[发明专利]一种网络事件监测分析方法和系统、信息数据处理终端

权利要求书

1.一种网络事件监测分析系统，其特征在于，所述网络事件监测分析系统包括：

数据采集层，用于实现镜像数据流量的采集和深度包检测；

数据共享层，用于对数据采集层处理的镜像数据流量进行多维度的分析，同时对外输出接口提供数据源；

业务展示层，用于实现安全事件视图、网络视图、终端视图、预警视图、处置事件视图、工单视图；

所述数据采集层还包括：

深度包检测模块，用于对镜像数据流量进行报文重组、还原、检测分析，支持识别和解析标准协议和非标准协议；支持对ISO的1-7层进行深度分析支持对ISO的1-7层进行深度分析；

接口模块，用于给数据共享层的数据处理模块上传数据；根据设定上报条件阈值，上报DPI生成的事件、文件和监测日志；同时与数据共享层的知识库链接，接受知识库下发的规则；

所述数据共享层还包括：

数据处理模块，用于接受来自深度包检测模块、第三方系统的数据，按照不同的数据类别清洗、解析、整合，根据数据处理规则对数据按事件维度进行归并，同时加入相关标识；

数据分析模块，用于集成各种AI算法、事件分析算法，对数据处理模块处理的数据进行多维度的分析；数据分析模块的算法包含关联分析引擎，所述引擎实时分析采集的安全日志和流量元数据，及时发现已知的攻击和威胁，形成安全事件；所述算法包含关联分析算法，从时间维度、IP维度多维度分析事件之间的关系；

摄像跟踪分析模块，用于实现对流量数据包的每一帧进行轨迹回放，捕获事件的瞬间状态，分析事件的影响程度，通过每一个数据包或访问行为路径，找到其存在的威胁或事件，完成事件的追踪取证；

核心知识库，包括资产库、安全事件库、威胁情报库、规则专家库和白名单，用于接收多种来源的知识数据，并按照标准准则进行处理、入库，同时根据指令生成各种规则并下发到所述数据采集层的接口模块，同时也为数据共享层对外输出接口提供数据源；

实时数据输入输出接口，用于实现数据共享层的系统总线与I/O设备之间实时数据的信号传输；

非实时数据输入输出接口，用于实现数据共享层的系统总线与I/O设备之间非实时数据的信号传输；

所述业务展示层还包括：

安全事件视图单元，用于实现全方位视图，以各种图示的方式展示各种事件的汇总信息，包括总数、按照重要程度或严重等级分化展示各个级别的数量；

网络视图单元，用于展示全网的网络拓扑图和状态；

终端视图单元，用于展示全网内终端的状态；

预警视图单元，用于根据严重程度和优先级展示告警信息；

处置事件视图单元，用于展示事件处理的状态记录，包括事件处理的时间、申请人、审批人、生效时间和处理效果；

工单视图单元，用于展示定制化的工单流转、安全运维与应急处置的效果。