【技术实现步骤摘要】
本专利技术属于网络安全,具体涉及一种网络安全事件监测方法、设备及轨道交通弱电系统。
技术介绍
1、目前,为了对抗威胁及满足等保合规要求,轨道交通各网域按照等保要求部署了大量安全设备/软件,在日常运营中,各类安全设备/软件往往会产生大量告警,而且不同安全设备(比如流量探针、入侵监测设备ids与终端检测响应设备edr)之间缺乏联动配合,这就使得安全管理人员很难从海量的告警中分析出真实的攻击行为,并快速定位与其相关联的安全事件。再加上误报、漏报、不同安全设备产生的告警信息都不一样等特点,依靠人工去检索和分析安全事件变成了一个几乎不可能完成的任务。这就导致很多安全告警被安全管理人员人为忽略,即使有安全事件发生,安全管理人员也很难在第一时间发现和迅速定位受影响的主机。
2、现阶段,随着城轨云在轨道交通领域的广泛应用,云平台在城市轨道交通领域扮演越来越重要的角色,与此同时,由于云环境内的安全事件存在着扩散快、难阻断、影响大的情况,云上各业务系统也面临着愈来愈严峻复杂的安全威胁。现有云平台与网络安全大多是解耦的状态,当城市轨道交通云平台内发生恶意程序时,往往需要人工通过部署在云平台内部的安全组件进行处置,或通过云平台的备份进行数据或业务的回滚恢复。当处置的安全事件较为复杂时,管理员需先通过云平台进行虚拟机备份再进行处置,以便处置失败时,可以回退到备份状态。通常情况下,在处置恶意程序需要在云管和安全管理平台来回切换,需保证业务稳定运行的同时,还能够进行安全处置,云平台和网络安全的运维人员不是同一人,且云和安全厂商也很可能是不同的生产
3、目前,轨道交通云平台多采用虚拟安全资源池的方式进行云内安全防护,安全组件软件定义化以方便弹性扩展,并应对在新增租户的情况下,需根据等保定级要求灵活分配相应安全组件需求。然而当前的云管、安管和业务系统网管往往由不同的运维人员负责,三者之间缺少联动配合,在云内新开租户的情况下,安管需手动配置或者半自动配置相应安全组件,目前仅能实现部分安全组件的自动配备,无法进一步对虚拟防火墙、虚拟日志审计等设备的策略进行进一步的自动配置。另一方面,在业务流量或者业务体量有新的变化时,安管平台也无法实时联动云管平台对安全组件的性能进行调整。安全策略的手动配置要求安管人员、云管人员和业务系统网管人员之间密切配合,给运维人员带来了较大的不便,对运维人员的技术水平提出了很高的要求。
4、目前,轨道交通在中心和站段侧逐步采用云桌面的部署方式以提升运维效率。在站段资源受限场景下,站段边缘云桌面的资源一般会按轻量化的部署方式,资源富余量考虑较少,这就对站段资源的合理分配提出了较高的要求,既要满足各业务的云桌面终端正常运行需求,避免性能过低出现卡顿现象,又要充分提高云桌面的资源利用率,减少资源超配现象。当前在轨道交通实际的设计和建设过程中,各业务系统在提云桌面资源需求时往往会考虑较多的富余量,所以一般很容易出现资源超配现象,有违站段资源轻量化的设计要求。另一方面,也有可能有部分业务在高峰时可能出现计算负载过高,引起卡顿严重,影响业务的正常运行。
5、目前外部服务网与安全生产网、内部管理网进行交互通常采用网闸与安全设备组合的方式来进行安全防护,由于网闸采用摆渡的隔离机制,会带来的丢包、延迟等问题,从而制约着业务进一步发展,同时由于网闸的传输过程会经历数据的处理、协议的转化以及物理摆渡传输等步骤,制约着性能的提升。随着轨道交通的接入数据量越来越多,面对潮汐流量以及高并发的情况下,很容易对业务造成影响。而且由于网闸的技术限制,无法通过设备自身实现集群部署显著提升性能。
6、传统轮询算法,就是依次看各个网闸是否空闲来确定是否建立连接,现有的轮询算法虽然可以实现对网闸流量的调度分配,但是在实际的情况中,部署在边界的网闸经常是不同规格或不同批次的组成的非对称集群,每台网闸的处理能力可能存在较大差异。如果采用传统的轮询算法会导致不能充分发挥网闸性能,甚至导致性能较差设备宕机的情况。因此,亟需一种可以解决在实际环境中非对称部署的网闸调度方法。
技术实现思路
1、本专利技术的目的在于克服现有技术中的至少一种缺陷,提供了一种网络安全事件监测方法、设备及轨道交通弱电系统。
2、本专利技术的技术方案是这样实现的:本专利技术公开了一种网络安全事件监测方法,包括如下步骤:
3、s1)采集主机侧数据以及流量侧数据;
4、s2)对主机侧数据进行研判,判断目标主机是否被攻陷,若是,则执行步骤s3);
5、对流量侧数据进行研判,判断流量侧数据中是否有异常数据,若有异常数据,则基于ip确定异常数据对应的目标主机,执行步骤s3);
6、s3)将主机侧数据和流量侧数据进行关联分析,得到目标主机的访问和被访问关系,将主机侧和流量侧离散的告警信息聚合成有关联关系的安全事件。
7、在一些实施例中,若主机存在外联非法ip/域名或横向攻击行为,则对主机侧访问关系进行图关联,形成访问关系图,定位受影响的关联主机,最终聚合告警形成安全事件。
8、在一些实施例中,本专利技术的网络安全事件监测方法还包括如下步骤:提取安全事件的攻击特征,结合流量侧关联ip的网段确定关联的系统专业,启动对相关专业主机的主动探测,实现主动防御。
9、在一些实施例中,安全管理平台接收上报的安全事件,联动云管理平台对所述安全事件进行自动处置,具体包括:
10、ss1)当安全管理平台接收到上报的安全事件时,安全管理平台下发带有主机隔离策略的第一隔离指令给与安全事件对应的主机,并同步云管理平台,该主机响应于第一隔离指令,执行主机隔离策略;
11、ss2)云管理平台收到安全管理平台同步的情况后,下发现场快照任务,创建现场快照;
12、ss3)当快照任务结束时,判断是否可以调用杀毒软件进行病毒查杀,若可以,则进行病毒查杀,若不可以,则云管理平台下发虚拟机备份回滚指令给所述主机,所述主机执行备份回滚,恢复到此前最近一份的云平台的虚拟机副本;
13、ss4)当备份回滚结束或病毒查杀结束时,云管理平台通知安全管理平台进行安全扫描任务,检验此时的主机是否存在病毒,若仍存在病毒,则发出安全告警,提示人工介入处理;
14、若病毒已经清除,则验证业务是否出现异常,若业务正常,则创建恢复快照;
15、若业务出现异常,则恢复至步骤ss2)所述的现场快照,发出安全告警,提示人工介入处理;人工介入处理后,创建恢复快照;
16、ss5)创建恢复快照后,通知安全管理平台解除主机隔离策略,流程处置结束。
17、在一些实施例中,采集主机侧数据,具体包括:通过edr采集主机侧数据;本文档来自技高网...
【技术保护点】
1.一种网络安全事件监测方法,其特征在于,包括如下步骤:
2.如权利要求1所述的网络安全事件监测方法,其特征在于:若主机存在外联非法IP/域名或横向攻击行为,则对主机侧访问关系进行图关联,形成访问关系图,定位受影响的关联主机,最终聚合告警形成安全事件。
3.如权利要求1所述的网络安全事件监测方法,其特征在于:还包括如下步骤:提取安全事件的攻击特征,结合流量侧关联IP的网段确定关联的系统专业,启动对相关专业主机的主动探测,实现主动防御。
4.如权利要求1所述的网络安全事件监测方法,其特征在于:安全管理平台接收上报的安全事件,并联动云管理平台对所述安全事件进行自动处置,具体包括:
5.如权利要求1所述的网络安全事件监测方法,其特征在于:采集主机侧数据,具体包括:通过EDR采集主机侧数据;
6.如权利要求1所述的网络安全事件监测方法,其特征在于:对主机侧数据进行研判,判断主机是否被攻陷,具体包括:
7.如权利要求1所述的网络安全事件监测方法,其特征在于:对流量侧数据进行研判,判断流量侧数据中是否有异常数据,具体包括
8.如权利要求1所述的网络安全事件监测方法,其特征在于:对主机侧数据进行研判,判断主机是否被攻陷,若否,则不产生告警;
9.一种网络安全事件监测设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如实施例1至8任一所述网络安全事件监测方法的步骤。
10.一种轨道交通弱电系统,其特征在于:包括安全管理平台、云管理平台以及如权利要求9所述的网络安全事件监测设备,所述网络安全事件监测设备用于将主机侧和流量侧离散的告警信息聚合成有关联关系的安全事件,并上报给安全管理平台,所述安全管理平台用于接收网络安全事件监测设备上报的安全事件,并联动云管理平台对安全事件进行自动处置。
...【技术特征摘要】
1.一种网络安全事件监测方法,其特征在于,包括如下步骤:
2.如权利要求1所述的网络安全事件监测方法,其特征在于:若主机存在外联非法ip/域名或横向攻击行为,则对主机侧访问关系进行图关联,形成访问关系图,定位受影响的关联主机,最终聚合告警形成安全事件。
3.如权利要求1所述的网络安全事件监测方法,其特征在于:还包括如下步骤:提取安全事件的攻击特征,结合流量侧关联ip的网段确定关联的系统专业,启动对相关专业主机的主动探测,实现主动防御。
4.如权利要求1所述的网络安全事件监测方法,其特征在于:安全管理平台接收上报的安全事件,并联动云管理平台对所述安全事件进行自动处置,具体包括:
5.如权利要求1所述的网络安全事件监测方法,其特征在于:采集主机侧数据,具体包括:通过edr采集主机侧数据;
6.如权利要求1所述的网络安全事件监测方法,其特征在于:对主机侧数据进行研判,判...
【专利技术属性】
技术研发人员:刘魁,孙舒淼,张亦然,凌力,张伟,习博,陈龙,杨承东,王玉,胡祖翰,陈光,周杰,
申请(专利权)人:中铁第四勘察设计院集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。