CN115277265B - 一种网络安全应急处置方法和系统 - Google Patents
一种网络安全应急处置方法和系统 Download PDFInfo
- Publication number
- CN115277265B CN115277265B CN202211195076.5A CN202211195076A CN115277265B CN 115277265 B CN115277265 B CN 115277265B CN 202211195076 A CN202211195076 A CN 202211195076A CN 115277265 B CN115277265 B CN 115277265B
- Authority
- CN
- China
- Prior art keywords
- alarm
- safety
- network
- monitoring
- network event
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 116
- 238000012544 monitoring process Methods 0.000 claims abstract description 132
- 238000012545 processing Methods 0.000 claims abstract description 119
- 238000011156 evaluation Methods 0.000 claims description 26
- 238000012790 confirmation Methods 0.000 claims description 12
- 238000013210 evaluation model Methods 0.000 claims description 12
- 230000000977 initiatory effect Effects 0.000 claims description 6
- 230000008030 elimination Effects 0.000 claims description 4
- 238000003379 elimination reaction Methods 0.000 claims description 4
- 238000013500 data storage Methods 0.000 claims description 3
- 239000000284 extract Substances 0.000 claims description 3
- 238000010200 validation analysis Methods 0.000 claims 1
- 238000012216 screening Methods 0.000 description 5
- 230000000694 effects Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000000605 extraction Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000000739 chaotic effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Alarm Systems (AREA)
Abstract
本发明提出了一种网络安全应急处置方法和系统,所述网络安全应急处置方法包括安全处置平台利用应用系统和网络安全运行设备的实时运行参数判断是否发起安全告警;安全监测人员监控端在接收到安全告警后,对安全告警对应的网络事件进行有效性分析,判断当前安全告警属于有效告警还是误告警;当判断所述安全告警属于有效告警时,各监控操作端执行告警有效性操作进行安全告警排除;所述安全处置平台对所述安全告警对应的网络事件的处理过程进行数据存储、归档和索引建立。
Description
技术领域
本发明提出了一种网络安全应急处置方法和系统,属于互联网技术领域。
背景技术
企业内部网络安全设备种类有许多,而通过各类安全设备报告的安全事件并没有一个统一的方式进行汇总,没有办法对安全事件的全生命周期进行管理,且没有一个合理的方式进行索引,导致产生的安全事件管理混乱,且无法保证发现的安全事件全部得到有效的解决,故本平台就是为了解决该问题而产生。
现有的平台仅对发生在企业内部的安全事件进行预警,且仅提供简单的安全事件列表和是否解决的状态标志,无法进行更详细的状态跟踪及提供网络安全事件更详细的基础资料,例如对应的图片、解决安全事件的流程和办法,并无法针对网络安全事件的各项信息进行有效的索引,且处理流程单一,无法对相关事件进行多流程、全生命周期的处理。这些安全设备产生的事件的来源是设备,仅能对各个设备产生的日志基于规则产生告警而无法确定是否应生成一个事件,故产生的告警混乱,导致无法有效的提取真正网络安全事件的信息。
发明内容
本发明提供了一种网络安全应急处置方法和系统,用以解决上述现有技术中存在问题,所采取的技术方案如下:
一种网络安全应急处置方法,所述网络安全应急处置方法包括:
安全处置平台利用应用系统和网络安全运行设备的实时运行参数判断是否发起安全告警;
安全监测人员监控端在接收到安全告警后,对安全告警对应的网络事件进行有效性分析,判断当前安全告警属于有效告警还是误告警;
当判断所述安全告警属于有效告警时,各监控操作端执行告警有效性操作进行安全告警排除;其中,所述各监控操作端包括安全监测人员监控端、二线人员操作端、处置人员操作端和管理员操作端;
所述安全处置平台对所述安全告警对应的网络事件的处理过程进行数据存储、归档和索引建立。
进一步地,安全处置平台利用应用系统和网络安全运行设备的实时运行参数判断是否发起安全告警,包括:
安全处置平台的数据采集端实时接收应用系统和网络安全运行设备的实时运行参数;
根据运行参数判断所述应用系统和网络安全运行设备是否出现安全隐患情况;
当出现安全隐患时,向所述安全监测人员监控端发起安全告警。
进一步地,当判断所述安全告警属于有效告警时,各监控操作端执行告警有效性操作进行安全告警排除,包括:
当判断所述安全告警有效时,所述安全监测人员监控端对当前安全告警进行有效性处理,并将处理结果发送至所述二线人员操作端;
所述二线人员操作端在接收到所述处理结果后,对当前安全告警对应的网络事件进行二次分析,判断当前安全告警对应的网络事件是否真正需要生成,并在确定当前网络事件真正需要生成时,向所述处置人员操作端发送处置执行信息;
所述处置人员操作端在接收到处置执行信息时,即刻向应用系统和/或网络安全运行设备对应的管理员操作端发送安全隐患排除指令及安全告警事件对应的所有分析数据。
其中,所述二线人员操作端在接收到所述处理结果后,对当前安全告警对应的网络事件进行二次分析,判断当前安全告警对应的网络事件是否真正需要生成,包括:
提取所述安全监测人员监控端的有效性判断分析过程和分析指标依据;
将所述分析过程和所述分析指标依据进行一一展示,并且,对分析过程和每个分析指标依据进行一一展示时,向所述二线人员操作端对应的工作人员获取分析过程和每个分析指标依据的有效性等级确认,其中,所述有效性等级包括无效、初级、中级和高级;
所述二线人员操作端接收其对应的工作人员发送的等级确认结果,并结合有效性评价模型,获取针对当前安全告警对应的网络事件的告警有效性评价参数;其中,所述有效性评价模型如下:
其中,Q表示告警有效性评价参数;H 1表示分析过程有效性等级对应的参数值;h w 、h c 、h z 和h g 分别对应表示无效、初级、中级和高级的分析指标依据的个数;n表示分析指标依据的总个数;H 2i 表示第i个分析指标依据的有效性等级对应的参数值;其中,各有效性等级对应的参数分别为:无效对应数值2.3,初级对应数值2.5,中级对应数值2.8,高级对应数值3.1;当Q<0时,令Q=0;α 1、α 2和α 3均表示参数调整系数,并且,满足以下约束条件:
且
当所述告警有效性评价参数低于预先设置的阈值时,则确定当前安全告警对应的网络事件为无效,不需要真正生成该事件;当所述告警有效性评价参数大于或等于预先设置的阈值时,则确定当前安全告警对应的网络事件为有效,需要真正生成该。
进一步地,当判断所述安全告警有效时,所述安全监测人员监控端对当前安全告警进行有效性处理,包括:
所述安全监测人员监控端向所述安全处置平台发送告警有效指令和有效性判断分析过程及网络事件数据信息;
所述安全处置平台在接收到所述安全监测人员监控端的告警有效指令后,针对当前安全告警对应的网络事件在安全处置平台内部创建一个事件;
所述安全处置平台提取所述当前安全告警对应的网络事件的有效性判断分析过程及网络事件数据信息,并将所述有效性判断分析过程及网络事件数据信息存储至创建的所述事件下;其中,所述网络事件数据信息包括网络事件对应的图片、文字和代码等电子证据信息。
进一步地,所述安全处置平台对所述安全告警对应的网络事件的处理过程进行数据存储、归档和索引建立,包括:
在所述各监控操作端进行安全告警对应的网络事件处理过程中,各监控操作端将其对所述安全告警对应的网络事件的所有处理数据发送至安全处置平台;
所述安全处置平台在接收到对各监控操作端对应的处理数据后,对所述各监控操作端发送的处理数据进行存储、归档和索引建立。其中,所述处理数据包括但不限于白名单、安全分析数据、网络安全事件的概况、详情、所涉及的应用系统、相关互联网地址、图片等电子证据、处理的时间段、处理的人员及处理的全过程等各个方面信息数据。
一种网络安全应急处置系统,所述网络安全应急处置系统包括:
告警判断模块,用于安全处置平台利用应用系统和网络安全运行设备的实时运行参数判断是否发起安全告警;
有效性判断模块,用于安全监测人员监控端在接收到安全告警后,对安全告警对应的网络事件进行有效性分析,判断当前安全告警属于有效告警还是误告警;
执行模块,用于当判断所述安全告警属于有效告警时,各监控操作端执行告警有效性操作进行安全告警排除;其中,所述各监控操作端包括安全监测人员监控端、二线人员操作端、处置人员操作端和管理员操作端;
索引归档模块,用于所述安全处置平台对所述安全告警对应的网络事件的处理过程进行数据存储、归档和索引建立。
进一步地,所述告警判断模块包括:
采集模块,用于安全处置平台的数据采集端实时接收应用系统和网络安全运行设备的实时运行参数;
安全隐患判断模块,用于根据运行参数判断所述应用系统和网络安全运行设备是否出现安全隐患情况;
告警发起模块,用于当出现安全隐患时,向所述安全监测人员监控端发起安全告警。
进一步地,所述执行模块包括:
有效处理模块,用于当判断所述安全告警有效时,所述安全监测人员监控端对当前安全告警进行有效性处理,并将处理结果发送至所述二线人员操作端;
二次分析模块,用于所述二线人员操作端在接收到所述处理结果后,对当前安全告警对应的网络事件进行二次分析,判断当前安全告警对应的网络事件是否真正需要生成,并在确定当前网络事件真正需要生成时,向所述处置人员操作端发送处置执行信息;
指令发送模块,用于所述处置人员操作端在接收到处置执行信息时,即刻向应用系统和/或网络安全运行设备对应的管理员操作端发送安全隐患排除指令及安全告警事件对应的所有分析数据。
其中,所述二次分析模块包括:
提取模块,用于提取所述安全监测人员监控端的有效性判断分析过程和分析指标依据;
展示及等级确认模块,用于将所述分析过程和所述分析指标依据进行一一展示,并且,对分析过程和每个分析指标依据进行一一展示时,向所述二线人员操作端对应的工作人员获取分析过程和每个分析指标依据的有效性等级确认,其中,所述有效性等级包括无效、初级、中级和高级;
评价参数获取模块,用于所述二线人员操作端接收其对应的工作人员发送的等级确认结果,并结合有效性评价模型,获取针对当前安全告警对应的网络事件的告警有效性评价参数;其中,所述有效性评价模型如下:
其中,Q表示告警有效性评价参数;H 1表示分析过程有效性等级对应的参数值;h w 、h c 、h z 和h g 分别对应表示无效、初级、中级和高级的分析指标依据的个数;n表示分析指标依据的总个数;H 2i 表示第i个分析指标依据的有效性等级对应的参数值;其中,各有效性等级对应的参数分别为:无效对应数值2.3,初级对应数值2.5,中级对应数值2.8,高级对应数值3.1;当Q<0时,令Q=0;α 1、α 2和α 3均表示参数调整系数,并且,满足以下约束条件:
且
有效性确定模块,用于当所述告警有效性评价参数低于预先设置的阈值时,则确定当前安全告警对应的网络事件为无效,不需要真正生成该事件;当所述告警有效性评价参数大于或等于预先设置的阈值时,则确定当前安全告警对应的网络事件为有效,需要真正生成该。
进一步地,所述有效处理模块包括:
信息发送模块,用于所述安全监测人员监控端向所述安全处置平台发送告警有效指令和有效性判断分析过程及网络事件数据信息;
事件创建模块,用于所述安全处置平台在接收到所述安全监测人员监控端的告警有效指令后,针对当前安全告警对应的网络事件在安全处置平台内部创建一个事件;
信息存储模块,用于所述安全处置平台提取所述当前安全告警对应的网络事件的有效性判断分析过程及网络事件数据信息,并将所述有效性判断分析过程及网络事件数据信息存储至创建的所述事件下;其中,所述网络事件数据信息包括网络事件对应的图片、文字和代码等电子证据信息。
进一步地,所述索引归档模块包括:
处理数据发送模块,用于在所述各监控操作端进行安全告警对应的网络事件处理过程中;各监控操作端将其对所述安全告警对应的网络事件的所有处理数据发送至安全处置平台;
归档索引及存储执行模块,用于所述安全处置平台在接收到对各监控操作端对应的处理数据后,对所述各监控操作端发送的处理数据进行存储、归档和索引建立。其中,所述处理数据包括但不限于白名单、安全分析数据、网络安全事件的概况、详情、所涉及的应用系统、相关互联网地址、图片等电子证据、处理的时间段、处理的人员及处理的全过程等各个方面信息数据。
本发明有益效果:
本发明提出的一种网络安全应急处置方法和系统对相关网络安全事件通过流程上的规范完成事件的全生命周期的追溯,确保每一个安全事件均得到妥善处置,同时针对每一个安全事件完成归档,支持从网络安全事件的概况、详情、所涉及的应用系统、相关互联网地址、图片等电子证据,处理的时间段、处理的人员及处理的全过程等各个方面进行索引,能在极快的时间内完成对所有发生过的安全事件进行查询或筛选,并给用户以表格的形式展现。并且支持保存在处理过程中生成的相关信息,并支持相关的查询功能,进一步提高企业整体安全防护水平,并提供相关信息的可查性。
附图说明
图1为本发明所述方法的流程图一;
图2为本发明所述方法的流程图二;
图3为本发明所述系统的系统框图。
具体实施方式
以下结合附图对本发明的优选实时例进行说明,应当理解,此处所描述的优选实时例仅用于说明和解释本发明,并不用于限定本发明。
企业内部随时都会发生网络安全事件,通常这些事件由各个安全设备进行告警,并由相关安全人员分析后,对相关事件进行处置,最后生成一份完整的事件报告进行归档,但由于不同厂家的安全设备告警格式不同,且并非所有告警都可能生成事件,故现有的安全平台并不能提供对安全事件的记录,现阶段对于安全人员来说主要的记录手段还停留在使用文档的层面,且并没有一个统一的格式完成对事件的记录,而且使用文档最大的一个问题是并不能对事件中的有效信息进行索引,搜索极不方便,且在处理安全事件的过程中会生成一部分例如白名单、处置的过程及结果等信息,对于该类信息在处理后续的安全事件提供了极大的帮助,这部分信息同样没有一个合适的系统进行记录。而且企业中对于安全事件的产生、验证、处置等工作并不是由一个人完成的,由于安全事件要求的即时性及保密性,需要实时将自己的工作结果通过安全的信道与流程中的下一个工作阶段的人分享,且流程中的每一个人的工作成果都是安全事件处置流程中应该归档的部分,而这个安全事件处置平台在整个安全事件的闭环处置流程中完成了这部分的工作,从安全事件的发现、记录、处置、归档、索引等各个方面提供了一个统一的平台。
本发明实施例提出了一种网络安全应急处置方法,如图1所示,所述网络安全应急处置方法包括:
S1、安全处置平台利用应用系统和网络安全运行设备的实时运行参数判断是否发起安全告警;
S2、安全监测人员监控端在接收到安全告警后,对安全告警对应的网络事件进行有效性分析,判断当前安全告警属于有效告警还是误告警;
S3、当判断所述安全告警属于有效告警时,各监控操作端执行告警有效性操作进行安全告警排除;其中,所述各监控操作端包括安全监测人员监控端、二线人员操作端、处置人员操作端和管理员操作端;
S4、所述安全处置平台对所述安全告警对应的网络事件的处理过程进行数据存储、归档和索引建立。
其中,安全处置平台利用应用系统和网络安全运行设备的实时运行参数判断是否发起安全告警,包括:
S101、安全处置平台的数据采集端实时接收应用系统和网络安全运行设备的实时运行参数;
S102、根据运行参数判断所述应用系统和网络安全运行设备是否出现安全隐患情况;
S103、当出现安全隐患时,向所述安全监测人员监控端发起安全告警。
所述安全处置平台对所述安全告警对应的网络事件的处理过程进行数据存储、归档和索引建立,包括:
S401、在所述各监控操作端进行安全告警对应的网络事件处理过程中,各监控操作端将其对所述安全告警对应的网络事件的所有处理数据发送至安全处置平台;
S402、所述安全处置平台在接收到对各监控操作端对应的处理数据后,对所述各监控操作端发送的处理数据进行存储、归档和索引建立。其中,所述处理数据包括但不限于白名单、安全分析数据、网络安全事件的概况、详情、所涉及的应用系统、相关互联网地址、图片等电子证据、处理的时间段、处理的人员及处理的全过程等各个方面信息数据。
上述技术方案的工作原理及效果为:本实施例提出的一种网络安全应急处置方法对相关网络安全事件通过流程上的规范完成事件的全生命周期的追溯,确保每一个安全事件均得到妥善处置,同时针对每一个安全事件完成归档,支持从网络安全事件的概况、详情、所涉及的应用系统、相关互联网地址、图片等电子证据,处理的时间段、处理的人员及处理的全过程等各个方面进行索引,能在极快的时间内完成对所有发生过的安全事件进行查询或筛选,并给用户以表格的形式展现。并且支持保存在处理过程中生成的相关信息,并支持相关的查询功能,进一步提高企业整体安全防护水平,并提供相关信息的可查性。
本发明的一个实施例,如图2所示,当判断所述安全告警属于有效告警时,各监控操作端执行告警有效性操作进行安全告警排除,包括:
S301、当判断所述安全告警有效时,所述安全监测人员监控端对当前安全告警进行有效性处理,并将处理结果发送至所述二线人员操作端;
其中,当判断所述安全告警有效时,所述安全监测人员监控端对当前安全告警进行有效性处理,包括:
S3011、所述安全监测人员监控端向所述安全处置平台发送告警有效指令和有效性判断分析过程及网络事件数据信息;
S3012、所述安全处置平台在接收到所述安全监测人员监控端的告警有效指令后,针对当前安全告警对应的网络事件在安全处置平台内部创建一个事件;
S3013、所述安全处置平台提取所述当前安全告警对应的网络事件的有效性判断分析过程及网络事件数据信息,并将所述有效性判断分析过程及网络事件数据信息存储至创建的所述事件下;其中,所述网络事件数据信息包括网络事件对应的图片、文字和代码等电子证据信息。
S302、所述二线人员操作端在接收到所述处理结果后,对当前安全告警对应的网络事件进行二次分析,判断当前安全告警对应的网络事件是否真正需要生成,并在确定当前网络事件真正需要生成时,向所述处置人员操作端发送处置执行信息;
S303、所述处置人员操作端在接收到处置执行信息时,即刻向应用系统和/或网络安全运行设备对应的管理员操作端发送安全隐患排除指令及安全告警事件对应的所有分析数据。
其中,所述二线人员操作端在接收到所述处理结果后,对当前安全告警对应的网络事件进行二次分析,判断当前安全告警对应的网络事件是否真正需要生成,包括:
S3021、提取所述安全监测人员监控端的有效性判断分析过程和分析指标依据;
S3022、将所述分析过程和所述分析指标依据进行一一展示,并且,对分析过程和每个分析指标依据进行一一展示时,向所述二线人员操作端对应的工作人员获取分析过程和每个分析指标依据的有效性等级确认,其中,所述有效性等级包括无效、初级、中级和高级;
S3023、所述二线人员操作端接收其对应的工作人员发送的等级确认结果,并结合有效性评价模型,获取针对当前安全告警对应的网络事件的告警有效性评价参数;其中,所述有效性评价模型如下:
其中,Q表示告警有效性评价参数;H 1表示分析过程有效性等级对应的参数值;h w 、h c 、h z 和h g 分别对应表示无效、初级、中级和高级的分析指标依据的个数;n表示分析指标依据的总个数;H 2i 表示第i个分析指标依据的有效性等级对应的参数值;其中,各有效性等级对应的参数分别为:无效对应数值2.3,初级对应数值2.5,中级对应数值2.8,高级对应数值3.1;当Q<0时,令Q=0;α 1、α 2和α 3均表示参数调整系数,并且,满足以下约束条件:
且
S3024、当所述告警有效性评价参数低于预先设置的阈值时,则确定当前安全告警对应的网络事件为无效,不需要真正生成该事件;当所述告警有效性评价参数大于或等于预先设置的阈值时,则确定当前安全告警对应的网络事件为有效,需要真正生成该。
上述技术方案的工作原理及效果为:本实施例提出的一种网络安全应急处置方法对相关网络安全事件通过流程上的规范完成事件的全生命周期的追溯,确保每一个安全事件均得到妥善处置,同时针对每一个安全事件完成归档,支持从网络安全事件的概况、详情、所涉及的应用系统、相关互联网地址、图片等电子证据,处理的时间段、处理的人员及处理的全过程等各个方面进行索引,能在极快的时间内完成对所有发生过的安全事件进行查询或筛选,并给用户以表格的形式展现。并且支持保存在处理过程中生成的相关信息,并支持相关的查询功能,进一步提高企业整体安全防护水平,并提供相关信息的可查性。同时,通过上述方式和公式能够有效提高事件有效性验证的准确性和安全性。
本发明实施例提出了一种网络安全应急处置系统,如图3所示,所述网络安全应急处置系统包括:
告警判断模块,用于安全处置平台利用应用系统和网络安全运行设备的实时运行参数判断是否发起安全告警;
有效性判断模块,用于安全监测人员监控端在接收到安全告警后,对安全告警对应的网络事件进行有效性分析,判断当前安全告警属于有效告警还是误告警;
执行模块,用于当判断所述安全告警属于有效告警时,各监控操作端执行告警有效性操作进行安全告警排除;其中,所述各监控操作端包括安全监测人员监控端、二线人员操作端、处置人员操作端和管理员操作端;
索引归档模块,用于所述安全处置平台对所述安全告警对应的网络事件的处理过程进行数据存储、归档和索引建立。
其中,所述告警判断模块包括:
采集模块,用于安全处置平台的数据采集端实时接收应用系统和网络安全运行设备的实时运行参数;
安全隐患判断模块,用于根据运行参数判断所述应用系统和网络安全运行设备是否出现安全隐患情况;
告警发起模块,用于当出现安全隐患时,向所述安全监测人员监控端发起安全告警。
所述索引归档模块包括:
处理数据发送模块,用于在所述各监控操作端进行安全告警对应的网络事件处理过程中;各监控操作端将其对所述安全告警对应的网络事件的所有处理数据发送至安全处置平台;
归档索引及存储执行模块,用于所述安全处置平台在接收到对各监控操作端对应的处理数据后,对所述各监控操作端发送的处理数据进行存储、归档和索引建立。其中,所述处理数据包括但不限于白名单、安全分析数据、网络安全事件的概况、详情、所涉及的应用系统、相关互联网地址、图片等电子证据、处理的时间段、处理的人员及处理的全过程等各个方面信息数据。
上述技术方案的工作原理及效果为:本实施例提出的一种网络安全应急处置系统对相关网络安全事件通过流程上的规范完成事件的全生命周期的追溯,确保每一个安全事件均得到妥善处置,同时针对每一个安全事件完成归档,支持从网络安全事件的概况、详情、所涉及的应用系统、相关互联网地址、图片等电子证据,处理的时间段、处理的人员及处理的全过程等各个方面进行索引,能在极快的时间内完成对所有发生过的安全事件进行查询或筛选,并给用户以表格的形式展现。并且支持保存在处理过程中生成的相关信息,并支持相关的查询功能,进一步提高企业整体安全防护水平,并提供相关信息的可查性。
本发明的一个实施例,所述执行模块包括:
有效处理模块,用于当判断所述安全告警有效时,所述安全监测人员监控端对当前安全告警进行有效性处理,并将处理结果发送至所述二线人员操作端;
二次分析模块,用于所述二线人员操作端在接收到所述处理结果后,对当前安全告警对应的网络事件进行二次分析,判断当前安全告警对应的网络事件是否真正需要生成,并在确定当前网络事件真正需要生成时,向所述处置人员操作端发送处置执行信息;
指令发送模块,用于所述处置人员操作端在接收到处置执行信息时,即刻向应用系统和/或网络安全运行设备对应的管理员操作端发送安全隐患排除指令及安全告警事件对应的所有分析数据。
其中,所述二次分析模块包括:
提取模块,用于提取所述安全监测人员监控端的有效性判断分析过程和分析指标依据;
展示及等级确认模块,用于将所述分析过程和所述分析指标依据进行一一展示,并且,对分析过程和每个分析指标依据进行一一展示时,向所述二线人员操作端对应的工作人员获取分析过程和每个分析指标依据的有效性等级确认,其中,所述有效性等级包括无效、初级、中级和高级;
评价参数获取模块,用于所述二线人员操作端接收其对应的工作人员发送的等级确认结果,并结合有效性评价模型,获取针对当前安全告警对应的网络事件的告警有效性评价参数;其中,所述有效性评价模型如下:
其中,Q表示告警有效性评价参数;H 1表示分析过程有效性等级对应的参数值;h w 、h c 、h z 和h g 分别对应表示无效、初级、中级和高级的分析指标依据的个数;n表示分析指标依据的总个数;H 2i 表示第i个分析指标依据的有效性等级对应的参数值;其中,各有效性等级对应的参数分别为:无效对应数值2.3,初级对应数值2.5,中级对应数值2.8,高级对应数值3.1;当Q<0时,令Q=0;α 1、α 2和α 3均表示参数调整系数,并且,满足以下约束条件:
且
有效性确定模块,用于当所述告警有效性评价参数低于预先设置的阈值时,则确定当前安全告警对应的网络事件为无效,不需要真正生成该事件;当所述告警有效性评价参数大于或等于预先设置的阈值时,则确定当前安全告警对应的网络事件为有效,需要真正生成该。
所述有效处理模块包括:
信息发送模块,用于所述安全监测人员监控端向所述安全处置平台发送告警有效指令和有效性判断分析过程及网络事件数据信息;
事件创建模块,用于所述安全处置平台在接收到所述安全监测人员监控端的告警有效指令后,针对当前安全告警对应的网络事件在安全处置平台内部创建一个事件;
信息存储模块,用于所述安全处置平台提取所述当前安全告警对应的网络事件的有效性判断分析过程及网络事件数据信息,并将所述有效性判断分析过程及网络事件数据信息存储至创建的所述事件下;其中,所述网络事件数据信息包括网络事件对应的图片、文字和代码等电子证据信息。
上述技术方案的工作原理及效果为:本实施例提出的一种网络安全应急处置系统对相关网络安全事件通过流程上的规范完成事件的全生命周期的追溯,确保每一个安全事件均得到妥善处置,同时针对每一个安全事件完成归档,支持从网络安全事件的概况、详情、所涉及的应用系统、相关互联网地址、图片等电子证据,处理的时间段、处理的人员及处理的全过程等各个方面进行索引,能在极快的时间内完成对所有发生过的安全事件进行查询或筛选,并给用户以表格的形式展现。并且支持保存在处理过程中生成的相关信息,并支持相关的查询功能,进一步提高企业整体安全防护水平,并提供相关信息的可查性。同时,通过上述方式和公式能够有效提高事件有效性验证的准确性和安全性。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (8)
1.一种网络安全应急处置方法,其特征在于,所述网络安全应急处置方法包括:
安全处置平台利用应用系统和网络安全运行设备的实时运行参数判断是否发起安全告警;
安全监测人员监控端在接收到安全告警后,对安全告警对应的网络事件进行有效性分析,判断当前安全告警属于有效告警还是误告警;
当判断所述安全告警属于有效告警时,各监控操作端执行告警有效性操作进行安全告警排除;其中,所述各监控操作端包括安全监测人员监控端、二线人员操作端、处置人员操作端和管理员操作端;
所述安全处置平台对所述安全告警对应的网络事件的处理过程进行数据存储、归档和索引建立;
当判断所述安全告警属于有效告警时,各监控操作端执行告警有效性操作进行安全告警排除,包括:
当判断所述安全告警有效时,所述安全监测人员监控端对当前安全告警进行有效性处理,并将处理结果发送至所述二线人员操作端;
所述二线人员操作端在接收到所述处理结果后,对当前安全告警对应的网络事件进行二次分析,判断当前安全告警对应的网络事件是否真正需要生成,并在确定当前网络事件真正需要生成时,向所述处置人员操作端发送处置执行信息;
所述处置人员操作端在接收到处置执行信息时,即刻向应用系统和/或网络安全运行设备对应的管理员操作端发送安全隐患排除指令及安全告警事件对应的所有分析数据;
所述二线人员操作端在接收到所述处理结果后,对当前安全告警对应的网络事件进行二次分析,判断当前安全告警对应的网络事件是否真正需要生成,包括:
提取所述安全监测人员监控端的有效性判断分析过程和分析指标依据;
将所述分析过程和所述分析指标依据进行一一展示,并且,对分析过程和每个分析指标依据进行一一展示时,向所述二线人员操作端对应的工作人员获取分析过程和每个分析指标依据的有效性等级确认,其中,所述有效性等级包括无效、初级、中级和高级;
所述二线人员操作端接收其对应的工作人员发送的等级确认结果,并结合有效性评价模型,获取针对当前安全告警对应的网络事件的告警有效性评价参数;其中,所述有效性评价模型如下:
其中,Q表示告警有效性评价参数;H 1表示分析过程有效性等级对应的参数值;h w 、h c 、h z 和h g 分别对应表示无效、初级、中级和高级的分析指标依据的个数;n表示分析指标依据的总个数;H 2i 表示第i个分析指标依据的有效性等级对应的参数值;其中,各有效性等级对应的参数分别为:无效对应数值2.3,初级对应数值2.5,中级对应数值2.8,高级对应数值3.1;当Q<0时,令Q=0;α 1、α 2和α 3均表示参数调整系数,并且,满足以下约束条件:
且
当所述告警有效性评价参数低于预先设置的阈值时,则确定当前安全告警对应的网络事件为无效,不需要真正生成该事件;当所述告警有效性评价参数大于或等于预先设置的阈值时,则确定当前安全告警对应的网络事件为有效,需要真正生成该网络事件。
2.根据权利要求1所述网络安全应急处置方法,其特征在于,安全处置平台利用应用系统和网络安全运行设备的实时运行参数判断是否发起安全告警,包括:
安全处置平台的数据采集端实时接收应用系统和网络安全运行设备的实时运行参数;
根据运行参数判断所述应用系统和网络安全运行设备是否出现安全隐患情况;
当出现安全隐患时,向所述安全监测人员监控端发起安全告警。
3.根据权利要求1所述网络安全应急处置方法,其特征在于,当判断所述安全告警有效时,所述安全监测人员监控端对当前安全告警进行有效性处理,包括:
所述安全监测人员监控端向所述安全处置平台发送告警有效指令和有效性判断分析过程及网络事件数据信息;
所述安全处置平台在接收到所述安全监测人员监控端的告警有效指令后,针对当前安全告警对应的网络事件在安全处置平台内部创建一个事件;
所述安全处置平台提取所述当前安全告警对应的网络事件的有效性判断分析过程及网络事件数据信息,并将所述有效性判断分析过程及网络事件数据信息存储至创建的所述事件下;其中,所述网络事件数据信息包括网络事件对应的图片、文字和代码。
4.根据权利要求1所述网络安全应急处置方法,其特征在于,所述安全处置平台对所述安全告警对应的网络事件的处理过程进行数据存储、归档和索引建立,包括:
在所述各监控操作端进行安全告警对应的网络事件处理过程中,各监控操作端将其对所述安全告警对应的网络事件的所有处理数据发送至安全处置平台;
所述安全处置平台在接收到对各监控操作端对应的处理数据后,对所述各监控操作端发送的处理数据进行存储、归档和索引建立。
5.一种网络安全应急处置系统,其特征在于,所述网络安全应急处置系统包括:
告警判断模块,用于安全处置平台利用应用系统和网络安全运行设备的实时运行参数判断是否发起安全告警;
有效性判断模块,用于安全监测人员监控端在接收到安全告警后,对安全告警对应的网络事件进行有效性分析,判断当前安全告警属于有效告警还是误告警;
执行模块,用于当判断所述安全告警属于有效告警时,各监控操作端执行告警有效性操作进行安全告警排除;其中,所述各监控操作端包括安全监测人员监控端、二线人员操作端、处置人员操作端和管理员操作端;
索引归档模块,用于所述安全处置平台对所述安全告警对应的网络事件的处理过程进行数据存储、归档和索引建立;
所述执行模块包括:
有效处理模块,用于当判断所述安全告警有效时,所述安全监测人员监控端对当前安全告警进行有效性处理,并将处理结果发送至所述二线人员操作端;
二次分析模块,用于所述二线人员操作端在接收到所述处理结果后,对当前安全告警对应的网络事件进行二次分析,判断当前安全告警对应的网络事件是否真正需要生成,并在确定当前网络事件真正需要生成时,向所述处置人员操作端发送处置执行信息;
指令发送模块,用于所述处置人员操作端在接收到处置执行信息时,即刻向应用系统和/或网络安全运行设备对应的管理员操作端发送安全隐患排除指令及安全告警事件对应的所有分析数据;
所述二线人员操作端在接收到所述处理结果后,对当前安全告警对应的网络事件进行二次分析,判断当前安全告警对应的网络事件是否真正需要生成,包括:
提取所述安全监测人员监控端的有效性判断分析过程和分析指标依据;
将所述分析过程和所述分析指标依据进行一一展示,并且,对分析过程和每个分析指标依据进行一一展示时,向所述二线人员操作端对应的工作人员获取分析过程和每个分析指标依据的有效性等级确认,其中,所述有效性等级包括无效、初级、中级和高级;
所述二线人员操作端接收其对应的工作人员发送的等级确认结果,并结合有效性评价模型,获取针对当前安全告警对应的网络事件的告警有效性评价参数;其中,所述有效性评价模型如下:
其中,Q表示告警有效性评价参数;H 1表示分析过程有效性等级对应的参数值;h w 、h c 、h z 和h g 分别对应表示无效、初级、中级和高级的分析指标依据的个数;n表示分析指标依据的总个数;H 2i 表示第i个分析指标依据的有效性等级对应的参数值;其中,各有效性等级对应的参数分别为:无效对应数值2.3,初级对应数值2.5,中级对应数值2.8,高级对应数值3.1;当Q<0时,令Q=0;α 1、α 2和α 3均表示参数调整系数,并且,满足以下约束条件:
且
当所述告警有效性评价参数低于预先设置的阈值时,则确定当前安全告警对应的网络事件为无效,不需要真正生成该事件;当所述告警有效性评价参数大于或等于预先设置的阈值时,则确定当前安全告警对应的网络事件为有效,需要真正生成该。
6.根据权利要求5所述网络安全应急处置系统,其特征在于,所述告警判断模块包括:
采集模块,用于安全处置平台的数据采集端实时接收应用系统和网络安全运行设备的实时运行参数;
安全隐患判断模块,用于根据运行参数判断所述应用系统和网络安全运行设备是否出现安全隐患情况;
告警发起模块,用于当出现安全隐患时,向所述安全监测人员监控端发起安全告警。
7.根据权利要求6所述网络安全应急处置系统,其特征在于,所述有效处理模块包括:
信息发送模块,用于所述安全监测人员监控端向所述安全处置平台发送告警有效指令和有效性判断分析过程及网络事件数据信息;
事件创建模块,用于所述安全处置平台在接收到所述安全监测人员监控端的告警有效指令后,针对当前安全告警对应的网络事件在安全处置平台内部创建一个事件;
信息存储模块,用于所述安全处置平台提取所述当前安全告警对应的网络事件的有效性判断分析过程及网络事件数据信息,并将所述有效性判断分析过程及网络事件数据信息存储至创建的所述事件下;其中,所述网络事件数据信息包括网络事件对应的图片、文字和代码。
8.根据权利要求5所述网络安全应急处置系统,其特征在于,所述索引归档模块包括:
处理数据发送模块,用于在所述各监控操作端进行安全告警对应的网络事件处理过程中;各监控操作端将其对所述安全告警对应的网络事件的所有处理数据发送至安全处置平台;
归档索引及存储执行模块,用于所述安全处置平台在接收到对各监控操作端对应的处理数据后,对所述各监控操作端发送的处理数据进行存储、归档和索引建立。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211195076.5A CN115277265B (zh) | 2022-09-29 | 2022-09-29 | 一种网络安全应急处置方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211195076.5A CN115277265B (zh) | 2022-09-29 | 2022-09-29 | 一种网络安全应急处置方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115277265A CN115277265A (zh) | 2022-11-01 |
CN115277265B true CN115277265B (zh) | 2022-12-13 |
Family
ID=83756559
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211195076.5A Active CN115277265B (zh) | 2022-09-29 | 2022-09-29 | 一种网络安全应急处置方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115277265B (zh) |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101470426B (zh) * | 2007-12-27 | 2011-02-16 | 北京北方微电子基地设备工艺研究中心有限责任公司 | 一种故障检测的方法和系统 |
CN108648786B (zh) * | 2018-05-16 | 2021-01-08 | 上海术木医疗科技有限公司 | 一种基于第三方业务的医疗云平台数据共享系统及方法 |
CN113067843A (zh) * | 2020-01-02 | 2021-07-02 | 中国电力科学研究院有限公司 | 一种配电物联网网络的安全监测与联动防御系统及方法 |
CN113971545A (zh) * | 2020-07-23 | 2022-01-25 | 北京鼹鼠智慧科技有限公司 | 一种应用于智慧园区的综合报警平台系统 |
CN112491805B (zh) * | 2020-11-04 | 2023-07-28 | 深圳供电局有限公司 | 一种应用于云平台的网络安全设备管理系统 |
CN114090374B (zh) * | 2021-11-08 | 2024-05-28 | 北京许继电气有限公司 | 网络安全运营管理平台 |
-
2022
- 2022-09-29 CN CN202211195076.5A patent/CN115277265B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN115277265A (zh) | 2022-11-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1705938A (zh) | 信息基础结构的综合攻击事故应对系统及其运营方法 | |
CN111224988A (zh) | 一种网络安全信息过滤方法 | |
CN103026345A (zh) | 用于事件监测优先级的动态多维模式 | |
CN108551449B (zh) | 防病毒管理系统及方法 | |
KR102516819B1 (ko) | 빅데이터를 기반으로 위협 이벤트를 분석하고 대응하도록 지원하는 방법 및 이를 이용한 서버 | |
CN109684863B (zh) | 数据防泄漏方法、装置、设备及存储介质 | |
CN104378228A (zh) | 网络数据安全管理系统及方法 | |
KR102295488B1 (ko) | 위험 분석을 위한 보안요소 지수화 시스템 및 방법 | |
CN114050937A (zh) | 邮箱服务不可用的处理方法、装置、电子设备及存储介质 | |
CN115277265B (zh) | 一种网络安全应急处置方法和系统 | |
US20070118906A1 (en) | System and method for deprioritizing and presenting data | |
CN104376254A (zh) | 一种日志审计方法及系统 | |
CN112732539A (zh) | 一种基于人员组织、岗位信息异动的数据责任调整预警方法及系统 | |
CN111049853A (zh) | 一种基于计算机网络的安全认证系统 | |
JP2006295232A (ja) | セキュリティ監視装置、セキュリティ監視方法、及びプログラム | |
KR101973728B1 (ko) | 통합 보안 이상징후 모니터링 시스템 | |
CN115577369A (zh) | 源代码泄露行为检测方法、装置、电子设备及存储介质 | |
CN106649343B (zh) | 一种网络数据信息处理方法及设备 | |
CN114490261A (zh) | 一种终端安全事件联动处理方法、装置和设备 | |
CN103856920B (zh) | 一种数据处理方法和装置 | |
CN117240554B (zh) | 安全事件的治理方法及电子设备 | |
JP2005284350A (ja) | 設備運用管理システム及び設備運用管理方法 | |
CN118214607B (zh) | 基于大数据的安全评价管理方法、系统、设备及存储介质 | |
CN114221787B (zh) | 基于时间策略的网络安全处理方法、系统和存储介质 | |
CN117596268A (zh) | 在线设备故障集中诊断方法、系统、终端及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |