CN115913658A - 一种基于soar聚类联动应用服务的控制方法和装置 - Google Patents

一种基于soar聚类联动应用服务的控制方法和装置 Download PDF

Info

Publication number
CN115913658A
CN115913658A CN202211341153.3A CN202211341153A CN115913658A CN 115913658 A CN115913658 A CN 115913658A CN 202211341153 A CN202211341153 A CN 202211341153A CN 115913658 A CN115913658 A CN 115913658A
Authority
CN
China
Prior art keywords
clustering
module
soar
buffer
application
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211341153.3A
Other languages
English (en)
Inventor
刘剑群
刘奇
吴朝亮
宫冠鹏
王亚洲
孟熹
赵毅
邢佳佳
雷加伟
刘鑫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tianyi Electronic Commerce Co Ltd
Original Assignee
Tianyi Electronic Commerce Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tianyi Electronic Commerce Co Ltd filed Critical Tianyi Electronic Commerce Co Ltd
Priority to CN202211341153.3A priority Critical patent/CN115913658A/zh
Publication of CN115913658A publication Critical patent/CN115913658A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种基于SOAR聚类联动应用服务的控制方法和装置,包括一个基于SOAR的聚类缓冲模块作为核心模块,其关联的模块包含有触发器模块、工作流模块、任务处置模块和应用包模块;具体方法如下所示:(1)启动聚类缓冲模块微服务应用,设置缓冲周期阈值(按秒为单位),建立消息队列中间件(kafka)。本发明在实际安全运营场景中,面对批量扫描告警、多个应用联动有实际成效,可解决包括不限于大量重复IP处置的安全运营场景,提高人效,降低机器负载;创造性的将工作流引擎技术融入网络安全防护领域中,在开展安全运营响应流程中,在搭建一种安全事件编排和自动化响应能力(SOAR)的相关系统中,作为工作流引擎的一部分。

Description

一种基于SOAR聚类联动应用服务的控制方法和装置
技术领域
本发明涉及网络安全技术领域,特别涉及一种基于SOAR聚类联动应用服务的控制方法和装置。
背景技术
安全运营是网络安全保障体系的一部分,随着安全体系的不断深化,大部分企业已从建设期转换为运营期,一家企业在日常安全运维过程中,存在多人、多个异构系统、多个操作界面的安全运营协作工作,安全处置效率较长,运营效率低下。
SOAR,Gartner 2015年提出的SOAR概念,定义为Security Orchestration,Automation and Response,既安全编排、自动化与响应。将复杂的威胁事件响应过程和任务,事先制定成标准自动化执行的处理工作流(简称剧本或预案)。根据安全运营实际要求建立安全场景剧本,技术实现常以基于工作流引擎基础架构,建立传感器、任务处理模块和应用包(第三方联动设备能力集成)。
工作流引擎(workflow)作为平台系统的一部分,将系统各个动作拼接成“动作集”,定义顺序、转换条件和传递数据。
应用包。封装第三方系统、应用或服务的接口,形成应用业务逻辑的动作库,一个应用可包含多个动作的集合,简称为应用包。其可供SOAR子系统在剧本可视化编排时,根据实际剧本的处置述求,结合形成工作流环节的一部分;
传统上,当SOAR从接收到工作流引擎所下发的目标指令,需要联动第三方应用服务做出相关的任务动作,存在两个问题痛点:其一,目标第三方设备的执行(消费)效率低于输入事件的推动(推送),容易造成堵塞和堆积;其二,往往很多安全告警事件,存在一段周期内的IP关联性,对IP直接进行封堵及告警,容易消息堆积、浪费计算资源。而通过聚类联动设备的方式,建立消息缓冲区,对IP等关键字段进行聚类(一定周期),实现对第三方设备自动化的高效处置。
发明内容
本发明要解决的技术问题是克服现有技术的缺陷,提供一种基于SOAR聚类联动应用服务的控制方法和装置。
本发明提供了如下的技术方案:
本发明提供一种基于SOAR聚类联动应用服务的控制方法和装置,包括一个基于SOAR的聚类缓冲模块作为核心模块,其关联的模块包含有触发器模块、工作流模块、任务处置模块和应用包模块;具体方法如下所示:
(1)启动聚类缓冲模块微服务应用,设置缓冲周期阈值(按秒为单位),建立消息队列中间件(kafka);
(2)当收到SOAR中的安全场景剧本下发的任务指令时,获取于所述目标指令关联的第三方设备的关联参数,将任务指令推动到聚类缓冲模块;
(3)根据应用包关联的第三方应用服务信息并发数值,要求的聚类窗口时长T,聚类字段key,SOAR对所对应的第三方应用服务进行联动控制;
(4)基于实时处理滑动窗口计数,在T窗口内,对同个字段Key,若动作一致,对多个任务动作actionA1~actionAn,进行归并整合为1个actionB1;
(5)actionB1推动到相关联的消息队列缓冲区中;
(6)聚类缓冲模块的消费任务处理线程,根据缓冲区数据、第三方应用服务可承载的并发数和频率值,进行并发数控制调度,按处置相应情况,合理控制速度频率,调用应用包相关动作,执行对第三方应用服务的联动控制。
作为本发明的一种优选技术方案,预先将第三方设备系统,相关配置信息集成到应用包中,作为核心参数之一,包括用户名、密码、并发数(频率)、IP等配置信息,注册到应用包中,关联到场景剧本中。
作为本发明的一种优选技术方案,聚类字段具体为以IP、域名、用户名为主。第三方设备服务具体为防护墙设备、钉钉企业微信等通讯工具。
与现有技术相比,本发明的有益效果如下:
本发明在实际安全运营场景中,面对批量扫描告警、多个应用联动有实际成效,可解决包括不限于大量重复IP处置的安全运营场景,提高人效,降低机器负载;
创造性的将工作流引擎技术融入网络安全防护领域中,在开展安全运营响应流程中,在搭建一种安全事件编排和自动化响应能力(SOAR)的相关系统中,作为工作流引擎的一部分。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1是本发明的聚类缓冲模块示意图;
图2是本发明的步骤流程图。
具体实施方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。其中附图中相同的标号全部指的是相同的部件。
实施例1
如图1-2,本发明提供一种基于SOAR聚类联动应用服务的控制方法和装置,包括一个基于SOAR的聚类缓冲模块作为核心模块,其关联的模块包含有触发器模块、工作流模块、任务处置模块和应用包模块;具体方法如下所示:
(1)启动聚类缓冲模块微服务应用,设置缓冲周期阈值(按秒为单位),建立消息队列中间件(kafka);
(2)当收到SOAR中的安全场景剧本下发的任务指令时,获取于所述目标指令关联的第三方设备的关联参数,将任务指令推动到聚类缓冲模块;
(3)根据应用包关联的第三方应用服务信息并发数值,要求的聚类窗口时长T,聚类字段key,SOAR对所对应的第三方应用服务进行联动控制;
(4)基于实时处理滑动窗口计数,在T窗口内,对同个字段Key,若动作一致,对多个任务动作actionA1~actionAn,进行归并整合为1个actionB1;
(5)actionB1推动到相关联的消息队列缓冲区中;
(6)聚类缓冲模块的消费任务处理线程,根据缓冲区数据、第三方应用服务可承载的并发数和频率值,进行并发数控制调度,按处置相应情况,合理控制速度频率,调用应用包相关动作,执行对第三方应用服务的联动控制。
预先将第三方设备系统,相关配置信息集成到应用包中,作为核心参数之一,包括用户名、密码、并发数(频率)、IP等配置信息,注册到应用包中,关联到场景剧本中。
聚类字段具体为以IP、域名、用户名为主。第三方设备服务具体为防护墙设备、钉钉企业微信等通讯工具。
进一步的,具体的将第三方设备设置为钉钉通知和防火墙封堵。通过一个具体的安全场景剧本说明。涉及两个应用包:钉钉应用包(IP封堵通知)、防火墙应用包(IP封堵执行),当SOAR的剧本需要对某IP进行自动化防火墙封堵和钉钉通知。考虑到营销活动期业务保障优先,设置防火墙频率10/秒、5秒内聚类统计某IP缓冲。
若无此缓冲技术,遇到批量某固定源IP的恶意攻击,则在瞬间会有大量的IP安全事件需处置,钉钉将频繁告警、防火墙需重复执行执行封堵动作,造成设备高负载、钉钉告警批量,安全运营效率低下。有此技术后,基于5秒的延迟聚类计数和分析,会减少大量的重复IP告警,钉钉消息通知更聚焦提高安全运营处置效率,大量IP会聚类为有限的IP源,推动到防火墙进行封堵,稳定高效进行封堵IP动作,达到高效自动化安全运营目标。
本发明嵌入到soar系统中,作为拖拉拽的图形化任务调度模型,高效的解决跨系统多个任务间的调度和协作。
1.在2021的某次重大攻防演习活动中,其处于平台的安全事件的响应处置一环。在面对全网大量的安全设备事件告警,先经过分析中心后,形成各条事件权重分,到“自动化中心”(工作流引擎内置其中)中,配置若干个事件处置模型,根据事件等级,进行事件告警忽略、钉钉通知、邮件通知、事件上报和IP封堵等处置方式,最终实现对事件的自动化处理,事件记录压缩率872%,大大减轻了监控人员的压力,加快了处理速度,提升了公司网络攻击的应对能力。
2.互金公司作为研发单位,承担了2022年集团网信安全研发链的子课题“安全事件编排和自动化响应”的研发工作,本发明专利是其中一个重大技术创新攻关点,目前已经在4个单位试点落地。
本发明中当安全运营场景剧本,收到大量需安全设备联动处置的安全动作时,建立聚类缓冲区模块,可根据一定周期时间内,对IP等关键要素进行聚类和缓冲,解决由于安全剧本任务动作过多,导致第三方设备建立聚类缓冲模块执行效率更不上,出现负载过高、无响应、错误反馈等异常问题。从而导致SOAR无法联动第三方设备。
本发明在实际安全运营场景中,面对批量扫描告警、多个应用联动有实际成效,可解决包括不限于大量重复IP处置的安全运营场景,提高人效,降低机器负载;
创造性的将工作流引擎技术融入网络安全防护领域中,在开展安全运营响应流程中,在搭建一种安全事件编排和自动化响应能力(SOAR)的相关系统中,作为工作流引擎的一部分。
最后应说明的是:以上所述仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (3)

1.一种基于SOAR聚类联动应用服务的控制方法和装置,其特征在于,包括一个基于SOAR的聚类缓冲模块作为核心模块,其关联的模块包含有触发器模块、工作流模块、任务处置模块和应用包模块;具体方法如下所示:
(1)启动聚类缓冲模块微服务应用,设置缓冲周期阈值(按秒为单位),建立消息队列中间件(kafka);
(2)当收到SOAR中的安全场景剧本下发的任务指令时,获取于所述目标指令关联的第三方设备的关联参数,将任务指令推动到聚类缓冲模块;
(3)根据应用包关联的第三方应用服务信息并发数值,要求的聚类窗口时长T,聚类字段key,SOAR对所对应的第三方应用服务进行联动控制;
(4)基于实时处理滑动窗口计数,在T窗口内,对同个字段Key,若动作一致,对多个任务动作actionA1~actionAn,进行归并整合为1个actionB1;
(5)actionB1推动到相关联的消息队列缓冲区中;
(6)聚类缓冲模块的消费任务处理线程,根据缓冲区数据、第三方应用服务可承载的并发数和频率值,进行并发数控制调度,按处置相应情况,合理控制速度频率,调用应用包相关动作,执行对第三方应用服务的联动控制。
2.根据权利要求1所述的一种基于SOAR聚类联动应用服务的控制方法和装置,其特征在于,预先将第三方设备系统,相关配置信息集成到应用包中,作为核心参数之一,包括用户名、密码、并发数(频率)、IP等配置信息,注册到应用包中,关联到场景剧本中。
3.根据权利要求1所述的一种基于SOAR聚类联动应用服务的控制方法和装置,其特征在于,聚类字段具体为以IP、域名、用户名为主。第三方设备服务具体为防护墙设备、钉钉企业微信等通讯工具。
CN202211341153.3A 2022-10-30 2022-10-30 一种基于soar聚类联动应用服务的控制方法和装置 Pending CN115913658A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211341153.3A CN115913658A (zh) 2022-10-30 2022-10-30 一种基于soar聚类联动应用服务的控制方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211341153.3A CN115913658A (zh) 2022-10-30 2022-10-30 一种基于soar聚类联动应用服务的控制方法和装置

Publications (1)

Publication Number Publication Date
CN115913658A true CN115913658A (zh) 2023-04-04

Family

ID=86484186

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211341153.3A Pending CN115913658A (zh) 2022-10-30 2022-10-30 一种基于soar聚类联动应用服务的控制方法和装置

Country Status (1)

Country Link
CN (1) CN115913658A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116611046A (zh) * 2023-06-05 2023-08-18 武汉思普崚技术有限公司 一种基于soar的弱口令处理方法、装置以及处理系统

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116611046A (zh) * 2023-06-05 2023-08-18 武汉思普崚技术有限公司 一种基于soar的弱口令处理方法、装置以及处理系统
CN116611046B (zh) * 2023-06-05 2024-04-09 武汉思普崚技术有限公司 一种基于soar的弱口令处理方法、装置以及处理系统

Similar Documents

Publication Publication Date Title
CN107423198B (zh) 一种eam平台监控管理方法及系统
CN110581773A (zh) 一种自动化服务监控与报警管理系统
CN111835768B (zh) 一种用于处理安全事件的方法、装置、介质及计算机设备
CN106790706B (zh) 一种数据资源优化的方法、平台及系统
CN105357299A (zh) 工业生产远程监控方法及系统
CN105760240A (zh) 分布式任务处理方法及装置
CN110825535A (zh) 一种作业调度的方法和系统
CN108551449B (zh) 防病毒管理系统及方法
CN111526049B (zh) 运维系统、运维方法、电子设备和存储介质
CN102663543A (zh) 一种用于企业数据统一平台的调度系统
CN115913658A (zh) 一种基于soar聚类联动应用服务的控制方法和装置
CN114401109A (zh) 一种基于应用包插件的安全事件响应和自动化编排方法
CN103178988A (zh) 一种性能优化的虚拟化资源的监控方法和系统
CN111049673A (zh) 一种服务网关中api调用统计和监控的方法及系统
CN110287228A (zh) 基于电网调度域设备监测实时数据采集的实现方法
CN113111374B (zh) 一种端边云的工业微服务系统、数据交互方法及介质
CN112506154A (zh) 一种生活污水处理站物联网监控系统
CN205375163U (zh) 工业生产远程监控系统
CN103268567A (zh) 面向制造行业管理系统的高效大规模事件侦测与处理方法
CN103514036A (zh) 一种用于事件触发和批量处理的调度系统和方法
CN111209171B (zh) 安全风险的闭环处置方法、装置及存储介质
CN113961369A (zh) 一种文旅产业平台的延时调度方法、系统及存储介质
CN112835794A (zh) 一种基于Swoole的代码执行问题的定位监测方法及系统
CN113204694A (zh) 一种应用于业务系统智能数据交换的方法
US20200401446A1 (en) Intermediary system for data streams

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication