种基于云数据的生殖健康管理系统 |
CN117894476B (zh) * | 2024-03-12 | 2024-05-14 | 西南医科大学附属医院 | 一种基于云数据的生殖健康管理系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10484413B2 (en) | System and a method for detecting anomalous activities in a blockchain network | |
US7003781B1 (en) | Method and apparatus for correlation of events in a distributed multi-system computing environment | |
WO2019212857A1 (en) | Systems and methods for enriching modeling tools and infrastructure with semantics | |
CN107924406A (zh) | 选择用于对实时数据流执行的查询 | |
CN109120429B (zh) | 一种风险识别方法及系统 | |
CN112181960B (zh) | 一种基于AIOps的智能运维框架系统 | |
CN111176867B (zh) | 数据共享交换及开放应用平台 | |
CN106815125A (zh) | 一种日志审计方法及平台 | |
CN112632135A (zh) | 一种大数据平台 | |
CN112612813B (zh) | 一种测试数据的生成方法和装置 | |
CN114791846B (zh) | 一种针对云原生混沌工程实验实现可观测性的方法 | |
CN112733045B (zh) | 用户行为的分析方法、装置及电子设备 | |
CN113918534A (zh) | 一种策略处理系统及方法 | |
KR100910336B1 (ko) | 논리 프로세스 및 물리 프로세스 모델을 맵핑한 비즈니스 프로세스 모델을 관리하기 위한 시스템 및 방법 | |
CN114419631A (zh) | 一种基于rpa的网管虚拟系统 | |
CN114092246A (zh) | 金融交易链路的问题定位方法及装置 | |
Aghili et al. | Studying the characteristics of AIOps projects on GitHub | |
US20200327125A1 (en) | Systems and methods for hierarchical process mining | |
CN116739605A (zh) | 交易数据检测方法、装置、设备及存储介质 | |
CN116089490A (zh) | 数据分析方法、装置、终端和存储介质 | |
CN115422202A (zh) | 业务模型的生成方法、业务数据查询方法、装置及设备 | |
CN112199275B (zh) | 一种组件接口测试分析方法、装置、服务器以及存储介质 | |
CN112862598A (zh) | 渠道信息管理方法、装置、电子设备及介质 | |
Liu et al. | Drift: Fine-Grained Prediction of the Co-Evolution of Production and Test Code via Machine Learning | |
Koch | Migrating monolithic architectures to microservices: a study on software quality attributes |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40064637 Country of ref document: HK |
|
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |