關聯分析方法、裝置及系統的製作方法

2023-06-05 10:11:46 3

專利名稱：關聯分析方法、裝置及系統的製作方法
技術領域：
本發明涉及數據業務技術領域，特別是指一種關聯分析方法、裝置及系統。
背景技術：
在審計分析系統中，需要對大量的數據進行事後分析，從各個零散分布的事件當中發現彼此之間的聯繫，從而發現一切可能的違規現象。目前使用的事件分析方法是基於Rete算法的一種改進的方法，即關聯分析算法。Rete算法是一個用來實現產生式規則系統的高效模式匹配算法。該算法是由卡內基梅隆大學的Charles L.Forgy在1974年發表的論文中提出的。Rete算法的核心是創建一個Rete網絡，其中包含了 Alpha網絡和Beta網絡，以進行規則的匹配、選擇和執行。現有的關聯分析算法中，依照Rete網絡模式匹配的特點，可將上報事件關聯分析的匹配過程劃分為兩個部分:邏輯表達式運算(Alpha網絡)、統計及上下級關聯推進(Beta網絡)。第一部分為對定製規則中的所有條件項目進行匹配操作，此部分在Alpha網絡完成；第二部分則包括規則狀態節點中定義的統計計算以及規則樹上下級狀態節點之間的推進關係實現，此部分在Beta網絡完成。此外，關聯後事件的生成以及追溯信息的記錄則作為獨立部分放在Rete網絡終結節點中完成。圖1所示為包含有兩條規則的Rete網絡，兩條規則分別是:規則1:目的埠 = 8088or(源 IP = 192.168.12.12and 目的 IP =192.168.12.11)規則2:首層規則:目的埠 = 8080下層規則:源IP = 192.168.12.4and 目的 IP = 192.168.12.5其中每個AM (Alpha Memory, Alpha存儲器)對應一條邏輯表達式。當接收到一條事件之後,這條事件會遍歷整個Alpha網絡，對其中的任何一個AM所代表的表達式都要進行匹配，符合其中的某一條表達式都要向下激活，激活至Beta網絡後，在相應Count (計數)節點的Terminal (末端)節點產生關聯分析後事件。圖1的較粗的線條即表示了一次匹配過程。假如現在有一條事件，符合上面規則I的所有表達式，那麼該條事件在進入Rete網絡之後，會產生如下結果:遍歷事件屬性列表，對於其中的目的埠、源IP、目的IP屬性進行表達式的判斷，激活相應的AM1、AM2以及AM3 ;激活相應的AND (與)節點和OR(或)節點，從而激活AM7 ;激活Beta網絡的Countl節點,在Countl節點相應的Terminall節點產生關聯分析後事件。在事後關聯分析中，數據的來源不再是實時接收到的數據，而是從資料庫撈取出的數據。根據兩條不同的查詢策略撈取出來的數據必定是要將它們作用在兩條不同的關聯分析規則上，分別分析出各自的關聯結果，兩批數據之間不應該相互影響。在用現有的關聯分析算法進行關聯分析時，如圖2所示，由查詢策略I撈取出來的數據，很有可能即滿足關聯分析規則1，又滿足關聯分析規則2 ;同樣，查詢策略2撈取出來的數據，也可能同時滿足兩個關聯分析規則。但是如圖1所示，現有的關聯分析算法中，所有的規則都被添加在同一個Rete網絡中，因為只允許有一個Rete網絡，這個Rete網絡中只包含一個Alpha網絡和一個Beta網絡，所以每一條進入Rete網絡的數據，都必須去匹配所有的規則。這樣每一條數據都會對任何一條規則的關聯結果造成影響，降低了關聯分析的準確率。

發明內容
本發明要解決的技術問題是提供一種關聯分析方法、裝置及系統，能夠提高關聯分析的準確率。為解決上述技術問題，本發明的實施例提供技術方案如下:一方面，提供一種關聯分析方法，包括:接收待分析數據，所述待分析數據的標識欄位中包含有數據標識；根據接收到的所述待分析數據及其數據標識與預設的關聯分析規則進行匹配，得到一匹配結果；根據所述匹配結果和預設的關聯策略產生關聯分析後事件。進一步地,所述接收待分析數據之前還包括:獲取用戶配置的所有關聯分析規則，並為每個關聯分析規則分配一規則標識；在待分析數據的數據欄位中添加一數據標識，所述數據標識與所述待分析數據對應的關聯分析規則的規則標識一致。進一步地，所述根據接收到的所述待分析數據及其數據標識與預設的關聯分析規則進行匹配，得到一匹配結果，根據所述匹配結果和預設的關聯策略產生關聯分析後事件包括:判斷所述待分析數據的數據標識與所述關聯分析規則的規則標識是否一致；當所述待分析數據的數據標識與所述關聯分析規則的規則標識一致時，判斷所述待分析數據是否滿足所述關聯分析規則；當所述待分析數據滿足所述關聯分析規則時，根據預置的關聯策略產生關聯分析後事件。進一步地，當所述待分析數據的數據標識與所述關聯分析規則的規則標識不一致時，丟棄所述待分析數據。本發明實施例還提供了一種關聯分析裝置，包括:接收模塊，用於接收待分析數據，所述待分析數據的標識欄位中包含有數據標識；匹配模塊，用於根據接收到的所述待分析數據及其數據標識與預設的關聯分析規則進行匹配，得到一匹配結果；處理模塊，用於根據所述匹配結果和預設的關聯策略產生關聯分析後事件。進一步地，所述裝置還包括:設置模塊，用於獲取用戶配置的所有關聯分析規則，並為每個關聯分析規則分配一規則標識。進一步地，所述匹配模塊包括:
第一判斷子模塊，用於判斷所述待分析數據的數據標識與所述關聯分析規則的規則標識是否一致；第二判斷子模塊，用於當所述待分析數據的數據標識與所述關聯分析規則的規則標識一致時，判斷所述待分析數據是否滿足所述關聯分析規則；所述處理模塊具體用於當所述待分析數據滿足所述關聯分析規則時，根據預置的關聯策略產生關聯分析後事件。進一步地，所述處理模塊還用於當所述第一判斷子模塊判斷所述待分析數據的數據標識與所述關聯分析規則的規則標識不一致時，丟棄所述待分析數據。本發明實施例還提供了一種關聯分析系統，包括:關聯分析裝置，用於接收待分析數據，所述待分析數據的標識欄位中包含有數據標識，根據接收到的所述待分析數據及其數據標識與預設的關聯分析規則進行匹配，得到一匹配結果，根據所述匹配結果和預設的關聯策略產生關聯分析後事件。進一步地，所述關聯分析裝置還用於獲取用戶配置的所有關聯分析規則，並為每個關聯分析規則分配一規則標識；所述系統還包括:一個以上數據產生器，用於在待分析數據的數據欄位中添加一數據標識，所述數據標識與所述待分析數據對應的關聯分析規則的規則標識一致，並將添加數據標識後的待分析數據發送至所述關聯分析裝置。本發明的實施例具有以下有益效果:上述方案中，待分析數據中包含有數據標識，在對待分析數據進行關聯分析時，首先需要根據待分析數據的數據標識進行匹配，這樣當一條待分析數據到來之後，能夠使其只與對應的關聯分析規則進行匹配，而不會對其他關聯分析規則的分析結果產生影響。本發明的技術方案可以分批次的對數據進行處理，將不同批次的數據作用於特定的關聯分析規則，從而實現待分析數據與關聯分析規則的綁定，不同關聯分析規則之間的數據互不影響，從而提聞了關聯分析的準確率。


圖1為現有技術中包含有兩條規則的Rete網絡示意圖；圖2為兩條不同的查詢策略撈取出來的數據可能同時符合兩條關聯分析規則的示意圖；圖3為本發明實施例的關聯分析方法的流程示意圖；圖4為本發明實施例的關聯分析裝置的結構示意圖；圖5為本發明實施例的關聯分析系統的結構示意圖；圖6為本發明實施例的為待分析數據添加流水號的示意圖；圖7為本發明實施例的包含有兩條關聯分析規則的Rete網絡示意圖。
具體實施例方式為使本發明的實施例要解決的技術問題、技術方案和優點更加清楚，下面將結合附圖及具體實施例進行詳細描述。
本發明的實施例針對現有技術中某一規則的數據都會對其他規則的關聯結果造成影響，降低關聯分析的準確率的問題，提供一種關聯分析方法、裝置及系統，能夠提高關聯分析的準確率。圖3為本發明實施例的關聯分析方法的流程示意圖，如圖3所示，本實施例包括:步驟301:接收待分析數據，待分析數據的標識欄位中包含有數據標識；步驟302:根據接收到的待分析數據及其數據標識與預設的關聯分析規則進行匹配，得到一匹配結果；步驟303:根據匹配結果和預設的關聯策略產生關聯分析後事件。本發明的關聯分析方法中，待分析數據中包含有數據標識，在對待分析數據進行關聯分析時，首先需要根據待分析數據的數據標識進行匹配，這樣當一條待分析數據到來之後，能夠使其只與對應的關聯分析規則進行匹配，而不會對其他關聯分析規則的分析結果產生影響。本發明的技術方案可以分批次的對數據進行處理，將不同批次的數據作用於特定的關聯分析規則，從而實現待分析數據與關聯分析規則的綁定，不同關聯分析規則之間的數據互不影響，從而提高了關聯分析的準確率。圖4為本發明實施例的關聯分析裝置的結構示意圖，如圖4所示，本實施例包括:接收模塊41，用於接收待分析數據，待分析數據的標識欄位中包含有數據標識；匹配模塊42，用於根據接收到的待分析數據及其數據標識與預設的關聯分析規則進行匹配，得到一匹配結果；處理模塊43，用於根據匹配結果和預設的關聯策略產生關聯分析後事件。進一步地,該裝置還包括:設置模塊40，用於獲取用戶配置的所有關聯分析規則，並為每個關聯分析規則分配一規則標識。其中，匹配模塊42包括:第一判斷子模塊，用於判斷待分析數據的數據標識與關聯分析規則的規則標識是
否一致；第二判斷子模塊，用於當待分析數據的數據標識與關聯分析規則的規則標識一致時，判斷待分析數據是否滿足關聯分析規則；處理模塊43具體用於當待分析數據滿足關聯分析規則時，根據預置的關聯策略產生關聯分析後事件。進一步地，處理模塊43還用於當第一判斷子模塊判斷待分析數據的數據標識與關聯分析規則的規則標識不一致時，丟棄待分析數據。本發明的關聯分析裝置中，待分析數據中包含有數據標識，在對待分析數據進行關聯分析時，首先需要根據待分析數據的數據標識進行匹配，這樣當一條待分析數據到來之後，能夠使其只與對應的關聯分析規則進行匹配，而不會對其他關聯分析規則的分析結果產生影響。本發明的技術方案可以分批次的對數據進行處理，將不同批次的數據作用於特定的關聯分析規則，從而實現待分析數據與關聯分析規則的綁定，不同關聯分析規則之間的數據互不影響，從而提高了關聯分析的準確率。圖5為本發明實施例的關聯分析系統的結構示意圖，如圖5所示，本實施例包括:關聯分析裝置51，用於接收待分析數據，待分析數據的標識欄位中包含有數據標識，根據接收到的待分析數據及其數據標識與預設的關聯分析規則進行匹配，得到一匹配結果，根據匹配結果和預設的關聯策略產生關聯分析後事件。進一步地，關聯分析裝置51還用於獲取用戶配置的所有關聯分析規則，並為每個關聯分析規則分配一規則標識；該系統還包括:—個以上數據產生器52，用於在待分析數據的數據欄位中添加一數據標識，數據標識與待分析數據對應的關聯分析規則的規則標識一致，並將添加數據標識後的待分析數據發送至關聯分析裝置。關聯分析裝置51在接收到數據產生器52發送的待分析數據後，判斷待分析數據的數據標識與關聯分析規則的規則標識是否一致，當待分析數據的數據標識與關聯分析規則的規則標識一致時，判斷待分析數據是否滿足關聯分析規則，當待分析數據滿足關聯分析規則時，根據預置的關聯策略產生關聯分析後事件；當待分析數據的數據標識與關聯分析規則的規則標識不一致時，丟棄待分析數據。本發明的關聯分析系統中，待分析數據中包含有數據標識，在對待分析數據進行關聯分析時，首先需要根據待分析數據的數據標識進行匹配，這樣當一條待分析數據到來之後，能夠使其只與對應的關聯分析規則進行匹配，而不會對其他關聯分析規則的分析結果產生影響。本發明的技術方案可以分批次的對數據進行處理，將不同批次的數據作用於特定的關聯分析規則，從而實現待分析數據與關聯分析規則的綁定，不同關聯分析規則之間的數據互不影響，從而提高了關聯分析的準確率。下面結合圖6-7對本發明的關聯分析方法進行進一步介紹:如圖6所示，以Rete網絡包含兩條關聯分析規則，有兩個數據產生器為例，在關聯分析規則配置好之後，會為其生成流水號(即規則標識)，每一關聯分析規則對應一流水號，不同關聯分析規則對應的流水號不同。數據產生器獲取相應關聯分析規則的流水號，並為每一條待分析數據加入該流水號(即數據標識)，作為一個欄位。這樣，待分析數據和關聯分析規則分別都打上了標記，通過流水號加以區分，防止各個關聯分析規則之間的數據相互影響。為關聯分析規則和待分析數據都添加了流水號之後，就需要將二者之間建立聯繫，以真正達到不同批次的待分析數據應用於不同的關聯分析規則的目的。由於在數據中，已經將流水號做為一個欄位融入了數據自身，而關聯分析規則又是針對數據的各個欄位所配置的規則，所以，就可以將數據的「流水號」這一欄位作為一個關聯分析條件加入Rete網絡。即對於關聯分析規則的每一個狀態節點，都為其添加一個條件:流水號=當前關聯分析規則的流水號，這條表達式與當前狀態節點的其他關聯分析規則之間是「與」的關係，通過這一條件的判定，就實現了數據與關聯分析規則的關聯。改造之後的Rete網絡如圖7所
/Jn ο圖7所示為包含有兩條關聯分析規則的Rete網絡，兩條關聯分析規則分別是:關聯分析規則1:目的端 口 = 8088or (源 IP = 192.168.12.12and 目的 IP =192.168.12.11)關聯分析規則2:首層規則:目的埠 = 8080下層規則:源IP = 192.168.12.4and 目的 IP = 192.168.12.5
對該Rete網絡添加了兩條表達式:流水號=流水號I,流水號=流水號2，分別對應AMlO和AM9兩個Alpha Memory。關聯分析規則2中，有兩層State (狀態)節點，為每層State節點均添加表達式:流水號=流水號2，與原關聯分析規則取「與」的關係；關聯分析規則I中，只有一層State節點，為該關聯分析規則添加表達式:流水號=流水號1，與原關聯分析規則相「與」。即對於每一條關聯分析規則的每一個狀態節點，都添加了一個「and」類型的Alpha節點，以及該Alpha節點對應的Alpha Memory,如圖7中的AM11、AM12、AM13以及各自對應的Alpha節點。當接收到一條數據之後，這條數據會遍歷整個Alpha網絡，對其中的任何一個AM所代表的表達式都要進行匹配，符合其中的某一條表達式都要向下激活，激活至Beta網絡後，根據預設的關聯策略在相應Count節點的Terminal節點產生關聯分析後事件。圖7中較粗的線條即表示了一次匹配過程，一條數據符合上面關聯分析規則2的所有表達式，那麼該條數據在進入Rete網絡之後，會產生如下結果:遍歷事件屬性列表，對於其中的目的埠、源IP、目的IP屬性和流水號進行判斷，激活相應的AM4、AM5、AM6以及AM9 ;激活相應的AND節點和OR節點，從而激活AM8、AM11 ;激活相應的AND節點，從而激活AM12，最後激活Beta網絡的Countl節點、Count3節點,在Countl節點和Count3節點相應的Terminal4節點產生關聯分析後事件。在Rete網絡包括三條以上關聯分析規則時，可以根據與上述實施例相同的原理構建Rete網絡，在此不再 贅述。本發明改造了 Rete網絡的結構，為Alpha網絡中的每一條關聯分析規則都增加了流水號的表達式，以及相應的Alpha節點和Alpha Memory,同時,接收到的數據也添加了流水號的欄位，這樣在進行關聯分析規則匹配的過程中，就可以通過對流水號欄位的值的判斷，將特定的一批數據應用於某一條特定的關聯分析規則，避免了數據與關聯分析規則之間的相互影響。本發明實施例通過對關聯分析規則增加流水號，以及對進入關聯分析的數據增加流水號，使數據與關聯分析規則相互關聯。可以實現分批次的對數據進行處理，將不同批次的數據作用於特定的關聯分析規則，從而實現數據與關聯分析規則的綁定，關聯分析規則之間的數據互不影響，能夠提供關聯分析的準確性。此說明書中所描述的許多功能部件都被稱為模塊，以便更加特別地強調其實現方式的獨立性。本發明實施例中，模塊可以用軟體實現，以便由各種類型的處理器執行。舉例來說，一個標識的可執行代碼模塊可以包括計算機指令的一個或多個物理或者邏輯塊，舉例來說，其可以被構建為對象、過程或函數。儘管如此，所標識模塊的可執行代碼無需物理地位於一起，而是可以包括存儲在不同位裡上的不同的指令，當這些指令邏輯上結合在一起時，其構成模塊並且實現該模塊的規定目的。實際上，可執行代碼模塊可以是單條指令或者是許多條指令，並且甚至可以分布在多個不同的代碼段上，分布在不同程序當中，以及跨越多個存儲器設備分布。同樣地，操作數據可以在模塊內被識別，並且可以依照任何適當的形式實現並且被組織在任何適當類型的數據結構內。所述操作數據可以作為單個數據集被收集，或者可以分布在不同位置上(包括在不同存儲設備上)，並且至少部分地可以僅作為電子信號存在於系統或網絡上。
在模塊可以利用軟體實現時，考慮到現有硬體工藝的水平，所以可以以軟體實現的模塊，在不考慮成本的情況下，本領域技術人員都可以搭建對應的硬體電路來實現對應的功能，所述硬體電路包括常規的超大規模集成(VLSI)電路或者門陣列以及諸如邏輯晶片、電晶體之類的現有半導體或者是其它分立的元件。模塊還可以用可編程硬體設備，諸如現場可編程門陣列、可編程陣列邏輯、可編程邏輯設備等實現。在本發明各方法實施例中，所述各步驟的序號並不能用於限定各步驟的先後順序，對於本領域普通技術人員來講，在不付出創造性勞動的前提下，對各步驟的先後變化也在本發明的保護範圍之內。以上所述是本發明的優選實施方式，應當指出，對於本技術領域的普通技術人員來說，在不脫離本發明所述原理的前提下，還可以作出若干改進和潤飾，這些改進和潤飾也應視為本發明的保護範圍。
權利要求
1.一種關聯分析方法，其特徵在於，包括: 接收待分析數據，所述待分析數據的標識欄位中包含有數據標識； 根據接收到的所述待分析數據及其數據標識與預設的關聯分析規則進行匹配，得到一匹配結果； 根據所述匹配結果和預設的關聯策略產生關聯分析後事件。
2.根據權利要求1所述的關聯分析方法，其特徵在於，所述接收待分析數據之前還包括: 獲取用戶配置的所有關聯分析規則，並為每個關聯分析規則分配一規則標識； 在待分析數據的數據欄位中添加一數據標識，所述數據標識與所述待分析數據對應的關聯分析規則的規則標識一致。
3.根據權利要求1所述的關聯分析方法，其特徵在於，所述根據接收到的所述待分析數據及其數據標識與預設的關聯分析規則進行匹配，得到一匹配結果，根據所述匹配結果和預設的關聯策略產生關聯分析後事件包括: 判斷所述待分析數據的數據標識與所述關聯分析規則的規則標識是否一致； 當所述待分析數據的數據標識與所述關聯分析規則的規則標識一致時，判斷所述待分析數據是否滿足所述關聯分析規則； 當所述待分析數據滿足所述關聯分析規則時，根據預置的關聯策略產生關聯分析後事件。
4.根據權利要求3所述的關聯分析方法，其特徵在於，當所述待分析數據的數據標識與所述關聯分析規則的規則標識不一致時，丟棄所述待分析數據。
5.一種關聯分析裝置，其特徵在於，包括: 接收模塊，用於接收待分析數據，所述待分析數據的標識欄位中包含有數據標識； 匹配模塊，用於根據接收到的所述待分析數據及其數據標識與預設的關聯分析規則進行匹配，得到一匹配結果； 處理模塊，用於根據所述匹配結果和預設的關聯策略產生關聯分析後事件。
6.根據權利要求5所述的關聯分析裝置，其特徵在於，所述裝置還包括: 設置模塊，用於獲取用戶配置的所有關聯分析規則，並為每個關聯分析規則分配一規則標識。
7.根據權利要求5所述的關聯分析裝置，其特徵在於，所述匹配模塊包括: 第一判斷子模塊，用於判斷所述待分析數據的數據標識與所述關聯分析規則的規則標識是否一致； 第二判斷子模塊，用於當所述待分析數據的數據標識與所述關聯分析規則的規則標識一致時，判斷所述待分析數據是否滿足所述關聯分析規則； 所述處理模塊具體用於當所述待分析數據滿足所述關聯分析規則時，根據預置的關聯策略產生關聯分析後事件。
8.根據權利要求7所述的關聯分析裝置，其特徵在於，所述處理模塊還用於當所述第一判斷子模塊判斷所述待分析數據的數據標識與所述關聯分析規則的規則標識不一致時，丟棄所述待分析數據。
9.一種關聯分析系統，其特徵在於，包括:關聯分析裝置，用於接收待分析數據，所述待分析數據的標識欄位中包含有數據標識，根據接收到的所述待分析數據及其數據標識與預設的關聯分析規則進行匹配，得到一匹配結果，根據所述匹配結果和預設的關聯策略產生關聯分析後事件。
10.根據權利要求9所述的關聯分析系統，其特徵在於， 所述關聯分析裝置還用於獲取用戶配置的所有關聯分析規則，並為每個關聯分析規則分配一規則標識； 所述系統還包括: 一個以上數據產生器，用於在待分析數據的數據欄位中添加一數據標識，所述數據標識與所述待分析數據對應的關聯分析規則的規則標識一致，並將添加數據標識後的待分析數據發送至所述關聯分析裝置 。
全文摘要
本發明提供一種關聯分析方法、裝置及系統，屬於數據業務技術領域。其中，該關聯分析方法，包括接收待分析數據，所述待分析數據的標識欄位中包含有數據標識；根據接收到的所述待分析數據及其數據標識與預設的關聯分析規則進行匹配，得到一匹配結果；根據所述匹配結果和預設的關聯策略產生關聯分析後事件。本發明的技術方案能夠提高關聯分析的準確率。
文檔編號G06F17/30GK103164400SQ20111040529
公開日2013年6月19日 申請日期2011年12月8日 優先權日2011年12月8日
發明者徐良, 李傑毅, 包森成, 楊明, 陳勇, 段文國, 諸葛凌嘯 申請人:中國移動通信集團浙江有限公司