CN109753518A - 基于规则数据的数据深度威胁检测系统及方法 - Google Patents
基于规则数据的数据深度威胁检测系统及方法 Download PDFInfo
- Publication number
- CN109753518A CN109753518A CN201811617804.0A CN201811617804A CN109753518A CN 109753518 A CN109753518 A CN 109753518A CN 201811617804 A CN201811617804 A CN 201811617804A CN 109753518 A CN109753518 A CN 109753518A
- Authority
- CN
- China
- Prior art keywords
- rule
- data
- inspection equipment
- deep inspection
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Alarm Systems (AREA)
Abstract
本发明提供了一种基于规则数据的数据深度威胁检测系统及方法,属于通信技术领域。本发明系统包括管控中心、规则数据库、网络深度检测设备及分流器,管控中心获取规则数据库中的复杂规则并下发至网络深度检测设备进行简化,接收返回的简化规则并下发至分流器,分流器将采集到的数据均分到所有集群的网络深度检测设备,网络深度检测设备通过分布式计算筛选出满足规则条件的数据进行二次威胁分析,统计威胁的信息做出相应的告警、隔离、删除等安全措施,并根据威胁信息反向生成复杂规则更新到规则库中,管控中心重新获取更新后的复杂规则,进行周而复始的检测,保证了网络数据的安全性,提供了一个干净、和谐的网络环境。
Description
技术领域
本发明属于通信技术领域,特别涉及一种基于规则数据的数据深度威胁检测系统及方法。
背景技术
随着网络互联网时代日益精进,网络与我们日常生活、工作、学习等各个方面紧密联系,密不可分,对网络使用越来越广泛使得数据安全越来越重视。网络是一把“双刃剑”,能给我们带来无尽的享受乐趣,但同时也面临着各种各样诸如病毒、木马、钓鱼等网络威胁,我们就需要对我们使用的数据明确哪些是安全的哪些是不安全的,以减少不必要的损失,让我们有一个安心的网络环境,创造一个“干净、和谐”的网络生活。
发明内容
本发明的目的为解决或克服网络数据安全问题,创造一个干净、和谐的网络环境,提出了一种基于规则数据的数据深度威胁检测系统及方法。
一种基于规则数据的数据深度威胁检测系统,包括管控中心、规则数据库、网络深度检测设备及分流器,所述管控中心与所述规则数据库、网络深度检测设备及分流器连接,所述网络深度检测设备与所述分流器和规则数据库连接;
所述管控中心用于接收所述规则数据库中的第一规则,发送所述第一规则至所述网络深度检测设备,接收网络深度检测设备返回的第二规则,并将所述第二规则发送至所述分流器;
所述网络深度检测设备用于对接收到的所述第一规则进行简化,并将简化得到的第二规则发送至所述管控中心;
所述分流器用于采集数据,并基于所述第二规则对采集到的数据进行筛选,并将筛选后的数据均分到所有集群的所述网络深度检测设备上;
所述网络深度检测设备还用于通过分布式计算对满足规则条件的数据进行筛选,过滤出威胁文件,对所述威胁文件进行告警、隔离或删除安全措施,根据所述威胁文件生成第一规则,将生成的第一规则更新所述规则数据库。
进一步地,所述系统还包括采集器,所述采集器与分流器连接;
所述采集器用于采集离线数据和通过互联网或局域网采集实时数据。
进一步地,当所述管控中心检测到所述规则数据库中有第一规则更新时,重新获取所述规则数据库中的第一规则。
一种基于规则数据的数据深度威胁检测方法,应用于基于规则数据的数据深度威胁检测系统,包括以下步骤:
S1、管控中心获取规则数据库中的第一规则,并发送至网络深度检测设备;
S2、所述网络深度检测设备对接收到的所述第一规则进行简化,将得到的第二规则发送至所述管控中心;
S3、所述管控中心将接收到的第二规则传输至分流器;
S4、所述分流器基于所述第二规则将采集到的数据进行筛选,并将筛选后的数据均分到所有集群的所述网络深度检测设备上;
S5、所述网络深度检测设备通过分布式计算对满足规则条件的数据进行筛选,过滤出威胁文件,对所述威胁文件进行告警、隔离或删除安全措施;
S6、所述网络深度检测设备根据所述威胁文件生成第一规则,将生成的第一规则更新所述规则数据库,流程回到所述步骤S1。
本发明的有益效果:本发明提供了一种基于规则数据的数据深度威胁检测系统及方法,本发明系统包括管控中心、规则数据库、网络深度检测设备及分流器,管控中心获取规则数据库中的复杂规则并下发至网络深度检测设备进行简化,接收返回的简化规则并下发至分流器,分流器将采集到的数据均分到所有集群的网络深度检测设备,网络深度检测设备通过分布式计算筛选出满足规则条件的数据进行二次威胁分析,统计威胁的信息做出相应的告警、隔离、删除等安全措施,并根据威胁信息反向生成复杂规则更新到规则库中,管控中心重新获取更新后的复杂规则,进行周而复始的检测,保证了网络数据的安全性,提供了一个干净、和谐的网络环境。
附图说明
图1为本发明实施例提供的系统结构示意图。
图2为本发明实施例提供的方法流程图。
图中:10-基于规则数据的数据深度威胁检测系统;110-管控中心;120-规则数据库;130-网络深度检测设备;140-分流器;150-采集器。
具体实施方式
下面结合附图对本发明的实施例做进一步的说明。
请参阅图1,本发明提出了一种基于规则数据的数据深度威胁检测系统10,系统包括管控中心110、规则数据库120、网络深度检测设备130、分流器140及采集器150,管控中心110与规则数据库120、网络深度检测设备130及分流器140连接,网络深度检测设备130与分流器140和规则数据库120连接,分流器140与采集器150连接;
管控中心110,用于接收规则数据库120中的复杂规则,发送复杂规则至网络深度检测设备130,并接收网络深度检测设备130处理后返回的简化规则,并将简化规则发送至分流器140;
网络深度检测设备130,用于对接收到的复杂规则进行简化,并将简化得到的简化规则发送至管控中心110;
采集器150,用于采集离线数据和通过互联网或局域网采集实时数据,并将采集到的数据信息传输至分流器140。
分流器140,用于接收采集到的数据,并基于接收到的简化规则对采集到的数据进行筛选,并将筛选后的数据按“同源同宿”均分到所有集群的网络深度检测设备130上;
网络深度检测设备130,还用于通过分布式计算对满足规则条件的数据进行筛选,过滤出威胁文件进行二次分析,二次分析产生威胁详细信息,对威胁文件进行告警、隔离或删除安全措施,根据新的威胁生成新的复杂规则,将生成的复杂规则更新规则数据库120。
管控中心110检测到规则数据库120中规则更新时,则重新获取规则数据库120中的复杂规则,周而复始对网络数据进行安全检测。
请参阅图2,为了进一步说明系统的功能,本发明还提供了一种基于规则数据的数据深度威胁检测方法,应用于基于规则数据的数据深度威胁检测系统10,包括以下步骤:
S1、管控中心110获取规则数据库120中的复杂规则,并发送至网络深度检测设备130;
S2、网络深度检测设备130对接收到的复杂规则进行简化,将得到的简化规则发送至管控中心110;
S3、管控中心110将接收到的简化规则传输至分流器140;
S4、分流器140基于简化规则将采集到的数据进行筛选,并将筛选后的数据均分到所有集群的网络深度检测设备130上;
S5、网络深度检测设备130通过分布式计算对满足规则条件的数据进行筛选,过滤出威胁文件,对威胁文件进行告警、隔离或删除安全措施;
S6、网络深度检测设备130根据威胁文件生成复杂规则,将生成的复杂规则更新规则数据库120,流程回到步骤S1。
本领域的普通技术人员将会意识到,这里的实施例是为了帮助读者理解本发明的原理,应被理解为本发明的保护范围并不局限于这样的特别陈述和实施例。本领域的普通技术人员可以根据本发明公开的这些技术启示做出各种不脱离本发明实质的其它各种具体变形和组合,这些变形和组合仍然在本发明的保护范围内。
Claims (4)
1.一种基于规则数据的数据深度威胁检测系统,其特征在于,包括管控中心、规则数据库、网络深度检测设备及分流器,所述管控中心与所述规则数据库、网络深度检测设备及分流器连接,所述网络深度检测设备与所述分流器和规则数据库连接;
所述管控中心用于接收所述规则数据库中的第一规则,发送所述第一规则至所述网络深度检测设备,接收网络深度检测设备返回的第二规则,并将所述第二规则发送至所述分流器;
所述网络深度检测设备用于对接收到的所述第一规则进行简化,并将简化得到的第二规则发送至所述管控中心;
所述分流器用于采集数据,并基于所述第二规则对采集到的数据进行筛选,并将筛选后的数据均分到所有集群的所述网络深度检测设备上;
所述网络深度检测设备还用于通过分布式计算对满足规则条件的数据进行筛选,过滤出威胁文件,对所述威胁文件进行告警、隔离或删除安全措施,根据所述威胁文件生成第一规则,将生成的第一规则更新所述规则数据库。
2.如权利要求1所述的基于规则数据的数据深度威胁检测系统,其特征在于,所述系统还包括采集器,所述采集器与分流器连接;
所述采集器用于采集离线数据和通过互联网或局域网采集实时数据。
3.如权利要求1所述的基于规则数据的数据深度威胁检测系统,其特征在于,当所述管控中心检测到所述规则数据库中有第一规则更新时,重新获取所述规则数据库中的第一规则。
4.一种基于规则数据的数据深度威胁检测方法,应用于基于规则数据的数据深度威胁检测系统,其特征在于,包括以下步骤:
S1、管控中心获取规则数据库中的第一规则,并发送至网络深度检测设备;
S2、所述网络深度检测设备对接收到的所述第一规则进行简化,将得到的第二规则发送至所述管控中心;
S3、所述管控中心将接收到的第二规则传输至分流器;
S4、所述分流器基于所述第二规则将采集到的数据进行筛选,并将筛选后的数据均分到所有集群的所述网络深度检测设备上;
S5、所述网络深度检测设备通过分布式计算对满足规则条件的数据进行筛选,过滤出威胁文件,对所述威胁文件进行告警、隔离或删除安全措施;
S6、所述网络深度检测设备根据所述威胁文件生成第一规则,将生成的第一规则更新所述规则数据库,流程回到所述步骤S1。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811617804.0A CN109753518A (zh) | 2018-12-28 | 2018-12-28 | 基于规则数据的数据深度威胁检测系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811617804.0A CN109753518A (zh) | 2018-12-28 | 2018-12-28 | 基于规则数据的数据深度威胁检测系统及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109753518A true CN109753518A (zh) | 2019-05-14 |
Family
ID=66404254
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811617804.0A Pending CN109753518A (zh) | 2018-12-28 | 2018-12-28 | 基于规则数据的数据深度威胁检测系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109753518A (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102457415A (zh) * | 2011-12-27 | 2012-05-16 | 成都市华为赛门铁克科技有限公司 | Ips检测处理方法、网络安全设备和系统 |
| CN101599963B (zh) * | 2009-06-10 | 2012-07-04 | 电子科技大学 | 网络疑似威胁信息筛选器及筛选处理方法 |
| CN105610854A (zh) * | 2016-01-18 | 2016-05-25 | 上海交通大学 | 一种网络协同防御系统 |
| CN106357689A (zh) * | 2016-11-07 | 2017-01-25 | 北京奇虎科技有限公司 | 威胁数据的处理方法及系统 |
| US20180109562A1 (en) * | 2016-10-13 | 2018-04-19 | Fortress Cyber Security, LLC | Systems and methods for network security memory reduction via distributed rulesets |
-
2018
- 2018-12-28 CN CN201811617804.0A patent/CN109753518A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101599963B (zh) * | 2009-06-10 | 2012-07-04 | 电子科技大学 | 网络疑似威胁信息筛选器及筛选处理方法 |
| CN102457415A (zh) * | 2011-12-27 | 2012-05-16 | 成都市华为赛门铁克科技有限公司 | Ips检测处理方法、网络安全设备和系统 |
| CN105610854A (zh) * | 2016-01-18 | 2016-05-25 | 上海交通大学 | 一种网络协同防御系统 |
| US20180109562A1 (en) * | 2016-10-13 | 2018-04-19 | Fortress Cyber Security, LLC | Systems and methods for network security memory reduction via distributed rulesets |
| CN106357689A (zh) * | 2016-11-07 | 2017-01-25 | 北京奇虎科技有限公司 | 威胁数据的处理方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104967588B (zh) | 分布式拒绝服务DDoS攻击的防护方法及其装置和系统 | |
| CN101212338B (zh) | 基于监控探针联动的网络安全事件溯源系统与方法 | |
| CN109271793B (zh) | 物联网云平台设备类别识别方法及系统 | |
| CN107547526A (zh) | 一种云地结合的数据处理方法及装置 | |
| CN102148827B (zh) | 安全事件管理方法、装置及安全管理平台 | |
| CN108964960A (zh) | 一种告警事件的处理方法及装置 | |
| CN106209817A (zh) | 基于大数据和可信计算的信息网络安全自防御系统 | |
| CN106341703A (zh) | 弹幕处理方法及装置 | |
| CN104378365A (zh) | 一种能够进行协同分析的安全管理中心 | |
| CN106452955B (zh) | 一种异常网络连接的检测方法及系统 | |
| CN113347170B (zh) | 一种基于大数据框架的智能分析平台设计方法 | |
| CN103618652A (zh) | 一种业务数据的审计和深度分析系统及其方法 | |
| CN109714206A (zh) | 电力监控系统网络拓扑图生成方法、总线式网络拓扑图 | |
| CN106254379B (zh) | 网络安全策略的处理系统及处理方法 | |
| CN109446816A (zh) | 一种基于大数据平台审计日志的用户行为分析方法 | |
| CN109450955A (zh) | 一种基于网络攻击的流量处理方法及装置 | |
| CN104378364B (zh) | 一种信息安全管理中心的协同分析方法 | |
| CN107547228A (zh) | 一种基于大数据的安全运维管理平台的实现架构 | |
| CN107623691A (zh) | 一种基于反向传播神经网络算法的DDoS攻击检测系统及方法 | |
| CN103580920B (zh) | 一种基于云计算技术的信息系统运行异常检测方法 | |
| CN107360271A (zh) | 网络设备信息获取及ip地址自动分割方法、系统及设备 | |
| CN109995558A (zh) | 故障信息处理方法、装置、设备及存储介质 | |
| CN105245336B (zh) | 一种文档加密管理系统 | |
| CN102045186B (zh) | 一种事件分析方法及系统 | |
| CN109753518A (zh) | 基于规则数据的数据深度威胁检测系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190514 |