[发明专利]一种流架构的规则引擎架构、系统及方法

说明书

本发明公开了一种流架构的规则引擎架构、系统及方法，包括：解析组件：用于获取规则，并对所述规则进行规则适配；关联组件：用于获取不同产品下多个物联设备的日志；规则引擎：用于根据所述携带规则ID的日志，获取与所述规则ID对应的规则表达式，基于所述规则表达式，生成规则系统，将所述携带规则ID的日志输入规则系统，生成匹配结果消息并输出。本发明采用更加符合物联设备场景的技术框架(流处理框架、消息中间件、CEP)。没有采用数据库，数据链路更短，处理时间更短，使用可以避免简单规则带来的误报问题，同时能够实现更加复杂的规则。

技术领域

本发明涉及网络安全技术领域，具体涉及一种流架构的规则引擎架构、系统及方法。

背景技术

目前大多数的物联设备的可靠性不高，导致上报的日志也不可靠。对不可靠的单条日志进行规则判断来生成事件会容易引起误报问题，所以需要考虑连续一段时间内的物联设备日志之间的关系。根据资料可知，如果发生特定事件(火灾)，则同一区域的多个物联设备(烟感探测器、温度传感器等)在一段时间内会持续报警。反映到日志上，同一区域的物联设备会持续上报告警信息，即物联设备的日志之间存在某种关系。

现有技术大多基于(可靠性不高的)物联设备的一条日志判断某一个属性和阈值之间的关系，或几个属性和阈值之间的关系的逻辑组合来生成(告警)事件，针对可靠性不高的物联设备，生成事件不符合逻辑，容易引起误报问题。

发明内容

本发明的目的在于提供一种流架构的规则引擎架构、系统及方法，使用流处理框架(Flink)从消息中间件(Kafka)中读取日志和规则，对规则进行预处理，对规则使用CEP技术(Siddhi)生成规则引擎，使用规则引擎处理日志信息，生成事件返回给流处理框架，流处理框架将生成的事件发送给消息中间件，从而实现更加复杂的规则，降低误报率。

一种流架构的规则引擎架构，包括：

解析组件：用于获取规则，并对所述规则进行规则适配，获得规则表达式及其对应的规则ID，并将所述规则表达式发送至规则引擎，所述规则为针对不同产品下多个设备的规则；

关联组件：用于获取不同产品下多个物联设备的日志，并根据所述日志进行标记获得携带规则ID的日志，并将所述携带规则ID的日志发送至规则引擎；

规则引擎：用于根据所述携带规则ID的日志，获取与所述规则ID对应的规则表达式，基于所述规则表达式，生成规则系统，将所述携带规则ID的日志输入规则系统，生成匹配结果消息并输出。

进一步地，所述规则系统，通过以下步骤得到:

提取所述携带规则ID的日志中的规则ID；

根据所述规则ID获取对应的规则表达式，生成规则集，其中所述规则集中的每个规则表达式与规则ID一一对应；

将所述规则集中的规则表达式按照特定顺序加载生成规则系统。

进一步地，所述携带规则ID的日志，具体由以下步骤得到：

从所述日志中，提取与日志一一对应的产品编码，根据所述产品编码获取与同一产品编码的至少一个规则，其中每个规则具备一一对应的规则ID；

根据所述规则从日志中解析生成多个匹配的字段，并分别对所述字段标记对应的规则ID；

将所述多个匹配的字段及其对应的规则ID作为携带规则ID的日志。

进一步地，所述规则集包括基础规则表达式，所述基础规则表达式为对应于设备的属性与属性阈值之间的关系表达式。