本申请公开了一种处理安全数据的系统及方法。其中,该系统包括:基于流式计算框架的计算模块,用于按照预定时序接收目标时段内来自多种安全设备的告警日志,基于预设映射规则将告警日志转化为安全告警数据流,并开启多线程对安全告警数据流进行分析得到安全告警分析结果,其中,安全告警分析结果至少用于指示安全设备的网络安全状态;可视化模块,用于接收安全告警分析结果,并展示安全告警分析结果。本申请解决了相关技术中管理平台数据处理能力有限,缺乏有效架构支撑造成的安全问题漏报严重,难以对安全风险进行有效评估的技术问题。题。题。
【技术实现步骤摘要】
处理安全数据的系统及方法
[0001]本申请涉及数据处理领域,具体而言,涉及一种处理安全数据的系统及方法。
技术介绍
[0002]相关技术中的管理平台,数据处理能力有限,缺乏有效的架构支撑,对威胁的识别能力有限,缺乏综合分析,导致漏报严重,且不能实时预测,安全场景以被动响应为主,难以对风险进行有效评估与准确预判。
[0003]针对上述的问题,目前尚未提出有效的解决方案。
技术实现思路
[0004]本申请实施例提供了一种处理安全数据的系统及方法,以至少解决相关技术中管理平台数据处理能力有限,缺乏有效架构支撑造成的安全问题漏报严重,难以对安全风险进行有效评估的技术问题。
[0005]根据本申请实施例的一个方面,提供了一种处理安全数据的系统及方法,包括:基于流式计算框架的计算模块,用于按照预定时序接收目标时段内来自多种安全设备的告警日志,基于预设映射规则将告警日志转化为安全告警数据流,并开启多线程对安全告警数据流进行分析得到安全告警分析结果,其中,安全告警分析结果至少用于指示安全设备的网络安全状态;可视化模块,用于接收安全告警分析结果,并展示安全告警分析结果。
[0006]可选地,计算模块,还用于在目标时段内告警日志的数量大于预设阈值的情况下,启动微批次处理窗口,并根据告警日志的数量确定微批次处理窗口的大小与步长。
[0007]可选地,计算模块,还用于确定系统对处理告警日志的延时性要求,并根据告警日志的数量与延时性要求确定微批次处理窗口的大小与步长,其中,延时性对应的时长越小,则微批次处理窗口越大,步长越小。
[0008]可选地,计算模块,还用于根据多种安全设备的告警日志对应的安全告警数据流大小为每条安全告警数据流划分不同的分区算子,其中,不同的分区算子对应的处理资源数量不同,安全告警数据流越大,划分到的分区算子的处理资源数量越多。
[0009]可选地,系统还包括:存储模块,存储模块包括外置存储模块与内置存储模块,其中,外置存储模块用于缓存计算模块在对告警日志分析过程中应用运行的状态数据,计算模块还用于间隔预定周期读取外置存储模块中存储的数据,并将该数据保存至内置存储模块。
[0010]可选地,计算模块,还用于将前置多线程计算分析输出的每一条安全告警数据流作为后置线程分析的输入,以用于构建多级规则分析逻辑,其中,前置多线程对应的告警处理数据规则与后置线程对应的告警处理数据规则不同。
[0011]可选地,系统还包括策略管理模块,用于接收目标对象的操作指令,以用于对处理告警日志的分析规则进行调整。
[0012]可选地,流式计算框架包括:Flink分布式引擎框架。
[0013]根据本申请实施例的另一方面,还提供了一种处理安全数据的方法,包括:按照预定时序接收目标时段内来自多种安全设备的告警日志,基于预设映射规则将告警日志转化为安全告警数据流;开启多线程对安全告警数据流进行分析,得到安全告警分析结果,其中,安全告警分析结果用于指示安全设备的网络安全状态;展示安全告警分析结果。
[0014]根据本申请实施例的另一方面,还提供了一种非易失性存储介质,存储介质包括存储的程序,其中,在程序运行时控制存储介质所在设备执行上述处理安全数据的方法。
[0015]根据本申请实施例的另一方面,还提供了一种电子设备,包括:处理器;用于存储处理器可执行指令的存储器;其中,处理器被配置为执行指令,以实现上述处理安全数据的方法。
[0016]在本申请实施例中,采用基于Flink流式计算框架对安全告警日志进行分析的方式,通过基于流式计算框架的计算模块,用于按照预定时序接收目标时段内来自多种安全设备的告警日志,基于预设映射规则将告警日志转化为安全告警数据流,并开启多线程对安全告警数据流进行分析得到安全告警分析结果,其中,安全告警分析结果至少用于指示安全设备的网络安全状态;可视化模块,用于接收安全告警分析结果,并展示安全告警分析结果,达到了赋予安全告警数据的流式实时计算能力,减少安全问题漏报,提高安全风险评估能力,降低安全风险的技术效果,进而解决了相关技术中管理平台数据处理能力有限,缺乏有效架构支撑造成的安全问题漏报严重,难以对安全风险进行有效评估的技术问题。
附图说明
[0017]此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
[0018]图1是根据本申请实施例一种可选的处理安全数据的系统的结构示意图;
[0019]图2是根据本申请实施例的一种可选的处理安全数据的方法的流程示意图;
[0020]图3是本申请一实施例中网络安全分析的系统结构图;
[0021]图4是本申请一实施例中处理安全数据的流程示意图;
具体实施方式
[0022]为了使本
的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
[0023]需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
[0024]近年来,随着外部网络安全攻防对抗形势越趋激烈,如何保障金融领域,关键信息基础设施发生的网络安全事件及时响应,提高网络安全态势感知、事件分析、追踪溯源,有效应对高智能攻击,为基础设施提供重点保障和支持。尤其在网络安全演习等重大保障活动时,应急响应的速度和质量决定了一次重大安全事件能否成功应对并挽回损失。另一方面,需要应对的攻击和威胁变得日益复杂,这些威胁具有隐蔽性强、潜伏期长、持续性强的特点。
[0025]相关安全管理平台的局限性,主要体现在以下三个方面:
[0026]1、数据处理能力有限,缺乏有效的架构支撑:面对海量流量数据、海量异构高维数据以及存储和管理的场景下遇到困难;安全设备和网络应用产生的安全事件数量巨大。
[0027]2、威胁识别能力有限,缺乏安全智能:安全事件之间存在横向和纵向(如不同空间来源,时间序列等)的关系未能得到综合分析。因此漏报严重,不能实时预测。
[0028]3、安全预判能力有限,处于被动角色:安全运营大多数场景下是以被动应急响应为主,难以对风险进行提前评估与研判,总是疲于救火。
本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种处理安全数据的系统,其特征在于,包括:基于流式计算框架的计算模块,用于按照预定时序接收目标时段内来自多种安全设备的告警日志,基于预设映射规则将所述告警日志转化为安全告警数据流,并开启多线程对所述安全告警数据流进行分析得到安全告警分析结果,其中,所述安全告警分析结果至少用于指示所述安全设备的网络安全状态;可视化模块,用于接收所述安全告警分析结果,并展示所述安全告警分析结果。2.根据权利要求1所述的系统,其特征在于,所述计算模块,还用于在所述目标时段内所述告警日志的数量大于预设阈值的情况下,启动微批次处理窗口,并根据所述告警日志的数量确定微批次处理窗口的大小与步长。3.根据权利要求2所述的系统,其特征在于,所述计算模块,还用于确定所述系统对处理告警日志的延时性要求,并根据所述告警日志的数量与所述延时性要求确定微批次处理窗口的大小与步长,其中,所述延时性对应的时长越小,则所述微批次处理窗口越大,所述步长越小。4.根据权利要求1所述的系统,其特征在于,所述计算模块,还用于根据多种安全设备的告警日志对应的安全告警数据流大小为每条安全告警数据流划分不同的分区算子,其中,不同的分区算子对应的处理资源数量不同,所述安全告警数据流越大,划分到的分区算子的处理资源数量越多。5.根据权利要求1所述的系统,其特征在于,所述系统还包括:存储模块,所述存储模块包括外置存储模块与内置存储模块,其中,所述外置存储模块用于缓存所述计算模块在对所述告警日志分析过程中应...
【专利技术属性】
技术研发人员:侯荣晖,吴基科,严文彬,肖鸣,林良超,姚佳淼,罗少飞,
申请(专利权)人:广发银行股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。