本發明公開了一種網絡數據的處理方法、裝置和系統。其中，該方法包括：服務器采集多個防火墻在運行過程中收集到的多個網絡數據，其中，多個防火墻部署在多個局域網出口，每個網絡數據至少包括：每個防火墻的運行狀態、流量數據、域名信息、可疑文件和威脅信息；服務器對多個網絡數據進行解析，得到多個解析后的網絡數據；服務器將多個解析后網絡數據存入第一數據庫。同時，服務器運行多個分析引擎，對多個分析后的網絡數據進行分析后得到分析結果，以增強防火墻的防護能力。本發明解決了現有技術中的網絡數據來自局域網中的主機和服務器，由于防火墻過濾掉部分網絡數據，到達主機和服務器的網絡數據缺失，導致數據處理的準確度低的技術問題。

技術領域

本發明涉及網絡安全領域，具體而言，涉及一種網絡數據的處理方法、裝置和系統。

背景技術

防火墻產品部署在一個公司或機構的網絡出口，對子網內的數據資產進行安全保護。防火墻基于行為分析、威脅檢測和入侵防御等技術來發現網絡威脅問題。

防火墻的優勢在于防護某個單一機構內的安全問題，如某個政府部分、集團公司、銀行或金融機構體系內的網絡安全問題。對于跨機構、跨區域、跨行業的綜合性安全問題的發現，單一防火墻或者某個集團內防火墻群的能力是達不到的。對于這種綜合性和全局性的網絡威脅問題的發現，一是要求有全局性的威脅數據采集能力，二是要求有對全局性數據的分析能力。

如圖1所示，卡巴斯基和國內的360互聯網安全中心利用其大量的裝機量，通過其安全軟件自身的功能，將捕獲的威脅數據送至其自有的數據中心，進行數據分析，從而得到全網的威脅地圖。特別是卡巴斯基實驗室基于其全球化的廣泛裝機量，繪制了全球的攻防地圖。

但是，通過上述方案，首先數據來源必須基于其大量的用戶裝機量，這個要求起點較高；此外，大部分網絡威脅數據已經由防火墻過濾掉了，到達用戶的數據往往不是來自互聯網的威脅，而更可能是來自內網的威脅數據，這樣就產生了大量的無效數據并且丟失了大部分的有效數據。而且，自建的數據分析中心成本很高。由于威脅數據過濾和發送都是由內網主機或服務器觸發的，這樣會帶來主機和服務器額外的運算和帶寬損耗。

針對現有技術中的網絡數據來自局域網中的主機和服務器，由于防火墻過濾掉部分網絡數據，到達主機和服務器的網絡數據缺失，導致數據處理的準確度低的問題，目前尚未提出有效的解決方案。

發明內容

本發明實施例提供了一種網絡數據的處理方法、裝置和系統，以至少解決現有技術中的網絡數據來自局域網中的主機和服務器，由于防火墻過濾掉部分網絡數據，到達主機和服務器的網絡數據缺失，導致數據處理的準確度低的技術問題。

根據本發明實施例的一個方面，提供了一種網絡數據的處理方法，包括：服務器采集多個防火墻在運行過程中收集到的多個網絡數據，其中，多個防火墻部署在多個局域網出口，每個網絡數據至少包括：每個防火墻的運行狀態、流量數據、域名信息、可疑文件和威脅信息；服務器對多個網絡數據進行解析，得到多個解析后的網絡數據；服務器將多個解析后的網絡數據存入第一數據庫。

根據本發明實施例的另一方面，還提供了一種網絡數據的處理裝置，包括：采集模塊，用于采集多個防火墻在運行過程中收集到的多個網絡數據，其中，多個防火墻部署在多個局域網出口，每個網絡數據至少包括：每個防火墻的運行狀態、流量數據、域名信息、可疑文件和威脅信息；解析模塊，用于對多個網絡數據進行解析，得到多個解析后的網絡數據；存儲模塊，用于將多個解析后的網絡數據存入第一數據庫。

根據本發明實施例的又一方面，還提供了一種網絡數據的處理系統，包括：多個防火墻，部署在多個局域網出口，用于在運行過程中收集多個網絡數據，其中，每個網絡數據至少包括：每個防火墻的運行狀態、流量數據、域名信息、可疑文件和威脅信息；服務器，與多個防火墻具有通信關系，用于對多個網絡數據進行解析，得到多個解析后的網絡數據，并將多個解析后的網絡數據存入第一數據庫。