CN116545678A - 网络安全防护方法、装置、计算机设备和存储介质 - Google Patents
网络安全防护方法、装置、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN116545678A CN116545678A CN202310476712.XA CN202310476712A CN116545678A CN 116545678 A CN116545678 A CN 116545678A CN 202310476712 A CN202310476712 A CN 202310476712A CN 116545678 A CN116545678 A CN 116545678A
- Authority
- CN
- China
- Prior art keywords
- security
- event
- security gateway
- network
- gateway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 45
- 238000004891 communication Methods 0.000 claims description 35
- 230000000903 blocking effect Effects 0.000 claims description 15
- 238000004590 computer program Methods 0.000 claims description 13
- 230000003993 interaction Effects 0.000 claims description 8
- 238000012423 maintenance Methods 0.000 abstract description 28
- 238000012545 processing Methods 0.000 abstract description 8
- 230000002829 reductive effect Effects 0.000 abstract description 5
- 230000009471 action Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 238000004458 analytical method Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 230000007123 defense Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000002730 additional effect Effects 0.000 description 2
- 230000004931 aggregating effect Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 230000000670 limiting effect Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- OKTJSMMVPCPJKN-UHFFFAOYSA-N Carbon Chemical compound [C] OKTJSMMVPCPJKN-UHFFFAOYSA-N 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000001364 causal effect Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 150000001875 compounds Chemical class 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 229910021389 graphene Inorganic materials 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 230000003313 weakening effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/23—Clustering techniques
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/142—Network analysis or design using statistical or mathematical methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Mining & Analysis (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Probability & Statistics with Applications (AREA)
- Pure & Applied Mathematics (AREA)
- Mathematical Analysis (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- Mathematical Optimization (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Biology (AREA)
- Evolutionary Computation (AREA)
- Algebra (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种网络安全防护方法、装置、计算机设备和存储介质。所述方法包括:获取网络安全日志;基于内部规则库对所述网络安全日志进行聚类,生成安全事件;确定所述安全事件对应的目标终端以及威胁等级;基于所述威胁等级向安全网关发送对应目标终端的配置策略。也就是说,通过对网络安全日志进行聚类,生成安全事件,基于安全事件的信息及时对相应资产和/或终端进行运维处理以及防护,提高了安全运维与防护的效率和准确率,同时降低了人工运维的难度与成本。
Description
技术领域
本申请涉及网络安全技术领域,特别是涉及一种网络安全防护方法、装置、计算机设备和存储介质。
背景技术
随着网络信息安全边界不断弱化,网络威胁层出不穷,网络攻击类型、数量日益增多,高级网络对抗安全事件频繁爆发,严重威胁到用户、企业、国家的网络安全。
信息安全维护工作涉及的知识面日渐广泛,传统技术中,通常是依靠安全运维人员人工手动进行维护,然而依靠纯人工运维速度较慢,响应不及时,有时甚至会损失严重,因此,相关技术中亟需一种能够提高安全运维与防护的效率和准确率,同时降低人工运维的难度与成本的方法。
发明内容
基于此,有必要针对上述技术问题,提供一种能够提高安全运维与防护的效率和准确率,同时降低人工运维的难度与成本的网络安全防护方法、装置、计算机设备和计算机可读存储介质。
第一方面,本申请提供了一种网络安全防护方法。所述方法包括:
获取网络安全日志;
基于内部规则库对所述网络安全日志进行聚类,生成安全事件;
确定所述安全事件对应的目标终端以及威胁等级;
基于所述威胁等级向安全网关发送对应目标终端的配置策略。
在本申请的一个实施例中,所述基于内部规则库对所述网络安全日志进行聚类,生成安全事件包括:
基于内部规则库识别所述网络安全日志,生成安全日志信息,所述内部规则库包括事件以及事件对应的威胁类别以及威胁等级;
获取安全日志信息的属性信息,所述属性信息包括源地址、目的地址以及目的终端;
基于所述属性信息对所述安全日志信息进行聚类,生成安全事件。
在本申请的一个实施例中,所述配置策略包括一键阻断策略,所述基于所述威胁等级向安全网关发送对应目标终端的配置策略包括:
获取所述安全事件对应的源地址;
基于所述源地址,生成黑名单配置模板;
将所述黑名单配置模板发送至安全网关,以使所述安全网关基于所述黑名单配置模板,对所述源地址执行一键阻断策略。
在本申请的一个实施例中,所述获取原始网络安全日志之前还包括:
获取所述安全网关的注册上线请求;
基于所述注册上线请求,为所述安全网关配置专属域名信息并建立通信通道。
在本申请的一个实施例中,所述为所述安全网关配置专属域名信息并建立通信通道包括:
与所述安全网关建立多个通信通道,以与所述安全网关建立连接,多个所述通信通道包括:主通道、配置通道以及代理通道。
在本申请的一个实施例中,所述与所述安全网关建立多个通信通道,以与所述安全网关建立连接包括:
基于所述主通道向所述安全网关发送心跳信息,以检测所述安全网关的状态;
基于所述配置通道向所述安全网关发送配置策略,以使所述安全网关执行相应的策略;
基于所述代理通道与所述安全网关进行信息交互,以与所述安全网关在公网建立连接。
在本申请的一个实施例中,所述方法还包括:
依据所述目标终端以及威胁等级展示所述安全事件;
发送安全月报,所述安全月报包括所述安全事件以及配置策略。
第二方面,本申请还提供了一种网络安全防护装置。所述装置包括:
网络安全日志获取模块,用于获取网络安全日志;
安全事件生成模块,用于基于内部规则库对所述网络安全日志进行聚类,生成安全事件;
安全事件信息确定模块,用于确定所述安全事件对应的目标终端以及威胁等级;
配置策略发送模块,用于基于所述威胁等级向安全网关发送对应目标终端的配置策略。
第三方面,本申请还提供了一种计算机设备。所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行上述各个实施例所述方法的步骤。
第四方面,本申请还提供了一种计算机可读存储介质。所述计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述各个实施例所述方法的步骤。
上述网络安全防护方法、装置、计算机设备和存储介质,首先,获取网络安全日志,之后,基于内部规则库对所述网络安全日志进行聚类,生成安全事件,之后,确定所述安全事件对应的目标终端以及威胁等级,最后,基于所述威胁等级向安全网关发送对应目标终端的配置策略。也就是说,通过对网络安全日志进行聚类,生成安全事件,基于安全事件的信息及时对相应资产和/或终端进行运维处理以及防护,提高了安全运维与防护的效率和准确率,同时降低了人工运维的难度与成本。
附图说明
图1为一个实施例中网络安全防护方法的应用环境图;
图2为一个实施例中网络安全防护方法的流程示意图;
图3为一个实施例中安全网关部署位置的示意图;
图4为本申请实施例提供的一种安全网关、安全防护平台以及用户之间实际交互过程的示意图;
图5为一个实施例中网络安全防护装置的结构框图;
图6为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请实施例提供的网络安全防护方法,可以应用于如图1所示的应用环境中。其中,终端102通过网络与服务器104进行通信。数据存储系统可以存储服务器104需要处理的数据。数据存储系统可以集成在服务器104上,也可以放在云上或其他网络服务器上。其中,终端102可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑、物联网设备和便携式可穿戴设备,物联网设备可为智能音箱、智能电视、智能空调、智能车载设备等。便携式可穿戴设备可为智能手表、智能手环、头戴设备等。服务器104可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
在一个实施例中,如图2所示,提供了一种网络安全防护方法,以该方法应用于图1中的服务器为例进行说明,包括以下步骤:
S201:获取网络安全日志。
本申请各个实施例以应用于安全防护平台为例,安全防护平台可以架构在服务器或者各种具有计算能力的计算机设备上。在本申请实施例中,首先获取网络安全日志,网络安全日志是由安全网关实时生成的,如图3所示,安全网关被部署在资产与终端网络的关键路径上,通过对流经该关键路径上的网络数据流进行深度分析后生成网络安全日志,其中,网络安全日志包括操作系统日志、网络守护程序日志、应用程序日志、网络基础架构日志和安全主机日志等,各个网络安全日志中可能包含用户信息、设备状态、系统操作等正常运行的事件,也可能包含例如特洛伊木马、僵尸网络等有害程序攻击、拒绝服务攻击、漏洞攻击、信息篡改、信息泄露等对资产和终端存在威胁的事件。具体应用中,以某企业应用为例,安全网关由一个路由器和一个处理机构成,资产为企业终端服务器,终端为企业中各计算机设备。
S203:基于内部规则库对所述网络安全日志进行聚类,生成安全事件。
在本申请实施例中,获取网络安全日志之后,基于内部规则库对网络安全日志进行聚类,生成安全事件,其中,内部规则库是一个具有多种多样的与网络安全日志属性相关的参数的复合表,参数包括设备上报的日志规则ID,所属租户信息等,其中,日志规则ID指安全防护平台各类安全事件对应的规则ID,租户信息指在安全防护平台注册的组织用户的账号信息,具体的,按照内部规则库中的参数,将网络安全日志对应日志规则ID一一匹配,输出匹配成功的结果,并将具有相同参数的网络安全日志进行聚合,生成最终的安全事件,其中,匹配成功的结果是指存在威胁的事件,对所有存在威胁的事件进行聚类,生成安全事件,也就是说,安全事件都是存在威胁的事件。
S205:确定所述安全事件对应的目标终端以及威胁等级。
在本申请实施例中,生成安全事件之后,根据安全事件包含的信息,确定安全事件对应的目标终端即受到网络攻击的资产和/或终端,同时确定安全事件对应的威胁等级,威胁等级指确信度参数,具体的,安全事件的确信度按严重级别高到低分别是:已失陷,高危,低危,在具体应用中,即确定安全事件对应的资产和/或终端以及安全事件的确信度。
S207:基于所述威胁等级向安全网关发送对应目标终端的配置策略。
在本申请实施例中,安全防护平台内部有一张规则列表,针对每一种规则类型有相应的处理建议,每一种规则类型对应一个安全事件,根据安全事件确定具体的攻击信息如受攻击的资产和/或终端、安全事件的确信度之后,基于威胁等级和安全事件对应的规则类型,给安全网关发送用于防护及处理该安全事件的配置策略,规则类型决定配置策略的基本动作和多项内容安全检查的附加动作,基本动作决定流量能否通过,如果基本动作确定流量可以通过,则会采用附加动作对流量进行进一步处理,例如入侵防御、文件过滤、内容过滤、应用行为控制等,配置策略的执行动作由基本动作和所有内容安全检查共同决定,安全网关接收配置策略并执行,使对应的受攻击的资产和/或终端能够处理已受到的网络攻击,并进行相应防护处理保证不再受到同类型的网络攻击,具体应用中,规则类型包括外网漏洞利用攻击、外网恶意投递程序、外网畸形报文攻击、外网扫描探测攻击、内网爆破成功、源主机存在恶意文件、内网扫描攻击、外网应用风险访问等。
上述网络安全防护方法中,首先,获取网络安全日志,之后,基于内部规则库对所述网络安全日志进行聚类,生成安全事件,之后,确定所述安全事件对应的目标终端以及威胁等级,最后,基于所述威胁等级向安全网关发送对应目标终端的配置策略。也就是说,通过对网络安全日志进行聚类,生成安全事件,基于安全事件的信息及时对相应资产和/或终端进行运维处理以及防护,提高了安全运维与防护的效率和准确率,同时降低了人工运维的难度与成本。
在本申请的一个实施例中,所述基于内部规则库对所述网络安全日志进行聚类,生成安全事件包括:
S301:基于内部规则库识别所述网络安全日志,生成安全日志信息,所述内部规则库包括事件以及事件对应的威胁类别以及威胁等级。
S303:获取安全日志信息的属性信息,所述属性信息包括源地址、目的地址以及目的终端。
S305:基于所述属性信息对所述安全日志信息进行聚类,生成安全事件。
在本申请的一个实施例中,获取网络安全日志之后,将网络安全日志按内部规则库识别后进行描述丰富、分类,生成安全日志信息,其中,内部规则库具有多种多样的参数,包括事件以及事件对应的威胁类别以及威胁等级,具体应用中,内部规则库根据日志规则ID识别网络安全日志,采用多种关联规则分析逻辑进行分类,生成安全日志信息,多种关联规则分析逻辑包括单一逻辑关联、复合逻辑关联、统计关联、因果关联等。之后,获取安全日志信息的属性信息,可选的,属性信息包括源地址、目的地址以及目的终端,之后,基于属性信息对安全日志信息进行聚类,生成安全事件,具体的,基于目的地址匹配资产和/或终端,并基于源地址和目的终端将相同攻击源与目的资产和/或终端的安全日志信息聚合生成初始安全事件,并定期将相同或类似的初始安全事件聚合,形成最终的安全事件,即生成安全事件。
本实施例中,通过基于内部规则库识别网络安全日志生成安全日志信息,获取安全日志信息的属性信息,基于属性信息对安全日志信息进行聚类,生成安全事件,能够自动识别网络安全日志并生成安全事件,有效提高了安全运维的效率与准确率,同时降低了人工运维的成本。
在本申请的一个实施例中,所述配置策略包括一键阻断策略,所述基于所述威胁等级向安全网关发送对应目标终端的配置策略包括:
S401:获取所述安全事件对应的源地址。
S403:基于所述源地址,生成黑名单配置模板。
S405:将所述黑名单配置模板发送至安全网关,以使所述安全网关基于所述黑名单配置模板,对所述源地址执行一键阻断策略。
在本申请的一个实施例中,配置策略包括一键阻断策略,一键阻断策略即配置策略的基本动作判定该流量不能通过,则在安全网关的黑名单中加入安全事件对应的源地址,当有从源地址发送来的任何流量信息时,均不能通过。生成安全事件之后,获取安全事件对应的源地址,即发起网络攻击的IP,之后,依据安全事件对应的规则类型以及威胁等级,确定需要发送的配置策略为一键阻断策略,基于源地址生成黑名单配置模板,具体的,配置模板的参数包括发起网络攻击的IP,规则名称,确信度参数,之后,将黑名单配置模板发送给安全网关,安全网关基于黑名单配置模板,自动在安全事件对应的目标终端的黑名单中加入该发起网络攻击的IP,从而使得来自该发起网络攻击的IP的流量全部被一键阻断。
本实施例中,通过获取安全事件对应的源地址,基于源地址生成黑名单配置模板,将黑名单配置模板发送至安全网关,能够使安全网关基于黑名单配置模板,对源地址执行一键阻断策略,提高了安全运维的效率与准确率,同时自动阻断减少了人力维护的时间。
在本申请的一个实施例中,所述获取原始网络安全日志之前还包括:
S501:获取所述安全网关的注册上线请求。
S503:基于所述注册上线请求,为所述安全网关配置专属域名信息并建立通信通道。
在本申请的一个实施例中,在获取原始网络安全日志之前,安全防护平台要与安全网关建立连接,首先,获取安全网关的注册上线请求,注册上线请求即在云端通过高速互联网络发送的与安全防护平台建立连接的请求,之后,基于该注册上线请求,安全防护平台为安全网关配置专属域名信息并建立通信通道,其中,专属域名指安全防护平台部署后统一对外的供设备上云配置的域名。
本实施例中,通过与安全网关建立连接并建立专属通信通道,能够避免安全网关与安全防护平台之间通信数据的安全隐患,进一步完善安全防护的安全性与稳定性。
在本申请的一个实施例中,所述为所述安全网关配置专属域名信息并建立通信通道包括:
与所述安全网关建立多个通信通道,以与所述安全网关建立连接,多个所述通信通道包括:主通道、配置通道以及代理通道。
在本申请的一个实施例中,通过websocket协议与安全网关建立不同的多个通信信道,与安全网关建立连接,其中,通信通道可以包括主通道、配置通道以及代理通道。
对于不同的通信通道,可以实现不同的功能,在本申请的一个实施例中,所述与所述安全网关建立多个通信通道,以与所述安全网关建立连接包括:
S601:基于所述主通道向所述安全网关发送心跳信息,以检测所述安全网关的状态。
在本申请的一个实施例中,通过主通道向安全网关发送心跳信息,从而检测安全网关的状态,具体的,是用于安全网关与安全防护平台之间websocket长链接的保活,若心跳信息中断,安全网关的状态会显示处于离线状态,此时,则需要运维人员进行修复。
S603:基于所述配置通道向所述安全网关发送配置策略,以使所述安全网关执行相应的策略。
在本申请的一个实施例中,通过配置通道向安全网关发送根据规则列表与威胁类别确定的配置策略,从而使安全网关对应的执行相应的策略。
S605:基于所述代理通道与所述安全网关进行信息交互,以与所述安全网关在公网建立连接。
在本申请的一个实施例中,通常情况下,安全网关被部署在企业内网环境中,登录安全网关web页面必须在内网环境中才能访问,因此,通过建立的代理通道,能够与安全网关在公网建立连接,进行信息交互,实现反向链接功能,即在公网环境也能随时直接访问安全网关web页面进行相关运维操作。
本实施中,通过建立安全防护平台与安全网关间的不同通道,运用不同通道的功能,实现了网关设备的在线灵活运维,降低了人工运维的难度与成本。
在本申请的一个实施例中,所述方法还包括:
S701:依据所述目标终端以及威胁等级展示所述安全事件。
S703:发送安全月报,所述安全月报包括所述安全事件以及配置策略。
在本申请的一个实施例中,在生成安全事件之后,依据其对应的目标终端以及威胁等级,计算内网中的资产和终端的风险等级,具体的,是将该资产或终端的安全事件中威胁等级即确信度作为依据,故风险等级按严重级别高到低分别是:已失陷,高危,低危,计算完成后,按结果分类别将安全事件进行展示。同时,在固定时间段内,生成安全月报并发送,以供管理人员查看,其中,安全月报包括安全事件以及对应的被发送的配置策略,即安全月报将安全事件、风险资产和终端以及受到的攻击和防御等情况以报表形式整合并展示。
本实施例中,通过直观的展示安全事件的相关信息,阶段性查看设备的安全状况,能够实现对设备更全面的维护。
下面以一个具体的实施例说明所述安全网关与所述安全防护平台的实际交互过程。如图4所示,首先,执行401,获取所述安全网关的注册上线请求。之后,执行403,基于所述注册上线请求,为所述安全网关配置专属域名信息并与所述安全网关建立多个通信通道,其中,多个通信通道包括:主通道、配置通道以及代理通道,基于所述主通道向所述安全网关发送心跳信息,以检测所述安全网关的状态;基于所述配置通道向所述安全网关发送配置策略,以使所述安全网关执行相应的策略;基于所述代理通道与所述安全网关进行信息交互,以与所述安全网关在公网建立连接。
之后,执行405,获取网络安全日志,网络安全日志由安全网关实时生成,通过通信通道,发送至安全防护平台。之后,执行407,基于内部规则库识别所述网络安全日志,生成安全日志信息,所述内部规则库包括事件以及事件对应的威胁类别以及威胁等级。之后,执行409,获取安全日志信息的属性信息,所述属性信息包括源地址、目的地址以及目的终端。之后,执行411,基于所述属性信息对所述安全日志信息进行聚类,生成安全事件。
之后,执行413,确定所述安全事件对应的目标终端以及威胁等级,之后,执行415,基于所述威胁等级向安全网关发送对应目标终端的配置策略。用户可以执行417,查询安全事件,之后,执行419,依据所述目标终端以及威胁等级展示所述安全事件。具体应用中,所述配置策略包括一键阻断策略,获取所述安全事件对应的源地址,基于所述源地址,生成黑名单配置模板,将所述黑名单配置模板发送至安全网关,以使所述安全网关基于所述黑名单配置模板,对所述源地址执行一键阻断策略。
之后,执行421,发送安全月报,所述安全月报包括所述安全事件以及配置策略,安全月报将安全事件、风险资产和终端以及受到的攻击和防御等情况以报表形式整合并展示。
在本申请的一个实施例中,安全防护平台包括分析模块和运维模块,其中,分析模块主要用于获取网络安全日志,并基于内部规则库对所述网络安全日志进行聚类,生成安全事件,运维模块主要用于确定所述安全事件对应的目标终端以及威胁等级,基于所述威胁等级向安全网关发送对应目标终端的配置策略以及依据所述目标终端以及威胁等级展示所述安全事件,发送安全月报,所述安全月报包括所述安全事件以及配置策略。
应该理解的是,虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
基于同样的发明构思,本申请实施例还提供了一种用于实现上述所涉及的网络安全防护方法的网络安全防护装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似,故下面所提供的一个或多个网络安全防护装置实施例中的具体限定可以参见上文中对于网络安全防护方法的限定,在此不再赘述。
在一个实施例中,如图5所示,提供了一种网络安全防护装置500,包括:网络安全日志获取模块501、安全事件生成模块503、安全事件信息确定模块505和配置策略发送模块507,其中:
网络安全日志获取模块501,用于获取网络安全日志;
安全事件生成模块503,用于基于内部规则库对所述网络安全日志进行聚类,生成安全事件;
安全事件信息确定模块505,用于确定所述安全事件对应的目标终端以及威胁等级;
配置策略发送模块507,用于基于所述威胁等级向安全网关发送对应目标终端的配置策略。
在本申请的一个实施例中,所述安全事件生成模块还用于:
基于内部规则库识别所述网络安全日志,生成安全日志信息,所述内部规则库包括事件以及事件对应的威胁类别以及威胁等级;
获取安全日志信息的属性信息,所述属性信息包括源地址、目的地址以及目的终端;
基于所述属性信息对所述安全日志信息进行聚类,生成安全事件。
在本申请的一个实施例中,所述配置策略包括一键阻断策略,所述配置策略发送模块还用于:
获取所述安全事件对应的源地址;
基于所述源地址,生成黑名单配置模板;
将所述黑名单配置模板发送至安全网关,以使所述安全网关基于所述黑名单配置模板,对所述源地址执行一键阻断策略。
所述网络安全防护装置还包括通信模块。所述通信模块用于:
获取所述安全网关的注册上线请求;
基于所述注册上线请求,为所述安全网关配置专属域名信息并建立通信通道。
在本申请的一个实施例中,所述通信模块还用于与所述安全网关建立多个通信通道,以与所述安全网关建立连接,多个所述通信通道包括:主通道、配置通道以及代理通道。
在本申请的一个实施例中,所述通信模块还用于:
基于所述主通道向所述安全网关发送心跳信息,以检测所述安全网关的状态;
基于所述配置通道向所述安全网关发送配置策略,以使所述安全网关执行相应的策略;
基于所述代理通道与所述安全网关进行信息交互,以与所述安全网关在公网建立连接。
所述网络安全防护装置还包括展示模块。所述展示模块用于:
依据所述目标终端以及威胁等级展示所述安全事件。
发送安全月报,所述安全月报包括所述安全事件以及配置策略。
上述网络安全防护装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是终端,其内部结构图可以如图6所示。该计算机设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信,无线方式可通过WIFI、移动蜂窝网络、NFC(近场通信)或其他技术实现。该计算机程序被处理器执行时以实现一种网络安全防护方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图6中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述各方法实施例中的步骤。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory,MRAM)、铁电存储器(Ferroelectric Random Access Memory,FRAM)、相变存储器(Phase Change Memory,PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器等。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory,DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等,不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等,不限于此。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。
Claims (10)
1.一种网络安全防护方法,其特征在于,所述方法包括:
获取网络安全日志;
基于内部规则库对所述网络安全日志进行聚类,生成安全事件;
确定所述安全事件对应的目标终端以及威胁等级;
基于所述威胁等级向安全网关发送对应目标终端的配置策略。
2.根据权利要求1所述的方法,其特征在于,所述基于内部规则库对所述网络安全日志进行聚类,生成安全事件包括:
基于内部规则库识别所述网络安全日志,生成安全日志信息,所述内部规则库包括事件以及事件对应的威胁类别以及威胁等级;
获取安全日志信息的属性信息,所述属性信息包括源地址、目的地址以及目的终端;
基于所述属性信息对所述安全日志信息进行聚类,生成安全事件。
3.根据权利要求1所述的方法,其特征在于,所述配置策略包括一键阻断策略,所述基于所述威胁等级向安全网关发送对应目标终端的配置策略包括:
获取所述安全事件对应的源地址;
基于所述源地址,生成黑名单配置模板;
将所述黑名单配置模板发送至安全网关,以使所述安全网关基于所述黑名单配置模板,对所述源地址执行一键阻断策略。
4.根据权利要求1所述的方法,其特征在于,所述获取原始网络安全日志之前还包括:
获取所述安全网关的注册上线请求;
基于所述注册上线请求,为所述安全网关配置专属域名信息并建立通信通道。
5.根据权利要求4所述的方法,其特征在于,所述为所述安全网关配置专属域名信息并建立通信通道包括:
与所述安全网关建立多个通信通道,以与所述安全网关建立连接,多个所述通信通道包括:主通道、配置通道以及代理通道。
6.根据权利要求5所述的方法,其特征在于,所述与所述安全网关建立多个通信通道,以与所述安全网关建立连接包括:
基于所述主通道向所述安全网关发送心跳信息,以检测所述安全网关的状态;
基于所述配置通道向所述安全网关发送配置策略,以使所述安全网关执行相应的策略;
基于所述代理通道与所述安全网关进行信息交互,以与所述安全网关在公网建立连接。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
依据所述目标终端以及威胁等级展示所述安全事件;
发送安全月报,所述安全月报包括所述安全事件以及配置策略。
8.一种网络安全防护装置,其特征在于,所述装置包括:
网络安全日志获取模块,用于获取网络安全日志;
安全事件生成模块,用于基于内部规则库对所述网络安全日志进行聚类,生成安全事件;
安全事件信息确定模块,用于确定所述安全事件对应的目标终端以及威胁等级;
配置策略发送模块,用于基于所述威胁等级向安全网关发送对应目标终端的配置策略。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述的方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310476712.XA CN116545678A (zh) | 2023-04-27 | 2023-04-27 | 网络安全防护方法、装置、计算机设备和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310476712.XA CN116545678A (zh) | 2023-04-27 | 2023-04-27 | 网络安全防护方法、装置、计算机设备和存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116545678A true CN116545678A (zh) | 2023-08-04 |
Family
ID=87442856
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310476712.XA Pending CN116545678A (zh) | 2023-04-27 | 2023-04-27 | 网络安全防护方法、装置、计算机设备和存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116545678A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117319077A (zh) * | 2023-11-09 | 2023-12-29 | 青海秦楚信息科技有限公司 | 一种网络安全应急联动系统及方法 |
CN117411732A (zh) * | 2023-12-15 | 2024-01-16 | 国网四川省电力公司技能培训中心 | 网络安全事件的监测方法及其系统 |
-
2023
- 2023-04-27 CN CN202310476712.XA patent/CN116545678A/zh active Pending
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117319077A (zh) * | 2023-11-09 | 2023-12-29 | 青海秦楚信息科技有限公司 | 一种网络安全应急联动系统及方法 |
CN117319077B (zh) * | 2023-11-09 | 2024-04-16 | 青海秦楚信息科技有限公司 | 一种网络安全应急联动系统及方法 |
CN117411732A (zh) * | 2023-12-15 | 2024-01-16 | 国网四川省电力公司技能培训中心 | 网络安全事件的监测方法及其系统 |
CN117411732B (zh) * | 2023-12-15 | 2024-03-22 | 国网四川省电力公司技能培训中心 | 网络安全事件的监测方法及其系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11750631B2 (en) | System and method for comprehensive data loss prevention and compliance management | |
US11025674B2 (en) | Cybersecurity profiling and rating using active and passive external reconnaissance | |
US10944795B2 (en) | Rating organization cybersecurity using active and passive external reconnaissance | |
US11323471B2 (en) | Advanced cybersecurity threat mitigation using cyberphysical graphs with state changes | |
US10609079B2 (en) | Application of advanced cybersecurity threat mitigation to rogue devices, privilege escalation, and risk-based vulnerability and patch management | |
US20220014560A1 (en) | Correlating network event anomalies using active and passive external reconnaissance to identify attack information | |
US11588834B2 (en) | Systems and methods for identifying attack patterns or suspicious activity in client networks | |
US20220232025A1 (en) | Detecting anomalous behavior of a device | |
US20220263860A1 (en) | Advanced cybersecurity threat hunting using behavioral and deep analytics | |
CN116545678A (zh) | 网络安全防护方法、装置、计算机设备和存储介质 | |
Bryant et al. | Improving SIEM alert metadata aggregation with a novel kill-chain based classification model | |
JP2018506808A (ja) | ネットワークデータ特性評価のシステムと方法 | |
US10692012B2 (en) | Classifying transactions at network accessible storage | |
US11290322B2 (en) | Honeypot asset cloning | |
US20220224707A1 (en) | Establishing a location profile for a user device | |
US10979446B1 (en) | Automated vulnerability chaining | |
EP3494506A1 (en) | Detection mitigation and remediation of cyberattacks employing an advanced cyber-decision platform | |
CN111193633B (zh) | 异常网络连接的检测方法及装置 | |
US20230283641A1 (en) | Dynamic cybersecurity scoring using traffic fingerprinting and risk score improvement | |
EP3655878A1 (en) | Advanced cybersecurity threat mitigation using behavioral and deep analytics | |
WO2020102601A1 (en) | Comprehensive data loss prevention and compliance management | |
US20230105087A1 (en) | Systems and methods for detecting malicious hands-on-keyboard activity via machine learning | |
US10742667B1 (en) | System and method for dynamical modeling multi-dimensional security event data into a graph representation | |
US11997125B2 (en) | Automated actions in a security platform | |
US11489877B2 (en) | Cybersecurity maturity determination |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |