一种数据安全监控系统的制作方法

本发明涉及数据监控技术领域，具体涉及一种数据安全监控系统。

背景技术：

随着社会信息化技术的不断提高以及互联网技术快速普及，需要处理的数据也越来越大，各个领域对海量数据处理的需求也越来越多。在单机存储空间和运算能力已经不能满足人们对海量数据处理需求的背景下，分布式计算和并行计算开始快速发展和应用，最终发展为网格计算。大规模下分布式系统的监控信息是海量的，监控资源是多层次多来源的，大数据的动态性、复杂性给大数据的监控系统带来众多困难。如何有效的监测大数据中的数据，及时对数据进行预测，在出现故障前采取相应措施，是提高大数据服务质量的关键，也是目前研究的重点。

技术实现要素：

为至少在一定程度上克服相关技术中存在的问题，本申请提供一种数据安全监控系统。

本发明是采用下述技术方案实现的：

本发明提供一种数据安全监控系统，其改进之处在于：所述系统包括依次通信的数据决策层、数据集成层、智能监控层、数据传输层和应用服务器；

所述数据决策层将用于大数据存储的数据中心中数据采用云技术进行分布式处理；

所述数据集成层用于将数据决策层处理后数据通过数据交换服务进行大数据可视化分析；

所述智能监控层包括接收模块、socket模块、监控模块和报警模块；所述接收模块接收数据集成层数据，并将所述数据发送给所述socket模块；所述socket模块在所述监控模块的监控下通过数据交换引擎将所述数据包上传至所述数据传输层；

所述数据传输层将数据传输至应用服务器。

进一步地，所述监控模块监控到所述socket模块上传的数据与所述监控策略中上传的异常数据相近似时，监控模块阻塞所述socket模块的上传操作，并通过所述报警模块将数据的异常状态信息上报至应用服务器。

进一步地，所述监控策略为用户配置的安全策略，设置不同等级监控、异常报警监控参数和智能分析，用于判断是否允许将所述上传数据的数据包上传至数据传输层，若是，则通过所述socket模块将所述数据包上传至数据传输层；否则，通过所述操作模块拦截所述socket模块上传的数据包，拒绝此次操作，并通过所述报警模块将数据的异常状态信息上报至应用服务器。

进一步地，所述数据决策层进行分布式处理包括对数据进行状态统计分析、信息分析、性能分析和数据量统计。

进一步地，通过数据交换服务进行大数据可视化分析，运用可视化技术结合智能监控层监测的异常数据，对前端数据决策层处理后数据的安全威胁进行可视化展示，帮助决策者直观了解系统的安全威胁趋势和动态。

进一步地，所述不同等级监控包括基于规则的流式数据异常检测，快速检测访问行为是否存在异常；将操作数据进行关联分析，防止隐性敏感数据泄露；将历史数据和当前数据进行深度融合，深度挖掘其是否存在apt攻击。

进一步地，所述数据传输层将各个被监控后的实时数据，通过压缩、容错的数据传输方式，以图和/或表和/或文件的形式发送至应用服务器中数据层，所述数据层自动分类后发送至应用层。

进一步地，所述应用服务器接收所述报警模块上传的异常数据，采用日志方式保存异常数据状态信息，包括异常数据的名称和启动时刻信息，实时更新日志动态，如一定时间内多次接收相同异常数据，采用推送的方式推送至决策者，确认该可疑数据是否安全。

进一步地，当确认可疑数据为安全数据时，将其加入白名单并将处理结果发送至智能监控层，由所述智能监控层对该安全数据的原文件进行处理；当确认可疑数据为不安全数据时，将其加入黑名单并将处理结果发送至智能监控层，由所述智能监控层对该不安全数据的原文件进行拉黑处理，后续相同数据一并拒接。

为了对披露的实施例的一些方面有一个基本的理解，下面给出了简单的概括。该概括部分不是泛泛评述，也不是要确定关键/重要组成元素或描绘这些实施例的保护范围。其唯一目的是用简单的形式呈现一些概念，以此作为后面的详细说明的序言。

与最接近的现有技术相比，本发明提供的技术方案具有的优异效果是：

本发明监控系统进行实时安全监控预警，通过对各个被监控数据进行实时处理，并结合历史数据进行风险预测和评估，深入的挖掘各个指标数据间的关系，并通过可视化分析直观了解系统的安全威胁趋势和动态，提前将危险状况通知管理人员，降低了风险，极大提升了数据中心的安全。

为了上述以及相关的目的，下面的说明以及附图详细说明某些示例性方面，并且其指示的仅仅是各个实施例的原则可以利用的各种方式中的一些方式。其它的益处和新颖性特征将随着下面的详细说明并结合附图考虑而变得明显，所公开的实施例是要包括所有这些方面以及它们的等同。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本申请的实施例，并与说明书一起用于解释本申请的原理。

图1是本发明提供的一种数据安全监控系统结构示意图。

具体实施方式

下面结合附图对本发明的具体实施方式作进一步的详细说明。

以下描述和附图充分地示出本发明的具体实施方案，以使本领域的技术人员能够实践它们。其他实施方案可以包括结构的、逻辑的、电气的、过程的以及其他的改变。实施例仅代表可能的变化。除非明确要求，否则单独的组件和功能是可选的，并且操作的顺序可以变化。本发明的实施方案的范围包括权利要求书的整个范围，以及权利要求书的所有可获得的等同物。在本文中，本发明的这些实施方案可以被单独的或总的用术语“发明”来表示，这仅仅是为了方便，并且如果事实上公开了超过一个的发明，不是要自动地限制该应用的范围为任何单个发明或发明构思。

如图1所示，本发明提供一种数据安全监控系统，所述系统包括依次通信的数据决策层、数据集成层、智能监控层、数据传输层和应用服务器；

所述数据决策层将用于大数据存储的数据中心中数据采用云技术进行分布式处理；

所述数据集成层用于将数据决策层处理后数据通过数据交换服务进行大数据可视化分析；

所述智能监控层包括接收模块、socket模块、监控模块和报警模块；所述接收模块接收数据集成层数据，并将所述数据发送给所述socket模块；所述socket模块在所述监控模块的监控下通过数据交换引擎将所述数据包上传至所述数据传输层；

所述数据传输层将数据传输至应用服务器。

其中，socket模块又称“套接字”，网络上的数据可通过socket实现双向通信连接，完成数据的交换。

上述技术方案中，所述监控模块监控到所述socket模块上传的数据与所述监控策略中的上传的异常数据相近似时，监控模块阻塞所述socket模块的上传操作，并通过所述报警模块将数据的异常状态信息上报至应用服务器。

上述技术方案中，所述监控策略为用户配置的安全策略，设置不同等级监控、异常报警监控参数和智能分析，用于判断是否允许将所述上传数据的数据包上传至数据传输层，若是，则通过所述socket模块将所述数据包上传至数据传输层；否则，通过所述操作模块拦截所述socket模块上传的数据包，拒绝此次操作，并通过所述报警模块将数据的异常状态信息上报至应用服务器。

上述技术方案中，所述数据决策层进行分布式处理包括对数据进行状态统计分析、信息分析、性能分析和数据量统计。

上述技术方案中，通过数据交换服务进行大数据可视化分析，运用可视化技术结合智能监控层监测的异常数据，对前端数据决策层处理后数据的安全威胁进行可视化展示，帮助决策者直观了解系统的安全威胁趋势和动态。

其中，可视化技术结合智能监控层监测的异常数据，网络安全信息可视化不但能有效处理海量数据信息，而且能够通过图形对攻击和异常进行有效的显示，甚至对网络中潜在的威胁进行预警。如：apt攻击等(具有长期性、隐蔽性很强的特征的隐藏数据)，可视化技术是发现数据之间的关系及是否存在apt攻击的一种重要手段。

上述技术方案中，所述不同等级监控包括基于规则的流式数据异常检测，快速检测访问行为是否存在异常；将操作数据进行关联分析，防止隐性敏感数据泄露；将历史数据和当前数据进行深度融合，深度挖掘其是否存在apt攻击。

基于规则的流式数据异常检测包括快速计算、数据概念漂移检测和聚类三个模块；快速计算模块首先进行数据流数据过滤，进行数据特征的抽取，将数据快速聚类；数据概念漂移检测模块负责对数据进行概念漂移的分析和检测，通过对快速计算层提供的中间数据进行相关计算，进而判断数据是否发生概念漂移，进而触发聚类层的聚类操作并提供相应的数据参数；聚类模块，框架中处理聚类的一个核心模块，其实被动式触发型聚类模块；只有在被触发时候，利用前端数据和相关的参数信息进行精细化的正式聚类计算，并在执行聚类后返回合适的聚类结果。其中，聚类采用流式聚类方法，解决大数据开放环境下的数据实时聚类需求；采用σ代数(σ-algebra)和鞅论(martingaletheory)方法解决隐含隐私关系发现难题。

将操作数据进行关联分析包括挖掘系统是否存在隐含隐私泄露的情况发生，如果存在隐性敏感泄露路径，将该路径中的敏感数据进行匿名处理，防止隐性敏感泄露；采取局部鞅差方法对隐性敏感的涌现进行发现，在有限的时间内解决大规模数据的隐性敏感甄别和控制优化问题，当检测到系统存在隐性敏感信息泄露时，对隐性敏感信息进行匿名处理，防止再度泄露。

上述技术方案中，所述数据传输层将各个被监控后的实时数据，通过压缩、容错的数据传输方式，以图和/或表和/或文件的形式发送至应用服务器中数据层，所述数据层自动分类后发送至应用层。

上述技术方案中，所述应用服务器接收所述报警模块上传的异常数据，采用日志方式保存异常数据状态信息，包括异常数据的名称和启动时刻信息，实时更新日志动态，如一定时间内多次接收相同异常数据，采用推送的方式推送至决策者，确认该可疑数据是否安全。

上述技术方案中，当确认可疑数据为安全数据时，将其加入白名单并将处理结果发送至智能监控层，由所述智能监控层对该安全数据的原文件进行处理；当确认可疑数据为不安全数据时，将其加入黑名单并将处理结果发送至智能监控层，由所述智能监控层对该为不安全数据的原文件进行拉黑处理，后续相同数据一并拒接。

其中，在一定时间内多次接收相同异常数据，采用推送的方式推送至决策者，对数据包进行校验确认该可疑数据是否安全，并将其校验结果(黑白名单处理)发送至智能监控层，由所述智能监控层对该安全数据的原文件进行处理，不会再不停的接收该数据信息。

应该明白，公开的过程中的步骤的特定顺序或层次是示例性方法的实例。基于设计偏好，应该理解，过程中的步骤的特定顺序或层次可以在不脱离本公开的保护范围的情况下得到重新安排。所附的方法权利要求以示例性的顺序给出了各种步骤的要素，并且不是要限于所述的特定顺序或层次。

在上述的详细描述中，各种特征一起组合在单个的实施方案中，以简化本公开。不应该将这种公开方法解释为反映了这样的意图，即，所要求保护的主题的实施方案需要清楚地在每个权利要求中所陈述的特征更多的特征。相反，如所附的权利要求书所反映的那样，本发明处于比所公开的单个实施方案的全部特征少的状态。因此，所附的权利要求书特此清楚地被并入详细描述中，其中每项权利要求独自作为本发明单独的优选实施方案。

最后应当说明的是：以上实施例仅用以说明本发明的技术方案而非对其限制，尽管参照上述实施例对本发明进行了详细的说明，所属领域的普通技术人员依然可以对本发明的具体实施方式进行修改或者等同替换，这些未脱离本发明精神和范围的任何修改或者等同替换，均在申请待批的本发明的权利要求保护范围之内。