[发明专利]行为安全基线的编辑数据路由方法、装置和设备

说明书

本发明实施例提供一种行为安全基线的编辑数据路由方法。该方法包括：获取行为安全基线的编辑数据；所述编辑数据表示对行为安全基线的操作数据；所述编辑数据包括订阅节点信息；根据所述订阅节点信息，获取所述编辑数据对应的路由节点信息；所述路由节点信息包括规则的标识ID和/或处理节点ID；所述规则表示行为安全基线的规则；根据所述规则的标识ID和/或处理节点ID，确定待分发的处理节点；将所述编辑数据分发到所述处理节点。上述方案可以将行为安全基线的编辑数据准确地分发到对应的处理节点中，支持各类安全分析场景。

技术领域

本发明涉及计算机技术领域，尤其涉及一种行为安全基线的编辑数据路由方法、装置和设备。

背景技术

随着网络技术的发展和知识的扩散，网络攻击方法和数量也随之大幅增加，各种新攻击手段层出不穷，给安全分析人员和产品带来了很大的挑战和压力。传统的安全分析和检测手段是基于先验知识，采用特征的方式来对网络数据和日志进行安全检测，这种方式可以很好地应对已知攻击方法，但是对未知和新的攻击方法则不能有效的检测，无法适应当前严峻的网络安全态势。

近年来随着机器学习的发展和实时计算框架的兴起，基于行为的安全分析方法开始越来越多的应用于各类安全产品中。通过对网络数据和日志进行学习，统计和归纳出用户和实体的行为特点，就可以得到用户的行为安全基线；进而将学习出的行为安全基线，作为异常行为分析和检测的基准数据，进行异常行为的分析和检测，完成很多基于特征的方式无法达到的效果。

在异常行为的分析和检测过程中，为了提高异常行为的分析和检测的效率和准确性，通常要保证行为安全基线的准确性，在分析和检测过程中通常会对行为安全基线进行一些操作，例如对行为安全基线进行更新、删除等操作，上述操作的数据可以称为行为安全基线的编辑数据，而行为安全基线的生成和管理需要用到大量的处理节点。因此，如何将行为安全基线的编辑数据准确地分发到对应的处理节点中，是本领域技术人员亟需解决的技术问题。

发明内容

针对现有技术中的问题，本发明实施例提供一种行为安全基线的编辑数据路由方法、装置和设备。

具体地，本发明实施例提供了以下技术方案：

第一方面，本发明实施例提供了一种行为安全基线的编辑数据路由方法，包括：

获取行为安全基线的编辑数据；所述编辑数据表示对行为安全基线的操作数据；所述编辑数据包括订阅节点信息；

根据所述订阅节点信息，获取所述编辑数据对应的路由节点信息；所述路由节点信息包括规则的标识ID和/或处理节点ID；所述规则表示行为安全基线的规则；

根据所述规则的标识ID和/或处理节点ID，确定待分发的处理节点；

将所述编辑数据分发到所述处理节点。

可选地，所述根据所述行为安全基线的编辑数据的订阅节点信息，获取所述编辑数据对应的路由节点信息，包括：

基于预设的路由表，查询所述编辑数据的订阅节点信息对应的路由节点信息。

可选地，所述根据所述规则的标识ID和/或处理节点ID，确定待分发的处理节点，包括：

若所述路由节点信息为规则的标识ID，则将所述规则ID对应的所有处理节点作为所述待分发的处理节点；

若所述路由节点信息为处理节点ID，则将所有规则ID下所述处理节点ID对应的处理节点作为所述待分发的处理节点；

若所述路由节点信息包括规则的标识ID和处理节点ID，则将所述规则ID下所述处理节点ID对应的处理节点确定为所述待分发的处理节点。

可选地，将所述编辑数据分发到所述处理节点，包括：