CN113315784A - 一种安全事件的处理方法、装置、设备和介质 - Google Patents

一种安全事件的处理方法、装置、设备和介质 Download PDF

Info

Publication number
CN113315784A
CN113315784A CN202110700499.7A CN202110700499A CN113315784A CN 113315784 A CN113315784 A CN 113315784A CN 202110700499 A CN202110700499 A CN 202110700499A CN 113315784 A CN113315784 A CN 113315784A
Authority
CN
China
Prior art keywords
data traffic
attack
security
security event
processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110700499.7A
Other languages
English (en)
Inventor
纪侨斌
农乐安
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sangfor Technologies Co Ltd
Original Assignee
Sangfor Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sangfor Technologies Co Ltd filed Critical Sangfor Technologies Co Ltd
Priority to CN202110700499.7A priority Critical patent/CN113315784A/zh
Publication of CN113315784A publication Critical patent/CN113315784A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请实施例公开了一种安全事件的处理方法、装置、设备和介质,截获数据流量。为了对可能存在安全风险的数据流量自动化进行安全分析,可以设置安全事件触发条件。在数据流量满足设定的安全事件触发条件的情况下,说明当前的数据流量存在攻击行为,此时可以调用对应的安全处置规则对数据流量进行处理,从而实现对具有安全风险的数据流量快速及时的处理。在该技术方案中,基于优先级信息和/或攻击记录信息设置安全事件触发条件,可以检测到存在安全风险的数据流量,实现了对数据流量安全性的快速分析,提升了安全事件的分析效率,并且在满足安全事件触发条件时自动执行安全处置规则,实现了安全事件的全自动化响应。

Description

一种安全事件的处理方法、装置、设备和介质
技术领域
本申请涉及网络安全技术领域,特别是涉及一种安全事件的处理方法、装置、设备和计算机可读存储介质。
背景技术
安全运营中心(Security Operations Center,SOC)通过收集所有网内资产的安全信息,并进行相互之间的分析、印证,从多角度对网内资产进行安全分析和评估。
但是目前安全运营中心对网内资产进行安全分析和评估过程主要依靠人工实现,网内资产产生的安全事件的处理属于半自动响应,大量的安全事件都需要安全分析人员的分析,这样会导致运营成本较高。并且人工分析的过程中,效率无法保证,时间可能经常被浪费在低级别和无关紧要的安全事件分析上。
可见,如何提升安全事件的分析效率,是本领域技术人员需要解决的问题。
发明内容
本申请实施例的目的是提供一种安全事件的处理方法、装置、设备和计算机可读存储介质,可以提升安全事件的分析效率。
为解决上述技术问题,本申请实施例提供一种安全事件的处理方法,包括:
截获数据流量;
在数据流量满足设定的安全事件触发条件的情况下,调用对应的安全处置规则对所述数据流量进行处理;其中,所述安全事件触发条件包括优先级信息和/或攻击记录信息。
可选地,还包括:
利用设定的安全检测方式对所述数据流量进行分析,以得到是否存在安全事件的分析结果;
基于所述分析结果对所述数据流量进行处理。
可选地,所述安全处置规则包括不同攻击类型对应的处置动作;相应的,所述基于所述分析结果对所述数据流量进行处理包括:
在所述分析结果为所述数据流量存在攻击行为的情况下,基于所述攻击行为所属的攻击类型,将所述数据流量按照所述攻击类型对应的处置动作进行处理。
可选地,还包括:在所述分析结果为所述数据流量不存在攻击行为的情况下,基于所述数据流量和所述分析结果,对所述安全事件触发条件和/或安全处置规则进行更新。
可选地,每种安全检测方式有其对应的一个分析结果,在各分析结果均为所述数据流量不存在攻击行为的情况下,方法还包括:
对所有所述分析结果中包含的行为类型进行关联性分析;
在所有所述分析结果存在满足关联关系要求的行为类型的情况下,将所述数据流量的特征信息以及满足关联关系要求的行为类型记录至所述安全事件触发条件中。
可选地,所述在数据流量满足设定的安全事件触发条件的情况下,调用对应的安全处置规则对所述数据流量进行处理包括:
在所述数据流量的攻击类型属于高优先级的情况下,对所述数据流量执行所述攻击类型匹配的处置动作。
可选地,所述攻击记录信息包括攻击类型和攻击次数;相应的,所述在数据流量满足设定的安全事件触发条件的情况下,调用对应的安全处置规则对所述数据流量进行处理包括:
判断所述攻击记录信息中所述数据流量的攻击类型对应的攻击次数是否达到预设阈值;
在所述数据流量的攻击类型对应的攻击次数达到预设阈值的情况下,对所述数据流量执行所述攻击类型匹配的处置动作;
在所述数据流量的攻击类型对应的攻击次数未达到预设阈值的情况下,将所述数据流量对应的攻击次数加一。
可选地,所述安全处置规则包括启动时间;相应的,在所述对所述数据流量执行所述攻击类型匹配的处置动作之前还包括:
判断当前时间是否满足所述数据流量对应的安全处置规则中的启动时间;
若当前时间满足所述数据流量对应的安全处置规则中的启动时间,则执行所述对所述数据流量执行所述攻击类型匹配的处置动作的步骤。
可选地,还包括:
若当前时间不满足所述数据流量对应的安全处置规则中的启动时间,则对所述数据流量对应的攻击次数加一。
本申请实施例还提供了一种安全事件的处理装置,包括截获单元处理单元;
所述截获单元,用于截获数据流量;
所述处理单元,用于在数据流量满足设定的安全事件触发条件的情况下,调用对应的安全处置规则对所述数据流量进行处理;其中,所述安全事件触发条件包括优先级信息和/或攻击记录信息。
可选地,还包括分析单元和第二处理单元;
所述分析单元,用于利用设定的安全检测方式对所述数据流量进行分析,以得到是否存在安全事件的分析结果;
所述第二处理单元,用于基于所述分析结果对所述数据流量进行处理。
可选地,所述安全处置规则包括不同攻击类型对应的处置动作;相应的,所述第二处理单元用于在所述分析结果为所述数据流量存在攻击行为的情况下,基于所述攻击行为所属的攻击类型,将所述数据流量按照所述攻击类型对应的处置动作进行处理。
可选地,还包括更新单元;
所述更新单元,用于在所述分析结果为所述数据流量不存在攻击行为的情况下,基于所述数据流量和所述分析结果,对所述安全事件触发条件和/或安全处置规则进行更新。
可选地,每种安全检测方式有其对应的一个分析结果,在各分析结果均为所述数据流量不存在攻击行为的情况下,所述装置还包括关联分析单元;
所述关联分析单元用于对所有所述分析结果中包含的行为类型进行关联性分析;在所有所述分析结果中存在满足关联关系要求的行为类型的情况下,将所述数据流量的特征信息以及满足关联关系要求的行为类型记录至所述安全事件触发条件中。
可选地,所述处理单元,用于在所述数据流量的攻击类型属于高优先级的情况下,对所述数据流量执行所述攻击类型匹配的处置动作。
可选地,所述攻击记录信息包括攻击类型和攻击次数;相应的,所述处理单元包括判断子单元、执行子单元和修改子单元;
所述判断子单元,用于判断所述历史数据中所述目标历史数据的攻击类型对应的攻击次数是否达到预设阈值;
所述执行子单元,用于在所述数据流量的攻击类型对应的攻击次数达到预设阈值的情况下,对所述数据流量执行所述攻击类型匹配的处置动作;
所述修改子单元,用于在所述数据流量的攻击类型对应的攻击次数未达到预设阈值的情况下,将所述数据流量对应的攻击次数加一。
可选地,所述安全处置规则包括启动时间;所述装置还包括时间判断单元;
所述时间判断单元,用于判断当前时间是否满足所述数据流量对应的安全处置规则中的启动时间;若当前时间满足所述数据流量对应的安全处置规则中的启动时间,则执行所述基于所述数据流量对应的安全处置规则,对所述数据流量进行处理的步骤。
可选地,还包括修改单元;
所述修改单元,用于若当前时间不满足所述数据流量对应的安全处置规则中的启动时间,则对所述数据流量对应的攻击次数加一。
本申请实施例还提供了一种安全事件的处理设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序以实现如上述任意一项所述安全事件的处理方法的步骤。
本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述任意一项所述安全事件的处理方法的步骤。
由上述技术方案可以看出,截获数据流量。为了实现对可能存在安全风险的数据流量自动化进行安全分析,可以设置安全事件触发条件。在截获数据流量之后,可以判断数据流量是否满足设定的安全事件触发条件。在数据流量满足设定的安全事件触发条件的情况下,说明当前的数据流量存在攻击行为,此时可以调用对应的安全处置规则对数据流量进行处理,从而实现对具有安全风险的数据流量快速及时的处理。在该技术方案中,基于优先级信息和/或攻击记录信息设置安全事件触发条件,可以检测到存在安全风险的数据流量,并且在满足安全事件触发条件时自动执行安全处置规则,实现了对数据流量安全性的快速分析,提升了安全事件的分析效率,实现了安全事件的全自动化响应。
附图说明
为了更清楚地说明本申请实施例,下面将对实施例中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种安全事件的处理方法的流程图;
图2为本申请实施例提供的一种基于多角度分析安全事件的方法的流程图;
图3为本申请实施例提供的一种安全事件的处理装置的结构示意图;
图4为本申请实施例提供的一种安全事件的处理设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下,所获得的所有其他实施例,都属于本申请保护范围。
为了使本技术领域的人员更好地理解本申请方案,下面结合附图和具体实施方式对本申请作进一步的详细说明。
传统方式中,安全运营中心采集网内资产的安全信息,然后依靠人工分析的方式对安全信息进行分析、印证,实现对网内资产的安全分析和评估。但是人工分析的实现方式,会导致运营成本较高,并且分析效率无法保证。
故此,本申请实施例提供了一种安全事件的处理方法、装置、设备和计算机可读存储介质,截获数据流量;在数据流量满足设定的安全事件触发条件的情况下,说明当前的数据流量存在攻击行为,此时可以调用对应的安全处置规则对数据流量进行处理,从而实现对具有安全风险的数据流量的全自动化响应。
接下来,详细介绍本申请实施例所提供的一种安全事件的处理方法。图1为本申请实施例提供的一种安全事件的处理方法的流程图,该方法包括:
S101:截获数据流量。
数据流量可以是系统中各设备产生的数据流量。其中,设备可以为终端设备、服务器和/或网关设备等。一台设备在连续时间内产生的数据流量可以看作是一个安全事件。
数据流量中往往包含有源IP地址、目的IP地址、源端口和目的端口。当设备被非法攻击时,设备的动作行为会出现异常,其会反映到设备产生的数据流量上。例如,设备短时间内频繁访问同一个目的IP地址等。
通过截获数据流量,以实现对数据流量的安全性分析,当数据流量通过安全性分析时,才执行该数据流量包含的动作行为。
S102:在数据流量满足设定的安全事件触发条件的情况下,调用对应的安全处置规则对数据流量进行处理。
在本申请实施例中,为了实现对数据流量安全性的快速识别,可以设置安全事件触发条件。考虑到不同类型的攻击行为其对系统造成的影响程度不同,因此可以针对于不同类型的攻击行为设置优先级,相应的,安全事件触发条件可以包括优先级信息,该优先级信息中记录不同类型的攻击行为对应的优先级。
当一种类型的攻击行为频繁发生时,说明该攻击行为存在威胁,因此在本申请实施例中,可以对发生的攻击行为进行记录,得到攻击记录信息。安全事件触发条件可以包括攻击记录信息。
不同类型的攻击行为可以对应不同的安全处置规则,安全处置规则包含了对数据流量的处理方式,例如,对数据流量中包含的请求进行拒绝或者执行封锁又或者是加入黑名单等。
以攻击记录信息为例,攻击记录信息可以包括攻击类型和攻击次数等。
