CN114650210B - 告警处理方法及防护设备 - Google Patents

告警处理方法及防护设备 Download PDF

Info

Publication number
CN114650210B
CN114650210B CN202011519401.XA CN202011519401A CN114650210B CN 114650210 B CN114650210 B CN 114650210B CN 202011519401 A CN202011519401 A CN 202011519401A CN 114650210 B CN114650210 B CN 114650210B
Authority
CN
China
Prior art keywords
alarm
loop
closed
plug
forensics
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011519401.XA
Other languages
English (en)
Other versions
CN114650210A (zh
Inventor
杨利东
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN202011519401.XA priority Critical patent/CN114650210B/zh
Publication of CN114650210A publication Critical patent/CN114650210A/zh
Application granted granted Critical
Publication of CN114650210B publication Critical patent/CN114650210B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供了一种告警处理方法及防护设备,属于网络技术领域。本申请通过基于防护设备产生的告警,获取告警对应的闭环取证插件,将闭环取证插件提供给引发告警的设备,根据闭环取证插件运行后返回的闭环取证结果更新之前产生的告警,从而实现了告警自动化的闭环取证。一方面,该方法有助于对防护设备产生的告警全面闭环,防止告警遗漏或遗弃。另一方面,提供了类似于闭环解决告警的机制,提升闭环处置效率。另一方面,由于在引发告警的设备上进行闭环取证,能够更准确地验证告警是否为误报,有助于提升告警准确率。

Description

告警处理方法及防护设备
技术领域
本申请涉及网络技术领域,特别涉及一种告警处理方法及防护设备。
背景技术
为了提升局域网的安全性,很多企业设置了具有入侵检测系统(intrusiondetection system,IDS)或入侵防御系统(Intrusion Prevention System,IPS)等功能的防护设备。防护设备对局域网与互联网之间传输的数据进行即时监视,在发现可疑活动或者违反企业政策的活动时产生告警。
当防护设备产生告警后,由网络管理员人工对告警进行分析后产生报告。如果告警需要处置,则告警分析人员需要通知局域网中相关终端的用户协助处理。然而,这种方案需要大量时间协同用户进行取证及闭环,效率低下。
发明内容
本申请实施例提供了一种告警处理方法及防护设备,能够提升告警取证闭环的效率。所述技术方案如下。
第一方面,提供了一种告警处理方法,能应用于入侵检测(IPS)、反病毒、应用行为控制等场景。该方法包括:部署于第一网络与第二网络的防护设备对报文进行安全性检测从而生成告警,所述告警用于指示所述报文涉及可疑活动或违规活动。然后,获取防护设备产生的告警对应的闭环取证插件,向所述第一设备提供所述闭环取证插件。当第一设备运行插件得到闭环取证结果之后,接收来自于所述第一设备的闭环取证结果;根据所述闭环取证结果,对所述告警进行更新。其中,所述闭环取证插件用于对所述告警进行闭环处理或者取证处理,所述闭环处理是指去除所述第一设备上引发所述告警的缺陷。所述闭环取证结果为所述第一设备运行所述闭环取证插件得到的结果。
上述方法中,通过基于防护设备产生的告警,获取告警对应的闭环取证插件,将闭环取证插件提供给引发告警的设备,根据闭环取证插件运行后返回的闭环取证结果更新之前产生的告警,从而实现了告警自动化的闭环取证。一方面,该方法有助于对防护设备产生的告警全面闭环,防止告警遗漏或遗弃。另一方面,提供了类似于闭环解决告警的机制,提升闭环处置效率。另一方面,由于在引发告警的设备上进行闭环取证,能够更准确地验证告警是否为误报,有助于提升告警准确率。
可选地,上述闭环取证插件具体通过删除所述第一设备上的病毒从而闭环处理。
通过提供插件来删除第一设备上的病毒,从而避免病毒攻击再次引起防护设备告警,从而对病毒攻击引起的告警实现闭环,并有助于防御来自于第一设备的病毒攻击,提升第二设备和第一设备的安全性。
可选地,上述闭环取证插件具体通过向所述第一设备安装补丁文件从而闭环处理。
通过提供插件来向第一设备安装补丁文件,实现了对第一设备的安全加固,避免不法者后续重新利用漏洞发起暴力破解等攻击或者其他可疑活动或违规活动,并有助于及时修复第一设备上的漏洞,降低第一设备的安全风险,提升第一设备的安全性。
可选地,上述闭环取证插件具体通过对所述第一设备进行网络配置从而闭环处理。
通过提供插件来对第一设备网络配置,从而避免用户利用网络配置方面的缺陷访问违规网站或者执行其他违规活动。
可选地,上述闭环取证结果指示所述第一设备上是否已去除所述缺陷。
插件通过返回是否已去除缺陷,从而更及时地上报未去除缺陷,便于在未去除缺陷的情况下做进一步处理。
可选地,上述取证处理包括从所述第一设备获取取证信息,所述取证信息用于验证所述告警是否为误报。
通过插件进行取证处理,类似于为告警是否准确做取证。由于借助了第一设备提供的信息做取证,做取证时使用的信息更具体更精细,因此有助于更精确地验证防护设备产生的告警是否为误报
可选地,上述取证信息包括下述一项或多项:登录日志;系统信息;网络信息。
通过上述方法,利用登录日志、系统信息、网络信息等多种维度的信息对告警取证,提高取证的准确性。
可选地,上述闭环取证结果指示所述告警是否为误报,所述闭环取证结果为所述第一设备根据所述取证信息得到的;或者,上述闭环取证结果为所述取证信息,所述根据所述闭环取证结果,对所述告警进行更新之前,所述方法还包括:根据所述取证信息验证所述告警是否为误报。
通过上述方式,既能够在内网设备本地进行取证,也能在内网设备本地能力不足时由闭环取证服务器进行取证,提高方案可用性。
可选地,所述根据所述闭环取证结果对所述告警进行更新,包括:如果所述闭环取证结果指示所述告警为误报或者根据所述取证信息验证所述告警为误报,删除所述告警。
通过上述方式,能够缩减告警量级,同时有助于防护设备最终输出的告警更为准确。
可选地,所述删除所述告警之后,所述方法还包括:如果所述防护设备针对所述第一设备后续产生了与所述告警相同的告警,取消所述后续产生的告警。
通过对后续产生的相同告警一并取消告警,能够缩减告警量级,避免防护设备后续针对同一设备的同一缺陷持续产生大量错误的告警,减少产生告警对防护设备带来的资源消耗。
可选地,所述获取所述告警对应的闭环取证插件,包括:根据所述告警的标识,从保存的插件库中查询得到所述告警对应的闭环取证插件,所述插件库包括所述告警的标识与闭环取证插件之间的对应关系。
通过预先存储插件库,将告警的标识与插件对应起来,有助于提供的插件更具有针对性,有助于更细粒度地对告警闭环取证。
可选地,所述向所述第一设备提供所述闭环取证插件,包括:将所述闭环取证插件保存至所述第一设备对应的指定目录,所述指定目录用于保存应用于所述第一设备的打包库,所述打包库包括针对所述第一设备产生的每个告警对应的每个闭环取证插件。
上述方式提供了插件打包的功能,达到类似量身定做的效果,方便终端等设备对插件打包调用,同时帮助告警更全面地闭环。
可选地,所述将所述闭环取证插件保存至所述第一设备对应的指定目录之后,所述方法还包括:向所述第一设备发送通知消息,所述通知消息用于通知所述第一设备从所述指定目录下载所述闭环取证插件。
通过上述方法从而触发引发告警的设备自动下载插件,有助于插件更及时的传输到设备上,进一步提升告警闭环的效率。
可选地,所述第一网络是局域网,所述第二网络是互联网。
上述方式适用于通过防护设备保护内网设备的网络安全的场景。
第二方面,提供了一种防护设备,该防护设备包括存储器、网络接口和至少一个处理器,该防护设备基于自身产生的告警实现上述第一方面或第一方面任一种可选方式的功能。
第三方面,提供了一种闭环取证服务器,闭环取证服务器包括存储器、网络接口和至少一个处理器,该闭环取证服务器基于接收到的来自于防护设备的告警从而实现上述第一方面或第一方面任一种可选方式的功能。
第四方面,提供了一种告警处理装置,该告警处理装置具有实现上述第一方面或上述第一方面的任意一种可选方式所述方法的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的单元。
第五方面,提供了一种计算机可读存储介质,该存储介质中存储有至少一条指令,该指令在计算机上运行时,使得计算机执行上述第一方面或第一方面任一种可选方式所提供的方法。
第六方面,提供了一种计算机程序产品,所述计算机程序产品包括一个或多个计算机程序指令,当所述计算机程序指令被计算机加载并运行时,使得所述计算机执行上述第一方面或第一方面任一种可选方式所提供的方法。
第七方面,提供了一种芯片,包括存储器和处理器,存储器用于存储计算机指令,处理器用于从存储器中调用并运行该计算机指令,以执行上述第一方面及其第一方面任意可能的实现方式中的方法。
附图说明
图1是本申请实施例提供的一种应用场景的示意图;
图2是本申请实施例提供的一种防护设备或者闭环取证服务器的结构示意图;
图3是本申请实施例提供的一种告警处理方法的流程图;
图4是本申请实施例提供的一种告警处理方法的流程图;
图5是本申请实施例提供的一种告警处理方法的流程图;
图6是本申请实施例提供的一种告警处理装置的结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施方式作进一步地详细描述。
传统的告警闭环取证方案通常需要耗费网络管理人员大量时间协同终端的用户进行取证及闭环,效率低下,无法持久处置。一方面,网络管理人员与终端的用户处置需要单独沟通。另一方面,无法远程对终端进行排查。再一方面,部分告警需要取证信息判断,但取证信息难以获取。
本实施例实现了一种能够快速对防护设备产生的告警进行闭环取证方案。该方案基于防护设备产生的告警,获取告警对应的闭环取证插件;闭环取证插件在终端运行后,输出闭环取证结果。根据终端返回的闭环取证结果,更新之前产生的告警,从而实现高效率告警闭环取证,有助于对设备产生告警全面闭环,防止告警遗漏或遗弃,提升防护设备自身价值。当然,这里的终端也可以替换为防护设备保护的其他设备。
下面从应用场景、硬件装置、软件装置、方法流程等多个角度,对本申请实施例提供的技术方案进行详细介绍。
附图1是本申请实施例的典型应用场景的示意图。附图1所示的场景涉及局域网和互联网。附图1所示的场景包括防护设备110、终端130、业务服务器150、业务服务器131、终端151以及闭环取证服务器120。在本申请实施例中,对告警进行闭环是指对产生告警的设备与引发告警的设备之间“通知-反馈-确认”的过程。例如防护设备产生告警后,通知引发告警的设备,引发告警的设备将指示引发所述告警的缺陷是否成功去除的信息、或者指示告警真实性与否的信息反馈给防护设备,防护设备进一步对告警的真实性和处理结果进行最终确认的过程。下面通过(A)至(D)对附图1所示应用场景中各个设备分别进行介绍。
(A)终端
终端130是对部署在互联网中的终端的举例。在一些实施例中,终端130安装了浏览器软件或者业务客户端软件。终端130通过浏览器软件或者业务客户端软件访问业务服务器150上提供的服务。
终端151是对部署在局域网中的终端的举例。在一些实施例中,终端151安装了浏览器软件或者业务客户端软件。终端151通过浏览器软件或者业务客户端软件访问业务服务器131上提供的服务。
上述终端130或终端151包括而不限于个人计算机、移动电话、服务器、笔记本电脑、IP电话、摄像头、平板电脑、可穿戴设备等。上述终端130或终端151上的业务客户端软件包括而不限于游戏客户端、网络购物客户端、即时通讯应用、新闻推送应用、在线视频应用、音频播放应用、社交应用等等。
(B)业务服务器
业务服务器150是对部署在局域网中的业务服务器的举例。业务服务器150用于向互联网中的终端130提供服务。
业务服务器131是对部署在互联网中的业务服务器的举例。业务服务器131用于向局域网中的终端151提供服务。
业务服务器150或业务服务器131包括而不限于应用服务器或者网页服务器。应用服务器包括而不限于游戏服务器、视频应用服务器、文件服务器、搜索引擎服务器、即时通信服务器等等。网页服务器也称万维网(world wide web,web)服务器或者网站服务器。
(C)防护设备110
防护设备110包括多种不同类型产品。例如,防护设备110包括而不限于防火墙、安全网关(如路由器或交换机)、入侵检测系统(intrusion detection system,IDS)类设备、入侵防御系统(intrusion prevention system,IPS)类设备、统一威胁管理(unifiedthreat management,UTM)设备、反病毒(anti-virus,AV)设备、抗分布式拒绝服务攻击(distributed denial-of-service attack,DDoS)(anti-DDoS)设备中一项或多项的集成。
防护设备110部署在局域网与互联网之间。防护设备110用于保护局域网的网络安全。防护设备110的功能大致分为两类。一类属于外防,即防御互联网对局域网发起的网络攻击。另一类属于内控,即对局域网内部设备进行权限控制和行为审计,降低违规操作带来的影响。举例来说,防护设备110的功能具体功能包括而不限于对互联网向局域网发起的恶意攻击流量进行检测和阻断(即入侵防御),对互联网向局域网传输的病毒等恶意文件进行检测和阻断(即反病毒)、监视局域网内设备是否涉及可疑活动或者违反企业政策的活动等等。
防护设备110的功能通常基于对报文进行安全性检测来实现。具体地,请参考附图1,防护设备110扮演着局域网与互联网之间通信桥梁的角色,防护设备110位于局域网与互联网之间流量(图1中用双箭头实心粗线表示流量)的传输路径上。流量在进、出局域网之前会先经过防护设备110。防护设备110对流量中的报文进行安全性检测,从而确定报文是否涉及可疑活动或违规活动。如果防护设备110发现报文涉及可疑活动或违规活动,防护设备110会产生告警。其中,这里所说的流量是双向的概念,包括从局域网发往互联网的流量以及从互联网发往局域网的流量。流量包括至少一个报文。报文包括而不限于请求报文或响应报文等。
(D)闭环取证服务器120
闭环取证服务器120用于处置防护设备110产生的告警,从而支持对告警闭环取证的功能。具体地,请参考附图1,闭环取证服务器120预先保存至少一个闭环取证插件。当防护设备110产生告警后,防护设备110会将告警发送给闭环取证服务器120。闭环取证服务器120收到来自于防护设备110的告警之后,闭环取证服务器120会将告警对应的闭环取证插件提供给局域网中的设备(如附图1中的业务服务器150以及终端151)。局域网中的设备通过运行闭环取证插件从而得到告警对应的闭环取证结果,将闭环取证结果返回给防护设备110。如此,告警从防护设备110产生,最终告警对应的闭环取证结果返回至防护设备110,可见告警处置流程形成了完整的闭环。其中,闭环取证结果可选地先发往闭环取证服务器120,再由闭环取证服务器120发送给防护设备110;或者,闭环取证结果不经过闭环取证服务器120而是直接发送给防护设备110。
防护设备110与闭环取证服务器120是两个单独的硬件设备是可选的。在另一些实施例中,防护设备与闭环取证服务器以合设的方式集成在同一台硬件设备(如集成在防护设备上)。比如说,闭环取证服务器的物理实体是一个业务板或者硬件加速器(其中保存了闭环取证插件),通过在防护设备中设置该业务板或者硬件加速器,使得防护设备集成了告警闭环取证的功能以及网络安全防护的功能。
在防护设备110与闭环取证服务器120集成实现的情况下,附图1中的防护设备110与闭环取证服务器120实际上是同一个硬件设备,附图1中产生告警、提供插件这两种动作实际由同一个硬件设备执行。
参见附图2,附图2示出了本申请一个示例性实施例提供的设备200的结构示意图。附图2所示设备200被配置为防护设备或者闭环取证服务器。附图2所示设备200例如为附图1所示的应用场景中的防护设备110或者闭环取证服务器120。设备200包括至少一个处理器201、通信总线202、存储器203以及至少一个网络接口204。
处理器201例如是通用中央处理器(central processing unit,CPU)、网络处理器(network processer,NP)、图形处理器(Graphics Processing Unit,GPU)、神经网络处理器(neural-network processing units,NPU)、数据处理单元(Data Processing Unit,DPU)、微处理器或者一个或多个用于实现本申请方案的集成电路。例如,处理器201包括专用集成电路(application-specific integrated circuit,ASIC),可编程逻辑器件(programmable logic device,PLD)或其组合。PLD例如是复杂可编程逻辑器件(complexprogrammable logic device,CPLD)、现场可编程逻辑门阵列(field-programmable gatearray,FPGA)、通用阵列逻辑(generic array logic,GAL)或其任意组合。
通信总线202用于在上述组件之间传送信息。通信总线202可以分为地址总线、数据总线、控制总线等。为便于表示,附图2中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
存储器203例如是只读存储器(read-only memory,ROM)或可存储静态信息和指令的其它类型的静态存储设备,又如是随机存取存储器(random access memory,RAM)或者可存储信息和指令的其它类型的动态存储设备,又如是电可擦可编程只读存储器(electrically erasable programmable read-only Memory,EEPROM)、只读光盘(compactdisc read-only memory,CD-ROM)或其它光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其它磁存储设备,或者是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其它介质,但不限于此。存储器203例如是独立存在,并通过通信总线202与处理器201相连接。存储器203也可以和处理器201集成在一起。
网络接口204使用任何收发器一类的装置,用于与其它设备或通信网络通信。网络接口204包括有线接口,还可以包括无线接口。其中,有线接口例如可以为以太网接口。以太网接口可以是光接口,电接口或其组合。无线接口可以为无线局域网(wireless localarea networks,WLAN)接口,蜂窝网络接口或其组合等。
在具体实现中,作为一种实施例,处理器201可以包括一个或多个CPU,如附图2中所示的CPU0和CPU1。
在具体实现中,作为一种实施例,设备200可以包括多个处理器,如附图2中所示的处理器201和处理器205。这些处理器中的每一个可以是一个单核处理器(single-CPU),也可以是一个多核处理器(multi-CPU)。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(如计算机程序指令)的处理核。
在具体实现中,作为一种实施例,设备200还可以包括输出设备和输入设备。输出设备和处理器201通信,可以以多种方式来显示信息。例如,输出设备可以是液晶显示器(liquid crystal display,LCD)、发光二级管(light emitting diode,LED)显示设备、阴极射线管(cathode ray tube,CRT)显示设备或投影仪(projector)等。输入设备和处理器201通信,可以以多种方式接收用户的输入。例如,输入设备可以是鼠标、键盘、触摸屏设备或传感设备等。
在一些实施例中,存储器203用于存储执行本申请方案的程序代码210,处理器201可以执行存储器203中存储的程序代码210。也即是,设备200可以通过处理器201以及存储器203中的程序代码210,来实现下述方法实施例提供的方法。
在设备200被配置为防护设备的情况下,设备200处理的告警是通过处理器201产生的。具体地,网络接口204接收第一网络中的第一设备与第二网络中的第二设备之间传输的报文。处理器201对网络接口204接收的报文进行安全性检测从而生成告警。
在设备200被配置为闭环取证服务器的情况下,设备200处理的告警是通过网络接口204接收的。具体地,防护设备产生告警之后,防护设备向设备200发送告警。网络接口204接收来自于防护设备的告警。
设备200获得告警之后,处理器201获取告警对应的闭环取证插件;处理器201指示网络接口204向第一设备提供闭环取证插件;网络接口204接收来自于第一设备的闭环取证结果;处理器201根据闭环取证结果,对告警进行更新。
在一些实施例中,处理器201,还用于根据取证信息验证告警是否为误报。
在一些实施例中,如果闭环取证结果指示告警为误报或者处理器201根据取证信息验证告警为误报,处理器201还用于删除告警。
在一些实施例中,如果防护设备针对第一设备后续产生了与告警相同的告警,处理器201取消后续产生的告警。
在一些实施例中,存储器203,还用于保存插件库;处理器201,还用于根据告警的标识,从存储器203保存的插件库中查询得到告警对应的闭环取证插件。
在一些实施例中,处理器201,还用于将闭环取证插件保存至第一设备对应的指定目录。可选地,处理器201将闭环取证插件保存至存储器203上的指定目录。可选地,处理器201指示网络接口204将闭环取证插件发送至其他设备上的指定目录。
在一些实施例中,处理器201,还用于指示网络接口204向第一设备发送通知消息。
处理器201、网络接口204、存储器203等实现各种功能的更多细节请参考后续方法实施例中的描述,在这里不再重复。
下面结合附图3对本申请实施例提供的告警处理方法进行介绍。附图3是本申请实施例提供的告警处理方法300的流程图。
可选地,方法300涉及的防护设备、第一设备、第二设备以及闭环取证服务器的部署场景如附图1所示。例如,结合附图1来看,方法300中的第一网络为附图1中的局域网。例如,第一网络为企业网、校园网、金融数据中心网络、运营商网络等等。方法300中第一网络中的第一设备为附图1中的终端151或业务服务器150。方法300中的第二网络为附图1中的互联网。方法300中第二网络中的第二设备为附图1中的业务服务器131或终端130。方法300中的防护设备为附图1中的防护设备110。方法300中引发告警的报文为附图1中的请求报文或响应报文。方法300中的闭环取证服务器为附图1中的闭环取证服务器120。
可选地,附图3中的防护设备以及闭环取证服务器具备附图2所示的硬件结构。
附图3是以防护设备与闭环取证服务器是两个单独的硬件设备为例进行说明的。在防护设备与闭环取证服务器以合设的方式集成在同一台硬件设备(如集成在防护设备上)的情况下,以下闭环取证服务器执行的步骤实际上是防护设备执行的。
请参照附图3,本申请实施例提供的告警处理方法包括步骤S301至步骤S311。
步骤S301、防护设备拦截第一网络中的第一设备与第二网络中的第二设备之间传输的报文。
第一网络是受防护设备保护的网络。第二网络和第一网络是两个不同的网络。可选地,所述第一网络是局域网,所述第二网络是互联网。
第一设备是指位于第一网络的一个设备。第一设备包括而不限于终端或者服务器。
第二设备是指位于第二网络的一个设备。第二设备包括而不限于终端或者服务器。
防护设备拦截的报文包括来自于第一设备且以第二设备为目的方的报文、来自于第二设备且以第一设备为目的方的报文。防护设备拦截的报文包括请求报文、响应报文中的至少一项。
例如,在内部网络中的用户访问互联网的场景,防护设备拦截的报文包括从内部网络(局域网)中用户的终端(第一设备)到互联网服务端(第二设备)的报文。又如,在互联网中的用户访问内网服务器的场景,防护设备拦截的报文包括从互联网中用户的终端(第二设备)到内网服务器(第一设备)的报文。
步骤S302、防护设备对报文进行安全性检测从而生成告警。
告警用于指示报文涉及可疑活动或违规活动。告警指示的可疑活动包括而不限于网络攻击、传输特定类型的文件(如包含恶意代码的文件)、传输敏感信息或机密信息、访问非法网站或恶意网站、收到钓鱼邮件等。告警指示的违规活动例如违规访问指定的网页资源、违规的HTTP行为或文件传输协议(file transfer protocol,FTP)行为(如违规浏览网页、发帖、代理上网、上传和下载等)、违规收发邮件等等。
其中,告警指示的网络攻击包括而不限于病毒攻击、暴力破解攻击等。病毒攻击例如NrsMiner病毒攻击、RAMNIT.A病毒攻击、永恒之蓝攻击等。暴力破解攻击例如安全外壳协议(secure shell,SSH)暴力破解、远程桌面协议(remote desktop protocol,RDP)暴力破解等。
告警的格式例如是一个字符串。在一些实施例中,告警包括告警名称、时间、等级、方向、源互联网协议(internet protocol,IP)地址、目的IP等等。例如,请参见下表1,表1示出了防护设备产生的5个告警。
表1
Figure BDA0002849005180000081
Figure BDA0002849005180000091
表1中的时间表示防护设备产生告警的时间。表1中的等级表示告警的严重程度。表1中的源IP表示触发告警的报文中的源IP地址。表1中的目的IP表示触发告警的报文中的目的IP地址。表1中的方向表示报文的传输方向。“untrust-trust”表示报文从untrust区域传输至trust区域。“trust-untrust”表示报文从trust区域传输至untrust区域。trust区域和untrust区域是网络安全领域的术语。trust区域表示受信任的安全区域,trust区域在本实施例中例如为第一网络(如局域网)。untrust区域表示不受信任的安全区域,untrust区域在本实施例中例如为第二网络(如互联网)。
步骤S303、防护设备向闭环取证服务器发送告警。
例如,防护设备将告警推送至闭环取证服务器。又如,闭环取证服务器定时从防护设备拉取告警。此外,在防护设备与闭环取证服务器合设的情况下,可选地省略执行步骤S303和步骤S304,在执行步骤S302之后执行步骤S305。
步骤S304、闭环取证服务器获取防护设备产生的告警。
步骤S305、闭环取证服务器获取告警对应的闭环取证插件。
插件(plug-in,或称plugin、add-in、addin、add-on或addon)是计算机技术中的术语。插件是一种将特定功能添加到现有计算机程序中的软件组件。本实施例提供的闭环取证插件是指用于对告警进行闭环处理或者取证处理的插件。下面对闭环处理以及取证处理分别具体说明,参见下述(1)至(2)。
(1)闭环处理
闭环处理是指去除第一设备上引发告警的缺陷(Vunlnerability)。这里所说的缺陷是指计算机存在的缺陷。第一设备上的缺陷包括而不限于软件方面的缺陷或者硬件方面的缺陷。第一设备上的缺陷例如是带来安全风险的缺陷。例如,第一设备上的缺陷包括而不限于感染病毒、存在漏洞、网络配置错误、系统策略配置错误、设备故障、设备处理能力不足等等。
闭环处理的实现方式包括很多种。下面通过(1-a)至(1-c)对闭环处理的一些可能实现方式举例说明。
(1-a)删除第一设备上的病毒
删除病毒有时也称为进行杀毒操作。在一些实施例中,若第一设备上引发告警的缺陷为感染病毒,采用删除病毒的方式实现闭环处理。
通过提供插件来删除第一设备上的病毒,从而避免病毒攻击再次引起防护设备告警,从而对病毒攻击引起的告警实现闭环,并有助于防御来自于第一设备的病毒攻击,提升第二设备和第一设备的安全性。
(1-b)向第一设备安装补丁文件
安装补丁文件有时也称为打补丁。在一些实施例中,若第一设备上引发告警的缺陷为存在漏洞,采用安装补丁文件的方式实现闭环处理。
通过提供插件来向第一设备安装补丁文件,实现了对第一设备的安全加固,避免不法者后续重新利用漏洞发起暴力破解等攻击或者其他可疑活动或违规活动,并有助于及时修复第一设备上的漏洞,降低第一设备的安全风险,提升第一设备的安全性。
(1-c)对第一设备进行网络配置
网络配置包括而不限于配置针对第一设备的安全策略、限制第一设备的最大传输控制协议(transmission control protocol,TCP)连接数量、限制第一设备的带宽最大值等等。
通过提供插件来对第一设备网络配置,从而避免用户利用网络配置方面的缺陷访问违规网站或者执行其他违规活动。
本实施例通过插件进行闭环处理,提供了类似于闭环解决问题的机制,提升处理告警的效率。下面,对达到这种效果的原理进行介绍。
告警是第一设备上的缺陷引起的,插件最后返回到第一设备上,第一设备通过运行插件去除之前引起告警的缺陷,避免再次引起告警,从而形成了一个闭环。由此可见,插件的闭环处理类似于闭环解决缺陷,有助于更及时地发现和去除第一设备上的缺陷,提升克服第一设备上缺陷的效率;与此同时,由引起告警的缺陷得到及时去除,从而避免防护设备后续针对同一设备的同一缺陷持续产生大量告警,减少产生告警对防护设备带来的资源消耗。
(2)取证处理
取证处理是指验证告警是否为误报。如果第一设备上引发告警的缺陷不存在(例如第一设备上并没有病毒),或者第一设备并不涉及可疑活动或违规活动(例如第一设备并没有被暴力破解、第一设备并没有违规访问网站),则告警为误报,也即是告警的准确性不佳。如果第一设备上引发告警的缺陷存在(例如第一设备上确实有病毒),或者第一设备涉及可疑活动或违规活动(例如第一设备确实已被暴力破解、第一设备确实违规访问网站),则告警不为误报,也即是告警是准确告警,或者说告警是真实有效的。
在一些实施例中,取证处理包括从第一设备获取取证信息。取证信息用于验证告警是否为误报。取证信息有时也称为额外信息、辅助信息或具有其他的称谓。取证信息例如为第一设备保存的信息或者第一设备能够提供的信息。从第一设备上获取的取证信息的类型包括很多种,例如,取证信息包括而不限于登录日志、系统信息或者网络信息中的一项或多项。登录日志用于记录对第一设备的登录行为。例如,登录日志包括远程登录的源网络地址、登录时间、登录进程名称等。系统信息包括而不限于第一设备的操作系统类型、第一设备上文件系统的目录名等。网络信息包括第一设备上对外开放的端口号。
下面举一个用于取证处理的插件的实例。以下插件实例用于获取主机登录日志。
Figure BDA0002849005180000101
Figure BDA0002849005180000111
本实施例通过插件进行取证处理,类似于为告警是否准确做取证。由于借助了第一设备提供的信息做取证,做取证时使用的信息更具体更精细,因此有助于更精确地验证防护设备产生的告警是否为误报。
在一些实施例中,闭环取证服务器根据告警指示的可疑活动或违规活动所属的活动类型,获取告警对应的闭环取证插件,闭环取证插件用于针对该活动类型进行闭环处理或者取证处理。通过这种方式,向终端提供的插件更具有针对性,有助于更细粒度地对告警闭环取证。
例如,可疑活动为暴力破解攻击,活动类型为发起暴力破解攻击所基于的协议类型,告警对应的闭环取证插件用于根据该协议类型对应的登录日志验证告警是否为误报,从而实现取证。例如,如果告警指示RDP暴力破解,闭环取证服务器获取的闭环取证插件为RDP暴力破解取证插件。RDP暴力破解取证插件用于根据RDP登录日志验证告警是否为误报。如果告警指示SSH暴力破解,闭环取证服务器获取的闭环取证插件为SSH暴力破解取证插件。SSH暴力破解取证插件用于根据SSH登录日志验证告警是否为误报。
又如,可疑活动为病毒攻击,活动类型为发起病毒攻击的病毒的类型,告警对应的闭环取证插件用于删除该类型的病毒。例如,如果告警指示NrsMiner病毒,闭环取证服务器获取的闭环取证插件为NrsMiner病毒处置插件。NrsMiner病毒处置插件用于删除NrsMiner病毒。如果告警指示RAMNIT.A病毒,闭环取证服务器获取的闭环取证插件为RAMNIT.A病毒处置插件。NrsMiner病毒处置插件用于删除NrsMiner病毒。
闭环和取证这两种功能可结合使用。例如,闭环取证插件先进行取证,验证告警是否为误报。如果告警不为误报,则闭环取证插件进一步进行闭环,去除引发告警的缺陷。
如何获取闭环取证插件包括多种方式。在一些实施例中,闭环取证服务器保存插件库,闭环取证服务器根据告警的标识,从保存的插件库中查询得到告警对应的闭环取证插件。
插件库包括告警的标识与闭环取证插件之间的对应关系。插件库的查询索引为告警的标识。告警的标识用于标识对应的告警。告警的标识包括而不限于告警名称、告警编号等。例如,参见下表2,表2是对插件库的举例说明,表1和表2中的告警名称是对告警的标识的举例说明。
表2
Figure BDA0002849005180000112
Figure BDA0002849005180000121
步骤S306、闭环取证服务器向第一设备提供闭环取证插件。
如何提供插件包括多种方式。例如,闭环取证服务器向第一设备发送闭环取证插件。又如,闭环取证服务器将闭环取证插件保存至第一设备可访问的指定存储位置(如HTTP服务器中的目录)。
步骤S307、第一设备获取来自于闭环取证服务器的闭环取证插件。第一设备运行闭环取证插件从而得到闭环取证结果。
结合以上对插件各类功能的介绍,第一设备运行闭环取证插件时执行的动作包括而不限于下述方式一至方式二。
方式一、第一设备运行闭环取证插件进行闭环处理。
具体地,第一设备会运行闭环取证插件执行一些操作来去除第一设备上引发告警的缺陷。例如,第一设备删除第一设备上的病毒、向第一设备安装补丁文件或对第一设备进行网络配置。
方式二、第一设备通过闭环取证插件进行取证处理。
例如,在第一设备负责验证告警是否为误报的情况下,第一设备在运行闭环取证插件的过程中,第一设备获取取证信息。第一设备根据取证信息验证告警是否为误报,将验证的结果发送给闭环取证服务器。又如,在闭环取证服务器负责验证告警是否为误报的情况下,第一设备在运行闭环取证插件的过程中,第一设备获取取证信息。第一设备向闭环取证服务器发送取证信息。
具体如何根据取证信息验证告警是否为误报存在多种实现方式,下面结合方式2-1和方式2-2举例说明。在方式2-1中,取证信息具体为第一设备保存的登录日志。在方式2-2中,取证信息具体为第一设备的系统信息或网络信息。
方式2-1、根据登录日志验证告警是否为误报
具体地,第一设备判断登录日志是否包括恶意IP地址在告警时间对应的时间段内对第一设备的登录行为。如果登录日志不包括恶意IP地址在告警时间对应的时间段内对第一设备的登录行为,则第一设备确定告警为误报;如果登录日志包括恶意IP地址在告警时间对应的时间段内对第一设备的登录行为,则第一设备确定告警不为误报。
可选地,方式I适于应用在告警指示暴力破解的场景。具体地,上述可疑活动为暴力破解,验证告警是否为误报的具体表现为判断暴力破解事件是否存在,确定告警为误报的具体表现为确定暴力破解事件不存在。例如,防护设备产生的告警的含义是123.23.4.5对主机192.168.1.12进行了SSH暴力破解。取证闭环服务器根据告警向主机192.168.1.12提供闭环取证插件。主机192.168.1.12运行插件时,获取主机192.168.1.12的登录日志。主机发现登录日志包含告警对应时间段内123.23.4.5的登陆行为,则主机确认告警是准确告警而不为误报。其中,123.23.4.5是对恶意IP地址的举例说明。主机192.168.1.12是对第一设备的举例说明,192.168.1.12是主机的IP地址。
从上述举例可见,通过提供插件来获取第一设备上的登录日志,便于通过登录日志确认暴力破解事件是否存在,有助于准确地验证暴力破解事件引发的告警是否为误报。
方式2-2、根据系统信息或网络信息中的至少一项验证告警是否为误报。
例如,第一设备判断第一设备上的指定端口是否开放、第一设备上指定目录上是否存在指定文件,如果第一设备上的指定端口开放、且第一设备上指定目录上存在指定文件,则第一设备确定告警不为误报。其中,该指定端口例如为端口445。端口445是计算机上用来共享文件夹或共享打印机的端口。可选地,这种方式适于应用在告警指示病毒攻击的场景。具体地,上述可疑活动为病毒攻击,验证告警是否为误报的具体表现为判断病毒是否存在,确定告警为误报的具体表现为确定病毒不存在。例如,防护设备产生的告警的含义是主机被永恒之蓝病毒攻击,闭环服务器根据告警向主机提供闭环取证插件。主机运行插件时确定端口445对外开放,同时主机xxxx目录存在xxx文件或文件夹,则确定永恒之蓝病毒存在,告警不为误报。
又如,第一设备判断第一设备的操作系统类型与告警对应的指定操作系统类型是否相同,如果第一设备的操作系统类型与告警对应的指定操作系统类型不同,则第一设备确定告警为误报。例如,防护设备产生了一条告警为SMB Anonymous Trans2 RequestSESSION_SETUP Command Detected。该告警的含义是检测到SMB匿名用户Trans2请求SESSION_SETUP命令,如果攻击成功可利用匿名用户建立空会话,进而可访问系统敏感信息。该告警适用于windows系统。如果第一设备在取证时获知自己为linux系统,即可认为是误报。
闭环取证结果为第一设备运行闭环取证插件得到的结果。取证闭环结果包括而不限于下述情况(1)至情况(3)。
情况(1)闭环取证结果指示第一设备上是否已去除缺陷
具体地,第一设备根据是否已经去除引发告警的缺陷,生成闭环取证结果。如果第一设备已经去除引发告警的缺陷,第一设备生成的闭环取证结果指示第一设备上已去除缺陷。如果第一设备未去除引发告警的缺陷(例如病毒清除失败),第一设备生成的闭环取证结果指示第一设备上未去除缺陷。
可选地,如果第一设备未去除缺陷,第一设备还通过闭环取证插件确定未去除缺陷的原因,第一设备将未去除缺陷的原因也作为闭环取证结果输出。通过这种可选方式,防护设备或者闭环取证服务器不仅能够根据闭环取证结果知道第一设备未去除缺陷,还能知道第一设备之所以未去除缺陷的原因,便于针对第一设备未去除缺陷的原因对第一设备进行升级维护,帮助第一设备去除缺陷,提升第一设备的系统稳定性。
情况(2)闭环取证结果指示告警是否为误报
具体地,第一设备根据取证信息验证告警是否为误报,从而生成闭环取证结果。如果第一设备验证告警为误报,第一设备生成的闭环取证结果指示告警为误报;如果第一设备验证告警不为误报,第一设备生成的闭环取证结果指示告警不为误报。
示例性地,参见下表3,表3示出了三个告警对应的三个取证闭环结果。三个告警的编号分别为1、2和3。其中,告警1指示SSH暴力破解,告警1对应的取证闭环结果为SSH暴力破解攻击真实有效,即告警1不为误报。告警2指示RDP暴力破解,告警1对应的取证闭环结果为RDP暴力破解攻击真实有效,即告警2不为误报。告警3对应的取证闭环结果为永恒之蓝病毒不存在,为误报,即告警3为误报。从表3可见,三个告警经过闭环取证插件处置后,均有明确结论。
表3
Figure BDA0002849005180000141
情况(3)闭环取证结果为取证信息。
例如,在闭环取证服务器负责验证告警是否为误报的情况下,第一设备在运行闭环取证插件的过程中,第一设备获取取证信息,将取证信息作为闭环取证结果返回给闭环取证服务器。在这种情况下,闭环取证服务器收到的闭环取证结果为取证信息。
步骤S308、第一设备向闭环取证服务器发送闭环取证结果。
步骤S309、闭环取证服务器接收来自于第一设备的闭环取证结果,将闭环取证结果发送给防护设备。
此外,在防护设备与闭环取证服务器合设的情况下,可选地省略执行步骤S309,在执行步骤S308之后执行步骤S310。
步骤S310、防护设备接收来自于第一设备的闭环取证结果。
步骤S311、防护设备根据闭环取证结果,对告警进行更新。
例如,如果闭环取证结果指示告警为误报,防护设备删除告警。如果闭环取证结果指示告警不为误报(即告警是准确告警),防护设备不对告警更改。
又如,第一设备返回的闭环取证结果包括取证信息,防护设备根据取证信息验证告警是否为误报。如果防护设备根据取证信息验证告警为误报,防护设备删除告警。如果防护设备根据取证信息验证告警不为误报,防护设备不对告警更改。其中,防护设备验证告警是否为误报与第一设备验证告警是否为误报具有相似的流程,技术细节请参考步骤S307中对第一设备验证告警是否为误报的说明。
可替代地,在告警不为误报的情况下,防护设备对告警进行少量更改。例如,防护设备为告警添加标签,标签指示告警为准确告警。
在一些实施例中,在告警为误报的情况下,如果防护设备针对第一设备后续产生了与被验证为误报的告警相同的告警,防护设备取消后续产生的告警。其中,相同的告警例如是告警名称、等级、方向、源IP、目的IP相同。通过对后续产生的相同告警一并取消告警,使得防护设备最终输出的告警更为准确,同时告警量级也大为缩减。
本实施例提供的方法,通过基于防护设备产生的告警,获取告警对应的闭环取证插件,将闭环取证插件提供给引发告警的设备,根据闭环取证插件运行后返回的闭环取证结果更新之前产生的告警,从而实现了告警自动化的闭环取证。一方面,该方法有助于对防护设备产生的告警全面闭环,防止告警遗漏或遗弃。另一方面,提供了类似于闭环解决告警的机制,提升闭环处置效率。另一方面,由于在引发告警的设备上进行闭环取证,能够更准确地验证告警是否为误报,有助于提升告警准确率。
闭环取证服务器在采用附图3所示的方法处置告警的过程中,由于同一个设备(如内网中的终端或服务器)可能引发多个告警,而不同的告警可能对应于不同的插件,使得终端等设备具有调用多个插件的需求。例如,终端既感染了病毒又被暴力破解,引发防护设备产生病毒攻击告警以及暴力破解告警,需要让病毒处置插件和暴力破解取证插件都在终端上执行,有鉴于此,本申请实施例在附图3所示的方法的基础上,进一步提供了插件打包的功能,达到类似量身定做的效果,方便终端等设备对插件打包调用,同时帮助告警更全面地闭环。下面通过步骤一至步骤二对插件打包的具体实现方式举例说明。
步骤一、闭环取证服务器筛选第一设备对应的每个告警对应的每个插件,形成应用于所述第一设备的打包库。
所述打包库有时也称为插件打包库。所述打包库包括针对所述第一设备产生的每个告警对应的每个闭环取证插件。
例如,请参见下表4,IPS或IDS针对IP地址为192.168.37.20的终端(第一设备)产生了2个告警。编号为1的告警的含义是发现NrsMiner病毒。编号为2的告警的含义是发现RAMNIT.A病毒。闭环取证服务器针对编号为1的告警获取NrsMiner病毒处置插件。闭环取证服务器针对编号为2的告警获取RAMNIT.A病毒处置插件。闭环取证服务器对NrsMiner病毒处置插件和RAMNIT.A病毒处置插件进行打包,从而得到应用于IP地址为192.168.37.20的终端的打包库。该打包库包括NrsMiner病毒处置插件和RAMNIT.A病毒处置插件。
表4
Figure BDA0002849005180000161
又如,请参见下表5,IPS或IDS针对IP地址为192.168.18.29的终端(第一设备)产生了3个告警。编号为1的告警的含义是发现SSH暴力破解。编号为2的告警的含义是发现RDP暴力破解。编号为3的告警的含义是发现永恒之蓝攻击。闭环取证服务器针对编号为1的告警获取SSH暴力破解取证插件。闭环取证服务器针对编号为2的告警获取RDP暴力破解取证插件。闭环取证服务器针对编号为3的告警获取永恒之蓝取证处置插件。闭环取证服务器对SSH暴力破解取证插件、RDP暴力破解取证插件和永恒之蓝取证处置插件进行打包,从而得到应用于IP地址为192.168.18.29的终端的打包库。该打包库包括SSH暴力破解取证插件、RDP暴力破解取证插件和永恒之蓝取证处置插件。
表5
Figure BDA0002849005180000162
从上述举例可见,闭环取证服务器针对IP地址为192.168.37.20的终端、IP地址为192.168.18.29的终端这两例终端分别形成了自身相关打包插件库,方便这两例终端针对自身告警进行取证及闭环。
步骤二、闭环取证服务器将第一设备对应的每个闭环取证插件保存至所述第一设备对应的指定目录。
所述指定目录用于保存应用于所述第一设备的打包库。在一些实施例中,所述指定目录为HTTP服务器的存储目录。具体地,在HTTP服务器上创建第一设备对应的指定目录,当获得闭环取证插件之后,将闭环取证插件上传到HTTP服务器上的指定目录。可选地,该HTTP服务器为第二设备。也即是,终端之前通过防护设备访问了哪个HTTP服务器,则闭环取证服务器将终端对应的闭环取证插件上传至哪个HTTP服务器。或者,可选地,闭环取证服务器将所述闭环取证插件保存至第二设备之外的其他设备上。
可选地,指定目录的名称包括第一设备的IP地址。通过使用第一设备的IP地址来命名应用于第一设备的打包库的目录,便于区分不同终端对应的目录,也帮助第一设备快捷地找到指定目录进而获得闭环取证插件。
例如,参见下表6,表6的内容是对HTTP服务器中存储打包库的指定目录的举例说明。表6中192.168.18.29、192.168.37.20表示2个以终端的IP地址命名的目录。目录192.168.18.29用于保存IP地址为192.168.18.29的终端的打包库,目录192.168.37.20用于保存IP地址为192.168.37.20的终端的打包库。
表6
Figure BDA0002849005180000171
表6中“total16”的含义是当前目录一共16个文件,表6中“drwx”的含义是该目录有可读可写可执行权限,表明文件属性,表6中“4”的含义是该目录下包含4个文件,表6中“root”的含义是表明该文件的拥有者,表6中“4096”的含义是文件的大小,表6中“Oct 417:52”的含义是文件最后一次修改时间,表6中“dr-xr-x”的含义是该文件夹拥有者有可读权限,同一组的用户拥有可执行可读权限,其他用户拥有执行权限,已符合分割。
下面以目录192.168.18.29为例,对如何通过目录保存插件进一步举例说明。目录192.168.18.29用于保存IP地址为192.168.18.29的终端对应的每个闭环取证插件。例如,IPS针对IP地址为192.168.18.29的终端产生了三个告警,取证闭环服务器针对三个告警获取了对应的三个插件,将这三个插件打包为插件库并上传至目录192.168.18.29,使得目录192.168.18.29存储的内容如下表7中的内容所示。
表7
Figure BDA0002849005180000172
上表7中“total”“drwx”“root”等字符串的含义请参考上面对表6的介绍。上表7的内容的含义具体如下表8所示。此外,上表7中start_list.py为总调用文件。文件start_list.py的功能为调用其他三个插件。每例打包库中均有文件start_list.py。
表8
Figure BDA0002849005180000181
闭环取证服务器通过将设备对应的打包库中的每个插件保存至同一个目录下,方便设备对闭环取证插件进行打包调用,提高设备获取闭环取证插件的效率。
在一些实施例中,闭环取证服务器将所述闭环取证插件保存至指定目录之后,闭环取证服务器通知第一设备下载插件。具体地,闭环取证服务器生成并向所述第一设备发送通知消息,所述通知消息用于通知所述第一设备从所述指定目录下载所述闭环取证插件。例如,通知消息为指定字段置位的HTTP response消息,该指定字段例如位于HTTPresponse消息的消息体(HTTP response body)中。
下面结合两个实例对附图3所示方法进行说明。附图3所示方法中的防护设备为以下两个实例中的IPS或IDS。附图3所示方法中告警指示的可疑活动或违规活动为以下两个实例中的恶意攻击。附图3所示方法中的第一设备为以下两个实例中的终端。附图3所示方法中第二设备为以下两个实例中服务器。附图3所示方法中的第一网络为以下两个实例中的内网(局域网)。附图3所示方法中第二网络为以下两个实例中互联网。
实例1
请参考附图4,附图4示出了实例1的流程图。实例1包括以下步骤1至步骤10。
步骤1、终端经过IPS或IDS访问互联网中的业务服务器。
具体地,终端通过浏览器或应用客户端访问互联网应用服务,例如访问搜索引擎服务器、通过社交应用客户端访问社交应用服务器等。在此过程中,终端通过浏览器或应用客户端生成并向业务服务器发出请求,请求所基于的协议例如为HTTP或其他协议。请求由终端发出,到达IPS或IDS处。IPS或IDS接收到请求后,IPS或IDS对请求内容进行解析检测。IPS或IDS确定请求的发送方(IPS或IDS)以及请求的目的方(业务服务器)之后,IPS或IDS向互联网中的业务服务器转发所述请求。
步骤2、互联网中的业务服务器将用户请求的内容经过IPS或IDS返回给终端。
具体地,业务服务器接收到请求后,业务服务器对请求进行处理从而生成响应。业务服务器向终端返回响应。在业务服务器的响应发送到终端过程中,响应经过IPS或IDS处理解析检测,检测后原路转发到终端。终端收到响应后,即完成整个请求。
步骤3、在执行上述步骤1至步骤2的过程中,终端请求流量及响应流量经过IPS/IDS检测后产生告警。
具体地,IPS/IDS作为终端与业务服务器之间的通信桥梁,IPS/IDS会解析检测两部分流量。
(1)终端发往业务服务器的请求流量。其中,请求流量包含:请求IP或域名、统一资源定位符、状态码,网络传输协议等。
(2)业务服务器发往终端的响应流量。其中,响应的流量包含:响应IP或域名、统一资源定位符、状态码,网络传输协议,网络传输响应等。
IPS或IDS基于本地保存的特征库或规则库通过对整个过程中的这两部分流量进行检测,从而判断流量中是否有恶意攻击。如果IPS或IDS检测到恶意攻击流量,则IPS或IDS生成对于具体攻击行为的告警。告警表明该流量中存在恶意攻击流量。
步骤4、IPS/IDS产生的告警输送至闭环取证插件库。
具体地,将上一步中IPS或IDS产生的告警提供至闭环取证服务器。提供方式例如为通过IPS或IDS直接推送,又如为闭环取证服务器定时从IPS或IDS处拉取。闭环取证服务器对获取的告警解析后存储至信息记录库。信息记录库用于记录告警。信息记录库例如为关系型数据库,又如为非关系型数据库。
步骤5、闭环取证服务器存储告警完成之后,闭环取证服务器根据IPS或IDS产生的告警从闭环取证插件库中加载告警对应的插件,输出告警-插件列表。
步骤6、闭环取证服务器形成告警-插件列表后,闭环取证服务器针对不同终端对告警-插件列表中的插件进行筛选打包,最终形成应用于不同终端的插件打包库。插件打包库形成后,闭环取证服务器对形成的打包库进行上线操作,方便终端对插件库进行打包调用。
其中,上线操作例如是将打包库保存至终端能够访问的存储位置。可选地,上线操作具体为将打包库上传于以终端IP地址命名的指定目录。
在一种可能的实现中,插件库的存储位置位于闭环取证服务器上,在这种情况下,由闭环取证服务器后续向终端发送插件。在另一种可能的实现中,保存插件库的存储位置位于除了闭环取证服务器之外的其他设备上。该其他设备包括而不限于HTTP服务器、FTP服务器、SFTP服务器、NFS服务器或者其他能提供文件传输服务的服务器。在这种情况下,通过该其他设备作为中转,由该其他设备后续向终端发送插件。进一步地,可选地,闭环取证服务器和该其他设备进行联动来传输插件。具体地,闭环取证服务器将打包库保存至该其他设备上之后,闭环取证服务器向该其他设备发送通知消息,该通知消息指示该其他设备向终端传输插件,从而触发该其他设备执行向终端发送插件的步骤。
其中,闭环取证服务器或者其他设备向终端传输插件所基于的协议包括而不限于HTTP协议、FTP协议、SFTP协议或者其他文件传输协议。
下述步骤7以闭环取证服务器向终端发送插件为例进行说明。可替代地,在插件库的存储位置位于其他设备的情况下,步骤7中的闭环取证服务器被替换为其他设备。
步骤7、闭环取证服务器针对不同用户上线插件打包库后,插件打包库有两种方式传输到终端,参见下述传输方式一至传输方式二。
传输方式一、终端从闭环取证服务器拉取插件打包库,闭环取证服务器被动等待终端调用插件打包库。具体地,终端向闭环取证服务器请求下载插件打包库。终端将插件远程下载至本地后运行插件打包库。终端将插件打包库运行的结果返回给闭环取证服务器。
传输方式一中,终端对插件打包库的调用方式具体分为以下调用方式(1-1)和(1-2)两种。
调用方式(1-1)终端的用户手动调用插件打包库。
步骤6完成后,闭环取证服务器向终端发送处理请求,处理请求用于指示终端下载插件打包库。终端接收到来自于闭环取证服务器的处理请求后,用户手动在终端输入命令(如在命令行界面或web界面输入)。终端执行用户输入的命令。终端远程下载插件打包库。终端下载插件打包库之后,终端在本地执行插件。可选地,通过邮件或短信等方式通知用户调用插件打包库。
例如:终端用户看到处理请求后输入以下命令,使得终端执行以下命令。
python-c"exec(__import__('urllib').urlopen('http://plug-in.com/xxxxxxxxxxxxxxx').read())
以上命令的含义是通过python将插件从http://plug-in.com/xxxxxxxxxxxxxxx拉取下来,并执行插件。
调用方式(1-2)终端定时读取插件打包库,或者,终端根据闭环取证服务器的通知读取插件打包库。
具体地,终端定时向闭环取证服务器请求插件打包库的地址。终端从闭环取证服务器返回的地址获取插件打包库后,终端自动在本地执行插件打包库。在一种可能的实现中,终端安装闭环取证服务对应的客户端,该客户端保持对外监听,从而维持与闭环取证服务器的通信。
例如,终端长时间与闭环取证服务器保持心跳连接。心跳方式为,终端主动每分钟向闭环取证服务器发起HTTP请求。如果闭环取证服务器无当前需要执行插件,则闭环取证服务器向终端返回HTTP response body位为0;如果闭环取证服务器存在当前需要执行插件,则闭环取证服务器向终端返回HTTP response body位为1。当返回结果为1时,终端向闭环取证服务器请求远程下载插件。终端下载插件的请求例如包括http://plug-in.com/xxxxx。终端将插件下载至本地后,终端执行插件。
传输方式二、闭环取证服务器向终端推送插件打包库。终端被动等待闭环取证服务器推送插件打包库。
具体地,闭环取证服务器向终端发送网络传输请求,网络传输请求包括插件打包库。终端从网络传输请求获得闭环取证服务器推送的插件打包库。终端运行插件打包库并将插件打包库运行的结果返回给闭环取证服务器。
传输方式二中,终端对插件打包库的调用方式具体分为以下(2-1)和(2-2)两种。
调用方式(2-1)闭环取证服务器的管理员手动推送插件打包库。
例如,在终端上安装闭环取证服务对应的客户端,客户端保持对外监听来自闭环取证服务器的消息。客户端被动接收到闭环取证服务器推送来的插件打包库后,客户端自动执行插件打包库。例如,客户端长时间与闭环取证服务器保持心跳连接,当闭环取证服务器存在需要处理的插件时,闭环取证服务器管理员手动向终端发起TCP传输,闭环取证服务器向终端发送插件。终端收到插件后,自动将插件存储至本地后执行插件。
调用方式(2-2)闭环取证服务器定时推送插件。
例如,在终端上安装客户端,闭环取证服务器定时或随时向客户端推送插件打包库的地址,客户端从插件打包库的地址获取插件打包库后,自动在本地执行插件打包库。
例如:客户端长时间与闭环取证服务器保持心跳连接。当闭环取证服务器存在需要处理的插件或者每隔一小时时,闭环取证服务器主动向终端发起TCP传输,向终端发送插件打包库,终端收到插件打包库后,将插件打包库存储至本地后,终端运行插件打包库。
由闭环取证服务器向终端推送插件打包库是可选的方式。可替代地,在闭环取证服务器将插件打包库保存至除了闭环取证服务器之外的其他设备的情况下,由其他设备向终端推送插件打包库,上述传输方式一和传输方式二中的闭环取证服务器被替换为其他设备(例如HTTP服务器或业务服务器)。
步骤8、闭环取证服务器收到终端发来的闭环取证结果后,闭环取证服务器对返回的闭环取证结果进行存储,方便后续调用闭环取证结果。
步骤9、闭环取证服务器对闭环取证结果进行归并后,闭环取证服务器将闭环取证结果返回至IPS或IDS设备。闭环取证结果的返回方式例如为IPS或IDS定时拉取闭环取证结果,又如为闭环取证服务器主动向IPS或IDS推送闭环取证结果。
步骤10、IPS或IDS接收到闭环取证结果后,IPS或IDS根据闭环取证结果对原始告警进行更新。
上述实例1提供了一种基于IPS或IDS的告警闭环取证方案。在实际数据中测试,可100%实现对IPS或IDS设备产生的告警进行闭环取证,提升告警准确率及闭环处置效率,同时告警量级也大为缩减。
实例2
实例2与实例1的区别点为,实例1中的闭环取证服务器被替代为放置在IPS或IDS内部的闭环取证模块。具体地,实例1中闭环取证服务器的功能主要涉及保存闭环取证插件库、筛选告警对应的插件、插件打包和插件上线。在实例2中,保存闭环取证插件库、筛选告警对应的插件、插件打包和插件上线这几个功能模块分配给IPS或IDS。也即是,由实例2中防护设备执行实例1中闭环取证服务器负责的步骤。请参考附图5,附图5示出了实例2的流程图。IPS或IDS产生告警后,通过内部的取证闭环模块对自身告警进行取证闭环。附图4中的闭环取证服务器对应于附图5中的闭环取证模块。实例2与实施例1的相同之处不做赘述。
实例2不需要单独配置物理设备(闭环取证服务器)。完整处理流程在IPS或IDS内部实现,效率更高,逻辑精简。
附图6是本申请实施例提供的一种告警处理装置的结构示意图。可选地,附图6所示告警处理装置600包括附图1中防护设备110或者闭环取证服务器120中的一项或多项。可选地,附图6所示告警处理装置600通过图2所示的硬件结构实现。可选地,附图6所示告警处理装置600用于执行附图3或附图4中闭环取证服务器执行的方法。可选地,附图6所示告警处理装置600用于执行附图5中IPS或IDS内部的闭环取证模块执行的方法。
告警处理装置600包括获取单元601、提供单元602、接收单元603和处理单元604。获取单元601用于执行S302或S304。获取单元601还用于执行S305。提供单元602用于执行S306。接收单元603用于执行S310。处理单元604用于执行S311。
图6所描述的装置实施例仅仅是示意性的,例如,上述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。图6中上述各个单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。例如,采用软件实现时,上述处理单元604以及提供单元602可以是由图2中的至少一个处理器201读取存储器203中存储的程序代码210后,生成的软件功能单元来实现。图6中上述各个单元也可以由图2中的不同硬件分别实现,例如处理单元604由图2中的至少一个处理器201中的一部分处理资源(例如多核处理器中的一个核或两个核)实现,而提供单元602由图2中至少一个处理器201中的其余部分处理资源(例如多核处理器中的其他核),或者采用现场可编程门阵列(field-programmable gate array,FPGA)、或协处理器等可编程器件来完成。获取单元601和接收单元603由图2中的网络接口204实现。显然上述功能单元也可以采用软件硬件相结合的方式来实现,例如提供单元602由硬件可编程器件实现,而处理单元604是由CPU读取存储器中存储的程序代码后,生成的软件功能单元。
图6中获取单元601、提供单元602、接收单元603和处理单元604实现上述功能的更多细节请参考前面各个方法实施例中的描述,在这里不再重复。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件程序实现时,可以全部或部分地以计算机程序产品的形式实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行该计算机指令时,全部或部分地产生按照本申请实施例中的流程或功能。该计算机可以是通用计算机、专用计算机、计算机网络或者其他可编程装置。该计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,该计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line,DSL))方式或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心传输。该计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包括一个或多个可用介质集成的服务器、数据中心等数据存储设备。该可用介质可以是磁性介质(例如,软盘、磁盘、磁带)、光介质(例如,数字视频光盘(digital video disc,DVD))、或者半导体介质(例如固态硬盘(solid state drives,SSD))等。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的范围。这样,倘若对本申请的这些修改和变型属于本申请权利要求的范围之内,则本申请也意图包括这些改动和变型在内。

Claims (22)

1.一种告警处理方法,其特征在于,所述方法包括:
获取防护设备产生的告警,所述防护设备部署于第一网络与第二网络之间,所述告警是基于对所述第一网络中的第一设备与所述第二网络中的第二设备之间传输的报文进行安全性检测从而生成的,所述告警用于指示所述报文涉及可疑活动或违规活动;
获取所述告警对应的闭环取证插件,所述闭环取证插件用于对所述告警进行闭环处理或者取证处理,所述闭环处理是指去除所述第一设备上引发所述告警的缺陷;
向所述第一设备提供所述闭环取证插件;
接收来自于所述第一设备的闭环取证结果,所述闭环取证结果为所述第一设备运行所述闭环取证插件得到的结果;
根据所述闭环取证结果,对所述告警进行更新。
2.根据权利要求1所述的方法,其特征在于,所述闭环处理包括下述一项或多项:
删除所述第一设备上的病毒;
向所述第一设备安装补丁文件;
对所述第一设备进行网络配置。
3.根据权利要求2所述的方法,其特征在于,所述闭环取证结果指示所述第一设备上是否已去除所述缺陷。
4.根据权利要求1所述的方法,其特征在于,所述取证处理包括从所述第一设备获取取证信息,所述取证信息用于验证所述告警是否为误报。
5.根据权利要求4所述的方法,其特征在于,所述取证信息包括下述一项或多项:
登录日志;
系统信息;
网络信息。
6.根据权利要求4或5所述的方法,其特征在于,所述闭环取证结果指示所述告警是否为误报,所述闭环取证结果为所述第一设备根据所述取证信息得到的;或者,
所述闭环取证结果为所述取证信息,所述根据所述闭环取证结果,对所述告警进行更新之前,所述方法还包括:根据所述取证信息验证所述告警是否为误报。
7.根据权利要求6所述的方法,其特征在于,所述根据所述闭环取证结果对所述告警进行更新,包括:
如果所述闭环取证结果指示所述告警为误报或者根据所述取证信息验证所述告警为误报,删除所述告警。
8.根据权利要求7所述的方法,其特征在于,所述删除所述告警之后,所述方法还包括:
如果所述防护设备针对所述第一设备后续产生了与所述告警相同的告警,取消所述后续产生的告警。
9.根据权利要求1所述的方法,其特征在于,所述获取所述告警对应的闭环取证插件,包括:
根据所述告警的标识,从保存的插件库中查询得到所述告警对应的闭环取证插件,所述插件库包括所述告警的标识与闭环取证插件之间的对应关系。
10.根据权利要求1所述的方法,其特征在于,所述向所述第一设备提供所述闭环取证插件,包括:
将所述闭环取证插件保存至所述第一设备对应的指定目录,所述指定目录用于保存应用于所述第一设备的打包库,所述打包库包括针对所述第一设备产生的每个告警对应的每个闭环取证插件。
11.根据权利要求10所述的方法,其特征在于,所述将所述闭环取证插件保存至所述第一设备对应的指定目录之后,所述方法还包括:
向所述第一设备发送通知消息,所述通知消息用于通知所述第一设备从所述指定目录下载所述闭环取证插件。
12.根据权利要求1所述的方法,其特征在于,所述第一网络是局域网,所述第二网络是互联网。
13.一种防护设备,其特征在于,所述防护设备包括存储器、网络接口和至少一个处理器;
所述存储器用于存储程序代码;
所述至少一个处理器,用于读取所述存储器中存储的程序代码后,执行以下操作:
所述处理器产生告警,所述防护设备部署于第一网络与第二网络之间,所述告警是基于对所述第一网络中的第一设备与所述第二网络中的第二设备之间传输的报文进行安全性检测从而生成的,所述告警用于指示所述报文涉及可疑活动或违规活动;
所述处理器获取所述告警对应的闭环取证插件,所述闭环取证插件用于对所述告警进行闭环处理或者取证处理,所述闭环处理是指去除所述第一设备上引发所述告警的缺陷;
所述处理器指示所述网络接口向所述第一设备提供所述闭环取证插件;
所述网络接口接收来自于所述第一设备的闭环取证结果,所述闭环取证结果为所述第一设备运行所述闭环取证插件得到的结果;
所述处理器根据所述闭环取证结果,对所述告警进行更新。
14.根据权利要求13所述的防护设备,其特征在于,所述处理器,还用于根据取证信息验证所述告警是否为误报。
15.根据权利要求14所述的防护设备,其特征在于,如果所述闭环取证结果指示所述告警为误报或者所述处理器根据所述取证信息验证所述告警为误报,所述处理器还用于删除所述告警。
16.根据权利要求13所述的防护设备,其特征在于,所述存储器,还用于保存插件库;
所述处理器,还用于根据所述告警的标识,从所述存储器保存的插件库中查询得到所述告警对应的闭环取证插件,所述插件库包括所述告警的标识与闭环取证插件之间的对应关系。
17.一种闭环取证服务器,其特征在于,所述服务器包括存储器、网络接口和至少一个处理器;
所述存储器用于存储程序代码;
所述网络接口,用于获取防护设备产生的告警,所述防护设备部署于第一网络与第二网络之间,所述告警是基于对所述第一网络中的第一设备与所述第二网络中的第二设备之间传输的报文进行安全性检测从而生成的,所述告警用于指示所述报文涉及可疑活动或违规活动;
所述至少一个处理器,用于读取所述存储器中存储的程序代码后,执行以下操作:
所述处理器获取所述告警对应的闭环取证插件,所述闭环取证插件用于对所述告警进行闭环处理或者取证处理,所述闭环处理是指去除所述第一设备上引发所述告警的缺陷;
所述处理器指示所述网络接口向所述第一设备提供所述闭环取证插件;
所述网络接口接收来自于所述第一设备的闭环取证结果,所述闭环取证结果为所述第一设备运行所述闭环取证插件得到的结果;
所述处理器根据所述闭环取证结果,对所述告警进行更新。
18.一种告警处理装置,其特征在于,所述告警处理装置包括:
获取单元,用于获取防护设备产生的告警,所述防护设备部署于第一网络与第二网络之间,所述告警是基于对所述第一网络中的第一设备与所述第二网络中的第二设备之间传输的报文进行安全性检测从而生成的,所述告警用于指示所述报文涉及可疑活动或违规活动;
所述获取单元,还用于获取所述告警对应的闭环取证插件,所述闭环取证插件用于对所述告警进行闭环处理或者取证处理,所述闭环处理是指去除所述第一设备上引发所述告警的缺陷;
提供单元,用于向所述第一设备提供所述闭环取证插件;
接收单元,用于接收来自于所述第一设备的闭环取证结果,所述闭环取证结果为所述第一设备运行所述闭环取证插件得到的结果;
处理单元,用于根据所述闭环取证结果,对所述告警进行更新。
19.根据权利要求18所述的告警处理装置,其特征在于,所述处理单元,还用于根据取证信息验证所述告警是否为误报。
20.根据权利要求19所述的告警处理装置,其特征在于,如果所述闭环取证结果指示所述告警为误报或者根据所述取证信息验证所述告警为误报,所述处理单元,用于删除所述告警。
21.一种计算机可读存储介质,其特征在于,所述存储介质中存储有至少一条指令,所述指令在计算机上运行时,使得计算机执行权利要求1至12中任意一项所述的告警处理方法。
22.一种芯片,其特征在于,包括存储器和处理器,所述存储器用于存储计算机指令,所述处理器用于从所述存储器中调用并运行所述计算机指令,以执行权利要求1至12中任意一项所述的告警处理方法。
CN202011519401.XA 2020-12-21 2020-12-21 告警处理方法及防护设备 Active CN114650210B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011519401.XA CN114650210B (zh) 2020-12-21 2020-12-21 告警处理方法及防护设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011519401.XA CN114650210B (zh) 2020-12-21 2020-12-21 告警处理方法及防护设备

Publications (2)

Publication Number Publication Date
CN114650210A CN114650210A (zh) 2022-06-21
CN114650210B true CN114650210B (zh) 2023-04-11

Family

ID=81991028

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011519401.XA Active CN114650210B (zh) 2020-12-21 2020-12-21 告警处理方法及防护设备

Country Status (1)

Country Link
CN (1) CN114650210B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003098413A1 (en) * 2002-05-14 2003-11-27 Cisco Technology, Inc. Method and system for analyzing and addressing alarms from network intrusion detection systems
CN101183976A (zh) * 2007-12-14 2008-05-21 华为技术有限公司 实现告警远程通知和告警远程查询的方法、装置及系统
CN101355463A (zh) * 2008-08-27 2009-01-28 成都市华为赛门铁克科技有限公司 网络攻击的判断方法、系统和设备
CN101826994A (zh) * 2010-02-04 2010-09-08 蓝盾信息安全技术股份有限公司 一种获取入侵源主机信息的方法及装置
WO2017180666A1 (en) * 2016-04-15 2017-10-19 Sophos Limited Forensic analysis of computing activity and malware detection using an event graph

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7359962B2 (en) * 2002-04-30 2008-04-15 3Com Corporation Network security system integration
US8191139B2 (en) * 2003-12-18 2012-05-29 Honeywell International Inc. Intrusion detection report correlator and analyzer
US20140157405A1 (en) * 2012-12-04 2014-06-05 Bill Joll Cyber Behavior Analysis and Detection Method, System and Architecture

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003098413A1 (en) * 2002-05-14 2003-11-27 Cisco Technology, Inc. Method and system for analyzing and addressing alarms from network intrusion detection systems
CN101183976A (zh) * 2007-12-14 2008-05-21 华为技术有限公司 实现告警远程通知和告警远程查询的方法、装置及系统
CN101355463A (zh) * 2008-08-27 2009-01-28 成都市华为赛门铁克科技有限公司 网络攻击的判断方法、系统和设备
CN101826994A (zh) * 2010-02-04 2010-09-08 蓝盾信息安全技术股份有限公司 一种获取入侵源主机信息的方法及装置
WO2017180666A1 (en) * 2016-04-15 2017-10-19 Sophos Limited Forensic analysis of computing activity and malware detection using an event graph

Also Published As

Publication number Publication date
CN114650210A (zh) 2022-06-21

Similar Documents

Publication Publication Date Title
US10979441B2 (en) Method and system for network access control based on traffic monitoring and vulnerability detection using process related information
US10873597B1 (en) Cyber attack early warning system
US10212134B2 (en) Centralized management and enforcement of online privacy policies
US8739281B2 (en) Multilayered deception for intrusion detection and prevention
CN102106114B (zh) 分布式安全服务开通方法及其系统
CN111193719A (zh) 一种网络入侵防护系统
US20150319182A1 (en) Systems and methods for dynamic cloud-based malware behavior analysis
US20160285914A1 (en) Exploit detection system
US11290424B2 (en) Methods and systems for efficient network protection
US20140201843A1 (en) Systems and methods for identifying and reporting application and file vulnerabilities
CA2902110C (en) Systems and methods of risk based rules for application control
US20220086173A1 (en) Improving incident classification and enrichment by leveraging context from multiple security agents
JP2015121968A (ja) ログ分析装置及びログ分析方法及びログ分析プログラム
KR20130129184A (ko) 서버 결합된 멀웨어 방지를 위한 시스템 및 방법
CN109922062B (zh) 源代码泄露监控方法及相关设备
CN101496025A (zh) 用于向移动设备提供网络安全的系统和方法
US20220232015A1 (en) Preventing cloud-based phishing attacks using shared documents with malicious links
US11863586B1 (en) Inline package name based supply chain attack detection and prevention
Barnett Web Application Defender's Cookbook: Battling Hackers and Protecting Users
CN104796386A (zh) 一种僵尸网络的检测方法、装置和系统
US10757118B2 (en) Method of aiding the detection of infection of a terminal by malware
Hyun et al. Design and Analysis of Push Notification‐Based Malware on Android
CN111756707A (zh) 一种应用于全球广域网的后门安全防护装置和方法
CN114650210B (zh) 告警处理方法及防护设备
CN113824678B (zh) 处理信息安全事件的系统、方法和非暂时性计算机可读介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant