CN113992431B - 一种联动阻断方法、装置、电子设备及存储介质 - Google Patents

一种联动阻断方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN113992431B
CN113992431B CN202111593884.2A CN202111593884A CN113992431B CN 113992431 B CN113992431 B CN 113992431B CN 202111593884 A CN202111593884 A CN 202111593884A CN 113992431 B CN113992431 B CN 113992431B
Authority
CN
China
Prior art keywords
linkage blocking
linkage
alarm logs
alarm
blocking rule
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111593884.2A
Other languages
English (en)
Other versions
CN113992431A (zh
Inventor
周建强
任政
童兆丰
薛锋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing ThreatBook Technology Co Ltd
Original Assignee
Beijing ThreatBook Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing ThreatBook Technology Co Ltd filed Critical Beijing ThreatBook Technology Co Ltd
Priority to CN202111593884.2A priority Critical patent/CN113992431B/zh
Publication of CN113992431A publication Critical patent/CN113992431A/zh
Application granted granted Critical
Publication of CN113992431B publication Critical patent/CN113992431B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请实施例提供一种联动阻断方法、装置、电子设备及存储介质,其中,联动阻断方法包括:获取多个告警日志;对所述多个告警日志进行去重处理,得到去重后的告警日志;根据所述去重后的告警日志生成联动阻断规则;将所述联动阻断规则发送到防御设备,以使所述防御设备根据所述联动阻断规则进行联动阻断。对多个告警日志进行去重处理,由于现有技术中产生的大量告警日志中存在着大量相同的告警日志,因此,对告警日志提供去重处理能够使得后续生成联动阻断规则的数量降低,能将正确的联动阻断规则发送给防御设备,提高防御设备对网络攻击的防御能力。

Description

一种联动阻断方法、装置、电子设备及存储介质
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种联动阻断方法、装置、电子设备及计算机可读存储介质。
背景技术
自动化编排系统、系统操作中心(System Operations Center,SOC)平台、安全信息与事件管理(Security Information Event Management,SIEM)平台和态势平台能够动全网相关安全产品,如防火墙、入侵检测、APT、终端安全管理软件等,实现联动分析和威胁阻断,对于主机/容器层面可以实现进程、文件、账号实体级别的联动阻断。
由于威胁形势的发展和变化速度较快,公司生产业务的增长产生了更大的网络流量,安全告警数量剧增,自动化攻击频繁,会产生海量的告警日志,联动阻断无法准确的判断现有告警的正确性,从而导致会错误的下发阻断规则。
发明内容
本申请实施例的目的在于提供一种联动阻断方法、装置、电子设备及计算机可读存储介质,能够解决由于海量的告警日志产生的联动阻断无法准确判断现有告警的准确性的问题。
第一方面,本申请实施例提供了一种联动阻断方法,包括:
获取多个告警日志;
对所述多个告警日志进行去重处理,得到去重后的告警日志;
根据所述去重后的告警日志生成联动阻断规则;
将所述联动阻断规则发送到防御设备,以使所述防御设备根据所述联动阻断规则进行联动阻断。
在上述实现过程中,对多个告警日志进行去重处理,由于现有技术中产生的海量告警日志中存在着大量相同的告警日志,因此,对告警日志提供去重处理能够使得后续生成联动阻断规则的数量降低,能将正确的联动阻断规则发送给防御设备,提高防御设备对网络攻击的防御能力。
进一步地,在所述得到去重后的告警日志的步骤之后,还包括:
将所述去重后的告警日志与本地的威胁情报进行匹配,得到多个不同威胁等级的告警日志;
所述根据所述去重后的告警日志生成联动阻断规则的步骤包括:
将所述多个不同威胁等级的告警日志与联动策略进行匹配,生成多个不同危险等级的联动阻断规则列表,所述多个不同危险等级的联动阻断规则列表中的每个联动阻断规则列表包括至少一个所述联动阻断规则。
在上述实现过程中,不同的告警日志中包括不同等级的威胁情报,防御设备针对不同的危险等级的威胁情报,其处理难度,处理时间是不相同的。因此,首先将去重后的告警日志和本地的威胁情报进行匹配,得到多个不同威胁等级的告警日志,将多个不同威胁等级的告警日志与联动策略进行匹配,从而生成多个不同危险等级的联动阻断规则列表。基于上述实施方式,能够提高防御设备对网络攻击的联动阻断效率。
进一步地,所述将所述联动阻断规则发送到防御设备的步骤,包括:
每隔预设时间,将所述多个不同危险等级的联动阻断规则列表发送到所述防御设备。
在上述实现过程中,由于当前网络攻击存在海量性的特点,因此,每隔预设时间,将生成的多个不同危险等级的联动阻断规则列表发送到防御设备能够提高防御设备对网络攻击的防御强度。
进一步地,在所述将所述联动阻断规则发送到防御设备的步骤之前,还包括:
获取所述防御设备的配置文件;
所述将所述联动阻断规则发送到防御设备的步骤,包括:
根据所述防御设备的配置文件,将所述联动阻断规则发送到所述防御设备。
在上述实现过程中,由于不同的防御设备之间的物理性能、参数不同,因此,在将联动阻断规则发送到防御设备之前首先接收防御设备的配置文件,根据防御设备的配置文件将联动阻断规则发送到防御设备。
进一步地,所述获取告警日志的步骤,包括:
获取多个不同数据类型的初始告警日志;
将所述多个不同数据类型的初始告警日志输入预先设置的数据源,所述数据源配置有关于所述多个不同数据类型的告警日志的解析规则,得到所述多个告警日志,所述多个告警日志具有相同的数据格式。
在上述实现过程中,由于不同的防御设备所提供的数据的格式是不同的,因此,需要先将多个获取的不同数据类型的初始告警日志输入到配置好的数据源,由数据源对多个不同数据类型的初始告警日志进行处理,最终得到数据格式统一的多个告警日志。
进一步地,所述配置文件包括所述防御设备能接收的数据格式和通信方式。
在上述实现过程中,由于不同的防御设备能够接收的数据格式和通信方式不同的,因此,配置文件中需要包括防御设备能接收的数据格式以及通信方式。
第二方面,本申请实施例提供一种联动阻断防御设备,包括:
获取模块,用于获取多个告警日志;
去重模块,用于对所述多个告警日志进行去重处理,得到去重后的告警日志;
生成模块,用于根据所述去重后的告警日志生成联动阻断规则;
发送模块,用于将所述联动阻断规则发送到防御设备,以使所述防御设备根据所述联动阻断规则进行联动阻断。
在上述实现过程中,对多个告警日志进行去重处理,由于现有技术中产生的大量告警日志中存在着大量相同的告警日志,因此,对告警日志提供去重处理能够使得后续生成联动阻断规则的数量降低,能将正确的联动阻断规则发送给防御设备,提高防御设备对网络攻击的防御能力。
进一步地,装置包括匹配模块,用于将所述去重后的告警日志与本地的威胁情报进行匹配,得到多个不同威胁等级的告警日志;将所述多个不同威胁等级的告警日志与联动策略进行匹配,生成多个不同危险等级的联动阻断规则列表,所述多个不同危险等级的联动阻断规则列表中的每个联动阻断规则列表包括至少一个所述联动阻断规则。
第三方面,本申请实施例提供的一种电子设备,包括:存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如第一方面任一项所述的方法的步骤。
第四方面,本申请实施例提供的一种计算机可读存储介质,所述计算机可读存储介质上存储有指令,当所述指令在计算机上运行时,使得所述计算机执行如第一方面任一项所述的方法。
本申请公开的其他特征和优点将在随后的说明书中阐述,或者,部分特征和优点可以从说明书推知或毫无疑义地确定,或者通过实施本申请公开的上述技术即可得知。
为使本申请的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的联动阻断方法的流程示意图;
图2为本申请实施例提供的获取告警日志的流程示意图;
图3为本申请实施例提供的另一联动阻断方法的流程示意图;
图4为本申请实施例提供的联动阻断装置的结构示意图;
图5为本申请实施例提供的电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
由于威胁形势的发展和变化速度较快,公司生产业务的增长产生了更大的网络流量,安全告警数量剧增,自动化攻击频繁,会产生海量的告警日志,联动阻断无法准确的判断现有告警的正确性,从而导致会错误的下发阻断规则。因此,本申请实施例提供一种联动阻断方法、装置、电子设备及计算机可读存储介质。
实施例1
参见图1,本申请实施例提供了一种联动阻断方法,包括:
S11:获取多个告警日志;
S12:对多个告警日志进行去重处理,得到去重后的告警日志;
S13:根据去重后的告警日志生成联动阻断规则;
S14:将联动阻断规则发送到防御设备,以使防御设备根据联动阻断规则进行联动阻断。
上述方法应用于本地威胁情报管理平台(Threat Intelligence Platform,TIP),告警日志来自安防设备。本申请实施例中,所涉及的防御设备可以是防火墙、网站应用级入侵防御系统(Web Application Firewall,WAF)等。
在上述实现过程中,对多个告警日志进行去重处理,由于现有技术中产生的大量告警日志中存在着大量相同的告警日志,因此,对告警日志提供去重处理能够使得后续生成联动阻断规则的数量降低,能将正确的联动阻断规则发送给防御设备,提高防御设备对网络攻击的防御能力。
在一种可能的实施方式中,S14包括以下步骤:
每隔预设时间,将多个不同危险等级的联动阻断规则列表发送到防御设备。
由于当前网络攻击存在海量性的特点,因此,每隔预设时间,将生成的多个不同危险等级的联动阻断规则列表发送到防御设备能够提高防御设备对网络攻击的防御强度。
在一种可能的实施方式中,在S14之前,还包括:
获取防御设备的配置文件;
S4包括以下步骤:
根据防御设备的配置文件,将联动阻断规则发送到防御设备。
由于不同的防御设备之间的物理性能、参数不同,因此,在将联动阻断规则发送到防御设备之前首先接收防御设备的配置文件,根据防御设备的配置文件将联动阻断规则发送到防御设备。基于上述实施方式,能联动多种防御设备。
参见图2,在一种可能的实施方式中,S11进一步包括:
S111:获取多个不同数据类型的初始告警日志;
S112:将多个不同数据类型的初始告警日志输入预先设置的数据源,数据源预先配置有关于多个不同数据类型的告警日志的解析规则,得到多个告警日志,多个告警日志具有相同的数据格式。
进一步地,配置文件包括防御设备能接收的数据格式和通信方式。
在上述实现过程中,由于不同的防御设备能够接收的数据格式和通信方式不同的,因此,配置文件中需要包括防御设备能接收的数据格式以及通信方式。
通信方式包括但不限于安全外壳协议(Secure Shell,SSH)、远程终端协议(Telnet)、应用程序接口(Application Programming Interface,API)中的一种或多种。
实施例2
参见图3,本申请实施例提供另外一种联动阻断方法,包括:
S21:获取多个告警日志;
S22:对多个告警日志进行去重处理,得到去重后的告警日志;
S23:将去重后的告警日志与本地的威胁情报进行匹配,得到多个不同威胁等级的告警日志;
S24:将多个不同威胁等级的告警日志与联动策略进行匹配,生成多个不同危险等级的联动阻断规则列表,多个不同危险等级的联动阻断规则列表中的每个联动阻断规则列表包括至少一个联动阻断规则。
S25:将多个不同危险等级的联动阻断规则列表发送到防御设备,以使防御设备根据多个不同危险等级的联动阻断规则列表进行联动阻断。
上述方法应用于本地威胁情报管理平台,告警日志来自安防设备。S25中的防御设备包括防火墙,网站应用级入侵防御系统等。
上述实施例中,对多个告警日志进行去重处理,由于现有技术中产生的大量告警日志中存在着大量相同的告警日志,因此,对告警日志提供去重处理能够使得后续生成联动阻断规则的数量降低,能将正确的联动阻断规则发送给防御设备,提高防御设备对网络攻击的防御能力。
不同的告警日志中包括不同等级的威胁情报,防御设备针对不同的危险等级的威胁情报,其处理难度,处理时间是不相同的。因此,首先将去重后的告警日志和本地的威胁情报进行匹配,得到多个不同威胁等级的告警日志,将多个不同威胁等级的告警日志与联动策略进行匹配,从而生成多个不同危险等级的联动阻断规则列表。基于上述实施方式,能够提高防御设备对网络攻击的联动阻断效率。
需要说明的是,实施例1提到的各种可能的实施方式适用于实施例2,这里不在赘述。
在一种可能的实施方式中,在S24之前,还包括接收联动策略。
基于上述实施方式,可以实现自动化定制联动策略。
实施例3
参见图4,本申请实施例提供一种联动装置,包括:
获取模块1,用于获取多个告警日志;
去重模块2,用于对多个告警日志进行去重处理,得到去重后的告警日志;
生成模块3,用于根据去重后的告警日志生成联动阻断规则;
发送模块4,用于将联动阻断规则发送到防御设备,以使防御设备根据联动阻断规则进行联动阻断。
上述实施方式中,对多个告警日志进行去重处理,由于现有技术中产生的大量告警日志中存在着大量相同的告警日志,因此,对告警日志提供去重处理能够使得后续生成联动阻断规则的数量降低,能将正确的联动阻断规则发送给防御设备,提高防御设备对网络攻击的防御能力。
在一种可能的实施方式中,装置还包括匹配模块,用于还用于将去重后的告警日志与本地的威胁情报进行匹配,得到多个不同威胁等级的告警日志;
将多个不同威胁等级的告警日志与联动策略进行匹配,生成多个不同危险等级的联动阻断规则列表,多个不同危险等级的联动阻断规则列表中的每个联动阻断规则列表包括至少一个联动阻断规则。
在一种可能的实施方式中,发送模块4还用于每隔预设时间,将多个不同危险等级的联动阻断规则列表发送到防御设备。
在一种可能的实施方式中,获取模块1还用于获取防御设备的配置文件;发送防御设备还用于每隔预设时间,将多个不同危险等级的联动阻断规则列表发送到防御设备。
在一种可能的实施方式中,获取模块1还用于获取防御设备的配置文件;发送模块4还用于根据防御设备的配置文件,将联动阻断规则发送到防御设备。
在一种可能的实施方式中,获取模块1还用于获取多个不同数据类型的初始告警日志;将多个不同数据类型的初始告警日志输入预先设置的数据源,数据源配置有关于多个不同数据类型的告警日志的解析规则,得到多个告警日志,多个告警日志具有相同的数据格式。
实施例4
本申请还提供一种电子设备,请参见图5,图5为本申请实施例提供的一种电子设备的结构框图。电子设备可以包括处理器51、通信接口52、存储器53和至少一个通信总线54。其中,通信总线54用于实现这些组件直接的连接通信。其中,本申请实施例中电子设备的通信接口52用于与其他节点设备进行信令或数据的通信。处理器51可以是一种集成电路芯片,具有信号的处理能力。
上述的处理器51可以是通用处理器,包括中央处理器(Central ProcessingUnit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器51也可以是任何常规的处理器等。
存储器53可以是,但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-Only Memory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。存储器53中存储有计算机可读取指令,当计算机可读取指令由处理器51执行时,电子设备可以执行上述图1至图3方法实施例涉及的各个步骤。
可选地,电子设备还可以包括存储控制器、输入输出单元。
存储器53、存储控制器、处理器51、外设接口、输入输出单元各元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通信总线54实现电性连接。处理器51用于执行存储器53中存储的可执行模块,例如电子设备包括的软件功能模块或计算机程序。
输入输出单元用于提供给用户创建任务以及为该任务创建启动可选时段或预设执行时间以实现用户与服务器的交互。输入输出单元可以是,但不限于,鼠标和键盘等。
可以理解,图5所示的结构仅为示意,电子设备还可包括比图5中所示更多或者更少的组件,或者具有与图5所示不同的配置。图5中所示的各组件可以采用硬件、软件或其组合实现。
本申请实施例还提供一种存储介质,存储介质上存储有指令,当所述指令在计算机上运行时,所述计算机程序被处理器执行时实现方法实施例所述的方法,为避免重复,此处不再赘述。
本申请还提供一种计算机程序产品,所述计算机程序产品在计算机上运行时,使得计算机执行方法实施例所述的方法。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

