专利 一种多级联动的分析模型分发控制与结果同步的方法

(19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 202111357130.7 (22)申请日 2021.11.16 (71)申请人杭州智航云安全技术有限公司地址 310000 浙江省杭州市滨江区西兴街道滨康路10 5号2幢471室 (72)发明人何海军　李子林　丁国益　 (74)专利代理机构上海宏京知识产权代理事务所(普通合伙) 31297 代理人何艳娥 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/0631(2022.01) (54)发明名称一种多级联动的分析模型分发控制与结果同步的方法 (57)摘要本发明提供一种多级联动的分析模型分发控制与结果同步的方法，涉及网络安全技术领域，所述方法包括步骤S101：获取多级联动的系统上下级关系； S102：上级系统下发分析模型至下级系统； S103：下级系统接收上级系统下发的分析模型； S104：下级系统执行上级系统下发的分析模型； S105：下级系统上报分析模型的分析结果； S106：上级系统获取上报的分析结果。本发明解决了现有网络安全大数据分析产品存在的上级系统无法对下级系统进行数据收集，上下系统之间分析模型不一致，导致安全事件漏报或者误报的问题。权利要求书2页说明书4页附图2页 CN 114070623 A 2022.02.18 CN 114070623 A 1.一种多级联动的分析模型分发控制与结果同步的方法，其特征在于，所述方法包括以下步骤： S101：获取多级联动的系统上下级关系； S102：上级系统下发分析模型至下级系统； S103：下级系统接收上级系统下发的分析模型； S104：下级系统执行上级系统下发的分析模型； S105：下级系统上报分析模型的分析结果； S106：上级系统获取上报的分析结果。 2.根据权利要求1所述的一种多级联动的分析模型分发控制与结果同步的方法，其特征在于，所述步骤S101具体如下：获取本级系统的系统上下级关系，从而确定本级系统是否需要构建分析模型、下发分析模型、接收分析模型、上报告警信息。 3.根据权利要求1所述的一种多级联动的分析模型分发控制与结果同步的方法，其特征在于，所述步骤S102具体如下：读取本级系统的所有分析模型，包括上级系统下发到本级系统的分析模型；读取所有下级系统节点，通过模型下发接口传输所有本级系统的分析模型至所有下级系统节点，并且持续监听下级系统是否反馈分析模型更新成功，并做记录。 4.根据权利要求1所述的一种多级联动的分析模型分发控制与结果同步的方法，其特征在于，所述步骤S103具体如下：读取所有上级系统节点，处理下发来源为上级系统节点的分析模型，对比当前存储的分析模型，执行新增或者更新操作，同时反馈分析模型更新成功的信息至上级系统节点。 5.根据权利要求1所述的一种多级联动的分析模型分发控制与结果同步的方法，其特征在于，所述步骤S104具体如下：根据分析模型执行条件读取本级系统中的所有分析模型，执行并输出告警结果。 6.根据权利要求5所述的一种多级联动的分析模型分发控制与结果同步的方法，其特征在于，对于告警结果的处理方式为：对于上级系统的分析模型计算输出的告警结果，在告警结果中额外增加上报对象编号字段，并且对这份告警结果打上未上报的标签；对于本级系统自有分析模型计算输出的告警结果，打上无需上报的标签。 7.根据权利要求1所述的一种多级联动的分析模型分发控制与结果同步的方法，其特征在于，所述步骤S105具体如下：本级系统读取所有未上报数据，确定上级系统节点告警上报接口地址，从而进行告警上报；并且在告警上报时附加上报对象编号、原始上报系统编号、本次上报系统编号。 8.根据权利要求1所述的一种多级联动的分析模型分发控制与结果同步的方法，其特征在于，所述步骤S106具体如下：本级系统获取所有下级节点列表，处理本次上报系统编号在下级系统节点列表中的数据，不在列表中的数据不进行处理。 9.根据权利要求8所述的一种多级联动的分析模型分发控制与结果同步的方法，其特征在于，对于上报数据的处理方式为：权　利　要　求　书 1/2 页 2 CN 114070623 A 2获取上报数据后对数据中的上报对象编号进行判断，上报对象编号与本级系统编号相符的数据修改上报状态为无需上报，上报对象编号与本级系统编号不相符的数据，进行数据存储，再次对该条数据再次进行上报，并且修改数据中的本次上报系统编号为当前上报系统编号。权　利　要　求　书 2/2 页 3 CN 114070623 A 3

专利 一种多级联动的分析模型分发控制与结果同步的方法

专利一种多级联动的分析模型分发控制与结果同步的方法