[发明专利]数据处理装置和方法

权利要求书

1.数据处理装置，其特征在于，所述数据处理装置包括：

一数据收集单元(100)，被构造为收集在网络中传输的数据，并根据预定的特征将收集数据分为已知攻击数据和未知攻击数据；

一数据转换单元(300)，被构造为根据映射数据库将未知攻击数据中包括的至少一部分内容替换为对应的识别码；

所述数据转换单元(300)包括：

一数据匹配单元(350)，被构造为进行关联性分析以确定未知攻击数据中的内容是否与映射数据库中包括的先前在网络中传输的历史数据相同；

一数据替换单元(370)，被构造为在确定未知攻击数据中的内容与历史数据相同时，将相同的内容替换为映射数据库中的与历史数据对应的识别码；

其中数据匹配单元(350)被构造为得到未知攻击数据中的内容的消息摘要，并根据位置攻击数据中的内容的消息摘要是否与历史数据的消息摘要相同来确定未知攻击数据中的内容是否与历史数据相同；

所述数据处理装置还包括：

一通信单元(700)，被构造为将经数据转换单元处理后的数据发送到外部的中央网络安全监视中心，其中当中央网络安全监视中心接收到处理后的数据时，中央网络安全监视中心根据映射数据库对处理后的数据进行处理以还原未知攻击数据，并对还原的未知攻击数据进行安全分析。

2.如权利要求1所述的数据处理装置，其特征在于，数据转换单元包括：

一数据识别单元(310)，被构造为识别未知攻击数据中包括的内容；

一数据分类单元(330)，被构造为根据数据识别单元的识别结果将未知攻击数据中的已被数据识别单元所识别的内容进行分类。

3.如权利要求1所述的数据处理装置，其特征在于，映射数据库中包括与历史数据对应的识别码和与历史数据相关的信息，数据匹配单元被构造为根据映射数据库中的与历史数据相关的信息确定未知攻击数据中的内容是否与历史数据相同。

4.如权利要求3所述的数据处理装置，其特征在于，与历史数据相关的信息包括历史数据的消息摘要。

5.如权利要求4所述的数据处理装置，其特征在于，与历史数据相关的信息包括历史数据的起始位置和长度，数据匹配单元被构造为根据历史数据的起始位置和长度来在未知攻击数据中选择进行是否相同判断的内容。

6.如权利要求1所述的数据处理装置，其特征在于，数据处理装置还包括：

一映射数据库生成单元(500)，被构造为根据先前在网络中传输的历史数据来生成映射数据库。

7.如权利要求6所述的数据处理装置，其特征在于，映射数据库生成单元根据将先前在网络中传输的历史数据中出现频率大于预定阈值的历史数据来生成映射数据库。

8.数据处理方法，其特征在于，所述数据处理方法包括：

收集在网络中传输的数据，并根据预定的特征将收集数据分为已知攻击数据和未知攻击数据；

根据映射数据库将未知攻击数据中包括的至少一部分内容替换为对应的识别码；

其中所述替换包括：进行关联性分析以确定未知攻击数据中的内容是否与映射数据库中包括的先前在网络中传输的历史数据相同；在确定未知攻击数据中的内容与历史数据相同时，将相同的内容替换为映射数据库中的与历史数据对应的识别码，其中得到未知攻击数据中的内容的消息摘要，并根据位置攻击数据中的内容的消息摘要是否与历史数据的消息摘要相同来确定未知攻击数据中的内容是否与历史数据相同；

将替换后的数据发送到外部的中央网络安全监视中心，其中当中央网络安全监视中心接收到替换后的数据时，中央网络安全监视中心根据映射数据库对替换后的数据进行处理以还原未知攻击数据，并对还原的未知攻击数据进行安全分析。

9.如权利要求8所述的方法，其特征在于，转换的步骤包括：

识别未知攻击数据中包括的内容；

根据识别结果将未知攻击数据中的已被数据识别单元所识别的内容进行分类。