CN115118469B - 一种网络安全威胁处理系统及其处理方法 - Google Patents
一种网络安全威胁处理系统及其处理方法 Download PDFInfo
- Publication number
- CN115118469B CN115118469B CN202210681840.3A CN202210681840A CN115118469B CN 115118469 B CN115118469 B CN 115118469B CN 202210681840 A CN202210681840 A CN 202210681840A CN 115118469 B CN115118469 B CN 115118469B
- Authority
- CN
- China
- Prior art keywords
- unit
- response processing
- analysis
- security
- threat
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012545 processing Methods 0.000 title claims abstract description 295
- 238000003672 processing method Methods 0.000 title abstract description 7
- 230000004044 response Effects 0.000 claims abstract description 281
- 238000004458 analytical method Methods 0.000 claims abstract description 264
- 238000001514 detection method Methods 0.000 claims abstract description 127
- 238000012423 maintenance Methods 0.000 claims abstract description 22
- 230000008520 organization Effects 0.000 claims description 92
- 230000006399 behavior Effects 0.000 claims description 77
- 238000000034 method Methods 0.000 claims description 62
- 230000006854 communication Effects 0.000 claims description 59
- 230000003993 interaction Effects 0.000 claims description 59
- 238000004891 communication Methods 0.000 claims description 56
- 230000008569 process Effects 0.000 claims description 26
- 230000009471 action Effects 0.000 claims description 17
- 238000012795 verification Methods 0.000 claims description 15
- 238000012790 confirmation Methods 0.000 claims description 13
- 238000011217 control strategy Methods 0.000 claims description 11
- 230000001360 synchronised effect Effects 0.000 claims description 11
- 230000000903 blocking effect Effects 0.000 claims description 5
- 230000006870 function Effects 0.000 claims description 5
- 239000003999 initiator Substances 0.000 claims description 5
- 230000001105 regulatory effect Effects 0.000 claims description 3
- 238000004088 simulation Methods 0.000 claims description 3
- 239000000284 extract Substances 0.000 claims description 2
- 238000005065 mining Methods 0.000 claims description 2
- 238000012544 monitoring process Methods 0.000 claims description 2
- 230000003542 behavioural effect Effects 0.000 claims 2
- 238000010200 validation analysis Methods 0.000 claims 1
- 230000007246 mechanism Effects 0.000 description 21
- 238000011161 development Methods 0.000 description 12
- 238000011835 investigation Methods 0.000 description 7
- 230000003449 preventive effect Effects 0.000 description 7
- 230000008859 change Effects 0.000 description 6
- 238000007405 data analysis Methods 0.000 description 6
- 238000007726 management method Methods 0.000 description 6
- 238000009825 accumulation Methods 0.000 description 5
- 230000009286 beneficial effect Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 230000002085 persistent effect Effects 0.000 description 3
- 230000006835 compression Effects 0.000 description 2
- 238000007906 compression Methods 0.000 description 2
- 239000000470 constituent Substances 0.000 description 2
- 230000007123 defense Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 230000001052 transient effect Effects 0.000 description 2
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000004665 defense response Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 210000001503 joint Anatomy 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000012549 training Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提出了一种网络安全威胁处理系统及其处理方法,包括检测防护单元、分析单元、响应处理单元、取证单元;所述检测防护单元用于识别网络安全威胁后能够进行导流和威胁行为维持,所述分析单元用于接收来自检测防护单元上传的网络空间信息并进行安全分析,所述响应处理单元用于接收分析单元的分析结果,响应处理单元收到分析结果后能够发出响应处理指令并传输到分析单元,分析单元收到响应处理指令后能够驱动检测防护单元执行响应处理指令;所述响应处理单元能够发送证据调阅指令至取证单元调阅证据;所述取证单元用于记录、获取、管理检测防护单元、分析单元、响应处理单元产生的网络空间信息、记录、策略与指令的电子证据。
Description
技术领域
本发明涉及网络空间安全领域,特别涉及一种网络安全威胁处理系统及其处理方法。
背景技术
近年来,随着数字经济的不断发展,网络空间与物理空间、社会空间的逐步高度融合,使得立体化、全方位的网络空间成为各方势力争夺的领域,网络空间威胁超越了传统安全威胁,影响着国家安全、国防安全、经济安全、社会安全乃至人身安全;且网络空间威胁呈现出隐蔽性越来越高,持久化的威胁事件指数级增长,风险及威胁呈现多样化和快速动态变化等特点。
现有的网络安全威胁检测手段要么检测手段单一,检测能力滞后;要么仅关注网络安全威胁的单一过程、状态或环节,缺乏全局统筹能力;难以实现纵深防御,难以面对持久化、动态化的网络安全威胁特性;同时严重匮乏网络空间实时取证的能力,无法有效的在数字经济时代进行网络空间安全保障;而且现有的网络安全威胁检测检测响应与网络空间取证是分离、独立的,没有智能一体化自动化且面向网络安全威胁处理全生命周期的处理系统。
当前面对网络空间威胁一般采用以下3种方法来开展安全威胁的检测识别、响应处置与电子取证:
方法一:基于网络流量和设备日志的大数据分析的网络安全威胁检测识别
该方法通过采集并存储大量的包括不限于主机日志、系统日志、安全设备日志、网络设备日志、会话日志等各类日志,汇集各种网络流量后进行大数据分析是否存在网络安全威胁。如CN112398823A公开了一种基于大数据分析的网络信息安全预警平台,基于网络流量和网络设备日志分析的信息安全预警技术研究,建立网络与信息安全事件预警工作机制,为网络安全预警及处置提供判断依据;该方法存在以下缺点:对数据来源和数据量的需求非常大,需要足够多的数据量和恰当的数据来源;对数据分析的模型有极高的适配性要求,需要投入大量的人力和时间训练模型;需要大量的存储和计算资源;数据分析的结果受各项因素影响波动大;依赖于数据分析后的结果,无法全面、精确地识别网络安全威胁。
方法二:基于各类安全产品和设备堆叠的网络安全威胁检测识别与防御响应
该方法通过堆叠一系列各种各样的安全产品和设备,来实现网络安全威胁的检测、识别与处置。如CN102904749A公开了一种网络安全设备,通过将业务透明地桥接至终端装置来给工业环境中的装置提供安全;安全设备与管理服务器进行安全地通信,以通过加密的通信为安全设备中的安全模块的操作接收配置数据;该设备存在以下缺点:想要实现网络安全威胁的检测、识别与处置,需要配备一定数量具备运营和维护这些产品、设备且具有安全专业知识经验的人员,人力成本投入大,以及安全资源分散化,安全产品、设备基本都是各自为战,没有形成合力,无法智能联动。
以及方法三:面向主机的网络安全违法取证专用设备开展网络安全违法电子取证
该方法需要通过专用设备针对受害主机上残留的电子数据和痕迹进行电子证据取证。
该方法存在以下缺点:
1)需要额外的专业设备,且无法和现有的网络安全系统相结合。
2)该方法属于事后取证,证据的时效性差,且经常灭失。
3)需要基于终端被取证主机开展相关电子取证工作,无法面向网络层和网络通讯会话与流量,取证不全面。
4)此取证往往是一次性的,无法持续取证,且有时取证会破坏原有证据的法律有效性和完整性。
5)被动式取证,只能取证终端主机上现有的信息,无法全面地、进一步的完善证据链,不具备针对网络安全威胁进行主动取证的能力。
同时以上3种方法还存在以下缺点:
1)对正常业务的打扰度高,需要投入大量人力对原有业务环境的资产进行配置变动,不具备自动处理的基本条件,人工干预程度比较大。
2)网络安全威胁的检测识别结果的确认、威胁特征指纹库、数据分析模型的构建需要依赖于人工,受限于组织内安全人员的专业水平和经验,且需要结合大量的其他威胁情报内容综合判定,容易造成网络安全威胁的误报和漏报,耗时长。
3)无论是组织内的安全资源还是整个行业生态的安全资源都较为分散,基本都是各自为战,没有形成合力,面临数字经济时代全方位、持久化的网络空间安全威胁,单个组织和机构,往往处于被动挨打的局面。
4)现有的技术对网络安全的即时监管支持性不高,大部分网络安全威胁及事件都依赖于时候查证和追溯,导致监管部门开展监管时精力耗费巨大。
5)面对网络安全威胁时,组织做的努力,往往都是一次性的,无法形成知识体系,难以有效积累安全知识,不利于组织和社会长期的安全智慧的发展,无法使组织的安全能力得到持久化稳固提升。
6)当前对于网络安全违法事件取证非常困难,证据链往往达不到法律要求。监管部门与网络安全威胁受害单位的网络安全违法事件的举证难度很大。由于网络安全违法事件的即时性,当前的网络安全违法到了实质取证调查时,相关证据已经灭失,导致网络安全违法事件调查往往持续很长时间,且无法保证是否能再次获取相关证据。同时由于网络安全违法调查处于事后,证据的时效性差,且经常灭失,导致了网络安全威胁和违法事件的立案与保险赔付申请率很低,不利于网络安全依法治国与网络安全保险市场的发展。
为了提高网络空间安全、保障数字经济发展,亟需一种能适应上述网络空间安全威胁特点的自动化、智能化、合规化的网络安全威胁检测、识别、响应处置及取证手段。
发明内容
本发明的目的在于提供一种网络安全威胁处理系统及其处理方法,用于解决当前网络空间威胁的检测手段不足,威胁的识别能力弱、准确度低,安全响应不及时,普遍无取证能力,无法有效实时开展网络空间电子取证的问题。本发明通过将网络安全威胁的检测识别、安全响应与实时取证有机结合,以实现一体化全生命周期的网络安全威胁检测、响应与取证机制;本发明公开的网络安全威胁处理系统能够提高网络空间安全威胁的检测识别能力和准确度;并且大幅度压缩安全响应时间;同时对网络空间行为,尤其是违法犯罪行为进行实时电子取证,避免证据的丢失与破坏;还能够与监管机构对接实现监管机构对网络空间的监管,对网络空间违法行为进行实时确认与上报;以及与行业组织以及其他第三方进行网络安全威胁及违法行为的信息共享与上报,开展网络空间威胁及违法行为的信息共享,提升网络安全行业的智慧发展与产业发展。
为了实现上述目的,本发明提出了一种网络安全威胁处理系统,包括检测防护单元、分析单元、响应处理单元、取证单元;
所述检测防护单元用于识别网络安全威胁后能够进行导流和威胁行为维持,所述检测防护单元能够上传网络空间信息至分析单元,同时能够上传网络空间信息和已识别的网络安全威胁信息至取证单元;
所述检测防护单元对网络安全威胁的导流和威胁行为维持能够辅助分析单元分析威胁行为以及辅助取证单元取证;所述检测防护单元能够对网络安全威胁进行处置;
所述分析单元用于接收来自检测防护单元上传的网络空间信息并进行安全分析,分析单元分析出结果后能够给出安全策略建议并驱动响应处理单元作出响应处理决策,所述分析单元能够上传安全分析结果、安全策略、日志信息记录至取证单元;
所述响应处理单元用于接收分析单元的分析结果,响应处理单元收到分析结果后能够发出响应处理策略指令并传输到分析单元,分析单元收到响应处理策略指令后能够驱动检测防护单元执行响应处理策略指令;
所述响应处理单元能够上传安全响应处理策略指令、日志信息记录至取证单元或发送证据调阅指令至取证单元调阅证据;所述取证单元用于记录、获取、管理检测防护单元、分析单元、响应处理单元产生的网络空间信息、记录、策略与指令的电子证据。
本发明所有组成单元均与取证单元连接,可以对网络安全威胁、安全策略、响应处理记录、日志信息以及其它相关的知识和信息进行了全量全过程的电子取证;支持通过区块链的方式建立证据链库,保证电子证据的完整性、隐私保护性等;并且本系统支持主动定向取证,在响应处理单元获取监管机构对组织上报的网络空间违法犯罪行为认定后,在符合法律要求的前提下,主动对网络安全威胁来源主体开展主动取证扫描,获取更多必要的网络安全威胁主体信息;本电子取证方法不需要针对主机终端进行侵入式的暴力取证,只需要对网络通讯过程中的网络行为和网络通讯双方的网络空间信息(如IP地址、端口、域名、物理位置等)进行信息获取并结合本发明的其他信息来实现取证的目的,同时能形成相对完善的证据链,而建立证据链库,能够使其中的电子证据时序性、完整性、隐私保护性得到保障,该证据链库包括但不限于网络流量、POC、数据指纹、文件等,在此基础上使用了一定的摘要、压缩使其在满足法制证据要求的前提下,降低资源消耗。该取证方法既有利于违法犯罪行为后续的举证与处置,又能非常清晰地证明受害客体在第一时间采取的安全措施,明析安全责任。该方法可以重现整个威胁攻击过程,形成较为完整地证据链和响应知识库,相关电子证据不但可以用于外部监管、司法裁决,也可以用于组织内部安全应急响应知识的积累和安全整改总结。
本发明将网络安全威胁的检测、响应与取证能力一体化,一旦发现网络安全威胁便同步开展响应与取证工作,为后续的违法行为确认,网络安全事件立案侦查、监管机构监管调查以及网络安全保险理赔提供证据。
本发明对于网络安全威胁的检测识别是基于网络通讯行为,并通过网络通讯双方的必要信息(包括不限于以下信息:IP地址、端口、行为、状态、经纬度、所在地理位置、时间、访问次数等)进行建模分析,识别网络安全威胁。由于本发明的网络安全威胁检测是基于事中的开展,检测耗时短,成本低。同时了结合网络空间常见的信息来进行深度安全分析,极大的提高了网络安全威胁的检测识别能力。该方法可有效适应当前瞬息万变的网络空间。
优选的,本发明的一种网络安全威胁处理系统还包括展示交互单元;所述展示交互单元用于提供交互界面以展示、调取检测防护单元、分析单元、响应处理单元以及取证单元的相关信息和记录;所述检测防护单元能够将网络空间通讯记录及已识别的网络安全威胁信息展示在展示交互单元;所述分析单元能够将安全状态分析结果和安全策略通过展示交互单元进行展示;所述分析单元能够接收来自展示交互单元的指令、策略、分析模型;所述展示交互单元能够控制响应处理单元向取证单元发出取证指令。
展示交互单元用于给用户提供交互界面展示、调取检测防护单元、分析单元、响应处理单元以及取证单元的相关信息和记录。提供用户交互界面开展策略变更与下发。
优选的,所述检测防护单元包含网络安全威胁行为特征知识库,并且能够通过网络安全威胁行为特征知识库识别网络安全威胁;所述检测防护单元包含业务模拟的功能,所述检测防护单元还包含网络安全威胁的识别、安全检测、安全防护、威胁导流与攻击维持、扫描取证的功能;所述检测防护单元能够标记网络安全风险等级。
其中,业务模拟的功能主要是模拟业务系统所用的组件,版本,配置等。
优选的,所述检测防护单元上传至分析单元的网络空间信息包括但不限于网络空间通讯的源目IP地址、源目端口、域名地址、威胁行为、威胁风险等级;所述检测防护单元上传至取证单元的网络空间信息和已识别的网络安全威胁信息包括但不限于网络行为记录、日志信息。
优选的,所述分析单元接收来自响应处理单元的处理指令后,能够对处理指令结合安全威胁信息进行安全分析给出分析结果,并将处理指令与安全威胁信息综合分析后的分析结果下发至检测防护单元,检测防护单元收到最终分析结果后能够实施安全响应动作。
优选的,所述检测防护单元对网络安全威胁进行的处置包括但不限于放行、封禁、引流、安全策略有效性检测。
优选的,所述响应处理单元能够接收展示交互单元下发的交互指令,并开展安全响应处理,同时响应处理单元能够将响应处理策略指令、记录的信息同步展示在展示交互界面。
优选的,所述响应处理单元能够接收来自分析单元的安全分析结果、安全策略,并实施自动化的安全响应处理;所述响应处理单元能够将安全响应处理以指令的形式传输回分析单元,以便分析单元结合网络安全威胁信息来分析响应处理策略指令的合理性,给出最终的安全策略。
优选的,所述响应处理单元与监管机构进行网络违法行为确认,并接收监管布控策略;所述响应处理单元还能与行业联盟组织、第三方组织机构进行信息共享,接收安全策略建议。
本发明提出了面向监管机构、行业联盟组织以及第三方组织的网络安全威胁信息上报与共享机制与接口。共建网络安全生态,积累安全知识,提升整个行业,整个网络空间安全智慧的发展。
响应处理单元会实时将网络安全威胁信息、安全分析结果等信息实时同步给监管机构进行违法行为确认与监管上报,获取监管机构针对网络安全威胁主体和行为的违法认定与监管布控策略。对于本系统而言,既可以获取网络安全威胁的违法行为事实认定,为后续开展相关取证、处置工作提供依据,又可以通过监管机构下发的监管布控策略针对已有和潜在的网络安全威胁开展预防性和纠正性的响应处理工作,同时还能够将本组织所做的安全保障工作情况进行展示,获取监管支持与指导,避免日常安全保障工作存在合规与安全风险,提高了组织网络安全及合规水准和安全应急响应能力。对于监管机构而言,丰富了网络安全监管手段,加强了对辖区各组织机构的网络安全监管,大大提高了网络安全的监管效率,改变了以往网络监管机构需要定期投入大量人力针对辖区组织机构现场开展安全检查来获取辖区组织的安全状态的情况。监管机构可以通过本监管机制向组织机构下发监管布控策略,获取组织的安全状态与监管完成情况,形成动态监管清单,有利于监管的真实性、时效性的同时达到监管惩戒和推动辖区组织机构提升安全水位的效果。
响应处理单元可将网络安全威胁信息、分析结果、安全策略建议等同步和共享给行业联盟和第三方组织,获取来自来于行业联盟与第三方组织共享的网络安全信息、安全策略建议。对于本组织而言,可以输出本组织的安全智慧,提升本组织及安全人员在业内的安全地位,同时可以获取相关网络安全信息,以开展预防性工作,将网络安全威胁对本组织的影响降到最低,减少网络安全威胁给本组织带来的损失。对于行业和第三方组织而言,可以借鉴参考优秀组织经验,获取网络安全相关信息,开展相关预防性和纠正性措施,降低网络安全威胁带来的损失和影响。还可以促进行业的安全知识与智慧的积累,推进行业整体安全水平发展。
优选的,所述取证单元接收到响应处理单元发送的证据调阅指令后能够通过展示交互单元展示调阅证据以便于用户获取实时信息。
本发明还提出了一种网络安全威胁处理方法,包括如下步骤:
S1、检测防护单元监测网络安全、网络通讯安全,能够接收网络通讯发起方主体发起的网络通讯行为;
S2、检测防护单元识别网络通讯行为是否为网络安全威胁,在未识别为网络安全威胁的通讯行为则正常放行,在识别为网络安全威胁的通讯行则进行导流和威胁行为维持;
S3、分析单元接收来自检测防护单元上传的网络空间信息并进行安全分析;
分析单元将分析出结果后给出安全策略并驱动响应处理单元作出响应处理决策;
S4、响应处理单元接收分析单元的分析结果,接收分析单元同步过来的网络安全威胁信息、网络安全威胁分析结果与安全策略建议;
S5、响应处理单元收到分析结果后发出响应处理策略指令并传输给分析单元,分析单元收到响应处理策略指令后驱动检测防护单元执行响应处理策略指令;
响应处理单元上传安全响应处理策略指令、日志信息记录至取证单元或发送证据调阅指令至取证单元调阅证据;
S6、检测防护单元接收分析单元下发的最终响应处理策略指令、分析后的安全状态与策略有效性信息后,并执行响应处理策略指令;
S7、取证单元记录、获取、管理检测防护单元、分析单元、响应处理单元产生的网络空间信息、记录、策略与指令的电子证据。
在网络通讯过程中,检测防护单元一旦发现有网络安全威胁,立即主动将已发现的网络安全威胁进行导流与威胁行为保持,确保其威胁攻击行为的继续,并实时将维持的威胁攻击行为记录和信息同步给取证单元进行实时取证。该方法在获取更多的威胁信息和证据的同时还不易被入侵者发现。该方法对资源的利用率高,有网络安全威胁时进行威胁维持,无威胁时资源自动释放。
优选的,步骤S2具体包括如下步骤:
S11、按照预定义的安全策略对威胁主体进行内部封禁,禁止其访问目的客体;
S12、主动对威胁主体开展符合法律规定的取证扫描,以获取更多关于威胁主体的必要信息包括不限于以下信息:IP地址、端口、行为、状态、经纬度、所在地理位置、时间、访问次数、威胁次数,以便后续对网络通讯进行网络安全威胁建模分析,识别并处置潜在的网络安全威胁;
S13、对已识别的网络安全威胁进行导流与威胁维持,确保其威胁攻击行为的继续,以便获取更多的威胁信息和证据;
S14、上传包括网络安全威胁行为、日志信息、响应处置记录、取证扫描的各类信息至取证单元进行统一的证据记录和管理;
S15、将网络安全威胁信息、主动取证扫描信息、威胁维持信息、日志信息、处置记录上传至分析单元进行安全分析;
S16、检测防护单元将网络安全威胁信息、处置记录信息展示至展示交互单元。
优选的,步骤S3具体包括如下步骤:
S31、将访问主体IP地址、端口、行为、状态、经纬度、所在地理位置、时间、访问次数、威胁次数的有关网络空间信息进行网络安全威胁建模分析,识别和挖掘网络安全威胁,并给出安全策略建议;
S32、将安全威胁分析后的结果,同步给响应处理单元进行响应处理决策;
S33、将安全威胁分析结果、日志信息实时上传至取证单元;
S34、将安全威胁分析结果、安全策略建议信息通过展示交互单元进行展示,以供用户查看与决策。
优选的,步骤S4具体包括如下步骤:
S41、将预定义安全策略信息通过展示交互单元进行展示;
S42、将网络安全威胁信息、分析结果同步给监管机构进行违法行为确认与监管上报,获取监管机构针对网络安全威胁主体和行为的违法认定与监管布控策略;
S43、将网络安全威胁信息、分析结果、安全策略建议同步和共享给行业联盟组织和第三方组织、机构;
S44、获取行业联盟组织和第三方组织、机构共享的网络安全威胁信息、安全策略建议;
S45、获取来自于展示交互单元的用户定制策略、来自于监管机构的监管布控策略、来自于行业联盟组织与第三方组织机构共享安全策略;
S46、按照获取的安全策略下发响应处理策略指令;
S47、上传响应处理策略指令、日志信息信息至取证单元;
S48、下发响应处理策略指令给分析单元进行策略指令分析。
优选的,步骤S5具体包括如下步骤:
S51、分析网络安全威胁执行响应处理策略指令后的安全状态和策略有效性,并将分析结果同步给响应处理单元进行响应处理决策;如分析结果确认响应处理策略指令一致,则将分析结果及一致性情况同步给响应处理单元;如分析结果与响应处理策略指令有差异,则给出分析结果和差异情况,并将分析建议同步给响应处理单元再次进行响应处理决策;
S52、将最终的响应处理策略指令、分析后的安全状态与策略有效性信息下发和同步给检测防护单元,驱动检测防护单元执行响应处理策略指令;
S53、将最终的响应处理策略指令、分析结果、日志信息上传至取证单元;
S54、将最终的响应处理策略指令、分析结果信息通过展示交互单元进行展示。
优选的,步骤S6具体包括如下步骤:
S61、按照响应处理策略指令执行响应处理,并监测执行过程,验证策略有效性和安全状态,给出执行和验证结果;
S62、将响应处理策略指令的执行和验证结果同步给分析单元,进行分析确认,驱动分析单元更新分析模型;
S63、驱动展示交互单元更新相关网络通讯行为的网络安全状态、威胁情况、处置情况;
S64、将响应处理策略指令、执行过程信息、执行结果、验证结果、日志信息上传至取证单元。
优选的,步骤S7具体包括如下步骤:
S71、接收来自于上述检测防护单元、分析单元、响应处理单元的信息和数据,并按照要求的格式进行电子证据格式化;
S72、接收响应处理单元通过展示交互单元下发的证据调阅指令,提取证据展示在展示交互单元以供查阅。
本发明通过将网络安全威胁处理生命周期的检测识别、分析、响应、取证、联动、处置、有效性检测、上报监管、行业共享等各环节阶段进行了有机结合和系统化设计,实现了面向网络安全威胁全生命周期的自动化网络安全威胁处理系统与装置。降低了企业对于网络安全投入的成本,安全人员也不用再需要运维各类复杂的安全产品,基于网络行为识别的机制提高网络空间安全威胁的检测识别能力和准确度,实时自动化的处理机制大大压缩了安全响应处理时间。
本发明与现有技术相比较具有如下有益效果:
1.自动化、一体化面向网络安全威胁生命周期的网络安全威胁处理机制,极大的提高的网络安全响应处理的效率,提高了资源的利用率,减少了成本投入,降低了人为失误和差异。
2.基于网络行为加上事中检测加上威胁维持加上建模分析的网络安全威胁检测识别,有效提高了网络安全威胁检测的能力,降低了网络安全威胁的误报和漏报。
3.全过程、事中的电子取证,保证了证据的时效性,丰富了传统网络空间领域的取证方式,取证内容更丰富,可重现威胁攻击过程形成完整地证据链,也实现了从单一主机终端的取证扩展至整个网络空间取证。
4.实时上报监管机构进行网络违法行为认定与确认,获取监管布控策略,紧密的与监管机构保持良好的监管沟通,有力的借助了监管资源,获取监管授权来更好更合法且进一步的开展安全处置工作。
5.与行业联盟、第三方组织机构建立网络安全威胁信息共享机制,既可输出本组织的安全智慧,提升本组织及安全人员在行业内的安全地位,同时可以获取外部共享的信息,开展预防性措施,减少安全威胁带来的损失与影响,促进行业的安全知识积累与智慧的增长。
6.可持续分析和验证安全策略可有效对安全策略执行过程进行监控,对结果进行验证与确认,可根据网络空间的动态变化实时自动化的优化调整安全策略。始终确保安全策略的有效性和动态调整。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明的一种网络安全威胁处理系统的部分原理示意图;
图2为本发明的一种网络安全威胁处理系统的原理示意图;
图3为本发明的一种网络安全威胁处理系统的部分单元连接方式及工作内容示意图;
图4为本发明的一种网络安全威胁处理系统的各个单元连接方式及工作内容示意图;
图5为本发明的一种网络安全威胁处理方法的步骤示意图。
其中,图中所示检测防护单元1、分析单元2、响应处理单元3、取证单元4、展示交互单元5。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明提出了一种网络安全威胁处理系统,包括检测防护单元1、分析单元2、响应处理单元3、取证单元4;所述检测防护单元1用于识别网络安全威胁后能够进行导流和威胁行为维持,所述检测防护单元1能够上传网络空间信息至分析单元2,同时能够上传网络空间信息和已识别的网络安全威胁信息至取证单元4;所述检测防护单元1对网络安全威胁的导流和威胁行为维持能够辅助分析单元2分析威胁行为以及辅助取证单元4取证;所述检测防护单元1能够对网络安全威胁进行处置;所述分析单元2用于接收来自检测防护单元1上传的网络空间信息并进行安全分析,分析单元2分析出结果后能够给出安全策略建议并驱动响应处理单元3作出响应处理决策,所述分析单元2能够上传安全分析结果、安全策略、日志信息记录至取证单元4;所述响应处理单元3用于接收分析单元2的分析结果,响应处理单元3收到分析结果后能够发出响应处理策略指令并传输到分析单元2,分析单元2收到响应处理策略指令后能够驱动检测防护单元1执行响应处理策略指令;所述响应处理单元3能够上传安全响应处理策略指令、日志信息记录至取证单元4或发送证据调阅指令至取证单元4调阅证据;所述取证单元4用于记录、获取、管理检测防护单元1、分析单元2、响应处理单元3产生的网络空间信息、记录、策略与指令的电子证据。
本发明所有组成单元均与取证单元4连接,可以对网络安全威胁、安全策略、响应处理记录、日志信息以及其它相关的知识和信息进行了全量全过程的电子取证;支持通过区块链的方式建立证据链库,保证电子证据的完整性、隐私保护性等;并且本系统支持主动定向取证,在响应处理单元3获取监管机构对组织上报的网络空间违法犯罪行为认定后,在符合法律要求的前提下,主动对网络安全威胁来源主体开展主动取证扫描,获取更多必要的网络安全威胁主体信息;本电子取证方法不需要针对主机终端进行侵入式的暴力取证,只需要对网络通讯过程中的网络行为和网络通讯双方的网络空间信息(如IP地址、端口、域名、物理位置等)进行信息获取并结合本发明的其他信息来实现取证的目的,同时能形成相对完善的证据链,而建立证据链库,能够使其中的电子证据时序性、完整性、隐私保护性得到保障,该证据链库包括但不限于网络流量、POC、数据指纹、文件等,在此基础上使用了一定的摘要、压缩使其在满足法制证据要求的前提下,降低资源消耗。该取证方法既有利于违法犯罪行为后续的举证与处置,又能非常清晰地证明受害客体在第一时间采取的安全措施,明析安全责任。该方法可以重现整个威胁攻击过程,形成较为完整地证据链和响应知识库,相关电子证据不但可以用于外部监管、司法裁决,也可以用于组织内部安全应急响应知识的积累和安全整改总结。
本发明将网络安全威胁的检测、响应与取证能力一体化,一旦发现网络安全威胁便同步开展响应与取证工作,为后续的违法行为确认,网络安全事件立案侦查、监管机构监管调查以及网络安全保险理赔提供证据。
本发明对于网络安全威胁的检测识别是基于网络通讯行为,并通过网络通讯双方的必要信息(包括不限于以下信息:IP地址、端口、行为、状态、经纬度、所在地理位置、时间、访问次数等)进行建模分析,识别网络安全威胁。由于本发明的网络安全威胁检测是基于事中的开展,检测耗时短,成本低。同时了结合网络空间常见的信息来进行深度安全分析,极大的提高了网络安全威胁的检测识别能力。该方法可有效适应当前瞬息万变的网络空间。
所述响应处理单元3与监管机构进行网络违法行为确认,并接收监管布控策略;所述响应处理单元3还能与行业联盟组织、第三方组织机构进行信息共享,接收安全策略建议。
本发明提出了面向监管机构、行业联盟组织以及第三方组织的网络安全威胁信息上报与共享机制与接口。共建网络安全生态,积累安全知识,提升整个行业,整个网络空间安全智慧的发展。
响应处理单元3会实时将网络安全威胁信息、安全分析结果等信息实时同步给监管机构进行违法行为确认与监管上报,获取监管机构针对网络安全威胁主体和行为的违法认定与监管布控策略。对于本系统而言,既可以获取网络安全威胁的违法行为事实认定,为后续开展相关取证、处置工作提供依据,又可以通过监管机构下发的监管布控策略针对已有和潜在的网络安全威胁开展预防性和纠正性的响应处理工作,同时还能够将本组织所做的安全保障工作情况进行展示,获取监管支持与指导,避免日常安全保障工作存在合规与安全风险,提高了组织网络安全及合规水准和安全应急响应能力。对于监管机构而言,丰富了网络安全监管手段,加强了对辖区各组织机构的网络安全监管,大大提高了网络安全的监管效率,改变了以往网络监管机构需要定期投入大量人力针对辖区组织机构现场开展安全检查来获取辖区组织的安全状态的情况。监管机构可以通过本监管机制向组织机构下发监管布控策略,获取组织的安全状态与监管完成情况,形成动态监管清单,有利于监管的真实性、时效性的同时达到监管惩戒和推动辖区组织机构提升安全水位的效果。
响应处理单元3可将网络安全威胁信息、分析结果、安全策略建议等同步和共享给行业联盟和第三方组织,获取来自来于行业联盟与第三方组织共享的网络安全信息、安全策略建议。对于本组织而言,可以输出本组织的安全智慧,提升本组织及安全人员在业内的安全地位,同时可以获取相关网络安全信息,以开展预防性工作,将网络安全威胁对本组织的影响降到最低,减少网络安全威胁给本组织带来的损失。对于行业和第三方组织而言,可以借鉴参考优秀组织经验,获取网络安全相关信息,开展相关预防性和纠正性措施,降低网络安全威胁带来的损失和影响。还可以促进行业的安全知识与智慧的积累,推进行业整体安全水平发展。
本发明还提出了一种网络安全威胁处理方法,包括如下步骤:
S1、检测防护单元1监测网络安全、网络通讯安全,能够接收网络通讯发起方主体发起的网络通讯行为;
S2、检测防护单元1识别网络通讯行为是否为网络安全威胁,在未识别为网络安全威胁的通讯行为则正常放行,在识别为网络安全威胁的通讯行则进行导流和威胁行为维持;
S3、分析单元2接收来自检测防护单元1上传的网络空间信息并进行安全分析;
分析单元2将分析出结果后给出安全策略并驱动响应处理单元3作出响应处理决策;
S4、响应处理单元3接收分析单元2的分析结果,接收分析单元2同步过来的网络安全威胁信息、网络安全威胁分析结果与安全策略建议;
S5、响应处理单元3收到分析结果后发出响应处理策略指令并传输给分析单元2,分析单元2收到响应处理策略指令后驱动检测防护单元1执行响应处理策略指令;
响应处理单元3上传安全响应处理策略指令、日志信息记录至取证单元4或发送证据调阅指令至取证单元4调阅证据;
S6、检测防护单元1接收分析单元2下发的最终响应处理策略指令、分析后的安全状态与策略有效性信息后,并执行响应处理策略指令;
S7、取证单元4记录、获取、管理检测防护单元1、分析单元2、响应处理单元3产生的网络空间信息、记录、策略与指令的电子证据。
该方法的核心内容在于包括以下的过程:
(1)网络安全威胁识别检测过程:分析单元2对检测防护单元1上传的网络安全威胁信息、主动取证扫描信息、威胁维持信息、日志信息、处置记录等信息进行网络安全威胁建模分析,识别和挖掘网络安全威胁,并给出安全策略建议。
(2)网络安全威胁分析决策过程:分析单元2会针对响应处理单元3给出的响应处理策略指令进行网络安全威胁执行响应处理策略指令后的安全状态和策略有效性,并将分析结果同步给响应处理单元3进行响应处理决策;如分析结果与响应处理策略指令一致,则将分析结果及一致性情况同步给响应处理单元3;如分析结果与响应处理策略指令有差异,则给出分析结果和差异情况,并将分析建议同步给响应处理单元3再次进行响应处理决策。
(3)网络安全威胁处理响应过程:分析单元2将最终的响应处理策略指令、分析后的安全状态与策略有效性信息下发和同步给检测防护单元1,驱动检测防护单元1执行响应处理策略指令;检测防护单元1按照响应处理策略指令执行响应处理,并监测执行过程,持续验证策略有效性和安全状态,给出策略执行、策略有效性验证结果和安全状态。
该方法能对安全策略执行过程的有效性监控,对执行的结果进行验证与确认。确保过程的可控性和结果的真实性和有效性,可以不断地根据网络空间的动态变化实时自动优化调整安全策略。提高效率的同时也避免了因安全人员的经验与技能参差不齐导致安全策略的不合理而导致网络安全事件。
实施例一、如图1、图3、图5所示,当网络通讯发起方(主体)发起网络通讯时,检测防护单元1对网络通讯行为进行安全性识别,在未识别为网络安全威胁的通讯行为则正常放行,在识别为网络安全威胁的通讯行为时按照预定义的安全策略对威胁主体进行内部封禁,禁止其访问网络通讯接收方(客体),随后对该通讯行为进行导流与威胁维持,确保其威胁攻击行为的继续,以便获取更多的威胁信息和证据,并主动对威胁主体开展符合法律规定的取证扫描,以获取更多关于威胁主体的必要信息(包括不限于以下信息:IP地址、端口、行为、状态、经纬度、所在地理位置、时间、访问次数、威胁次数等),以便后续对网络通讯进行网络安全威胁建模分析,识别并处置潜在的网络安全威胁;上传包括网络安全威胁行为、日志信息、响应处置记录、取证扫描信息等各类信息至取证单元4进行统一的证据记录和管理,上传网络安全威胁信息、主动取证扫描信息、威胁维持信息、日志信息、处置记录等至分析单元2进行安全分析;分析单元2接收到来自检测防护单元1上传的网络空间信息后开始进行安全性分析,首先分析单元2将访问主体的IP地址、端口、行为、状态、经纬度、所在地理位置、时间、访问次数、威胁次数等网络空间信息进行网络安全威胁建模分析,识别和挖掘网络安全威胁,并给出安全策略建议,随后将安全威胁分析后的结果,同步给响应处理单元3进行响应处理决策,同时将安全威胁分析结果、日志信息等实时上传至取证单元4;响应处理单元3接收分析单元2的分析结果,以及接收分析单元2同步过来的网络安全威胁信息、网络安全威胁分析结果与安全策略建议后将网络安全威胁信息、分析结果等同步给监管机构进行违法行为确认与监管上报,获取监管机构针对网络安全威胁主体和行为的违法认定与监管布控策略,同时将网络安全威胁信息、分析结果、安全策略建议等同步和共享给行业联盟组织和第三方组织、机构以获取行业联盟组织和第三方组织、机构共享的网络安全威胁信息、安全策略建议,随后按照获取的安全策略下发响应处理策略指令到分析单元2,分析单元2接收响应处理单元3下发的响应处理策略指令后开始分析网络安全威胁执行响应处理策略指令的安全状态和策略有效性,并将分析结果同步给响应处理单元3进行响应处理决策,如分析结果确认响应处理策略指令一致,则将分析结果及一致性情况同步给响应处理单元3,如分析结果与响应处理策略指令有差异,则给出分析结果和差异情况,并将分析建议同步给响应处理单元3再次进行响应处理决策,分析单元2将最终识别为安全有效的响应处理策略指令下发给检测防护单元1,并驱动检测防护单元1执行响应处理策略指令,随后上传最终的响应处理策略指令、分析结果、日志信息等至取证单元4;检测防护单元1接收分析单元下发的最终响应处理策略指令、分析后的安全状态与策略有效性信息后,按照响应处理策略指令执行响应处理,并监测执行过程,验证策略有效性和安全状态,给出执行和验证结果,随后将响应处理策略指令的执行和验证结果同步给分析单元2,进行分析确认,驱动分析单元2更新分析模,同时将响应处理策略指令、执行过程信息、执行结果、验证结果、日志信息等上传至取证单元4.取证单元4在网络安全威胁检测、响应与取证过程中接收来自于本发明系统各单元的信息和数据,并按照符合法律要求的格式进行电子证据格式化。
本发明的一种网络安全威胁处理系统还包括展示交互单元5;所述展示交互单元5用于提供交互界面以展示、调取检测防护单元1、分析单元2、响应处理单元3以及取证单元4的相关信息和记录;所述检测防护单元1能够将网络空间通讯记录及已识别的网络安全威胁信息展示在展示交互单元5;所述分析单元2能够将安全状态分析结果和安全策略通过展示交互单元5进行展示;所述分析单元2能够接收来自展示交互单元5的指令、策略、分析模型;所述展示交互单元5能够控制响应处理单元3向取证单元4发出取证指令。
展示交互单元5用于给用户提供交互界面展示、调取检测防护单元1、分析单元2、响应处理单元3以及取证单元4的相关信息和记录。提供用户交互界面开展策略变更与下发。
实施例二、如图2、图4、图5所示,当网络通讯发起方(主体)发起网络通讯时,检测防护单元1对网络通讯行为进行安全性识别,在未识别为网络安全威胁的通讯行为则正常放行,在识别为网络安全威胁的通讯行为时按照预定义的安全策略对威胁主体进行内部封禁,禁止其访问网络通讯接收方(客体),随后对该通讯行为进行导流与威胁维持,确保其威胁攻击行为的继续,以便获取更多的威胁信息和证据,并主动对威胁主体开展符合法律规定的取证扫描,以获取更多关于威胁主体的必要信息(包括不限于以下信息:IP地址、端口、行为、状态、经纬度、所在地理位置、时间、访问次数、威胁次数等),以便后续对网络通讯进行网络安全威胁建模分析,识别并处置潜在的网络安全威胁;上传包括网络安全威胁行为、日志信息、响应处置记录、取证扫描信息等各类信息至取证单元4进行统一的证据记录和管理,上传网络安全威胁信息、处置记录等信息展示至展示交互单元5,上传网络安全威胁信息、主动取证扫描信息、威胁维持信息、日志信息、处置记录等至分析单元2进行安全分析;分析单元2接收到来自检测防护单元1上传的网络空间信息后开始进行安全性分析,首先分析单元2将访问主体的IP地址、端口、行为、状态、经纬度、所在地理位置、时间、访问次数、威胁次数等网络空间信息进行网络安全威胁建模分析,识别和挖掘网络安全威胁,并给出安全策略建议,随后将安全威胁分析后的结果,同步给响应处理单元3进行响应处理决策,同时将安全威胁分析结果、日志信息等实时上传至取证单元4,将安全威胁分析结果、安全策略建议等信息通过展示交互单元5进行展示,以供用户查看与决策;响应处理单元3接收分析单元2的分析结果,以及接收分析单元2同步过来的网络安全威胁信息、网络安全威胁分析结果与安全策略建议后将预定义安全策略等信息通过展示交互单元进行展示,随后将网络安全威胁信息、分析结果等同步给监管机构进行违法行为确认与监管上报,获取监管机构针对网络安全威胁主体和行为的违法认定与监管布控策略,同时将网络安全威胁信息、分析结果、安全策略建议等同步和共享给行业联盟组织和第三方组织、机构以获取行业联盟组织和第三方组织、机构共享的网络安全威胁信息、安全策略建议,同时获取来自于展示交互单元5的用户定制策略,随后按照获取的安全策略下发响应处理策略指令到分析单元2,分析单元2接收响应处理单元3下发的响应处理策略指令后开始分析网络安全威胁执行响应处理策略指令的安全状态和策略有效性,并将分析结果同步给响应处理单元3进行响应处理决策,如分析结果确认响应处理策略指令一致,则将分析结果及一致性情况同步给响应处理单元3,如分析结果与响应处理策略指令有差异,则给出分析结果和差异情况,并将分析建议同步给响应处理单元3再次进行响应处理决策,分析单元2将最终识别为安全有效的响应处理策略指令下发给检测防护单元1,并驱动检测防护单元1执行响应处理策略指令,随后上传最终的响应处理策略指令、分析结果、日志信息等至取证单元4,同时上传最终的响应处理策略指令、分析结果等信息通过展示交互单元5进行展示;检测防护单元1接收分析单元下发的最终响应处理策略指令、分析后的安全状态与策略有效性信息后,按照响应处理策略指令执行响应处理,并监测执行过程,验证策略有效性和安全状态,给出执行和验证结果,随后将响应处理策略指令的执行和验证结果同步给分析单元2,进行分析确认,驱动分析单元2更新分析模,同时驱动展示交互单元5更新相关网络通讯行为的网络安全状态、威胁情况、处置情况等,最后将响应处理策略指令、执行过程信息、执行结果、验证结果、日志信息等上传至取证单元4,取证单元4在网络安全威胁检测、响应与取证过程中接收来自于本发明系统各单元的信息和数据,并按照符合法律要求的格式进行电子证据格式化。
当然,以上所述仅为本发明的具体实施例而已,并非来限制本发明实施范围,凡依本发明申请专利范围所述构造、特征及原理所做的等效变化或修饰,均应包括于本发明申请专利范围内。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (14)
1.一种网络安全威胁处理系统,其特征在于,包括检测防护单元(1)、分析单元(2)、响应处理单元(3)、取证单元(4);
所述检测防护单元(1)用于识别网络安全威胁后能够进行导流和威胁行为维持,所述检测防护单元(1)能够上传网络空间信息至分析单元(2),同时能够上传网络空间信息和已识别的网络安全威胁信息至取证单元(4);所述检测防护单元(1)对网络安全威胁的导流和威胁行为维持能够辅助分析单元(2)分析威胁行为以及辅助取证单元(4)取证;所述检测防护单元(1)能够对网络安全威胁进行处置;
所述分析单元(2)用于接收来自检测防护单元(1)上传的网络空间信息并进行安全分析,分析单元(2)分析出结果后能够给出安全策略建议并驱动响应处理单元(3)作出响应处理决策,所述分析单元(2)能够上传安全分析结果、安全策略、日志信息记录至取证单元(4);
所述响应处理单元(3)用于接收分析单元(2)的分析结果,响应处理单元(3)收到分析结果后能够发出响应处理策略指令并传输到分析单元(2),分析单元(2)收到响应处理策略指令后能够驱动检测防护单元(1)执行响应处理策略指令;所述响应处理单元(3)能够上传安全响应处理策略指令、日志信息记录至取证单元(4)或发送证据调阅指令至取证单元(4)调阅证据;
所述取证单元(4)用于记录、获取、管理检测防护单元(1)、分析单元(2)、响应处理单元(3)产生的网络空间信息、记录、策略与指令的电子证据;
分析单元(2)分析网络安全威胁执行响应处理策略指令后的安全状态和策略有效性,并将分析结果同步给响应处理单元(3)进行响应处理决策;如分析结果确认响应处理策略指令一致,则将分析结果及一致性情况同步给响应处理单元(3);如分析结果与响应处理策略指令有差异,则给出分析结果和差异情况,并将分析建议同步给响应处理单元(3)再次进行响应处理决策;
将最终的响应处理策略指令、分析后的安全状态与策略有效性信息下发和同步给检测防护单元(1),驱动检测防护单元(1)执行响应处理策略指令;
将最终的响应处理策略指令、分析结果、日志信息上传至取证单元(4);
将最终的响应处理策略指令、分析结果信息通过展示交互单元(5)进行展示。
2.根据权利要求1所述的一种网络安全威胁处理系统,其特征在于,还包括展示交互单元(5);
所述展示交互单元(5)用于提供交互界面以展示、调取检测防护单元(1)、分析单元(2)、响应处理单元(3)以及取证单元(4)的相关信息和记录;
所述检测防护单元(1)能够将网络空间通讯记录及已识别的网络安全威胁信息展示在展示交互单元(5);
所述分析单元(2)能够将安全状态分析结果和安全策略通过展示交互单元(5)进行展示;
所述分析单元(2)能够接收来自展示交互单元(5)的指令、策略、分析模型;
所述展示交互单元(5)能够控制响应处理单元(3)向取证单元(4)发出取证指令。
3.根据权利要求1或2所述的一种网络安全威胁处理系统,其特征在于,所述检测防护单元(1)包含网络安全威胁行为特征知识库,并且能够通过网络安全威胁行为特征知识库识别网络安全威胁;
所述检测防护单元(1)包含业务模拟的功能,所述检测防护单元(1)还包含网络安全威胁的识别、安全检测、安全防护、威胁导流与攻击维持、扫描取证的功能;
所述检测防护单元(1)能够标记网络安全风险等级。
4.根据权利要求1或2所述的一种网络安全威胁处理系统,其特征在于,所述分析单元(2)接收来自响应处理单元(3)的处理指令后,能够对处理指令结合安全威胁信息进行安全分析给出分析结果,并将处理指令与安全威胁信息综合分析后的分析结果下发至检测防护单元(1),检测防护单元(1)收到最终分析结果后能够实施安全响应动作。
5.根据权利要求1或2所述的一种网络安全威胁处理系统,其特征在于,所述响应处理单元(3)能够接收展示交互单元(5)下发的交互指令,并开展安全响应处理,同时响应处理单元(3)能够将响应处理策略指令、记录的信息同步展示在展示交互界面。
6.根据权利要求1或2所述的一种网络安全威胁处理系统,其特征在于,所述响应处理单元(3)能够接收来自分析单元(2)的安全分析结果、安全策略,并实施自动化的安全响应处理;
所述响应处理单元(3)能够将安全响应处理以指令的形式传输回分析单元(2),以便分析单元(2)结合网络安全威胁信息来分析响应处理策略指令的合理性,给出最终的安全策略。
7.根据权利要求1或2所述的一种网络安全威胁处理系统,其特征在于,所述响应处理单元(3)与监管机构进行网络违法行为确认,并接收监管布控策略;
所述响应处理单元(3)还能与行业联盟组织、第三方组织机构进行信息共享,接收安全策略建议。
8.根据权利要求1或2所述的一种网络安全威胁处理系统,其特征在于,所述取证单元(4)接收到响应处理单元(3)发送的证据调阅指令后能够通过展示交互单元(5)展示调阅证据。
9.一种网络安全威胁处理方法,其特征在于,包括如下步骤:
S1、检测防护单元(1)监测网络安全、网络通讯安全,能够接收网络通讯发起方即主体发起的网络通讯行为;
S2、检测防护单元(1)识别网络通讯行为是否为网络安全威胁,在未识别为网络安全威胁的通讯行为则正常放行,在识别为网络安全威胁的通讯行则进行导流和威胁行为维持;
S3、分析单元(2)接收来自检测防护单元(1)上传的网络空间信息并进行安全分析;
分析单元(2)将分析出结果后给出安全策略并驱动响应处理单元(3)作出响应处理决策;
S4、响应处理单元(3)接收分析单元(2)的分析结果,接收分析单元同步过来的网络安全威胁信息、网络安全威胁分析结果与安全策略建议;
S5、响应处理单元(3)收到分析结果后发出响应处理策略指令并传输给分析单元(2),分析单元(2)收到响应处理策略指令后驱动检测防护单元(1)执行响应处理策略指令;
响应处理单元(3)上传安全响应处理策略指令、日志信息记录至取证单元(4)或发送证据调阅指令至取证单元(4)调阅证据;
S6、检测防护单元(1)接收分析单元(2)下发的最终响应处理策略指令、分析后的安全状态与策略有效性信息后,并执行响应处理策略指令;
S7、取证单元(4)记录、获取、管理检测防护单元(1)、分析单元(2)、响应处理单元(3)产生的网络空间信息、记录、策略与指令的电子证据;
步骤S5具体包括如下步骤:
S51、分析网络安全威胁执行响应处理策略指令后的安全状态和策略有效性,并将分析结果同步给响应处理单元(3)进行响应处理决策;如分析结果确认响应处理策略指令一致,则将分析结果及一致性情况同步给响应处理单元(3);如分析结果与响应处理策略指令有差异,则给出分析结果和差异情况,并将分析建议同步给响应处理单元(3)再次进行响应处理决策;
S52、将最终的响应处理策略指令、分析后的安全状态与策略有效性信息下发和同步给检测防护单元(1),驱动检测防护单元(1)执行响应处理策略指令;
S53、将最终的响应处理策略指令、分析结果、日志信息上传至取证单元(4);
S54、将最终的响应处理策略指令、分析结果信息通过展示交互单元(5)进行展示。
10.根据权利要求9所述的一种网络安全威胁处理方法,其特征在于,步骤S2具体包括如下步骤:
S11、按照预定义的安全策略对威胁主体进行内部封禁,禁止其访问目的客体;
S12、主动对威胁主体开展符合法律规定的取证扫描,以获取更多关于威胁主体的必要信息,包括IP地址、端口、行为、状态、经纬度、所在地理位置、时间、访问次数、威胁次数,以便后续对网络通讯进行网络安全威胁建模分析,识别并处置潜在的网络安全威胁;
S13、对已识别的网络安全威胁进行导流与威胁维持,确保其威胁攻击行为的继续,以便获取更多的威胁信息和证据;
S14、上传包括网络安全威胁行为、日志信息、响应处置记录、取证扫描的各类信息至取证单元(4)进行统一的证据记录和管理;
S15、将网络安全威胁信息、主动取证扫描信息、威胁维持信息、日志信息、处置记录上传至分析单元(2)进行安全分析;
S16、检测防护单元(1)将网络安全威胁信息、处置记录信息展示至展示交互单元(5)。
11.根据权利要求9所述的一种网络安全威胁处理方法,其特征在于,步骤S3具体包括如下步骤:
S31、将访问主体IP地址、端口、行为、状态、经纬度、所在地理位置、时间、访问次数、威胁次数的有关网络空间信息进行网络安全威胁建模分析,识别和挖掘网络安全威胁,并给出安全策略建议;
S32、将安全威胁分析后的结果,同步给响应处理单元(3)进行响应处理决策;
S33、将安全威胁分析结果、日志信息实时上传至取证单元(4);
S34、将安全威胁分析结果、安全策略建议信息通过展示交互单元(5)进行展示。
12.根据权利要求9所述的一种网络安全威胁处理方法,其特征在于,步骤S4具体包括如下步骤:
S41、将预定义安全策略信息通过展示交互单元(5)进行展示;
S42、将网络安全威胁信息、分析结果同步给监管机构进行违法行为确认与监管上报,获取监管机构针对网络安全威胁主体和行为的违法认定与监管布控策略;
S43、将网络安全威胁信息、分析结果、安全策略建议同步和共享给行业联盟组织和第三方组织、机构;
S44、获取行业联盟组织和第三方组织、机构共享的网络安全威胁信息、安全策略建议;
S45、获取来自于展示交互单元(5)的定制策略、来自于监管机构的监管布控策略、来自于行业联盟组织与第三方组织机构共享安全策略;
S46、按照获取的安全策略下发响应处理策略指令;
S47、上传响应处理策略指令、日志信息信息至取证单元(4);
S48、下发响应处理策略指令给分析单元(2)进行策略指令分析。
13.根据权利要求9所述的一种网络安全威胁处理方法,其特征在于,步骤S6具体包括如下步骤:
S61、按照响应处理策略指令执行响应处理,并监测执行过程,验证策略有效性和安全状态,给出执行和验证结果;
S62、将响应处理策略指令的执行和验证结果同步给分析单元(2),进行分析确认,驱动分析单元(2)更新分析模型;
S63、驱动展示交互单元(5)更新相关网络通讯行为的网络安全状态、威胁情况、处置情况;
S64、将响应处理策略指令、执行过程信息、执行结果、验证结果、日志信息上传至取证单元(4)。
14.根据权利要求9所述的一种网络安全威胁处理方法,其特征在于,步骤S7具体包括如下步骤:
S71、接收来自于上述检测防护单元(1)、分析单元(2)、响应处理单元(3)的信息和数据,并按照要求的格式进行电子证据格式化;
S72、接收响应处理单元通过展示交互单元(5)下发的证据调阅指令,提取证据展示在展示交互单元(5)以供查阅。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210681840.3A CN115118469B (zh) | 2022-06-15 | 2022-06-15 | 一种网络安全威胁处理系统及其处理方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210681840.3A CN115118469B (zh) | 2022-06-15 | 2022-06-15 | 一种网络安全威胁处理系统及其处理方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115118469A CN115118469A (zh) | 2022-09-27 |
CN115118469B true CN115118469B (zh) | 2024-03-19 |
Family
ID=83327613
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210681840.3A Active CN115118469B (zh) | 2022-06-15 | 2022-06-15 | 一种网络安全威胁处理系统及其处理方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115118469B (zh) |
Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101283539A (zh) * | 2005-10-05 | 2008-10-08 | 拜尔斯安全公司 | 网络安全设备 |
IL258345A (en) * | 2018-03-25 | 2018-05-31 | B G Negev Technologies And Applications Ltd At Ben Gurion Univ – 907553 | A rapid framework for ensuring cyber protection, inspired by biological systems |
GB201818551D0 (en) * | 2018-11-14 | 2018-12-26 | F Secure Corp | Threat control method and system |
CN110990830A (zh) * | 2019-12-12 | 2020-04-10 | 国网新疆电力有限公司信息通信公司 | 终端取证溯源系统及方法 |
CN111010384A (zh) * | 2019-12-07 | 2020-04-14 | 杭州安恒信息技术股份有限公司 | 一种物联网终端自我安全防御系统及其安全防御方法 |
CN112039865A (zh) * | 2020-08-26 | 2020-12-04 | 北京计算机技术及应用研究所 | 一种威胁驱动的网络攻击检测与响应方法 |
CN112398823A (zh) * | 2020-11-03 | 2021-02-23 | 内蒙古电力(集团)有限责任公司内蒙古电力科学研究院分公司 | 基于大数据分析的网络信息安全预警平台 |
US11159576B1 (en) * | 2021-01-30 | 2021-10-26 | Netskope, Inc. | Unified policy enforcement management in the cloud |
CN113903141A (zh) * | 2021-11-18 | 2022-01-07 | 贵州电网有限责任公司 | 变配电房及室外变压器场景异常事件识别分析报警系统 |
CN113901450A (zh) * | 2021-09-18 | 2022-01-07 | 中国电子信息产业集团有限公司第六研究所 | 一种工业主机终端安全防护系统 |
CN114003918A (zh) * | 2021-10-30 | 2022-02-01 | 平安国际智慧城市科技股份有限公司 | 一种云安全运营方法、装置、电子设备以及存储介质 |
CN114070629A (zh) * | 2021-11-16 | 2022-02-18 | 南京南瑞信息通信科技有限公司 | 针对apt攻击的安全编排与自动化响应方法、装置及系统 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10614689B2 (en) * | 2017-09-07 | 2020-04-07 | Ridgewood Technology Partners, LLC | Methods and systems for using pattern recognition to identify potential security threats |
-
2022
- 2022-06-15 CN CN202210681840.3A patent/CN115118469B/zh active Active
Patent Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101283539A (zh) * | 2005-10-05 | 2008-10-08 | 拜尔斯安全公司 | 网络安全设备 |
IL258345A (en) * | 2018-03-25 | 2018-05-31 | B G Negev Technologies And Applications Ltd At Ben Gurion Univ – 907553 | A rapid framework for ensuring cyber protection, inspired by biological systems |
GB201818551D0 (en) * | 2018-11-14 | 2018-12-26 | F Secure Corp | Threat control method and system |
CN111010384A (zh) * | 2019-12-07 | 2020-04-14 | 杭州安恒信息技术股份有限公司 | 一种物联网终端自我安全防御系统及其安全防御方法 |
CN110990830A (zh) * | 2019-12-12 | 2020-04-10 | 国网新疆电力有限公司信息通信公司 | 终端取证溯源系统及方法 |
CN112039865A (zh) * | 2020-08-26 | 2020-12-04 | 北京计算机技术及应用研究所 | 一种威胁驱动的网络攻击检测与响应方法 |
CN112398823A (zh) * | 2020-11-03 | 2021-02-23 | 内蒙古电力(集团)有限责任公司内蒙古电力科学研究院分公司 | 基于大数据分析的网络信息安全预警平台 |
US11159576B1 (en) * | 2021-01-30 | 2021-10-26 | Netskope, Inc. | Unified policy enforcement management in the cloud |
CN113901450A (zh) * | 2021-09-18 | 2022-01-07 | 中国电子信息产业集团有限公司第六研究所 | 一种工业主机终端安全防护系统 |
CN114003918A (zh) * | 2021-10-30 | 2022-02-01 | 平安国际智慧城市科技股份有限公司 | 一种云安全运营方法、装置、电子设备以及存储介质 |
CN114070629A (zh) * | 2021-11-16 | 2022-02-18 | 南京南瑞信息通信科技有限公司 | 针对apt攻击的安全编排与自动化响应方法、装置及系统 |
CN113903141A (zh) * | 2021-11-18 | 2022-01-07 | 贵州电网有限责任公司 | 变配电房及室外变压器场景异常事件识别分析报警系统 |
Non-Patent Citations (1)
Title |
---|
关键信息基础设施网络安全防护体系;俎东峰;;信息与电脑(理论版)(第13期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN115118469A (zh) | 2022-09-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108520464B (zh) | 一种基于传统区块链的实时自动化监管报告系统 | |
Kim et al. | Data governance framework for big data implementation with NPS Case Analysis in Korea | |
CN111090779A (zh) | 一种办案勘查取证数据云存储及检索分析方法 | |
CN103166794A (zh) | 一种具有一体化安全管控功能的信息安全管理方法 | |
CN107133776A (zh) | 一种移动安全监管系统 | |
CN110716932B (zh) | 数据处理方法、系统、设备及存储介质 | |
CN113824682B (zh) | 一种模块化的scada安全态势感知系统架构 | |
CN110866642A (zh) | 安全监控方法、装置、电子设备和计算机可读存储介质 | |
CN110222498A (zh) | 一种基于移动互联云的督办管理系统及方法 | |
CN113469633A (zh) | 一种安全监管智慧云平台 | |
CN109347808A (zh) | 一种基于用户群行为活动的安全分析方法 | |
CN113794819A (zh) | 防疫场所智能管理方法、系统、装置和介质 | |
Prislan et al. | Analysis of the relationship between smart cities, policing and criminal investigation | |
Fataliyev et al. | Industry 4.0: the oil and gas sector security and personal data protection | |
CN116050840A (zh) | 信息安全风险管理方法及管理系统 | |
CN116668192A (zh) | 一种网络用户行为异常检测方法及系统 | |
CN115118469B (zh) | 一种网络安全威胁处理系统及其处理方法 | |
Cha et al. | A blockchain-enabled IoT auditing management system complying with ISO/IEC 15408-2 | |
Balboni et al. | Privacy by design and anonymisation techniques in action: case study of Ma3tch technology | |
CN115422421A (zh) | 一种基于互联网数据用智慧校园数据管理平台系统 | |
CN116955441A (zh) | 一种断卡预警平台 | |
CN114066470A (zh) | 基于关系网络的账户风险评估方法 | |
CN112070385A (zh) | 灵活用工监管方法、装置、平台、设备和存储介质 | |
CN112583792A (zh) | 一种网站群日常监测系统及方法 | |
Sharma et al. | Advanced forensic models |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |