[发明专利]一种数据关联处理方法、装置、设备及介质

说明书

本发明公开了一种数据关联处理方法、装置、设备及介质，所述方法包括获取关联规则，根据所述关联规则生成关联分析树；根据所述关联分析树生成内存规则执行对象，所述内存规则执行对象用于对进入内存的实时数据进行关联以得到关联目标数据；根据所述关联目标数据进行数据处理。本发明用于对位于内存的实时数据进行即时关联，从而可以快速得到安全检测结果。通过多种数据的关联，从而能够准确定位触发数据产生的相关事件，应用于安全领域能够显著提升告警的准确度与及时性。本发明自定义语法，并将根据自定义语法编写的关联规则自动执行，降低了关联规则编写门槛，使得关联规则的制定者可以摆脱对于程序开发人员的依赖，缩短关联规则落地时间。

技术领域

本发明涉及安全防御领域，尤其涉及一种数据关联处理方法、装置、设备及介质。

背景技术

随着公司办公环境的互联网化，移动化，无边界化，必然面对更多的网络渗透、木马病毒入侵等网络攻击、还有严峻的信息泄露风险、新型的更隐蔽的APT(advancedpersistent threat)攻击。为了提高纵深防御能力，必须对百亿至千亿海量安全日志数据实时多维关联高速分析，以尽可能早的发现泄露行为或入侵行为，保障办公安全正常和业务连续性。黑客在进行入侵时，会在多种类别的安全日志中留下痕迹。单类别的数据分析往往看不出黑客攻击的全貌，而且误报率高，关联分析成为入侵检测平台应该具备的核心能力。

现有技术中主要有下述关联分析方案：

(1)利用数据库关联查询：将安全日志存入数据库，利用数据库查询语言进行关联查询。这种方法需要数据落地后才能进行分析，性能差、延时性高、实时性低。关系数据库存储量有限，查询速度慢，难以用于处理百亿至千亿海量安全日志数据。

(2)基于规则进行关联查询：需要将业务规则代码化并将其上传到分布式数据平台。规则创建调整更新困难，需要开发人员介入，成本高周期长，灵活性差。

可见，现有技术中尚不存在灵活性高，性能优越的海量数据关联分析方案。

发明内容

为了解决现有技术中尚不存在灵活性高，性能优越的海量数据关联分析方案的技术问题，本发明实施例提供一种数据关联处理方法、装置、设备及介质。

一方面，本发明提供了一种数据关联处理方法，所述方法包括：

获取关联规则，根据所述关联规则生成关联分析树；

根据所述关联分析树生成内存规则执行对象，所述内存规则执行对象用于对进入内存的实时数据进行关联以得到关联目标数据；

根据所述关联目标数据进行数据处理。

另一方面，本发明提供了一种数据关联处理装置，所述装置包括：

关联分析树获取模块，用于获取关联规则，根据所述关联规则生成关联分析树；

关联模块，用于根据所述关联分析树生成内存规则执行对象，所述内存规则执行对象用于对进入内存的实时数据进行关联以得到关联目标数据；

数据处理模块，用于根据所述关联目标数据进行数据处理。

另一方面，本发明提供了一种设备，其特征在于，所述设备包括处理器和存储器，所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现一种数据关联处理方法。

另一方面，本发明提供了一种计算机存储介质，其特征在于，所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、至少一段程序、代码集或指令集由处理器加载并执行一种数据关联处理方法。