CN109981573B - 安全事件响应方法及装置 - Google Patents
安全事件响应方法及装置 Download PDFInfo
- Publication number
- CN109981573B CN109981573B CN201910126806.8A CN201910126806A CN109981573B CN 109981573 B CN109981573 B CN 109981573B CN 201910126806 A CN201910126806 A CN 201910126806A CN 109981573 B CN109981573 B CN 109981573B
- Authority
- CN
- China
- Prior art keywords
- response
- security event
- policy
- strategy
- execution
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Abstract
本发明实施例提供了一种安全事件响应方法及装置,其中,安全事件响应方法包括:在网络设备检测到发生安全事件时,获取该安全事件的事件标识以及发生该安全事件的当前时刻,根据事件标识,从配置的安全事件响应策略列表中查找事件标识对应的多个策略标识及多个策略标识分别对应的生效时段,确定匹配当前时刻的生效时段所对应的第一策略标识,执行策略标识为第一策略标识的第一响应策略。同一个安全事件配置了多个响应策略,该安全事件的各响应策略的生效时段不重合,对于一个安全事件在不同时段内可以执行不同的响应策略,有效地应对了复杂的安全事件,增强了安全事件响应的灵活性。
Description
技术领域
本发明涉及网络安全技术领域,特别是涉及安全事件响应方法及装置。
背景技术
随着互联网技术的迅速发展,网络所承载的信息日益丰富,互联网成为人们生活的重要基础设施,给人们的生活带来了极大的便利。与此同时,网络安全问题也日益严重,网络病毒、蠕虫、木马、恶意软件等层出不穷,危害着网络用户的信息安全。
安全事件分析是网络安全技术的一个重要手段,常见的安全事件主要有远程木马、恶意式程序攻击、畸形报文攻击、分布式服务、暴力破解、横向渗透等。传统的安全事件分析方法中,应对不同的安全事件,预先配置有对应的响应策略,安全事件与响应策略是一一对应的,当检测到安全事件发生时,直接执行对应的响应策略。
然而,安全事件往往是非常复杂的,仅依靠单一的响应策略,通常无法应对复杂的安全事件,导致安全事件响应的灵活性较差。
发明内容
有鉴于此,本发明提供了一种安全事件响应方法及装置,以提高安全事件响应的灵活性。具体技术方案如下:
第一方面,本发明实施例提供了一种安全事件响应方法,应用于网络设备,所述网络设备已配置安全事件响应策略列表,所述安全事件响应策略列表包括多个表示安全事件的事件标识、应对每个安全事件的多个响应策略的策略标识以及每个响应策略的生效时段,且每个响应策略的生效时段之间不存在重合时间;所述方法包括:
在检测到发生安全事件时,获取所述安全事件的事件标识以及发生所述安全事件的当前时刻;
根据所述事件标识,从所述安全事件响应策略列表中查找所述事件标识对应的多个策略标识及所述多个策略标识分别对应的生效时段;
确定匹配所述当前时刻的生效时段所对应的第一策略标识;
执行第一响应策略,所述第一响应策略的策略标识为所述第一策略标识。
第二方面,本发明实施例提供了一种安全事件响应装置,应用于网络设备,所述网络设备已配置安全事件响应策略列表,所述安全事件响应策略列表包括多个表示安全事件的事件标识、应对每个安全事件的多个响应策略的策略标识以及每个响应策略的生效时段,且每个响应策略的生效时段之间不存在重合时间;所述装置包括:
获取模块,用于在检测到发生安全事件时,获取所述安全事件的事件标识以及发生所述安全事件的当前时刻;
查找模块,用于根据所述事件标识,从所述安全事件响应策略列表中查找所述事件标识对应的多个策略标识及所述多个策略标识分别对应的生效时段;
确定模块,用于确定匹配所述当前时刻的生效时段所对应的第一策略标识;
执行模块,用于执行第一响应策略,所述第一响应策略的策略标识为所述第一策略标识。
第三方面,本发明实施例提供了一种网络设备,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:执行本发明实施例第一方面所述的方法步骤。
第四方面,本发明实施例提供了一种机器可读存储介质,所述机器可读存储介质内存储有机器可执行指令,所述机器可执行指令被处理器执行时,实现本发明实施例第一方面所述的方法步骤。
本发明实施例提供的一种安全事件响应方法及装置,在网络设备检测到发生安全事件时,获取该安全事件的事件标识以及发生该安全事件的当前时刻,根据事件标识,从配置的安全事件响应策略列表中查找事件标识对应的多个策略标识及多个策略标识分别对应的生效时段,确定匹配当前时刻的生效时段所对应的第一策略标识,执行策略标识为第一策略标识的第一响应策略。
由于配置的安全事件响应策略列表包括多个表示安全事件的事件标识、应对每个安全事件的多个响应策略的策略标识以及每个响应策略的生效时段,且每个响应策略的生效时段之间不存在重合时间。同一个安全事件配置了多个响应策略,该安全事件的各响应策略的生效时段不重合,对于同一个安全事件在不同时段内可以执行不同的响应策略,有效地应对了复杂的安全事件,增强了安全事件响应的灵活性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例的安全事件响应方法的流程示意图;
图2为本发明实施例的安全事件响应方法的一实例的流程示意图;
图3为本发明实施例的安全事件响应装置的结构示意图;
图4为本发明实施例的网络设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了提高安全事件响应的灵活性,本发明实施例提供了一种安全事件响应方法、装置、网络设备及机器可读存储介质。下面,首先对本发明实施例所提供的安全事件响应方法进行介绍。
本发明实施例所提供的安全事件响应方法可以应用于网络设备,这里所提及的网络设备可以为防火墙设备、安全服务器等,还可以包括显示屏等附加硬件模块。网络设备中配置有安全事件响应策略列表,安全事件响应策略列表包括多个表示安全事件的事件标识、应对每个安全事件的多个响应策略的策略标识以及每个响应策略的生效时段,且每个响应策略的生效时段之间不存在重合时间。
用户依据想要对不同的安全事件进行何种处理的实际需求,可以在网络设备上预先对不同的安全事件配置对应的响应策略,其中,针对每一个安全事件可以配置多个响应策略。由于不同的响应策略如果在同一时刻执行,会发生冲突,导致响应策略均无法成功执行,因此,在配置响应策略时,对应配置了每个响应策略的生效时段,并且应对同一安全事件的各响应策略的生效时段之间不能有重合。例如,应对安全事件“恶意程序攻击”,配置有响应策略1、响应策略2、响应策略3、响应策略4及响应策略5,五个响应策略。并且,响应策略1的生效时段为8:00-9:00,13:00-14:00;响应策略2的生效时段为9:00-10:00,14:00-15:00;响应策略3的生效时段为10:00-11:00,15:00-16:00;响应策略4的生效时段为11:00-12:00,16:00-17:00;响应策略5的生效时段为12:00-13:00,17:00-18:00。
用户在配置不同安全事件对应的响应策略后,在网络设备上会生成一个安全事件响应策略列表,该列表中记录了表示安全事件的事件标识、响应策略的策略标识、响应策略的生效时段之间的对应关系。具体的,事件标识可以为事件名称、事件描述等,策略标识可以为策略名称、策略描述等。
如图1所示,本发明实施例所提供的一种安全事件响应方法,可以包括如下步骤。
S101,在检测到发生安全事件时,获取该安全事件的事件标识以及发生该安全事件的当前时刻。
网络设备在检测到发生安全事件时,可以从该安全事件的属性信息中读取到该安全事件的事件标识,并且可以记录下发生该安全事件的当前时刻。
S102,根据该安全事件的事件标识,从安全事件响应策略列表中查找事件标识对应的多个策略标识及多个策略标识分别对应的生效时段。
在获取到发生的安全事件的事件标识后,可以从安全事件响应策略列表中对应查找到该安全事件的事件标识所对应的多个响应策略的策略标识以及多个策略标识分别对应的生效时段。
S103,确定匹配当前时刻的生效时段所对应的第一策略标识。
在查找到发生的安全事件的事件标识对应的多个响应策略的生效时段后,由于每个响应策略的生效时段不同,可以依次的判断发生安全事件的当前时刻与哪一个生效时段匹配,从而确定出当前应该执行哪一个响应策略。
网络设备在检测到发生安全事件时,如果从安全事件响应策略列表中查找不到该安全事件的事件标识对应的策略标识,则不对该安全事件进行响应,即不执行任何响应策略。
S104,执行第一响应策略,其中,第一响应策略的策略标识为第一策略标识。
网络设备确定出匹配当前时刻的生效时段对应的第一策略标识,则说明策略标识为第一策略标识的第一响应策略可以生效执行,对安全事件进行相应的防护处理。用户在配置响应策略时,对应配置有具体的执行动作,执行响应策略的过程就是按照配置的执行动作进行具体的处理。
如果安全事件响应策略列表中没有一个响应策略的生效时段匹配当前时刻,则先不执行任何响应策略,直至某一个生效时段匹配当前时刻,且安全事件仍未消除时,再执行相应的响应策略。
可选的,安全事件响应策略列表还可以包括:每个响应策略的执行类型以及执行类型为自动执行类型的响应策略的生效状态。
相应的,在执行S104之前,本发明实施例所提供的安全事件响应方法还可以执行:从安全事件响应策略列表中,读取第一策略标识对应的执行类型。
则,S104具体可以包括:
若执行类型为自动执行类型,则执行第一响应策略;
若执行类型为手动执行类型,且第一策略标识对应的生效状态为已生效,则执行第一响应策略。
传统的安全事件分析方法中,往往仅配置有自动执行的方式,也就是当网络设备检测到发生安全事件时,自动执行实现配置好的响应策略,这样并不能满足用户可以对安全防护过程进行手动控制的需求。为了应对该问题,在本发明实施例中,配置安全事件对应的响应策略时,还可以配置每个响应策略的执行类型,因此,安全事件响应策略列表中还可以包括每个响应策略的执行类型,并且网络设备可以实时监测执行类型为自动执行类型的响应策略是否被置为生效,如果被置为生效,则将安全事件响应策略列表中相应的生效状态置为已生效,否则生效状态为未生效。
这样,在执行第一响应策略之前,需要先读取安全事件响应策略列表中第一策略标识对应的执行类型,看第一响应策略配置为自动执行还是手动执行。如果被配置为自动执行,则按照传统的执行方式直接执行第一响应策略;如果被配置为手动执行,则需要查看第一策略标识对应的生效状态,如果第一策略标识对应的生效状态为已生效,则执行第一响应策略。
通过配置响应策略的自动执行方式和手动执行方式,有效的应对用户对于是自动执行响应策略还是手动执行响应策略的需求,进一步增强了安全事件响应的灵活性。
可选的,安全事件响应策略列表还可以包括:每个响应策略对应的动作执行流程的流程标识。
相应的,S104具体可以包括:
提取第一响应策略对应配置的执行动作的动作参数,并判断动作参数是否合法;
若存在不合法的动作参数,则从安全事件响应策略列表中,读取第一策略标识对应的流程标识;
根据流程标识,按照预先设置的流程标识对应的动作执行流程,执行第一响应策略对应配置的执行动作。
用户在配置响应策略时,对应可以配置一个或多个执行动作。网络设备首先可以提取第一响应策略对应配置的执行动作的动作参数,判断动作参数是否合法。如果只配置了一个执行动作,且该执行动作的动作参数合法,则可以直接按照该执行动作进行安全事件的防护处理,例如执行报文丢弃、禁止访问等;如果该执行动作的动作参数不合法,则不执行该执行动作。
对于第一响应策略配置了多个执行动作的情况,如果每个执行动作的动作参数均合法,则可以执行按照每个执行动作进行安全事件的防护处理;如果存在动作参数不合法的执行动作,则需要按照一定的动作执行流程执行。
在安全事件响应策略列表中可以配置有各策略标识对应的流程标识,流程标识的不同限定了不同的动作执行流程,需要按照相应的动作执行流程执行动作。
可选的,根据流程标识,按照预先设置的流程标识对应的动作执行流程,执行第一响应策略对应配置的执行动作的步骤,具体可以包括:
若流程标识为第一标识,则禁止执行第一响应策略对应配置的所有执行动作;
若流程标识为第二标识,则按照预设执行顺序,依次执行动作参数合法的各执行动作;
若流程标识为第三标识,则执行任一个动作参数合法的执行动作。
本发明实施例中,配置了三种动作执行流程,对应有不同的流程标识,在安全事件响应策略列表中一般可以标识为1、2、3,当然也可以为流程名称等其他标识,这里不做具体限定。三种动作执行流程分别为:
第一种:如果存在任一执行动作的动作参数不合法,则所有执行动作均不执行;
第二种:所有执行动作顺序执行,但不执行动作参数不合法的执行动作;
第三种:只需要执行一个动作参数合法的执行动作即可,不执行动作参数不合法的执行动作。
用户可以应对不同的响应策略配置上述任一种动作执行流程,因此,在执行第一响应策略时,如果第一响应策略对应配置的执行动作中存在动作参数不合法的执行动作,则先从安全事件响应策略列表中读取相应的流程标识,并按照该流程标识对应的动作执行流程执行动作。
安全事件响应策略列表还可以包括:每个响应策略的执行状态信息。本发明实施例所提供的安全事件响应方法还可以包括:显示安全事件响应策略列表。
安全事件响应策略列表中除了包括上述的安全事件的事件标识、应对该安全事件的多个响应策略的策略标识、各响应策略的生效时段、各响应策略的执行类型、各响应策略的动作执行流程的流程标识等之外,还可以包括各响应策略的执行状态信息。响应策略的执行状态信息可以有两种,当响应策略已经开始执行时该响应策略的执行状态信息为执行中,其他情况下响应策略的执行状态信息为等待中。
为了便于用户更为直观的观察到安全事件的配置信息,可以将配置好的安全事件响应策略列表显示给用户,具体的,显示的安全事件响应策略列表可以如表1所示。
表1
| 策略名称 | 策略描述 | 执行类型 | 安全事件 | 生效时段 | 动作执行方式 | 生效状态 | 执行状态 |
可选的,在执行S104之后,本发明实施例所提供的安全事件响应方法还可以包括:
针对第一响应策略,建立安全事件响应明细列表,其中,安全事件响应明细列表记录了执行第一响应策略过程中的执行属性信息;
显示安全事件响应明细列表。
为了增强与用户的可视化交互,使得用户可以直观地观察到安全事件的处理情况,可以基于对第一响应策略的执行过程,生成一个安全事件响应明细列表,并将该执行结果显示列表在界面上显示给用户。
安全事件响应明细列表中记录了执行第一响应策略过程中的执行属性信息,具体可以包括安全事件的级别、事件名称、事件描述、更新的时间、目的IP、响应策略的策略名称、执行进度、执行状态(执行状态分为未执行、执行中、待确认、取消、执行失败、执行成功等)和执行结果,通过执行结果可以查看到响应策略执行的详细信息。具体的,安全事件响应明细列表如表2所示。
表2
| 事件级别 | 事件名称 | 事件描述 | 更新时间 | 目的IP | 策略名称 | 执行进度 | 执行状态 | 执行结果 |
应用本发明实施例,由于配置的安全事件响应策略列表包括多个表示安全事件的事件标识、应对每个安全事件的多个响应策略的策略标识以及每个响应策略的生效时段,且每个响应策略的生效时段之间不存在重合时间。同一个安全事件配置了多个响应策略,该安全事件的各响应策略的生效时段不重合,对于同一个安全事件在不同时段内可以执行不同的响应策略,有效地应对了复杂的安全事件,增强了安全事件响应的灵活性。并且,通过配置响应策略的自动执行方式和手动执行方式,有效的应对用户对于是自动执行响应策略还是手动执行响应策略的需求,进一步增强了安全事件响应的灵活性。提供了友好的可视化界面,可以实时地展示安全事件响应策略的策略信息及各种响应策略的执行过程。
为了便于理解,下面结合具体实例,对本发明实施例所提供的安全事件响应方法进行介绍。如图2所示,安全事件响应方法可以包括如下步骤。
S201,网络设备检测到发生安全事件。
S202,获取安全事件的事件标识以及发生安全事件的当前时刻。
S203,基于事件标识,查找安全事件响应策略列表中事件标识对应的策略标识,若查找到则执行S204,否则结束流程。
预先配置的安全事件响应策略列表如表3所示,且该列表可以在用户界面上显示。
表3
例如,检测到发生的安全事件为“暴力破解”事件,而表3所示的安全事件响应策略列表中,存在应对“暴力破解”事件的响应策略“暴力破解策略”,因此,可以继续执行S204。
S204,判断策略标识对应的生效时段是否匹配当前时刻,若是则执行S205,否则继续等待。
网络设备检测到“暴力破解”事件的时刻为16:05:00,则通过与表3所示的安全事件响应策略列表进行比对,“暴力破解策略”的生效时段为10:00-12:00,16:00-18:00,与发生“暴力破解”事件的当前时刻相匹配,因此,可以继续执行S205。
S205,判断策略标识对应的响应策略的执行类型是否为自动,若是手动则执行S206,若是自动则执行S207。
通过查询表3所示的安全事件响应策略列表,“暴力破解策略”为手动执行类型,因此,对应的执行S206。
S206,判断生效状态是否为已生效,若是则执行S207,否则结束流程。
通过查询表3所示的安全事件响应策略列表,“暴力破解策略”为手动执行类型,且生效状态为已生效,因此,可以继续执行S207。
S207,按照安全事件响应策略列表中的流程标识对应的动作执行流程执行响应策略。
通过查询表3所示的安全事件响应策略列表,“暴力破解策略”的流程标识为3,则按照“只需要执行一个动作参数合法的执行动作即可,不执行动作参数不合法的执行动作”的动作执行流程执行“暴力破解策略”下的执行动作。
S208,生成并显示安全事件响应明细列表。
对“暴力破解策略”执行的过程中,可以生成如表4所示的安全事件响应明细列表,并将该列表显示在人机交互界面上,以便用户查看执行状态。
表4
通过本发明实施例,利用安全事件响应策略列表,针对不同的安全事件分别配置了多个响应策略,对于一个安全事件在不同时段内可以执行不同的响应策略,有效地应对了复杂的安全事件,增强了安全事件响应的灵活性。并且,通过配置响应策略的自动执行方式和手动执行方式,有效的应对用户对于是自动执行响应策略还是手动执行响应策略的需求,进一步增强了安全事件响应的灵活性。提供了友好的可视化界面,可以实时地展示安全事件响应策略的策略信息及各种响应策略的执行过程。
相应于上述方法实施例,本发明实施例提供了一种安全事件响应装置,应用于网络设备,所述网络设备配置有安全事件响应策略列表,所述安全事件响应策略列表包括多个表示安全事件的事件标识、应对每个安全事件的多个响应策略的策略标识以及每个响应策略的生效时段,且每个响应策略的生效时段之间不存在重合时间,如图3所示,该安全事件响应装置可以包括:
获取模块310,用于在检测到发生安全事件时,获取所述安全事件的事件标识以及发生所述安全事件的当前时刻;
查找模块320,用于根据所述事件标识,从所述安全事件响应策略列表中查找所述事件标识对应的多个策略标识及所述多个策略标识分别对应的生效时段;
确定模块330,用于确定匹配所述当前时刻的生效时段所对应的第一策略标识;
执行模块340,用于执行第一响应策略,所述第一响应策略的策略标识为所述第一策略标识。
可选的,所述安全事件响应策略列表还可以包括:每个响应策略的执行类型以及执行类型为自动执行类型的响应策略的生效状态;
所述装置还可以包括:
读取模块,用于从所述安全事件响应策略列表中,读取所述第一策略标识对应的执行类型;
所述执行模块340,具体可以用于:
若所述执行类型为自动执行类型,则执行所述第一响应策略;
若所述执行类型为手动执行类型,且所述第一策略标识对应的生效状态为已生效,则执行第一响应策略。
可选的,所述安全事件响应策略列表还可以包括:每个响应策略对应的动作执行流程的流程标识;
所述执行模块340,具体可以用于:
提取第一响应策略对应配置的执行动作的动作参数,并判断所述动作参数是否合法;
若存在不合法的动作参数,则从所述安全事件响应策略列表中,读取所述第一策略标识对应的流程标识;
根据所述流程标识,按照预先设置的所述流程标识对应的动作执行流程,执行所述第一响应策略对应配置的执行动作。
可选的,所述执行模块340在用于所述根据所述流程标识,按照预先设置的所述流程标识对应的动作执行流程,执行所述第一响应策略对应配置的执行动作时,具体可以用于:
若所述流程标识为第一标识,则禁止执行所述第一响应策略对应配置的所有执行动作;
若所述流程标识为第二标识,则按照预设执行顺序,依次执行动作参数合法的各执行动作;
若所述流程标识为第三标识,则执行任一个动作参数合法的执行动作。
可选的,所述装置还可以包括:
建立模块,用于针对所述第一响应策略,建立安全事件响应明细列表,所述安全事件响应明细列表记录了执行所述第一响应策略过程中的执行属性信息;
显示模块,用于显示所述安全事件响应明细列表。
应用本发明实施例,由于配置的安全事件响应策略列表包括多个表示安全事件的事件标识、应对每个安全事件的多个响应策略的策略标识以及每个响应策略的生效时段,且每个响应策略的生效时段之间不存在重合时间。同一个安全事件配置了多个响应策略,该安全事件的各响应策略的生效时段不重合,对于同一个安全事件在不同时段内可以执行不同的响应策略,有效地应对了复杂的安全事件,增强了安全事件响应的灵活性。
本发明实施例还提供了一种网络设备,如图4所示,包括处理器401和机器可读存储介质402,所述机器可读存储介质402存储有能够被所述处理器401执行的机器可执行指令,所述处理器401被所述机器可执行指令促使:执行本发明实施例所提供的安全事件响应方法的步骤。
上述机器可读存储介质可以包括RAM(Random Access Memory,随机存取存储器),也可以包括NVM(Non-volatile Memory,非易失性存储器),例如至少一个磁盘存储器。可选的,机器可读存储介质还可以是至少一个位于远离前述处理器的存储装置。
上述处理器可以是通用处理器,包括CPU(Central Processing Unit,中央处理器)、NP(Network Processor,网络处理器)等;还可以是DSP(Digital Signal Processor,数字信号处理器)、ASIC(Application Specific Integrated Circuit,专用集成电路)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
机器可读存储介质402与处理器401之间可以通过有线连接或者无线连接的方式进行数据传输,并且网络设备与其他的设备之间可以通过有线通信接口或者无线通信接口进行通信。图4所示的仅为通过总线进行数据传输的示例,不作为具体连接方式的限定。
本实施例中,处理器401通过读取机器可读存储介质402中存储的机器可执行指令,被机器可执行指令促使能够实现:由于配置的安全事件响应策略列表包括多个表示安全事件的事件标识、应对每个安全事件的多个响应策略的策略标识以及每个响应策略的生效时段,且每个响应策略的生效时段之间不存在重合时间。同一个安全事件配置了多个响应策略,该安全事件的各响应策略的生效时段不重合,对于同一个安全事件在不同时段内可以执行不同的响应策略,有效地应对了复杂的安全事件,增强了安全事件响应的灵活性。
另外,本发明实施例还提供了一种机器可读存储介质,所述机器可读存储介质内存储有机器可执行指令,所述机器可执行指令被处理器执行时,实现本发明实施例所提供的安全事件响应方法的步骤。
本发明实施例中,机器可读存储介质在运行时执行本发明实施例所提供的安全事件响应方法的机器可执行指令,因此能够实现:由于配置的安全事件响应策略列表包括多个表示安全事件的事件标识、应对每个安全事件的多个响应策略的策略标识以及每个响应策略的生效时段,且每个响应策略的生效时段之间不存在重合时间。同一个安全事件配置了多个响应策略,该安全事件的各响应策略的生效时段不重合,对于同一个安全事件在不同时段内可以执行不同的响应策略,有效地应对了复杂的安全事件,增强了安全事件响应的灵活性。
对于网络设备以及机器可读存储介质实施例而言,由于其涉及的方法内容基本相似于前述的方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置、网络设备以及机器可读存储介质实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (10)
1.一种安全事件响应方法,其特征在于,应用于网络设备,所述网络设备已配置安全事件响应策略列表,所述安全事件响应策略列表包括多个表示安全事件的事件标识、应对每个安全事件的多个响应策略的策略标识以及每个响应策略的生效时段,且每个响应策略的生效时段之间不存在重合时间;
所述方法包括:
在检测到发生安全事件时,获取所述安全事件的事件标识以及发生所述安全事件的当前时刻;
根据所述事件标识,从所述安全事件响应策略列表中查找所述事件标识对应的多个策略标识及所述多个策略标识分别对应的生效时段;
确定匹配所述当前时刻的生效时段所对应的第一策略标识;
执行第一响应策略,所述第一响应策略的策略标识为所述第一策略标识。
2.根据权利要求1所述的方法,其特征在于,所述安全事件响应策略列表还包括:每个响应策略的执行类型以及执行类型为手动执行类型的响应策略的生效状态;
所述执行第一响应策略之前,所述方法还包括:
从所述安全事件响应策略列表中,读取所述第一策略标识对应的执行类型;
所述执行第一响应策略,包括:
若所述执行类型为自动执行类型,则执行第一响应策略;
若所述执行类型为手动执行类型,且所述第一策略标识对应的生效状态为已生效,则执行第一响应策略。
3.根据权利要求1所述的方法,其特征在于,所述安全事件响应策略列表还包括:每个响应策略对应的动作执行流程的流程标识;
所述执行第一响应策略,包括:
提取第一响应策略对应配置的执行动作的动作参数,并判断所述动作参数是否合法;
若存在不合法的动作参数,则从所述安全事件响应策略列表中,读取所述第一策略标识对应的流程标识;
根据所述流程标识,按照预先设置的所述流程标识对应的动作执行流程,执行所述第一响应策略对应配置的执行动作。
4.根据权利要求3所述的方法,其特征在于,所述根据所述流程标识,按照预先设置的所述流程标识对应的动作执行流程,执行所述第一响应策略对应配置的执行动作,包括:
若所述流程标识为第一标识,则禁止执行所述第一响应策略对应配置的所有执行动作;
若所述流程标识为第二标识,则按照预设执行顺序,依次执行动作参数合法的各执行动作;
若所述流程标识为第三标识,则执行任一个动作参数合法的执行动作。
5.根据权利要求1所述的方法,其特征在于,所述执行第一响应策略之后,所述方法还包括:
针对所述第一响应策略,建立安全事件响应明细列表,所述安全事件响应明细列表记录了执行所述第一响应策略过程中的执行属性信息;
显示所述安全事件响应明细列表。
6.一种安全事件响应装置,其特征在于,应用于网络设备,所述网络设备已配置安全事件响应策略列表,所述安全事件响应策略列表包括多个表示安全事件的事件标识、应对每个安全事件的多个响应策略的策略标识以及每个响应策略的生效时段,且每个响应策略的生效时段之间不存在重合时间;
所述装置包括:
获取模块,用于在检测到发生安全事件时,获取所述安全事件的事件标识以及发生所述安全事件的当前时刻;
查找模块,用于根据所述事件标识,从所述安全事件响应策略列表中查找所述事件标识对应的多个策略标识及所述多个策略标识分别对应的生效时段;
确定模块,用于确定匹配所述当前时刻的生效时段所对应的第一策略标识;
执行模块,用于执行第一响应策略,所述第一响应策略的策略标识为所述第一策略标识。
7.根据权利要求6所述的装置,其特征在于,所述安全事件响应策略列表还包括:每个响应策略的执行类型以及执行类型为手动执行类型的响应策略的生效状态;
所述装置还包括:
读取模块,用于从所述安全事件响应策略列表中,读取所述第一策略标识对应的执行类型;
所述执行模块,具体用于:
若所述执行类型为自动执行类型,则执行第一响应策略;
若所述执行类型为手动执行类型,且所述第一策略标识对应的生效状态为已生效,则执行第一响应策略。
8.根据权利要求6所述的装置,其特征在于,所述安全事件响应策略列表还包括:每个响应策略对应的动作执行流程的流程标识;
所述执行模块,具体用于:
提取第一响应策略对应配置的执行动作的动作参数,并判断所述动作参数是否合法;
若存在不合法的动作参数,则从所述安全事件响应策略列表中,读取所述第一策略标识对应的流程标识;
根据所述流程标识,按照预先设置的所述流程标识对应的动作执行流程,执行所述第一响应策略对应配置的执行动作。
9.根据权利要求8所述的装置,其特征在于,所述执行模块在用于所述根据所述流程标识,按照预先设置的所述流程标识对应的动作执行流程,执行所述第一响应策略对应配置的执行动作时,具体用于:
若所述流程标识为第一标识,则禁止执行所述第一响应策略对应配置的所有执行动作;
若所述流程标识为第二标识,则按照预设执行顺序,依次执行动作参数合法的各执行动作;
若所述流程标识为第三标识,则执行任一个动作参数合法的执行动作。
10.根据权利要求6所述的装置,其特征在于,所述装置还包括:
建立模块,用于针对所述第一响应策略,建立安全事件响应明细列表,所述安全事件响应明细列表记录了执行所述第一响应策略过程中的执行属性信息;
显示模块,用于显示所述安全事件响应明细列表。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910126806.8A CN109981573B (zh) | 2019-02-20 | 2019-02-20 | 安全事件响应方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910126806.8A CN109981573B (zh) | 2019-02-20 | 2019-02-20 | 安全事件响应方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109981573A CN109981573A (zh) | 2019-07-05 |
| CN109981573B true CN109981573B (zh) | 2021-09-10 |
Family
ID=67077132
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910126806.8A Active CN109981573B (zh) | 2019-02-20 | 2019-02-20 | 安全事件响应方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109981573B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111835768B (zh) * | 2020-07-14 | 2023-01-17 | 绿盟科技集团股份有限公司 | 一种用于处理安全事件的方法、装置、介质及计算机设备 |
| CN111818069B (zh) * | 2020-07-14 | 2022-07-15 | 绿盟科技集团股份有限公司 | 呈现安全事件处理流程的方法、装置、介质及计算机设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102307184A (zh) * | 2011-06-16 | 2012-01-04 | 北京峰盛博远科技有限公司 | 基于入侵容忍的信息资产保护方法 |
| CN106549792A (zh) * | 2015-09-22 | 2017-03-29 | 中国移动通信集团公司 | 一种vnf的安全监管的方法、装置及系统 |
| CN107135187A (zh) * | 2016-02-29 | 2017-09-05 | 阿里巴巴集团控股有限公司 | 网络攻击的防控方法、装置及系统 |
| CN107634959A (zh) * | 2017-09-30 | 2018-01-26 | 北京奇虎科技有限公司 | 基于汽车的防护方法、装置及系统 |
| US10193919B2 (en) * | 2015-08-24 | 2019-01-29 | Empow Cyber Security, Ltd | Risk-chain generation of cyber-threats |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1779345A2 (en) * | 2004-07-29 | 2007-05-02 | Intelli7, Inc. | System and method of characterizing and managing electronic traffic |
| US10298605B2 (en) * | 2016-11-16 | 2019-05-21 | Red Hat, Inc. | Multi-tenant cloud security threat detection |
-
2019
- 2019-02-20 CN CN201910126806.8A patent/CN109981573B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102307184A (zh) * | 2011-06-16 | 2012-01-04 | 北京峰盛博远科技有限公司 | 基于入侵容忍的信息资产保护方法 |
| US10193919B2 (en) * | 2015-08-24 | 2019-01-29 | Empow Cyber Security, Ltd | Risk-chain generation of cyber-threats |
| CN106549792A (zh) * | 2015-09-22 | 2017-03-29 | 中国移动通信集团公司 | 一种vnf的安全监管的方法、装置及系统 |
| CN107135187A (zh) * | 2016-02-29 | 2017-09-05 | 阿里巴巴集团控股有限公司 | 网络攻击的防控方法、装置及系统 |
| CN107634959A (zh) * | 2017-09-30 | 2018-01-26 | 北京奇虎科技有限公司 | 基于汽车的防护方法、装置及系统 |
Non-Patent Citations (2)
| Title |
|---|
| 基于风险的入侵响应决策技术研究;晏丰;《中国优秀硕士学位论文全文数据库 信息科技辑 2007年》;20070915(第03期);P26-27,P54-56 * |
| 网络攻击技术研究进展;陈峰,罗养霞,陈晓江,龚晓庆,房鼎益;《西北大学学报(自然科学版)》;20070430;第37卷(第2期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109981573A (zh) | 2019-07-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6100898B2 (ja) | メッセージを処理するための方法およびデバイス | |
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| CN110417778B (zh) | 访问请求的处理方法和装置 | |
| EP3068095A2 (en) | Monitoring apparatus and method | |
| KR20170060280A (ko) | 탐지 규칙 자동 생성 장치 및 방법 | |
| JP6149293B2 (ja) | 添付ソフトウェアを識別するための方法及びそのための装置 | |
| CN106775981B (zh) | 一种进程处理方法、装置及计算机可读介质 | |
| CN112073437B (zh) | 多维度的安全威胁事件分析方法、装置、设备及存储介质 | |
| CN111181978B (zh) | 异常网络流量的检测方法、装置、电子设备及存储介质 | |
| US20180004939A1 (en) | Anti-malware device, anti-malware system, anti-malware method, and recording medium in which anti-malware program is stored | |
| CN109981573B (zh) | 安全事件响应方法及装置 | |
| CN108234426B (zh) | Apt攻击告警方法和apt攻击告警装置 | |
| CN111541686A (zh) | 一种扫描器的调用方法和装置 | |
| CN105791250B (zh) | 应用程序检测方法及装置 | |
| CN115550049A (zh) | 一种物联网设备的漏洞检测方法及系统 | |
| EP2728472B1 (en) | User terminal, reliability management server, and method and program for preventing unauthorized remote operation | |
| CN113987508A (zh) | 一种漏洞处理方法、装置、设备及介质 | |
| CN113098852A (zh) | 一种日志处理方法及装置 | |
| CN106790071B (zh) | 一种dns全流量劫持风险的检测方法和装置 | |
| CN109165513B (zh) | 系统配置信息的巡检方法、装置和服务器 | |
| US20190156024A1 (en) | Method and apparatus for automatically classifying malignant code on basis of malignant behavior information | |
| CN103593614B (zh) | 一种未知病毒检索方法 | |
| US11621972B2 (en) | System and method for protection of an ICS network by an HMI server therein | |
| CN114422186A (zh) | 一种攻击检测方法、装置、电子设备及存储介质 | |
| KR102001814B1 (ko) | 모바일 장치 기반의 악성 스크립트 탐지 방법 및 그 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |