一种基于决策流的业务操作日志审计与告警方法及系统

摘要

本申请公开了一种基于决策流的业务操作日志审计与告警方法及系统，包括：日志采集组件采集业务系统的操作日志，并将操作日志发送给流计算组件；流计算组件对接收到的操作日志进行指标计算，生成计算指标，以及，将所述计算指标存入Redis缓存中；风控规则库存储策略集；决策流组件调用策略集及Redis缓存中的计算指标进行决策判断，输出风控建议至告警组件；告警组件根据风控建议进行告警操作，生成告警记录。通过决策流组件调用风控规则库与Redis缓存中的对应计算指标，实现风控决策的判断，进而实现基于风险防控规则的操作日志主动分析与告警功能，通过对规则指标库进行灵活配置，满足了复杂多变的业务操作日志审计需求。

说明书

技术领域

本申请涉及数据分析技术领域，尤其涉及一种基于决策流的业务操作日志审计与告警方法及系统。

背景技术

日志审计是指对系统记录的操作信息和系统运行信息进行标准化的审计和检查，对其真实性和完整性进行考量，用于发现潜在的系统安全、数据安全、业务安全等层面的风险。日志审计需求主要源自两个方面的驱动力：一，从企业和组织自身安全的需要出发，当今的企业和组织在IT信息安全领域面临比以往更为复杂的局面，日志审计能够帮助用户获悉信息系统的安全运行状态，识别针对信息系统的攻击和入侵，以及来自内部的违规和信息泄露，能够为事后的问题分析和调查取证提供必要的信息。二，从国家法律法规和行业标准规范的角度出发，日志审计已经成为满足合规与内控需求的必备功能。

为了不断应对新的安全挑战，企业和组织先后部署了防病毒系统、防火墙、入侵检测系统、漏洞扫描系统、UTM，等等。这些安全系统都仅仅防堵来自某个方面的安全威胁，形成了一个个安全防御孤岛，无法产生协同效应。更为严重地，这些复杂的IT资源及其安全防御设施在运行过程中不断产生大量的安全日志和事件，安全管理人员面对这些数量巨大、彼此割裂的安全信息，操作着各种产品自身的控制台界面和告警窗口，显得束手无策，工作效率极低，难以发现真正的安全隐患。另一方面，企业和组织日益迫切的信息系统审计和内控、以及不断增强的业务持续性需求，也对当前日志审计提出了严峻的挑战。

为了解决上述问题，市场上逐渐出现了业务操作日志审计产品，例如综合日志审计平台，综合日志审计平台通过集中采集信息系统中的系统安全事件、用户访问记录、系统运行日志、系统运行状态等各类信息，经过规范化、过滤、归并和告警分析等处理后，以统一格式的日志形式进行集中存储和管理，结合丰富的日志统计汇总及关联分析功能，实现对信息系统日志的全面审计。通过日志审计系统，企业管理员随时了解整个IT系统的运行情况，及时发现系统异常事件；另一方面，通过事后分析和丰富的报表系统，管理员可以方便高效地对信息系统进行有针对性的安全审计。遇到特殊安全事件和系统故障，日志审计系统可以帮助管理员进行故障快速定位，并提供客观依据进行追查和恢复。但当前业务操作日志审计产品主要实现对业务日志的收集和基于字段格式或完整性的简单检查，缺乏基于风险防控规则的日志主动分析功能与告警功能。

发明内容

本申请提供一种基于决策流的业务操作日志审计与告警方法，以解决当前业务操作日志审计产品缺乏基于风险防控规则的日志主动分析功能与告警功能的问题。

第一方面，本申请提供了一种基于决策流的业务操作日志审计与告警系统，所述系统包括日志采集组件、流计算组件、风控规则库、决策流组件以及告警组件：

日志采集组件，被配置为采集业务系统的操作日志，并将所述操作日志发送给流计算组件；

流计算组件，被配置为对接收到的所述操作日志进行指标计算，生成计算指标，以及，将所述计算指标存入Redis缓存中；

风控规则库，被配置为存储策略集，所述策略集为所述风控规则库库中规则的集合；

决策流组件，被配置为调用所述策略集及所述Redis缓存中的计算指标进行决策判断，输出风控建议至告警组件；

告警组件，被配置为根据所述风控建议进行告警操作，生成告警记录。

第二方面，本申请还提供了一种对应于第一方面的一种基于决策流的业务操作日志审计与告警方法，所述方法包括：

采集业务系统的操作日志，并将所述操作日志发送给流计算组件；

对接收到的所述操作日志进行指标计算，生成计算指标，以及，将所述计算指标存入Redis缓存中；

存储策略集，所述策略集为风控规则库库中规则的集合；

调用所述策略集及所述Redis缓存中的计算指标进行决策判断，输出风控建议至告警组件；

根据所述风控建议进行告警操作，生成告警记录。

由以上技术方案可知，本申请提供一种基于决策流的业务操作日志审计与告警方法及系统，包括：日志采集组件采集业务系统的操作日志，并将所述操作日志发送给流计算组件；流计算组件对接收到的所述操作日志进行指标计算，生成计算指标，以及，将所述计算指标存入Redis缓存中；风控规则库存储策略集；决策流组件调用所述策略集及所述Redis缓存中的计算指标进行决策判断，输出风控建议至告警组件；告警组件根据所述风控建议进行告警操作，生成告警记录。通过决策流组件调用风控规则库与Redis缓存中的对应计算指标，实现风控决策的判断，进而实现基于风险防控规则的操作日志主动分析与告警功能，其中，风控规则库有规则配置页面，可以对告警规则进行灵活配置，实现对多变的业务场景快速适应的能力，通过对规则指标库进行灵活配置，满足了复杂多变的业务操作日志审计需求。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图1为一种基于决策流的业务操作日志审计与告警系统示意图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚，下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。以下结合附图，详细说明本申请各实施例提供的技术方案。

当前业务操作日志审计产品主要实现对业务日志的收集和基于字段格式或完整性的简单检查，缺乏基于风险防控规则的日志主动分析功能与告警功能，部分业务操作日志审计产品提供操作IP黑名单匹配、越权信息告警等基本风控规则，但不能对风控规则进行灵活配置，面对多变的业务场景缺乏快速适应的能力，且当前主流业务操作日志审计产品只能对单条日志信息进行审计，缺乏对不同时间点多条日志进行合并计算、分析的功能。

本申请主要解决的问题是提供基于风险防控规则的日志主动分析功能与告警功能，参见图1，图1为一种基于决策流的业务操作日志审计与告警系统示意图，由图1可见，本申请提供的一种基于决策流的业务操作日志审计与告警系统，包括日志采集组件、流计算组件、风控规则库、决策流组件以及告警组件，其中：

日志采集组件，被配置为采集业务系统的操作日志，并将操作日志发送给流计算组件，其中业务系统可以为一个或多个，对业务领域没有要求。日志采集组件从业务系统采集操作日志，一式两份，一份发送给日志审计系统中的流计算组件，一份直接归档至大数据组件，大数据组件用于存储归档的操作日志，并在需要恢复的时候提供检索查询功能。

流计算组件，被配置为对接收到的操作日志进行指标计算，生成计算指标，以及，将计算指标存入Redis缓存中。流计算组件可以并行处理多个操作日志计算请求，即实现对多条操作日志进行计算。Redis(Remote Dictionary Server)，即远程字典服务，是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库，并提供多种语言的API。Redis缓存用于临时存储计算指标，以及，供风控规则库调用。将计算指标存入Redis缓存中的作用是供决策流组件快速调用，实现实时告警的功能，采用Redis缓存的方式可以保障风控决策的效率。

风控规则库，被配置为存储策略集，策略集为风控规则库库中规则的集合。例如，风控规则库可以存储日志审计告警规则，用于调用Redis缓存中的计算指标数据进行风控决断。风控规则库进一步配置有规则配置页面，用于根据业务需求进行配置。例如，风控规则库中可以包括风控规则，风控规则会提供告警规则的定义，并提供配置修改界面，以此实现对告警规则进行灵活配置，实现对多变的业务场景快速适应的能力。

决策流组件，被配置为调用策略集及Redis缓存中的计算指标进行决策判断，输出风控建议至告警组件。具体的，决策流组件先调用策略集中的规则，根据规则定义的指标再调用Redis缓存中的计算指标进行决策判断。

告警组件，被配置为根据风控建议进行告警操作，生成告警记录，同时将告警记录存入短期存储数据库和大数据组件，短期存储数据库可以为ES数据库(Elasticsearch数据库),Elasticsearch用于提供快速查询功能，可以实现高效查询，告警记录存入大数据组件可供归档、备份、恢复等。

为了便于对本申请的进一步理解，现结合具体实例进行说明，容易理解的是，在对操作日志进行采集时，每个操作日志都应包含操作类别，以一次登陆操作日志为例，操作日志包含的信息如下，操作类别：“登陆”；操作IP：“192.168.101.101”；操作时间：“2020-10-1023：00：00”；操作结果：“失败”；备注：“密码输入错误”等字段。

日志采集组件对该条操作日志进行采集并发送至流计算组件，流计算组件对其进行指标计算，流计算组件根据操作类别读取需要计算的指标，其中，指标是预先定义好的，比如指标可以为“一小时内登录次数”，指标的计算方法由指标定义决定，指标定义同时会包括计算某项指标所需要的字段。例如在“登陆”场景下，需要计算的指标为“同IP过去5分钟登陆失败的次数”，流计算组件在接收日志采集组件发送的操作日志时，会将操作日志直接存储到Redis缓存中，流计算组件读取Redis缓存中操作场景为“登陆”，操作IP为“192.168.101.101”，操作时间为“2020-10-10 22：55：00”之后的记录，并计算操作结果为“失败”的记录条数(例如为5条)，将计算的结果存入Redis缓存，此时Redis缓存中存储的即为对操作日志进行计算后的指标值，即计算指标，例如，计算指标的结果格式为{“指标名”：“1小时登录次数”，“指标值”：“5”}。

操作日志完成指标计算后进入决策流组件，决策流组件需要调用风控规则库和Redis缓存中的计算指标来进行决策，计算指标是决策流组件进行决策的依据。本申请实施例中，决策流组件是用来进行决策判断的组件，决策流是进行判断的流程，决策判断方法需要调用风控规则库，调用风控规则库策略集中的某个规则，具体的决策判断依据需要根据风控规则库中的规则(规则由指标定义)调用Redis缓存中的对应计算指标来计算决策的结果。

例如，在实际工作场景中，决策流组件根据决策流调用指定风控规则，如登陆场景下规则为“同IP过去5分钟登陆失败的次数大于3次进行告警，告警级别为中”；决策流调用Redis缓存中的对应计算指标，得出的风控建议为：“是否告警：是，告警级别：中”。再如，决策流组件接收到了一条登录操作日志，就会调用风控规则库中登录相关的规则，例如规则为“一小时登录失败超过5次进行阻断”，想要以这个规则进行判断则需要进一步调用“一小时登录失败次数”这个计算指标。通过决策流组件调用风控规则库与Redis缓存中的对应计算指标，实现风控决策的判断，进而实现基于风险防控规则的操作日志主动分析与告警功能，此外，通过对规则指标库进行灵活配置，满足了复杂多变的业务操作日志审计需求。

告警组件会根据风控建议进行告警操作，生成告警记录，根据告警级别选择对应告警方式，结合图1，告警组件还将告警记录存入短期存储数据库和大数据组件，短期存储数据库用于提供快速查询功能，大数据组件用于将告警记录归档。同时，日志采集组件通过从业务系统采集到的操作日志数据也会存入短期存储数据库中供操作日志的快速查询。

另外，本申请还提供了一种对应于上述系统的一种基于决策流的业务操作日志审计与告警方法，方法包括：

S1:采集业务系统的操作日志，并将操作日志发送给流计算组件；

S2:对接收到的操作日志进行指标计算，生成计算指标，以及，将计算指标存入Redis缓存中；

S3:存储策略集，策略集为风控规则库库中规则的集合；

S4:调用策略集及Redis缓存中的计算指标进行决策判断，输出风控建议至告警组件；

S5:根据风控建议进行告警操作，生成告警记录。

由以上技术方案可知，本申请提供一种基于决策流的业务操作日志审计与告警方法及系统，包括：日志采集组件采集业务系统的操作日志，并将所述操作日志发送给流计算组件；流计算组件对接收到的所述操作日志进行指标计算，生成计算指标，以及，将所述计算指标存入Redis缓存中；风控规则库存储策略集；决策流组件调用所述策略集及所述Redis缓存中的计算指标进行决策判断，输出风控建议至告警组件；告警组件根据所述风控建议进行告警操作，生成告警记录。通过决策流组件调用风控规则库与Redis缓存中的对应计算指标，实现风控决策的判断，进而实现基于风险防控规则的操作日志主动分析与告警功能，其中，风控规则库有规则配置页面，可以对告警规则进行灵活配置，实现对多变的业务场景快速适应的能力，通过对规则指标库进行灵活配置，满足了复杂多变的业务操作日志审计需求。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本发明的其它实施方案。本申请旨在涵盖本发明的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本发明的真正范围和精神由下面的权利要求指出。