CN112910728A - 一种数据安全监控方法及装置 - Google Patents

Abstract

本发明公开了一种数据安全监控方法及装置，该装置包括：数据前置模块，用于：采集待监控设备历史上传输数据时的流量数据，所述流量数据包括数据流的瞬时速率及对应时间；监控告警模块，用于：使用预设的预测算法，基于所述流量数据预测得到预设时刻所述待监控设备的瞬时速率为预测瞬时速率，判断所述预测瞬时速率是否符合预设要求，如果是，则确定无需发出相应的告警信息，如果否，则发出相应的告警信息；算法控制模块，用于：提供所述监控告警模块需使用的所述预测算法。本申请能够预先判定待监控设备在未来某时刻是否存在安全威胁，以基于此预先采取相应措施保证待监控设备的安全，也即本申请能够在一定程度上有效保证待监控设备的设备安全性。

Description

一种数据安全监控方法及装置

技术领域

本发明涉及计算机技术领域，更具体地说，涉及一种数据安全监控方法及装置。

背景技术

在云计算与大数据时代背景下，为了实现对服务器等设备的监控，通常需要实时采集设备的相关数据，进而基于这些数据实现设备当前是否安全的判定及告警等，但是这种方式只能够在设备发生异常后进行相应判定及告警，无法有效保证设备安全性。

发明内容

本发明的目的是提供一种数据安全监控方法及装置，能够在一定程度上有效保证待监控设备的设备安全性。

为了实现上述目的，本发明提供如下技术方案：

一种数据安全监控装置，包括：

数据前置模块，用于：采集待监控设备历史上传输数据时的流量数据，所述流量数据包括数据流的瞬时速率及对应时间；

监控告警模块，用于：使用预设的预测算法，基于所述流量数据预测得到预设时刻所述待监控设备的瞬时速率为预测瞬时速率，并判断所述预测瞬时速率是否符合预设要求，如果是，则确定无需发出相应的告警信息，如果否，则发出相应的告警信息；

算法控制模块，用于：提供所述监控告警模块需使用的所述预测算法。

优选的，所述数据前置模块还包括采集模块，所述监控告警模块还包括告警模块，其中：

所述采集模块，用于：采集所述待监控设备的工作状态信息、连接状态信息及数据处理信息为待测信息；

所述告警模块，用于：对所述数据前置模块获取的所述待测信息封装、存储及分析，并基于分析所得的结果发出相应的告警信息。

优选的，还包括：

信息响应模块，用于：获取所述监控告警模块发出的全部告警信息，对全部告警信息进行分类得到多个类别的告警信息，按照与类别相应的方式对每个类别的告警信息分别进行处理，并将处理的结果反馈给上层。

优选的，所述信息响应模块还包括：

告警追踪模块，用于：追踪所述监控告警模块发出的全部告警信息的来源，并将追踪确定的来源进行保存以供分析。

优选的，所述数据前置模块还包括：

数据过滤模块，用于：确定预设时间段内超过预设次数连接所述待监控设备的设备为非法设备，并禁止所述非法设备与所述待监控设备进行通信；以及获取所述待监控设备接收的数据包的特征为待测特征，如果所述待测特征与预先设置的规则集中合法的数据包的特征不匹配，则将所述待测特征对应的数据包过滤掉。

优选的，所述算法控制模块还包括：

调整模块，用于：若所述预测瞬时速率符合所述预设要求，设置所述待监控设备在所述预设时刻单次发送数据量为所述预测瞬时速率对应数据量；

反馈模块，用于：在所述调整模块设置所述待监控设备在所述预设时刻单次发送数据量为所述预测瞬时速率对应数据量后，反馈设置是否成功。

优选的，还包括：

最低安全模块，用于：提供部署在所述数据安全监控装置的每个模块中的驱动工具模块，所述驱动工具模块能够提供相应的安全驱动服务。

优选的，所述算法控制模块还包括：

网络中心，用于：为所述数据安全监控装置提供网络服务，以供所述数据安全监控装置中各模块之间基于所述网络服务实现信息交互。

优选的，所述数据前置模块还包括：

输出模块，用于：采集所述待监控设备的运行状态、内存利用率、硬盘使用空间、硬盘未使用空间、CPU及进程数量的信息为待输出信息，并将所述待输出信息进行输出以供实现相应的信息监控。

