一种告警联动方法、装置、系统、计算机设备和存储介质制造方法及图纸

本发明专利技术涉及通信技术领域，特别是涉及一种告警联动方法、装置、系统、计算机设备和存储介质。所述方法包括如下步骤：接收告警源发送的告警信息，识别网络攻击类型；根据所述网络攻击类型获取候选联动策略集合；计算执行所述候选联动策略集合中各项联动策略的网络风险值，并将所述网络风险值最小时对应的所述联动策略作为目标联动策略；根据所述目标联动策略执行对应的告警联动动作。本发明专利技术实施例中的告警联动方法，在接收告警时，通过将所有匹配的策略都查询出来，然后通过评估和选择步骤来选择最优的策略，能达到全局上的最优效果，能够在较短的时间内取得更优的攻击应对结果。

An Alarm Linkage Method, Device, System, Computer Equipment and Storage Media

The invention relates to the field of communication technology, in particular to an alarm linkage method, device, system, computer equipment and storage medium. The method comprises the following steps: receiving the alarm information sent by the alarm source and identifying the type of network attack; obtaining a set of candidate linkage strategies according to the type of network attack; calculating the network risk values of each linkage strategy in the set of candidate linkage strategies, and taking the linkage strategy corresponding to the minimum network risk value as the target linkage strategy; Target linkage strategy implements corresponding alarm linkage action. The alarm linkage method in the embodiment of the present invention can achieve the global optimal effect by querying all matching strategies when receiving the alarm, and then selecting the optimal strategy by evaluating and selecting steps. It can achieve better attack response results in a shorter time.

【技术实现步骤摘要】
一种告警联动方法、装置、系统、计算机设备和存储介质
本专利技术涉及通信
，特别是涉及一种告警联动方法、装置、系统、计算机设备和存储介质。
技术介绍
随着网络攻击手段越来越复杂，尤其是高级持续威胁攻击越来越常态化，企业在面对大规模网络的管理问题上需要有效的监测手段来发现网络中的异常行为，并且快速准确地进行应急处置，以避免进一步的经济损失，第一时间对网络攻击进行阻断。目前很多企业部署了网络安全管理系统，甚至于态势感知系统来监测网络资产的安全状况，但是面对数以万计的大量安全告警往往束手无策，缺乏有力的应急响应的手段。现有技术中针对这类告警的处理，一方面普遍采用的专家人工应急响应方法，主要依赖专家经验；另一方面，通过在网络中部署的安全防护设备，如防火墙、入侵检测和网络隔离装置等往往执行各自单一的安全防护策略，容易形成安全孤岛，无法形成有效的联动防御，通常也无法达到最优的防御效果。可见，现有技术中，对于网络攻击的处置，需要人为有针对性的进行处理，反应时间长、时效性差；或者在网络中设置特定的网络防御关卡，但是其灵活性不足，且相互之间通常没有协同防护的作用，无法全面有效地进行防御。
技术实现思路
基于此，有必要针对上述的问题，提供一种告警联动方法、装置、系统、计算机设备和存储介质。在其中一个实施例中，本专利技术提供了一种告警联动方法，所述方法包括如下步骤：接收告警源发送的告警信息，识别网络攻击类型；根据所述网络攻击类型获取候选联动策略集合；计算执行所述候选联动策略集合中各项联动策略的网络风险值，并将所述网络风险值最小时对应的所述联动策略作为目标联动策略；根据所述目标联动策略执行对应的告警联动动作。在其中一个实施例中，本专利技术提供了一种告警联动装置，包括：攻击类型识别模块，用于接收告警源发送的告警信息，识别网络攻击类型；联动策略查询模块，用于根据所述网络攻击类型获取候选联动策略集合；联动策略决策模块，用于计算执行所述候选联动策略集合中各项联动策略的网络风险值，并将所述网络风险值最小时对应的所述联动策略作为目标联动策略；联动策略执行模块，用于根据所述目标联动策略执行对应的告警联动动作。在其中一个实施例中，本专利技术还提供一种告警联动系统，包括：告警信息采集装置，用于采集告警信息，并将告警信息发送至告警联动装置；告警联动装置，用于接收所述告警信息，并执行如上所述告警联动方法，以执行对应的告警联动动作。在其中一个实施例中，本专利技术还提供一种计算机设备，包括存储器和处理器，所述存储器中存储有计算机程序，所述计算机程序被所述处理器执行时，使得所述处理器执行上述所述告警联动方法的步骤。在其中一个实施例中，本专利技术还提供一种存储介质，所述存储介质上存储有计算机程序，所述计算机程序被处理器执行时，使得所述处理器执行上述所述告警联动方法的步骤。本专利技术实施例中的告警联动方法、装置、系统、计算机设备和存储介质，在接收告警时，通过将所有匹配的策略都查询出来，然后通过评估和选择步骤来选择最优的策略，能达到全局上的最优效果；同时将防御策略的评估和策略实施后攻击效果的变化相结合，使得攻击效果的评估为策略选择提供反馈信息，从而提供了一种自动评估策略效果的计算方法，能够在较短的时间内取得更优的攻击应对结果。附图说明图1为一个实施例中提供的告警联动方法的应用环境图；图2为一个实施例中提供的告警联动方法的流程图；图3为一个实施例中计算网络风险值的流程图；图4为一个实施例中分析网络攻击链的流程图；图5为一个实施例中告警联动装置的结构框图；图6为一个实施例中提供的联动策略决策模块的结构框图；图7为另一个实施例中提供的分析网络攻击链的流程图；图8为一个实施例中提供的告警联动系统的结构框图；图9为一个实施例中计算机设备的内部结构框图。具体实施方式为了使本专利技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本专利技术进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本专利技术，并不用于限定本专利技术。可以理解，本申请所使用的术语“第一”、“第二”等可在本文中用于描述各种元件，但除非特别说明，这些元件不受这些术语限制。这些术语仅用于将第一个元件与另一个元件区分。举例来说，在不脱离本申请的范围的情况下，可以将第一xx单元称为第二xx单元，且类似地，可将第二xx单元称为第一xx单元。图1为一个实施例中提供的告警联动方法的应用环境图，如图1所示，在该应用环境中，包括告警设备110、告警采集设备120和告警联动设备130。告警设备110是指网络系统中的被攻击对象，属于网络系统中的网络节点，具体可以是计算机设备或者计算机软件，比如邮件服务器、Web服务器，系统发生故障时，监控单元将视故障情况给出告警信号。告警采集设备120用于对告警设备给出的告警信号进行采集和统一管理的设备，告警采集设备120是以计算机技术为基础的过程控制与调度系统设备，它可以对网络进行监视和控制，以实现数据采集、控制、参数测量与调节以及各类信号的报警等功能，比如可以是计算机、手机、台式机和其他云端服务器等。告警联动设备130用于针对告警采集设备120采集到的告警信号进行告警策略的选择和联动，以快速应对网络攻击对网络系统的破坏，比如可以是计算机、手机、台式机和其他云端服务器等。实施例一如图2所示，在一个实施例中，提出了一种告警联动方法，本实施例主要以该方法应用于上述图1中的告警联动设备130来举例说明，具体可以包括以下步骤：步骤S201，接收告警源发送的告警信息，识别网络攻击类型；步骤S202，根据网络攻击类型获取候选联动策略集合；步骤S203，计算执行候选联动策略集合中各项联动策略的网络风险值，并将网络风险值最小时对应的联动策略作为目标联动策略；步骤S204，根据目标联动策略执行对应的告警联动动作。在本专利技术实施例中，网络攻击类型是指网络系统所受到的威胁，比如对邮件服务器的暴力口令破解、对Web服务器的SQL渗透等。联动策略的触发条件从网络攻击类型的特征出发，抽取可量化的指标，比如对邮件服务器的暴力口令破解，可以从输错口令的次数和频率，尝试登录邮件服务器的地理位置等方面来提取触发条件并寻找最佳的联动策略。在本专利技术实施例中，根据网络攻击类型获取候选联动策略集合之前，还包括：接收并存储用户输入的联动策略，联动策略包含针对网络攻击类型的告警联动动作，告警联动动作可以是包括切断网络连接、锁定账号和更新软件补丁中的一种或几种。在本专利技术实施例中，用户进行联动策略的编写时，可以围绕具体的网络安全防御场景，比如可以包括四个方面的内容：防御的目标、防御的行为、策略的触发条件和策略的防御动作。防御的目标通常是一个具体的网络节点或者设备对象，比如邮件服务器、Web服务器等；防御的行为代表网络资产所受到的威胁，比如对邮件服务器的暴力口令破解、对Web服务器的SQL渗透等；策略的触发条件从网络威胁的特征出发，抽取可量化的指标，比如对邮件服务器的暴力口令破解，可以从输错口令的次数和频率，尝试登录邮件服务器的地理位置等方面来提取防御场景得触发条件；策略的防御动作指具体的应急处置措施，比如所述的切断网络连接、锁定帐号、更新软件补丁等。在本专利技术实施例中，计算执行候选联动策略集合中各项联动策略的网络风险值，具体包括：步骤S301，根本文档来自技高网...

【技术保护点】
1.一种告警联动方法，其特征在于，包括如下步骤：接收告警源发送的告警信息，识别网络攻击类型；根据所述网络攻击类型获取候选联动策略集合；计算执行所述候选联动策略集合中各项联动策略的网络风险值，并将所述网络风险值最小时对应的所述联动策略作为目标联动策略；根据所述目标联动策略执行对应的告警联动动作。

【技术特征摘要】
1.一种告警联动方法，其特征在于，包括如下步骤：接收告警源发送的告警信息，识别网络攻击类型；根据所述网络攻击类型获取候选联动策略集合；计算执行所述候选联动策略集合中各项联动策略的网络风险值，并将所述网络风险值最小时对应的所述联动策略作为目标联动策略；根据所述目标联动策略执行对应的告警联动动作。2.如权利要求1所述的告警联动方法，其特征在于，所述根据所述网络攻击类型获取候选联动策略集合之前，还包括：接收并存储用户输入的联动策略，所述联动策略包含针对所述网络攻击类型的告警联动动作，所述告警联动动作可以是包括切断网络连接、锁定账号和更新软件补丁中的一种或几种。3.如权利要求1所述的告警联动方法，其特征在于，所述计算执行所述候选联动策略集合中各项联动策略的网络风险值，具体包括：根据所述告警信息分析所有网络攻击路线，确定网络攻击链；模拟对所述网络攻击链执行所述候选联动策略集合中的各项所述联动策略，并计算执行所述联动策略后各条所述网络攻击链的风险值；根据所述网络攻击链的风险值计算所述网络风险值。4.如权利要求3所述的告警联动方法，其特征在于，所述根据所述告警信息分析网络攻击路线，采用逆向深度优先算法，具体包括：根据所述告警信息确定网络攻击的最终目标；遍历预设的网络攻击模板库，确定攻击所述最终目标的攻击手段和该攻击手段利用的安全漏洞；将所述安全漏洞作为攻击路线中的攻击目标，进一步遍历所述网络攻击模板库，确定攻击所述安全漏洞的攻击手段和该攻击手段利用的上一级安全漏洞，以确定完整的网络攻击路线。5.如权利要求3所述的告警联动方法，其特征在于，所述计算执行所述联动策略的网络风险值，具体包括：计算所述网络攻击路线上各个所述安全漏洞的风险率，可用公式表示为：其中，R(Vk)(k＝1,2,…,m)为所述安全漏洞的风险率，Pp为所述安全漏洞的流行度、Pd为所述安全漏洞的容易度、Pe为所述安全漏洞的影响力；根据所...

【专利技术属性】
技术研发人员：李建华，陈璐艺，伍军，李高勇，
申请(专利权)人：上海鹏越惊虹信息技术发展有限公司，
类型：发明
国别省市：上海,31