CN114666203A - 规则处理方法、装置、电子设备和介质 - Google Patents

规则处理方法、装置、电子设备和介质 Download PDF

Info

Publication number
CN114666203A
CN114666203A CN202210322477.6A CN202210322477A CN114666203A CN 114666203 A CN114666203 A CN 114666203A CN 202210322477 A CN202210322477 A CN 202210322477A CN 114666203 A CN114666203 A CN 114666203A
Authority
CN
China
Prior art keywords
rule
service system
candidate
distributed service
alarm
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210322477.6A
Other languages
English (en)
Inventor
孙科达
孟强
寿杨斌
范海东
许建峰
封标
魏星
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang Energy Group Co ltd
Beijing Topsec Network Security Technology Co Ltd
Original Assignee
Zhejiang Energy Group Co ltd
Beijing Topsec Network Security Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang Energy Group Co ltd, Beijing Topsec Network Security Technology Co Ltd filed Critical Zhejiang Energy Group Co ltd
Priority to CN202210322477.6A priority Critical patent/CN114666203A/zh
Publication of CN114666203A publication Critical patent/CN114666203A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Medical Informatics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本公开涉及一种规则处理方法、装置、电子设备和介质;其中,该方法包括:接收消息队列中间件发送的告警信息,告警信息中包括至少一项告警数据;从分布式服务系统中获取候选规则,候选规则用于描述至少一项告警数据对应的限定标准,分布式服务系统用于存储/更新至少一条候选规则;分别将至少一项告警数据与至少一条候选规则进行匹配,确定告警信息对应的响应操作。本公开实施例能够有效保证规则的高可用,提升告警信息的处理安全性。

Description

规则处理方法、装置、电子设备和介质
技术领域
本公开涉及数据处理技术领域,尤其涉及一种规则处理方法、装置、电子设备和介质。
背景技术
在网络化的运行时代中,多样的网络威胁也层出不穷,攻击者会使用自动化、智能化的网络攻击作战平台向企业发起攻击,因此,网络安全变得极为重要。
相关技术中,在接收到网络安全告警之后,会从规则库中提取全部规则进行匹配,来进行安全防护,其中,规则库与数据库进行规则交互,在数据库中的规则发生变更时,规则库只有在下次提取规则时才能进行规则变更。
然而,现有技术中,规则的可用性不高,导致告警处理安全性低下。
发明内容
为了解决上述技术问题,本公开提供了一种规则处理方法、装置、电子设备和介质。
第一方面,本公开提供了一种规则处理方法,包括:
接收消息队列中间件发送的告警信息,所述告警信息中包括至少一项告警数据;
从分布式服务系统中获取候选规则,所述候选规则用于描述至少一项所述告警数据对应的限定标准,所述分布式服务系统用于存储/更新至少一条所述候选规则;
分别将至少一项所述告警数据与所述至少一条候选规则进行匹配,确定所述告警信息对应的响应操作。
可选的,所述从分布式服务系统中获取候选规则,包括:
向分布式服务系统发送第一规则获取请求,所述第一规则获取请求用于指示所述分布式服务系统从本地缓存区中查找至少一条候选规则;
接收所述分布式服务系统发送的至少一条候选规则,所述至少一条候选规则是所述分布式服务系统接收数据库在预设时段内发送的规则得到的。
可选的,所述从分布式服务系统中获取候选规则,包括:
向分布式服务系统发送第二规则获取请求,所述第二规则获取请求用于指示所述分布式服务系统向数据库发送规则更新请求;
接收所述分布式服务系统发送的至少一条候选规则,所述至少一条候选规则是所述分布式服务系统基于所述数据库响应于所述规则更新请求发送的全部规则/差异规则更新得到的。
可选的,所述从分布式服务系统中获取候选规则之前,还包括:
接收规则变更请求,所述规则变更请求中包括规则变更信息,所述规则变更信息包括:待删除规则的标识和待删除数据、待修改规则的标识和待修改数据、以及待增添规则的标识和待增添数据中的至少一种;
响应于所述规则变更请求,向分布式服务系统发送所述规则变更信息,以使所述分布式服务系统执行所述规则变更信息对应的变更操作。
可选的,至少一条所述候选规则包括:规则触发时段和规则触发条件;
所述分别将至少一项所述告警数据与所述至少一条候选规则进行匹配,确定所述告警信息对应的响应操作,包括:
分别将当前匹配时间与每条候选规则对应的规则触发时段进行匹配,得到目标规则;
分别将至少一项所述告警数据与所述目标规则对应的规则触发条件进行匹配,得到至少一项所述告警数据对应的更新后的目标规则;
确定所述更新后的目标规则对应的响应操作为所述告警信息对应的响应操作。
可选的,所述告警信息对应的响应操作包括:一个触发操作;
所述分别将至少一项所述告警数据与所述至少一条候选规则进行匹配,确定所述告警信息对应的响应操作之后,还包括:
执行所述一个触发操作。
可选的,所述告警信息对应的响应操作包括:至少两个触发操作,每个触发操作对应有触发顺序标识,所述触发顺序标识与所述告警数据的优先性/关联性相对应;
所述分别将至少一项所述告警数据与所述至少一条候选规则进行匹配,确定所述告警信息对应的响应操作之后,还包括:
基于每个触发操作对应的触发顺序标识,执行所述至少两个触发操作。
第二方面,本公开提供了一种规则处理装置,包括:
接收模块,用于接收消息队列中间件发送的告警信息,所述告警信息中包括至少一项告警数据;
获取模块,用于从分布式服务系统中获取候选规则,所述候选规则用于描述至少一项所述告警数据对应的限定标准,所述分布式服务系统用于存储/更新至少一条所述候选规则;
确定模块,用于分别将至少一项所述告警数据与所述至少一条候选规则进行匹配,确定所述告警信息对应的响应操作。
可选的,获取模块,具体用于:
向分布式服务系统发送第一规则获取请求,所述第一规则获取请求用于指示所述分布式服务系统从本地缓存区中查找至少一条候选规则;
接收所述分布式服务系统发送的至少一条候选规则,所述至少一条候选规则是所述分布式服务系统接收数据库在预设时段内发送的规则得到的。
可选的,获取模块,具体用于:
向分布式服务系统发送第二规则获取请求,所述第二规则获取请求用于指示所述分布式服务系统向数据库发送规则更新请求;
接收所述分布式服务系统发送的至少一条候选规则,所述至少一条候选规则是所述分布式服务系统基于所述数据库响应于所述规则更新请求发送的全部规则/差异规则更新得到的.
可选的,还包括:发送模块;
接收模块,还用于接收规则变更请求,所述规则变更请求中包括规则变更信息,所述规则变更信息包括:待删除规则的标识和待删除数据、待修改规则的标识和待修改数据、以及待增添规则的标识和待增添数据中的至少一种;
发送模块,用于响应于所述规则变更请求,向分布式服务系统发送所述规则变更信息,以使所述分布式服务系统执行所述规则变更信息对应的变更操作。
可选的,至少一条所述候选规则包括:规则触发时段和规则触发条件;
确定模块,具体用于:
分别将当前匹配时间与每条候选规则对应的规则触发时段进行匹配,得到目标规则;
分别将至少一项所述告警数据与所述目标规则对应的规则触发条件进行匹配,得到至少一项所述告警数据对应的更新后的目标规则;
确定所述更新后的目标规则对应的响应操作为所述告警信息对应的响应操作。
可选的,所述告警信息对应的响应操作包括:一个触发操作;
还包括:执行模块;
执行模块,用于执行所述一个触发操作。
可选的,所述告警信息对应的响应操作包括:至少两个触发操作,每个触发操作对应有触发顺序标识,所述触发顺序标识与所述告警数据的优先性/关联性相对应;
执行模块,还用于基于每个触发操作对应的触发顺序标识,执行所述至少两个触发操作。
第三方面,本公开还提供了一种电子设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现本发明实施例中的任一种所述的规则处理方法。
第四方面,本公开还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现本发明实施例中的任一种所述的规则处理方法。
本公开实施例提供的技术方案与现有技术相比具有如下优点:能够通过接收消息队列中间件发送的告警信息得到至少一项告警数据,并从分布式服务系统中获取候选规则,其中,候选规则用于描述至少一项告警数据对应的限定标准,分布式服务系统用于存储/更新至少一条候选规则,从而,能够有效保证规则的高可用,分别将至少一项告警数据与至少一条候选规则进行匹配,确定告警信息对应的响应操作,能够有效提升告警信息的处理安全性。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本公开实施例提供的一种规则处理方法的流程示意图;
图2是本公开实施例提供的另一种规则处理方法的流程示意图;
图3是本公开实施例提供的又一种规则处理方法的流程示意图;
图4是本公开实施例提供的一种规则缓存的流程示意图;
图5是本公开实施例提供的一种规则处理装置的结构示意图;
图6是本公开实施例提供的一种电子设备的结构示意图。
具体实施方式
为了能够更清楚地理解本公开的上述目的、特征和优点,下面将对本公开的方案进行进一步描述。需要说明的是,在不冲突的情况下,本公开的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本公开,但本公开还可以采用其他不同于在此描述的方式来实施;显然,说明书中的实施例只是本公开的一部分实施例,而不是全部的实施例。
图1是本公开实施例提供的一种规则处理方法的流程示意图。本实施例方法可由规则处理装置来执行,该装置可采用硬件/或软件的方式来实现,并可配置于电子设备中。可实现本申请任意实施例所述的规则处理方法。如图1所示,该方法具体包括如下:
S110、接收消息队列中间件发送的告警信息,告警信息中包括至少一项告警数据。
其中,本实施例可应用于触发子系统,触发子系统可对编排系统进行告警安全处理,消息队列中间件可对编排系统进行告警检测,以实时维护编排系统的安全运行。
其中,编排系统可为一种基于可视化编排页面采用拖拽的方式对逻辑节点进行编排使之按照设定的逻辑进行执行的系统。
S120、从分布式服务系统中获取候选规则。
其中,候选规则用于描述至少一项告警数据对应的限定标准,分布式服务系统用于存储/更新至少一条候选规则。
其中,触发子系统可通过与分布式服务系统的数据交互,从分布式服务系统中获取到全部启用的规则。
需要说明的是,分布式服务系统可与数据库进行数据交互,从数据库中获取到初始规则进行存储,并基于变更需求对获取到的初始规则进行变更操作。
其中,分布式服务系统可将多个规则对应映射与多个规则节点之下,通过规则节点与规则的映射关系来有效存储多个规则。
举例而言,分布式服务系统中包括5条规则,分别为规则A、规则B、规则C、规则D和规则E,其中,分布式服务系统可针对每条规则建立一个规则节点,如规则A对应节点1、规则B对应节点2、规则C对应节点3、规则D对应节点4、规则E对应节点5。
S130、分别将至少一项告警数据与至少一条候选规则进行匹配,确定告警信息对应的响应操作。
其中,可分别将至少一项告警数据与全部的候选规则依次进行匹配,来确定出告警信息对应的响应操作。
需要说明的是,每一条候选规则可对应一个响应操作,也就是,响应操作的数量与告警数据的数量相对应。
本实施例提供的规则处理方法,能够通过接收消息队列中间件发送的告警信息得到至少一项告警数据,并从分布式服务系统中获取候选规则,其中,候选规则用于描述至少一项告警数据对应的限定标准,分布式服务系统用于存储/更新至少一条候选规则,从而,能够有效保证规则的高可用,分别将至少一项告警数据与至少一条候选规则进行匹配,确定告警信息对应的响应操作,能够有效提升告警信息的处理安全性。
图2是本公开实施例提供的另一种规则处理方法的流程示意图。本实施例是在上述实施例的基础上,其中,步骤S120的一种可能的实现方式如下:
S1211、向分布式服务系统发送第一规则获取请求。
其中,第一规则获取请求用于指示分布式服务系统从本地缓存区中查找至少一条候选规则。
其中,触发子系统在接收到告警信息之后,可向分布式服务系统发送第一规则获取请求,以使得分布式服务系统能够从本地缓存区中确定出全部候选规则。
其中,分布式服务系统在接收到第一规则获取请求之前,可通过与数据库的信息交互,从数据库中实时/定期获取规则,并将获取到的规则存储在本地缓存区中进行存储,便于及时响应触发子系统的规则需求。
S1212、接收分布式服务系统发送的至少一条候选规则。
其中,至少一条候选规则是分布式服务系统接收数据库在预设时段内发送的规则得到的。
其中,分布式服务系统可向数据库发送规则获取请求,并从数据库中获取得到的数据库中包括的部分/全部规则,或者,分布式服务系统还可与数据库预先建立一个预设时段,数据库在达到预设时段时,向分布式服务系统发送其存储的全部规则,以使得分布式服务系统能够及时存储/更新本地缓存区中的候选规则。
图3是本公开实施例提供的又一种规则处理方法的流程示意图。本实施例是在上述实施例的基础上,其中,步骤S120的一种可能的实现方式如下:
S1221、向分布式服务系统发送第二规则获取请求。
其中,第二规则获取请求用于指示分布式服务系统向数据库发送规则更新请求。
其中,触发子系统在接收到告警信息之后,可向分布式服务系统发送第二规则获取请求,以使得分布式服务系统向数据库发送规则更新请求。
需要说明的是,分布式服务系统中可包括/不包括候选规则,也就是,在分布式服务系统中包括候选规则时,在接收到触发子系统发送的第二规则获取请求时,也可向数据库发送规则更新请求,以便于根据数据库发送的新的规则来更新完善其包括的候选规则。
S1222、接收分布式服务系统发送的至少一条候选规则。
其中,至少一条候选规则是分布式服务系统基于数据库响应于规则更新请求发送的全部规则/差异规则更新得到的。
其中,数据库可与分布式服务系统实时进行数据交互,以了解分布式服务系统中的规则存储,在分布式服务系统中未存储规则时,数据库可向分布式服务系统发送其存储的全部规则,在分布式服务系统中存储规则时,数据库可向分布式服务系统发送其存储的全部规则,便于分布式服务系统维护其存储的规则,也可向分布式服务系统发送其存储的差异规则,使得分布式服务系统能够快速更新规则。
需要说明的是,差异规则为数据库中存储的全部规则与分布式服务系统中存储的全部规则之间的不同规则。
基于上述实施例的描述,在从分布式服务系统中获取候选规则之前,还可以对分布式服务系统中的候选规则进行变更操作,其中,变更操作可包括但不限于是:增加、删除、修改等。
在本实施例中,可选的,从分布式服务系统中获取候选规则之前,本实施例方法还可以包括:
接收规则变更请求,规则变更请求中包括规则变更信息,规则变更信息包括:待删除规则的标识和待删除数据、待修改规则的标识和待修改数据、以及待增添规则的标识和待增添数据中的至少一种;
响应于规则变更请求,向分布式服务系统发送规则变更信息,以使分布式服务系统执行规则变更信息对应的变更操作。
其中,分布式服务系统可通过对其存储的规则相对应的规则节点进行实时查看维护,便于及时发现需要进行变更的规则节点,从而,对其进行有效变更,提升规则高可用性。
举例而言,规则变更信息包括待删除规则的标识和待删除数据时,分布式服务系统可删除规则修改规则记录并删除对应的规则节点,规则变更信息包括待修改规则的标识和待修改数据时,分布式服务系统可修改对应的规则并在规则节点上相应的修改节点数据,规则变更信息包括待增添规则的标识和待增添数据时,分布式服务系统可增加一条规则记录并相应的在规则根节点上相应的添加一个规则子节点。
需要说明的是,上述提及的分布式服务系统的规则变更信息会实时同步至数据库中,从而,有效保证数据库与分布式服务系统中的规则统一。
在本实施例中,可选的,至少一条候选规则包括:规则触发时段和规则触发条件;
分别将至少一项告警数据与至少一条候选规则进行匹配,确定告警信息对应的响应操作,包括:
分别将当前匹配时间与每条候选规则对应的规则触发时段进行匹配,得到目标规则;
分别将至少一项告警数据与目标规则对应的规则触发条件进行匹配,得到至少一项告警数据对应的更新后的目标规则;
确定更新后的目标规则对应的响应操作为告警信息对应的响应操作。
其中,规则触发时段可包括:触发事件段包含的任意时间、指定范围(如以天为单位的开始结束时间段)、指定周期(如每天以小时为单位的开始结束时间段)。
其中,规则触发条件可包括:告警数据是否为真/为假、等于/不等于、小于/小于等于/大于/大于等于、存在于/不存在于、正则匹配/正则不匹配、通配符匹配/通配符不匹配等。
从而,基于当前时间与触发条件删选出目标规则,以有效确定出告警信息对应的响应操作。
在本实施例中,可选的,告警信息对应的响应操作包括:一个触发操作;
分别将至少一项告警数据与至少一条候选规则进行匹配,确定告警信息对应的响应操作之后,还包括:
执行一个触发操作。
其中,在确定出与告警信息对应的触发操作之后,可直接执行该触发操作,便于及时响应告警信息,维护编排系统的运行安全。
或者,可在到达预设时段之后,执行确定出的全部触发操作。
在本实施例中,可选的,告警信息对应的响应操作包括:至少两个触发操作,每个触发操作对应有触发顺序标识,触发顺序标识与告警数据的优先性/关联性相对应;
分别将至少一项告警数据与至少一条候选规则进行匹配,确定告警信息对应的响应操作之后,还包括:
基于每个触发操作对应的触发顺序标识,执行至少两个触发操作。
其中,在告警信息对应的响应操作可包括多个时,可基于每个触发操作对应有触发顺序标识,依次执行多个触发操作,避免操作执行混乱干扰编排系统运行。
基于上述实施例的描述,本公开实施例提供了一种规则缓存的流程示意图,如图4示例性所示。
其中,可通过规则节点监听规则变化,在确定出变更事件之后,进行规则处理,并判断规则是否可用,若可用,则增加规则,若不可用,则删除相应规则,实现规则缓存。
其中,第一规则事件可包括:初始化事件、添加事件或者修改事件,不是第一规则事件,则可为第二规则事件,第二规则事件可包括:删除事件。
图5是本公开实施例提供的一种规则处理装置的结构示意图;该装置配置于电子设备中,可实现本申请任意实施例所述的规则处理方法。该装置具体包括如下:
接收模块510,用于接收消息队列中间件发送的告警信息,所述告警信息中包括至少一项告警数据;
获取模块520,用于从分布式服务系统中获取候选规则,所述候选规则用于描述至少一项所述告警数据对应的限定标准,所述分布式服务系统用于存储/更新至少一条所述候选规则;
确定模块530,用于分别将至少一项所述告警数据与所述至少一条候选规则进行匹配,确定所述告警信息对应的响应操作。
在本实施例中,可选的,获取模块520,具体用于:
向分布式服务系统发送第一规则获取请求,所述第一规则获取请求用于指示所述分布式服务系统从本地缓存区中查找至少一条候选规则;
接收所述分布式服务系统发送的至少一条候选规则,所述至少一条候选规则是所述分布式服务系统接收数据库在预设时段内发送的规则得到的。
在本实施例中,可选的,获取模块520,具体用于:
向分布式服务系统发送第二规则获取请求,所述第二规则获取请求用于指示所述分布式服务系统向数据库发送规则更新请求;
接收所述分布式服务系统发送的至少一条候选规则,所述至少一条候选规则是所述分布式服务系统基于所述数据库响应于所述规则更新请求发送的全部规则/差异规则更新得到的.
在本实施例中,可选的,本实施例装置还可以包括:发送模块;
接收模块510,还用于接收规则变更请求,所述规则变更请求中包括规则变更信息,所述规则变更信息包括:待删除规则的标识和待删除数据、待修改规则的标识和待修改数据、以及待增添规则的标识和待增添数据中的至少一种;
发送模块,用于响应于所述规则变更请求,向分布式服务系统发送所述规则变更信息,以使所述分布式服务系统执行所述规则变更信息对应的变更操作。
在本实施例中,可选的,至少一条所述候选规则包括:规则触发时段和规则触发条件;
确定模块530,具体用于:
分别将当前匹配时间与每条候选规则对应的规则触发时段进行匹配,得到目标规则;
分别将至少一项所述告警数据与所述目标规则对应的规则触发条件进行匹配,得到至少一项所述告警数据对应的更新后的目标规则;
确定所述更新后的目标规则对应的响应操作为所述告警信息对应的响应操作。
在本实施例中,可选的,所述告警信息对应的响应操作包括:一个触发操作;
还包括:执行模块;
执行模块,用于执行所述一个触发操作。
在本实施例中,可选的,所述告警信息对应的响应操作包括:至少两个触发操作,每个触发操作对应有触发顺序标识,所述触发顺序标识与所述告警数据的优先性/关联性相对应;
执行模块,还用于基于每个触发操作对应的触发顺序标识,执行所述至少两个触发操作。
通过本发明实施例的规则处理装置,能够通过接收消息队列中间件发送的告警信息得到至少一项告警数据,并从分布式服务系统中获取候选规则,其中,候选规则用于描述至少一项告警数据对应的限定标准,分布式服务系统用于存储/更新至少一条候选规则,从而,能够有效保证规则的高可用,分别将至少一项告警数据与至少一条候选规则进行匹配,确定告警信息对应的响应操作,能够有效提升告警信息的处理安全性。
本发明实施例所提供的规则处理装置可执行本发明任意实施例所提供的规则处理方法,具备执行方法相应的功能模块和有益效果。
图6是本公开实施例提供的一种电子设备的结构示意图。如图6所示,该电子设备包括处理器610、存储器620、输入装置630和输出装置640;电子设备中处理器610的数量可以是一个或多个,图6中以一个处理器610为例;电子设备中的处理器610、存储器620、输入装置630和输出装置640可以通过总线或其他方式连接,图6中以通过总线连接为例。
存储器620作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序以及模块,如本发明实施例中的规则处理方法对应的程序指令/模块。处理器610通过运行存储在存储器620中的软件程序、指令以及模块,从而执行电子设备的各种功能应用以及数据处理,即实现本发明实施例所提供的规则处理方法。
存储器620可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据终端的使用所创建的数据等。此外,存储器620可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储器620可进一步包括相对于处理器610远程设置的存储器,这些远程存储器可以通过网络连接至电子设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置630可用于接收输入的数字或字符信息,以及产生与电子设备的用户设置以及功能控制有关的键信号输入,可以包括键盘、鼠标等。输出装置640可包括显示屏等显示设备。
当然,本发明实施例所提供的一种包含计算机可执行指令的存储介质,其计算机可执行指令不限于如上所述的方法操作,还可以执行本发明任意实施例所提供的规则处理方法中的相关操作。
通过以上关于实施方式的描述,所属领域的技术人员可以清楚地了解到,本发明可借助软件及必需的通用硬件来实现,当然也可以通过硬件实现,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如计算机的软盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、闪存(FLASH)、硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
值得注意的是,上述搜索装置的实施例中,所包括的各个单元和模块只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅是本公开的具体实施方式,使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下,在其它实施例中实现。因此,本公开将不会被限制于本文所述的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (10)

1.一种规则处理方法,其特征在于,包括:
接收消息队列中间件发送的告警信息,所述告警信息中包括至少一项告警数据;
从分布式服务系统中获取候选规则,所述候选规则用于描述至少一项所述告警数据对应的限定标准,所述分布式服务系统用于存储/更新至少一条所述候选规则;
分别将至少一项所述告警数据与所述至少一条候选规则进行匹配,确定所述告警信息对应的响应操作。
2.根据权利要求1所述的方法,其特征在于,所述从分布式服务系统中获取候选规则,包括:
向分布式服务系统发送第一规则获取请求,所述第一规则获取请求用于指示所述分布式服务系统从本地缓存区中查找至少一条候选规则;
接收所述分布式服务系统发送的至少一条候选规则,所述至少一条候选规则是所述分布式服务系统接收数据库在预设时段内发送的规则得到的。
3.根据权利要求1所述的方法,其特征在于,所述从分布式服务系统中获取候选规则,包括:
向分布式服务系统发送第二规则获取请求,所述第二规则获取请求用于指示所述分布式服务系统向数据库发送规则更新请求;
接收所述分布式服务系统发送的至少一条候选规则,所述至少一条候选规则是所述分布式服务系统基于所述数据库响应于所述规则更新请求发送的全部规则/差异规则更新得到的。
4.根据权利要求1-3中任一项所述的方法,其特征在于,所述从分布式服务系统中获取候选规则之前,还包括:
接收规则变更请求,所述规则变更请求中包括规则变更信息,所述规则变更信息包括:待删除规则的标识和待删除数据、待修改规则的标识和待修改数据、以及待增添规则的标识和待增添数据中的至少一种;
响应于所述规则变更请求,向分布式服务系统发送所述规则变更信息,以使所述分布式服务系统执行所述规则变更信息对应的变更操作。
5.根据权利要求1所述的方法,其特征在于,至少一条所述候选规则包括:规则触发时段和规则触发条件;
所述分别将至少一项所述告警数据与所述至少一条候选规则进行匹配,确定所述告警信息对应的响应操作,包括:
分别将当前匹配时间与每条候选规则对应的规则触发时段进行匹配,得到目标规则;
分别将至少一项所述告警数据与所述目标规则对应的规则触发条件进行匹配,得到至少一项所述告警数据对应的更新后的目标规则;
确定所述更新后的目标规则对应的响应操作为所述告警信息对应的响应操作。
6.根据权利要求5所述的方法,其特征在于,所述告警信息对应的响应操作包括:一个触发操作;
所述分别将至少一项所述告警数据与所述至少一条候选规则进行匹配,确定所述告警信息对应的响应操作之后,还包括:
执行所述一个触发操作。
7.根据权利要求5所述的方法,其特征在于,所述告警信息对应的响应操作包括:至少两个触发操作,每个触发操作对应有触发顺序标识,所述触发顺序标识与所述告警数据的优先性/关联性相对应;
所述分别将至少一项所述告警数据与所述至少一条候选规则进行匹配,确定所述告警信息对应的响应操作之后,还包括:
基于每个触发操作对应的触发顺序标识,执行所述至少两个触发操作。
8.一种规则处理装置,其特征在于,包括:
接收模块,用于接收消息队列中间件发送的告警信息,所述告警信息中包括至少一项告警数据;
获取模块,用于从分布式服务系统中获取候选规则,所述候选规则用于描述至少一项所述告警数据对应的限定标准,所述分布式服务系统用于存储/更新至少一条所述候选规则;
确定模块,用于分别将至少一项所述告警数据与所述至少一条候选规则进行匹配,确定所述告警信息对应的响应操作。
9.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1~7中任一所述的规则处理方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1~7中任一所述的规则处理方法。
CN202210322477.6A 2022-03-29 2022-03-29 规则处理方法、装置、电子设备和介质 Pending CN114666203A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210322477.6A CN114666203A (zh) 2022-03-29 2022-03-29 规则处理方法、装置、电子设备和介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210322477.6A CN114666203A (zh) 2022-03-29 2022-03-29 规则处理方法、装置、电子设备和介质

Publications (1)

Publication Number Publication Date
CN114666203A true CN114666203A (zh) 2022-06-24

Family

ID=82032469

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210322477.6A Pending CN114666203A (zh) 2022-03-29 2022-03-29 规则处理方法、装置、电子设备和介质

Country Status (1)

Country Link
CN (1) CN114666203A (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108270618A (zh) * 2017-12-30 2018-07-10 杭州华为数字技术有限公司 告警判定的方法、装置及告警系统
CN111782486A (zh) * 2020-07-03 2020-10-16 上海浦东发展银行股份有限公司 一种基于动态配置的告警实现方法及其系统
CN112765161A (zh) * 2020-12-30 2021-05-07 北京奇艺世纪科技有限公司 报警规则匹配方法、装置、电子设备及存储介质
US20220060510A1 (en) * 2015-10-28 2022-02-24 Qomplx, Inc. System and method for aggregating and securing managed detection and response connection interfaces between multiple networked sources
CN114168420A (zh) * 2021-12-09 2022-03-11 中国建设银行股份有限公司 一种数据告警方法、系统、电子设备及存储介质

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20220060510A1 (en) * 2015-10-28 2022-02-24 Qomplx, Inc. System and method for aggregating and securing managed detection and response connection interfaces between multiple networked sources
CN108270618A (zh) * 2017-12-30 2018-07-10 杭州华为数字技术有限公司 告警判定的方法、装置及告警系统
CN111782486A (zh) * 2020-07-03 2020-10-16 上海浦东发展银行股份有限公司 一种基于动态配置的告警实现方法及其系统
CN112765161A (zh) * 2020-12-30 2021-05-07 北京奇艺世纪科技有限公司 报警规则匹配方法、装置、电子设备及存储介质
CN114168420A (zh) * 2021-12-09 2022-03-11 中国建设银行股份有限公司 一种数据告警方法、系统、电子设备及存储介质

Similar Documents

Publication Publication Date Title
CN109743315B (zh) 针对网站的行为识别方法、装置、设备及可读存储介质
CN106878262B (zh) 报文检测方法及装置、建立本地威胁情报库的方法及装置
US10282542B2 (en) Information processing apparatus, information processing method, and computer readable medium
CN110162976B (zh) 风险评估方法、装置及终端
CN109951435B (zh) 一种设备标识提供方法及装置和风险控制方法及装置
US10656981B2 (en) Anomaly detection using sequences of system calls
CN110399722B (zh) 一种病毒家族生成方法、装置、服务器及存储介质
CN111262822B (zh) 文件存储方法、装置、区块链节点和系统
CN108154024B (zh) 一种数据检索方法、装置及电子设备
CN111817984A (zh) 消息发送方法、装置、设备及存储介质
US8117181B2 (en) System for notification of group membership changes in directory service
CN105843809B (zh) 数据处理方法和装置
CN109976828B (zh) 一种配置文件的方法及装置
CN115208938B (zh) 用户行为管控方法及装置、计算机可读存储介质
CN114666203A (zh) 规则处理方法、装置、电子设备和介质
CN113162997B (zh) 数据传输方法、装置、电子设备及可读存储介质
JP5922811B1 (ja) ログ情報分類装置、ログ情報分類方法、及びプログラム
CN114969744A (zh) 进程拦截方法及系统、电子设备、存储介质
CN113037714A (zh) 基于网络大数据的网络安全分析方法及区块链金融云系统
CN111414178A (zh) 一种设备信息更新方法、装置、设备、介质
CN112398849B (zh) 一种嵌入式威胁情报数据集的更新方法及装置
CN110287265B (zh) 一种登录请求处理方法、装置、服务器及可读存储介质
CN116708024B (zh) 威胁情报碰撞筛选方法、网关系统、电子设备和存储介质
CN108229917B (zh) 项目数据分析方法及系统
CN113468523A (zh) 监控恶意代码变化态势的方法、装置和计算机设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20220624