CN111327601B - 异常数据响应方法、系统、装置、计算机设备和存储介质 - Google Patents
异常数据响应方法、系统、装置、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN111327601B CN111327601B CN202010071207.3A CN202010071207A CN111327601B CN 111327601 B CN111327601 B CN 111327601B CN 202010071207 A CN202010071207 A CN 202010071207A CN 111327601 B CN111327601 B CN 111327601B
- Authority
- CN
- China
- Prior art keywords
- security
- data
- intelligent gateway
- abnormal data
- characteristic information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请涉及一种异常数据响应方法、系统、装置、计算机设备和存储介质。通过利用智能网关在检测到异常数据进入时,获取智能网关连接的多个网络安全设备发送的表示网络安全状态信息的日志数据,并通过日志数据,生成包括当前网络安全状态的特征信息,然后将该特征信息发送至安全管理中心,安全管理中心将根据该特征信息确定当前网络的安全态势,并生成相应的安全策略发送至智能网关,智能网关响应安全策略并对异常数据进行处理,相较于传统的只能通过固定的过滤条件处理异常数据,本方法通过智能网关感知异常数据并可以根据安全管理中心发送的安全策略对异常数据进行处理,实现了更全面地响应异常数据的效果,提高了异常数据处理的安全性。
Description
技术领域
本申请涉及网络安全技术领域,特别是涉及一种异常数据响应方法、系统、装置、计算机设备和存储介质。
背景技术
随着互联网技术的发展,计算机之间可以通过互联网进行网络通信和数据传输,并且这种需求正变得越来越频繁,因此,在越来越频繁的网络通信和数据传输的需求下,保证传输的网络数据的安全,特别是保证流入网络内部的数据的安全变得十分重要,而保证流入网络内部的数据的安全的重要步骤是要对异常数据进行处理,而对异常数据的处理通常是通过网关实现,传统的网关通常仅通过设置相应的过滤条件,从而排查异常数据或作出警示,然而,这种异常数据处理方式较为不灵活,容易给黑客入侵提供机会,导致网络被入侵。
因此,传统的异常数据响应处理方式存在安全性不高的缺陷。
发明内容
基于此,有必要针对上述技术问题,提供一种能够提高网络安全性的异常数据响应方法、系统、装置、计算机设备和存储介质。
一种异常数据响应方法,应用于智能网关,所述方法包括:
当异常数据进入时,获取所述智能网关连接的多个网络安全设备发送的表示网络安全状态信息的日志数据;
根据所述日志数据,生成包括当前网络安全状态的特征信息,将所述特征信息发送至安全管理中心,以使所述安全管理中心根据所述特征信息确定当前网络的安全态势,并基于当前网络的安全态势生成相应的安全策略;
获取所述安全管理中心发送的所述安全策略,响应所述安全策略以对所述异常数据进行处理。
在一个实施例中,所述获取所述智能网关连接的多个网络安全设备发送的表示网络安全状态信息的日志数据之后,还包括:
将所述日志数据的格式统一为预设数据格式,得到统一格式的日志数据;
去除所述统一格式的日志数据中与所述网络安全状态信息无关的噪声数据,合并所述统一格式的日志数据中重复的数据,得到处理后的日志数据;
根据所述处理后的日志数据,生成包括当前网络安全状态的特征信息。
在一个实施例中,所述根据所述日志数据,生成包括当前网络安全状态的特征信息,包括:
利用wrapper算法对所述日志数据进行解析,生成包括当前网络安全状态的特征信息。
在一个实施例中,所述获取所述安全管理中心发送的所述安全策略之后,还包括:
将所述安全策略发送至策略知识库中,以得到更新后的策略知识库;所述策略知识库用于存储并向所述智能网关提供所述安全策略。
在一个实施例中,所述响应所述安全策略以对所述异常数据进行处理之后,还包括:
获取对所述异常数据进行处理之后,包括当前网络安全状态的特征信息,作为处理后的特征信息;
判断所述处理后的特征信息是否达到预设安全状态,得到判断结果;
根据所述判断结果,对所述安全策略进行调整,得到调整后的安全策略;
根据所述调整后的安全策略,对所述异常数据进行处理。
一种异常数据处理方法,应用于安全管理中心,所述方法包括:
获取智能网关发送的包括当前网络安全状态的特征信息;所述当前网络安全特征的特征信息根据所述智能网关连接的多个网络安全设备发送的表示网络安全状态信息的日志数据得到;
根据所述特征信息,确定当前网络的安全态势;
根据所述安全态势,生成相应的安全策略并发送至所述智能网关,以使所述智能网关根据所述安全策略对异常数据进行处理。
一种异常数据响应系统,包括:智能网关和安全管理中心;
所述智能网关用于当异常数据进入时,获取所述智能网关连接的多个网络安全设备发送的表示网络安全状态信息的日志数据;根据所述日志数据,生成包括当前网络安全状态的特征信息,将所述特征信息发送至安全管理中心,获取所述安全管理中心发送的所述安全策略,响应所述安全策略以对所述异常数据进行处理;
所述安全管理中心用于获取所述智能网关发送的包括当前网络安全状态的特征信息;根据所述特征信息,确定当前网络的安全态势;根据所述安全态势,生成相应的安全策略并发送至所述智能网关;
所述智能网关还用于根据所述安全策略对异常数据进行处理。
在一个实施例中,所述智能网关中包括:防火墙单元和入侵检测单元;
所述防火墙单元,用于将不符合所述安全策略的数据进行过滤处理;
所述入侵检测单元,用于对经过所述智能网关的数据进行旁路监听,以检测所述经过所述智能网关的数据中是否存在所述异常数据。
一种异常数据响应装置,应用于智能网关,所述装置包括:
日志获取模块,用于当异常数据进入时,获取所述智能网关连接的多个网络安全设备发送的表示网络安全状态信息的日志数据;
特征获取模块,用于根据所述日志数据,生成包括当前网络安全状态的特征信息,将所述特征信息发送至安全管理中心,以使所述安全管理中心根据所述特征信息确定当前网络的安全态势,并基于当前网络的安全态势生成相应的安全策略;
响应模块,用于获取所述安全管理中心发送的所述安全策略,响应所述安全策略以对所述异常数据进行处理。
一种异常数据处理装置,应用于安全管理中心,所述装置包括:
信息获取模块,用于获取智能网关发送的包括当前网络安全状态的特征信息;所述当前网络安全特征的特征信息根据所述智能网关连接的多个网络安全设备发送的表示网络安全状态信息的日志数据得到;
判定模块,用于根据所述特征信息,确定当前网络的安全态势;
策略生成模块,用于根据所述安全态势,生成相应的安全策略并发送至所述智能网关,以使所述智能网关根据所述安全策略对异常数据进行处理。
一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现如上所述的异常数据相应方法和异常数据处理方法。
一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如上述所述的异常数据相应方法和异常数据处理方法。
上述异常数据响应方法、系统、装置、计算机设备和存储介质,通过利用智能网关在检测到异常数据进入时,获取智能网关连接的多个网络安全设备发送的表示网络安全状态信息的日志数据,并通过日志数据,生成包括当前网络安全状态的特征信息,然后将该特征信息发送至安全管理中心,安全管理中心将根据该特征信息确定当前网络的安全态势,并生成相应的安全策略发送至智能网关,智能网关响应安全策略并对异常数据进行处理,相较于传统的只能通过固定的过滤条件处理异常数据,本方法通过智能网关感知异常数据并可以根据安全管理中心发送的安全策略对异常数据进行处理,实现了更全面地响应异常数据的效果,提高了异常数据处理的安全性。
附图说明
图1为一个实施例中异常数据响应方法的应用环境图;
图2为一个实施例中异常数据响应方法的流程示意图;
图3为一个实施例中异常数据处理方法的流程示意图;
图4为另一个实施例中异常数据响应方法的流程示意图;
图5为一个实施例中异常数据响应系统的结构示意图;
图6为一个实施例中智能网关的结构示意图;
图7为一个实施例中异常数据响应装置的结构框图;
图8为一个实施例中异常数据处理装置的结构框图;
图9为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请提供的异常数据响应方法,可以应用于如图1所示的应用环境中。其中,智能网关102通过网络与安全管理中心104进行通信。智能网关102可以通过其中的入侵检测单元检测异常数据的流入,还可以将与异常数据相关的日志数据通过网络发送至安全管理中心104,安全管理中心104可以根据日志数据生成相应的安全策略并通过网络发送至智能网关102,智能网关102可以响应该安全策略并对异常数据进行处理。其中,安全管理中心104可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
在一个实施例中,如图2所示,提供了一种异常数据响应方法,以该方法应用于图1中的智能网关为例进行说明,包括以下步骤:
步骤S202,当异常数据进入时,获取智能网关102连接的多个网络安全设备发送的表示网络安全状态信息的日志数据。
其中,异常数据可以是不符合正常规则的网络数据,正常规则可以根据日志数据中对内部网络进行过访问的数据确定,也可以根据预设的过滤条件确定。网络安全设备可以是用于维护网络安全和处理网络异常的设备,网络安全设备可以有多个,例如入侵防御设备、安全审计设备、VPN、防毒墙等。其中入侵防御设备可以用于抵御有害数据进入内部网络,安全审计设备可以是对网络或指定系统的使用状态进行跟踪记录和综合梳理的工具,主要分为用户自主保护、系统审计保护两种。网络安全审计能够对网络进行动态实时监控,可通过寻找入侵和违规行为,记录网络上发生的一切,为用户提供取证手段。网络安全审计不但能够监视和控制来自外部的入侵,还能够监视来自内部人员的违规和破坏行动。VPN可以是一种用于连接中、大型企业或团体与团体间的私人网络的通讯方法,VPN可以利用隧道协议来达到保密、发送端认证、消息准确性等私人消息安全效果,这种技术可以用不安全的网络,例如:互联网,来发送可靠、安全的消息。防毒墙可以是一种高端杀毒设备,可以实现计算机设备的硬件防病毒入侵的效果。智能网关102在检测到有异常数据流入时,可以搜集本网络中各个安全设备发送的日志数据和其它安全信息,其中日志数据可以是表示网络安全状态信息的日志数据,安全设备可以通过内部网络通信将上述日志信息发送至智能网关102。
步骤S204,根据日志数据,生成包括当前网络安全状态的特征信息,将特征信息发送至安全管理中心104,以使安全管理中心104根据特征信息确定当前网络的安全态势,并基于当前网络的安全态势生成相应的安全策略。
其中,日志数据可以是步骤S202中可以表示网络安全状态的日志数据,智能网关102可以根据上述日志数据生成相应的特征信息,其中特征信息可以包括当前网络安全状态,具体地,网络安全状态的特征信息可以包括:保密性、完整性、可用性和可控性等。其中,保密性可以是信息不泄露给非授权用户、实体或过程,或供其利用的特性;完整性可以是数据未经授权不能进行改变的特性,即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性;可用性可以是可被授权实体访问并按需求使用的特性,即当需要时能否存取所需的信息,例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击;可控性可以是对信息的传播及内容具有控制能力的特性。上述网络安全状态的特征信息还可以包括其他网络特征,例如异常数据流入的时间和大小等。上述智能网关102生成上述特征信息后,可以将该特征信息发送至安全管理中心104,安全管理中心104可以接收上述特征信息,还可以根据该特征信息确定当前网络的安全态势,根据该安全态势确定相应的安全策略。其中,安全态势可以是网络的安全状态和风险事件发生时,网络状态的发展趋势,安全管理中心104可以以上述特征信息为基础,基于环境地、动态地、整体地洞悉安全风险,从全局视角对安全威胁进行发现识别、理解分析和响应处置等,安全管理中心104可以根据上述特征信息判断是否是真实的网络攻击,若是,则是定向或是随机的网络攻击,该异常数据可能影响的范围和危害,清除或缓解的方法和难度等,从而生成相应的安全策略。上述安全策略可以是用于解决上述异常数据进入导致的网络状态发生异常的策略,其可以由多种形式组成,例如可以是一串命令等,安全管理中心104可以根据上述特征信息和安全态势确定具体需要哪种安全策略。
步骤S206,获取安全管理中心104发送的安全策略,响应安全策略以对异常数据进行处理。
其中,安全策略可以是上述步骤S204中安全管理中心104生成的安全策略。智能网关102可以通过网络与安全管理中心104连接并进行通信和数据传输,智能网关102可以获取安全管理中心104发送的安全策略,当智能网关102接收到所述安全策略后,可以对上述安全策略就行响应,从而可以根据该安全策略对上述异常数据进行处理。其中,智能网关102接收到安全管理中心104的安全策略后,还可以向安全管理中心104发送确认信息,安全管理中心104可以根据该确认信息确定智能网关102响应了上述安全策略。
上述异常数据响应方法,通过利用智能网关在检测到异常数据进入时,获取智能网关连接的多个网络安全设备发送的表示网络安全状态信息的日志数据,并通过日志数据,生成包括当前网络安全状态的特征信息,然后将该特征信息发送至安全管理中心,安全管理中心将根据该特征信息确定当前网络的安全态势,并生成相应的安全策略发送至智能网关,智能网关响应安全策略并对异常数据进行处理,相较于传统的只能通过固定的过滤条件处理异常数据,本方法通过智能网关感知异常数据并可以根据安全管理中心发送的安全策略对异常数据进行处理,实现了更全面地响应异常数据的效果,提高了异常数据处理的安全性。
在一个实施例中,获取智能网关102连接的多个网络安全设备发送的表示网络安全状态信息的日志数据之后,还包括:将日志数据的格式统一为预设数据格式,得到统一格式的日志数据;去除统一格式的日志数据中与网络安全状态信息无关的噪声数据,合并所述统一格式的日志数据中重复的数据,得到处理后的日志数据;根据处理后的日志数据,生成包括当前网络安全状态的特征信息。
本实施例中,日志数据可以是表示网络安全状态的日志数据,当智能网关102检测到有异常数据进入时,可以从多个安全设备中获取可以表示网络安全状态的日志数据。然而,多个安全设备记录的日志数据格式可能是不一致的,智能网关102难以根据不同格式的日志数据生成相应的表示当前网络安全状态的特征信息。因此,智能网关102获取到多个网络安全设备发送的表示网络安全状态信息的日志信息后,可以将多个日志数据的格式统一为预设数据格式。其中,预设数据格式可以是IDMEF(Intrusion Detection MessageExchange Format,入侵检测消息交换格式),IDMEF旨在定义标准的数据格式,自动化入侵检测系统使用该格式对可疑事件发出告警。开发该标准格式可实现商业系统、开源系统和研究系统之间的互通性,允许用户根据各个系统的优缺点进行混合部署,以达到最佳实现效果,智能网关102可以采用IDMEF数据格式对上述多个安全设备发送的日志数据进行统一。另外,智能网关102还可以对上述日志数据进行去除噪声处理,即可以对上述日志数据中与网络安全状态无关的噪声数据进行去除,还可以对上述日志数据中的重复记录进行合并,智能网关102对上述日志数据进行去除噪声和合并重复记录的处理后,可以得到处理后的日志数据,智能网关102可以根据上述处理后的日志数据,生成包括当前网络安全状态的特征信息。通过本实施例,智能网关102可以对上述日志数据进行统一格式、去除噪声和合并重复数据等处理,且可以根据处理后的数据生成特征信息,可以令生成的特征信息更具代表性和可靠性。
在一个实施例中,根据日志数据,生成包括当前网络安全状态的特征信息,包括:利用wrapper算法对日志数据进行解析,生成包括当前网络安全状态的特征信息。
本实施例中,特征信息可以是根据上述日志数据生成的包括当前网络安全状态的特征信息。具体地,智能网关102可以利用wrapper算法,分析和理解上述日式数据。其中,wrapper算法可以是一种学习算法,wrapper算法可以寻找所有特征子集中能使后续学习算法达到较高性能的子集,在特征信息生成阶段,wrapper算法可以看做搜索算法和学习算法的结合,wrapper算法可以对上述日志数据进行理解,从而形成特征描述,可以描述出当前网络安全状态的相关特征信息。通过本实施例,智能网关102可以通过wrapper算法分析并生成特征信息,增加了特征信息的可靠性。
在一个实施例中,获取安全管理中心104发送的安全策略之后,还包括:将安全策略发送至策略知识库中,以得到更新后的策略知识库;策略知识库用于存储并向智能网关102提供安全策略。
本实施例中,安全策略可以是用于处理上述异常数据的策略,策略知识库可以用于存储上述安全策略,还可以令上述智能网关102进行安全策略的查询,选择和调用。智能网关102接收到安全管理中心104的安全策略后,可以将该安全策略形成用中间语言描述的安全策略,还可以将该安全策略发送至策略知识库中,策略知识库可以接收该安全策略,还可以将该安全策略存储在策略知识库中,实现对策略知识库的更新,从而使智能网关102可以根据更新的策略知识库查询、选择和调用相应的安全策略。通过本实施例,智能网关102可以将安全管理中心104发送的安全策略存储在策略知识库中,对策略知识库进行更新,实现了提高安全策略选择的灵活性和时效性的效果。
在一个实施例中,响应安全策略以对异常数据进行处理之后,还包括:获取对异常数据进行处理之后,包括当前网络安全状态的特征信息,作为处理后的特征信息;判断处理后的特征信息是否达到预设安全状态,得到判断结果;根据判断结果,对安全策略进行调整,得到调整后的安全策略;根据调整后的安全策略,对异常数据进行处理。
本实施例中,处理后的特征信息可以是智能网关102根据安全管理中心104发送的安全策略,对上述异常数据进行处理后,处理后的当前网络安全状态的特征信息。预设安全状态可以是符合安全设备的安全规则的状态,即可以是当前网络处于安全状态的状态。智能网关102可以在响应了安全管理中心104发送的安全策略,对异常数据进行处理后,可以再次获取包括当前网络安全状态的特征信息,对处理后的网络安全状态进行评估和判断,还可以根据评估后的结果,对安全策略进行调整和改进,使得智能网关102可以根据改进后的安全策略对异常数据进行处理。通过本实施例,智能网关102可以根据实际处理情况对安全策略进行调整和改进,实现了提高异常数据处理的有效性,提高了网络状态的安全性的效果。
在一个实施例中,如图3所示,提供了一种异常数据处理方法,以该方法应用于图1中的安全管理中心104为例进行说明,包括以下步骤:
步骤S302,获取智能网关102发送的包括当前网络安全状态的特征信息;当前网络安全特征的特征信息根据智能网关102连接的多个网络安全设备发送的表示网络安全状态信息的日志数据得到。
其中,特征信息可以是包括当前网络安全状态的信息,该信息可以通过智能网关102发送。智能网关102可以根据多个网络安全设备发送的表示网络安全状态信息的日志数据,得到包括当前网络安全状态的特征信息,并且智能网关102可以将得到的特征信息发送至安全管理中心104,安全管理中心104可以通过网络获取上述特征信息,该特征信息还可以包括边缘网络的特征数据。
步骤S304,根据特征信息,确定当前网络的安全态势。
其中,安全态势可以是网络的安全状态和风险事件发生时,网络状态的发展趋势,安全管理中心104可以以上述特征信息为基础,基于环境地、动态地、整体地洞悉安全风险,从全局视角对安全威胁进行发现识别、理解分析和响应处置等,安全管理中心104可以根据上述特征信息判断是否是真实的网络攻击,若是,则是定向或是随机的网络攻击,该异常数据可能影响的范围和危害,清除或缓解的方法和难度等。即安全管理中心104可以根据上述特征信息对当前网络环境的发展方向进行预测,该预测结果可以包括被攻击或是普通的数据流入错误,安全管理中心104可以预测出上述异常数据对网络安全状态影响的程度,从而确定当前网络的安全态势。
步骤S306,根据安全态势,生成相应的安全策略并发送至智能网关102,以使智能网关根据安全策略对异常数据进行处理。
其中,安全管理中心104可以对上述安全态势进行分析,并且可以制定相应的安全策略,该安全策略可以用于解决上述异常数据进入而产生的网络安全问题。安全管理中心104可以将生成的安全策略发送至智能网关102中,智能网关102可以接收安全管理中心104发送的安全策略,并且可以根据该安全策略对异常数据进行处理。
上述异常数据处理方法中,安全管理中心可以通过接收智能网关发送的包括网络安全状态的特征信息,并可以根据特征信息形成当前网络的安全态势,根据安全态势生成相应的安全策略,使得智能网关可以根据该安全策略处理异常数据,相较于传统的只能通过设定的过滤条件防范异常数据的方法,本方法可以对有异常数据进入时的网络状态和发展趋势进行分析,并制定相应的安全策略,实现了提高网络异常数据响应的安全性和处理异常数据的灵活性的效果。
在一个实施例中,如图4所示,图4为另一个实施例中异常数据响应方法的流程示意图。
本实施例中,当有异常数据进入智能网关102时,各个安全设备可以感知安全事件,并可以将感知信息可以网络安全状态相关日志数据发送至智能网关102中,智能网关102可以对日志数据进行预处理,具体地,可以通过IDMEF数据格式,对日志数据进行格式统一,还可以对将日志数据中与网络安全状态无关的噪声数据去除,还可以将日志数据中重复的记录进行合并,得到处理后的日志数据。智能网关102可以通过wrapper算法,对处理后的日志数据进行理解,得到当前网络安全状态的相关特征信息,并且可以将该特征信息发送至安全管理中心104。安全管理中心104可以对接收到的特征信息进行搜集和分析,形成对当前安全态势的理解,再可以对安全态势的理解进行分析,得到对当前网络安全状态的判定和当前网络安全状态的发展趋势的预测信息,安全管理中心104可以根据上述预测信息,生成相应的安全策略,并可以将该安全策略发送至智能网关102,智能网关102可以响应该安全策略,将安全策略形成使用中间语言描述的安全策略,同时可以将该安全策略存储在策略知识库中,对策略知识库进行更新,智能网关102还可以将上述安全策略分为具体的执行步骤,调用相关的网络工具库中预先编制的工具执行相关步骤,执行上述安全策略后,还可以对执行后的网络安全状态的特征信息进行评估,将评估的结果进行反馈,从而智能网关102可以调整和改进上述安全策略。通过本实施例,当有异常数据进入时,可以通过智能网关发送网络安全状态相关特征信息至安全管理中心,安全管理中心可以根据特征信息制定相应的安全策略,相较于传统的只能通过固定的条件进行过滤,本方法实现了提高了处理异常数据的全面性和灵活性的效果。
应该理解的是,虽然图2-4的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图2-4中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
在一个实施例中,如图5所示,图5为一个实施例中异常数据响应系统的结构示意图。提供一种异常数据响应系统,该系统包括:智能网关102和安全管理中心104;
智能网关102用于当异常数据进入时,获取智能网关102连接的多个网络安全设备发送的表示网络安全状态信息的日志数据;根据日志数据,生成包括当前网络安全状态的特征信息,将特征信息发送至安全管理中心104,获取安全管理中心104发送的安全策略,响应安全策略以对异常数据进行处理。
安全管理中心104用于获取智能网关102发送的包括当前网络安全状态的特征信息;根据特征信息,确定当前网络的安全态势;根据安全态势,生成相应的安全策略并发送至智能网关102。
智能网关102还用于根据安全策略对异常数据进行处理。
在一个实施例中,上述智能网关102中包括:防火墙单元和入侵检测单元;
防火墙单元502,用于将不符合安全策略的数据进行过滤处理;
入侵检测单元504,用于对经过智能网关102的数据进行旁路监听,以检测经过所述智能网关102的数据中是否存在异常数据。
其中,外部网络首先需要通过防火墙的检测,防火墙采用包过滤技术,对不符合安全策略的数据进行丢弃处理,从而阻止了大部分来自外网的安全威胁。入侵检测单元可以在主要数据流的旁路进行监听,搜集信息并可以对这些信息进行分析,从而发现网络中是否有违反安全策略的行为或迹象,当发现有异常状况时,可以启动报警、记录和调用安全设备进行响应等措施。其中安全设备可以包括入侵防御设备、安全审计系统、VPN、防毒墙等。智能网关102可以通过其中的入侵检测单元检测异常数据的流入,可以通过其中的感知与响应单元响应并实施安全管理中心104发送的安全策略。在一个实施例中,如图6所示,图6为一个实施例中智能网关的结构示意图。其展示了智能网关102中感知和响应单元506的结构示意图。包括数据预处理单元602、特征提取单元604、响应策略单元606、响应执行单元608、策略知识库610、执行工具库612和响应评估单元614。
其中,数据预处理单元602用于将上述日志数据通过IDMEF数据格式进行统一,去除与网络安全状态无关的噪声数据和合并重复数据,还可以将处理后的日志数据发送至特征提取单元604。特征提取单元604用于通过wrapper算法对处理后的数据进行理解从而形成当前网络安全状态的特征信息,还可以将这些特征信息发送至安全管理中心104,使其对该特征信息进行理解并制定相应的安全策略。响应策略单元606用于接收安全管理中心104发送的安全策略,可以将其形成使用中间语言描述的安全策略,还可以将该安全策略存储至策略知识库610中,对策略知识库610进行更新。响应执行单元608用于将上述安全策略分为具体的执行步骤,并可以调用执行工具库612中的工具对异常数据进行处理。策略知识库610用于存储上述安全管理中心104发送的安全策略,并可以供响应策略单元606进行查询、选择和调用。执行工具库612用于存储安全工具,供响应执行单元608选择和调用。响应评估单元614用于对处理异常数据后的网络安全状态进行评估,可以将评估结果反馈到响应策略单元606,从而调整和改进上述安全策略。
在一个实施例中,如图7所示,提供了一种异常数据响应装置,应用于智能网关102,包括:日志获取模块702、特征获取704模块和特征获取706模块,其中:
日志获取模块702,用于当异常数据进入时,获取智能网关连接的多个网络安全设备发送的表示网络安全状态信息的日志数据。
特征获取模块704,用于根据日志数据,生成包括当前网络安全状态的特征信息,将特征信息发送至安全管理中心,以使安全管理中心根据特征信息确定当前网络的安全态势,并基于当前网络的安全态势生成相应的安全策略。
响应模块706,用于获取安全管理中心发送的安全策略,响应安全策略以对异常数据进行处理。
在一个实施例中,还包括,预处理模块,用于将日志数据的格式统一为预设数据格式,得到统一格式的日志数据;去除统一格式的日志数据中与网络安全状态信息无关的噪声数据,合并统一格式的日志数据中重复的数据,得到处理后的日志数据;根据处理后的日志数据,生成包括当前网络安全状态的特征信息。
在一个实施例中,上述特征获取模块704,还用于利用wrapper算法对日志数据进行解析,生成包括当前网络安全状态的特征信息。
在一个实施例中,还包括,更新模块,用于将安全策略发送至策略知识库中,以得到更新后的策略知识库;所述策略知识库用于存储并向所述智能网关提供所述安全策略。
在一个实施例中,还包括,反馈模块,用于获取对异常数据进行处理之后,包括当前网络安全状态的特征信息,作为处理后的特征信息;判断处理后的特征信息是否达到预设安全状态,得到判断结果;根据判断结果,对安全策略进行调整,得到调整后的安全策略;根据调整后的安全策略,对异常数据进行处理。
在一个实施例中,如图8所示,提供了一种异常数据处理装置,应用于安全管理中心104,包括:信息获取模块802、判定模块804和策略生成模块806,其中:
信息获取模块802,用于获取智能网关发送的包括当前网络安全状态的特征信息;所述当前网络安全特征的特征信息根据智能网关102连接的多个网络安全设备发送的表示网络安全状态信息的日志数据得到。
判定模块804,用于根据所述特征信息,确定当前网络的安全态势。
策略生成模块806,用于根据所述安全态势,生成相应的安全策略并发送至所述智能网关,以使所述智能网关根据所述安全策略对异常数据进行处理。
关于异常数据响应装置和异常数据处理装置的具体限定可以参见上文中对于异常数据响应方法和异常数据处理方法的限定,在此不再赘述。上述异常数据响应装置和异常数据处理装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图9所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储异常数据和安全策略等数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种异常数据响应方法和/或异常数据处理方法。
本领域技术人员可以理解,图9中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现如上述的异常数据响应方法和/或异常数据处理方法。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现如上所述的异常数据响应方法和/或异常数据处理方法。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-Only Memory,ROM)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic Random Access Memory,DRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种异常数据响应方法,其特征在于,应用于智能网关,所述方法包括:
当异常数据进入时,获取所述智能网关连接的多个网络安全设备发送的表示网络安全状态信息的日志数据;
根据所述日志数据,生成包括当前网络安全状态的特征信息,包括:根据wrapper算法对所述日志数据进行解析,生成包括当前网络安全状态的特征信息;
将所述特征信息发送至安全管理中心,以使所述安全管理中心根据所述特征信息确定当前网络的安全态势,并基于当前网络的安全态势生成相应的安全策略;所述安全管理中心还用于根据所述特征信息判断是否为真实网络攻击,若是,确定所述真实网络攻击为定向网络攻击或随机网络攻击,以及根据所述异常数据的影响范围、危害程度、处理方式和处理难度,生成对应的安全策略;
获取所述安全管理中心发送的所述安全策略,响应所述安全策略以对所述异常数据进行处理;
所述响应所述安全策略以对所述异常数据进行处理之后,还包括:
获取对所述异常数据进行处理之后,包括当前网络安全状态的特征信息,作为处理后的特征信息;
判断所述处理后的特征信息是否达到预设安全状态,得到判断结果;
根据所述判断结果,对所述安全策略进行调整,得到调整后的安全策略;
根据所述调整后的安全策略,对所述异常数据进行处理。
2.根据权利要求1所述的方法,其特征在于,所述获取所述智能网关连接的多个网络安全设备发送的表示网络安全状态信息的日志数据之后,还包括:
将所述日志数据的格式统一为预设数据格式,得到统一格式的日志数据;
去除所述统一格式的日志数据中与所述网络安全状态信息无关的噪声数据,合并所述统一格式的日志数据中重复的数据,得到处理后的日志数据;
根据所述处理后的日志数据,生成包括当前网络安全状态的特征信息。
3.根据权利要求1所述的方法,其特征在于,所述获取所述安全管理中心发送的所述安全策略之后,还包括:
将所述安全策略发送至策略知识库中,以得到更新后的策略知识库;所述策略知识库用于存储并向所述智能网关提供所述安全策略。
4.一种异常数据处理方法,其特征在于,应用于安全管理中心,所述方法包括:
获取智能网关在异常数据进入时发送的包括当前网络安全状态的特征信息;所述当前网络安全特征的特征信息根据所述智能网关连接的多个网络安全设备发送的表示网络安全状态信息的日志数据,并根据wrapper算法对所述日志数据进行解析后生成得到;
根据所述特征信息,确定当前网络的安全态势,包括:根据所述特征信息判断是否为真实网络攻击,若是,确定所述真实网络攻击为定向网络攻击或随机网络攻击;
根据所述安全态势,生成相应的安全策略,包括:根据所述异常数据的影响范围、危害程度、处理方式和处理难度,生成对应的安全策略;并将所述安全策略发送至所述智能网关,以使所述智能网关根据所述安全策略对异常数据进行处理。
5.一种异常数据响应系统,其特征在于,包括:智能网关和安全管理中心;
所述智能网关用于当异常数据进入时,获取所述智能网关连接的多个网络安全设备发送的表示网络安全状态信息的日志数据;根据所述日志数据,生成包括当前网络安全状态的特征信息,具体用于:根据wrapper算法对所述日志数据进行解析,生成包括当前网络安全状态的特征信息;将所述特征信息发送至安全管理中心,获取所述安全管理中心发送的安全策略,响应所述安全策略以对所述异常数据进行处理;
所述安全管理中心用于获取所述智能网关在异常数据进入时发送的包括当前网络安全状态的特征信息;根据所述特征信息,确定当前网络的安全态势;根据所述安全态势,生成相应的安全策略并发送至所述智能网关;具体用于根据所述特征信息判断是否为真实网络攻击,若是,确定所述真实网络攻击为定向网络攻击或随机网络攻击,以及根据所述异常数据的影响范围、危害程度、处理方式和处理难度,生成对应的安全策略;
所述智能网关还用于根据所述安全策略对异常数据进行处理;
所述智能网关中包括:防火墙单元和入侵检测单元;
所述防火墙单元,用于将不符合所述安全策略的数据进行过滤处理;
所述入侵检测单元,用于对经过所述智能网关的数据进行旁路监听,以检测所述经过所述智能网关的数据中是否存在所述异常数据;
所述智能网关还用于获取对所述异常数据进行处理之后,包括当前网络安全状态的特征信息,作为处理后的特征信息;
判断所述处理后的特征信息是否达到预设安全状态,得到判断结果;
根据所述判断结果,对所述安全策略进行调整,得到调整后的安全策略;
根据所述调整后的安全策略,对所述异常数据进行处理。
6.一种异常数据响应装置,其特征在于,应用于智能网关,所述装置包括:
日志获取模块,用于当异常数据进入时,获取所述智能网关连接的多个网络安全设备发送的表示网络安全状态信息的日志数据;
特征获取模块,用于根据所述日志数据,生成包括当前网络安全状态的特征信息,具体用于:根据wrapper算法对所述日志数据进行解析,生成包括当前网络安全状态的特征信息;将所述特征信息发送至安全管理中心,以使所述安全管理中心根据所述特征信息确定当前网络的安全态势,并基于当前网络的安全态势生成相应的安全策略;所述安全管理中心还用于根据所述特征信息判断是否为真实网络攻击,若是,确定所述真实网络攻击为定向网络攻击或随机网络攻击,以及根据所述异常数据的影响范围、危害程度、处理方式和处理难度,生成对应的安全策略;
响应模块,用于获取所述安全管理中心发送的所述安全策略,响应所述安全策略以对所述异常数据进行处理;
还包括:更新模块,用于获取对所述异常数据进行处理之后,包括当前网络安全状态的特征信息,作为处理后的特征信息;判断所述处理后的特征信息是否达到预设安全状态,得到判断结果;根据所述判断结果,对所述安全策略进行调整,得到调整后的安全策略;根据所述调整后的安全策略,对所述异常数据进行处理。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:
预处理模块,用于将所述日志数据的格式统一为预设数据格式,得到统一格式的日志数据;
去除所述统一格式的日志数据中与所述网络安全状态信息无关的噪声数据,合并所述统一格式的日志数据中重复的数据,得到处理后的日志数据;
根据所述处理后的日志数据,生成包括当前网络安全状态的特征信息。
8.一种异常数据处理装置,其特征在于,应用于安全管理中心,所述装置包括:
信息获取模块,用于获取智能网关在异常数据进入时发送的包括当前网络安全状态的特征信息;所述当前网络安全特征的特征信息根据所述智能网关连接的多个网络安全设备发送的表示网络安全状态信息的日志数据,并根据wrapper算法对所述日志数据进行解析后生成得到;
判定模块,用于根据所述特征信息,确定当前网络的安全态势;
策略生成模块,用于根据所述安全态势,生成相应的安全策略并发送至所述智能网关,以使所述智能网关根据所述安全策略对异常数据进行处理。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至4中任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至4中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010071207.3A CN111327601B (zh) | 2020-01-21 | 2020-01-21 | 异常数据响应方法、系统、装置、计算机设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010071207.3A CN111327601B (zh) | 2020-01-21 | 2020-01-21 | 异常数据响应方法、系统、装置、计算机设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111327601A CN111327601A (zh) | 2020-06-23 |
| CN111327601B true CN111327601B (zh) | 2022-08-30 |
Family
ID=71171026
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010071207.3A Active CN111327601B (zh) | 2020-01-21 | 2020-01-21 | 异常数据响应方法、系统、装置、计算机设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111327601B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111917789B (zh) * | 2020-08-08 | 2021-05-18 | 湖南嘉杰信息技术有限公司 | 基于大数据和物联网通信的数据处理方法及云计算平台 |
| CN112769841A (zh) * | 2021-01-15 | 2021-05-07 | 杭州安恒信息技术股份有限公司 | 一种基于网络安全设备的网络安全防护的方法及系统 |
| CN113347201B (zh) * | 2021-06-25 | 2023-08-18 | 安徽容知日新科技股份有限公司 | 一种异常检测方法、系统及计算设备 |
| CN113595773B (zh) * | 2021-07-16 | 2022-05-17 | 珠海格力电器股份有限公司 | 信息处理方法、装置、电子设备和存储介质 |
| CN113965394B (zh) * | 2021-10-27 | 2024-02-02 | 北京天融信网络安全技术有限公司 | 网络攻击信息获取方法、装置、计算机设备和介质 |
| CN115664846B (zh) * | 2022-12-08 | 2023-07-04 | 深圳市永达电子信息股份有限公司 | 一种网络安全管控系统及方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1768518A (zh) * | 2003-03-31 | 2006-05-03 | 英特尔公司 | 用于管理安全策略的方法和系统 |
| CN101938460A (zh) * | 2010-06-22 | 2011-01-05 | 北京豪讯美通科技有限公司 | 全程全网安全协同防御系统的协同防御方法 |
| CN104901838A (zh) * | 2015-06-23 | 2015-09-09 | 中国电建集团成都勘测设计研究院有限公司 | 企业网络安全事件管理系统及其方法 |
| CN107896229A (zh) * | 2017-12-26 | 2018-04-10 | 黄河交通学院 | 一种计算机网络异常检测的方法、系统及移动终端 |
| CN108337270A (zh) * | 2018-05-18 | 2018-07-27 | 梧州井儿铺贸易有限公司 | 一种企业网络安全事件管理系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040015719A1 (en) * | 2002-07-16 | 2004-01-22 | Dae-Hyung Lee | Intelligent security engine and intelligent and integrated security system using the same |
-
2020
- 2020-01-21 CN CN202010071207.3A patent/CN111327601B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1768518A (zh) * | 2003-03-31 | 2006-05-03 | 英特尔公司 | 用于管理安全策略的方法和系统 |
| CN101938460A (zh) * | 2010-06-22 | 2011-01-05 | 北京豪讯美通科技有限公司 | 全程全网安全协同防御系统的协同防御方法 |
| CN104901838A (zh) * | 2015-06-23 | 2015-09-09 | 中国电建集团成都勘测设计研究院有限公司 | 企业网络安全事件管理系统及其方法 |
| CN107896229A (zh) * | 2017-12-26 | 2018-04-10 | 黄河交通学院 | 一种计算机网络异常检测的方法、系统及移动终端 |
| CN108337270A (zh) * | 2018-05-18 | 2018-07-27 | 梧州井儿铺贸易有限公司 | 一种企业网络安全事件管理系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111327601A (zh) | 2020-06-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111327601B (zh) | 异常数据响应方法、系统、装置、计算机设备和存储介质 | |
| CN115996146B (zh) | 数控系统安全态势感知与分析系统、方法、设备及终端 | |
| CN112787992A (zh) | 一种敏感数据的检测与防护的方法、装置、设备和介质 | |
| Mukhopadhyay et al. | A comparative study of related technologies of intrusion detection & prevention systems | |
| Pradhan et al. | Intrusion detection system (IDS) and their types | |
| JP2021510478A (ja) | 車両内ネットワークにセキュリティを提供するシステム及び方法 | |
| US20200195672A1 (en) | Analyzing user behavior patterns to detect compromised nodes in an enterprise network | |
| WO2009037333A2 (en) | Intrusion detection method and system | |
| KR102222377B1 (ko) | 위협 대응 자동화 방법 | |
| Zhang et al. | User intention-based traffic dependence analysis for anomaly detection | |
| US11924235B2 (en) | Leveraging user-behavior analytics for improved security event classification | |
| CN113411295A (zh) | 基于角色的访问控制态势感知防御方法及系统 | |
| CN113411297A (zh) | 基于属性访问控制的态势感知防御方法及系统 | |
| US20230087309A1 (en) | Cyberattack identification in a network environment | |
| CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
| Leghris et al. | Improved security intrusion detection using intelligent techniques | |
| CN113923021B (zh) | 基于沙箱的加密流量处理方法、系统、设备及介质 | |
| CN112769815B (zh) | 一种智能工控安全监控与防护方法和系统 | |
| Kishore et al. | Intrusion Detection System a Need | |
| CN115174144A (zh) | 零信任网关自安全检测方法及装置 | |
| Mahmoud et al. | A hybrid snort-negative selection network intrusion detection technique | |
| Iudica | A monitoring system for embedded devices widely distributed | |
| Rahim et al. | Improving the security of Internet of Things (IoT) using Intrusion Detection System (IDS) | |
| CN112637217B (zh) | 基于诱饵生成的云计算系统的主动防御方法及装置 | |
| CN118449781B (zh) | 基于非典型行为分析的跨境异常数据流动识别方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |