[发明专利]网络安全数据处理方法、装置、计算机设备和存储介质

说明书

本申请涉及一种网络安全数据处理方法、装置、计算机设备和存储介质。所述方法通过获取待处理本地网络安全数据；根据预设网络安全数据处理规则对应筛选规则，对待处理本地网络安全数据进行筛选，获取规则匹配数据；根据预设网络安全数据处理规则，确定规则匹配数据对应的本地网络安全分析数据；反馈本地网络安全分析数据对应的告警数据至第三方主站端。本申请通过在本地端获取网络安全数据，而后基于预设网络安全数据处理规则来对本地的网络安全数据进行预处理，得出相应的告警数据后再进行上传，本地无需上送大量原始的网络安全数据，解决上送带宽占用较多问题，从而降低主站压力。

技术领域

本申请涉及计算机技术领域，特别是涉及一种网络安全数据处理方法、装置、计算机设备和存储介质。

背景技术

随着互联网技术的发展，网络安全问题也越来越受到人们的关注，网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。网络安全在生产安全以及国防安全等领域被得到广泛的关注。

在一些分界节点式的网络环境中，例如对于电力系统网络的领域，其对应的安全数据分析模式，一般采用厂站装置上送网络安全数据至主站系统，主站系统加以大数据智能分析。但是采用这种架构下，本地的厂站装置要上送大量的网络安全数据，占用了大量的带宽，并且给主站系统带来极大的分析压力。

发明内容

基于此，有必要针对上述技术问题，提供一种能够能有效降低主站分析压力的网络安全数据处理方法、装置、计算机设备和存储介质。

一种网络安全数据处理方法，所述方法包括：

获取待处理本地网络安全数据；

根据预设网络安全数据处理规则对应筛选规则，对所述待处理本地网络安全数据进行筛选，获取规则匹配数据；

根据所述预设网络安全数据处理规则，确定所述规则匹配数据对应的本地网络安全分析数据；

反馈所述本地网络安全分析数据对应的告警数据至第三方主站端。

在其中一个实施例中，所述根据预设网络安全数据处理规则对应筛选规则，对所述待处理本地网络安全数据进行筛选，获取规则匹配数据之后，还包括：

剔除所述待处理本地网络安全数据中的规则匹配数据；

反馈剔除规则匹配数据后的待处理本地网络安全数据至第三方主站端；

获取第三方主站端反馈的规则更新数据，所述规则更新数据根据所述除剔除规则匹配数据后的待处理本地网络安全数据，以及预设威胁情报数据获取。

在其中一个实施例中，所述待处理本地网络安全数据包括会话流量数据以及日志数据，所述预设网络安全数据处理规则包括本地日志规则以及本地会话规则，所述根据预设网络安全数据处理规则对应筛选规则，对所述待处理本地网络安全数据进行筛选，获取规则匹配数据包括：

对所述待处理本地网络安全数据执行协议树解码操作，获取解码数据；

当所述解码数据能匹配所述本地日志规则或所述本地会话规则时，将所述解码数据作为规则匹配数据。

在其中一个实施例中，所述预设网络安全数据处理规则包括会话解析规则以及日志解析规则，所述根据所述预设网络安全数据处理规则，确定所述规则匹配数据对应的本地网络安全分析数据包括：

基于所述会话解析规则，对所述会话流量数据进行解析，获取第一安全分析数据，基于所述日志解析规则，对所述日志数据进行解析，获取第二安全分析数据；

根据所述第一安全分析数据以及所述第二安全分析数据，确定所述规则匹配数据对应的本地网络安全分析数据。