CN116032629A - 一种告警流量的分类治理方法、系统电子设备及存储介质 - Google Patents
一种告警流量的分类治理方法、系统电子设备及存储介质 Download PDFInfo
- Publication number
- CN116032629A CN116032629A CN202310001868.2A CN202310001868A CN116032629A CN 116032629 A CN116032629 A CN 116032629A CN 202310001868 A CN202310001868 A CN 202310001868A CN 116032629 A CN116032629 A CN 116032629A
- Authority
- CN
- China
- Prior art keywords
- alarm
- flow
- logs
- traffic
- log
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种告警流量的分类治理方法、系统、电子设备及存储介质,其方法包括:通过多种日志接收方式与第三方安全防护设备进行对接获取对应的告警流量日志,对告警流量日志进行标准统一格式处理得到预处理告警流量日志,将预处理告警流量日志与全局白名单中的告警流量日志进行源IP比对,对预处理告警流量日志中不在全局白名单中的预处理告警流量日志进行数据清洗研判,确定不同预处理告警流量日志的威胁类型,最后根据所述不同预处理告警流量日志的威胁类型联动不同网络安全设备通过预设处理剧本进行流量调度对不同预处理告警流量进行处理,解决了不同类型的大量网络流量数据使企业网络安全技防措施存在较大的防御和溯源反制压力的问题。
Description
技术领域
本发明涉及网络信息安全领域,尤其涉及一种告警流量的分类治理方法、系统电子设备及存储介质。
背景技术
随着全球信息化的到来,大量企业和机构都在组建自己的网络,来实现网络资源的共享。网络在信息化的社会中拥有重要的地位,然而频发的网络安全问题也不可被忽视。
虽然现在有防火墙隔离了局域网和外部网络,能够识别并屏蔽外界的非法请求,阻止那些无权限的数据访问,加强网络的安全性,以此简化局域网安全管理。但是,防火墙产生的日志数量增长过快,无法高效地完成对海量日志数据的处理,导致网络安全管理效率低下。
随着网络攻击事件频繁发生,各个大型企业正面临的各种复杂网络安全威胁,在护网或实战攻防期间,各种不同类型的大量网络流量交融穿梭在互联网大区中,使得企业网络安全技防措施存在较大的防御压力和溯源反制压力,企业难以实现“护网不断网”的安全防御理念,高效安全的保证网络安全。
因此,现有技术中存在着不同类型的大量网络流量数据使企业网络安全技防措施存在较大的防御压力和溯源反制压力的问题。
发明内容
有鉴于此,本发明提供一种告警流量的分类治理方法、系统电子设备及存储介质,能够缓解不同类型的大量网络流量数据使企业网络安全技防措施存在的较大的防御压力和溯源反制压力的问题。
为解决上述问题,第一方面,本发明提一种告警流量的分类治理方法,包括:
通过多种日志接收方式与第三方安全防护设备进行对接获取对应的告警流量日志,并对告警流量日志进行标准统一格式处理,得到预处理告警流量日志;
将预处理告警流量日志与全局白名单中的告警流量日志进行源IP比对;
对所述预处理告警流量日志中不在全局白名单中的预处理告警流量日志进行数据清洗研判,确定不同预处理告警流量日志的威胁类型;
根据所述不同预处理告警流量日志的威胁类型联动不同网络安全设备通过预设处理剧本进行流量调度对不同预处理告警流量进行处理。
在一些可能实现的方式中,通过多种日志接收方式与第三方安全防护设备进行对接获取对应的告警流量日志,并对告警流量日志进行标准统一格式处理,得到预处理告警流量日志,包括:
通过syslog、kafka以及API接口方式与第三方安全防护设备对接获取对应的告警流量日志;
采用多种解析匹配方式将告警流量日志进行标准化统一格式处理。
在一些可能实现的方式中,将预处理告警流量日志与全局白名单中的告警流量日志进行源IP比对,包括:
获取预处理告警流量日志的源IP;
将预处理告警流量日志的源IP与所述全局白名单中的告警流量日志的源IP进行比对。
在一些可能实现的方式中,对所述预处理告警流量日志中不在全局白名单中的预处理告警流量日志进行数据清洗研判,确定不同预处理告警流量日志的威胁类型,包括:
根据不同平台的预处理告警流量日志自身特征,设置过滤条件,按需筛选出指定条件的告警流量日志确定威胁类型;
统计一段时间范围内的不同平台的预处理告警流量日志数据,进行收敛聚合筛选确定威胁类型;
根据告警流量日志特征,通过设置单个或多个阈值,进行比较,按需筛选出告警流量日志确定威胁类型。
在一些可能实现的方式中,根据所述不同预处理告警流量日志的威胁类型联动不同网络安全设备通过预设处理剧本进行流量调度对不同预处理告警流量进行处理,包括:
通过实时流式数据处理技术根据不同预处理告警流量日志的威胁类型自动触发预设剧本进行执行;
根据不同威胁类型的告警流量触发的不同预设剧本联动不同网络安全设备对告警流量进行的处置。
在一些可能实现的方式中,根据不同威胁类型的告警流量触发的不同预设剧本联动不同网络安全设备对告警流量进行的处置,包括:
根据不同威胁类型的告警流量触发的预设剧本,给对应的网络安全设备下达流量调度指令;
所述网络安全设备收到流量调度指令后通过命令行方式下发流量调度策略,将对应的类型告警流量调度到对应的网络安全设备上进行处理。
在一些可能实现的方式中,对所述预处理告警流量日志中不在全局白名单中的预处理告警流量日志进行数据清洗研判,确定不同预处理告警流量日志的威胁类型,还包括:
当告警流量日志的威胁类型为未知流量时,通过人工进行二次研判;
当研判结果为安全时,将该告警流量日志加入全局白名单中;
当研判结果为不安全时,联动网络安全设备对该告警流量进行处理。
另一方面,本发明还提供告警流量的分类治理系统,包括:
告警流量日志接收单元,通过多种日志接收方式与第三方安全防护设备进行对接获取对应的告警流量日志,并对告警流量日志进行标准统一格式处理,得到预处理告警流量日志;
告警流量日志比对单元,将预处理告警流量日志与全局白名单中的告警流量日志进行源IP比对;
告警流量日志清洗单元,对所述预处理告警流量日志中不在全局白名单中的预处理告警流量日志进行数据清洗研判,确定不同预处理告警流量日志的威胁类型;
告警流量分类治理,根据所述不同预处理告警流量日志的威胁类型联动不同网络安全设备通过预设处理剧本进行流量调度对不同预处理告警流量进行处理。
另一方面,本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行程序时,实现上述所述的告警流量的分类治理方法。
另一方面,本发明还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时,实现上述的告警流量的分类治理方法。
与现有技术相比,本发明有益效果包括:本发明通过多种日志接收方式与第三方安全防护设备进行对接获取对应的告警流量日志,并对告警流量日志进行标准统一格式处理,得到预处理告警流量日志,然后将预处理告警流量日志与全局白名单中的告警流量日志进行源IP比对,进一步对所述预处理告警流量日志中不在全局白名单中的预处理告警流量日志进行数据清洗研判,确定不同预处理告警流量日志的威胁类型,最后根据所述不同预处理告警流量日志的威胁类型联动不同网络安全设备通过预设处理剧本进行流量调度对不同预处理告警流量进行处理;本发明通过对海量的告警流量日志进行清洗分类,去除大量无效重复的告警流量日志,减少了处理海量告警事件的速度,同时对不同类别的告警流量按照预设的剧本自动对不同类型的告警流量进行处理,有效的解决了不同类型的大量网络流量数据使企业网络安全技防措施存在较大的防御和溯源反制压力的问题。
附图说明
图1为本发明提供的告警流量的分类治理方法一实施例的流程图;
图2为本发明提供的告警流量的分类治理系统一实施例的结构图;
图3为本发明提供的电子设备一实施例的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本邻域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应当理解,示意性的附图并未按实物比例绘制。本发明中使用的流程图示出了根据本发明的一些实施例实现的操作。应当理解,流程图的操作可以不按顺序实现,没有逻辑的上下文关系的步骤可以反转顺序或者同时实施。此外,本邻域技术人员在本发明内容的指引下,可以向流程图添加一个或多个其他操作,也可以从流程图中移除一个或多个操作。
附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器系统和/或微控制器系统中实现这些功能实体。
在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本发明的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其他实施例互斥的独立的或备选的实施例。本邻域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其他实施例相结合。
本发明实施例提供了一种告警流量的分类治理方法、系统、电子设备及存储介质以下分别进行说明。
图1为本发明提供的一种告警流量的分类治理方法一实施例的流程图,包括以下步骤:
S101、通过多种日志接收方式与第三方安全防护设备进行对接获取对应的告警流量日志,并对告警流量日志进行标准统一格式处理,得到预处理告警流量日志;
S102、将预处理告警流量日志与全局白名单中的告警流量日志进行源IP比对;
S103、对所述预处理告警流量日志中不在全局白名单中的预处理告警流量日志进行数据清洗研判,确定不同预处理告警流量日志的威胁类型;
S104、根据所述不同预处理告警流量日志的威胁类型联动不同网络安全设备通过预设处理剧本进行流量调度对不同预处理告警流量进行处理。
与现有技术相比,本发明通过多种日志接收方式与第三方安全防护设备进行对接获取对应的告警流量日志,并对告警流量日志进行标准统一格式处理,得到预处理告警流量日志,然后将预处理告警流量日志与全局白名单中的告警流量日志进行源IP比对,进一步对所述预处理告警流量日志中不在全局白名单中的预处理告警流量日志进行数据清洗研判,确定不同预处理告警流量日志的威胁类型,最后根据所述不同预处理告警流量日志的威胁类型联动不同网络安全设备通过预设处理剧本进行流量调度对不同预处理告警流量进行处理;本发明通过对海量的告警流量日志进行清洗分类,去除大量无效重复的告警流量日志,减少了处理海量告警事件的速度,同时对不同类别的告警流量按照预设的剧本自动对不同类型的告警流量进行处理,有效的解决了不同类型的大量网络流量数据使企业网络安全技防措施存在较大的防御和溯源反制压力的问题。
需要说明的是,告警流量:指由不同网络安全防护设备对互联网网络进行监测分析出的各种流量,例如DDos攻击流量、APT攻击流量、加密攻击流量等。
进一步,需要说明的是;第三方安全防护设备指在互联网大区边界部署的各种网络安全防护设备,如态势感知平台、加密流量检测设备、全流量分析设备、IPS、IDS、防火墙等。
在本发明的优选的实施例中,通过多种日志接收方式与第三方安全防护设备进行对接获取对应的告警流量日志,并对告警流量日志进行标准统一格式处理,得到预处理告警流量日志,包括:
通过syslog、kafka以及API接口方式与第三方安全防护设备对接获取对应的告警流量日志;
采用多种解析匹配方式将告警流量日志进行标准化统一格式处理。
需要说明的是,Syslog:一种用来在互联网协议(TCP/IP)的网上中传递记录档消息的标准,在第三方平台页面上开启Syslog即可获取到告警流量日志。
进一步,需要说明的是,Kafka:一种可实时处理消费者在网站中的所有动作流数据的流处理平台,日志对接的双方平台只要配置好Kafka对接需要的相关参数,即可获取到告警流量日志。
进一步,需要说明的是,API:即通过接口方式定时获取第三方平台告警流量日志。
在本发明的优选的实施例中,将预处理告警流量日志与全局白名单中的告警流量日志进行源IP比对,包括:
获取预处理告警流量日志的源IP;
将预处理告警流量日志的源IP与所述全局白名单中的告警流量日志的源IP进行比对。
在本发明的优选实施例中,对所述预处理告警流量日志中不在全局白名单中的预处理告警流量日志进行数据清洗研判,确定不同预处理告警流量日志的威胁类型,包括:
根据不同平台的预处理告警流量日志自身特征,设置过滤条件,按需筛选出指定条件的告警流量日志确定威胁类型;
统计一段时间范围内的不同平台的预处理告警流量日志数据,进行收敛聚合筛选确定威胁类型;
根据告警流量日志特征,通过设置单个或多个阈值,进行比较,按需筛选出告警流量日志确定威胁类型。
在具体的实施例中,从多个平台即态势感知平台、全流量分析设备、IPS、IDS等获取到的告警流量日志存在大量的重复告警、无效告警,此时通过对告警流量日志进行数据清洗处理可大大提高安全运维人员在处理海量告警事件的运维速度。常见的数据清洗方法有:日志条件过滤、日志统计聚合、日志阈值比较。
日志条件过滤,根据不同平台的预处理告警流量日志自身特征,设置过滤条件,按需筛选出指定条件的告警流量日志确定威胁类型,例如通过设定的指定条件筛选出从态势感知平台发出的威胁等级高的所有告警流量日志。
日志统计聚合,统计一段时间范围内的不同平台的预处理告警流量日志数据,进行收敛聚合筛选确定威胁类型,例如统计出5分钟内源地址相同、目的地址不同的所有告警流量日志数量,对源地址相同、目的地址不同的所有告警流量日志赋予相同的威胁类型。
日志阈值比较,根据告警流量日志特征,通过设置单个或多个阈值,进行比较,按需筛选出告警流量日志确定威胁类型,例如若将重复的告警流量日志设置阈值为1,则将输出1条告警流量日志进行分析处理。
在本发明的优选实施例中,根据所述不同预处理告警流量日志的威胁类型联动不同网络安全设备通过预设处理剧本进行流量调度对不同预处理告警流量进行处理,包括:
通过实时流式数据处理技术根据不同预处理告警流量日志的威胁类型自动触发预设剧本进行执行;
根据不同威胁类型的告警流量触发的不同预设剧本联动不同网络安全设备对告警流量进行的处置。
在具体的实施例中,将安全运维人员在日常处置多平台告警流量的处置经验过程转换成一个个可描述性的逻辑节点,节点与节点之间的任意编排组合会形成一个告警事件处置通用型“剧本”,不同威胁类型的告警流量的通过实时流式数据处理技术自动触发该对应的预设“剧本”执行,将人工处置多平台告警流量事件转换成7*24小时零值守的自动化处置方式,从而提高安全运维人员工作效率。
需要说明的是,节点:主要分为应用和控制器两种,应用即对接第三方平
台的动作能力例如:态势感知平台应用、防火墙应用、沙箱系统应用、威胁情5报应用等;控制器即剧本流程需要的连接节点如条件判断、开始、结束等等。
进一步,需要说明的是,剧本:由多个应用节点和虚拟节点构成。应用节点指处置过程中需要对接第三方平台某些动作能力的接口节点,虚拟节点指处置过程中需要人工介入的节点如人工审批,报告填写等节点。
进一步,需要说明的是,实时流式数据处理技术:采用触发器和执行器两0大单元模式,触发器被外部触发并采集数据,以一定的格式将数据传递给执行器处理。触发器类型有Kafka消息队列触发、时间触发、基于HTTP协议触发等多种触发方式,执行器类型有数据映射、剧本执行、案件接入、条件判断等多个环节。
进一步,需要说明的是,剧本执行:指剧本中各个应用节点和虚拟节点的5有序执行,实现原理是采用二分搜索树的层序遍历算法,按照节点的输入输出参数条件逐层遍历每个节点,直至所有节点遍历完成。
在本发明的优选实施例中,根据不同威胁类型的告警流量触发的不同预设剧本联动不同网络安全设备对告警流量进行的处置,包括:
根据不同威胁类型的告警流量触发的预设剧本,给对应的网络安全设备下0达流量调度指令;
所述网络安全设备收到流量调度指令后通过命令行方式下发流量调度策略,将对应的类型告警流量调度到对应的网络安全设备上进行处理。
在具体的实施例中,预设剧本将根据不同威胁类型的告警流量联动不同网
络安全设备进行相应的处置,自动给网络安全设备下达流量调度指令,网络安5全设备收到日志相关数据后通过命令行方式下发流量调度策略,将不同类型告警流量调度到不同设备上分析判断改告警流量的威胁类型是否为该威胁类型;
若告警流量日志为DDOS攻击流量,则联动F5负载均衡设备应用节点,下发流量调度策略,生成策略命令行,将流量调度到流量清洗设备中去。接着对接流量清洗设备的API接口,获取流量清洗设备应用节点的分析结果,若分析结果为恶意,则联动边界防火墙设备应用节点做地址封禁动作;若分析结果为安全流量,则可判断出该攻击IP为误报,自动将该IP地址添加至全局白名单中,完成DDOS攻击流量自动化处置流程。
若告警流量日志为加密攻击流量,联动F5负载均衡设备应用节点,将流量调度至加密流量解析系统中去。通过对接加密流量解析系统接口,对加密攻击流量分析处理获取真实IP、URL等相关信息,然后对接第三方威胁情报平台,对真实IP地址或URL进行威胁情报检测分析,最后根据威胁情报检测分析结果做不同的处置,若检测结果为安全,同样将该条告警加入全局白名单中;若检测结果为恶意,根据安全运维人员的处置建议,加入人工审批控制器节点,人工判断是否创建工单,走工单处置流程,若同意创建工单,则对接第三方工单系统应用节点,提交工单,完成处置;若拒绝创建工单,则根据人工审批意见结束处置。
若告警流量日志为密网专区攻击流量,则继续联动F5负载均衡设备应用节点,将流量调度到蜜罐设备中去。通过对接蜜罐设备的溯源分析接口,对密网专区的攻击流量进行分析溯源,根据分析结果,生成攻击流量溯源报告并邮件通知管理员溯源分析详情;管理员收到邮件后查看人机映射关系表通知联系触发蜜罐主机归属人,接着添加人工介入控制器节点,获取主机归属人回复结果,是否为主动发起的访问,若是主机归属人主动发起,则为误报,添加到白名单中;若非主机归属人主动访问,则立即联动边界防火墙设备,同样采用命令行方式,给边界防火墙下发永久封禁的策略命令,完成密网专区攻击流量自动化处置流程。
若告警流量日志为特定攻击流量,则通过F5负载均衡设备的流量调度功能将该类型流量统一调度到APT分析系统中,接着对接APT分析系统接口,对特定攻击流量进行深度APT分析,然后根据系统分析结果的威胁等级走不同级别的阶梯式封禁处置流程。若威胁等级是低级,则联动边界防火墙设备下发封禁1小时的命令行策略;若威胁等级为中级,则联动防火墙设备生成封禁12小时的策略;若威胁等级为高级,则直接生成永久封禁的防火墙策略,若分析结果为安全的,添加白名单,结束特定攻击流量的自动化处置流程。
需要说明的是,负载均衡设备:指一种可将各个工作任务(网络流量即告警流量)进行平衡、分摊到多个操作单元上进行运行分析的设备,常见厂商有:F5负载均衡、Radware负载均衡、深信服、新华三等。
流量调度策略:指根据指定地址段或特定主机地址制订出向策略,再利用负载原理调度分发。
命令行:指根据流量调度策略相关信息生成负载均衡设备可识别的命令。
在本发明的优选实施例中,对所述预处理告警流量日志中不在全局白名单中的预处理告警流量日志进行数据清洗研判,确定不同预处理告警流量日志的威胁类型,还包括:
当告警流量日志的威胁类型为未知流量时,通过人工进行二次研判;
当研判结果为安全时,将该告警流量日志加入全局白名单中;
当研判结果为不安全时,联动网络安全设备对该告警流量进行处理。
在具体的实施例中,若告警流量日志其未知流量,则将此类的告警流量通过安全运维人员进行二次研判处理,若为研判结果为安全时,视为业务可信流量,则无需经过任何安全设备过滤检测,允许正常访问,并添加至白名单中,若人工研判结果为不安全时,联动防火墙,对该未知威胁告警流量做封禁操作,完成未知流量分析和处置过程。
为了更好实施本发明实施例中的一种告警流量的分类治理方法,在一种智能清洁方法基础之上,对应的,本发明实施还提供一种告警流量的分类治理系统,如图2为本发明提供的一种告警流量的分类治理系统200一实施例的结构图,包括:
告警流量日志接收单元201,通过多种日志接收方式与第三方安全防护设备进行对接获取对应的告警流量日志,并对告警流量日志进行标准统一格式处理,得到预处理告警流量日志;
告警流量日志比对单元202,将预处理告警流量日志与全局白名单中的告警流量日志进行源IP比对;
告警流量日志清洗单元203,对所述预处理告警流量日志中不在全局白名单中的预处理告警流量日志进行数据清洗研判,确定不同预处理告警流量日志的威胁类型;
告警流量分类治理204,根据所述不同预处理告警流量日志的威胁类型联动不同网络安全设备通过预设处理剧本进行流量调度对不同预处理告警流量进行处理。
本发明实施例还提供了一种电子设备,结合图3来看,图3为本发明提供的电子设备一实施例的结构示意图,电子设备300包括处理器301、存储器302及存储在存储器302上并可在处理器301上运行的计算机程序,处理器301执行程序时,实现如上所述的一种告警流量的分类治理方法。
作为优选的实施例,上述电子设备300还包括显示器303,用于显示处理器301执行如上所述的一种告警流量的分类治理方法。
示例性的,计算机程序可以被分割成一个或多个模块/单元,一个或者多个模块/单元被存储在存储器302中,并由处理器301执行,以完成本发明。一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述计算机程序在电子设备300中的执行过程。
电子设备300可以是带可调摄像头模组的桌上型计算机、笔记本、掌上电脑或智能手机等设备。
其中,处理器301可能是一种集成电路芯片,具有信号的处理能力。上述的处理器301可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
其中,存储器302可以是,但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-OnlyMemory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。其中,存储器302用于存储程序,所述处理器301在接收到执行指令后,执行所述程序,前述本发明实施例任一实施例揭示的流程定义的方法可以应用于处理器301中,或者由处理器301实现。
其中,显示器303可以是LCD显示屏,也可以是LED显示屏。例如,手机上的显示屏。
可以理解的是,图3所示的结构仅为电子设备300的一种结构示意图,电子设备300还可以包括比图3所示更多或更少的组件。图3中所示的各组件可以采用硬件、软件或其组合实现。
另一方面,本发明还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时,实现上述的告警流量的分类治理方法。一般来说,用于实现本发明方法的计算机指令的可以采用一个或多个计算机可读的存储介质的任意组合来承载。非临时性计算机可读存储介质可以包括任何计算机可读介质,除了临时性地传播中的信号本身。
计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码,程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言,特别是可以使用适于神经网络计算的Python语言和基于TensorFlow、PyTorch等平台框架。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
本邻域技术人员可以理解,实现上述实施例方法的全部或部分流程,可以通过计算机程序来指令相关的硬件(如处理器,控制器等)来完成,计算机程序可存储于计算机可读存储介质中。其中,计算机可读存储介质为磁盘、光盘、只读存储记忆体或随机存储记忆体等。
与现有技术相比,本发明通过多种日志接收方式与第三方安全防护设备进行对接获取对应的告警流量日志,并对告警流量日志进行标准统一格式处理,得到预处理告警流量日志,然后将预处理告警流量日志与全局白名单中的告警流量日志进行源IP比对,进一步对所述预处理告警流量日志中不在全局白名单中的预处理告警流量日志进行数据清洗研判,确定不同预处理告警流量日志的威胁类型,最后根据所述不同预处理告警流量日志的威胁类型联动不同网络安全设备通过预设处理剧本进行流量调度对不同预处理告警流量进行处理;本发明通过对海量的告警流量日志进行清洗分类,去除大量无效重复的告警流量日志,减少了处理海量告警事件的速度,同时对不同类别的告警流量按照预设的剧本自动对不同类型的告警流量进行处理,有效的解决了不同类型的大量网络流量数据使企业网络安全技防措施存在较大的防御和溯源反制压力的问题。
以上对本发明所提一种告警流量的分类治理方法、系统电子设备及存储介质的进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本邻域的技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术邻域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。
Claims (10)
1.一种告警流量的分类治理方法,其特征在于,包括:
通过多种日志接收方式与第三方安全防护设备进行对接获取对应的告警流量日志,并对告警流量日志进行标准统一格式处理,得到预处理告警流量日志;
将预处理告警流量日志与全局白名单中的告警流量日志进行源IP比对;
对所述预处理告警流量日志中不在全局白名单中的预处理告警流量日志进行数据清洗研判,确定不同预处理告警流量日志的威胁类型;
根据所述不同预处理告警流量日志的威胁类型联动不同网络安全设备通过预设处理剧本进行流量调度对不同预处理告警流量进行处理。
2.根据权利要求1所述的一种告警流量的分类治理方法,其特征在于,通过多种日志接收方式与第三方安全防护设备进行对接获取对应的告警流量日志,并对告警流量日志进标准统一格式处理得到预处理告警流量日志,包括:
通过syslog、kafka以及API接口方式与第三方安全防护设备对接获取对应的告警流量日志;
采用多种解析匹配方式将告警流量日志进行标准化统一格式处理。
3.根据权利要求1所述的一种告警流量的分类治理方法,其特征在于,将预处理告警流量日志与全局白名单中的告警流量日志进行源IP比对,包括:
获取预处理告警流量日志的源IP;
将预处理告警流量日志的源IP与所述全局白名单中的告警流量日志的源IP进行比对。
4.根据权利要求1所述的一种告警流量的分类治理方法,其特征在于,对所述预处理告警流量日志中不在全局白名单中的预处理告警流量日志进行数据清洗研判,确定不同预处理告警流量日志的威胁类型,包括:
根据不同平台的预处理告警流量日志自身特征,设置过滤条件,按需筛选出指定条件的告警流量日志确定威胁类型;
统计一段时间范围内的不同平台的预处理告警流量日志数据,进行收敛聚合筛选确定威胁类型;
根据告警流量日志特征,通过设置单个或多个阈值,进行比较,按需筛选出告警流量日志确定威胁类型。
5.根据权利要求1所述的一种告警流量的分类治理方法,其特征在于,根据所述不同预处理告警流量日志的威胁类型联动不同网络安全设备通过预设处理剧本进行流量调度对不同预处理告警流量进行处理,包括:
通过实时流式数据处理技术根据不同预处理告警流量日志的威胁类型自动触发预设剧本进行执行;
根据不同威胁类型的告警流量触发的不同预设剧本联动不同网络安全设备对告警流量进行的处置。
6.根据权利要求1所述的一种告警流量的分类治理方法,其特征在于,根据不同威胁类型的告警流量触发的不同预设剧本联动不同网络安全设备对告警流量进行的处置,包括:
根据不同威胁类型的告警流量触发的预设剧本,给对应的网络安全设备下达流量调度指令;
所述网络安全设备收到流量调度指令后通过命令行方式下发流量调度策略,将对应的类型告警流量调度到对应的网络安全设备上进行处理。
7.根据权利要求1所述的一种告警流量的分类治理方法,其特征在于,对所述预处理告警流量日志中不在全局白名单中的预处理告警流量日志进行数据清洗研判,确定不同预处理告警流量日志的威胁类型,还包括:
当告警流量日志的威胁类型为未知流量时,通过人工进行二次研判;
当研判结果为安全时,将该告警流量日志加入全局白名单中;
当研判结果为不安全时,联动网络安全设备对该告警流量进行处理。
8.一种告警流量的分类治理系统,其特征在于,包括:
告警流量日志接收单元,通过多种日志接收方式与第三方安全防护设备进行对接获取对应的告警流量日志,并对告警流量日志进行标准统一格式处理,得到预处理告警流量日志;
告警流量日志比对单元,将预处理告警流量日志与全局白名单中的告警流量日志进行源IP比对;
告警流量日志清洗单元,对所述预处理告警流量日志中不在全局白名单中的预处理告警流量日志进行数据清洗研判,确定不同预处理告警流量日志的威胁类型;
告警流量分类治理,根据所述不同预处理告警流量日志的威胁类型联动不同网络安全设备通过预设处理剧本进行流量调度对不同预处理告警流量进行处理。
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,处理器执行程序时,实现根据权利要求1至7任一项所述的一种告警流量的分类治理方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时,实现根据权利要求1至7任一项所述的一种告警流量的分类治理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310001868.2A CN116032629A (zh) | 2023-01-03 | 2023-01-03 | 一种告警流量的分类治理方法、系统电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310001868.2A CN116032629A (zh) | 2023-01-03 | 2023-01-03 | 一种告警流量的分类治理方法、系统电子设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116032629A true CN116032629A (zh) | 2023-04-28 |
Family
ID=86073620
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310001868.2A Pending CN116032629A (zh) | 2023-01-03 | 2023-01-03 | 一种告警流量的分类治理方法、系统电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116032629A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116647406A (zh) * | 2023-06-21 | 2023-08-25 | 中国电子产业工程有限公司 | 一种高级持续性威胁攻击ip检测方法 |
| CN116668106A (zh) * | 2023-05-22 | 2023-08-29 | 山东鼎夏智能科技有限公司 | 一种威胁情报处理系统以及方法 |
-
2023
- 2023-01-03 CN CN202310001868.2A patent/CN116032629A/zh active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116668106A (zh) * | 2023-05-22 | 2023-08-29 | 山东鼎夏智能科技有限公司 | 一种威胁情报处理系统以及方法 |
| CN116668106B (zh) * | 2023-05-22 | 2024-01-09 | 山东鼎夏智能科技有限公司 | 一种威胁情报处理系统以及方法 |
| CN116647406A (zh) * | 2023-06-21 | 2023-08-25 | 中国电子产业工程有限公司 | 一种高级持续性威胁攻击ip检测方法 |
| CN116647406B (zh) * | 2023-06-21 | 2024-03-12 | 中国电子产业工程有限公司 | 一种高级持续性威胁攻击ip检测方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11361071B2 (en) | Apparatus and method for conducting endpoint-network-monitoring | |
| US20210273961A1 (en) | Apparatus and method for a cyber-threat defense system | |
| US20180359272A1 (en) | Next-generation enhanced comprehensive cybersecurity platform with endpoint protection and centralized management | |
| CN116032629A (zh) | 一种告警流量的分类治理方法、系统电子设备及存储介质 | |
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| US11924235B2 (en) | Leveraging user-behavior analytics for improved security event classification | |
| US20190052669A1 (en) | Biology Based Techniques for Handling Information Security and Privacy | |
| US20210026969A1 (en) | Detection and prevention of malicious script attacks using behavioral analysis of run-time script execution events | |
| CN110033174A (zh) | 一种工业信息安全保障体系建设方法 | |
| CN112000719A (zh) | 数据安全态势感知系统、方法、设备及存储介质 | |
| CN113411297A (zh) | 基于属性访问控制的态势感知防御方法及系统 | |
| CN116074075A (zh) | 基于关联规则的安全事件关联行为分析方法、系统及设备 | |
| CN115766235A (zh) | 一种网络安全预警系统及预警方法 | |
| Mishra et al. | Efficient approaches for intrusion detection in cloud environment | |
| CN112804204B (zh) | 一种基于大数据分析的智能网络安全系统 | |
| US11882128B2 (en) | Improving incident classification and enrichment by leveraging context from multiple security agents | |
| CN105930740A (zh) | 软体文件被修改时的来源追溯方法、监测方法、还原方法及系统 | |
| CN114189383A (zh) | 封禁方法、装置、电子设备、介质和计算机程序产品 | |
| CN113141274A (zh) | 基于网络全息图实时检测敏感数据泄露的方法、系统和存储介质 | |
| KR20200054495A (ko) | 보안관제 서비스 방법 및 그를 위한 장치 | |
| CN113923019B (zh) | 物联网系统安全防护方法、装置、设备及介质 | |
| US11792209B2 (en) | Robust learning of web traffic | |
| CN117879970B (zh) | 一种网络安全防护方法及系统 | |
| US11425156B2 (en) | Dynamic gathering of attack symptoms | |
| CN109714351B (zh) | 一种资产保护方法及服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |