(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210983071.2 (22)申请日 2022.08.16 (71)申请人 中国电信股份有限公司 地址 100033 北京市西城区金融街31号 (72)发明人 周爻　冯嵩　商彦明　丁桥　 官向民　花雷　汤凌　张慷　 (74)专利代理 机构 北京康信知识产权代理有限 责任公司 1 1240 专利代理师 张文华 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/568(2022.01) (54)发明名称 信息安全系统和信息安全数据的处 理方法 (57)摘要 本申请公开了一种信息安全系统和信息安 全数据的处理方法。 其中， 该系统包括： 日志采集 模块、 缓存数据采集模块、 数据分析处理模块和 控制模块， 日志采集模块， 用于从边缘节点的日 志中获取信息安全数据； 缓存数据采集模块， 设 置于内容分发网络的缓存节点上， 用于对任意时 刻缓存节 点上的缓存数据进行快照， 从缓存数据 中获取信息安全数据； 数据分析处理模块， 用于 将日志采集模块和缓存数据采集模块获取的信 息安全数据转发给控制模块， 并将控制模块下发 的拦截指令转发给日志采集模块和缓存数据采 集模块； 控制模块， 至少用于向数据分析处理模 块发送拦截指令。 本申请解决了传统信息安全数 据的采集方法存在过量采集， 导致处理效率不高 的技术问题。 权利要求书2页 说明书10页 附图5页 CN 115333843 A 2022.11.11 CN 115333843 A 1.一种信息安全系统， 其特征在于， 包括： 日志采集模块、 缓存数据采集模块、 数据分析 处理模块和控制模块， 其中， 所述日志采集模块， 部署于内容分发网络的边缘节点上， 用于从所述边缘节点的日志 中获取信息安全数据； 所述缓存数据采集模块， 设置于所述内容分发网络的缓存节点上， 用于对任意时刻所 述缓存节点上的缓存数据进行 快照， 从所述缓存数据中获取信息安全数据； 所述数据分析处理模块， 用于将所述日志采集模块和所述缓存数据采集模块获取的信 息安全数据转发给所述控制模块， 并将所述控制模块下发的拦截指令转 发给所述日志采集 模块和所述缓存数据采集模块， 其中， 所述拦截指令用于拦截所述信息安全数据中的目标 类型数据； 所述控制模块， 至少用于向所述数据分析处 理模块发送所述 拦截指令 。 2.根据权利要求1所述的系统， 其特征在于， 所述日志采集模块从所述边缘节点的日志 中获取信息安全数据时， 通过以下 方式实现： 通过网络文件传输协议， 从所述 边缘节点获取业 务日志； 将所述业务日志中的信息转换成目标格式， 过滤转换成所述目标格式的业务日志， 得 到所述信息安全数据。 3.根据权利要求2所述的系统， 其特征在于， 所述日志采集模块还用于支持以下数据归 并的方式： 按照时间戳归并、 按照源IP地址归并、 按照域名归并和按照所述边缘节 点的IP地 址归并。 4.根据权利要求3所述的系统， 其特征在于， 所述日志采集模块在接收到所述数据分析 处理模块下发的拦截指令时， 将所述拦截指令分发至所述边缘节点， 所述日志采集模块支 持以下拦截方式： 按照所述边缘节点的IP地址拦截、 按照域名拦截、 按照请求URL拦截和按 照源IP地址拦截。 5.根据权利要求1所述的系统， 其特征在于， 所述缓存数据采集模块支持以下之一的方 式进行快照： 支持全局的全量数据快照、 支持基于查询任意时间段的增量数据快照、 支持基 于用户的数据快照、 支持基于域名的数据快照、 支持基于源IP地址的数据快照和支持所述 边缘节点的IP地址的数据快照。 6.根据权利要求1所述的系统， 其特征在于， 所述缓存数据采集模块还用于支持以下数 据过滤的方式： 按照时间戳过滤、 按照源IP地址过滤、 按照域名过滤和按照所述边缘节 点的 IP地址过 滤。 7.根据权利要求6所述的系统， 其特征在于， 所述缓存数据采集模块在接收到所述数据 分析处理模块下发的拦截指令时， 将所述拦截指令分发至所述缓存节点， 所述缓存数据采 集模块支持以下拦截方式： 按域名对该域名对应的节点进行拦截、 按请求URL对URL对应的 节点进行拦截和对与源IP地址对应的节点进行拦截。 8.根据权利要求1所述的系统， 其特征在于， 所述数据分析处理模块在将所述信 息安全 数据转发给 所述控制模块之前， 所述数据分析处 理模块还用于： 将所述信息安全数据按照目标格式进行汇总； 将汇总后的信息安全数据按照数据类型和事 件类型进行分类； 将所述信息安全数据中属于同一域名、 同一客户名称和同一业务请求的数据进行关权　利　要　求　书 1/2 页 2 CN 115333843 A 2联， 得到目标信息安全数据。 9.根据权利要求1所述的系统， 其特征在于， 所述数据分析处理模块在将所述控制模块 下发的拦截指令转发给 所述日志采集模块和所述缓存数据采集模块， 通过以下 方式实现： 接收所述控制模块下发的所述 拦截指令； 检索所述拦截指令 中涉及的目标节点， 其中， 所述目标节点包括以下至少之一： 所述边 缘节点和所述缓存节点； 将所述目标节点 转发给所述日志采集模块和所述缓存数据采集模块对应的节点。 10.根据权利要求9所述的系统， 其特征在于， 所述数据分析处理模块还用于接收所述 日志采集模块和所述缓存数据采集模块的反馈结果， 其中， 所述反馈结果为所述 目标节点 执行所述拦截指令的结果， 所述反馈结果中包括所述目标节点执行所述拦截指 令之后剩余 的数据。 11.一种信息安全数据的处 理方法， 其特 征在于， 包括： 从内容分发网络的边 缘节点和缓存节点的缓存空间中获取信息安全数据； 将所述信息安全数据发送至控制中心设备； 接收所述控制中心设备依据所述信息安全数据下发的拦截指令， 其中， 所述拦截指令 用于拦截所述信息安全数据中的目标类型 数据； 确定所述拦截指令 中涉及的目标节点， 其中， 所述目标节点包括以下至少之一： 所述缓 存节点和所述 边缘节点； 通知所述目标节点执行所述拦截指令， 并接收所述目标节点的执行所述拦截指令之后 的数据。 12.根据权利要求11所述方法， 其特征在于， 将所述信息安全数据发送至控制中心设 备， 包括： 将所述信息安全数据按照目标格式进行汇总后， 将属于同一域名、 同一客户名称和同 一业务请求的信息安全数据进行关联， 得到目标信息安全数据； 将所述目标信息安全数据发送至所述控制中心设备。权　利　要　求　书 2/2 页 3 CN 115333843 A 3