[发明专利]一种基于采集数据异常的采集策略生成方法及系统

说明书

本发明实施例提供一种基于采集数据异常的采集策略生成方法及系统，方法包括：若判定获知目标网络中的采集代理上报的采集数据异常，则根据异常采集数据对应的采集项和预先存储的信息库，确定目标网络中需激活的采集代理集合，以及采集代理集合中采集代理的采集项、采集频率和采集优先级，生成目标网络中的采集策略。本发明实施例提供的方法及系统，针对异常采集数据制定协同采集策略，能够使得采集代理根据采集能力进行差异化数据采集，保证了采集得到的采集数据的有效性，使得网络中计算、存储和带宽等资源的浪费率大大降低，也能同时保证对网络运行状况的重点监测和威胁的有效检测。

技术领域

本发明实施例涉及网络安全技术领域，尤其涉及一种基于采集数据异常的采集策略生成方法及系统。

背景技术

随着通信技术、网络技术和信息技术的持续发展以及应用的广泛普及，形成了天地一体化网络、物联网、专用网络和各类服务系统(如：电子凭据服务系统、电子商务系统、电子政务系统)所在网络等大规模异构互联网络。大规模异构互联网络具有异构互联、动态接入、移动通信和多域并存等特性，承载了大量业务价值重要、内容敏感的应用与数据。与此同时，网络安全事件不单针对某个设备，其威胁覆盖面积广，并呈现持续高发态势，网络攻击手段和方法更层出不穷，给网络安全带来了严重威胁，因此，为了确保大规模异构互联网络安全运行，实现攻击源隔离、防止故障扩散和威胁蔓延等安全目标，需要对大规模异构互联网络的安全状态进行整体监视，以判定其是否遭受到网络威胁，并当单一设备遭受到网络威胁时，对其关联的其他设备进行协同采集，以对网络威胁进行更加全面分析。

而为了在大规模异构网络遭受到网络威胁时对网络威胁进行分析，通常需要通过采集代理对大规模异构互联网络中的设备和/或系统的运行状态数据进行采集，其中，采集代理为采集器和采集组件的统称。现有技术中对于运行状态等数据的采集方法为：直接激活大规模异构互联网络中的所有采集代理，从而使得所有采集代理采集自身能力范围内的设备或系统的运行状态等数据。这样做的缺陷在于：采集的数据过多且存在冗余，造成网络中计算、存储和带宽等资源的浪费；缺少对系统异常状态在多个设备中存在关联的考虑，尚未实现协同采集，导致用于威胁分析的冗余信息过多，影响威胁分析的性能和准确性。

发明内容

针对现有技术中存在的技术问题，本发明实施例提供一种基于采集数据异常的采集策略生成方法及系统。

第一方面，本发明实施例提供一种基于采集数据异常的采集策略生成方法，包括：

若判定获知目标网络中的采集代理上报的采集数据异常，则根据异常采集数据对应的采集项和预先存储的信息库，确定目标网络中需激活的采集代理集合，以及采集代理集合中采集代理的采集项、采集频率和采集优先级；

基于采集代理集合，以及采集代理集合中采集代理的采集项、采集频率和采集优先级的任意一种或多种，生成目标网络中的采集策略；

其中，所述信息库包括采集代理信息子库、采集对象信息子库和威胁特征信息子库。

第二方面，本发明实施例提供一种基于采集数据异常的采集策略生成系统，包括：

采集信息确定模块，用于若判定获知目标网络中的采集代理上报的采集数据异常，则根据异常采集数据对应的采集项和预先存储的信息库，确定目标网络中需激活的采集代理集合，以及采集代理集合中采集代理的采集项、采集频率和采集优先级；

采集策略生成模块，基于采集代理集合，以及采集代理集合中采集代理的采集项、采集频率和采集优先级的任意一种或多种，生成目标网络中的采集策略；

其中，所述信息库包括采集代理信息子库、采集对象信息子库和威胁特征信息子库。

第三方面，本发明实施例提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如第一方面所提供的方法的步骤。