The invention relates to the field of communication technology, in particular to an alarm linkage method, device, system, computer equipment and storage medium. The method comprises the following steps: receiving the alarm information sent by the alarm source and identifying the type of network attack; obtaining a set of candidate linkage strategies according to the type of network attack; calculating the network risk values of each linkage strategy in the set of candidate linkage strategies, and taking the linkage strategy corresponding to the minimum network risk value as the target linkage strategy; Target linkage strategy implements corresponding alarm linkage action. The alarm linkage method in the embodiment of the present invention can achieve the global optimal effect by querying all matching strategies when receiving the alarm, and then selecting the optimal strategy by evaluating and selecting steps. It can achieve better attack response results in a shorter time.
【技术实现步骤摘要】
一种告警联动方法、装置、系统、计算机设备和存储介质
本专利技术涉及通信
,特别是涉及一种告警联动方法、装置、系统、计算机设备和存储介质。
技术介绍
随着网络攻击手段越来越复杂,尤其是高级持续威胁攻击越来越常态化,企业在面对大规模网络的管理问题上需要有效的监测手段来发现网络中的异常行为,并且快速准确地进行应急处置,以避免进一步的经济损失,第一时间对网络攻击进行阻断。目前很多企业部署了网络安全管理系统,甚至于态势感知系统来监测网络资产的安全状况,但是面对数以万计的大量安全告警往往束手无策,缺乏有力的应急响应的手段。现有技术中针对这类告警的处理,一方面普遍采用的专家人工应急响应方法,主要依赖专家经验;另一方面,通过在网络中部署的安全防护设备,如防火墙、入侵检测和网络隔离装置等往往执行各自单一的安全防护策略,容易形成安全孤岛,无法形成有效的联动防御,通常也无法达到最优的防御效果。可见,现有技术中,对于网络攻击的处置,需要人为有针对性的进行处理,反应时间长、时效性差;或者在网络中设置特定的网络防御关卡,但是其灵活性不足,且相互之间通常没有协同防护的作用,无法全面有效地进行防御。
技术实现思路
基于此,有必要针对上述的问题,提供一种告警联动方法、装置、系统、计算机设备和存储介质。在其中一个实施例中,本专利技术提供了一种告警联动方法,所述方法包括如下步骤:接收告警源发送的告警信息,识别网络攻击类型;根据所述网络攻击类型获取候选联动策略集合;计算执行所述候选联动策略集合中各项联动策略的网络风险值,并将所述网络风险值最小时对应的所述联动策略作为目标联动策略;根据所述目标联 ...
【技术保护点】
1.一种告警联动方法,其特征在于,包括如下步骤:接收告警源发送的告警信息,识别网络攻击类型;根据所述网络攻击类型获取候选联动策略集合;计算执行所述候选联动策略集合中各项联动策略的网络风险值,并将所述网络风险值最小时对应的所述联动策略作为目标联动策略;根据所述目标联动策略执行对应的告警联动动作。
【技术特征摘要】
1.一种告警联动方法,其特征在于,包括如下步骤:接收告警源发送的告警信息,识别网络攻击类型;根据所述网络攻击类型获取候选联动策略集合;计算执行所述候选联动策略集合中各项联动策略的网络风险值,并将所述网络风险值最小时对应的所述联动策略作为目标联动策略;根据所述目标联动策略执行对应的告警联动动作。2.如权利要求1所述的告警联动方法,其特征在于,所述根据所述网络攻击类型获取候选联动策略集合之前,还包括:接收并存储用户输入的联动策略,所述联动策略包含针对所述网络攻击类型的告警联动动作,所述告警联动动作可以是包括切断网络连接、锁定账号和更新软件补丁中的一种或几种。3.如权利要求1所述的告警联动方法,其特征在于,所述计算执行所述候选联动策略集合中各项联动策略的网络风险值,具体包括:根据所述告警信息分析所有网络攻击路线,确定网络攻击链;模拟对所述网络攻击链执行所述候选联动策略集合中的各项所述联动策略,并计算执行所述联动策略后各条所述网络攻击链的风险值;根据所述网络攻击链的风险值计算所述网络风险值。4.如权利要求3所述的告警联动方法,其特征在于,所述根据所述告警信息分析网络攻击路线,采用逆向深度优先算法,具体包括:根据所述告警信息确定网络攻击的最终目标;遍历预设的网络攻击模板库,确定攻击所述最终目标的攻击手段和该攻击手段利用的安全漏洞;将所述安全漏洞作为攻击路线中的攻击目标,进一步遍历所述网络攻击模板库,确定攻击所述安全漏洞的攻击手段和该攻击手段利用的上一级安全漏洞,以确定完整的网络攻击路线。5.如权利要求3所述的告警联动方法,其特征在于,所述计算执行所述联动策略的网络风险值,具体包括:计算所述网络攻击路线上各个所述安全漏洞的风险率,可用公式表示为:其中,R(Vk)(k=1,2,…,m)为所述安全漏洞的风险率,Pp为所述安全漏洞的流行度、Pd为所述安全漏洞的容易度、Pe为所述安全漏洞的影响力;根据所...
【专利技术属性】
技术研发人员:李建华,陈璐艺,伍军,李高勇,
申请(专利权)人:上海鹏越惊虹信息技术发展有限公司,
类型:发明
国别省市:上海,31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。