CN117914692A - 内置数据处理单元的安全数据的处理方法、***及设备 - Google Patents

内置数据处理单元的安全数据的处理方法、***及设备 Download PDF

Info

Publication number
CN117914692A
CN117914692A CN202311809325.XA CN202311809325A CN117914692A CN 117914692 A CN117914692 A CN 117914692A CN 202311809325 A CN202311809325 A CN 202311809325A CN 117914692 A CN117914692 A CN 117914692A
Authority
CN
China
Prior art keywords
data
processing
safety
security
scenario
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311809325.XA
Other languages
English (en)
Inventor
郭少勇
刘岩
邱雪松
亓峰
邵苏杰
任殷林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing University of Posts and Telecommunications
Original Assignee
Beijing University of Posts and Telecommunications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing University of Posts and Telecommunications filed Critical Beijing University of Posts and Telecommunications
Priority to CN202311809325.XA priority Critical patent/CN117914692A/zh
Publication of CN117914692A publication Critical patent/CN117914692A/zh
Pending legal-status Critical Current

Links

Landscapes

  • Alarm Systems (AREA)

Abstract

本发明提供一种内置数据处理单元的安全数据的处理方法、***及设备,属于网络安全技术领域,所述方法包括:基于第一硬件加速单元,将与安全数据匹配的初始剧本,作为安全数据的处理剧本;初始剧本是云平台发送的;基于第二硬件加速单元和处理剧本,向边缘侧的安全设备发送处理指令;其中,安全设备执行处理指令,以对安全数据进行处理,硬件加速单元包括第一硬件加速单元和第二硬件加速单元。本发明实施例基于硬件加速单元处理安全数据,加快了对安全数据的处理速度;基于初始剧本,自动匹配处理剧本,实现了对安全数据的自动化处理,提高了对安全数据处理的效率。

Description

内置数据处理单元的安全数据的处理方法、***及设备
技术领域
本发明涉及网络安全技术领域,尤其涉及一种内置数据处理单元的安全数据的处理方法、***及设备。
背景技术
物联网技术的飞速发展使得物联网承载的价值越来越高,网络的规模越来越大,复杂度也越来越高。随着物联网数据的急剧增加,黑客有更多的动机和手段来窃取信息和资源,对资产造成破坏,导致巨大损失。面对这些挑战,只有建立完善的网络安全防御机制,才能有效地进行信息安全管理,为企业和个人提供更好的安全服务。
现有的对内置数据处理单元的安全数据的处理方法已经无法满足当下的安全需求。现有的对内置数据处理单元的安全数据的处理方法存在以下缺点:
未标准化、编排不够智能化、处理速度较慢。综上可知,现有的对内置数据处理单元的安全数据的处理方法效率低。
发明内容
本发明提供一种内置数据处理单元的安全数据的处理方法、***及设备,用以解决内置数据处理单元的安全数据的处理方法效率低的缺陷,实现提高对安全数据处理的效率。
第一方面,本发明提供一种内置数据处理单元的安全数据的处理方法,应用于端侧设备,所述端侧设备包括至少一个数据处理单元,所述数据处理单元内置有多个硬件加速单元,每个所述硬件加速单元具备不同的数据处理功能,包括:
基于第一硬件加速单元,将与安全数据匹配的初始剧本,作为所述安全数据的处理剧本;所述初始剧本是云平台发送的,所述初始剧本包括对历史安全数据进行处理的响应动作;所述安全数据是存在安全隐患的网络数据;
基于第二硬件加速单元和所述处理剧本,向边缘侧的安全设备发送处理指令;其中,所述安全设备执行所述处理指令,以对所述安全数据进行处理;所述硬件加速单元包括所述第一硬件加速单元和所述第二硬件加速单元。
根据本发明提供的一种内置数据处理单元的安全数据的处理方法,确定所述处理剧本,还包括:
当不存在与所述安全数据匹配的所述初始剧本时,将所述安全数据发送至所述云平台,并接收所述云平台发送的所述处理剧本;其中,所述云平台确定所述安全数据的所述处理剧本。
根据本发明提供的一种内置数据处理单元的安全数据的处理方法,所述基于第二硬件加速单元和所述处理剧本,向安全设备发送处理指令之后,还包括:
获取所述安全设备对所述安全数据的处理情况;
基于所述处理情况,生成安全日志;
向所述云平台发送所述安全日志;其中,所述云平台基于所述安全日志,更新所述初始剧本。
根据本发明提供的一种内置数据处理单元的安全数据的处理方法,所述基于所述处理情况,生成安全日志,包括:
当所述处理情况为处理成功时,验证所述安全数据的告警结果,当所述告警结果为不存在告警时,确定所述安全数据处理成功,并记录处理成功信息,以生成所述安全日志;
当所述处理情况为处理失败时,记录处理失败信息,以生成所述安全日志。
根据本发明提供的一种内置数据处理单元的安全数据的处理方法,获取所述安全数据,包括:
基于第三硬件加速单元,接收所述安全设备发送的所述网络数据,对所述网络数据进行安全分析,将存在安全隐患的所述网络数据作为所述安全数据。
第二方面,本发明提供一种内置数据处理单元的安全数据的处理方法,应用于云平台,包括:
获取历史安全数据,从响应动作库中确定与所述历史安全数据匹配的响应动作,并对所述响应动作进行编排,以得到所述历史安全数据的初始剧本;
将所述初始剧本发送至端侧设备;其中,所述端侧设备的数据处理单元基于第一硬件加速单元,将与安全数据匹配的初始剧本,作为所述安全数据的处理剧本,基于第二硬件加速单元和所述处理剧本,向安全设备发送处理指令;所述安全设备执行所述处理指令,以对所述安全数据进行处理。
根据本发明提供的一种内置数据处理单元的安全数据的处理方法,所述将所述初始剧本发送至端侧设备之后,还包括:
接收所述数据处理单元发送的安全日志;
基于所述安全日志,更新所述初始剧本,并将更新后的所述初始剧本发送至所述端侧设备;其中,所述端侧设备的数据处理单元在更新后的所述初始剧本中,匹配出安全数据对应的处理剧本。
第三方面,本发明提供一种内置安全数据处理单元的安全数据的处理***,应用于上述任一项所述的内置数据处理单元的安全数据的处理方法,包括端侧设备、云平台、安全设备,所述端侧设备包括至少一个数据处理单元,所述云平台与所述数据处理单元连接,所述数据处理单元与所述安全设备连接;
所述安全设备,用于监测网络,以获取网络数据,并对所述网络数据进行预处理,将预处理后的所述网络数据发送至所述数据处理单元,执行处理指令,以对安全数据进行处理;
所述数据处理单元,用于基于第三硬件加速单元,基于所述网络数据确定安全数据;基于第一硬件加速单元,将与所述安全数据匹配的初始剧本,作为所述安全数据的处理剧本;基于第二硬件加速单元和所述处理剧本,向安全设备发送处理指令;接收所述安全设备发送的所述安全数据的处理情况;基于所述处理情况,生成安全日志;向所述云平台发送所述安全日志;
所述云平台,用于基于所述安全日志,更新初始剧本,并将更新后的所述初始剧本发送至所述数据处理单元。
第四方面,本发明提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述内置数据处理单元的安全数据的处理方法的步骤。
第五方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述内置数据处理单元的安全数据的处理方法的步骤。
本发明提供的内置数据处理单元的安全数据的处理方法、***及设备,应用于端侧设备,所述端侧设备包括至少一个数据处理单元,所述数据处理单元内置有多个硬件加速单元,每个所述硬件加速单元具备不同的数据处理功能,基于第一硬件加速单元,将与安全数据匹配的初始剧本,作为所述安全数据的处理剧本;所述初始剧本是云平台发送的,所述初始剧本包括对历史安全数据进行处理的响应动作;所述安全数据是存在安全隐患的网络数据;基于第二硬件加速单元和所述处理剧本,向边缘侧的安全设备发送处理指令;其中,所述安全设备执行所述处理指令,以对所述安全数据进行处理;所述硬件加速单元包括所述第一硬件加速单元和所述第二硬件加速单元。本发明实施例基于硬件加速单元处理安全数据,加快了对安全数据的处理速度;基于初始剧本,自动匹配处理剧本,实现了对安全数据的自动化处理,提高了对安全数据处理的效率。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的内置数据处理单元的安全数据的处理方法的流程示意图之一;
图2是本发明提供的内置安全数据处理单元的安全数据的处理***的结构示意图;
图3是本发明提供的数据处理单元的结构示意图;
图4是本发明提供的云平台的结构示意图;
图5是本发明提供的内置安全数据处理单元的安全数据的处理***的功能的示意图;
图6是本发明提供的内置数据处理单元的安全数据的处理方法的流程示意图之二;
图7是本发明提供的内置数据处理单元的安全数据的处理方法的流程示意图之三;
图8是本发明提供的内置数据处理单元的安全数据的处理方法的流程示意图之四;
图9是本发明提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,在本发明实施例的描述中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。术语“上”、“下”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本发明中的具体含义。
本申请中的术语“第一”、“第二”等是用于区别类似的对象,而不用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施,且“第一”、“第二”等所区分的对象通常为一类,并不限定对象的个数,例如第一对象可以是一个,也可以是多个。此外,“和/或”表示所连接对象的至少其中之一,字符“/”,一般表示前后关联对象是一种“或”的关系。
下面结合图1-图9描述本发明实施例所提供的内置数据处理单元的安全数据的处理方法及***。
图1是本发明提供的内置数据处理单元的安全数据的处理方法的流程示意图之一,如图1所示,一种内置数据处理单元的安全数据的处理方法,应用于端侧设备,所述端侧设备包括至少一个数据处理单元,数据处理单元内置有多个硬件加速单元,每个硬件加速单元具备不同的数据处理功能,包括但不限于以下步骤:
步骤100:基于第一硬件加速单元,将与安全数据匹配的初始剧本,作为安全数据的处理剧本;
初始剧本是云平台发送的,初始剧本包括对历史安全数据进行处理的响应动作;安全数据是存在安全隐患的网络数据;
现有的对内置数据处理单元的安全数据的处理方法存在以下缺点:
(1)未标准化。物联网信息安全检测、评估和准入均无统一标准。不同分析检测引擎对于同一风险事件的优先级划分不同。且管理不统一最终造成产品安全标准参差不齐和漏洞频出。
(2)编排不够智能化。现有剧本的编排,基本由人工生成。随着物联网设备的增加,解决方案不断地更新迭代,人工的压力也会越来越大。
(3)处理速度较慢。每次入侵发生时,需要先上报平台,再查询威胁,根据已有剧本调用本地安全设备进行响应,整体所费时间太长,并且大量消耗。
为解决上述问题,本发明实施例提供了一种内置数据处理单元的安全数据的处理方法。
数据处理单元(Data Processing Unit,DPU)是以数据为中心的处理器,DPU是一种围绕数据处理提供网络、存储、安全、管理等数据中心基础设施虚拟化服务的专用处理器。如图3所示,数据处理器中设有硬件加速单元,硬件加速单元是由ARM/x86等架构的CPU、专用集成电路(Application Specific Integrated Circuit,ASIC)/现场可编程门阵列(Field Programmable Gate Array,FPGA)构成。硬件加速单元中设有原子动作引擎、安全数据分析、采集网络数据等模块。数据处理单元中设有安全运营中心,安全运营中心包括DPU操作***(DPU OS)、实时信息交互模块。DPU OS包括动作流引擎、流程响应模型、初始剧本解析模块。实时信息交互模块用于不同数据处理单元的DPU OS之间的信息交互。
云平台是管理安全事件处理的平台。本申请的云平台是安全自动化与响应(Security Orchestration Automation and Response,SOAR)云平台。SOAR云平台(云平台)可以监控数据处理单元中的安全日志,或者接收数据处理单元发送的安全数据,并触发自动响应以缓解大量安全数据同时对SOAR云平台的威胁,同时可以定义安全数据对应的初始剧本、处理剧本,并更新初始剧本,并将琐碎和重复的任务交由自动化技术处理。可选的,云平台中设有安全数据的处理过程的可视化分析和展示模块。剧本包括安全数据及其对应的响应动作。
一个端侧设备(例如,供电站、电脑、服务器等)中设有至少一个数据处理单元。数据处理单元主要通过硬件加速单元对一些固定的数据处理操作进行加速,例如,读取网络数据,分析出安全数据,为安全数据匹配处理剧本,向安全设备发送处理指令等。通过设置多个数据处理单元以及多个硬件加速单元,可以缓解端侧设备CPU的处理压力、提高处理速度。
SOAR云平台根据历史安全数据,制作对应的初始剧本。进一步的,初始剧本可以由用户定义编排。云平台可以自动下发初始剧本,初始剧本的下发也可以由用户操作。SOAR云平台制作初始剧本后,将初始剧本下发至端侧设备。
端侧设备将初始剧本存储至剧本库。端侧设备接收到安全数据后,将安全数据分配给数据处理单元,数据处理单元根据第一硬件加速单元,在剧本库中匹配出与安全数据对应的初始剧本,以得到处理剧本。第一硬件加速单元专门用于匹配安全数据和初始剧本。
步骤200:基于第二硬件加速单元和处理剧本,向边缘侧的安全设备发送处理指令;
其中,安全设备执行处理指令,以对安全数据进行处理,硬件加速单元包括第一硬件加速单元和第二硬件加速单元。
安全设备包括Web防火墙(Web Application Firewall,WAF)、入侵监测***(Intrusion Detection System,IDS)和入侵防御***(Intrusion Prevention System,IPS)、安全信息与事件管理***(Security Information and Event Management,SIEM)、权限管理***(Access Management System)、数据加密设备(Encryption Devices)、安全网关、安全存储设备(Secure Storage Devices)等等。
数据处理单元匹配到安全数据对应的处理剧本后,基于第二硬件加速单元和处理剧本中的响应动作,向安全设备发送处理指令。安全设备收到处理指令后,执行处理指令,以对安全数据进行处理。例如,安全设备基于处理指令,调用相应接口进行安全数据的反入侵活动,包括全局封堵、主机隔离、主机清理等。第二硬件加速单元专门用于向安全设备发送处理指令。
本发明实施例提供的内置数据处理单元的安全数据的处理方法,应用于端侧设备,端侧设备包括至少一个数据处理单元,数据处理单元内置有多个硬件加速单元,每个硬件加速单元具备不同的数据处理功能,基于第一硬件加速单元,将与安全数据匹配的初始剧本,作为安全数据的处理剧本;初始剧本是云平台发送的,初始剧本包括对历史安全数据进行处理的响应动作;安全数据是存在安全隐患的网络数据;基于第二硬件加速单元和处理剧本,向边缘侧的安全设备发送处理指令;其中,安全设备执行处理指令,以对安全数据进行处理,硬件加速单元包括第一硬件加速单元和第二硬件加速单元。本发明实施例基于硬件加速单元处理安全数据,加快了对安全数据的处理速度;基于初始剧本,自动匹配处理剧本,实现了对安全数据的自动化处理,提高了对安全数据处理的效率。
基于上述实施例,确定处理剧本,还包括:
步骤300:当不存在与安全数据匹配的初始剧本时,将安全数据发送至云平台,并接收云平台发送的处理剧本;其中,云平台确定安全数据的处理剧本。
如图6、7所示,当剧本库中不存在与安全数据匹配的初始剧本时,说明初始剧本未命中。需要将安全数据上传至云平台,用户基于云平台,制作安全数据对应的处理剧本,或者云平台自动从响应动作库中匹配出安全数据的响应动作,并对响应动作进行编排,以得到安全数据的处理剧本,或者用户操作结合云平台自动分析,确定安全数据的处理剧本。云平台将制作好的处理剧本下发至安全数据对应的数据处理单元。
本发明实施例通过云平台确定处理剧本,丰富了确定处理剧本的手段,实现了对安全数据的全面处理,有利于提高对安全数据处理的效率。
基于上述实施例,基于第二硬件加速单元和处理剧本,向安全设备发送处理指令之后,还包括:
步骤400:获取安全设备对安全数据的处理情况;
步骤500:基于处理情况,生成安全日志;
步骤600:向云平台发送安全日志;其中,云平台基于安全日志,更新初始剧本。
安全设备数据执行处理指令后,向端侧设备发送执行结束信息。端侧设备根据执行结束信息,向安全设备发送验证信息,以获取安全设备对安全数据的处理情况。可选的,端侧设备定期向安全设备发送验证信息,以获取安全设备对安全数据的处理情况。
根据处理情况,确定安全设备数据的告警结果,并记录安全数据、处理剧本、处理情况、告警结果,得到安全日志。
端侧设备定期向云平台发送安全日志,云平台根据安全日志中的处理情况和告警情况,分析安全日志中的处理剧本和安全数据的匹配情况。若安全日志中的处理剧本和安全数据不匹配,云平台对初始剧本进行更新,并将更新后的初始剧本发送至端侧设备。端侧设备根据更新后的初始剧本更新剧本库。
本发明通过向云平台发送安全日志,更新初始剧本,进一步提高了初始剧本与安全数据的匹配性,提高了对安全数据处理的效率。
基于上述实施例,基于处理情况,生成安全日志,包括:
步骤510:当处理情况为处理成功时,验证安全数据的告警结果,当告警结果为不存在告警时,确定安全数据处理成功,并记录处理成功信息,以生成安全日志;
步骤520:当处理情况为处理失败时,记录处理失败信息,以生成安全日志。
如图6、7所示,端侧设备验证安全设备对安全数据的处理情况。当处理情况为处理成功时,在验证处理成功后的一段时间内,检测是否存在安全数据对应的告警,若不存在安全数据对应的告警,则验证安全数据处理成功,否则验证安全数据处理失败。记录安全数据处理成功或者安全数据处理失败的信息,以生成安全日志。
若记录安全数据处理成功后,收到新的告警,则针对新告警生成安全数据及其处理剧本,依据上述流程对新告警进行处理。当处理情况为处理失败时,直接记录处理失败信息,以生成安全日志。
本发明实施例基于处理情况,对安全数据进行告警验证,进而生成安全日志,提高了安全日志的准确性,有利于提高更新初始剧本的准确性。
基于上述实施例,获取安全数据,包括:
步骤700:基于第三硬件加速单元,接收安全设备发送的网络数据,对网络数据进行安全分析,将存在安全隐患的网络数据作为安全数据。
安全设备监控网络,获取网络数据,并对网络数据进行标准化预处理,例如,合并去重、误报检测等。误报检测是通过误报检测剧本从大量的网络数据中剥离出的无用噪声数据,只留下有实际价值的数据,误报检测剧本是根据日常安全运营中积累的误报特征、业务特征以及结合威胁场景编制的,误报检测剧本可将误报数据过滤,然后统一发送至数据处理单元。
数据处理单元中的第三硬件加速单元用于接收网络数据,并确定安全数据。第三硬件加速单元通过***日志(System Logging Protocol)收集安全设备的网络数据。第三硬件加速单元对搜集到的网络数据进行安全分析,确定安全数据。例如,第三硬件加速单元中预先存有安全数据的标准信息,当网络数据满足标准信息时,将该网络数据定义为安全数据。
可选的,在数据处理单元中设置第四硬件加速单元,第四硬件加速单元专门用于对网络数据进行安全分析,以确定安全数据。
本发明实施例通过第三硬件加速单元,确定安全数据,将确定安全数据的流程硬件化,提高了确定安全数据的效率。
如图8所示,本发明实施例提供一种内置数据处理单元的安全数据的处理方法,应用于云平台,包括:
步骤800:获取历史安全数据,从响应动作库中确定与历史安全数据匹配的响应动作,并对响应动作进行编排,以得到历史安全数据的初始剧本;
本发明实施例的执行主体为云平台,如图4所示,云平台包括剧本管理模块、响应管理模块、案件管理模块。
剧本管理模块用于制定初始剧本、存储安全日志、下发初始剧本。响应管理模块用于安全数据查询及其响应动作管理。案件管理模块用于管理安全事件案件、安全事件案件的分析与优化。SOAR云平台通过用户接口(User Interface,UI),与用户进行交互。云平台既可以自动管理安全数据、初始剧本、响应动作、安全数据处理案件,也可以基于用户操作管理安全数据、初始剧本、响应动作、安全数据处理案件。
云平台可以自动从响应动作库中确定与历史安全数据匹配的响应动作,并自动对响应动作进行编排,得到历史安全数据的初始剧本。可选的,云平台可以接收用户输入的匹配信息,确定历史安全数据的初始剧本。
步骤900:将初始剧本发送至端侧设备;
其中,端侧设备的数据处理单元基于第一硬件加速单元,将与安全数据匹配的初始剧本,作为安全数据的处理剧本,基于第二硬件加速单元和处理剧本,向安全设备发送处理指令;安全设备执行处理指令,以对安全数据进行处理。
云平台将制作好的初始剧本发送至端侧设备,端侧设备将处理剧本下发至各个数据处理单元的剧本库中。端侧设备的各个数据处理单元从剧本库中匹配安全数据的处理剧本,并根据处理剧本向安全设备发送处理指令。安全设备执行处理指令,以对安全数据进行处理。数据处理单元中的实时信息交互模块,用于各个数据处理单元之间的信息交互。
本发明实施例提供的内置数据处理单元的安全数据的处理方法,应用于云平台,通过获取历史安全数据,从响应动作库中确定与历史安全数据匹配的响应动作,并对响应动作进行编排,以得到历史安全数据的初始剧本;将初始剧本发送至端侧设备;其中,端侧设备的数据处理单元基于第一硬件加速单元,将与安全数据匹配的初始剧本,作为安全数据的处理剧本,基于第二硬件加速单元和处理剧本,向安全设备发送处理指令;安全设备执行处理指令,以对安全数据进行处理。本发明实施例通过云平台和响应动作库制作初始剧本,实现了自动制作初始剧本,提高了确定初始剧本的效率,有利于提高对安全数据处理的效率。
基于上述实施例,将初始剧本发送至端侧设备之后,还包括:
步骤910:接收数据处理单元发送的安全日志;
步骤920:基于安全日志,更新初始剧本,并将更新后的初始剧本发送至端侧设备;
其中,端侧设备的数据处理单元在更新后的初始剧本中,匹配出安全数据对应的处理剧本。
云平台定期接收端侧设备发送的安全日志,并存储安全日志。云平台管理安全日志,并获取安全日志中的安全数据及其执行情况。并统计处理失败的执行情况及其安全数据。若安全数据的执行失败,说明该安全数据的处理剧本和该安全数据是不匹配的,需要重新指定与该安全数据匹配的初始剧本。针对处理失败的安全数据,云平台重新确定该安全数据的响应动作以及工作流。云平台根据安全数据、安全数据的响应动作、安全数据的工作流,得到安全数据的目标剧本。将目标剧本加入初始剧本中,并删除有处理失败记录的初始剧本,得到最后更新的初始剧本。
进一步的,云平台根据安全日志,生成安全数据案件。安全数据案件包括情景描述(安全数据)、解决方案(处理剧本)、执行情况,其中,情景描述包括案件自身信息、安全事件场景。安全事件案例组成如表1所示。云平台分析安全数据案件,以更新初始剧本。
表1安全事件案件的组成
云平台根据安全日志中的处理情况和告警情况,分析安全日志中的处理剧本和安全数据的匹配情况。若安全日志中的处理剧本和安全数据不匹配,云平台对初始剧本进行更新,并将更新后的初始剧本发送至端侧设备。云平台可以自动更新初始剧本,也可以根据用户设置的配置信息更新处理剧本。端侧设备根据更新后的初始剧本更新剧本库。在后续处理安全数据的过程中,数据处理单元根据更新后的剧本库匹配对应的处理剧本。
本发明实施例通过安全日志,更新处理剧本,及时更新有处理失败记录的初始剧本,提高了初始剧本的实用性,有利于提高对安全数据处理的效率。
本发明实施例还提供了一种内置安全数据处理单元的安全数据的处理***,如图2所示,图2是本发明提供的内置安全数据处理单元的安全数据的处理***的结构示意图。需要说明的是,本发明实施例提供的内置安全数据处理单元的安全数据的处理***,在具体运行时,可以执行上述任一实施例所述的内置数据处理单元的安全数据的处理方法,对此本实施例不作赘述。
参照图2,本发明的实施例提供了一种内置安全数据处理单元的安全数据的处理***,包括端侧设备、云平台、安全设备,端侧设备包括至少一个数据处理单元,云平台与数据处理单元连接,数据处理单元与安全设备连接;
安全设备,用于监测网络,以获取网络数据,并对网络数据进行预处理,将预处理后的网络数据发送至数据处理单元,执行处理指令,以对安全数据进行处理;
数据处理单元,用于基于第三硬件加速单元,基于网络数据确定安全数据;基于第一硬件加速单元,将与安全数据匹配的初始剧本,作为安全数据的处理剧本;基于第二硬件加速单元和处理剧本,向安全设备发送处理指令;接收安全设备发送的安全数据的处理情况;基于处理情况,生成安全日志;向云平台发送安全日志;
云平台,用于基于安全日志,更新初始剧本,并将更新后的初始剧本发送至数据处理单元;
进一步的,本发明的内置安全数据处理单元的安全数据的处理***还包括数据处理单元管理模块和安全服务模块,云平台、数据处理单元管理模块和安全服务模块均属于云侧,云侧用于管理端侧设备,数据处理单元管理模块与数据处理单元连接,安全服务模块与数据处理单元和安全设备连接;数据处理单元管理模块,用于管理数据处理单元;安全服务模块,用于对数据处理单元和安全设备的应用程序进行测试和评估,并根据测试结果和评估结果,优化应用程序。
云平台将安全数据以可以编排的工作流的形式进行自动处理和自动验证,得到初始剧本。初始剧本由1个或多个响应动作组成。在云平台上根据专家***制定初始剧本,初始剧本包括一系列安全数据以及对应的响应动作,并下发到每一个端侧设备的分布式数据处理单元上,依托于DPU智能卸载技术,将端侧设备的CPU上的安全功能,转移到分布式DPU上,并将重复的动作利用硬件加速单元进行加速,包括安全数据采集与预处理,自动化响应,以及上报剧本缺陷等,实现自动化调用本地安全设备进行防护。安全数据处理***实现跨域信息共享,将所有端侧设备生成的安全日志全部上传至SOAR云平台,由云平台进行智能分析,对初始剧本进行优化。
数据处理单元管理模块主要负责裸金属、虚拟机、容器实例的生命周期管理,并完成网络和云盘的配置操作,实现DPU的资源管理、状态管理、服务管理、DPU日志管理等功能,引入DPU后,计算节点上的管理***软件(如Open Stack等)安装位置从主机侧CPU调整到DPU侧CPU上。DPU需支持数据处理单元管理模块的编译、安装,可以通过DPU操作***(OS)和主机***(Host OS)互通或者融合的方式,实现数据处理单元管理模块的管理软件在DPU上的无缝迁移部署和无感卸载,降低适配开发成本。
安全服务模块是指由独立的外部机构或公司提供的网络安全服务。这些服务包括漏洞评估和渗透测试、安全咨询和策略制定、网络监控和入侵检测、数据备份和恢复、事件响应和紧急支援等等。即安全服务模块可以通过对数据处理单元和安全设备的应用程序进行评估和测试,发现其中存在的漏洞和弱点,并提供相应的修复建议。安全服务模块可以为数据处理单元提供安全咨询服务,根据数据处理单元的需求和风险评估结果,制定相应的安全策略和措施,帮助客户建立适合自身的安全体系,可以提供24小时的网络监控服务,实时监测组织的网络活动,及时发现并响应可能的入侵行为,并采取相应的防御措施。安全服务模块也可以提供数据备份和恢复服务,确保数据处理单元的重要数据的安全性和完整性,以防止数据丢失或被篡改。在遭受安全威胁或网络攻击时,安全服务模块可以提供紧急的事件响应和支持,协助数据处理单元进行入侵追踪、修复受损***,并采取相应的措施以防止类似事件再次发生。
如图5所示,内置安全数据处理单元的安全数据的处理***的功能包括网络数据来源管理、网络数据处理、案件管理、剧本管理、编排引擎、安全响应。网络数据来源管理包括通过各个网络数据来源获取网络数据,其中网络数据来源包括网络的态势感知、安全信息与事件管理***(Security Information and Event Management system,SIEM)、安全运营中心(Security Operations Center、SOC)、安全设备、邮件、工单等。
网络数据处理包括网络数据总览、网络数据统计、网络数据溯源、网络数据分析、网络数据合并、安全数据上传。
案件管理包括处理安全数据案件(案件)概览、案件的响应流程、案件痕迹管理、案件报告、案件协作分析、案件库。案件管理用来帮助用户对一组相关的告警进行流程化、持续化的调查分析与响应处置。案件处理流程应该能够对不同性质的案件安排不同的案件处理流程,并监督执行;通过告警管理不断积累案件相关的痕迹物证(IOC)和攻击者的战技过程指标信息(TTP);通过编排功能进行调查和响应,可以针对案件中的所有告警执行剧本或者动作进行追踪,深挖疑点,深度挖掘案件中的疑点信息。
剧本管理包括初始剧本编辑、初始剧本建模、初始剧本调试、初始剧本优化、初始剧本下发。剧本管理是跨域安全可重构联动防御***的核心能力和基本能力。剧本是面向编排人员的,其只关注编排逻辑本身。对已知安全数据,它可以自动根据已有的初始剧本进行处置。但是针对新型安全数据,没有与之匹配的初始剧本的情况,需要人工进行处置并制作其对应的初始剧本。剧本支持***内置和人工自定义编排多种方式。自动处理与人工决策能够进行互补。更进一步地,对于产生的新型安全数据,***可以使用案例库和剧本库,自动生成处理剧本。因此实现编排智能化的关键是能够智能生成处理剧本。具体来说,就是***可以根据剧本库、动作库和知识图谱及安全人员的处置经验,使用机器学习进行分析,智能生成剧本。并且可以模拟安全数据对应的安全事件对初始均进行有效性评估,以优化和校验初始剧本,最终生成可行有效的初始剧本。
编排引擎包括工作流引擎、响应动作库、自动执行引擎、应用和动作库、应用开发包和应用集成框架。编排是指将多个***或者个***内不同组件的安全能力通过接口按照一定的逻辑关系组合到一起,用以执行指定的一系列安全操作流程。编排是提升协调和决策效率的核心。编排是通过初始剧本来进行表述的。支撑初始剧本执行的是工作流引擎。工作流引擎解析初始剧本并调用自动执行引擎以实现按照初始剧本编排的工作任务;应用和动作接口通过API统一封装涉及的安全技术、工具、平台、***、流程以及管理机制等安全设施;自动执行引擎支撑自上而下的落地,自动执行工作流中对应的应用和动作接口任务;应用和动作库、应用开发包和应用集成框架用于对应用的统一管理。
安全响应包括响应动作、人工处置、确定处理剧本、安全日志上传、任务调度等。安全响应能够做到根据需要处理的安全数据自动匹配相应的处理剧本,并自动执行处理剧本中的操作流程,还可根据执行情况自动联动相关设备,实现防护阻断等动作。安全事件响应包括告警管理、对象管理、工单管理、案件管理等功能。此外,隔离和修复是响应之后的一个重要操作。将自动化安全验证环节纳入到云平台的编排及响应体系中,实现了验证经验的固化、积累和优化。
本发明提供的内置安全数据处理单元的安全数据的处理***能够自动化执行和编排安全工作流程,包括安全数据分析、调查、响应和报告等环节。通过定义预先设定的自动化规则和流程,可以加速响应时间并减少人为错误,能够从多个安全工具和数据源中收集、整合和分析安全数据和安全日志,以快速识别潜在的安全数据(威胁)。本发明设计了一种基于DPU加速的端侧设备,DPU包括专门用于数据处理的硬件加速单元,具有高度优化的计算能力和低延迟。将固定操作下放到硬件加速单元,通过使用DPU加速固定的流程,可以显著提高数据处理速度和响应时间,从而加快整个流程的执行。极大的缩短了传统安全响应的时间,同时可以降低能耗并减少能源开销,也可以降低硬件成本,因为不再需要额外的通用处理器来执行这些任务。本发明借助机器学***,智能生成初始剧本,从剧本库、动作库、知识图谱及安全人员处置经验考虑,使用AI智能生成初始剧本并进行模拟、优化、校验,并在响应过程中根据采集的安全日志不断更新初始剧本,解决安全专家不足的问题。本发明依托于DPU可编程和设备虚拟化能力,实现设备虚拟化自动编排,可灵活改动。基于DPU将特定的计算任务硬件化,减少对软件开发和维护的依赖。这可以简化***的架构和设计,并提高软件的可维护性和稳定性。
图9是本发明提供的电子设备的结构示意图,如图9所示,该电子设备可以包括:处理器(processor)910、通信接口(Communications Interface)920、存储器(memory)930和通信总线940,其中,处理器910,通信接口920,存储器930通过通信总线940完成相互间的通信。处理器910可以调用存储器930中的逻辑指令,以执行内置数据处理单元的安全数据的处理方法,该方法包括:基于第一硬件加速单元,将与安全数据匹配的初始剧本,作为安全数据的处理剧本;初始剧本是云平台发送的,初始剧本包括对历史安全数据进行处理的响应动作;安全数据是存在安全隐患的网络数据;基于第二硬件加速单元和处理剧本,向边缘侧的安全设备发送处理指令;其中,安全设备执行处理指令,以对安全数据进行处理,硬件加速单元包括第一硬件加速单元和第二硬件加速单元。
此外,上述的存储器930中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各实施例所提供的内置数据处理单元的安全数据的处理方法,该方法包括:基于第一硬件加速单元,将与安全数据匹配的初始剧本,作为安全数据的处理剧本;初始剧本是云平台发送的,初始剧本包括对历史安全数据进行处理的响应动作;安全数据是存在安全隐患的网络数据;基于第二硬件加速单元和处理剧本,向边缘侧的安全设备发送处理指令;其中,安全设备执行处理指令,以对安全数据进行处理;硬件加速单元包括第一硬件加速单元和第二硬件加速单元。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各实施例提供的内置数据处理单元的安全数据的处理方法,该方法包括:基于第一硬件加速单元,将与安全数据匹配的初始剧本,作为安全数据的处理剧本;初始剧本是云平台发送的,初始剧本包括对历史安全数据进行处理的响应动作;安全数据是存在安全隐患的网络数据;基于第二硬件加速单元和处理剧本,向边缘侧的安全设备发送处理指令;其中,安全设备执行处理指令,以对安全数据进行处理;硬件加速单元包括第一硬件加速单元和第二硬件加速单元。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种内置数据处理单元的安全数据的处理方法,其特征在于,应用于端侧设备,所述端侧设备包括至少一个数据处理单元,所述数据处理单元内置有多个硬件加速单元,每个所述硬件加速单元具备不同的数据处理功能,包括:
基于第一硬件加速单元,将与安全数据匹配的初始剧本,作为所述安全数据的处理剧本;所述初始剧本是云平台发送的,所述初始剧本包括对历史安全数据进行处理的响应动作;所述安全数据是存在安全隐患的网络数据;
基于第二硬件加速单元和所述处理剧本,向边缘侧的安全设备发送处理指令;其中,所述安全设备执行所述处理指令,以对所述安全数据进行处理;所述硬件加速单元包括所述第一硬件加速单元和所述第二硬件加速单元。
2.根据权利要求1所述的内置数据处理单元的安全数据的处理方法,其特征在于,确定所述处理剧本,还包括:
当不存在与所述安全数据匹配的所述初始剧本时,将所述安全数据发送至所述云平台,并接收所述云平台发送的所述处理剧本;其中,所述云平台确定所述安全数据的所述处理剧本。
3.根据权利要求1所述的内置数据处理单元的安全数据的处理方法,其特征在于,所述基于第二硬件加速单元和所述处理剧本,向安全设备发送处理指令之后,还包括:
获取所述安全设备对所述安全数据的处理情况;
基于所述处理情况,生成安全日志;
向所述云平台发送所述安全日志;其中,所述云平台基于所述安全日志,更新所述初始剧本。
4.根据权利要求3所述的内置数据处理单元的安全数据的处理方法,其特征在于,所述基于所述处理情况,生成安全日志,包括:
当所述处理情况为处理成功时,验证所述安全数据的告警结果,当所述告警结果为不存在告警时,确定所述安全数据处理成功,并记录处理成功信息,以生成所述安全日志;
当所述处理情况为处理失败时,记录处理失败信息,以生成所述安全日志。
5.根据权利要求1所述的内置数据处理单元的安全数据的处理方法,其特征在于,获取所述安全数据,包括:
基于第三硬件加速单元,接收所述安全设备发送的所述网络数据,对所述网络数据进行安全分析,将存在安全隐患的所述网络数据作为所述安全数据。
6.一种内置数据处理单元的安全数据的处理方法,其特征在于,应用于云平台,包括:
获取历史安全数据,从响应动作库中确定与所述历史安全数据匹配的响应动作,并对所述响应动作进行编排,以得到所述历史安全数据的初始剧本;
将所述初始剧本发送至端侧设备;其中,所述端侧设备的数据处理单元基于第一硬件加速单元,将与安全数据匹配的初始剧本,作为所述安全数据的处理剧本,基于第二硬件加速单元和所述处理剧本,向安全设备发送处理指令;所述安全设备执行所述处理指令,以对所述安全数据进行处理。
7.根据权利要去6所述的内置数据处理单元的安全数据的处理方法,其特征在于,所述将所述初始剧本发送至端侧设备之后,还包括:
接收所述数据处理单元发送的安全日志;
基于所述安全日志,更新所述初始剧本,并将更新后的所述初始剧本发送至所述端侧设备;其中,所述端侧设备的数据处理单元在更新后的所述初始剧本中,匹配出安全数据对应的处理剧本。
8.一种内置安全数据处理单元的安全数据的处理***,其特征在于,应用于如权利要求1至7中任一项所述的内置数据处理单元的安全数据的处理方法,包括端侧设备、云平台、安全设备,所述端侧设备包括至少一个数据处理单元,所述云平台与所述数据处理单元连接,所述数据处理单元与所述安全设备连接;
所述安全设备,用于监测网络,以获取网络数据,并对所述网络数据进行预处理,将预处理后的所述网络数据发送至所述数据处理单元,执行处理指令,以对安全数据进行处理;
所述数据处理单元,用于基于第三硬件加速单元,基于所述网络数据确定安全数据;基于第一硬件加速单元,将与所述安全数据匹配的初始剧本,作为所述安全数据的处理剧本;基于第二硬件加速单元和所述处理剧本,向安全设备发送处理指令;接收所述安全设备发送的所述安全数据的处理情况;基于所述处理情况,生成安全日志;向所述云平台发送所述安全日志;
所述云平台,用于基于所述安全日志,更新初始剧本,并将更新后的所述初始剧本发送至所述数据处理单元。
9.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至7任一项所述内置数据处理单元的安全数据的处理方法的步骤。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述内置数据处理单元的安全数据的处理方法的步骤。
CN202311809325.XA 2023-12-26 2023-12-26 内置数据处理单元的安全数据的处理方法、***及设备 Pending CN117914692A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311809325.XA CN117914692A (zh) 2023-12-26 2023-12-26 内置数据处理单元的安全数据的处理方法、***及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311809325.XA CN117914692A (zh) 2023-12-26 2023-12-26 内置数据处理单元的安全数据的处理方法、***及设备

Publications (1)

Publication Number Publication Date
CN117914692A true CN117914692A (zh) 2024-04-19

Family

ID=90695953

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311809325.XA Pending CN117914692A (zh) 2023-12-26 2023-12-26 内置数据处理单元的安全数据的处理方法、***及设备

Country Status (1)

Country Link
CN (1) CN117914692A (zh)

Similar Documents

Publication Publication Date Title
US10175978B2 (en) Monitoring code sensitivity to cause software build breaks during software project development
US10057144B2 (en) Remote system data collection and analysis framework
US10310968B2 (en) Developing software project plans based on developer sensitivity ratings detected from monitoring developer error patterns
CN105139139B (zh) 用于运维审计的数据处理方法和装置及***
CN107508722B (zh) 一种业务监控方法和装置
US20210160262A1 (en) Systems and methods for determining network data quality and identifying anomalous network behavior
CN112766672A (zh) 一种基于全面评估的网络安全保障方法及***
CN109583711B (zh) 一种安全风险评估全过程管理***
CN108270716A (zh) 一种基于云计算的信息安全审计方法
CN110971464A (zh) 一种适合灾备中心的运维自动化***
CN104700024A (zh) 一种Unix类主机用户操作指令审计的方法和***
CN112291266B (zh) 一种数据处理的方法、装置、服务器和存储介质
CN111858251A (zh) 一种基于大数据计算技术的数据安全审计方法及***
CN112039858A (zh) 一种区块链服务安全加固***与方法
CN114329498A (zh) 一种数据中心运维安全管控方法及装置
CN117527412A (zh) 数据安全监测方法及装置
CN114168951A (zh) 异常检测方法以及装置
CN113591096A (zh) 综合检测大数据漏洞和不安全配置的脆弱性扫描***
CN107682166B (zh) 基于大数据的安全运维服务平台远程数据采集的实现方法
CN117422434A (zh) 一种智慧运维调度平台
CN117220917A (zh) 一种基于云计算的网络实时监控方法
CN116662112A (zh) 一种使用全自动扫描和***状态评估的数字监控平台
CN117914692A (zh) 内置数据处理单元的安全数据的处理方法、***及设备
CN113946822A (zh) 安全风险监控方法、***、计算机设备和存储介质
CN114363079A (zh) 一种云平台的分布式智能数据监管***

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination