(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111645325.1 (22)申请日 2021.12.2 9 (71)申请人 南方电网数字电网研究院有限公司 地址 510700 广东省广州市黄埔区光谱中 路11号云升科 学园C栋 (72)发明人 冯国聪　余芸　明哲　胡朝辉　 陈善锋　陈海光　胡钊　彭伯庄　 罗强　杨逸岳　姜渭鹏　 (74)专利代理 机构 深圳市创富知识产权代理有 限公司 4 4367 代理人 梁嘉朗 (51)Int.Cl. H04L 41/14(2022.01) H04L 41/0631(2022.01) H04L 9/40(2022.01)H04L 9/32(2006.01) (54)发明名称 一种基于边缘计算的网络安全分析方法 (57)摘要 本发明公开了一种基于边缘计算的网络安 全分析方法， 所述方法包括基于安全规则的网络 安全威胁分析能力封装成规则引擎， 作为一个独 立的模块部署在采集装置上， 态势感知主站对规 则引擎的版本进行管理； 态势感知主站统一对安 全规则进行管理， 支持单独或批量的将安全规则 下发到采集装置， 规则引擎根据接收到的安全规 则， 实时分析采集装置采集到的网络安全数据， 对匹配到规则的数据产生告警， 并将告警上送到 主站系统分析及展示， 对未匹配到的数据上送主 站， 主站结合大数据网络安全挖掘和人工智能技 术进行分析， 发现规则未覆盖到的其他网络威 胁， 辅助安全值班员完善安全规则， 提高网络安 全威胁发现能力。 权利要求书1页 说明书7页 附图5页 CN 114401197 A 2022.04.26 CN 114401197 A 1.一种基于边缘计算的网络安全分析方法， 其特征在于， 所述方法包括基于安全规则 的网络安全威胁分析能力封装成规则引擎， 作为一个独立的模块部署在采集装置上， 态势 感知主站对规则引擎的版本进行管理； 态势感知主站统一对安全规则进行管理， 支持单独 或批量的将安全规则下发到采集装置， 规则引擎根据接 收到的安全规则， 实时分析采集装 置采集到的网络安全数据， 对匹配到规则的数据产生告警， 并将告警上送到主站系统分析 及展示， 对未匹配到的数据上送主站， 主站结合大数据网络安全挖掘和人工智能技术进行 分析， 发现规则未覆盖到的其他网络威胁， 辅助安全值班员完善安全规则， 提高网络安全威 胁发现能力。 2.根据权利要求1所述的基于边缘计算的网络安全分析方法， 其特征在于， 在主站侧包 括规则引擎版本管理、 规则引擎 规则管理、 规则文件下发及调阅与告警展示。 3.根据权利要求1所述的基于边缘计算的网络安全分析方法， 其特征在于， 在采集装置 侧包括suricat a规则引擎、 规则文件接收及上送、 告警数据上送与未匹配规则原始数据上 送。权　利　要　求　书 1/1 页 2 CN 114401197 A 2一种基于边缘 计算的网 络安全分析方 法 技术领域 [0001]本发明涉及计算机技 术领域， 具体涉及一种基于边 缘计算的网络安全分析 方法。 背景技术 [0002]现有网络安全分析是采用探针设备通过端口镜像或TAP方式获取网络中的流量， 平台通过统一汇总的方式对流量进行解析， 规则匹配告警， 存储等处理， 这种方式对平台性 能要求很高， 计算资源占用较大， 处理速度慢， 而且大量的网络安全数据传输占用带宽太 大， 影响现有业务使用。 具体的说： [0003]1、 厂站装置大量原始网络安全数据上送， 占用大量带宽， 影响其他实时业务数据 采集上送。 [0004]2、 厂站装置大量原始网络安全数据上送主站， 主站平台统一分析处理， 数据量太 大， 分析效率低， 难以及时发现网络安全威胁。 [0005]3、 厂站装置只作为数据采集转发， 缺乏独立网络安全挖掘分析能力及人工智能分 析能力。 发明内容 [0006]鉴于现有技术的缺陷， 本发明旨在于提供一种基于边缘计算的网络安全分析方 法， 采用增强边缘采集装置的计算能力的方式， 将网络安全数据分析能力下放到采集装置 侧， 减少原始网络安全数据上送导致的网络带宽压力和海量数据上送导致的性能处理压 力； 结合主站平台安全规则动态下发的模式， 更加精准的、 实时的发现网络中的威胁， 提高 态势感知系统网络威胁发现能力。 [0007]为了实现上述目的， 本发明采用的技 术方案如下： [0008]一种基于边缘计算的网络安全分析方法， 所述方法包括基于安全规则的网络安全 威胁分析能力封装成规则引擎， 作为一个独立的模块部署在采集装置上， 态势感知主站对 规则引擎的版本进行管理； 态势感知主站统一对安全规则进行管理， 支持单独或批量的将 安全规则下发到采集装置， 规则引擎根据接 收到的安全规则， 实时分析采集装置采集到的 网络安全 数据， 对匹配到规则的数据产生告警， 并将告警上送到主站系统分析及展示， 对未 匹配到的数据上送主站， 主站结合大数据网络安全挖掘和人工智能技术进行分析， 发现规 则未覆盖 到的其他网络威胁， 辅助安全值班员完 善安全规则， 提高网络安全威胁发现能力。 [0009]需要说明的是， 在主站侧包括规则引擎版本管理、 规则引擎规则管理、 规则文件下 发及调阅与告警展示。 [0010]需要说明的是， 在采集装置侧包括suricata规则引擎、 规则文件接收及上送、 告警 数据上送与未匹配规则原 始数据上送。 [0011]本发明的有益效果在于， 随着电力网络越来越复杂和壮大， 设备也面临着越来越 多形式各异的网络攻击， 网络安全分析技术也日益完善， 结合基于边缘计算的网络流量安 全分析技术对南网整个网络管 理更加全 景化、 透明化、 集中化， 对网络安全事件的管理更加说　明　书 1/7 页 3 CN 114401197 A 3