[发明专利]一种基于流架构实现累计物联设备的方法、系统及装置

说明书

本发明公开了一种基于流架构实现累计物联设备的方法、系统及装置，包括：从消息中间件中接收不同产品的多个物联设备上报的日志，并从所述日志中筛选同一产品的多个物联设备的日志；加载所述同一产品的多个物联设备的日志对应的规则集，作为本次待执行的规则系统，基于所述日志，执行所述本次待执行的规则系统，得到匹配结果消息，其中，所述规则系统用于多个物联设备符合相同规则的累计数量确认；向所述消息中间件返回所述匹配结果消息。本发明采用更加符合物联设备场景的技术框架(流处理框架、消息中间件、CEP)。没有采用数据库，数据链路更短，处理时间更短，使用可以避免简单规则带来的误报问题，同时能够实现更加复杂的规则。

技术领域

本发明涉及网络安全技术领域，具体涉及一种基于流架构实现累计物联设备的方法、系统及装置。

背景技术

目前大多数的物联设备的可靠性不高，导致上报的日志也不可靠。对不可靠的单条日志进行规则判断来生成事件会容易引起误报问题，所以需要考虑连续一段时间内的物联设备日志之间的关系。根据资料可知，如果发生特定事件(火灾)，则同一区域的多个物联设备(烟感探测器、温度传感器等)在一段时间内会持续报警。反映到日志上，同一区域的物联设备会持续上报告警信息，即物联设备的日志之间存在某种关系。

现有技术大多基于(可靠性不高的)物联设备的一条日志判断某一个属性和阈值之间的关系，或几个属性和阈值之间的关系的逻辑组合来生成(告警)事件，针对可靠性不高的物联设备，生成事件不符合逻辑，容易引起误报问题。

发明内容

本发明的目的在于提供一种基于流架构实现累计物联设备的方法、系统及装置，使用流处理框架(Flink)从消息中间件(Kafka)中读取日志和规则，对规则进行预处理，对规则使用CEP技术(Siddhi)生成规则引擎，使用规则引擎处理日志信息，生成事件返回给流处理框架，流处理框架将生成的事件发送给消息中间件，从而实现更加复杂的规则，降低误报率，进而实现同一产品下累计多个物联设备满足同一规则表达式的关联分析的方法。

一种基于流架构实现累计物联设备的方法，包括：

从消息中间件中接收不同产品的多个物联设备上报的日志，并从所述日志中筛选同一产品的多个物联设备的日志；

加载所述同一产品的多个物联设备的日志对应的规则集，作为本次待执行的规则系统，基于所述日志，执行所述本次待执行的规则系统，得到匹配结果消息，其中，所述规则系统用于多个物联设备符合相同规则的累计数量确认；

向所述消息中间件返回所述匹配结果消息。

进一步地，所述规则系统，具体执行以下步骤：

S1：从所述同一产品的多个物联设备的日志中监测是否存在一个物联设备满足匹配条件，所述匹配条件为：满足规则集中的对应于告警事件的规则表达式；

S2：若是，则累计一次，则在预设时间范围内，不间断的获取同一产品的物联设备的日志并监测是否存在其他物联设备满足同一匹配条件，直至累计次数达到预设数量，所述其他物联设备为未监测过的物联设备；

S3：生成告警事件，将所述告警事件确定为匹配结果消息。

其中所述对应于告警事件的规则表达式可根据具体的场景进行配置。若为相同的告警事件，则特定的规则表达式可相同，若为不同的告警事件，则特定的规则表达式可不相同。

进一步地，所述规则集包括至少一个基础规则表达式，所述基础规则表达式为对应于设备的属性与属性阈值之间的关系的基础规则表达式。

进一步地，所述规则集还包括多个基础规则表达式逻辑组合而成的至少一个组合规则表达式，所述逻辑组合包括“或”和“与”；所述“或”关系：当日志符合所述组合规则表达式中任一个规则表达式即视为满足该组合规则表达式；所述“与”关系：当日志符合所述组合规则表达式中所有的规则表达式即视为满足该组合规则表达式。