本發(fā)明涉及大數(shù)據(jù)安全分析技術(shù)領(lǐng)域，具體涉及一種大數(shù)據(jù)安全分析的可視化交互式方法。

背景技術(shù)：

在如今這個(gè)大數(shù)據(jù)時(shí)代，海量數(shù)據(jù)中蘊(yùn)含著層出不窮的安全問(wèn)題，安全分析人員在對(duì)安全問(wèn)題進(jìn)行分析的過(guò)程中，發(fā)揮著至關(guān)重要的作用。傳統(tǒng)的大數(shù)據(jù)安全分析需要安全分析人員利用自身知識(shí)以及經(jīng)驗(yàn)，對(duì)于日志數(shù)據(jù)，制定規(guī)則，進(jìn)行分析計(jì)算，生成事件告警。但是，在創(chuàng)建場(chǎng)景、制定規(guī)則對(duì)海量數(shù)據(jù)進(jìn)行安全分析的過(guò)程中，存在以下的問(wèn)題：

第一，需要安全分析人員自己寫(xiě)代碼，安全分析人員是擁有安全分析背景的專業(yè)人員，他們更注重安全相關(guān)的業(yè)務(wù)，和精通代碼的研發(fā)人員不同，他們大部分并不精通編寫(xiě)程序，而如果把安全問(wèn)題分析的工作交給研發(fā)人員，由于研發(fā)人員對(duì)安全問(wèn)題的分析沒(méi)那么透徹、全面，故把安全分析的工作任務(wù)交給研發(fā)人員不僅不合理，還容易引發(fā)其他問(wèn)題；

第二，如果由安全分析人員直接編寫(xiě)安全大數(shù)據(jù)分析規(guī)則，需要直接對(duì)數(shù)據(jù)庫(kù)進(jìn)行操作，將規(guī)則寫(xiě)入數(shù)據(jù)庫(kù)中，在生產(chǎn)環(huán)境中直接操縱數(shù)據(jù)庫(kù)是不安全的；

第三，如果通過(guò)預(yù)置規(guī)則的方式在數(shù)據(jù)庫(kù)中配置好規(guī)則，則對(duì)數(shù)據(jù)分析的可配置性低，交互體驗(yàn)差，在大數(shù)據(jù)環(huán)境下對(duì)安全問(wèn)題分析工作的開(kāi)展是不利的，并且當(dāng)安全分析人員想要改變某個(gè)閾值的時(shí)候也帶來(lái)了不便；

第四，由于安全分析人員更關(guān)心的是安全大數(shù)據(jù)分析的業(yè)務(wù)，故安全分析人員并不需要了解日志數(shù)據(jù)中具體字段的定義，并且，從他們的角度看，不同的安全業(yè)務(wù)場(chǎng)景，關(guān)鍵元素指代的字段很有可能是不同日志數(shù)據(jù)中的不同字段，并且在安全大數(shù)據(jù)的分析實(shí)現(xiàn)中，一般需要對(duì)安全分析人員隱藏日志數(shù)據(jù)中字段的具體細(xì)節(jié)。

綜上所述，傳統(tǒng)的大數(shù)據(jù)安全問(wèn)題分析存在可操作性、可配置性、交互性、安全性弱等缺點(diǎn)，既不利于使安全分析人員更專注于安全業(yè)務(wù)分析本身，也不利于幫助安全分析人員定位、分析大數(shù)據(jù)安全問(wèn)題，是當(dāng)前急需解決的問(wèn)題。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明的目的是克服傳統(tǒng)的大數(shù)據(jù)安全問(wèn)題分析，可操作性、可配置性、交互性、安全性弱的問(wèn)題。本發(fā)明的大數(shù)據(jù)安全分析的可視化交互式方法，在傳統(tǒng)攻擊場(chǎng)景建?；A(chǔ)上，使用了可視化的規(guī)則配置界面，并在規(guī)則生效后可預(yù)覽告警，提高了場(chǎng)景建模的可視性及交互性，實(shí)現(xiàn)了可視化交互的攻擊場(chǎng)景建模，便于大數(shù)據(jù)安全分析，具有良好的應(yīng)用前景。

為了達(dá)到上述目的，本發(fā)明所采用的技術(shù)方案是：

一種大數(shù)據(jù)安全分析的可視化交互式方法，其特征在于：包括以下步驟，

步驟（a），通過(guò)web展示規(guī)則配置界面、告警預(yù)覽界面，并進(jìn)行配置，所述規(guī)則配置界面，用于實(shí)現(xiàn)攻擊場(chǎng)景建模的規(guī)則配置，所述告警預(yù)覽界面，用于生成告警與場(chǎng)景規(guī)則之間關(guān)系的展示；

步驟（b），確立交互模型，實(shí)現(xiàn)輸入的場(chǎng)景與規(guī)則片段信息的組合分析處理；

步驟（c），建立規(guī)則庫(kù)，實(shí)現(xiàn)場(chǎng)景規(guī)則數(shù)據(jù)的結(jié)構(gòu)化存儲(chǔ)；

步驟（d），大數(shù)據(jù)安全分析，實(shí)現(xiàn)實(shí)時(shí)大數(shù)據(jù)及場(chǎng)景規(guī)則的數(shù)據(jù)關(guān)聯(lián)分析。

前述的一種大數(shù)據(jù)安全分析的可視化交互式方法，其特征在于：步驟（a），通過(guò)web展示規(guī)則配置界面、告警預(yù)覽界面，并進(jìn)行配置，，包括以下步驟，

（a1），通過(guò)web展示的規(guī)則配置界面進(jìn)行規(guī)則配置：在規(guī)則配置頁(yè)面通過(guò)選擇、點(diǎn)擊、輸入的方式建立安全事件場(chǎng)景及其規(guī)則的片段信息，信息暫存在交互模型中，其中，規(guī)則配置頁(yè)面上選擇日志數(shù)據(jù)字段是通過(guò)查詢數(shù)據(jù)庫(kù)表中的日志對(duì)應(yīng)字段實(shí)現(xiàn)，并且規(guī)則配置頁(yè)面在顯示字段含義的同時(shí)還懸浮顯示該字段在數(shù)據(jù)庫(kù)中存儲(chǔ)的英文字段名，用于幫助分析安全人員配置規(guī)則；

（a2），規(guī)則片段重組：將暫存在交互模型的片段信息在內(nèi)存中進(jìn)行組合、關(guān)聯(lián)、分析，形成被計(jì)算機(jī)理解的攻擊場(chǎng)景建模規(guī)則，并向結(jié)構(gòu)化數(shù)據(jù)庫(kù)傳輸。

（a3），規(guī)則存儲(chǔ)：將經(jīng)過(guò)分析后的攻擊場(chǎng)景建模規(guī)則信息存儲(chǔ)到場(chǎng)景數(shù)據(jù)庫(kù)表，將經(jīng)過(guò)組合后的規(guī)則語(yǔ)句存儲(chǔ)到規(guī)則數(shù)據(jù)庫(kù)表，場(chǎng)景與規(guī)則關(guān)聯(lián)的信息存儲(chǔ)在場(chǎng)景規(guī)則關(guān)聯(lián)庫(kù)表中，用于后續(xù)日志分析、場(chǎng)景建模；

（a4），規(guī)則啟用形成反饋閉環(huán)：在web展示的告警預(yù)覽界面反映兩部分信息：自定義的場(chǎng)景與規(guī)則信息的關(guān)系、告警事件與場(chǎng)景的關(guān)系，其中，告警事件與場(chǎng)景的關(guān)系需要由安全分析人員確認(rèn)使場(chǎng)景規(guī)則生效，在對(duì)日志數(shù)據(jù)進(jìn)行分析后，安全分析人員通過(guò)查看生成的告警事件與生成該事件的規(guī)則，進(jìn)行分析，形成反饋閉環(huán)。

前述的一種大數(shù)據(jù)安全分析的可視化交互式方法，其特征在于：（a4），規(guī)則啟用形成反饋閉環(huán)過(guò)程中，根據(jù)場(chǎng)景規(guī)則合適則沿用使用，不合適則修改后使用或丟棄的原則處理建立的場(chǎng)景建模規(guī)則。

前述的一種大數(shù)據(jù)安全分析的可視化交互式方法，其特征在于：步驟（b），確立交互模型，實(shí)現(xiàn)輸入的場(chǎng)景與規(guī)則片段信息的組合分析處理，包括以下步驟，

（b1），建立場(chǎng)景交互分析：安全分析人員在場(chǎng)景建模界面的場(chǎng)景界面根據(jù)業(yè)務(wù)的需要，在場(chǎng)景建模界面輸入場(chǎng)景的名稱、描述，選擇場(chǎng)景的分類、級(jí)別，在后臺(tái)通過(guò)將原始輸入信息轉(zhuǎn)換為包含同等信息量的結(jié)構(gòu)化數(shù)據(jù)，實(shí)現(xiàn)場(chǎng)景信息的分析轉(zhuǎn)化；

（b2），建立規(guī)則交互分析：安全分析人員在場(chǎng)景建模的規(guī)則配置界面根據(jù)場(chǎng)景的時(shí)間關(guān)聯(lián)性選擇場(chǎng)景規(guī)則的規(guī)則分類，在界面提供的日志數(shù)據(jù)樹(shù)形結(jié)構(gòu)中選擇需要進(jìn)行規(guī)則分析的字段，并輸入或選擇場(chǎng)景規(guī)則的適用條件、輸出字段信息，后臺(tái)按照攻擊事件關(guān)聯(lián)性的規(guī)則分類判斷使用何種規(guī)則拼接模型，處理需要分析的字段、規(guī)則，并將上述的片段信息轉(zhuǎn)化為具有場(chǎng)景分析能力的結(jié)構(gòu)化語(yǔ)句及包含場(chǎng)景規(guī)則對(duì)應(yīng)關(guān)系的結(jié)構(gòu)化數(shù)據(jù)；

（b3），建立場(chǎng)景交互分析與規(guī)則交互分析的關(guān)聯(lián)：在后臺(tái)將用戶輸入或選擇的場(chǎng)景及規(guī)則信息進(jìn)行關(guān)聯(lián)、存儲(chǔ)到對(duì)應(yīng)的場(chǎng)景與規(guī)則關(guān)系數(shù)據(jù)表中，實(shí)現(xiàn)場(chǎng)景交互分析與規(guī)則交互分析的關(guān)聯(lián)。

前述的一種大數(shù)據(jù)安全分析的可視化交互式方法，其特征在于：步驟（c），建立規(guī)則庫(kù)，實(shí)現(xiàn)場(chǎng)景規(guī)則數(shù)據(jù)的結(jié)構(gòu)化存儲(chǔ)，包括若干相關(guān)數(shù)據(jù)庫(kù)表，每一個(gè)數(shù)據(jù)庫(kù)表是規(guī)則庫(kù)中用于交互的一個(gè)組件，每個(gè)組件負(fù)責(zé)一個(gè)規(guī)則建立，具體包括日志對(duì)應(yīng)字段數(shù)據(jù)庫(kù)表、場(chǎng)景數(shù)據(jù)庫(kù)表、規(guī)則數(shù)據(jù)庫(kù)表、場(chǎng)景規(guī)則關(guān)聯(lián)數(shù)據(jù)庫(kù)表四個(gè)數(shù)據(jù)庫(kù)表。

前述的一種大數(shù)據(jù)安全分析的可視化交互式方法，其特征在于：步驟（d），大數(shù)據(jù)安全分析，實(shí)現(xiàn)實(shí)時(shí)大數(shù)據(jù)及場(chǎng)景規(guī)則的數(shù)據(jù)關(guān)聯(lián)分析，包括以下步驟，

（d1），創(chuàng)建的場(chǎng)景及規(guī)則啟用

安全分析人員查看針對(duì)不同場(chǎng)景的自定義場(chǎng)景規(guī)則，確認(rèn)后選擇啟用，如不滿意，進(jìn)行修改后啟用或刪除；

（d2），規(guī)則啟用后告警生成快照

在啟用創(chuàng)建的規(guī)則后，規(guī)則在引擎中預(yù)設(shè)的生效間隔時(shí)長(zhǎng)后生效，可默認(rèn)為一天，在此期間可修改，對(duì)實(shí)時(shí)日志數(shù)據(jù)進(jìn)行分析，生成告警，存儲(chǔ)在數(shù)據(jù)庫(kù)的告警表中，告警預(yù)覽界面實(shí)時(shí)讀取數(shù)據(jù)庫(kù)中最新的告警事件，并進(jìn)行展示，其中，告警表中除了反映告警事件的內(nèi)容外，還會(huì)反映生成該條告警的自定義場(chǎng)景及規(guī)則；

（d3），反饋及評(píng)估

安全分析人員在通過(guò)查看生成的告警快照后，根據(jù)告警及關(guān)聯(lián)場(chǎng)景規(guī)則推斷制定的規(guī)則是否適用于當(dāng)前的業(yè)務(wù)分析，適用的場(chǎng)景規(guī)則沿用，不適用的修改或刪除，形成實(shí)時(shí)大數(shù)據(jù)及場(chǎng)景規(guī)則的數(shù)據(jù)關(guān)聯(lián)分析的反饋閉環(huán)。

本發(fā)明的有益效果是：本發(fā)明的大數(shù)據(jù)安全分析的可視化交互式方法，在傳統(tǒng)攻擊場(chǎng)景建?；A(chǔ)上，使用了可視化的規(guī)則配置界面，并在規(guī)則生效后可預(yù)覽告警，提高了場(chǎng)景建模的可視性及交互性，實(shí)現(xiàn)了可視化交互的攻擊場(chǎng)景建模，便于大數(shù)據(jù)安全分析，充分利用開(kāi)源的流式處理框架、事件處理模型以及可視化交互運(yùn)行反饋模型，通過(guò)對(duì)場(chǎng)景規(guī)則的可視化配置，以及規(guī)則作用于數(shù)據(jù)后的反饋，使數(shù)據(jù)分析的流程形成完整閉環(huán)，人機(jī)形成良好交互，最終形成場(chǎng)景建模的良好可視化交互流程，具有良好的應(yīng)用前景。

附圖說(shuō)明

圖1是本發(fā)明的大數(shù)據(jù)安全分析的可視化交互式方法的可視化模型形成的反饋閉環(huán)的示意圖；

圖2是本發(fā)明的四個(gè)步驟對(duì)應(yīng)的可視化分析運(yùn)行模型的示意圖；

圖3是本發(fā)明的大數(shù)據(jù)安全分析的可視化交互式方法的流程圖；

圖4是本發(fā)明各個(gè)步驟對(duì)應(yīng)的模塊化結(jié)構(gòu)的交互示意圖；

圖5是本發(fā)明的用戶界面與數(shù)據(jù)庫(kù)交互的數(shù)據(jù)示意圖。

具體實(shí)施方式

下面將結(jié)合說(shuō)明書(shū)附圖，對(duì)本發(fā)明作進(jìn)一步的說(shuō)明。

本發(fā)明的大數(shù)據(jù)安全分析的可視化交互式方法，采用流計(jì)算組件storm、復(fù)雜事件處理組件esper、結(jié)構(gòu)化數(shù)據(jù)庫(kù)及交互式技術(shù)，使展示界面及場(chǎng)景建模后臺(tái)形成可視化交互，通過(guò)包含web展現(xiàn)、建立交互模型、建立規(guī)則庫(kù)以及數(shù)據(jù)分析的四大步驟，實(shí)現(xiàn)如圖1所示的安全數(shù)據(jù)分析的反饋閉環(huán)，每一流程內(nèi)部按照交互式的分工不同，聯(lián)合使用，交互式作用，實(shí)現(xiàn)自定義規(guī)則場(chǎng)景建模、規(guī)則作用于數(shù)據(jù)后的告警預(yù)覽，同時(shí)，本發(fā)明的方法實(shí)現(xiàn)場(chǎng)景建立規(guī)則和通過(guò)應(yīng)用規(guī)則后產(chǎn)生的告警之間的交互作用，確定規(guī)則中的閾值是否適當(dāng)，完成對(duì)數(shù)據(jù)進(jìn)行預(yù)期分析的場(chǎng)景規(guī)則進(jìn)行取舍的交互式運(yùn)行閉環(huán)，可視化交互式方法，基于安全分析人員自定義的規(guī)則，提取出事件之間的關(guān)聯(lián)，生成告警快照，并依據(jù)告警的快照反推規(guī)則制定的合理性，如圖2所示，本發(fā)明的四個(gè)步驟抽象為反饋閉環(huán)里的四個(gè)模塊，模塊之間交互式運(yùn)行，完成場(chǎng)景建模，區(qū)別于以往的非可視化、非交互式場(chǎng)景建模，如圖3-圖5所示，具體包括以下步驟，

步驟（a），通過(guò)web展示規(guī)則配置界面、告警預(yù)覽界面，并進(jìn)行配置，所述規(guī)則配置界面，用于實(shí)現(xiàn)攻擊場(chǎng)景建模的規(guī)則配置，所述告警預(yù)覽界面，用于生成告警與場(chǎng)景規(guī)則之間關(guān)系的展示，包括以下步驟，

（a1），通過(guò)web展示的規(guī)則配置界面進(jìn)行規(guī)則配置：在規(guī)則配置頁(yè)面通過(guò)選擇、點(diǎn)擊、輸入的方式建立安全事件場(chǎng)景及其規(guī)則的片段信息，信息暫存在交互模型中，其中，規(guī)則配置頁(yè)面上選擇日志數(shù)據(jù)字段是通過(guò)查詢數(shù)據(jù)庫(kù)表中的日志對(duì)應(yīng)字段實(shí)現(xiàn)，并且規(guī)則配置頁(yè)面在顯示字段含義的同時(shí)還懸浮顯示該字段在數(shù)據(jù)庫(kù)中存儲(chǔ)的英文字段名，用于幫助分析安全人員配置規(guī)則，這里將如下幾類信息片段存儲(chǔ)在內(nèi)存中：（1）創(chuàng)建的場(chǎng)景名稱、分類、描述信息；（2）通過(guò)界面的數(shù)據(jù)字段樹(shù)形圖選擇的待分析字段；（3）通過(guò)點(diǎn)擊選擇的數(shù)據(jù)分析條件，以樹(shù)狀圖法及左上角優(yōu)先原則在web展示面構(gòu)建場(chǎng)景、配置規(guī)則項(xiàng)；

（a2），規(guī)則片段重組：將暫存在交互模型的片段信息在內(nèi)存中進(jìn)行組合、關(guān)聯(lián)、分析，形成被計(jì)算機(jī)理解的攻擊場(chǎng)景建模規(guī)則，并向結(jié)構(gòu)化數(shù)據(jù)庫(kù)傳輸，在內(nèi)存中按照?qǐng)鼍啊⒁?guī)則、場(chǎng)景與規(guī)則關(guān)聯(lián)三個(gè)維度重組記錄在交互模型模塊中的場(chǎng)景及規(guī)則語(yǔ)義片段，上述提及組合、關(guān)聯(lián)、分析場(chǎng)景規(guī)則語(yǔ)句的模式依照事件流處理語(yǔ)言（epl，eventprocessinglanguage）的規(guī)則語(yǔ)句的固定模式，即：規(guī)則語(yǔ)句中必須包含組成告警意義的時(shí)間、攻擊源、攻擊目的、攻擊類型字段，安全分析人員在選擇告警字段時(shí)需考慮具體的業(yè)務(wù)，選擇欲分析輸出的字段，這里的結(jié)構(gòu)化數(shù)據(jù)庫(kù)內(nèi)結(jié)構(gòu)化數(shù)據(jù)庫(kù)表，分為預(yù)存儲(chǔ)數(shù)據(jù)表及用于交互反饋的數(shù)據(jù)結(jié)構(gòu)表，兩類數(shù)據(jù)表的作用分別是：

（1）預(yù)存儲(chǔ)數(shù)據(jù)表：該類數(shù)據(jù)庫(kù)表不僅預(yù)先建立了數(shù)據(jù)結(jié)構(gòu)，還存儲(chǔ)了數(shù)據(jù)，用于表示不同類別日志數(shù)據(jù)的字段對(duì)應(yīng)，即日志對(duì)應(yīng)字段數(shù)據(jù)表，反映不同類別日志數(shù)據(jù)字段的對(duì)應(yīng)名稱、類型、精度、類別標(biāo)識(shí)號(hào)等關(guān)鍵信息，該表中的數(shù)據(jù)以樹(shù)形圖的形式展現(xiàn)在web界面，供安全分析人員在web界面中創(chuàng)建規(guī)則時(shí)選擇符合安全分析業(yè)務(wù)含義的實(shí)際數(shù)據(jù)字段使用；

（2）用于交互反饋的數(shù)據(jù)結(jié)構(gòu)表：該類數(shù)據(jù)表中僅存儲(chǔ)了數(shù)據(jù)結(jié)構(gòu)，在場(chǎng)景建模初期，該類數(shù)據(jù)庫(kù)表為空，當(dāng)具體的數(shù)據(jù)實(shí)例由交互模型重組分析后，再存儲(chǔ)到該類表中，該類數(shù)據(jù)庫(kù)表用于存儲(chǔ)不同業(yè)務(wù)場(chǎng)景的不同業(yè)務(wù)規(guī)則，供安全分析人員建立不同場(chǎng)景及場(chǎng)景對(duì)應(yīng)不同規(guī)則使用；

（a3），規(guī)則存儲(chǔ)：將經(jīng)過(guò)分析后的攻擊場(chǎng)景建模規(guī)則信息存儲(chǔ)到場(chǎng)景數(shù)據(jù)庫(kù)表，將經(jīng)過(guò)組合后的規(guī)則語(yǔ)句存儲(chǔ)到規(guī)則數(shù)據(jù)庫(kù)表，場(chǎng)景與規(guī)則關(guān)聯(lián)的信息存儲(chǔ)在場(chǎng)景規(guī)則關(guān)聯(lián)庫(kù)表中，用于后續(xù)日志分析、場(chǎng)景建模；

（a4），規(guī)則啟用形成反饋閉環(huán)：在web展示的告警預(yù)覽界面反映兩部分信息：自定義的場(chǎng)景與規(guī)則信息的關(guān)系、告警事件與場(chǎng)景的關(guān)系，其中，告警事件與場(chǎng)景的關(guān)系需要由安全分析人員確認(rèn)使場(chǎng)景規(guī)則生效，在對(duì)日志數(shù)據(jù)進(jìn)行分析后，安全分析人員通過(guò)查看生成的告警事件與生成該事件的規(guī)則，進(jìn)行分析，形成反饋閉環(huán)，規(guī)則啟用形成反饋閉環(huán)過(guò)程中，根據(jù)場(chǎng)景規(guī)則合適則沿用使用，不合適則修改后使用或丟棄的原則處理建立的場(chǎng)景建模規(guī)則；

步驟（b），確立交互模型，實(shí)現(xiàn)輸入的場(chǎng)景與規(guī)則片段信息的組合分析處理，包括以下步驟，

（b1），建立場(chǎng)景交互分析：安全分析人員在場(chǎng)景建模界面的場(chǎng)景界面根據(jù)業(yè)務(wù)的需要，在場(chǎng)景建模界面輸入場(chǎng)景的名稱、描述，選擇場(chǎng)景的分類、級(jí)別，在后臺(tái)通過(guò)將原始輸入信息轉(zhuǎn)換為包含同等信息量的結(jié)構(gòu)化數(shù)據(jù)，實(shí)現(xiàn)場(chǎng)景信息的分析轉(zhuǎn)化，舉例說(shuō)明，

用戶在界面輸入或選擇的場(chǎng)景自定義名稱、備注、場(chǎng)景的類型及告警級(jí)別存入場(chǎng)景表中，場(chǎng)景表中的場(chǎng)景唯一標(biāo)識(shí)字段sceneid由交互模型按照“cj”+“制定場(chǎng)景規(guī)則的單位編號(hào)”+“六位時(shí)間數(shù)字編號(hào)(yymmdd)”+“自增序號(hào)”的拼接規(guī)則產(chǎn)生，不同場(chǎng)景的名稱可以相同，即相同場(chǎng)景可以建立不同的業(yè)務(wù)規(guī)則，但是相同場(chǎng)景不可以建立基于同一字段分析的不同閾值的業(yè)務(wù)規(guī)則，否則在進(jìn)行場(chǎng)景分析時(shí)，無(wú)法判斷使用哪一個(gè)閾值分析；

（b2），建立規(guī)則交互分析：安全分析人員在場(chǎng)景建模界面的規(guī)則界面根據(jù)場(chǎng)景的時(shí)間關(guān)聯(lián)性選擇場(chǎng)景規(guī)則的規(guī)則分類，在界面提供的日志數(shù)據(jù)樹(shù)形結(jié)構(gòu)中選擇需要進(jìn)行規(guī)則分析的字段，并輸入或選擇場(chǎng)景規(guī)則的適用條件、輸出字段信息，后臺(tái)按照時(shí)間關(guān)聯(lián)性的規(guī)則分類判斷使用何種規(guī)則拼接模型處理需要分析的字段、規(guī)則，并將上述的片段信息轉(zhuǎn)化為具有場(chǎng)景分析能力的結(jié)構(gòu)化語(yǔ)句及包含場(chǎng)景規(guī)則對(duì)應(yīng)關(guān)系的結(jié)構(gòu)化數(shù)據(jù)，舉例說(shuō)明，

場(chǎng)景中關(guān)聯(lián)了規(guī)則，在創(chuàng)建完場(chǎng)景信息之后，在web界面中繼續(xù)制定規(guī)則，以保證場(chǎng)景與規(guī)則之間的關(guān)聯(lián)性，無(wú)需用戶再手動(dòng)關(guān)聯(lián)，制定場(chǎng)景規(guī)則之初，依據(jù)創(chuàng)建的場(chǎng)景分析規(guī)則按照事件的時(shí)間關(guān)聯(lián)性，從pointevent（點(diǎn)事件），intervalevent（間隔事件），edgeevent（不確定間隔事件/邊緣事件）三類場(chǎng)景類規(guī)則中選擇實(shí)際業(yè)務(wù)符合的場(chǎng)景規(guī)則類型，依據(jù)類型的不同，后臺(tái)的分析模型也有些許差異，在確定了場(chǎng)景的規(guī)則類型后，分析人員在左側(cè)的樹(shù)形圖中選擇待分析字段，在界面右側(cè)選擇分析成立的條件片段，這些信息在內(nèi)存中按照一定的規(guī)則進(jìn)行排列組合，三類規(guī)則的具體組合步驟及差別如下：

