本发明专利技术实施例公开了一种云地结合的数据处理方法及装置,所述方法包括:对本地互联网出口流量数据、云端情报数据、第三方数据和等保管理数据进行数据采集,得到云地结合数据;对所述云地结合数据进行分析,获取异常威胁行为;对所述异常威胁行为进行安全业务闭环的告警威胁处置。所述装置用于执行所述方法。本发明专利技术实施例通过采集本地和云端数据,以及第三方数据和等保管理数据,使得数据采集更为全面,覆盖率更高,能够保障对重大事件的发现、检测及安全分析;同时通过对异常威胁行为进行安全业务闭环的告警威胁处置,提供了一整套分阶段、不断扩展的灵活方案,降低了系统管理维护成本。
【技术实现步骤摘要】
一种云地结合的数据处理方法及装置
本专利技术实施例涉及数据安全
,具体涉及一种云地结合的数据处理方法及装置。
技术介绍
长期以来,网络与信息安全系统在设计、建设过程中都是在遵循三个重要的指导模型(PDR、P2DR、IATF),这些无一例外都在强调检测与防御在安全系统中的重要性,比如基于签名和规则进行防御,用MD5码等来判断病毒与恶意文件特征,依靠规则去做简单的阻断,并高度依赖网络边界设备等,用于保障关键信息基础设施。关键信息基础设施是指一旦遭到破坏、丧失功能或数据泄露,可能严重危害国家安全、国计民生、公共利益的信息基础设施。现有的主流安全运营管理流程如图1所示,从图1可以看出,随着云计算、大数据等技术的兴起,安全的内外网边界越来越模糊,单纯靠检测与防御解决网络安全问题已经不切实际,需要采用一种全新的思路。现有的日常反窃密反泄密工作中,比较重视分布式系统以及临检手段的建设,但在重大事件保障的工作中,需要监控和防护的威胁种类更多。目前在DDoS(分布式拒绝服务)攻击发现与溯源、网站监测与防护、高级威胁攻击检测等领域都缺乏有效的技术手段。传统的系统建设更多考虑是从数据中直接看到结果,但在实际业务场景中更多应该由安全分析人员综合各类系统、工具所产生的结果进行深度分析和综合研判,由于相关分析工具严重缺失,造成过度依赖专家力量,无法形成阶梯化的团队力量。如何有效发现窃密或泄密的可疑行为往往是业务工作的开端,传统模式往往通过对被监控网络的流量还原得到会话或文件等内容,然后采用诸如沙箱技术、特征检测等传统异常检测方式,进而发现可疑的异常行为。这种方式最大的特点都是需要获得特定样本后从其软件恶意行为、网络恶意行为或域名行为上来建立特征库,这就为整个异常检测工作带来较大的难度,毕竟样本的发现和捕获难度很大,且数量较少。另一方面,这些样本的获得往往都需要借助于部署在重点保障单位网络出口的分布式设备来获得,整个周期较长,也给类似特征库的建立带来了不小的麻烦。现有的大数据分析技术在各个行业中已经具备了有效应用,在信息安全领域,通过对大数据的分析技术,可以改变当前“黑客主动攻击、企业被动防御”的恶劣环境,这需要系统有海量的互联网数据积累,以及对安全大数据中的数据挖掘以及安全可视化等技术,将挖掘出来的重要信息联动与当前的安全防护体系中来。以往模式更多依赖黑IP/域名进行发现,这些信息往往来自于行业内部的自主发现,外部威胁情报严重不足。不仅如此,业务工作中的分析、溯源、拓线等目前依然依赖本地采集的数据,大部分集中在流量数据等,而威胁方基本都存活在互联网世界中,造成业务工作处于被动。在实现本专利技术实施例的过程中,专利技术人发现现有的方法缺乏对重大事件保障的技术手段和对安全分析的技术手段,且检测与发现手段依然单一,同时缺少海量数据及大数据分析技术支撑。
技术实现思路
由于现有方法存在上述问题,本专利技术实施例提出一种云地结合的数据处理方法及装置。第一方面,本专利技术实施例提出一种云地结合的数据处理方法,包括:对本地互联网出口流量数据、云端情报数据、第三方数据和等保管理数据进行数据采集,得到云地结合数据;对所述云地结合数据进行分析,获取异常威胁行为;对所述异常威胁行为进行安全业务闭环的告警威胁处置。可选地,所述方法还包括:将所述异常威胁行为和所述告警威胁处置发送至目标终端,以使所述目标终端根据各异常威胁行为的不同安全状况或各告警威胁处置的不同类型进行显示,和/或,根据不同查询条件进行统计、排序和显示。可选地,所述告警威胁处置包括安全监测、态势感知、通报预警、等保管理、快速处置、侦查调查、追踪溯源以及情报信息的管理和挖掘。可选地,所述对所述云地结合数据进行分析,获取异常威胁行为,具体包括:对所述云地结合数据进行流式计算引擎分析、统计分析引擎分析和关联分析引擎分析,获取异常威胁行为。可选地,所述对所述云地结合数据进行分析,获取异常威胁行为,具体包括:对所述云地结合数据进行实时分析,获取异常威胁行为;其中,所述异常威胁行为包括网站篡改、网站漏洞、分布式拒绝服务DDoS攻击、高级持续性威胁APT攻击和僵木蠕毒攻击中的一种或其组合。可选地,所述APT攻击采用全流量还原采集方式对重点保护单位的网络访问行为和文件传输行为进行数据采集。可选地,所述第三方数据包括所述DDoS攻击的数据、所述APT攻击的数据和所述僵木蠕毒攻击的数据中的一种或其组合;所述本地互联网出口流量数据包括所述重点保护单位的僵木蠕毒攻击的数据和/或所述重点保护单位的网络全流量还原日志。可选地,所述对所述异常威胁行为进行安全业务闭环的告警威胁处置,具体包括:对所述异常威胁行为进行发现、阻断、取证、溯源、研判和拓展的安全业务闭环的告警威胁处置。可选地,所述方法还包括:将所述异常威胁行为对应的原始数据进行截图取证。可选地,所述方法还包括:采用可机读格式将所述异常威胁行为发送到本地服务器。第二方面,本专利技术实施例还提出一种云地结合的数据处理装置,包括:数据采集模块,用于对本地互联网出口流量数据、云端情报数据、第三方数据和等保管理数据进行数据采集,得到云地结合数据;数据分析模块,用于对所述云地结合数据进行分析,获取异常威胁行为;威胁处置模块,用于对所述异常威胁行为进行安全业务闭环的告警威胁处置。可选地,所述装置还包括:显示模块,用于将所述异常威胁行为和所述告警威胁处置发送至目标终端,以使所述目标终端根据各异常威胁行为的不同安全状况或各告警威胁处置的不同类型进行显示,和/或,根据不同查询条件进行统计、排序和显示。可选地,所述告警威胁处置包括安全监测、态势感知、通报预警、等保管理、快速处置、侦查调查、追踪溯源以及情报信息的管理和挖掘。可选地,所述数据分析模块具体用于对所述云地结合数据进行流式计算引擎分析、统计分析引擎分析和关联分析引擎分析,获取异常威胁行为。可选地,所述数据分析模块具体用于对所述云地结合数据进行实时分析,获取异常威胁行为;其中,所述异常威胁行为包括网站篡改、网站漏洞、分布式拒绝服务DDoS攻击、高级持续性威胁APT攻击和僵木蠕毒攻击中的一种或其组合。可选地,所述APT攻击采用全流量还原采集方式对重点保护单位的网络访问行为和文件传输行为进行数据采集。可选地,所述第三方数据包括所述DDoS攻击的数据、所述APT攻击的数据和所述僵木蠕毒攻击的数据中的一种或其组合;所述本地互联网出口流量数据包括所述重点保护单位的僵木蠕毒攻击的数据和/或所述重点保护单位的网络全流量还原日志。可选地,所述威胁处置模块具体用于对所述异常威胁行为进行发现、阻断、取证、溯源、研判和拓展的安全业务闭环的告警威胁处置。可选地,所述装置还包括:取证模块,用于将所述异常威胁行为对应的原始数据进行截图取证。可选地,所述装置还包括:行为发送模块,用于采用可机读格式将所述异常威胁行为发送到本地服务器。第三方面,本专利技术实施例还提出一种电子设备,包括:至少一个处理器;以及与所述处理器通信连接的至少一个存储器,其中:所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行上述方法。第四方面,本专利技术实施例还提出一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机程序,所述计算机程序使所述计算机执行上述方本文档来自技高网...
【技术保护点】
一种云地结合的数据处理方法,其特征在于,包括:对本地互联网出口流量数据、云端情报数据、第三方数据和等保管理数据进行数据采集,得到云地结合数据;对所述云地结合数据进行分析,获取异常威胁行为;对所述异常威胁行为进行安全业务闭环的告警威胁处置。
【技术特征摘要】
1.一种云地结合的数据处理方法,其特征在于,包括:对本地互联网出口流量数据、云端情报数据、第三方数据和等保管理数据进行数据采集,得到云地结合数据;对所述云地结合数据进行分析,获取异常威胁行为;对所述异常威胁行为进行安全业务闭环的告警威胁处置。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:将所述异常威胁行为和所述告警威胁处置发送至目标终端,以使所述目标终端根据各异常威胁行为的不同安全状况或各告警威胁处置的不同类型进行显示,和/或,根据不同查询条件进行统计、排序和显示。3.根据权利要求1所述的方法,其特征在于,所述告警威胁处置包括安全监测、态势感知、通报预警、等保管理、快速处置、侦查调查、追踪溯源以及情报信息的管理和挖掘。4.根据权利要求1所述的方法,其特征在于,所述对所述云地结合数据进行分析,获取异常威胁行为,具体包括:对所述云地结合数据进行流式计算引擎分析、统计分析引擎分析和关联分析引擎分析,获取异常威胁行为。5.根据权利要求1所述的方法,其特征在于,所述对所述云地结合数据进行分析,获取异常威胁行为,具体包括:对所述云地结合数据进行实时分析,获取异常威胁行为;其中,所述异常威胁行为包括网站篡改、网站漏洞、分布式拒绝服务DDoS攻击、高级持续性威胁APT攻击和僵木蠕毒攻击中的一种或其组合。6.根据权利要求5所述的方法,其特征在于,所述APT攻击采用全流量还原采集方式对重点保护单位的网络访问行为和文件传输行为进行数据采集。7.根据权利要求5所述的方法,其特征在于,所述第三方数据包括所述DDoS攻击的数据、所述APT攻击的数据和所述僵木蠕毒攻击的数据中的一种或其组合;所述本地互联网出口流量数据包括所述重点保护单位的僵木蠕毒攻击的数据和/或所述重点保护单位的网络全流量还原日志。8.根据权利要求1所述的方法,其特征在于,所述对所述异常威胁行为进行安全业务闭环的告警威胁处置,具体包括:对所述异常威胁行为进行发现、阻断、取证、溯源、研判和拓展的安全业务闭环的告警威胁处置。9.根据权利要求1所述的方法,其特征在于,所述方法还包括:将所述异常威胁行为对应的原始数据进行截图取证。10.根据权利要求1所述的方法,其特征在于,所述方法还包括:采用可机读格式将所述异常威胁行为发送到本地服务器。11.一种云地结合的数据处理装置,其特征在于,包括:数据采集模块,用于对本地互联网出口流量数据、云端情报数据、第三方数据和等保管理数据进行数据采集,得到云地结合数据;数据分析模块,用于对所述云地结合...
【专利技术属性】
技术研发人员:冯利,高铭浩,
申请(专利权)人:北京奇安信科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。