一种数据安全监控方法，包括：

采集待监控设备历史上传输数据时的流量数据，所述流量数据包括数据流的瞬时速率及对应时间；

使用所提供的预设的预测算法，基于所述流量数据预测得到预设时刻所述待监控设备的瞬时速率为预测瞬时速率，并判断所述预测瞬时速率是否符合预设要求，如果是，则确定无需发出相应的告警信息，如果否，则发出相应的告警信息。

本发明提供的一种数据安全监控方法及装置，该装置包括：数据前置模块，用于：采集待监控设备历史上传输数据时的流量数据，所述流量数据包括数据流的瞬时速率及对应时间；监控告警模块，用于：使用预设的预测算法，基于所述流量数据预测得到预设时刻所述待监控设备的瞬时速率为预测瞬时速率，并判断所述预测瞬时速率是否符合预设要求，如果是，则确定无需发出相应的告警信息，如果否，则发出相应的告警信息；算法控制模块，用于：提供所述监控告警模块需使用的所述预测算法。本申请公开的技术方案中，数据前置模块采集待监控设备历史上传输数据时数据流的瞬时速率及对应时间，监控告警模块使用算法控制模块提供的预测算法、基于数据前置模块采集的数据实现未来瞬时速率的预测，并基于预测得到的瞬时速率确定其是否正常，进而在其不正常时发出相应的告警信息。可见，本申请能够基于历史上待监控设备对应数据流的瞬时速率及时间，预测待监控设备在未来任意时刻的瞬时速率，进而通过判定该瞬时速率是否正常确定待监控设备是否安全，因此本申请能够预先判定待监控设备在未来某时刻是否存在安全威胁，以基于此预先采取相应措施保证待监控设备的安全，也即本申请能够在一定程度上有效保证待监控设备的设备安全性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本发明实施例提供的一种数据安全监控装置的第一种结构示意图；

图2为本发明实施例提供的一种数据安全监控装置中AI算法控制模块的结构示意图；

图3为本发明实施例提供的一种数据安全监控装置的第二种结构示意图；

图4为本发明实施例提供的一种数据安全监控装置的处理流程图；

图5为本发明实施例提供的一种数据安全监控方法的流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

请参阅图1，其示出了本发明实施例提供的一种数据安全监控装置的结构示意图，具体可以包括：

数据前置模块11，用于：采集待监控设备历史上传输数据时的流量数据，流量数据包括数据流的瞬时速率及对应时间；

监控告警模块12，用于：使用预设的预测算法，基于流量数据预测得到预设时刻待监控设备的瞬时速率为预测瞬时速率，并判断预测瞬时速率是否符合预设要求，如果是，则确定无需发出相应的告警信息，如果否，则发出相应的告警信息；

算法控制模块13，用于：提供监控告警模块需使用的预测算法。

其中，待监控设备可以为服务器等需要实现监控的设备；数据前置模块位于数据安全监控装置的上层，其作用是对待监控设备的数据进行采集以及初步处理；监控告警模块的作用是对数据前置模块采集并初步处理后的数据，进行相应的数据分析等操作；而算法控制模块则是整个数据安全监控装置的中枢，聚合了数据安全装置在实现数据分析等操作时所需的算法组件，以由这些算法组件提供相应的算法。

具体来说，数据前置模块可以采集待监控设备相应时间段传输数据时、由其他设备流入待监控设备的数据流的多个瞬时速率以及相应的时间，并将采集到的多个瞬时速率及相应事件作为流量数据提交给监控告警模块，采集监控设备相应时间段内传输数据时的流量数据中相应时间段可以是当前时刻以及距离当前时刻最近的、当前时刻之前的一定时间段，数据流的瞬时速率相应时间为采集该数据流的瞬时速率的时间，而数据流的瞬时速率可以是实时采集的；监控告警模块对数据前置模块提交的流量数据进行整理，并将这些流量数据加入维护的一个时间序列，使用由算法控制模块提供的预测算法(预测算法可以根据实际需要设定，如自回归移动平均算法)对时间序列进行预测，得到当前时刻之后任意时刻的瞬时速率为预测瞬时速率，判断该预测瞬时速率是否符合预先根据实际需要设定的要求(预设要求，如是否大于相应的速率阈值，若是则说明不符合预设要求，否则说明符合预设要求)，如果判断结果为是，则确定无需进行相应告警，否则发出相应的告警信息。需要说明的是，在使用预测算法实现预测时可以按照下列公式实现：

z_t＝φ₀+φ₁y_t-1+φ₂y_t-2+…+φ_py_t-p+e_t+μ₀+μ₁x_t-1+μ₂x_t-2+…+μ_qx_t-q+ε_t

其中，φ_i系列称为自回归系数，μ_j系列称为平均滑动系数，y_m系列是预测点的前p个时间序列，x_n系列是预测点的前q个误差项，e_t和ε_t均为误差系数，p参数表示预测结果是包含预测点前p个时间序列观测值的线性组合及误差项，q参数表示预测结果是预测点前q个时间序列白噪声的线性组合及误差项，d是使得时间序列平稳进行的差分次数。

本申请公开的技术方案中，数据前置模块采集待监控设备历史上传输数据时数据流的瞬时速率及对应时间，监控告警模块使用算法控制模块提供的预测算法、基于数据前置模块采集的数据实现未来瞬时速率的预测，并基于预测得到的瞬时速率确定其是否正常，进而在其不正常时发出相应的告警信息。可见，本申请能够基于历史上待监控设备对应数据流的瞬时速率及时间，预测待监控设备在未来任意时刻的瞬时速率，进而通过判定该瞬时速率是否正常确定待监控设备是否安全，因此本申请能够预先判定待监控设备在未来某时刻是否存在安全威胁，以基于此预先采取相应措施保证待监控设备的安全，也即本申请能够在一定程度上有效保证待监控设备的设备安全性。

本发明实施例提供的一种数据安全监控装置，数据前置模块还可以包括采集模块，监控告警模块还包括告警模块，其中：

采集模块，用于：采集待监控设备的工作状态信息、连接状态信息及数据处理信息为待测信息；

告警模块，用于：对数据前置模块获取的待测信息封装、存储及分析，并基于分析所得的结果发出相应的告警信息。

数据前置模块可以包括采集模块，采集模块能够对各项服务器等待监控设备的数据进行全面采集，如所监控服务器等待监控设备的工作状态信息(是否正常工作等)、连接状态信息(是否正常联网或者是否正常与其他设备连接等)以及数据处理信息(对接收的数据进行相应处理的过程，包括封装、存储、使用等)，并将采集到的上述信息均作为待测信息提交给告警模块；相应的，监控告警模块可以包括告警模块，告警模块可以包括数据后置模块、检测监控模块以及预测告警模块，数据后置模块的作用是对数据前置模块提交的数据进行进一步的封装处理，然后进入数据存储阶段，以方便数据被检测监控，检测监控模块服务于整个监控告警模块，它利用现有的网络标准规则对待监控设备的工作状态、关键节点信息和/或连接状态进行监控，并全程检测和控制数据采集、封装处理及存储的整个过程，如果检测出中度以上告警类型和违反安全策略的事件，则向预测告警模块及时反馈，也即向预测告警模块发出相应的告警信息；预测告警模块的主要作用是通过对检测出的告警信息进行系统化的分析，结合历史趋势进行预测，根据告警策略对超出阈值的异常数据向外界进行告警通知，可以提高系统的实时性能，保证待监控设备的持续运行。

本发明实施例提供的一种数据安全监控装置，还可以包括：

信息响应模块，用于：获取监控告警模块发出的全部告警信息，对全部告警信息进行分类得到多个类别的告警信息，按照与类别相应的方式对每个类别的告警信息分别进行处理，并将处理的结果反馈给上层。

信息响应模块可以位于整个数据安全监控装置的最底层，它的主要作用是确保告警信息及时被处理以及处理结果的安全响应。信息响应模块可以包括三个部分，分别为信息跟踪模块、信息处理模块以及事件响应模块，具体来说，信息跟踪模块主要作用是通过被动及主动跟踪获取监控告警模块反馈的告警信息，并对这些告警信息按告警类型、攻击手段和解析方法的不同进行分类，这样可以对同样的告警信息提前采取防御措施，降低重复告警的几率以及该告警所造成的损失；信息处理模块对信息跟踪模块分类后的告警信息进行初步过滤(可以过滤掉预先设定的无需分析处理的告警信息)，并根据告警信息类进行大数据智能分析，在驱动模块的安全保障下，对各种告警信息按照所属类别的方式分别进行处理，并将处理得到的结果传递至事件响应模块，从而提升该模块的有效性；事件响应模块的主要作用是主动向上层反馈对告警信息进行处理所得的结果，如将告警信息的处理结果分析上报给算法控制模块，从而通过全貌特征“跟踪”告警信息的产生过程，持续的发现并反馈未知告警，并不断响应算法控制模块控制整个数据安全监控装置的安全运行。

其中，对告警信息的初步过滤可以是按照告警等级的严重程度分别过滤出告警信息，对同样告警等级的告警信息分别进行记录，按照严重程度由重至轻为这些告警信息排出相应的由高到低的优先级，并按照优先级由高至低对相应的告警信息进行处理，以确保能够优先处理严重程度为重的告警信息，从而确保后续告警信息的高效分析及处理。需要说明的是，告警类型与告警等级的含义基本相同，可以包括轻度、中度、重度及危害数据安全监控安全的数据信息等，攻击手段可以包括数据包的非法侵入、连续攻击、以及违反安全策略的事件等，解析方法可以包括发送邮件或文字报警信息给网络管理员、自动记录到log文件进行分析、自动执行防御程序、向攻击服务器和被攻击网络服务器发送TCP Reset指令、终止服务器或TCP会话网络连接、检测攻击种类并进行防火墙更新等。另外，防火墙可以设置于数据前置模块中，其能够将一部分有危害数据安全监控装置安全的数据信息提前隔离并处理，避免了整个装置的告警压力，提高了装置的处理效率。

另外，轻度告警可以发送邮件或文字报警信息给网络管理员，记录到log文件进行分析，由管理员手动清除告警；而信息响应模块只负责处理中度以上告警，中度告警会触发数据安全监控装置自动执行防御程序，向攻击被监控设备发送TCP Reset指令，终止服务器或TCP会话网络连接；并同时根据告警等级增高进行防火墙更新。

本发明实施例提供的一种数据安全监控装置，信息响应模块还可以包括：

告警追踪模块，用于：追踪监控告警模块发出的全部告警信息的来源，并将追踪确定的来源进行保存以供分析。

需要说明的是，告警追踪模块还可以追踪告警信息的来源(也即为发生告警信息对应故障的设备或者导致发生告警信息对应故障的设备)，并将这些来源的信息进行保存，从而在后续实现进行告警分析时，能够对保存的告警信息来源的信息进行分析，从而进一步方便了告警分析。

本发明实施例提供的一种数据安全监控装置，数据前置模块还可以包括：

数据过滤模块，用于：确定预设时间段内超过预设次数连接待监控设备的设备为非法设备，并禁止非法设备与待监控设备进行通信；以及获取待监控设备接收的数据包的特征为待测特征，如果待测特征与预先设置的规则集中合法的数据包的特征不匹配，则将待测特征对应的数据包过滤掉。

其中，预设时间段及预设次数均可以根据实际需要进行设定。需要说明的是，待监控设备面临各种未知数据包的非法侵入和攻击，影响整个系统的安全运行。本申请实施例可以采用私有数据包过滤机制，该机制包含连接跟踪管理、深度协议解析、安全验证、特征匹配等,可以有效阻止数据包的非法侵入和连续攻击，实现非法数据包过滤和伪装包攻击的过滤，提高了系统安全性。具体来说，可以预先设置有数据安全传输协议和用于特征匹配的信息特征库，数据安全传输协议中的连接跟踪管理方法用于分析待监控设备接收的数据包的源地址，基于源地址确定一段时间内超过规定次数连接待监控设备的其他设备(也即为源地址所属设备，如客户端等)，视为该其他设备被非法劫持，将在一段时间内禁止该其他设备与待监控设备进行通信，从而防止其他设备被劫持后形成的伪装包对待监控设备发起连续恶意攻击，进而避免待监控设备的资源遭到非法占用，阻止数据包的连续攻击；信息特征库采用白名单技术，即将合法的数据包的特征作为规则集，如果待监控设备接收的数据包的特征与规则集中任意特征相匹配，则认为待监控设备接收的数据包是一个合法的数据包，否则，认为待监控设备接收的数据包是一个非法的数据包，因此可以将其删除，从而采用白名单技术，可以快速识别网络中的非法数据包，有助于提高过滤效率，阻止数据包的非法侵入。

本发明实施例提供的一种数据安全监控装置，算法控制模块还可以包括：

调整模块，用于：若预测瞬时速率符合预设要求，设置待监控设备在预设时刻单次发送数据量为预测瞬时速率对应数据量；

反馈模块，用于：在调整模块设置待监控设备在预设时刻单次发送数据量为预测瞬时速率对应数据量后，反馈设置是否成功。

本申请在预测得到当前时刻之后任意时刻的预测瞬时速率并且该预测瞬时速率符合预设要求之后，可以将这一瞬时速率传入至调调整模块，调整模块使用内置的“流速-最佳batch.size”映射提前获得预测瞬时速率对应时刻的最佳batch.size配置，而batch.size表示单次发送的打包量，也即为单次发送的数据量；在获得最佳batch.size配置后，调整模块将对系统Kafka的配置进行调整，也即将待监控设备单次发送数据量设置为最佳的batch.size，从而实现流量的动态自适应调整；在实现流量的动态自适应调整后，反馈模块可以采集Kafka内部的吞吐量，并利用采集到的对应吞吐量的信息反映动态自适应调整的效果或者作为参数参与动态自适应调整。

本发明实施例提供的一种数据安全监控装置，还可以包括：

最低安全模块，用于：提供部署在数据安全监控装置的每个模块中的驱动工具模块，驱动工具模块能够提供相应的安全驱动服务。

本申请的数据安全监控装置中还可以设置有最低安全模块，最低安全模块可以由很多个驱动工具模块构成，这些驱动工具模块分别部署在数据安全监控装置的每个模块中，它们之间用Linux设备驱动的方式来实现互通，并以内核模块的方式加载，能动态为待监控服务器及数据安全监控装置的一些模块提供安全驱动服务。另外，最低安全模块中的驱动工具模块可以与各待监控设备及数据安全监控装置采集的数据类型相对应，并为上层驱动模块提供统一的接口，以保证最低安全模块的通用性。其中，驱动工具模块(驱动工具模块与驱动工具的含义相同)中驱动单元能够实现的驱动服务可以包括：

1、辅助对数据进行全面采集；

2、对阻止数据包的非法侵入和连续攻击起到辅助作用；

3、可以提高数据存储阶段的高效性；

4、能提高数据检测预测过程的准确性；

5、辅助追踪告警信息的来源；

6、辅助对各种告警信息进行安全处理。

本发明实施例提供的一种数据安全监控装置，算法控制模块还可以包括：

网络中心，用于：为数据安全监控装置提供网络服务，以供数据安全监控装置中各模块之间基于网络服务实现信息交互。

本申请实施例中的算法控制模块还可以包括网络中心，网络中心能够为整个数据安全监控装置提供网络服务，以便于数据安全装置包含的各模块之间的安全交互与正常运行。

本发明实施例提供的一种数据安全监控装置，数据前置模块还可以包括：

输出模块，用于：采集待监控设备的运行状态、内存利用率、硬盘使用空间、硬盘未使用空间、CPU及进程数量的信息为待输出信息，并将待输出信息进行输出以供实现相应的信息监控。

数据采集模块还可以包括输出模块，输出模块能够对各项服务器等待监控设备的数据进行全面采集，如服务器等待监控设备的运行状态、内存利用率、硬盘的使用空间、硬盘的未使用空间、CPU、进程数目等，并且将采集到的数据均向外界输出，从而使得外界能够对这些数据进行人工分析，进而实现相应的信息监控。

本发明实施例提供的一种数据安全监控装置，算法控制模块还可以包括算法中心，算法控制模块还包括智能化处理系统，其中：

算法中心，用于：提供数据安全监控装置需使用的全部算法，算法包括预测算法、DHA算法、RSA算法及可信度算法；

智能化处理系统，用于：使用DHA算法进行数据加速处理，使用RSA算法实现数据加密，以及设置用于缓存数据的缓冲区。

算法控制模块可以由网络中心、算法中心和智能化处理系统组成，它借助计算机网络的优势，将传统监控装置的被动变为主动，可以实时告警待监控设备所产生的异常变化，弥补了传统监控设备的诸多缺陷。其中，网络中心为整个数据安全监控装置提供网络服务，以便于数据安全监控装置各模块的安全交互与正常运行；算法中心聚合了数据安全监控装置中各模块所需的算法组件，用以保证数据安全监控装置的安全性、稳定性和告警信息的可信度，比如用于数据加速处理的DHA(数字谐波分析)算法、保障数据传输安全的RSA算法以及监控告警信息的可信度算法；智能化处理系统包括数据加速处理、数据传输、数据缓存策略及实现可信度算法等。

具体来说，DHA算法可以采用CPU(中央处理器)+GPU(图形处理器)异构化模型，实现了DHA算法的并行化加速计算，CPU完成数据的加载及简单的数学计算，GPU实现DHA算法的傅里叶正、逆变换及滤波等并行化计算；RSA算法加密是在传统ESA的基础上增加一个加密密钥e0，一个解密密钥d0，e0的初始值由混沌序列产生，每次加密解密后，e0、d0由其自身迭代函数发生变化，由此不需要重新产生大素数来生成其他密钥，只通过新增密钥e0、d0的变化来实现一次一密；可信度算法是一种基于历史故障告警记录数据的告警可信度训练方法，该方法可以计算不同告警源及不同告警源组合下的告警可信度，将告警信息以量化的形式更准确地展现给监控人员从而降低错误告警次数，提高调度效率；上述该算法相比现有算法更加准确有效，且充分挖掘了历史告警数据的信息，提高了监控告警信息的准确度。

智能化处理系统可以包括数据加速处理、数据传输、数据缓存策略，可以采用DHA算法对数据处理过程进行加速计算，与串行算法相比获得了2000倍以上的加速；可以采用RSA一次一密加密算法对数据传输过程进行加密，解决了对称加密算法安全性相对较低的问题，确保了数据在传输过程中的安全；可以在传输时压缩数据，可极大地压缩传输的数据，有效地减轻网络负担；可以采用流数据处理技术起到数据缓冲的作用，流数据处理技术是一种大数据处理技术，用于处理连续数据流，并能在收到数据短时间内快速检测出异常条件，并实时分析，一般来说，流数据处理技术可以有效改进结果时效性，对数据处理过程起到缓冲作用，具体可以是当接收数据速度大于数据处理速度，却又不希望丢失数据时，就需要一个数据缓冲区来容纳这些已接收而又未被处理的数据，这种缓冲机制常常利用消息中间件(MOM)或消息队列(MQ)工具实现，例如数据缓冲中间件Apache Kafka。

另外，对于可信度的计算，假设待监控设备或服务组成部件集合为X_a＝{X₁、X₂、X₃、X₄、X₅}，Y表示待监控设备的状态，这些设备的告警互不影响，都是独立事件，而不确定告警的状态，在特定情况下给定告警的条件概率分布为：

该计算方法可以智能量化设备的故障概率，有利于获得准确的告警概率，从而可以据此量化出设备告警信息。

需要说明的是，算法控制模块可以为AI(人工智能)的AI算法控制模块，AI具备很强的学习能力、更高的辨别和分析综合数据信息的能力、推理汇总数据信息的能力，并且具有强大的数据处理功能、高效计算功能，同时拥有很强的协作能力、独特的非线性能力以及超强的学习模仿能力等优势，从而将AI算法与计算机技术结合，可以加强计算机系统整体上的自我改进，高效地对信息数据进行处理以及管理，提高信息和数据的处理效率，从而更好的帮助人们工作和生活。

在一种具体实现方式中，AI算法控制模块可以如图2所示，数据安全监控装置可以如图3所示，而相应的处理流程图可以如图4所示，采集的多通道数据则为待监控设备的数据，采集到的待监控设备的数据为监控数据，基础数据的定义可以根据实际需要进行设定，而告警事件则为需要发出相应告警信息的事件，考虑到数据采集的复杂性，在选取数据的基础上，设置多个采集通道，且每采集完一个采集通道，自动切换至下一个采集通道，依次循环直至所有的数据采集完毕，因此，在采集数据时设置的通道要足够，每个通道采集不同的数据，然后对采集到的数据进行分类并存储在不同的地址空间，以供直接读取地址空间(即存储区域)内的数据，确保收集数据的稳定性，完成整个收集过程；数据存储要确保数据的可靠性和并发高速读写能力，本申请根据监控数据的特征及多样性，采用一种分布式时间序列存储的存储方式，具体思路就是用异步的方式处理数据，直接调用API写数据，然后异步地将原始数据做一些分析工作，进而存储下来；监控告警模块其主要功能在于当待监控设备出现问题时，需要通过告警方式告知相关管理人员，并在触发告警时，实现告警响应。

本申请的基于AI算法的数据安全监控装置，包括AI算法控制模块、数据前置模块、监控告警模块、信息响应模块和最低安全模块，对服务器等待监控设备中相关资源和服务进行监控和预测，对数据信息的采集、处理、存储及故障进行告警，对告警信息进行安全处理及响应，利用AI技术与加密算法确保装置智能化及安全性；整个装置是在无人值守的情况下，实时检测服务器等待监控设备的各项指标变化，并对出现的告警信息进行实时跟踪、分析和类型识别，它借助AI强大的数据处理能力，利用数据采集、数据处理、监控告警以及数据缓存等技术，截取并分析监控告警信息中的重要信息，及时发现并预警服务器等设备的异常情况，从而有效、及时、准确地处理告警信息，同时利用算法对信息数据加速处理和加密，尽可能降低信息数据泄露的安全隐患。

本发明实施例还提供了一种数据安全监控方法，如图5所示，可以包括：

S11：采集待监控设备历史上传输数据时的流量数据，流量数据包括数据流的瞬时速率及对应时间；

S12：使用所提供的预设的预测算法，基于流量数据预测得到预设时刻待监控设备的瞬时速率为预测瞬时速率，并判断预测瞬时速率是否符合预设要求，如果是，则确定无需发出相应的告警信息，如果否，则发出相应的告警信息。本发明实施例提供的一种数据安全监控方法，还可以包括：

采集待监控设备的工作状态信息、连接状态信息及数据处理信息为待测信息，对获取的待测信息封装、存储及分析，并基于分析所得的结果发出相应的告警信息。

本发明实施例提供的一种数据安全监控方法，还可以包括：

获取发出的全部告警信息，对全部告警信息进行分类得到多个类别的告警信息，按照与类别相应的方式对每个类别的告警信息分别进行处理，并将处理的结果反馈给上层。

本发明实施例提供的一种数据安全监控方法，获取发出的全部告警信息之后，还可以包括：

追踪全部告警信息的来源，并将追踪确定的来源进行保存以供分析。

本发明实施例提供的一种数据安全监控方法，还可以包括：

确定预设时间段内超过预设次数连接待监控设备的设备为非法设备，并禁止非法设备与待监控设备进行通信；

获取待监控设备接收的数据包的特征为待测特征，如果待测特征与预先设置的规则集中合法的数据包的特征不匹配，则将待测特征对应的数据包过滤掉。

本发明实施例提供的一种数据安全监控方法，还可以包括：

若预测瞬时速率符合预设要求，设置待监控设备在预设时刻单次发送数据量为预测瞬时速率对应数据量；并在设置待监控设备在预设时刻单次发送数据量为预测瞬时速率对应数据量后，反馈设置是否成功。

本发明实施例提供的一种数据安全监控方法，还可以包括：

提供部署在实现数据安全监控方法的装置的每个模块中的驱动工具模块，驱动工具模块能够提供相应的安全驱动服务。

本发明实施例提供的一种数据安全监控方法，还可以包括：

为实现数据安全监控方法的装置提供网络服务，以供该装置中各模块之间基于网络服务实现信息交互。

本发明实施例提供的一种数据安全监控方法，还可以包括：

采集待监控设备的运行状态、内存利用率、硬盘使用空间、硬盘未使用空间、CPU及进程数量的信息为待输出信息，并将待输出信息进行输出以供实现相应的信息监控。

需要说明的是，本发明实施例提供的一种数据安全监控方法中相关部分的说明请参见本发明实施例提供的一种数据安全监控装置中对应部分的详细说明，在此不再赘述。另外，本发明实施例提供的上述技术方案中与现有技术中对应技术方案实现原理一致的部分并未详细说明，以免过多赘述。

对所公开的实施例的上述说明，使本领域技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (10)

1.一种数据安全监控装置，其特征在于，包括：

数据前置模块，用于：采集待监控设备历史上传输数据时的流量数据，所述流量数据包括数据流的瞬时速率及对应时间；

监控告警模块，用于：使用预设的预测算法，基于所述流量数据预测得到预设时刻所述待监控设备的瞬时速率为预测瞬时速率，并判断所述预测瞬时速率是否符合预设要求，如果是，则确定无需发出相应的告警信息，如果否，则发出相应的告警信息；

算法控制模块，用于：提供所述监控告警模块需使用的所述预测算法。

2.根据权利要求1所述的装置，其特征在于，所述数据前置模块还包括采集模块，所述监控告警模块还包括告警模块，其中：

所述采集模块，用于：采集所述待监控设备的工作状态信息、连接状态信息及数据处理信息为待测信息；

所述告警模块，用于：对所述数据前置模块获取的所述待测信息封装、存储及分析，并基于分析所得的结果发出相应的告警信息。

3.根据权利要求2所述的装置，其特征在于，还包括：

信息响应模块，用于：获取所述监控告警模块发出的全部告警信息，对全部告警信息进行分类得到多个类别的告警信息，按照与类别相应的方式对每个类别的告警信息分别进行处理，并将处理的结果反馈给上层。

4.根据权利要求3所述的装置，其特征在于，所述信息响应模块还包括：

告警追踪模块，用于：追踪所述监控告警模块发出的全部告警信息的来源，并将追踪确定的来源进行保存以供分析。

5.根据权利要求4所述的装置，其特征在于，所述数据前置模块还包括：

数据过滤模块，用于：确定预设时间段内超过预设次数连接所述待监控设备的设备为非法设备，并禁止所述非法设备与所述待监控设备进行通信；以及获取所述待监控设备接收的数据包的特征为待测特征，如果所述待测特征与预先设置的规则集中合法的数据包的特征不匹配，则将所述待测特征对应的数据包过滤掉。

6.根据权利要求5所述的装置，其特征在于，所述算法控制模块还包括：

调整模块，用于：若所述预测瞬时速率符合所述预设要求，设置所述待监控设备在所述预设时刻单次发送数据量为所述预测瞬时速率对应数据量；

反馈模块，用于：在所述调整模块设置所述待监控设备在所述预设时刻单次发送数据量为所述预测瞬时速率对应数据量后，反馈设置是否成功。

7.根据权利要求6所述的装置，其特征在于，还包括：

最低安全模块，用于：提供部署在所述数据安全监控装置的每个模块中的驱动工具模块，所述驱动工具模块能够提供相应的安全驱动服务。

8.根据权利要求7所述的装置，其特征在于，所述算法控制模块还包括：

网络中心，用于：为所述数据安全监控装置提供网络服务，以供所述数据安全监控装置中各模块之间基于所述网络服务实现信息交互。

9.根据权利要求8所述的装置，其特征在于，所述数据前置模块还包括：

输出模块，用于：采集所述待监控设备的运行状态、内存利用率、硬盘使用空间、硬盘未使用空间、CPU及进程数量的信息为待输出信息，并将所述待输出信息进行输出以供实现相应的信息监控。

10.一种数据安全监控方法，其特征在于，包括：

采集待监控设备历史上传输数据时的流量数据，所述流量数据包括数据流的瞬时速率及对应时间；

使用所提供的预设的预测算法，基于所述流量数据预测得到预设时刻所述待监控设备的瞬时速率为预测瞬时速率，并判断所述预测瞬时速率是否符合预设要求，如果是，则确定无需发出相应的告警信息，如果否，则发出相应的告警信息。

Images