CN114095204A - 基于订阅机制的情报设备联动方法、防护中心及安全设备 - Google Patents
基于订阅机制的情报设备联动方法、防护中心及安全设备 Download PDFInfo
- Publication number
- CN114095204A CN114095204A CN202111198530.8A CN202111198530A CN114095204A CN 114095204 A CN114095204 A CN 114095204A CN 202111198530 A CN202111198530 A CN 202111198530A CN 114095204 A CN114095204 A CN 114095204A
- Authority
- CN
- China
- Prior art keywords
- disposal
- service
- scheme
- network attack
- safety
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 61
- 230000007246 mechanism Effects 0.000 title claims abstract description 26
- 230000008569 process Effects 0.000 claims description 14
- 238000004590 computer program Methods 0.000 claims description 12
- 230000006399 behavior Effects 0.000 claims description 9
- 230000003044 adaptive effect Effects 0.000 claims description 8
- 238000009960 carding Methods 0.000 claims description 3
- 230000001681 protective effect Effects 0.000 claims 1
- 230000000694 effects Effects 0.000 abstract description 6
- 230000007123 defense Effects 0.000 description 13
- 238000009434 installation Methods 0.000 description 8
- 230000004044 response Effects 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 5
- 230000006978 adaptation Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 3
- 230000000903 blocking effect Effects 0.000 description 3
- 238000013461 design Methods 0.000 description 3
- 238000004519 manufacturing process Methods 0.000 description 3
- 239000008186 active pharmaceutical agent Substances 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 238000005065 mining Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 210000001520 comb Anatomy 0.000 description 1
- 238000010219 correlation analysis Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000009472 formulation Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种基于订阅机制的情报设备联动方法、防护中心及安全设备。基于订阅机制的情报设备联动方法,包括:发布针对网络攻击所提供的处置方案服务,以供各个安全设备进行订阅;获取订阅所述处置方案服务的安全设备列表;根据网络攻击事件生成处置方案,并将所述处置方案发送至所述安全设备列表中的所有安全设备。采用本发明,通过生产、发布、订阅安全设备处置方案服务的方式,安全设备能够自动应用处置方案,实现对威胁攻击活动发生前、中、后期各个阶段的自我防护。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于订阅机制的情报设备联动方法、防护中心及安全设备。
背景技术
相关技术中,当网络环境中侦测到网络攻击或存在其他恶意行为时,经过分析、处置后并生成一条或多条网络威胁情报,并将当前生成的高精准网络威胁情报向客户、合作伙伴或者友商进行推送或自动交换分享,随后客户分析接收到的网络威胁情报数据并梳理出相对应的网络防御策略,结合不同安全设备及其命令格式生成响应的网络的网络防御命令,在一定程度上提高大家共同应对安全威胁的能力。但存在以下技术缺陷:1、在该方案中虽然能够实现情报共享、交换的自动化,但是在情报应用阶段,需要客户参照该威胁情报数据进行单独的处置和应用,存在人为操作失误的可能性。2、该方案中的客户接收到威胁情报数据后,在处置和应用不同厂商、不同型号的安全设备时,由于操作命令不尽相同,所以处置效率低下,且容易出错,应用难度较大。3、该方案中由于客户需要参照威胁情报数据进行单独的处置和应用,且如果设备厂商、型号繁多,会进一步增加处置、响应时间,错失关键的防御时机。
发明内容
本发明实施例提供一种基于订阅机制的情报设备联动方法、防护中心及安全设备,用以解决现有技术中威胁情报数据不能够自动应用的问题。
根据本发明实施例的基于订阅机制的情报设备联动方法,包括:
发布针对网络攻击所提供的处置方案服务,以供各个安全设备进行订阅;
获取订阅所述处置方案服务的安全设备列表;
根据网络攻击事件生成处置方案,并将所述处置方案发送至所述安全设备列表中的所有安全设备。
根据本发明的一些实施例,所述处置方案服务携带有适配安全设备列表。
根据本发明的一些实施例,所述获取订阅所述处置方案服务的安全设备列表,包括:
接收所述安全设备的订阅请求,并判定所述安全设备是否安装有策略应用驱动程序,若有,则该安全设备成功订阅所述处置方案服务,否则,通知所述安全设备下载并安装所述策略应用驱动程序;
所述策略应用驱动程序用于接收所述处置方案并将所述处置方案应用至所述安全设备。
根据本发明的一些实施例,所述根据网络攻击事件生成处置方案,包括:
对所述网络攻击事件关联的指示器进行研判,以获取恶意程度超过阈值的重要指示器;
基于所述重要指示器,并结合OpenC2语言标准,生成所述处置方案。
根据本发明实施例的防护中心,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如上所述的基于订阅机制的情报设备联动方法的步骤。
根据本发明实施例的基于订阅机制的情报设备联动方法,包括:
订阅针对网络攻击所提供的处置方案服务;
接收并应用根据网络攻击事件生成的处置方案。
根据本发明的一些实施例,所述订阅针对网络攻击所提供的处置方案服务,包括:
获取在网络环境中发布的所述处置方案服务,并从所述处置方案服务中获取其携带的适配安全设备列表;
基于所述适配安全设备列表,判断是否能够订阅所述处置方案服务,若是,则根据需求订阅所述处置方案服务,否则,忽略所述处置方案服务。
根据本发明的一些实施例,所述订阅针对网络攻击所提供的处置方案服务,包括:
安装策略应用驱动程序,所述策略应用驱动程序用于接收所述处置方案并将所述处置方案应用至相应的安全设备上。
根据本发明的一些实施例,所述方法还包括:
侦测网络攻击行为,并对所述网络攻击行为的整个过程进行记录、梳理,以生成网络攻击事件;
共享所述网络攻击事件。
根据本发明实施例的安全设备,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如上所述的基于订阅机制的情报设备联动方法的步骤。
采用本发明实施例,通过生产、发布、订阅安全设备处置方案服务的方式,安全设备能够自动应用处置方案,实现对威胁攻击活动发生前、中、后期各个阶段的自我防护。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。在附图中:
图1是本发明实施例中基于订阅机制的情报设备联动方法流程图;
图2是本发明实施例中基于订阅机制的情报设备联动方法流程图;
图3是本发明实施例中基于订阅机制的情报设备联动方法流程图;
图4是本发明实施例中基于订阅机制的情报设备联动方法流程图。
具体实施方式
下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本发明,并且能够将本发明的范围完整的传达给本领域的技术人员。
本发明第一方面实施例提出一种基于订阅机制的情报设备联动方法,基于订阅机制的情报设备联动方法可以应用至防护中心。如图1所示,基于订阅机制的情报设备联动方法,包括:
S11,发布针对网络攻击所提供的处置方案服务,以供各个安全设备进行订阅;
通常意义上,订阅作为一种预定方式,指报纸读者预交一段时间的报纸订阅费,由专门负责投送的人员在指定的时间段把读者所订的报纸按期投递到读者指定的地点。由于网络技术的发展,新闻订阅、博客订阅也越来越深入日常生活,服务订阅亦是如则,因为这种方式不仅简化了商家向顾客提供服务的途径,同时也优化了客户在使用服务过程中的体验。
S12,获取订阅所述处置方案服务的安全设备列表;安全设备列表中记录了订阅了处置方案服务的所有安全设备。
S13,根据网络攻击事件生成处置方案,并将所述处置方案发送至所述安全设备列表中的所有安全设备。
当今网络防御技术、系统和应用程序经常使用专有软件和命令来控制系统配置。公司或企业内的大多数环境由数百种不同类型的网络防御设备组成。当检测到安全事件或需要更改配置时,需要手动命令和实时系统更新,这增加了事件响应时间,并可能引入人为错误。
本发明实施例通过生产、发布、订阅安全设备处置方案服务的方式,安全设备能够自动应用处置方案,实现对威胁攻击活动发生前、中、后期各个阶段的自我防护。安全专业人员可以在广泛的网络防御技术中协调自动的、战术的威胁响应,其速度远远超过以前的想象。
根据本发明的一些实施例,所述处置方案服务携带有适配安全设备列表。这里的适配安全设备列表中罗列了能够订阅处置方案的所有设备型号,即处置方案的订阅服务支持哪些设备。由此,设备在接收到处置方案服务时,可以根据适配安全设备列表判断自己是否能够订阅该项服务,避免某些不支持该项服务的安全设备付出徒劳工作。
根据本发明的一些实施例,所述获取订阅所述处置方案服务的安全设备列表,包括:
接收所述安全设备的订阅请求,并判定所述安全设备是否安装有策略应用驱动程序,若有,则该安全设备成功订阅所述处置方案服务,否则,通知所述安全设备下载并安装所述策略应用驱动程序;
所述策略应用驱动程序用于接收所述处置方案并将所述处置方案应用至所述安全设备。
可以理解,本发明实施例限定了必须下载相应的策略应用驱动程序才能接收后续发布的处置方案并将处置方案应用至自身。因此,只有在下载了策略应用驱动程序,才表示订阅成功。
安全设备如果选择订阅,需要在下载并安装策略应用驱动程序(该驱动程序因设备的不同会有所差异,对于支持安装扩展软件的通用设备,可直接下载安装驱动程序;对不支持安装扩展软件的嵌入式设备,在设备设计、生产时通过沟通合作,安全设备需预留对特定功能扩展软件的支持),它能够接收并将防护中心发布的处置方案直接应用到该设备上,并返回处置应用结果,而不再需要人为的干预。
本发明实施例通过发布、安装策略应用驱动程序的方式,可以用来屏蔽不同厂商、不同型号安全设备底层操作命令不同的情况,从而提高了安全设备对处置方案的适配,增加了处置方案的应用范围。
根据本发明的一些实施例,所述根据网络攻击事件生成处置方案,包括:
对所述网络攻击事件关联的指示器进行研判,以获取恶意程度超过阈值的重要指示器;
基于所述重要指示器,并结合OpenC2语言标准,生成所述处置方案。
OpenC2(Open Command and Control)是一种标准化语言,用于指挥和控制提供或支持网络防御的技术。OpenC2提供了一种用于机器对机器通信的通用语言,与供应商和应用程序无关,从而实现了一系列网络安全工具和应用程序的互操作性。使用标准化的接口和协议可以实现不同工具的互操作性,无论它们是由哪个供应商开发的、用什么语言编写的,也不管它们要实现的功能是什么。
在本发明的一些示例中,所述方法还包括:通过TAXII服务分享的符合STIX标准格式的网络威胁情报。
STIX是一种用于交换CTI(网络威胁情报)的语言和序列化格式。通过这种结构化的威胁情报描述信息,使组织能够以一致和机器可读的方式彼此共享CTI,使安全社区能够更好地理解他们最可能看到的基于计算机的攻击,并更快更有效地预测和响应这些攻击。
TAXII是一种应用层协议,用于以简单和可扩展的方式通信网络威胁信息。TAXII是一种用于通过HTTPS交换CTI的协议。TAXII允许组织通过定义与公共共享模型相一致的API来共享CTI。TAXII是专门为支持STIX中所表示的CTI交换而设计的,STIX规定了威胁情报的内容,TAXII则定义了情报的传递方式,相比前期的共享方法,由于STIX和TAXII都是机器可读的,因此很容易实现情报共享、交换的自动化。
本发明第二方面实施例提供一种防护中心,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如上第一方面实施例所述的基于订阅机制的情报设备联动方法的步骤。
采用本发明实施例,通过生产、发布、订阅安全设备处置方案服务的方式,安全设备能够自动应用处置方案,实现对威胁攻击活动发生前、中、后期各个阶段的自我防护。
本发明第三方面实施例提供一种基于订阅机制的情报设备联动方法,基于订阅机制的情报设备联动方法可以应用至网络中的安全设备。如图2所示,基于订阅机制的情报设备联动方法,包括:
S21,订阅针对网络攻击所提供的处置方案服务;可以理解,通过接收在网络环境中发布的针对网络攻击所提供的处置方案服务,可以选择性订阅该项服务。
通常意义上,订阅作为一种预定方式,指报纸读者预交一段时间的报纸订阅费,由专门负责投送的人员在指定的时间段把读者所订的报纸按期投递到读者指定的地点。由于网络技术的发展,新闻订阅、博客订阅也越来越深入日常生活,服务订阅亦是如则,因为这种方式不仅简化了商家向顾客提供服务的途径,同时也优化了客户在使用服务过程中的体验。
S22,接收并应用根据网络攻击事件生成的处置方案。可以理解,在订阅服务后,就可以自动收到该项服务提供的根据网络攻击事件生成的处置方案,从而保护自身设备。
当今网络防御技术、系统和应用程序经常使用专有软件和命令来控制系统配置。公司或企业内的大多数环境由数百种不同类型的网络防御设备组成。当检测到安全事件或需要更改配置时,需要手动命令和实时系统更新,这增加了事件响应时间,并可能引入人为错误。
采用本发明实施例,通过生产、发布、订阅安全设备处置方案服务的方式,安全设备能够自动应用处置方案,实现对威胁攻击活动发生前、中、后期各个阶段的自我防护。
在上述实施例的基础上,进一步提出各变型实施例,在此需要说明的是,为了使描述简要,在各变型实施例中仅描述与上述实施例的不同之处。
根据本发明的一些实施例,所述订阅针对网络攻击所提供的处置方案服务,包括:
获取在网络环境中发布的所述处置方案服务,并从所述处置方案服务中获取其携带的适配安全设备列表;
基于所述适配安全设备列表,判断是否能够订阅所述处置方案服务,若是,则根据需求订阅所述处置方案服务,否则,忽略所述处置方案服务。
这里的适配安全设备列表中罗列了能够订阅处置方案的所有设备型号,即处置方案的订阅服务支持哪些设备。由此,设备在接收到处置方案服务时,可以根据适配安全设备列表判断自己是否能够订阅该项服务,避免某些不支持该项服务的安全设备付出徒劳工作。
根据本发明的一些实施例,所述订阅针对网络攻击所提供的处置方案服务,包括:
安装策略应用驱动程序,所述策略应用驱动程序用于接收所述处置方案并将所述处置方案应用至相应的安全设备上。
可以理解,本发明实施例限定了必须下载相应的策略应用驱动程序才能接收后续发布的处置方案并将处置方案应用至自身。因此,只有在下载了策略应用驱动程序,才表示订阅成功。
安全设备如果选择订阅,需要在下载并安装策略应用驱动程序(该驱动程序因设备的不同会有所差异,对于支持安装扩展软件的通用设备,可直接下载安装驱动程序;对不支持安装扩展软件的嵌入式设备,在设备设计、生产时通过沟通合作,安全设备需预留对特定功能扩展软件的支持),它能够接收并将防护中心发布的处置方案直接应用到该设备上,并返回处置应用结果,而不再需要人为的干预。
本发明实施例通过发布、安装策略应用驱动程序的方式,可以用来屏蔽不同厂商、不同型号安全设备底层操作命令不同的情况,从而提高了安全设备对处置方案的适配,增加了处置方案的应用范围。
根据本发明的一些实施例,所述方法还包括:
侦测网络攻击行为,并对所述网络攻击行为的整个过程进行记录、梳理,以生成网络攻击事件;
共享所述网络攻击事件。
例如,当网络环境中侦测到网络攻击或存在其他恶意行为时,经过分析、处置后并生成一条或多条符合STIX标准格式的网络威胁情报,通过TAXII服务将当前生成的高精准网络威胁情报向客户、合作伙伴或者友商进行推送或自动交换分享。
STIX是一种用于交换CTI(网络威胁情报)的语言和序列化格式。通过这种结构化的威胁情报描述信息,使组织能够以一致和机器可读的方式彼此共享CTI,使安全社区能够更好地理解他们最可能看到的基于计算机的攻击,并更快更有效地预测和响应这些攻击。
TAXII是一种应用层协议,用于以简单和可扩展的方式通信网络威胁信息。TAXII是一种用于通过HTTPS交换CTI的协议。TAXII允许组织通过定义与公共共享模型相一致的API来共享CTI。TAXII是专门为支持STIX中所表示的CTI交换而设计的,STIX规定了威胁情报的内容,TAXII则定义了情报的传递方式,相比前期的共享方法,由于STIX和TAXII都是机器可读的,因此很容易实现情报共享、交换的自动化。
本发明第四方面实施例提供一种安全设备,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如上第三方面实施例所述的基于订阅机制的情报设备联动方法的步骤。
采用本发明实施例,通过生产、发布、订阅安全设备处置方案服务的方式,安全设备能够自动应用处置方案,实现对威胁攻击活动发生前、中、后期各个阶段的自我防护。
下面参照图3-图4以一个具体的实施例详细描述根据本发明实施例的基于订阅机制的情报设备联动方法。值得理解的是,下述描述仅是示例性说明,而不是对本发明的具体限制。凡是采用本发明的相似结构及其相似变化,均应列入本发明的保护范围。
本发明实施例的基于订阅机制的情报设备联动方法重点解决威胁情报数据不能够自动应用问题,从识别、理解专业的威胁情报数据,到制定、实施具体处置方案,都需要专业的技术服务人员,通过实现威胁情报数据自动应用能够减少专业技术服务人员的工作情况。并且,进一步提出通过发布、安装“策略应用”驱动程序的方式来屏蔽不同厂商、不同型号安全设备底层操作命令不同的情况,从而提高了安全设备对处置方案的适配,增加了处置方案的应用范围。本发明实施例侧重将发布的处置方案能够不同厂商、不同型号的安全设备上自动应用,从而快速构建起一套相对科学、完善、系统的防御体系,在有威胁发生时,减少处置、响应时间,抢得防御先机。
具体的,参照图3,本发明实施例的基于订阅机制的情报设备联动的方法,包括如下步骤:
步骤1:分析挖掘情报数据,生成处置方案;
当黑客人员对某个软件或硬件的漏洞进行攻击时,由于漏洞的是需要在一定条件下或者时特定场景下才能够被触发,所以黑客人员对不同漏洞的攻击模式和攻击特征是不同的,通过对实时威胁情报数据的关联分析和深度挖掘,抽取攻击事件发生过程中的恶意程度较高指示器,然后对指示器数据进行研判,形成处置方案,并以“处置方案”服务的形式对外发布。
步骤2:订阅处置方案服务,安装策略应用驱动程序;
防护中心在对外发布“处置方案”服务时,会一同说明其支持的设备列表情况,方便客户依据各自安全设备的厂商和型号对“处置方案”服务进行选择和订阅。当安全设备对“处置方案”进行订阅时,需要下载并安装“策略应用”驱动程序,确保设备端能够接收到防护中心发布的处置方案,并且能够在第一时间自动将其应用在安全设备上,形成有效的安全防护。
步骤3:自动应用处置方案并返回处置结果。
通过前期的服务订阅,设备端通过安装“策略应用”驱动程序和防护中心建立起一种联动防护机制,当网络环境中有新的攻击事件发生时,防护中心能够生成与之相对应的处置方案,并且将该处置方案向订阅了该服务的设备进行推送,设备端接收到防护中心推送过来的处置方案后自动进行应用,并向防护中心返回应用结果。
本申请侧重在于将“处置方案”服务的发布、订阅和“策略应用”驱动程序的安装与应用相结合,使相同的处置方案能够在不同厂商、不同型号的安全设备上自动应用,从而快速构建威胁防御体系,所涉及的技术关键点如下:
本发明实施例中生成、发布、订阅的处置方案是可以在设备端(在设备列表中)直接执行的,涵盖的功能有Deny、Contain、Allow、Create、Update、Delete等,兼容OpenC2标准,相比原始的描述性静态情报,该类处置方案具备可以被设备识别、执行等特征,实用性更强;
本发明实施例通过“策略应用”驱动程序的安装,屏蔽了不同厂商、不同型号的设备底层命令的不同,使得相同处置方案可以应用在不同的安全设备上,适用性更强;基于“处置方案”服务的发布、订阅和“策略应用”驱动程序的安装应用,安全设备可以与安全中心进行联动,可以最大限度的扩展安全设备安全防护的能力。譬如,普通设备可以具备基础信息上报基础信息的能力、服务器设备可以具备漏洞的检测、验证能力、防火墙设备可以具备网络策略的更新能力等,扩展性更强。
采用本发明实施例,对外发布处置方案是可以直接、自动的应用在具体的设备端,由于其单纯负责传达对网络安全流程当中的“行动”部分,不涉及执行该动作的原因和理由,将情报应用的描述部分和行动部分进行解耦,所以该处置方案可以对设备进行直接应用,无需客户单独处置,降低人为操作失误的可能;而且,借助于防护中心发布的“策略应用”驱动程序对其所支持设备列表底层命令的适配,这样不同厂商的不同设备就能够接收、应用统一的处置方案,降低了处置方案应用的难度,提高了安全防护的处置效率;基于“处置方案”服务的订阅和发布,能够实现设备间的相互操作性,当发生网络安全事件的时候,各安全设备间会以机器的速度进行自我防护,减少处置响应时间,尽最大限度保障当前网络环境的安全。
下面结合具体的案例对本发明中目标设备订阅并自动执行防护中心发布的处置方案(阻止连接)的过程进行详细介绍。
参照图4,目标设备订阅并自动执行防护中心发布的处置方案(阻止连接)的详细流程包括:
1.当网络环境中侦测到网络攻击或发现其他恶意行为时,对整个过程进行记录、上报形成网络攻击事件。
2.对该网络攻击事件进行分析,对其所关联的关键指示器进行研判,梳理出存在恶意程度较高的指示器,为下一步生成具体的处置方案做准备。
3.结合上一环节梳理出的恶意程度较高的指示器和OpenC2语言标准,生成具体的处置方案策略,具体示例(阻止连接)如下:
4.结合具体的处置方案和其所支持设备列表情况,对外发布“处置方案”服务。
5.查询订阅了该“处置方案”服务的具体设备,并向其实时推送具体的处置方案(设备在订阅防护服务时,需要下载并安装“策略应用”驱动程序,设备端通过“策略应用”驱动和防护中心建立起一种联动防护机制,“策略应用”驱动程序负责接收并执行防护中心推送过来的具体的处置方案)。
6.设备通过接收到处置方案后,立即自动应用该处置方案,并向防护中心返回处置结果。
综上所述,本发明依托于“处置方案”服务的订阅和应用,以允许来自不同厂商的各类安全设备,通过安装“策略应用”驱动程序的形式,与防护中心建立起联动机制,接收并自动应用防护中心发布的处置方案。具体的,通过生产、发布、订阅安全设备处置方案服务的方式,实现一种基于订阅机制的情报设备联动的方法。所有安全设备可以通过参照防护中心发布的处置方案、以及设备列表支持情况,来选择是否订阅“处置方案”服务。如果选择订阅,需要在设备端下载并安装“策略应用”驱动程序(该驱动程序因设备的不同会有所差异,对于支持安装扩展软件的通用设备,可直接下载安装驱动程序;对不支持安装扩展软件的嵌入式设备,在设备设计、生产时通过沟通合作,安全设备需预留对特定功能扩展软件的支持),它能够接收并将防护中心发布的处置方案直接应用到该设备上,并返回处置应用结果,而不再需要人为的干预。
这样一来,客户只需要订阅支持该设备的“处置方案”服务,而不再需要关注防护策略分析、生成、应用的详细过程,将其交于更专业的安全厂商来负责,整个处置过程的应用是机器对机器的全自动操作,所以降低了处置的复杂度,同时减少处置、响应时间,把握关键防御的先机。
除此之外通过以上的防护方式,还可以最大限度的扩展安全设备安全防护的能力,防护中心在与安全设备生产厂商沟通的过程中,能够获取最新的防护需求,并在“策略应用”驱动程序中加以实现,不断扩展、完善“处置服务”的应用场景。
需要说明的是,以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
参考术语“一个实施例”、“一些实施例”、“示意性实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。例如,在权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
不应将位于括号之内的任何参考符号构造成对权利要求的限制。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
Claims (10)
1.一种基于订阅机制的情报设备联动方法,其特征在于,包括:
发布针对网络攻击所提供的处置方案服务,以供各个安全设备进行订阅;
获取订阅所述处置方案服务的安全设备列表;
根据网络攻击事件生成处置方案,并将所述处置方案发送至所述安全设备列表中的所有安全设备。
2.如权利要求1所述的方法,其特征在于,所述处置方案服务携带有适配安全设备列表。
3.如权利要求1所述的方法,其特征在于,所述获取订阅所述处置方案服务的安全设备列表,包括:
接收所述安全设备的订阅请求,并判定所述安全设备是否安装有策略应用驱动程序,若有,则该安全设备成功订阅所述处置方案服务,否则,通知所述安全设备下载并安装所述策略应用驱动程序;
所述策略应用驱动程序用于接收所述处置方案并将所述处置方案应用至所述安全设备。
4.如权利要求1所述的方法,其特征在于,所述根据网络攻击事件生成处置方案,包括:
对所述网络攻击事件关联的指示器进行研判,以获取恶意程度超过阈值的重要指示器;
基于所述重要指示器,并结合OpenC2语言标准,生成所述处置方案。
5.一种防护中心,其特征在于,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如权利要求1至4中任一项所述的基于订阅机制的情报设备联动方法的步骤。
6.一种基于订阅机制的情报设备联动方法,其特征在于,包括:
订阅针对网络攻击所提供的处置方案服务;
接收并应用根据网络攻击事件生成的处置方案。
7.如权利要求6所述的方法,其特征在于,所述订阅针对网络攻击所提供的处置方案服务,包括:
获取在网络环境中发布的所述处置方案服务,并从所述处置方案服务中获取其携带的适配安全设备列表;
基于所述适配安全设备列表,判断是否能够订阅所述处置方案服务,若是,则根据需求订阅所述处置方案服务,否则,忽略所述处置方案服务。
8.如权利要求6所述的方法,其特征在于,所述订阅针对网络攻击所提供的处置方案服务,包括:
安装策略应用驱动程序,所述策略应用驱动程序用于接收所述处置方案并将所述处置方案应用至相应的安全设备上。
9.如权利要求6所述的方法,其特征在于,所述方法还包括:
侦测网络攻击行为,并对所述网络攻击行为的整个过程进行记录、梳理,以生成网络攻击事件;
共享所述网络攻击事件。
10.一种安全设备,其特征在于,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如权利要求6至9中任一项所述的基于订阅机制的情报设备联动方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111198530.8A CN114095204B (zh) | 2021-10-14 | 2021-10-14 | 基于订阅机制的情报设备联动方法、防护中心及安全设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111198530.8A CN114095204B (zh) | 2021-10-14 | 2021-10-14 | 基于订阅机制的情报设备联动方法、防护中心及安全设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114095204A true CN114095204A (zh) | 2022-02-25 |
| CN114095204B CN114095204B (zh) | 2024-03-15 |
Family
ID=80296916
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111198530.8A Active CN114095204B (zh) | 2021-10-14 | 2021-10-14 | 基于订阅机制的情报设备联动方法、防护中心及安全设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114095204B (zh) |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130205361A1 (en) * | 2012-02-02 | 2013-08-08 | Juniper Networks, Inc. | Dynamic threat protection in mobile networks |
| CN104052734A (zh) * | 2013-03-15 | 2014-09-17 | 瞻博网络公司 | 使用全球设备指纹识别的攻击检测和防止 |
| CN105493046A (zh) * | 2013-09-28 | 2016-04-13 | 迈克菲股份有限公司 | 面向服务的架构 |
| CN105531711A (zh) * | 2013-09-28 | 2016-04-27 | 迈克菲股份有限公司 | 数据交换层上的上下文感知网络 |
| CN106060018A (zh) * | 2016-05-19 | 2016-10-26 | 中国电子科技网络信息安全有限公司 | 一种网络威胁情报共享模型 |
| CN106777222A (zh) * | 2016-12-26 | 2017-05-31 | 中国电子科技集团公司第三十研究所 | 基于轻量级领域本体的安全设备威胁情报共享方法 |
| CN108259511A (zh) * | 2018-02-28 | 2018-07-06 | 公安部第研究所 | 一种网络空间威胁情报共享系统及方法 |
| CN108510291A (zh) * | 2018-03-12 | 2018-09-07 | 北京图新智盛信息技术有限公司 | 基于车联网的汽车全生命周期服务平台和服务方法 |
| CN109862021A (zh) * | 2019-02-26 | 2019-06-07 | 武汉思普崚技术有限公司 | 威胁情报的获取方法及装置 |
| KR20190064944A (ko) * | 2017-12-01 | 2019-06-11 | 한국전자통신연구원 | 보안 장비, 보안 위협 분석 장치 및 방법 |
| CN109872787A (zh) * | 2019-02-02 | 2019-06-11 | 上海龙健信息技术科技有限公司 | 一种分布式数据发布与订阅方法 |
| CN110191118A (zh) * | 2019-05-28 | 2019-08-30 | 哈尔滨工程大学 | 一种面向网络安全设备的统一指控方法及系统 |
| CN111416854A (zh) * | 2020-03-16 | 2020-07-14 | 海南大学 | 云服务发布方法、订阅方法、装置和系统 |
| CN112468574A (zh) * | 2020-11-25 | 2021-03-09 | 中国工商银行股份有限公司 | 应用服务发布订阅机制的处理方法、装置及系统 |
-
2021
- 2021-10-14 CN CN202111198530.8A patent/CN114095204B/zh active Active
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130205361A1 (en) * | 2012-02-02 | 2013-08-08 | Juniper Networks, Inc. | Dynamic threat protection in mobile networks |
| CN104052734A (zh) * | 2013-03-15 | 2014-09-17 | 瞻博网络公司 | 使用全球设备指纹识别的攻击检测和防止 |
| CN105493046A (zh) * | 2013-09-28 | 2016-04-13 | 迈克菲股份有限公司 | 面向服务的架构 |
| CN105531711A (zh) * | 2013-09-28 | 2016-04-27 | 迈克菲股份有限公司 | 数据交换层上的上下文感知网络 |
| CN106060018A (zh) * | 2016-05-19 | 2016-10-26 | 中国电子科技网络信息安全有限公司 | 一种网络威胁情报共享模型 |
| CN106777222A (zh) * | 2016-12-26 | 2017-05-31 | 中国电子科技集团公司第三十研究所 | 基于轻量级领域本体的安全设备威胁情报共享方法 |
| KR20190064944A (ko) * | 2017-12-01 | 2019-06-11 | 한국전자통신연구원 | 보안 장비, 보안 위협 분석 장치 및 방법 |
| CN108259511A (zh) * | 2018-02-28 | 2018-07-06 | 公安部第研究所 | 一种网络空间威胁情报共享系统及方法 |
| CN108510291A (zh) * | 2018-03-12 | 2018-09-07 | 北京图新智盛信息技术有限公司 | 基于车联网的汽车全生命周期服务平台和服务方法 |
| CN109872787A (zh) * | 2019-02-02 | 2019-06-11 | 上海龙健信息技术科技有限公司 | 一种分布式数据发布与订阅方法 |
| CN109862021A (zh) * | 2019-02-26 | 2019-06-07 | 武汉思普崚技术有限公司 | 威胁情报的获取方法及装置 |
| CN110191118A (zh) * | 2019-05-28 | 2019-08-30 | 哈尔滨工程大学 | 一种面向网络安全设备的统一指控方法及系统 |
| CN111416854A (zh) * | 2020-03-16 | 2020-07-14 | 海南大学 | 云服务发布方法、订阅方法、装置和系统 |
| CN112468574A (zh) * | 2020-11-25 | 2021-03-09 | 中国工商银行股份有限公司 | 应用服务发布订阅机制的处理方法、装置及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114095204B (zh) | 2024-03-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10609063B1 (en) | Computer program product and apparatus for multi-path remediation | |
| US10075466B1 (en) | Real-time vulnerability monitoring | |
| US20070165654A1 (en) | Method for managing a terminal device | |
| EP1376930B1 (en) | Systems and methods for application delivery and configuration management of mobile devices | |
| CN105187290B (zh) | 用于在无线装置上管理内容交换的设备和方法 | |
| US7831672B2 (en) | Systems and methods for securing computers | |
| CN101515927B (zh) | 支持隔离模式的网络接入控制方法、系统及设备 | |
| US20060217111A1 (en) | Network for customer care and distribution of firmware and software updates | |
| EP1357470A2 (en) | Distributed server software distribution | |
| US20150040232A1 (en) | Anti-vulnerability system, method, and computer program product | |
| EP1522922A2 (en) | Installation system for mobile devices | |
| WO2004031898A2 (en) | Vulnerability management and tracking system (vmts) | |
| US20090293107A1 (en) | Transfer server of a secure system for unattended remote file and message transfer | |
| GB2410647A (en) | Identifying and Patching Vulnerabilities in a Network | |
| US20050055422A1 (en) | Transfer client of a secure system for unattended remote file and message transfer | |
| US7360250B2 (en) | Illegal access data handling apparatus and method for handling illegal access data | |
| US20030089675A1 (en) | Authenticating resource requests in a computer system | |
| US20140181940A1 (en) | File management method and system and storage mediums | |
| US7536435B2 (en) | Transfer client of a secure system for unattended remote file and message transfer | |
| SE531399C2 (sv) | Tillhandahållande säkerhet i förhållande till mobilterminaler | |
| US9231827B2 (en) | Formalizing, diffusing and enforcing policy advisories and monitoring policy compliance in the management of networks | |
| CN113641384B (zh) | 一种探针的升级管理方法、装置和系统 | |
| US20050097041A1 (en) | Transfer server of a secure system for unattended remote file and message transfer | |
| CN114095204A (zh) | 基于订阅机制的情报设备联动方法、防护中心及安全设备 | |
| CN114374534B (zh) | 测试样本集的更新方法、装置及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |