本公开提供了一种网络安全告警方法、装置、电子设备及存储介质,通过采集目标网络对应的实时网络数据;通过实时计算数据流引擎标记包括实体标记以及漏洞特征标记的实时标记数据流;通过流批一体数据流引擎,归一化实时标记数据流以及对应自存储层的批处理数据流,确定实时网络数据对应的归一化数据流;将归一化数据流输入至资源聚合引擎,识别并标记归一化数据流对应的资源数据,将资源数据存储至关系数据库;将归一化数据流输入至告警引擎,根据实体标记以及漏洞特征标记执行告警规则,触发告警事件。可以增加网络安全系统的运行时的实时编排能力并提供高可用的分析能力,满足网络安全防护垂直领域的弹性响应需求。络安全防护垂直领域的弹性响应需求。络安全防护垂直领域的弹性响应需求。
【技术实现步骤摘要】
一种网络安全告警方法、装置、电子设备及存储介质
[0001]本公开涉及网络安全
,具体而言,涉及一种网络安全告警方法、装置、电子设备及存储介质。
技术介绍
[0002]近年来,网络安全问题日益突出,随之网络安全哨兵系统也日益重要。网络安全哨兵系统可以侦测网络攻击行为,并及时告警,是网络安全的重要防线。网络安全哨兵系统通常采用通用的互联网大数据架构分层,从数据到终端用户依次可分层为:数据采集层、数据流计算引擎、存储中心、数据分析层、应用服务端和应用客户端(网页),能够满足一定的网络安全需求。
[0003]现有技术方案基于消费互联网通用大数据架构,不能真正满足网络安全垂直领域的实时海量数据规模、数据特征及计算需求。首先,其未改变用户在数据链中的末端地位,未能将用户视作实时数据流中的一种数据源和真正的安全决策者,导致用户安全决策和数据流安全规则决策之间关系混乱。其次,现有技术方案架构分层的层级较多、链路较长、弹性不足,并容易达到资源瓶颈。最后,现有技术方案通常没有很好的数据分析层,不能很好地满足完备性与可靠性。
技术实现思路
[0004]本公开实施例至少提供一种网络安全告警方法、装置、电子设备及存储介质,可以增加网络安全系统的运行时的实时编排能力并保证编排后的可靠性与健壮性,并提供高可用的分析能力,满足网络安全防护垂直领域的弹性响应需求。
[0005]本公开实施例提供了一种网络安全告警方法,所述方法包括:
[0006]采集目标网络对应的实时网络数据;
[0007]通过预设的实时计算数据流引擎标记所述实时网络数据对应的实时标记数据流,其中,所述实时标记数据流中包括实体标记以及漏洞特征标记;
[0008]通过预设的流批一体数据流引擎,归一化所述实时标记数据流以及对应自存储层的批处理数据流,确定所述实时网络数据对应的归一化数据流;
[0009]将所述归一化数据流输入至预设的资源聚合引擎,识别并标记所述归一化数据流对应的资源数据,将所述资源数据存储至预设的关系数据库;
[0010]将所述归一化数据流输入至预设的告警引擎,根据所述实体标记以及所述漏洞特征标记执行预设的告警规则,触发告警事件。
[0011]一种可选的实施方式中,所述通过预设的实时计算数据流引擎标记所述实时网络数据对应的实时标记数据流,其中,所述实时标记数据流中包括实体标记以及漏洞特征标记,具体包括:
[0012]调用预设的漏洞特征扫描引擎标记所述实时网络数据对应的漏洞特征,调用预设的实体识别引擎标记所述实时网络数据对应的实体,确定所述实时标记数据流;
[0013]获取与用户交互的漏洞更新操作以及语言模型更新操作,将所述漏洞更新操作以及所述语言模型更新操作归一化为数据流事件;
[0014]通过所述实时计算数据流引擎处理所述数据流事件,根据所述漏洞更新操作以及所述语言模型更新操作,更新所述漏洞特征扫描引擎中的漏洞库以及所述实体识别引擎中的自然语言模型。
[0015]一种可选的实施方式中,所述批处理数据流对应的批处理操作,由所述实时标记数据流对应的特征标记事件以及预设定时事件或预设交互事件触发;
[0016]针对所述预设交互事件,当检测到所述预设交互事件时,将所述预设交互事件归一化至数据流事件。
[0017]一种可选的实施方式中,所述将所述归一化数据流输入至预设的资源聚合引擎,识别并标记所述归一化数据流对应的资源数据,具体包括:
[0018]调用预设资源递归网络模型,确定所述资源递归网络模型中预设的谓词逻辑公理系统;
[0019]将所述谓词逻辑公理系统中预设的谓词关系定义转换为对应的谓词逻辑操作;
[0020]根据所述谓词逻辑操作,识别所述归一化数据流对应的所述资源数据;
[0021]标记所述资源数据。
[0022]一种可选的实施方式中,基于以下步骤构建所述谓词逻辑公理系统:
[0023]由应用程序编程接口构成基础服务资源,由客户端节点和服务端节点构成基础资源节点,其中,多个所述基础服务资源可聚合为聚合服务资源,多个所述基础资源节点可聚合为聚合资源节点;
[0024]根据服务资源以及资源节点,构建资源递归聚合网络;
[0025]根据所述基础服务资源以及所述基础资源节点之间的关联逻辑,按照预设的谓词逻辑词汇表,构建所述谓词逻辑公理系统。
[0026]一种可选的实施方式中,所述方法还包括:
[0027]针对所述实时计算数据流引擎、所述流批一体数据流引擎、所述资源聚合引擎以及所述告警引擎中的每个规则执行实例,为该所述规则执行实例配置对应的操作者实例,以使规则执行行为归一化为用户交互行为;
[0028]将所述用户交互行为归一化为数据流行为。
[0029]一种可选的实施方式中,所述将所述用户交互行为归一化为数据流行为,具体包括:
[0030]将所述用户交互行为划分为数据变更行为以及数据查询行为;
[0031]针对所述数据变更行为,实例化与客户端交互的数据生产者,通过远程过程调用,推送所述数据变更行为对应的变更数据至数据流事件;
[0032]将所述数据流事件分发至对应的数据流消费者;
[0033]针对所述数据查询行为,实例化与客户端交互的数据消费者,通过远程过程调用,向服务端注册所述数据查询行为对应的事件订阅实例;
[0034]当所述数据生产者向客户端推送所述数据查询行为时,在客户端弹出所述事件订阅实例,由客户端消费所述事件订阅实例对应的数据流事件。
[0035]本公开实施例还提供一种网络安全告警装置,所述装置包括:
[0036]采集模块,用于采集目标网络对应的实时网络数据;
[0037]标记模块,用于通过预设的实时计算数据流引擎标记所述实时网络数据对应的实时标记数据流,其中,所述实时标记数据流中包括实体标记以及漏洞特征标记;
[0038]批处理转换模块,用于通过预设的流批一体数据流引擎,归一化所述实时标记数据流以及对应自存储层的批处理数据流,确定所述实时网络数据对应的归一化数据流;
[0039]资源存储模块,用于将所述归一化数据流输入至预设的资源聚合引擎,识别并标记所述归一化数据流对应的资源数据,将所述资源数据存储至预设的关系数据库;
[0040]告警模块,用于将所述归一化数据流输入至预设的告警引擎,根据所述实体标记以及所述漏洞特征标记执行预设的告警规则,触发告警事件。
[0041]本公开实施例还提供一种电子设备,包括:处理器、存储器和总线,所述存储器存储有所述处理器可执行的机器可读指令,当电子设备运行时,所述处理器与所述存储器之间通过总线通信,所述机器可读指令被所述处理器执行时执行上述网络安全告警方法,或上述网络安全告警方法中任一种可能的实施方式中的步骤。
[0042]本公开实施例还提供一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行上述网本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种网络安全告警方法,其特征在于,包括:采集目标网络对应的实时网络数据;通过预设的实时计算数据流引擎标记所述实时网络数据对应的实时标记数据流,其中,所述实时标记数据流中包括实体标记以及漏洞特征标记;通过预设的流批一体数据流引擎,归一化所述实时标记数据流以及对应自存储层的批处理数据流,确定所述实时网络数据对应的归一化数据流;将所述归一化数据流输入至预设的资源聚合引擎,识别并标记所述归一化数据流对应的资源数据,将所述资源数据存储至预设的关系数据库;将所述归一化数据流输入至预设的告警引擎,根据所述实体标记以及所述漏洞特征标记执行预设的告警规则,触发告警事件。2.根据权利要求1所述的方法,其特征在于,所述通过预设的实时计算数据流引擎标记所述实时网络数据对应的实时标记数据流,其中,所述实时标记数据流中包括实体标记以及漏洞特征标记,具体包括:调用预设的漏洞特征扫描引擎标记所述实时网络数据对应的漏洞特征,调用预设的实体识别引擎标记所述实时网络数据对应的实体,确定所述实时标记数据流;获取与用户交互的漏洞更新操作以及语言模型更新操作,将所述漏洞更新操作以及所述语言模型更新操作归一化为数据流事件;通过所述实时计算数据流引擎处理所述数据流事件,根据所述漏洞更新操作以及所述语言模型更新操作,更新所述漏洞特征扫描引擎中的漏洞库以及所述实体识别引擎中的自然语言模型。3.根据权利要求1所述的方法,其特征在于:所述批处理数据流对应的批处理操作,由所述实时标记数据流对应的特征标记事件以及预设定时事件或预设交互事件触发;针对所述预设交互事件,当检测到所述预设交互事件时,将所述预设交互事件归一化至数据流事件。4.根据权利要求1所述的方法,其特征在于,所述将所述归一化数据流输入至预设的资源聚合引擎,识别并标记所述归一化数据流对应的资源数据,具体包括:调用预设资源递归网络模型,确定所述资源递归网络模型中预设的谓词逻辑公理系统;将所述谓词逻辑公理系统中预设的谓词关系定义转换为对应的谓词逻辑操作;根据所述谓词逻辑操作,识别所述归一化数据流对应的所述资源数据;标记所述资源数据。5.根据权利要求4所述的方法,其特征在于,基于以下步骤构建所述谓词逻辑公理系统:由应用程序编程接口构成基础服务资源,由客户端节点和服务端节点构成基础资源节点,其中,多个所述基础服务资源可聚合为聚合服务资源,多个所述基础资源节点可聚合为聚合资源节点;根据服务资源以及资源节点,构建资源...
【专利技术属性】
技术研发人员:王郁,张湘江,
申请(专利权)人:北京星阑科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。