（1）pointevent場(chǎng)景類規(guī)則

基于某一時(shí)刻發(fā)生的日志數(shù)據(jù)進(jìn)行的場(chǎng)景分析。該類事件場(chǎng)景多用于基于閾值分析的事件場(chǎng)景，在用戶選擇了條件及閾值之后，在內(nèi)存中完成規(guī)則的拼接，在生成告警語(yǔ)句中按照“insert-into-告警窗口-select—from-where”的模式拼接，其中,“告警窗口”是固定的，只需用戶依據(jù)業(yè)務(wù)選擇字段及條件完成需告警字段及告警成立條件的建立；

（2）intervalevent場(chǎng)景類規(guī)則

基于某一類型事件的場(chǎng)景分析，該類事件是在最近的一個(gè)連續(xù)時(shí)間段或最近連續(xù)事件條數(shù)的事件，在語(yǔ)句拼接的過(guò)程中，整體與pointevent類字段拼接類似，但是由于是連續(xù)發(fā)生的事件，所以在拼接的epl中的“from”后面的部分是一個(gè)連續(xù)的時(shí)間窗口，用以表示連續(xù)的場(chǎng)景事件分析；

（3）edgeevent場(chǎng)景類規(guī)則

對(duì)不同類的攻擊事件（日志）的場(chǎng)景分析，不局限于一類日志，在界面提供epl字段的點(diǎn)選接口及語(yǔ)句輸入接口，用戶通過(guò)在字段數(shù)據(jù)樹(shù)形圖中字段的點(diǎn)選，及epl語(yǔ)句的輸入實(shí)現(xiàn)半自動(dòng)化的場(chǎng)景規(guī)則創(chuàng)建。

需指出，上述的三類場(chǎng)景規(guī)則是并行但不并存的，沒(méi)有先后主次關(guān)系，即某一場(chǎng)景只可能是上述三類場(chǎng)景中的某一類。這使得場(chǎng)景分析對(duì)連續(xù)事件生成告警更具多樣性，而不局限于某一種單一的告警生成。告警場(chǎng)景依據(jù)事件窗口范圍依據(jù)事件到達(dá)的先后，即時(shí)間順序，確定以一段時(shí)間內(nèi)數(shù)據(jù)為事件窗口或以某定量大小的最近數(shù)據(jù)為事件窗口；

（b3），建立場(chǎng)景交互分析與規(guī)則交互分析的關(guān)聯(lián)：在后臺(tái)將用戶輸入或選擇的場(chǎng)景及規(guī)則信息進(jìn)行關(guān)聯(lián)、存儲(chǔ)到對(duì)應(yīng)的場(chǎng)景與規(guī)則關(guān)系數(shù)據(jù)表中，實(shí)現(xiàn)場(chǎng)景交互分析與規(guī)則交互分析的關(guān)聯(lián)，由于場(chǎng)景分析及產(chǎn)生告警的規(guī)則具有固定模式，即：都必須先選擇要分析的字段，再將選擇的字段集合插入到分析事件窗口中，且場(chǎng)景分析均是最后一步產(chǎn)生告警。因此，在后臺(tái)進(jìn)行場(chǎng)景與規(guī)則關(guān)聯(lián)信息分析時(shí)，均會(huì)考慮這些固定模式，對(duì)用戶創(chuàng)建的場(chǎng)景規(guī)則語(yǔ)句的順序進(jìn)行排列，并使用標(biāo)記字段“islaststep”確定最后執(zhí)行的規(guī)則語(yǔ)句

步驟（c），建立規(guī)則庫(kù)，實(shí)現(xiàn)場(chǎng)景規(guī)則數(shù)據(jù)的結(jié)構(gòu)化存儲(chǔ)，包括若干相關(guān)數(shù)據(jù)庫(kù)表，每一個(gè)數(shù)據(jù)庫(kù)表是規(guī)則庫(kù)中用于交互的一個(gè)組件，每個(gè)組件負(fù)責(zé)一個(gè)規(guī)則建立，具體包括日志對(duì)應(yīng)字段數(shù)據(jù)庫(kù)表、場(chǎng)景數(shù)據(jù)庫(kù)表、規(guī)則數(shù)據(jù)庫(kù)表、場(chǎng)景規(guī)則關(guān)聯(lián)數(shù)據(jù)庫(kù)表四個(gè)數(shù)據(jù)庫(kù)表，在結(jié)構(gòu)化數(shù)據(jù)庫(kù)插入經(jīng)過(guò)分析后的場(chǎng)景與規(guī)則的過(guò)程為：先創(chuàng)建場(chǎng)景信息，再創(chuàng)建規(guī)則及場(chǎng)景規(guī)則關(guān)聯(lián)數(shù)據(jù)，數(shù)據(jù)表與前臺(tái)界面的交互關(guān)系是：

（1）場(chǎng)景及規(guī)則，告警預(yù)覽界面的上半部分將展示自定義的場(chǎng)景及規(guī)則，兩者通過(guò)后臺(tái)數(shù)據(jù)庫(kù)表之間的約束關(guān)聯(lián)；

（2）規(guī)則啟用，告警預(yù)覽界面的場(chǎng)景規(guī)則被分為“啟用”、“暫?！?、“修改”、“刪除”四個(gè)功能按鈕，場(chǎng)景則被分為“啟用”、“待定”兩類狀態(tài)，由用戶依據(jù)創(chuàng)建的場(chǎng)景規(guī)則的實(shí)用性決定場(chǎng)景規(guī)則的啟用狀態(tài)：是啟用、修改后再?zèng)Q定、永久刪除或暫時(shí)擱置；

（3）告警數(shù)據(jù)，告警預(yù)覽界面的下半部分將展示場(chǎng)景規(guī)則啟用后生成的告警事件，每一條告警事件伴隨有生成該事件的對(duì)應(yīng)場(chǎng)景規(guī)則；

步驟（d），大數(shù)據(jù)安全分析，實(shí)現(xiàn)實(shí)時(shí)大數(shù)據(jù)及場(chǎng)景規(guī)則的數(shù)據(jù)關(guān)聯(lián)分析，如圖5所示，包括以下步驟，

（d1），創(chuàng)建的場(chǎng)景及規(guī)則啟用

安全分析人員查看針對(duì)不同場(chǎng)景的自定義場(chǎng)景規(guī)則，確認(rèn)后選擇啟用，如不滿意，進(jìn)行修改后啟用或刪除；

（d2），規(guī)則啟用后告警生成快照

在啟用創(chuàng)建的規(guī)則后，規(guī)則在引擎中預(yù)設(shè)的生效間隔時(shí)長(zhǎng)后生效，可默認(rèn)為一天，再次期間可修改，對(duì)實(shí)時(shí)日志數(shù)據(jù)進(jìn)行分析，生成告警，存儲(chǔ)在數(shù)據(jù)庫(kù)的告警表中，告警預(yù)覽界面實(shí)時(shí)讀取數(shù)據(jù)庫(kù)中最新的告警事件，并進(jìn)行展示，其中，告警表中除了反映告警事件的內(nèi)容外，還會(huì)反映生成該條告警的自定義場(chǎng)景及規(guī)則；

（d3），反饋及評(píng)估

安全分析人員在通過(guò)查看生成的告警快照后，根據(jù)告警及關(guān)聯(lián)場(chǎng)景規(guī)則推斷制定的規(guī)則是否適用于當(dāng)前的業(yè)務(wù)分析，適用的場(chǎng)景規(guī)則沿用，不適用的修改或刪除場(chǎng)景對(duì)應(yīng)規(guī)則，實(shí)現(xiàn)實(shí)時(shí)大數(shù)據(jù)及場(chǎng)景規(guī)則的數(shù)據(jù)關(guān)聯(lián)分析的反饋閉環(huán)。

綜上所述，本發(fā)明的大數(shù)據(jù)安全分析的可視化交互式方法，在傳統(tǒng)攻擊場(chǎng)景建?；A(chǔ)上，使用了可視化的規(guī)則配置界面，并在規(guī)則生效后可預(yù)覽告警，提高了場(chǎng)景建模的可視性及交互性，實(shí)現(xiàn)了可視化交互的攻擊場(chǎng)景建模，便于大數(shù)據(jù)安全分析，充分利用開(kāi)源的流式處理框架、事件處理模型以及可視化交互運(yùn)行反饋模型，通過(guò)對(duì)場(chǎng)景規(guī)則的可視化配置，以及規(guī)則作用于數(shù)據(jù)后的反饋，使數(shù)據(jù)分析的流程形成完整閉環(huán)，人機(jī)形成良好交互，最終形成場(chǎng)景建模的良好可視化交互流程，具有良好的應(yīng)用前景。

以上顯示和描述了本發(fā)明的基本原理、主要特征及優(yōu)點(diǎn)。本行業(yè)的技術(shù)人員應(yīng)該了解，本發(fā)明不受上述實(shí)施例的限制，上述實(shí)施例和說(shuō)明書(shū)中描述的只是說(shuō)明本發(fā)明的原理，在不脫離本發(fā)明精神和范圍的前提下，本發(fā)明還會(huì)有各種變化和改進(jìn)，這些變化和改進(jìn)都落入要求保護(hù)的本發(fā)明范圍內(nèi)。本發(fā)明要求保護(hù)范圍由所附的權(quán)利要求書(shū)及其等效物界定。