CN116611046B - 一种基于soar的弱口令处理方法、装置以及处理系统 - Google Patents
一种基于soar的弱口令处理方法、装置以及处理系统 Download PDFInfo
- Publication number
- CN116611046B CN116611046B CN202310660036.1A CN202310660036A CN116611046B CN 116611046 B CN116611046 B CN 116611046B CN 202310660036 A CN202310660036 A CN 202310660036A CN 116611046 B CN116611046 B CN 116611046B
- Authority
- CN
- China
- Prior art keywords
- weak password
- work order
- application service
- target application
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012545 processing Methods 0.000 title claims abstract description 69
- 238000000034 method Methods 0.000 title claims abstract description 42
- 238000001514 detection method Methods 0.000 claims abstract description 75
- 238000011269 treatment regimen Methods 0.000 claims abstract description 55
- 238000011282 treatment Methods 0.000 claims abstract description 25
- 238000003672 processing method Methods 0.000 claims abstract description 22
- 238000004590 computer program Methods 0.000 claims description 13
- 230000000007 visual effect Effects 0.000 claims description 13
- 238000012360 testing method Methods 0.000 claims description 4
- 238000012546 transfer Methods 0.000 claims description 3
- 238000012795 verification Methods 0.000 description 39
- 230000004044 response Effects 0.000 description 17
- 230000008569 process Effects 0.000 description 15
- 230000009471 action Effects 0.000 description 10
- 230000006870 function Effects 0.000 description 8
- 230000001960 triggered effect Effects 0.000 description 6
- BUGBHKTXTAQXES-UHFFFAOYSA-N Selenium Chemical compound [Se] BUGBHKTXTAQXES-UHFFFAOYSA-N 0.000 description 4
- 238000004891 communication Methods 0.000 description 4
- 238000012790 confirmation Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000000977 initiatory effect Effects 0.000 description 4
- 238000012423 maintenance Methods 0.000 description 4
- 229910052711 selenium Inorganic materials 0.000 description 4
- 239000011669 selenium Substances 0.000 description 4
- 241001178520 Stomatepia mongo Species 0.000 description 3
- 238000012552 review Methods 0.000 description 3
- 238000004088 simulation Methods 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000011835 investigation Methods 0.000 description 2
- 238000013102 re-test Methods 0.000 description 2
- 239000000243 solution Substances 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000001133 acceleration Effects 0.000 description 1
- 239000008186 active pharmaceutical agent Substances 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 210000001503 joint Anatomy 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000000344 soap Substances 0.000 description 1
- 230000009385 viral infection Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
- G06F21/46—Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/10—Office automation; Time management
- G06Q10/103—Workflow collaboration or project management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/088—Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/30—Computing systems specially adapted for manufacturing
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Computer Security & Cryptography (AREA)
- Strategic Management (AREA)
- Theoretical Computer Science (AREA)
- Human Resources & Organizations (AREA)
- Entrepreneurship & Innovation (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Marketing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Software Systems (AREA)
