[发明专利]数据处理的方法及装置

说明书

本发明公开了一种数据处理的方法及装置，涉及防火墙技术领域，解决了大量攻击爆发时，警报日志丢失影响对网络攻击事件的分析以及对网络安全评估的问题。本发明的方法包括：获取预设时段内的原始警报日志，原始警报日志为记录对某一网络进行攻击的行为数据；将原始警报日志按照原始警报日志的核心属性进行第一次分类聚合，得到多个初始警报簇；将多个初始警报簇按照攻击图中的关联关系进行第二次分类聚合，得到多个最终警报簇，攻击图是由多个初始警报簇构成的展示预设时段内网络攻击过程的连通图；分别将多个最终警报簇中包含的警报日志进行合并，得到新的警报日志，以将新的警报日志替换原始警报日志。本发明应用于警报日志处理的过程中。

技术领域

本发明涉及防火墙技术领域，尤其涉及一种数据处理的方法及装置。

背景技术

在互联网时代，用户为了保护内部网络的安全，通常会在内部网络与外部网络之间使用防火墙为内部网络构造保护屏障来保护内部网络免受非法用户的攻击。当防火墙监控到非法攻击时，除进行防御攻击外，还会及时地进行报警告知用户，并生成警报日志存储在日志数据库中，以便于在攻击后对网络攻击事件进行分析以及对网络的安全进行评估。

由于每一次的攻击都会进行报警，即使是连续相同的警报也会被重复生成警报日志记录在日志数据库中，因此日志数据数据库中保存有大量的警报日志。然而存储警报日志的空间是有限的，当大量的攻击爆发时，报警数量剧增，防火墙没有充足的空间来保存全部的警报日志，造成一些关键警报日志的丢弃。当攻击过后需要通过警报日志对网络攻击事件进行分析以及对网络的安全进行评估时，由于没有完整的警报日志，所以很难对发生的网络攻击事件进行全面准确的分析以及对网络安全进行正确的评估。

发明内容

鉴于上述问题，本发明提供一种数据处理的方法及装置，用以解决大量攻击爆发时，警报日志丢失影响对网络攻击事件的分析以及对网络安全评估的问题。

为解决上述技术问题，第一方面，本发明提供了一种数据处理的方法，所述方法包括：

获取预设时段内的原始警报日志，所述原始警报日志为记录对某一网络进行攻击的行为数据；

将所述原始警报日志按照原始警报日志的核心属性进行第一次分类聚合，得到多个初始警报簇；

将多个初始警报簇按照攻击图中的关联关系进行第二次分类聚合，得到多个最终警报簇，所述攻击图是由多个初始警报簇构成的展示所述预设时段内网络攻击过程的连通图；

分别将所述多个最终警报簇中包含的警报日志进行合并，得到新的警报日志，以将新的警报日志替换所述原始警报日志。

可选的，在将多个初始警报簇按照攻击图中的关联关系进行第二次分类聚合之前，所述方法还包括：

将所述多个初始警报簇按照预设关联规则进行关联分析，所述预设关联规则是依据警报类别以及警报之间的因果关系设置的；

将具有关联关系的初始警报簇，以初始警报簇作为顶点，以因果关系作为边，生成所述攻击图，所述攻击图为有向无环连通图。

可选的，所述将所述原始警报日志按照原始警报日志的核心属性进行第一次分类聚合，得到多个初始警报簇，包括：

将所有的原始警报日志的集合确定为树型结构的根节点；

采用自顶向下的策略，按照原始警报日志的警报名称、源网间协议IP地址以及目的IP地址三个制约条件依次对原始警报日志进行分裂；

将分裂后的树型结构中每个叶子节点确定为一个初始警报簇。

可选的，将多个初始警报簇按照攻击图中的关联关系进行第二次分类聚合，得到多个最终警报簇，包括：

选取只包含有一个原始警报日志的原始警报簇，确定为单条警报簇；