CN113965406A - 网络阻断方法、装置、电子装置和存储介质 - Google Patents
网络阻断方法、装置、电子装置和存储介质 Download PDFInfo
- Publication number
- CN113965406A CN113965406A CN202111299595.1A CN202111299595A CN113965406A CN 113965406 A CN113965406 A CN 113965406A CN 202111299595 A CN202111299595 A CN 202111299595A CN 113965406 A CN113965406 A CN 113965406A
- Authority
- CN
- China
- Prior art keywords
- blocking
- network
- result
- alarm
- firewall
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
- 230000000903 blocking effect Effects 0.000 title claims abstract description 326
- 238000000034 method Methods 0.000 title claims abstract description 56
- 238000012544 monitoring process Methods 0.000 claims abstract description 51
- 238000012795 verification Methods 0.000 claims description 56
- 238000004590 computer program Methods 0.000 claims description 15
- 238000011084 recovery Methods 0.000 claims description 12
- 238000005516 engineering process Methods 0.000 abstract description 9
- 238000010586 diagram Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 230000000977 initiatory effect Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012216 screening Methods 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 238000012550 audit Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000000523 sample Substances 0.000 description 1
- 230000007480 spreading Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000013179 statistical model Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/22—Matching criteria, e.g. proximity measures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Computation (AREA)
- Artificial Intelligence (AREA)
- Computer And Data Communications (AREA)
- Evolutionary Biology (AREA)
- General Physics & Mathematics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Bioinformatics & Computational Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Physics & Mathematics (AREA)
Abstract
本申请涉及一种网络阻断方法、装置、电子装置和存储介质,其中,该网络阻断方法包括:获取预设的网络安全策略和资产监听结果,根据所述资产监听结果获取威胁信息,并将所述告警信息与所述威胁信息进行匹配,得到告警匹配结果;根据所述网络安全策略和所述告警匹配结果生成网络阻断结果,解决了相关技术中网络安全策略人工成本高、工作效率低下的问题。通过本申请,解决了相关技术中网络安全策略人工成本高、工作效率低下的问题,实现了根据发现的威胁,自动生成网络阻断策略,从而达到阻断受感染的资产再次发起攻击其他内部资产的目的。
Description
技术领域
本申请涉及网络安全领域,特别是涉及网络阻断方法、装置、电子装置和存储介质。
背景技术
计算机接入网络容易面临安全威胁,包括网络监听、口令破解、决绝服务攻击、漏洞攻击、网站安全威胁、社会工程学攻击等。
目前相关技术中,通常采用行为模式检测、阀值过滤、AI威胁检测等方法发现威胁;或者,采用包过滤防火墙、代理服务器防火墙、状态监视器防火墙等方式防治威胁。然而上述方法在配置过程中需要人工手动设置网络阻断策略,配置复杂、降低网络安全策略的工作效率。
针对相关技术中存在网络安全策略人工成本高、工作效率低下的问题,目前还没有提出有效的解决方案。
发明内容
在本实施例中提供了一种网络阻断方法、装置、电子装置和存储介质,以解决相关技术中网络安全策略人工成本高、工作效率低下的问题。
第一个方面,在本实施例中提供了一种网络阻断方法,其特征在于,所述方法包括:
获取预设的网络安全策略;其中,所述网络安全策略包括告警信息和阻断策略;
获取资产监听结果,根据所述资产监听结果获取威胁信息,并将所述告警信息与所述威胁信息进行匹配,得到告警匹配结果;
根据所述网络安全策略和所述告警匹配结果生成网络阻断结果;其中,所述网络阻断结果包括阻断属性和第一阻断时间,所述阻断属性和所述第一阻断时间是根据所述阻断策略生成的。
在其中的一些实施例中,在所述根据所述网络安全策略和所述告警匹配结果生成网络阻断结果之后,还包括:
获取针对所述阻断属性的阻断属性判断结果,若所述阻断属性判断结果指示非人工验证,则直接发送所述网络阻断结果至防火墙;
若所述阻断属性判断结果指示人工验证,在获取到指示人工验证通过的验证信号的情况下,根据所述验证信号,发送所述网络阻断结果至所述防火墙。
在其中的一些实施例中,在所述告警匹配结果指示所述威胁信息属于低等级的情况下,所述阻断属性判断结果为非人工验证;
在所述告警匹配结果指示所述威胁信息属于中等级或高等级的情况下,所述阻断属性判断结果为人工验证;在所述阻断属性判断结果为人工验证的情况下,若检测到所述防火墙的等待时长超过预设的等待阈值,通过发送短信或邮件进行所述人工验证的通知。
在其中的一些实施例中,所述防火墙的工作状态包括阻断状态和通行状态,在所述防火墙是阻断状态的情况下,在所述根据所述网络安全策略和所述告警匹配结果生成网络阻断结果之后,还包括:
获取第二阻断时间,在所述第二阻断时间大于所述第一阻断时间的情况下,发送网络阻断恢复命令至防火墙;其中,所述网络阻断恢复命令用于将所述防火墙的所述工作状态由所述阻断状态切换至所述通行状态。
在其中的一些实施例中,所述在所述第二阻断时间大于所述第一阻断时间的情况下,发送网络阻断恢复命令至防火墙,还包括:
获取所述第一阻断时间,根据所述第一阻断时间创建延迟线程;在所述延迟线程运行结束后,发送所述网络阻断恢复命令至防火墙。
在其中的一些实施例中,在所述根据所述网络安全策略和所述告警匹配结果生成网络阻断结果之前,还包括:
获取防火墙类型,根据所述防火墙类型确定所述网络阻断结果的网络阻断格式,以根据所述网络阻断格式生成所述阻断属性和第一阻断时间。
在其中的一些实施例中,所述获取资产监听结果,根据所述资产监听结果获取威胁信息,还包括:
获取模块日志,并获取日志分析平台的日志匹配模型;
将所述模块日志输入至所述日志匹配模型,得到所述模块日志的资产监听结果;
根据所述资产监听结果获取威胁信息。
第二个方面,在本实施例中提供了一种网络阻断装置,其特征在于,包括:初始化模块、监听模块和阻断模块;
所述初始化模块,用于获取预设的网络安全策略;其中,所述网络安全策略包括告警信息和阻断策略;
所述监听模块,用于获取资产监听结果,根据所述资产监听结果获取威胁信息,并将所述告警信息与所述威胁信息进行匹配,得到告警匹配结果;
所述阻断模块,用于根据所述网络安全策略和所述告警匹配结果生成网络阻断结果;其中,所述网络阻断结果包括阻断属性和第一阻断时间,所述阻断属性和所述第一阻断时间是根据所述阻断策略生成的。
第三个方面,在本实施例中提供了一种电子装置,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述第一个方面所述的网络阻断方法。
第四个方面,在本实施例中提供了一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述第一个方面所述的网络阻断方法。
与相关技术相比,在本实施例中提供的网络阻断方法、装置、电子装置和存储介质,通过获取预设的网络安全策略和资产监听结果,根据所述资产监听结果获取威胁信息,并将所述告警信息与所述威胁信息进行匹配,得到告警匹配结果;根据所述网络安全策略和所述告警匹配结果生成网络阻断结果,解决了相关技术中网络安全策略人工成本高、工作效率低下的问题,实现了根据发现的威胁,自动生成网络阻断策略,从而达到阻断受感染的资产再次发起攻击其他内部资产的目的。
本申请的一个或多个实施例的细节在以下附图和描述中提出,以使本申请的其他特征、目的和优点更加简明易懂。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为一个实施例中网络阻断方法的应用场景图;
图2为一个实施例中网络阻断方法的流程示意图;
图3为另一个实施例中网络阻断方法的流程示意图;
图4为一个实施例中网络阻断装置的结构框图;
图5为一个实施例中计算机设备的内部结构图。
具体实施方式
为更清楚地理解本申请的目的、技术方案和优点,下面结合附图和实施例,对本申请进行了描述和说明。
除另作定义外,本申请所涉及的技术术语或者科学术语应具有本申请所属技术领域具备一般技能的人所理解的一般含义。在本申请中的“一”、“一个”、“一种”、“该”、“这些”等类似的词并不表示数量上的限制,它们可以是单数或者复数。在本申请中所涉及的术语“包括”、“包含”、“具有”及其任何变体,其目的是涵盖不排他的包含;例如,包含一系列步骤或模块(单元)的过程、方法和系统、产品或设备并未限定于列出的步骤或模块(单元),而可包括未列出的步骤或模块(单元),或者可包括这些过程、方法、产品或设备固有的其他步骤或模块(单元)。在本申请中所涉及的“连接”、“相连”、“耦接”等类似的词语并不限定于物理的或机械连接,而可以包括电气连接,无论是直接连接还是间接连接。在本申请中所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。通常情况下,字符“/”表示前后关联的对象是一种“或”的关系。在本申请中所涉及的术语“第一”、“第二”、“第三”等,只是对相似对象进行区分,并不代表针对对象的特定排序。
本申请提供的网络阻断方法,可以应用于如图1所示的应用环境中。其中,终端设备102与服务器设备104通过网络进行通信。服务器设备104获取预设的网络安全策略;其中,该网络安全策略包括告警信息和阻断策略;服务器设备104获取资产监听结果,根据该资产监听结果获取威胁信息,并将该告警信息与该威胁信息进行匹配,得到告警匹配结果;服务器设备104根据该网络安全策略和该告警匹配结果生成网络阻断结果;其中,该网络阻断结果包括阻断属性和第一阻断时间,该阻断属性和该第一阻断时间是根据该阻断策略生成的;该第一阻断时间可以由服务器设备104根据该阻断策略自动生成,也可以由用户根据该阻断策略通过终端设备102进行设置。其中,终端设备102可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备,服务器设备104可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
在本实施例中提供了一种网络阻断方法,图2是本实施例的网络阻断方法的流程图,如图2所示,该流程包括如下步骤:
步骤S202,获取预设的网络安全策略;其中,该网络安全策略包括告警信息和阻断策略。
需要说明的是,上述网络安全策略是由用户预先创建的用于生成网络阻断方案的策略信息。该网络安全策略的告警信息包括告警名称和告警类型,网络安全策略的阻断策略是指与该告警类型对应的对威胁信息产生阻断的策略机制;该告警名称用于对产生的告警进行标识,该告警类型用于指示该阻断策略对应的威胁等级;
具体地,根据人工网络安全攻防经验,或者,根据网络威胁历史数据,搭建网络威胁告警类型库,根据该网络威胁告警类型库构建网络安全策略;其中,该网络威胁告警类型库包括与该网络安全策略的告警信息对应的网络威胁告警信息。
步骤S204,获取资产监听结果,根据该资产监听结果获取威胁信息,并将该告警信息与该威胁信息进行匹配,得到告警匹配结果。
其中,该威胁信息包括威胁名称和威胁类型;该告警匹配结果包括恶意ip地址,端口以及服务名称。
具体地,首先获取系统中对资产的告警topic监听结果,根据该资产监听结果获取威胁信息;其次将威胁信息中的威胁名称与告警信息中的告警名称匹配得到第一匹配结果,威胁信息中的威胁类型与告警信息中的告警类型匹配得到第二匹配结果,当第一匹配结果与第二匹配结果对应时,获取该威胁信息来源的恶意ip地址,端口以及服务名称,得到该告警匹配结果。
需要说明的是,该资产监听结果可以是系统中所有资产的模块日志经过日志分析平台的模型分析后得到的日志监听结果,也可以是其他形式的监听结果,此处不再赘述。
步骤S206,根据该网络安全策略和该告警匹配结果生成网络阻断结果;其中,该网络阻断结果包括阻断属性和第一阻断时间,该阻断属性和该第一阻断时间是根据该阻断策略生成的。
优选地,该第一阻断时间可以根据上述阻断策略中对应的威胁信息的等级进行划分并生成;威胁等级高的可以设置较长时间,例如可以设置为72小时;威胁等级为中时,可以设置为48小时;威胁等级为低时,可以设置为24小时;同时也可以根据实际需要增设人工验证,在人工验证时对第一阻断时间进行自定义设置;上述终端设备102还可以用于获取人工验证时自定义设置的第一阻断时间。
具体地,根据上述告警匹配结果,将该告警匹配结果与该网络安全策略的告警信息进行匹配,可以得到匹配后的目标告警信息,并获取在网络安全策略中与该目标告警信息相对应的阻断属性和第一阻断时间,得到网络阻断结果。其中,该网络安全策略中的阻断策略是指与该告警类型对应的对威胁信息产生阻断的策略机制,包括网络安全策略阻断属性和网络安全策略阻断时间;该网络安全策略阻断属性是指预先设置好的与各预设的告警信息一一对应的阻断属性,该网络安全策略阻断时间是指预先设置好的与各预设的告警信息一一对应的阻断时间;则在匹配获取到上述目标告警信息后,可以由上述服务器设备104基于该阻断策略从该网络安全策略阻断属性中筛选得到与该目标告警信息相对应的阻断属性,以及从网络安全策略阻断时间中筛选得到与该目标告警信息相对应的第一阻断时间,并最终生成包括该阻断属性和该第一阻断时间的网络阻断结果。
需要说明的是,在生成该网络阻断结果之后,可以直接根据该网络阻断结果自动下发至防火墙执行网络阻断;也可以根据实际需要增设人工验证的步骤,获取人工配置结果执行网络阻断;还可以将生成的网络阻断结果存储至数据库,和/或,发送给上述终端设备102进行网络阻断决策的显示。
通过上述步骤,获取预设的网络安全策略,并获取资产监听结果,根据该资产监听结果获取威胁信息,并将该告警信息与该威胁信息进行匹配,得到告警匹配结果;根据该网络安全策略和该告警匹配结果生成网络阻断结果,实现了从获取资产监听的威胁结果到自动下发网络阻断结果到防火墙以执行网络阻断,不需要大量的人力排查资产威胁、阻断威胁的传播,解决了相关技术中网络安全策略人工成本高、工作效率低下的问题,从而达到了根据发现的资产威胁,自动生成网络阻断策略,阻断了受感染的资产再次发起攻击其他内部资产。
在其中的一些实施例中,在该根据该网络安全策略和该告警匹配结果生成网络阻断结果之后,还包括:
获取针对该阻断属性的阻断属性判断结果,若该阻断属性判断结果指示非人工验证,则直接发送该网络阻断结果至防火墙;
若该阻断属性判断结果指示人工验证,在获取到指示人工验证通过的验证信号的情况下,根据该验证信号,发送该网络阻断结果至该防火墙。
具体地,上述在生成该网络阻断结果之后,还需要对该网络阻断结果进行解析,进行网络阻断结果自动下发的判断;针对该阻断属性的阻断属性判断结果为自动下发的,直接向防火墙下发网络阻断结果进行网络阻断;针对该阻断属性的阻断属性判断结果为需要人工验证再下发的,等待获取到人工验证通过指令再进行网络阻断结果的下发。其中,等待人工验证通过指令的时间可以是预设的第一阻断时间,也可以是验证通过的消息触发时间,还可以根据该网络阻断结果的实际执行需要设置,达到延迟执行该网络阻断结果或者即时执行的目的。
通过上述步骤,针对该网络阻断结果的阻断属性进行判断,包括人工验证和非人工验证;针对低等级的威胁判断为非人工验证,并对非人工验证的判断结果执行网络阻断结果的自动下发;针对高等级和中等级的威胁判断为人工验证,并对人工验证的判断结果执行人工验证,在获取到人工验证通过指令后再执行下发,实现了网络阻断结果的分类自动下发,在执行低等级网络阻断时,不需要再经过人工验证步骤,同时该网络阻断方法自动生成网络阻断结果,不需要大量的人力排查资产威胁、阻断威胁的传播,解决了相关技术中网络安全策略人工成本高、工作效率低下的问题,从而达到了根据发现的资产威胁,自动生成网络阻断策略,阻断了受感染的资产再次发起攻击其他内部资产,提升了网络阻断的准确性。
在其中的一些实施例中,在该告警匹配结果指示该威胁信息属于低等级的情况下,该阻断属性判断结果为非人工验证;
在该告警匹配结果指示该威胁信息属于中等级或高等级的情况下,该阻断属性判断结果为人工验证;在该阻断属性判断结果为人工验证的情况下,若检测到该防火墙的等待时长超过预设的等待阈值,通过发送短信或邮件进行该人工验证的通知。
其中,该预设的等待阈值是指预先设置好的防火墙等待人工验证通过或者不通过的时间长度,用以判断在超过预设的等待阈值的情况下,当前防火墙执行任务属于无人值守的状态,需要通过发送短信或者邮件进行人工验证提醒。
通过上述步骤,在网络阻断中,针对低等级的威胁判断为非人工验证,并对非人工验证的判断结果执行网络阻断结果的自动下发;针对高等级和中等级的威胁判断为人工验证,并对人工验证的判断结果执行人工验证,在获取到人工验证通过指令后再执行下发,在网络阻断中增加人工验证的环节,并设置等待阈值,能够实现中高等级威胁的网络阻断的人工验证,解决了夜间人工验证及时、有效通知的问题,提升了网络阻断的及时性。
在其中的一些实施例中,该防火墙的工作状态包括阻断状态和通行状态,在该防火墙是阻断状态的情况下,在该根据该网络安全策略和该告警匹配结果生成网络阻断结果之后,还包括:
获取第二阻断时间,在该第二阻断时间大于该第一阻断时间的情况下,发送网络阻断恢复命令至防火墙;其中,该网络阻断恢复命令用于将该防火墙的该工作状态由该阻断状态切换至该通行状态。
其中,该第二阻断时间是指防火墙执行阻断的实际时长,通过防火墙执行程序运行时间自动获取,或者,通过解析防火墙的阻断日志获取;该第一阻断时间根据该威胁信息的等级进行划分,以便基于该第一阻断时间确定用户对威胁信息的处置时间;威胁等级高的可以设置较长时间,例如可以设置为72小时;威胁等级为中时,可以设置为48小时;威胁等级为低时,可以设置为24小时;同时也可以根据实际需要在人工验证时通过上述终端设备102对第一阻断时间进行自定义设置;上述在该第二阻断时间大于该第一阻断时间的情况下,防火墙执行网络阻断任务已经达到了第一阻断时间所设置的时长,可以判断为用户已经完成了对威胁信息的处置,资产不会受到威胁了,因此可以指令防火墙停止执行网络阻断,恢复通行状态。
通过上述步骤,在防火墙执行网络阻断后,判断该网络阻断的执行时长,若该网络阻断的执行时长超过第一阻断时间,则将防火墙恢复至不阻断的工作状态,从而实现了防火墙工作状态由阻断状态至通行状态的自动切换,解决了网络安全策略人工成本高、工作效率低下的问题,达到了将已感染的资产修复后自动恢复网络,使资产得以正常运作的目的。
在其中的一些实施例中,该在该第二阻断时间大于该第一阻断时间的情况下,发送网络阻断恢复命令至防火墙,还包括:
获取该第一阻断时间,根据该第一阻断时间创建延迟线程;在该延迟线程运行结束后,发送该网络阻断恢复命令至防火墙。
其中,该延迟线程与该第一阻断时间对应,根据该威胁信息的等级进行划分,可以设置为72小时、48小时和24小时,也可以根据实际需要在人工验证时对第一阻断时间进行自定义设置;该延迟线程可以在线程运行结束后删除,在下一个第一阻断时间执行之前重建,也可以休眠,在下一个第一阻断时间执行之前激活运行。
通过上述步骤,在防火墙执行网络阻断后,创建延迟线程,在延迟线程执行完毕后,则将防火墙恢复至不阻断的工作状态,从而实现了防火墙工作状态由阻断状态至通行状态的自动切换,解决了网络安全策略人工成本高、工作效率低下的问题,达到了将已感染的资产修复后自动恢复网络,使资产得以正常运作的目的。
在其中的一些实施例中,在该根据该网络安全策略和该告警匹配结果生成网络阻断结果之前,还包括:
获取防火墙类型,根据该防火墙类型确定该网络阻断结果的网络阻断格式,以根据该网络阻断格式生成该阻断属性和第一阻断时间。
其中,该网络阻断格式是指符合原有的防火墙运行文件的类型格式,用以生成能够在原有防火墙环境下运行的网络阻断结果。
通过上述步骤,根据防火墙类型生成的网络阻断结果,符合原有的防火墙运行文件的类型格式,不需要另外的人力新建网络阻断防火墙,解决了相关技术中网络安全策略人工成本高、工作效率低下的问题,从而达到了根据发现的资产威胁,自动生成网络阻断策略,阻断了受感染的资产再次发起攻击其他内部资产。
在其中的一些实施例中,该获取资产监听结果,根据该资产监听结果获取威胁信息,还包括:
获取模块日志,并获取日志分析平台的日志匹配模型;
将该模块日志输入至该日志匹配模型,得到该模块日志的资产监听结果;
根据该资产监听结果获取威胁信息。
其中,该日志分析平台是指对获取到的日志进行分析的平台;该日志匹配模型是指搭载在日志分析平台上用以对日志文本数据进行关键词匹配的模型;通过将模块日志输入至日志分析平台的日志匹配模型,可以对模块日志中与威胁信息相关的关键字进行识别,确定模块日志中的威胁信息,从而提取该威胁信息。
通过上述步骤,通过日志分析平台的日志匹配模型对模块日志进行分析,监听资产的威胁信息,能够及时有效地监听到受威胁的资产,实现了从获取资产监听的威胁结果到自动下发网络阻断结果到防火墙以执行网络阻断,不需要大量的人力排查资产威胁、阻断威胁的传播,解决了相关技术中网络安全策略人工成本高、工作效率低下的问题,从而达到了根据发现的资产威胁,自动生成网络阻断策略,阻断了受感染的资产再次发起攻击其他内部资产。
在本实施例中还提供了另一种网络阻断方法。图3是本实施例的另一种网络阻断方法的流程图,如图3所示,该方法首先通过收集syslog(系统记录)日志、应用程序日志、安全日志、系统日志、程序调度日志、FTP(File Transfer Protocol,文件传输协议)日志、DNS(Domain Name System,域名系统)日志和其他模块日志,由探针指引到日志分析平台,再利用日志分析平台中的规则模型、关联模型、统计模型、情报模型、AI模型和其他日志匹配模型对上述模块日志进行解析,发现威胁后产生告警;同时根据网络安全策略,匹配需要网络阻断的威胁信息,提取威胁信息来源的恶意IP、端口以及服务名称,并根据该网络安全策略对网络阻断安全下发进行判断,若该网络阻断判断结果是需要人工验证,则发送人工审计策略,经过手动确认后再下发;若该网络阻断判断结果是自动下发,则将该网络阻断结果直接下发执行阻断;其次对该网络阻断的阻断时长进行判断,若该阻断并非永久阻断,则创建延迟线程,阻断预设的时长后恢复阻断策略,使防火墙恢复到通行的工作状态。
通过上述步骤,获取网络安全策略,并获取资产监听结果,根据该资产监听结果获取威胁信息,并生成网络阻断结果,从而对网络阻断结果的人工验证判断和执行时长判断,实现了从获取资产监听的威胁结果到自动下发网络阻断结果到防火墙以执行网络阻断,不需要大量的人力排查资产威胁、阻断威胁的传播,解决了相关技术中网络安全策略人工成本高、工作效率低下的问题,从而达到了根据发现的资产威胁,自动生成网络阻断策略,阻断了受感染的资产再次发起攻击其他内部资产。
应该理解的是,虽然图2-3的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图2-3中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
在本实施例中还提供了一种网络阻断装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。以下所使用的术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管在以下实施例中所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图4是本实施例的网络阻断装置的结构框图,如图4所示,该装置包括:初始化模块、监听模块和阻断模块;
该初始化模块,用于获取预设的网络安全策略;其中,该网络安全策略包括告警信息和阻断策略;
该监听模块,用于获取资产监听结果,根据该资产监听结果获取威胁信息,并将该告警信息与该威胁信息进行匹配,得到告警匹配结果;
该阻断模块,用于根据该网络安全策略和该告警匹配结果生成网络阻断结果;其中,该网络阻断结果包括阻断属性和第一阻断时间,该阻断属性和该第一阻断时间是根据该阻断策略生成的。
关于网络阻断装置的具体限定可以参见上文中对于网络阻断方法的限定,在此不再赘述。上述网络阻断装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在本实施例中还提供了一种电子装置,包括存储器和处理器,该存储器中存储有计算机程序,该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。
可选地,上述电子装置还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入输出设备和上述处理器连接。
可选地,在本实施例中,上述处理器可以被设置为通过计算机程序执行以下步骤:
S1,获取预设的网络安全策略;其中,该网络安全策略包括告警信息和阻断策略。
S2,获取资产监听结果,根据该资产监听结果获取威胁信息,并将该告警信息与该威胁信息进行匹配,得到告警匹配结果。
S3,根据该网络安全策略和该告警匹配结果生成网络阻断结果;其中,该网络阻断结果包括阻断属性和第一阻断时间,该阻断属性和该第一阻断时间是根据该阻断策略生成的。
需要说明的是,在本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,在本实施例中不再赘述。
此外,结合上述实施例中提供的网络阻断方法,在本实施例中还可以提供一种存储介质来实现。该存储介质上存储有计算机程序;该计算机程序被处理器执行时实现上述实施例中的任意一种网络阻断方法。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图5所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储告警类型库和预设的网络安全策略数据集。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种网络阻断方法。
本领域技术人员可以理解,图5中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
应该明白的是,这里描述的具体实施例只是用来解释这个应用,而不是用来对它进行限定。根据本申请提供的实施例,本领域普通技术人员在不进行创造性劳动的情况下得到的所有其它实施例,均属本申请保护范围。
显然,附图只是本申请的一些例子或实施例,对本领域的普通技术人员来说,也可以根据这些附图将本申请适用于其他类似情况,但无需付出创造性劳动。另外,可以理解的是,尽管在此开发过程中所做的工作可能是复杂和漫长的,但是,对于本领域的普通技术人员来说,根据本申请披露的技术内容进行的某些设计、制造或生产等更改仅是常规的技术手段,不应被视为本申请公开的内容不足。
“实施例”一词在本申请中指的是结合实施例描述的具体特征、结构或特性可以包括在本申请的至少一个实施例中。该短语出现在说明书中的各个位置并不一定意味着相同的实施例,也不意味着与其它实施例相互排斥而具有独立性或可供选择。本领域的普通技术人员能够清楚或隐含地理解的是,本申请中描述的实施例在没有冲突的情况下,可以与其它实施例结合。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对专利保护范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。
Claims (10)
1.一种网络阻断方法,其特征在于,所述方法包括:
获取预设的网络安全策略;其中,所述网络安全策略包括告警信息和阻断策略;
获取资产监听结果,根据所述资产监听结果获取威胁信息,并将所述告警信息与所述威胁信息进行匹配,得到告警匹配结果;
根据所述网络安全策略和所述告警匹配结果生成网络阻断结果;其中,所述网络阻断结果包括阻断属性和第一阻断时间,所述阻断属性和所述第一阻断时间是根据所述阻断策略生成的。
2.根据权利要求1所述的网络阻断方法,其特征在于,在所述根据所述网络安全策略和所述告警匹配结果生成网络阻断结果之后,还包括:
获取针对所述阻断属性的阻断属性判断结果,若所述阻断属性判断结果指示非人工验证,则直接发送所述网络阻断结果至防火墙;
若所述阻断属性判断结果指示人工验证,在获取到指示人工验证通过的验证信号的情况下,根据所述验证信号,发送所述网络阻断结果至所述防火墙。
3.根据权利要求2所述的网络阻断方法,其特征在于,在所述告警匹配结果指示所述威胁信息属于低等级的情况下,所述阻断属性判断结果为非人工验证;
在所述告警匹配结果指示所述威胁信息属于中等级或高等级的情况下,所述阻断属性判断结果为人工验证;在所述阻断属性判断结果为人工验证的情况下,若检测到所述防火墙的等待时长超过预设的等待阈值,通过发送短信或邮件进行所述人工验证的通知。
4.根据权利要求3所述的网络阻断方法,其特征在于,所述防火墙的工作状态包括阻断状态和通行状态,在所述防火墙是阻断状态的情况下,在所述根据所述网络安全策略和所述告警匹配结果生成网络阻断结果之后,还包括:
获取第二阻断时间,在所述第二阻断时间大于所述第一阻断时间的情况下,发送网络阻断恢复命令至防火墙;其中,所述网络阻断恢复命令用于将所述防火墙的所述工作状态由所述阻断状态切换至所述通行状态。
5.根据权利要求4所述的网络阻断方法,其特征在于,所述在所述第二阻断时间大于所述第一阻断时间的情况下,发送网络阻断恢复命令至防火墙,还包括:
获取所述第一阻断时间,根据所述第一阻断时间创建延迟线程;在所述延迟线程运行结束后,发送所述网络阻断恢复命令至防火墙。
6.根据权利要求1所述的网络阻断方法,其特征在于,在所述根据所述网络安全策略和所述告警匹配结果生成网络阻断结果之前,还包括:
获取防火墙类型,根据所述防火墙类型确定所述网络阻断结果的网络阻断格式,以根据所述网络阻断格式生成所述阻断属性和第一阻断时间。
7.根据权利要求1至6任一项所述的网络阻断方法,其特征在于,所述获取资产监听结果,根据所述资产监听结果获取威胁信息,还包括:
获取模块日志,并获取日志分析平台的日志匹配模型;
将所述模块日志输入至所述日志匹配模型,得到所述模块日志的资产监听结果;
根据所述资产监听结果获取威胁信息。
8.一种网络阻断装置,其特征在于,包括:初始化模块、监听模块和阻断模块;
所述初始化模块,用于获取预设的网络安全策略;其中,所述网络安全策略包括告警信息和阻断策略;
所述监听模块,用于获取资产监听结果,根据所述资产监听结果获取威胁信息,并将所述告警信息与所述威胁信息进行匹配,得到告警匹配结果;
所述阻断模块,用于根据所述网络安全策略和所述告警匹配结果生成网络阻断结果;其中,所述网络阻断结果包括阻断属性和第一阻断时间,所述阻断属性和所述第一阻断时间是根据所述阻断策略生成的。
9.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行权利要求1至7中任一项所述的网络阻断方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的网络阻断方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111299595.1A CN113965406A (zh) | 2021-11-04 | 2021-11-04 | 网络阻断方法、装置、电子装置和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111299595.1A CN113965406A (zh) | 2021-11-04 | 2021-11-04 | 网络阻断方法、装置、电子装置和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113965406A true CN113965406A (zh) | 2022-01-21 |
Family
ID=79469345
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111299595.1A Withdrawn CN113965406A (zh) | 2021-11-04 | 2021-11-04 | 网络阻断方法、装置、电子装置和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113965406A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115021953A (zh) * | 2022-04-18 | 2022-09-06 | 广西电网有限责任公司电力科学研究院 | 一种网络安全监控装置 |
| CN115604018A (zh) * | 2022-11-02 | 2023-01-13 | 广东网安科技有限公司(Cn) | 一种网络安全监控方法、系统、设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104954335A (zh) * | 2014-03-27 | 2015-09-30 | 中国移动通信集团安徽有限公司 | 一种阻断高风险网络入侵的方法及系统 |
| CN105847236A (zh) * | 2016-03-15 | 2016-08-10 | 北京网御星云信息技术有限公司 | 一种防火墙安全策略配置方法和装置、以及防火墙 |
| CN109344617A (zh) * | 2018-09-16 | 2019-02-15 | 杭州安恒信息技术股份有限公司 | 一种物联网资产安全画像方法与系统 |
| CN110225065A (zh) * | 2019-07-16 | 2019-09-10 | 广东申立信息工程股份有限公司 | 一种网络安全预警系统 |
| CN113162888A (zh) * | 2020-01-22 | 2021-07-23 | 华为技术有限公司 | 安全威胁事件处理方法、装置及计算机存储介质 |
-
2021
- 2021-11-04 CN CN202111299595.1A patent/CN113965406A/zh not_active Withdrawn
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104954335A (zh) * | 2014-03-27 | 2015-09-30 | 中国移动通信集团安徽有限公司 | 一种阻断高风险网络入侵的方法及系统 |
| CN105847236A (zh) * | 2016-03-15 | 2016-08-10 | 北京网御星云信息技术有限公司 | 一种防火墙安全策略配置方法和装置、以及防火墙 |
| CN109344617A (zh) * | 2018-09-16 | 2019-02-15 | 杭州安恒信息技术股份有限公司 | 一种物联网资产安全画像方法与系统 |
| CN110225065A (zh) * | 2019-07-16 | 2019-09-10 | 广东申立信息工程股份有限公司 | 一种网络安全预警系统 |
| CN113162888A (zh) * | 2020-01-22 | 2021-07-23 | 华为技术有限公司 | 安全威胁事件处理方法、装置及计算机存储介质 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115021953A (zh) * | 2022-04-18 | 2022-09-06 | 广西电网有限责任公司电力科学研究院 | 一种网络安全监控装置 |
| CN115021953B (zh) * | 2022-04-18 | 2024-05-24 | 广西电网有限责任公司电力科学研究院 | 一种网络安全监控装置 |
| CN115604018A (zh) * | 2022-11-02 | 2023-01-13 | 广东网安科技有限公司(Cn) | 一种网络安全监控方法、系统、设备及存储介质 |
| CN115604018B (zh) * | 2022-11-02 | 2023-05-05 | 广东网安科技有限公司 | 一种网络安全监控方法、系统、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9781144B1 (en) | Determining duplicate objects for malware analysis using environmental/context information | |
| EP3588898A1 (en) | Defense against apt attack | |
| EP2106085B1 (en) | System and method for securing a network from zero-day vulnerability exploits | |
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| CN111756759B (zh) | 一种网络攻击溯源方法、装置及设备 | |
| KR100862187B1 (ko) | 취약점 분석 및 공격방식 모델링을 이용한 네트워크기반의인터넷 웜 탐지 장치 및 그 방법 | |
| US10218717B1 (en) | System and method for detecting a malicious activity in a computing environment | |
| CN108932426B (zh) | 越权漏洞检测方法和装置 | |
| CN112054996B (zh) | 一种蜜罐系统的攻击数据获取方法、装置 | |
| CN107888607A (zh) | 一种网络威胁检测方法、装置及网络管理设备 | |
| CN109586282B (zh) | 一种电网未知威胁检测系统及方法 | |
| CN110417778B (zh) | 访问请求的处理方法和装置 | |
| CN110650142B (zh) | 访问请求处理方法、装置、系统、存储介质和计算机设备 | |
| KR20200052881A (ko) | 멀웨어 호스트 넷플로우 분석 시스템 및 방법 | |
| CN112685682B (zh) | 一种攻击事件的封禁对象识别方法、装置、设备及介质 | |
| CN113965406A (zh) | 网络阻断方法、装置、电子装置和存储介质 | |
| CN113364750B (zh) | 一种基于Snort和OpenFlow启发式诱导APT攻击引入蜜罐的方法 | |
| CN108234400B (zh) | 一种攻击行为确定方法、装置及态势感知系统 | |
| CN111770106A (zh) | 数据威胁分析的方法、装置、系统、电子装置和存储介质 | |
| US20230007032A1 (en) | Blockchain-based host security monitoring method and apparatus, medium and electronic device | |
| CN113497786B (zh) | 一种取证溯源方法、装置以及存储介质 | |
| US10142359B1 (en) | System and method for identifying security entities in a computing environment | |
| CN108243062A (zh) | 用以在时间序列数据中探测机器启动的事件的系统 | |
| CN113472542A (zh) | 基于sm3算法的网络攻击防御方法、装置、存储介质及客户终端、服务终端 | |
| CN114531258B (zh) | 网络攻击行为的处理方法和装置、存储介质及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20220121 |