- Data Mining & Analysis (AREA)
- Computer Hardware Design (AREA)
- Economics (AREA)
- Signal Processing (AREA)
- Operations Research (AREA)
- Quality & Reliability (AREA)
- Tourism & Hospitality (AREA)
- General Business, Economics & Management (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请提供了一种基于SOAR的弱口令处理方法、装置以及处理系统,用于基于SOAR平台为弱口令检测及其响应,提供了一套便捷的自动化处置方案,从而对信息安全实现更高的保障。方法包括:确定接入SOAR平台的目标应用服务;从预设的弱口令处置策略中,选定目标应用服务适配的目标弱口令处置策略,并通过目标弱口令处置策略,对目标应用服务进行弱口令检测,其中,预设的弱口令处置策略包括zabbix弱口令处置策略,数据仓库弱口令处置策略和web弱口令处置策略;若检测结果为目标应用服务属于弱口令情况,则在SOAR平台动态维护的资产清单中,查询目标应用服务的对应资产,得到资产定位结果;基于检测结果和资产定位结果,生成工单,并将工单上传至工单系统。
Description
技术领域
本申请涉及网络安全领域,具体涉及一种基于SOAR的弱口令处理方法、装置以及处理系统。
背景技术
随着互联网的迅速发展,很多企业进行了信息化建设,引入文件共享、办公OA、CRM、ERP等系统平台或工具,这些平台或工具又会引入更深层次的工具如MySQL、Redis、FTP等。
用户在日常使用过程中,因各种原因会设置密码、修改密码,而某些密码非常容易被猜测,这会带来信息泄露的隐患,如何安全的使用这些系统、工具,及时发现隐患、处理隐患是安全团队工作中必不可少的一环。
而本申请发明人发现,目前对于安全性较弱的密码的检测,即弱口令检测,还存在检测精度有限的问题,而若能进一步地提高弱口令的检测精度,显然则有助于部署更具安全性的密码设置规则还有提醒用户及时调整更具安全性的密码。
发明内容
本申请提供了一种基于SOAR的弱口令处理方法、装置以及处理系统,用于基于SOAR平台为弱口令检测及其响应,提供了一套便捷的自动化处置方案,从而对信息安全实现更高的保障。
第一方面,本申请提供了一种基于SOAR的弱口令处理方法,方法包括:
确定接入SOAR平台的目标应用服务;
从预设的弱口令处置策略中,选定目标应用服务适配的目标弱口令处置策略,并通过目标弱口令处置策略,对目标应用服务进行弱口令检测,其中,预设的弱口令处置策略包括zabbix弱口令处置策略,数据仓库弱口令处置策略和web弱口令处置策略;
若检测结果为目标应用服务属于弱口令情况,则在SOAR平台动态维护的资产清单中,查询目标应用服务的对应资产,得到资产定位结果;
基于检测结果和资产定位结果,生成工单,并将工单上传至工单系统,以使得工单系统通过相应的处理流程对目标应用服务进行弱口令事件响应。
第二方面,本申请提供了一种基于SOAR的弱口令处理装置,装置包括:
确定单元,用于确定接入SOAR平台的目标应用服务;
弱口令检测单元,用于从预设的弱口令处置策略中,选定目标应用服务适配的目标弱口令处置策略,并通过目标弱口令处置策略,对目标应用服务进行弱口令检测,其中,预设的弱口令处置策略包括zabbix弱口令处置策略,数据仓库弱口令处置策略和web弱口令处置策略;
资产定位单元,用于若检测结果为目标应用服务属于弱口令情况,则在SOAR平台动态维护的资产清单中,查询目标应用服务的对应资产,得到资产定位结果;
工单处理单元,用于基于检测结果和资产定位结果,生成工单,并将工单上传至工单系统,以使得工单系统通过相应的处理流程对目标应用服务进行弱口令事件响应。
第三方面,本申请提供了一种处理系统,包括处理器和存储器,存储器中存储有计算机程序,处理器调用存储器中的计算机程序时执行本申请第一方面或者本申请第一方面任一种可能的实现方式提供的方法。
第四方面,本申请提供了一种计算机可读存储介质,计算机可读存储介质存储有多条指令,指令适于处理器进行加载,以执行本申请第一方面或者本申请第一方面任一种可能的实现方式提供的方法。
从以上内容可得出,本申请具有以下的有益效果:
在弱口令检测方面,本申请聚焦于接入SOAR平台的目标应用服务,从预设的弱口令处置策略中,选定目标应用服务适配的目标弱口令处置策略,并通过目标弱口令处置策略,对目标应用服务进行弱口令检测,若检测结果为目标应用服务属于弱口令情况,则在SOAR平台动态维护的资产清单中,查询目标应用服务的对应资产,得到资产定位结果,基于检测结果和资产定位结果,生成工单,并将工单上传至工单系统,以使得工单系统通过相应的处理流程对目标应用服务进行弱口令事件响应,在该处置方案中,一方面由于预设的弱口令处置策略是由zabbix弱口令处置策略,数据仓库弱口令处置策略和web弱口令处置策略组合得到,因此可以获得高适配的、高精度的弱口令检测精度,另一方面在出现弱口令情况时,还在SOAR平台范围内定位对应资产并以工单形式触发弱口令事件响应,打通各系统及其工作人员在第一时间进行精准且高效的弱口令响应,以此为SOAR平台提供了一套便捷的自动化处置方案,从而对信息安全实现更高的保障。
附图说明
图1为本申请基于SOAR的弱口令处理方法的一种流程示意图;
图2为本申请基于SOAR的弱口令处理装置的一种结构示意图;
图3为本申请处理系统的一种结构示意图。
具体实施方式
在介绍本申请提供的基于SOAR的弱口令处理方法之前,首先介绍本申请所涉及的背景内容。
本申请提供的基于SOAR的弱口令处理方法、装置以及计算机可读存储介质,可应用于处理系统,用于基于SOAR平台为弱口令检测及其响应,提供了一套便捷的自动化处置方案,从而对信息安全实现更高的保障。
本申请提及的基于SOAR的弱口令处理方法,其执行主体可以为基于SOAR的弱口令处理装置,或者集成了该基于SOAR的弱口令处理装置的处理系统。其中,基于SOAR的弱口令处理装置可以采用硬件或者软件的方式实现,处理系统通常则是以设备集群的方式设置,当然,也不排除处理系统为具有高性能的单个处理设备,随实际情况配置即可。
其中,为方便理解,此处则先列出下面细节内容中涉及的相关术语:
1)SOAR:Security OrchestrationAutomation and Response,安全编排自动化与响应,根据日常安全运营、保障等场景,按需灵活组织拖拽连接各应用,在丰富的应用接入能力下,可以灵活组织各类场景能力的编排,运用可视化技术,实现复杂业务的剧本流程可视;
2)应用:也可以称之为插件、脚手架程序,类似手机应用商店里面的程序、APP,指平台上支持的各种可安装运行使用的APP;
3)动作:应用内支持的一种细分功能,比如:“发送文本信息”、“发送链接信息”、“发邮件”等;
4)数据集:一个可动态定义字段,动态管理数据的存储器。
下面,开始介绍本申请提供的基于SOAR的弱口令处理方法。
首先,参阅图1,图1示出了本申请基于SOAR的弱口令处理方法的一种流程示意图,本申请提供的基于SOAR的弱口令处理方法,具体可包括如下步骤S101至步骤S104:
步骤S101,确定接入SOAR平台的目标应用服务;
可以理解,本申请是基于SOAR平台所展开的弱口令检测及其相关处理,具体来说,一个或者多个企业可以将其相关的设备接入到SOAR平台中,以在线上打通各系统的方式集中地进行相关的工作事项,对应到弱口令检测方面,则可以将SOAR平台中各系统涉及的、需要配置口令(账号密码)的应用服务作为处理对象。
对此,本申请则可以通过随机抽取、按照次序或者特定的对象确定条件等方式来确定当前需要进行处理的弱口令检测对象,即目标应用服务。
步骤S102,从预设的弱口令处置策略中,选定目标应用服务适配的目标弱口令处置策略,并通过目标弱口令处置策略,对目标应用服务进行弱口令检测,其中,预设的弱口令处置策略包括zabbix弱口令处置策略,数据仓库弱口令处置策略和web弱口令处置策略;
可以理解,在确定了本次进行弱口令检测的检测对象,即目标应用服务后,则可以对其展开弱口令检测,而本申请对于每一次的弱口令检测,则并不是遵循相对固定不变的弱口令处置策略的。
换句话说,本申请引入了适配弱口令检测对象的原则,以适配的目标弱口令处置策略来完成当前目标应用服务的弱口令检测。
在该情况下,本申请所配置的预设的弱口令处置策略,其包括zabbix弱口令处置策略,数据仓库弱口令处置策略和web弱口令处置策略这三大类的处置策略。
容易理解,这三大类的弱口令处置策略对应了不同类型的检测对象,由此可以适配不同的应用服务,获得高适配的、高精度的弱口令检测精度。
通过目标弱口令处置策略进行了弱口令检测后,则可以得到检测结果,显然,分为两种情况,目标应用服务属于弱口令情况和目标应用服务不属于弱口令情况,更通俗点来讲,就是口令在安全性方面强和弱的区别,若是目标应用服务不属于弱口令情况,显然没有什么必要再去进行发起相关的响应处理,反之,若是目标应用服务属于弱口令情况,则可以继续执行后面的处理步骤。
步骤S103,若检测结果为目标应用服务属于弱口令情况,则在SOAR平台动态维护的资产清单中,查询目标应用服务的对应资产,得到资产定位结果;
在检测到本次针对的目标应用服务存在弱口令情况时,则可以继续展开本申请基于SOAR平台专门配置的响应处理。
具体的,本申请需要聚焦于该目标应用服务所在的资产(在网络安全场景下,既可以是硬件方面的资产,也可以是软件方面的资产),为后面的工单处理提供具体的资产方面的数据参考。
对此,本申请可以针对SOAR平台涉及的大量系统,动态维护一个资产清单,该资产清单,容易理解,主要是为了此处涉及的资产定位处理所配置的,其描述有SOAR平台所涉及的相关资产,从而可以在该资产清单中,查询目标应用服务的对应资产,形成资产定位结果,可以供后续的数据处理使用。
步骤S104,基于检测结果和资产定位结果,生成工单,并将工单上传至工单系统,以使得工单系统通过相应的处理流程对目标应用服务进行弱口令事件响应。
可以理解,SOAR平台所接入的各系统,其在硬件实体上,系统之间可以具有较大的地域跨度,或者存在软硬件方面的隔离(例如不同部门、机构),本申请则以工单系统继续打通这些系统,如此,可以基于前面弱口令检测的检测结果和资产定位结果,生成对应的工单,通过工单系统进行工单流转,让处理流程中涉及的相关节点共同对本次的目标应用服务进行弱口令事件响应。
从而,基于SOAR平台还有工单系统,打通各系统及其工作人员在第一时间进行精准且高效的弱口令响应,实现便捷的自动化处置方案。
为方便理解以上方案,下面则结合实际应用中的一组实例来对以上的各个步骤及其示例性的实现方式进行充分的说明。
在前面已经提及了,可以通过特定的对象确定条件来确定当前需要进行处理的目标应用服务,对应的,作为一种示例性的实现方式,步骤S101确定接入SOAR平台的目标应用服务,具体可以包括:
接收来自接入SOAR平台的相关安全系统所上报的告警日志;
基于告警日志所涉及的目的IP,确定接入SOAR平台的目标应用服务。
可以理解,本申请所进行的弱口令检测的目标应用服务,具体可以在相关安全系统确定存在网络安全警告事件时发起,并以日志中描述的网络安全警告事件的目的IP来确定SOAR平台中的目标应用服务。
其中,需要说明的是,告警日志对应的,并不一定是针对弱口令方面所触发的网络安全警告事件,也可能是其他方面的,例如主机病毒感染日志、防火墙日志、Linux操作日志、上网行为审计日志等,取决于第三方具体发什么日志过来。
SOAR平台接收日志后,进行泛化、聚合分析,过滤出弱口令日志后,形成告警,以此结合可以动态维护的预设的弱口令处置策略,可以动态地触发对应用服务的弱口令检测,尤其是针对存在一定程度网络安全风险的应用服务触发弱口令检测,从而促使高效且精准的弱口令事件响应。
具体的,可以通过消息队列接收聚合后的告警日志,提取日志中的目的IP、端口从处置记录表中查询是否有正在处置的记录,若有,则说明同一个告警出现了多次,或在不同的时间出现了多次,而上一次的还没处理完成,记录本次告警处置信息,处置状态为“重复”,并更新此次告警事件状态为:“重复”。若没有,则说明第一次出现告警或上次处置完成后,又重复出现了,此时,新增一条告警处置信息,处置状态为“处理中”。该操作的作用为:避免短期内重复出现告警,不停的重复处置。
此外,在步骤S102从预设的弱口令处置策略中,选定目标应用服务适配的目标弱口令处置策略,并通过目标弱口令处置策略,对目标应用服务进行弱口令检测之前,作为又一种示例性的实现方式,本申请方法还可以包括:
向目标IP发送ICMPEcho请求报文,以测试目标IP对应目的主机是否可达;
若是,则触发从预设的弱口令处置策略中,选定目标应用服务适配的目标弱口令处置策略,并通过目标弱口令处置策略,对目标应用服务进行弱口令检测。
可以理解,此处设置主要是提前检测通信链路状态是否通畅,显然,若是不通畅,则意味着后续的弱口令检测是难以实现的,因此就无需触发步骤S102,在预设时长内等待通信链路状态恢复正常后,或者通过通信链路状态更新维护策略使得通信链路状态恢复正常,再触发步骤S102,当然,在不通畅的情况下,也不排除直接忽略本次的告警日志,直接不触发S102。
具体的,可以从告警日志中提取目的IP,以此执行Ping动作,用来向对应的特定目的主机发送ICMPEcho请求报文,测试该目的主机是否可达,其中,通过获取Ping动作的返回,判断网络通或不通,若不通,则可以记录本次告警处置状态为:网络不通不处置,并更新此次告警事件状态为:未处置;若通,则进入下一步流程。
接着,从告警日志中提取密码,判断密码是否为“******”(以星号呈现的加密状态的密码),若是,则说明告警来源的厂商做了敏感信息加密处理操作,判断SOAR平台是否与来源厂商进行了联动,做了应用能力接入,是否支持查询密码动作,若支持,则调度执行(实现方式视厂商环境决定,可以是API、Kafka、网页模拟请求等)该来源厂商的应用,根据认证token或日志唯一Id查询密码,判断拿到的密码是否为空,若非空,则说明数据有效,进入下一步判断“告警类型”流程。
若拿到的密码为空则说明日志源不正确,记录本次告警处置状态为:“厂商返回密码为空,无法处置”,并更新此次告警事件状态为:未处置。
若厂商不支持联动,则利用正则表达式对日志请求头做解析操作,判断是否可以解析出密码,若解析不出来,则说明告警日志中无密码、且未对该来源厂商做能力接入,用正则表达式也无法解析出密码,记录本次告警处置状态为:“密码为*,无法处置”,并更新此次告警事件状态为:未处置。若能解析出来,进入下一步判断“告警类型”流程。
若密码不是“******”,则进入下一步“判断告警类型”流程。
此处可以看到,涉及到了告警类型的处理,具体来说,本申请可以基于告警日志的告警类型来指导步骤S102目标弱口令处置策略的适配工作,对此,作为又一种示例性的实现方式,步骤S102从预设的弱口令处置策略中,选定目标应用服务适配的目标弱口令处置策略,具体可以包括:
从预设的弱口令处置策略中,选定告警日志的告警类型对应的目标弱口令处置策略。
容易理解,在接入的SOAR平台的相关安全系统,或者安全系统侧的相关系统,其在确定网络安全警告事件时,可以确定其告警类型,而本申请则将该告警类型与后面的弱口令检测的不同类型相对应,或者说,本申请根据告警类型来配套了后面可以选配的三大类的弱口令处置策略,由此后续则可以直接根据告警日志所描述的告警类型类快速选配目标弱口令处置策略。
而对于本申请在预设的弱口令处置策略中配置的zabbix弱口令处置策略,数据仓库弱口令处置策略和web弱口令处置策略,其具体内容如下:
(1)web弱口令处置策略
从告警日志中获取Web弱口令的网址、IP、端口、账号、密码(告警日志中可以包含如告警厂商、告警源、系统地址、端口、登录名、密码[可选]、告警分类、请求头、风险等级等内容),此密码结合上下文,可能是日志中的,也可能是从厂商获取的,也可能是通过正则表达式从请求头解析出来的。根据网址的IP、端口、账号从数据集“Web弱口令信息记录”中查询弱口令是否存在,若不存在,则记录日志中的弱口令信息到该数据集。若存在,根据IP、端口查询数据集“网址信息收录”,判断网址是否已收录到系统。网址信息收录是用来记录网站登录页地址、登录页UI元素信息、系统名称的,在本方法中,网址信息收录存储的有:网站的登录页url、系统名称、用户名输入框网页定位、密码输入框网页定位、是否有验证码、验证码输入框网页定位、验证码图片定位、滑块验证码背景定位、滑块验证码缺口定位、点选验证码图片定位、点选验证码刷新按钮定位、点选验证码确认按钮定位、点选重试次数、登录成功跳转url、该网址映射的IP、端口;
若未收录,记录本次告警处置状态为“网址未收录,无法验证”,同时通知相关干系人,进行网址信息维护,并更新事件状态为“未处置”。此时说明该网址是第一次出现,网络管理员未对该网址信息进行收录,程序无法打开登录页进行UI元素定位,无法进入下一步的弱口令验证流程,通知相关干系人进行维护。通知方式可以是邮箱、站内信、钉钉、企业微信、内部办公软件等;
若已收录,判断登录页是否包含验证码,无验证码,则调度执行应用“web登录”,运行“无验证码登录”动作,结合从日志中获取的用户名、密码模拟进行网页登录,并获取登录结果。
A)若有验证码,且是“滑块验证码”,则调度执行应用“web登录”,运行“滑块验证码登录”动作。
实现步骤:
1、基于网址信息收录中“用户名输入框网页定位、密码输入框网页定位”,通过xpath定位到输入框的具体位置,取出从日志中获取的用户名、密码分别填充到输入框;
2、借助selenium取出滑块的2张图,细分为2种场景:
(1)、一张带有缺口的背景图、一张缺口图;
(2)、一张完整背景图、一张缺口图。
3、计算滑块所需要的距离,在一幅图像中寻找与另一幅模板图像最匹配(相似)部分,匹配到的背景图缺口x轴坐标就是距离;
注意:受浏览器和屏幕缩放比例影响,可能获取的图片和页面图片大小不一致,需要对比出获取图片和页面图片大小的比例,根据比例计算出真实距离。
4、计算滑动轨迹,采用加速原理,把一段滑动距离分成多段滑动,随机的忽快忽慢,最接近人的操作,避免程序识别出是机器滑动而加入黑名单拦截;
5、进行滑动,基于网址信息收录中“滑块验证码背景定位、滑块验证码;缺口定位”,通过selenium操作图片按第三步的速度进行滑动;
6、通过selenium,点击“登录”按钮,进行登录操作;
7、获取登录结果。
B)若有验证码,且是“点选验证码”,则调度执行应用“web登录”,运行“点选验证码登录”动作。点选验证码要识别出文字、图片,还需要进行匹配,借助机器学习可以实现。
详细实现步骤如下:
1、基于网址信息收录中“用户名输入框网页定位、密码输入框网页定位”,通过xpath定位到输入框的具体位置,取出从日志中获取的用户名、密码分别填充到输入框;
2、通过xpath定位到点选验证码(也称为“九宫格”)图片所在位置,识别文字、图片,点选验证码,点击确认,判断验证码是否通过,不通过则点击刷新按钮,换新的验证码重试,再次识别,再次点选确认。注:网址信息收录中,可限定重试次数,到达指定次数后结束;
3、通过selenium,点击“登录”按钮,进行登录操作;
4、获取登录结果。
C)若有验证码,且是“图片验证码”,则调度执行应用“web登录”,运行“图片验证码登录”动作。实现逻辑是借助开源库ddddocr进行图片识别,将识别的文字、字母、数字填充在左侧输入框,结合从日志中获取的用户名、密码模拟进行网页登录,并获取登录结果。
获取登录结果,将结果写入数据集“web弱口令信息记录”,形成闭环操作,完整记录一条日志的登录账号、登录结果,便于后续在网络维护成果展示时,做图表统计汇报。判断登录是否成功,若失败,记录本次告警处置状态为:“登录/连接验证不通过”,并更新此次告警事件状态为:未处置。
若是web弱口令检测过程中登录成功,则进入下一步资产定位流程。
(2)数据仓库弱口令处置策略
从告警日志中获取弱口令的IP、端口、账号、密码,此密码结合上下文,可能是日志中的,也可能是从厂商获取的,也可能是通过正则表达式从请求头解析出来的。根据IP、端口、账号从数据集“数据仓库弱口令信息记录”中查询弱口令是否存在,若不存在,则记录日志中的弱口令信息到该数据集。若存在,则判断告警日志细分类型,识别出具体的种类,当前支持FTP、Redis、Mysql、Orcale、Mongo、Elasticsearch,并预留了扩展接口,可随着业务的增加扩展出其它的类型。识别出具体的种类后,调度执行对应的应用,运行“登录”动作,获取登录结果,并将结果写入数据集“数据仓库弱口令信息记录”,形成闭环操作。判断登录是否成功,若失败,记录本次告警处置状态为:“登录/连接验证不通过”,并更新此次告警事件状态为:未处置。若成功,进入下一步资产定位流程。
其中,此处描述的FTP、Mongo、ES等应用,在SAOR平台中以应用的方式存在。
(3)zabbix弱口令处置策略
从告警日志中获取zabbix服务端访问地址、IP、端口、账号、密码,此密码结合上下文,可能是日志中的,也可能是从厂商获取的,也可能是通过正则表达式从请求头解析出来的。根据访问地址、账号从数据集“zabbix弱口令信息记录”中查询弱口令是否存在,若不存在,则记录日志中的弱口令信息到该数据集。若存在,调度执行应用“zabbix客户端”,运行“连接”动作,效果如下图所示,将连接结果写入数据集“zabbix弱口令信息记录”,形成闭环操作,判断连接是否成功,若失败,则记录本次告警处置状态为:“登录/连接验证不通过”,并更新此次告警事件状态为:未处置。若成功,进入下一步资产定位流程。
此外,对于此处三大类的弱口令处置策略,其处理流程还可以以节点加箭头的方式形成链式指针结构,按拖拽的箭头方向进行顺序运行,可自由调整顺序并快速修改节点内部功能而不引起整体变动。
接下来,在识别出了弱口令的IP、账号等信息,且验证成功,需要将产生弱口令的资源进行资产定位,根据IP、端口从数据集“资产清单”中进行查询,判断查询结果是否定位到具体资产,若未定位到,说明资源未纳管,将未定位到资产信息记录到数据集“资产定位结果”,记录本次告警处置状态为“未定位到资产”,并更新事件状态为“未处置”。若定位到资产,将定位到的资产明细记录到数据集“资产定位结果”,便于后续在网络维护成果展示时,做图表统计汇报。给该资产的负责人发起人工审批请求,询问是否要下发工单进行弱口令处置,若拒绝,说明此次处置是人工进行的,更新本次告警处置状态为“人工处置”,并更新事件状态为“成功”。
此处可以看到,本申请针对于是否发起工单,还涉及到了人工审批的处理,具体的,作为又一种示例性的实现方式,步骤S103基于检测结果和资产定位结果,生成工单之前,本申请方法还可以包括:
向资产定位结果的负责人发送人工审批请求,以请求确认是否生成工单来上传至工单系统;
若是,则触发基于检测结果和资产定位结果,生成工单。
可以理解,生成的工单,是为了通过工单系统,在SOAR平台上正式的指示出存在的弱口令事件,以此触发相应的响应,但是在该背景下,则可能存在着对应资产侧关于该目标应用服务存在弱口令情况的把控,若本身就是基于某些目的特别维持下来的情况,或者是可以第一时间切换调整来克服的,就没有必要上线工单系统。
如此,本申请在应用服务对应资产的负责人侧,则引入了是否发起工单的人工审批环节,由其确认是否发起工单,以此达到更为精确地、高效地发起工单的效果。
对于上面涉及的资产清单,其可以理解为一个可动态维护的数据表,记录单位类型、单位名称、系统名称、云资产类型、IP、端口[可选],如下表1示出的一个资产清单示例数据:
表1-资产清单示例数据
而若人工审批同意了,则进行调查取证,截取告警日志形成可视快照,调度执行“工单中心”应用,发起“提单申请”,将告警可视快照作为附件附在工单上。将告警信息、资产定位信息、发起的工单信息进行关联,存储到“弱口令工单轮询”数据集,即:是哪个单位的哪个资产在什么时间由什么厂商产生了弱口令告警,发起了处置工单,形成工作链,便于溯源。并生成调度任务,周期执行来监测工单处置状态,根据工单状态,回写本次告警的处置状态。调度任务默认2分钟/次,可人为配置,灵活处理。
此处可以看到,本申请在生成工单的过程中,可以结合前面涉及的告警日志,对此,作为又一种示例性的实现方式,步骤S104基于检测结果和资产定位结果,生成工单,具体可以包括:
截取告警日志的可视快照;
基于告警日志的可视快照、检测结果和资产定位结果,生成工单。
可以理解,工单的内容中在涉及到了告警日志的可视快照后,则具有更为丰富且形象的内容,从而基于工单进行目标应用服务其弱口令响应时,则可以更为便捷地展开,从而也可以在一定程度上起到提高响应效率的效果。
此外,对于以上内容,还可以看出来的是,其是从一轮的弱口令检测及其响应来展开说明的,对于SOAR平台而言,其在具体应用中,是持续不断地在进行工作的,需要同时或者按次序进行大量的弱口令检测及其响应的处理,而在该情况下,本申请对于每一轮的弱口令及其响应,在发起工单以促使进行响应之后,本申请还可以引入复测环节或者说复核环节,以此通过二次检测,来保障基于工单系统的弱口令响应到位,以避免出现异常情况。
对应的,作为又一种示例性的实现方式,步骤S104将工单上传至工单系统之后,本申请方法还可以包括:
针对上传至工单系统后弱口令工单轮询数据集所记录的工单信息,按照之前采用的弱口令处置策略进行复核,并按照复核结果更新数据集中工单信息的处置状态。
具体的,本申请复核处理的具体过程,有:
从数据集“弱口令工单轮询”中查询“待处置”的记录,判断查询记录是否为空,若为空,表示没有要监测的工单,流程结束。若有,则遍历待处置记录。获取当前下标位的记录,根据工单ID查询工单详情,判断工单处置状态,若未完成,说明工单还在处置中,跳过当前记录,继续取下一个下标位记录,重复当前流程,若是完成,说明资产负责人已对弱口令进行处置,需要系统二次复核,判断告警类型,根据类型进行登录验证,判断登录是否成功,若失败,则说明复核不通过,发起人工审批,进行确认“复核不通过,是否驳回工单”,若人工审批同意了,则驳回工单,此时在数据集中当前工单是“待处置状态”,等待相关人员继续处理,并持续监测;若人工审批拒绝,则说明:经过相关资产负责人确认后,密码非弱口令,或者无需处理,进入复核通过流程。
若成功,则说明复核通过,记录本次告警处置状态为“完成”,并更新事件状态为“成功”,根据查询的工单详情更新数据集“弱口令工单轮询”中此条工单的状态为“完成”,并关闭工单。
总的来说,对于以上的方案内容(包括各示例性的实现方式的方案内容),在弱口令检测方面,本申请聚焦于接入SOAR平台的目标应用服务,从预设的弱口令处置策略中,选定目标应用服务适配的目标弱口令处置策略,并通过目标弱口令处置策略,对目标应用服务进行弱口令检测,若检测结果为目标应用服务属于弱口令情况,则在SOAR平台动态维护的资产清单中,查询目标应用服务的对应资产,得到资产定位结果,基于检测结果和资产定位结果,生成工单,并将工单上传至工单系统,以使得工单系统通过相应的处理流程对目标应用服务进行弱口令事件响应,在该处置方案中,一方面由于预设的弱口令处置策略是由zabbix弱口令处置策略,数据仓库弱口令处置策略和web弱口令处置策略组合得到,因此可以获得高适配的、高精度的弱口令检测精度,另一方面在出现弱口令情况时,还在SOAR平台范围内定位对应资产并以工单形式触发弱口令事件响应,打通各系统及其工作人员在第一时间进行精准且高效的弱口令响应,以此为SOAR平台提供了一套便捷的自动化处置方案,从而对信息安全实现更高的保障。
此外,值得补充的还有,本申请所涉及的处理架构,其可扩展性强,在已支持的弱口令种类基础上,可适应“环境”变化,使其满足用户新需求,具体的,有:
1、从数据集“资产清单”中进行弱口令定位,数据集是基于表单模板动态维护的数据,而表单模板又可以是自定义的多个字段,由此引出:设备资产可以有很多个属性,可以基于不同的属性来进行定位。
举例1:A单位资金雄厚,有10台机器,每台机器安装了不同的系统,每个系统又对应不同的管理员。那么在记录资产信息时,可以记录IP1、系统1、管理员1;IP2、系统2、管理员2;检测到弱口令后,需要定位到机器,定位到管理员进行通知,此时仅需要根据IP来搜索定位即可。
举例2:B单位是小镇,资金全靠上级安排,只有2台机器,每台机器安装了3个系统,3个系统可能对应同一个管理员,或不同管理员,那么在记录资产信息时,可以记录:IP1、系统1、系统开放的端口1、管理员1;IP1、系统2、系统开放的端口2、管理员1;IP1、系统3、系统开放的端口3、管理员2;IP2、系统1、系统开放的端口1、管理员3;此时无法根据IP来定位,因为同一台设备有多个系统多个管理员,需要基于IP+端口来双重定位。
举例3:资产管理汇总了上述2种,存在一台机器一个系统,一台机器多个系统的情况,记录的资产信息也是上述2种不同的格式,此时借助数据集动态维护2张表格,在资产定位检索时,优先细粒度的IP+端口的检索,检索不到,就换张资产表进行IP检索,直至精确定位到。
2、数据仓库可扩展成多个。此处可以扩展多个节点,如:Oracle、elasticsearch、mongo等,节点扩展后,后续逻辑都不变,完整兼容新类型的弱口令告警。
3、网址信息收录,登录验证。收录操作是通知相关干系人进行网址信息维护,也是通过数据集动态维护的,如:新采购了一套OA系统,只需要在数据集里面将新OA系统的IP、[端口]、登录页地址、用户名输入框地址、密码输入框地址、验证码等相关信息配置上,当弱口令告警来临时,可从数据集加载网址信息,模拟网页登录验证,就可以完成一套新系统的验证。
4、调查取证,截取告警可视快照。此应用节点返回一个图片的地址,基于SOAR可编排的特性,快照可以是SOAR系统本身的,也可以是第三方告警源系统,也可以是用户指定的其它;若用户没取证需求,此节点可以删除。
5、发起工单。不同机构有不同的OA系统或工单系统,处理流程都不同,此处是一个应用“工单中心”,当机构使用本方法来进行弱口令处置时,只需要联系销售对接他们特有的工单系统即可。若不对接,可采集SOAR平台自带的工单进行处置。若机构没有工单系统,全部是纯人工处理,无需复测,则可以删除工单相关节点,并不影响主流程
以上是本申请提供的基于SOAR的弱口令处理方法的介绍,为便于更好的实施本申请提供的基于SOAR的弱口令处理方法,本申请还从功能模块角度提供了一种基于SOAR的弱口令处理装置。
参阅图2,图2为本申请基于SOAR的弱口令处理装置的一种结构示意图,在本申请中,基于SOAR的弱口令处理装置200具体可包括如下结构:
确定单元201,用于确定接入SOAR平台的目标应用服务;
弱口令检测单元202,用于从预设的弱口令处置策略中,选定目标应用服务适配的目标弱口令处置策略,并通过目标弱口令处置策略,对目标应用服务进行弱口令检测,其中,预设的弱口令处置策略包括zabbix弱口令处置策略,数据仓库弱口令处置策略和web弱口令处置策略;
资产定位单元203,用于若检测结果为目标应用服务属于弱口令情况,则在SOAR平台动态维护的资产清单中,查询目标应用服务的对应资产,得到资产定位结果;
工单处理单元204,用于基于检测结果和资产定位结果,生成工单,并将工单上传至工单系统,以使得工单系统通过相应的处理流程对目标应用服务进行弱口令事件响应。
在一种示例性的实现方式中,确定单元201,具体用于:
接收来自接入SOAR平台的相关安全系统所上报的告警日志;
基于告警日志所涉及的目的IP,确定接入SOAR平台的目标应用服务。
在又一种示例性的实现方式中,弱口令检测单元202,还用于:
向目标IP发送ICMPEcho请求报文,以测试目标IP对应目的主机是否可达;
若是,则触发从预设的弱口令处置策略中,选定目标应用服务适配的目标弱口令处置策略,并通过目标弱口令处置策略,对目标应用服务进行弱口令检测。
在又一种示例性的实现方式中,弱口令检测单元202,具体用于:
从预设的弱口令处置策略中,选定告警日志的告警类型对应的目标弱口令处置策略。
在又一种示例性的实现方式中,工单处理单元204,具体用于:
截取告警日志的可视快照;
基于告警日志的可视快照、检测结果和资产定位结果,生成工单。
在又一种示例性的实现方式中,工单处理单元204,还用于:
向资产定位结果的负责人发送人工审批请求,以请求确认是否生成工单来上传至工单系统;
若是,则触发基于检测结果和资产定位结果,生成工单。
在又一种示例性的实现方式中,装置还包括复核单元205,用于:
针对上传至工单系统后弱口令工单轮询数据集所记录的工单信息,按照之前采用的弱口令处置策略进行复核,并按照复核结果更新数据集中工单信息的处置状态。
本申请还从硬件结构角度提供了一种处理系统,为方便说明,从整体层面出发,将处理系统当成一种硬件设备来对待,参阅图3,图3示出了本申请处理系统的一种结构示意图,具体的,本申请处理系统可包括处理器301、存储器302以及输入输出设备303,处理器301用于执行存储器302中存储的计算机程序时实现如图1对应实施例中基于SOAR的弱口令处理方法的各步骤;或者,处理器301用于执行存储器302中存储的计算机程序时实现如图2对应实施例中各单元的功能,存储器302用于存储处理器301执行上述图1对应实施例中基于SOAR的弱口令处理方法所需的计算机程序。
示例性的,计算机程序可以被分割成一个或多个模块/单元,一个或者多个模块/单元被存储在存储器302中,并由处理器301执行,以完成本申请。一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述计算机程序在计算机装置中的执行过程。
处理系统可包括,但不仅限于处理器301、存储器302、输入输出设备303。本领域技术人员可以理解,示意仅仅是处理系统的示例,并不构成对处理系统的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如处理系统还可以包括网络接入设备、总线等,处理器301、存储器302、输入输出设备303等通过总线相连。
处理器301可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等,处理器是处理系统的控制中心,利用各种接口和线路连接整个设备的各个部分。
存储器302可用于存储计算机程序和/或模块,处理器301通过运行或执行存储在存储器302内的计算机程序和/或模块,以及调用存储在存储器302内的数据,实现计算机装置的各种功能。存储器302可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序等;存储数据区可存储根据处理系统的使用所创建的数据等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如硬盘、内存、插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(SecureDigital,SD)卡,闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
处理器301用于执行存储器302中存储的计算机程序时,具体可实现以下功能:
确定接入SOAR平台的目标应用服务;
从预设的弱口令处置策略中,选定目标应用服务适配的目标弱口令处置策略,并通过目标弱口令处置策略,对目标应用服务进行弱口令检测,其中,预设的弱口令处置策略包括zabbix弱口令处置策略,数据仓库弱口令处置策略和web弱口令处置策略;
若检测结果为目标应用服务属于弱口令情况,则在SOAR平台动态维护的资产清单中,查询目标应用服务的对应资产,得到资产定位结果;
基于检测结果和资产定位结果,生成工单,并将工单上传至工单系统,以使得工单系统通过相应的处理流程对目标应用服务进行弱口令事件响应。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的基于SOAR的弱口令处理装置、处理系统及其相应单元的具体工作过程,可以参考如图1对应实施例中基于SOAR的弱口令处理方法的说明,具体在此不再赘述。
本领域普通技术人员可以理解,上述实施例的各种方法中的全部或部分步骤可以通过指令来完成,或通过指令控制相关的硬件来完成,该指令可以存储于一计算机可读存储介质中,并由处理器进行加载和执行。
为此,本申请提供一种计算机可读存储介质,其中存储有多条指令,该指令能够被处理器进行加载,以执行本申请如图1对应实施例中基于SOAR的弱口令处理方法的步骤,具体操作可参考如图1对应实施例中基于SOAR的弱口令处理方法的说明,在此不再赘述。
其中,该计算机可读存储介质可以包括:只读存储器(Read Only Memory,ROM)、随机存取记忆体(Random Access Memory,RAM)、磁盘或光盘等。
由于该计算机可读存储介质中所存储的指令,可以执行本申请如图1对应实施例中基于SOAR的弱口令处理方法的步骤,因此,可以实现本申请如图1对应实施例中基于SOAR的弱口令处理方法所能实现的有益效果,详见前面的说明,在此不再赘述。
以上对本申请提供的基于SOAR的弱口令处理方法、装置、处理系统以及计算机可读存储介质进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (10)
1.一种基于SOAR的弱口令处理方法,其特征在于,所述方法包括:
确定接入SOAR平台的目标应用服务;
从预设的弱口令处置策略中,选定所述目标应用服务适配的目标弱口令处置策略,并通过所述目标弱口令处置策略,对所述目标应用服务进行弱口令检测,其中,所述预设的弱口令处置策略包括zabbix弱口令处置策略,数据仓库弱口令处置策略和web弱口令处置策略;
若检测结果为所述目标应用服务属于弱口令情况,则在所述SOAR平台动态维护的资产清单中,查询所述目标应用服务的对应资产,得到资产定位结果;
基于所述检测结果和所述资产定位结果,生成工单,并将所述工单上传至工单系统,以使得所述工单系统通过工单流转让相应的处理流程涉及的相关节点对所述目标应用服务进行弱口令事件响应。
2.根据权利要求1所述的方法,其特征在于,所述确定接入SOAR平台的目标应用服务,包括:
接收来自接入所述SOAR平台的相关安全系统所上报的告警日志;
基于所述告警日志所涉及的目的IP,确定接入所述SOAR平台的所述目标应用服务。
3.根据权利要求2所述的方法,其特征在于,所述从预设的弱口令处置策略中,选定所述目标应用服务适配的目标弱口令处置策略,并通过所述目标弱口令处置策略,对所述目标应用服务进行弱口令检测之前,所述方法还包括:
向所述目的IP发送ICMPEcho请求报文,以测试所述目的IP对应目的主机是否可达;
若是,则触发从预设的弱口令处置策略中,选定所述目标应用服务适配的目标弱口令处置策略,并通过所述目标弱口令处置策略,对所述目标应用服务进行弱口令检测。
4.根据权利要求2所述的方法,其特征在于,所述从预设的弱口令处置策略中,选定所述目标应用服务适配的目标弱口令处置策略,包括:
从所述预设的弱口令处置策略中,选定所述告警日志的告警类型对应的所述目标弱口令处置策略。
5.根据权利要求2所述的方法,其特征在于,所述基于所述检测结果和所述资产定位结果,生成工单,包括:
截取所述告警日志的可视快照;
基于所述告警日志的可视快照、所述检测结果和所述资产定位结果,生成所述工单。
6.根据权利要求1所述的方法,其特征在于,所述基于所述检测结果和所述资产定位结果,生成工单之前,所述方法还包括:
向所述资产定位结果的负责人发送人工审批请求,以请求确认是否生成所述工单来上传至所述工单系统;
若是,则触发基于所述检测结果和所述资产定位结果,生成所述工单。
7.根据权利要求1所述的方法,其特征在于,所述将所述工单上传至工单系统之后,所述方法还包括:
针对上传至所述工单系统后弱口令工单轮询数据集所记录的工单信息,按照之前采用的弱口令处置策略进行复核,并按照复核结果更新数据集中所述工单信息的处置状态。
8.一种基于SOAR的弱口令处理装置,其特征在于,所述装置包括:
确定单元,用于确定接入SOAR平台的目标应用服务;
弱口令检测单元,用于从预设的弱口令处置策略中,选定所述目标应用服务适配的目标弱口令处置策略,并通过所述目标弱口令处置策略,对所述目标应用服务进行弱口令检测,其中,所述预设的弱口令处置策略包括zabbix弱口令处置策略,数据仓库弱口令处置策略和web弱口令处置策略;
资产定位单元,用于若检测结果为所述目标应用服务属于弱口令情况,则在所述SOAR平台动态维护的资产清单中,查询所述目标应用服务的对应资产,得到资产定位结果;
工单处理单元,用于基于所述检测结果和所述资产定位结果,生成工单,并将所述工单上传至工单系统,以使得所述工单系统通过工单流转让相应的处理流程涉及的相关节点对所述目标应用服务进行弱口令事件响应。
9.一种处理系统,其特征在于,包括处理器和存储器,所述存储器中存储有计算机程序,所述处理器调用所述存储器中的计算机程序时执行如权利要求1至7任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有多条指令,所述指令适于处理器进行加载,以执行权利要求1至7任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310660036.1A CN116611046B (zh) | 2023-06-05 | 2023-06-05 | 一种基于soar的弱口令处理方法、装置以及处理系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310660036.1A CN116611046B (zh) | 2023-06-05 | 2023-06-05 | 一种基于soar的弱口令处理方法、装置以及处理系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116611046A CN116611046A (zh) | 2023-08-18 |
| CN116611046B true CN116611046B (zh) | 2024-04-09 |
Family
ID=87683516
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310660036.1A Active CN116611046B (zh) | 2023-06-05 | 2023-06-05 | 一种基于soar的弱口令处理方法、装置以及处理系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116611046B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117034251B (zh) * | 2023-09-28 | 2024-01-05 | 杭州海康威视数字技术股份有限公司 | 弱口令自适应筛查方法、装置及设备 |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107196899A (zh) * | 2017-03-21 | 2017-09-22 | 北京神州泰岳软件股份有限公司 | 设备弱口令管理方法及装置 |
| CN107346397A (zh) * | 2017-06-20 | 2017-11-14 | 广东欧珀移动通信有限公司 | 信息处理方法及相关产品 |
| CN112613029A (zh) * | 2021-01-06 | 2021-04-06 | 深信服科技股份有限公司 | 一种弱口令检测方法、装置、计算机存储介质以及设备 |
| CN112800415A (zh) * | 2021-04-13 | 2021-05-14 | 深圳市云盾科技有限公司 | 一种基于贪婪算法模型的弱口令检测方法和系统 |
| CN113225223A (zh) * | 2021-04-21 | 2021-08-06 | 武汉思普崚技术有限公司 | 一种pc终端web认证过程的自动化测试方法 |
| US11140178B1 (en) * | 2009-11-23 | 2021-10-05 | F5 Networks, Inc. | Methods and system for client side analysis of responses for server purposes |
| CN114282194A (zh) * | 2021-12-23 | 2022-04-05 | 中国建设银行股份有限公司大连市分行 | 一种it风险监控方法、装置及存储介质 |
| CN115412302A (zh) * | 2022-08-03 | 2022-11-29 | 中国电信股份有限公司 | 弱口令探测方法、装置、电子设备和存储介质 |
| CN115701889A (zh) * | 2021-07-19 | 2023-02-14 | 中国石油化工股份有限公司 | 基于soar的油田工控安全监管方法 |
| CN115795509A (zh) * | 2022-12-05 | 2023-03-14 | 山石网科通信技术股份有限公司 | 弱口令事件的处理方法和装置、处理器及电子设备 |
| CN115913658A (zh) * | 2022-10-30 | 2023-04-04 | 天翼电子商务有限公司 | 一种基于soar聚类联动应用服务的控制方法和装置 |
| CN116015819A (zh) * | 2022-12-19 | 2023-04-25 | 武汉思普崚技术有限公司 | 一种基于soar的攻击行为响应方法、装置及处理设备 |
| CN116155531A (zh) * | 2022-11-21 | 2023-05-23 | 北京天融信网络安全技术有限公司 | 一种基于soar的网络设备安全管理的方法、装置及电子设备 |
| CN116170325A (zh) * | 2022-12-27 | 2023-05-26 | 北京安博通科技股份有限公司 | 基于soar的任务模型构建方法、电子设备及存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| IL273321A (en) * | 2020-03-16 | 2021-09-30 | Otorio Ltd | A system and method for reducing risk in an operational network |
-
2023
- 2023-06-05 CN CN202310660036.1A patent/CN116611046B/zh active Active
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11140178B1 (en) * | 2009-11-23 | 2021-10-05 | F5 Networks, Inc. | Methods and system for client side analysis of responses for server purposes |
| CN107196899A (zh) * | 2017-03-21 | 2017-09-22 | 北京神州泰岳软件股份有限公司 | 设备弱口令管理方法及装置 |
| CN107346397A (zh) * | 2017-06-20 | 2017-11-14 | 广东欧珀移动通信有限公司 | 信息处理方法及相关产品 |
| CN112613029A (zh) * | 2021-01-06 | 2021-04-06 | 深信服科技股份有限公司 | 一种弱口令检测方法、装置、计算机存储介质以及设备 |
| CN112800415A (zh) * | 2021-04-13 | 2021-05-14 | 深圳市云盾科技有限公司 | 一种基于贪婪算法模型的弱口令检测方法和系统 |
| CN113225223A (zh) * | 2021-04-21 | 2021-08-06 | 武汉思普崚技术有限公司 | 一种pc终端web认证过程的自动化测试方法 |
| CN115701889A (zh) * | 2021-07-19 | 2023-02-14 | 中国石油化工股份有限公司 | 基于soar的油田工控安全监管方法 |
| CN114282194A (zh) * | 2021-12-23 | 2022-04-05 | 中国建设银行股份有限公司大连市分行 | 一种it风险监控方法、装置及存储介质 |
| CN115412302A (zh) * | 2022-08-03 | 2022-11-29 | 中国电信股份有限公司 | 弱口令探测方法、装置、电子设备和存储介质 |
| CN115913658A (zh) * | 2022-10-30 | 2023-04-04 | 天翼电子商务有限公司 | 一种基于soar聚类联动应用服务的控制方法和装置 |
| CN116155531A (zh) * | 2022-11-21 | 2023-05-23 | 北京天融信网络安全技术有限公司 | 一种基于soar的网络设备安全管理的方法、装置及电子设备 |
| CN115795509A (zh) * | 2022-12-05 | 2023-03-14 | 山石网科通信技术股份有限公司 | 弱口令事件的处理方法和装置、处理器及电子设备 |
| CN116015819A (zh) * | 2022-12-19 | 2023-04-25 | 武汉思普崚技术有限公司 | 一种基于soar的攻击行为响应方法、装置及处理设备 |
| CN116170325A (zh) * | 2022-12-27 | 2023-05-26 | 北京安博通科技股份有限公司 | 基于soar的任务模型构建方法、电子设备及存储介质 |
Non-Patent Citations (5)
| Title |
|---|
| Weak Password Scanning System for Penetration Testing;Xie, B等;Cyberspace Safety and Security: 13th International Symposium, CSS 2021, Proceedings. Lecture Notes in Computer Science, Security and Cryptology (13172);20221101;全文 * |
| Zhendong Zhang等.RUPA: A High Performance, Energy Efficient Accelerator for Rule-Based Password Generation in Heterogenous Password Recovery System.IEEE Transactions on Computers .2022,第72卷(第4期),全文. * |
| 基于实战化的集团企业网络安全主动防御技术研究与实践;姚卓;信息技术与网络安全;20220629;第41卷(第5期);全文 * |
| 田峥 ; 薛海伟 ; 田建伟 ; 漆文辉 ; .基于网页静态分析的Web应用系统弱口令检测方法.湖南电力.2016,第36卷(第05期),全文. * |
| 董悦等.工业互联网安全技术发展研究.中国工程科学.2021,第23卷(第2期),全文. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116611046A (zh) | 2023-08-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9894119B2 (en) | Configurable metadata-based automation and content classification architecture for cloud-based collaboration platforms | |
| EP3449375B1 (en) | Monitoring of interactions between services | |
| US11979422B1 (en) | Elastic privileges in a secure access service edge | |
| US8024214B2 (en) | System and method of visualization for aggregation of change tracking information | |
| US20220207163A1 (en) | Apparatuses, methods, and computer program products for programmatically parsing, classifying, and labeling data objects | |
| US7636919B2 (en) | User-centric policy creation and enforcement to manage visually notified state changes of disparate applications | |
| US11665183B2 (en) | Secure incident investigation event capture | |
| US20070300179A1 (en) | User-application interaction recording | |
| US20150135263A1 (en) | Field selection for pattern discovery | |
| US8250138B2 (en) | File transfer security system and method | |
| CN116611046B (zh) | 一种基于soar的弱口令处理方法、装置以及处理系统 | |
| US20210234902A1 (en) | Cloud security system implementing service action categorization | |
| CN107786551B (zh) | 访问内网服务器的方法及控制访问内网服务器的装置 | |
| CN113472787A (zh) | 一种告警信息处理方法、装置、设备及存储介质 | |
| CN103095693A (zh) | 定位访问数据库用户主机信息的方法 | |
| US11416631B2 (en) | Dynamic monitoring of movement of data | |
| CN110851324A (zh) | 基于日志的巡检处理方法、装置以及电子设备、存储介质 | |
| US10826965B2 (en) | Network monitoring to identify network issues | |
| CN108650123B (zh) | 故障信息记录方法、装置、设备和存储介质 | |
| CN113836237A (zh) | 对数据库的数据操作进行审计的方法及装置 | |
| CN111241547B (zh) | 一种越权漏洞的检测方法、装置及系统 | |
| US20210406391A1 (en) | Production Protection Correlation Engine | |
| CN114036505A (zh) | 安全运维分析服务器、安全运维分析方法、计算机设备 | |
| CN115774581A (zh) | 执行机器人脚本方法及相关装置 | |
| US20210306370A1 (en) | Interface security in business applications |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |