[发明专利]数据处理装置和方法

说明书

提供了一种数据处理装置和方法。所述数据处理装置包括：一数据收集单元(100)，被构造为收集在网络中传输的数据，并根据预定的特征将收集数据分为已知攻击数据和未知攻击数据；一数据转换单元(300)，被构造为根据映射数据库将未知攻击数据中包括的至少一部分内容替换为对应的识别码。因此，可以减小网络中传输的数据的大小。

技术领域

本发明涉及一种数据处理装置和方法。

背景技术

在中央网络安全监视中，可以在需要保护的对象处布设网络流量收集装置，以收集来自网络的网络流量。例如，网络安全监视器(NSM)可以布设在客户的网络中以获得网络流量。网络安全监视器(NSM)以与入侵检测系统(IDS)的工作方式相似的方式工作，其可以监视诸如服务器拒绝(Denial of Service)的安全事件、网络扫描和由恶意软件触发的其他网络或应用的攻击。

在中央网络安全监视中，NSM可以不仅被设置为布设在网络环境中的前端处的检测传感器，也可以被用作原始数据收集器。就此，NSM将可以将网络数据流捕获为诸如pcap文件的无结构文件，并对这些数据文件进行预处理，然后将它们发送到中央网络安全监视中心。如此，可以使用NSM来帮助进行网络安全威胁的相关性分析。

但是，当监视的网络数据流变得很大时，需要很高的带宽来传输诸如pcap类文件。在工业控制网络应用中，为了处理这样的问题，提出了一种在将收集的数据发送到中央网络安全监视中心之前对收集的数据进行基于相关性分析的数据预处理方法。在工业控制网络环境中，与自动化生产工艺的控制和监视相关的网络流量相对固定。因此，需要通过识别出并简化已知数据并仅处理未知的数据，以减小需要发送的数据并缓解带宽的压力。

发明内容

本发明旨在提供一种解决上述和/或其他技术问题的数据处理装置和方法。

在一个实施例中，一种数据处理装置包括：一数据收集单元，被构造为收集在网络中传输的数据，并根据预定的特征将收集数据分为已知攻击数据和未知攻击数据；一数据转换单元，被构造为根据映射数据库将未知攻击数据中包括的至少一部分内容替换为对应的识别码。因此，可以减小将被发送到中央网络安全监视中心的数据。

数据转换单元包括：一数据识别单元，被构造为识别未知攻击数据中包括的内容；一数据分类单元，被构造为根据数据识别单元的识别结果将未知攻击数据中的已被数据识别单元所识别的内容进行分类。因此，可以改善安全分析的速度和准确度。

数据转换单元包括：一数据匹配单元，被构造为确定未知攻击数据中的内容是否与映射数据库中包括的先前在网络中传输的历史数据相同；一数据替换单元，被构造为在确定未知攻击数据中的内容与历史数据相同时，将相同的内容替换为映射数据库中的与历史数据对应的识别码。

映射数据库中包括与历史数据对应的识别码和与历史数据相关的信息，数据匹配单元被构造为根据映射数据库中的与历史数据相关的信息确定未知攻击数据中的内容是否与历史数据相同。与历史数据相关的信息包括历史数据的消息摘要消息摘要，数据匹配单元被构造为得到未知攻击数据中的内容的消息摘要消息摘要，并根据位置攻击数据中的内容的消息摘要是否与历史数据的消息摘要相同来确定未知攻击数据中的内容是否与历史数据相同。与历史数据相关的信息包括历史数据的起始位置和长度，数据匹配单元被构造为根据历史数据的起始位置和长度来在未知攻击数据中选择进行是否相同判断的内容。

数据处理装置还包括：一映射数据库生成单元，被构造为根据先前在网络中传输的历史数据来生成映射数据库。映射数据库生成单元根据将先前在网络中传输的历史数据中出现频率大于预定阈值的历史数据来生成映射数据库。

所述数据处理装置还包括：一通信单元，被构造为将经数据转换单元转换的数据发送到外部。