在实际应用中,可以预先对历史安全事件的数据流量进行分析,从而得到包含攻击行为的历史数据。在攻击记录信息中可以记录历史数据对应的攻击类型,以及每种攻击类型对应的攻击次数。
每种类型的历史数据可以包括源IP地址、目的IP地址、源端口和目的端口,因此在截获数据流量后,可以查询历史数据中是否存在与数据流量具有相同源IP地址、目的IP地址、源端口和/或目的端口的历史数据。为了便于区分,在本申请实施例中,可以将历史数据中与数据流量具有相同源IP地址、目的IP地址、源端口和/或目的端口的历史数据称作目标历史数据。
攻击记录信息中可以记录历史数据对应的攻击类型和攻击次数。
攻击类型用于区分不同类型的攻击行为。每种攻击类型有其对应的数据分布规律,基于流量数据中数据分布规律可以确定出数据流量对应的攻击类型。
不同攻击类型对系统造成的威胁程度有所差异,因此在本申请实施例中,可以基于不同的攻击类型设置不同的处置动作。处置动作可以包括拒绝、封锁或加入黑名单等。拒绝表示不执行当前数据流量中包含的动作行为;封锁表示在设定的时间段内不执行数据流量中包含的动作行为;加入黑名单表示永久性的不执行数据流量中包含的动作行为。
攻击类型可以包括SQL(Structured Query Language,结构化查询语言)注入攻击、网页后门(WEBSHELL)攻击、XSS(Cross Site Scripting,跨站脚本攻击)等。
在历史数据中可以查询到与数据流量具有相同源IP地址、目的IP地址、源端口和/或目的端口的目标历史数据,攻击记录信息中记录的目标历史数据中攻击类型对应的攻击次数,即为数据流量中相同攻击类型对应的攻击次数。在实际应用中,可以判断攻击记录信息中数据流量的攻击类型对应的攻击次数是否达到预设阈值;在数据流量的攻击类型对应的攻击次数达到预设阈值的情况下,说明发生此类攻击行为的次数较为频繁,此时可以对数据流量执行攻击类型匹配的处置动作。在数据流量的攻击类型对应的攻击次数未达到预设阈值的情况下,说明当前数据流量中包含的动作行为对系统造成的安全威胁较低,为了避免系统安全性的误判,可以对数据流量放行。为了记录此次低风险的威胁行为,可以将数据流量对应的攻击次数加一。
以优先级信息为例,在实际应用中,可以基于不同攻击类型对系统造成的威胁程度,对各攻击类型设置优先级。将威胁程度较高的攻击类型设定为高优先级。
在实际应用中,在数据流量的攻击类型属于高优先级的情况下,说明数据流量一旦进入到系统的应用层,会对系统安全造成极大的威胁。因此在数据流量的攻击类型属于高优先级的情况下,可以直接对数据流量执行攻击类型匹配的处置动作,从而有效的避免数据流量进入到系统的应用层。
需要说明的是,在本申请实施例中,安全事件触发条件可以同时包括优先级信息和攻击记录信息。
在实际应用中,可以先判断数据流量的攻击类型是否属于高优先级;在数据流量的攻击类型属于高优先级的情况下,对数据流量执行攻击类型匹配的处置动作。在数据流量的攻击类型不属于高优先级的情况下,判断攻击记录信息中数据流量的攻击类型对应的攻击次数是否达到预设阈值;在数据流量的攻击类型对应的攻击次数达到预设阈值的情况下,对数据流量执行攻击类型匹配的处置动作。
也可以先判断攻击记录信息中数据流量的攻击类型对应的攻击次数是否达到预设阈值;在数据流量的攻击类型对应的攻击次数达到预设阈值的情况下,对数据流量执行攻击类型匹配的处置动作。在数据流量的攻击类型对应的攻击次数未达到预设阈值的情况下,判断数据流量的攻击类型是否属于高优先级。在数据流量的攻击类型属于高优先级的情况下,对数据流量执行攻击类型匹配的处置动作。在数据流量的攻击类型不属于高优先级的情况下,将数据流量对应的攻击次数加一。
由上述技术方案可以看出,截获数据流量。为了实现对可能存在安全风险的数据流量自动化进行安全分析,可以设置安全事件触发条件。在截获数据流量之后,可以判断数据流量是否满足设定的安全事件触发条件。在数据流量满足设定的安全事件触发条件的情况下,说明当前的数据流量存在攻击行为,此时可以调用对应的安全处置规则对数据流量进行处理,从而实现对具有安全风险的数据流量快速及时的处理。在该技术方案中,基于优先级信息和/或攻击记录信息设置安全事件触发条件,可以检测到存在安全风险的数据流量,实现了对数据流量安全性的快速分析,提升了安全事件的分析效率,并且在满足安全事件触发条件时自动执行安全处置规则,实现了安全事件的全自动化响应。
上述介绍中在数据流量满足设定的安全事件触发条件的情况下,调用对应的安全处置规则对数据流量进行处理。除此之外,也可以利用设定的安全检测方式对数据流量进行分析,以得到是否存在安全事件的分析结果;基于分析结果对数据流量进行处理。
在本申请实施例中,为了保证安全事件分析的可靠性和准确性,可以将满足触发条件时调用安全处置规则对数据流量进行处理的方式,和利用安全检测方式对数据流量进行处理的方式相结合,例如,可以在安全事件触发条件的基础上,增加利用安全检测方式对数据流量进行分析的操作,实现对数据流量的多角度分析。如图2所示为本申请实施例提供的一种基于多角度分析安全事件的方法的流程图,该方法包括:
S201:截获数据流量。
S202:在数据流量满足设定的安全事件触发条件的情况下,调用对应的安全处置规则对数据流量进行处理。
S201至S202的实现流程可以参见上述S101至S102的操作流程,在此不再赘述。
S203:在数据流量不满足设定的安全事件触发条件的情况下,利用设定的安全检测方式对数据流量进行分析,以得到是否存在安全事件的分析结果。
安全检测方式可以有多种。举例说明,安全检测方式可以包括IPS(IntrusionPrevention System,入侵防御系统)、WAF(Web Application Firewall,网页应用防火墙)、UTM(Unified Threat Management、统一威胁管理)。
不同类型的安全检测方式可以实现对不同类型的攻击行为的识别。
在本申请实施例中,可以基于不同的安全检测方式分别对数据流量进行攻击行为的分析,以得到各自对应的分析结果,从而基于分析结果对数据流量进行处理。
分析结果可能为数据流量存在攻击行为,也可能为数据流量不存在攻击行为。针对于不同的分析结果,可以执行不同的处理方式。在在分析结果为数据流量存在攻击行为的情况下,可以执行S204;在分析结果为数据流量不存在攻击行为的情况下,可以执行S205。
需要说明的是,在本申请实施例中,S202和S203属于两种不同情况下的处理方式,并无先后顺序上的限定。在数据流量满足设定的安全事件触发条件的情况下,执行S202;在数据流量不满足设定的安全事件触发条件的情况下,执行S203。
S204:在分析结果为数据流量存在攻击行为的情况下,基于攻击行为所属的攻击类型,将数据流量按照攻击类型对应的处置动作进行处理。
S205:在分析结果为数据流量不存在攻击行为的情况下,基于数据流量和分析结果,对安全事件触发条件和/或安全处置规则进行更新。
在数据流量不存在攻击行为的情况下,考虑到该数据流量有可能存在低风险的威胁行为,为了充分考虑数据流量中包含的风险因素,可以基于数据流量和分析结果,对安全事件触发条件和/或安全处置规则进行更新。
安全事件触发条件的更新可以包括对优先级信息的更新或者攻击记录信息的更新。通过更新安全事件触发条件可以更好的贴合实际的安全分析需求。
每种类型的攻击行为有其对应的安全处理规则,在本申请实施例中,对安全处置规则的更新可以是调整攻击类型和安全处置规则的对应关系。
每种类型的安全检测方式对数据流量进行攻击行为的分析,都会得到对应的分析结果。在每个分析结果不包含攻击行为的情况下,分析结果中可能会包含低风险的威胁行为,在进行攻击行为分析时,不会将其判定为攻击行为。但是考虑到攻击行为的隐蔽性,具有关联性的低风险的威胁行为进行结合,也可能对系统安全带来较高风险。
因此在实际应用中,可以对多个分析结果中包含的行为类型进行关联性分析;在多个分析结果中存在满足关联关系要求的行为类型的情况下,将数据流量的特征信息以及满足关联关系要求的行为类型记录至安全事件触发条件中。
其中,数据流量的特征信息可以是低风险的威胁行为对应的数据流量。
具有较高风险的行为往往具有攻击逻辑上的先后顺序。关联性分析可以对分析结果中包含的行为类型的先后顺序进行分析。
关联关系要求可以包含对系统安全造成威胁的具有关联性的各行为类型以及各行为类型的先后顺序。
需要说明的是,在本申请实施例中,S204和S205属于两种不同情况下的处理方式,并无先后顺序上的限定,在分析结果为数据流量存在攻击行为的情况下,执行S204;在分析结果为数据流量不存在攻击行为的情况下,执行S205。
在本申请实施例中,在分析结果中存在满足关联关系要求的行为类型的情况下,可以将数据流量的特征信息以及满足关联关系要求的行为类型记录至安全事件触发条件,在下次出现具有相同的特征信息和行为类型的数据流量时,可以直接调用对应的安全处置规则对该数据流量进行处理。而对于本次截获的数据流量,若数据流量未达到系统的应用层,可以及时对数据流量进行拦截,降低数据流量对系统安全造成的威胁。若数据流量已经达到系统的应用层,此时可以进行告警提示,以便于管理人员可以及时对该数据流量对应的动作行为进行制止。
在本申请实施例中,截获数据流量;在数据流量满足设定的安全事件触发条件的情况下,调用对应的安全处置规则对数据流量进行处理。在数据流量不满足设定的安全事件触发条件的情况下,可以利用设定的安全检测方式对数据流量进行分析,以得到是否存在安全事件的分析结果。在分析结果为数据流量存在攻击行为的情况下,可以基于攻击行为所属的攻击类型,将数据流量按照攻击类型对应的处置动作进行处理。在分析结果为数据流量不存在攻击行为的情况下,考虑到该数据流量可能存在低风险的威胁行为,为了充分考虑数据流量中包含的风险因素,可以基于数据流量和分析结果,对安全事件触发条件和/或安全处置规则进行更新,当后续出现相同的低风险的威胁行为的情况下,可以及时处理。在该技术方案中,通过将安全事件触发条件和安全检测方式进行结合,保证了安全事件分析的可靠性和准确性。并且通过对安全事件触发条件和/或安全处置规则行更新,使得安全事件触发条件和/或安全处置规则更加贴合系统的安全检测需求。
考虑到实际应用中,系统在一些时间段会有专门的管理人员进行管控和维护,在管理人员进行管控和维护阶段,上述提及的安全事件的处理流程可以不用开启。因此为了降低系统的消耗,在本申请实施例中,可以在安全处置规则中设置启动时间,启动时间可以是设定的时间范围。
例如,银行的安全系统,白天早上八点至晚上六点一直有专门的管理人员对系统进行安全管控,晚上六点之后至第二天的早上八点之前是系统安全管理的薄弱环节,因此,可以将安全处置规则的启动时间设置为晚上六点至早上八点。
在本申请实施例中,安全处置规则可以包括启动时间;相应的,在对数据流量执行攻击类型匹配的处置动作之前,可以判断当前时间是否满足数据流量对应的安全处置规则中的启动时间。
若当前时间满足数据流量对应的安全处置规则中的启动时间,则执行基于数据流量对应的安全处置规则,对数据流量进行处理的步骤。若当前时间不满足数据流量对应的安全处置规则中的启动时间,说明此时安全处置规则未生效,系统不会对数据流量进行处理,为了实时记录数据流量的执行情况,可以对安全事件触发条件中该数据流量对应的攻击次数加一。
通过在安全处理规则中设置启动时间,可以根据系统实际的安全检测需求动态调整安全处理规则的生效时间。相比于一直运行安全事件的处理流程,通过设置启动时间既可以满足系统的安全检测需求,也可以降低执行安全事件的处理流程对系统的资源消耗。
图3为本申请实施例提供的一种安全事件的处理装置的结构示意图,包括截获单元31和处理单元32;
截获单元31,用于截获数据流量;
处理单元32,用于在数据流量满足设定的安全事件触发条件的情况下,调用对应的安全处置规则对数据流量进行处理;其中,安全事件触发条件包括优先级信息和/或攻击记录信息。
可选地,还包括分析单元和第二处理单元;
分析单元,用于利用设定的安全检测方式对数据流量进行分析,以得到是否存在安全事件的分析结果;
第二处理单元,用于基于分析结果对数据流量进行处理。
可选地,安全处置规则包括不同攻击类型对应的处置动作;相应的,第二处理单元用于在分析结果为数据流量存在攻击行为的情况下,基于攻击行为所属的攻击类型,将数据流量按照攻击类型对应的处置动作进行处理。
可选地,还包括更新单元;
更新单元,用于在分析结果为数据流量不存在攻击行为的情况下,基于数据流量和分析结果,对安全事件触发条件和/或安全处置规则进行更新。
可选地,每种安全检测方式有其对应的一个分析结果,在各分析结果均为数据流量不存在攻击行为的情况下,装置还包括关联分析单元;
关联分析单元用于对所有分析结果中包含的行为类型进行关联性分析;在所有分析结果中存在满足关联关系要求的行为类型的情况下,将数据流量的特征信息以及满足关联关系要求的行为类型记录至安全事件触发条件中。
可选地,处理单元,用于在数据流量的攻击类型属于高优先级的情况下,对数据流量执行攻击类型匹配的处置动作。
可选地,攻击记录信息包括攻击类型和攻击次数;相应的,处理单元包括判断子单元、执行子单元和修改子单元;
判断子单元,用于判断历史数据中目标历史数据的攻击类型对应的攻击次数是否达到预设阈值;
执行子单元,用于在数据流量的攻击类型对应的攻击次数达到预设阈值的情况下,对数据流量执行攻击类型匹配的处置动作;
修改子单元,用于在数据流量的攻击类型对应的攻击次数未达到预设阈值的情况下,将数据流量对应的攻击次数加一。
可选地,安全处置规则包括启动时间;装置还包括时间判断单元;
时间判断单元,用于判断当前时间是否满足数据流量对应的安全处置规则中的启动时间;若当前时间满足数据流量对应的安全处置规则中的启动时间,则执行基于数据流量对应的安全处置规则,对数据流量进行处理的步骤。
可选地,还包括修改单元;
修改单元,用于若当前时间不满足数据流量对应的安全处置规则中的启动时间,则对数据流量对应的攻击次数加一。
图3所对应实施例中特征的说明可以参见图1和图2所对应实施例的相关说明,这里不再一一赘述。
由上述技术方案可以看出,截获数据流量。为了实现对可能存在安全风险的数据流量自动化进行安全分析,可以设置安全事件触发条件。在截获数据流量之后,可以判断数据流量是否满足设定的安全事件触发条件。在数据流量满足设定的安全事件触发条件的情况下,说明当前的数据流量存在攻击行为,此时可以调用对应的安全处置规则对数据流量进行处理,从而实现对具有安全风险的数据流量快速及时的处理。在该技术方案中,基于优先级信息和/或攻击记录信息设置安全事件触发条件,可以检测到存在安全风险的数据流量,实现了对数据流量安全性的快速分析,提升了安全事件的分析效率,并且在满足安全事件触发条件时自动执行安全处置规则,实现了安全事件的全自动化响应。
图4为本申请实施例提供的一种安全事件的处理设备40的结构示意图,包括:
存储器41,用于存储计算机程序;
处理器42,用于执行计算机程序以实现如上述任意一项安全事件的处理方法的步骤。
本申请实施例还提供了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如上述任意一项安全事件的处理方法的步骤。
以上对本申请实施例所提供的一种安全事件的处理方法、装置、设备和计算机可读存储介质进行了详细介绍。说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。

Claims (12)

1.一种安全事件的处理方法,其特征在于,包括:
截获数据流量;
在数据流量满足设定的安全事件触发条件的情况下,调用对应的安全处置规则对所述数据流量进行处理;其中,所述安全事件触发条件包括优先级信息和/或攻击记录信息。
2.根据权利要求1所述的安全事件的处理方法,其特征在于,还包括:
利用设定的安全检测方式对所述数据流量进行分析,以得到是否存在安全事件的分析结果;
基于所述分析结果对所述数据流量进行处理。
3.根据权利要求2所述的安全事件的处理方法,其特征在于,所述安全处置规则包括不同攻击类型对应的处置动作;相应的,所述基于所述分析结果对所述数据流量进行处理包括:
在所述分析结果为所述数据流量存在攻击行为的情况下,基于所述攻击行为所属的攻击类型,将所述数据流量按照所述攻击类型对应的处置动作进行处理。
4.根据权利要求3所述的安全事件的处理方法,其特征在于,还包括:在所述分析结果为所述数据流量不存在攻击行为的情况下,基于所述数据流量和所述分析结果,对所述安全事件触发条件和/或安全处置规则进行更新。
5.根据权利要求3所述的安全事件的处理方法,其特征在于,每种安全检测方式有其对应的一个分析结果,在各分析结果均为所述数据流量不存在攻击行为的情况下,所述方法还包括:
对所有所述分析结果中包含的行为类型进行关联性分析;
在所有所述分析结果存在满足关联关系要求的行为类型的情况下,将所述数据流量的特征信息以及满足关联关系要求的行为类型记录至所述安全事件触发条件中。
6.根据权利要求1至5任意一项所述的安全事件的处理方法,其特征在于,所述在数据流量满足设定的安全事件触发条件的情况下,调用对应的安全处置规则对所述数据流量进行处理包括:
在所述数据流量的攻击类型属于高优先级的情况下,对所述数据流量执行所述攻击类型匹配的处置动作。
7.根据权利要求1至5任意一项所述的安全事件的处理方法,其特征在于,所述攻击记录信息包括攻击类型和攻击次数;相应的,所述在数据流量满足设定的安全事件触发条件的情况下,调用对应的安全处置规则对所述数据流量进行处理包括:
判断所述攻击记录信息中所述数据流量的攻击类型对应的攻击次数是否达到预设阈值;
在所述数据流量的攻击类型对应的攻击次数达到预设阈值的情况下,对所述数据流量执行所述攻击类型匹配的处置动作;
在所述数据流量的攻击类型对应的攻击次数未达到预设阈值的情况下,将所述数据流量对应的攻击次数加一。
8.根据权利要求7所述的安全事件的处理方法,其特征在于,所述安全处置规则包括启动时间;相应的,在所述对所述数据流量执行所述攻击类型匹配的处置动作之前还包括:
判断当前时间是否满足所述数据流量对应的安全处置规则中的启动时间;
若当前时间满足所述数据流量对应的安全处置规则中的启动时间,则执行所述对所述数据流量执行所述攻击类型匹配的处置动作的步骤。
9.根据权利要求8所述的安全事件的处理方法,其特征在于,还包括:
若当前时间不满足所述数据流量对应的安全处置规则中的启动时间,则对所述数据流量对应的攻击次数加一。
10.一种安全事件的处理装置,其特征在于,包括截获单元和处理单元;
所述截获单元,用于截获数据流量;
所述处理单元,用于在数据流量满足设定的安全事件触发条件的情况下,调用对应的安全处置规则对所述数据流量进行处理;其中,所述安全事件触发条件包括优先级信息和/或攻击记录信息。
11.一种安全事件的处理设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序以实现如权利要求1至9任意一项所述安全事件的处理方法的步骤。
12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至9任意一项所述安全事件的处理方法的步骤。
CN202110700499.7A 2021-06-23 2021-06-23 一种安全事件的处理方法、装置、设备和介质 Pending CN113315784A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110700499.7A CN113315784A (zh) 2021-06-23 2021-06-23 一种安全事件的处理方法、装置、设备和介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110700499.7A CN113315784A (zh) 2021-06-23 2021-06-23 一种安全事件的处理方法、装置、设备和介质

Publications (1)

Publication Number Publication Date
CN113315784A true CN113315784A (zh) 2021-08-27

Family

ID=77380346

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110700499.7A Pending CN113315784A (zh) 2021-06-23 2021-06-23 一种安全事件的处理方法、装置、设备和介质

Country Status (1)

Country Link
CN (1) CN113315784A (zh)

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101431416A (zh) * 2008-12-10 2009-05-13 南京邮电大学 一种应用于数据网格的协同学习入侵检测方法
CN101808078B (zh) * 2009-02-13 2013-01-23 北京启明星辰信息技术股份有限公司 一种具备主动防御能力的入侵防御系统及方法
CN103905418A (zh) * 2013-11-12 2014-07-02 北京安天电子设备有限公司 一种多维度检测防御apt的系统及方法
CN105681286A (zh) * 2015-12-31 2016-06-15 中电长城网际系统应用有限公司 关联分析方法和关联分析系统
CN108234426A (zh) * 2016-12-21 2018-06-29 中国移动通信集团安徽有限公司 Apt攻击告警方法和apt攻击告警装置
CN110519251A (zh) * 2019-08-20 2019-11-29 新华三信息安全技术有限公司 一种攻击行为检测方法及装置
CN111917769A (zh) * 2020-07-30 2020-11-10 中盈优创资讯科技有限公司 一种安全事件的自动处置方法、装置和电子设备
CN112257069A (zh) * 2020-10-20 2021-01-22 福建奇点时空数字科技有限公司 一种基于流量数据分析的服务器安全事件审计方法

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101431416A (zh) * 2008-12-10 2009-05-13 南京邮电大学 一种应用于数据网格的协同学习入侵检测方法
CN101808078B (zh) * 2009-02-13 2013-01-23 北京启明星辰信息技术股份有限公司 一种具备主动防御能力的入侵防御系统及方法
CN103905418A (zh) * 2013-11-12 2014-07-02 北京安天电子设备有限公司 一种多维度检测防御apt的系统及方法
CN105681286A (zh) * 2015-12-31 2016-06-15 中电长城网际系统应用有限公司 关联分析方法和关联分析系统
CN108234426A (zh) * 2016-12-21 2018-06-29 中国移动通信集团安徽有限公司 Apt攻击告警方法和apt攻击告警装置
CN110519251A (zh) * 2019-08-20 2019-11-29 新华三信息安全技术有限公司 一种攻击行为检测方法及装置
CN111917769A (zh) * 2020-07-30 2020-11-10 中盈优创资讯科技有限公司 一种安全事件的自动处置方法、装置和电子设备
CN112257069A (zh) * 2020-10-20 2021-01-22 福建奇点时空数字科技有限公司 一种基于流量数据分析的服务器安全事件审计方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
刘国华: "网格环境下分布式入侵检测技术的应用", 《档案学通讯》 *

Similar Documents

Publication Publication Date Title
EP3588898B1 (en) Defense against apt attack
CN109922075B (zh) 网络安全知识图谱构建方法和装置、计算机设备
KR102222377B1 (ko) 위협 대응 자동화 방법
CN111327601B (zh) 异常数据响应方法、系统、装置、计算机设备和存储介质
CN110598404A (zh) 安全风险监控方法、监控装置、服务器和存储介质
CN110868403B (zh) 一种识别高级持续性攻击apt的方法及设备
CN112861132A (zh) 一种协同防护方法和装置
CN115913720A (zh) 网络防护方法、装置、电子设备及介质
CN108429746B (zh) 一种面向云租户的隐私数据保护方法及系统
CN113987508A (zh) 一种漏洞处理方法、装置、设备及介质
Jaber et al. Methods for preventing distributed denial of service attacks in cloud computing
CN113923021B (zh) 基于沙箱的加密流量处理方法、系统、设备及介质
CN113315784A (zh) 一种安全事件的处理方法、装置、设备和介质
Chen et al. An autonomic detection and protection system for denial of service attack
CN116094801A (zh) 一种安全攻击防护方法、装置、设备及可读存储介质
CN115348052A (zh) 一种多维度黑名单防护方法、装置、设备及可读存储介质
CN114257403A (zh) 误报检测方法、设备及可读存储介质
KR20050075950A (ko) 네트워크 자산의 취약성을 고려한 침입탐지시스템의로그최적화 장치
CN106993005A (zh) 一种网络服务器的预警方法及系统
CN111740976A (zh) 一种网络安全甄别研判系统及方法
CN113055362A (zh) 异常行为的预防方法、装置、设备及存储介质
JP2005175714A (ja) ネットワークにおけるアクセスの悪意度の評価装置、方法及びシステム
CN111027061A (zh) 一种基于数据包的终端病毒检测方法、装置及存储设备
CN115314244B (zh) 一种白名单安全防护方法、装置、设备及可读存储介质
CN116094848B (zh) 访问控制方法、装置、计算机设备和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20210827