(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211140178.7 (22)申请日 2022.09.20 (71)申请人 北京中安星云软件技 术有限公司 地址 100000 北京市海淀区创业路8号5号 楼4层5-6-401 (72)发明人 唐更新　张家荧　宋辉　赵卫国　 (74)专利代理 机构 成都鱼爪智云知识产权代理 有限公司 513 08 专利代理师 杨洪婷 (51)Int.Cl. G06F 11/30(2006.01) G06F 16/2458(2019.01) (54)发明名称 一种基于 Flink的审计日志规则匹配方法及 系统 (57)摘要 本发明提出了一种基于Flink的审计日志规 则匹配方法及系统， 涉及计算通信技术领域。 通 过Flink处理引擎获取规则数据并将其加载到 预 置的DAG模型工厂中以生成该规则对应的DAG模 型， 然后进行拓扑排序生成拓扑结果， 并将所有 规则对应的拓扑结果发送给DAG模型调度器， 并 将Graph对象交付给Flink处理引擎进行广播， 最 后， 执行窗口依次按照Graph对象中绑定的规则 对审计日志数据进行匹配得到规则匹配结果发 送给DAG模型调度器， 并将规则匹配结果发送到 下游组件中。 本方法可实现用户自定义规则的动 态加载， 提高数据处理并行度， 集群整体数据处 理吞吐量高， 并且接口封装简单， 二次开发和功 能迭代更为方便 。 权利要求书2页 说明书8页 附图3页 CN 115221010 A 2022.10.21 CN 115221010 A 1.一种基于Fl ink的审计日志规则匹配方法， 其特 征在于， 包括： 用户在服 务页面上 添加自定义策略规则， 并下发到数据库中进行规则缓存； 通过Flink处理引擎从数据库中不断拉取规则数据， 并将规则数据加载到预置的DAG模 型工厂中； DAG模型工厂根据规则数据生成该规则对应的DAG模型， 并将DAG模型进行拓扑排序生 成拓扑结果； DAG模型工厂将所有规则 对应的拓扑结果发送给DAG模型调度器， 并将包含拓扑结果的 Graph对象交付给Flink处理引擎， 通过Flink处理引擎将Graph对象广播到每个计算节点的 子任务中； 执行窗口依次按照Graph对象中绑定的规则对审计日志数据进行匹配得到规则匹配结 果发送给DAG模型调度器， DAG模型调度器根据匹配结果对历史匹配结果集进行更新， 并切 换Graph对象中绑定的规则； 执行窗口处 理完毕后， 将窗口内的所有规则匹配结果发送给 下游组件。 2.如权利要求1所述的一种基于Flink的审计日志规则匹配方法， 其特征在于， 所述用 户在服务页面上 添加自定义策略规则， 并下发到数据库中进行规则缓存的步骤 包括： 用户在Web服 务页面上 添加自定义策略规则， 并下发给Redis数据库； Redis数据库接收规则数据， 并将规则数据转换成哈希数据结构后进行缓存。 3.如权利要求1所述的一种基于Flink的审计日志规则匹配方法， 其特征在于， 所述通 过Flink处理引擎 从数据库中不断拉取规则数据， 并将规则数据加载到预置的DAG模 型工厂 中的步骤 包括： Flink处理引擎启动一个广播线程定期从数据库中拉取规则数据， 并进行存 储； 对存储的规则数据进行 数据清洗处 理后加载到DAG模型工厂中。 4.如权利 要求1所述的一种基于Flink的审计日志规则匹配方法， 其特征在于， 所述DAG 模型工厂根据规则数据生 成该规则对应的DAG模 型， 并将DAG模型进 行拓扑排序生成拓扑结 果的步骤 包括： DAG模型工厂将规则数据分解成若干子任务节点， 并根据各子任务节点之间的顺序构 建得到该规则对应的DAG模型； 利用深度优先遍历算法对DAG模型进行拓扑排序， 得到该规则对应的拓扑序列结果。 5.如权利要求4所述的一种基于Flink的审计日志规则匹配方法， 其特征在于， 所述利 用深度优先遍历算法对DAG模型进行拓扑排序， 得到该规则对应的拓扑序列结果的步骤包 括： 从DAG模型中选择一个入度为0的顶点并输出； 依次从该顶点未被访问的邻接点出发， 对DAG模型进行深度优先遍历， 直到遍历完所有 的顶点， 并记录下访问顺序； 将访问顺序保存到对应的队列中， 得到该规则对应的拓扑序列结果。 6.如权利要求1所述的一种基于Flink的审计日志规则匹配方法， 其特征在于， 所述执 行窗口依次按照Graph对象中绑定的规则对审 计日志数据进 行匹配得到规则匹配结果 发送 给DAG模型调度器， DAG模 型调度器根据匹配结果对历史匹配结果集进行更新， 并切换Graph 对象中绑定的规则的步骤 包括：权　利　要　求　书 1/2 页 2 CN 115221010 A 2获取审计日志数据； 根据审计日志数据从执行窗口中的历史数据规则匹配结果中查询是否有该数据对应 的匹配规则， 若有， 则直接将规则匹配结果发送给下游组件； 若 无， 则按照Graph对象中绑定 的规则对审计日志数据进行匹配， 得到规则匹配结果发送给DAG模型调度器； DAG模型调度器依据规则匹配结果对历史匹配结果集中的规则匹配结果进行更新， 并 将Graph对象中绑定的规则进行动态切换。 7.如权利要求6所述的一种基于Flink的审计日志规则匹配方法， 其特征在于， 所述获 取审计日志数据的步骤 包括： 接收各个分布式日志数据采集代理发送的审计日志数据； 将接收的所述审计日志数据放入分布式消息队列系统； 从所述分布式消息队列系统中获取审计日志数据。 8.一种基于Fl ink的审计日志规则匹配系统， 其特 征在于， 包括： 规则暂存模块， 用户在服务页面上添加自定义策略规则， 并下发到数据库中进行规则 缓存； 规则数据拉取模块， 用于通过Flink处理引擎从数据库中不断拉取规则数据， 并将规则 数据加载到预置的DAG模型工厂中； DAG模型生成模块， DAG模型工厂根据规则数据生成该规则对应的DAG模型， 并将DAG模 型进行拓扑排序生成拓扑 结果； 广播模块， DAG模型工厂将所有规则对应的拓扑结果发送给DAG模型调度器， 并将包含 拓扑结果的Graph对象交付给Flink处理引擎， 通过Flink处理引擎将Graph对象广播到每个 计算节点的子任务中； 规则匹配模块， 执行窗口依次按照Graph对象中绑定的规则对审计日志数据进行匹配 得到规则匹配结果 发送给DAG模 型调度器， DAG模型调度器根据匹配结果对历史匹配结果集 进行更新， 并切换Graph对象中绑定的规则； 结果发送模块， 执 行窗口处 理完毕后， 将窗口内的所有规则匹配结果发送给 下游组件。 9.一种电子设备， 其特 征在于， 包括： 存储器， 用于存 储一个或多个程序； 处理器； 当所述一个或多个程序被所述处理器执行时， 实现如权利要求1 ‑7中任一项所述的方 法。 10.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 该计算机程序被 处理器执行时实现如权利要求1 ‑7中任一项所述的方法。权　利　要　求　书 2/2 页 3 CN 115221010 A 3