CN111464528A - 网络安全防护方法、系统、计算设备和存储介质 - Google Patents
网络安全防护方法、系统、计算设备和存储介质 Download PDFInfo
- Publication number
- CN111464528A CN111464528A CN202010236815.5A CN202010236815A CN111464528A CN 111464528 A CN111464528 A CN 111464528A CN 202010236815 A CN202010236815 A CN 202010236815A CN 111464528 A CN111464528 A CN 111464528A
- Authority
- CN
- China
- Prior art keywords
- handling
- information
- plug
- threat event
- treatment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0813—Configuration setting characterised by the conditions triggering a change of settings
- H04L41/0816—Configuration setting characterised by the conditions triggering a change of settings the condition being an adaptation, e.g. in response to network events
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0813—Configuration setting characterised by the conditions triggering a change of settings
- H04L41/082—Configuration setting characterised by the conditions triggering a change of settings the condition being updates or upgrades of network functionality
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Stored Programmes (AREA)
Abstract
本申请公开了一种网络安全防护方法、系统、计算设备和存储介质。该方法包括:获取威胁事件对应的处置信息,所述处置信息包括对所述威胁事件进行安全防护处理对应的处置对象和针对所述处置对象的处置方式;基于所述处置信息,确定针对所述威胁事件的处置策略,所述处置策略包括实现所述处置方式所要调用的设备插件的插件信息;调用所述设备插件,执行针对所述处置对象和所述处置方式的安全防护处理操作。由此,通过将处置设备插件化,使得系统更容易扩展和维护插件,以为保障网络安全防护的效率提供支持。
Description
技术领域
本申请涉及网络安全技术领域,特别涉及一种网络安全防护方法、系统、计算设备和存储介质。
背景技术
网络安全防护是一种网络安全技术,指致力于解决诸如如何有效进行介入控制,以及如何保证数据传输的安全性的技术手段,主要包括物理安全分析技术、网络结构安全分析技术、系统安全分析技术、管理安全分析技术、及其它的安全服务和安全机制策略。
目前,网络安全防护中,需要对威胁事件进行闭环处置。然而实际应用中,不同的威胁事件对应的处置方式并不相同,并且用户的实际情况,例如购买的处置设备、业务流程等也并不相同。现有的处置平台一般只能支持几种常见威胁事件的闭环处置,联动的处置设备也不能根据用户实际情况进行更改。对于新增的处置设备或是威胁事件,则会存在增加新的威胁事件处置方式的需求,这将会导致原本的处置平台不可用或者给用户带来巨大的开发工作量,从而拉低了处置平台的安全防护效率。
因此,如何改进安全防护方案,以为保障处置平台的安全防护效率提供支持,仍然亟需解决。
发明内容
本申请的目的是提供一种网络安全防护方法、系统、计算设备和存储介质,以为保障处置平台的安全防护效率提供支持。
第一方面,本申请提供了一种网络安全防护方法,所述方法包括:
获取威胁事件对应的处置信息,所述处置信息包括对所述威胁事件进行安全防护处理对应的处置对象和针对所述处置对象的处置方式;
基于所述处置信息,确定针对所述威胁事件的处置策略,所述处置策略包括实现所述处置方式所要使用的处置设备的信息,以及使用所述处置设备所要调用的设备插件的插件信息;
调用所述设备插件,执行针对所述处置对象和所述处置方式的安全防护处理操作。
可选的,获取所述威胁事件对应的处置信息,包括:
确定所述威胁事件对应的剧本,其中,所述剧本为预先基于威胁事件的原理编写的,且所述剧本定义了针对所述威胁事件的处置规则;
基于所述剧本,从所述威胁事件中提取所述处置对象,并确定针对所述处置对象的处置方式。
可选的,基于所述剧本,从所述威胁事件中提取所述处置对象并确定针对所述处置对象的处置方式之前,所述方法还包括:
确定所述威胁事件满足所述剧本的剧本触发条件。
可选的,所述剧本触发条件包括下述的至少一项:
所述威胁事件的威胁评分大于或等于预设的评分阈值;
所述威胁事件所属的威胁等级在预设的处理等级范围内;
所述威胁事件的各字段满足相应剧本中定义的处置动作触发条件。
可选的,基于所述处置信息,确定针对所述威胁事件的处置策略,包括:
基于所述处置信息,在预设的处置范围表中确定对所述威胁事件进行安全防护处理对应的处置设备的信息;
基于所确定的处置设备的信息,在预设的处置设备表中确定使用所述处置设备实现对应于所述处置方式的处置能力所要调用的设备插件的插件信息。
可选的,所述设备插件包括多个插件入口,每个插件入口对应于一种处置方式,每种处置方式对应于一种安全防护处理操作,调用所述设备插件执行针对所述处置对象和所述处置方式的安全防护处理操作,包括:
调用所述设备插件的对应于所述处置方式的插件入口,执行针对所述处置对象的安全防护处理操作。
可选的,所述方法还包括:
获取配置文件,所述配置文件包括实现所述处置方式所要调用的插件入口的配置信息;
基于所述配置文件,在实现所述处置方式所要使用的处置设备对应的设备插件中增加所述插件入口。
可选的,所述处置设备的信息包括所述处置设备的设备标识、设备地址以及设备认证参数。
可选的,基于所述处置信息,确定针对所述威胁事件的处置策略之前,所述方法还包括:
对所述处置信息进行审批,并确定能够对所述威胁事件进行安全防护处理。第二方面,本申请实施例提供了一种网络安全防护系统,所述系统包括:
处置信息获取单元,用于获取威胁事件对应的处置信息,所述处置信息包括对所述威胁事件进行安全防护处理对应的处置对象和针对所述处置对象的处置方式;
处置策略确定单元,用于基于所述处置信息,确定针对所述威胁事件的处置策略,所述处置策略包括实现所述处置方式所要使用的处置设备的信息,以及使用所述处置设备所要调用的设备插件的插件信息;
安全防护处理单元,用于调用所述设备插件,执行针对所述处置对象和所述处置方式的安全防护处理操作。
可选的,处置信息获取单元用于:
确定所述威胁事件对应的剧本,其中,所述剧本为预先基于威胁事件的原理编写的,且所述剧本定义了针对所述威胁事件的处置规则;
基于所述剧本,从所述威胁事件中提取所述处置对象,并确定针对所述处置对象的处置方式。
可选的,所述装置还包括:
剧本触发判定单元,用于在从所述威胁事件中提取所述处置对象并确定针对所述处置对象的处置方式之前,确定所述威胁事件满足所述剧本的剧本触发条件。
可选的,所述剧本触发条件包括下述的至少一项:
所述威胁事件的威胁评分大于或等于预设的评分阈值;
所述威胁事件所属的威胁等级在预设的处理等级范围内;
所述威胁事件的各字段满足相应剧本中定义的处置动作触发条件。
可选的,处置策略确定单元用于:
基于所述处置信息,在预设的处置范围表中确定对所述威胁事件进行安全防护处理对应的处置设备的信息;
基于所确定的处置设备的信息,在预设的处置设备表中确定使用所述处置设备实现对应于所述处置方式的处置能力所要调用的设备插件的插件信息。
可选的,所述设备插件包括多个插件入口,每个插件入口对应于一种处置方式,每种处置方式对应于一种安全防护处理操作,所述安全防护处理单元用于:
调用所述设备插件的对应于所述处置方式的插件入口,执行针对所述处置对象的安全防护处理操作。
可选的,所述系统还包括配置单元,用于:
获取配置文件,所述配置文件包括实现所述处置方式所要调用的插件入口的配置信息;
基于所述配置文件,在实现所述处置方式所要使用的处置设备对应的设备插件中增加所述插件入口。
可选的,所述处置设备的信息包括所述处置设备的设备标识、设备地址以及设备认证参数。
可选的,所述装置还包括:
审批单元,用于在确定针对所述威胁事件的处置策略之前,对所述处置信息进行审批,并确定能够对所述威胁事件进行安全防护处理。第三方面,本申请另一实施例还提供了一种计算设备,包括至少一个处理器;以及与所述至少一个处理器通信连接的存储器、通信接口;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述至少一个处理器通过执行所述存储器存储的指令,利用所述通信接口执行本申请实施例提供的任一网络安全防护方法。
第四方面,本申请另一实施例还提供了一种计算机存储介质,其中,所述计算机存储介质存储有计算机可执行指令,所述计算机可执行指令用于使计算机执行本申请实施例中的任一网络安全防护方法。
本申请实施例提供了一种支持可插件化扩展的网络安全防护方案,通过设计网络安全防护系统,通过将网络安全防护系统抽象为处置框架,并将执行安全防护处理操作的处置设备插件化,使每个设备插件联动一种特定的处置设备(也即对威胁事件进行安全防护处理操作的安全设备),并且插件中实现设备的多种处置能力(例如IP封堵、域名封堵、会话封堵等)。并通过将威胁事件对应的处置信息与处置策略相关联,从而联动处置设备,以实现对威胁事件的安全防护处理,该网络安全防护系统也更容易扩展和维护插件,以为保障系统的安全防护效率提供支持。
本申请的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请而了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所需要使用的附图作简单地介绍,显而易见地,下面所介绍的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为根据本申请一个实施例的应用环境的示意图;
图2为根据本申请一个实施例的安全防护系统的示意图;
图3为根据本申请一个实施例的安全防护原理的示意图;
图4为根据本申请另一个实施例的安全防护原理的示意图;
图5为根据本申请另一个实施例的网络安全防护方法的流程示意图;
图6为根据本申请一个实施例的计算设备的示意图。
具体实施方式
目前,网络安全防护中,需要对威胁事件进行闭环处置。现有的处置平台往往是固定了联动安全设备、业务流程等的平台,灵活性较差且不具有扩展性。
然而,在实际应用中,不同的用户对于威胁事件的处置流程并不相同,且威胁事件的具体处置过程也会因为威胁攻击原理、处置方式、用户购买处置设备、用户处置审批系统(流程)等的不同而有所不同。当将同一处置平台交付于不同的用户使用时,面对复杂的实际情况,若发生任何变化,如新增未知威胁事件、新增安全设备、处置流程差异较大等,多个变化维度中任一维度的微小变化或增加新的威胁事件处置需求都将会导致原本的处置平台不可用或者给用户带来巨大的开发工作量,这样,交付用户使用所需的时间比较长,且难以保障处置平台的安全防护效率。
有鉴于此,本申请提出了一种支持可插件化扩展的网络安全防护方案,通过设计网络安全防护系统,通过将网络安全防护系统抽象为处置框架,并将执行安全防护处理操作的处置设备插件化,使每个设备插件联动一种特定的处置设备(也即对威胁事件进行安全防护处理的安全设备),并且插件中实现设备的多种处置能力(例如IP封堵、域名封堵、会话封堵等)。并通过将威胁事件对应的处置信息与处置策略相关联,从而联动处置设备,以实现对威胁事件的安全防护处理,该网络安全防护系统也更容易扩展和维护插件。
并且,还可以维护剧本、处置范围表、处置设备表,通过新建剧本自定义威胁事件的处置流程,并将威胁事件的处置信息匹配处置范围表、处置设备表,以将威胁事件对应的自定义处置流程和具体的设备插件以及插件入口关联,从而调用插件入口以联动具体的处置设备。当用户有新增威胁事件或新增处置设备或改动业务流程等需求时,用户只需通过开发新的设备插件,或者在已有的设备插件中增加对应于新的处置方式的插件入口,以及更新处置范围表和处置设备表,开发工作量极少,也不会导致该网络安全防护系统不可用,系统维护更加简单。并且,例如可以通过RESTful接口暴露插件入口,同时使用openc2标准对接口请求参数进行封装,使插件易用性更高。
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
图1为根据本申请一个实施例的应用环境的示意图。
在描述本申请的安全防护方案之前,首先结合图1简单介绍本申请的应用环境。应当理解的是,图1仅是对本申请的安全防护方案的应用环境的示例说明而非任何限定。
如图1所示,本申请的应用环境中可以包括至少一个服务器20和多个终端设备10。终端设备10可以经由网络40实现与服务器20的信息收发。服务器20可以通过访问数据库30来获取终端设备10所需的内容。终端设备之间(例如,10_1与10_2或10_N之间)也可以经由网络40彼此通信。网络40可以是广义上的用于信息传递的网络,可以包括一个或多个通信网络,诸如无线通信网络、因特网、私域网、局域网、城域网、广域网或是蜂窝数据网络等。在一个实施例中,网络40也可以包括卫星网络,由此将终端设备10的GPS信号传送给服务器20。应当注意,如果向图示环境中添加附加模块或从其中去除个别模块,不会改变本发明的示例实施例的底层概念。另外,虽然为了方便说明而在图中示出了从数据库30到服务器20的双向箭头,但本领域技术人员可以理解的是,上述数据的收发也是可以通过网络40实现的。
在图1中,终端设备10是可用来进行网络访问的任何合适的电子设备,包括但不限于计算机、笔记本电脑、智能电话、平板电脑或是其它类型的终端。服务器20则是能够通过网络访问的提供交互服务所需信息的任何服务器。并且在随后的描述中会选择其中的一个或部分终端设备加以描述(例如,终端设备10-1),但是本领域技术人员应该理解的是,上述1…N个终端设备旨在表示真实网络中存在的大量终端,示出的单个服务器20和数据库30旨在表示本发明的技术方案可以涉及服务器及数据库的操作。对特定编号的终端设备以及单个服务器和数据库加以详述至少为了说明方便,而非暗示对终端和服务器的类型或是位置等具有限制。
在一个实施例中,本申请的网络安全防护系统可以配置在图1所示的服务器中,也可以配置在图1所示的至少一个终端设备侧,或者还可以部分功能模块配置在服务器侧部分功能模块配置在终端设备侧,本申请对此不做限制。该网络安全防护系统能够通过预先维护的剧本、处置范围表、处置设备表,将处置设备作为插件进行调用,并将威胁事件的处置信息与具体的设备插件以及插件入口关联,各功能模块协同以实现对威胁事件进行安全防护处理,在保障系统更容易扩展和维护插件的同时,为保障安全防护系统的处置效率提供支持。
图2为根据本申请一个实施例的网络安全防护系统的示意图。图3为根据本申请一个实施例的安全防护原理的示意图。
如图2所示,该网络安全防护系统200例如可以包括处置信息获取单元210、处置策略确定单元220和安全防护处理单元230。其中,处置信息获取单元210,可以用于获取威胁事件对应的处置信息,所述处置信息包括对所述威胁事件进行安全防护处理对应的处置对象和针对所述处置对象的处置方式。处置策略确定单元220,可以用于基于所述处置信息,确定针对所述威胁事件的处置策略,所述处置策略包括实现所述处置方式所要调用的设备插件的插件信息。安全防护处理单元230,可以用于调用所述设备插件,执行针对所述处置对象和所述处置方式的安全防护处理操作。
在一个实施例中,所述系统还可以包括配置单元,用于:获取配置文件,所述配置文件包括实现所述处置方式所要调用的插件入口的配置信息;基于所述配置文件,在实现所述处置方式所要使用的处置设备对应的设备插件中增加所述插件入口。本申请实施例中,该配置文件例如可以为下述的处置范围表,将在下文中详述,在此不再赘述。
参见图2所示,本申请实施例中,将执行安全防护处理操作的处置设备插件化,使每个设备插件联动一种特定的处置设备(也即对威胁事件进行安全防护处理的安全设备,例如防火墙,探针,异常流量清洗设备等),并且设备插件中实现设备的多种处置能力(例如IP封堵、域名封堵、会话封堵等)。作为示例,例如可以由设备插件A联动处置设备a1和处置设备a2,设备插件B联动处置设备b1和处置设备b2。实施时,处置设备a1和处置设备a2例如可以为ADS设备,处置设备b1和处置设备b2例如可以为WAF设备。
应当理解的是,上述仅是对本申请将处置设备插件化的简单示例而非任何限定,在其它实施例中,可以根据用户的业务场景或业务需求部署设备插件或处置设备。并且,当用户有新增威胁事件或新增处置设备或改动业务流程等需求时,用户可以通过配置文件开发新的设备插件,或者在已有的设备插件中增加对应于新的处置方式的插件入口,使得网络安全防护系统也更容易扩展和维护插件,以为保障系统的安全防护效率提供支持。并且,附图中的连线表示网络安全防护系统的各个功能模块或组件之间存在信息交互,上述连线可以是有线连接、无线连接,或是能够进行信息传送的任何形式的连接。
实施时,如图3所示,用户可以基于其实际业务场景对应的设备部署情况和/或网络拓扑情况和/或威胁事件等,设置或更新配置文件,该配置文件中可以包括对应于各处置设备的设备插件的配置信息以及实现各处置方式所要调用的插件入口的配置信息,通过动态加载配置文件读取相应的配置信息,即可增加相应的设备插件以及设备插件对应的插件入口,实现相应的设备插件化以及新增处置方式。由此,通过设备插件以及插件入口的可扩展、可配置,使得该网络安全防护系统更容易扩展和维护插件,以为保障系统的安全防护效率提供支持。进而,当之后需要对威胁事件进行安全防护处理时,即可通过调用相应的设备插件以及插件入口,实现相应的安全防护处理响应。
本申请实施例中,还可以预先针对威胁事件的原理对事件的运维进行剧本编排,自定义威胁事件的处置规则,例如处置流程、处置信息的提取规则等。同时,还可以为每个剧本关联设置相应的匹配策略,该匹配策略中例如可以包括事件匹配规则以及相应的剧本等。这样,当确定了威胁事件后,即可基于所设置的匹配策略,为该威胁事件匹配相对应的剧本,以实现威胁事件与剧本的关联。
本申请实施例中,剧本可以包括一系列针对指定对象的动作,例如,剧本A中可配置2动作,动作1:对sip进行IP封堵,动作2对dip进行漏洞扫描。若威胁事件能够与剧本匹配成功,则可以触发所匹配的剧本,进而可以按照所匹配的剧本,提取事件信息,并针对相应的指定对象执行相应的剧本动作,从而实现对指定对象的处置。由此,即可通过新建剧本,可以设置剧本中匹配规则、处置动作、以及进行安全能力的编排,编写好的剧本可以被预先存储在相关数据库中,并可以根据业务需要或是威胁事件的增加进行配置更新或删除,进而通过为剧本的维护实现对不同威胁事件的处置扩展。
处置信息获取单元例如可以基于为剧本关联设置的匹配策略,确定所述威胁事件对应的剧本,然后,基于所匹配确定的剧本,从所述威胁事件中提取事件信息,例如所面向的处置对象、针对所述处置对象的处置方式等。其中,处置信息获取单元还可以根据威胁事件的原理确定其对应的剧本,或者可以根据威胁事件所包括的字段确定与之匹配的剧本,本申请对此不做限制。此外,由于实际应用场景的复杂性,威胁事件对应的事件信息还可以包括其它信息,例如待审批信息等,本申请对此不做限制。
在一个实施例中,编写剧本时,还可以设置剧本对应的剧本触发条件,相应地,网络安全防护系统还可以包括剧本触发判定单元。当确定了威胁事件对应的剧本后,剧本触发判定单元可以首先判断该威胁事件是否满足剧本的剧本触发条件,若满足,则可以基于剧本获取威胁事件对应的处置信息。若不满足,则表明可以不对该威胁事件进行后续的安全防护处理。其中,剧本触发条件可以是用户结合其业务场景设置的,本申请对此不做限制。作为示例,剧本触发条件可以是下述的任一项或至少一项:所述威胁事件的事件名称等于所述剧本定义的事件名称;所述威胁事件的威胁评分大于或等于预设的评分阈值;所述威胁事件所属的威胁等级在预设的处理等级范围内;所述威胁事件的各字段满足相应剧本中定义的处置动作触发条件。
当威胁事件满足剧本触发条件(例如事件威胁等级为高)时,则可以按剧本中的处置动作,获取威胁事件对应的处置信息,并将所获取到的处置信息(例如处置对象、处置方式等)传入处置框架。
本申请实施例中,处置框架为抽象的功能框架,该可以包括如图2所示的网络安全防护系统的处置策略确定模块、安全防护处理模块等功能模块、以及多个设备插件等。
返回图3,用户可以基于其实际业务场景对应的设备部署情况和/或网络拓扑情况等,预先维护处置范围表和处置设备表,处置范围表中记录有各处置方式对应的处置范围信息,处置设备表中可以记录有各处置设备的相关设备信息等,处置策略确定单元可以通过将处置信息与预设的处置范围表、处置设备表进行匹配,以确定威胁事件对应的处置策略。威胁事件对应的处置策略中例如可以包括实现所述处置方式所要调用的设备插件的插件信息。
作为示例,处置范围表中例如可以包括处置范围信息。如图2所示,处置范围信息例如可以包括针对不同威胁事件的处置方式,例如IP封堵、会话封堵、域名封堵等,还可以包括各处置方式对应的处置对象,以及针对各处置对象执行相应的处置方式所需使用的处置设备的信息,例如处置ADS1、处置设备ADS2、处置设备WAF1等。作为示例,处置设备表中例如可以包括处置设备信息。如图2所示,处置设备信息例如可以包括用户针对安全防护系统所部署的各处置设备的信息,例如ADS1、ADS2、WAF1、NF1等,还可以包括用于实现处置设备的处置能力的设备插件的信息以及调用相应接口进行安全认证所需的设备认证参数等,例如调用插件A使处置设备ADS1执行安全防护处理,所需的设备认证参数为认证A;调用插件B使处置设备ADS2执行安全防护处理,所需的设备认证参数为认证B等。
实施时,可以基于威胁事件的处置信息,首先在处置范围表中在预设的处置范围表中确定对所述威胁事件进行安全防护处理对应的处置设备的信息,例如处置设备的信息可以包括处置设备的设备标识、设备地址、设备认证参数等。然后,基于所确定的处置设备的信息,在预设的处置设备表中确定使用所述处置设备实现对应于所述处置方式的处置能力所要调用的设备插件的插件信息。例如,要调用的设备插件的标识信息、插件路径、各插件入口的信息等,其中,插件入口能够被调用以使相应的处置设备实现对应于相应处置方式的处置能力。
本申请实施例中,该处置范围表即可为如前所述的用于新增插件入口的配置文件。处置范围表中可以包含信息:处置方式(IP封堵、会话封堵等),对应处置设备,处置设备可处置的处置对象的范围。该处置范围表中包含的处置方式即为可以支持的插件入口,若存在新增的处置方式(例如CDN封堵,图中未示出),则可以通过从处置范围表中获取新增的处置方式的配置信息,并在相应的设备插件中增加对应于该处置方式的插件入口,即新增针对新的处置方式的处理方法,即可扩展系统,使系统支持调用设备插件的新入口(例如CDN封堵)。在确定所要调用的设备插件和插件入口后,安全防护处理单元可以调用所述设备插件的对应于所述处置方式的插件入口,并将所确定的处置设备的信息、处置对象的信息、处置方式的信息等传入该插件入口,以使相应的处置设备执行针对所述处置对象的安全防护处理操作,从而通过处置设备插件化实现针对所述处置对象和所述处置方式的安全防护处理操作。
其中,若某一威胁事件对应两种或两种以上的处置方式,则安全防护处理单元可以将各处置方式的信息、各处置方式所针对的处置对象的信息以及执行相应安全防护处理操作的至少一个处置设备的信息等,分别传入对应的设备插件的相应插件入口,从而调用各个插件入口,以使用相应的处置设备的具体联动方式对具体处置对象进行处置。
例如图3所示,在确定要使用处置设备ADS1、调用设备插件A以及进行IP封堵后,将进行IP封堵的源IP以及处置设备ADS1的设备地址、设备认证信息等传入设备插件A的对应于IP封堵方式的插件入口。若确定需要使用处置设备ADS1、调用设备插件A以及进行IP封堵,且需要使用WAF1调用设备插件B以及进行域名封堵,则需将进行IP封堵的源IP以及处置设备ADS1的设备地址、设备认证信息等传入设备插件A的对应于IP封堵方式的插件入口,将需要进行会话封堵的会话对象以及处置设备WAF1的设备地址、设备认证信息等传入设备插件B的对应于会话封堵方式的插件入口。
由此,通过预设的处置范围表和处置设备表,将威胁事件的处置方式和处置对象等处置信息转换为调用插件、插件入口信息,从而实现将威胁事件的自定义处置流程和具体的设备插件的具体入口相关联。通过将处置对象的信息和处置设备的信息传入相应的插件入口,以在设备插件的不同入口中实现使用该设备进行不同处置方式的具体联动处置过程。
图4为根据本申请另一个实施例的安全防护原理的示意图。
如图4所示,与图3所示相比,该网络安全防护系统还可以包括审批流程。其中,审批流程可由网络安全防护系统抽象出的审批框架实现。其中,该审批框架为抽象出的功能框架,可以包括预先维护的多个审批插件,各审批插件可以实现对不同威胁事件对应的处置信息的审批。
所获取到威胁事件对应的处置信息被传入至审批框架后,审批框架可以根据预设的审批场景调用具体的审批插件,审批插件能够通过与第三方审批系统协同,来对所传入的处置信息进行审批。例如,若审批信息为:操作员请对10.67.1.1进行IP封堵,3天后自动解封。审批插件将审批信息发送给第三方审批系统,第三方审批系统完成审批后,将审批结果发送给审批插件。
若审批通过,则可将审批通过的处置对象、处置方式等处置信息传入至处置框架以进行后续的安全防护处理。若审批不通过,则结束对威胁事件的安全防护处理流程。其中,审批插件的维护以及具体的审批流程可以与用户业务场景或者审批场景相关,用户可以根据业务需要对此进行设置,本申请对此不做限制。其中,审批场景的设置还可以与前述维护的剧本、处置范围表、处置设备表等相互关联,从而协同保障整个安全防护系统的功能实现。
这样,使用审批插件联动不同审批系统实现审批灵活化。若用户有对审批流程进行改动的需求,则可以相应的新增或更新审批插件,也能够使系统更容易扩展或维护插件。并且,通过审批,以尽可能地规避对该威胁事件的安全防护处理存在的风险,避免安全防护处理给用户业务带来的不良影响。
由此,本申请的网络安全防护系统可以实现为一种可插件化扩展的处置系统,将处置设备作为插件进行调用,使得系统更容易扩展和维护插件。并且,可以通过编写剧本自定义威胁事件的运维,不仅可以扩展支持的处置事件,还可以自定义处置触发条件和处置流程,使得不同的用户无需关注对安全防护系统的开发或维护,能够更加专注于其业务逻辑本身,从而降低开发复杂度和开发工作量。同时,还可以通过审批,尽可能地规避对该威胁事件的安全防护处理存在的风险,避免安全防护处理给用户业务带来的不良影响。
为了使得本申请的网络安全防护方案的各细节更加清楚。如下降结合图5所示的方法流程图做进一步说明。其中,图5所示的方法流程可由本申请如上所述的网络安全防护系统执行。
如图5所示,在步骤S510,获取威胁事件对应的处置信息。
这里,威胁事件可以包括不同类型的威胁事件,可以包括常见的威胁事件,包括但不限于是DDOS攻击、xss攻击、Tomcat漏洞攻击利用、网络钓鱼攻击、端口扫描、主机挖矿行为、频繁登陆尝试等,也可以包括持续增加的威胁事件,本申请对此不做限制。
对于威胁事件,例如可以通过对相应的告警日志进行分析处理并获得威胁事件对应的多个字段,包括但不限于事件名、事件类型、事件发生时间、源IP、目的IP、源端口、目的端口、持续时间、危险程度、攻击结果、攻击次数等。之后,可以通过处理结果获取威胁事件对应的处置信息,以便后续能够基于所获得的处置信息来对该威胁事件进行安全防护处理。应当理解的是,对于不同类型的威胁事件,分析处理后所得到的具体的字段或字段内容不同或不完全相同,上述仅为示例而非任何限定。
在一个实施例中,用户可以基于其实际业务场景对应的设备部署情况和/或网络拓扑情况和/或威胁事件等,设置或更新配置文件,该配置文件中可以包括对应于各处置设备的设备插件的配置信息以及实现各处置方式所要调用的插件入口的配置信息,通过动态加载配置文件读取相应的配置信息,即可增加相应的设备插件以及在设备插件增加对应的插件入口,实现相应的设备插件化以及新增处置方式。在一个实施例中,可以预先根据威胁事件的原理对威胁事件的运维进行剧本编排,自定义威胁事件的处置流程以及处置信息的提取规则。实施时,可以通过新建剧本,设置剧本中匹配规则、处置动作、以及进行安全能力的编排。编排好的剧本可以被预先存储在相关数据库中。
获取所述威胁事件对应的处置信息,具体可以包括:确定所述威胁事件对应的剧本,其中,所述剧本为预先基于威胁事件的原理编写的,且所述剧本定义了针对所述威胁事件的处置规则;基于所述剧本,从所述威胁事件中提取所述处置对象,并确定针对所述处置对象的处置方式。作为示例,例如可以根据威胁事件的原理确定与之匹配的剧本。其中,也可以基于在对告警日志进行分析处理得到威胁事件的多个字段,例如事件名,确定该威胁事件对应的剧本,以便获取威胁事件对应的处置信息。
在一个实施例中,处置信息可以包括对所述威胁事件进行安全防护处理对应的处置对象和针对所述处置对象的处置方式和/或其它信息。其中,处置信息可以根据实际应用场景不同而有所不同,本申请对此不做限制。对于不同类型的威胁事件所获取的处置信息可以不同或不完全相同,相对应的处置方式也可以不同,可以包括但不限于是IP封堵、流量清洗、会话封堵、域名封堵等。本申请对此不做限制。在编排剧本时,可以基于威胁事件的原理分别编排相应的剧本,进而即可为威胁事件匹配到相应的剧本后,按剧本中的处置动作来获取威胁事件对应的处置信息。
以网页篡改事件为例,网页篡改事件一般是攻击者作为源IP对目的IP对应的网站进行篡改,针对该网页篡改事件的处置方式一般为对源IP进行封堵,使源IP无法访问目的IP。用户可以首先配置剧本,例如可以设置剧本名为“网页篡改的处置”,选择处置对象为“源IP”,处置方式为“IP封堵”。然后可以配置策略,策略触发条件也即剧本触发条件为:事件名等于“网页篡改”,触发动作为剧本“网页篡改的处置”。
确定所述威胁事件对应的剧本之后,也可以首先确定威胁事件是否满足相应剧本的剧本触发条件。仍以上述网页篡改事件为例,若该确定该事件的事件名字段的具体内容为“网页篡改”,则该威胁事件满足剧本“网页篡改的处置”的剧本触发条件,则可以按剧本中的处置动作,获取威胁事件对应的处置信息。
由此,本申请如上所述实施例中,可以通过编写剧本对威胁事件的运维进行编排处理,通过新建剧本,设置剧本中匹配规则、处置动作、进行安全能力的编排,不仅可以扩展支持的网络安全事件,还可以自定义例如针对威胁事件的剧本触发条件和处置流程。这样,用户则无需关注该网络安全防护系统的开发逻辑而只需关注其业务本身,能够极大地降低用户的开发和运维难度,且为保障该网络安全防护系统的系统提供支持。
之后,在步骤S520,基于所述处置信息,确定针对所述威胁事件的处置策略。
本申请实施例中,可以将网络安全防护系统抽象出处置框架,并将处置设备插件化,使每个设备插件联动一种特定的处置设备,并在插件中实现设备的多种处置能力(例如IP封堵、域名封堵、会话封堵等)。
威胁事件对应的处置策略可以包括实现所述处置方式所要使用的处置设备的信息,以及使用所述处置设备所要调用的设备插件的插件信息。在一个实施例中,用户可以基于其实际业务场景对应的设备部署情况和/或网络拓扑情况等,预先维护处置范围表和处置设备表,基于所述处置信息,确定针对所述威胁事件的处置策略,具体可以包括:基于所述处置信息,在预设的处置范围表中确定对所述威胁事件进行安全防护处理对应的处置设备的信息;基于所确定的处置设备的信息,在预设的处置设备表中确定使用所述处置设备实现对应于所述处置方式的处置能力所要调用的设备插件的插件信息。
由此,通过预设的处置范围表和处置设备表,将威胁事件的处置方式和处置对象转换为调用插件、插件入口信息,以便实现威胁事件的自定义处置流程与具体的设备插件、插件入口的关联绑定。
基于传入的处置对象的信息和处置方式的信息,处置框架可以根据预设的处置范围表,匹配查找到对处置对象执行相应的处置方式对应的处置设备。然后,可以根据预设的处置设备表,匹配查找到联动处置设备对应的设备插件。
例如,某扫描事件中提取到的处置信息为对处置对象“源IP(例如10.67.1.1)”进行IP封堵的处置方式,则首先在处置范围表中查找到对源IP(例如10.67.1.1)进行IP封堵的对应处置设备为ADS1,然后,在处置设备表中查找到处置设备ADS1对应的设备插件为插件A。
在步骤S530,调用所述设备插件,执行针对所述处置对象和所述处置方式的安全防护处理操作。
本申请实施例中,可以维护多个设备插件,每个设备插件联动一种特定的处置设备,每个设备插件可以包括至少一个插件入口,每个插件入口可以对应于一种处置方式,每种处置方式对应于一种安全防护处理操作,每个插件入口能够被调用以使相应的处置设备实现对应于该处置方式的处置能力。例如,如图2所示,以设备插件A的相应插件入口实现ADS设备的如IP封堵、域名封堵、流量牵引等处置能力。其中,可以以任何接口形式作为插件入口,并且可以基于预定标准或规范封装插件入口的输入字段,本申请对此不做限制。作为示例,可以以RESTful接口形式作为插件入口,例如,POST/plugin_name(插件名)/device_id(联动设备id)/disposal_type(处置方式)/,接口的输入参数为target、action、argument、actuator。每个输入字段例如可以按照openc2标准进行封装参数。
基于在步骤S520确定的对威胁事件进行安全防护处理对应的处置设备、所要调用的设备插件以及插件入口,可以将所述处置信息与所述处置策略相关联,具体可以为将处置对象的信息(例如源IP、域名等)和处置设备的信息(例如设备地址、设备认证参数等)传入所要调用的设备插件的对应于相应处置方式的插件入口,进而,可以通过调用处置设备的对应于相应处置方式的插件入口,以执行针对所述处置对象和所述处置方式的安全防护处理操作。
由此,本申请上述网络安全防护方案,通过将处置设备插件化以及可扩展、可配置的插件入口,由每种插件联动一种特定的处置设备并在插件中实现处置设备的多种处置能力(例如IP封堵、域名封堵、会话封堵等)。当获取到威胁事件对应的处置信息(例如处置对象信息、处置方式信息等)后,通过将相应的处置信息与对威胁事件进行安全防护处理所对应的具体设备插件进行关联,以实现相应处置设备的处置能力。这一将处置设备作为插件进行调用的方案使得网络安全防护系统更容易扩展和维护插件。
并且,本申请实施例中,还可以通过预先维护剧本、处置设备表、处置范围表等,来对上述可插件化扩展的网络安全防护系统的功能实现提供支持。用户实际使用中,针对新增的威胁事件或新增的处置设备或是其它情况,则只需对剧本、处置设备表、处置范围表等进行更新,以增加相应的处置方式,这样,用户则无需关注该网络安全防护系统的开发与运维,而只需专注于其业务自身,能够极大地减少用户的开发或运维工作量,且能够为保障该网络安全防护系统的效率提供支持。
另外,本申请的网络安全防护系统还可以抽象出审批框架,在基于所述处置信息,确定针对所述威胁事件的处置策略之前,可以将威胁事件对应的处置信息传入审批框架,审批框架可以根据设置的审批场景调用具体的审批插件,并通过审批插件与第三方审批系统的协同,来对威胁事件的处置信息进行审批,以确定能够对所述威胁事件进行安全防护处理。若审批通过,则可将审批通过的处置信息传入至处置框架以进行安全防护处理。若审批不通过,则结束对威胁事件的安全防护处理流程。由此,通过审批,以尽可能地规避对该威胁事件的安全防护处理存在的风险,避免安全防护处理给用户业务带来的不良影响。
至此,已经结合图1-图5详细说明了本申请的网络安全防护方案,其实现为一种支持可插件化扩展的网络安全防护方案,通过设计网络安全防护系统,通过将网络安全防护系统抽象为处置框架,并将执行安全防护处理操作的处置设备插件化,使每个设备插件联动一种特定的处置设备(也即对威胁事件进行安全防护处理的安全设备),并且插件中实现设备的多种处置能力(例如IP封堵、域名封堵、会话封堵等)。并通过将威胁事件对应的处置信息与处置策略相关联,从而联动处置设备,以实现对威胁事件的安全防护处理,该网络安全防护系统也更容易扩展和维护插件。
并且,还可以维护剧本、处置范围表、处置设备表,通过新建剧本自定义威胁事件的处置流程,并将威胁事件的处置信息匹配处置范围表、处置设备表,以将威胁事件对应的自定义处置流程和具体的设备插件关联,从而调用插件入口以联动具体的处置设备。当用户有新增威胁事件或新增处置设备等需求时,用户只需通过开发新的设备插件,或者在已有的设备插件中增加新的处置方式入口,以及更新处置范围表和处置设备表,开发工作量极少,也不会导致该网络安全防护系统不可用,系统维护更加简单。并且,例如可以通过RESTful接口暴露插件入口,同时使用openc2标准对接口请求参数进行封装,使插件易用性更高。
在介绍了本申请示例性实施方式的一种网络安全防护方法和系统之后,接下来,介绍根据本申请的另一示例性实施方式的计算设备。
所属技术领域的技术人员能够理解,本申请的各个方面可以实现为系统、方法或程序产品。因此,本申请的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
在一些可能的实施方式中,根据本申请的计算设备可以至少包括至少一个处理器、以及至少一个存储器。其中,存储器存储有程序代码,当程序代码被处理器执行时,使得处理器执行本说明书上述描述的根据本申请各种示例性实施方式的网络安全防护方法中的步骤。例如,处理器可以执行如图5所示的步骤。
下面参照图6来描述根据本申请的这种实施方式的计算设备130。图6显示的计算设备130仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图6所示,计算设备130以通用计算设备的形式表现。计算设备130的组件可以包括但不限于:上述至少一个处理器131、上述至少一个存储器132、连接不同系统组件(包括存储器132和处理器131)的总线133。
总线133表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器、外围总线、处理器或者使用多种总线结构中的任意总线结构的局域总线。
存储器132可以包括易失性存储器形式的可读介质,例如随机存取存储器(RAM)1321和/或高速缓存存储器1322,还可以进一步包括只读存储器(ROM)1323。
存储器132还可以包括具有一组(至少一个)程序模块1324的程序/实用工具1325,这样的程序模块1324包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
计算设备130也可以与一个或多个外部设备134(例如键盘、指向设备等)通信,还可与一个或者多个使得用户能与计算设备130交互的设备通信,和/或与使得该计算设备130能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口135进行。并且,计算设备130还可以通过网络适配器136与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器136通过总线133与用于计算设备130的其它模块通信。应当理解,尽管图中未示出,可以结合计算设备130使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
在一些可能的实施方式中,本申请提供的一种网络安全防护方法的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当程序产品在计算机设备上运行时,程序代码用于使计算机设备执行本说明书上述描述的根据本申请各种示例性实施方式的一种网络安全防护方法中的步骤,例如,计算机设备可以执行如图5所示的步骤。
程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
本申请的实施方式的用于视频编码的程序产品可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在计算设备上运行。然而,本申请的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括——但不限于——电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于——无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本申请操作的程序代码,程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
应当注意,尽管在上文详细描述中提及了装置的若干单元或子单元,但是这种划分仅仅是示例性的并非强制性的。实际上,根据本申请的实施方式,上文描述的两个或更多单元的特征和功能可以在一个单元中具体化。反之,上文描述的一个单元的特征和功能可以进一步划分为由多个单元来具体化。
此外,尽管在附图中以特定顺序描述了本申请方法的操作,但是,这并非要求或者暗示必须按照该特定顺序来执行这些操作,或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地,可以省略某些步骤,将多个步骤合并为一个步骤执行,和/或将一个步骤分解为多个步骤执行。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (20)
1.一种网络安全防护方法,其特征在于,所述方法包括:
获取威胁事件对应的处置信息,所述处置信息包括对所述威胁事件进行安全防护处理对应的处置对象和针对所述处置对象的处置方式;
基于所述处置信息,确定针对所述威胁事件的处置策略,所述处置策略包括实现所述处置方式所要使用的处置设备的信息,以及使用所述处置设备所要调用的设备插件的插件信息;
调用所述设备插件,执行针对所述处置对象和所述处置方式的安全防护处理操作。
2.根据权利要求1所述的方法,其特征在于,获取所述威胁事件对应的处置信息,包括:
确定所述威胁事件对应的剧本,其中,所述剧本为预先基于威胁事件的原理编写的,且所述剧本定义了针对所述威胁事件的处置规则;
基于所述剧本,从所述威胁事件中提取所述处置对象,并确定针对所述处置对象的处置方式。
3.根据权利要求2所述的方法,其特征在于,基于所述剧本,从所述威胁事件中提取所述处置对象并确定针对所述处置对象的处置方式之前,所述方法还包括:
确定所述威胁事件满足所述剧本的剧本触发条件。
4.根据权利要求3所述的方法,其特征在于,所述剧本触发条件包括下述的至少一项:
所述威胁事件的威胁评分大于或等于预设的评分阈值;
所述威胁事件所属的威胁等级在预设的处理等级范围内;
所述威胁事件的各字段满足相应剧本中定义的处置动作触发条件。
5.根据权利要求1所述的方法,其特征在于,基于所述处置信息,确定针对所述威胁事件的处置策略,包括:
基于所述处置信息,在预设的处置范围表中确定对所述威胁事件进行安全防护处理对应的处置设备的信息;
基于所确定的处置设备的信息,在预设的处置设备表中确定使用所述处置设备实现对应于所述处置方式的处置能力所要调用的设备插件的插件信息。
6.根据权利要求1所述的方法,其特征在于,所述设备插件包括多个插件入口,每个插件入口对应于一种处置方式,每种处置方式对应于一种安全防护处理操作,调用所述设备插件执行针对所述处置对象和所述处置方式的安全防护处理操作,包括:
调用所述设备插件的对应于所述处置方式的插件入口,执行针对所述处置对象的安全防护处理操作。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
获取配置文件,所述配置文件包括实现所述处置方式所要调用的插件入口的配置信息;
基于所述配置文件,在实现所述处置方式所要使用的处置设备对应的设备插件中增加所述插件入口。
8.根据权利要求6所述的方法,其特征在于,所述处置设备的信息包括所述处置设备的设备标识、设备地址以及设备认证参数。
9.根据权利要求1所述的方法,其特征在于,基于所述处置信息,确定针对所述威胁事件的处置策略之前,所述方法还包括:
对所述处置信息进行审批,并确定能够对所述威胁事件进行安全防护处理。
10.一种网络安全防护系统,其特征在于,所述系统包括:
处置信息获取单元,用于获取威胁事件对应的处置信息,所述处置信息包括对所述威胁事件进行安全防护处理对应的处置对象和针对所述处置对象的处置方式;
处置策略确定单元,用于基于所述处置信息,确定针对所述威胁事件的处置策略,所述处置策略包括实现所述处置方式所要使用的处置设备的信息,以及使用所述处置设备所要调用的设备插件的插件信息;
安全防护处理单元,用于调用所述设备插件,执行针对所述处置对象和所述处置方式的安全防护处理操作。
11.根据权利要求10所述的系统,其特征在于,处置信息获取单元用于:
确定所述威胁事件对应的剧本,其中,所述剧本为预先基于威胁事件的原理编写的,且所述剧本定义了针对所述威胁事件的处置规则;
基于所述剧本,从所述威胁事件中提取所述处置对象,并确定针对所述处置对象的处置方式。
12.根据权利要求11所述的系统,其特征在于,所述系统还包括:
剧本触发判定单元,用于在从所述威胁事件中提取所述处置对象并确定针对所述处置对象的处置方式之前,确定所述威胁事件满足所述剧本的剧本触发条件。
13.根据权利要求12所述的系统,其特征在于,所述剧本触发条件包括下述的至少一项:
所述威胁事件的威胁评分大于或等于预设的评分阈值;
所述威胁事件所属的威胁等级在预设的处理等级范围内;
所述威胁事件的各字段满足相应剧本中定义的处置动作触发条件。
14.根据权利要求10所述的系统,其特征在于,处置策略确定单元用于:
基于所述处置信息,在预设的处置范围表中确定对所述威胁事件进行安全防护处理对应的处置设备的信息;
基于所确定的处置设备的信息,在预设的处置设备表中确定使用所述处置设备实现对应于所述处置方式的处置能力所要调用的设备插件的插件信息。
15.根据权利要求10所述的系统,其特征在于,所述设备插件包括多个插件入口,每个插件入口对应于一种处置方式,每种处置方式对应于一种安全防护处理操作,所述安全防护处理单元用于:
调用所述设备插件的对应于所述处置方式的插件入口,执行针对所述处置对象的安全防护处理操作。
16.根据权利要求15所述的系统,其特征在于,所述系统还包括配置单元,用于:
获取配置文件,所述配置文件包括实现所述处置方式所要调用的插件入口的配置信息;
基于所述配置文件,在实现所述处置方式所要使用的处置设备对应的设备插件中增加所述插件入口。
17.根据权利要求15所述的系统,其特征在于,所述处置设备的信息包括所述处置设备的设备标识、设备地址以及设备认证参数。
18.根据权利要求10所述的系统,其特征在于,所述系统还包括:
审批单元,用于在确定针对所述威胁事件的处置策略之前,对所述处置信息进行审批,并确定能够对所述威胁事件进行安全防护处理。
19.一种计算设备,其特征在于,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器、通信接口;
其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述至少一个处理器通过执行所述存储器存储的指令,利用所述通信接口执行如权利要求1-9中任何一项所述的网络安全防护方法。
20.一种计算机存储介质,其特征在于,所述计算机存储介质存储有计算机可执行指令,所述计算机可执行指令用于使计算机执行如权利要求1-9中任何一项所述的网络安全防护方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010236815.5A CN111464528A (zh) | 2020-03-30 | 2020-03-30 | 网络安全防护方法、系统、计算设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010236815.5A CN111464528A (zh) | 2020-03-30 | 2020-03-30 | 网络安全防护方法、系统、计算设备和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111464528A true CN111464528A (zh) | 2020-07-28 |
Family
ID=71680885
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010236815.5A Pending CN111464528A (zh) | 2020-03-30 | 2020-03-30 | 网络安全防护方法、系统、计算设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111464528A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113489740A (zh) * | 2021-07-20 | 2021-10-08 | 山石网科通信技术股份有限公司 | 网络威胁情报信息的处理方法、装置、存储介质及处理器 |
| CN113852640A (zh) * | 2021-09-29 | 2021-12-28 | 上海市大数据股份有限公司 | 一种基于rpa的网络安全自动防御系统 |
| CN114124553A (zh) * | 2021-11-29 | 2022-03-01 | 中国工商银行股份有限公司 | 一种安全防护方法和装置 |
| CN114697057A (zh) * | 2020-12-28 | 2022-07-01 | 华为技术有限公司 | 获取编排剧本信息的方法、装置及存储介质 |
| CN114844765A (zh) * | 2022-03-03 | 2022-08-02 | 厦门服云信息科技有限公司 | 一种网络安全监测方法、终端设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9027077B1 (en) * | 2012-04-30 | 2015-05-05 | Palo Alto Networks, Inc. | Deploying policy configuration across multiple security devices through hierarchical configuration templates |
| CN105659245A (zh) * | 2013-11-06 | 2016-06-08 | 迈克菲公司 | 上下文感知的网络取证 |
| CN108701066A (zh) * | 2016-02-10 | 2018-10-23 | 第三雷沃通讯有限责任公司 | 自动蜜罐供应系统 |
| CN108965289A (zh) * | 2018-07-10 | 2018-12-07 | 北京明朝万达科技股份有限公司 | 一种网络安全协同防护方法和系统 |
| CN110505206A (zh) * | 2019-07-19 | 2019-11-26 | 广东电网有限责任公司信息中心 | 一种基于动态联防的互联网威胁监测防御方法 |
| CN110768957A (zh) * | 2019-09-19 | 2020-02-07 | 国网思极网安科技(北京)有限公司 | 网络安全协同处理方法、系统以及存储介质 |
-
2020
- 2020-03-30 CN CN202010236815.5A patent/CN111464528A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9027077B1 (en) * | 2012-04-30 | 2015-05-05 | Palo Alto Networks, Inc. | Deploying policy configuration across multiple security devices through hierarchical configuration templates |
| CN105659245A (zh) * | 2013-11-06 | 2016-06-08 | 迈克菲公司 | 上下文感知的网络取证 |
| CN108701066A (zh) * | 2016-02-10 | 2018-10-23 | 第三雷沃通讯有限责任公司 | 自动蜜罐供应系统 |
| CN108965289A (zh) * | 2018-07-10 | 2018-12-07 | 北京明朝万达科技股份有限公司 | 一种网络安全协同防护方法和系统 |
| CN110505206A (zh) * | 2019-07-19 | 2019-11-26 | 广东电网有限责任公司信息中心 | 一种基于动态联防的互联网威胁监测防御方法 |
| CN110768957A (zh) * | 2019-09-19 | 2020-02-07 | 国网思极网安科技(北京)有限公司 | 网络安全协同处理方法、系统以及存储介质 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114697057A (zh) * | 2020-12-28 | 2022-07-01 | 华为技术有限公司 | 获取编排剧本信息的方法、装置及存储介质 |
| CN114697057B (zh) * | 2020-12-28 | 2023-02-10 | 华为技术有限公司 | 获取编排剧本信息的方法、装置及存储介质 |
| CN113489740A (zh) * | 2021-07-20 | 2021-10-08 | 山石网科通信技术股份有限公司 | 网络威胁情报信息的处理方法、装置、存储介质及处理器 |
| CN113489740B (zh) * | 2021-07-20 | 2023-10-27 | 山石网科通信技术股份有限公司 | 网络威胁情报信息的处理方法、装置、存储介质及处理器 |
| CN113852640A (zh) * | 2021-09-29 | 2021-12-28 | 上海市大数据股份有限公司 | 一种基于rpa的网络安全自动防御系统 |
| CN113852640B (zh) * | 2021-09-29 | 2023-06-09 | 上海市大数据股份有限公司 | 一种基于rpa的网络安全自动防御系统 |
| CN114124553A (zh) * | 2021-11-29 | 2022-03-01 | 中国工商银行股份有限公司 | 一种安全防护方法和装置 |
| CN114844765A (zh) * | 2022-03-03 | 2022-08-02 | 厦门服云信息科技有限公司 | 一种网络安全监测方法、终端设备及存储介质 |
| CN114844765B (zh) * | 2022-03-03 | 2023-10-17 | 厦门服云信息科技有限公司 | 一种网络安全监测方法、终端设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10592676B2 (en) | Application security service | |
| US10382467B2 (en) | Recursive multi-layer examination for computer network security remediation | |
| CN111464528A (zh) | 网络安全防护方法、系统、计算设备和存储介质 | |
| US11212305B2 (en) | Web application security methods and systems | |
| US9762599B2 (en) | Multi-node affinity-based examination for computer network security remediation | |
| CN108780485B (zh) | 基于模式匹配的数据集提取 | |
| CN107409126B (zh) | 用于保护企业计算环境安全的系统和方法 | |
| Tien et al. | KubAnomaly: Anomaly detection for the Docker orchestration platform with neural network approaches | |
| US9294442B1 (en) | System and method for threat-driven security policy controls | |
| US9087189B1 (en) | Network access control for cloud services | |
| US20170374032A1 (en) | Autonomic Protection of Critical Network Applications Using Deception Techniques | |
| US20190149564A1 (en) | Systems and methods for secure propogation of statistical models within threat intelligence communities | |
| US20160294875A1 (en) | System and method for threat-driven security policy controls | |
| US10165004B1 (en) | Passive detection of forged web browsers | |
| US11824878B2 (en) | Malware detection at endpoint devices | |
| US20200014697A1 (en) | Whitelisting of trusted accessors to restricted web pages | |
| US20230259386A1 (en) | Data processing method based on container engine and related device | |
| US20210218773A1 (en) | Customizable Dynamic GraphQL API Management Platform | |
| US11374946B2 (en) | Inline malware detection | |
| CN113364750B (zh) | 一种基于Snort和OpenFlow启发式诱导APT攻击引入蜜罐的方法 | |
| Kumar et al. | Exploring security issues and solutions in cloud computing services–a survey | |
| US20230060207A1 (en) | Systems and methods using network artificial intelligence to manage control plane security in real-time | |
| Bauer et al. | Analyzing the dangers posed by Chrome extensions | |
| US20230319112A1 (en) | Admission control in a containerized computing environment | |
| US20190132349A1 (en) | Auditing databases for security vulnerabilities |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200728 |
|
| RJ01 | Rejection of invention patent application after publication |