本发明专利技术提供了网络安全自动化防御反制方法、装置及存储介质,涉及网络安全技术领域,包括,在接收到告警信息后,对对应的防御反制处置策略编辑过程进行自动化编排形成执行任务流程,再通过反制控制系统装置,按照任务流程的执行过程进行执行处置操作;通过对处置单元以及形成的处置策略按照执行逻辑排序,最终通过调用处置单元以及处置策略的API,并按照流程执行,从而实现自动化的编排和防御反制;在遭受网络攻击等安全事件时,能够快速进行策略设置,缩短响应时间,减少损失;对连接的网络和安全设备可以进行自动化的操控,提高了对设备操作的准确性;采用设备自动化编排策略,利用原有数据进行分析,弥补人工分析的不足。弥补人工分析的不足。弥补人工分析的不足。
【技术实现步骤摘要】
网络安全自动化防御反制方法、装置及存储介质
[0001]本专利技术涉及网络安全
,具体而言,涉及网络安全自动化防御反制方法、装置及存储介质。
技术介绍
[0002]为了落实“实战化、常态化、体系化”的关键基础设施保护体系要求,持续对网络安全防御体系进行优化。
[0003]目前的防御手段主要通过防火墙,WAF等方式进行单一的防御,现有的网络安全机制无法以单一系统来确保其网络安全,为了提高网络的安全性,往往会将这些系统联合起来,以建立网络边界防护机制,如防火墙与入侵检测系统联动结构,或入侵检测系统与蜜罐联动结构。
[0004]在遭遇到网络安全事件时,目前形成的防御、反制操作多是通过信息安全人员进行手动操作,对一些列的安全设备、系统来进行防御、反制操作。一次安全事件处置过程需要对众多设备进行大量的操作,往往期间还存在着许多重复的操作,大大增加了安全事件的处置时间,无形中扩大了,安全事件的影响范围,造成了事态的严重程度增加;信息安全人员在应对安全事件的过程中,承担了繁重的工作任务,对人员的依赖程度同时,也增加了人为制造错误的记录。
[0005]虽然,市面上存在一部分软件或设备可以在设置相关安全策略的条件下,在发生安全事件时,具有按照设置的安全策略主动进行防御操作的功能,但是需要事先在设备中设置安全策略。如果需要满足众多安全事件,那就需要设置众多的策略来满足需要,那这又会让设备长时间处于高负荷的状态下,从而影响设备性能,造成设备不稳定、已损坏的情况。
[0006]因此,如何缩短信息安全事件的处置时间,对设备进行合理有效的利用,能够在发生安全事件时,进行高效的处理,是需要解决的首要问题。
技术实现思路
[0007]本专利技术的目的在于提供网络安全自动化防御反制方法、装置及存储介质,以改善上述问题。为了实现上述目的,本专利技术采取的技术方案如下:
[0008]一方面,本申请提供了网络安全自动化防御反制方法,其特征在于,在接收到综合情报关联分析装置发送的告警信息后,对对应的防御反制处置策略编辑过程进行自动化编排形成执行任务流程,再通过反制控制系统装置,按照任务流程的执行过程进行执行处置操作,防御反制处置过程进行自动化编排的步骤为:
[0009]S1.接收告警信息;
[0010]S2.对步骤S1接收到的告警信息进行分析,将告警信息与处置策略进行匹配;
[0011]S3.根据获取的处置策略集合,将该类安全事件中包含的处置策略,按照各条处置策略间形成的逻辑先后顺序将策略集合中的处置策略的形成过程编排成执行流程。
[0012]所述步骤S2中,告警信息进行分析的方法为:
[0013]进一步的,首先按照告警信息的组成字段进行识别,识别出各个字段的内容信息类型;
[0014]再对事件类型、事件内容字段进行信息提取;
[0015]然后将包含有具体事件信息的字段,与威胁信息库中的信息进行比对,得到对应的安全事件;同时将事件内容中包含的目标信息进行识别,得到该安全事件对应的处置目标;
[0016]最后得到的安全事件类型、处置目标形成的待编排策略信息。
[0017]进一步的,所述告警信息与处置策略进行匹配方法为:
[0018]在获取到待编排策略信息后;
[0019]再将待编排策略信息中的安全事件类型与策略库中的处置策略进行比对,获取到对应的处置策略;
[0020]再将获取的处置策略,形成所述安全事件类型的策略集合。
[0021]进一步的,各条所述处置策略,均包含了一个以上的处置单元;
[0022]所述处置策略的形成,是按照各个处置单元在形成处置策略过程中的执行逻辑先后顺序进行编排;其中,所述处置单元根据自身的类型,将事件内容中对应的目标信息加入到处置单元当中,同时进行编排。
[0023]进一步的,所述处置单元为单个设备中形成一条策略最小化控制单元;所述处置单元通过加入目标信息进行控制或者直接通过处置单元功能进行控制。
[0024]进一步的,所述所述告警信息,是经过综合情报关联分析装置,收集连接的网络或安全设备的日志信息,接收到的威胁告警、异常告警信息以及接入的各种设备基础信息结合威胁情报信息源形成构成安全事件库进行分析,进而进行筛选、加工形成;
[0025]所述告警信息,至少包含了待形成处置策略的设备信息、告警源IP、告警目的IP信息、遭遇的安全事件场景。
[0026]进一步的,通过编排形成处置策略或执行流程时,是对处置策略或处置单元的API接口进行编排;
[0027]所述的反制控制系统装置在按照任务流程执行进行策略设置的过程中,是按照时序顺序调用处置策略或处置单元的API接口,进而完成对涉及设备的策略设置。
[0028]网络安全事件自动化防御反制的装置,其特征在于,所述装置在接收到综合情报关联分析装置发送的告警信息后,对对应的防御反制处置策略编辑过程进行自动化编排形成执行任务流程,再通过流程执行设备,按照任务流程的执行过程进行执行处置操作,防御反制处置过程进行自动化编排的装置包括:
[0029]告警信息接收模块:用于接收告警信息;
[0030]分析匹配模块:用于对步骤S1接收到的告警信息进行分析,将告警信息与处置策略进行匹配;
[0031]自动化编排模块:用于根据获取的策略集合,将该类安全事件中包含的处置策略,按照各条处置策略间形成的逻辑先后顺序将策略集合中的处置策略的形成过程编排成执行流程。
[0032]网络安全事件自动化防御反制的存储介质,其特征在于,所述存储介质中存储有
计算机程序,其中计算机程序设置为运行时执行权利要求1
‑
7任一项中所述的方法。
[0033]进一步的,所述存储介质包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器设置为运行所述计算机程序执行权利要求1
‑
7任一项中所述的方法。
[0034]本专利技术的有益效果为:
[0035]1.在遭受网络攻击等安全事件时,能够快速进行策略设置,缩短响应时间,减少损失;
[0036]2.对连接的网络和安全设备可以进行自动化的操控,提高了对设备操作的准确性;
[0037]3.采用设备自动化编排策略,利用原有数据进行分析,弥补人工分析的不足;
[0038]自动化编排不用事先在网络或安全设备中做出过多的设置,使网络或安全设备在使用中能够体现更好的性能。
附图说明
[0039]为了更清楚地说明本专利技术实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本专利技术的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
[0040]图1为本专利技术实施例中所述的网络安全事件自动化防御反制的装置结构示意图;
[0041]图2为本专利技术实施例中所述的网络安全事件自动化本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.网络安全自动化防御反制方法,其特征在于,在接收到综合情报关联分析装置发送的告警信息后,对对应的防御反制处置策略编辑过程进行自动化编排形成执行任务流程,再通过反制控制系统装置,按照任务流程的执行过程进行执行处置操作,防御反制处置过程进行自动化编排的步骤为:S1.接收告警信息;S2.对步骤S1接收到的告警信息进行分析,将告警信息与处置策略进行匹配;S3.根据获取的处置策略集合,将该类安全事件中包含的处置策略,按照各条处置策略间形成的逻辑先后顺序将策略集合中的处置策略的形成过程编排成执行流程。2.根据权利要求1所述的网络安全自动化防御反制方法,其特征在于,所述步骤S2中,告警信息进行分析的方法为:首先按照告警信息的组成字段进行识别,识别出各个字段的内容信息类型;再对事件类型、事件内容字段进行信息提取;然后将包含有具体事件信息的字段,与威胁信息库中的信息进行比对,得到对应的安全事件;同时将事件内容中包含的目标信息进行识别,得到该安全事件对应的处置目标;最后得到的安全事件类型、处置目标形成的待编排策略信息。3.根据权利要求2所述的网络安全自动化防御反制方法,其特征在于,所述告警信息与处置策略进行匹配方法为:在获取到待编排策略信息后;再将待编排策略信息中的安全事件类型与策略库中的处置策略进行比对,获取到对应的处置策略;再将获取的处置策略,形成所述安全事件类型的策略集合。4.根据权利要求3所述的网络安全自动化防御反制方法,其特征在于,各条所述处置策略,均包含了一个以上的处置单元;所述处置策略的形成,是按照各个处置单元在形成处置策略过程中的执行逻辑先后顺序进行编排;其中,所述处置单元根据自身的类型,将事件内容中对应的目标信息加入到处置单元当中,同时进行编排。5.根据权利要求4所述的网络安全自动化防御反制方法,其特征在于,所述处置单元为单个设备中形成一条策略最小化控制单元;所述处置单元通过加入目标信息进行控制或者直接通过处置单元功能进行...
【专利技术属性】
技术研发人员:杭菲璐,谢林江,张振红,李寒箬,尹君,王海林,颜颖,廖莹璐,时燕,李成林,
申请(专利权)人:云南电网有限责任公司信息中心,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。