CN114050937B - 邮箱服务不可用的处理方法、装置、电子设备及存储介质 - Google Patents
邮箱服务不可用的处理方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN114050937B CN114050937B CN202111367555.6A CN202111367555A CN114050937B CN 114050937 B CN114050937 B CN 114050937B CN 202111367555 A CN202111367555 A CN 202111367555A CN 114050937 B CN114050937 B CN 114050937B
- Authority
- CN
- China
- Prior art keywords
- analysis
- information
- log
- soar
- mailbox service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000003672 processing method Methods 0.000 title abstract description 11
- 238000004458 analytical method Methods 0.000 claims abstract description 153
- 238000000034 method Methods 0.000 claims abstract description 60
- 238000013515 script Methods 0.000 claims abstract description 59
- 241000700605 Viruses Species 0.000 claims abstract description 58
- 230000004044 response Effects 0.000 claims abstract description 46
- 238000012098 association analyses Methods 0.000 claims abstract description 26
- 238000012545 processing Methods 0.000 claims abstract description 19
- 230000006399 behavior Effects 0.000 claims description 55
- 230000008569 process Effects 0.000 claims description 22
- 239000000523 sample Substances 0.000 claims description 21
- 238000005336 cracking Methods 0.000 claims description 15
- 230000002159 abnormal effect Effects 0.000 claims description 9
- 238000004891 communication Methods 0.000 claims description 8
- 238000012544 monitoring process Methods 0.000 claims description 8
- 238000005516 engineering process Methods 0.000 claims description 5
- 230000000875 corresponding effect Effects 0.000 description 31
- 230000009471 action Effects 0.000 description 5
- 239000000344 soap Substances 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 230000008439 repair process Effects 0.000 description 4
- 230000001360 synchronised effect Effects 0.000 description 4
- 230000000903 blocking effect Effects 0.000 description 3
- 238000004590 computer program Methods 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000012423 maintenance Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 231100000572 poisoning Toxicity 0.000 description 3
- 230000000607 poisoning effect Effects 0.000 description 3
- 230000005856 abnormality Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000002955 isolation Methods 0.000 description 2
