[发明专利]行为安全基线的规则编译方法、装置、设备和存储介质

说明书

本发明实施例提供一种行为安全基线的规则编译方法、装置、设备和存储介质。该方法包括：对至少一个行为安全基线的规则进行解析，得到各个所述规则的数据结构；所述数据结构包括以下至少一项：规则名、规则标识ID、运行参数、处理节点；根据各个所述规则的数据结构，生成各个所述规则对应的规则子图；将各个所述规则子图进行融合处理，得到目标执行图；基于所述目标执行图生成可执行代码。上述方案中提高了规则使用的效率。

技术领域

本发明涉及计算机技术领域，尤其涉及一种行为安全基线的规则编译方法、装置、设备和存储介质。

背景技术

随着技术的发展和知识的扩散，网络攻击方法和数量也随之大幅增加，各种新攻击手段层出不穷，给安全分析人员和产品带来了很大的挑战和压力。

传统的安全分析和检测手段是基于先验知识，采用特征的方式来对网络数据和日志进行安全检测，这种方式可以很好的应对已知攻击方法，但是对未知和新的攻击方法则不能有效的检测，无法适应当前严峻的网络安全态势。

近年来随着机器学习的发展和实时计算框架的兴起，通过对网络数据和日志进行学习，就可以得到用户的行为安全基线；进而将学习出的行为安全基线，作为异常行为分析和检测的基准数据，进行异常行为的分析和检测。

发明内容

本发明实施例提供一种行为安全基线的规则编译方法、装置、设备和存储介质，以实现行为安全基线的规则编译方法。

具体地，本发明实施例提供了以下技术方案：

第一方面，本发明实施例提供了一种行为安全基线的规则编译方法，包括：

对至少一个行为安全基线的规则进行解析，得到各个所述规则的数据结构；所述数据结构包括以下至少一项：规则名、规则标识ID、运行参数、处理节点；

根据各个所述规则的数据结构，生成各个所述规则对应的规则子图；

将各个所述规则子图进行融合处理，得到目标执行图；

基于所述目标执行图生成可执行代码。

可选地，所述对至少一个行为安全基线的规则进行解析，得到各个所述规则的数据结构，包括：

根据规则的语义格式和/或参数格式，对各个所述规则进行解析，得到各个所述规则的数据结构。

可选地，所述根据各个所述规则的数据结构，生成各个所述规则对应的规则子图，包括：

根据运行参数和处理节点的前驱节点和后继节点的配置信息，生成各个所述规则对应的规则子图，其中，每个所述处理节点对应规则子图中的一个节点。

可选地，所述基于所述目标执行图生成可执行代码，包括：

生成所述目标执行图中所有节点对应的可执行代码；和/或

生成所述目标执行图的数据流对应的可执行代码；和/或

根据所述目标执行图相关的消息节点的运行参数信息，生成消息流对应的可执行代码；所述消息节点包括以下至少一项：消息发布节点、消息处理节点、消息反馈节点；和/或

根据所述目标执行图的语义，生成所述目标执行图到底层计算框架映射的可执行代码。

可选地，所述处理节点的参数包括以下至少一项：节点ID、节点名、节点运行参数、节点处理方式；

所述生成所述目标执行图中所有节点对应的可执行代码，包括：

根据所述处理节点的参数，生成所述目标执行图中所有节点对应的可执行代码，所述可执行代码包括：节点属性代码，和/或，节点处理逻辑代码。

可选地，所述生成所述目标执行图的数据流对应的可执行代码，包括：