具体实施方式
如今,邮箱服务系统是企业重要资产,一旦邮箱业务服务系统不可用,将会严重影响企业业务进展,甚至造成难以重大损失。因此,邮箱成为外来攻击者攻击的重点业务对象之一,攻击方式和手段更是层出不穷,如垃圾邮件、钓鱼邮件、邮件炸弹、邮箱账号暴力破解等。同时,在内部使用邮箱的过程中,也会因为使用不当或违规操作,导致邮箱业务系统不可用,如账号弱口令和密码长期不更新导致被暴力破解、明文传输造成数据泄露、下载未知文件触发病毒等等。而这些攻击和违规操作,会导致邮箱业务系统出现故障或不可用,将会对企业正常运营造成极大的影响。
当以上异常发生时,由于安全工具零散、安全知识孤岛化、流程过于碎片化,从事件监测到事件响应,无论是自行处置还是联系相关责任人进行处置,流程都需要人工推动进行串行处理,无法实现并行高效处理。处置过程中需要人工流转于多个系统、工具,处置流程不仅复杂、低效,还容易出错。特别当邮箱业务服务不可用,给业务运行造成一定阻碍,需要尽快处理。
为了解决上述技术问题,本申请实施例提供一种邮箱服务不可用的处理方法,该方法中,在监测到邮箱服务不可用时,通过调用预先设定的SOAR剧本,根据SOAR剧本中配置好的流程自动化执行,即,自动化采集日志信息,并对采集的日志信息进行智能分析,获得分析结果,根据分析结果确定响应处置方案,并基于响应处置方案对不可用邮箱服务进行修复。其过程不需要人工干预,提高了对邮箱服务处理的效率。
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
可以理解的是,本申请实施例提供的方法可以应用于终端设备(也可以称为电子设备)以及服务器;其中终端设备具体可以为智能手机、平板电脑、计算机、个人数字助理(Personal Digital Assitant,PDA)等;服务器具体可以为应用服务器,也可以为Web服务器。为了便于理解,本申请实施例提供的技术方案,下面以服务器作为执行主体为例,对本申请实施例提供的方法的应用场景进行介绍。
图1为本申请实施例提供的一种邮箱服务不可用的处理方法流程示意图,如图1所示,该方法包括:
步骤101:若监测到邮箱服务不可用,则获取预先设定的安全编排和自动化响应SOAR剧本。
其中,安全编排自动化与响应(Security Orchestration,Automation andResponse,SOAR),是一系列技术的合集,它能够帮助企业和组织收集安全运维团队监控到的各种信息(包括各种安全系统产生的告警),并对这些信息进行事件分析和告警分诊。然后在标准工作流程的指引下,利用人机结合的方式帮助安全运维人员定义、排序和驱动标准化的事件响应活动。SOAR工具使得企业和组织能够对事件分析与响应流程进行形式化的描述。SOAR剧本是指利用SOAR技术构建的针对邮箱服务不可用时的处理流程,其包括业务探针模块,智能分析模块和联动处置防护模块。
通过预先在业务系统、主机等资产上部署探针,以实现对邮箱服务的运行状态及邮箱之间的互通访问关系进行监听。当监测到邮箱服务不可用时,获取预先设定的SOAR剧本。可以理解的是,SOAR剧本用于当邮箱服务不可用时,对邮箱服务进行检查、修复的流程。
步骤102:基于所述SOAR剧本采集不可用邮箱服务对应的日志信息。
服务器根据SOAR剧本中的流程,通过探针可以获取到邮箱服务不可用时产生的日志信息。具体地,可以是获取邮箱服务在不可用之前一段时间和不可用之后的一段时间内所产生的日志信息。例如:可以是在邮箱服务不可用之前的1分钟内,和邮箱服务不可用之后的2分钟内所产生的日志信息。应当说明的是,可以根据实际情况确定日志信息所对应的时间段,本申请实施例对此不作具体限定。
步骤103:基于所述SOAR剧本,根据所述日志信息进行日志关联分析、威胁情报分析、病毒分析和行为分析,基于分析结果生成告警信息,所述告警信息包括告警类别。
SOAR剧本中的智能分析模块对采集到的日志信息进行深度综合分析和调查取证。综合日志关联分析、威胁情报分析、病毒分析和行为分析等分析能力,获得分析结果,并基于分析结果综合判断事件发生的根因,从而生成告警信息。可以理解的是,告警信息中的告警类别用于表征异常点,例如:告警类型可以是被DDOS攻击、邮箱服务器重启、端口关闭等。
步骤104:基于所述SOAR剧本,根据所述告警类别获取对应的响应处置方案,并基于所述响应处置方案对所述不可用邮箱服务进行修复。
在具体的实施过程中,响应处置方案是指为了解决邮箱服务不可用问题的修复动作,修复操作包含但不限于查杀病毒、修复漏洞、阻断攻击源、隔离终端、隔离文件、终端提示弱口令修改等等。由于不同的告警类别对应的响应处置方案不同,因此预先在SOAR剧本中存储有多种告警类别分别对应的响应处置方案。服务器基于SOAR剧本中的联动防护模块,根据告警类别获取对应的响应处置方案,并根据响应处置方案联动相关设备进行修复。其中,相关设备可以是防火墙、终端防护软件、入侵检测系统、入侵防护系统、上网行为管理系统等等。
本申请实施例基于SOAR剧本处理邮箱服务不可用的情况,其流程自动化,不需要人工操作,从而提高了对邮箱服务处理的效率。
在上述实施例的基础上,所述日志信息包括日志数据和附件文本;在采集不可用邮箱服务对应的日志信息之后,所述方法还包括:
对所述日志数据和附件文本进行富化,获得富化日志信息;
所述根据所述日志信息进行日志关联分析、威胁情报分析、病毒分析和行为分析,包括:
所述根据所述富化日志信息进行日志关联分析、威胁情报分析、病毒分析和行为分析。
在具体的实施过程中,为了能够获取更加详细的日志信息,以提高对邮箱服务不可用的原因进行分析的准确性,服务器在获取到日志信息后,对日志信息进行富化。所谓富化是指根据日志信息获得与日志信息相关的其他信息,使得富化后日志信息中的内容更加丰富。例如:通过攻击邮件服务器的日志信息中的IP地址,可以获得IP地址对应的位置信息、内网标识和外网标识等。通过附件文本,可以计算该附件文本对应的MD5值和风险值等信息。位置信息、内网标识、外网标识、MD5值和风险值等均为对日志信息进行富化后获得的。
在获得富化后日志信息后,服务器利用智能分析模块对富化后日志信息进行日志关联分析、威胁情报分析、病毒分析和行为分析。
本申请实施例通过对日志信息进行富化,然后基于富化后日志信息进行分析,从而提高了对邮箱服务不可用的原因分析的准确性。
在上述实施例的基础上,所述根据所述日志信息进行日志关联分析、威胁情报分析、病毒分析和行为分析,包括:
根据所述日志信息统计同一IP地址对所述不可用邮箱服务的访问次数,根据所述访问次数识别暴力破解行为,关联所述日志信息中的登录日志,获得所述暴力破解行为是否成功的关联结果;
利用威胁情报库对所述日志信息中的IP地址、URL、域名和附件文本进行匹配,获得情报分析结果;
利用病毒库对所述日志信息进行匹配,获得病毒分析结果;
利用所述日志信息对用户行为分析,获得行为分析结果。
在具体的实施过程中,日志关联分析分为简单模式和复杂模式,简单模式是对同类型的日志数据进行统计分析,例如:统计某个特定的IP地址,在单位时间内对邮箱服务的访问次数,根据访问次数来识别是否为暴力破解行为。复杂模式是对不同类型的日志数据进行关联分析,例如:可以将IP地址的访问日志和登录日志进行关联,即,在根据IP地址的访问次数识别出是暴力破解行为后,根据登录日志来判断暴力破解行为是否成功。应当说明的是,在对日志信息进行日志关联分析时,可以预先在SOAR剧本中设定使用简单模式还是复杂模式,对于复杂模式,还需要预先设定互相关联的日志数据。
在云端或者本地存储有威胁情报库,威胁情报库中预先存储了恶意IP地址、恶意URL地址、恶意域名、恶意附件等。服务器在获取到日志数据后,通过调用威胁情报库,将日志数据与威胁情报库中的数据进行匹配。具体地,如果日志数据中包括IP地址,则将该IP地址与威胁情报库中的恶意IP进行匹配,如匹配成功,则说明日志数据中的IP地址为恶意IP地址。其他数据的匹配与IP地址的匹配类似,此处不再赘述。
在本地预先存储有病毒库,在病毒库中存储有多种病毒特征码,通过将日志信息与病毒特征码进行匹配,可以确定日志信息中是否包括病毒。
用户行为分析主要是服务器利用日志信息分析用户对邮箱的操作行为,例如:是不是异地登录邮箱,是不是批量对外部邮箱发送邮件等行为。
通过上述分析,可以确定邮箱服务不可用的原因,确定附件文本是否为病毒文件,事件所处攻击链阶段等。并基于上述分析结果,生成告警信息,告警信息中包括告警类别,还可以包括告警级别、恶意地址、病毒文件等等。可以理解的是,告警级别可以分为高危、中危和低危,当然,也可以根据实际情况对告警级别进行划分,本申请实施例对此不作具体限定。不同的告警类别对应的告警级别不同,且每种告警类别对应的告警级别为预先配置的。
另外,服务器在完成分析获得分析结果后,从日志信息中提取攻击流量数据和恶意特征码,并将攻击流量数据和恶意特征码进行存储,以便于后续追溯和维权。另外,还可以将攻击流量数据和恶意特征码同步至对应的库,例如:攻击流量数据可以为威胁情报,那么可以将攻击流量数据同步到威胁情报库中;如果攻击流量数据为病毒,则可以将其同步至病毒库中。恶意特征码也可以同步至威胁情报库中。
本申请实施例通过利用日志信息进行关联行为分析、情报分析,病毒分析和行为分析等多个方面进行分析,从而可以提高了对邮箱服务不可用分析的准确性。
在上述实施例的基础上,所述方法还包括:
对所述邮箱服务的服务进程和端口状态进行监控;
若所述服务进程异常和/或所述端口状态为关闭状态,则确定所述邮箱服务不可用。
在具体的实施过程中,探针在监控邮箱服务的运行状态时,具体可以监控邮箱服务的服务进程,如果服务进程停止运行,则说明服务进程异常,邮箱服务不可用。另外,还可以监控端口状态,判断邮箱服务的端口是否处于开放情况,如果端口不能访问,则说明邮箱服务不可用。
图2为本申请实施例提供的另一种基于SOAR剧本的邮箱处理方法流程示意图,如图2所示,该方法包括:
1、预先在全网的业务系统、主机、服务器等所有资产上部署并启用监测探针。当邮箱服务不可用时,如邮箱服务器中毒导致邮件接发程序异常中断。邮箱服务器终端探针将感知和监测到这一异常情况,并进行日志记录和收集样本文件,日志类型标记为邮箱服务异常。
2、服务器中的业务探针模块基于SOAR剧本流程的设定,针对探针上报的邮箱服务异常安全日志,自动整合全网的业务工作状态和互通关系信息,如源、目的终端的运行状态、网络访问权限、内外网标识等,并计算文件的md5值等等,富化安全日志信息。
3、服务器中的智能分析模块基于SOAR剧本流程的设定,将自动针对安全日志信息并行进行日志关联分析、威胁情报分析、病毒分析,再统一整合分析结果生成一条告警,并明确告警事件类型。其中,日志关联分析即结合业务探针系统中其他安全日志,如邮箱服务器运行状态、端口异常开放或关闭状态等安全日志,以及某个特定的IP单位时间内对邮件服务访问了多少次的流量日志以及临近该时段其他终端探针上报的同类日志等,分析邮件收发程序异常中断是否是被DDOS攻击、邮箱服务器重启、端口关闭等等情况导致;同时,基于本地或云端的威胁情报库对邮箱业务服务不可用的安全日志中的IP地址、URL、域名、邮箱以及文件MD5值判断是否存在恶意或威胁地址;同时,基于病毒库对样本文件进行解析,判断样本文件是否是病毒以及病毒类型;然后,基于综合上述一体化分析结果得到邮件收发程序异常中断是由邮箱服务器中病毒导致。最后,将此分析结果和邮箱业务服务不可用的安全日志信息整合生成一个告警事件,明确告警类型是服务器中毒、告警级别是高危、病毒文件类型等等事件详情。
4、服务器中的联动处置防护模块基于SOAR剧本流程的设定,根据告警事件针对性地提供自动化响应处置方案,联动相关安全设备执行处置动作。此示例中,如当告警类型是邮箱服务器中毒,则下发策略到终端安全软件进行病毒查杀;同时自动选择可执行IP封堵操作的防火墙下发IP封堵策略,阻断攻击源的所有访问。
5、针对该攻击行为,对探针抓取的Pcap包进行解析,根据五元组提取攻击流量数据、攻击源信息并保存。针对恶意样本,提取保留恶意特征,待后续溯源。
图3为本申请实施例提供的邮箱服务不可用的处理装置结构示意图,该装置可以是电子设备上的模块、程序段或代码。应理解,该装置与上述图1方法实施例对应,能够执行图1方法实施例涉及的各个步骤,该装置具体的功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。所述装置包括:剧本获取模块301、业务探针模块302、智能分析模块303和联动处置防护模块304,其中:
剧本获取模块301用于若监测到邮箱服务不可用,则获取预先设定的安全编排和自动化响应SOAR剧本;
业务探针模块302用于基于所述SOAR剧本采集不可用邮箱服务对应的日志信息;
智能分析模块303用于基于所述SOAR剧本,根据所述日志信息进行日志关联分析、威胁情报分析、病毒分析和行为分析,基于分析结果生成告警信息,所述告警信息包括告警类别;
联动处置防护模块304用于基于所述SOAR剧本,根据所述告警类别获取对应的响应处置方案,并基于所述响应处置方案对所述不可用邮箱服务进行修复。
在上述实施例的基础上,所述日志信息包括日志数据和附件文本;该装置还包括日志富化模块,用于:
对所述日志数据和附件文本进行富化,获得富化日志信息;
智能分析模块303具体用于:
所述根据所述富化日志信息进行日志关联分析、威胁情报分析、病毒分析和行为分析。
在上述实施例的基础上,日志富化模块具体用于:
根据所述IP地址获取对应的地址位置信息、内网标识和外网标识;
根据所述附件文本计算获得对应的MD5值和风险值;其中,所述地址位置信息、所述内网标识、所述外网标识、所述MD5值和所述风险值构成所述富化日志信息。
在上述实施例的基础上,智能分析模块303具体用于:
根据所述日志信息统计同一IP地址对所述不可用邮箱服务的访问次数,根据所述访问次数识别暴力破解行为,关联所述日志信息中的登录日志,获得所述暴力破解行为是否成功的关联结果;
利用威胁情报库对所述日志信息中的IP地址、URL、域名和附件文本进行匹配,获得情报分析结果;
利用病毒库对所述日志信息进行匹配,获得病毒分析结果;
利用所述日志信息对用户行为分析,获得行为分析结果。
在上述实施例的基础上,智能分析模块303具体用于:
根据所述关联结果、所述情报分析结果、所述病毒分析结果和所述行为分析结果生成所述告警信息;所述告警信息还包括告警级别、恶意地址和病毒文件。
在上述实施例的基础上,该装置还包括:
存储模块,用于从所述日志信息中提取攻击流量数据和恶意特征码,并进行存储。
在上述实施例的基础上,该装置还包括监控模块,用于:
对所述邮箱服务的服务进程和端口状态进行监控;
若所述服务进程异常和/或所述端口状态为关闭状态,则确定所述邮箱服务不可用。
图4为本申请实施例提供的电子设备实体结构示意图,如图4所示,所述电子设备,包括:处理器(processor)401、存储器(memory)402和总线403;其中,
所述处理器401和存储器402通过所述总线403完成相互间的通信;
所述处理器401用于调用所述存储器402中的程序指令,以执行上述各方法实施例所提供的方法,例如包括:若监测到邮箱服务不可用,则获取预先设定的安全编排和自动化响应SOAR剧本;基于所述SOAR剧本采集不可用邮箱服务对应的日志信息;基于所述SOAR剧本,根据所述日志信息进行日志关联分析、威胁情报分析、病毒分析和行为分析,基于分析结果生成告警信息,所述告警信息包括告警类别;基于所述SOAR剧本,根据所述告警类别获取对应的响应处置方案,并基于所述响应处置方案对所述不可用邮箱服务进行修复。
处理器401可以是一种集成电路芯片,具有信号处理能力。上述处理器401可以是通用处理器,包括中央处理器(CentralProcessing Unit,CPU)、网络处理器(NetworkProcessor,NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。其可以实现或者执行本申请实施例中公开的各种方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器402可以包括但不限于随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-OnlyMemory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electrically Erasable Programmable Read-Only Memory,EEPROM)等。
本实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如包括:若监测到邮箱服务不可用,则获取预先设定的安全编排和自动化响应SOAR剧本;基于所述SOAR剧本采集不可用邮箱服务对应的日志信息;基于所述SOAR剧本,根据所述日志信息进行日志关联分析、威胁情报分析、病毒分析和行为分析,基于分析结果生成告警信息,所述告警信息包括告警类别;基于所述SOAR剧本,根据所述告警类别获取对应的响应处置方案,并基于所述响应处置方案对所述不可用邮箱服务进行修复。
本实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行上述各方法实施例所提供的方法,例如包括:若监测到邮箱服务不可用,则获取预先设定的安全编排和自动化响应SOAR剧本;基于所述SOAR剧本采集不可用邮箱服务对应的日志信息;基于所述SOAR剧本,根据所述日志信息进行日志关联分析、威胁情报分析、病毒分析和行为分析,基于分析结果生成告警信息,所述告警信息包括告警类别;基于所述SOAR剧本,根据所述告警类别获取对应的响应处置方案,并基于所述响应处置方案对所述不可用邮箱服务进行修复。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。