本发明专利技术提供了一种基于规则数据的数据深度威胁检测系统及方法,属于通信技术领域。本发明专利技术系统包括管控中心、规则数据库、网络深度检测设备及分流器,管控中心获取规则数据库中的复杂规则并下发至网络深度检测设备进行简化,接收返回的简化规则并下发至分流器,分流器将采集到的数据均分到所有集群的网络深度检测设备,网络深度检测设备通过分布式计算筛选出满足规则条件的数据进行二次威胁分析,统计威胁的信息做出相应的告警、隔离、删除等安全措施,并根据威胁信息反向生成复杂规则更新到规则库中,管控中心重新获取更新后的复杂规则,进行周而复始的检测,保证了网络数据的安全性,提供了一个干净、和谐的网络环境。
【技术实现步骤摘要】
基于规则数据的数据深度威胁检测系统及方法
本专利技术属于通信
,特别涉及一种基于规则数据的数据深度威胁检测系统及方法。
技术介绍
随着网络互联网时代日益精进,网络与我们日常生活、工作、学习等各个方面紧密联系,密不可分,对网络使用越来越广泛使得数据安全越来越重视。网络是一把“双刃剑”,能给我们带来无尽的享受乐趣,但同时也面临着各种各样诸如病毒、木马、钓鱼等网络威胁,我们就需要对我们使用的数据明确哪些是安全的哪些是不安全的,以减少不必要的损失,让我们有一个安心的网络环境,创造一个“干净、和谐”的网络生活。
技术实现思路
本专利技术的目的为解决或克服网络数据安全问题,创造一个干净、和谐的网络环境,提出了一种基于规则数据的数据深度威胁检测系统及方法。一种基于规则数据的数据深度威胁检测系统,包括管控中心、规则数据库、网络深度检测设备及分流器,所述管控中心与所述规则数据库、网络深度检测设备及分流器连接,所述网络深度检测设备与所述分流器和规则数据库连接;所述管控中心用于接收所述规则数据库中的第一规则,发送所述第一规则至所述网络深度检测设备,接收网络深度检测设备返回的第二规则,并将所述第二规则发送至所述分流器;所述网络深度检测设备用于对接收到的所述第一规则进行简化,并将简化得到的第二规则发送至所述管控中心;所述分流器用于采集数据,并基于所述第二规则对采集到的数据进行筛选,并将筛选后的数据均分到所有集群的所述网络深度检测设备上;所述网络深度检测设备还用于通过分布式计算对满足规则条件的数据进行筛选,过滤出威胁文件,对所述威胁文件进行告警、隔离或删除安全措施,根据所述威胁文件生成第一规则,将生成的第一规则更新所述规则数据库。进一步地,所述系统还包括采集器,所述采集器与分流器连接;所述采集器用于采集离线数据和通过互联网或局域网采集实时数据。进一步地,当所述管控中心检测到所述规则数据库中有第一规则更新时,重新获取所述规则数据库中的第一规则。一种基于规则数据的数据深度威胁检测方法,应用于基于规则数据的数据深度威胁检测系统,包括以下步骤:S1、管控中心获取规则数据库中的第一规则,并发送至网络深度检测设备;S2、所述网络深度检测设备对接收到的所述第一规则进行简化,将得到的第二规则发送至所述管控中心;S3、所述管控中心将接收到的第二规则传输至分流器;S4、所述分流器基于所述第二规则将采集到的数据进行筛选,并将筛选后的数据均分到所有集群的所述网络深度检测设备上;S5、所述网络深度检测设备通过分布式计算对满足规则条件的数据进行筛选,过滤出威胁文件,对所述威胁文件进行告警、隔离或删除安全措施;S6、所述网络深度检测设备根据所述威胁文件生成第一规则,将生成的第一规则更新所述规则数据库,流程回到所述步骤S1。本专利技术的有益效果:本专利技术提供了一种基于规则数据的数据深度威胁检测系统及方法,本专利技术系统包括管控中心、规则数据库、网络深度检测设备及分流器,管控中心获取规则数据库中的复杂规则并下发至网络深度检测设备进行简化,接收返回的简化规则并下发至分流器,分流器将采集到的数据均分到所有集群的网络深度检测设备,网络深度检测设备通过分布式计算筛选出满足规则条件的数据进行二次威胁分析,统计威胁的信息做出相应的告警、隔离、删除等安全措施,并根据威胁信息反向生成复杂规则更新到规则库中,管控中心重新获取更新后的复杂规则,进行周而复始的检测,保证了网络数据的安全性,提供了一个干净、和谐的网络环境。附图说明图1为本专利技术实施例提供的系统结构示意图。图2为本专利技术实施例提供的方法流程图。图中:10-基于规则数据的数据深度威胁检测系统;110-管控中心;120-规则数据库;130-网络深度检测设备;140-分流器;150-采集器。具体实施方式下面结合附图对本专利技术的实施例做进一步的说明。请参阅图1,本专利技术提出了一种基于规则数据的数据深度威胁检测系统10,系统包括管控中心110、规则数据库120、网络深度检测设备130、分流器140及采集器150,管控中心110与规则数据库120、网络深度检测设备130及分流器140连接,网络深度检测设备130与分流器140和规则数据库120连接,分流器140与采集器150连接;管控中心110,用于接收规则数据库120中的复杂规则,发送复杂规则至网络深度检测设备130,并接收网络深度检测设备130处理后返回的简化规则,并将简化规则发送至分流器140;网络深度检测设备130,用于对接收到的复杂规则进行简化,并将简化得到的简化规则发送至管控中心110;采集器150,用于采集离线数据和通过互联网或局域网采集实时数据,并将采集到的数据信息传输至分流器140。分流器140,用于接收采集到的数据,并基于接收到的简化规则对采集到的数据进行筛选,并将筛选后的数据按“同源同宿”均分到所有集群的网络深度检测设备130上;网络深度检测设备130,还用于通过分布式计算对满足规则条件的数据进行筛选,过滤出威胁文件进行二次分析,二次分析产生威胁详细信息,对威胁文件进行告警、隔离或删除安全措施,根据新的威胁生成新的复杂规则,将生成的复杂规则更新规则数据库120。管控中心110检测到规则数据库120中规则更新时,则重新获取规则数据库120中的复杂规则,周而复始对网络数据进行安全检测。请参阅图2,为了进一步说明系统的功能,本专利技术还提供了一种基于规则数据的数据深度威胁检测方法,应用于基于规则数据的数据深度威胁检测系统10,包括以下步骤:S1、管控中心110获取规则数据库120中的复杂规则,并发送至网络深度检测设备130;S2、网络深度检测设备130对接收到的复杂规则进行简化,将得到的简化规则发送至管控中心110;S3、管控中心110将接收到的简化规则传输至分流器140;S4、分流器140基于简化规则将采集到的数据进行筛选,并将筛选后的数据均分到所有集群的网络深度检测设备130上;S5、网络深度检测设备130通过分布式计算对满足规则条件的数据进行筛选,过滤出威胁文件,对威胁文件进行告警、隔离或删除安全措施;S6、网络深度检测设备130根据威胁文件生成复杂规则,将生成的复杂规则更新规则数据库120,流程回到步骤S1。本领域的普通技术人员将会意识到,这里的实施例是为了帮助读者理解本专利技术的原理,应被理解为本专利技术的保护范围并不局限于这样的特别陈述和实施例。本领域的普通技术人员可以根据本专利技术公开的这些技术启示做出各种不脱离本专利技术实质的其它各种具体变形和组合,这些变形和组合仍然在本专利技术的保护范围内。本文档来自技高网...
【技术保护点】
1.一种基于规则数据的数据深度威胁检测系统,其特征在于,包括管控中心、规则数据库、网络深度检测设备及分流器,所述管控中心与所述规则数据库、网络深度检测设备及分流器连接,所述网络深度检测设备与所述分流器和规则数据库连接;所述管控中心用于接收所述规则数据库中的第一规则,发送所述第一规则至所述网络深度检测设备,接收网络深度检测设备返回的第二规则,并将所述第二规则发送至所述分流器;所述网络深度检测设备用于对接收到的所述第一规则进行简化,并将简化得到的第二规则发送至所述管控中心;所述分流器用于采集数据,并基于所述第二规则对采集到的数据进行筛选,并将筛选后的数据均分到所有集群的所述网络深度检测设备上;所述网络深度检测设备还用于通过分布式计算对满足规则条件的数据进行筛选,过滤出威胁文件,对所述威胁文件进行告警、隔离或删除安全措施,根据所述威胁文件生成第一规则,将生成的第一规则更新所述规则数据库。
【技术特征摘要】
1.一种基于规则数据的数据深度威胁检测系统,其特征在于,包括管控中心、规则数据库、网络深度检测设备及分流器,所述管控中心与所述规则数据库、网络深度检测设备及分流器连接,所述网络深度检测设备与所述分流器和规则数据库连接;所述管控中心用于接收所述规则数据库中的第一规则,发送所述第一规则至所述网络深度检测设备,接收网络深度检测设备返回的第二规则,并将所述第二规则发送至所述分流器;所述网络深度检测设备用于对接收到的所述第一规则进行简化,并将简化得到的第二规则发送至所述管控中心;所述分流器用于采集数据,并基于所述第二规则对采集到的数据进行筛选,并将筛选后的数据均分到所有集群的所述网络深度检测设备上;所述网络深度检测设备还用于通过分布式计算对满足规则条件的数据进行筛选,过滤出威胁文件,对所述威胁文件进行告警、隔离或删除安全措施,根据所述威胁文件生成第一规则,将生成的第一规则更新所述规则数据库。2.如权利要求1所述的基于规则数据的数据深度威胁检测系统,其特征在于,所述系统还包括采集器,所述采集器与分流器连...
【专利技术属性】
技术研发人员:汪俊贵,
申请(专利权)人:成都九洲电子信息系统股份有限公司,
类型:发明
国别省市:四川,51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。