(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210942264.3 (22)申请日 2022.08.05 (71)申请人 武汉思普崚技术有限公司 地址 430070 湖北省武汉市东湖新 技术开 发区光谷大道308号光谷动力节能环 保科技企业孵化器 （加速器） 一期11栋 3层01室 (72)发明人 肖俊　 (74)专利代理 机构 武汉智嘉联合知识产权代理 事务所(普通 合伙) 42231 专利代理师 张璐 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种适应fl ink作业规则的快速编排系统 (57)摘要 本发明涉及一种适应flink作业规则的快速 编排系统， 包括： 日志过滤组件， 用于获取日志数 据， 过滤日志数据并生成过滤日志； 日志关联组 件， 用于对过滤日志进行条件聚合， 生成汇聚数 据流； 日志分析组件， 用于分析汇聚数据流中的 数据特征； 规则响应组件， 用于根据生成的规则 模板， 对数据特征进行匹配， 并输出事件信息。 本 发明简单灵活的配置各种类型的关联分析规则 场景， 以适应实际网络环境中产生的各类安全威 胁事件， 只需要简单的通过拖拽基础组件配置参 数即可定制任何检测规则场景， 利用flink框架 特征， 能精准高效的分析安全威胁场景， 对于快 速变化的安全威胁特征， 可以立 即调整规则分析 模型和修改规则参数并发布， 及时适配最新安全 威胁特征。 权利要求书2页 说明书10页 附图2页 CN 115296913 A 2022.11.04 CN 115296913 A 1.一种适应flink作业规则的快速编排系统， 其特征在于， 包括日志过滤组件、 日志关 联组件、 日志分析组件、 规则响应组件， 其中： 所述日志过 滤组件， 用于获取日志数据， 过 滤所述日志数据并生成过 滤日志； 所述日志关联组件， 用于对所述过 滤日志进行 条件聚合， 生成汇聚数据流； 所述日志分析组件， 用于分析 所述汇聚数据流中的数据特 征； 所述规则响应组件， 用于根据生成的规则模板， 对所述数据 特征进行匹配， 并输出事件 信息。 2.根据权利要求1所述的适应flink作业规则的快速编排系统， 其特征在于， 所述日志 过滤组件 具体用于设置属性和对应的属性值， 并对接第三方系统， 其中， 所述第三方系统提 供属性值； 所述日志过滤组件还 具体用于提供多种条件控制， 结合属性和对应的属性值， 形 成多种过 滤条件， 过滤命中多种过 滤条件的日志数据。 3.根据权利要求1所述的适应flink作业规则的快速编排系统， 其特征在于， 所述日志 关联组件具体用于按照预设聚合条件， 将满足所述预设聚合条件的过滤日志进行聚合， 形 成所述汇聚数据流。 4.根据权利要求1所述的适应flink作业规则的快速编排系统， 其特征在于， 所述日志 分析组件 包括日志统计组件、 阈值比较组件和序列分析组件， 其中： 所述日志统计组件， 用于在设定的时间段内， 计算所述过 滤日志的统计特 征； 所述阈值比较组件， 用于对所述统计特 征进行比较， 生成比较结果； 所述序列分析组件， 用于在设定的时间段内， 判断攻击顺序和攻击次数是否满足攻击 分析条件。 5.根据权利要求4所述的适应flink作业规则的快速编排系统， 其特征在于， 所述日志 统计组件具体用于在设定的时间段内， 选择多个不同的维度进行统计， 计算所述过滤日志 的数值的统计特征， 其中， 所述统计特征包括总数、 求和、 平均值、 最大值和最小值的至少一 种。 6.根据权利要求4所述的适应flink作业规则的快速编排系统， 其特征在于， 所述阈值 比较组件 包括单一日志计算组件和多个日志计算组件， 其中： 所述单一日志计算组件， 用于当只有单一过滤日志统计时， 判断对应的统计特征是否 超过设定的阈值范围； 所述多个日志计算组件， 用于当有多个过滤日志统计时， 判断对应的多个统计特征是 否满足联合条件， 其中， 所述联合条件 包括多个单一特 征条件的组合。 7.根据权利要求4所述的适应flink作业规则的快速编排系统， 其特征在于， 所述序列 分析组件 包括排序组件和攻击事 件分析组件， 其中： 所述排序组件， 用于根据flink时间窗口的事件时间和处理时间进行相应的数据排序； 还用于根据fl ink水位线配置进行延长等待时间； 所述攻击事件分析组件， 用于根据flink时间窗口和flink水位线配置， 确定不同攻击 事件的先后顺序和攻击次数。 8.根据权利要求1所述的适应flink作业规则的快速编排系统， 其特征在于， 所述规则 响应组件 包括规则选择模块、 规则生成模块和规则报警组件， 其中： 所述规则选择模块， 用于根据选择的资源参数， 构建规则结构；权　利　要　求　书 1/2 页 2 CN 115296913 A 2所述规则生成模块， 用于根据规则结构， 生成xml格式的规则语句， 提交至flink集群运 行作业； 所述规则报警组件， 用于对所述 规则语句命中的过 滤日志进行告警输出。 9.根据权利要求8所述的适应flink作业规则的快速编排系统， 其特征在于， 所述规则 选择模块， 具体用于根据用户自定义的业务模板， 配置规则对应作业在flink集群运行时所 需的资源参数， 构建相应的规则结构； 且根据选择的模板进入规则建模页面， 在预设的规则 结构上进行规则参数设置， 也可以重构规则结构； 所述规则生成模块， 具体用于根据编排的规则结构生成具体的xml格 式的规则语句， 每 一个组件对应规则语句中的一个节点， 每个节点有一个对应的子节点， 以此来指向数据流 后续的流向， 其中， 序列分析组件的时间范围是一个单独的节点。 10.根据权利要求8所述的适应flink作业规则的快速编排系统， 其特征在于， 所述规则 报警组件 具体用于： 对所述规则语句命中的过滤日志进 行告警输出， 其中， 输出信息包含告 警名称、 告警类型、 攻击阶段、 威胁等级、 确定性等级、 响应方式、 限流量、 自定义描述中的至 少一种。权　利　要　求　书 2/2 页 3 CN 115296913 A 3