[发明专利]一种规则自动生成的方法

说明书

技术领域

本发明涉及信息系统中规则的自动生成及维护领域，尤其涉及一种规则自动生成的方法。

背景技术

目前大量信息系统的安全管理、监控管理等都需要设置各种规则来对检测到的实际运行情况进行报警或处理，它们一般采用以下方法的一种或几种。

1.规则库方法：

在产品中提供预先设定的规则库，由用户进行勾选使其生效或失效。规则库由产品提供者进行研发并提供。

该技术一般由软件产品厂商在自己的研发中心使用并形成规则库，用户无法修改，只能选择。由于实际应用环境的复杂性和快速变化，这种方法已很难适用。

2.编程方法：

向用户提供编程接口或规则编程语言，由用户自己通过编程实现规则。

该技术一般是构建一个规则引擎并提供一套编程方法，使用户能够自行编程来构造规则，由规则引擎进行解释并执行。该方法虽然提供了很高的灵活性和适应性，但用户需要为此学习一门独特的编程语言以及规则引擎的接口方法，对用户的要求极高，只能在少数具备条件的单位使用。

3.图形化选择-设置方法：

该技术提供规则引擎和规则设置的图形界面，供用户选择字段和条件表达式等来构造规则。这种方法避免了编程等方法的复杂性，同时又能提供一定程度的灵活性，但要求用户详细了解数据字段的含义，条件选择的含义以及相关的逻辑，因此用户使用时需要深度培训。另外，用户设置时选择哪些字段和条件缺乏依据，导致设置时的随意性和盲目性，实际使用效果有限。

发明内容

为解决上述现有技术中存在的问题和缺点，本发明提供了一种规则自动生成的方法，本发明通过跟踪用户对实际运行数据分析的操作过程自动构造规则，用户可根据分析结果决定是否添加新规则。本发明还能根据规则的应用情况提出新规则推荐和调整规则优先级，使用户可以在实际运行数据的基础上构建和维护规则，提高规则的实用性和准确性。

本发明提供的规则自动生成的方法包括以下步骤：

S1，跟踪对运行数据进行分析的操作过程；

S2，生成所述操作过程的原始记录；

S3，对所述原始记录进行解析，形成待选规则；

S4，判断所述待选规则是否存在于标准规则库中，如果判断结果为否，则执行S5；如果判断结果为是，则执行S1跟踪对新的运行数据进行分析的操作过程；

S5，判断所述待选规则是否存在于忽略规则库中，如果判断结果为否，则执行S6；如果判断结果为是，则执行S1跟踪对新的运行数据进行分析的操作过程；

S6，将所述待选规则展示于待选规则列表中，等待新规则生成指令或规则忽略指令；

S7，当接收到所述新规则生成指令时，将所述新规则生成指令对应的待选规则添加到所述标准规则库中；当接收到规则忽略指令时，将所述规则忽略指令对应的待选规则添加到忽略规则库中。

优选的，S1具体为，获取管理目标所对应的运行数据，将所述运行数据展示于运行数据列表中并等待分析触发，当所述运行数据列表中的运行数据被触发时，跟踪所述触发的操作过程。

优选的，所述管理目标包括以下类型中的一种或几种：

文件、数据库、网页、流、数据包、数据流。

优选的，一个以上所述管理目标组成管理目标集。

优选的，S3具体为，解析出所述原始记录中所包含的运行数据的逻辑关系和取值范围，生成待选规则。

优选的，步骤S7后还包括以下步骤：

S8，用所述标准规则库和/或忽略规则库中的规则对接收到的运行数据进行检测，当所述运行数据符合所述规则的触发条件时触发所述规则。

优选的，所述标准规则库中的规则按一定策略排序后对所述运行数据进行检测。

优选的，所述策略为优先级策略，优先级高者排序在前。

优选的，根据同一所述规则被触发的次数调整所述规则的优先级，被触发次数越多，优先级越高。

本发明实现的有益效果是：

应用本发明后，用户无需了解和学习与管理目标无关的编程、接口，就能轻易建立适合自己特定信息系统环境、持续适应系统各种变化的规则库。

本发明可广泛应用于信息系统的监控报警、安全管理、行为审计、合规管理等各个方面，并具备以下好处：

1.用户无需花费大量时间和精力学习一门新的编程语言或者数据接口、定义等。

2.用户分析问题的同时就完成了规则的构造，使建立规则更容易、效率更高。

3.用户能够直观获得规则应用的效果，更容易决定是否添加规则。