CN115426196B - 一种安全防御任务生成方法、装置、设备及介质 - Google Patents
一种安全防御任务生成方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN115426196B CN115426196B CN202211343007.4A CN202211343007A CN115426196B CN 115426196 B CN115426196 B CN 115426196B CN 202211343007 A CN202211343007 A CN 202211343007A CN 115426196 B CN115426196 B CN 115426196B
- Authority
- CN
- China
- Prior art keywords
- security
- defense
- policy
- task
- log
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请公开了一种安全防御任务生成方法、装置、设备及介质,涉及计算机技术领域,包括:获取日志,并判断所述日志是否符合入侵条件,若所述日志符合入侵条件,则基于所述日志生成安全事件;基于所述安全事件从预设的防御规划库中所有的已部署安全事件中筛选出目标已部署安全事件;确定出所述安全事件的生成时间,并基于所述生成时间对所述目标已部署安全事件进行部署配置,以得到安全防御任务。通过本申请的上述技术方案,能够有效解决自定义协同防御强度与执行时间的配置和安全策略生成与下发的管理问题,提高安全防御任务生成效率。
Description
技术领域
本发明涉及计算机技术领域,特别涉及一种安全防御任务生成方法、装置、设备及介质。
背景技术
在日常工作中,为防御已知或者未知的网络威胁,可通过系统与安全设备的交互,设定安全策略。但是在实际的攻防场景,例如不同的时间段,系统受到威胁的类型,数量、影响范围都不相同。考虑到防御强度和业务运作的收益平衡,需要在不同的时间段或场景使用不同的协同防御。协同防御生成的安全策略,如只是通过接口形式下发给安全设备,能够实现设备的防御联动,但是不在系统侧进行可视化管理或不支持设备侧的修改/删除联动,会对后期防御的管理增加难度。动态协同防御与安全策略管理方法,既能满足对于威胁的动态防御,也能便于日常工作中对于设备侧的策略管理。为解决动态协同防御的问题,现有技术从决策部署、协同监控角度出发,提出了一种用于网络防护的协同防御方法和系统,该系统包括决策与部署层、以及协同与监控层;决策与部署层利用获取到的网络安全预警事件,根据网络安全的防御目的和网络安全现状制定防御意图,而后由决策引擎产生网络防御策略,并根据防御策略部署防御任务;协同与监控层包括控制中心和网络安全设备,实现网络安全设备间的协同任务部署和网络防御情况的实时监控; 控制中心与决策与部署层、网络安全设备通信连接,进行数据流控制和逻辑控制;控制中心包括协同防御策略分析模块、协同防御策略订阅模块和协同防御策略分发模块。现有技术能实现根据网络安全事件以及不同防御目进行协同部署的能力,并采取预先设定的防御模式执行判定与设备联动,达到协同防御的效果。在实际威胁产生,系统启动协同防御后,根据程序配置,由策略处理模块和网络拓扑处理模块进行分析,抽取,然后确定保护对象、安全事件场景、确定操作实体后生成防御任务,向指定的安全设备下发安全策略完成防御。由于防御强度的高低会对正常业务的运作造成不同的影响,现有技术无法支持动态切换防御配置以满足与正常业务执行效率的平衡,策略下发之后,对于系统与设备端的相应策略内容需要支持同步,即系统侧执行了协同防御下发了策略,如未存在策略的同步管理模块,会对后期的运维管理人员产生巨大工作量,即除了协同防御重要的策略处理模块之外,还需要策略管理模块。现有技术暂时无法支持策略的有效管理。
由上可见,在安全防御任务生成的过程中,如何解决自定义协同防御强度与执行时间的配置和安全策略生成与下发的管理问题,提高安全防御任务生成效率是本领域有待解决的问题。
发明内容
有鉴于此,本发明的目的在于提供一种安全防御任务生成方法、装置、设备及介质,能够有效解决自定义协同防御强度与执行时间的配置和安全策略生成与下发的管理问题,提高安全防御任务生成效率。其具体方案如下:
第一方面,本申请公开了一种安全防御任务生成方法,包括:
获取日志,并判断所述日志是否符合入侵条件,若所述日志符合入侵条件,则基于所述日志生成安全事件;
基于所述安全事件从预设的防御规划库中所有的已部署安全事件中筛选出目标已部署安全事件;
确定出所述安全事件的生成时间,并基于所述生成时间对所述目标已部署安全事件进行部署配置,以得到安全防御任务。
可选的,所述获取日志,并判断所述日志是否符合入侵条件,包括:
从与本地相连接的预设采集器中获取日志;
利用本地的预设分析模型判断所述日志是否符合入侵条件。
可选的,所述基于所述安全事件从预设的防御规划库中所有的已部署安全事件中筛选出目标已部署安全事件之前,还包括:
从预设的防御规划库中创建空白安全事件;
根据预设场景需求确定出安全防御执行时间、安全防御信息以及安全防御设备信息,并基于所述安全防御执行时间、所述安全防御信息以及所述安全防御设备信息对所述空白安全事件进行部署,以得到已部署安全事件。
可选的,所述确定出所述安全事件的生成时间,并基于所述生成时间对所述目标已部署安全事件进行部署配置,包括:
确定出所述安全事件的生成时间,并根据所述安全事件确定安全防御强度;
根据所述安全防御强度对所述目标已部署安全事件进行部署配置。
可选的,所述以得到安全防御任务之后,还包括:
根据所述安全防御任务生成安全策略;
将所述安全策略发送至待防御的安全设备,以便所述安全设备基于所述安全策略进行安全防御。
可选的,所述将所述安全策略发送至待防御的安全设备之后,还包括:
建立本地与所述安全设备之间的策略可视化;
同时,建立本地与所述安全设备之间的策略同步关系。
可选的,所述的安全防御任务生成方法,还包括:
若客户端对所述安全设备中的所述安全策略进行更改,则基于所述策略同步关系本地中相应的所述安全策略进行同步更改;
若客户端对本地的所述安全策略进行更新,则基于所述策略同步关系所述安全设备中相应的所述安全策略进行同步更新。
第二方面,本申请公开了一种安全防御任务生成装置,包括:
判断模块,用于获取日志,并判断所述日志是否符合入侵条件,若所述日志符合入侵条件,则基于所述日志生成安全事件;
安全事件确定模块,用于基于所述安全事件从预设的防御规划库中所有的已部署安全事件中筛选出目标已部署安全事件;
安全防御任务生成模块,用于确定出所述安全事件的生成时间,并基于所述生成时间对所述目标已部署安全事件进行部署配置,以得到安全防御任务。
第三方面,本申请公开了一种电子设备,包括:
存储器,用于保存计算机程序;
处理器,用于执行所述计算机程序,以实现前述的安全防御任务生成方法。
第四方面,本申请公开了一种计算机存储介质,用于保存计算机程序;其中,所述计算机程序被处理器执行时实现前述公开的安全防御任务生成方法的步骤。
可见,本申请提供了一种安全防御任务生成方法,包括获取日志,并判断所述日志是否符合入侵条件,若所述日志符合入侵条件,则基于所述日志生成安全事件;基于所述安全事件从预设的防御规划库中所有的已部署安全事件中筛选出目标已部署安全事件;确定出所述安全事件的生成时间,并基于所述生成时间对所述目标已部署安全事件进行部署配置,以得到安全防御任务。本申请基于所述生成时间对所述目标已部署安全事件进行部署配置,可以针对性的在不同时间段采取不同强度的防御模式,以达到防御强度与业务执行效率的平衡性,能够以全天不同时间段的动态协同来完成协同防御,并且,本申请在策略下发之后,系统与设备端的相应策略内容支持同步,即协同防御的安全策略能够下发,能够在系统侧可视,也能支持设备侧和系统侧的修改同步联动,既减轻了后期运维的工作量,也能够完整的展示协同防御安全策略的整个生命周期,达到协同防御结果的闭环,从而解决自定义协同防御强度与执行时间的配置和安全策略生成与下发的管理问题,提高安全防御任务生成效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请公开的一种安全防御任务生成方法流程图;
图2为本申请公开的一种安全防御任务生成方法流程图;
图3为本申请公开的一种安全防御任务生成方法具体流程图;
图4为本申请公开的一种安全防御任务生成系统结构图;
图5为本申请公开的一种安全防御任务生成装置结构示意图;
图6为本申请提供的一种电子设备结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在日常工作中,为防御已知或者未知的网络威胁,可通过系统与安全设备的交互,设定安全策略。但是在实际的攻防场景,例如不同的时间段,系统受到威胁的类型,数量、影响范围都不相同。考虑到防御强度和业务运作的收益平衡,需要在不同的时间段或场景使用不同的协同防御。协同防御生成的安全策略,如只是通过接口形式下发给安全设备,能够实现设备的防御联动,但是不在系统侧进行可视化管理或不支持设备侧的修改/删除联动,会对后期防御的管理增加难度。动态协同防御与安全策略管理方法,既能满足对于威胁的动态防御,也能便于日常工作中对于设备侧的策略管理。为解决动态协同防御的问题,现有技术从决策部署、协同监控角度出发,提出了一种用于网络防护的协同防御方法和系统,该系统包括决策与部署层、以及协同与监控层;决策与部署层利用获取到的网络安全预警事件,根据网络安全的防御目的和网络安全现状制定防御意图,而后由决策引擎产生网络防御策略,并根据防御策略部署防御任务;协同与监控层包括控制中心和网络安全设备,实现网络安全设备间的协同任务部署和网络防御情况的实时监控; 控制中心与决策与部署层、网络安全设备通信连接,进行数据流控制和逻辑控制;控制中心包括协同防御策略分析模块、协同防御策略订阅模块和协同防御策略分发模块。现有技术能实现根据网络安全事件以及不同防御目进行协同部署的能力,并采取预先设定的防御模式执行判定与设备联动,达到协同防御的效果。在实际威胁产生,系统启动协同防御后,根据程序配置,由策略处理模块和网络拓扑处理模块进行分析,抽取,然后确定保护对象、安全事件场景、确定操作实体后生成防御任务,向指定的安全设备下发安全策略完成防御。由于防御强度的高低会对正常业务的运作造成不同的影响,现有技术无法支持动态切换防御配置以满足与正常业务执行效率的平衡,策略下发之后,对于系统与设备端的相应策略内容需要支持同步,即系统侧执行了协同防御下发了策略,如未存在策略的同步管理模块,会对后期的运维管理人员产生巨大工作量,即除了协同防御重要的策略处理模块之外,还需要策略管理模块。现有技术暂时无法支持策略的有效管理。由上可见,在安全防御任务生成的过程中,如何解决自定义协同防御强度与执行时间的配置和安全策略生成与下发的管理问题,提高安全防御任务生成效率是本领域有待解决的问题。
参见图1所示,本发明实施例公开了一种安全防御任务生成方法,具体可以包括:
步骤S11:获取日志,并判断所述日志是否符合入侵条件,若所述日志符合入侵条件,则基于所述日志生成安全事件。
本实施例中,从与本地相连接的预设采集器中获取日志,利用本地的预设分析模型判断所述日志是否符合入侵条件,若所述日志符合入侵条件,则基于所述日志生成安全事件。
步骤S12:基于所述安全事件从预设的防御规划库中所有的已部署安全事件中筛选出目标已部署安全事件。
本实施例中,在基于所述安全事件从预设的防御规划库中所有的已部署安全事件中筛选出目标已部署安全事件之前,还包括:从预设的防御规划库中创建空白安全事件,根据预设场景需求确定出安全防御执行时间、安全防御信息以及安全防御设备信息,并基于所述安全防御执行时间、所述安全防御信息以及所述安全防御设备信息对所述空白安全事件进行部署,以得到已部署安全事件。
步骤S13:确定出所述安全事件的生成时间,并基于所述生成时间对所述目标已部署安全事件进行部署配置,以得到安全防御任务。
本实施例中,确定出所述安全事件的生成时间,并根据所述安全事件确定安全防御强度,根据所述安全防御强度对所述目标已部署安全事件进行部署配置,最终得到安全防御任务。
本实施例中,获取日志,并判断所述日志是否符合入侵条件,若所述日志符合入侵条件,则基于所述日志生成安全事件;基于所述安全事件从预设的防御规划库中所有的已部署安全事件中筛选出目标已部署安全事件;确定出所述安全事件的生成时间,并基于所述生成时间对所述目标已部署安全事件进行部署配置,以得到安全防御任务。本申请基于所述生成时间对所述目标已部署安全事件进行部署配置,可以针对性的在不同时间段采取不同强度的防御模式,以达到防御强度与业务执行效率的平衡性,能够以全天不同时间段的动态协同来完成协同防御,并且,本申请在策略下发之后,系统与设备端的相应策略内容支持同步,即协同防御的安全策略能够下发,能够在系统侧可视,也能支持设备侧和系统侧的修改同步联动,既减轻了后期运维的工作量,也能够完整的展示协同防御安全策略的整个生命周期,达到协同防御结果的闭环,从而解决自定义协同防御强度与执行时间的配置和安全策略生成与下发的管理问题,提高安全防御任务生成效率。
参见图2所示,本发明实施例公开了一种安全防御任务生成方法,具体可以包括:
步骤S21:获取日志,并判断所述日志是否符合入侵条件,若所述日志符合入侵条件,则基于所述日志生成安全事件。
本实施例中,
步骤S22:基于所述安全事件从预设的防御规划库中所有的已部署安全事件中筛选出目标已部署安全事件。
步骤S23:确定出所述安全事件的生成时间,并基于所述生成时间对所述目标已部署安全事件进行部署配置,以得到安全防御任务。
步骤S24:根据所述安全防御任务生成安全策略;将所述安全策略发送至待防御的安全设备,以便所述安全设备基于所述安全策略进行安全防御。
本实施例中,在将所述安全策略发送至待防御的安全设备之后,还包括:建立本地与所述安全设备之间的策略可视化;同时,建立本地与所述安全设备之间的策略同步关系。
本实施例中,若客户端对所述安全设备中的所述安全策略进行更改,则基于所述策略同步关系本地中相应的所述安全策略进行同步更改;若客户端对本地的所述安全策略进行更新,则基于所述策略同步关系所述安全设备中相应的所述安全策略进行同步更新。
本申请具体实施方式如图3所示,协同防御部署与任务生成模块,用于创建规划用于匹配系统采集与安全分析模块生成的安全事件以进行协同防御任务的生成,具体通过该规划生成协同防御任务由规划中指定安全事件来确定,然后设定具体场景,用于匹配系统与采集安全分析模块生成的安全事件,然后自定义防御强度和执行时间:自定义防御强度所对应需要产生发育能力的安全设备类型、数量、范围,以及安全策略的类型等,并绑定执行时间段。规划完成部署生效,可对于部署完成后匹配的相关安全事件进行任务执行,即(根据预设场景需求确定出安全防御执行时间、安全防御信息以及安全防御设备信息,并基于所述安全防御执行时间、所述安全防御信息以及所述安全防御设备信息对所述空白安全事件进行部署,完成部署最后得到已部署安全事件)。
系统采集与安全分析模块,用于系统通过采集能力,获取日志(即从与本地相连接的预设采集器中获取日志);然后经过系统的分析模型,对于日志进行分析判定,生成安全事件(即判断所述日志是否符合入侵条件,若所述日志符合入侵条件,则基于所述日志生成安全事件)。
协同防御部署与任务生成模块,还用于基于所述安全事件从预设的防御规划库中所有的已部署安全事件中筛选出目标已部署安全事件;然后确定出所述安全事件的生成时间,并根据所述安全事件确定安全防御强度,根据所述安全防御强度对所述目标已部署安全事件进行部署配置,最后得到安全防御任务。
协同防御安全策略生成与下发模块,用于根据所述安全防御任务生成安全策略,将所述安全策略下发至待防御的安全设备。
安全设备,用于在接收到安全策略之后,基于所述安全策略进行安全防御;建立本地与所述安全设备之间的策略可视化,同时,建立本地与所述安全设备之间的策略同步关系,若客户端对所述安全设备中的所述安全策略进行更改,则基于所述策略同步关系本地中相应的所述安全策略进行同步更改,若客户端对本地的所述安全策略进行更新,则基于所述策略同步关系所述安全设备中相应的所述安全策略进行同步更新。
其中,上述过程中的协同防御部署与任务生成模块、系统采集与安全分析模块、协同防御安全策略生成与下发模块以及安全设备之间的关系如图4所示,模块的工作具体流程如图3所示,以选择外部入侵作为该协同防御规划的安全事件,制定高安全防御强度的内容,执行时间为每日8:00-15:59,针对上述安全事件选择防火墙作为防御的安全设备,范围为所有系统节点,使用的安全策略为黑名单策略封禁威胁来源IP,制定基础防御强度的内容,执行时间为每日16:00-7:59,针对上述安全事件选择防火墙作为防御的安全设备,范围为受攻击安全域,使用的安全策略为黑名单策略封禁威胁来源IP,针对外部入侵安全事件的协同防御规划完成部署配置,然后各个连接的采集器进行日志数据获取,取的日志,经过系统的分析模型进行判定,明确符合外部入侵安全的条件,则生成外部入侵安全事件,基于所述安全事件从预设的防御规划库中所有的已部署安全事件中筛选出目标已部署安全事件,根据时间判定防御强度:安全事件生成时间为13:00,根据配置,需要执行高安全防御强度的协同防御,匹配到外部入侵的协同防御规划触发协同防御任务,外部入侵的来源IP为20.1.1.1,则根据策略配置,需生成黑名单策略,封禁该IP,系统将封禁20.1.1.1黑名单安全策略,通过XML形式发送至所有系统节点的防火墙(安全设备端),然后安全设备的所有系统节点防火墙接收到封禁20.1.1.1的黑名单策略,并进行配置,根据日常工作的情报,20.1.1.1~20.1.1.10的网段属于恶意IP网段,工作人员在防火墙设备上进行策略调整,将原只封禁的20.1.1.1改为封禁网段20.1.1.1~20.1.1.10,设备侧的策略在上述步骤中进行了调整,则系统侧的安全策略信息也一同更新,将原只封禁的20.1.1.1改为封禁网段20.1.1.1~20.1.1.10。本申请支持自定义防御强度和执行时间的配置,以满足与正常业务执行效率的平衡。能够以全天不同时间段的动态协同来完成协同防御,并且策略下发之后,系统与设备端的相应策略内容支持同步,即协同防御的安全策略能够下发,能够在系统侧可视,也能支持设备侧系统侧的修改同步联动,既减轻了后期运维的工作量,也能够完整的展示协同防御安全策略的整个生命周期,达到协同防御结果的闭环。
本实施例中,获取日志,并判断所述日志是否符合入侵条件,若所述日志符合入侵条件,则基于所述日志生成安全事件;基于所述安全事件从预设的防御规划库中所有的已部署安全事件中筛选出目标已部署安全事件;确定出所述安全事件的生成时间,并基于所述生成时间对所述目标已部署安全事件进行部署配置,以得到安全防御任务。本申请基于所述生成时间对所述目标已部署安全事件进行部署配置,可以针对性的在不同时间段采取不同强度的防御模式,以达到防御强度与业务执行效率的平衡性,能够以全天不同时间段的动态协同来完成协同防御,并且,本申请在策略下发之后,系统与设备端的相应策略内容支持同步,即协同防御的安全策略能够下发,能够在系统侧可视,也能支持设备侧和系统侧的修改同步联动,既减轻了后期运维的工作量,也能够完整的展示协同防御安全策略的整个生命周期,达到协同防御结果的闭环,从而解决自定义协同防御强度与执行时间的配置和安全策略生成与下发的管理问题,提高安全防御任务生成效率。
参见图5所示,本发明实施例公开了一种安全防御任务生成装置,具体可以包括:
判断模块11,用于获取日志,并判断所述日志是否符合入侵条件,若所述日志符合入侵条件,则基于所述日志生成安全事件;
安全事件确定模块12,用于基于所述安全事件从预设的防御规划库中所有的已部署安全事件中筛选出目标已部署安全事件;
安全防御任务生成模块13,用于确定出所述安全事件的生成时间,并基于所述生成时间对所述目标已部署安全事件进行部署配置,以得到安全防御任务。
本实施例中,获取日志,并判断所述日志是否符合入侵条件,若所述日志符合入侵条件,则基于所述日志生成安全事件;基于所述安全事件从预设的防御规划库中所有的已部署安全事件中筛选出目标已部署安全事件;确定出所述安全事件的生成时间,并基于所述生成时间对所述目标已部署安全事件进行部署配置,以得到安全防御任务。本申请基于所述生成时间对所述目标已部署安全事件进行部署配置,可以针对性的在不同时间段采取不同强度的防御模式,以达到防御强度与业务执行效率的平衡性,能够以全天不同时间段的动态协同来完成协同防御,并且,本申请在策略下发之后,系统与设备端的相应策略内容支持同步,即协同防御的安全策略能够下发,能够在系统侧可视,也能支持设备侧和系统侧的修改同步联动,既减轻了后期运维的工作量,也能够完整的展示协同防御安全策略的整个生命周期,达到协同防御结果的闭环,从而解决自定义协同防御强度与执行时间的配置和安全策略生成与下发的管理问题,提高安全防御任务生成效率。
在一些具体实施例中,所述判断模块11,具体可以包括:
日志获取模块,用于从与本地相连接的预设采集器中获取日志;
判断模块,用于利用本地的预设分析模型判断所述日志是否符合入侵条件。
在一些具体实施例中,所述安全事件确定模块12,具体可以包括:
事件创建模块,用于从预设的防御规划库中创建空白安全事件;
安全事件确定模块,用于根据预设场景需求确定出安全防御执行时间、安全防御信息以及安全防御设备信息,并基于所述安全防御执行时间、所述安全防御信息以及所述安全防御设备信息对所述空白安全事件进行部署,以得到已部署安全事件。
在一些具体实施例中,所述安全防御任务生成模块13,具体可以包括:
生成时间确定模块,用于确定出所述安全事件的生成时间,并根据所述安全事件确定安全防御强度;
部署配置模块,用于根据所述安全防御强度对所述目标已部署安全事件进行部署配置。
在一些具体实施例中,所述安全防御任务生成模块13,具体可以包括:
安全策略生成模块,用于根据所述安全防御任务生成安全策略;
安全策略发送模块,用于将所述安全策略发送至待防御的安全设备,以便所述安全设备基于所述安全策略进行安全防御。
在一些具体实施例中,所述安全防御任务生成模块13,具体可以包括:
策略可视化建立模块,用于建立本地与所述安全设备之间的策略可视化;
策略同步关系建立模块,用于同时,建立本地与所述安全设备之间的策略同步关系。
在一些具体实施例中,所述安全防御任务生成模块13,具体可以包括:
同步更改模块,用于若客户端对所述安全设备中的所述安全策略进行更改,则基于所述策略同步关系本地中相应的所述安全策略进行同步更改;
同步更新模块,用于若客户端对本地的所述安全策略进行更新,则基于所述策略同步关系所述安全设备中相应的所述安全策略进行同步更新。
图6为本申请实施例提供的一种电子设备的结构示意图。该电子设备20,具体可以包括:至少一个处理器21、至少一个存储器22、电源23、通信接口24、输入输出接口25和通信总线26。其中,所述存储器22用于存储计算机程序,所述计算机程序由所述处理器21加载并执行,以实现前述任一实施例公开的由电子设备执行的安全防御任务生成方法中的相关步骤。
本实施例中,电源23用于为电子设备20上的各硬件设备提供工作电压;通信接口24能够为电子设备20创建与外界设备之间的数据传输通道,其所遵循的通信协议是能够适用于本申请技术方案的任意通信协议,在此不对其进行具体限定;输入输出接口25,用于获取外界输入数据或向外界输出数据,其具体的接口类型可以根据具体应用需要进行选取,在此不进行具体限定。
另外,存储器22作为资源存储的载体,可以是只读存储器、随机存储器、磁盘或者光盘等,其上所存储的资源包括操作系统221、计算机程序222及数据223等,存储方式可以是短暂存储或者永久存储。
其中,操作系统221用于管理与控制电子设备20上的各硬件设备以及计算机程序222,以实现处理器21对存储器22中数据223的运算与处理,其可以是Windows、Unix、Linux等。计算机程序222除了包括能够用于完成前述任一实施例公开的由电子设备20执行的安全防御任务生成方法的计算机程序之外,还可以进一步包括能够用于完成其他特定工作的计算机程序。数据223除了可以包括安全防御任务生成设备接收到的由外部设备传输进来的数据,也可以包括由自身输入输出接口25采集到的数据等。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
进一步的,本申请实施例还公开了一种计算机可读存储介质,所述存储介质中存储有计算机程序,所述计算机程序被处理器加载并执行时,实现前述任一实施例公开的安全防御任务生成方法步骤。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本发明所提供的一种安全防御任务生成方法、装置、设备及存储介质进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (7)
1.一种安全防御任务生成方法,其特征在于,包括:
获取日志,并判断所述日志是否符合入侵条件,若所述日志符合入侵条件,则基于所述日志生成安全事件;
基于所述安全事件从预设的防御规划库中所有的已部署安全事件中筛选出目标已部署安全事件;
确定出所述安全事件的生成时间,并基于所述生成时间对所述目标已部署安全事件进行部署配置,以得到安全防御任务;
其中,所述以得到安全防御任务之后,还包括:根据所述安全防御任务生成安全策略;将所述安全策略发送至待防御的安全设备,以便所述安全设备基于所述安全策略进行安全防御;
所述将所述安全策略发送至待防御的安全设备之后,还包括:建立本地与所述安全设备之间的策略可视化;同时,建立本地与所述安全设备之间的策略同步关系;
所述安全防御任务生成方法,还包括:若客户端对所述安全设备中的所述安全策略进行更改,则基于所述策略同步关系本地中相应的所述安全策略进行同步更改;若客户端对本地的所述安全策略进行更新,则基于所述策略同步关系所述安全设备中相应的所述安全策略进行同步更新。
2.根据权利要求1所述的安全防御任务生成方法,其特征在于,所述获取日志,并判断所述日志是否符合入侵条件,包括:
从与本地相连接的预设采集器中获取日志;
利用本地的预设分析模型判断所述日志是否符合入侵条件。
3.根据权利要求1所述的安全防御任务生成方法,其特征在于,所述基于所述安全事件从预设的防御规划库中所有的已部署安全事件中筛选出目标已部署安全事件之前,还包括:
从预设的防御规划库中创建空白安全事件;
根据预设场景需求确定出安全防御执行时间、安全防御信息以及安全防御设备信息,并基于所述安全防御执行时间、所述安全防御信息以及所述安全防御设备信息对所述空白安全事件进行部署,以得到已部署安全事件。
4.根据权利要求1所述的安全防御任务生成方法,其特征在于,所述确定出所述安全事件的生成时间,并基于所述生成时间对所述目标已部署安全事件进行部署配置,包括:
确定出所述安全事件的生成时间,并根据所述安全事件确定安全防御强度;
根据所述安全防御强度对所述目标已部署安全事件进行部署配置。
5.一种安全防御任务生成装置,其特征在于,包括:
判断模块,用于获取日志,并判断所述日志是否符合入侵条件,若所述日志符合入侵条件,则基于所述日志生成安全事件;
安全事件确定模块,用于基于所述安全事件从预设的防御规划库中所有的已部署安全事件中筛选出目标已部署安全事件;
安全防御任务生成模块,用于确定出所述安全事件的生成时间,并基于所述生成时间对所述目标已部署安全事件进行部署配置,以得到安全防御任务;
其中,所述安全防御任务生成模块,用于根据所述安全防御任务生成安全策略;将所述安全策略发送至待防御的安全设备,以便所述安全设备基于所述安全策略进行安全防御;
所述安全防御任务生成模块,还用于建立本地与所述安全设备之间的策略可视化;同时,建立本地与所述安全设备之间的策略同步关系;
所述安全防御任务生成装置,还用于若客户端对所述安全设备中的所述安全策略进行更改,则基于所述策略同步关系本地中相应的所述安全策略进行同步更改;若客户端对本地的所述安全策略进行更新,则基于所述策略同步关系所述安全设备中相应的所述安全策略进行同步更新。
6.一种电子设备,其特征在于,包括:
存储器,用于保存计算机程序;
处理器,用于执行所述计算机程序,以实现如权利要求1至4任一项所述的安全防御任务生成方法。
7.一种计算机可读存储介质,其特征在于,用于保存计算机程序;其中,所述计算机程序被处理器执行时实现如权利要求1至4任一项所述的安全防御任务生成方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211343007.4A CN115426196B (zh) | 2022-10-31 | 2022-10-31 | 一种安全防御任务生成方法、装置、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211343007.4A CN115426196B (zh) | 2022-10-31 | 2022-10-31 | 一种安全防御任务生成方法、装置、设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115426196A CN115426196A (zh) | 2022-12-02 |
| CN115426196B true CN115426196B (zh) | 2023-03-24 |
Family
ID=84208039
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211343007.4A Active CN115426196B (zh) | 2022-10-31 | 2022-10-31 | 一种安全防御任务生成方法、装置、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115426196B (zh) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109302380A (zh) * | 2018-08-15 | 2019-02-01 | 全球能源互联网研究院有限公司 | 一种安全防护设备联动防御策略智能决策方法及系统 |
| CN114205367A (zh) * | 2021-12-07 | 2022-03-18 | 杭州安恒信息技术股份有限公司 | 一种上级和下级平台数据同步方法、装置及介质 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103036905A (zh) * | 2012-12-27 | 2013-04-10 | 北京神州绿盟信息安全科技股份有限公司 | 企业网络安全分析方法和装置 |
| US9602527B2 (en) * | 2015-03-19 | 2017-03-21 | Fortinet, Inc. | Security threat detection |
| CN104901838B (zh) * | 2015-06-23 | 2018-04-20 | 中国电建集团成都勘测设计研究院有限公司 | 企业网络安全事件管理系统及其方法 |
| CN109587174B (zh) * | 2019-01-10 | 2021-07-27 | 广东电网有限责任公司信息中心 | 用于网络防护的协同防御方法和系统 |
| US11316875B2 (en) * | 2020-01-31 | 2022-04-26 | Threatology, Inc. | Method and system for analyzing cybersecurity threats and improving defensive intelligence |
-
2022
- 2022-10-31 CN CN202211343007.4A patent/CN115426196B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109302380A (zh) * | 2018-08-15 | 2019-02-01 | 全球能源互联网研究院有限公司 | 一种安全防护设备联动防御策略智能决策方法及系统 |
| CN114205367A (zh) * | 2021-12-07 | 2022-03-18 | 杭州安恒信息技术股份有限公司 | 一种上级和下级平台数据同步方法、装置及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115426196A (zh) | 2022-12-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10382451B2 (en) | Integrated security system having rule optimization | |
| US6098173A (en) | Method and system for enforcing a communication security policy | |
| US8484321B2 (en) | Network evaluation grid techniques | |
| US9813449B1 (en) | Systems and methods for providing a security information and event management system in a distributed architecture | |
| Vernotte et al. | Load balancing of renewable energy: a cyber security analysis | |
| CN117751567A (zh) | 公用设施通信网络的动态处理分发 | |
| CN116015819A (zh) | 一种基于soar的攻击行为响应方法、装置及处理设备 | |
| CN117118660A (zh) | 一种基于零信任网络的网关智能编排方法及系统 | |
| KR20030062055A (ko) | 네트워크 보안 정책의 표현,저장 및 편집 방법 | |
| CN115426196B (zh) | 一种安全防御任务生成方法、装置、设备及介质 | |
| EP3166279B1 (en) | Integrated security system having rule optimization | |
| CN109729089B (zh) | 一种基于容器的智能网络安全功能管理方法及系统 | |
| CN110365551B (zh) | 网络信息采集方法、装置、设备及介质 | |
| CN108933707B (zh) | 一种工业网络的安全监控系统及方法 | |
| CN114095186A (zh) | 威胁情报应急响应方法及装置 | |
| CN118157971B (zh) | 一种信息网络广义末端节点弹性防御系统及方法 | |
| US20230300141A1 (en) | Network security management method and computer device | |
| Papanikolaou et al. | A Cyber Threat Intelligence Management Platform for Industrial Environments | |
| CN114938303B (zh) | 一种适用于电网调控云平台的微隔离安全防护方法 | |
| CN114666128B (zh) | 蜜罐威胁情报共享方法、装置、设备及可读存储介质 | |
| Bringhenti et al. | A looping process for cyberattack mitigation | |
| CN117176460A (zh) | 一种安全能力调度处理方法、装置、电子设备及存储介质 | |
| CN117938440A (zh) | 一种孪生诱捕网络设计方法 | |
| CN118473773A (zh) | 云原生环境的流量分析方法、装置和电子设备 | |
| CN115766492A (zh) | 一种前端监控方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |