CN108551449B - 防病毒管理系统及方法 - Google Patents
防病毒管理系统及方法 Download PDFInfo
- Publication number
- CN108551449B CN108551449B CN201810332331.3A CN201810332331A CN108551449B CN 108551449 B CN108551449 B CN 108551449B CN 201810332331 A CN201810332331 A CN 201810332331A CN 108551449 B CN108551449 B CN 108551449B
- Authority
- CN
- China
- Prior art keywords
- virus
- alarm
- log
- network equipment
- soc
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Debugging And Monitoring (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种防病毒管理系统及方法,防病毒管理系统包括:搜索引擎、SOC和防病毒数据库服务器;多个防病毒数据库服务器布置于不同的区域,防病毒数据库服务器用于获取所在区域内的网络设备的病毒告警日志;病毒告警日志包括告警信息;搜索引擎用于拉取各个区域的防病毒数据库服务器中的病毒告警日志;SOC用于根据告警信息对病毒告警日志进行报警等级划分。本发明统一大型企业生产、测试、IT等各环境区域和分公司防病毒日志告警响应平台,自动化分析海量告警日志,为运维安全人员提供便捷、快速、准确的高危病毒事件处理平台,解决以往防病毒系统分散,防病毒日志繁多,无法快速检测高危病毒事件,防病毒告警日志发现滞后的问题。
Description
技术领域
本发明涉及信息安全技术领域,特别涉及一种针对大型企业的基于SOC(SecurityOperation Center,综合性安全运营中心)管理的防病毒管理系统及方法。
背景技术
为了确保企业内部的网络信息安全,一般会在企业内部服务器、办公电脑、虚拟终端设备等网络设备上安装防病毒和漏洞修复等安全管理软件,且各个网络设备上的安全管理软件相互独立。大型企业由于其办公设备数量庞大,量以万级甚至十万级,且企业的分公司、下属机构繁多,办公设备布置较分散,致使企业内部的防病毒告警日志数量庞大,防病毒系统部署分散,企业安全人员日常需维护多套防病毒系统。
由于现有技术中缺乏针对大型企业的有效的防病毒管理系统,病毒告警日志需要人工核查。人工核查效率低,无法快速检测高危病毒事件,致使病毒告警日志滞后,无法第一时间发现严重病毒威胁事件,企业的信息安全存在隐患。
发明内容
本发明要解决的技术问题是为了克服现有技术中缺乏针对大型企业的有效的防病毒管理系统,致使病毒告警日志滞后,无法第一时间发现严重病毒威胁事件的缺陷,提供一种防病毒管理系统及方法。
本发明是通过下述技术方案来解决上述技术问题:
一种防病毒管理系统,用于对网络设备进行防病毒管理,所述防病毒管理系统包括:搜索引擎、SOC和多个防病毒数据库服务器;
所述多个防病毒数据库服务器布置于不同的区域,所述防病毒数据库服务器用于获取所在区域内的网络设备的病毒告警日志;
所述病毒告警日志包括告警信息;
所述搜索引擎用于拉取各个区域的防病毒数据库服务器中的所述病毒告警日志;
所述SOC用于根据所述告警信息对所述病毒告警日志进行报警等级划分。
较佳地,所述搜索引擎还用于为每个病毒告警日志设置标签;
所述SOC则根据所述标签和所述告警信息对所述病毒告警日志进行报警等级划分;
所述标签包括防病毒数据库服务器的位置信息。
较佳地,所述报警等级包括高危等级和严重等级;
所述SOC还用于根据目标告警信息生成报警信息,并通过邮件和/或短信的方式提示报警信息;
所述目标告警信息为被划分为高危等级或严重等级的病毒告警日志包含的告警信息。
较佳地,所述告警信息包括以下字段中的至少一种:
网络设备的名称、网络设备的IP地址、网络设备的用户账号、病毒名称、感染病毒值、威胁处理结果描述、病毒日志上传防病毒数据库服务器时间、病毒查杀时间、查杀病毒文件、查杀进程名称和查杀状态。
较佳地,所述SOC还用于在病毒告警日志的感染病毒值大于病毒阈值或病毒告警日志被划分为高危等级或严重等级时,生成设备断网请求,并在接收到设备断网指令时断开目标网络设备与其他网络设备的通信连接;
或,所述防病毒管理系统还包括交换机接口;
所述SOC还用于在病毒告警日志的感染病毒值大于病毒阈值或病毒告警日志被划分为高危等级或严重等级时,调用所述交换机接口,以关闭所述目标网络设备的网络端口;
所述目标网络设备为发送的病毒告警日志被划分为高危等级或感染病毒值大于病毒阈值的网络设备。
本发明还提供一种防病毒管理方法,所述防病毒管理方法利用上述防病毒管理系统实现,所述防病毒管理方法包括以下步骤:
S1、所述防病毒数据库服务器获取所在区域内的网络设备的病毒告警日志;
所述病毒告警日志包括告警信息;
S2、所述搜索引擎拉取各个区域的防病毒数据库服务器中的所述病毒告警日志;
S3、所述SOC根据所述告警信息对所述病毒告警日志进行报警等级划分。
较佳地,步骤S2还包括:所述搜索引擎为每个病毒告警日志设置标签;
步骤S3用步骤S3’替代;
S3’、所述SOC根据所述标签和所述告警信息对所述病毒告警日志进行报警等级划分;
所述标签包括防病毒数据库服务器的位置信息。
较佳地,所述报警等级包括高危等级和严重等级;
所述防病毒管理方法还包括:
S4、所述SOC根据目标告警信息生成报警信息,并通过邮件和/或短信的方式提示报警信息;
所述目标告警信息为被划分为高危等级或严重等级的病毒告警日志包含的告警信息。
较佳地,所述告警信息包括以下字段中的至少一种:
网络设备的名称、网络设备的IP地址、网络设备的用户账号、病毒名称、感染病毒值、威胁处理结果描述、病毒日志上传防病毒数据库服务器时间、病毒查杀时间、查杀病毒文件、查杀进程名称和查杀状态。
较佳地,所述防病毒管理方法还包括:
所述SOC在病毒告警日志的感染病毒值大于病毒阈值或病毒告警日志被划分为高危等级或严重等级时,生成设备断网请求,并在接收到设备断网指令时断开目标网络设备与其他网络设备的通信连接;
或,所述SOC在病毒告警日志的感染病毒值大于病毒阈值或病毒告警日志被划分为高危等级或严重等级时,调用所述交换机接口,以关闭所述目标网络设备的网络端口;
所述目标网络设备为发送的病毒告警日志被划分为高危等级或感染病毒值大于病毒阈值的网络设备。
本发明的积极进步效果在于:本发明统一大型企业生产、测试、IT等各环境区域和分公司防病毒日志告警响应平台,自动化分析海量告警日志,为运维安全人员提供便捷、快速、准确的高危病毒事件处理平台,解决以往防病毒系统分散,防病毒日志繁多,无法快速检测高危病毒事件,防病毒告警日志发现滞后的问题。
附图说明
图1为本发明实施例1的防病毒管理系统的模块示意图;
图2为本发明实施例1的防病毒管理系统的工作流程图;
图3为本发明实施例2的防病毒管理方法的流程图;
图4为本发明实施例3的防病毒管理方法的流程图。
具体实施方式
下面通过实施例的方式进一步说明本发明,但并不因此将本发明限制在所述的实施例范围之中。
实施例1
本实施的防病毒管理系统用于对网络设备进行防病毒管理,网络设备包括计算机、服务器和虚拟终端等。对于大型企业来说,分公司、下属机构繁多,且可能在不同的地点,因此网络设备布置于不同的地点、区域,不同地点、区域的网络设备相互之间通过各区域汇聚层交换机通信连接,构成通信网络。网络设备上安装有防病毒软件客户端,防病毒软件客户端可对网络设备进行病毒查杀,并生成病毒告警日志。
如图1-2所示,本实施例的防病毒管理系统包括:搜索引擎1、SOC2和多个防病毒数据库服务器3(Anti Virus DateBase,AVDB)。多个防病毒数据库服务器布置于不同的区域。
防病毒数据库服务器3用于获取所在区域内的网络设备的病毒告警日志。其中,病毒告警日志包括告警信息,告警信息中包括多个字段。由于防病毒数据库服务器布置于不同的区域,一般在每个区域布置一台防病毒数据库服务器,获取到的数据源分别来自生产、测试、办公、云端(公有云、私有云、混合云)和分公司。
搜索引擎1用于拉取(可以定时拉取,也可以实时拉取)各个区域的防病毒数据库服务器中的病毒告警日志。搜索引擎还用于为每个病毒告警日志设置标签,标签包括防病毒数据库服务器的位置信息,也即将来自于生产环境的告警日志的标签标记为OPSAV、来自测试环境的告警日志的标签为QATEAV、来自办公环境的告警日志的标签为ITAV、来自云端的告警日志的标签为CloudAV、来自分公司的告警日志的标签为BranchAV。搜索引擎具体通过ElasticSearch(大数据日志搜索引擎,ES)实现。
SOC2用于实时(也可以定时)拉取ElasticSearch上的病毒告警日志,并根据告警信息(或根据告警信息和标签)对病毒告警日志进行报警等级划分,并输出等级划分结果。为了减小计算量,SOC在进行报警等级划分前,对告警信息的字段进行过滤,得到对等级划分有帮助的、有效的字段,经过过滤后的告警信息包括以下字段中的至少一种:
AnalyzerHostName:网络设备的名称,例如SVR10000;
AnalyzerIPV4:网络设备的IP地址,例如192.168.1.1;
TargetUserName:网络设备的用户账号,例如zhangsan;
ThreatName:病毒名称,例如Artemis!590093013524;
Value:感染病毒值,例如50;
Description:威胁处理结果描述,例如已删除有害的程序;
ReceivedTime:病毒日志上传防病毒数据库服务器时间,例如November3rd 2017,17:39:35.303;
DetectedTime:病毒查杀时间,例如November 3rd 2017,17:37:39.000;
TargetFileName:查杀病毒文件,例如D:\Users\zhangsan\AppData\Local\Temp\1.exe;
TargetProcessName:查杀进程名称,例如iexplore.exe;
ThreatActionTaken:查杀状态,例如deleted。
需要说明的是,等级划分策略、等级数可根据实际需求自行设置,例如,根据病毒影响、公司环境要求自定义配置。具体的,可通过配置字段:数据源Environment、病毒名称ThreatName、感染数量阀值Value、事件告警级别Level实现策略的设置,每个字段内容可自定义填写。例如,设置划分策略如下:
由于服务器中毒威胁等级严重,每一个告警事件都需人工判处处理,所以制定规则,检测到日志里Environment为OPSAV、QATE、ClouAV的事件告警标记Level为1,也即报警等级为高危等级;
由于勒索病毒、蠕虫病毒的威胁严重,数据源为ALL,ThreatName为WannaCry和Worm的事件告警标记Level为1;
由于办公环境的计算机感染病毒频繁,命中普通病毒、木马杀毒后威胁较小,所以制定规则数据源Environment为ITAV和BranchAV的事件告警标记Level为3,也即报警等级为一般等级;
由于办公环境的计算机感染病毒下载机,感染大量病毒很难查杀干净,所以制定规则数据源Environment为ALL,感染病毒值Value为50以上的病毒告警事件的告警日志标记Level为2,也即报警等级为严重等级。
从而,SOC可根据上述等级划分策略,对病毒告警日志进行报警等级划分。SOC还可根据用户的设置仅显示告警等级为Level1和Level2的病毒告警日志,并根据该病毒告警日志的告警信息(目标告警信息)生成报警信息,调用邮件接口发送告警邮件和短信提醒给信息安全运维人员,做到实时高危、严重病毒事件告警。其中,目标告警信息为被划分为高危等级或严重等级的病毒告警日志中包括的告警信息。
本实施例中,SOC还用于在病毒告警日志的感染病毒值大于病毒阈值或病毒告警日志被划分为高危等级或严重等级时,生成设备断网请求,并在接收到设备断网指令时断开目标网络设备与其他网络设备的通信连接;或,SOC还用于在病毒告警日志的感染病毒值大于病毒阈值或病毒告警日志被划分为高危等级或严重等级时,调用交换机接口,以关闭目标网络设备的网络端口。其中,目标网络设备为发送的病毒告警日志被划分为高危等级或感染病毒值大于病毒阈值的网络设备。下面举例说明:
对于非关键义务区域,例如办公环境的计算机检测到病毒告警日志的ThreatName字段为Level1级,感染病毒值Value为50以上病毒事件,SOC调用办公网汇聚的交换机接口API,根据AnalyzerIPV4值关闭感染病毒设备的网络端口,实现该计算机的自动断网,以防止大范围病毒传播,做到实时检测、实时响应。
生产环境由于涉及线上业务,检测到以上病毒高危事件调用邮件APPMail接口发邮件至CIO(信息管理者)或其他指定senior administrator(系统管理员)授权审批,审批通过,也即接收到设备断网指令时则调用相应的交换机接口对感染病毒的服务器断网,缩短生产环境病毒事件相应时间。审批流程是为了避免系统误操作。
本实施例中,利用ElasticSearch结合SOC对大型企业海量病毒日志进行自动化分析。ElasticSearch实时对分布零散的防病毒系统告警日志进行统一收集,SOC制定病毒事件威胁等级和事件触发规则,前端页面展示企业高危病毒感染事件为运维安全人员提供统一、快速、准确的高危病毒事件处理平台。邮件、短信提醒做到实时报警,结合各区域汇聚交换机的网络端口开关功能,对高危勒索病毒、蠕虫等横向感染型病毒进行快速、实时阻断,大大降低了病毒感染对企业正常生产的影响。从而,运维人员可统一对企业的各区域高危病毒告警事件进行事件跟踪,处理记录,实现了快速检测高危病毒事件,提高了企业的信息安全。
实施例2
本实施例的防病毒管理方法利用实施例1中的防病毒管理系统实现,如图3所示,防病毒管理方法包括以下步骤:
步骤101、防病毒数据库服务器获取所在区域内的网络设备的病毒告警日志。
其中,病毒告警日志包括告警信息,告警信息中包括多个字段。
步骤102、搜索引擎拉取各个区域的防病毒数据库服务器中的病毒告警日志。
需要说明的是,搜索引擎可以定时拉取,也可以实时拉取数据,根据实际需求自行设置。
步骤103、SOC对告警信息的字段进行过滤,并根据告警信息对病毒告警日志进行报警等级划分。
经过过滤后,告警信息包括以下字段中的至少一种:网络设备的名称、网络设备的IP地址、网络设备的用户账号、病毒名称、感染病毒值、威胁处理结果描述、病毒日志上传防病毒数据库服务器时间、病毒查杀时间、查杀病毒文件、查杀进程名称和查杀状态。SOC根据过滤后的有效字段对病毒告警日志进行报警等级划分。
需要说明的是,等级划分策略、等级数可根据实际需求自行设置,例如,根据病毒影响、公司环境要求自定义配置。具体的,可通过配置字段:数据源Environment、病毒名称ThreatName、感染数量阀值Value、事件告警级别Level实现策略的设置,每个字段内容可自定义填写。根据字段的不同数值将报警等级划分为高危等级、严重等级、一般等级等。
步骤104、SOC根据目标告警信息生成报警信息,并通过邮件和/或短信的方式提示报警信息。以做到实时高危、严重病毒事件告警。
其中,目标告警信息为被划分为高危等级或严重等级的病毒告警日志包含的告警信息。
本实施例中,SOC提示报警信息的同时或之后,防病毒管理方法还包括:
SOC在病毒告警日志的感染病毒值大于病毒阈值或病毒告警日志被划分为高危等级或严重等级时,生成设备断网请求,并在接收到设备断网指令时断开目标网络设备与其他网络设备的通信连接;或,SOC在病毒告警日志的感染病毒值大于病毒阈值或病毒告警日志被划分为高危等级或严重等级时,调用交换机接口,以关闭目标网络设备的网络端口。其中,目标网络设备为发送的病毒告警日志被划分为高危等级或感染病毒值大于病毒阈值的网络设备。下面举例说明:
对于非关键义务区域,例如办公环境的计算机检测到病毒告警日志的ThreatName字段为Level1级,感染病毒值Value为50以上病毒事件,SOC调用办公网汇聚的交换机接口API,根据AnalyzerIPV4值关闭感染病毒设备的网络端口,实现该计算机的自动断网,以防止大范围病毒传播,做到实时检测、实时响应。
生产环境由于涉及线上业务,检测到以上病毒高危事件调用邮件APPMail接口发邮件至CIO(信息管理者)或其他指定senior administrator(系统管理员)授权审批,审批通过,也即接收到设备断网指令时则调用相应的交换机接口对感染病毒的服务器断网,缩短生产环境病毒事件相应时间。审批流程是为了避免系统误操作。
本实施例中,统一大型企业生产、测试、IT等各环境区域和分公司防病毒日志告警响应平台,自动化分析海量告警日志,为运维安全人员提供便捷、快速、准确的高危病毒事件处理平台,解决以往防病毒系统分散,防病毒日志繁多,无法快速检测高危病毒事件,防病毒告警日志发现滞后的问题。
实施例3
实施例3与实施例2基本相同,如图4所示,不同之处在于,本实施例中用步骤102’代替步骤102,用步骤103’代替步骤103。
步骤102’、搜索引擎拉取各个区域的防病毒数据库服务器中的病毒告警日志,并为每个病毒告警日志设置标签。
其中,标签包括防病毒数据库服务器的位置信息,也即将来自于生产环境的告警日志的标签标记为OPSAV、来自测试环境的告警日志的标签为QATEAV、来自办公环境的告警日志的标签为ITAV、来自云端的告警日志的标签为CloudAV、来自分公司的告警日志的标签为BranchAV。搜索引擎具体通过ElasticSearch(是一个搜索服务器)实现。
103’、SOC对告警信息的字段进行过滤,并根据标签和告警信息对病毒告警日志进行报警等级划分。
本实施例中,利用ElasticSearch结合SOC对大型企业海量病毒日志进行自动化分析。ElasticSearch实时对分布零散的防病毒系统告警日志进行统一收集,SOC制定病毒事件威胁等级和事件触发规则,前端页面展示企业高危病毒感染事件为运维安全人员提供统一、快速、准确的高危病毒事件处理平台。邮件、短信提醒做到实时报警,结合各区域汇聚交换机的网络端口开关功能,对高危勒索病毒、蠕虫等横向感染型病毒进行快速、实时阻断,大大降低了病毒感染对企业正常生产的影响。从而,运维人员可统一对企业的各区域高危病毒告警事件进行事件跟踪,处理记录,实现了快速检测高危病毒事件,提高了企业的信息安全。
虽然以上描述了本发明的具体实施方式,但是本领域的技术人员应当理解,这仅是举例说明,本发明的保护范围是由所附权利要求书限定的。本领域的技术人员在不背离本发明的原理和实质的前提下,可以对这些实施方式做出多种变更或修改,但这些变更和修改均落入本发明的保护范围。
Claims (8)
1.一种防病毒管理系统,其特征在于,用于对网络设备进行防病毒管理,所述防病毒管理系统包括:搜索引擎、SOC和多个防病毒数据库服务器;
所述多个防病毒数据库服务器布置于不同的区域,所述防病毒数据库服务器用于获取所在区域内的网络设备的病毒告警日志;
所述病毒告警日志包括告警信息;
所述搜索引擎用于拉取各个区域的防病毒数据库服务器中的所述病毒告警日志;
所述SOC用于根据所述告警信息对所述病毒告警日志进行报警等级划分;
其中,所述搜索引擎还用于为每个病毒告警日志设置标签;
所述SOC则根据所述标签和所述告警信息对所述病毒告警日志进行报警等级划分;
所述标签包括防病毒数据库服务器的位置信息。
2.如权利要求1所述的防病毒管理系统,其特征在于,所述报警等级包括高危等级和严重等级;
所述SOC还用于根据目标告警信息生成报警信息,并通过邮件和/或短信的方式提示报警信息;
所述目标告警信息为被划分为高危等级或严重等级的病毒告警日志包含的告警信息。
3.如权利要求1所述的防病毒管理系统,其特征在于,所述告警信息包括以下字段中的至少一种:
网络设备的名称、网络设备的IP地址、网络设备的用户账号、病毒名称、感染病毒值、威胁处理结果描述、病毒日志上传防病毒数据库服务器时间、病毒查杀时间、查杀病毒文件、查杀进程名称和查杀状态。
4.如权利要求3所述的防病毒管理系统,其特征在于,所述SOC还用于在病毒告警日志的感染病毒值大于病毒阈值或病毒告警日志被划分为高危等级或严重等级时,生成设备断网请求,并在接收到设备断网指令时断开目标网络设备与其他网络设备的通信连接;
或,所述防病毒管理系统还包括交换机接口;
所述SOC还用于在病毒告警日志的感染病毒值大于病毒阈值或病毒告警日志被划分为高危等级或严重等级时,调用所述交换机接口,以关闭所述目标网络设备的网络端口;
所述目标网络设备为发送的病毒告警日志被划分为高危等级或感染病毒值大于病毒阈值的网络设备。
5.一种防病毒管理方法,其特征在于,所述防病毒管理方法利用权利要求1所述的防病毒管理系统实现,所述防病毒管理方法包括以下步骤:
S1、所述防病毒数据库服务器获取所在区域内的网络设备的病毒告警日志;
所述病毒告警日志包括告警信息;
S2、所述搜索引擎拉取各个区域的防病毒数据库服务器中的所述病毒告警日志;
S3、所述SOC根据所述告警信息对所述病毒告警日志进行报警等级划分;
其中,所述步骤S2还包括:所述搜索引擎为每个病毒告警日志设置标签;
步骤S3用步骤S3’替代;
S3’、所述SOC根据所述标签和所述告警信息对所述病毒告警日志进行报警等级划分;
所述标签包括防病毒数据库服务器的位置信息。
6.如权利要求5所述的防病毒管理方法,其特征在于,所述报警等级包括高危等级和严重等级;
所述防病毒管理方法还包括:
S4、所述SOC根据目标告警信息生成报警信息,并通过邮件和/或短信的方式提示报警信息;
所述目标告警信息为被划分为高危等级或严重等级的病毒告警日志包含的告警信息。
7.如权利要求5所述的防病毒管理方法,其特征在于,所述告警信息包括以下字段中的至少一种:
网络设备的名称、网络设备的IP地址、网络设备的用户账号、病毒名称、感染病毒值、威胁处理结果描述、病毒日志上传防病毒数据库服务器时间、病毒查杀时间、查杀病毒文件、查杀进程名称和查杀状态。
8.如权利要求7所述的防病毒管理方法,其特征在于,所述防病毒管理方法还包括:
所述SOC在病毒告警日志的感染病毒值大于病毒阈值或病毒告警日志被划分为高危等级或严重等级时,生成设备断网请求,并在接收到设备断网指令时断开目标网络设备与其他网络设备的通信连接;
或,所述SOC在病毒告警日志的感染病毒值大于病毒阈值或病毒告警日志被划分为高危等级或严重等级时,调用交换机接口,以关闭所述目标网络设备的网络端口;
所述目标网络设备为发送的病毒告警日志被划分为高危等级或感染病毒值大于病毒阈值的网络设备。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810332331.3A CN108551449B (zh) | 2018-04-13 | 2018-04-13 | 防病毒管理系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810332331.3A CN108551449B (zh) | 2018-04-13 | 2018-04-13 | 防病毒管理系统及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108551449A CN108551449A (zh) | 2018-09-18 |
CN108551449B true CN108551449B (zh) | 2021-02-05 |
Family
ID=63515103
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810332331.3A Active CN108551449B (zh) | 2018-04-13 | 2018-04-13 | 防病毒管理系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108551449B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112685214B (zh) * | 2021-01-15 | 2023-07-14 | 浪潮软件科技有限公司 | 一种通过日志收集分析中毒机器并进行告警的方法 |
CN112769849B (zh) * | 2021-01-19 | 2023-06-09 | 杭州迪普科技股份有限公司 | 一种病毒确诊与阻断的方法、系统、设备及存储介质 |
CN114944930A (zh) * | 2022-03-25 | 2022-08-26 | 国网浙江省电力有限公司杭州供电公司 | 基于高集聚场景下的内网安全通信方法 |
CN115333930B (zh) * | 2022-10-13 | 2023-03-24 | 北京微步在线科技有限公司 | 基于场景的日志归类方法、装置、电子设备及存储介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1350230A (zh) * | 2001-12-03 | 2002-05-22 | 复旦大学 | 病毒库主动分发系统 |
CN101414332A (zh) * | 2007-10-15 | 2009-04-22 | 鸿富锦精密工业(深圳)有限公司 | 防病毒装置和方法 |
CN101610174A (zh) * | 2009-07-24 | 2009-12-23 | 深圳市永达电子股份有限公司 | 一种日志关联分析系统与方法 |
CN101656632A (zh) * | 2008-08-21 | 2010-02-24 | 中国建设银行股份有限公司 | 大型网络内的病毒监控方法及装置 |
CN103856530A (zh) * | 2012-12-05 | 2014-06-11 | 腾讯科技(深圳)有限公司 | 操作日志的管理方法、服务器、终端及系统 |
CN106941479A (zh) * | 2016-10-10 | 2017-07-11 | 常州市善松信息科技有限公司 | 一种具备病毒防护功能的云计算系统 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040010691A1 (en) * | 2002-07-15 | 2004-01-15 | Nelson Terence J. | Method for authenticating digital content in frames having a minimum of one bit per frame reserved for such use |
-
2018
- 2018-04-13 CN CN201810332331.3A patent/CN108551449B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1350230A (zh) * | 2001-12-03 | 2002-05-22 | 复旦大学 | 病毒库主动分发系统 |
CN101414332A (zh) * | 2007-10-15 | 2009-04-22 | 鸿富锦精密工业(深圳)有限公司 | 防病毒装置和方法 |
CN101656632A (zh) * | 2008-08-21 | 2010-02-24 | 中国建设银行股份有限公司 | 大型网络内的病毒监控方法及装置 |
CN101610174A (zh) * | 2009-07-24 | 2009-12-23 | 深圳市永达电子股份有限公司 | 一种日志关联分析系统与方法 |
CN103856530A (zh) * | 2012-12-05 | 2014-06-11 | 腾讯科技(深圳)有限公司 | 操作日志的管理方法、服务器、终端及系统 |
CN106941479A (zh) * | 2016-10-10 | 2017-07-11 | 常州市善松信息科技有限公司 | 一种具备病毒防护功能的云计算系统 |
Also Published As
Publication number | Publication date |
---|---|
CN108551449A (zh) | 2018-09-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10356044B2 (en) | Security information and event management | |
CN108551449B (zh) | 防病毒管理系统及方法 | |
CN107566163B (zh) | 一种用户行为分析关联的告警方法及装置 | |
US10601844B2 (en) | Non-rule based security risk detection | |
CN103563302B (zh) | 网络资产信息管理 | |
Bhattacharyya et al. | Met: An experimental system for malicious email tracking | |
CN114598525A (zh) | 一种针对网络攻击的ip自动封禁的方法和装置 | |
CN110620690A (zh) | 一种网络攻击事件的处理方法及其电子设备 | |
US20210073390A1 (en) | Threat mitigation system and method | |
CN114050937B (zh) | 邮箱服务不可用的处理方法、装置、电子设备及存储介质 | |
CN113595981B (zh) | 上传文件威胁检测方法及装置、计算机可读存储介质 | |
WO2022109417A1 (en) | Threat mitigation system and method | |
US20210377313A1 (en) | Threat Mitigation System and Method | |
CN116089940A (zh) | 多源安全威胁检测方法和装置 | |
JP2006114044A (ja) | コンピュータ・ネットワークへの不正アクセスを検出するためのシステムおよび方法 | |
CN116668051A (zh) | 攻击行为的告警信息处理方法、装置、程序、电子及介质 | |
KR20220086402A (ko) | 클라우드 기반 통합 보안서비스 제공 시스템 | |
KR20200005137A (ko) | 보안 이벤트를 처리하기 위한 위협 티켓 발행 방법 및 장치 | |
CN112685214B (zh) | 一种通过日志收集分析中毒机器并进行告警的方法 | |
CN114338175B (zh) | 数据收集管理系统及数据收集管理方法 | |
CN117201062A (zh) | 一种网络安全感知系统、方法、设备及存储介质 | |
CN117081776A (zh) | 告警数据上报系统、告警数据上报方法及装置 | |
CN118018283A (zh) | 一种异常数据信息处理方法、装置、电子设备及存储介质 | |
CN110620749A (zh) | 一种终端网络监控分析文件传播与分布的方法及系统 | |
CN116915579A (zh) | 一种安全事件生成方法、装置、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |