CN115277265A - 一种网络安全应急处置方法和系统 - Google Patents
一种网络安全应急处置方法和系统 Download PDFInfo
- Publication number
- CN115277265A CN115277265A CN202211195076.5A CN202211195076A CN115277265A CN 115277265 A CN115277265 A CN 115277265A CN 202211195076 A CN202211195076 A CN 202211195076A CN 115277265 A CN115277265 A CN 115277265A
- Authority
- CN
- China
- Prior art keywords
- safety
- alarm
- network
- monitoring
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Alarm Systems (AREA)
Abstract
本发明提出了一种网络安全应急处置方法和系统,所述网络安全应急处置方法包括安全处置平台利用应用系统和网络安全运行设备的实时运行参数判断是否发起安全告警;安全监测人员监控端在接收到安全告警后,对安全告警对应的网络事件进行有效性分析,判断当前安全告警属于有效告警还是误告警;当判断所述安全告警属于有效告警时,各监控操作端执行告警有效性操作进行安全告警排除;所述安全处置平台对所述安全告警对应的网络事件的处理过程进行数据存储、归档和索引建立。
Description
技术领域
本发明提出了一种网络安全应急处置方法和系统,属于互联网技术领域。
背景技术
企业内部网络安全设备种类有许多,而通过各类安全设备报告的安全事件并没有一个统一的方式进行汇总,没有办法对安全事件的全生命周期进行管理,且没有一个合理的方式进行索引,导致产生的安全事件管理混乱,且无法保证发现的安全事件全部得到有效的解决,故本平台就是为了解决该问题而产生。
现有的平台仅对发生在企业内部的安全事件进行预警,且仅提供简单的安全事件列表和是否解决的状态标志,无法进行更详细的状态跟踪及提供网络安全事件更详细的基础资料,例如对应的图片、解决安全事件的流程和办法,并无法针对网络安全事件的各项信息进行有效的索引,且处理流程单一,无法对相关事件进行多流程、全生命周期的处理。这些安全设备产生的事件的来源是设备,仅能对各个设备产生的日志基于规则产生告警而无法确定是否应生成一个事件,故产生的告警混乱,导致无法有效的提取真正网络安全事件的信息。
发明内容
本发明提供了一种网络安全应急处置方法和系统,用以解决上述现有技术中存在问题,所采取的技术方案如下:
一种网络安全应急处置方法,所述网络安全应急处置方法包括:
安全处置平台利用应用系统和网络安全运行设备的实时运行参数判断是否发起安全告警;
安全监测人员监控端在接收到安全告警后,对安全告警对应的网络事件进行有效性分析,判断当前安全告警属于有效告警还是误告警;
当判断所述安全告警属于有效告警时,各监控操作端执行告警有效性操作进行安全告警排除;其中,所述各监控操作端包括安全监测人员监控端、二线人员操作端、处置人员操作端和管理员操作端;
所述安全处置平台对所述安全告警对应的网络事件的处理过程进行数据存储、归档和索引建立。
进一步地,安全处置平台利用应用系统和网络安全运行设备的实时运行参数判断是否发起安全告警,包括:
安全处置平台的数据采集端实时接收应用系统和网络安全运行设备的实时运行参数;
根据运行参数判断所述应用系统和网络安全运行设备是否出现安全隐患情况;
当出现安全隐患时,向所述安全监测人员监控端发起安全告警。
进一步地,当判断所述安全告警属于有效告警时,各监控操作端执行告警有效性操作进行安全告警排除,包括:
当判断所述安全告警有效时,所述安全监测人员监控端对当前安全告警进行有效性处理,并将处理结果发送至所述二线人员操作端;
所述二线人员操作端在接收到所述处理结果后,对当前安全告警对应的网络事件进行二次分析,判断当前安全告警对应的网络事件是否真正需要生成,并在确定当前网络事件真正需要生成时,向所述处置人员操作端发送处置执行信息;
所述处置人员操作端在接收到处置执行信息时,即刻向应用系统和/或网络安全运行设备对应的管理员操作端发送安全隐患排除指令及安全告警事件对应的所有分析数据。
其中,所述二线人员操作端在接收到所述处理结果后,对当前安全告警对应的网络事件进行二次分析,判断当前安全告警对应的网络事件是否真正需要生成,包括:
提取所述安全监测人员监控端的有效性判断分析过程和分析指标依据;
将所述分析过程和所述分析指标依据进行一一展示,并且,对分析过程和每个分析指标依据进行一一展示时,向所述二线人员操作端对应的工作人员获取分析过程和每个分析指标依据的有效性等级确认,其中,所述有效性等级包括无效、初级、中级和高级;
所述二线人员操作端接收其对应的工作人员发送的等级确认结果,并结合有效性评价模型,获取针对当前安全告警对应的网络事件的告警有效性评价参数;其中,所述有效性评价模型如下:
其中,Q表示告警有效性评价参数;H 1表示分析过程有效性等级对应的参数值;h w 、h c 、h z 和h g 分别对应表示无效、初级、中级和高级的分析指标依据的个数;n表示分析指标依据的总个数;H 2i 表示第i个分析指标依据的有效性等级对应的参数值;其中,各有效性等级对应的参数分别为:无效对应数值2.3,初级对应数值2.5,中级对应数值2.8,高级对应数值3.1;当Q<0时,令Q=0;α 1、α 2和α 3均表示参数调整系数,并且,满足以下约束条件:
且
当所述告警有效性评价参数低于预先设置的阈值时,则确定当前安全告警对应的网络事件为无效,不需要真正生成该事件;当所述告警有效性评价参数大于或等于预先设置的阈值时,则确定当前安全告警对应的网络事件为有效,需要真正生成该。
进一步地,当判断所述安全告警有效时,所述安全监测人员监控端对当前安全告警进行有效性处理,包括:
所述安全监测人员监控端向所述安全处置平台发送告警有效指令和有效性判断分析过程及网络事件数据信息;
所述安全处置平台在接收到所述安全监测人员监控端的告警有效指令后,针对当前安全告警对应的网络事件在安全处置平台内部创建一个事件;
所述安全处置平台提取所述当前安全告警对应的网络事件的有效性判断分析过程及网络事件数据信息,并将所述有效性判断分析过程及网络事件数据信息存储至创建的所述事件下;其中,所述网络事件数据信息包括网络事件对应的图片、文字和代码等电子证据信息。
进一步地,所述安全处置平台对所述安全告警对应的网络事件的处理过程进行数据存储、归档和索引建立,包括:
在所述各监控操作端进行安全告警对应的网络事件处理过程中,各监控操作端将其对所述安全告警对应的网络事件的所有处理数据发送至安全处置平台;
所述安全处置平台在接收到对各监控操作端对应的处理数据后,对所述各监控操作端发送的处理数据进行存储、归档和索引建立。其中,所述处理数据包括但不限于白名单、安全分析数据、网络安全事件的概况、详情、所涉及的应用系统、相关互联网地址、图片等电子证据、处理的时间段、处理的人员及处理的全过程等各个方面信息数据。
一种网络安全应急处置系统,所述网络安全应急处置系统包括:
告警判断模块,用于安全处置平台利用应用系统和网络安全运行设备的实时运行参数判断是否发起安全告警;
有效性判断模块,用于安全监测人员监控端在接收到安全告警后,对安全告警对应的网络事件进行有效性分析,判断当前安全告警属于有效告警还是误告警;
执行模块,用于当判断所述安全告警属于有效告警时,各监控操作端执行告警有效性操作进行安全告警排除;其中,所述各监控操作端包括安全监测人员监控端、二线人员操作端、处置人员操作端和管理员操作端;
索引归档模块,用于所述安全处置平台对所述安全告警对应的网络事件的处理过程进行数据存储、归档和索引建立。
进一步地,所述告警判断模块包括:
采集模块,用于安全处置平台的数据采集端实时接收应用系统和网络安全运行设备的实时运行参数;
安全隐患判断模块,用于根据运行参数判断所述应用系统和网络安全运行设备是否出现安全隐患情况;
告警发起模块,用于当出现安全隐患时,向所述安全监测人员监控端发起安全告警。
进一步地,所述执行模块包括:
有效处理模块,用于当判断所述安全告警有效时,所述安全监测人员监控端对当前安全告警进行有效性处理,并将处理结果发送至所述二线人员操作端;
二次分析模块,用于所述二线人员操作端在接收到所述处理结果后,对当前安全告警对应的网络事件进行二次分析,判断当前安全告警对应的网络事件是否真正需要生成,并在确定当前网络事件真正需要生成时,向所述处置人员操作端发送处置执行信息;
指令发送模块,用于所述处置人员操作端在接收到处置执行信息时,即刻向应用系统和/或网络安全运行设备对应的管理员操作端发送安全隐患排除指令及安全告警事件对应的所有分析数据。
其中,所述二次分析模块包括:
提取模块,用于提取所述安全监测人员监控端的有效性判断分析过程和分析指标依据;
展示及等级确认模块,用于将所述分析过程和所述分析指标依据进行一一展示,并且,对分析过程和每个分析指标依据进行一一展示时,向所述二线人员操作端对应的工作人员获取分析过程和每个分析指标依据的有效性等级确认,其中,所述有效性等级包括无效、初级、中级和高级;
评价参数获取模块,用于所述二线人员操作端接收其对应的工作人员发送的等级确认结果,并结合有效性评价模型,获取针对当前安全告警对应的网络事件的告警有效性评价参数;其中,所述有效性评价模型如下:
其中,Q表示告警有效性评价参数;H 1表示分析过程有效性等级对应的参数值;h w 、h c 、h z 和h g 分别对应表示无效、初级、中级和高级的分析指标依据的个数;n表示分析指标依据的总个数;H 2i 表示第i个分析指标依据的有效性等级对应的参数值;其中,各有效性等级对应的参数分别为:无效对应数值2.3,初级对应数值2.5,中级对应数值2.8,高级对应数值3.1;当Q<0时,令Q=0;α 1、α 2和α 3均表示参数调整系数,并且,满足以下约束条件:
且
有效性确定模块,用于当所述告警有效性评价参数低于预先设置的阈值时,则确定当前安全告警对应的网络事件为无效,不需要真正生成该事件;当所述告警有效性评价参数大于或等于预先设置的阈值时,则确定当前安全告警对应的网络事件为有效,需要真正生成该。
进一步地,所述有效处理模块包括:
信息发送模块,用于所述安全监测人员监控端向所述安全处置平台发送告警有效指令和有效性判断分析过程及网络事件数据信息;
事件创建模块,用于所述安全处置平台在接收到所述安全监测人员监控端的告警有效指令后,针对当前安全告警对应的网络事件在安全处置平台内部创建一个事件;
信息存储模块,用于所述安全处置平台提取所述当前安全告警对应的网络事件的有效性判断分析过程及网络事件数据信息,并将所述有效性判断分析过程及网络事件数据信息存储至创建的所述事件下;其中,所述网络事件数据信息包括网络事件对应的图片、文字和代码等电子证据信息。
进一步地,所述索引归档模块包括:
处理数据发送模块,用于在所述各监控操作端进行安全告警对应的网络事件处理过程中;各监控操作端将其对所述安全告警对应的网络事件的所有处理数据发送至安全处置平台;
归档索引及存储执行模块,用于所述安全处置平台在接收到对各监控操作端对应的处理数据后,对所述各监控操作端发送的处理数据进行存储、归档和索引建立。其中,所述处理数据包括但不限于白名单、安全分析数据、网络安全事件的概况、详情、所涉及的应用系统、相关互联网地址、图片等电子证据、处理的时间段、处理的人员及处理的全过程等各个方面信息数据。
本发明有益效果:
本发明提出的一种网络安全应急处置方法和系统对相关网络安全事件通过流程上的规范完成事件的全生命周期的追溯,确保每一个安全事件均得到妥善处置,同时针对每一个安全事件完成归档,支持从网络安全事件的概况、详情、所涉及的应用系统、相关互联网地址、图片等电子证据,处理的时间段、处理的人员及处理的全过程等各个方面进行索引,能在极快的时间内完成对所有发生过的安全事件进行查询或筛选,并给用户以表格的形式展现。并且支持保存在处理过程中生成的相关信息,并支持相关的查询功能,进一步提高企业整体安全防护水平,并提供相关信息的可查性。
附图说明
图1为本发明所述方法的流程图一;
图2为本发明所述方法的流程图二;
图3为本发明所述系统的系统框图。
具体实施方式
以下结合附图对本发明的优选实时例进行说明,应当理解,此处所描述的优选实时例仅用于说明和解释本发明,并不用于限定本发明。
企业内部随时都会发生网络安全事件,通常这些事件由各个安全设备进行告警,并由相关安全人员分析后,对相关事件进行处置,最后生成一份完整的事件报告进行归档,但由于不同厂家的安全设备告警格式不同,且并非所有告警都可能生成事件,故现有的安全平台并不能提供对安全事件的记录,现阶段对于安全人员来说主要的记录手段还停留在使用文档的层面,且并没有一个统一的格式完成对事件的记录,而且使用文档最大的一个问题是并不能对事件中的有效信息进行索引,搜索极不方便,且在处理安全事件的过程中会生成一部分例如白名单、处置的过程及结果等信息,对于该类信息在处理后续的安全事件提供了极大的帮助,这部分信息同样没有一个合适的系统进行记录。而且企业中对于安全事件的产生、验证、处置等工作并不是由一个人完成的,由于安全事件要求的即时性及保密性,需要实时将自己的工作结果通过安全的信道与流程中的下一个工作阶段的人分享,且流程中的每一个人的工作成果都是安全事件处置流程中应该归档的部分,而这个安全事件处置平台在整个安全事件的闭环处置流程中完成了这部分的工作,从安全事件的发现、记录、处置、归档、索引等各个方面提供了一个统一的平台。
本发明实施例提出了一种网络安全应急处置方法,如图1所示,所述网络安全应急处置方法包括:
S1、安全处置平台利用应用系统和网络安全运行设备的实时运行参数判断是否发起安全告警;
S2、安全监测人员监控端在接收到安全告警后,对安全告警对应的网络事件进行有效性分析,判断当前安全告警属于有效告警还是误告警;
S3、当判断所述安全告警属于有效告警时,各监控操作端执行告警有效性操作进行安全告警排除;其中,所述各监控操作端包括安全监测人员监控端、二线人员操作端、处置人员操作端和管理员操作端;
S4、所述安全处置平台对所述安全告警对应的网络事件的处理过程进行数据存储、归档和索引建立。
其中,安全处置平台利用应用系统和网络安全运行设备的实时运行参数判断是否发起安全告警,包括:
S101、安全处置平台的数据采集端实时接收应用系统和网络安全运行设备的实时运行参数;
S102、根据运行参数判断所述应用系统和网络安全运行设备是否出现安全隐患情况;
S103、当出现安全隐患时,向所述安全监测人员监控端发起安全告警。
所述安全处置平台对所述安全告警对应的网络事件的处理过程进行数据存储、归档和索引建立,包括:
S401、在所述各监控操作端进行安全告警对应的网络事件处理过程中,各监控操作端将其对所述安全告警对应的网络事件的所有处理数据发送至安全处置平台;
S402、所述安全处置平台在接收到对各监控操作端对应的处理数据后,对所述各监控操作端发送的处理数据进行存储、归档和索引建立。其中,所述处理数据包括但不限于白名单、安全分析数据、网络安全事件的概况、详情、所涉及的应用系统、相关互联网地址、图片等电子证据、处理的时间段、处理的人员及处理的全过程等各个方面信息数据。
上述技术方案的工作原理及效果为:本实施例提出的一种网络安全应急处置方法对相关网络安全事件通过流程上的规范完成事件的全生命周期的追溯,确保每一个安全事件均得到妥善处置,同时针对每一个安全事件完成归档,支持从网络安全事件的概况、详情、所涉及的应用系统、相关互联网地址、图片等电子证据,处理的时间段、处理的人员及处理的全过程等各个方面进行索引,能在极快的时间内完成对所有发生过的安全事件进行查询或筛选,并给用户以表格的形式展现。并且支持保存在处理过程中生成的相关信息,并支持相关的查询功能,进一步提高企业整体安全防护水平,并提供相关信息的可查性。
本发明的一个实施例,如图2所示,当判断所述安全告警属于有效告警时,各监控操作端执行告警有效性操作进行安全告警排除,包括:
S301、当判断所述安全告警有效时,所述安全监测人员监控端对当前安全告警进行有效性处理,并将处理结果发送至所述二线人员操作端;
其中,当判断所述安全告警有效时,所述安全监测人员监控端对当前安全告警进行有效性处理,包括:
S3011、所述安全监测人员监控端向所述安全处置平台发送告警有效指令和有效性判断分析过程及网络事件数据信息;
S3012、所述安全处置平台在接收到所述安全监测人员监控端的告警有效指令后,针对当前安全告警对应的网络事件在安全处置平台内部创建一个事件;
S3013、所述安全处置平台提取所述当前安全告警对应的网络事件的有效性判断分析过程及网络事件数据信息,并将所述有效性判断分析过程及网络事件数据信息存储至创建的所述事件下;其中,所述网络事件数据信息包括网络事件对应的图片、文字和代码等电子证据信息。
S302、所述二线人员操作端在接收到所述处理结果后,对当前安全告警对应的网络事件进行二次分析,判断当前安全告警对应的网络事件是否真正需要生成,并在确定当前网络事件真正需要生成时,向所述处置人员操作端发送处置执行信息;
S303、所述处置人员操作端在接收到处置执行信息时,即刻向应用系统和/或网络安全运行设备对应的管理员操作端发送安全隐患排除指令及安全告警事件对应的所有分析数据。
其中,所述二线人员操作端在接收到所述处理结果后,对当前安全告警对应的网络事件进行二次分析,判断当前安全告警对应的网络事件是否真正需要生成,包括:
S3021、提取所述安全监测人员监控端的有效性判断分析过程和分析指标依据;
S3022、将所述分析过程和所述分析指标依据进行一一展示,并且,对分析过程和每个分析指标依据进行一一展示时,向所述二线人员操作端对应的工作人员获取分析过程和每个分析指标依据的有效性等级确认,其中,所述有效性等级包括无效、初级、中级和高级;
S3023、所述二线人员操作端接收其对应的工作人员发送的等级确认结果,并结合有效性评价模型,获取针对当前安全告警对应的网络事件的告警有效性评价参数;其中,所述有效性评价模型如下:
其中,Q表示告警有效性评价参数;H 1表示分析过程有效性等级对应的参数值;h w 、h c 、h z 和h g 分别对应表示无效、初级、中级和高级的分析指标依据的个数;n表示分析指标依据的总个数;H 2i 表示第i个分析指标依据的有效性等级对应的参数值;其中,各有效性等级对应的参数分别为:无效对应数值2.3,初级对应数值2.5,中级对应数值2.8,高级对应数值3.1;当Q<0时,令Q=0;α 1、α 2和α 3均表示参数调整系数,并且,满足以下约束条件:
且
S3024、当所述告警有效性评价参数低于预先设置的阈值时,则确定当前安全告警对应的网络事件为无效,不需要真正生成该事件;当所述告警有效性评价参数大于或等于预先设置的阈值时,则确定当前安全告警对应的网络事件为有效,需要真正生成该。
上述技术方案的工作原理及效果为:本实施例提出的一种网络安全应急处置方法对相关网络安全事件通过流程上的规范完成事件的全生命周期的追溯,确保每一个安全事件均得到妥善处置,同时针对每一个安全事件完成归档,支持从网络安全事件的概况、详情、所涉及的应用系统、相关互联网地址、图片等电子证据,处理的时间段、处理的人员及处理的全过程等各个方面进行索引,能在极快的时间内完成对所有发生过的安全事件进行查询或筛选,并给用户以表格的形式展现。并且支持保存在处理过程中生成的相关信息,并支持相关的查询功能,进一步提高企业整体安全防护水平,并提供相关信息的可查性。同时,通过上述方式和公式能够有效提高事件有效性验证的准确性和安全性。
本发明实施例提出了一种网络安全应急处置系统,如图3所示,所述网络安全应急处置系统包括:
告警判断模块,用于安全处置平台利用应用系统和网络安全运行设备的实时运行参数判断是否发起安全告警;
有效性判断模块,用于安全监测人员监控端在接收到安全告警后,对安全告警对应的网络事件进行有效性分析,判断当前安全告警属于有效告警还是误告警;
执行模块,用于当判断所述安全告警属于有效告警时,各监控操作端执行告警有效性操作进行安全告警排除;其中,所述各监控操作端包括安全监测人员监控端、二线人员操作端、处置人员操作端和管理员操作端;
索引归档模块,用于所述安全处置平台对所述安全告警对应的网络事件的处理过程进行数据存储、归档和索引建立。
其中,所述告警判断模块包括:
采集模块,用于安全处置平台的数据采集端实时接收应用系统和网络安全运行设备的实时运行参数;
安全隐患判断模块,用于根据运行参数判断所述应用系统和网络安全运行设备是否出现安全隐患情况;
告警发起模块,用于当出现安全隐患时,向所述安全监测人员监控端发起安全告警。
所述索引归档模块包括:
处理数据发送模块,用于在所述各监控操作端进行安全告警对应的网络事件处理过程中;各监控操作端将其对所述安全告警对应的网络事件的所有处理数据发送至安全处置平台;
归档索引及存储执行模块,用于所述安全处置平台在接收到对各监控操作端对应的处理数据后,对所述各监控操作端发送的处理数据进行存储、归档和索引建立。其中,所述处理数据包括但不限于白名单、安全分析数据、网络安全事件的概况、详情、所涉及的应用系统、相关互联网地址、图片等电子证据、处理的时间段、处理的人员及处理的全过程等各个方面信息数据。
上述技术方案的工作原理及效果为:本实施例提出的一种网络安全应急处置系统对相关网络安全事件通过流程上的规范完成事件的全生命周期的追溯,确保每一个安全事件均得到妥善处置,同时针对每一个安全事件完成归档,支持从网络安全事件的概况、详情、所涉及的应用系统、相关互联网地址、图片等电子证据,处理的时间段、处理的人员及处理的全过程等各个方面进行索引,能在极快的时间内完成对所有发生过的安全事件进行查询或筛选,并给用户以表格的形式展现。并且支持保存在处理过程中生成的相关信息,并支持相关的查询功能,进一步提高企业整体安全防护水平,并提供相关信息的可查性。
本发明的一个实施例,所述执行模块包括:
有效处理模块,用于当判断所述安全告警有效时,所述安全监测人员监控端对当前安全告警进行有效性处理,并将处理结果发送至所述二线人员操作端;
二次分析模块,用于所述二线人员操作端在接收到所述处理结果后,对当前安全告警对应的网络事件进行二次分析,判断当前安全告警对应的网络事件是否真正需要生成,并在确定当前网络事件真正需要生成时,向所述处置人员操作端发送处置执行信息;
指令发送模块,用于所述处置人员操作端在接收到处置执行信息时,即刻向应用系统和/或网络安全运行设备对应的管理员操作端发送安全隐患排除指令及安全告警事件对应的所有分析数据。
其中,所述二次分析模块包括:
提取模块,用于提取所述安全监测人员监控端的有效性判断分析过程和分析指标依据;
展示及等级确认模块,用于将所述分析过程和所述分析指标依据进行一一展示,并且,对分析过程和每个分析指标依据进行一一展示时,向所述二线人员操作端对应的工作人员获取分析过程和每个分析指标依据的有效性等级确认,其中,所述有效性等级包括无效、初级、中级和高级;
评价参数获取模块,用于所述二线人员操作端接收其对应的工作人员发送的等级确认结果,并结合有效性评价模型,获取针对当前安全告警对应的网络事件的告警有效性评价参数;其中,所述有效性评价模型如下:
其中,Q表示告警有效性评价参数;H 1表示分析过程有效性等级对应的参数值;h w 、h c 、h z 和h g 分别对应表示无效、初级、中级和高级的分析指标依据的个数;n表示分析指标依据的总个数;H 2i 表示第i个分析指标依据的有效性等级对应的参数值;其中,各有效性等级对应的参数分别为:无效对应数值2.3,初级对应数值2.5,中级对应数值2.8,高级对应数值3.1;当Q<0时,令Q=0;α 1、α 2和α 3均表示参数调整系数,并且,满足以下约束条件:
且
有效性确定模块,用于当所述告警有效性评价参数低于预先设置的阈值时,则确定当前安全告警对应的网络事件为无效,不需要真正生成该事件;当所述告警有效性评价参数大于或等于预先设置的阈值时,则确定当前安全告警对应的网络事件为有效,需要真正生成该。
所述有效处理模块包括:
信息发送模块,用于所述安全监测人员监控端向所述安全处置平台发送告警有效指令和有效性判断分析过程及网络事件数据信息;
事件创建模块,用于所述安全处置平台在接收到所述安全监测人员监控端的告警有效指令后,针对当前安全告警对应的网络事件在安全处置平台内部创建一个事件;
信息存储模块,用于所述安全处置平台提取所述当前安全告警对应的网络事件的有效性判断分析过程及网络事件数据信息,并将所述有效性判断分析过程及网络事件数据信息存储至创建的所述事件下;其中,所述网络事件数据信息包括网络事件对应的图片、文字和代码等电子证据信息。
上述技术方案的工作原理及效果为:本实施例提出的一种网络安全应急处置系统对相关网络安全事件通过流程上的规范完成事件的全生命周期的追溯,确保每一个安全事件均得到妥善处置,同时针对每一个安全事件完成归档,支持从网络安全事件的概况、详情、所涉及的应用系统、相关互联网地址、图片等电子证据,处理的时间段、处理的人员及处理的全过程等各个方面进行索引,能在极快的时间内完成对所有发生过的安全事件进行查询或筛选,并给用户以表格的形式展现。并且支持保存在处理过程中生成的相关信息,并支持相关的查询功能,进一步提高企业整体安全防护水平,并提供相关信息的可查性。同时,通过上述方式和公式能够有效提高事件有效性验证的准确性和安全性。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种网络安全应急处置方法,其特征在于,所述网络安全应急处置方法包括:
安全处置平台利用应用系统和网络安全运行设备的实时运行参数判断是否发起安全告警;
安全监测人员监控端在接收到安全告警后,对安全告警对应的网络事件进行有效性分析,判断当前安全告警属于有效告警还是误告警;
当判断所述安全告警属于有效告警时,各监控操作端执行告警有效性操作进行安全告警排除;其中,所述各监控操作端包括安全监测人员监控端、二线人员操作端、处置人员操作端和管理员操作端;
所述安全处置平台对所述安全告警对应的网络事件的处理过程进行数据存储、归档和索引建立。
2.根据权利要求1所述网络安全应急处置方法,其特征在于,安全处置平台利用应用系统和网络安全运行设备的实时运行参数判断是否发起安全告警,包括:
安全处置平台的数据采集端实时接收应用系统和网络安全运行设备的实时运行参数;
根据运行参数判断所述应用系统和网络安全运行设备是否出现安全隐患情况;
当出现安全隐患时,向所述安全监测人员监控端发起安全告警。
3.根据权利要求1所述网络安全应急处置方法,其特征在于,当判断所述安全告警属于有效告警时,各监控操作端执行告警有效性操作进行安全告警排除,包括:
当判断所述安全告警有效时,所述安全监测人员监控端对当前安全告警进行有效性处理,并将处理结果发送至所述二线人员操作端;
所述二线人员操作端在接收到所述处理结果后,对当前安全告警对应的网络事件进行二次分析,判断当前安全告警对应的网络事件是否真正需要生成,并在确定当前网络事件真正需要生成时,向所述处置人员操作端发送处置执行信息;
所述处置人员操作端在接收到处置执行信息时,即刻向应用系统和/或网络安全运行设备对应的管理员操作端发送安全隐患排除指令及安全告警事件对应的所有分析数据。
4.根据权利要求3所述网络安全应急处置方法,其特征在于,当判断所述安全告警有效时,所述安全监测人员监控端对当前安全告警进行有效性处理,包括:
所述安全监测人员监控端向所述安全处置平台发送告警有效指令和有效性判断分析过程及网络事件数据信息;
所述安全处置平台在接收到所述安全监测人员监控端的告警有效指令后,针对当前安全告警对应的网络事件在安全处置平台内部创建一个事件;
所述安全处置平台提取所述当前安全告警对应的网络事件的有效性判断分析过程及网络事件数据信息,并将所述有效性判断分析过程及网络事件数据信息存储至创建的所述事件下;其中,所述网络事件数据信息包括网络事件对应的图片、文字和代码。
5.根据权利要求1所述网络安全应急处置方法,其特征在于,所述安全处置平台对所述安全告警对应的网络事件的处理过程进行数据存储、归档和索引建立,包括:
在所述各监控操作端进行安全告警对应的网络事件处理过程中,各监控操作端将其对所述安全告警对应的网络事件的所有处理数据发送至安全处置平台;
所述安全处置平台在接收到对各监控操作端对应的处理数据后,对所述各监控操作端发送的处理数据进行存储、归档和索引建立。
6.一种网络安全应急处置系统,其特征在于,所述网络安全应急处置系统包括:
告警判断模块,用于安全处置平台利用应用系统和网络安全运行设备的实时运行参数判断是否发起安全告警;
有效性判断模块,用于安全监测人员监控端在接收到安全告警后,对安全告警对应的网络事件进行有效性分析,判断当前安全告警属于有效告警还是误告警;
执行模块,用于当判断所述安全告警属于有效告警时,各监控操作端执行告警有效性操作进行安全告警排除;其中,所述各监控操作端包括安全监测人员监控端、二线人员操作端、处置人员操作端和管理员操作端;
索引归档模块,用于所述安全处置平台对所述安全告警对应的网络事件的处理过程进行数据存储、归档和索引建立。
7.根据权利要求6所述网络安全应急处置系统,其特征在于,所述告警判断模块包括:
采集模块,用于安全处置平台的数据采集端实时接收应用系统和网络安全运行设备的实时运行参数;
安全隐患判断模块,用于根据运行参数判断所述应用系统和网络安全运行设备是否出现安全隐患情况;
告警发起模块,用于当出现安全隐患时,向所述安全监测人员监控端发起安全告警。
8.根据权利要求6所述网络安全应急处置系统,其特征在于,所述执行模块包括:
有效处理模块,用于当判断所述安全告警有效时,所述安全监测人员监控端对当前安全告警进行有效性处理,并将处理结果发送至所述二线人员操作端;
二次分析模块,用于所述二线人员操作端在接收到所述处理结果后,对当前安全告警对应的网络事件进行二次分析,判断当前安全告警对应的网络事件是否真正需要生成,并在确定当前网络事件真正需要生成时,向所述处置人员操作端发送处置执行信息;
指令发送模块,用于所述处置人员操作端在接收到处置执行信息时,即刻向应用系统和/或网络安全运行设备对应的管理员操作端发送安全隐患排除指令及安全告警事件对应的所有分析数据。
9.根据权利要求8所述网络安全应急处置系统,其特征在于,所述有效处理模块包括:
信息发送模块,用于所述安全监测人员监控端向所述安全处置平台发送告警有效指令和有效性判断分析过程及网络事件数据信息;
事件创建模块,用于所述安全处置平台在接收到所述安全监测人员监控端的告警有效指令后,针对当前安全告警对应的网络事件在安全处置平台内部创建一个事件;
信息存储模块,用于所述安全处置平台提取所述当前安全告警对应的网络事件的有效性判断分析过程及网络事件数据信息,并将所述有效性判断分析过程及网络事件数据信息存储至创建的所述事件下;其中,所述网络事件数据信息包括网络事件对应的图片、文字和代码。
10.根据权利要求6所述网络安全应急处置系统,其特征在于,所述索引归档模块包括:
处理数据发送模块,用于在所述各监控操作端进行安全告警对应的网络事件处理过程中;各监控操作端将其对所述安全告警对应的网络事件的所有处理数据发送至安全处置平台;
归档索引及存储执行模块,用于所述安全处置平台在接收到对各监控操作端对应的处理数据后,对所述各监控操作端发送的处理数据进行存储、归档和索引建立。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211195076.5A CN115277265B (zh) | 2022-09-29 | 2022-09-29 | 一种网络安全应急处置方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211195076.5A CN115277265B (zh) | 2022-09-29 | 2022-09-29 | 一种网络安全应急处置方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115277265A true CN115277265A (zh) | 2022-11-01 |
| CN115277265B CN115277265B (zh) | 2022-12-13 |
Family
ID=83756559
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211195076.5A Active CN115277265B (zh) | 2022-09-29 | 2022-09-29 | 一种网络安全应急处置方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115277265B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101470426A (zh) * | 2007-12-27 | 2009-07-01 | 北京北方微电子基地设备工艺研究中心有限责任公司 | 一种故障检测的方法和系统 |
| US20210074415A1 (en) * | 2018-05-16 | 2021-03-11 | Shanghai Svm Medical Technology Co., Ltd. | Medical cloud platform data sharing system and method based on third-party business |
| CN112491805A (zh) * | 2020-11-04 | 2021-03-12 | 深圳供电局有限公司 | 一种应用于云平台的网络安全设备管理系统 |
| CN113067843A (zh) * | 2020-01-02 | 2021-07-02 | 中国电力科学研究院有限公司 | 一种配电物联网网络的安全监测与联动防御系统及方法 |
| CN113971545A (zh) * | 2020-07-23 | 2022-01-25 | 北京鼹鼠智慧科技有限公司 | 一种应用于智慧园区的综合报警平台系统 |
| CN114090374A (zh) * | 2021-11-08 | 2022-02-25 | 北京许继电气有限公司 | 网络安全运营管理平台 |
-
2022
- 2022-09-29 CN CN202211195076.5A patent/CN115277265B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101470426A (zh) * | 2007-12-27 | 2009-07-01 | 北京北方微电子基地设备工艺研究中心有限责任公司 | 一种故障检测的方法和系统 |
| US20210074415A1 (en) * | 2018-05-16 | 2021-03-11 | Shanghai Svm Medical Technology Co., Ltd. | Medical cloud platform data sharing system and method based on third-party business |
| CN113067843A (zh) * | 2020-01-02 | 2021-07-02 | 中国电力科学研究院有限公司 | 一种配电物联网网络的安全监测与联动防御系统及方法 |
| CN113971545A (zh) * | 2020-07-23 | 2022-01-25 | 北京鼹鼠智慧科技有限公司 | 一种应用于智慧园区的综合报警平台系统 |
| CN112491805A (zh) * | 2020-11-04 | 2021-03-12 | 深圳供电局有限公司 | 一种应用于云平台的网络安全设备管理系统 |
| CN114090374A (zh) * | 2021-11-08 | 2022-02-25 | 北京许继电气有限公司 | 网络安全运营管理平台 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115277265B (zh) | 2022-12-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103281177B (zh) | 对Internet信息系统恶意攻击的检测方法及系统 | |
| CN103026345B (zh) | 用于事件监测优先级的动态多维模式 | |
| Kott et al. | The promises and challenges of continuous monitoring and risk scoring | |
| CN1705938A (zh) | 信息基础结构的综合攻击事故应对系统及其运营方法 | |
| CN111224988A (zh) | 一种网络安全信息过滤方法 | |
| CN104378228B (zh) | 网络数据安全管理系统及方法 | |
| CN105809031A (zh) | 数据库审计的方法、装置及系统 | |
| CN110955897A (zh) | 基于大数据的软件研发安全管控可视化方法及系统 | |
| CN112650180B (zh) | 安全告警方法、装置、终端设备及存储介质 | |
| CN115277265B (zh) | 一种网络安全应急处置方法和系统 | |
| US20070118906A1 (en) | System and method for deprioritizing and presenting data | |
| KR102516819B1 (ko) | 빅데이터를 기반으로 위협 이벤트를 분석하고 대응하도록 지원하는 방법 및 이를 이용한 서버 | |
| CN104376254A (zh) | 一种日志审计方法及系统 | |
| CN113162897A (zh) | 一种工业控制网络安全过滤系统及方法 | |
| CN111049853A (zh) | 一种基于计算机网络的安全认证系统 | |
| CN110162444A (zh) | 一种系统性能监测方法及平台 | |
| US20190363925A1 (en) | Cybersecurity Alert Management System | |
| CN106649343B (zh) | 一种网络数据信息处理方法及设备 | |
| CN117240554B (zh) | 安全事件的治理方法及电子设备 | |
| CN117749645B (zh) | 一种机房动态ip地址数据采集方法 | |
| CN114553687B (zh) | 一种网络资产配置信息处理方法及装置 | |
| CN114095244A (zh) | 一种网络安全应急处理系统 | |
| CN110554354B (zh) | 设备检修质量监测方法、系统及终端设备 | |
| CN117596268A (zh) | 在线设备故障集中诊断方法、系统、终端及存储介质 | |
| CN114221787A (zh) | 基于时间策略的网络安全处理方法、系统和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |