CN115589324B - 基于云计算的数据安全防御应急***及方法 - Google Patents
基于云计算的数据安全防御应急***及方法 Download PDFInfo
- Publication number
- CN115589324B CN115589324B CN202211288992.3A CN202211288992A CN115589324B CN 115589324 B CN115589324 B CN 115589324B CN 202211288992 A CN202211288992 A CN 202211288992A CN 115589324 B CN115589324 B CN 115589324B
- Authority
- CN
- China
- Prior art keywords
- log data
- security
- target log
- historical
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000007123 defense Effects 0.000 title claims abstract description 29
- 238000000034 method Methods 0.000 title claims abstract description 16
- 238000013507 mapping Methods 0.000 claims abstract description 38
- 238000004458 analytical method Methods 0.000 claims abstract description 10
- 239000011159 matrix material Substances 0.000 claims description 20
- 238000007781 pre-processing Methods 0.000 claims description 16
- 239000000284 extract Substances 0.000 claims description 4
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000005206 flow analysis Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/11—File system administration, e.g. details of archiving or snapshots
- G06F16/116—Details of conversion of file system types or formats
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/14—Details of searching files based on file metadata
- G06F16/148—File search processing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/17—Details of further file system functions
- G06F16/1734—Details of monitoring file system events, e.g. by the use of hooks, filter drivers, logs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Data Mining & Analysis (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Computer Hardware Design (AREA)
- Library & Information Science (AREA)
- Alarm Systems (AREA)
Abstract
本发明具体涉及一种基于云计算的数据安全防御应急***及方法,其***包括搭建在云服务器上的收集单元,用于收集历史的异构安全设备的日志数据,并将历史的异构安全设备的日志数据格式转换为对应的目标日志数据,还用于获取历史的异构安全设备的日志数据所对应的威胁情报分析后的安全事件及关联设备;建模单元用于对历史的目标日志数据提取特征值,然后基于原目标日志数据与其安全事件的对应关系建立目标日志数据的特征值与安全事件的一对一映射关系R1,基于原目标日志数据与其关联设备的对应关系建立目标日志数据的特征值与关联设备的一对一映射关系R2,还用于通过历史数据学习并修改映射关系R1与映射关系R2。
Description
技术领域
本发明具体涉及一种基于云计算的数据安全防御应急***及方法。
背景技术
目前网络已经实现分区分域,网络专用的安全架构是通过在网络中部署防火墙、入侵检测、入侵防御、流量分析和威胁溯源等对采集的安全设备的日志数据进行针对处理,以实现网络安全防御。而这种网络安全防御技术,具有被动防御的能力,还不能实现跨平台和跨区域的安全设备协同防御,导致网络安全防护效率低下,为解决该类问题相关技术如专利文献CN11405143A公开了一种面向异构安全设备的智能化协同防御的技术,该技术先获取异构安全设备的多个待处理日志数据,按照预设数据规则分别对各待处理日志数据进行格式转换,获得多个目标日志数据,然后对多个所述目标日志数据分别进行威胁情报分析,获得各目标日志数据对应的安全事件及关联设备,最后基于安全事件及关联设备对多个待处理日志数据进行协同防御,该技术本质在于将防御资源共享,但实践中这类技术仍面临两种问题:1.协同防御对运算量运算速度要求高,传统的运算机器难以胜任;2.协同防御中因为需查找大量的关联安全设备,其中查找中很多工作重复性高且查找不精准,过度浪费了运算资源,降低了效率。
发明内容
本发明的目的在于提供一种基于云计算的数据安全防御应急***及方法,以解决上述背景技术中提出的问题。
为了解决上述技术问题,本发明提供如下技术方案:
基于云计算的数据安全防御应急***,包括搭建在云服务器上的收集单元,用于收集历史的异构安全设备的日志数据,并将历史的异构安全设备的日志数据格式转换为对应的目标日志数据,还用于获取历史的异构安全设备的日志数据所对应的威胁情报分析后的安全事件及关联设备;建模单元用于对历史的目标日志数据提取特征值,然后基于原目标日志数据与其安全事件的对应关系建立目标日志数据的特征值与安全事件的一对一映射关系R1,基于原目标日志数据与其关联设备的对应关系建立目标日志数据的特征值与关联设备的一对一映射关系R2,还用于通过历史数据学习并修改映射关系R1与映射关系R2;预处理单元,用于在对某一异构安全设备的日志数据格式转换后且获取对应安全事件及关联设备前先计算该异构安全设备的日志数据所对应的特征值,然后以特征值与R1,R2查找对应的安全事件及关联设备。
进一步,对历史的目标日志数据提取特征值,具体为计算目标日志数据与一个标准框架日志数据的差值,得到一个新的目标日志数据,然后计算新的目标日志数据的MD5值,该MD5值即提取的特征值。
进一步,计算目标日志数据与一个标准框架日志数据的差值,具体地,将目标日志数据按预设规则填充到一个方阵中,然后将标准框架日志数据也填充到同类的方阵中,计算两个方阵的每一个同行同列元素的欧式距离,将两个方阵的每一个同行同列元素的欧式距离填充到同类方阵中得到填差方阵,将该填差方阵按预设规则还原为一日志数据,该还原的日志数据即新的目标日志数据。
进一步,预处理单元在计算某一异构安全设备的日志数据所对应特征值之前需要先将异构安全设备的日志数据格式转换获取对应的目标日志数据,预处理单元在计算目标日志数据的特征值时使用的方法与建模单元计算目标日志数据的特征值的方法相同。
进一步,包括有处理器,该处理器用于执行在云服务器上各个功能单元对应的代码。
基于云计算的数据安全防御应急方法,包括步骤有,收集单元收集历史的异构安全设备的日志数据,并将历史的异构安全设备的日志数据格式转换为对应的目标日志数据,还获取历史的异构安全设备的日志数据所对应的威胁情报分析后的安全事件及关联设备;建模单元对历史的目标日志数据提取特征值,然后基于原目标日志数据与其安全事件的对应关系建立目标日志数据的特征值与安全事件的一对一映射关系R1,基于原目标日志数据与其关联设备的对应关系建立目标日志数据的特征值与关联设备的一对一映射关系R2,通过历史数据学习并修改映射关系R1与映射关系R2;预处理单元在对某一异构安全设备的日志数据格式转换后且获取对应安全事件及关联设备前先计算该异构安全设备的日志数据所对应的特征值,然后以特征值与R1,R2查找对应的安全事件及关联设备。
与现有技术相比,本发明的有益效果是:
本申请通过云服务器作基础解决了现有技术的第一个问题即“协同防御对运算量运算速度要求高,传统的运算机器难以胜任”;通过查找映射关系R1,R2确定安全事件及关联设备,提高了效率与运算资源利用率解决了现有技术的第二个问题即“协同防御中因为需查找大量的关联安全设备,其中查找中很多工作重复性高且查找不精准,过度浪费了运算资源,降低了效率”。
附图说明
图1为本发明的方法流程图。
具体实施方式
下面将结合本发明实施例,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本申请公开了基于云计算的数据安全防御应急***,其包括搭建在云服务器上的收集单元,用于收集历史的异构安全设备的日志数据,并将历史的异构安全设备的日志数据格式转换为对应的目标日志数据,还用于获取历史的异构安全设备的日志数据所对应的威胁情报分析后的安全事件及关联设备;建模单元用于对历史的目标日志数据提取特征值,然后基于原目标日志数据与其安全事件的对应关系建立目标日志数据的特征值与安全事件的一对一映射关系R1,基于原目标日志数据与其关联设备的对应关系建立目标日志数据的特征值与关联设备的一对一映射关系R2,还用于通过历史数据学习并修改映射关系R1与映射关系R2;预处理单元,用于在对某一异构安全设备的日志数据格式转换后且获取对应安全事件及关联设备前先计算该异构安全设备的日志数据所对应的特征值,然后以特征值与R1,R2查找对应的安全事件及关联设备。实施之中,,收集单元收集历史的异构安全设备的日志数据,并将历史的异构安全设备的日志数据格式转换为对应的目标日志数据,还获取历史的异构安全设备的日志数据所对应的威胁情报分析后的安全事件及关联设备;建模单元对历史的目标日志数据提取特征值,然后基于原目标日志数据与其安全事件的对应关系建立目标日志数据的特征值与安全事件的一对一映射关系R1,基于原目标日志数据与其关联设备的对应关系建立目标日志数据的特征值与关联设备的一对一映射关系R2,通过历史数据学习并修改映射关系R1与映射关系R2;预处理单元在对某一异构安全设备的日志数据格式转换后且获取对应安全事件及关联设备前先计算该异构安全设备的日志数据所对应的特征值,然后以特征值与R1,R2查找对应的安全事件及关联设备。
优选地,对历史的目标日志数据提取特征值,具体为计算目标日志数据与一个标准框架日志数据的差值,得到一个新的目标日志数据,然后计算新的目标日志数据的MD5值,该MD5值即提取的特征值。
优选地,计算目标日志数据与一个标准框架日志数据的差值,具体地,将目标日志数据按预设规则填充到一个方阵中,然后将标准框架日志数据也填充到同类的方阵中,计算两个方阵的每一个同行同列元素的欧式距离,将两个方阵的每一个同行同列元素的欧式距离填充到同类方阵中得到填差方阵,将该填差方阵按预设规则还原为一日志数据,该还原的日志数据即新的目标日志数据。
优选地,预处理单元在计算某一异构安全设备的日志数据所对应特征值之前需要先将异构安全设备的日志数据格式转换获取对应的目标日志数据,预处理单元在计算目标日志数据的特征值时使用的方法与建模单元计算目标日志数据的特征值的方法相同。
优选地,还包括有处理器,该处理器用于执行在云服务器上各个功能单元对应的代码。
本申请还公开了基于云计算的数据安全防御应急方法,如图1所示,包括步骤有,收集单元收集历史的异构安全设备的日志数据,并将历史的异构安全设备的日志数据格式转换为对应的目标日志数据,还获取历史的异构安全设备的日志数据所对应的威胁情报分析后的安全事件及关联设备;建模单元对历史的目标日志数据提取特征值,然后基于原目标日志数据与其安全事件的对应关系建立目标日志数据的特征值与安全事件的一对一映射关系R1,基于原目标日志数据与其关联设备的对应关系建立目标日志数据的特征值与关联设备的一对一映射关系R2,通过历史数据学习并修改映射关系R1与映射关系R2;预处理单元在对某一异构安全设备的日志数据格式转换后且获取对应安全事件及关联设备前先计算该异构安全设备的日志数据所对应的特征值,然后以特征值与R1,R2查找对应的安全事件及关联设备。
在一种具体的实施中,本申请公开了基于云计算的数据安全防御应急***,其包括搭建在云服务器上的收集单元,用于收集历史的异构安全设备的日志数据,并将历史的异构安全设备的日志数据格式转换为对应的目标日志数据,还用于获取历史的异构安全设备的日志数据所对应的威胁情报分析后的安全事件及关联设备;建模单元用于对历史的目标日志数据提取特征值,然后基于原目标日志数据与其安全事件的对应关系建立目标日志数据的特征值与安全事件的一对一映射关系R1,基于原目标日志数据与其关联设备的对应关系建立目标日志数据的特征值与关联设备的一对一映射关系R2,还用于通过历史数据学习并修改映射关系R1与映射关系R2;预处理单元,用于在对某一异构安全设备的日志数据格式转换后且获取对应安全事件及关联设备前先计算该异构安全设备的日志数据所对应的特征值,然后以特征值与R1,R2查找对应的安全事件及关联设备;对历史的目标日志数据提取特征值,具体为计算目标日志数据与一个标准框架日志数据的差值,得到一个新的目标日志数据,然后计算新的目标日志数据的MD5值,该MD5值即提取的特征值;计算目标日志数据与一个标准框架日志数据的差值,具体地,将目标日志数据按预设规则填充到一个方阵中,然后将标准框架日志数据也填充到同类的方阵中,计算两个方阵的每一个同行同列元素的欧式距离,将两个方阵的每一个同行同列元素的欧式距离填充到同类方阵中得到填差方阵,将该填差方阵按预设规则还原为一日志数据,该还原的日志数据即新的目标日志数据;预处理单元在计算某一异构安全设备的日志数据所对应特征值之前需要先将异构安全设备的日志数据格式转换获取对应的目标日志数据,预处理单元在计算目标日志数据的特征值时使用的方法与建模单元计算目标日志数据的特征值的方法相同。本申请通过云服务器作基础解决了现有技术的第一个问题即“协同防御对运算量运算速度要求高,传统的运算机器难以胜任”;通过查找映射关系R1,R2确定安全事件及关联设备,提高了效率与运算资源利用率解决了现有技术的第二个问题即“协同防御中因为需查找大量的关联安全设备,其中查找中很多工作重复性高且查找不精准,过度浪费了运算资源,降低了效率”。
最后应说明的是:以上所述仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (4)
1.基于云计算的数据安全防御应急***,其特征在于,包括搭建在云服务器上的收集单元,用于收集历史的异构安全设备的日志数据,并将历史的异构安全设备的日志数据格式转换为对应的目标日志数据,还用于获取历史的异构安全设备的日志数据所对应的威胁情报分析后的安全事件及关联设备,建模单元用于对历史的目标日志数据提取特征值,然后基于原目标日志数据与其安全事件的对应关系建立目标日志数据的特征值与安全事件的一对一映射关系R1,基于原目标日志数据与其关联设备的对应关系建立目标日志数据的特征值与关联设备的一对一映射关系R2,还用于通过历史数据学习并修改映射关系R1与映射关系R2,预处理单元,用于在对某一异构安全设备的日志数据格式转换后且获取对应安全事件及关联设备前先计算该异构安全设备的日志数据所对应的特征值,然后以特征值与R1,R2查找对应的安全事件及关联设备;
对历史的目标日志数据提取特征值,具体为计算目标日志数据与一个标准框架日志数据的差值,得到一个新的目标日志数据,然后计算新的目标日志数据的MD5值,该MD5值即提取的特征值;
计算目标日志数据与一个标准框架日志数据的差值,具体地,将目标日志数据按预设规则填充到一个方阵中,然后将标准框架日志数据也填充到同类的方阵中,计算两个方阵的每一个同行同列元素的欧式距离,将两个方阵的每一个同行同列元素的欧式距离填充到同类方阵中得到填差方阵,将该填差方阵按预设规则还原为一日志数据,该还原的日志数据即新的目标日志数据。
2.根据权利要求1所述的基于云计算的数据安全防御应急***,其特征在于,预处理单元在计算某一异构安全设备的日志数据所对应特征值之前需要先将异构安全设备的日志数据格式转换获取对应的目标日志数据,预处理单元在计算目标日志数据的特征值时使用的方法与建模单元计算目标日志数据的特征值的方法相同。
3.根据权利要求1所述的基于云计算的数据安全防御应急***,其特征在于,包括有处理器,该处理器用于执行在云服务器上各个功能单元对应的代码。
4.利用权利要求1所述基于云计算的数据安全防御应急***的方法,其特征在于,包括步骤有,收集单元收集历史的异构安全设备的日志数据,并将历史的异构安全设备的日志数据格式转换为对应的目标日志数据,还获取历史的异构安全设备的日志数据所对应的威胁情报分析后的安全事件及关联设备;建模单元对历史的目标日志数据提取特征值,然后基于原目标日志数据与其安全事件的对应关系建立目标日志数据的特征值与安全事件的一对一映射关系R1,基于原目标日志数据与其关联设备的对应关系建立目标日志数据的特征值与关联设备的一对一映射关系R2,通过历史数据学习并修改映射关系R1与映射关系R2;预处理单元在对某一异构安全设备的日志数据格式转换后且获取对应安全事件及关联设备前先计算该异构安全设备的日志数据所对应的特征值,然后以特征值与R1,R2查找对应的安全事件及关联设备。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211288992.3A CN115589324B (zh) | 2022-10-20 | 2022-10-20 | 基于云计算的数据安全防御应急***及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211288992.3A CN115589324B (zh) | 2022-10-20 | 2022-10-20 | 基于云计算的数据安全防御应急***及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115589324A CN115589324A (zh) | 2023-01-10 |
CN115589324B true CN115589324B (zh) | 2024-06-04 |
Family
ID=84781030
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211288992.3A Active CN115589324B (zh) | 2022-10-20 | 2022-10-20 | 基于云计算的数据安全防御应急***及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115589324B (zh) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114205143A (zh) * | 2021-12-09 | 2022-03-18 | 国家电网有限公司信息通信分公司 | 一种面向异构安全设备的智能化协同防御的方法及*** |
CN114205146A (zh) * | 2021-12-10 | 2022-03-18 | 北京天融信网络安全技术有限公司 | 一种多源异构安全日志的处理方法及装置 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106790023B (zh) * | 2016-12-14 | 2019-03-01 | 平安科技(深圳)有限公司 | 网络安全联合防御方法和装置 |
-
2022
- 2022-10-20 CN CN202211288992.3A patent/CN115589324B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114205143A (zh) * | 2021-12-09 | 2022-03-18 | 国家电网有限公司信息通信分公司 | 一种面向异构安全设备的智能化协同防御的方法及*** |
CN114205146A (zh) * | 2021-12-10 | 2022-03-18 | 北京天融信网络安全技术有限公司 | 一种多源异构安全日志的处理方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN115589324A (zh) | 2023-01-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109582551B (zh) | 日志数据解析方法、装置、计算机设备和存储介质 | |
CN111866016B (zh) | 日志的分析方法及*** | |
CN107104951B (zh) | 网络攻击源的检测方法和装置 | |
CN106709012A (zh) | 一种大数据分析方法及装置 | |
CN109684052B (zh) | 事务分析方法、装置、设备及存储介质 | |
CN105072115B (zh) | 一种基于Docker虚拟化的信息***入侵检测方法 | |
CN112822189A (zh) | 一种流量识别方法及装置 | |
CN116599857B (zh) | 一种适用于物联网多场景的数字孪生应用*** | |
CN114491524A (zh) | 一种应用于智慧网络安全的大数据通讯*** | |
CN111538741A (zh) | 一种面向警情大数据的深度学习分析方法及*** | |
CN112804348A (zh) | 云监测中心对边缘计算节点上报数据的重复性判定方法 | |
CN114819004A (zh) | 一种基于多源数据融合的违章辨识方法及*** | |
CN114531273A (zh) | 一种防御工业网络***分布式拒绝服务攻击的方法 | |
CN116662282A (zh) | 一种基于多维数据的服务数据处理共享*** | |
CN115589324B (zh) | 基于云计算的数据安全防御应急***及方法 | |
CN112486676B (zh) | 一种基于边缘计算的数据共享分发装置 | |
CN109981594A (zh) | 基于大数据的网络安全态势感知方法 | |
CN112380126A (zh) | Web***健康预测装置及方法 | |
CN110661999A (zh) | 一种基于大数据的视频监控*** | |
CN110855654B (zh) | 基于流量互访关系的漏洞风险量化管理方法和*** | |
CN112187834A (zh) | 一种基于安全存储的区块链网络节点服务*** | |
CN115767601A (zh) | 一种基于多维数据的5gc网元自动化纳管方法及装置 | |
CN108183821A (zh) | 一种面向电网业务的应用性能获取方法及装置 | |
CN113569122B (zh) | 一种地图瓦片数据爬虫的识别方法及*** | |
CN107992590B (zh) | 一种有利于信息比对的大数据*** |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
TA01 | Transfer of patent application right | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20240510 Address after: 100010 Zuoanmen Neizuoanyiyuan 1-5-1301, Dongcheng District, Beijing Applicant after: Zhou Sihua Country or region after: China Address before: 311800 Room 301, East of Complex, No. 380, Zhongyang Road, Diankou Town, Zhuji City, Shaoxing City, Zhejiang Province Applicant before: Zhuji Hengjia New Energy Co.,Ltd. Country or region before: China |
|
GR01 | Patent grant | ||
GR01 | Patent grant |