技術(shù)領(lǐng)域

本發(fā)明實施例涉及數(shù)據(jù)安全技術(shù)領(lǐng)域，具體涉及一種云地結(jié)合的數(shù)據(jù)處理方法及裝置。

背景技術(shù)

長期以來，網(wǎng)絡(luò)與信息安全系統(tǒng)在設(shè)計、建設(shè)過程中都是在遵循三個重要的指導模型(PDR、P2DR、IATF)，這些無一例外都在強調(diào)檢測與防御在安全系統(tǒng)中的重要性，比如基于簽名和規(guī)則進行防御，用MD5碼等來判斷病毒與惡意文件特征，依靠規(guī)則去做簡單的阻斷，并高度依賴網(wǎng)絡(luò)邊界設(shè)備等，用于保障關(guān)鍵信息基礎(chǔ)設(shè)施。關(guān)鍵信息基礎(chǔ)設(shè)施是指一旦遭到破壞、喪失功能或數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的信息基礎(chǔ)設(shè)施。

現(xiàn)有的主流安全運營管理流程如圖1所示，從圖1可以看出，隨著云計算、大數(shù)據(jù)等技術(shù)的興起，安全的內(nèi)外網(wǎng)邊界越來越模糊，單純靠檢測與防御解決網(wǎng)絡(luò)安全問題已經(jīng)不切實際，需要采用一種全新的思路。

現(xiàn)有的日常反竊密反泄密工作中，比較重視分布式系統(tǒng)以及臨檢手段的建設(shè)，但在重大事件保障的工作中，需要監(jiān)控和防護的威脅種類更多。目前在DDoS(分布式拒絕服務(wù))攻擊發(fā)現(xiàn)與溯源、網(wǎng)站監(jiān)測與防護、高級威脅攻擊檢測等領(lǐng)域都缺乏有效的技術(shù)手段。

傳統(tǒng)的系統(tǒng)建設(shè)更多考慮是從數(shù)據(jù)中直接看到結(jié)果，但在實際業(yè)務(wù)場景中更多應(yīng)該由安全分析人員綜合各類系統(tǒng)、工具所產(chǎn)生的結(jié)果進行深度分析和綜合研判，由于相關(guān)分析工具嚴重缺失，造成過度依賴專家力量，無法形成階梯化的團隊力量。

如何有效發(fā)現(xiàn)竊密或泄密的可疑行為往往是業(yè)務(wù)工作的開端，傳統(tǒng)模式往往通過對被監(jiān)控網(wǎng)絡(luò)的流量還原得到會話或文件等內(nèi)容，然后采用諸如沙箱技術(shù)、特征檢測等傳統(tǒng)異常檢測方式，進而發(fā)現(xiàn)可疑的異常行為。這種方式最大的特點都是需要獲得特定樣本后從其軟件惡意行為、網(wǎng)絡(luò)惡意行為或域名行為上來建立特征庫，這就為整個異常檢測工作帶來較大的難度，畢竟樣本的發(fā)現(xiàn)和捕獲難度很大，且數(shù)量較少。另一方面，這些樣本的獲得往往都需要借助于部署在重點保障單位網(wǎng)絡(luò)出口的分布式設(shè)備來獲得，整個周期較長，也給類似特征庫的建立帶來了不小的麻煩。

現(xiàn)有的大數(shù)據(jù)分析技術(shù)在各個行業(yè)中已經(jīng)具備了有效應(yīng)用，在信息安全領(lǐng)域，通過對大數(shù)據(jù)的分析技術(shù)，可以改變當前“黑客主動攻擊、企業(yè)被動防御”的惡劣環(huán)境，這需要系統(tǒng)有海量的互聯(lián)網(wǎng)數(shù)據(jù)積累，以及對安全大數(shù)據(jù)中的數(shù)據(jù)挖掘以及安全可視化等技術(shù)，將挖掘出來的重要信息聯(lián)動與當前的安全防護體系中來。

以往模式更多依賴黑IP/域名進行發(fā)現(xiàn)，這些信息往往來自于行業(yè)內(nèi)部的自主發(fā)現(xiàn)，外部威脅情報嚴重不足。不僅如此，業(yè)務(wù)工作中的分析、溯源、拓線等目前依然依賴本地采集的數(shù)據(jù)，大部分集中在流量數(shù)據(jù)等，而威脅方基本都存活在互聯(lián)網(wǎng)世界中，造成業(yè)務(wù)工作處于被動。

在實現(xiàn)本發(fā)明實施例的過程中，發(fā)明人發(fā)現(xiàn)現(xiàn)有的方法缺乏對重大事件保障的技術(shù)手段和對安全分析的技術(shù)手段，且檢測與發(fā)現(xiàn)手段依然單一，同時缺少海量數(shù)據(jù)及大數(shù)據(jù)分析技術(shù)支撐。

發(fā)明內(nèi)容

由于現(xiàn)有方法存在上述問題，本發(fā)明實施例提出一種云地結(jié)合的數(shù)據(jù)處理方法及裝置。

第一方面，本發(fā)明實施例提出一種云地結(jié)合的數(shù)據(jù)處理方法，包括：

對本地互聯(lián)網(wǎng)出口流量數(shù)據(jù)、云端情報數(shù)據(jù)、第三方數(shù)據(jù)和等保管理數(shù)據(jù)進行數(shù)據(jù)采集，得到云地結(jié)合數(shù)據(jù)；

對所述云地結(jié)合數(shù)據(jù)進行分析，獲取異常威脅行為；

對所述異常威脅行為進行安全業(yè)務(wù)閉環(huán)的告警威脅處置。

可選地，所述方法還包括：

將所述異常威脅行為和所述告警威脅處置發(fā)送至目標終端，以使所述目標終端根據(jù)各異常威脅行為的不同安全狀況或各告警威脅處置的不同類型進行顯示，和/或，根據(jù)不同查詢條件進行統(tǒng)計、排序和顯示。

可選地，所述告警威脅處置包括安全監(jiān)測、態(tài)勢感知、通報預(yù)警、等保管理、快速處置、偵查調(diào)查、追蹤溯源以及情報信息的管理和挖掘。

可選地，所述對所述云地結(jié)合數(shù)據(jù)進行分析，獲取異常威脅行為，具體包括：

對所述云地結(jié)合數(shù)據(jù)進行流式計算引擎分析、統(tǒng)計分析引擎分析和關(guān)聯(lián)分析引擎分析，獲取異常威脅行為。

可選地，所述對所述云地結(jié)合數(shù)據(jù)進行分析，獲取異常威脅行為，具體包括：

對所述云地結(jié)合數(shù)據(jù)進行實時分析，獲取異常威脅行為；

其中，所述異常威脅行為包括網(wǎng)站篡改、網(wǎng)站漏洞、分布式拒絕服務(wù)DDoS攻擊、高級持續(xù)性威脅APT攻擊和僵木蠕毒攻擊中的一種或其組合。

可選地，所述APT攻擊采用全流量還原采集方式對重點保護單位的網(wǎng)絡(luò)訪問行為和文件傳輸行為進行數(shù)據(jù)采集。