(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211255250.0 (22)申请日 2022.10.13 (71)申请人 上海财经 大学 地址 200433 上海市杨 浦区上海杨 浦区国 定路777号 (72)发明人 黄杰　谢斐　郭庆　张敏　沈林松　 朱元凯　何朝聪　 (74)专利代理 机构 上海德昭知识产权代理有限 公司 31204 专利代理师 卢泓宇 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/06(2022.01) H04L 41/14(2022.01) (54)发明名称 一种基于机器数据的网络安全分析方法及 系统 (57)摘要 本发明提供一种基于机器数据的网络安全 分析方法及系统， 首先实时采集获取基础设施和 安全设备的机器数据； 其次由分布式转发器将机 器数据异步转发到索引器分布式集群； 接着分布 式索引器集群对机器数据进行集中存储、 格式标 准化和初步计算； 然后通过分布式搜索器对分布 式索引器中的数据进行深度计算与分析得到可 视化的报表结果； 最后供用户查看网络安全的分 析报表结果或系统自动触发安全时间预警机制， 主动推送告警信息。 本发明通过对输入的不同类 型机器数据进行数据转发接收、 索引处理， 不仅 满足了关键基础设施所产生的大数据量、 半结构 化、 大并发的复杂机器日志数据存储和查询的要 求， 而且使得网络安全专家能够多维度、 细粒度 地分析数据。 权利要求书2页 说明书6页 附图1页 CN 115550050 A 2022.12.30 CN 115550050 A 1.一种基于机器数据的网络安全分析方法， 用于分析和监控设备的网络安全， 其特征 在于， 包括以下步骤： 步骤1， 采集待测基础设施及安全设备的机器数据； 步骤2， 采用分布式转发器将所述机器数据异步 转发到分布式索引器集群； 步骤3， 所述分布式索引器集群对接收到的所述机器数据进行集中存储、 格 式标准化和 初步计算后进行 更新存储； 步骤4， 基于网络安全分析计算模型对分布式索引 器中存储的数据进行网络安全分析 计算， 获取 所述待测基础设施及安全设备的安全分析 结果； 步骤5， 用户登录分布式搜索器搜索并查看所述安全分析结果， 所述安全分析结果以报 表形式展示。 2.根据权利要求1所述的一种基于 机器数据的网络安全分析 方法， 其特 征在于： 其中， 所述机器数据通过UD P接口实时采集， 并进行统一格式处 理， 所述待测基础设施及安全设备至少包括下一代智能防火墙、 F5应用交付设备、 服务器 深度安全、 服 务器操作系统以及统一身份认证登录数据， 对应的， 所述机器数据至少包括下一代智能防火墙的访 问会话数据、 F5应用层安全数 据、 服务器深度安全防护系统的安全监控数据、 服务器操作系统的主机安全日志数据以及 统一身份认证系统用户异常 登录数据。 3.根据权利要求1所述的一种基于 机器数据的网络安全分析 方法， 其特 征在于： 其中， 所述初步计算为： 对于一个机器数据， 所述分布式索引器获取机器数据中的会话 ID， 然后查询数据库中对应的设备资产信息表和业务资产信息表， 将所述会话ID和所述设 备资产信息表以及所述业务资产信息表关联之后， 得到这条机器数据的业务资产标签和设 备资产标签， 并作为信息资产标签， 所述分布式索引器再将所述信息资产标签更新存储至 这条机器数据中。 4.根据权利要求1所述的一种基于 机器数据的网络安全分析 方法， 其特 征在于： 其中， 所述网络安全分析计算至少包括网络安全分析、 web安全分析、 主机安全分析、 服 务器深度安全分析、 业 务安全分析、 数据查询检索、 事 件监控告警、 安全 事件概览。 5.根据权利要求1所述的一种基于 机器数据的网络安全分析 方法， 其特 征在于： 其中， 所述网络安全分析计算模型根据分布式索引器中存储的数据进行网络安全分析 计算后还能生成对应的告警信息 。 6.根据权利要求5所述的一种基于 机器数据的网络安全分析 方法， 其特 征在于： 其中， 在所述步骤5 中， 所述分布式搜索器还能够根据预设的安全事件预警机制推送所 述告警信息 。 7.根据权利要求1所述的一种基于 机器数据的网络安全分析 方法， 其特 征在于： 其中， 在所述步骤5中， 分布式索引器接收来自所述分布式搜索器的搜索分析请求， 从 而对存储的数据进行搜索分析并返回结果给 所述分布式搜索器供用户查看， 所述搜索分析为： 基于提取的关键字KV对进行统计和趋势分析， 使用逻辑判断的运算 符以及数据 挖掘分析模型对多维度数据进行计算。 8.一种基于机器数据的网络安全分析系统， 用于分析和监控设备的网络安全， 其特征 在于， 包括：权　利　要　求　书 1/2 页 2 CN 115550050 A 2数据前置输入模块、 数据异步转发模块、 数据索引存储模块、 数据计算分析模块以及数 据访问告警模块， 其中， 所述数据前置输入模块使用标准的UDP接口实时获取待测设施及安全设备的机 器数据， 所述数据异步转发模块基于分布式转发器将采集到的机器数据异步转发至所述数据 索引存储模块， 所述数据索引存储模块采用分布式索引器集群对所述机器数据进行集中存储、 格 式标 准化和初步计算后更新存 储， 所述数据计算分析模块基于网络安全分析计算模型对所述数据索引存储模块存储的 数据进行网络安全分析计算， 获取所述待测基础设施及安全设备的可视化报表形式的安全 分析结果和告警信息， 所述数据访问告警模块供用户登录分布式搜索器查看所述安全分析结果， 以及基于所 述网络安全分析系统预设的预警机制推送所述告警信息 。 9.根据权利要求8所述的一种基于 机器数据的网络安全分析系统， 其特 征在于： 其中， 所述用户在 登录分布式搜索器后， 根据不同的角色和对应的权限， 选择查看其权 限范围内的安全分析 结果。 10.一种计算机可读的存储介质， 用于存储计算机程序， 其特征在于， 所述计算机程序 被配置成执 行时实现权利要求1至7中任意 一项所述的基于 机器数据的网络安全分析 方法。权　利　要　求　书 2/2 页 3 CN 115550050 A 3