CN115913658A - 一种基于soar聚类联动应用服务的控制方法和装置 - Google Patents
一种基于soar聚类联动应用服务的控制方法和装置 Download PDFInfo
- Publication number
- CN115913658A CN115913658A CN202211341153.3A CN202211341153A CN115913658A CN 115913658 A CN115913658 A CN 115913658A CN 202211341153 A CN202211341153 A CN 202211341153A CN 115913658 A CN115913658 A CN 115913658A
- Authority
- CN
- China
- Prior art keywords
- clustering
- module
- soar
- buffer
- application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种基于SOAR聚类联动应用服务的控制方法和装置,包括一个基于SOAR的聚类缓冲模块作为核心模块,其关联的模块包含有触发器模块、工作流模块、任务处置模块和应用包模块;具体方法如下所示:(1)启动聚类缓冲模块微服务应用,设置缓冲周期阈值(按秒为单位),建立消息队列中间件(kafka)。本发明在实际安全运营场景中,面对批量扫描告警、多个应用联动有实际成效,可解决包括不限于大量重复IP处置的安全运营场景,提高人效,降低机器负载;创造性的将工作流引擎技术融入网络安全防护领域中,在开展安全运营响应流程中,在搭建一种安全事件编排和自动化响应能力(SOAR)的相关系统中,作为工作流引擎的一部分。
Description
技术领域
本发明涉及网络安全技术领域,特别涉及一种基于SOAR聚类联动应用服务的控制方法和装置。
背景技术
安全运营是网络安全保障体系的一部分,随着安全体系的不断深化,大部分企业已从建设期转换为运营期,一家企业在日常安全运维过程中,存在多人、多个异构系统、多个操作界面的安全运营协作工作,安全处置效率较长,运营效率低下。
SOAR,Gartner 2015年提出的SOAR概念,定义为Security Orchestration,Automation and Response,既安全编排、自动化与响应。将复杂的威胁事件响应过程和任务,事先制定成标准自动化执行的处理工作流(简称剧本或预案)。根据安全运营实际要求建立安全场景剧本,技术实现常以基于工作流引擎基础架构,建立传感器、任务处理模块和应用包(第三方联动设备能力集成)。
工作流引擎(workflow)作为平台系统的一部分,将系统各个动作拼接成“动作集”,定义顺序、转换条件和传递数据。
应用包。封装第三方系统、应用或服务的接口,形成应用业务逻辑的动作库,一个应用可包含多个动作的集合,简称为应用包。其可供SOAR子系统在剧本可视化编排时,根据实际剧本的处置述求,结合形成工作流环节的一部分;
传统上,当SOAR从接收到工作流引擎所下发的目标指令,需要联动第三方应用服务做出相关的任务动作,存在两个问题痛点:其一,目标第三方设备的执行(消费)效率低于输入事件的推动(推送),容易造成堵塞和堆积;其二,往往很多安全告警事件,存在一段周期内的IP关联性,对IP直接进行封堵及告警,容易消息堆积、浪费计算资源。而通过聚类联动设备的方式,建立消息缓冲区,对IP等关键字段进行聚类(一定周期),实现对第三方设备自动化的高效处置。
发明内容
本发明要解决的技术问题是克服现有技术的缺陷,提供一种基于SOAR聚类联动应用服务的控制方法和装置。
本发明提供了如下的技术方案:
本发明提供一种基于SOAR聚类联动应用服务的控制方法和装置,包括一个基于SOAR的聚类缓冲模块作为核心模块,其关联的模块包含有触发器模块、工作流模块、任务处置模块和应用包模块;具体方法如下所示:
(1)启动聚类缓冲模块微服务应用,设置缓冲周期阈值(按秒为单位),建立消息队列中间件(kafka);
(2)当收到SOAR中的安全场景剧本下发的任务指令时,获取于所述目标指令关联的第三方设备的关联参数,将任务指令推动到聚类缓冲模块;
(3)根据应用包关联的第三方应用服务信息并发数值,要求的聚类窗口时长T,聚类字段key,SOAR对所对应的第三方应用服务进行联动控制;
(4)基于实时处理滑动窗口计数,在T窗口内,对同个字段Key,若动作一致,对多个任务动作actionA1~actionAn,进行归并整合为1个actionB1;
(5)actionB1推动到相关联的消息队列缓冲区中;
(6)聚类缓冲模块的消费任务处理线程,根据缓冲区数据、第三方应用服务可承载的并发数和频率值,进行并发数控制调度,按处置相应情况,合理控制速度频率,调用应用包相关动作,执行对第三方应用服务的联动控制。
作为本发明的一种优选技术方案,预先将第三方设备系统,相关配置信息集成到应用包中,作为核心参数之一,包括用户名、密码、并发数(频率)、IP等配置信息,注册到应用包中,关联到场景剧本中。
作为本发明的一种优选技术方案,聚类字段具体为以IP、域名、用户名为主。第三方设备服务具体为防护墙设备、钉钉企业微信等通讯工具。
与现有技术相比,本发明的有益效果如下:
本发明在实际安全运营场景中,面对批量扫描告警、多个应用联动有实际成效,可解决包括不限于大量重复IP处置的安全运营场景,提高人效,降低机器负载;
创造性的将工作流引擎技术融入网络安全防护领域中,在开展安全运营响应流程中,在搭建一种安全事件编排和自动化响应能力(SOAR)的相关系统中,作为工作流引擎的一部分。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1是本发明的聚类缓冲模块示意图;
图2是本发明的步骤流程图。
具体实施方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。其中附图中相同的标号全部指的是相同的部件。
实施例1
如图1-2,本发明提供一种基于SOAR聚类联动应用服务的控制方法和装置,包括一个基于SOAR的聚类缓冲模块作为核心模块,其关联的模块包含有触发器模块、工作流模块、任务处置模块和应用包模块;具体方法如下所示:
(1)启动聚类缓冲模块微服务应用,设置缓冲周期阈值(按秒为单位),建立消息队列中间件(kafka);
(2)当收到SOAR中的安全场景剧本下发的任务指令时,获取于所述目标指令关联的第三方设备的关联参数,将任务指令推动到聚类缓冲模块;
(3)根据应用包关联的第三方应用服务信息并发数值,要求的聚类窗口时长T,聚类字段key,SOAR对所对应的第三方应用服务进行联动控制;
(4)基于实时处理滑动窗口计数,在T窗口内,对同个字段Key,若动作一致,对多个任务动作actionA1~actionAn,进行归并整合为1个actionB1;
(5)actionB1推动到相关联的消息队列缓冲区中;
(6)聚类缓冲模块的消费任务处理线程,根据缓冲区数据、第三方应用服务可承载的并发数和频率值,进行并发数控制调度,按处置相应情况,合理控制速度频率,调用应用包相关动作,执行对第三方应用服务的联动控制。
预先将第三方设备系统,相关配置信息集成到应用包中,作为核心参数之一,包括用户名、密码、并发数(频率)、IP等配置信息,注册到应用包中,关联到场景剧本中。
聚类字段具体为以IP、域名、用户名为主。第三方设备服务具体为防护墙设备、钉钉企业微信等通讯工具。
进一步的,具体的将第三方设备设置为钉钉通知和防火墙封堵。通过一个具体的安全场景剧本说明。涉及两个应用包:钉钉应用包(IP封堵通知)、防火墙应用包(IP封堵执行),当SOAR的剧本需要对某IP进行自动化防火墙封堵和钉钉通知。考虑到营销活动期业务保障优先,设置防火墙频率10/秒、5秒内聚类统计某IP缓冲。
若无此缓冲技术,遇到批量某固定源IP的恶意攻击,则在瞬间会有大量的IP安全事件需处置,钉钉将频繁告警、防火墙需重复执行执行封堵动作,造成设备高负载、钉钉告警批量,安全运营效率低下。有此技术后,基于5秒的延迟聚类计数和分析,会减少大量的重复IP告警,钉钉消息通知更聚焦提高安全运营处置效率,大量IP会聚类为有限的IP源,推动到防火墙进行封堵,稳定高效进行封堵IP动作,达到高效自动化安全运营目标。
本发明嵌入到soar系统中,作为拖拉拽的图形化任务调度模型,高效的解决跨系统多个任务间的调度和协作。
1.在2021的某次重大攻防演习活动中,其处于平台的安全事件的响应处置一环。在面对全网大量的安全设备事件告警,先经过分析中心后,形成各条事件权重分,到“自动化中心”(工作流引擎内置其中)中,配置若干个事件处置模型,根据事件等级,进行事件告警忽略、钉钉通知、邮件通知、事件上报和IP封堵等处置方式,最终实现对事件的自动化处理,事件记录压缩率872%,大大减轻了监控人员的压力,加快了处理速度,提升了公司网络攻击的应对能力。
2.互金公司作为研发单位,承担了2022年集团网信安全研发链的子课题“安全事件编排和自动化响应”的研发工作,本发明专利是其中一个重大技术创新攻关点,目前已经在4个单位试点落地。
本发明中当安全运营场景剧本,收到大量需安全设备联动处置的安全动作时,建立聚类缓冲区模块,可根据一定周期时间内,对IP等关键要素进行聚类和缓冲,解决由于安全剧本任务动作过多,导致第三方设备建立聚类缓冲模块执行效率更不上,出现负载过高、无响应、错误反馈等异常问题。从而导致SOAR无法联动第三方设备。
本发明在实际安全运营场景中,面对批量扫描告警、多个应用联动有实际成效,可解决包括不限于大量重复IP处置的安全运营场景,提高人效,降低机器负载;
创造性的将工作流引擎技术融入网络安全防护领域中,在开展安全运营响应流程中,在搭建一种安全事件编排和自动化响应能力(SOAR)的相关系统中,作为工作流引擎的一部分。
最后应说明的是:以上所述仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (3)
1.一种基于SOAR聚类联动应用服务的控制方法和装置,其特征在于,包括一个基于SOAR的聚类缓冲模块作为核心模块,其关联的模块包含有触发器模块、工作流模块、任务处置模块和应用包模块;具体方法如下所示:
(1)启动聚类缓冲模块微服务应用,设置缓冲周期阈值(按秒为单位),建立消息队列中间件(kafka);
(2)当收到SOAR中的安全场景剧本下发的任务指令时,获取于所述目标指令关联的第三方设备的关联参数,将任务指令推动到聚类缓冲模块;
(3)根据应用包关联的第三方应用服务信息并发数值,要求的聚类窗口时长T,聚类字段key,SOAR对所对应的第三方应用服务进行联动控制;
(4)基于实时处理滑动窗口计数,在T窗口内,对同个字段Key,若动作一致,对多个任务动作actionA1~actionAn,进行归并整合为1个actionB1;
(5)actionB1推动到相关联的消息队列缓冲区中;
(6)聚类缓冲模块的消费任务处理线程,根据缓冲区数据、第三方应用服务可承载的并发数和频率值,进行并发数控制调度,按处置相应情况,合理控制速度频率,调用应用包相关动作,执行对第三方应用服务的联动控制。
2.根据权利要求1所述的一种基于SOAR聚类联动应用服务的控制方法和装置,其特征在于,预先将第三方设备系统,相关配置信息集成到应用包中,作为核心参数之一,包括用户名、密码、并发数(频率)、IP等配置信息,注册到应用包中,关联到场景剧本中。
3.根据权利要求1所述的一种基于SOAR聚类联动应用服务的控制方法和装置,其特征在于,聚类字段具体为以IP、域名、用户名为主。第三方设备服务具体为防护墙设备、钉钉企业微信等通讯工具。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211341153.3A CN115913658A (zh) | 2022-10-30 | 2022-10-30 | 一种基于soar聚类联动应用服务的控制方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211341153.3A CN115913658A (zh) | 2022-10-30 | 2022-10-30 | 一种基于soar聚类联动应用服务的控制方法和装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115913658A true CN115913658A (zh) | 2023-04-04 |
Family
ID=86484186
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211341153.3A Pending CN115913658A (zh) | 2022-10-30 | 2022-10-30 | 一种基于soar聚类联动应用服务的控制方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115913658A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116611046A (zh) * | 2023-06-05 | 2023-08-18 | 武汉思普崚技术有限公司 | 一种基于soar的弱口令处理方法、装置以及处理系统 |
-
2022
- 2022-10-30 CN CN202211341153.3A patent/CN115913658A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116611046A (zh) * | 2023-06-05 | 2023-08-18 | 武汉思普崚技术有限公司 | 一种基于soar的弱口令处理方法、装置以及处理系统 |
CN116611046B (zh) * | 2023-06-05 | 2024-04-09 | 武汉思普崚技术有限公司 | 一种基于soar的弱口令处理方法、装置以及处理系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107423198B (zh) | 一种eam平台监控管理方法及系统 | |
CN110581773A (zh) | 一种自动化服务监控与报警管理系统 | |
CN111835768B (zh) | 一种用于处理安全事件的方法、装置、介质及计算机设备 | |
CN106790706B (zh) | 一种数据资源优化的方法、平台及系统 | |
CN105357299A (zh) | 工业生产远程监控方法及系统 | |
CN105760240A (zh) | 分布式任务处理方法及装置 | |
CN110825535A (zh) | 一种作业调度的方法和系统 | |
CN108551449B (zh) | 防病毒管理系统及方法 | |
CN111526049B (zh) | 运维系统、运维方法、电子设备和存储介质 | |
CN102663543A (zh) | 一种用于企业数据统一平台的调度系统 | |
CN115913658A (zh) | 一种基于soar聚类联动应用服务的控制方法和装置 | |
CN114401109A (zh) | 一种基于应用包插件的安全事件响应和自动化编排方法 | |
CN103178988A (zh) | 一种性能优化的虚拟化资源的监控方法和系统 | |
CN111049673A (zh) | 一种服务网关中api调用统计和监控的方法及系统 | |
CN110287228A (zh) | 基于电网调度域设备监测实时数据采集的实现方法 | |
CN113111374B (zh) | 一种端边云的工业微服务系统、数据交互方法及介质 | |
CN112506154A (zh) | 一种生活污水处理站物联网监控系统 | |
CN205375163U (zh) | 工业生产远程监控系统 | |
CN103268567A (zh) | 面向制造行业管理系统的高效大规模事件侦测与处理方法 | |
CN103514036A (zh) | 一种用于事件触发和批量处理的调度系统和方法 | |
CN111209171B (zh) | 安全风险的闭环处置方法、装置及存储介质 | |
CN113961369A (zh) | 一种文旅产业平台的延时调度方法、系统及存储介质 | |
CN112835794A (zh) | 一种基于Swoole的代码执行问题的定位监测方法及系统 | |
CN113204694A (zh) | 一种应用于业务系统智能数据交换的方法 | |
US20200401446A1 (en) | Intermediary system for data streams |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication |