本發明具體涉及一種基于云計算的數據安全防御應急系統及方法，其系統包括搭建在云服務器上的收集單元，用于收集歷史的異構安全設備的日志數據，并將歷史的異構安全設備的日志數據格式轉換為對應的目標日志數據，還用于獲取歷史的異構安全設備的日志數據所對應的威脅情報分析后的安全事件及關聯設備；建模單元用于對歷史的目標日志數據提取特征值，然后基于原目標日志數據與其安全事件的對應關系建立目標日志數據的特征值與安全事件的一對一映射關系R₁，基于原目標日志數據與其關聯設備的對應關系建立目標日志數據的特征值與關聯設備的一對一映射關系R₂，還用于通過歷史數據學習并修改映射關系R₁與映射關系R₂。

技術領域

本發明具體涉及一種基于云計算的數據安全防御應急系統及方法。

背景技術

目前網絡已經實現分區分域，網絡專用的安全架構是通過在網絡中部署防火墻、入侵檢測、入侵防御、流量分析和威脅溯源等對采集的安全設備的日志數據進行針對處理，以實現網絡安全防御。而這種網絡安全防御技術，具有被動防御的能力，還不能實現跨平臺和跨區域的安全設備協同防御，導致網絡安全防護效率低下，為解決該類問題相關技術如專利文獻CN11405143A公開了一種面向異構安全設備的智能化協同防御的技術，該技術先獲取異構安全設備的多個待處理日志數據，按照預設數據規則分別對各待處理日志數據進行格式轉換，獲得多個目標日志數據，然后對多個所述目標日志數據分別進行威脅情報分析，獲得各目標日志數據對應的安全事件及關聯設備，最后基于安全事件及關聯設備對多個待處理日志數據進行協同防御，該技術本質在于將防御資源共享，但實踐中這類技術仍面臨兩種問題：1.協同防御對運算量運算速度要求高，傳統的運算機器難以勝任；2.協同防御中因為需查找大量的關聯安全設備，其中查找中很多工作重復性高且查找不精準，過度浪費了運算資源，降低了效率。

發明內容

本發明的目的在于提供一種基于云計算的數據安全防御應急系統及方法，以解決上述背景技術中提出的問題。

為了解決上述技術問題，本發明提供如下技術方案：

基于云計算的數據安全防御應急系統，包括搭建在云服務器上的收集單元，用于收集歷史的異構安全設備的日志數據，并將歷史的異構安全設備的日志數據格式轉換為對應的目標日志數據，還用于獲取歷史的異構安全設備的日志數據所對應的威脅情報分析后的安全事件及關聯設備；建模單元用于對歷史的目標日志數據提取特征值，然后基于原目標日志數據與其安全事件的對應關系建立目標日志數據的特征值與安全事件的一對一映射關系R₁，基于原目標日志數據與其關聯設備的對應關系建立目標日志數據的特征值與關聯設備的一對一映射關系R₂，還用于通過歷史數據學習并修改映射關系R₁與映射關系R₂；預處理單元，用于在對某一異構安全設備的日志數據格式轉換后且獲取對應安全事件及關聯設備前先計算該異構安全設備的日志數據所對應的特征值，然后以特征值與R₁，R₂查找對應的安全事件及關聯設備。

進一步，對歷史的目標日志數據提取特征值，具體為計算目標日志數據與一個標準框架日志數據的差值，得到一個新的目標日志數據，然后計算新的目標日志數據的MD5值，該MD5值即提取的特征值。

進一步，計算目標日志數據與一個標準框架日志數據的差值，具體地，將目標日志數據按預設規則填充到一個方陣中，然后將標準框架日志數據也填充到同類的方陣中，計算兩個方陣的每一個同行同列元素的歐式距離，將兩個方陣的每一個同行同列元素的歐式距離填充到同類方陣中得到填差方陣，將該填差方陣按預設規則還原為一日志數據，該還原的日志數據即新的目標日志數據。

進一步，預處理單元在計算某一異構安全設備的日志數據所對應特征值之前需要先將異構安全設備的日志數據格式轉換獲取對應的目標日志數據，預處理單元在計算目標日志數據的特征值時使用的方法與建模單元計算目標日志數據的特征值的方法相同。