网络安全协同处理方法、系统以及存储介质
技术领域
本发明涉及网络安全技术领域,尤其涉及一种网络安全协同处理方法、系统以及存储介质。
背景技术
随着互联网的飞速发展,网络安全已经成为一个日益显著的问题,黑客通过盗取资料或报复性攻击,使很多公司付出过惨痛的代价。对于典型的互联网公司,网络是重要的基础设置,对网络的安全性有着极高的要求,这就要求当网络安全攻击发生时要能够在一定时效内被及时检测出来。网络攻击越来越复杂,执行成本越来越低,动态性越来越强,攻击性呈现自动化趋势。当前的网络防护都偏向单点防护或单产品线防护,不同的网络设备间、安全防护产品间缺少协同防御机制,缺少跨产品线、跨防护网络间的协调、防护能力。
发明内容
有鉴于此,本发明要解决的一个技术问题是提供一种网络安全协同处理方法、系统以及存储介质。
根据本发明的一个方面,提供一种网络安全协同处理方法,包括:接收到安全防护行动命令,对所述安全防护行动命令进行检测和过滤处理,并派发所述安全防护行动命令;接收到被派发的所述安全防护行动命令,设置与所述安全防护行动命令相对应的生命周期,确定与所述安全防护行动命令对应的防护行动调用方式,发送所述安全防护行动命令;获得与所述安全防护行动命令相对应的命令执行单元,通过所述命令执行单元进行相应的安全防护处理,确定与所述安全防护行动命令相对应的命令响应方式;根据所述命令响应方式获得与所述安全防护行动命令相对应的命令响应单元,通过命令响应单元进行相应的命令响应处理,并存储与所述安全防护处理的处理结果。
可选地,所述安全防护行动命令包括:ID字段、行动字段、目标字段、行动执行器字段和修饰符字段;其中,所述行动字段用于指示需要执行的安全防护行动,所述目标字段用于指示所述安全防护行动的对象或资源,所述行动执行器字段用于指示执行所述安全防护行动的实体;所述安全防护行动的类型包括:告警、允许、查询、移动;所述安全防护行动的对象或资源的类型包括:设备、内存、地址、IP地址。所述行动字段包括:行动类型信息子字段;所述目标字段中包括:目标指定符子字段和目标选项信息子字段;所述行动执行器字段包括:执行器指定符子字段和执行器选项信息子字段。
可选地,所述对所述安全防护行动命令进行检测和过滤处理,并派发所述安全防护行动命令包括:对所述安全防护行动命令进行解析,生成与所述安全防护行动命令相对应的数据结构;基于所述数据结构进行检查、过滤处理,判断所述安全防护行动命令是否合法;如果所述安全防护行动命令合法,则派发所述安全防护行动命令。所述设置与所述安全防护行动命令相对应的生命周期,确定与所述安全防护行动命令对应的防护行动调用方式,发送所述安全防护行动命令包括:对所述安全防护行动命令进行生命周期管理,创建所述安全防护行动命令的唯一ID,并将所述ID字段的值设置为所述唯一ID;基于所述行动字段、所述目标字段、所述行动执行器字段确定与所述安全防护行动命令对应的防护行动调用方式,并发送所述安全防护行动命令。
可选地,所述获得与所述安全防护行动命令相对应的命令执行单元,通过所述命令执行单元进行相应的安全防护处理,确定与所述安全防护行动命令相对应的命令响应方式包括:基于所述防护行动调用方式以及行动执行器字段,将标准化的查询引擎作为所述命令执行单元;或者,基于所述防护行动调用方式以及行动执行器字段,采用插件机制提供所述命令执行单元;基于所述行动字段、目标字段、行动执行器字段和所述修饰符字段并使用所述命令执行单元执行相应的操作;确定与所述命令执行单元执行的操作相对应的响应方式;所述根据所述命令响应方式获得与所述安全防护行动命令相对应的命令响应单元,通过命令响应单元进行相应的命令响应处理,并存储与所述安全防护处理的处理结果包括:基于所述命令响应方式以及行动执行器字段,采用插件机制提供的所述命令响应单元;基于所述响应方式,在所述命令执行单元执行相应的操作后,进行相应地资源管理操作,其中,所述资源管理操作包括:会话清理、资源清理;将与所述命令执行单元执行的操作相对应的执行结果进行存储处理。
根据本发明的另一方面,提供一种网络安全协同处理系统,包括:行动过滤链模块,用于接收到安全防护行动命令,对所述安全防护行动命令进行检测和过滤处理,并派发所述安全防护行动命令;行动映射器模块,用于接收到被派发的所述安全防护行动命令,设置与所述安全防护行动命令相对应的生命周期,确定与所述安全防护行动命令对应的防护行动调用方式,发送所述安全防护行动命令;行动调用模块,获得与所述安全防护行动命令相对应的命令执行单元,通过所述命令执行单元进行相应的安全防护处理,确定与所述安全防护行动命令相对应的命令响应方式;行动响应模块,根据所述命令响应方式获得与所述安全防护行动命令相对应的命令响应单元,通过命令响应单元进行相应的命令响应处理,并存储与所述安全防护处理的处理结果。
可选地,所述安全防护行动命令包括:ID字段、行动字段、目标字段、行动执行器字段和修饰符字段;其中,所述行动字段用于指示需要执行的安全防护行动,所述目标字段用于指示所述安全防护行动的对象或资源,所述行动执行器字段用于指示执行所述安全防护行动的实体;所述安全防护行动的类型包括:告警、允许、查询、移动;所述安全防护行动的对象或资源的类型包括:设备、内存、地址、IP地址。所述行动字段包括:行动类型信息子字段;所述目标字段中包括:目标指定符子字段和目标选项信息子字段;所述行动执行器字段包括:执行器指定符子字段和执行器选项信息子字段。
可选地,所述行动过滤链模块,包括:解析单元,用于对所述安全防护行动命令进行解析,生成与所述安全防护行动命令相对应的数据结构;过滤单元,用于基于所述数据结构进行检查、过滤处理,判断所述安全防护行动命令是否合法;分配单元,用于如果所述安全防护行动命令合法,则派发所述安全防护行动命令。所述行动映射器模块,包括:第一会话管理单元,用于对所述安全防护行动命令进行生命周期管理,创建所述安全防护行动命令的唯一ID,并将所述ID字段的值设置为所述唯一ID;行动代理单元,用于基于所述行动字段、所述目标字段、所述行动执行器字段确定与所述安全防护行动命令对应的防护行动调用方式;行动调用器单元,用于发送所述安全防护行动命令。
可选地,所述行动调用模块,包括:SPL单元,用于基于所述防护行动调用方式以及行动执行器字段,将标准化的查询引擎作为所述命令执行单元;第一插件单元,用于基于所述防护行动调用方式以及行动执行器字段,采用插件机制提供所述命令执行单元;其中,所述命令执行单元基于所述行动字段、目标字段、行动执行器字段和所述修饰符字段并使用所述命令执行单元执行相应的操作;行动响应器单元,用于确定与所述命令执行单元执行的操作相对应的响应方式;所述行动响应模块,包括:第二插件单元,用于基于所述命令响应方式以及行动执行器字段,采用插件机制提供的所述命令响应单元;第二会话管理单元,用于基于所述响应方式,在所述命令执行单元执行相应的操作后,进行相应地资源管理操作,其中,所述资源管理操作包括:会话清理、资源清理;存储单元,用于将与所述命令执行单元执行的操作相对应的执行结果进行存储处理。
根据本发明的又一方面,提供一种网络安全协同处理系统,包括:存储器;以及耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器中的指令,执行如上所述的方法。
根据本发明的再一方面,提供一种计算机可读存储介质,其上存储有计算机程序指令,该指令被一个或多个处理器执行时实现如上所述的方法的步骤。
本发明的网络安全协同处理方法、系统以及存储介质,提供基于跨防护网络、跨防护设备、跨安全防护产品线的安全防护行动命令,为安全防护行动命令制定一套标准命令/指令和执行控制能力的语言标准,实现跨产品线、跨防护网络间的网络安全防护能力的共享和联动,具有自动化处置能力、可编排能力,实现网络安全协同防御,具有很好的动态性和扩展性,可以根据具体需求进行相应的扩展,增加系统的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明的网络安全协同处理方法的一个实施例的流程示意图;
图2A为安全防护行动命令的组成字段示意图;图2B和图2C分别为一个安全防护行动命令的实例示意图;
图3为本发明的网络安全协同处理系统的一个实施例的组成示意图;
图4为本发明的网络安全协同处理系统的另一个实施例的组成示意图;
图5为本发明的网络安全协同处理系统的另一个实施例的组成示意图。
具体实施方式
现在将参照附图来详细描述本发明的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,技术、方法和设备应当被视为说明书的一部分。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
下文中的“第一”、“第二”等仅用于描述上相区别,并没有其它特殊的含义。
图1为本发明的网络安全协同处理方法的一个实施例的流程示意图,如图1所示:
步骤101,接收到安全防护行动命令,对安全防护行动命令进行检测和过滤处理,并派发安全防护行动命令。安全防护行动命令可以为告警、允许、查询、移动等命令。
步骤102,接收到被派发的安全防护行动命令,设置与安全防护行动命令相对应的生命周期,确定与安全防护行动命令对应的防护行动调用方式,发送安全防护行动命令。
步骤103,获得与安全防护行动命令相对应的命令执行单元,通过命令执行单元进行相应的安全防护处理,确定与安全防护行动命令相对应的命令响应方式。
步骤104,根据命令响应方式获得与安全防护行动命令相对应的命令响应单元,通过命令响应单元进行相应的命令响应处理,并存储与安全防护处理的处理结果。
在一个实施例中,安全防护行动命令包括:ID字段、行动字段(Action)、目标字段(Target)、行动执行器字段(Actuator)和修饰符字段等。行动字段用于指示需要执行的安全防护行动,目标字段用于指示安全防护行动的对象或资源,行动执行器字段用于指示执行安全防护行动的实体。
安全防护行动的类型包括:告警、允许、查询、移动等。安全防护行动的对象或资源的类型包括:设备、内存、地址、IP地址等。行动字段包括:行动类型信息子字段等;目标字段中包括:目标指定符子字段和目标选项信息子字段等;行动执行器字段包括:执行器指定符子字段和执行器选项信息子字段等。
安全防护行动命令的组成字段如图2A所示,行动字段(Action):所有的安全防护行动命令都以行动字段(Action)开始,指示安全防护行动命令的动作类型,如搜索信息、收集信息、控制终端、扩展设备等。目标字段(Target):所有的安全防护行动命令必须包含目标字段(Target),目标例如为文件FILE、URL等。
行动执行器字段(Actuator):表示执行安全防护行动命令Action和执行对象Target的运行或执行实体,也就是决定安全防护行动命令的执行目标环境或位置。修饰符字段(Modifiers):修饰符用于定义安全防护行动命令的额外信息,例如查询Query的时间范围选择start_time到end_time、处置动作的执行周期等。
在安全防护行动命令中,可以对Action进行扩展,增加的部分为:1、增加ActionType;2、增加Target Type;3、增加Action执行单元。其中,增加Action Type或Target Type可以为二选一,例如,对于现有的Action Type:Query类型上增加对终端侧终端告警信息的获取,这时候只需要增加Target Type增加ALARM告警类型。“增加Action执行单元”分为两种,一种是通用的SPL查询能力,或者是通过Plugin插件方式增加命令执行单元。
新增加Action需要考虑标准化,尽量在现有的Action Type基础上增加TargetType。通常在发起安全防护行动命令之后,需要在行动执行器字段(Actuator)指定的对象上执行很长时间,例如,在终端侧全网扫描某一进程目前是否正在运行,这时候的安全防护行动命令是异步执行,安全防护行动命令的发起者需要异步等待终端的命令执行结果。两个安全防护行动命令的组成字段的例子如图2B和2C所示。安全防护行动命令还可以有其他的组成字段,根据安全防护行动命令选取需要的字段。安全防护行动命令的组成字段的详细说明见下表1:
表1-安全防护行动命令的组成字段的详细说明表ACTION(行动字段)的值可以为:ALERT(警报)、AUGMENT(增加)、COPY(复制)、QUERY(查询)等。Target Type(目标类型字段)的值可以为:DEVICE(设备)、DISK(硬盘)、FILE(文本)等。Specifiter Type(指定符类型)的值为:NETWORK(网络)、PROCESS(进程)等。
安全防护行动命令(Command)抽象语法如下所示:
一个安全防护行动命令用于判断下IP 10.10.1.2是否是安装了桌管的终端,此安全防护行动命令的语法如下:
在一个实施例中,对安全防护行动命令进行解析,生成与安全防护行动命令相对应的数据结构;基于数据结构进行检查、过滤处理,判断安全防护行动命令是否合法;如果安全防护行动命令合法,则派发安全防护行动命令。
对安全防护行动命令进行生命周期管理,创建安全防护行动命令的唯一ID,并将ID字段的值设置为唯一ID。基于行动字段、目标字段、行动执行器字段确定与安全防护行动命令对应的防护行动调用方式,并发送安全防护行动命令。
基于防护行动调用方式以及行动执行器字段,将标准化的查询引擎作为命令执行单元;或者,基于防护行动调用方式以及行动执行器字段,采用插件机制提供的命令执行单元;基于行动字段、目标字段、行动执行器字段和修饰符字段并使用命令执行单元执行相应的操作,确定与命令执行单元执行的操作相对应的响应方式。
基于命令响应方式以及行动执行器字段,采用插件机制提供的命令响应单元。基于响应方式,在命令执行单元执行相应的操作后,进行相应地资源管理操作,其中,资源管理操作包括:会话清理、资源清理等;将与命令执行单元执行的操作相对应的执行结果进行存储处理。
在一个实施例中,如图3所示,本发明提供一种网络安全协同处理系统20,包括:行动过滤链模块21、行动映射器模块22、行动调用模块23和行动响应模块24。行动过滤链模块21接收到安全防护行动命令,对安全防护行动命令进行检测和过滤处理,并派发安全防护行动命令。
行动映射器模块22接收到被派发的安全防护行动命令,设置与安全防护行动命令相对应的生命周期,确定与安全防护行动命令对应的防护行动调用方式,发送安全防护行动命令。行动调用模块23与安全防护行动命令相对应的命令执行单元,通过命令执行单元进行相应的安全防护处理,确定与安全防护行动命令相对应的命令响应方式。行动响应模块24根据命令响应方式获得与安全防护行动命令相对应的命令响应单元,通过命令响应单元进行相应的命令响应处理,并存储与安全防护处理的处理结果。
如图4所示,行动过滤链(ActionFilterChain)模块21包括:解析(Pasing)单元211、过滤(Filter)单元212和分配(Dispatcher)单元213。解析单元211对安全防护行动命令进行解析,生成与安全防护行动命令相对应的数据结构。过滤单元212基于数据结构进行检查、过滤处理,判断安全防护行动命令是否合法。分配单元213用于如果安全防护行动命令合法,则派发安全防护行动命令,即对安全防护行动命令进行派发到下一阶段的行动映射器模块。
行动映射器(ActionMapper)模块22包括:第一会话管理(SessionManage)单元221、行动代理(ActionProxy)单元222和行动调用器(ActionInvocationer)单元223。第一会话管理单元221对安全防护行动命令进行生命周期管理,创建安全防护行动命令的唯一ID,并将ID字段的值设置为唯一ID。行动代理单元222基于行动字段、目标字段、行动执行器字段确定与安全防护行动命令对应的防护行动调用方式,默认通过行动调用模块完成调用。行动调用器单元223发送安全防护行动命令,行动调用器单元223是下一阶段行动调用模块的调用者,是完成命令派发的最后阶段。
行动调用(ActionInvocation)模块23包括:SPL单元231、第一插件(Plugin)单元232和行动响应器(ActionResponseer)单元233。SPL单元231基于防护行动调用方式以及行动执行器字段,将标准化的查询引擎作为命令执行单元。SPL单元231提供标准化的查询引擎作为命令执行单元。第一插件单元232基于防护行动调用方式以及行动执行器字段,采用插件机制提供的命令执行单元,第一插件单元232提供插件式的命令执行单元。
命令执行单元基于行动字段、目标字段、行动执行器字段和修饰符字段并使用命令执行单元执行相应的操作。行动响应器单元233确定与命令执行单元执行的操作相对应的响应方式;行动响应器单元233是安全防护行动命令执行的最后阶段,用于决定命令执行的响应方式,主要通过调用行动响应模块阶段实现。
行动响应(ActionResponse)模块24包括:第二会话管理(SessionManage)单元241、存储(storage)单元242和第二插件(Plugin)单元243。第二插件单元243基于命令响应方式以及行动执行器字段,采用插件机制提供的命令响应单元;第二插件单元243支持插件机制,用于响应能力扩充。第二会话管理单元241基于响应方式,在命令执行单元执行相应的操作后,进行相应地资源管理操作,其中,资源管理操作包括:会话清理、资源清理。第二会话管理单元241能够进行命令会话管理,如最后阶段的会话清理、资源清理等。存储单元242将与命令执行单元执行的操作相对应的执行结果进行存储处理。存储单元242对于命令执行结果存储,例如用于存储异步请求结果等。
图5为根据本发明公开的网络安全协同处理系统的又一个实施例的模块示意图。如图5所示,该装置可包括存储器41、处理器42、通信接口43以及总线44。存储器41用于存储指令,处理器42耦合到存储器41,处理器42被配置为基于存储器41存储的指令执行实现上述的网络安全协同处理方法。
存储器41可以为高速RAM存储器、非易失性存储器(NoN-volatile memory)等,存储器41也可以是存储器阵列。存储器41还可能被分块,并且块可按一定的规则组合成虚拟卷。处理器42可以为中央处理器CPU,或专用集成电路ASIC(Application SpecificIntegrated Circuit),或者是被配置成实施本发明公开的网络安全协同处理方法的一个或多个集成电路。
在一个实施例中,本发明提供一种计算机可读存储介质,计算机可读存储介质存储有计算机指令,指令被处理器执行时实现如上任一个实施例中的网络安全协同处理方法。
上述实施例提供的网络安全协同处理方法、系统以及存储介质,提供基于跨防护网络、跨防护设备、跨安全防护产品线的安全防护行动命令,为安全防护行动命令制定一套标准命令/指令和执行控制能力的语言标准,能够提高网络安全协同处理能力,实现跨产品线、跨防护网络间的网络安全防护能力的共享和联动,具有自动化处置能力、可编排能力,实现网络安全协同防御,具有很好的动态性和扩展性,可以根据具体需求进行相应的扩展,增加系统的安全性。
可能以许多方式来实现本发明的方法和系统。例如,可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本发明的方法和系统。用于方法的步骤的上述顺序仅是为了进行说明,本发明的方法的步骤不限于以上具体描述的顺序,除非以其它方式特别说明。此外,在一些实施例中,还可将本发明实施为记录在记录介质中的程序,这些程序包括用于实现根据本发明的方法的机器可读指令。因而,本发明还覆盖存储用于执行根据本发明的方法的程序的记录介质。
本发明的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用,并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。