业务系统的网络流量的基线管理与监测方法及装置与流程

本申请涉及计算机，更具体地，涉及一种业务系统的网络流量的基线管理与监测方法及装置。

背景技术：

1、随着信息化技术的发展、企业对业务系统平台依赖程度越来越高，业务系统给企业带来利益的同时，也伴随着各种风险。业务系统由单个或多个资产组成，现有的网络安全防护体系基本都是采用架构安全(安全域、acl、访问控制)、被动防御(防病毒、防火墙、入侵检测等)等，随着实战防护需求与技术的不断发展，网络安全正迈入实战攻防的主动防御阶段。

2、现有技术中，将网络流量的监测系统直接部署到被监测的业务系统的服务器上，在业务系统的每个端口设置检测模块，以获取访问该业务系统的网络流量，进而对业务系统的流量进行分析。

3、但是，当被监测的业务系统数量多时，需要部署的监测系统也会增多，这样的部署方式在增加工作量的同时也加大了维护工作的难度。

技术实现思路

1、本申请提供一种业务系统的网络流量的基线管理与监测方法及装置，采用旁路部署的方式，通过独立于业务系统的监测装置对网络流量数据进行监测，并且基于从网络流量数据获得的多维度监测数据进行监测，因此监测装置的数量不会随着被监测的业务系统数量的增多而增多，相对于现有技术，大大降低了工作量和监测装置的维护难度。

2、本申请提供了一种业务系统的网络流量的基线管理与监测方法，包括：

3、采集原始网络流量数据；

4、对原始网络流量数据做预处理，并依据配置策略对预处理后的原始网络流量进行配置，获得有效的网络流量数据；

5、基于有效的网络流量数据，以时间点为单位获得有效的网络流量数据对应的多个维度的监测数据，形成第一基础数据源数据；

6、将第一基础数据源数据与最新的基线数据进行匹配，若某一时间点上的至少一个监测数据超过了异常报警阈值，则发出该时间点的告警信息。

7、优选地，基线管理与监测方法还包括：基于预设时间段内的第一基础数据源数据更新基线数据。

8、基线管理与监测方法还包括：若某一时间点上的某个监测数据超过了对应的基线上限，则将监测数据标记为自动识别异常数据。

9、优选地，在更新基线数据之前将标记为自动识别异常数据的监测数据从预设时间段内的第一基础数据源数据中过滤掉。

10、优选地，配置策略包括目标业务系统的第一过滤策略和无用网络流量数据的第二过滤策略。

11、优选地，基线管理与监测方法还包括数据的查缺和插补，具体包括：

12、基于第一基础数据源数据和对应的镜像流量数据判断是否存在数据缺失；

13、若是，则对缺失部分进行插补，形成第二基础数据源数据；并且，

14、将第二基础数据源数据与最新的基线数据进行匹配。

15、本申请还提供一种业务系统的网络流量的基线管理与监测装置，包括采集模块、预处理和配置模块、监测数据获得模块以及监测模块；

16、采集模块用于采集原始网络流量数据；

17、预处理和配置模块用于对原始网络流量数据做预处理，并依据配置策略对预处理后的原始网络流量进行配置，获得有效的网络流量数据；

18、监测数据获得模块用于基于有效的网络流量数据，以时间点为单位获得有效的网络流量数据对应的多个维度的监测数据，形成第一基础数据源数据；

19、监测模块用于将第一基础数据源数据与最新的基线数据进行匹配，若某一时间点上的至少一个监测数据超过了异常报警阈值，则发出该时间点的告警信息。

20、优选地，基线管理与监测装置还包括基线数据更新模块，基线数据更新模块用于基于预设时间段内的第一基础数据源数据更新基线数据。

21、优选地，基线管理与监测装置还包括标记模块，标记模块用于在某一时间点上的某个监测数据超过了对应的基线上限时，将监测数据标记为自动识别异常数据。

22、优选地，基线管理与监测装置还包括补充模块，补充模块包括判断模块和插补模块；

23、判断模块用于基于第一基础数据源数据和对应的镜像流量数据判断是否存在数据缺失；

24、插补模块用于存在数据缺失时对缺失部分进行插补，形成第二基础数据源数据；

25、并且监测模块用于将第二基础数据源数据与最新的基线数据进行匹配。

26、通过以下参照附图对本申请的示例性实施例的详细描述，本申请的其它特征及其优点将会变得清楚。

技术特征：

1.一种业务系统的网络流量的基线管理与监测方法，其特征在于，包括：

2.根据权利要求1所述的业务系统的网络流量的基线管理与监测方法，其特征在于，还包括：基于预设时间段内的第一基础数据源数据更新所述基线数据。

3.根据权利要求2所述的业务系统的网络流量的基线管理与监测方法，其特征在于，还包括：若某一时间点上的某个监测数据超过了对应的基线上限，则将所述监测数据标记为自动识别异常数据。

4.根据权利要求3所述的业务系统的网络流量的基线管理与监测方法，其特征在于，在更新所述基线数据之前将标记为自动识别异常数据的监测数据从所述预设时间段内的第一基础数据源数据中过滤掉。

5.根据权利要求1所述的业务系统的网络流量的基线管理与监测方法，其特征在于，所述配置策略包括目标业务系统的第一过滤策略和无用网络流量数据的第二过滤策略。

6.根据权利要求1所述的业务系统的网络流量的基线管理与监测方法，其特征在于，还包括数据的查缺和插补，具体包括：

7.一种业务系统的网络流量的基线管理与监测装置，其特征在于，包括采集模块、预处理和配置模块、监测数据获得模块以及监测模块；

8.根据权利要求7所述的业务系统的网络流量的基线管理与监测装置，其特征在于，还包括基线数据更新模块，所述基线数据更新模块用于基于预设时间段内的第一基础数据源数据更新所述基线数据。

9.根据权利要求8所述的业务系统的网络流量的基线管理与监测装置，其特征在于，还包括标记模块，所述标记模块用于在某一时间点上的某个监测数据超过了对应的基线上限时，将所述监测数据标记为自动识别异常数据。

10.根据权利要求7所述的业务系统的网络流量的基线管理与监测装置，其特征在于，还包括补充模块，所述补充模块包括判断模块和插补模块；

技术总结
本申请公开了一种业务系统的网络流量的基线管理与监测方法及装置，基线管理与监测方法包括：采集原始网络流量数据；对原始网络流量数据做预处理，并依据配置策略对预处理后的原始网络流量进行配置，获得有效的网络流量数据；基于有效的网络流量数据，以时间点为单位获得有效的网络流量数据对应的多个维度的监测数据，形成第一基础数据源数据；将第一基础数据源数据与最新的基线数据进行匹配，若某一时间点上的至少一个监测数据超过了异常报警阈值，则发出该时间点的告警信息。本申请采用旁路部署方式，拆分出目标业务系统的网络流量，进而进一步对目标业务系统的网络流量进行监测，相对于现有技术降低了运维成本，提高了监测效率。

技术研发人员：李威,李健俊,姜学峰,张成挺,姚广,缪桢敏
受保护的技术使用者：浙江中烟工业有限责任公司
技术研发日：
技术公布日：2024/1/13