[发明专利]一种网络事件监测分析方法和系统、信息数据处理终端

说明书

本发明属于网络安全技术领域，公开了一种网络事件监测分析方法和系统、信息数据处理终端，数据采集层，用于实现镜像数据流量的采集和深度包检测；数据共享层，用于对数据采集层处理的镜像数据流量进行多维度的分析，同时对外输出接口提供数据源；业务展示层，用于实现安全事件视图、网络视图、终端视图、预警视图、处置事件视图、工单视图。本发明能有效发现网络内部的违规资产、行为、策略和威胁，网络外部的攻击和威胁并及时预警；提供多种响应方式，帮助企业做到事前发现安全威胁和风险，及时通知企业管理者或安全设备完成威胁的阻击和风险的蔓延，确保资产和信息安全，把安全事件控制在最小范围内。

技术领域

本发明属于网络安全技术领域，尤其涉及一种网络事件监测分析方法和系统、信息数据处理终端。

背景技术

目前，最接近的现有技术：随着信息化建设的深化和大数据、物联网、云计算和移动互联网等信息化技术的出现和发展，我国政企客户在IT网络安全领域面临比以往更为复杂的局面，新的信息安全问题不断浮出水面。这里面既有来自于企业和组织外部的层出不穷的入侵和攻击，也有来自于企业和组织内部的违规和信息泄漏。尽管很多政企行业客户已建设有完善的网络隔离和防护体系，也很难发现和预防来自组织内部的违规操作和信息泄露等问题。各个安全防护系统之间缺少协同分析和处置安全事件的工作机制，在护网行动中，相关的事件分析、事件流转、追踪、报告等工作，均需要事件分析组成员人工处理。随着护网工作的不断深入，安全事件数量的不断增多，人工处理的弊端也逐渐显现：事件无法及时响应、不能在第一时间处理、难以有效处理海量日志等。

针对政企行业客户的网络空间安全管理需求，亟需一种全方位全天候安全事件监测与分析系统，对全网各个系统的安全事件实现统一管理、分析、告警和处置，可监测企业网络环境中的各种事件，如潜伏的入侵者或恶意的内部人员、不依赖于少数训练有素的专家来发现攻击；能对安全事件进行分类，并能确定事件的严重性和优先级；能识别政企内部的信息资产、安全漏洞和风险；能跟根据级别告警和已定义的业务流程或工单进行处置等。

综上所述，现有技术存在的问题是：

(1)现有的网络隔离和防护体系很难发现和预防来自组织内部的违规操作和信息泄露。

(2)现有安全事件处理方式中，事件无法及时响应、不能在第一时间处理、难以有效处理海量日志。

发明内容

针对现有技术存在的问题，本发明提供了一种网络事件监测分析方法和系统、信息数据处理终端。

本发明是这样实现的，一种网络事件监测分析系统，所述网络事件监测分析系统包括：

数据采集层，用于实现镜像数据流量的采集和深度包检测；

数据共享层，用于对数据采集层处理的镜像数据流量进行多维度的分析，同时对外输出接口提供数据源；

业务展示层，用于实现安全事件视图、网络视图、终端视图、预警视图、处置事件视图、工单视图。

进一步，所述数据采集层还包括：

深度包检测模块，用于对镜像数据流量进行报文重组、还原、检测分析，支持识别和解析标准协议和非标准协议；支持对ISO的1-7层进行深度分析支持对ISO的1-7层进行深度分析；

接口模块，用于给数据共享层的数据处理模块上传数据；根据设定上报条件阈值，上报DPI生成的事件、文件和监测日志；同时与数据共享层的知识库链接，接受知识库下发的规则。

进一步，所述数据共享层还包括：

数据处理模块，用于接受来自深度包检测模块、第三方系统的数据，按照不同的数据类别清洗、解析、整合，根据数据处理规则对数据按事件维度进行归并，同时加入相关标识；