CN114338175B - 数据收集管理系统及数据收集管理方法 - Google Patents
数据收集管理系统及数据收集管理方法 Download PDFInfo
- Publication number
- CN114338175B CN114338175B CN202111646433.0A CN202111646433A CN114338175B CN 114338175 B CN114338175 B CN 114338175B CN 202111646433 A CN202111646433 A CN 202111646433A CN 114338175 B CN114338175 B CN 114338175B
- Authority
- CN
- China
- Prior art keywords
- network
- platform
- security data
- group
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000007726 management method Methods 0.000 title claims abstract description 55
- 238000013480 data collection Methods 0.000 title claims abstract description 33
- 238000004458 analytical method Methods 0.000 claims abstract description 122
- 238000000034 method Methods 0.000 claims description 25
- 230000004807 localization Effects 0.000 claims description 22
- 231100000279 safety data Toxicity 0.000 claims description 11
- 238000012544 monitoring process Methods 0.000 claims description 10
- 238000003032 molecular docking Methods 0.000 claims description 8
- 230000000903 blocking effect Effects 0.000 claims description 5
- 238000012790 confirmation Methods 0.000 claims description 4
- 238000013500 data storage Methods 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 11
- 238000004891 communication Methods 0.000 description 8
- 238000004590 computer program Methods 0.000 description 7
- 230000007123 defense Effects 0.000 description 6
- 238000012545 processing Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 5
- 230000003287 optical effect Effects 0.000 description 3
- 230000008447 perception Effects 0.000 description 3
- 230000003993 interaction Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 210000001503 joint Anatomy 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000001953 sensory effect Effects 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
- 239000002023 wood Substances 0.000 description 1
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了数据收集管理系统及数据收集管理方法,涉及信息安全技术领域。该系统用于管理集团网络安全数据;该系统包括分析存储层和与分析存储层连接的前置采集层,其中,前置采集层用于采集集团内部的第一网络安全数据,并传输至分析存储层;分析存储层用于采集集团外部的第二网络安全数据,存储第一网络安全数据,并基于第一网络安全数据以及第二网络安全数据进行网络安全分析。本发明能够针对集团网络安全数据进行收集和管理,以根据集团网络安全数据实现态势感知,保证集团网络的安全性。
Description
技术领域
本发明涉及信息安全技术领域,具体涉及数据收集管理系统及 数据收集管理方法。
背景技术
随着各种新型威胁和网络攻击的不断出现,网络安全环境正迅 速恶化,在相关技术中,采用单一的防火墙或传统的入侵检测系统, 进行被动防御,即受到网络攻击后采取相应的防御手段,但随着网络 攻击手段的日趋专业化,被动防御手段已无法满足网络安全的要求。 因此,提高网络的主动防御能力是网络安全研究领域的主要方向,主 动防御采用的方式例如为网络安全态势感知,即通过收集网络安全数 据,分析得出网络安全态势感知,以提前预测威胁网络安全的因素。 在这其中,网络安全数据的数据源非常丰富,难以进行收集和管理, 尤其针对集团的网络安全数据,没有针对性的管理方案。
发明内容
为此,本发明提供数据收集管理系统及数据收集管理方法,能 够针对集团网络安全数据进行收集和管理,以根据集团网络安全数据 实现态势感知,保证集团网络的安全性。
为了实现上述目的,第一方面,本发明提供一种数据收集管理 系统,所述系统用于管理集团网络安全数据;所述系统包括分析存储 层和与所述分析存储层连接的前置采集层,其中,
所述前置采集层用于采集集团内部的第一网络安全数据,并将 所述第一网络安全数据传输至所述分析存储层;
所述分析存储层用于采集集团外部的第二网络安全数据,存储 所述第一网络安全数据,并基于所述第一网络安全数据以及所述第二 网络安全数据进行网络安全分析。
在一些示例中,所述第一网络安全数据包括集团级安全数据和 属地化安全数据;所述前置采集层包括省份前置采集平台和总部前置 采集平台;
其中,所述省份前置采集平台用于采集所述属地化安全数据, 并将所述属地化安全数据传输至所述分析存储层;所述总部前置采集 平台用于采集所述集团级安全数据,并将所述集团级安全数据传输至 所述分析存储层。
在一些示例中,所述集团为运营商;且所述属地化安全数据由 第一网络平台收集;则所述省份前置采集平台设置有用于对接所述第 一网络平台的省份前置采集接口,以采集所述属地化安全数据;
其中,所述第一网络平台包括以下中的至少一个:运营商网内 的安全设备或安全管理平台、运营商网内的业务系统。
在一些示例中,所述集团为运营商;且所述集团级安全数据由 第二网络平台收集;则所述总部前置采集平台设置有用于对接所述第 二网络平台的总部前置采集接口,以采集所述集团级安全数据;
其中,所述第二网络平台包括以下中的至少一个:集团级资产 安全管理平台、集团级统一安全管理平台、域名服务器、集团级恶意 程序监测及处置系统、集团级木马僵尸监测处置系统、集团级分布式 阻断服务监控系统。
在一些示例中,且所述第二网络安全数据由外部网络平台收集; 则所述分析存储层设置有用于对接外部网络平台的外部信息采集接 口,以采集所述第二网络安全数据;
其中,所述外部网络平台包括以下中的至少一个:公共漏洞发 布平台、威胁情报数据发布平台。
在一些示例中,所述分析存储层包括:集团级存储分析平台以 及文件存储服务器;
所述前置采集层将所述第一网络安全数据传输至所述文件存储 服务器,所述文件存储服务器用于存储所述第一网络安全数据;
所述集团级存储分析平台用于采集所述第二网络安全数据,并 通过所述文件存储服务器获取并存储所述第一网络安全数据。
第二方面,本发明提供一种数据收集管理方法,应用于上述系 统;所述方法包括以下步骤:
分析存储层向前置采集层下发数据采集命令;
所述前置采集层响应于所述数据采集命令,向所述分析存储层 返回确认收集消息,并采集集团内部的第一网络安全数据,将所述第 一网络安全数据传输至所述分析存储层;
所述分析存储层保存所述第一网络安全数据;
所述方法还包括:所述分析存储层采集集团外部的第二网络安 全数据,并基于所述第一网络安全数据以及所述第二网络安全数据进 行网络安全分析。
在一些示例中,所述分析存储层包括:集团级存储分析平台以 及文件存储服务器;所述将所述第一网络安全数据传输至所述分析存 储层包括:
所述前置采集层将所述第一网络安全数据传输至所述文件存储 服务器;
接收所述文件存储服务器在数据存储完成的情况下返回的文件 存储信息,并向所述集团级存储分析平台发送携带所述文件存储信息 的存储成功通知;
所述分析存储层保存所述第一网络安全数据包括:
所述集团级存储分析平台接收所述前置采集层发送的存储成功 通知,并存储其中包含的所述文件存储信息;
所述集团级存储分析平台根据所述文件存储信息,在所述文件 存储服务器中获取并保存所述第一网络安全数据。
第三方面,本发明提供一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述 指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行 上述的方法。
第四方面,本发明提供一种存储有计算机指令的非瞬时计算机 可读存储介质,其中,所述计算机指令用于使计算机执行根据上述的 方法。
本发明至少具有如下优点:
本发明所提供的数据收集管理系统及数据收集管理方法,通过 在集团网络安全的应用场景中,针对集团的网络安全数据的数据源设 置了不同的采集部件,实现对集团的网络安全数据的采集,即针对集 团内部的第一网络安全数据设置了前置采集层进行采集,针对集团外 部的第二网络安全数据设置了分析存储层分别进行采集,再将采集到 的数据传输至分析存储层,以实现对网络安全数据的管理,从而分析 存储层基于第一网络安全数据和第二网络安全数据进行网络安全分 析,实现集团的网络安全态势感知,进而保证集团网络的安全性。
附图说明
附图是用来提供对本发明的进一步理解,并且构成说明书的一 部分,与下面的具体实施方式一起用于解释本发明,但并不构成对本 发明的限制。
图1为本发明实施例一提供的一种示例性的数据收集管理系统 的系统架构图;
图2为本发明实施例一提供的另一种示例性的数据收集管理系 统的系统架构图;
图3为本发明实施例二提供的数据收集管理方法的流程示意图;
图4为本发明提供的电子设备的一种实施例的结构示意图。
具体实施方式
为使本领域技术人员更好地理解本发明的技术方案,下面结合 附图和具体实施方式对本发明作进一步详细描述。
可以理解的是,此处描述的具体实施例和附图仅仅用于解释本 发明,而非对本发明的限定。
可以理解的是,在不冲突的情况下,本发明中的各实施例及实 施例中的各特征可相互组合。
可以理解的是,为便于描述,本发明的附图中仅示出了与本发 明相关的部分,而与本发明无关的部分未在附图中示出。
可以理解的是,本发明的实施例中所涉及的每个单元、模块可 仅对应一个实体结构,也可由多个实体结构组成,或者,多个单元、 模块也可集成为一个实体结构。
可以理解的是,在不冲突的情况下,本发明的流程图和框图中 所标注的功能、步骤可按照不同于附图中所标注的顺序发生。
可以理解的是,本发明的流程图和框图中,示出了按照本发明 各实施例的系统、装置、设备、方法的可能实现的体系架构、功能和 操作。其中,流程图或框图中的每个方框可代表一个单元、模块、程 序段、代码,其包含用于实现规定的功能的可执行指令。而且,框图 和流程图中的每个方框或方框的组合,可用实现规定的功能的基于硬 件的系统实现,也可用硬件与计算机指令的组合来实现。
可以理解的是,本发明实施例中所涉及的单元、模块可通过软 件的方式实现,也可通过硬件的方式来实现,例如单元、模块可位于 处理器中。
实施例一、
参见图1,图1示出实施例一提供的一种示例性的数据收集管理 系统的系统架构图。
本实施例中,数据收集管理系统用于管理集团网络安全数据, 集团包括运营商、企业等,集团网络为归属于该集团(例如:运营商) 的、相关联的网络集体。通常地,不同于公共网络中网络安全需求较 为一致的特性,不同的集团由于业务、存储数据的不同,其网络安全 需求也不同,因此集团内所布置的网络平台(例如:网络安全平台、 业务系统)的种类也有所不同,相应地,不同的网络平台所采集的数 据源也不同,因此,针对集团网络安全的应用场景,本实施例提供一 致数据收集管理系统,该系统包括分析存储层1和与分析存储层1 连接的前置采集层2。
其中,前置采集层2用于采集集团内部的第一网络安全数据, 并传输至分析存储层1。分析存储层1用于采集集团外部的第二网络 安全数据,存储集团内部的第一网络安全数据,并基于第一网络安全 数据以及第二网络安全数据进行网络安全分析。
集团内部的第一网络安全数据为归属于集团的网络平台采集的 网络安全数据,用于表示集团内部的网络安全情况,其中,归属于集 团的网络平台包括各类集团内部的安全系统和/或集团内部的业务系 统,相应地,第一网络安全数据包括各种安全系统的安全事件数据和 /或业务系统的业务数据。集团外部的第二网络安全数据为不归属于 集团的网络平台采集的网络安全数据,用于表征公共网络的网络安全 情况,其中,不归属于集团的网络平台包括各类公共平台,例如:公 共漏洞发布平台、威胁情报数据发布平台,相应地,第二网络安全数 据包括各种公共漏洞发布平台发布的漏洞信息和/或威胁情报数据发布平台发布的威胁情报数据。
本实施例中,通过收集第一网络安全数据和第二网络安全数据, 分析存储层1能够根据分析第一网络安全数据和第二网络安全数据, 获知集团内部和集团外部的网络安全态势,通过态势评估实现网络安 全态势感知,即结合网络安全数据的信息进行网络威胁评估、判断威 胁等级等,从而能够提前预测网络安全危机,实现主动防御。本方法 针对集团的网络安全数据的数据源设置了不同的采集部件,实现对集 团的网络的网络安全数据的收集和管理,以便后续对收集的数据进行 网络安全分析,实现网络安全态势感知。
以下以集团为运营商为例,结合具体应用示例进行说明。
参见图2,图2示出实施例一提供的另一种示例性的数据收集管 理系统的系统架构图,图2示出的系统可用于管理运营商网络安全数 据。
本实施例的数据收集管理系统包括分析存储层1和与分析存储 层1连接的前置采集层2。其中,前置采集层2用于采集集团内部的 第一网络安全数据,并传输至分析存储层1。分析存储层1用于采集 集团外部的第二网络安全数据,并存储集团内部的第一网络安全数据。
其中,第一网络安全数据包括不同的数据类型,针对不同的数 据类型,前置采集层2设置了不同的采集接口用以采集不同类型的第 一网络安全数据,在收集一个类型的第一网络安全数据时,具体地, 通过对应该第一网络安全数据的类型所对应的采集接口,收集该类型 的第一网络安全数据。同理,第二网络安全数据包括不同的数据类型, 针对不同的数据类型,存储分析层1设置了不同的采集接口用以采集 不同类型的第二网络安全数据,在收集一个类型的第二网络安全数据 时,具体地,通过对应该第二网络安全数据的类型所对应的采集接口, 收集该类型的第二网络安全数据。
基于上述,网络安全数据(包括第一网络安全数据和第二网络 安全数据)的数据源繁多,针对运营商的网络特点和系统设置,涉及 运营商的网络安全数据可包括以下几个数据类型:
(1)资产数据:主要包括网络可达的各种电子设备资产。从联 网类型来分类,可将资产分为暴露在互联网的资产和不暴露在互联网 的公司内部网络的资产;从电子设备的类型来分类,可将资产分为网 络设备、安全设备、服务器设备、专用网元设备、物联网设备、包公 外设、企业应用、系统软件、支持系统等。
(2)日志数据:主要是各种资产在运行过程中产生的各种日志, 具体地,包括以下至少一种:安全告警日志、业务日志、登录日志、 系统日志、DNS(Domain Name Server,域名解析)日志等。
(3)网络攻击事件:主要是网络中的各种网络攻击事件,具体 地,包括以下至少一种:流量类攻击、漏洞利用类攻击、异常访问类 攻击等。
(4)恶意程序事件:主要是网络中的各种恶意程序时间,具体 地,包括以下至少一种:移动互联网恶意程序、蠕虫、木马、僵尸网 络等。
(5)公共漏洞发布平台的漏洞信息:如工信部网络安全威胁信 息共享平台、CVE(Common Vulnerabilities Exposures,通用漏洞)、 CNVD(China NationalVulnerability Database,CNVD)等。
(6)其他网络威胁情报数据:主要是从互联网公司或者机构收 集等威胁情报数据发布平台发布的各种威胁情报数据,具体地,包括 以下至少一种:攻击IP(InternetProtocol,网际互连协议)、攻 击者特征、攻击工具特征、攻击目的、攻击方式、传播路径、行为特 点、影响范围、攻击人群、攻击锁定的高危漏洞等。
除此之外,运营商内部本身部署有多个运营商网内的SOC平台 (SecurityOperations Center,安全设备或安全管理平台)和业务 系统,涉及运营商的网络安全数据还包括以下数据类型:
(7)安全告警日志:对接SOC平台可以收集运营商内部的安全 告警日志,包含各类运营商内部执行安全告警的事件信息。
(8)业务日志和系统日志:对接运营商内部的业务系统可以收 集运营商内部的业务日志和系统日志,为从运营商日常业务中获取到 业务信息和系统信息。
其中,(1)-(4)、(7)和(8)均为集团内部的第一网络安 全数据,(5)和(6)为集团外部的第二网络安全数据。在第一网络 安全数据中,(1)-(4)均为集团级的安全系统所收集的数据,具 体称为集团级安全数据,(7)和(8)为省份级别的业务系统和安全 系统所收集的数据,具体称为属地化数据。
上述各个类型的网络安全数据,可以通过可不同的网络平台收 集,具体地,参见下表1所示的网络安全数据的数据类型,和其对应 的网络平台:
表1
基于上表,将网络平台分为内部网络平台和外部网络平台,其 中,外部网络平台为不归属于集团(即运营商)的网络平台;内部网 络平台为部署在运营商内部的平台,由于运营商的网络安全平台通常 分为集团级(整个运营商集团网络)和省份级(各个省份的运营商子 网),相应地,内部网络平台分为第一网络平台、第二网络平台,具 体地,第一网络平台为省份级网络平台,收集各个省份的运营商子网 的网络安全数据(即属地化数据);第二网络平台为集团级网络平台, 收集整个集团(即运营商)的网络安全数据(即集团级安全数据)。 上表中,第一网络平台包括以下中的至少一个:运营商网内的SOC 平台、运营商网内的业务系统;第二网络平台包括以下中的至少一个: 集团级资产安全管理平台、集团级4A(Authentication, Authorization,Accounting and Audit,统一安全管理平台)、DNS(Domain Name Server,域名解析)服务器、集团级恶意程序监测及 处置系统、集团级木马僵尸监测处置系统、集团级分布式阻断服务监 控系统;外部网络平台包括以下中的至少一个:公共漏洞发布平台、 威胁情报数据发布平台。通过前置采集层2对接不同的第一网络平台 和/或第二网络平台,能够从第一网络平台和/或第二网络平台采集其 对应的第一网络安全数据,通过前置采集层2对接不同的外部网络平 台,能够从外部网络平台采集其对应的第二网络安全数据。
基于上述公开内容,在运营商场景中,针对不同类型的网络安 全数据设置不同的采集接口。继续参见图2,在一些示例中,针对集 团级的安全数据和省份级的安全数据,前置采集层2分别设置了不同 的采集部件,具体地,前置采集层2包括省份前置采集平台22和总 部前置采集平台21,第一网络安全数据包括集团级安全数据和属地 化安全数据。其中,省份前置采集平台22用于采集属地化安全数据, 并将采集到的属地化安全数据传输至分析存储层1;总部前置采集平 台21用于采集集团级安全数据,并将采集到的集团级安全数据传输 至分析存储层1。
进一步地,属地化安全数据由第一网络平台收集。则省份前置 采集平台22设置有用于对接第一网络平台的省份前置采集接口,以 采集该第一网络平台对应的属地化安全数据。其中,第一网络平台包 括以下中的至少一个:运营商网内的安全设备或安全管理平台、运营 商网内的业务系统。省份前置采集平台22采用以下设置方式与第一 网络平台对接:不同的第一网络平台通过不同的省份前置采集接口对 接至省份前置采集平台22,或,多个第一网络平台通过一个省份前 置采集接口对接至省份前置采集平台22,具体地根据需要设置,在 此不做限定。
进一步地,集团级安全数据由第二网络平台收集。则总部前置 采集平台21设置有用于对接第二网络平台的总部前置采集接口,以 采集该第二网络平台对应的集团级安全数据。其中,第二网络平台包 括以下中的至少一个:集团级资产安全管理平台、集团级统一安全管 理平台、域名服务器、集团级恶意程序监测及处置系统、集团级木马 僵尸监测处置系统、集团级分布式阻断服务监控系统。总部前置采集 平台21采用以下设置方式与第二网络平台对接:不同的第二网络平 台通过不同的总部前置采集接口对接至总部前置采集平台21,或, 多个第二网络平台通过一个总部前置采集接口对接至总部前置采集 平台21,具体地根据需要设置,在此不做限定。
进一步地,第二网络安全数据由外部网络平台收集。则分析存 储层1(具体为集团级存储分析平台11)设置有用于对接外部网络平 台的外部信息采集接口,以采集该外部网络平台对应的第二网络安全 数据。其中,外部网络平台包括以下中的至少一个:公共漏洞发布平 台、威胁情报数据发布平台。分析存储层1采用以下设置方式与外部 网络平台对接:不同的外部网络平台通过不同的外部信息采集接口对 接至分析存储层1,或,多个外部网络平台通过一个外部信息采集接 口对接至分析存储层1,具体地根据需要设置,在此不做限定。
通过上述方式,本系统能够将来源于不同的网络平台(包括第 一网络平台、第二网络平台、外部网络平台)的各个类型的网络安全 数据(包括属地化数据、集团级安全数据中各个类型的数据、第二网 络安全数据中各个类型的数据)进行汇总,并分类存储到分析存储层 1中,从而实现对网络安全数据的收集和管理。
在一些示例中,分析存储层1包括:集团级存储分析平台11以 及文件存储服务器(图中未示出)。
前置采集层2将第一网络安全数据传输至文件存储服务器,文 件存储服务器用于存储第一网络安全数据。
集团级存储分析平台11用于采集第二网络安全数据,并通过文 件存储服务器获取并存储第一网络安全数据。
其中,文件存储服务器会将第一网络安全数据的各个类型分类 存储,并根据各个第一网络安全数据的文件名和存储路径生成文件存 储信息并通过前置采集层2发送给集团级存储分析平台11,集团级 存储分析平台11根据文件存储信息中的文件名和存储路径,从文件 存储服务器下载相应地第一网络安全数据,并对其进行网络安全分析, 以实现网络安全态势感知。同理,第二网络安全数据也可以由集团级 存储分析平台11发送至文件存储服务器进行存储,在需要使用时, 集团级存储分析平台11再从文件存储服务器下载相应地第二网络安 全数据,通过设置文件服务器,能够节省集团级存储分析平台11的 存储空间。
文件存储服务器可以为各种类型的服务器,例如SFTP(SSH File TransferProtocol,安全文件传送协议)服务器,在此不做限定。
本实施例所提供的数据收集管理系统,通过在集团网络安全的 应用场景中,针对集团的网络安全数据的数据源设置了不同的采集部 件,实现对集团的网络安全数据的采集,即针对集团内部的第一网络 安全数据设置了前置采集层进行采集,针对集团外部的第二网络安全 数据分别设置了分析存储层分别进行采集,再将采集到的数据传输至 分析存储层,以实现对网络安全数据的管理,从而分析存储层针对第 一网络安全数据和第二网络安全数据进行网络安全分析,实现集团的 网络安全态势感知,进而保证集团网络的安全性。
实施例二、
参见图3,图3示出本实施例二提供的数据收集管理方法的流程 图。本实施例提供的数据收集管理方法,应用于上述系统。该方法包 括以下步骤:
S110、分析存储层向前置采集层下发数据采集命令。
数据采集命令用于指示前置采集层采集第一网络安全数据,由 于第一网络安全数据的具有多种类型,因此,在一些示例中,数据采 集命令中可以包含需要采集的数据类型的标识。当然,也可以不包含 标识,默认每次都采集所有类型的第一网络安全数据。
S120、前置采集层响应于数据采集命令,向分析存储层返回确 认收集消息,并采集集团内部的第一网络安全数据,将第一网络安全 数据传输至分析存储层。
前置采集层接收到数据采集命令后,给分析存储层返回确认收 集消息,告知分析存储层自身将开始采集数据,接着通过前置采集接 口对接对应的集团内部的网络平台(包括第一网络平台和第二网络平 台),由该网络平台采集对应的第一网络安全数据并上传至分析存储 层。
在一些示例中,分析存储层包括:集团级存储分析平台以及文 件存储服务器,集团级存储分析平台用于对接外部网络平台以采集第 二网络安全数据。基于此,S120中,将第一网络安全数据传输至分 析存储层包括多个子步骤:
子步骤一、前置采集层将第一网络安全数据传输至文件存储服 务器。
子步骤二、接收文件存储服务器在数据存储完成的情况下返回 的文件存储信息,并向集团级存储分析平台发送携带文件存储信息的 存储成功通知。
前置采集层将采集到的第一网络安全数据传输至文件存储服务 器,文件存储服务器存储成功后,会根据各个第一网络安全数据的文 件名和存储路径生成文件存储信息,并将文件存储信息发送给前置采 集层。前置采集层接收到文件存储信息,得知文件存储成功,向集团 级存储分析平台发送携带文件存储信息的存储成功通知,以告知集团 级存储分析平台文件存储成功,且告知其各个第一网络安全数据的文 件名和存储路径。
S130、分析存储层保存第一网络安全数据。
在分析存储层包括集团级存储分析平台以及文件存储服务器的 情况下,S130包括多个子步骤:
子步骤一、集团级存储分析平台接收前置采集层发送的存储成 功通知,并存储其中包含的文件存储信息。
集团级存储分析平台接收存储成功通知,获取其中的各个第一 网络安全数据的文件存储信息,文件存储信息包含各个第一网络安全 数据的文件名和存储路径,集团级存储分析平台保存文件存储信息。
子步骤二、集团级存储分析平台根据文件存储信息,在文件存 储服务器中获取并保存第一网络安全数据。
在需要获取第一网络安全数据时,子步骤二具体包括:集团级 存储分析平台获取文件存储信息中所需的第一网络安全数据的文件 名和存储路径;生成包含该第一网络安全数据的文件名和存储路径的 下载请求,并将下载请求发送给文件存储服务器;文件存储服务器响 应于下载请求,根据其中的文件名和存储路径获取对应的第一网络安 全数据,并将第一网络安全数据传输至集团级存储分析平台;集团级 存储分析平台获取并保存该第一网络安全数据,后续根据第一网络安 全数据进行网络安全分析,以确定网络安全态势感知。
该方法还包括:
S140、分析存储层采集集团外部的第二网络安全数据,并基于 第一网络安全数据以及第二网络安全数据进行网络安全分析。
在分析存储层包括集团级存储分析平台以及文件存储服务器的 情况下,S140为:集团级存储分析平台采集集团外部的第二网络安 全数据,以针对第一网络安全数据以及第二网络安全数据进行网络安 全分析。集团级存储分析平台本身也需要通过外部信息采集接口对接 外部网络平台,以采集对应的第二网络安全数据。其中,第二网络安 全数据也可以由集团级存储分析平台发送至文件存储服务器进行存 储,在需要使用时,集团级存储分析平台再从文件存储服务器下载相 应地第二网络安全数据,通过设置文件服务器,能够节省集团级存储 分析平台11的存储空间。
需要说明的是,执行S140的顺序可以在本实施例提供的方法的 任意步骤前或步骤后,例如:S140可以在S130之后执行,即分析存 储层在保存第一网络安全数据后,再采集第二网络安全数据,又例如: S140可以在S110之前执行,即在下发数据采集命令采集第一网络安 全数据之前,先采集第二网络安全数据,在此不做限定。
本实施例所提供的数据收集管理方法,通过在集团网络安全的 应用场景中,针对集团的网络安全数据的数据源设置了不同的采集部 件,实现对集团的网络安全数据的采集,即针对集团内部的第一网络 安全数据设置了前置采集层进行采集,针对集团外部的第二网络安全 数据分别设置了分析存储层分别进行采集,再将采集到的数据传输至 分析存储层,以实现对网络安全数据的管理,从而分析存储层针对第 一网络安全数据和第二网络安全数据进行网络安全分析,实现集团的 网络安全态势感知,进而保证集团网络的安全性。
实施例三、
本发明提供一种电子设备,包括:
至少一个处理器。以及
与至少一个处理器通信连接的存储器。其中,
存储器存储有可被至少一个处理器执行的指令,指令被至少一 个处理器执行,以使至少一个处理器能够执行上述的短信验证。
本公开的技术方案中,所涉及的用户个人信息的获取,存储和 应用等,均符合相关法律法规的规定,且不违背公序良俗。
参见图4,图4示出了可以用来实施本公开的实施例的示例电子 设备800的示意性框图。电子设备旨在表示各种形式的数字计算机, 诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、 刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以 表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电 话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连 接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描 述的和/或者要求的本公开的实现。
如图4所示,设备800包括计算单元801,其可以根据存储在只 读存储器(ROM)802中的计算机程序或者从存储单元808加载到随 机访问存储器(RAM)803中的计算机程序,来执行各种适当的动作 和处理。在RAM 803中,还可存储设备800操作所需的各种程序和数据。计算单元801、ROM 802以及RAM 803通过总线804彼此相连。 输入/输出(I/O)接口805也连接至总线804。
设备800中的多个部件连接至I/O接口805,包括:输入单元806,例如键盘、鼠标等。输出单元807,例如各种类型的显示器、 扬声器等。存储单元808,例如磁盘、光盘等。以及通信单元809, 例如网卡、调制解调器、无线通信收发机等。通信单元809允许设备 800通过诸如因特网的计算机网络和/或各种电信网络与其他设备交 换信息/数据。
计算单元801可以是各种具有处理和计算能力的通用和/或专用 处理组件。计算单元801的一些示例包括但不限于中央处理单元 (CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯 片、各种运行机器学习模型算法的计算单元、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。计算单元801执行上 文所描述的各个方法和处理,例如数据收集管理方法。例如,在一些 实施例中,数据收集管理方法可被实现为计算机软件程序,其被有形 地包含于机器可读介质,例如存储单元808。在一些实施例中,计算机程序的部分或者全部可以经由ROM 802和/或通信单元809而被载 入和/或安装到设备800上。当计算机程序加载到RAM 803并由计算 单元801执行时,可以执行上文描述的数据收集管理方法的一个或多 个步骤。备选地,在其他实施例中,计算单元801可以通过其他任何 适当的方式(例如,借助于固件)而被配置为执行数据收集管理方法。
本文中以上描述的系统和技术的各种实施方式可以在数字电子 电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路 (ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负 载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们 的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计 算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处 理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或 者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、 该至少一个输入装置、和该至少一个输出装置。
用于实施本公开的方法的程序代码可以采用一个或多个编程语 言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计 算机或其他可编程数据处理装置的处理器或控制器,使得程序代码当 由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作 被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作 为独立软件包部分地在机器上执行且部分地在远程机器上执行或完 全在远程机器或服务器上执行。
实施例五、
本发明提供一种存储有计算机指令的非瞬时计算机可读存储介 质,其中,计算机指令用于使计算机执行根据上述的数据收集管理方 法。
在本公开的上下文中,机器可读介质可以是有形的介质,其可 以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、 装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介 质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁 性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者 上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基 于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储 器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM 或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学 储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在计算机上实施此处描述的系统 和技术,该计算机具有:用于向用户显示信息的显示装置(例如,CRT (阴极射线管)或者LCD(液晶显示器)监视器)。以及键盘和指向 装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交 互。例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视 觉反馈、听觉反馈、或者触觉反馈)。并且可以用任何形式(包括声 输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统 (例如,作为数据服务器)、或者包括中间件部件的计算系统(例如, 应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户 界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或 者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者 包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系 统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络) 来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、 广域网(WAN)和互联网。
计算机系统可以包括客户端和服务器。客户端和服务器一般远 离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行 并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务 器的关系。服务器可以是云服务器,也可以为分布式系统的服务器, 或者是结合了区块链的服务器。
应该理解,可以使用上面所示的各种形式的流程,重新排序、 增加或删除步骤。例如,本发公开中记载的各步骤可以并行地执行也 可以顺序地执行也可以不同的次序执行,只要能够实现本公开公开的 技术方案所期望的结果,本文在此不进行限制。
可以理解的是,以上实施方式仅仅是为了说明本发明的原理而采用 的示例性实施方式,然而本发明并不局限于此。对于本领域内的普通技术 人员而言,在不脱离本发明的精神和实质的情况下,可以做出各种变型和 改进,这些变型和改进也视为本发明的保护范围。
Claims (6)
1.一种数据收集管理系统,其特征在于,所述系统用于管理集团网络安全数据;所述系统包括分析存储层和与所述分析存储层连接的前置采集层,其中,所述集团为运营商;
所述前置采集层用于采集集团内部的第一网络安全数据,并将所述第一网络安全数据传输至所述分析存储层;
其中,所述第一网络安全数据包括集团级安全数据和属地化安全数据;所述前置采集层包括省份前置采集平台和总部前置采集平台;其中,所述省份前置采集平台用于采集所述属地化安全数据,并将所述属地化安全数据传输至所述分析存储层;所述总部前置采集平台用于采集所述集团级安全数据,并将所述集团级安全数据传输至所述分析存储层;
其中,所述属地化安全数据由第一网络平台收集;则所述省份前置采集平台设置有用于对接所述第一网络平台的省份前置采集接口,以采集所述属地化安全数据;其中,所述第一网络平台包括以下中的至少一个:运营商网内的安全设备或安全管理平台、运营商网内的业务系统;
其中,所述集团级安全数据由第二网络平台收集;则所述总部前置采集平台设置有用于对接所述第二网络平台的总部前置采集接口,以采集所述集团级安全数据;其中,所述第二网络平台包括以下中的至少一个:集团级资产安全管理平台、集团级统一安全管理平台、域名服务器、集团级恶意程序监测及处置系统、集团级木马僵尸监测处置系统、集团级分布式阻断服务监控系统;
所述分析存储层用于采集集团外部的第二网络安全数据,存储所述第一网络安全数据,并基于所述第一网络安全数据以及所述第二网络安全数据进行网络安全分析;
其中,所述第二网络安全数据由外部网络平台收集;则所述分析存储层设置有用于对接外部网络平台的外部信息采集接口,以采集所述第二网络安全数据;其中,所述外部网络平台包括以下中的至少一个:公共漏洞发布平台、威胁情报数据发布平台。
2.如权利要求1所述的系统,其特征在于,所述分析存储层包括:集团级存储分析平台以及文件存储服务器;
所述前置采集层将所述第一网络安全数据传输至所述文件存储服务器,所述文件存储服务器用于存储所述第一网络安全数据;
所述集团级存储分析平台用于采集所述第二网络安全数据,并通过所述文件存储服务器获取并存储所述第一网络安全数据。
3.一种数据收集管理方法,其特征在于,应用于权利要求1-2任一所述的系统;所述方法包括以下步骤:
分析存储层向前置采集层下发数据采集命令;
所述前置采集层响应于所述数据采集命令,向所述分析存储层返回确认收集消息,并采集集团内部的第一网络安全数据,将所述第一网络安全数据传输至所述分析存储层;其中,所述集团为运营商;
所述分析存储层保存所述第一网络安全数据;
其中,所述第一网络安全数据包括集团级安全数据和属地化安全数据;所述前置采集层包括省份前置采集平台和总部前置采集平台;其中,所述省份前置采集平台用于采集所述属地化安全数据,并将所述属地化安全数据传输至所述分析存储层;所述总部前置采集平台用于采集所述集团级安全数据,并将所述集团级安全数据传输至所述分析存储层;
其中,所述属地化安全数据由第一网络平台收集;则所述省份前置采集平台设置有用于对接所述第一网络平台的省份前置采集接口,以采集所述属地化安全数据;其中,所述第一网络平台包括以下中的至少一个:运营商网内的安全设备或安全管理平台、运营商网内的业务系统;
其中,所述集团级安全数据由第二网络平台收集;则所述总部前置采集平台设置有用于对接所述第二网络平台的总部前置采集接口,以采集所述集团级安全数据;其中,所述第二网络平台包括以下中的至少一个:集团级资产安全管理平台、集团级统一安全管理平台、域名服务器、集团级恶意程序监测及处置系统、集团级木马僵尸监测处置系统、集团级分布式阻断服务监控系统;
所述方法还包括:所述分析存储层采集集团外部的第二网络安全数据,并基于所述第一网络安全数据以及所述第二网络安全数据进行网络安全分析;
其中,所述第二网络安全数据由外部网络平台收集;则所述分析存储层设置有用于对接外部网络平台的外部信息采集接口,以采集所述第二网络安全数据;其中,所述外部网络平台包括以下中的至少一个:公共漏洞发布平台、威胁情报数据发布平台。
4.如权利要求3所述的方法,其特征在于,所述分析存储层包括:集团级存储分析平台以及文件存储服务器;所述将所述第一网络安全数据传输至所述分析存储层包括:
所述前置采集层将所述第一网络安全数据传输至所述文件存储服务器;
接收所述文件存储服务器在数据存储完成的情况下返回的文件存储信息,并向所述集团级存储分析平台发送携带所述文件存储信息的存储成功通知;
所述分析存储层保存所述第一网络安全数据包括:
所述集团级存储分析平台接收所述前置采集层发送的存储成功通知,并存储其中包含的所述文件存储信息;
所述集团级存储分析平台根据所述文件存储信息,在所述文件存储服务器中获取并保存所述第一网络安全数据。
5.一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求3或4所述的方法。
6.一种存储有计算机指令的非瞬时计算机可读存储介质,其中,所述计算机指令用于使计算机执行权利要求3或4所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111646433.0A CN114338175B (zh) | 2021-12-29 | 2021-12-29 | 数据收集管理系统及数据收集管理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111646433.0A CN114338175B (zh) | 2021-12-29 | 2021-12-29 | 数据收集管理系统及数据收集管理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114338175A CN114338175A (zh) | 2022-04-12 |
| CN114338175B true CN114338175B (zh) | 2023-06-30 |
Family
ID=81016169
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111646433.0A Active CN114338175B (zh) | 2021-12-29 | 2021-12-29 | 数据收集管理系统及数据收集管理方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114338175B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107181769A (zh) * | 2017-07-28 | 2017-09-19 | 山东超越数控电子有限公司 | 一种网络入侵防御系统与方法 |
| CN110768949A (zh) * | 2019-08-14 | 2020-02-07 | 奇安信科技集团股份有限公司 | 探测漏洞的方法及装置、存储介质、电子装置 |
| CN112291232A (zh) * | 2020-10-27 | 2021-01-29 | 中国联合网络通信有限公司深圳市分公司 | 一种基于租户的安全能力和安全服务链管理平台 |
| CN112769774A (zh) * | 2020-12-24 | 2021-05-07 | 国网冀北电力有限公司信息通信分公司 | 数据摆渡系统及方法 |
| CN113486351A (zh) * | 2020-06-15 | 2021-10-08 | 中国民用航空局空中交通管理局 | 一种民航空管网络安全检测预警平台 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10609079B2 (en) * | 2015-10-28 | 2020-03-31 | Qomplx, Inc. | Application of advanced cybersecurity threat mitigation to rogue devices, privilege escalation, and risk-based vulnerability and patch management |
-
2021
- 2021-12-29 CN CN202111646433.0A patent/CN114338175B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107181769A (zh) * | 2017-07-28 | 2017-09-19 | 山东超越数控电子有限公司 | 一种网络入侵防御系统与方法 |
| CN110768949A (zh) * | 2019-08-14 | 2020-02-07 | 奇安信科技集团股份有限公司 | 探测漏洞的方法及装置、存储介质、电子装置 |
| CN113486351A (zh) * | 2020-06-15 | 2021-10-08 | 中国民用航空局空中交通管理局 | 一种民航空管网络安全检测预警平台 |
| CN112291232A (zh) * | 2020-10-27 | 2021-01-29 | 中国联合网络通信有限公司深圳市分公司 | 一种基于租户的安全能力和安全服务链管理平台 |
| CN112769774A (zh) * | 2020-12-24 | 2021-05-07 | 国网冀北电力有限公司信息通信分公司 | 数据摆渡系统及方法 |
Non-Patent Citations (3)
| Title |
|---|
| 基于大数据的网络安全态势分析平台;王志奇;陈宇;雷亚;;警察技术(第05期);全文 * |
| 基于大数据的网络安全态势感知技术研究;管磊;胡光俊;王专;;信息网络安全(第09期);全文 * |
| 集团级网络安全态势感知平台建设与应用;张磊;;核动力工程(第S1期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114338175A (zh) | 2022-04-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Yaqoob et al. | Internet of things forensics: Recent advances, taxonomy, requirements, and open challenges | |
| JP6526895B2 (ja) | 電子メッセージベースのセキュリティ脅威の自動軽減 | |
| EP3369232B1 (en) | Detection of cyber threats against cloud-based applications | |
| Tien et al. | KubAnomaly: Anomaly detection for the Docker orchestration platform with neural network approaches | |
| US20200336508A1 (en) | Method and system to stitch cybersecurity, measure network cyber health, generate business and network risks, enable realtime zero trust verifications, and recommend ordered, predictive risk mitigations | |
| US20160028758A1 (en) | System and Method for Predicting Impending Cyber Security Events Using Multi Channel Behavioral Analysis in a Distributed Computing Environment | |
| CA2895522A1 (en) | System and method for monitoring data in a client environment | |
| US20150074756A1 (en) | Signature rule processing method, server, and intrusion prevention system | |
| US11652828B1 (en) | Systems and methods for automated anomalous behavior detection and risk-scoring individuals | |
| CN110620690A (zh) | 一种网络攻击事件的处理方法及其电子设备 | |
| Li et al. | A framework of blockchain-based collaborative intrusion detection in software defined networking | |
| CN112528296A (zh) | 漏洞检测方法、装置和存储介质及电子设备 | |
| Pauley et al. | Measuring and mitigating the risk of ip reuse on public clouds | |
| CN114338175B (zh) | 数据收集管理系统及数据收集管理方法 | |
| CN116015925A (zh) | 一种数据传输方法、装置、设备及介质 | |
| Gnatyuk et al. | Modern SIEM Analysis and Critical Requirements Definition in the Context of Information Warfare | |
| CN114826790A (zh) | 一种区块链监测方法、装置、设备及存储介质 | |
| CN111258712B (zh) | 一种虚拟平台网络隔离下保护虚拟机安全的方法及系统 | |
| CN113992366A (zh) | 一种网络数据传输方法、装置、设备及存储介质 | |
| Syed et al. | Fast attack detection using correlation and summarizing of security alerts in grid computing networks | |
| Schölzel et al. | A viable SIEM approach for Android | |
| CN110958267A (zh) | 一种虚拟网络内部威胁行为的监测方法及系统 | |
| CN110830510B (zh) | 检测dos攻击方法、装置、设备及存储介质 | |
| US20240020390A1 (en) | Vulnerability assessment of machine images in development phase | |
| CN114650210B (zh) | 告警处理方法及防护设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |