CN115766051A - 一种主机安全应急处置方法、系统、存储介质及电子设备 - Google Patents
一种主机安全应急处置方法、系统、存储介质及电子设备 Download PDFInfo
- Publication number
- CN115766051A CN115766051A CN202211043234.5A CN202211043234A CN115766051A CN 115766051 A CN115766051 A CN 115766051A CN 202211043234 A CN202211043234 A CN 202211043234A CN 115766051 A CN115766051 A CN 115766051A
- Authority
- CN
- China
- Prior art keywords
- information
- analysis
- host
- result
- multivariate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Alarm Systems (AREA)
Abstract
本申请公开了一种主机安全应急处置方法、系统、存储介质及电子设备,对获取到的多元信息进行聚类,通过预设分析方式对聚类后的多元信息进行关联分析得到分析结果,当分析结果为识别出攻击主机的攻击行为的分析结果时,生成攻击行为对应的入侵事件并进行联动处置操作,得到处置结果并验证。通过上述方案,对多元的告警信息进行聚类,并与其他安全产品告警联动进行关联,生成高可信的多种类型安全产品的告警,通过时间序列的流式信息分析方式和威胁行为分析方式的多重分析方式,对多种类型安全产品的告警及日志信息的关联分析,提高识别出攻击行为的准确率。通过多种相互协调结合的处置操作对攻击行为进行有效处置,提高主机安全防护的安全性。
Description
技术领域
本申请涉及数据处理技术领域,更具体地说,涉及一种主机安全应急处置方法、系统、存储介质及电子设备。
背景技术
主机安全防护技术的主要作用是对主机上的攻击行为进行快速有效的防护。
现阶段针对主机层面的防护技术主要体现在两个方面,一方面是依赖主机本身的安全入侵告警,所采取的防护处置动作。因为目前很多安全产品的检测原理都是基于规则的,是规则就可能产生误告,如果单纯依赖主机安全自身的告警进行处置,误判的可能性会较大。因此该方式存在误告率高;另一方面攻击者攻击能力大幅提升,攻击手法多样化,绕过主机安全防护的攻击行为频发。
因此,现有主机安全防护的安全性低,以及识别出攻击行为的准确率低。
发明内容
有鉴于此,本申请公开了一种主机安全应急处置方法、系统、存储介质及电子设备,旨在提高识别出攻击行为的准确率和提高主机安全防护的安全性。
为了实现上述目的,其公开的技术方案如下:
本申请第一方面公开了一种主机安全应急处置方法,所述方法包括:
获取多元信息,并对所述多元信息进行聚类;所述多元信息用于表征多种数据源的告警信息和服务器日志信息;
通过预设分析方式对聚类后的多元信息进行关联分析,得到分析结果;所述预设分析方式至少包括时间序列的流式信息分析方式和威胁行为分析方式;所述分析结果用于表征识别出攻击主机的攻击行为的分析结果或未识别出攻击主机的攻击行为的分析结果;
当所述分析结果为识别出攻击主机的攻击行为的分析结果时,生成所述攻击行为对应的入侵事件;
对所述入侵事件进行联动处置操作,得到处置结果并验证;所述联动处置操作为将多种处置操作进行相互协调结合的编排操作。
优选的,所述获取多元信息,包括:
通过预设获取方式,获取包含多种数据源的告警信息和服务器日志信息的多元信息;所述多种数据源用于表征不同类型的安全产品;所述服务器日志信息至少包括数据库审计日志信息、中间件日志信息和操作系统登录日志信息。
优选的,通过预设分析方式对聚类后的多元信息进行关联分析,得到分析结果,包括:
通过时间序列的流式信息分析方式和威胁行为分析方式,分别对聚类后的多元信息进行关联分析,得到分析结果;所述时间序列的流式信息分析为按照预设时间顺序排列的多旁路流量检测的分析方式;所述威胁行为分析为对恶意IP及高危漏洞的分析。
优选的,所述对所述入侵事件进行联动处置操作,得到处置结果并验证,包括:
确定所述入侵事件对应的事件类型;所述事件类型用于表征不同威胁行为的类型;
通过联动调度主机安全服务端API接口和所述事件类型,对所述入侵事件进行联动处置操作,得到处置结果;所述联动处置操作至少包括打热补丁、联动封禁、IP封禁类型和log文件查杀的一种或多种处置操作。
优选的,在当所述分析结果为识别出攻击主机的攻击行为的分析结果时,生成所述攻击行为对应的入侵事件之后,在对所述入侵事件进行联动处置操作,得到处置结果并验证之前,还包括:
将所述攻击行为对应的入侵事件存储至消息队列中。
优选的,在所述对所述多元信息进行聚类,并对聚类后的多元信息进行关联分析,识别出攻击主机的攻击行为之前,还包括:
对所述多元信息进行流式数据处理操作;所述流式数据处理操作包括格式校验操作、数据映射操作、序列化操作和打标签操作。
本申请第二方面公开了一种主机安全应急处置系统,所述系统包括:
获取单元,用于获取多元信息,并对所述多元信息进行聚类;所述多元信息用于表征多种数据源的告警信息和服务器日志信息;
分析单元,用于通过预设分析方式对聚类后的多元信息进行关联分析,得到分析结果;所述预设分析方式至少包括时间序列的流式信息分析方式和威胁行为分析方式;所述分析结果用于表征识别出攻击主机的攻击行为的分析结果或未识别出攻击主机的攻击行为的分析结果;
生成单元,用于当所述分析结果为识别出攻击主机的攻击行为的分析结果时,生成所述攻击行为对应的入侵事件;
处置单元,用于对所述入侵事件进行联动处置操作,得到处置结果并验证;所述联动处置操作为将多种处置操作进行相互协调结合的编排操作。
优选的,所述获取单元具体用于:
通过预设获取方式,获取包含多种数据源的告警信息和服务器日志信息的多元信息;所述多种数据源用于表征不同类型的安全产品;所述服务器日志信息至少包括数据库审计日志信息、中间件日志信息和操作系统登录日志信息。
本申请第三方面公开了一种存储介质,所述存储介质包括存储的指令,其中,在所述指令运行时控制所述存储介质所在的设备执行如第一方面任意一项所述的主机安全应急处置方法。
本申请第四方面公开了一种电子设备,包括存储器,以及一个或者一个以上的指令,其中一个或者一个以上指令存储于存储器中,且经配置以由一个或者一个以上处理器执行如第一方面任意一项所述的主机安全应急处置方法。
经由上述技术方案可知,本申请公开了一种主机安全应急处置方法、系统、存储介质及电子设备,获取多元信息,并对多元信息进行聚类,多元信息用于表征多种数据源的告警信息和服务器日志信息,通过预设分析方式对聚类后的多元信息进行关联分析,得到分析结果,预设分析方式至少包括时间序列的流式信息分析方式和威胁行为分析方式,分析结果用于表征识别出攻击主机的攻击行为的分析结果或未识别出攻击主机的攻击行为的分析结果,当分析结果为识别出攻击主机的攻击行为的分析结果时,生成攻击行为对应的入侵事件,对入侵事件进行联动处置操作,得到处置结果并验证;联动处置操作为将多种处置操作进行相互协调结合的编排操作。通过上述方案,对多元的告警信息进行聚类,并与其他安全产品告警联动进行关联,生成高可信的多种类型安全产品的告警,通过时间序列的流式信息分析方式和威胁行为分析方式的多重分析方式,对多种类型安全产品的告警及日志信息的关联分析,提高识别出攻击行为的准确率。通过多种相互协调结合的处置操作对攻击行为进行有效处置,提高主机安全防护的安全性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例公开的一种主机安全应急处置方法的流程示意图;
图2为本申请实施例公开的一种主机安全应急处置系统的结构示意图;
图3为本申请实施例公开的处置单元的结构示意图;
图4为本申请实施例公开的另一种主机安全应急处置系统的结构示意图;
图5为本申请实施例公开的一种电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
在本申请中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
由背景技术可知,现阶段针对主机层面的防护技术主要体现在两个方面,一方面是依赖主机本身的安全入侵告警,所采取的防护处置动作。该方式存在误告率高;另一方面攻击者攻击能力大幅提升,攻击手法多样化,绕过主机安全防护的攻击行为频发。因此,现有主机安全防护的安全性低,以及识别出攻击行为的准确率低。
为了解决上述问题,本申请实施例公开了一种主机安全应急处置方法、系统、存储介质及电子设备,对多元的告警信息进行聚类,并与其他安全产品告警联动进行关联,生成高可信的多种类型安全产品的告警,通过时间序列的流式信息分析方式和威胁行为分析方式的多重分析方式,对多种类型安全产品的告警及日志信息的关联分析,提高识别出攻击行为的准确率。通过多种相互协调结合的处置操作对攻击行为进行有效处置,提高主机安全防护的安全性。具体实现方式通过下述实施例具体进行说明。
参考图1所示,为本申请实施例公开的一种主机安全应急处置方法的流程示意图,该主机安全应急处置方法主要包括如下步骤:
S101:获取多元信息,并对多元信息进行聚类;多元信息用于表征多种数据源的告警信息和服务器日志信息。
在S101中,通过预设获取方式,获取包含多种数据源的告警信息和服务器日志信息的多元信息。
多种数据源用于表征不同类型的安全产品;服务器日志信息至少包括数据库审计日志信息、中间件日志信息和操作系统登录日志信息。
预设获取方式可以是系统日志syslog、数据采集代理方式等,具体预设获取方式的确定由技术人员根据实际情况进行设置,本申请不做具体限定。
多元信息包括服务器层面日志、服务器告警信息、旁路流量采集设备告警数据、串行防护告警、威胁情报等。
其中,服务器层面日志包括数据库审计日志、中间件日志、操作系统登录日志、主机安全代理资产采集信息、网络连接信息等。
服务器告警信息包括主机安全入侵告警信息等。
旁路流量采集设备告警数据包括高级持续性威胁(Advanced PersistentThreat,APT)告警、入侵检测系统(Intrusion Detection Systems,IDS)告警、旁路Web应用防护系统(Web Application Firewall,WAF)告警、流量溯源设备告警等。
串行防护告警包括waf告警、扛分布式拒绝服务攻击DDOS告警等。
威胁情报包括恶意IP、高威胁漏洞信息等。
对多元信息进行流式数据处理操作;流式数据处理操作包括格式校验操作、数据映射操作、序列化操作和打标签操作。
将多个安全产品的告警信息,操作系统、中间件、数据库等相关操作及审计日志通过syslog、或数据采集代理的方式采集到大数据平台,为后续的流数据处理及关联分析做数据支撑。
另外,还包括外部威胁情报的信息、配置管理数据库(Configuration ManagementDatabase,CMDB)资产信息等。对于采集到的大量数据信息,需要进行复杂的流数据处理工作,包括格式校验、数据映射、序列化、打标签等为后续的关联分析提供数据。
S102:通过预设分析方式对聚类后的多元信息进行关联分析,得到分析结果;预设分析方式至少包括时间序列的流式信息分析方式和威胁行为分析方式;分析结果用于表征识别出攻击主机的攻击行为的分析结果或未识别出攻击主机的攻击行为的分析结果。
在S102中,通过关联分析引擎(流式分析引擎和威胁情报分析引擎),分别对聚类后的多元信息进行关联分析,得到分析结果。
关联分析包括时间序列的流式信息分析方式和威胁行为分析方式。
时间序列的流式信息分析为按照预设时间顺序排列的多旁路流量检测的分析方式;威胁行为分析为对恶意IP及高危漏洞的分析。
流式分析引擎:
根据滑动时间窗口,按照时间序列的流式信息分析对滑动时间窗口内的告警进行关联分析。
为了方便理解基于时间序列的流式信息分析,该方式可以根据滑动时间窗口,按照预设的规则对滑动时间窗口内的告警进行关联分析的过程,这里举例进行说明:
例如,在10:05分多个旁路流量检测产品发现有网页后门文件上传成功的告警,并且10:06分主机安全产品检测到该主机有反弹shell行为的告警,根据这2个告警相互关联,一块分析可以断定该主机极大概率被入侵成功。分析引擎会生成入侵事件,发送到自动化编排与应急响应模块进行联动处置。
其中,网页后门是一段网页代码,主要以动态服务器页面(Active Server Pages,ASP)和超文本预处理器(PHP:Hypertext Preprocessor,PHP)代码为主。由于这些代码都运行在服务器端,攻击者通过这段代码,在服务器端进行某些危险的操作,获得某些敏感的技术信息或者通过渗透,提权获得服务器的控制权。并且这也是攻击者控制服务器的一条通道,比一般的入侵更具有隐蔽性。
反弹shell是指控制端监听某个TCP/UDP端口,被控端发起请求到该端口,并将其命令行的输入输出传递到控制端的过程。
如果仅仅是发现有网页后门文件上传成功的告警,没有深入反弹shell行为,较难决断主机被入侵成功,避免出现根据单一的告警来源进行主机决断被入侵的误报的行为,因此需要对滑动时间窗口内的告警进行关联分析。
威胁情报的分析引擎:
威胁情报的分析引擎的分析阶段,主要是根据威胁情报的信息跟现有的告警信息进行关联分析。
例如,告警信息中攻击者IP存在于威胁情报的攻击者IP中,可联动主机安全防火墙封禁该恶意IP。
例如,威胁情报获取到有关于log4j的紧急高危漏洞信息,并且告警信息中命中log4j的攻击特征,可生成入侵事件,然后通过自动化应急处置联动主机安全接口打热补丁,从而阻止正在发生的攻击行为。
S103:当分析结果为识别出攻击主机的攻击行为的分析结果时,生成攻击行为对应的入侵事件。
将攻击行为对应的入侵事件存储至消息队列中。
其中,将攻击行为对应的入侵事件存储至消息队列中,这是一种分布式的架构,多个应用之间通过消息队列去传递处理的中间数据。
S104:对入侵事件进行联动处置操作,得到处置结果并验证;联动处置操作为将多种处置操作进行相互协调结合的编排操作。
其中,联动处置操作至少包括打热补丁、联动封禁、IP封禁类型和log文件查杀的一种或多种处置操作。
具体对入侵事件进行联动处置操作,得到处置结果并验证的过程如下:
首先,确定入侵事件对应的事件类型;事件类型用于表征不同威胁行为的类型。
其中,事件类型包括高危漏洞类型、联动封禁类型、存在恶意IP类型和log文件类型等。
定期从消息队列中读取需要处置的事件,并且根据事件类型匹配具体的编排,编排其实就是一个或多个处置方法的结合。在该阶段要将处置所需的必要元素传入到该模块,包括:目标主机,处置编排名称,编排处置所需必要参数(比如,病毒文件名,恶意攻击IP等)。
然后,通过联动调度主机安全服务端API接口和事件类型,对入侵事件进行联动处置操作,得到处置结果;联动处置操作至少包括打热补丁、联动封禁、IP封禁类型和log文件查杀的一种或多种处置操作。
其中,联动处置操作包括删除落盘病毒木马、主机防火墙黑白名单、一键封网、删除已知病毒进程、打热补丁、联动封禁、IP封禁类型和log文件查杀等。
编排的调度,调度子流程会自动执行具体的编排操作,在执行过程中,编排会调度主机安全服务端对外提供的接口,比如当发生主机被沦陷时可以通过一键封网阻断攻击者横向移动,通过病毒木马删除接口,可直接将落盘的病毒木马进行清除,通过进程查杀接口,可以将已经加载的病毒进程杀掉,结合落盘病毒木马删除接口可以阻断攻击者的攻击行为。
验证处置结果并返回处置情况。通过告警实时跟踪和调度主机安全接口的方式跟进处置情况。验证处置结果的方式为,比如查看落盘文件是否存在;尝试通过远程终端协议telnet判断封禁主机是否封禁成功等方式进行验证。
其中,主机安全就是一个产品,从处置模块从安全产品,比如安全狗,调度安全狗的服务端下的指令做的处置操作,进行变更码的隔离、端口的封禁等一些处置操作。数据交互即调用安全产品的接口。
处置完后通过主机安全服务器对处置的结果进行验证,查看落盘文件是否存在,若落盘文件已经识别成病毒木马,比如调用安全狗产品的接口查看病毒木马的落盘文件还是否存在,来验证隔离的操作是否完成。
处置完后对处置的结果进行验证,是否处置完成、成功后,才能对前端进行反馈。
本申请主要是通过数据采集代理或者syslog的方式,将多种有利于后续安全事件分析的数据收集起来,并且对关键信息进行数据的预处理,为后续的关联分析做准备。在关联分析的过程中,主要是对标准化的数据,结合分析规则,外部威胁情报,对多元的告警信息进行聚类,关联,生成高可信的告警信息。当通过关联分析发现明确的入侵行为时,可通过联动调度主机安全服务端API接口的方式,对受害主机进行处置,从而将攻击者对内网的横向漫游扼杀在摇篮中,实现对主机上入侵行为的精准处置,有处置精准,效率高,误告率低等优点。
本申请实施例中,对多元的告警信息进行聚类,并与其他安全产品告警联动进行关联,生成高可信的多种类型安全产品的告警,通过时间序列的流式信息分析方式和威胁行为分析方式的多重分析方式,对多种类型安全产品的告警及日志信息的关联分析,提高识别出攻击行为的准确率。通过多种相互协调结合的处置操作对攻击行为进行有效处置,提高主机安全防护的安全性。
基于上述实施例图1公开的一种主机安全应急处置方法,本申请实施例还对应公开了一种主机安全应急处置系统,如图2所示,该主机安全应急处置系统包括获取单元201、分析单元202、生成单元203和处置单元204。
获取单元201,用于获取多元信息,并对多元信息进行聚类;多元信息用于表征多种数据源的告警信息和服务器日志信息。
分析单元202,用于通过预设分析方式对聚类后的多元信息进行关联分析,得到分析结果;预设分析方式至少包括时间序列的流式信息分析方式和威胁行为分析方式;分析结果用于表征识别出攻击主机的攻击行为的分析结果或未识别出攻击主机的攻击行为的分析结果。
生成单元203,用于当分析结果为识别出攻击主机的攻击行为的分析结果时,生成攻击行为对应的入侵事件。
处置单元204,用于对入侵事件进行联动处置操作,得到处置结果并验证;联动处置操作为将多种处置操作进行相互协调结合的编排操作。
进一步的,获取单元201具体用于通过预设获取方式,获取包含多种数据源的告警信息和服务器日志信息的多元信息;多种数据源用于表征不同类型的安全产品;所述服务器日志信息至少包括数据库审计日志信息、中间件日志信息和操作系统登录日志信息。
进一步的,分析单元202具体用于通过时间序列的流式信息分析方式和威胁行为分析方式,分别对聚类后的多元信息进行关联分析,得到分析结果;时间序列的流式信息分析为按照预设时间顺序排列的多旁路流量检测的分析方式;威胁行为分析为对恶意IP及高危漏洞的分析。
进一步的,处置单元204包括确定模块301和处置模块302,具体如图3所示。
确定模块,用于确定入侵事件对应的事件类型;事件类型用于表征不同威胁行为的类型。
处置模块,用于通过联动调度主机安全服务端API接口和所述事件类型,对所述入侵事件进行联动处置操作,得到处置结果;所述联动处置操作至少包括打热补丁、联动封禁、IP封禁类型和log文件查杀的一种或多种处置操作。
进一步的,在上述图2的基础上,主机安全应急处置系统还包括存储单元401,具体主机安全应急处置系统的结构示意图如图4所示。
存储单元401,用于将攻击行为对应的入侵事件存储至消息队列中。
进一步的,主机安全应急处置系统还包括操作单元。
操作单元,用于对多元信息进行流式数据处理操作;流式数据处理操作包括格式校验操作、数据映射操作、序列化操作和打标签操作。
本申请实施例中,对多元的告警信息进行聚类,并与其他安全产品告警联动进行关联,生成高可信的多种类型安全产品的告警,通过时间序列的流式信息分析方式和威胁行为分析方式的多重分析方式,对多种类型安全产品的告警及日志信息的关联分析,提高识别出攻击行为的准确率。通过多种相互协调结合的处置操作对攻击行为进行有效处置,提高主机安全防护的安全性。
本申请实施例还提供了一种存储介质,存储介质包括存储的指令,其中,在指令运行时控制存储介质所在的设备执行上述主机安全应急处置方法。
本申请实施例还提供了一种电子设备,其结构示意图如图5所示,具体包括存储器501,以及一个或者一个以上的指令502,其中一个或者一个以上指令502存储于存储器501中,且经配置以由一个或者一个以上处理器503执行所述一个或者一个以上指令502执行如下操作:
获取多元信息,并对多元信息进行聚类;多元信息用于表征多种数据源的告警信息和服务器日志信息;
通过预设分析方式对聚类后的多元信息进行关联分析,得到分析结果;预设分析方式至少包括时间序列的流式信息分析方式和威胁行为分析方式;分析结果用于表征识别出攻击主机的攻击行为的分析结果或未识别出攻击主机的攻击行为的分析结果;
当分析结果为识别出攻击主机的攻击行为的分析结果时,生成攻击行为对应的入侵事件;
对入侵事件进行联动处置操作,得到处置结果并验证;联动处置操作为将多种处置操作进行相互协调结合的编排操作。
对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本申请所必须的。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。对于系统类实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本申请各实施例方法中的步骤可以根据实际需要进行顺序调整、合并和删减。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
对所公开的实施例的上述说明,使本领域技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
以上所述仅是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。
Claims (10)
1.一种主机安全应急处置方法,其特征在于,所述方法包括:
获取多元信息,并对所述多元信息进行聚类;所述多元信息用于表征多种数据源的告警信息和服务器日志信息;
通过预设分析方式对聚类后的多元信息进行关联分析,得到分析结果;所述预设分析方式至少包括时间序列的流式信息分析方式和威胁行为分析方式;所述分析结果用于表征识别出攻击主机的攻击行为的分析结果或未识别出攻击主机的攻击行为的分析结果;
当所述分析结果为识别出攻击主机的攻击行为的分析结果时,生成所述攻击行为对应的入侵事件;
对所述入侵事件进行联动处置操作,得到处置结果并验证;所述联动处置操作为将多种处置操作进行相互协调结合的编排操作。
2.根据权利要求1所述的方法,其特征在于,所述获取多元信息,包括:
通过预设获取方式,获取包含多种数据源的告警信息和服务器日志信息的多元信息;所述多种数据源用于表征不同类型的安全产品;所述服务器日志信息至少包括数据库审计日志信息、中间件日志信息和操作系统登录日志信息。
3.根据权利要求1所述的方法,其特征在于,通过预设分析方式对聚类后的多元信息进行关联分析,得到分析结果,包括:
通过时间序列的流式信息分析方式和威胁行为分析方式,分别对聚类后的多元信息进行关联分析,得到分析结果;所述时间序列的流式信息分析为按照预设时间顺序排列的多旁路流量检测的分析方式;所述威胁行为分析为对恶意IP及高危漏洞的分析。
4.根据权利要求1所述的方法,其特征在于,所述对所述入侵事件进行联动处置操作,得到处置结果并验证,包括:
确定所述入侵事件对应的事件类型;所述事件类型用于表征不同威胁行为的类型;
通过联动调度主机安全服务端API接口和所述事件类型,对所述入侵事件进行联动处置操作,得到处置结果;所述联动处置操作至少包括打热补丁、联动封禁、IP封禁类型和log文件查杀的一种或多种处置操作。
5.根据权利要求1所述的方法,其特征在于,在当所述分析结果为识别出攻击主机的攻击行为的分析结果时,生成所述攻击行为对应的入侵事件之后,在对所述入侵事件进行联动处置操作,得到处置结果并验证之前,还包括:
将所述攻击行为对应的入侵事件存储至消息队列中。
6.根据权利要求1所述的方法,其特征在于,在所述对所述多元信息进行聚类,并对聚类后的多元信息进行关联分析,识别出攻击主机的攻击行为之前,还包括:
对所述多元信息进行流式数据处理操作;所述流式数据处理操作包括格式校验操作、数据映射操作、序列化操作和打标签操作。
7.一种主机安全应急处置系统,其特征在于,所述系统包括:
获取单元,用于获取多元信息,并对所述多元信息进行聚类;所述多元信息用于表征多种数据源的告警信息和服务器日志信息;
分析单元,用于通过预设分析方式对聚类后的多元信息进行关联分析,得到分析结果;所述预设分析方式至少包括时间序列的流式信息分析方式和威胁行为分析方式;所述分析结果用于表征识别出攻击主机的攻击行为的分析结果或未识别出攻击主机的攻击行为的分析结果;
生成单元,用于当所述分析结果为识别出攻击主机的攻击行为的分析结果时,生成所述攻击行为对应的入侵事件;
处置单元,用于对所述入侵事件进行联动处置操作,得到处置结果并验证;所述联动处置操作为将多种处置操作进行相互协调结合的编排操作。
8.根据权利要求7所述的系统,其特征在于,所述获取单元具体用于:
通过预设获取方式,获取包含多种数据源的告警信息和服务器日志信息的多元信息;所述多种数据源用于表征不同类型的安全产品;所述服务器日志信息至少包括数据库审计日志信息、中间件日志信息和操作系统登录日志信息。
9.一种存储介质,其特征在于,所述存储介质包括存储的指令,其中,在所述指令运行时控制所述存储介质所在的设备执行如权利要求1至6任意一项所述的主机安全应急处置方法。
10.一种电子设备,其特征在于,包括存储器,以及一个或者一个以上的指令,其中一个或者一个以上指令存储于存储器中,且经配置以由一个或者一个以上处理器执行如权利要求1至6任意一项所述的主机安全应急处置方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211043234.5A CN115766051A (zh) | 2022-08-29 | 2022-08-29 | 一种主机安全应急处置方法、系统、存储介质及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211043234.5A CN115766051A (zh) | 2022-08-29 | 2022-08-29 | 一种主机安全应急处置方法、系统、存储介质及电子设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115766051A true CN115766051A (zh) | 2023-03-07 |
Family
ID=85349399
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211043234.5A Pending CN115766051A (zh) | 2022-08-29 | 2022-08-29 | 一种主机安全应急处置方法、系统、存储介质及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115766051A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116915507A (zh) * | 2023-09-12 | 2023-10-20 | 奇安星城网络安全运营服务(长沙)有限公司 | 基于安全信号匹配的计算机网络安全分析系统 |
-
2022
- 2022-08-29 CN CN202211043234.5A patent/CN115766051A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116915507A (zh) * | 2023-09-12 | 2023-10-20 | 奇安星城网络安全运营服务(长沙)有限公司 | 基于安全信号匹配的计算机网络安全分析系统 |
| CN116915507B (zh) * | 2023-09-12 | 2023-12-05 | 奇安星城网络安全运营服务(长沙)有限公司 | 基于安全信号匹配的计算机网络安全分析系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109314698B (zh) | 保护计算机网络与系统的抢占式响应安全系统 | |
| CN104811447B (zh) | 一种基于攻击关联的安全检测方法和系统 | |
| US20190190937A1 (en) | Apparatus method and medium for tracing the origin of network transmissions using n-gram distribution of data | |
| CN106650436B (zh) | 一种基于局域网的安全检测方法和装置 | |
| CN105491053A (zh) | 一种Web恶意代码检测方法及系统 | |
| CN103595732B (zh) | 一种网络攻击取证的方法及装置 | |
| CN116614277A (zh) | 基于机器学习与异常行为分析的网络安全监管系统与方法 | |
| CN107733699B (zh) | 互联网资产安全管理方法、系统、设备及可读存储介质 | |
| CN107465702A (zh) | 基于无线网络入侵的预警方法及装置 | |
| CN118337540B (zh) | 一种基于物联网的网络入侵攻击识别系统及方法 | |
| US20230087309A1 (en) | Cyberattack identification in a network environment | |
| CN113886814A (zh) | 一种攻击检测方法及相关装置 | |
| CN114257403B (zh) | 误报检测方法、设备及可读存储介质 | |
| CN115766235A (zh) | 一种网络安全预警系统及预警方法 | |
| CN115766051A (zh) | 一种主机安全应急处置方法、系统、存储介质及电子设备 | |
| CN108040036A (zh) | 一种行业云Webshell安全防护方法 | |
| CN114189361A (zh) | 防御威胁的态势感知方法、装置及系统 | |
| CN113518067A (zh) | 一种基于原始报文的安全分析方法 | |
| CN110545293A (zh) | 一种精准式网络攻击检测预警平台 | |
| CN116346442A (zh) | 基于威胁情报的威胁检测方法及装置 | |
| Yang | Application of data mining technology in network security | |
| Zalbina et al. | HTTP Attack Detection System Based on HTTP Inspect Preprocessor and Rule Options | |
| CN112887288A (zh) | 基于互联网的电商平台入侵检测的前端计算机扫描系统 | |
| CN111740976A (zh) | 一种网络安全甄别研判系统及方法 | |
| CN117609990B (zh) | 一种基于场景关联分析引擎的自适应安全防护方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |