CN113127856A - 网络安全运维管理方法、装置、计算设备及存储介质 - Google Patents

网络安全运维管理方法、装置、计算设备及存储介质 Download PDF

Info

Publication number
CN113127856A
CN113127856A CN201911406185.5A CN201911406185A CN113127856A CN 113127856 A CN113127856 A CN 113127856A CN 201911406185 A CN201911406185 A CN 201911406185A CN 113127856 A CN113127856 A CN 113127856A
Authority
CN
China
Prior art keywords
alarm
information
alarm information
piece
processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201911406185.5A
Other languages
English (en)
Inventor
张睿
叶若曦
朱灿
王禹
李斌
毛斯琪
肖瑞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Suzhou 360 Intelligent Security Technology Co Ltd
Original Assignee
Suzhou 360 Intelligent Security Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Suzhou 360 Intelligent Security Technology Co Ltd filed Critical Suzhou 360 Intelligent Security Technology Co Ltd
Priority to CN201911406185.5A priority Critical patent/CN113127856A/zh
Publication of CN113127856A publication Critical patent/CN113127856A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种网络安全运维管理方法、装置、计算设备及计算机存储介质,方法包括:对网络进行实时检测,获取检测过程中产生的至少一条告警信息;生成包含至少一条告警信息的告警工单列表页面,以供用户查看至少一条告警信息;接收用户在告警工单列表页面触发的对任一告警信息的告警处理操作,启动对该告警信息的告警处理监控流程。根据对网络的实时检测所获取的告警信息进行管理,提供给用户查看告警信息的告警工单列表页面,方便用户直观的对告警信息进行处理。监控用户对告警信息的操作,通过启动告警处理监控流程可以方便跟踪告警信息的处理,实现对网络完全的运维管理。

Description

网络安全运维管理方法、装置、计算设备及存储介质
技术领域
本发明涉及网络安全领域,具体涉及一种网络安全运维管理方法及装置。
背景技术
网络安全可以保障用户在网络中使用的设备终端的安全,当网络受到攻击或接收到威胁情报时,会影响到用户个人信息、企业信息的安全,造成如信息外泄、设备终端无法正常工作等问题。
现有技术可以对网络安全进行检测,但其在检测到网络攻击后,往往没有对检测到的网络攻击进行有效的安全运营处理。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的网络安全运维管理方法、装置、计算设备及计算机存储介质。
根据本发明的一个方面,提供了一种网络安全运维管理方法,其包括:
对网络进行实时检测,获取检测过程中产生的至少一条告警信息;
生成包含至少一条告警信息的告警工单列表页面,以供用户查看至少一条告警信息;
接收用户在告警工单列表页面触发的对任一告警信息的告警处理操作,启动对该告警信息的告警处理监控流程。
根据本发明的另一方面,提供了一种网络安全运维管理装置,其包括:
获取模块,适于对网络进行实时检测,获取检测过程中产生的至少一条告警信息;
生成模块,适于生成包含至少一条告警信息的告警工单列表页面,以供用户查看至少一条告警信息;
启动模块,适于接收用户在告警工单列表页面触发的对任一告警信息的告警处理操作,启动对该告警信息的告警处理监控流程。
根据本发明的另一方面,提供了一种计算设备,包括:处理器、存储器、通信接口和通信总线,处理器、存储器和通信接口通过通信总线完成相互间的通信;
存储器用于存放至少一可执行指令,可执行指令使处理器执行上述网络安全运维管理方法对应的操作。
根据本发明的另一方面,提供了一种计算机存储介质,存储介质中存储有至少一可执行指令,可执行指令使处理器执行如上述网络安全运维管理方法对应的操作。
根据本发明提供的网络安全运维管理方法、装置、计算设备及计算机存储介质,对网络进行实时检测,获取检测过程中产生的至少一条告警信息;生成包含至少一条告警信息的告警工单列表页面,以供用户查看至少一条告警信息;接收用户在告警工单列表页面触发的对任一告警信息的告警处理操作,启动对该告警信息的告警处理监控流程。根据对网络的实时检测所获取的告警信息进行管理,提供给用户查看告警信息的告警工单列表页面,方便用户直观的对告警信息进行处理。监控用户对告警信息的操作,通过启动告警处理监控流程可以方便跟踪告警信息的处理,实现对网络完全的运维管理。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了根据本发明一个实施例的网络安全运维管理方法的流程示意图;
图2a示出了根据本发明一个实施例的网络安全运维管理方法中告警工单列表页面的示意图;
图2b示出了根据本发明一个实施例的网络安全运维管理方法中告警工单信息页面的示意图;
图3示出了根据本发明一个实施例的网络安全运维管理装置的结构框图;
图4示出了根据本发明一个实施例的一种计算设备的结构示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
图1示出了根据本发明一个实施例的网络安全运维管理方法的流程示意图,如图1所示,该方法包括如下步骤:
步骤S101,对网络进行实时检测,获取检测过程中产生的至少一条告警信息。
信息传输需要通过网络,网络提供了支持信息大量、快速传输的通道,保障业务处理的正常运行。基于网络安全的运维管理需要对网络全程进行维护管理,以保障网络正常运行。
网络运维需要对网络进行实时检测,检测网络实时发生的各种威胁,如网络流量威胁检测、网络接收的文件威胁检测、对与网络连接的各终端威胁检测、接收到的邮件威胁检测等。不同种类的检测:
对网络进行实时检测时,获取检测到的各种原始告警日志。原始告警日志即检测到网络所发生的每一次威胁情报,生成的原始的告警日志。原始告警日志中包括了告警日期、告警原因、告警类型等等,通过对原始告警日志进行聚合关联分析,可以将原始告警日志中相关联的告警进行聚合,相关的告警聚合为一条告警信息,从而得到聚合后的告警信息。
具体地,本实施例具体通过以下方式中的一种或多种的结合将原始告警日志中的多条日志信息准确地聚合为一条告警信息:
实施方式一:根据多个威胁情报进行识别,得出对应于同一攻击节点的告警信息。针对于任一攻击节点,将对应于该攻击节点的威胁情报进行聚合处理,以生成与该攻击节点对应的告警信息。在该种实施方式中,将对应于同一攻击节点的威胁情报直接聚合为一个事件的告警信息,从而使得一个事件的一条告警信息对应于一个攻击节点,进而能够通过该事件全方位定制化地获取该攻击节点的告警信息,有利于针对各个攻击节点进行专项化处理。在实际的实施过程中,一个攻击节点可对应于一条或多条识别规则,当一个攻击节点可对应于一条识别规则时,通过威胁情报与该识别规则的匹配确定对应的攻击节点;当一个攻击节点可对应于多条识别规则时,分别将威胁情报与该多条识别规则进行匹配,根据匹配结果以及该多条识别规则之间的关系,综合确定攻击节点。待确定出对应于攻击节点的事件后,进一步地利用该攻击节点对应的聚合规则将原始告警日志中与该攻击节点相关联的日志信息进行聚合,得到告警信息。
实施方式二:根据多个威胁情报进行识别,得出对应于同一攻击节点的威胁事件。获取具有关联性的多个攻击节点;将对应于该多个攻击节点的威胁事件进行聚合处理。其中,该具有关联性的多个攻击节点对应于同一攻击场景。在本实施例方式中,具体是将同一攻击场景所对应的威胁事件进行聚合。采用该种实施方式,能够充分体现攻击场景的攻击特性,便于对不同的攻击场景的专项化分析及处理。在具体的实施过程中,可预先确定不同的攻击场景中所涉及的攻击节点,例如在针对于终端USER1的攻击场景P中,其通常涉及前期的高危端口扫描节点(攻击节点A)、中期的高危端口攻击节点(攻击节点B)、以及后期的日志清洗节点(攻击节点C)。则可分别根据攻击节点A、攻击节点B以及攻击节点C对应的识别规则,分别确定出与攻击节点A、攻击节点B以及攻击节点C对应的威胁事件,继而通过该攻击场景P对应的聚合规则将原始告警日志中与该攻击场景P相关的各个攻击节点的日志信息进行聚合,得到告警信息。
步骤S102,生成包含至少一条告警信息的告警工单列表页面,以供用户查看至少一条告警信息。
在得到聚合后的告警信息后,针对得到的告警信息进行整理,生成告警工单列表页面。如图2a所示,告警工单列表页面中可以显示多条告警信息,方便用户在告警工单页面中查看到各告警信息,对各告警信息进行对应的告警处理操作等。
用户可以在告警工单列表页面中选择任一告警信息查看具体的告警信息。如图2b所示,告警信息页面中详细展示了告警信息,告警信息包括了如告警源设备信息、告警目标设备信息、告警类型、告警等级、告警详细信息等。告警源设备信息包括了如告警来源的设备名称、设备IP地址等,通过对网络实时检测,分析获取告警源设备信息。如图2b中所显示的源IP等。告警目标设备信息即发生告警的终端设备信息,包括如告警目标设备名称、告警目标设备IP地址、告警目标设备端口信息等。如图2b中所显示的目标IP、目标端口、来源设备(产生该条告警信息的设备,即受到攻击的目标设备)等。告警类型、告警等级等可以基于具体检测到的威胁情报、威胁情报中的攻击行为、告警发生时间、发生频次等分析得到。如图2b中所显示的标题、规则名称、风险类型、风险标签、风险等级等信息,标题、规则名称、风险类型根据告警类型不同显示不同的内容;风险标签描述了告警信息中具体的风险信息,如风险类型为web攻击/XSS跨站风险类型,其包含的具体的攻击行为如远控、sql注入等具体行为。风险标签和风险类型都是对告警类型的描述。告警详细信息包含了本次告警信息或聚合处理后的告警信息中发生过的具体的告警情况。如图2b所显示的风险详情中,近24小时内,源IP192.168.0.1尝试利用Web漏洞EXP攻击1个目标IP,共触发告警8余次等。
以上图2b中所示的各标题名称等均为举例说明,具体实施时可根据实施情况选择合适的描述名称分别显示告警信息,告警信息页面还可以根据实施具体情况选择需要显示的告警信息具体内容进行显示,此处不做限定。
进一步,告警信息页面可以根据告警信息自动生成,也可以由用户在收集到告警信息后,手动在告警信息页面中填写对应的内容生成。或者考虑各告警信息间可能存在的聚合关联关系,可以对已经生成的告警信息页面的内容进行修改,如对于同一告警类型、同一告警源设备信息等,可以将不同时间发生的告警信息进行手动合并等。
步骤S103,接收用户在告警工单列表页面触发的对任一告警信息的告警处理操作,启动对该告警信息的告警处理监控流程。
用户在告警工单列表页面中查看各告警信息后,可以在告警工单列表页面触发的对任一告警信息的告警处理操作,当接收到用户在告警工单列表页面触发的对任一告警信息的告警处理操作后,先获取需要处理的该告警信息。针对该告警信息确定启动对应的告警处理监控流程。
告警处理监控流程包括了如告警事件确认、目标设备反馈、访问管控、通报处理、告警状态处理等。对于不同告警等级、目标设备不同的处理操作的告警信息,告警处理监控流程也会相应的进行不同程度的监控。如当告警通知目标设备后,需要对目标设备进行告警事件确认,确认是否发生对应的告警信息。若目标设备反馈确定发生了对应的告警信息,确认告警等级,对此类告警信息、目标设备等采取对应的访问管控处理,以及对告警信息是否为目标设备的违规操作等进一步确认,对目标设备操作进行通报处理等。以上各处理还需要对整个告警工单的告警状态进行相应的处理,确认处理的告警状态,以跟踪告警处理的整个过程。告警处理监控流程中对告警信息的访问管控处理可以根据不同告警等级预先设置不同的处理方式,如断网处理等。
具体的,对于目标设备可以及时反馈的告警处理监控流程,当确认告警等级为高危等级时,访问管控处理需要目标设备在告警规定期限内取证,在未取证完成前需要对目标设备进行如断网处理(断内外网环境)、及时通知与目标设备用户相关的其他用户如上级用户等。当确认告警等级为中低危等级时,访问管控处理可以通过目标设备用户远程协助完成取证等,若在规定期限内未取证,进行相应的断网处理等。不同告警等级的规定期限不同,如高危等级的规定期限为1工作日,中低危等级的规定期限为3工作日等。或者,还可以设置不同的规定期限,对应不同的处理流程。如当告警等级为中低危等级时,3工作日内未取证进行断网处理,7工作日内仍未取证,及时通知与目标设备用户相关的其他用户如上级用户等。
对于目标设备在接收到告警通知后,没有及时反馈的情况下,当告警等级为高危等级的告警信息,访问管控处理需要立刻与目标设备用户进行联系。若在规定期限内未联系到目标设备用户时,需要及时通知与目标设备用户相关的其他用户如各上级用户。具体的,采取1工作日内联系目标设备用户,3工作日内联系目标设备用户直属上级用户,7工作日内联系目标设备用户高层管理用户等。当告警等级为中危等级时,访问管控处理需要与目标设备用户进行联系,协调解决告警信息,若告警信息持续发生,则进行断网处理、通知与目标设备用户相关的其他用户等。具体的,3工作日内告警持续发生,对目标设备进行断网处理,断其内外网环境。7工作日内需联系目标设备用户直属上级用户等。当告警等级为低危等级时,访问管控处理需要先与目标设备用户进行联系,协调解决告警信息,若告警信息持续发生,则进行断网处理、通知与目标设备用户相关的其他用户等。具体的,3工作日内告警持续发生,对目标设备进行断网处理,先断其外网环境。7工作日内若告警仍持续发生,断其内网环境,通知与目标设备用户直属上级用户等。不同告警等级在与目标设备用户进行联系时,根据告警等级的危机程度,可以采用不同的联系手段,如电话联系、邮件联系等,此处不做限定。
针对用户在告警工单列表页面触发的对任一告警信息的告警处理操作,在启动告警信息对应的告警处理监控流程后,可以对告警信息的处理进行监控、跟踪,方便了解告警信息的处理状态,当前网络是否可以解除告警等。
根据本发明提供的网络安全运维管理方法,对网络进行实时检测,获取检测过程中产生的至少一条告警信息;生成包含至少一条告警信息的告警工单列表页面,以供用户查看至少一条告警信息;接收用户在告警工单列表页面触发的对任一告警信息的告警处理操作,启动对该告警信息的告警处理监控流程。根据对网络的实时检测所获取的告警信息进行管理,提供给用户查看告警信息的告警工单列表页面,方便用户直观的对告警信息进行处理。监控用户对告警信息的操作,通过启动告警处理监控流程可以方便跟踪告警信息的处理,实现对网络完全的运维管理。
图3示出了根据本发明一个实施例的网络安全运维管理装置的结构框图,如图3所示,该装置包括:
获取模块310适于:对网络进行实时检测,获取检测过程中产生的至少一条告警信息;
生成模块320适于:生成包含至少一条告警信息的告警工单列表页面,以供用户查看至少一条告警信息;
启动模块330适于:接收用户在告警工单列表页面触发的对任一告警信息的告警处理操作,启动对该告警信息的告警处理监控流程。
可选地,获取模块310进一步适于:对网络进行实时检测,获取原始告警日志;其中,实时检测包括流量威胁检测、文件威胁检测、终端威胁检测和/或邮件威胁检测;对原始告警日志进行聚合关联分析,得到至少一条告警信息。
可选地,获取模块310进一步适于:针对于任一攻击节点,将原始告警日志中对应于该攻击节点的日志信息进行聚合处理,以生成与该攻击节点对应的至少一条告警信息;
和/或,
获取具有关联性的多个攻击节点;具有关联性的多个攻击节点对应于同一攻击场景;
将原始告警日志中对应于多个攻击节点的日志信息进行聚合处理,以生成与多个攻击节点对应的至少一条告警信息。
可选地,启动模块330进一步适于:接收用户在告警工单列表页面触发的对任一告警信息的告警处理操作,获取该告警信息;根据告警信息确定启动对应的告警处理监控流程;告警处理监控流程包括:告警事件确认、目标设备反馈、访问管控、通报处理和/或告警状态处理。
以上各模块的描述参照方法实施例中对应的描述,在此不再赘述。
本发明还提供了一种非易失性计算机存储介质,计算机存储介质存储有至少一可执行指令,可执行指令可执行上述任意方法实施例中的网络安全运维管理方法。
图4示出了根据本发明实施例的一种计算设备的结构示意图,本发明具体实施例并不对计算设备的具体实现做限定。
如图4所示,该计算设备可以包括:处理器(processor)402、通信接口(Communications Interface)404、存储器(memory)406、以及通信总线408。
其中:
处理器402、通信接口404、以及存储器406通过通信总线408完成相互间的通信。
通信接口404,用于与其它设备比如客户端或其它服务器等的网元通信。
处理器402,用于执行程序410,具体可以执行上述网络安全运维管理方法实施例中的相关步骤。
具体地,程序410可以包括程序代码,该程序代码包括计算机操作指令。
处理器402可能是中央处理器CPU,或者是特定集成电路ASIC(ApplicationSpecific Integrated Circuit),或者是被配置成实施本发明实施例的一个或多个集成电路。计算设备包括的一个或多个处理器,可以是同一类型的处理器,如一个或多个CPU;也可以是不同类型的处理器,如一个或多个CPU以及一个或多个ASIC。
存储器406,用于存放程序410。存储器406可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
程序410具体可以用于使得处理器402执行上述任意方法实施例中的网络安全运维管理方法。程序410中各步骤的具体实现可以参见上述网络安全运维管理实施例中的相应步骤和单元中对应的描述,在此不赘述。所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的设备和模块的具体工作过程,可以参考前述方法实施例中的对应过程描述,在此不再赘述。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
本发明公开了:A1.一种网络安全运维管理方法,其包括:
对网络进行实时检测,获取检测过程中产生的至少一条告警信息;
生成包含所述至少一条告警信息的告警工单列表页面,以供用户查看所述至少一条告警信息;
接收用户在所述告警工单列表页面触发的对任一告警信息的告警处理操作,启动对该告警信息的告警处理监控流程。
A2.根据A1所述的方法,其中,所述告警信息包括:告警源设备信息、告警目标设备信息、告警类型、告警等级和/或告警详细信息。
A3.根据A1所述的方法,其中,所述对网络进行实时检测,获取检测过程中产生的至少一条告警信息进一步包括:
对网络进行实时检测,获取原始告警日志;其中,所述实时检测包括流量威胁检测、文件威胁检测、终端威胁检测和/或邮件威胁检测;
对所述原始告警日志进行聚合关联分析,得到至少一条告警信息。
A4.根据A3所述的方法,其中,所述对所述原始告警日志进行聚合关联分析,得到至少一条告警信息进一步包括:
针对于任一攻击节点,将原始告警日志中对应于该攻击节点的日志信息进行聚合处理,以生成与该攻击节点对应的至少一条告警信息;
和/或,
获取具有关联性的多个攻击节点;所述具有关联性的多个攻击节点对应于同一攻击场景;
将原始告警日志中对应于所述多个攻击节点的日志信息进行聚合处理,以生成与所述多个攻击节点对应的至少一条告警信息。
A5.根据A1-A4中任一项所述的方法,其中,所述接收用户在所述告警工单列表页面触发的对任一告警信息的告警处理操作,启动对该告警信息的告警处理监控流程进一步包括:
接收用户在所述告警工单列表页面触发的对任一告警信息的告警处理操作,获取该告警信息;
根据所述告警信息确定启动对应的告警处理监控流程;所述告警处理监控流程包括:告警事件确认、目标设备反馈、访问管控、通报处理和/或告警状态处理。
本发明还公开了:B6.一种网络安全运维管理装置,其包括:
获取模块,适于对网络进行实时检测,获取检测过程中产生的至少一条告警信息;
生成模块,适于生成包含所述至少一条告警信息的告警工单列表页面,以供用户查看所述至少一条告警信息;
启动模块,适于接收用户在所述告警工单列表页面触发的对任一告警信息的告警处理操作,启动对该告警信息的告警处理监控流程。
B7.根据B6所述的装置,其中,所述告警信息包括:告警源设备信息、告警目标设备信息、告警类型、告警等级和/或告警详细信息。
B8.根据B6所述的装置,其中,所述获取模块进一步适于:
对网络进行实时检测,获取原始告警日志;其中,所述实时检测包括流量威胁检测、文件威胁检测、终端威胁检测和/或邮件威胁检测;
对所述原始告警日志进行聚合关联分析,得到至少一条告警信息。
B9.根据B8所述的装置,其中,所述获取模块进一步适于:
针对于任一攻击节点,将原始告警日志中对应于该攻击节点的日志信息进行聚合处理,以生成与该攻击节点对应的至少一条告警信息;
和/或,
获取具有关联性的多个攻击节点;所述具有关联性的多个攻击节点对应于同一攻击场景;
将原始告警日志中对应于所述多个攻击节点的日志信息进行聚合处理,以生成与所述多个攻击节点对应的至少一条告警信息。
B10.根据B6-B9中任一项所述的装置,其中,所述启动模块进一步适于:
接收用户在所述告警工单列表页面触发的对任一告警信息的告警处理操作,获取该告警信息;
根据所述告警信息确定启动对应的告警处理监控流程;所述告警处理监控流程包括:告警事件确认、目标设备反馈、访问管控、通报处理和/或告警状态处理。
本发明还公开了:C11.一种计算设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行如A1-A5中任一项所述的网络安全运维管理方法对应的操作。
本发明还公开了:D12.一种计算机存储介质,所述存储介质中存储有至少一可执行指令,所述可执行指令使处理器执行如A1-A5中任一项所述的网络安全运维管理方法对应的操作。

Claims (10)

1.一种网络安全运维管理方法,其包括:
对网络进行实时检测,获取检测过程中产生的至少一条告警信息;
生成包含所述至少一条告警信息的告警工单列表页面,以供用户查看所述至少一条告警信息;
接收用户在所述告警工单列表页面触发的对任一告警信息的告警处理操作,启动对该告警信息的告警处理监控流程。
2.根据权利要求1所述的方法,其中,所述告警信息包括:告警源设备信息、告警目标设备信息、告警类型、告警等级和/或告警详细信息。
3.根据权利要求1所述的方法,其中,所述对网络进行实时检测,获取检测过程中产生的至少一条告警信息进一步包括:
对网络进行实时检测,获取原始告警日志;其中,所述实时检测包括流量威胁检测、文件威胁检测、终端威胁检测和/或邮件威胁检测;
对所述原始告警日志进行聚合关联分析,得到至少一条告警信息。
4.根据权利要求3所述的方法,其中,所述对所述原始告警日志进行聚合关联分析,得到至少一条告警信息进一步包括:
针对于任一攻击节点,将原始告警日志中对应于该攻击节点的日志信息进行聚合处理,以生成与该攻击节点对应的至少一条告警信息;
和/或,
获取具有关联性的多个攻击节点;所述具有关联性的多个攻击节点对应于同一攻击场景;
将原始告警日志中对应于所述多个攻击节点的日志信息进行聚合处理,以生成与所述多个攻击节点对应的至少一条告警信息。
5.根据权利要求1-4中任一项所述的方法,其中,所述接收用户在所述告警工单列表页面触发的对任一告警信息的告警处理操作,启动对该告警信息的告警处理监控流程进一步包括:
接收用户在所述告警工单列表页面触发的对任一告警信息的告警处理操作,获取该告警信息;
根据所述告警信息确定启动对应的告警处理监控流程;所述告警处理监控流程包括:告警事件确认、目标设备反馈、访问管控、通报处理和/或告警状态处理。
6.一种网络安全运维管理装置,其包括:
获取模块,适于对网络进行实时检测,获取检测过程中产生的至少一条告警信息;
生成模块,适于生成包含所述至少一条告警信息的告警工单列表页面,以供用户查看所述至少一条告警信息;
启动模块,适于接收用户在所述告警工单列表页面触发的对任一告警信息的告警处理操作,启动对该告警信息的告警处理监控流程。
7.根据权利要求6所述的装置,其中,所述告警信息包括:告警源设备信息、告警目标设备信息、告警类型、告警等级和/或告警详细信息。
8.根据权利要求6所述的装置,其中,所述获取模块进一步适于:
对网络进行实时检测,获取原始告警日志;其中,所述实时检测包括流量威胁检测、文件威胁检测、终端威胁检测和/或邮件威胁检测;
对所述原始告警日志进行聚合关联分析,得到至少一条告警信息。
9.一种计算设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行如权利要求1-5中任一项所述的网络安全运维管理方法对应的操作。
10.一种计算机存储介质,所述存储介质中存储有至少一可执行指令,所述可执行指令使处理器执行如权利要求1-5中任一项所述的网络安全运维管理方法对应的操作。
CN201911406185.5A 2019-12-31 2019-12-31 网络安全运维管理方法、装置、计算设备及存储介质 Pending CN113127856A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911406185.5A CN113127856A (zh) 2019-12-31 2019-12-31 网络安全运维管理方法、装置、计算设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911406185.5A CN113127856A (zh) 2019-12-31 2019-12-31 网络安全运维管理方法、装置、计算设备及存储介质

Publications (1)

Publication Number Publication Date
CN113127856A true CN113127856A (zh) 2021-07-16

Family

ID=76768674

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911406185.5A Pending CN113127856A (zh) 2019-12-31 2019-12-31 网络安全运维管理方法、装置、计算设备及存储介质

Country Status (1)

Country Link
CN (1) CN113127856A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113900755A (zh) * 2021-10-11 2022-01-07 重庆紫光华山智安科技有限公司 告警页面处理方法、装置、计算机设备及可读存储介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113900755A (zh) * 2021-10-11 2022-01-07 重庆紫光华山智安科技有限公司 告警页面处理方法、装置、计算机设备及可读存储介质
CN113900755B (zh) * 2021-10-11 2024-04-16 重庆紫光华山智安科技有限公司 告警页面处理方法、装置、计算机设备及可读存储介质

Similar Documents

Publication Publication Date Title
CN108881211B (zh) 一种违规外联检测方法及装置
CN107196895B (zh) 网络攻击溯源实现方法及装置
WO2018218537A1 (zh) 工业控制系统及其网络安全的监视方法
CN110164101B (zh) 一种处理报警信息的方法及设备
CN112534432A (zh) 不熟悉威胁场景的实时缓解
CN105678193B (zh) 一种防篡改的处理方法和装置
CN114006723B (zh) 基于威胁情报的网络安全预测方法、装置及系统
CN112163198B (zh) 一种主机登录安全检测方法、系统、装置及存储介质
CN111193738A (zh) 一种工业控制系统的入侵检测方法
CN113660115A (zh) 基于告警的网络安全数据处理方法、装置及系统
CN114189361B (zh) 防御威胁的态势感知方法、装置及系统
CN102209006B (zh) 规则测试设备及方法
CN113315785B (zh) 一种告警消减方法、装置、设备和计算机可读存储介质
CN112650180B (zh) 安全告警方法、装置、终端设备及存储介质
CN110737565A (zh) 一种数据监控方法、装置、电子设备及存储介质
CN114050937A (zh) 邮箱服务不可用的处理方法、装置、电子设备及存储介质
CN113127856A (zh) 网络安全运维管理方法、装置、计算设备及存储介质
CN109462617B (zh) 一种局域网中设备通讯行为检测方法及装置
CN114338189B (zh) 基于节点拓扑关系链的态势感知防御方法、装置及系统
CN114205169B (zh) 网络安全防御方法、装置及系统
CN114301796B (zh) 预测态势感知的验证方法、装置及系统
CN114006719B (zh) 基于态势感知的ai验证方法、装置及系统
CN116382952A (zh) 一种异常处理方法、装置和系统
CN113660223B (zh) 基于告警信息的网络安全数据处理方法、装置及系统
US20220309171A1 (en) Endpoint Security using an Action Prediction Model

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination