CN111917769A - 一种安全事件的自动处置方法、装置和电子设备 - Google Patents
一种安全事件的自动处置方法、装置和电子设备 Download PDFInfo
- Publication number
- CN111917769A CN111917769A CN202010753885.8A CN202010753885A CN111917769A CN 111917769 A CN111917769 A CN 111917769A CN 202010753885 A CN202010753885 A CN 202010753885A CN 111917769 A CN111917769 A CN 111917769A
- Authority
- CN
- China
- Prior art keywords
- security event
- security
- event
- template
- handling
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 46
- 238000012545 processing Methods 0.000 claims abstract description 68
- 238000004458 analytical method Methods 0.000 claims description 8
- 238000004590 computer program Methods 0.000 claims description 8
- 230000006399 behavior Effects 0.000 claims description 6
- 230000001960 triggered effect Effects 0.000 claims description 4
- 238000003672 processing method Methods 0.000 abstract description 5
- 238000010586 diagram Methods 0.000 description 9
- 230000008569 process Effects 0.000 description 9
- 238000001514 detection method Methods 0.000 description 5
- 230000000694 effects Effects 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 238000013507 mapping Methods 0.000 description 4
- 241000700605 Viruses Species 0.000 description 3
- 239000003795 chemical substances by application Substances 0.000 description 3
- 230000006378 damage Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 241000208340 Araliaceae Species 0.000 description 2
- 235000005035 Panax pseudoginseng ssp. pseudoginseng Nutrition 0.000 description 2
- 235000003140 Panax quinquefolius Nutrition 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 235000008434 ginseng Nutrition 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000010200 validation analysis Methods 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 238000012958 reprocessing Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种安全事件的自动处置方法、装置和电子设备。所述方法包括接收安全事件信息,对所述安全事件信息进行标准化处理;对标准化处理后的安全事件信息进行分析,确定安全事件所关联的处置模板和安全事件处置优先级;按照所述安全事件的优先级以及安全事件所关联的处置模板,生成任务调度队列;根据所述安全事件处置优先级调度所述任务调度队列中的任务,执行所述处置模板,对安全事件进行处置。本发明通过安全事件标准化,将安全事件统一成标准格式信息,作为信息输入,并通过关联处置模板对安全事件进行处置,能够对既有的所有安全事件进行自动处置,实现了安全事件的自动处置,提高了处置效率,降低了失误率,提高了准确性。
Description
技术领域
本发明涉及网络安全领域,并且更具体地,涉及一种安全事件的自动处置方法、装置和电子设备。
背景技术
随着互联网技术的迅速发展,网络所承载的信息日益丰富,互联网成为人们生活的重要基础设施,给人们的生活带来了极大的便利。与此同时,网络安全问题也日益严重,网络病毒、蠕虫、木马、恶意软件等层出不穷,危害着网络用户的信息安全。
对安全事件进行处置是网络安全技术的一个重要手段,常见的安全事件主要有远程木马、恶意式程序攻击、畸形报文攻击、分布式服务、暴力破解、横向渗透等。随着安全事件类型的逐渐增多,传统的安全事件处置方式较为单一,不够灵活,已经无法满足一个个新型安全事件的处置。而且现有的安全事件处理时中绝大部分还依赖于人工处理,人工处理效率慢,且不安全,其正确性不高,失误率较高。
发明内容
本发明提供了一种安全事件的自动处置方案。
在本发明的第一方面,提供了一种安全事件的自动处置方法。该方法包括:
接收安全事件信息,对所述安全事件信息进行标准化处理;
对标准化处理后的安全事件信息进行分析,确定安全事件所关联的处置模板和安全事件处置优先级以及确定受影响的相关设备;
按照所述安全事件的优先级以及安全事件所关联的处置模板,生成任务调度队列;
根据所述安全事件处置优先级调度所述任务调度队列中的任务,执行所述处置模板,对安全事件进行处置。
进一步地,所述对所述安全事件信息进行标准化处理,包括:
提取所述安全事件信息中涉及的预设字段,生成标准化的事件信息表。
进一步地,所述确定安全事件所关联的处置模板,包括:
根据所述安全事件的特征,生成对应特征的标签;所述安全事件的特征包括攻击特征和行为特征;
将所述标签关联到所述安全事件;
根据所述标签将所述安全事件关联到对应的处置模板。
进一步地,还包括:
当根据所述标签无法将所述安全事件关联到对应的处置模板时,由安全专家对所述安全事件进行分析,生成对应的处置模板,将所述安全事件对应的标签及对应的处置模板添加至数据库。
进一步地,所述确定安全事件处置优先级,包括:
确定所述安全事件的特征;所述安全事件的特征包括攻击特征和行为特征;
根据所述安全事件的特征和位置信息,结合安全策略,得到所述安全事件影响的安全半径;
根据所述安全事件影响的安全半径以及安全事件的特征生成所述安全事件的处理优先级。
进一步地,所述确定受影响的相关设备,包括:
根据安全事件的位置信息以及安全策略,确定其策略路径,并结合攻击特征,确定可能受攻击的相关设备;所述相关设备,包括网络设备和网络资产。
进一步地,还包括:
在接收到所述安全事件信息后,在已有的安全事件表中查找对应的安全事件,如果所述安全事件已存在,则对所述安全事件表中对应的安全事件进行更新。
进一步地,所述对所述安全事件表中对应的安全事件进行更新,包括:
将所述安全事件与所述安全事件表中的事件内容和事件影响设备进行比较:
如果事件内容相同,事件影响设备也相同,则更新所述安全事件表中对应安全事件的时间和发生次数;
如果事件内容相同,事件影响设备不相同,则更新所述安全事件表中对应安全事件的时间和事件影响设备。
进一步地,所述处置模板包括若干个子模板,且所述子模板可以被多个处置模板所包含;
所述子模板单独完成处置任务,或处置任务中的部分任务。
进一步地,所述子模板处置任务中的部分任务,包括:
所述子模板中,前置子模板的输出作为其后置子模板的输入,并触发所述后置子模板处置;或
所述任务包括若干个处置阶段,所述子模板处置其中一个或多个处置阶段。
在本发明的第二方面,提供了一种安全事件的自动处置装置。该装置包括:
标准化模块,用于接收安全事件信息,对所述安全事件信息进行标准化处理;
分析模块,用于对标准化处理后的安全事件信息进行分析,确定安全事件所关联的处置模板和安全事件处置优先级;
任务调度模块,用于按照关联到的处置模板中子模板的执行顺序生成任务调度队列;
处置模块,用于根据所述安全事件处置优先级调度所述任务调度队列中的任务,执行所述处置模板,对安全事件进行处置。
在本发明的第三方面,提供了一种电子设备。该电子设备包括:存储器和处理器,所述存储器上存储有计算机程序,所述处理器执行所述程序时实现如以上所述的方法。
在本发明的第四方面,提供了一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现如根据本发明的第一方面的方法。
应当理解,发明内容部分中所描述的内容并非旨在限定本发明的实施例的关键或重要特征,亦非用于限制本发明的范围。本发明的其它特征将通过以下的描述变得容易理解。
本发明通过安全事件标准化,并通过关联处置模板对安全事件进行处置,能够对既有的所有安全事件进行自动处置,实现了安全事件的自动处置,提高了处置效率,降低了失误率,提高了准确性。
附图说明
结合附图并参考以下详细说明,本发明各实施例的上述和其他特征、优点及方面将变得更加明显。在附图中,相同或相似的附图标记表示相同或相似的元素,其中:
图1示出了本发明的安全事件的自动处置方法的流程图;
图2示出了本发明的一种实施例的处置模板示意图;
图3示出了本发明的另一种实施例的处置模板示意图;
图4示出了本发明的又一种实施例的处置模板示意图;
图5示出了本发明的又一种实施例的处置模板示意图;
图6示出了本发明的syn flood安全事件实施例的处置模板示意图;
图7示出了本发明的安全事件的自动处置装置的方框图;
图8示出了能够实施本发明的实施例的示例性电子设备的方框图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的全部其他实施例,都属于本发明保护的范围。
另外,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
本发明中,通过安全事件标准化,将安全事件统一成标准格式信息,作为信息输入,并通过关联处置模板对安全事件进行处置,能够对既有的所有安全事件进行自动处置,实现了安全事件的自动处置,提高了处置效率,降低了失误率,提高了准确性。
图1示出了本发明实施例的安全事件的自动处置方法的流程图。
该方法包括:
S101,接收安全事件信息,对所述安全事件信息进行标准化处理。
在本步骤中,接收安全事件信息的主体是安全控制器,安全事件信息来源一般是检测系统或WEB UI。所述安全事件信息包括:事件内容、事件类型、位置信息、事件的严重级别、事件发生的次数等信息。通过上述信息共同描述整个安全事件。其中事件内容可以是一个IP地址、一个URL、一个文件、一台主机或者一个应用等等。
所述标准化处理,是通过对接收到的安全事件信息进行分析,提取所述安全事件信息内容,并生成标准化的安全事件信息表。
标准化的安全事件信息可以包括:事件ID、事件内容、标签、发生时间、优先级、事件影响设备、次数、模板、更新时间、位置信息等等;通过对接收到的安全事件信息进行分析,并生成标准化的安全事件信息,将这些具体内容插入到系统中已有的标准化的安全事件信息表中。标准化的安全事件信息表如下表1所示:
表1
其中,各个字段表示的内容信息为:
事件ID:唯一标识一个安全控制器所处理的安全事件;
事件内容:描述事件的主要信息;可以是一个IP地址、一个URL、一个文件、一台主机或者一个应用等等;
发生时间:安全事件发生的时间;
标签(Tags):安全控制器根据安全事件特征为其分配的标签,可以有多个;
优先级:标识安全事件的处理优先级;
相关设备:安全事件影响到的网络设备和主机;
状态:安全事件的处置状态;标识安全事件的所在的处置阶段,包括初始化,等待,处理中,生效,处理完成等阶段。
次数:安全事件发生的次数;
更新时间:事件最近一次的发生时间;
响应时间:安全事件处置安全实施的时间;
模板ID:安全事件关联的处置模板的ID;
位置信息:上报的检测系统的位置信息;
用户:安全事件相关的用户信息。
通过上述对安全事件信息进行标准化处理,并生成标准化信息表,能够将不同标准、不同信息参数形式的安全事件信息,统一成标准格式,即标准化信息表中列出的各个字段形式,为S102步骤中对安全事件信息进行分析等过程提供标准化数据基础,使输入的安全事件信息标准、合规,满足自动化处理要求。
S102,对标准化处理后的安全事件信息进行分析,确定安全事件所关联的处置模板和安全事件处置优先级以及确定受影响的相关设备。
在将安全事件信息插入标准化的安全事件信息表后,需要通过安全控制器对所述安全事件进行分析。所述分析过程包括:
在系统中已有的安全事件表中查找对应的安全事件,如果可以在所述安全事件表中查找到所述安全事件,说明所述安全事件已存在;所述安全事件表中的安全事件都已经建立了安全事件与关联的处置模板以及安全事件处置优先级等的关联映射关系,故直接可以对所述安全事件表中对应的安全事件进行更新。
由于,如果安全事件的事件内容相同,则说明能够在所述安全事件表中查找到对应相同内容的安全事件,表示安全事件已经存在;但即使当前安全事件的事件内容相同,事件影响的设备也可能不同,故将所述安全事件与所述安全事件表中的事件内容和事件影响设备进行比较,存在下述两种情况讨论:
如果事件内容相同,事件影响设备也相同,则说明本次安全事件与安全事件表中记载的安全事件完全相同,影响到设备范围也完全相同,直接更新所述安全事件表中对应本次安全事件发生时间及事件发生的次数即可。
如果事件内容相同,事件影响设备不相同,则说明虽然是相同的安全事件内容,但本次安全事件影响的设备与所述安全事件表中记载的影响设备不同,此时需要将本次安全事件的影响设备记录到所述安全事件表中,更新设备项,并更新安全事件发生时间。
所述安全事件表中包括事件ID、事件内容、事件影响设备、事件发生次数等。
在本实施例的另一方面,如果无法在所述安全事件表中查找到所述安全事件,则说明所述安全事件不存在,而此种情况,则需要根据所述安全事件信息进行特征和影响范围分析,确定出安全事件所关联的处置模板和安全事件处置优先级。
所述确定安全事件所关联的处置模板,包括:
首先,根据所述安全事件的特征,生成对应特征的标签,即tag;
在本步骤中,所述安全事件的特征,包括攻击特征和行为特征。
不同的特征对应不同的标签,每个安全事件的特征可以是一个,也可以是多个,如果是多个特征,则对应多个标签,而对于该安全事件来说,多个标签组成了一个唯一的标签组合,一个唯一的标签组合只能映射到一个处置模板。
最后,根据所述标签将所述安全事件关联到对应的处置模板。
通过预先建立的标签与处置模板映射关系表,将将所述安全事件关联到对应的处置模板。所述映射关系表中包含若干种标签组合与其对应的处置模板之间的映射关系。
作为本发明的一种实施例,当根据所述标签无法将所述安全事件关联到对应的处置模板时,安全专家对所述安全事件进行分析,生成对应的处置模板,将所述安全事件所对应的标签及对应的处置模板添加至数据库。
在该种情况下,如果没有匹配到合适的处置模板,则需要将当前安全事件提交到专家系统中,由专家系统或安全人员对所述安全事件进行分析,生成所述安全事件对应的处置模板,并添加到数据库中。
所述确定安全事件处置优先级,包括:
首先,确定所述安全事件的特征;
在本步骤中,所述安全事件的特征,包括攻击特征和行为特征。
其次,根据所述安全事件的特征和位置信息,结合安全策略,得到所述安全事件影响的安全半径。
位置信息根据上报安全事件的检测设备获取。
所述安全策略为安全策略,例如接入控制策略等。
所述相关设备为网络设备或者网络资产,根据对安全策略以及攻击特征的分析,确定安全事件可能影响到网络设备和网络资产。
在一种特定安全策略下,可以确定所述安全事件影响的安全半径。所述安全事件影响的安全半径包括安全事件所影响到的相关的网络设备以及所影响的设备的业务情况,以及安全事件所带来的破坏程度均相关。
最后,根据所述安全事件影响的安全半径以及安全事件特征生成所述安全事件的处理优先级。所述安全事件影响的安全半径越大,受影响的设备越重要,安全事件的攻击破坏程度越严重,所述安全事件的处理优先级就越高,反之,所述安全事件影响的安全半径越小,受影响的设备越不重要,以及破坏程度越小,所述安全事件的处理优先级就越低。
所述确定受影响的相关设备,包括:
根据安全事件的位置信息以及安全防护策略,确定其策略路径,并结合攻击特征,确定可能受攻击的相关设备;所述相关设备,包括网络设备和网络资产。
安全事件的位置信息根据上报安全事件的检测设备获取。
所述安全策略为安全防护策略,例如接入控制策略等。
所述相关设备为网络设备或者网络资产,根据对安全策略以及攻击特征的分析,确定安全事件可能影响到网络设备和网络资产。
S103,按照所述安全事件的优先级以及安全事件关联到的处置模板,生成任务调度队列。
将所述安全事件关联到的处置模板按照所述安全事件的优先级,生成任务调度队列,所述任务调度队列中的调度顺序为所述安全事件的优先级顺序。
所述任务调度队列由事件管理模块调配,按照调度顺序读取安全事件关联到的处置模板,以及所述处置模板中的子模板的逻辑执行顺序,生成任务调度队列。
S104,根据所述安全事件处置优先级调度所述任务调度队列中的任务,执行所述处置模板,对安全事件进行处置。
任务调度模块对所述任务调度队列进行管理,并调用执行模块进行安全实施。所述任务调度队列分为待处理队列和处理中队列,所述待处理队列分为高、中、低三个优先级。优先处置优先级处置较高的队列。所述处理中队列由定时器事件构成,任务调度队列由分布式内存进行队列管理,闲置的控制器可以选择处理其他节点的安全任务,安全事件根据处置模板唯一确定一个安全任务实例,模板中的不同的子模板触发不同的子任务,每个子任务按照子模板的顺序执行。
所述任务构成如下表2所示:
| 任务ID | 事件ID | 模板ID | 执行状态 | 执行结果 |
表2
其中执行状态包括:等待、执行中、生效和完成四个状态。
等待:表示任务在任务调度队列中,还未处理;
执行中:表示任务在执行,但是安全防护策略没有生效;
生效:表示安全处置已经生效,处于响应观察期;
完成:是任务的最终状态,表示安全事件处理结束。
所述子任务构成如下表3所示:
| 任务ID | 子任务ID | 子模板ID | 执行状态 | 执行结果 | 生效时间 |
表3
其中,子任务的参数定义同任务,生效时间表示的是子任务防护策略的生效时间。
所述处置模板存储在模板数据库中,模板数据库作为一种分布式数据库,同步各个节点的模板信息和状态。模板数据库字段定义如下:其中处置方式分为自动和手动,如果是自动则由任务自动执行,如果是手动,则系统发出通知,由安全人员进行手动决策。处置模板管理表,如下表4所示:
| 模板ID | 子模板ID | 顺序 | 入参 | 出参 | 描述 | 处置时间 | 处置方式 |
表4
模板的构成可以灵活,根据实际的处置方式进行定义,同时每个模板都可以根据实际执行的效果,进行编辑和调整。
所述处置模板包括多个子模板;多个子模板的执行顺序构成任务处理的流水线。
作为本发明的一种实施例,如图2所示,模板由三个子模板构成,分别为子模板A、子模板B和子模板C;其中子模板A又可以作为一个独立的模板,其中子模板A由其子模板A1、A11、A12、A2构成;子模板C又可作为一个独立的模板,其中子模板C由其子模板C11和C12构成。执行顺序为A1-A11-A2-B-C11-C12;或A1-A12-A2-B-C11-C12。
作为本发明的另一种实施例,所述子模板中,前置子模板的输出作为其后置子模板的输入,触发所述后置子模板处置;如图3所示,以syn flood攻击的处置模板作为示例,当前处置模板由三个子模板组成,分别为子模板A、子模板B和子模板C;图3左侧为功能描述,右侧为关联的模板。根据子模板A、子模板B和子模板C之间的逻辑执行顺序,即A-B-C,可以看出,子模板A作为子模板B的前置子模板,其执行结果的输出作为其后置子模板B的输入,触发子模板B处置;子模板B作为子模板C的前置子模板,其执行结果的输出作为其后置子模板C的输入,触发子模板C处置。在本实施例中,模板A的执行结果作为模板B的输入条件,模板B决策之后,将确定的处置方式和处置参数传递给模板C。模板C设置防护策略之后,设置策略的生效时间,并检测防护策略是否生效,若执行失败,可以将事件传递给决策子模板B重新处置。
作为本发明的另一种实施例,所述子模板单独完成处置任务。如图4所示,以勒索病毒攻击的处置模板作为示例,当前处置模板由三个子模板组成,分别为子模板A、子模板B和子模板C;图4左侧为处置方式描述,右侧为关联的模板,根据子模板A、子模板B和子模板C之间的逻辑执行顺序,即A-B-C。可以看出,通过子模板A中的处置方式A进行处置,能够单独完成任务的处置;但如果将通过处置方式A处置后的结果输入到子模板B中,通过子模板B中的处置方式B进行处置,也能够完成任务的处置;但如果将通过处置方式B处置后的结果输入到子模板C中,通过子模板C中的处置方式C进行处置,也能够完成任务的处置;且通过每种处置方式都能达到同样的效果。
作为本发明的另一种实施例,所述任务包括若干个处置阶段,所述子模板用于处置其中一个或多个处置阶段。如图5所示,在本实施例中,将任务设置成三个阶段,每个阶段中通过不同子模板设置不同的处置方式。当前处置模板由三个子模板组成,分别为子模板A、子模板B和子模板C;图5左侧为不同阶段处置方式描述,右侧为关联的模板。根据子模板A、子模板B和子模板C之间的逻辑执行顺序,即A-B-C。可以看出,子模板A为第一阶段的处置方式,子模板B为第二阶段的处置方式,子模板C为第三阶段的处置方式。先执行子模板A,通过第一阶段处置方式A完成第一阶段任务;当达到第二阶段后,启动执行子模板B,通过第二阶段处置方式B完成第二阶段任务;当达到第三阶段后,启动执行子模板C,通过第三阶段处置方式C完成第三阶段任务。
另外,所述子模板可以被多个处置模板所包含;即多个处置模板可以同时包含同一个子模板。
下面以两个具体的实施例对本发明所述的方法进行进一步详细说明。
实施例1:
本实施例中安全控制器接收到安全事件信息,即资源池A中的主机VM1受到DDos攻击(Distributed Denial of Service,分布式拒绝服务攻击),攻击类型为syn flood,所受攻击的主机IP为192.168.10.10。
实施例1的实现步骤如下:
1.安全控制器接收到安全事件,资源池A的检测设备B检测到池内主机VM1,192.168.10受到syn flood攻击,发生的时间为2020年7月18日11:03:23,攻击次数为1800;
2.安全控制器首先检测该安全事件是否已经存在于标准安全事件信息表中,若安全事件不存在,则将标准化后的安全事件加入数据库中;
3.安全控制器根据所受攻击主机的位置信息,以及安全策略信息,分析syn flood可能影响到的网络设备和资产信息;根据事件的特征和攻击半径确定事件的处理优先级,并根据事件特征设置相关的tag;然后根据特征tag关联处置模板,并结合处置优先级生成安全任务;
4.处置模板构成图6所示;
5.调度队列根据安全任务的处置优先级,调度执行安全任务,安全任务执行过程如下:
①执行子模板A相关的子任务:获取安全资源信息;
1)攻击主机是否支持iptables;
2)资源池内是否支持DDos防护;
3)该资源池内是否存在支持waf(web application firewall,web应用防火墙)防护的设备;
4)根据执行结果更新子任务的状态和执行结果;
②执行子模板B相关的任务:决策防护方式:
1)根据子模板A的执行结果,该资源池内可以进行DDos防护以及通过F5(某个高级应用防火墙)设备进行防护;
2)由于syn flood的攻击特征,其攻击的源是未知的,需要封堵的IP源地址网段较大,封堵之后,影响比较大;
3)安全控制器根据攻击特征以及安全策略,决策通过F5进行防护;
4)根据执行结果更新子任务的状态和执行结果;
③执行子模板C相关的子任务:实施安全处置,本示例中,模板C的执行类型为自动执行:
1)在F5上实现安全防护策略;
2)进行流量的牵引,将目的IP地址为192.168.10.10的流量牵引至F5;
3)根据执行结果更新子任务的状态和执行结果,以及设置防护策略的生效时间;
4)更新子任务以及安全事件的状态;
④设置事件的状态为生效(active),表示安全实施执行生效。
实施例2:
本实施例中安全控制器接收到某个安全事件信息:资源池A主机VM2中受到勒索病毒攻击,端口为445,主机地址为172.16.10.8。
实施例2的实现步骤如下:
1.安全控制器接收到安全事件,虚拟机VM1受到勒索病毒攻击,端口为445;
2.首先检测安全事件是否存在;若安全事件已经存在,对数据库中的已有的安全事件进行状态更新;若安全事件不存在,由安全控制器对安全事件进行标准化处理。在本实施例中,认为安全事件不存在。本实施例中的标准化的安全事件信息表,如表5所示:
表5
安全控制器根据事件的攻击类型,确定安全事件的特征tag;并根据所受攻击主机的位置信息,事件的攻击类型以及安全策略信息,确定可能的攻击半径,并结合资产管理系统确定主机的操作系统类型,进一步确定受影响的相关设备,包括网络设备和主机资产信息,根据事件影响半径以及事件特征,确定安全事件的优先级;然后根据tags关联处置模板,生成安全任务;
3.处置模板构成如下:
①子模板D:获取资源池内操作系统为windows类型的主机列表;
②子模板A:获取资源池内的安全资源信息;
③子模板B:决策安全处置方式;
④子模板E:通过安全策略实施封堵
4.安全调度队列根据处置任务的优先级进行调度,安全任务根据任务所关联的处置模板,执行任务流水线。
①执行子模板D:获取勒索病毒所可能攻击的主机列表;
②执行子模板任务A:获取资源池内的安全资源信息;获取资源池内的agent部署信息;
③执行子模板B:决策通过agent对端口进行封堵;
④通过对agent实现安全策略进行端口封堵处置流程结束,更新任务状态以及事件状态。
根据本发明的实施例,通过安全事件标准化,并通过关联处置模板对安全事件进行处置,能够对既有的所有安全事件进行自动处置,实现了安全事件的自动处置,提高了处置效率,降低了失误率,提高了准确性。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于可选实施例,所涉及的动作和模块并不一定是本发明所必须的。
以上是关于方法实施例的介绍,以下通过装置实施例,对本发明所述方案进行进一步说明。
如图7所示,装置700包括:
标准化模块710,用于接收安全事件信息,对所述安全事件信息进行标准化处理。
在接收到所述安全事件信息后,在已有的安全事件表中查找对应的安全事件,如果所述安全事件已存在,则对所述安全事件表中对应的安全事件进行更新。
所述对所述安全事件表中对应的安全事件进行更新,包括:
将所述安全事件与所述安全事件表中的事件内容和事件影响设备进行比较:
如果事件内容相同,事件影响设备也相同,则更新所述安全事件表中对应安全事件的时间和发生次数;
如果事件内容相同,事件影响设备不相同,则更新所述安全事件表中对应安全事件的时间和事件影响设备。
分析模块720,用于对标准化处理后的安全事件信息进行分析,确定安全事件所关联的处置模板和安全事件处置优先级。
所述分析模块720,包括:
第一确定模块721,用于确定安全事件所关联的处置模板,具体根据所述安全事件的特征,生成对应特征的标签;将所述标签关联到所述安全事件;根据所述标签将所述安全事件关联到对应的处置模板。
第二确定模块722,用于确定安全事件处置优先级,具体确定所述安全事件的特征;根据所述安全事件的特征和位置信息,结合安全策略,得到所述安全事件影响的安全半径;根据所述安全事件影响的安全半径以及事件特征生成所述安全事件的处理优先级。
任务调度模块730,用于按照关联到的处置模板中子模板的执行顺序生成任务调度队列;所述处置模板包括若干个子模板;所述子模板单独完成处置任务,或处置任务中的部分任务。所述子模板处置任务中的部分任务,包括:所述子模板中,前置子模板的输出作为其后置子模板的输入,触发所述后置子模板处置;或所述任务包括若干个处置阶段,所述子模板用于处置其中一个或多个处置阶段。
处置模块740,用于根据所述安全事件处置优先级调度所述任务调度队列中的任务,执行所述处置模板,对安全事件进行处置。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,所述描述的模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
如图8所示,电子设备包括中央处理单元(CPU),其可以根据存储在只读存储器(ROM)中的计算机程序指令或者从存储单元加载到随机访问存储器(RAM)中的计算机程序指令,来执行各种适当的动作和处理。在RAM中,还可以存储设备操作所需的各种程序和数据。CPU、ROM以及RAM通过总线彼此相连。输入/输出(I/O)接口也连接至总线。
电子设备中的多个部件连接至I/O接口,包括:输入单元,例如键盘、鼠标等;输出单元,例如各种类型的显示器、扬声器等;存储单元,例如磁盘、光盘等;以及通信单元,例如网卡、调制解调器、无线通信收发机等。通信单元允许电子设备通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
处理单元执行上文所描述的各个方法和处理,例如方法S101~S104。例如,在一些实施例中,方法S101~S104可被实现为计算机软件程序,其被有形地包含于机器可读介质,例如存储单元。在一些实施例中,计算机程序的部分或者全部可以经由ROM和/或通信单元而被载入和/或安装到设备上。当计算机程序加载到RAM并由CPU执行时,可以执行上文描述的方法S101~S104的一个或多个步骤。备选地,在其他实施例中,CPU可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行方法S101~S104。
本文中以上描述的功能可以至少部分地由一个或多个硬件逻辑部件来执行。例如,非限制性地,可以使用的示范类型的硬件逻辑部件包括:场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备(CPLD)等等。
用于实施本发明的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本发明的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
此外,虽然采用特定次序描绘了各操作,但是这应当理解为要求这样操作以所示出的特定次序或以顺序次序执行,或者要求所有图示的操作应被执行以取得期望的结果。在一定环境下,多任务和并行处理可能是有利的。同样地,虽然在上面论述中包含了若干具体实现细节,但是这些不应当被解释为对本发明的范围的限制。在单独的实施例的上下文中描述的某些特征还可以组合地实现在单个实现中。相反地,在单个实现的上下文中描述的各种特征也可以单独地或以任何合适的子组合的方式实现在多个实现中。
尽管已经采用特定于结构特征和/或方法逻辑动作的语言描述了本主题,但是应当理解所附权利要求书中所限定的主题未必局限于上面描述的特定特征或动作。相反,上面所描述的特定特征和动作仅仅是实现权利要求书的示例形式。
Claims (13)
1.一种安全事件的自动处置方法,其特征在于,包括:
接收安全事件信息,对所述安全事件信息进行标准化处理;
对标准化处理后的安全事件信息进行分析,确定安全事件所关联的处置模板和安全事件处置优先级以及确定受影响的相关设备;
按照所述安全事件的优先级以及安全事件所关联的处置模板,生成任务调度队列;
根据所述安全事件处置优先级调度所述任务调度队列中的任务,执行所述处置模板,对安全事件进行处置。
2.根据权利要求1所述的方法,其特征在于,所述对所述安全事件信息进行标准化处理,包括:
提取所述安全事件信息中涉及的预设字段,生成标准化的事件信息表。
3.根据权利要求1所述的方法,其特征在于,所述确定安全事件所关联的处置模板,包括:
根据所述安全事件的特征,生成对应特征的标签;所述安全事件的特征包括攻击特征和行为特征;
将所述标签关联到所述安全事件;
根据所述标签将所述安全事件关联到对应的处置模板。
4.根据权利要求3所述的方法,其特征在于,还包括:
当根据所述标签无法将所述安全事件关联到对应的处置模板时,对所述安全事件进行分析,生成对应的处置模板,将所述安全事件对应的标签及对应的处置模板添加至数据库。
5.根据权利要求1所述的方法,其特征在于,所述确定安全事件处置优先级,包括:
确定所述安全事件的特征;所述安全事件的特征包括攻击特征和行为特征;
根据所述安全事件的特征和位置信息,结合安全策略,得到所述安全事件影响的安全半径;
根据所述安全事件影响的安全半径以及安全事件的特征生成所述安全事件的处理优先级。
6.根据权利要求1所述的方法,其特征在于,所述确定受影响的相关设备,包括:
根据安全事件的位置信息以及安全策略,确定其策略路径,并结合攻击特征,确定可能受攻击的相关设备;所述相关设备,包括网络设备和网络资产。
7.根据权利要求1所述的方法,其特征在于,还包括:
在接收到所述安全事件信息后,在已有的安全事件表中查找对应的安全事件,如果所述安全事件已存在,则对所述安全事件表中对应的安全事件进行更新。
8.根据权利要求7所述的方法,其特征在于,所述对所述安全事件表中对应的安全事件进行更新,包括:
将所述安全事件与所述安全事件表中的事件内容和事件影响设备进行比较:
如果事件内容相同,事件影响设备也相同,则更新所述安全事件表中对应安全事件的时间和发生次数;
如果事件内容相同,事件影响设备不相同,则更新所述安全事件表中对应安全事件的时间和事件影响设备。
9.根据权利要求1、3、4、7任一项所述的方法,其特征在于,所述处置模板包括若干个子模板,且所述子模板可以被多个处置模板所包含;
所述子模板单独完成处置任务,或处置任务中的部分任务。
10.根据权利要求9所述的方法,其特征在于,所述子模板处置任务中的部分任务,包括:
所述子模板中,前置子模板的输出作为其后置子模板的输入,并触发所述后置子模板处置;或
所述任务包括若干个处置阶段,所述子模板处置其中一个或多个处置阶段。
11.一种安全事件的自动处置装置,其特征在于,包括:
标准化模块,用于接收安全事件信息,对所述安全事件信息进行标准化处理;
分析模块,用于对标准化处理后的安全事件信息进行分析,确定安全事件所关联的处置模板和安全事件处置优先级;
任务调度模块,用于按照关联到的处置模板中子模板的执行顺序生成任务调度队列;
处置模块,用于根据所述安全事件处置优先级调度所述任务调度队列中的任务,执行所述处置模板,对安全事件进行处置。
12.一种电子设备,包括存储器和处理器,所述存储器上存储有计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1~9中任一项所述的方法。
13.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1~9中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010753885.8A CN111917769A (zh) | 2020-07-30 | 2020-07-30 | 一种安全事件的自动处置方法、装置和电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010753885.8A CN111917769A (zh) | 2020-07-30 | 2020-07-30 | 一种安全事件的自动处置方法、装置和电子设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111917769A true CN111917769A (zh) | 2020-11-10 |
Family
ID=73287301
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010753885.8A Pending CN111917769A (zh) | 2020-07-30 | 2020-07-30 | 一种安全事件的自动处置方法、装置和电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111917769A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113037744A (zh) * | 2021-03-05 | 2021-06-25 | 中通服创发科技有限责任公司 | 一种基于交互式的安全事件剧本编排与处置方法及装置 |
| CN113315784A (zh) * | 2021-06-23 | 2021-08-27 | 深信服科技股份有限公司 | 一种安全事件的处理方法、装置、设备和介质 |
| CN113709147A (zh) * | 2021-08-26 | 2021-11-26 | 北京天融信网络安全技术有限公司 | 网络安全事件的响应方法、装置及设备 |
| CN115277061A (zh) * | 2022-06-13 | 2022-11-01 | 盈适慧众(上海)信息咨询合伙企业(有限合伙) | 一种网络安全业务管理系统及方法 |
| CN115632884A (zh) * | 2022-12-21 | 2023-01-20 | 徐工汉云技术股份有限公司 | 基于事件分析的网络安全态势感知方法与系统 |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1889510A (zh) * | 2005-06-30 | 2007-01-03 | 华为技术有限公司 | 一种通过报文处理提高网络安全性的方法 |
| CN101160876A (zh) * | 2005-10-15 | 2008-04-09 | 华为技术有限公司 | 一种网络安全控制方法及系统 |
| CN101610174A (zh) * | 2009-07-24 | 2009-12-23 | 深圳市永达电子股份有限公司 | 一种日志关联分析系统与方法 |
| CN103749001B (zh) * | 2010-06-09 | 2012-02-08 | 北京理工大学 | 内部网络安全监控系统的自身防护通用单元 |
| US20130307682A1 (en) * | 2012-05-17 | 2013-11-21 | Honeywell International Inc. | System for advanced security management |
| CN104079430A (zh) * | 2014-06-09 | 2014-10-01 | 汉柏科技有限公司 | 一种基于信息的安全管理平台、系统及方法 |
| CN108494727A (zh) * | 2018-02-06 | 2018-09-04 | 成都清华永新网络科技有限公司 | 一种用于网络安全管理的安全事件闭环处理方法 |
| CN109361690A (zh) * | 2018-11-19 | 2019-02-19 | 中国科学院信息工程研究所 | 一种网络中的威胁处置策略生成方法及系统 |
| CN109379374A (zh) * | 2018-11-23 | 2019-02-22 | 四川长虹电器股份有限公司 | 基于事件分析的威胁识别预警方法和系统 |
| CN109413088A (zh) * | 2018-11-19 | 2019-03-01 | 中国科学院信息工程研究所 | 一种网络中的威胁处置策略分解方法及系统 |
| CN109698819A (zh) * | 2018-11-19 | 2019-04-30 | 中国科学院信息工程研究所 | 一种网络中的威胁处置管理方法及系统 |
| CN109743300A (zh) * | 2018-12-20 | 2019-05-10 | 浙江鹏信信息科技股份有限公司 | 一种基于异构模型策略库的安全事件自动化处置方法 |
| CN110162444A (zh) * | 2019-05-14 | 2019-08-23 | 海南电网有限责任公司信息通信分公司 | 一种系统性能监测方法及平台 |
| CN110896386A (zh) * | 2018-09-12 | 2020-03-20 | 西门子(中国)有限公司 | 识别安全威胁的方法、装置、存储介质、处理器和终端 |
-
2020
- 2020-07-30 CN CN202010753885.8A patent/CN111917769A/zh active Pending
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1889510A (zh) * | 2005-06-30 | 2007-01-03 | 华为技术有限公司 | 一种通过报文处理提高网络安全性的方法 |
| CN101160876A (zh) * | 2005-10-15 | 2008-04-09 | 华为技术有限公司 | 一种网络安全控制方法及系统 |
| CN101610174A (zh) * | 2009-07-24 | 2009-12-23 | 深圳市永达电子股份有限公司 | 一种日志关联分析系统与方法 |
| CN103749001B (zh) * | 2010-06-09 | 2012-02-08 | 北京理工大学 | 内部网络安全监控系统的自身防护通用单元 |
| US20130307682A1 (en) * | 2012-05-17 | 2013-11-21 | Honeywell International Inc. | System for advanced security management |
| CN104079430A (zh) * | 2014-06-09 | 2014-10-01 | 汉柏科技有限公司 | 一种基于信息的安全管理平台、系统及方法 |
| CN108494727A (zh) * | 2018-02-06 | 2018-09-04 | 成都清华永新网络科技有限公司 | 一种用于网络安全管理的安全事件闭环处理方法 |
| CN110896386A (zh) * | 2018-09-12 | 2020-03-20 | 西门子(中国)有限公司 | 识别安全威胁的方法、装置、存储介质、处理器和终端 |
| CN109361690A (zh) * | 2018-11-19 | 2019-02-19 | 中国科学院信息工程研究所 | 一种网络中的威胁处置策略生成方法及系统 |
| CN109413088A (zh) * | 2018-11-19 | 2019-03-01 | 中国科学院信息工程研究所 | 一种网络中的威胁处置策略分解方法及系统 |
| CN109698819A (zh) * | 2018-11-19 | 2019-04-30 | 中国科学院信息工程研究所 | 一种网络中的威胁处置管理方法及系统 |
| CN109379374A (zh) * | 2018-11-23 | 2019-02-22 | 四川长虹电器股份有限公司 | 基于事件分析的威胁识别预警方法和系统 |
| CN109743300A (zh) * | 2018-12-20 | 2019-05-10 | 浙江鹏信信息科技股份有限公司 | 一种基于异构模型策略库的安全事件自动化处置方法 |
| CN110162444A (zh) * | 2019-05-14 | 2019-08-23 | 海南电网有限责任公司信息通信分公司 | 一种系统性能监测方法及平台 |
Non-Patent Citations (2)
| Title |
|---|
| SIBIN MOHAN: "Real-Time Systems Security through Scheduler Constraints", 《 2014 26TH EUROMICRO CONFERENCE ON REAL-TIME SYSTEMS》 * |
| 史简等: "统一网络安全管理平台的研究与实现", 《计算机应用研究》 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113037744A (zh) * | 2021-03-05 | 2021-06-25 | 中通服创发科技有限责任公司 | 一种基于交互式的安全事件剧本编排与处置方法及装置 |
| CN113315784A (zh) * | 2021-06-23 | 2021-08-27 | 深信服科技股份有限公司 | 一种安全事件的处理方法、装置、设备和介质 |
| CN113709147A (zh) * | 2021-08-26 | 2021-11-26 | 北京天融信网络安全技术有限公司 | 网络安全事件的响应方法、装置及设备 |
| CN115277061A (zh) * | 2022-06-13 | 2022-11-01 | 盈适慧众(上海)信息咨询合伙企业(有限合伙) | 一种网络安全业务管理系统及方法 |
| CN115632884A (zh) * | 2022-12-21 | 2023-01-20 | 徐工汉云技术股份有限公司 | 基于事件分析的网络安全态势感知方法与系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111917769A (zh) | 一种安全事件的自动处置方法、装置和电子设备 | |
| US9813377B2 (en) | Dynamic provisioning of protection software in a host intrusion prevention system | |
| US20240163253A1 (en) | Network security analysis system with reinforcement learning for selecting domains to scan | |
| US8990937B2 (en) | Method and system for regulating host security configuration | |
| US9419996B2 (en) | Detection and prevention for malicious threats | |
| US8739287B1 (en) | Determining a security status of potentially malicious files | |
| EP3337106B1 (en) | Identification system, identification device and identification method | |
| WO2016160523A1 (en) | Conditional declarative policies | |
| EP3367288B1 (en) | Classification method, classification device, and classification program | |
| US10986112B2 (en) | Method for collecting cyber threat intelligence data and system thereof | |
| US9773116B2 (en) | Automated local exception rule generation system, method and computer program product | |
| CN111783099B (zh) | 一种设备安全分析方法、装置及设备 | |
| CN112529543A (zh) | 工作流互斥关系的校验方法、装置、设备及存储介质 | |
| CN109981573B (zh) | 安全事件响应方法及装置 | |
| CN112948829B (zh) | 文件查杀方法、系统、设备及存储介质 | |
| JP7424395B2 (ja) | 分析システム、方法およびプログラム | |
| KR102702108B1 (ko) | 보안 취약점의 스캔 결과로부터 침입 차단 시스템의 룰을 추천하는 방법, 장치 및 컴퓨터-판독 가능 기록 매체 | |
| US11704403B2 (en) | Detecting and preventing unauthorized command injection | |
| US11570206B2 (en) | Control system, control determination device, and control method | |
| CN113296831B (zh) | 应用标识的提取方法、装置、计算机设备及存储介质 | |
| TWI820961B (zh) | 基於微服務及公雲元件處理情資的電子裝置及方法 | |
| US20240129340A1 (en) | Methods and systems for cloud security operations | |
| JP7405162B2 (ja) | 分析システム、方法およびプログラム | |
| KR101865238B1 (ko) | 악성 코드 차단 장치 및 이의 동작 방법 | |
| CN114444073A (zh) | 一种风险控制方法、装置、介质、产品和设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20201110 |