[发明专利]一种云地结合的数据处理方法及装置

说明书

技术领域

本发明实施例涉及数据安全技术领域，具体涉及一种云地结合的数据处理方法及装置。

背景技术

长期以来，网络与信息安全系统在设计、建设过程中都是在遵循三个重要的指导模型(PDR、P2DR、IATF)，这些无一例外都在强调检测与防御在安全系统中的重要性，比如基于签名和规则进行防御，用MD5码等来判断病毒与恶意文件特征，依靠规则去做简单的阻断，并高度依赖网络边界设备等，用于保障关键信息基础设施。关键信息基础设施是指一旦遭到破坏、丧失功能或数据泄露，可能严重危害国家安全、国计民生、公共利益的信息基础设施。

现有的主流安全运营管理流程如图1所示，从图1可以看出，随着云计算、大数据等技术的兴起，安全的内外网边界越来越模糊，单纯靠检测与防御解决网络安全问题已经不切实际，需要采用一种全新的思路。

现有的日常反窃密反泄密工作中，比较重视分布式系统以及临检手段的建设，但在重大事件保障的工作中，需要监控和防护的威胁种类更多。目前在DDoS(分布式拒绝服务)攻击发现与溯源、网站监测与防护、高级威胁攻击检测等领域都缺乏有效的技术手段。

传统的系统建设更多考虑是从数据中直接看到结果，但在实际业务场景中更多应该由安全分析人员综合各类系统、工具所产生的结果进行深度分析和综合研判，由于相关分析工具严重缺失，造成过度依赖专家力量，无法形成阶梯化的团队力量。

如何有效发现窃密或泄密的可疑行为往往是业务工作的开端，传统模式往往通过对被监控网络的流量还原得到会话或文件等内容，然后采用诸如沙箱技术、特征检测等传统异常检测方式，进而发现可疑的异常行为。这种方式最大的特点都是需要获得特定样本后从其软件恶意行为、网络恶意行为或域名行为上来建立特征库，这就为整个异常检测工作带来较大的难度，毕竟样本的发现和捕获难度很大，且数量较少。另一方面，这些样本的获得往往都需要借助于部署在重点保障单位网络出口的分布式设备来获得，整个周期较长，也给类似特征库的建立带来了不小的麻烦。

现有的大数据分析技术在各个行业中已经具备了有效应用，在信息安全领域，通过对大数据的分析技术，可以改变当前“黑客主动攻击、企业被动防御”的恶劣环境，这需要系统有海量的互联网数据积累，以及对安全大数据中的数据挖掘以及安全可视化等技术，将挖掘出来的重要信息联动与当前的安全防护体系中来。

以往模式更多依赖黑IP/域名进行发现，这些信息往往来自于行业内部的自主发现，外部威胁情报严重不足。不仅如此，业务工作中的分析、溯源、拓线等目前依然依赖本地采集的数据，大部分集中在流量数据等，而威胁方基本都存活在互联网世界中，造成业务工作处于被动。

在实现本发明实施例的过程中，发明人发现现有的方法缺乏对重大事件保障的技术手段和对安全分析的技术手段，且检测与发现手段依然单一，同时缺少海量数据及大数据分析技术支撑。

发明内容

由于现有方法存在上述问题，本发明实施例提出一种云地结合的数据处理方法及装置。

第一方面，本发明实施例提出一种云地结合的数据处理方法，包括：

对本地互联网出口流量数据、云端情报数据、第三方数据和等保管理数据进行数据采集，得到云地结合数据；

对所述云地结合数据进行分析，获取异常威胁行为；

对所述异常威胁行为进行安全业务闭环的告警威胁处置。

可选地，所述方法还包括：

将所述异常威胁行为和所述告警威胁处置发送至目标终端，以使所述目标终端根据各异常威胁行为的不同安全状况或各告警威胁处置的不同类型进行显示，和/或，根据不同查询条件进行统计、排序和显示。

可选地，所述告警威胁处置包括安全监测、态势感知、通报预警、等保管理、快速处置、侦查调查、追踪溯源以及情报信息的管理和挖掘。

可选地，所述对所述云地结合数据进行分析，获取异常威胁行为，具体包括：

对所述云地结合数据进行流式计算引擎分析、统计分析引擎分析和关联分析引擎分析，获取异常威胁行为。

可选地，所述对所述云地结合数据进行分析，获取异常威胁行为，具体包括：

对所述云地结合数据进行实时分析，获取异常威胁行为；

其中，所述异常威胁行为包括网站篡改、网站漏洞、分布式拒绝服务DDoS攻击、高级持续性威胁APT攻击和僵木蠕毒攻击中的一种或其组合。

可选地，所述APT攻击采用全流量还原采集方式对重点保护单位的网络访问行为和文件传输行为进行数据采集。