[发明专利]工控安全事件精简聚合方法、装置

说明书

本申请提供的一种工控安全事件精简聚合方法、装置、计算机设备和存储介质，所述方法包括：获取数据源；为所述数据源分别配置对应的归属地标识和全局标识；将配置有归属地标识和全局标识的所述数据源输入聚合模型，得到所述数据源对应的事件。本申请解决了网络安全特别是工控网络安全资源有效性利用及数据有效性聚合。

技术领域

本申请涉及工控技术和信息安全领域，尤其涉及一种工控安全事件精简聚合方法、装置、计算机设备和存储介质。

背景技术

传统的数据清洗ETL(extract提取、transform转换、load加载)负责将分散的、异构数据源中的数据如关系数据、平面数据文件等抽取到临时中间层后，进行清洗、转换、集成，最后加载到数据仓库或数据集市中，成为联机分析处理、数据挖掘提供决策支持的数据。ETL是构建数据仓库的重要的一环，用户从数据源抽取所需的数据，经过数据清洗，最终按照预先定义好的数据仓库模型，将数据加载到数据仓库中。其定义域来源也不下于十几年，技术发展也应相当成熟。可乍眼一看，似乎并没有什么技术可言，也没有什么深奥之处，但在实际的项目中，却常常在这个环节上耗费太多的人力，而在后期的维护上，往往更费脑筋。如对元数据的支持、对数据质量的支持、维护的方便性、定制开发功能的支持等方面，一个项目，从数据源到最终目标表，多则达上百个ETL过程，少则也十几个。这些过程之间的依赖关系、出错控制以及恢复的流程处理，都是工具需要重点考虑。

与传统的ETL相比，基于信息和工控系统安全ETL有其独特之处。工控网络资源有限，基于主机、安全设备、网络设备的源数据一般都有固定归属区域的设备产生，这些设备在资源告警或者遭受网络攻击时，报出大量数据信息如常见的DDoS(拒绝服务攻击)，就是让受攻击的服务器资源耗尽，无法提供正常的服务，间接地拒绝。再如对于以上设备如果CPU、内存、硬盘等资源出现告警信息后，会不停的产生大量的数据，诸如以上这些情况传统ETL技术只是简单的把数据拿来，但这些数据的采集本身就会对计算资源、网络资源、存储资源产生巨大的浪费。

安全领域传统的ETL实现有多种方法，常用的有三种，第一种是借助ETL工具如Oracle的OWB、SQL server 2000的DTS、SQL Server2005的SSIS服务、informatic等实现，第二种是SQL方式实现，第三种是ETL工具和SQL相结合。前两种方法各有优缺点，借助工具可以快速的建立起ETL工程，屏蔽复杂的编码任务，提高速度，降低难度，但是欠缺灵活性。SQL的方法优点是灵活，提高ETL运行效率，但是编码复杂，对技术要求比较高。第三种是综合了前面二种的优点，极大的提高ETL的开发速度和效率但对于数据的有效方面还是无能为力。

发明内容

有鉴于此，本申请的目的在于提出一种工控安全事件精简聚合方法、装置、计算机设备和存储介质，以解决网络安全特别是工控网络安全资源有效性利用及数据有效性聚合。

基于上述目的，本申请提出一种工控安全事件精简聚合方法，所述方法包括：

获取数据源；

为所述数据源分别配置对应的归属地标识和全局标识；

将配置有归属地标识和全局标识的所述数据源输入聚合模型，得到所述数据源对应的事件。

在一实施例中，所述数据源包括：日志数据和流量数据。

在一实施例中，所述为所述数据源分别配置对应的归属地标识和全局标识包括：

分别所述日志数据和流量数据配置对应的归属地标识和全局标识，得到配置有标识的日志数据和配置有标识的流量数据。

在一实施例中，所述分别所述日志数据和流量数据配置对应的归属地标识和全局标识，得到配置有标识的日志数据和配置有标识的流量数据包括：

在设备指纹库查询与分别所述日志数据和流量数据对应的设备特征值；