CN118018283A - 一种异常数据信息处理方法、装置、电子设备及存储介质 - Google Patents

Abstract

本申请提供一种异常数据信息处理方法、装置、电子设备及存储介质。该方法包括：接收异常数据信息，异常数据信息为数据采集探针对目标服务器进行数据采集后得到的数据信息；对异常数据信息进行分类存储处理，得到目标类别异常数据；根据预设的分析策略，生成目标类别异常数据的告警信息；根据预设的异常处置策略和目标类别异常数据，确定与告警信息对应的用户服务器信息和目标处置策略；根据告警信息对应的用户服务器信息，将目标处置策略发送至告警信息对应的用户服务器，以使用户服务器根据目标处置策略，对告警信息进行处置。本申请的方法，提高了异常数据处置效率，实现了对异常数据快速响应的效果。

Description

一种异常数据信息处理方法、装置、电子设备及存储介质

技术领域

本申请涉及计算机技术领域，尤其涉及一种异常数据信息处理方法、装置、电子设备及存储介质。

背景技术

随着算网服务的发展，出现了远程办公、云办公、SaaS(Software as a Service)等办公形式，导致传统的边界防火墙难以满足用户对网络数据安全的需求，容易造成数据被破坏、窃取、泄露等现象，因此单个主机设备(服务器或者终端)上部署带有防火墙功能的安全软件开始成为主流。

现有的异常数据信息处理方式，针对不同的主机设备，选择对应合适的安全防护设备进行部署，从而实现对数据的安全防护，具体的，通过设置自定义告警策略，告警范围和阀值等策略，基于APT(Advanced Persistent Threat)攻击检测系统，对攻击来源、攻击目的、攻击路径进行溯源分析，然后结合近期的病毒攻击频率、网速稳态值组等进行综合分析，得到评价信号并传输至主机设备。

然而，现有方法中部署方式只能针对单一类型的设备进行数据安全的防护，对于现有的算网服务平台系统来说，安全防护效率不高。

发明内容

本申请提供一种异常数据信息处理方法、装置、电子设备及存储介质，用以解决现有的异常数据信息处理方法中存在的服务器的异常数据信息处理效率低的技术问题。

第一方面，本申请提供一种异常数据信息处理方法，包括：

接收异常数据信息，异常数据信息包括网络流量异常数据、异常的漏洞利用数据、异常的攻击行为数据，异常数据信息为数据采集探针对目标服务器进行数据采集后得到的数据信息；

对异常数据信息进行分类存储处理，得到目标类别异常数据；

根据预设的分析策略，生成目标类别异常数据的告警信息；

根据预设的异常处置策略和目标类别异常数据，确定与告警信息对应的用户服务器信息和目标处置策略；

根据告警信息对应的用户服务器信息，将目标处置策略发送至告警信息对应的用户服务器，以使用户服务器根据目标处置策略，对告警信息进行处置。

在本申请实施例中，接收异常数据信息，包括：

确定目标服务器的配置信息；

根据目标服务器的配置信息，构建得到虚拟服务器环境；

根据数据采集探针获取虚拟服务器环境在运行时的异常数据信息。

在本申请实施例中，对异常数据信息进行分类存储处理，得到目标类别异常数据，包括：

确定异常数据信息的数据格式和数据内容；

根据数据格式和数据内容，对异常数据信息进行分类存储，确定异常数据信息中的目标类别异常数据。

在本申请实施例中，当目标类别异常数据有两种以上时，

在对异常数据信息进行分类存储处理，得到目标类别异常数据之后，该方法还包括：

对目标类别异常数据进行筛选与聚类，得到分类信息，分类信息包括不同类别异常数据的信息；

根据分类信息中异常数据的类别，确定与各类分类信息对应的目标分析策略；

根据与各类分类信息对应的目标分析策略，生成目标类别异常数据的告警信息；

根据预设的异常处置策略和目标类别异常数据，确定与告警信息对应的用户服务器信息和目标处置策略；

根据告警信息对应的用户服务器信息，将目标处置策略发送至告警信息对应的用户服务器，以使用户服务器根据目标处置策略，对告警信息进行处置。

在本申请实施例中，根据预设的分析策略，生成目标类别异常数据的告警信息，包括：

根据目标类别异常数据的类别，确定预设的分析策略；

根据分析策略，确定目标类别异常数据的标签和异常信息等级；

根据目标类别异常数据的标签和异常信息等级，生成告警信息。

在本申请实施例中，根据分析策略，确定目标类别异常数据的标签和异常信息等级，包括：

确定目标类别异常数据的攻击时长和攻击地址；

根据攻击时长和攻击地址，确定分析策略中的信息等级和目标类别异常数据的标签，得到异常信息等级，分析策略中的信息等级表征当前异常数据信息对服务器安全性的威胁程度。

在本申请实施例中，根据预设的异常处置策略和目标类别异常数据，确定与告警信息对应的用户服务器信息和目标处置策略，包括：

确定预设的平台管理信息、以及目标类别异常数据中的标签信息；

根据平台管理信息和告警信息，确定预设的异常处置策略、以及告警信息对应的用户服务器信息；

根据目标类别异常数据中的标签信息，从异常处置策略中确定告警信息对应的目标处置策略。

在本申请实施例中，根据告警信息对应的用户服务器信息，将目标处置策略发送至告警信息对应的用户服务器，以使用户服务器根据目标处置策略，对告警信息进行处置，包括：

根据预设的告警信息要求，确定告警信息中的用户处理告警信息和系统处理告警信息、以及目标处置策略中的用户处置策略和系统处置策略；

根据告警信息对应的用户服务器信息，将用户处理告警信息发送至告警信息对应的用户服务器，以使用户服务器根据用户处置策略，对用户处理告警信息进行处置；

根据系统处理告警信息，向数据采集探针对应的网络防火墙发送系统处理告警信息，以使网络防火墙根据系统处置策略，对系统处理告警信息进行处置，网络防火墙用于根据处置策略对攻击服务器的网络数据进行处理。

第二方面，本申请提供一种异常数据信息处理装置，包括：

数据接收模块，用于接收异常数据信息，异常数据信息包括网络流量异常数据、异常的漏洞利用数据、异常的攻击行为数据，异常数据信息为数据采集探针对目标服务器进行数据采集后得到的数据信息；

数据分类模块，用于对异常数据信息进行分类存储处理，得到目标类别异常数据；

数据分析模块，用于根据预设的分析策略，生成目标类别异常数据的告警信息；

信息确定模块，用于根据预设的异常处置策略和目标类别异常数据，确定与告警信息对应的用户服务器信息和目标处置策略；

信息发送模块，用于根据告警信息对应的用户服务器信息，将目标处置策略发送至告警信息对应的用户服务器，以使用户服务器根据目标处置策略，对告警信息进行处置。

第三方面，本申请提供了一种电子设备，包括：处理器，以及与处理器通信连接的存储器；

存储器存储计算机执行指令；

处理器执行存储器存储的计算机执行指令，以实现本申请实施例的异常数据信息处理方法。

第四方面，一种计算机可读存储介质，计算机可读存储介质中存储有计算机执行指令，计算机执行指令被处理器执行时用于实现本申请实施例的异常数据信息处理方法。

本申请提供的一种异常数据信息处理方法、装置、电子设备及存储介质，通过接收异常数据信息，异常数据信息包括网络流量异常数据、异常的漏洞利用数据、异常的攻击行为数据，异常数据信息为数据采集探针对目标服务器进行数据采集后得到的数据信息；对异常数据信息进行分类存储处理，得到目标类别异常数据；根据预设的分析策略，生成目标类别异常数据的告警信息；根据预设的异常处置策略和目标类别异常数据，确定与告警信息对应的用户服务器信息和目标处置策略；根据告警信息对应的用户服务器信息，将目标处置策略发送至告警信息对应的用户服务器，以使用户服务器根据目标处置策略，对告警信息进行处置的手段，使得不同类型的异常数据信息可以根据数据采集探针得到数据整合，实现同一类型的异常数据信息同时分析处理，提高了异常数据处置效率，同时，提供的异常处置策略可以针对不同类型的异常数据信息做出策略选择以及发送给对应的服务器进行数据的安全防护响应，实现对异常数据快速响应的效果。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本申请的实施例，并与说明书一起用于解释本申请的原理。

图1为本申请实施例提供的一种异常数据信息处理方法的场景示意图；

图2为本申请实施例提供的一种异常数据信息处理方法的流程示意图；

图3为本申请实施例提供的另一种异常数据信息处理方法的流程示意图；

图4为本申请实施例提供的一种异常数据信息处理方法的数据处置时序示意图；

图5为本申请实施例提供的一种异常数据信息处理装置的结构示意图；

图6为本申请实施例提供的电子设备的结构示意图。

通过上述附图，已示出本申请明确的实施例，后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围，而是通过参考特定实施例为本领域技术人员说明本申请的概念。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。

需要说明的是，本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等)，均为经用户授权或者经过各方充分授权的信息和数据，并且相关数据的收集、使用和处理需要遵守相关法律法规和标准，并提供有相应的操作入口，供用户选择授权或者拒绝。

现有技术中，采用基于网络安全势态感知的安全防护方法，融合了传统网络安全策略中的各类攻击检测、定位等方法，对网络进行全面集中的安全管理和智能综合的分析，例如，通过设置自定义告警策略，告警范围和阀值等策略，基于APT攻击检测系统，对攻击来源、攻击目的、攻击路径进行溯源分析，同时根据安全威胁事件的来源信息和目标信息，结合地理信息系统技术将虚拟的网络威胁和现实世界生动的结合起来，实现网络安全态势的可视化，从而实时监控网络数据安全性。此方法虽然能够提高安全势态感知能力，实现对网络平台安全的实时监控，但是对于不同网络、服务器、设备的安全防护，存在数据格式、数据检测内容的差异，就需要安全人员对不同的网络、服务器、设备进行单独的管理与维护，需要大量安全人员并且对于安全人员的能力有较高的要求，这无疑是增加了运营维护的成本。

为了解决以上问题，可以将数据采集探针部署在需要防护的不同网络、服务器、设备中，由数据采集探针进行实时监控，当出现异常流量或者异常威胁时，触发数据采集探针条件，将异常流量或者异常威胁的数据进行采集上传至安全防护平台中，然后对不同的异常数据进行分类以及危险等级划分，根据异常数据的类型和危险等级向出现异常的服务器发出警告以及处置策略，以便于用户或者异常的服务器中的防火墙根据警告和处置策略消除威胁，从而减少安全人员的工作量，也提高了安全响应速度。

下面以具体地实施例对本申请的技术方案以及本申请的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合，对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图对本申请的实施例进行描述。

本申请实施例提供一种异常数据信息处理方法、装置、电子设备及存储介质。

图1为本申请实施例提供的一种异常数据信息处理方法的场景示意图。如图1所示，该异常数据信息处理方法的执行主体可以是由一组可执行指令的服务器组成的异常数据信息处理系统。在该异常数据信息处理系统中，首先，将威胁探针、流量探针部署至需要监测异常数据并进行异常数据信息处理的云服务平台、边缘服务平台、终端平台；然后，威胁探针、流量探针实时监控各个平台服务器的网络数据，将检测出的异常数据采集上传至数据集成平台；数据集成平台对异常数据进行整合与分类处理，然后打包发送至数据分析平台；数据分析平台根据整合分类后的异常数据进行分析，得到处置策略并共享至数据集成平台，由数据集成平台将处置策略推送至用户交互界面或者传输至各个平台的NGFW(Next generation firewall，下一代防火墙)进行异常数据的处理。其中，数据分析平台、数据集成平台、威胁探针、流量探针以及NGFW之间的数据传输通道由网络资源进行连接。

本实施例对执行主体的实现方式不做特别的限制，只要该执行主体能够接收异常数据信息，异常数据信息包括网络流量异常数据、异常的漏洞利用数据、异常的攻击行为数据，异常数据信息为数据采集探针对目标服务器进行数据采集后得到的数据信息；对异常数据信息进行分类存储处理，得到目标类别异常数据；根据预设的分析策略，生成目标类别异常数据的告警信息；根据预设的异常处置策略和目标类别异常数据，确定与告警信息对应的用户服务器信息和目标处置策略；根据告警信息对应的用户服务器信息，将目标处置策略发送至告警信息对应的用户服务器，以使用户服务器根据目标处置策略，对告警信息进行处置即可。

图2为本申请实施例提供的异常数据信息处理方法的流程示意图。本方法的执行主体可以为服务器或其它服务器，本实施例此处不做特别限制，如图2所示，本方法可以包括：

S201、接收异常数据信息，异常数据信息包括网络流量异常数据、异常的漏洞利用数据、异常的攻击行为数据，异常数据信息为数据采集探针对目标服务器进行数据采集后得到的数据信息。

其中，异常数据信息可以指数据采集探针采集目标服务器数据之后，将采集的异常数据进行格式统一处理之后生成的数据信息，其中，触发数据采集探针进行异常数据信息采集的条件可以根据历史异常信息或者安全人员工作经验进行设置。

例如，可以根据目标服务器对应的时间段内的IP登录错误次数或者成功次数、登录成功后的登录时长、IP地址的请求次数、IP是否在黑名单和是否为常用IP来设置采集触发条件。也可以根据网络流量异常数据、异常的漏洞利用数据、异常的攻击行为数据等已知的攻击类型设置触发条件，其中，网络流量异常数据类型可以包括异常网络操作、蠕虫病毒传播、闪存拥挤、异常协议、异常端口、未知流量；异常的漏洞利用数据类型可以包括程序异常、伪装成用户或服务产生的数据；异常的攻击行为数据类型可以包括端口渗透、密码破解、U盘滥用、网络监听、DDoS(Distributed Denial of Service)攻击产生的数据。

数据采集探针可以指在与目标服务器的连接链路上对流量、威胁进行精细化识别。数据采集探针可以是采用旁路方式或者串联方式部署于目标服务器中，通过网络连接协议实时获取目标服务器信息，对信息进行数据转换、关联存储管理。

其中，在本申请实施例中，接收异常数据信息的方法可以包括：

确定目标服务器的配置信息；

根据目标服务器的配置信息，构建得到虚拟服务器环境；

根据数据采集探针获取虚拟服务器环境在运行时的异常数据信息。

其中，目标服务器可以是需要进行监测异常数据并进行异常数据信息处理的服务器，本实施例的目标服务器可以指需要部署数据采集探针的服务器，例如，云计算服务器、边缘计算服务器、终端服务器，目标服务器的配置信息可以包括服务器的域名、服务器标识、服务器端口协议、服务器主机名。

虚拟服务器环境可以指经过数据采集探针的部署后形成的统一的异常数据信息处理系统环境。

例如，一个用户或服务在执行任务过程中使用了云平台A、边缘计算平台B、终端设备D和终端设备E，在部署数据采集探针时，首先需要获取各平台以及终端服务器所在的域名、端口协议、主机名等信息，然后将数据采集探针通过网络资源和服务器配置信息与各平台以及终端服务器建立连接，在本实施例中，数据采集探针可以是XDR(ExtendedDetection and Response)探针。

S202、对异常数据信息进行分类存储处理，得到目标类别异常数据。

其中，分类存储处理可以是对数据进行初步整合，即将数据采集探针发送的异常数据信息进行整理，按照不同类型进行合并处理，生成目标类别异常数据并存储在异常数据信息处理系统的服务器中。其中，不同类型可以由目标服务器的类型以及异常数据的格式内容来区分。

在本实施例中，对异常数据信息进行整理还可以是对数据采集探针标识的无效异常数据进行信息存储，并对目标服务器中的NGFW发送忽略该无效异常数据的指令，但不会生成目标类别异常数据，其中，无效异常数据可以是因目标服务器自身配置问题出现的异常数据。

其中，在本申请实施例中，对异常数据信息进行分类存储处理，得到目标类别异常数据的方法可以包括：

确定异常数据信息的数据格式和数据内容；

根据数据格式和数据内容，对异常数据信息进行分类存储，确定异常数据信息中的目标类别异常数据。

其中，由于网络异构、设备或者应用的不同，导致企业不同网域、不同应用、不同终端的数据有不同的识别或存储标准，数据格式与数据内容在不同网域、不同应用、不同终端也会有所区别，因此，数据采集探针进行采集的数据会存在不同数据格式和数据内容。其中，数据格式可以包括目标服务器的主机名称、设备标识ID、传输消息的数据访问地址、访问网络的类型、服务器设备的版本信息、设备使用的语言环境；数据内容可以包括目标服务器的用户服务器信息、服务的类型、数据异常原因，例如，目标服务器A对应的服务类型为语音识别类，并涉及网络监听的数据异常情况；目标服务器B对应的服务类型为文件传输类，并检测到U盘滥用的异常数据信息。

S203、根据预设的分析策略，生成目标类别异常数据的告警信息。

其中，分析策略可以是由传统网络安全策略中的各类攻击检测告警案例信息、以及目标服务器存储的历史告警案例信息生成的分析策略，该分析策略可以存储有不同目标类别异常数据对应的识别标签和数据危险等级。

其中，在本申请实施例中，根据预设的分析策略，生成目标类别异常数据的告警信息的方法可以包括：

根据目标类别异常数据的类别，确定预设的分析策略；

根据分析策略，确定目标类别异常数据的标签和异常信息等级；

根据目标类别异常数据的标签和异常信息等级，生成告警信息。

其中，目标类别异常数据的类别可以是根据不同的数据格式、数据内容对目标类别异常数据进行分类得到的与异常数据信息有关的类别，例如，乙类目标类别异常数据对应网络监听事件的数据，丙类目标类别异常数据对应异常网络操作的数据。

预设的分析策略可以是存储有目标类别异常数据的标签与异常信息等级具有对应关系的策略表，不同类别的目标类别异常数据对应不同的分析策略，例如，根据目标类别异常数据的类别确定该类别为乙类，则可以从预设的所有分析策略中查找乙类对应的分析策略为乙类-F策略，再由F策略中的标签与信息等级，生成告警信息。

告警信息可以是通知用户或NGFW进行告警处理的指令信息，也可以是包括了异常数据类型、信息等级、信息标签、服务器地址、告警状态相关内容的信息，告警信息可以是与用户在创建、修改告警的时候设置的告警通知对应的信息。其中，告警状态可以包括告警中(数据采集探针监测的异常数据还未进行处理，告警未解决)、已解决(数据采集探针监测的异常数据恢复正常，告警已解决)、数据不足(连续多个小时未有异常数据上报，通常是由于相应服务实例被删除或状态异常导致)、已失效(数据采集探针监测的异常数据根据数据处置过程中的分析策略确定为无效异常数据，或由于信息等级极低被忽略处理，告警状态记录为失效)。

其中，在本申请实施例中，根据分析策略，确定目标类别异常数据的标签和异常信息等级的方法可以包括：

确定目标类别异常数据的攻击时长和攻击地址；

根据攻击时长和攻击地址，确定分析策略中的信息等级和目标类别异常数据的标签，得到异常信息等级，分析策略中的信息等级表征当前异常数据信息对服务器安全性的威胁程度。

其中，分析策略中的信息等级可以是由目标类别异常数据的攻击时长和攻击地址所占权重进行排序产生的，攻击时长越长，信息等级越高，攻击地址越靠近核心数据或服务器，信息等级越高。例如，可以将信息按照等级分为紧急信息、重要信息、次要信息、提示信息，其中，紧急信息可以是异常数据对应攻击地址所在的资源为服务器核心资源，若损坏会严重影响业务，即视为紧急信息；重要信息可以是异常数据对应攻击地址所在的资源存在影响业务的问题，此问题相对较严重，有可能会阻碍资源的正常使用；次要信息可以是异常数据对应攻击地址所在的资源存在相对不太严重点问题，此问题不会阻碍资源的正常使用；提示信息可以是异常数据对应攻击地址所在的资源存在潜在的错误，可能影响到业务。

S204、根据预设的异常处置策略和目标类别异常数据，确定与告警信息对应的用户服务器信息和目标处置策略。

其中，用户服务器信息可以是与目标服务器对应的用户信息交互服务器信息，用户信息交互服务器可以管理并接收处理来自一个目标服务器异常数据产生的反馈处置信息，也可以同时管理并接收处理虚拟服务器环境中多个目标服务器异常数据产生的反馈处置信息，其中，用户服务器信息可以是数据采集探针采集数据时从目标服务器存储信息中获取的对应的用户信息交互IP地址信息，也可以是数据采集探针获取第三方服务器提供的可以与多个目标服务器进行用户信息交互的服务器IP地址信息，这些信息可以是存储在异常数据信息处理系统的平台管理中的信息。

预设的异常处置策略可以是存储了不同异常数据类别的告警信息与对应异常数据处理方案的策略表，例如，若已经确定该目标类别异常数据等级为次要信息、以及标签为乙类-F策略-次要，则可以根据查找出次要信息等级对应的异常处置策略，查找到的异常处置策略可以是一种处置方案，也可以是多种可供用户选择的处置方案，则需要根据标签确定与对应异常数据的处置方案。

其中，在本申请实施例中，根据预设的异常处置策略和目标类别异常数据，确定与告警信息对应的用户服务器信息和目标处置策略的方法可以包括：

确定预设的平台管理信息、以及目标类别异常数据中的标签信息；

根据平台管理信息和告警信息，确定预设的异常处置策略、以及告警信息对应的用户服务器信息；

根据目标类别异常数据中的标签信息，从异常处置策略中确定告警信息对应的目标处置策略。

S205、根据告警信息对应的用户服务器信息，将目标处置策略发送至告警信息对应的用户服务器，以使用户服务器根据目标处置策略，对告警信息进行处置。

其中，将目标处置策略发送至告警信息对应的用户服务器的方法可以是通过向用户发送邮件或短信通知的形式发送，也可以是通过HTTP(Hypertext Transfer Protocol，超文本传输协议)、HTTPS(Hypertext Transfer Protocol Secure，超文本传输安全协议)形式发送消息至服务器。

其中，在本申请实施例中，根据告警信息对应的用户服务器信息，将目标处置策略发送至告警信息对应的用户服务器，以使用户服务器根据目标处置策略，对告警信息进行处置的方法可以包括：

根据预设的告警信息要求，确定告警信息中的用户处理告警信息和系统处理告警信息、以及目标处置策略中的用户处置策略和系统处置策略；

根据告警信息对应的用户服务器信息，将用户处理告警信息发送至告警信息对应的用户服务器，以使用户服务器根据用户处置策略，对用户处理告警信息进行处置；

根据系统处理告警信息，向数据采集探针对应的网络防火墙发送系统处理告警信息，以使网络防火墙根据系统处置策略，对系统处理告警信息进行处置，网络防火墙用于根据处置策略对攻击服务器的网络数据进行处理。

其中，预设的告警信息要求可以是存储在异常数据信息处理系统的平台管理中的关于是否进行人工处置告警信息的要求。

告警信息要求可以是根据发送给用户或NGFW进行告警处理的指令信息条数以及预设的用户处理告警信息条数，确定是否再次发送人工处置告警信息。例如，预设的用户处理告警信息条数为5条，那么当发送的告警信息为6条时，第1-5条告警信息由用户操作处置，第6条则自动发送给NGFW进行处置。

告警信息要求也可以是根据告警状态、信息等级确定是否要求人工处置告警信息，例如，处于告警中的提示信息，可以将告警信息自动转给NGFW进行处置，从而降低安全人员的工作压力，提高异常数据处置效率。

其中，在本申请实施例中，当目标类别异常数据有两种以上时，

在对异常数据信息进行分类存储处理，得到目标类别异常数据之后，该方法还包括：

对目标类别异常数据进行筛选与聚类，得到分类信息，分类信息包括不同类别异常数据的信息；

根据分类信息中异常数据的类别，确定与各类分类信息对应的目标分析策略；

根据与各类分类信息对应的目标分析策略，生成目标类别异常数据的告警信息；

根据预设的异常处置策略和目标类别异常数据，确定与告警信息对应的用户服务器信息和目标处置策略；

根据告警信息对应的用户服务器信息，将目标处置策略发送至告警信息对应的用户服务器，以使用户服务器根据目标处置策略，对告警信息进行处置。

例如，目标类别异常数据有两种以上的情况可以是存在服务资源功能不同的服务器W和服务器Q，采集异常数据整合后生成的目标类别异常数据可以包括服务器W和服务器Q都存在的目标类别异常数据a、服务器W独有的目标类别异常数据w、以及服务器Q独有的目标类别异常数据q，因此，在确定数据分析策略时首先需要对目标类别异常数据进行筛选与聚类处理，确定每个目标类别异常数据是存在于服务器W还是服务器Q、或者是都存在的情况，然后再根据不同的情况进行分析策略的确定，从而生成对应的告警信息。

本申请实施例提供的异常数据信息处理方法提供了将异常流量或者异常威胁的数据进行采集上传至异常数据信息处理系统中，然后对不同的异常数据进行分类以及危险等级划分，根据异常数据的类型和危险等级向出现异常的服务器发出警告以及处置策略，提高安全响应速度，以便于用户或者异常的服务器中的防火墙根据警告和处置策略消除威胁，从而减少安全人员的工作量，实现了对各平台的访问数据进行实时监控，可达到秒级发现异常数据攻击或者威胁的效果。

图3为本申请实施例提供的另一种样本确定方法的流程示意图，如图3所示，该方法包括：

S301、构建虚拟服务器环境，主要包括搭建数据源获取平台和数据集成、分析平台。

其中，在本申请实施例中，构建虚拟服务器环境的方法可以包括：

模拟“云网边端”场景；

搭建数据集成平台和数据分析平台；

模拟数据采集和下发处置策略。

具体的，模拟“云网边端”场景可以是搭建数据源获取平台，包括搭建服务器，部署服务，模拟云计算、边缘计算、终端的场景。

模拟数据采集和下发处置策略可以指接收数据源获取平台发送的访问数据，根据访问数据进行数据采集，数据上传，数据分析，从而确定访问数据的处置策略并传输至数据源获取平台进行响应。

S302、基于虚拟服务器环境进行数据处置。

其中，在本申请实施例中，基于虚拟服务器环境进行数据处置的方法可以包括：

将XDR探针部署在需要整合的平台中，当发现攻击流量或者威胁流量时进行数据上报，上报到数据集成平台；

数据集成平台接收、存储攻击信息数据，进行数据初步整合将数据上报到数据分析平台；

数据分析平台对接收到数据进行数据分析，将攻击信息分等级发送给数据应用平台；

数据应用平台根据提供的服务将数据发送到服务平台；

服务平台整合告警信息后，发送信息通知管理人员进行告警处置。

其中，基于虚拟服务器环境进行数据处置的过程可以包括探针发现层、数据集成层、数据分析层、应用层和对外服务层5个层级。探针发现层用于发现云服务器、边缘服务器、终端设备中的异常数据；数据集成层用于接收探针发现层的数据、以及数据存储和数据处理；数据分析层用于数据可视化、数据引擎功能的实现，对异常数据威胁等级进行确定；应用层用于网络攻击分析和资产管理；对外服务层用于监测、处置、响应。

其中，处理告警信息的方法可以包括用户手动处理和系统自动处理，例如，用户手动处理告警信息的方法可以是探针发现异常流量数据，数据上报数据集成平台；数据集成平台进行数据初步处理，将数据上报数据分析平台；数据分析平台对数据进行策略分析，形成告警信息并将告警信息发送给应用平台；数据应用平台将告警信息同步给服务平台；服务平台根据每个平台定制的服务，对用户进行告警通知；用户登录服务平台对异常数据进行人工处置；将处置策略通知逐级下发到NGFW设备；NGFW执行处置策略。而系统自动处理告警信息的方法可以是探针发现异常流量数据，数据上报数据集成；数据集成平台进行数据初步处理，将数据上报数据分析平台；数据分析平台对数据进行策略分析，发现数据已经超过告警阈值时，直接对异常数据进行处理，即将处置策略下发至NGFW设备；NGFW执行处置策略。

本申请实施例提供的异常数据信息处理方法可以整合多个“云网边端”的平台，针对于现有多个平台独立的安全防护方案，实现多平台联合处理；针对发现到的不同等级的安全告警，直接在不同层级进行处理，从而提高安全响应速度；在平台服务中增加探针，当有异常流量或者异常威胁时，触发探针条件，在数据集成平台发生异常数据信息，对现有代码和业务的入侵性较低，不影响现有平台业务；对各平台的访问数据进行实时监控，可实现秒级发现异常数据攻击或者威胁，达到快速响应的目的。

图4为本申请实施例提供的一种异常数据信息处理方法的数据处置时序示意图。该数据处置时序示意图为用户手动处理告警数据的示意图，如图4所示，探针发现异常流量数据，将该数据上报至数据集成平台；数据集成平台进行数据初步处理，将异常数据上报至数据分析平台；数据分析平台对数据进行策略分析，形成告警数据并将告警数据发送给应用平台；应用平台将告警数据同步给服务平台；服务平台根据每个平台定制的服务，对用户进行告警通知；用户登录服务平台对异常数据进行人工处置；处置策略通知逐级下发到NGFW设备；NGFW应用执行处置策略。

图5为本申请实施例提供的异常数据信息处理装置的结构示意图。如图5所示，异常数据信息处理装置50包括：数据接收模块501、数据分类模块502、数据分析模块503、信息确定模块504以及信息发送模块505。其中：

数据接收模块501，用于接收异常数据信息，异常数据信息包括网络流量异常数据、异常的漏洞利用数据、异常的攻击行为数据，异常数据信息为数据采集探针对目标服务器进行数据采集后得到的数据信息；

数据分类模块502，用于对异常数据信息进行分类存储处理，得到目标类别异常数据；

数据分析模块503，用于根据预设的分析策略，生成目标类别异常数据的告警信息；

信息确定模块504，用于根据预设的异常处置策略和目标类别异常数据，确定与告警信息对应的用户服务器信息和目标处置策略；

信息发送模块505，用于根据告警信息对应的用户服务器信息，将目标处置策略发送至告警信息对应的用户服务器，以使用户服务器根据目标处置策略，对告警信息进行处置。

在本申请实施例中，数据接收模块501还可以用于：

确定目标服务器的配置信息；

根据目标服务器的配置信息，构建得到虚拟服务器环境；

根据数据采集探针获取虚拟服务器环境在运行时的异常数据信息。

在本申请实施例中，数据分类模块502还可以用于：

确定异常数据信息的数据格式和数据内容；

根据数据格式和数据内容，对异常数据信息进行分类存储，确定异常数据信息中的目标类别异常数据。

在本申请实施例中，当目标类别异常数据有两种以上时，数据分类模块502还可以用于：

对目标类别异常数据进行筛选与聚类，得到分类信息，分类信息包括不同类别异常数据的信息；

根据分类信息中异常数据的类别，确定与各类分类信息对应的目标分析策略；

根据与各类分类信息对应的目标分析策略，生成目标类别异常数据的告警信息；

根据预设的异常处置策略和目标类别异常数据，确定与告警信息对应的用户服务器信息和目标处置策略；

根据告警信息对应的用户服务器信息，将目标处置策略发送至告警信息对应的用户服务器，以使用户服务器根据目标处置策略，对告警信息进行处置。

在本申请实施例中，数据分析模块503还可以用于：

根据目标类别异常数据的类别，确定预设的分析策略；

根据分析策略，确定目标类别异常数据的标签和异常信息等级；

根据目标类别异常数据的标签和异常信息等级，生成告警信息。

在本申请实施例中，数据分析模块503还可以用于：

确定目标类别异常数据的攻击时长和攻击地址；

根据攻击时长和攻击地址，确定分析策略中的信息等级和目标类别异常数据的标签，得到异常信息等级，分析策略中的信息等级表征当前异常数据信息对服务器安全性的威胁程度。

在本申请实施例中，信息确定模块504还可以用于：

确定预设的平台管理信息、以及目标类别异常数据中的标签信息；

根据平台管理信息和告警信息，确定预设的异常处置策略、以及告警信息对应的用户服务器信息；

根据目标类别异常数据中的标签信息，从异常处置策略中确定告警信息对应的目标处置策略。

在本申请实施例中，信息发送模块505还可以用于：

根据预设的告警信息要求，确定告警信息中的用户处理告警信息和系统处理告警信息、以及目标处置策略中的用户处置策略和系统处置策略；

根据告警信息对应的用户服务器信息，将用户处理告警信息发送至告警信息对应的用户服务器，以使用户服务器根据用户处置策略，对用户处理告警信息进行处置；

根据系统处理告警信息，向数据采集探针对应的网络防火墙发送系统处理告警信息，以使网络防火墙根据系统处置策略，对系统处理告警信息进行处置，网络防火墙用于根据处置策略对攻击服务器的网络数据进行处理。

由上可知，本申请实施例的异常数据信息处理装置有数据接收模块501，用于接收异常数据信息，异常数据信息包括网络流量异常数据、异常的漏洞利用数据、异常的攻击行为数据，异常数据信息为数据采集探针对目标服务器进行数据采集后得到的数据信息；数据分类模块502，用于对异常数据信息进行分类存储处理，得到目标类别异常数据；数据分析模块503，用于根据预设的分析策略，生成目标类别异常数据的告警信息；信息确定模块504，用于根据预设的异常处置策略和目标类别异常数据，确定与告警信息对应的用户服务器信息和目标处置策略；信息发送模块505，用于根据告警信息对应的用户服务器信息，将目标处置策略发送至告警信息对应的用户服务器，以使用户服务器根据目标处置策略，对告警信息进行处置。由此，本申请实施例可以根据异常数据信息处理装置，整合多个“云网边端”的平台，实现统一安全防护管理，在数据分析过程中，对攻击数据进行分等级处理，提高了安全响应速度；采用将探针部署至需要监控的平台服务器中的方式，可以降低对平台业务的侵入性，实现对平台服务器访问数据的实时监控。

图6为本申请实施例提供的电子设备的结构示意图。如图6所示，该电子设备60包括：

该电子设备60可以包括一个或者一个以上处理核心的处理器601、一个或一个以上计算机可读存储介质的存储器602、网络接口603等部件。其中，处理器601、存储器602以及网络接口603通过总线604连接。

在具体实现过程中，至少一个处理器601执行存储器602存储的计算机执行指令，使得至少一个处理器601执行如上的异常数据信息处理方法。

处理器601的具体实现过程可参见上述方法实施例，其实现原理和技术效果类似，本实施例此处不再赘述。

在上述的图6所示的实施例中，应理解，处理器可以是中央处理单元(英文：Central Processing Unit，简称：CPU)，还可以是其他通用处理器、数字信号处理器(英文：Digital Signal Processor，简称：DSP)、专用集成电路(英文：Application SpecificIntegrated Circuit，简称：ASIC)等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合发明所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。

存储器可能包含高速存储器(Random Access Memory，RAM)，也可能还包括非易失性存储器(Non-volatile Memory，NVM)，例如至少一个磁盘存储器。

网络接口可以是无线网络接口或有线网络接口，该网络接口通常用于在电子设备与其他电子设备之间建立通信连接。例如，网络接口用于通过网络将电子设备与外部终端相连，在电子设备与外部终端之间的建立数据传输通道和通信连接等。

总线可以是工业标准体系结构(Industry Standard Architecture，ISA)总线、外部设备互连(Peripheral Component，PCI)总线或扩展工业标准体系结构(ExtendedIndustry Standard Architecture，EISA)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示，本申请附图中的总线并不限定仅有一根总线或一种类型的总线。

在一些实施例中，还提出一种计算机程序产品，包括计算机程序或指令，该计算机程序或指令被处理器执行时实现上述任一种异常数据信息处理方法中的步骤。

本领域普通技术人员可以理解，上述实施例的各种方法中的全部或部分步骤可以通过指令来完成，或通过指令控制相关的硬件来完成，该指令可以存储于任一计算机可读存储介质中，并由处理器进行加载和执行。

为此，本申请实施例提供一种计算机可读存储介质，其中存储有多条指令，该指令能够被处理器进行加载，以执行本申请实施例所提供的任一种异常数据信息处理方法中的步骤。

其中，该存储介质可以包括：只读存储器(Read Only Memory，ROM)、随机存取记忆体(Random Access Memory，RAM)、磁盘或光盘等。

根据本申请的一个方面，提供了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。

由于该存储介质中所存储的指令，可以执行本申请实施例所提供的任一种异常数据信息处理方法中的步骤，因此，可以实现本申请实施例所提供的任一种异常数据信息处理方法所能实现的有益效果，详见前面的实施例，在此不再赘述。

以上各个操作的具体实施可参见前面的实施例，在此不再赘述。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本申请的真正范围和精神由下面的权利要求书指出。

应当理解的是，本申请并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求书来限制。

Claims (11)

1.一种异常数据信息处理方法，其特征在于，应用于异常数据信息处理系统，包括：

接收异常数据信息，所述异常数据信息包括网络流量异常数据、异常的漏洞利用数据、异常的攻击行为数据，所述异常数据信息为数据采集探针对目标服务器进行数据采集后得到的数据信息；

对所述异常数据信息进行分类存储处理，得到目标类别异常数据；

根据预设的分析策略，生成所述目标类别异常数据的告警信息；

根据预设的异常处置策略和所述目标类别异常数据，确定与所述告警信息对应的用户服务器信息和目标处置策略；

根据所述告警信息对应的用户服务器信息，将所述目标处置策略发送至所述告警信息对应的用户服务器，以使所述用户服务器根据所述目标处置策略，对所述告警信息进行处置。

2.根据权利要求1所述的方法，其特征在于，所述接收异常数据信息，包括：

确定所述目标服务器的配置信息；

根据所述目标服务器的配置信息，构建得到虚拟服务器环境；

根据所述数据采集探针获取所述虚拟服务器环境在运行时的异常数据信息。

3.根据权利要求1所述的方法，其特征在于，所述对所述异常数据信息进行分类存储处理，得到目标类别异常数据，包括：

确定所述异常数据信息的数据格式和数据内容；

根据所述数据格式和所述数据内容，对所述异常数据信息进行分类存储，确定所述异常数据信息中的目标类别异常数据。

4.根据权利要求1所述的方法，其特征在于，当所述目标类别异常数据有两种以上时，

在所述对所述异常数据信息进行分类存储处理，得到目标类别异常数据之后，所述方法还包括：

对所述目标类别异常数据进行筛选与聚类，得到分类信息，所述分类信息包括不同类别异常数据的信息；

根据所述分类信息中异常数据的类别，确定与各类所述分类信息对应的目标分析策略；

根据与各类所述分类信息对应的目标分析策略，生成所述目标类别异常数据的告警信息；

根据预设的异常处置策略和所述目标类别异常数据，确定与所述告警信息对应的用户服务器信息和目标处置策略；

根据所述告警信息对应的用户服务器信息，将所述目标处置策略发送至所述告警信息对应的用户服务器，以使所述用户服务器根据所述目标处置策略，对所述告警信息进行处置。

5.根据权利要求1所述的方法，其特征在于，所述根据预设的分析策略，生成所述目标类别异常数据的告警信息，包括：

根据所述目标类别异常数据的类别，确定预设的分析策略；

根据所述分析策略，确定所述目标类别异常数据的标签和异常信息等级；

根据所述目标类别异常数据的标签和所述异常信息等级，生成告警信息。

6.根据权利要求5所述的方法，其特征在于，所述根据所述分析策略，确定所述目标类别异常数据的标签和异常信息等级，包括：

确定所述目标类别异常数据的攻击时长和攻击地址；

根据所述攻击时长和所述攻击地址，确定所述分析策略中的信息等级和所述目标类别异常数据的标签，得到异常信息等级，所述分析策略中的信息等级表征当前异常数据信息对服务器安全性的威胁程度。

7.根据权利要求1所述的方法，其特征在于，所述根据预设的异常处置策略和所述目标类别异常数据，确定与所述告警信息对应的用户服务器信息和目标处置策略，包括：

确定预设的平台管理信息、以及所述目标类别异常数据中的标签信息；

根据所述平台管理信息和所述告警信息，确定预设的异常处置策略、以及所述告警信息对应的用户服务器信息；

根据所述目标类别异常数据中的标签信息，从所述异常处置策略中确定所述告警信息对应的目标处置策略。

8.根据权利要求1所述的方法，其特征在于，所述根据所述告警信息对应的用户服务器信息，将所述目标处置策略发送至所述告警信息对应的用户服务器，以使所述用户服务器根据所述目标处置策略，对所述告警信息进行处置，包括：

根据预设的告警信息要求，确定所述告警信息中的用户处理告警信息和系统处理告警信息、以及所述目标处置策略中的用户处置策略和系统处置策略；

根据所述告警信息对应的用户服务器信息，将所述用户处理告警信息发送至所述告警信息对应的用户服务器，以使所述用户服务器根据所述用户处置策略，对所述用户处理告警信息进行处置；

根据所述系统处理告警信息，向所述数据采集探针对应的网络防火墙发送系统处理告警信息，以使所述网络防火墙根据所述系统处置策略，对所述系统处理告警信息进行处置，所述网络防火墙用于根据处置策略对攻击服务器的网络数据进行处理。

9.一种异常数据信息处理装置，其特征在于，包括：

数据接收模块，用于接收异常数据信息，所述异常数据信息包括网络流量异常数据、异常的漏洞利用数据、异常的攻击行为数据，所述异常数据信息为数据采集探针对目标服务器进行数据采集后得到的数据信息；

数据分类模块，用于对所述异常数据信息进行分类存储处理，得到目标类别异常数据；

数据分析模块，用于根据预设的分析策略，生成所述目标类别异常数据的告警信息；

信息确定模块，用于根据预设的异常处置策略和所述目标类别异常数据，确定与所述告警信息对应的用户服务器信息和目标处置策略；

信息发送模块，用于根据所述告警信息对应的用户服务器信息，将所述目标处置策略发送至所述告警信息对应的用户服务器，以使所述用户服务器根据所述目标处置策略，对所述告警信息进行处置。

10.一种电子设备，其特征在于，包括：处理器，以及与所述处理器通信连接的存储器；

所述存储器存储计算机执行指令；

所述处理器执行所述存储器存储的计算机执行指令，以实现如权利要求1至8中任一项所述的异常数据信息处理方法。

11.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有计算机执行指令，所述计算机执行指令被处理器执行时用于实现如权利要求1至8任一项所述的异常数据信息处理方法。