Claims (7)

1.一种联动阻断方法,其特征在于,包括:
获取多个告警日志;
对所述多个告警日志进行去重处理,得到去重后的告警日志;
根据所述去重后的告警日志生成联动阻断规则;
将所述联动阻断规则发送到防御设备,以使所述防御设备根据所述联动阻断规则进行联动阻断;
在所述得到去重后的告警日志的步骤之后,还包括:
将所述去重后的告警日志与本地的威胁情报进行匹配,得到多个不同威胁等级的告警日志;
所述根据所述去重后的告警日志生成联动阻断规则的步骤包括:
将所述多个不同威胁等级的告警日志与联动策略进行匹配,生成多个不同危险等级的联动阻断规则列表,所述多个不同危险等级的联动阻断规则列表中的每个联动阻断规则列表包括至少一个所述联动阻断规则;
在所述将所述联动阻断规则发送到防御设备的步骤之前,还包括:
获取所述防御设备的配置文件;
所述将所述联动阻断规则发送到防御设备的步骤,包括:
根据所述防御设备的配置文件,将所述联动阻断规则发送到所述防御设备。
2.根据权利要求1所述的联动阻断方法,其特征在于,所述将所述联动阻断规则发送到防御设备的步骤,包括:
每隔预设时间,将所述多个不同危险等级的联动阻断规则列表发送到所述防御设备。
3.根据权利要求1所述的联动阻断方法,其特征在于,所述获取多个告警日志的步骤,包括:
获取多个不同数据类型的初始告警日志;
将所述多个不同数据类型的初始告警日志输入预先设置的数据源,所述数据源配置有关于所述多个不同数据类型的告警日志的解析规则,得到所述多个告警日志,所述多个告警日志具有相同的数据格式。
4.根据权利要求1所述的联动阻断方法,其特征在于,所述配置文件包括所述防御设备能接收的数据格式和通信方式。
5.一种联动阻断装置,其特征在于,包括:
获取模块,用于获取多个告警日志;
去重模块,用于对所述多个告警日志进行去重处理,得到去重后的告警日志;
生成模块,用于根据所述去重后的告警日志生成联动阻断规则;
发送模块,用于将所述联动阻断规则发送到防御设备,以使所述防御设备根据所述联动阻断规则进行联动阻断;
装置包括匹配模块,用于将所述去重后的告警日志与本地的威胁情报进行匹配,得到多个不同威胁等级的告警日志;将所述多个不同威胁等级的告警日志与联动策略进行匹配,生成多个不同危险等级的联动阻断规则列表,所述多个不同危险等级的联动阻断规则列表中的每个联动阻断规则列表包括至少一个所述联动阻断规则;
所述获取模块还用于获取所述防御设备的配置文件;所述发送模块还用于根据所述防御设备的配置文件,将联动阻断规则发送到防御设备。
6.一种电子设备,其特征在于,包括:存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如权利要求1-4任一项所述的联动阻断方法。
7.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有指令,当所述指令在计算机上运行时,使得所述计算机执行如权利要求1-4任一项所述的联动阻断方法。
CN202111593884.2A 2021-12-24 2021-12-24 一种联动阻断方法、装置、电子设备及存储介质 Active CN113992431B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111593884.2A CN113992431B (zh) 2021-12-24 2021-12-24 一种联动阻断方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111593884.2A CN113992431B (zh) 2021-12-24 2021-12-24 一种联动阻断方法、装置、电子设备及存储介质

Publications (2)

Publication Number Publication Date
CN113992431A CN113992431A (zh) 2022-01-28
CN113992431B true CN113992431B (zh) 2022-03-25

Family

ID=79734219

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111593884.2A Active CN113992431B (zh) 2021-12-24 2021-12-24 一种联动阻断方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN113992431B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114640548A (zh) * 2022-05-18 2022-06-17 宁波市镇海区大数据投资发展有限公司 一种基于大数据的网络安全感知和预警的方法及系统
CN115913785A (zh) * 2023-01-09 2023-04-04 北京微步在线科技有限公司 一种多防火墙的联动方法及设备

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6507852B1 (en) * 2000-04-17 2003-01-14 Ncr Corporation Location-independent service for monitoring and alerting on an event log
CN107181760A (zh) * 2017-07-07 2017-09-19 北京邮电大学 一种分布式近威胁源攻击阻断方法及其装置
CN107277070A (zh) * 2017-08-15 2017-10-20 山东华诺网络科技有限公司 一种计算机网络入侵防御系统及入侵防御方法
CN108924129A (zh) * 2018-07-01 2018-11-30 安徽合软信息技术有限公司 一种基于计算机网络入侵防御系统及入侵防御方法
CN111224988A (zh) * 2020-01-08 2020-06-02 国网陕西省电力公司信息通信公司 一种网络安全信息过滤方法
CN113569238A (zh) * 2021-08-16 2021-10-29 郑州昂视信息科技有限公司 一种拟态防御裁决方法及系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9401924B2 (en) * 2012-12-20 2016-07-26 At&T Intellectual Property I, L.P. Monitoring operational activities in networks and detecting potential network intrusions and misuses

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6507852B1 (en) * 2000-04-17 2003-01-14 Ncr Corporation Location-independent service for monitoring and alerting on an event log
CN107181760A (zh) * 2017-07-07 2017-09-19 北京邮电大学 一种分布式近威胁源攻击阻断方法及其装置
CN107277070A (zh) * 2017-08-15 2017-10-20 山东华诺网络科技有限公司 一种计算机网络入侵防御系统及入侵防御方法
CN108924129A (zh) * 2018-07-01 2018-11-30 安徽合软信息技术有限公司 一种基于计算机网络入侵防御系统及入侵防御方法
CN111224988A (zh) * 2020-01-08 2020-06-02 国网陕西省电力公司信息通信公司 一种网络安全信息过滤方法
CN113569238A (zh) * 2021-08-16 2021-10-29 郑州昂视信息科技有限公司 一种拟态防御裁决方法及系统

Also Published As

Publication number Publication date
CN113992431A (zh) 2022-01-28

Similar Documents

Publication Publication Date Title
CN113992431B (zh) 一种联动阻断方法、装置、电子设备及存储介质
CN113661693A (zh) 经由日志检测敏感数据暴露
CN109344611B (zh) 应用的访问控制方法、终端设备及介质
CN110012005B (zh) 识别异常数据的方法、装置、电子设备及存储介质
CN112003838B (zh) 网络威胁的检测方法、装置、电子装置和存储介质
WO2021041901A1 (en) Context informed abnormal endpoint behavior detection
CN112714125B (zh) 一种系统安全监测方法、装置、存储介质及电子设备
CN113051573B (zh) 一种基于大数据的主机安全实时监控警报系统
CN112131571B (zh) 威胁溯源方法及相关设备
CN114006778A (zh) 一种威胁情报的识别方法、装置、电子设备及存储介质
CN112632560A (zh) 一种web漏洞确认方法以及装置
CN114024773B (zh) 一种webshell文件检测方法及系统
CN112600828B (zh) 基于数据报文的电力控制系统攻击检测防护方法及装置
CN114003914A (zh) 一种文件的安全性检测方法、装置、电子设备及存储介质
CN109714342B (zh) 一种电子设备的保护方法及装置
CN109711166B (zh) 漏洞检测方法及装置
CN115146263A (zh) 用户账号的失陷检测方法、装置、电子设备及存储介质
CN109214212B (zh) 信息防泄露方法及装置
CN113609111A (zh) 一种大数据测试方法及系统
CN113204476A (zh) 一种用户行为数据安全检测方法
CN113596051B (zh) 检测方法、检测装置、电子设备、介质和计算机程序
CN113965414B (zh) 一种网络监控方法、装置、电子设备和存储介质
CN113315739A (zh) 一种恶意域名的检测方法及系统
CN115589335B (zh) 一种ntp分布式拒绝服务攻击的处理方法及系统
CN114004604B (zh) 一种邮件中url数据的检测方法、装置、电子设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant