【技术实现步骤摘要】
一种网络安全源数据高效聚合及关联分析的方法与系统
[0001]本专利技术涉及工业网络安全
,尤其是一种网络安全源数据高效聚合及关联分析的方法与系统。
技术介绍
[0002]本专利技术涉及工业网络安全领域,涉及一种基于网络流量源数据和日志源数据的关联分析预警方法、数据高效聚合方法。
[0003]随着我国工业互联网的高速发展,且网络安全事故在国际上频有发生,在企业中建设网络安全监测系统变的愈发重要。在网安系统中源数据规则预警模块占据极为重要的位置,但是由于企业网络规模庞大,网络设备繁多,此模块的实现面临着源数据数量庞大,流量特征复杂、预警规则繁多等问题,导致预警模块存在实时性、高效性、精确性的缺陷。为了解决以上的问题,采用高效聚合方法对海量数据进行同特征采样的预处理用以解决数据积压的延迟问题,采用源数据关联分析的方法达到预警规则上线简便迅速,预警事件准确性高的目的。
[0004]在工业网络中,存在如防火墙、IDS、正向隔离装置、纵向加密装置等安全设备;交换机、路由器等网络设备;操作员站、工程师站、接口机等主机设备,除对以上设备进行日志监测外还需要对汇聚交换机的端口镜像进行分析,数据量庞大,在考虑硬件成本的情况下,单设备产品进行规则预警时处理能力非常差,所以需要针对来源数据进行实时预处理聚合。而目前主要的聚合方式为时间窗口聚合,即按照固定的时间间隔进行等待,满足以服务器时间为基准的区间段后,对间隔内的数据集合进行遍历,取某几条结果数据进行聚合,该方法对数据的实时性存在较大影响,必须等到时间窗口触发后才 ...
【技术保护点】
【技术特征摘要】
1.一种网络安全源数据高效聚合的方法,其特征在于,包括以下步骤:S1:选取存储媒介对网络安全源数据的聚合策略进行配置,同时选取消息队列对网络安全源数据进行接入以及结果储存,启动文件监控异步线程定时读取所述存储媒介的文件属性,同时启动观察者异步线程用于等待包含聚合策略的通知;S2:若读取到所述存储媒介的最后修改时间出现变更则读取所述存储媒介的内容,将所述存储媒介中的最新策略通知给观察者,然后继续监控存储媒介修改时间,所述观察者解析所述最新策略并根据所述最新策略更新已配置的聚合策略;S3:读取接收到的源数据中的字段对应值合并为关键字段key,与已有聚合策略的key进行比对,匹配其对应的聚合策略,结合源数据携带时间戳和其聚合策略的开始时间和结束时间,从时间窗口管理器中获取窗口对象,若窗口不存在则新建并维护到窗口管理器,基于得到的窗口对象获取到对此窗口的执行句柄;S4:根据所述接收到的数据源的关键字段的特征计算出聚合特征,基于所述执行句柄触发所述时间窗口,基于所述时间窗口执行以下聚合流程:按照所述时间窗口依次判断所述聚合特征是否已存在于窗口存储体中,若是则将所述接收到的数据源,执行所述对应的聚合策略实时地发送至下游副数据的处理体。2.根据权利要求1所述的方法,其特征在于,所述存储媒介为包括XML文件和Mysq l在内的存储组件。3.根据权利要求1所述的方法,其特征在于,所述消息队列包括Kafka和RabbitMQ。4.根据权利要求1所述的方法,其特征在于,所述S3具体包括:读取接收到的源数据并匹配其对应的聚合策略,提取所述接收到的源数据的时间戳,根据所述时间戳中的聚合时间特征计算获得所述接收到的源数据所属的时间窗口的开始时间和结束时间,执行所述时间窗口的管理器句柄,查询所述时间窗口是否存在;若存在则直接获取所述时间窗口的所有执行句柄;若不存在则基于所述开始时间和所述结束时间来创建新的时间窗口,将所述新的时间窗口保存到时间窗口管理器内,并获取所述新的时间窗口的所有执行句柄。5.根据权利要求1所述的方法,其特征在于,所述S4具体包括:根据所述对应的聚合策略并且基于关键字段的特征进行计算得到所述接收到的数据源的聚合特征,运行所述S3获取的所有执行句柄从而执行所述对应的聚合策略判断窗口存储体中是否存在相同聚合特征的数据;若存在则表示所述接收到的数据源为被聚合数据,将所述接收到的数据源保存到窗口存储体,并将所述接收到的数据源发送至下游副数据的处理体;若不存在则把所述接收到的数据源发送至下游主数据的处理体。6.一种网络安全源数据关联分析的方法,其特征在于,在权利要求1
‑
5中任一项所述的高效聚合的方法之后,还包括对网络安全源数据进行关联分析,具体包括:A1:通过用户界面进行源数据结构的动态注入,选取录入的源数据之中一定数量的数据源,根据关联需求从选取的数据源中选定若...
【专利技术属性】
技术研发人员:闫印强,孙俊虎,赵威,
申请(专利权)人:长扬科技北京股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。