异常数据响应方法、系统、装置、计算机设备和存储介质.pdf

《异常数据响应方法、系统、装置、计算机设备和存储介质.pdf》由会员分享，可在线阅读，更多相关《异常数据响应方法、系统、装置、计算机设备和存储介质.pdf（17页完成版）》请在专利查询网上搜索。

1、(19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 202010071207.3 (22)申请日 2020.01.21 (71)申请人 广东电网有限责任公司广州供电局 地址 510665 广东省广州市天河区天河南 二路2号 (72)发明人 衷宇清王浩林泽兵吴刚 王敏陈立业 (74)专利代理机构 广州华进联合专利商标代理 有限公司 44224 代理人 冯右明 (51)Int.Cl. H04L 29/06(2006.01) (54)发明名称 异常数据响应方法、 系统、 装置、 计算机设备 和存储介质 (57)摘要 本申请涉及一种异常数。

2、据响应方法、 系统、 装置、 计算机设备和存储介质。 通过利用智能网 关在检测到异常数据进入时， 获取智能网关连接 的多个网络安全设备发送的表示网络安全状态 信息的日志数据， 并通过日志数据， 生成包括当 前网络安全状态的特征信息， 然后将该特征信息 发送至安全管理中心， 安全管理中心将根据该特 征信息确定当前网络的安全态势， 并生成相应的 安全策略发送至智能网关， 智能网关响应安全策 略并对异常数据进行处理， 相较于传统的只能通 过固定的过滤条件处理异常数据， 本方法通过智 能网关感知异常数据并可以根据安全管理中心 发送的安全策略对异常数据进行处理， 实现了更 全面地响应异常数据的效果， 提。

3、高了异常数据处 理的安全性。 权利要求书2页 说明书10页 附图4页 CN 111327601 A 2020.06.23 CN 111327601 A 1.一种异常数据响应方法， 其特征在于， 应用于智能网关， 所述方法包括： 当异常数据进入时， 获取所述智能网关连接的多个网络安全设备发送的表示网络安全 状态信息的日志数据； 根据所述日志数据， 生成包括当前网络安全状态的特征信息， 将所述特征信息发送至 安全管理中心， 以使所述安全管理中心根据所述特征信息确定当前网络的安全态势， 并基 于当前网络的安全态势生成相应的安全策略； 获取所述安全管理中心发送的所述安全策略， 响应所述安全策略以对所述。

4、异常数据进 行处理。 2.根据权利要求1所述的方法， 其特征在于， 所述获取所述智能网关连接的多个网络安 全设备发送的表示网络安全状态信息的日志数据之后， 还包括： 将所述日志数据的格式统一为预设数据格式， 得到统一格式的日志数据； 去除所述统一格式的日志数据中与所述网络安全状态信息无关的噪声数据， 合并所述 统一格式的日志数据中重复的数据， 得到处理后的日志数据； 根据所述处理后的日志数据， 生成包括当前网络安全状态的特征信息。 3.根据权利要求1所述的方法， 其特征在于， 所述根据所述日志数据， 生成包括当前网 络安全状态的特征信息， 包括： 利用wrapper算法对所述日志数据进行解析，。

5、 生成包括当前网络安全状态的特征信息。 4.根据权利要求1所述的方法， 其特征在于， 所述获取所述安全管理中心发送的所述安 全策略之后， 还包括： 将所述安全策略发送至策略知识库中， 以得到更新后的策略知识库； 所述策略知识库 用于存储并向所述智能网关提供所述安全策略； 和/或， 所述响应所述安全策略以对所述异常数据进行处理之后， 还包括： 获取对所述异常数据进行处理之后， 包括当前网络安全状态的特征信息， 作为处理后 的特征信息； 判断所述处理后的特征信息是否达到预设安全状态， 得到判断结果； 根据所述判断结果， 对所述安全策略进行调整， 得到调整后的安全策略； 根据所述调整后的安全策略， 。

6、对所述异常数据进行处理。 5.一种异常数据处理方法， 其特征在于， 应用于安全管理中心， 所述方法包括： 获取智能网关发送的包括当前网络安全状态的特征信息； 所述当前网络安全特征的特 征信息根据所述智能网关连接的多个网络安全设备发送的表示网络安全状态信息的日志 数据得到； 根据所述特征信息， 确定当前网络的安全态势； 根据所述安全态势， 生成相应的安全策略并发送至所述智能网关， 以使所述智能网关 根据所述安全策略对异常数据进行处理。 6.一种异常数据响应系统， 其特征在于， 包括： 智能网关和安全管理中心； 所述智能网关用于当异常数据进入时， 获取所述智能网关连接的多个网络安全设备发 送的表示。

7、网络安全状态信息的日志数据； 根据所述日志数据， 生成包括当前网络安全状态 的特征信息， 将所述特征信息发送至安全管理中心， 获取所述安全管理中心发送的所述安 权利要求书 1/2 页 2 CN 111327601 A 2 全策略， 响应所述安全策略以对所述异常数据进行处理； 所述安全管理中心用于获取所述智能网关发送的包括当前网络安全状态的特征信息； 根据所述特征信息， 确定当前网络的安全态势； 根据所述安全态势， 生成相应的安全策略并 发送至所述智能网关； 所述智能网关还用于根据所述安全策略对异常数据进行处理； 和/或， 所述智能网关中包括： 防火墙单元和入侵检测单元； 所述防火墙单元， 用于。

8、将不符合所述安全策略的数据进行过滤处理； 所述入侵检测单元， 用于对经过所述智能网关的数据进行旁路监听， 以检测所述经过 所述智能网关的数据中是否存在所述异常数据。 7.一种异常数据响应装置， 其特征在于， 应用于智能网关， 所述装置包括： 日志获取模块， 用于当异常数据进入时， 获取所述智能网关连接的多个网络安全设备 发送的表示网络安全状态信息的日志数据； 特征获取模块， 用于根据所述日志数据， 生成包括当前网络安全状态的特征信息， 将所 述特征信息发送至安全管理中心， 以使所述安全管理中心根据所述特征信息确定当前网络 的安全态势， 并基于当前网络的安全态势生成相应的安全策略； 响应模块， 。

9、用于获取所述安全管理中心发送的所述安全策略， 响应所述安全策略以对 所述异常数据进行处理。 8.一种异常数据处理装置， 其特征在于， 应用于安全管理中心， 所述装置包括： 信息获取模块， 用于获取智能网关发送的包括当前网络安全状态的特征信息； 所述当 前网络安全特征的特征信息根据所述智能网关连接的多个网络安全设备发送的表示网络 安全状态信息的日志数据得到； 判定模块， 用于根据所述特征信息， 确定当前网络的安全态势； 策略生成模块， 用于根据所述安全态势， 生成相应的安全策略并发送至所述智能网关， 以使所述智能网关根据所述安全策略对异常数据进行处理。 9.一种计算机设备， 包括存储器和处理器，。

10、 所述存储器存储有计算机程序， 其特征在 于， 所述处理器执行所述计算机程序时实现权利要求1至5中任一项所述方法的步骤。 10.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机程序 被处理器执行时实现权利要求1至5中任一项所述的方法的步骤。 权利要求书 2/2 页 3 CN 111327601 A 3 异常数据响应方法、 系统、 装置、 计算机设备和存储介质 技术领域 0001 本申请涉及网络安全技术领域， 特别是涉及一种异常数据响应方法、 系统、 装置、 计算机设备和存储介质。 背景技术 0002 随着互联网技术的发展， 计算机之间可以通过互联网进行网络通信和数据传。

11、输， 并且这种需求正变得越来越频繁， 因此， 在越来越频繁的网络通信和数据传输的需求下， 保 证传输的网络数据的安全， 特别是保证流入网络内部的数据的安全变得十分重要， 而保证 流入网络内部的数据的安全的重要步骤是要对异常数据进行处理， 而对异常数据的处理通 常是通过网关实现， 传统的网关通常仅通过设置相应的过滤条件， 从而排查异常数据或作 出警示， 然而， 这种异常数据处理方式较为不灵活， 容易给黑客入侵提供机会， 导致网络被 入侵。 0003 因此， 传统的异常数据响应处理方式存在安全性不高的缺陷。 发明内容 0004 基于此， 有必要针对上述技术问题， 提供一种能够提高网络安全性的异常数。

12、据响 应方法、 系统、 装置、 计算机设备和存储介质。 0005 一种异常数据响应方法， 应用于智能网关， 所述方法包括： 0006 当异常数据进入时， 获取所述智能网关连接的多个网络安全设备发送的表示网络 安全状态信息的日志数据； 0007 根据所述日志数据， 生成包括当前网络安全状态的特征信息， 将所述特征信息发 送至安全管理中心， 以使所述安全管理中心根据所述特征信息确定当前网络的安全态势， 并基于当前网络的安全态势生成相应的安全策略； 0008 获取所述安全管理中心发送的所述安全策略， 响应所述安全策略以对所述异常数 据进行处理。 0009 在一个实施例中， 所述获取所述智能网关连接的。

13、多个网络安全设备发送的表示网 络安全状态信息的日志数据之后， 还包括： 0010 将所述日志数据的格式统一为预设数据格式， 得到统一格式的日志数据； 0011 去除所述统一格式的日志数据中与所述网络安全状态信息无关的噪声数据， 合并 所述统一格式的日志数据中重复的数据， 得到处理后的日志数据； 0012 根据所述处理后的日志数据， 生成包括当前网络安全状态的特征信息。 0013 在一个实施例中， 所述根据所述日志数据， 生成包括当前网络安全状态的特征信 息， 包括： 0014 利用wrapper算法对所述日志数据进行解析， 生成包括当前网络安全状态的特征 信息。 0015 在一个实施例中， 所。

14、述获取所述安全管理中心发送的所述安全策略之后， 还包括： 说明书 1/10 页 4 CN 111327601 A 4 0016 将所述安全策略发送至策略知识库中， 以得到更新后的策略知识库； 所述策略知 识库用于存储并向所述智能网关提供所述安全策略。 0017 在一个实施例中， 所述响应所述安全策略以对所述异常数据进行处理之后， 还包 括： 0018 获取对所述异常数据进行处理之后， 包括当前网络安全状态的特征信息， 作为处 理后的特征信息； 0019 判断所述处理后的特征信息是否达到预设安全状态， 得到判断结果； 0020 根据所述判断结果， 对所述安全策略进行调整， 得到调整后的安全策略；。

15、 0021 根据所述调整后的安全策略， 对所述异常数据进行处理。 0022 一种异常数据处理方法， 应用于安全管理中心， 所述方法包括： 0023 获取智能网关发送的包括当前网络安全状态的特征信息； 所述当前网络安全特征 的特征信息根据所述智能网关连接的多个网络安全设备发送的表示网络安全状态信息的 日志数据得到； 0024 根据所述特征信息， 确定当前网络的安全态势； 0025 根据所述安全态势， 生成相应的安全策略并发送至所述智能网关， 以使所述智能 网关根据所述安全策略对异常数据进行处理。 0026 一种异常数据响应系统， 包括： 智能网关和安全管理中心； 0027 所述智能网关用于当异常。

16、数据进入时， 获取所述智能网关连接的多个网络安全设 备发送的表示网络安全状态信息的日志数据； 根据所述日志数据， 生成包括当前网络安全 状态的特征信息， 将所述特征信息发送至安全管理中心， 获取所述安全管理中心发送的所 述安全策略， 响应所述安全策略以对所述异常数据进行处理； 0028 所述安全管理中心用于获取所述智能网关发送的包括当前网络安全状态的特征 信息； 根据所述特征信息， 确定当前网络的安全态势； 根据所述安全态势， 生成相应的安全 策略并发送至所述智能网关； 0029 所述智能网关还用于根据所述安全策略对异常数据进行处理。 0030 在一个实施例中， 所述智能网关中包括： 防火墙单。

17、元和入侵检测单元； 0031 所述防火墙单元， 用于将不符合所述安全策略的数据进行过滤处理； 0032 所述入侵检测单元， 用于对经过所述智能网关的数据进行旁路监听， 以检测所述 经过所述智能网关的数据中是否存在所述异常数据。 0033 一种异常数据响应装置， 应用于智能网关， 所述装置包括： 0034 日志获取模块， 用于当异常数据进入时， 获取所述智能网关连接的多个网络安全 设备发送的表示网络安全状态信息的日志数据； 0035 特征获取模块， 用于根据所述日志数据， 生成包括当前网络安全状态的特征信息， 将所述特征信息发送至安全管理中心， 以使所述安全管理中心根据所述特征信息确定当前 网络。

18、的安全态势， 并基于当前网络的安全态势生成相应的安全策略； 0036 响应模块， 用于获取所述安全管理中心发送的所述安全策略， 响应所述安全策略 以对所述异常数据进行处理。 0037 一种异常数据处理装置， 应用于安全管理中心， 所述装置包括： 0038 信息获取模块， 用于获取智能网关发送的包括当前网络安全状态的特征信息； 所 说明书 2/10 页 5 CN 111327601 A 5 述当前网络安全特征的特征信息根据所述智能网关连接的多个网络安全设备发送的表示 网络安全状态信息的日志数据得到； 0039 判定模块， 用于根据所述特征信息， 确定当前网络的安全态势； 0040 策略生成模块，。

19、 用于根据所述安全态势， 生成相应的安全策略并发送至所述智能 网关， 以使所述智能网关根据所述安全策略对异常数据进行处理。 0041 一种计算机设备， 包括存储器和处理器， 所述存储器存储有计算机程序， 所述处理 器执行所述计算机程序时实现如上所述的异常数据相应方法和异常数据处理方法。 0042 一种计算机可读存储介质， 其上存储有计算机程序， 所述计算机程序被处理器执 行时实现如上述所述的异常数据相应方法和异常数据处理方法。 0043 上述异常数据响应方法、 系统、 装置、 计算机设备和存储介质， 通过利用智能网关 在检测到异常数据进入时， 获取智能网关连接的多个网络安全设备发送的表示网络安。

20、全状 态信息的日志数据， 并通过日志数据， 生成包括当前网络安全状态的特征信息， 然后将该特 征信息发送至安全管理中心， 安全管理中心将根据该特征信息确定当前网络的安全态势， 并生成相应的安全策略发送至智能网关， 智能网关响应安全策略并对异常数据进行处理， 相较于传统的只能通过固定的过滤条件处理异常数据， 本方法通过智能网关感知异常数据 并可以根据安全管理中心发送的安全策略对异常数据进行处理， 实现了更全面地响应异常 数据的效果， 提高了异常数据处理的安全性。 附图说明 0044 图1为一个实施例中异常数据响应方法的应用环境图； 0045 图2为一个实施例中异常数据响应方法的流程示意图； 00。

21、46 图3为一个实施例中异常数据处理方法的流程示意图； 0047 图4为另一个实施例中异常数据响应方法的流程示意图； 0048 图5为一个实施例中异常数据响应系统的结构示意图； 0049 图6为一个实施例中智能网关的结构示意图； 0050 图7为一个实施例中异常数据响应装置的结构框图； 0051 图8为一个实施例中异常数据处理装置的结构框图； 0052 图9为一个实施例中计算机设备的内部结构图。 具体实施方式 0053 为了使本申请的目的、 技术方案及优点更加清楚明白， 以下结合附图及实施例， 对 本申请进行进一步详细说明。 应当理解， 此处描述的具体实施例仅仅用以解释本申请， 并不 用于限定。

22、本申请。 0054 本申请提供的异常数据响应方法， 可以应用于如图1所示的应用环境中。 其中， 智 能网关102通过网络与安全管理中心104进行通信。 智能网关102可以通过其中的入侵检测 单元检测异常数据的流入， 还可以将与异常数据相关的日志数据通过网络发送至安全管理 中心104， 安全管理中心104可以根据日志数据生成相应的安全策略并通过网络发送至智能 网关102， 智能网关102可以响应该安全策略并对异常数据进行处理。 其中， 安全管理中心 104可以用独立的服务器或者是多个服务器组成的服务器集群来实现。 说明书 3/10 页 6 CN 111327601 A 6 0055 在一个实施例。

23、中， 如图2所示， 提供了一种异常数据响应方法， 以该方法应用于图1 中的智能网关为例进行说明， 包括以下步骤： 0056 步骤S202， 当异常数据进入时， 获取智能网关102连接的多个网络安全设备发送的 表示网络安全状态信息的日志数据。 0057 其中， 异常数据可以是不符合正常规则的网络数据， 正常规则可以根据日志数据 中对内部网络进行过访问的数据确定， 也可以根据预设的过滤条件确定。 网络安全设备可 以是用于维护网络安全和处理网络异常的设备， 网络安全设备可以有多个， 例如入侵防御 设备、 安全审计设备、 VPN、 防毒墙等。 其中入侵防御设备可以用于抵御有害数据进入内部网 络， 安全。

24、审计设备可以是对网络或指定系统的使用状态进行跟踪记录和综合梳理的工具， 主要分为用户自主保护、 系统审计保护两种。 网络安全审计能够对网络进行动态实时监控， 可通过寻找入侵和违规行为， 记录网络上发生的一切， 为用户提供取证手段。 网络安全审计 不但能够监视和控制来自外部的入侵， 还能够监视来自内部人员的违规和破坏行动。 VPN可 以是一种用于连接中、 大型企业或团体与团体间的私人网络的通讯方法， VPN可以利用隧道 协议来达到保密、 发送端认证、 消息准确性等私人消息安全效果， 这种技术可以用不安全的 网络， 例如： 互联网， 来发送可靠、 安全的消息。 防毒墙可以是一种高端杀毒设备， 可以。

25、实现 计算机设备的硬件防病毒入侵的效果。 智能网关102在检测到有异常数据流入时， 可以搜集 本网络中各个安全设备发送的日志数据和其它安全信息， 其中日志数据可以是表示网络安 全状态信息的日志数据， 安全设备可以通过内部网络通信将上述日志信息发送至智能网关 102。 0058 步骤S204， 根据日志数据， 生成包括当前网络安全状态的特征信息， 将特征信息发 送至安全管理中心104， 以使安全管理中心104根据特征信息确定当前网络的安全态势， 并 基于当前网络的安全态势生成相应的安全策略。 0059 其中， 日志数据可以是步骤S202中可以表示网络安全状态的日志数据， 智能网关 102可以根据。

26、上述日志数据生成相应的特征信息， 其中特征信息可以包括当前网络安全状 态， 具体地， 网络安全状态的特征信息可以包括： 保密性、 完整性、 可用性和可控性等。 其中， 保密性可以是信息不泄露给非授权用户、 实体或过程， 或供其利用的特性； 完整性可以是数 据未经授权不能进行改变的特性， 即信息在存储或传输过程中保持不被修改、 不被破坏和 丢失的特性； 可用性可以是可被授权实体访问并按需求使用的特性， 即当需要时能否存取 所需的信息， 例如网络环境下拒绝服务、 破坏网络和有关系统的正常运行等都属于对可用 性的攻击； 可控性可以是对信息的传播及内容具有控制能力的特性。 上述网络安全状态的 特征信息。

27、还可以包括其他网络特征， 例如异常数据流入的时间和大小等。 上述智能网关102 生成上述特征信息后， 可以将该特征信息发送至安全管理中心104， 安全管理中心104可以 接收上述特征信息， 还可以根据该特征信息确定当前网络的安全态势， 根据该安全态势确 定相应的安全策略。 其中， 安全态势可以是网络的安全状态和风险事件发生时， 网络状态的 发展趋势， 安全管理中心104可以以上述特征信息为基础， 基于环境地、 动态地、 整体地洞悉 安全风险， 从全局视角对安全威胁进行发现识别、 理解分析和响应处置等， 安全管理中心 104可以根据上述特征信息判断是否是真实的网络攻击， 若是， 则是定向或是随机。

28、的网络攻 击， 该异常数据可能影响的范围和危害， 清除或缓解的方法和难度等， 从而生成相应的安全 策略。 上述安全策略可以是用于解决上述异常数据进入导致的网络状态发生异常的策略， 说明书 4/10 页 7 CN 111327601 A 7 其可以由多种形式组成， 例如可以是一串命令等， 安全管理中心104可以根据上述特征信息 和安全态势确定具体需要哪种安全策略。 0060 步骤S206， 获取安全管理中心104发送的安全策略， 响应安全策略以对异常数据进 行处理。 0061 其中， 安全策略可以是上述步骤S204中安全管理中心104生成的安全策略。 智能网 关102可以通过网络与安全管理中心1。

29、04连接并进行通信和数据传输， 智能网关102可以获 取安全管理中心104发送的安全策略， 当智能网关102接收到所述安全策略后， 可以对上述 安全策略就行响应， 从而可以根据该安全策略对上述异常数据进行处理。 其中， 智能网关 102接收到安全管理中心104的安全策略后， 还可以向安全管理中心104发送确认信息， 安全 管理中心104可以根据该确认信息确定智能网关102响应了上述安全策略。 0062 上述异常数据响应方法， 通过利用智能网关在检测到异常数据进入时， 获取智能 网关连接的多个网络安全设备发送的表示网络安全状态信息的日志数据， 并通过日志数 据， 生成包括当前网络安全状态的特征信。

30、息， 然后将该特征信息发送至安全管理中心， 安全 管理中心将根据该特征信息确定当前网络的安全态势， 并生成相应的安全策略发送至智能 网关， 智能网关响应安全策略并对异常数据进行处理， 相较于传统的只能通过固定的过滤 条件处理异常数据， 本方法通过智能网关感知异常数据并可以根据安全管理中心发送的安 全策略对异常数据进行处理， 实现了更全面地响应异常数据的效果， 提高了异常数据处理 的安全性。 0063 在一个实施例中， 获取智能网关102连接的多个网络安全设备发送的表示网络安 全状态信息的日志数据之后， 还包括： 将日志数据的格式统一为预设数据格式， 得到统一格 式的日志数据； 去除统一格式的日。

31、志数据中与网络安全状态信息无关的噪声数据， 合并所 述统一格式的日志数据中重复的数据， 得到处理后的日志数据； 根据处理后的日志数据， 生 成包括当前网络安全状态的特征信息。 0064 本实施例中， 日志数据可以是表示网络安全状态的日志数据， 当智能网关102检测 到有异常数据进入时， 可以从多个安全设备中获取可以表示网络安全状态的日志数据。 然 而， 多个安全设备记录的日志数据格式可能是不一致的， 智能网关102难以根据不同格式的 日志数据生成相应的表示当前网络安全状态的特征信息。 因此， 智能网关102获取到多个网 络安全设备发送的表示网络安全状态信息的日志信息后， 可以将多个日志数据的格。

32、式统一 为预设数据格式。 其中， 预设数据格式可以是IDMEF(Intrusion Detection Message Exchange Format， 入侵检测消息交换格式)， IDMEF旨在定义标准的数据格式， 自动化入侵 检测系统使用该格式对可疑事件发出告警。 开发该标准格式可实现商业系统、 开源系统和 研究系统之间的互通性， 允许用户根据各个系统的优缺点进行混合部署， 以达到最佳实现 效果， 智能网关102可以采用IDMEF数据格式对上述多个安全设备发送的日志数据进行统 一。 另外， 智能网关102还可以对上述日志数据进行去除噪声处理， 即可以对上述日志数据 中与网络安全状态无关的噪声。

33、数据进行去除， 还可以对上述日志数据中的重复记录进行合 并， 智能网关102对上述日志数据进行去除噪声和合并重复记录的处理后， 可以得到处理后 的日志数据， 智能网关102可以根据上述处理后的日志数据， 生成包括当前网络安全状态的 特征信息。 通过本实施例， 智能网关102可以对上述日志数据进行统一格式、 去除噪声和合 并重复数据等处理， 且可以根据处理后的数据生成特征信息， 可以令生成的特征信息更具 说明书 5/10 页 8 CN 111327601 A 8 代表性和可靠性。 0065 在一个实施例中， 根据日志数据， 生成包括当前网络安全状态的特征信息， 包括： 利用wrapper算法对日。

34、志数据进行解析， 生成包括当前网络安全状态的特征信息。 0066 本实施例中， 特征信息可以是根据上述日志数据生成的包括当前网络安全状态的 特征信息。 具体地， 智能网关102可以利用wrapper算法， 分析和理解上述日式数据。 其中， wrapper算法可以是一种学习算法， wrapper算法可以寻找所有特征子集中能使后续学习算 法达到较高性能的子集， 在特征信息生成阶段， wrapper算法可以看做搜索算法和学习算法 的结合， wrapper算法可以对上述日志数据进行理解， 从而形成特征描述， 可以描述出当前 网络安全状态的相关特征信息。 通过本实施例， 智能网关102可以通过wrapp。

35、er算法分析并 生成特征信息， 增加了特征信息的可靠性。 0067 在一个实施例中， 获取安全管理中心104发送的安全策略之后， 还包括： 将安全策 略发送至策略知识库中， 以得到更新后的策略知识库； 策略知识库用于存储并向智能网关 102提供安全策略。 0068 本实施例中， 安全策略可以是用于处理上述异常数据的策略， 策略知识库可以用 于存储上述安全策略， 还可以令上述智能网关102进行安全策略的查询， 选择和调用。 智能 网关102接收到安全管理中心104的安全策略后， 可以将该安全策略形成用中间语言描述的 安全策略， 还可以将该安全策略发送至策略知识库中， 策略知识库可以接收该安全策略。

36、， 还 可以将该安全策略存储在策略知识库中， 实现对策略知识库的更新， 从而使智能网关102可 以根据更新的策略知识库查询、 选择和调用相应的安全策略。 通过本实施例， 智能网关102 可以将安全管理中心104发送的安全策略存储在策略知识库中， 对策略知识库进行更新， 实 现了提高安全策略选择的灵活性和时效性的效果。 0069 在一个实施例中， 响应安全策略以对异常数据进行处理之后， 还包括： 获取对异常 数据进行处理之后， 包括当前网络安全状态的特征信息， 作为处理后的特征信息； 判断处理 后的特征信息是否达到预设安全状态， 得到判断结果； 根据判断结果， 对安全策略进行调 整， 得到调整后。

37、的安全策略； 根据调整后的安全策略， 对异常数据进行处理。 0070 本实施例中， 处理后的特征信息可以是智能网关102根据安全管理中心104发送的 安全策略， 对上述异常数据进行处理后， 处理后的当前网络安全状态的特征信息。 预设安全 状态可以是符合安全设备的安全规则的状态， 即可以是当前网络处于安全状态的状态。 智 能网关102可以在响应了安全管理中心104发送的安全策略， 对异常数据进行处理后， 可以 再次获取包括当前网络安全状态的特征信息， 对处理后的网络安全状态进行评估和判断， 还可以根据评估后的结果， 对安全策略进行调整和改进， 使得智能网关102可以根据改进后 的安全策略对异常数。

38、据进行处理。 通过本实施例， 智能网关102可以根据实际处理情况对安 全策略进行调整和改进， 实现了提高异常数据处理的有效性， 提高了网络状态的安全性的 效果。 0071 在一个实施例中， 如图3所示， 提供了一种异常数据处理方法， 以该方法应用于图1 中的安全管理中心104为例进行说明， 包括以下步骤： 0072 步骤S302， 获取智能网关102发送的包括当前网络安全状态的特征信息； 当前网络 安全特征的特征信息根据智能网关102连接的多个网络安全设备发送的表示网络安全状态 信息的日志数据得到。 说明书 6/10 页 9 CN 111327601 A 9 0073 其中， 特征信息可以是包。

39、括当前网络安全状态的信息， 该信息可以通过智能网关 102发送。 智能网关102可以根据多个网络安全设备发送的表示网络安全状态信息的日志数 据， 得到包括当前网络安全状态的特征信息， 并且智能网关102可以将得到的特征信息发送 至安全管理中心104， 安全管理中心104可以通过网络获取上述特征信息， 该特征信息还可 以包括边缘网络的特征数据。 0074 步骤S304， 根据特征信息， 确定当前网络的安全态势。 0075 其中， 安全态势可以是网络的安全状态和风险事件发生时， 网络状态的发展趋势， 安全管理中心104可以以上述特征信息为基础， 基于环境地、 动态地、 整体地洞悉安全风险， 从全局。

40、视角对安全威胁进行发现识别、 理解分析和响应处置等， 安全管理中心104可以根据 上述特征信息判断是否是真实的网络攻击， 若是， 则是定向或是随机的网络攻击， 该异常数 据可能影响的范围和危害， 清除或缓解的方法和难度等。 即安全管理中心104可以根据上述 特征信息对当前网络环境的发展方向进行预测， 该预测结果可以包括被攻击或是普通的数 据流入错误， 安全管理中心104可以预测出上述异常数据对网络安全状态影响的程度， 从而 确定当前网络的安全态势。 0076 步骤S306， 根据安全态势， 生成相应的安全策略并发送至智能网关102， 以使智能 网关根据安全策略对异常数据进行处理。 0077 其。

41、中， 安全管理中心104可以对上述安全态势进行分析， 并且可以制定相应的安全 策略， 该安全策略可以用于解决上述异常数据进入而产生的网络安全问题。 安全管理中心 104可以将生成的安全策略发送至智能网关102中， 智能网关102可以接收安全管理中心104 发送的安全策略， 并且可以根据该安全策略对异常数据进行处理。 0078 上述异常数据处理方法中， 安全管理中心可以通过接收智能网关发送的包括网络 安全状态的特征信息， 并可以根据特征信息形成当前网络的安全态势， 根据安全态势生成 相应的安全策略， 使得智能网关可以根据该安全策略处理异常数据， 相较于传统的只能通 过设定的过滤条件防范异常数据的。

42、方法， 本方法可以对有异常数据进入时的网络状态和发 展趋势进行分析， 并制定相应的安全策略， 实现了提高网络异常数据响应的安全性和处理 异常数据的灵活性的效果。 0079 在一个实施例中， 如图4所示， 图4为另一个实施例中异常数据响应方法的流程示 意图。 0080 本实施例中， 当有异常数据进入智能网关102时， 各个安全设备可以感知安全事 件， 并可以将感知信息可以网络安全状态相关日志数据发送至智能网关102中， 智能网关 102可以对日志数据进行预处理， 具体地， 可以通过IDMEF数据格式， 对日志数据进行格式统 一， 还可以对将日志数据中与网络安全状态无关的噪声数据去除， 还可以将日。

43、志数据中重 复的记录进行合并， 得到处理后的日志数据。 智能网关102可以通过wrapper算法， 对处理后 的日志数据进行理解， 得到当前网络安全状态的相关特征信息， 并且可以将该特征信息发 送至安全管理中心104。 安全管理中心104可以对接收到的特征信息进行搜集和分析， 形成 对当前安全态势的理解， 再可以对安全态势的理解进行分析， 得到对当前网络安全状态的 判定和当前网络安全状态的发展趋势的预测信息， 安全管理中心104可以根据上述预测信 息， 生成相应的安全策略， 并可以将该安全策略发送至智能网关102， 智能网关102可以响应 该安全策略， 将安全策略形成使用中间语言描述的安全策略。

44、， 同时可以将该安全策略存储 说明书 7/10 页 10 CN 111327601 A 10 在策略知识库中， 对策略知识库进行更新， 智能网关102还可以将上述安全策略分为具体的 执行步骤， 调用相关的网络工具库中预先编制的工具执行相关步骤， 执行上述安全策略后， 还可以对执行后的网络安全状态的特征信息进行评估， 将评估的结果进行反馈， 从而智能 网关102可以调整和改进上述安全策略。 通过本实施例， 当有异常数据进入时， 可以通过智 能网关发送网络安全状态相关特征信息至安全管理中心， 安全管理中心可以根据特征信息 制定相应的安全策略， 相较于传统的只能通过固定的条件进行过滤， 本方法实现了。

45、提高了 处理异常数据的全面性和灵活性的效果。 0081 应该理解的是， 虽然图2-4的流程图中的各个步骤按照箭头的指示依次显示， 但是 这些步骤并不是必然按照箭头指示的顺序依次执行。 除非本文中有明确的说明， 这些步骤 的执行并没有严格的顺序限制， 这些步骤可以以其它的顺序执行。 而且， 图2-4中的至少一 部分步骤可以包括多个步骤或者多个阶段， 这些步骤或者阶段并不必然是在同一时刻执行 完成， 而是可以在不同的时刻执行， 这些步骤或者阶段的执行顺序也不必然是依次进行， 而 是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。 0082 在一个实施例中， 如图5所示， 。

46、图5为一个实施例中异常数据响应系统的结构示意 图。 提供一种异常数据响应系统， 该系统包括： 智能网关102和安全管理中心104； 0083 智能网关102用于当异常数据进入时， 获取智能网关102连接的多个网络安全设备 发送的表示网络安全状态信息的日志数据； 根据日志数据， 生成包括当前网络安全状态的 特征信息， 将特征信息发送至安全管理中心104， 获取安全管理中心104发送的安全策略， 响 应安全策略以对异常数据进行处理。 0084 安全管理中心104用于获取智能网关102发送的包括当前网络安全状态的特征信 息； 根据特征信息， 确定当前网络的安全态势； 根据安全态势， 生成相应的安全策。

47、略并发送 至智能网关102。 0085 智能网关102还用于根据安全策略对异常数据进行处理。 0086 在一个实施例中， 上述智能网关102中包括： 防火墙单元和入侵检测单元； 0087 防火墙单元502， 用于将不符合安全策略的数据进行过滤处理； 0088 入侵检测单元504， 用于对经过智能网关102的数据进行旁路监听， 以检测经过所 述智能网关102的数据中是否存在异常数据。 0089 其中， 外部网络首先需要通过防火墙的检测， 防火墙采用包过滤技术， 对不符合安 全策略的数据进行丢弃处理， 从而阻止了大部分来自外网的安全威胁。 入侵检测单元可以 在主要数据流的旁路进行监听， 搜集信息并。

48、可以对这些信息进行分析， 从而发现网络中是 否有违反安全策略的行为或迹象， 当发现有异常状况时， 可以启动报警、 记录和调用安全设 备进行响应等措施。 其中安全设备可以包括入侵防御设备、 安全审计系统、 VPN、 防毒墙等。 智能网关102可以通过其中的入侵检测单元检测异常数据的流入， 可以通过其中的感知与 响应单元响应并实施安全管理中心104发送的安全策略。 在一个实施例中， 如图6所示， 图6 为一个实施例中智能网关的结构示意图。 其展示了智能网关102中感知和响应单元506的结 构示意图。 包括数据预处理单元602、 特征提取单元604、 响应策略单元606、 响应执行单元 608、 策。

49、略知识库610、 执行工具库612和响应评估单元614。 0090 其中， 数据预处理单元602用于将上述日志数据通过IDMEF数据格式进行统一， 去 除与网络安全状态无关的噪声数据和合并重复数据， 还可以将处理后的日志数据发送至特 说明书 8/10 页 11 CN 111327601 A 11 征提取单元604。 特征提取单元604用于通过wrapper算法对处理后的数据进行理解从而形 成当前网络安全状态的特征信息， 还可以将这些特征信息发送至安全管理中心104， 使其对 该特征信息进行理解并制定相应的安全策略。 响应策略单元606用于接收安全管理中心104 发送的安全策略， 可以将其形成使。

50、用中间语言描述的安全策略， 还可以将该安全策略存储 至策略知识库610中， 对策略知识库610进行更新。 响应执行单元608用于将上述安全策略分 为具体的执行步骤， 并可以调用执行工具库612中的工具对异常数据进行处理。 策略知识库 610用于存储上述安全管理中心104发送的安全策略， 并可以供响应策略单元606进行查询、 选择和调用。 执行工具库612用于存储安全工具， 供响应执行单元608选择和调用。 响应评估 单元614用于对处理异常数据后的网络安全状态进行评估， 可以将评估结果反馈到响应策 略单元606， 从而调整和改进上述安全策略。 0091 在一个实施例中， 如图7所示， 提供了一。