- 238000012351 Integrated analysis Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 238000010219 correlation analysis Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3239—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种邮箱服务不可用的处理方法、装置、电子设备及存储介质。方法包括:若监测到邮箱服务不可用,则获取预先设定的安全编排和自动化响应SOAR剧本;基于所述SOAR剧本采集不可用邮箱服务对应的日志信息;基于所述SOAR剧本,根据所述日志信息进行日志关联分析、威胁情报分析、病毒分析和行为分析,基于分析结果生成告警信息,所述告警信息包括告警类别;基于所述SOAR剧本,根据所述告警类别获取对应的响应处置方案,并基于所述响应处置方案对所述不可用邮箱服务进行修复。本申请实施例基于SOAR剧本处理邮箱服务不可用的情况,其流程自动化,不需要人工操作,从而提高了对邮箱服务处理的效率。
Description
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种邮箱服务不可用的处理方法、装置、电子设备及存储介质。
背景技术
目前,邮箱已作为企业员工之间工作沟通交流、同步重要文件和发布重大通知的重要途径。特别是在内网环境,无法连接外网的情况下,邮箱更是成为很多企业员工之间同步重要文件和发布重大通知的唯一途径,是业务正常运转的重要保障。一旦邮箱业务服务系统不可用,将会严重影响企业业务进展,甚至造成重大损失。因此,邮箱成为外来攻击者攻击的重点业务对象之一,攻击方式和手段更是层出不穷。
当邮箱服务不可用时,传统的解决方法是通过人工的方式进行分析,在分析出原因后,进行手动修复,这种方法导致对邮箱服务处理的效率较低。
发明内容
本申请实施例的目的在于提供一种邮箱服务不可用的处理方法、装置、电子设备及存储介质,用以当邮箱服务不可用时,提高对邮箱服务处理的效率。
第一方面,本申请实施例提供一种邮箱服务不可用的处理方法,包括:若监测到邮箱服务不可用,则获取预先设定的安全编排和自动化响应SOAR剧本;基于所述SOAR剧本采集不可用邮箱服务对应的日志信息;基于所述SOAR剧本,根据所述日志信息进行日志关联分析、威胁情报分析、病毒分析和行为分析,基于分析结果生成告警信息,所述告警信息包括告警类别;基于所述SOAR剧本,根据所述告警类别获取对应的响应处置方案,并基于所述响应处置方案对所述不可用邮箱服务进行修复。
本申请实施例基于SOAR剧本处理邮箱服务不可用的情况,其流程自动化,不需要人工操作,从而提高了对邮箱服务处理的效率。
在任一实施例中,所述日志信息包括日志数据和附件文本;在采集不可用邮箱服务对应的日志信息之后,所述方法还包括:对所述日志数据和附件文本进行富化,获得富化日志信息;所述根据所述日志信息进行日志关联分析、威胁情报分析、病毒分析和行为分析,包括:所述根据所述富化日志信息进行日志关联分析、威胁情报分析、病毒分析和行为分析。本申请实施例通过对日志信息进行富化,然后基于富化后日志信息进行分析,从而提高了对邮箱服务不可用的原因分析的准确性。
在任一实施例中,所述日志数据包括IP地址;所述对所述日志数据进行富化,包括:根据所述IP地址获取对应的地址位置信息、内网标识和外网标识;根据所述附件文本计算获得对应的MD5值和风险值;其中,所述富化日志信息包括所述地址位置信息、所述内网标识、所述外网标识、所述MD5值和所述风险值。本申请实施例通过对日志信息进行富化,然后基于富化后日志信息进行分析,从而提高了对邮箱服务不可用的原因分析的准确性。
在任一实施例中,所述根据所述日志信息进行日志关联分析、威胁情报分析、病毒分析和行为分析,包括:根据所述日志信息统计同一IP地址对所述不可用邮箱服务的访问次数,根据所述访问次数识别暴力破解行为,关联所述日志信息中的登录日志,获得所述暴力破解行为是否成功的关联结果;利用威胁情报库对所述日志信息中的IP地址、URL、域名和附件文本进行匹配,获得情报分析结果;利用病毒库对所述日志信息进行匹配,获得病毒分析结果;利用所述日志信息对用户行为分析,获得行为分析结果。本申请实施例通过利用日志信息进行关联行为分析、情报分析,病毒分析和行为分析等多个方面进行分析,从而可以提高了对邮箱服务不可用分析的准确性。
在任一实施例中,所述基于分析结果生成告警信息,包括:根据所述关联结果、所述情报分析结果、所述病毒分析结果和所述行为分析结果生成所述告警信息;所述告警信息还包括告警级别、恶意地址和病毒文件。本申请实施例根据分析结果,自动化提供针对性的响应处置方案,实现了对邮箱服务不可用问题的及时解决。
在任一实施例中,所述方法还包括:从所述日志信息中提取攻击流量数据和恶意特征码,并进行存储。以实现自动分析取证,保存重要事件信息,用于后续追溯和维权。
在任一实施例中,所述方法还包括:对所述邮箱服务的服务进程和端口状态进行监控;若所述服务进程异常和/或所述端口状态为关闭状态,则确定所述邮箱服务不可用。通过实时监控,可以及时发现异常。
第二方面,本申请实施例提供一种邮箱服务不可用的处理装置,包括:剧本获取模块,用于若监测到邮箱服务不可用,则获取预先设定的安全编排和自动化响应SOAR剧本;业务探针模块,用于基于所述SOAR剧本采集不可用邮箱服务对应的日志信息;智能分析模块,用于基于所述SOAR剧本,根据所述日志信息进行日志关联分析、威胁情报分析、病毒分析和行为分析,基于分析结果生成告警信息,所述告警信息包括告警类别;联动处置防护模块,用于基于所述SOAR剧本,根据所述告警类别获取对应的响应处置方案,并基于所述响应处置方案对所述不可用邮箱服务进行修复。
第三方面,本申请实施例提供一种电子设备,包括:处理器、存储器和总线,其中,所述处理器和所述存储器通过所述总线完成相互间的通信;所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行第一方面的方法。
第四方面,本申请实施例提供一种非暂态计算机可读存储介质,包括:所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行第一方面的方法。
本申请的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请实施例了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种邮箱服务不可用的处理方法流程示意图;
图2为本申请实施例提供的另一种基于SOAR剧本的邮箱处理方法流程示意图;
图3为本申请实施例提供的邮箱服务不可用的处理装置结构示意图;
图4为本申请实施例提供的电子设备实体结构示意图。
具体实施方式
如今,邮箱服务系统是企业重要资产,一旦邮箱业务服务系统不可用,将会严重影响企业业务进展,甚至造成难以重大损失。因此,邮箱成为外来攻击者攻击的重点业务对象之一,攻击方式和手段更是层出不穷,如垃圾邮件、钓鱼邮件、邮件炸弹、邮箱账号暴力破解等。同时,在内部使用邮箱的过程中,也会因为使用不当或违规操作,导致邮箱业务系统不可用,如账号弱口令和密码长期不更新导致被暴力破解、明文传输造成数据泄露、下载未知文件触发病毒等等。而这些攻击和违规操作,会导致邮箱业务系统出现故障或不可用,将会对企业正常运营造成极大的影响。
当以上异常发生时,由于安全工具零散、安全知识孤岛化、流程过于碎片化,从事件监测到事件响应,无论是自行处置还是联系相关责任人进行处置,流程都需要人工推动进行串行处理,无法实现并行高效处理。处置过程中需要人工流转于多个系统、工具,处置流程不仅复杂、低效,还容易出错。特别当邮箱业务服务不可用,给业务运行造成一定阻碍,需要尽快处理。
为了解决上述技术问题,本申请实施例提供一种邮箱服务不可用的处理方法,该方法中,在监测到邮箱服务不可用时,通过调用预先设定的SOAR剧本,根据SOAR剧本中配置好的流程自动化执行,即,自动化采集日志信息,并对采集的日志信息进行智能分析,获得分析结果,根据分析结果确定响应处置方案,并基于响应处置方案对不可用邮箱服务进行修复。其过程不需要人工干预,提高了对邮箱服务处理的效率。
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
可以理解的是,本申请实施例提供的方法可以应用于终端设备(也可以称为电子设备)以及服务器;其中终端设备具体可以为智能手机、平板电脑、计算机、个人数字助理(Personal Digital Assitant,PDA)等;服务器具体可以为应用服务器,也可以为Web服务器。为了便于理解,本申请实施例提供的技术方案,下面以服务器作为执行主体为例,对本申请实施例提供的方法的应用场景进行介绍。
图1为本申请实施例提供的一种邮箱服务不可用的处理方法流程示意图,如图1所示,该方法包括:
步骤101:若监测到邮箱服务不可用,则获取预先设定的安全编排和自动化响应SOAR剧本。
其中,安全编排自动化与响应(Security Orchestration,Automation andResponse,SOAR),是一系列技术的合集,它能够帮助企业和组织收集安全运维团队监控到的各种信息(包括各种安全系统产生的告警),并对这些信息进行事件分析和告警分诊。然后在标准工作流程的指引下,利用人机结合的方式帮助安全运维人员定义、排序和驱动标准化的事件响应活动。SOAR工具使得企业和组织能够对事件分析与响应流程进行形式化的描述。SOAR剧本是指利用SOAR技术构建的针对邮箱服务不可用时的处理流程,其包括业务探针模块,智能分析模块和联动处置防护模块。
通过预先在业务系统、主机等资产上部署探针,以实现对邮箱服务的运行状态及邮箱之间的互通访问关系进行监听。当监测到邮箱服务不可用时,获取预先设定的SOAR剧本。可以理解的是,SOAR剧本用于当邮箱服务不可用时,对邮箱服务进行检查、修复的流程。
步骤102:基于所述SOAR剧本采集不可用邮箱服务对应的日志信息。
服务器根据SOAR剧本中的流程,通过探针可以获取到邮箱服务不可用时产生的日志信息。具体地,可以是获取邮箱服务在不可用之前一段时间和不可用之后的一段时间内所产生的日志信息。例如:可以是在邮箱服务不可用之前的1分钟内,和邮箱服务不可用之后的2分钟内所产生的日志信息。应当说明的是,可以根据实际情况确定日志信息所对应的时间段,本申请实施例对此不作具体限定。
步骤103:基于所述SOAR剧本,根据所述日志信息进行日志关联分析、威胁情报分析、病毒分析和行为分析,基于分析结果生成告警信息,所述告警信息包括告警类别。
SOAR剧本中的智能分析模块对采集到的日志信息进行深度综合分析和调查取证。综合日志关联分析、威胁情报分析、病毒分析和行为分析等分析能力,获得分析结果,并基于分析结果综合判断事件发生的根因,从而生成告警信息。可以理解的是,告警信息中的告警类别用于表征异常点,例如:告警类型可以是被DDOS攻击、邮箱服务器重启、端口关闭等。
步骤104:基于所述SOAR剧本,根据所述告警类别获取对应的响应处置方案,并基于所述响应处置方案对所述不可用邮箱服务进行修复。
在具体的实施过程中,响应处置方案是指为了解决邮箱服务不可用问题的修复动作,修复操作包含但不限于查杀病毒、修复漏洞、阻断攻击源、隔离终端、隔离文件、终端提示弱口令修改等等。由于不同的告警类别对应的响应处置方案不同,因此预先在SOAR剧本中存储有多种告警类别分别对应的响应处置方案。服务器基于SOAR剧本中的联动防护模块,根据告警类别获取对应的响应处置方案,并根据响应处置方案联动相关设备进行修复。其中,相关设备可以是防火墙、终端防护软件、入侵检测系统、入侵防护系统、上网行为管理系统等等。
本申请实施例基于SOAR剧本处理邮箱服务不可用的情况,其流程自动化,不需要人工操作,从而提高了对邮箱服务处理的效率。
在上述实施例的基础上,所述日志信息包括日志数据和附件文本;在采集不可用邮箱服务对应的日志信息之后,所述方法还包括:
对所述日志数据和附件文本进行富化,获得富化日志信息;
所述根据所述日志信息进行日志关联分析、威胁情报分析、病毒分析和行为分析,包括:
所述根据所述富化日志信息进行日志关联分析、威胁情报分析、病毒分析和行为分析。
在具体的实施过程中,为了能够获取更加详细的日志信息,以提高对邮箱服务不可用的原因进行分析的准确性,服务器在获取到日志信息后,对日志信息进行富化。所谓富化是指根据日志信息获得与日志信息相关的其他信息,使得富化后日志信息中的内容更加丰富。例如:通过攻击邮件服务器的日志信息中的IP地址,可以获得IP地址对应的位置信息、内网标识和外网标识等。通过附件文本,可以计算该附件文本对应的MD5值和风险值等信息。位置信息、内网标识、外网标识、MD5值和风险值等均为对日志信息进行富化后获得的。
在获得富化后日志信息后,服务器利用智能分析模块对富化后日志信息进行日志关联分析、威胁情报分析、病毒分析和行为分析。
本申请实施例通过对日志信息进行富化,然后基于富化后日志信息进行分析,从而提高了对邮箱服务不可用的原因分析的准确性。
在上述实施例的基础上,所述根据所述日志信息进行日志关联分析、威胁情报分析、病毒分析和行为分析,包括:
根据所述日志信息统计同一IP地址对所述不可用邮箱服务的访问次数,根据所述访问次数识别暴力破解行为,关联所述日志信息中的登录日志,获得所述暴力破解行为是否成功的关联结果;
利用威胁情报库对所述日志信息中的IP地址、URL、域名和附件文本进行匹配,获得情报分析结果;
利用病毒库对所述日志信息进行匹配,获得病毒分析结果;
利用所述日志信息对用户行为分析,获得行为分析结果。
在具体的实施过程中,日志关联分析分为简单模式和复杂模式,简单模式是对同类型的日志数据进行统计分析,例如:统计某个特定的IP地址,在单位时间内对邮箱服务的访问次数,根据访问次数来识别是否为暴力破解行为。复杂模式是对不同类型的日志数据进行关联分析,例如:可以将IP地址的访问日志和登录日志进行关联,即,在根据IP地址的访问次数识别出是暴力破解行为后,根据登录日志来判断暴力破解行为是否成功。应当说明的是,在对日志信息进行日志关联分析时,可以预先在SOAR剧本中设定使用简单模式还是复杂模式,对于复杂模式,还需要预先设定互相关联的日志数据。
在云端或者本地存储有威胁情报库,威胁情报库中预先存储了恶意IP地址、恶意URL地址、恶意域名、恶意附件等。服务器在获取到日志数据后,通过调用威胁情报库,将日志数据与威胁情报库中的数据进行匹配。具体地,如果日志数据中包括IP地址,则将该IP地址与威胁情报库中的恶意IP进行匹配,如匹配成功,则说明日志数据中的IP地址为恶意IP地址。其他数据的匹配与IP地址的匹配类似,此处不再赘述。
在本地预先存储有病毒库,在病毒库中存储有多种病毒特征码,通过将日志信息与病毒特征码进行匹配,可以确定日志信息中是否包括病毒。
用户行为分析主要是服务器利用日志信息分析用户对邮箱的操作行为,例如:是不是异地登录邮箱,是不是批量对外部邮箱发送邮件等行为。
通过上述分析,可以确定邮箱服务不可用的原因,确定附件文本是否为病毒文件,事件所处攻击链阶段等。并基于上述分析结果,生成告警信息,告警信息中包括告警类别,还可以包括告警级别、恶意地址、病毒文件等等。可以理解的是,告警级别可以分为高危、中危和低危,当然,也可以根据实际情况对告警级别进行划分,本申请实施例对此不作具体限定。不同的告警类别对应的告警级别不同,且每种告警类别对应的告警级别为预先配置的。
另外,服务器在完成分析获得分析结果后,从日志信息中提取攻击流量数据和恶意特征码,并将攻击流量数据和恶意特征码进行存储,以便于后续追溯和维权。另外,还可以将攻击流量数据和恶意特征码同步至对应的库,例如:攻击流量数据可以为威胁情报,那么可以将攻击流量数据同步到威胁情报库中;如果攻击流量数据为病毒,则可以将其同步至病毒库中。恶意特征码也可以同步至威胁情报库中。
本申请实施例通过利用日志信息进行关联行为分析、情报分析,病毒分析和行为分析等多个方面进行分析,从而可以提高了对邮箱服务不可用分析的准确性。
在上述实施例的基础上,所述方法还包括:
对所述邮箱服务的服务进程和端口状态进行监控;
若所述服务进程异常和/或所述端口状态为关闭状态,则确定所述邮箱服务不可用。
在具体的实施过程中,探针在监控邮箱服务的运行状态时,具体可以监控邮箱服务的服务进程,如果服务进程停止运行,则说明服务进程异常,邮箱服务不可用。另外,还可以监控端口状态,判断邮箱服务的端口是否处于开放情况,如果端口不能访问,则说明邮箱服务不可用。
图2为本申请实施例提供的另一种基于SOAR剧本的邮箱处理方法流程示意图,如图2所示,该方法包括:
1、预先在全网的业务系统、主机、服务器等所有资产上部署并启用监测探针。当邮箱服务不可用时,如邮箱服务器中毒导致邮件接发程序异常中断。邮箱服务器终端探针将感知和监测到这一异常情况,并进行日志记录和收集样本文件,日志类型标记为邮箱服务异常。
2、服务器中的业务探针模块基于SOAR剧本流程的设定,针对探针上报的邮箱服务异常安全日志,自动整合全网的业务工作状态和互通关系信息,如源、目的终端的运行状态、网络访问权限、内外网标识等,并计算文件的md5值等等,富化安全日志信息。
3、服务器中的智能分析模块基于SOAR剧本流程的设定,将自动针对安全日志信息并行进行日志关联分析、威胁情报分析、病毒分析,再统一整合分析结果生成一条告警,并明确告警事件类型。其中,日志关联分析即结合业务探针系统中其他安全日志,如邮箱服务器运行状态、端口异常开放或关闭状态等安全日志,以及某个特定的IP单位时间内对邮件服务访问了多少次的流量日志以及临近该时段其他终端探针上报的同类日志等,分析邮件收发程序异常中断是否是被DDOS攻击、邮箱服务器重启、端口关闭等等情况导致;同时,基于本地或云端的威胁情报库对邮箱业务服务不可用的安全日志中的IP地址、URL、域名、邮箱以及文件MD5值判断是否存在恶意或威胁地址;同时,基于病毒库对样本文件进行解析,判断样本文件是否是病毒以及病毒类型;然后,基于综合上述一体化分析结果得到邮件收发程序异常中断是由邮箱服务器中病毒导致。最后,将此分析结果和邮箱业务服务不可用的安全日志信息整合生成一个告警事件,明确告警类型是服务器中毒、告警级别是高危、病毒文件类型等等事件详情。
4、服务器中的联动处置防护模块基于SOAR剧本流程的设定,根据告警事件针对性地提供自动化响应处置方案,联动相关安全设备执行处置动作。此示例中,如当告警类型是邮箱服务器中毒,则下发策略到终端安全软件进行病毒查杀;同时自动选择可执行IP封堵操作的防火墙下发IP封堵策略,阻断攻击源的所有访问。
5、针对该攻击行为,对探针抓取的Pcap包进行解析,根据五元组提取攻击流量数据、攻击源信息并保存。针对恶意样本,提取保留恶意特征,待后续溯源。
图3为本申请实施例提供的邮箱服务不可用的处理装置结构示意图,该装置可以是电子设备上的模块、程序段或代码。应理解,该装置与上述图1方法实施例对应,能够执行图1方法实施例涉及的各个步骤,该装置具体的功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。所述装置包括:剧本获取模块301、业务探针模块302、智能分析模块303和联动处置防护模块304,其中:
剧本获取模块301用于若监测到邮箱服务不可用,则获取预先设定的安全编排和自动化响应SOAR剧本;
业务探针模块302用于基于所述SOAR剧本采集不可用邮箱服务对应的日志信息;
智能分析模块303用于基于所述SOAR剧本,根据所述日志信息进行日志关联分析、威胁情报分析、病毒分析和行为分析,基于分析结果生成告警信息,所述告警信息包括告警类别;
联动处置防护模块304用于基于所述SOAR剧本,根据所述告警类别获取对应的响应处置方案,并基于所述响应处置方案对所述不可用邮箱服务进行修复。
在上述实施例的基础上,所述日志信息包括日志数据和附件文本;该装置还包括日志富化模块,用于:
对所述日志数据和附件文本进行富化,获得富化日志信息;
智能分析模块303具体用于:
所述根据所述富化日志信息进行日志关联分析、威胁情报分析、病毒分析和行为分析。
在上述实施例的基础上,日志富化模块具体用于:
根据所述IP地址获取对应的地址位置信息、内网标识和外网标识;
根据所述附件文本计算获得对应的MD5值和风险值;其中,所述地址位置信息、所述内网标识、所述外网标识、所述MD5值和所述风险值构成所述富化日志信息。
在上述实施例的基础上,智能分析模块303具体用于:
根据所述日志信息统计同一IP地址对所述不可用邮箱服务的访问次数,根据所述访问次数识别暴力破解行为,关联所述日志信息中的登录日志,获得所述暴力破解行为是否成功的关联结果;
利用威胁情报库对所述日志信息中的IP地址、URL、域名和附件文本进行匹配,获得情报分析结果;
利用病毒库对所述日志信息进行匹配,获得病毒分析结果;
利用所述日志信息对用户行为分析,获得行为分析结果。
在上述实施例的基础上,智能分析模块303具体用于:
根据所述关联结果、所述情报分析结果、所述病毒分析结果和所述行为分析结果生成所述告警信息;所述告警信息还包括告警级别、恶意地址和病毒文件。
在上述实施例的基础上,该装置还包括:
存储模块,用于从所述日志信息中提取攻击流量数据和恶意特征码,并进行存储。
在上述实施例的基础上,该装置还包括监控模块,用于:
对所述邮箱服务的服务进程和端口状态进行监控;
若所述服务进程异常和/或所述端口状态为关闭状态,则确定所述邮箱服务不可用。
图4为本申请实施例提供的电子设备实体结构示意图,如图4所示,所述电子设备,包括:处理器(processor)401、存储器(memory)402和总线403;其中,
所述处理器401和存储器402通过所述总线403完成相互间的通信;
所述处理器401用于调用所述存储器402中的程序指令,以执行上述各方法实施例所提供的方法,例如包括:若监测到邮箱服务不可用,则获取预先设定的安全编排和自动化响应SOAR剧本;基于所述SOAR剧本采集不可用邮箱服务对应的日志信息;基于所述SOAR剧本,根据所述日志信息进行日志关联分析、威胁情报分析、病毒分析和行为分析,基于分析结果生成告警信息,所述告警信息包括告警类别;基于所述SOAR剧本,根据所述告警类别获取对应的响应处置方案,并基于所述响应处置方案对所述不可用邮箱服务进行修复。
处理器401可以是一种集成电路芯片,具有信号处理能力。上述处理器401可以是通用处理器,包括中央处理器(CentralProcessing Unit,CPU)、网络处理器(NetworkProcessor,NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。其可以实现或者执行本申请实施例中公开的各种方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器402可以包括但不限于随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-OnlyMemory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electrically Erasable Programmable Read-Only Memory,EEPROM)等。
本实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如包括:若监测到邮箱服务不可用,则获取预先设定的安全编排和自动化响应SOAR剧本;基于所述SOAR剧本采集不可用邮箱服务对应的日志信息;基于所述SOAR剧本,根据所述日志信息进行日志关联分析、威胁情报分析、病毒分析和行为分析,基于分析结果生成告警信息,所述告警信息包括告警类别;基于所述SOAR剧本,根据所述告警类别获取对应的响应处置方案,并基于所述响应处置方案对所述不可用邮箱服务进行修复。
本实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行上述各方法实施例所提供的方法,例如包括:若监测到邮箱服务不可用,则获取预先设定的安全编排和自动化响应SOAR剧本;基于所述SOAR剧本采集不可用邮箱服务对应的日志信息;基于所述SOAR剧本,根据所述日志信息进行日志关联分析、威胁情报分析、病毒分析和行为分析,基于分析结果生成告警信息,所述告警信息包括告警类别;基于所述SOAR剧本,根据所述告警类别获取对应的响应处置方案,并基于所述响应处置方案对所述不可用邮箱服务进行修复。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (9)
1.一种邮箱服务不可用的处理方法,其特征在于,包括:
若监测到邮箱服务不可用,则获取预先设定的安全编排和自动化响应SOAR剧本;所述SOAR剧本是指利用SOAR技术构建的针对邮箱服务不可用时的处理流程,包括业务探针模块,智能分析模块和联动处置防护模块;预先在所述SOAR剧本中存储多种告警类别分别对应的响应处置方案;
基于所述SOAR剧本中的所述业务探针模块采集不可用邮箱服务对应的日志信息;
基于所述SOAR剧本中的所述智能分析模块,根据所述日志信息进行日志关联分析、威胁情报分析、病毒分析和行为分析,基于分析结果生成告警信息,所述告警信息包括告警类别;
基于所述SOAR剧本中的所述联动处置防护模块,根据所述告警类别获取对应的响应处置方案,并基于所述响应处置方案对所述不可用邮箱服务进行修复;
所述根据所述日志信息进行日志关联分析、威胁情报分析、病毒分析和行为分析,包括:
根据所述日志信息统计同一IP地址对所述不可用邮箱服务的访问次数,根据所述访问次数识别暴力破解行为,关联所述日志信息中的登录日志,获得所述暴力破解行为是否成功的关联结果;
利用威胁情报库对所述日志信息中的IP地址、URL、域名和附件文本进行匹配,获得情报分析结果;
利用病毒库对所述日志信息进行匹配,获得病毒分析结果;
利用所述日志信息对用户行为分析,获得行为分析结果。
2.根据权利要求1所述的方法,其特征在于,所述日志信息包括日志数据和附件文本;在采集不可用邮箱服务对应的日志信息之后,所述方法还包括:
对所述日志数据和附件文本进行富化,获得富化日志信息;
所述根据所述日志信息进行日志关联分析、威胁情报分析、病毒分析和行为分析,包括:
所述根据所述富化日志信息进行日志关联分析、威胁情报分析、病毒分析和行为分析。
3.根据权利要求2所述的方法,其特征在于,所述日志数据包括IP地址;所述对所述日志数据进行富化,包括:
根据所述IP地址获取对应的地址位置信息、内网标识和外网标识;
根据所述附件文本计算获得对应的MD5值和风险值;其中,所述富化日志信息包括所述地址位置信息、所述内网标识、所述外网标识、所述MD5值和所述风险值。
4.根据权利要求1所述的方法,其特征在于,所述基于分析结果生成告警信息,包括:
根据所述关联结果、所述情报分析结果、所述病毒分析结果和所述行为分析结果生成所述告警信息;所述告警信息还包括告警级别、恶意地址和病毒文件。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
从所述日志信息中提取攻击流量数据和恶意特征码,并进行存储。
6.根据权利要求1-5任一项所述的方法,其特征在于,所述方法还包括:
对所述邮箱服务的服务进程和端口状态进行监控;
若所述服务进程异常和/或所述端口状态为关闭状态,则确定所述邮箱服务不可用。
7.一种邮箱服务不可用的处理装置,其特征在于,包括:
剧本获取模块,用于若监测到邮箱服务不可用,则获取预先设定的安全编排和自动化响应SOAR剧本;所述SOAR剧本是指利用SOAR技术构建的针对邮箱服务不可用时的处理流程,包括业务探针模块,智能分析模块和联动处置防护模块;预先在所述SOAR剧本中存储多种告警类别分别对应的响应处置方案;
业务探针模块,用于基于所述SOAR剧本采集不可用邮箱服务对应的日志信息;
智能分析模块,用于基于所述SOAR剧本,根据所述日志信息进行日志关联分析、威胁情报分析、病毒分析和行为分析,基于分析结果生成告警信息,所述告警信息包括告警类别;
联动处置防护模块,用于基于所述SOAR剧本,根据所述告警类别获取对应的响应处置方案,并基于所述响应处置方案对所述不可用邮箱服务进行修复;
所述智能分析模块具体用于:
根据所述日志信息统计同一IP地址对所述不可用邮箱服务的访问次数,根据所述访问次数识别暴力破解行为,关联所述日志信息中的登录日志,获得所述暴力破解行为是否成功的关联结果;
利用威胁情报库对所述日志信息中的IP地址、URL、域名和附件文本进行匹配,获得情报分析结果;
利用病毒库对所述日志信息进行匹配,获得病毒分析结果;
利用所述日志信息对用户行为分析,获得行为分析结果。
8.一种电子设备,其特征在于,包括:处理器、存储器和总线,其中,
所述处理器和所述存储器通过所述总线完成相互间的通信;
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如权利要求1-6任一项所述的方法。
9.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令被计算机运行时,使所述计算机执行如权利要求1-6任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111367555.6A CN114050937B (zh) | 2021-11-18 | 2021-11-18 | 邮箱服务不可用的处理方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111367555.6A CN114050937B (zh) | 2021-11-18 | 2021-11-18 | 邮箱服务不可用的处理方法、装置、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114050937A CN114050937A (zh) | 2022-02-15 |
| CN114050937B true CN114050937B (zh) | 2024-02-09 |
Family
ID=80210075
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111367555.6A Active CN114050937B (zh) | 2021-11-18 | 2021-11-18 | 邮箱服务不可用的处理方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114050937B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114143047A (zh) * | 2021-11-17 | 2022-03-04 | 湖北天融信网络安全技术有限公司 | 漏洞检测方法、装置、终端设备、Web服务器及存储介质 |
| CN115208699A (zh) * | 2022-09-15 | 2022-10-18 | 南京怡晟安全技术研究院有限公司 | 一种安全编排和自动化响应方法 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020038353A1 (zh) * | 2018-08-21 | 2020-02-27 | 瀚思安信(北京)软件技术有限公司 | 异常行为检测方法及系统 |
| CN111212035A (zh) * | 2019-12-19 | 2020-05-29 | 杭州安恒信息技术股份有限公司 | 一种主机失陷确认及自动修复方法及基于此的系统 |
| CN111818068A (zh) * | 2020-07-14 | 2020-10-23 | 绿盟科技集团股份有限公司 | 微场景案例的编排验证方法、装置、介质及计算机设备 |
| CN111818069A (zh) * | 2020-07-14 | 2020-10-23 | 绿盟科技集团股份有限公司 | 呈现安全事件处理流程的方法、装置、介质及计算机设备 |
| US11133999B1 (en) * | 2019-10-04 | 2021-09-28 | Rapid7, Inc. | Network sensor deployment for deep packet inspection |
| CN113472787A (zh) * | 2021-06-30 | 2021-10-01 | 深信服科技股份有限公司 | 一种告警信息处理方法、装置、设备及存储介质 |
| CN113489734A (zh) * | 2021-07-13 | 2021-10-08 | 杭州安恒信息技术股份有限公司 | 钓鱼邮件检测方法、装置和电子装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11258811B2 (en) * | 2019-03-25 | 2022-02-22 | Saudi Arabian Oil Company | Email attack detection and forensics |
| US11563755B2 (en) * | 2020-03-24 | 2023-01-24 | Fortinet, Inc. | Machine-learning based approach for dynamically generating incident-specific playbooks for a security orchestration, automation and response (SOAR) platform |
-
2021
- 2021-11-18 CN CN202111367555.6A patent/CN114050937B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020038353A1 (zh) * | 2018-08-21 | 2020-02-27 | 瀚思安信(北京)软件技术有限公司 | 异常行为检测方法及系统 |
| US11133999B1 (en) * | 2019-10-04 | 2021-09-28 | Rapid7, Inc. | Network sensor deployment for deep packet inspection |
| CN111212035A (zh) * | 2019-12-19 | 2020-05-29 | 杭州安恒信息技术股份有限公司 | 一种主机失陷确认及自动修复方法及基于此的系统 |
| CN111818068A (zh) * | 2020-07-14 | 2020-10-23 | 绿盟科技集团股份有限公司 | 微场景案例的编排验证方法、装置、介质及计算机设备 |
| CN111818069A (zh) * | 2020-07-14 | 2020-10-23 | 绿盟科技集团股份有限公司 | 呈现安全事件处理流程的方法、装置、介质及计算机设备 |
| CN113472787A (zh) * | 2021-06-30 | 2021-10-01 | 深信服科技股份有限公司 | 一种告警信息处理方法、装置、设备及存储介质 |
| CN113489734A (zh) * | 2021-07-13 | 2021-10-08 | 杭州安恒信息技术股份有限公司 | 钓鱼邮件检测方法、装置和电子装置 |
Non-Patent Citations (1)
| Title |
|---|
| 网络空间威胁情报共享技术综述;杨沛安;武杨;苏莉娅;刘宝旭;;计算机科学(06);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114050937A (zh) | 2022-02-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10467411B1 (en) | System and method for generating a malware identifier | |
| CN106790186B (zh) | 基于多源异常事件关联分析的多步攻击检测方法 | |
| US10587647B1 (en) | Technique for malware detection capability comparison of network security devices | |
| JP6104149B2 (ja) | ログ分析装置及びログ分析方法及びログ分析プログラム | |
| CN105264861B (zh) | 用于检测多阶段事件的方法和设备 | |
| CN113661693A (zh) | 经由日志检测敏感数据暴露 | |
| CN114050937B (zh) | 邮箱服务不可用的处理方法、装置、电子设备及存储介质 | |
| US20150264011A1 (en) | Security information and event management | |
| CN108664793B (zh) | 一种检测漏洞的方法和装置 | |
| CN106650436A (zh) | 一种基于局域网的安全检测方法和装置 | |
| CN106027559A (zh) | 基于网络会话统计特征的大规模网络扫描检测方法 | |
| US11924235B2 (en) | Leveraging user-behavior analytics for improved security event classification | |
| US20220210202A1 (en) | Advanced cybersecurity threat mitigation using software supply chain analysis | |
| CN108551449B (zh) | 防病毒管理系统及方法 | |
| CN113542227A (zh) | 账号安全防护方法、装置、电子装置和存储介质 | |
| CN110868403B (zh) | 一种识别高级持续性攻击apt的方法及设备 | |
| US20240070267A1 (en) | Detecting malicious behavior in a network using security analytics by analyzing process interaction ratios | |
| CN112000719A (zh) | 数据安全态势感知系统、方法、设备及存储介质 | |
| CN114826880A (zh) | 一种数据安全运行在线监测的方法及系统 | |
| CN116094817A (zh) | 一种网络安全检测系统和方法 | |
| CN112153062B (zh) | 基于多维度的可疑终端设备检测方法及系统 | |
| CN114584391B (zh) | 异常流量处理策略的生成方法、装置、设备及存储介质 | |
| CN116668051A (zh) | 攻击行为的告警信息处理方法、装置、程序、电子及介质 | |
| CN113986843A (zh) | 数据风险预警处理方法、装置及电子设备 | |
| Yu et al. | Mining anomaly communication patterns for industrial control systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20240104 Address after: 071000 Conference Center 1-184, South Section of Baojin Expressway, Xiong'an Area, Xiong'an New District, Baoding City, Hebei Province Applicant after: Tianrongxin Xiongan Network Security Technology Co.,Ltd. Applicant after: Beijing Topsec Network Security Technology Co.,Ltd. Applicant after: Topsec Technologies Inc. Applicant after: BEIJING TOPSEC SOFTWARE Co.,Ltd. Address before: 100000 4th floor, building 3, yard 1, Shangdi East Road, Haidian District, Beijing Applicant before: Beijing Topsec Network Security Technology Co.,Ltd. Applicant before: Topsec Technologies Inc. Applicant before: BEIJING TOPSEC SOFTWARE Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |