CN112398778B - 一种对模块化环境中的安全问题自动响应的方法 - Google Patents

一种对模块化环境中的安全问题自动响应的方法 Download PDF

Info

Publication number
CN112398778B
CN112398778B CN201910737989.7A CN201910737989A CN112398778B CN 112398778 B CN112398778 B CN 112398778B CN 201910737989 A CN201910737989 A CN 201910737989A CN 112398778 B CN112398778 B CN 112398778B
Authority
CN
China
Prior art keywords
security
module
safety
management system
administrator
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910737989.7A
Other languages
English (en)
Other versions
CN112398778A (zh
Inventor
饶琛琳
梁玫娟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Youtejie Information Technology Co ltd
Original Assignee
Beijing Youtejie Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Youtejie Information Technology Co ltd filed Critical Beijing Youtejie Information Technology Co ltd
Priority to CN201910737989.7A priority Critical patent/CN112398778B/zh
Publication of CN112398778A publication Critical patent/CN112398778A/zh
Application granted granted Critical
Publication of CN112398778B publication Critical patent/CN112398778B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明公开了一种对模块化环境中的安全问题自动响应的方法,其特征在于:通过模块管理系统将服务器的进程进行模块化,实时采集所有模块的安全性能指标;所述模块管理系统对采集的相关安全指标自动进行预测分析,匹配安全策略库自动启动安全应对措施,同时对正常性能数据进行分模块展示;所述安全策略库根据所呈现威胁的置信水平的变化向管理员连续推荐应对策略。本发明的优点在于本发明使用了模块化管理系统,将检测对象的安全性能指标进行模块化。安全性能指标数据正常的监测对象可以分模块展示,对于安全威胁事件,可以连续动态的提供应对策略,在安全事件处理效率上具有极大的提高,同时节约了处理时间。

Description

一种对模块化环境中的安全问题自动响应的方法
技术领域
本发明属于安全事件的处理方法领域,尤其涉及一种对模块化环境中的安全问题自动响应的方法。
背景技术
随着信息化进程的飞速发展,计算机系统已经成为现代企业的一部分。近年来各行业信息化建设不断完善,业务的操作也越来越集中于信息系统或信息平台。系统的安全工作也日渐重要,如何快速正确的反应系统所遇到的各类安全问题也成为运维人员的工作重点之一。
目前针对突发安全事件,业界普遍采用安全事件分级,这种工作方式对应的处理方式可能会随着时间推进在动态变化中变得不再合适,从而在管理上不能做到准确的安全运维,存在漏洞。在后续出现问题需要人工逐步排查,用户需要一种同时满足实时性、智能化和安全性良好的故障应对方法。业界长期以来对事后分析的重视度不高,因为运维人员面对的故障原因多种多样,事后分析的结果很难明显的作用于下一次故障的预防或处理上。
发明内容
本发明提供了一种对模块化环境中的安全问题自动响应的方法,解决安全事件发生时得到相关的正确应对方案费时,效率低的问题。
本发明是通过以下技术方案来实现:
一种对模块化环境中的安全问题自动响应的方法,其特征在于:
通过模块管理系统将服务器的进程进行模块化,实时采集所有模块的安全性能指标;
所述模块管理系统对采集的相关安全指标自动进行预测分析,匹配安全策略库自动启动安全应对措施,同时对正常性能数据进行分模块展示并通过存储模块存储;
所述安全策略库根据所呈现威胁的置信水平的变化向管理员连续推荐应对策略。
优选的:所述模块化采集步骤:
步骤一:服务器启动,模块管理系统启动一个安全事件指标采集进程,安全事件采集进程根据固定的时间,分模块对检测对象采集安全性能值、关联日志、标准、错误输出、流量、访问IP;
步骤二:以“性能指标名+ip+key+性能指标值”方式保存每个模块的安全性能指标。
优选的:所述模块管理系统会根据服务器的启动的进程,对应启动安全性能采集线程,负责采集对应进程的安全性能指标,一分钟采集一次,并将采集后的性能指标加入发送队列;所述进程停止时,对应采集线程也停止。
优选的:所述模块化采集步骤二中“key”用于一份指标具有多份不同数据是进行区分存储,当一份指标只有一份数据时,key为空。
优选的:所述模块管理系统按照模块图形化展示安全性能指标,用于管理员查进行单机服务性能查看和整体性能查看,整体性能由数据叠加产生。
优选的:所述模块管理系统包括安全事件分析模块,所述安全事件分析模块对一个或者多个相关安全指标进行预测时,自动启动的应对措施包括对一个或多个防火墙修改;从系统环境中移除对应进程;将相关模块隔离,阻止IP防问。
优选的:所述安全策略库根据模块管理系统采集的安全性能指标所呈现威胁的置信水平进行连续推荐应对策略的步骤包括:
步骤一:所述安全策略库根据模块化管理系统基于未知威胁来传送第一组推荐动作;
步骤二:所述安全策略库根据进一步收到所呈现未知威胁的相关信息,将第二组建议推荐动作于管理员;
步骤三:继续收集所呈现未知威胁的相关信息,将第三组建议推荐动作于管理员;
步骤四:重复收集所呈现位置威胁的相关信息,不断推荐能够解决未知威胁的建议动作于管理员。
优选的:所述管理员通过安全策略库提供的应对策略列表确定首选对应策略作为模块管理系统默认应对策略;所述安全策略库提供于管理员的应对策略基于管理员的先前选择。
优选的:一种模块管理系统,其特征在于,包括:
服务器进程模块化模块:用于将服务器中运行的进程进行模块划分,便于采集安全性能值、相关日志、标准、错误输出、流量、防问IP地址;
安全事件分析模块:用于对模块化采集的安全性能指标进行预测分析,判别安全时间为已知威胁、未知威胁和正常性能值,同时在模块展示界面显示正常性能指标;
安全策略库:用于对所存在的威胁进行推荐应对策略,无管理员参与,默认采取安全策略库第一条应对策略,若管理员参与,根据威胁相关信息的获取,为管理员动态提供应对策略列表,不断更新最优推荐列表,去除无法解决威胁的应对策略;
安全事件处理模块:用于提取安全策略库动态提供的应对策略,进行威胁事件处理;
储存模块:用于储存运行参数、缓存事件参数。
优选的:一种安全事件管理平台,其特征在于:包括至少一个权利要求1~7任一所述的模块管理系统、至少一个如权利要求1、7、8或9任一所述的安全策略库以及至少一个和模块管理系统连接的分模块展示界面
附图说明与现有技术相比,本发明具有以下有益的技术效果:
本发明的优点在于本发明使用了模块化管理系统,将检测对象的安全性能指标进行模块化。安全性能指标数据正常的监测对象可以分模块展示,对于安全威胁事件,可以连续动态的提供应对策略,在安全事件处理效率上具有极大的提高,同时节约了处理时间。
附图说明
图1为本发明在模块化环境中进行动态响应的流程图;
图2为本发明模块化环境的结构示意图;
图3为本发明的动态选择对应策略结构示意图;
具体实施方式
下面结合附图对本发明做进一步详细描述,所述是对本发明的解释而不是限定。
根据图1、图2和图3所示的一种对模块化环境中的安全问题自动响应的方法,首先在通过模块管理系统将服务器的进程进行模块化,实时采集所有模块的安全性能指标。然后经过模块管理系统对采集的相关安全指标自动进行预测分析,匹配安全策略库自动启动安全应对措施,同时对正常性能数据进行分模块展示。最厚根据安全策略库根据所呈现威胁的置信水平的变化向管理员连续推荐应对策略。
本发明在计算机环境下,通过计算机读取事件信息,包括资产配置数据,然后通过模块管理系统将整个数据模块化,同时对数据进行检测。采集模块化后数据的安全性能指标。所采集的数据包括安全性能只,相关的日志、标准、错误的输出、流量和防问的ip地址等等。并对模块管理系统中正常性能的数据进行在展示界面分模块展示。对于预测过后可能是威胁的数据通过告警模块报告给管理员。同时模块管理系统生成性能报表,通过性能报表进行对对应的威胁选择对应的应对策略。也便于管理员对于系统的运行状态和趋势总体了解。
本发明在模块化采集步骤:
步骤一:服务器启动,模块管理系统启动一个安全事件指标采集进程,安全事件采集进程根据固定的时间,分模块对检测对象采集安全性能值、关联日志、标准、错误输出、流量、访问IP;
步骤二:以“性能指标名+ip+key+性能指标值”方式保存每个模块的安全性能指标。
本模块化采集步骤中,采集数据相对于多级采集的方法更加精确,采集的数据以模块化的方式进行存储,条理清晰,便于找到对应的处理方法。
模块管理系统会根据服务器的启动的进程,对应启动安全性能采集线程,负责采集对应进程的安全性能指标,一分钟采集一次,并将采集后的性能指标加入发送队列;所述进程停止时,对应采集线程也停止。按照系统的进程进行采集数据,进程停止,数据采集也结束,可以极大减少内存专用,使得系统在运行时更加精确。
模块化采集步骤二中“key”用于一份指标具有多份不同数据是进行区分存储,当一份指标只有一份数据时,key为空。便于区分一份指标中的不同数据,对于威胁的的判断更加精确。
模块管理系统按照模块图形化展示安全性能指标,用于管理员查进行单机服务性能查看和整体性能查看,整体性能由数据叠加产生。本发明通过模块化的展示,数据划分明确,既可以整体查看,也可以单一查询,在数据查询上具有极大的便利性。
模块管理系统对一个或者多个相关安全指标进行预测时,自动启动的应对措施包括对一个或多个防火墙修改;从系统环境中移除对应进程;将相关模块隔离,阻止IP防问。自动启动模式可以防止在管理员未察觉的情况下,系统的自我防护功能。。
安全策略库根据模块管理系统采集的安全性能指标所呈现威胁的置信水平进行连续推荐应对策略的步骤包括:
步骤一:所述安全策略库根据模块化管理系统基于未知威胁来传送第一组推荐动作;
步骤二:所述安全策略库根据进一步收到所呈现未知威胁的相关信息,将第二组建议推荐动作于管理员;
步骤三:继续收集所呈现未知威胁的相关信息,将第三组建议推荐动作于管理员;
步骤四:重复收集所呈现位置威胁的相关信息,不断推荐能够解决未知威胁的建议动作于管理员。
本过程是本发明的动态选择应对策略的步骤,通过上述步骤,对于未知威胁事件可以通过对未知威胁事件的相关信息更加了解,安全策略库不断提供更加优秀的应对策略。
管理员通过安全策略库提供的应对策略列表确定首选对应策略作为模块管理系统默认应对策略;所述安全策略库提供于管理员的应对策略基于管理员的先前选择。
一种模块管理系统,其特征在于,包括:服务器进程模块化模块:用于将服务器中运行的进程进行模块划分,便于采集安全性能值、相关日志、标准、错误输出、流量、防问IP地址;安全事件分析模块:用于对模块化采集的安全性能指标进行预测分析,判别安全时间为已知威胁、未知威胁和正常性能值,同时在模块展示界面显示正常性能指标;安全策略库:用于对所存在的威胁进行推荐应对策略,无管理员参与,默认采取安全策略库第一条应对策略,若管理员参与,根据威胁相关信息的获取,为管理员动态提供应对策略列表,不断更新最优推荐列表,去除无法解决威胁的应对策略;安全事件处理模块:用于提取安全策略库动态提供的应对策略,进行威胁事件处理;储存模块:用于储存运行参数、缓存事件参数。储存模块还用于存储各个安全事件的发生次数,发生频率等等。
一种安全事件管理平台模块管理系统、和模块管理系统连接的分模块展示界面。安全事件管理平台是本方法运行的基础,是对本方法进行实施的必要要求。根据本安全事件管理平台可以迅速的找到未知威胁的应对策略,在效率上更加迅速。极大的提高了在处理未知威胁方面的程序,适用于大规模,集成化高的集体网络进行网络防护,提高了网络安全。
以上给出的实施例是实现本发明较优的例子,本发明不限于上述实施例。本领域的技术人员根据本发明技术方案的技术特征所做出的任何非本质的添加、替换,均属于本发明的保护范围。

Claims (8)

1.一种对模块化环境中的安全问题自动响应的方法,其特征在于:
通过模块管理系统的服务器进程采集模块将服务器的进程进行模块化,实时采集所有模块的安全性能指标;
所述模块管理系统对采集的相关安全指标自动进行预测分析,匹配安全策略库自动启动安全应对措施,同时对正常性能数据进行分模块展示并通过存储模块存储;
所述安全策略库根据所呈现威胁的置信水平的变化向管理员连续推荐应对策略;所述安全策略库根据模块管理系统采集的安全性能指标所呈现威胁的置信水平进行连续推荐应对策略的步骤包括:
步骤一:所述安全策略库根据模块化管理系统基于未知威胁来传送第一组推荐动作;
步骤二:所述安全策略库根据进一步收到所呈现未知威胁的相关信息,将第二组建议推荐动作于管理员;
步骤三:继续收集所呈现未知威胁的相关信息,将第三组建议推荐动作于管理员;
步骤四:重复收集所呈现位置威胁的相关信息,不断推荐能够解决未知威胁的建议动作于管理员。
2.根据权利要求1所述的一种对模块化环境中的安全问题自动响应的方法,其特征在于,所述实时采集步骤包括:
步骤一:服务器启动,模块管理系统启动一个安全事件指标采集进程,安全事件采集进程根据固定的时间,分模块对检测对象采集安全性能值、关联日志、标准、错误输出、流量、访问IP;
步骤二:以“性能指标名+ip+key+性能指标值”方式保存每个模块的安全性能指标。
3.根据权利要求1或2所述的一种对模块化环境中的安全问题自动响应的方法,其特征在于:所述模块管理系统会根据服务器启动的进程,对应启动安全性能采集线程,负责采集对应进程的安全性能指标,一分钟采集一次,并将采集后的性能指标加入发送队列;所述进程停止时,对应采集线程也停止。
4.根据权利要求2所述的一种对模块化环境中的安全问题自动响应的方法,其特征在于:所述模块化采集步骤二中“key”用于一份指标具有多份不同数据是进行区分存储,当一份指标只有一份数据时,key为空。
5.根据权利要求1所述的一种对模块化环境中的安全问题自动响应的方法,其特征在于:所述模块管理系统按照模块图形化展示安全性能指标,用于管理员查进行单机服务性能查看和整体性能查看,整体性能由数据叠加产生。
6.根据权利要求1所述的一种对模块化环境中的安全问题自动响应的方法,其特征在于:所述模块管理系统包括安全事件分析模块,所述安全事件分析模块对一个或者多个相关安全指标进行预测时,自动启动的应对措施包括对一个或多个防火墙修改;从系统环境中移除对应进程;将相关模块隔离,阻止IP防问。
7.根据权利要求1所述的一种对模块化环境中的安全问题自动响应的方法,其特征在于:所述管理员通过安全策略库提供的应对策略列表确定首选对应策略作为模块管理系统默认应对策略;所述安全策略库提供于管理员的应对策略基于管理员的先前选择。
8.一种模块管理系统,其特征在于包括:
服务器进程采集模块:用于将服务器中运行的进程进行模块划分,便于采集安全性能值、相关日志、标准、错误输出、流量、防问IP地址;
安全事件分析模块:用于对模块化采集的安全性能指标进行预测分析,判别安全事件为已知威胁、未知威胁和正常性能值,同时在模块展示界面显示正常性能指标;
安全策略库:用于对所存在的威胁进行推荐应对策略,无管理员参与,默认采取安全策略库第一条应对策略,若管理员参与,根据威胁相关信息的获取,为管理员动态提供应对策略列表,不断更新最优推荐列表,去除无法解决威胁的应对策略;
安全事件处理模块:用于提取安全策略库动态提供的应对策略,进行威胁事件处理;
储存模块:用于储存运行参数、缓存事件参数。
CN201910737989.7A 2019-08-12 2019-08-12 一种对模块化环境中的安全问题自动响应的方法 Active CN112398778B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910737989.7A CN112398778B (zh) 2019-08-12 2019-08-12 一种对模块化环境中的安全问题自动响应的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910737989.7A CN112398778B (zh) 2019-08-12 2019-08-12 一种对模块化环境中的安全问题自动响应的方法

Publications (2)

Publication Number Publication Date
CN112398778A CN112398778A (zh) 2021-02-23
CN112398778B true CN112398778B (zh) 2022-09-20

Family

ID=74602165

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910737989.7A Active CN112398778B (zh) 2019-08-12 2019-08-12 一种对模块化环境中的安全问题自动响应的方法

Country Status (1)

Country Link
CN (1) CN112398778B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1350228A (zh) * 2001-12-04 2002-05-22 上海复旦光华信息科技股份有限公司 Windows nt进程自动保护系统
CN102521099A (zh) * 2011-11-24 2012-06-27 深圳市同洲视讯传媒有限公司 一种进程监控方法及进程监控系统
CN103198259A (zh) * 2012-01-09 2013-07-10 国际商业机器公司 用于安全策略管理的方法和装置
CN103634311A (zh) * 2013-11-26 2014-03-12 腾讯科技(深圳)有限公司 安全防护方法及装置、终端
CN108959048A (zh) * 2018-06-22 2018-12-07 北京优特捷信息技术有限公司 模块化环境的性能分析方法、装置及可存储介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10142353B2 (en) * 2015-06-05 2018-11-27 Cisco Technology, Inc. System for monitoring and managing datacenters

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1350228A (zh) * 2001-12-04 2002-05-22 上海复旦光华信息科技股份有限公司 Windows nt进程自动保护系统
CN102521099A (zh) * 2011-11-24 2012-06-27 深圳市同洲视讯传媒有限公司 一种进程监控方法及进程监控系统
CN103198259A (zh) * 2012-01-09 2013-07-10 国际商业机器公司 用于安全策略管理的方法和装置
CN103634311A (zh) * 2013-11-26 2014-03-12 腾讯科技(深圳)有限公司 安全防护方法及装置、终端
CN108959048A (zh) * 2018-06-22 2018-12-07 北京优特捷信息技术有限公司 模块化环境的性能分析方法、装置及可存储介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于SELinux强制访问控制的进程权限控制技术研究与实现;张涛等;《信息网络安全》;20151210(第12期);全文 *

Also Published As

Publication number Publication date
CN112398778A (zh) 2021-02-23

Similar Documents

Publication Publication Date Title
CN104407964B (zh) 一种基于数据中心的集中监控系统及方法
CN108763957B (zh) 一种数据库的安全审计系统、方法及服务器
CN109783322A (zh) 一种企业信息系统运行状态的监控分析系统及其方法
US5699403A (en) Network vulnerability management apparatus and method
CN111309565B (zh) 告警处理方法、装置、电子设备以及计算机可读存储介质
CN110223146B (zh) 客户购电服务全过程监控系统及方法
CN106371986A (zh) 一种日志处理运维监控系统
CN102752142B (zh) 一种基于多维建模的信息系统的监控方法及监控系统
CN107229556A (zh) 基于elastic组件的日志分析系统
CN112699007B (zh) 监控机器性能的方法、系统、网络设备及存储介质
CN113542017A (zh) 基于网络拓扑和多指标的一种网络故障定位方法
CN114116396A (zh) 一种全链路追踪方法、系统、存储介质及设备
EP2149224B1 (en) Method of identifying a root cause of a network event
CN111786986B (zh) 一种数控系统网络入侵防范系统及方法
CN103763143A (zh) 基于存储服务器的设备异常报警的方法及系统
CN116594840A (zh) 基于elk的日志故障采集与分析方法、系统、设备及介质
CN114531338A (zh) 一种基于调用链数据的监控告警和溯源方法及系统
CN112398778B (zh) 一种对模块化环境中的安全问题自动响应的方法
US10110440B2 (en) Detecting network conditions based on derivatives of event trending
CN116260703A (zh) 分布式消息服务节点cpu性能故障自恢复方法及装置
CN114244685A (zh) 一种云服务中心访问异常处置系统
KR20180118869A (ko) 통합 보안 이상징후 모니터링 시스템
CN113408872A (zh) 一种基于多层次多维度模型的密码服务动态监控系统
CN112749065A (zh) 一种应用系统性能数据采集方法
CN112860471A (zh) 一种基于决策流的业务操作日志审计与告警方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant