CN117896143A - 一种安全联动编排实现方法、系统、设备及存储介质 - Google Patents

一种安全联动编排实现方法、系统、设备及存储介质 Download PDF

Info

Publication number
CN117896143A
CN117896143A CN202410064438.XA CN202410064438A CN117896143A CN 117896143 A CN117896143 A CN 117896143A CN 202410064438 A CN202410064438 A CN 202410064438A CN 117896143 A CN117896143 A CN 117896143A
Authority
CN
China
Prior art keywords
action
treatment
event
linkage
execution
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202410064438.XA
Other languages
English (en)
Inventor
郭昌盛
王荆
李华生
王磊
徐若愚
姜昱西
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Jiangmin Xinke Technology Co ltd
Original Assignee
Beijing Jiangmin Xinke Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Jiangmin Xinke Technology Co ltd filed Critical Beijing Jiangmin Xinke Technology Co ltd
Priority to CN202410064438.XA priority Critical patent/CN117896143A/zh
Publication of CN117896143A publication Critical patent/CN117896143A/zh
Pending legal-status Critical Current

Links

Landscapes

  • Stored Programmes (AREA)

Abstract

本发明公开了一种安全联动编排实现方法、系统、设备及存储介质,方法包括:安全事件定义步骤;处置动作配置步骤;执行动作定义步骤;触发规则定义步骤;模型评价步骤;所述触发规则定义步骤中,包括:从安全事件定义模块中提取事件进行事件逻辑关系组合,从执行动作定义模块中提取动作进行处置方式配置,从处置动作配置模块中提取必填动作请求参数进行合法性校验,最终形成预定义的联动过程模型。本发明通过预定义一套联动过程模型及处置动作接口配置模型,可以有效简化安全运维人员的操作,降低维护成本与学习成本,提升安全运营效率,可靠性高,并能保证联动动作适配的成功率,灵活、快速形成自动化处理安全事件的流程。

Description

一种安全联动编排实现方法、系统、设备及存储介质
技术领域
本发明涉及网络安全技术领域,特别是涉及一种安全联动编排实现方法、系统、设备及存储介质。
背景技术
随着网络安全攻防对抗的日趋激烈,简单的网络安全防范和阻止策略已经不足以应对现有的网络攻击,企业和组织必须更加注重在网络安全检测与响应方面的防范工作,即在网络已经遭受攻击的假定前提下构建集阻止、检测、响应和预防于一体的全新安全防护体系。安全编排自动化就应运而生,它是信息安全领域近几年提出的新概念,是一系列技术的合集,以安全编排和自动化为核心,将人、流程、技术和工具进行整合,辅助安全运营人员日常工作,提升安全运营效率。
对于安全事件联动编排,目前的方案有:基于BPMN的联动过程工作流模型及采用基于WebService的联动接口调用方法。其中,基于BPMN的联动过程工作流模型方案的缺点是:概念定义复杂,图元之间的逻辑关系没有统一的规范,BPMN描述语言过于专业化。而基于WebService的联动接口调用方案的缺点是:WebService调用方法需要预先获得服务端提供的服务描述文件及生成对应的调用客户端代理,对于不同设备类型适配不够灵活。
发明内容
有鉴于此,本发明提供一种安全联动编排实现方法及系统,使其可以有效降低安全运维人员的维护成本与学习成本,提升安全运营效率,可靠性高,并能保证联动动作适配的成功率,灵活、快速形成自动化处理安全事件的流程。
第一方面,本发明实施例提供了一种安全联动编排实现方法,包括:
安全事件定义步骤:安全事件定义模块对安全事件进行定义,并配置事件是否命中的过滤查询条件;
处置动作配置步骤:处置动作配置模块对安全设备提供的处置动作接口进行配置,用于远程调用安全设备执行处置动作;
执行动作定义步骤:执行动作定义模块对执行动作进行定义,并从处置动作配置模块中提取无默认值参数作为处置对象;
触发规则定义步骤:触发规则定义模块对联动过程触发规则进行定义,包括:从安全事件定义模块中提取事件进行事件逻辑关系组合;从执行动作定义模块中提取动作进行处置方式配置;从处置动作配置模块中提取必填动作请求参数进行合法性校验;最终形成预定义的联动过程模型。
根据本发明实施例的一种具体实现方式,所述处置动作配置模块对安全设备提供的处置动作接口进行配置包括:
请求方式定义步骤:将请求方式类型分为HTTP、SNMP、WebServi ce三种,每个处置动作为其中一种;
请求参数定义步骤:请求参数为一个或多个;将单个请求参数分为参数信息、参数映射、数据类型三部分分别定义;所述参数映射用于将参数与所述联动过程模型中的事件或动作中的字段进行自动关联映射;数据类型用于接口调用时的数据类型转换,使之符合接口调用要求;
形成处置动作配置模型步骤:
对于相同的安全设备,处置动作归为一类配置,形成该类型安全设备的处置动作配置模型,配置顺序为确定动作归属设备、确定动作接口请求方式、确定接口请求参数。
根据本发明实施例的一种具体实现方式,所述安全事件定义中,安全事件需要定义的内容包括事件类型、事件输出字段、事件命中条件;所述事件输出字段为可与处置动作参数进行关联的字段;
所述执行动作定义中,执行动作需要定义的内容包括动作名称、动作提供方、处置动作接口及动作处置对象,所述动作处置对象为可选项。
根据本发明实施例的一种具体实现方式,所述触发规则定义步骤中,从处置动作配置模块中提取必填动作请求参数进行合法性校验包括:触发规则定义时会在事件与动作关联时自动对匹配度进行合法校验检查,仅当任意处置动作接口必需的所有参数均适配时才为合法的规则,检查顺序为参数存在默认值、执行动作中存在参数名相同的处置对象、单一事件组合单元的输出字段与参数存在映射关系。
根据本发明实施例的一种具体实现方式,还包括模型评价步骤:对联动过程模型进行评价,分为事前检查、事中监控和事后评价三部分;
所述事前检查在上述形成联动过程模型时校验模型定义合法性;事中监控在联动过程模型执行中收集联动执行情况,输出事件命中次数、动作执行成功率、动作执行处理时间;事后评价通过评价公式得出联动过程模型的可靠性评分。
根据本发明实施例的一种具体实现方式,所述评价公式为:
可靠性评分=(各子事件命中次数*事件占比权重之和/事件总命中次数)*30+各动作执行平均成功率*50+(超时时间阈值/各动作执行处理时间平均值)*20。
第二方面,本发明实施例还提供了一种安全联动编排实现系统,包括:
安全事件定义模块,被配置用于对安全事件进行定义,并配置事件是否命中的过滤查询条件;
处置动作配置模块,被配置用于对安全设备提供的处置动作接口进行配置,用于远程调用安全设备执行处置动作;
执行动作定义模块,被配置用于对执行动作进行定义,并从处置动作配置模块中提取无默认值参数作为处置对象;
触发规则定义模块,被配置用于对联动过程触发规则进行定义,包括:从安全事件定义模块中提取事件进行事件逻辑关系组合;从执行动作定义模块中提取动作进行处置方式配置;从处置动作配置模块中提取必填动作请求参数进行合法性校验;最终形成预定义的联动过程模型。
根据本发明实施例的一种具体实现方式,所述对安全设备提供的处置动作接口进行配置包括:
请求方式定义步骤:将请求方式类型分为HTTP、SNMP、WebServi ce三种,每个处置动作为其中一种;
请求参数定义步骤:请求参数为一个或多个;将单个请求参数分为参数信息、参数映射、数据类型三部分分别定义;所述参数映射用于将参数与所述联动过程模型中的事件或动作中的字段进行自动关联映射;数据类型用于接口调用时的数据类型转换,使之符合接口调用要求;
形成处置动作配置模型步骤:
对于相同的安全设备,处置动作归为一类配置,形成该类型安全设备的处置动作配置模型,配置顺序为确定动作归属设备、确定动作接口请求方式、确定接口请求参数;
所述系统还包括模型评价模块:被配置用于对联动过程模型进行评价,分为事前检查、事中监控和事后评价三部分;所述事前检查在上述形成联动过程模型时校验模型定义合法性;事中监控在联动过程模型执行中收集联动执行情况,输出事件命中次数、动作执行成功率、动作执行处理时间;事后评价通过评价公式得出联动过程模型的可靠性评分。
第三方面,本发明实施例还提供了一种电子设备,该电子设备包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有能够被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行时,使所述至少一个处理器执行如上述的安全联动编排实现方法。
第四方面,本发明实施例还提供了一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令当由至少一个处理器执行时使所述至少一个处理器执行如上述的安全联动编排实现方法。
第五方面,本发明实施例还提供了一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,使该计算机执行前述第一方面或第一方面的任一实现方式中的安全联动编排实现方法。
本发明通过预定义一套联动过程模型将各类安全事件和处置动作编排起来,使安全事件发生后按照联动过程模型执行相应的处置动作,通过事前检查、事中监控、事后评价体系提升安全联动编排的可靠性,并针对处置动作提出一套配置模型,将处置动作的定义规范化,使得系统可以快速对接第三方安全设备提供的处置动作接口。
本发明可以有效降低安全运维人员的维护成本与学习成本,提升安全运营效率,可靠性高、并能保证联动动作适配的成功率,灵活、快速形成自动化处理安全事件的流程。
附图说明
上述仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,以下结合附图与具体实施方式对本发明作进一步的详细说明。
图1为本发明实施例提供的一种安全联动编排实现方法框图;
图2为本发明实施例提供的一种安全设备联动处置动作配置流程图;
图3为本发明实施例提供的一种形成联动处置动作配置模型流程图;
图4为本发明实施例提供的一种预定义联动过程模型流程图;
图5为本发明实施例提供的一种联动过程模型合法校验流程图;
图6为本发明实施例提供的一种联动过程模型评价流程图;
图7为本发明实施例提供的一种安全联动编排实现系统结构示意图;以及
图8为本发明实施例提供的一种电子设备示意图。
具体实施方式
下面结合附图对本发明实施例进行详细描述。
以下通过特定的具体实例说明本发明的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。本发明还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本发明的精神下进行各种修饰或改变。需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了便于理解,对名词解释如下:
安全事件:由第三方安全设备产生的网络安全事件,如恶意程序告警事件、网络攻击事件、信息安全事件等。
联动编排:对安全事件产生后联动第三方安全设备进行处置的过程进行流程编排。
处置动作:安全设备支持对处置对象进行的一系列操作,如封禁IP、封禁端口、结束进程等,对应的处置对象则分别为IP地址、端口号、进程标识等。
处置动作接口:安全设备对处置动作提供的远程调用方法。
随着网络安全形势的不断复杂化,简单的网络安全防范方法已经不足以应对现有的网络攻击。对于一个安全管理系统来说,安全事件的自动化响应与处置是十分重要的。越来越多的机构迫切地需要快速构建安全事件处置响应自动化处理流程。
然而,由于安全设备种类的不断增加,各设备厂商之间的接口定义不一致,对于新出现的安全设备类型,现有方案无法解决,会导致无法快速对接新的处置动作接口,并且现有方案对于联动过程的定义过于复杂,加大了安全运维人员的操作和理解难度。
本发明通过预定义一套联动过程模型及处置动作接口配置模型,可以有效简化安全运维人员的操作,降低维护成本与学习成本,提升安全运营效率,可靠性高,并能保证联动动作适配的成功率,灵活、快速形成自动化处理安全事件的流程。
下面通过附图及实施例进行详细说明。
图1为本发明实施例提供的一种安全联动编排实现方法框图。
配合图1所示,本发明实施例提供的一种安全联动编排实现方法,包括:安全事件定义步骤;处置动作配置步骤;执行动作定义步骤;触发规则定义步骤;模型评价步骤。
1.安全事件定义步骤:安全事件定义模块对安全事件进行定义,并配置事件是否命中的过滤查询条件。
在安全事件定义中,安全事件需要定义的内容包括:事件类型、事件输出字段、事件命中条件。
其中,事件输出字段为事件数据中该类型的事件可作为处置动作接口参数的字段,即可与处置动作参数进行关联的字段;事件命中条件为事件是否产生的判定依据,即从安全事件中过滤出该事件的查询方法。
2.处置动作配置步骤:处置动作配置模块对安全设备提供的处置动作接口进行配置,用于远程调用安全设备执行处置动作。
配合图2所示,处置动作配置模块对安全设备提供的处置动作接口进行配置包括:
(1)请求方式定义步骤:
将请求方式类型分为HTTP、SNMP、WebService三种,每个处置动作为其中一种;
其中HTTP需要定义:请求端口、接口地址、协议类型(是否加密)、请求方法(Http动词);SNMP需要定义:请求端口、协议版本、操作动作;WebService需要定义:请求端口、接口地址、协议类型(是否加密)、服务描述(WSDL)、目标方法。
(2)请求参数定义步骤:
请求参数为一个或多个;将单个请求参数分为参数信息、参数映射、数据类型三部分分别定义。
其中参数信息包括参数编码、是否必填、参数名称、参数位置(请求头、请求体、请求地址)、默认值;参数映射用于将参数与所述联动过程模型中的事件或动作中的字段进行自动关联映射;数据类型用于接口调用时的数据类型转换,使之符合接口调用要求,分为整型、浮点型、布尔型、字符型、时间戳类型。
(3)形成处置动作配置模型步骤:
配合图3所示,对于相同的安全设备,处置动作归为一类配置,形成该类型安全设备的处置动作配置模型,配置顺序为确定动作归属设备、确定动作接口请求方式、确定接口请求参数。
3.执行动作定义步骤:执行动作定义模块对执行动作进行定义,并从处置动作配置模块中提取无默认值参数作为处置对象。
执行动作需要定义的内容:动作名称、动作提供方、处置动作接口、动作处置对象(可选)。
其中动作提供方为支持联动处置动作的第三方安全设备;处置动作接口为安全设备提供的处置动作远程调用方法;动作处置对象为处置动作接口中无默认值的接口参数字段。
4.触发规则定义步骤:
配合图4所示,触发规则定义模块对联动过程触发规则进行定义,包括:从安全事件定义模块中提取事件进行事件逻辑关系组合;从执行动作定义模块中提取动作进行处置方式配置;从处置动作配置模块中提取必填动作请求参数进行合法性校验;最终形成预定义的联动过程模型。
触发规则分为规则触发条件和执行动作关联两部分。
其中规则触发条件为事件之间的逻辑组合关系,基础逻辑关系有与和或两种,可在一种及以上的事件之间进行逻辑组合,示例:
1)当事件A与事件B同时发生或事件C发生时规则触发;
2)当事件A发生时规则触发;
3)当事件A与事件B同时发生时规则触发。
执行动作关联为当规则触发时执行的处置动作,处置动作可以为多个,多个动作会按照定义顺序执行,此外动作执行方式有立即执行和周期执行,立即执行是触发后执行一次,周期执行是触发后按照定义的时间间隔执行一定次数。
配合图5所示,在触发规则定义步骤中,从处置动作配置模块中提取必填动作请求参数进行合法性校验包括:
触发规则定义时会在事件与动作关联时自动对匹配度进行合法校验检查,仅当任意处置动作接口必需的所有参数均适配时才为合法的规则,检查顺序为参数存在默认值、执行动作中存在参数名相同的处置对象、单一事件组合单元的输出字段与参数存在映射关系。
5.模型评价步骤:
配合图6所示,对联动过程模型进行评价,分为事前检查、事中监控和事后评价三部分。联动过程模型通过模型评价可以检验并提升安全联动编排的可靠性。
事前检查在上述形成联动过程模型时校验模型定义合法性;事中监控在联动过程模型执行中收集联动执行情况,输出事件命中次数、动作执行成功率、动作执行处理时间;事后评价通过评价公式得出联动过程模型的可靠性评分,该评价公式为:
可靠性评分=(各子事件命中次数*事件占比权重之和/事件总命中次数)*30+各动作执行平均成功率*50+(超时时间阈值/各动作执行处理时间平均值)*20。
公式第一部分表明各子事件在模型中命中概率,用于度量模型中事件命中可靠性,其中事件占比权重为事件逻辑组合中各子事件占比权重。第二部分表明各动作在模型中的执行成功率,用于度量动作执行可靠性。第三部分表明各动作在模型中执行效率,用于度量动作延迟可靠性,其中超时时间阈值为可调整参数。
通过可靠性评分公式可以反应联动过程模型的可靠性,帮助安全运维人员优化联动过程模型定义。
由上可知,本发明预先定义了联动过程模型,安全运维人员只需分别定义对应的事件、动作、联动触发规则即可实现安全事件处置响应自动化处理流程,此外通过事前检查、事中监控、事后评价提高了安全事件联动编排的可靠性;本发明还提出一套联动处置动作配置模型,灵活地定义动作接口,将接口规范为请求方式和请求参数的组合,扩展了接口调用类型。
图7为本发明实施例提供的一种安全联动编排实现系统400,包括:
安全事件定义模块410,用于对安全事件进行定义,并配置事件是否命中的过滤查询条件;
处置动作配置模块420,用于对安全设备提供的处置动作接口进行配置,用于远程调用安全设备执行处置动作;
执行动作定义模块430,用于对执行动作进行定义,并从处置动作配置模块中提取无默认值参数作为处置对象;
触发规则定义模块440,用于对联动过程触发规则进行定义,包括:从安全事件定义模块中提取事件进行事件逻辑关系组合;从执行动作定义模块中提取动作进行处置方式配置;从处置动作配置模块中提取必填动作请求参数进行合法性校验;最终形成预定义的联动过程模型。
模型评价模块450:用于对联动过程模型进行评价,分为事前检查、事中监控和事后评价三部分。事前检查在上述形成联动过程模型时校验模型定义合法性;事中监控在联动过程模型执行中收集联动执行情况,输出事件命中次数、动作执行成功率、动作执行处理时间;事后评价通过评价公式得出联动过程模型的可靠性评分。
由于系统与方法为一一对应关系,在此不再一一赘述。
参见图8,本发明实施例还提供了一种电子设备50,该电子设备包括:
至少一个处理器;以及,
与该至少一个处理器通信连接的存储器;其中,
该存储器存储有可被该至少一个处理器执行的指令,如上述的一种安全联动编排实现方法。
本发明实施例还提供了一种非暂态计算机可读存储介质,该非暂态计算机可读存储介质存储计算机指令,该计算机指令用于使该计算机执行如上述的一种安全联动编排实现方法。
本发明实施例还提供了一种计算机程序产品,该计算机程序产品包括存储在非暂态计算机可读存储介质上的计算程序,该计算机程序包括程序指令,当该程序指令被计算机执行时,使该计算机执行如上述的一种安全联动编排实现方法。
下面参考图8,其示出了适于用来实现本发明实施例的电子设备50的结构示意图。本发明实施例中的电子设备可以包括但不限于诸如移动电话、笔记本电脑、数字广播接收器、PDA(个人数字助理)、PAD(平板电脑)、PMP(便携式多媒体播放器)、车载终端(例如车载导航终端)等等的移动终端。图8示出的电子设备仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图8所示,电子设备50可以包括处理装置(例如中央处理器、图形处理器等)501,其可以根据存储在只读存储器(ROM)502中的程序或者从存储装置508加载到随机访问存储器(RAM)503中的程序而执行各种适当的动作和处理。在RAM 503中,还存储有电子设备50操作所需的各种程序和数据。处理装置501、ROM 502以及RAM 503通过总线504彼此相连。输入/输出(I/O)接口505也连接至总线504。
通常,以下装置可以连接至I/O接口505:包括例如触摸屏、触摸板、键盘、鼠标、图像传感器、麦克风、加速度计、陀螺仪等的输入装置506;包括例如液晶显示器(LCD)、扬声器、振动器等的输出装置507;包括例如磁带、硬盘等的存储装置508;以及通信装置509。通信装置509可以允许电子设备50与其他设备进行无线或有线通信以交换数据。虽然图中示出了具有各种装置的电子设备50,但是应理解的是,并不要求实施或具备所有示出的装置。可以替代地实施或具备更多或更少的装置。
特别地,根据本发明的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本发明的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信装置509从网络上被下载和安装,或者从存储装置508被安装,或者从ROM 502被安装。在该计算机程序被处理装置501执行时,执行本发明实施例的方法中限定的上述功能。
需要说明的是,本发明上述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中,计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:电线、光缆、RF(射频)等等,或者上述的任意合适的组合。
上述计算机可读介质可以是上述电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。
附图中的流程图和框图,图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。

Claims (10)

1.一种安全联动编排实现方法,其特征在于,包括:
安全事件定义步骤:安全事件定义模块对安全事件进行定义,并配置事件是否命中的过滤查询条件;
处置动作配置步骤:处置动作配置模块对安全设备提供的处置动作接口进行配置,用于远程调用安全设备执行处置动作;
执行动作定义步骤:执行动作定义模块对执行动作进行定义,并从处置动作配置模块中提取无默认值参数作为处置对象;
触发规则定义步骤:触发规则定义模块对联动过程触发规则进行定义,包括:从安全事件定义模块中提取事件进行事件逻辑关系组合;从执行动作定义模块中提取动作进行处置方式配置;从处置动作配置模块中提取必填动作请求参数进行合法性校验;最终形成预定义的联动过程模型。
2.根据权利要求1所述的安全联动编排实现方法,其特征在于,所述处置动作配置模块对安全设备提供的处置动作接口进行配置包括:
请求方式定义步骤:将请求方式类型分为HTTP、SNMP、WebService三种,每个处置动作为其中一种;
请求参数定义步骤:请求参数为一个或多个;将单个请求参数分为参数信息、参数映射、数据类型三部分分别定义;所述参数映射用于将参数与所述联动过程模型中的事件或动作中的字段进行自动关联映射;数据类型用于接口调用时的数据类型转换,使之符合接口调用要求;
形成处置动作配置模型步骤:
对于相同的安全设备,处置动作归为一类配置,形成该类型安全设备的处置动作配置模型,配置顺序为确定动作归属设备、确定动作接口请求方式、确定接口请求参数。
3.根据权利要求1或2所述的安全联动编排实现方法,其特征在于,所述安全事件定义中,安全事件需要定义的内容包括事件类型、事件输出字段、事件命中条件;所述事件输出字段为可与处置动作参数进行关联的字段;
所述执行动作定义中,执行动作需要定义的内容包括动作名称、动作提供方、处置动作接口及动作处置对象,所述动作处置对象为可选项。
4.根据权利要求1或2所述的安全联动编排实现方法,其特征在于,所述触发规则定义步骤中,从处置动作配置模块中提取必填动作请求参数进行合法性校验包括:触发规则定义时会在事件与动作关联时自动对匹配度进行合法校验检查,仅当任意处置动作接口必需的所有参数均适配时才为合法的规则,检查顺序为参数存在默认值、执行动作中存在参数名相同的处置对象、单一事件组合单元的输出字段与参数存在映射关系。
5.根据权利要求1或2所述的安全联动编排实现方法,其特征在于,还包括模型评价步骤:对联动过程模型进行评价,分为事前检查、事中监控和事后评价三部分;
所述事前检查在上述形成联动过程模型时校验模型定义合法性;事中监控在联动过程模型执行中收集联动执行情况,输出事件命中次数、动作执行成功率、动作执行处理时间;事后评价通过评价公式得出联动过程模型的可靠性评分。
6.根据权利要求5所述的安全联动编排实现方法,其特征在于,所述评价公式为:
可靠性评分=(各子事件命中次数*事件占比权重之和/事件总命中次数)*30+各动作执行平均成功率*50+(超时时间阈值/各动作执行处理时间平均值)*20。
7.一种安全联动编排实现系统,其特征在于,包括:
安全事件定义模块,被配置用于对安全事件进行定义,并配置事件是否命中的过滤查询条件;
处置动作配置模块,被配置用于对安全设备提供的处置动作接口进行配置,用于远程调用安全设备执行处置动作;
执行动作定义模块,被配置用于对执行动作进行定义,并从处置动作配置模块中提取无默认值参数作为处置对象;
触发规则定义模块,被配置用于对联动过程触发规则进行定义,包括:从安全事件定义模块中提取事件进行事件逻辑关系组合;从执行动作定义模块中提取动作进行处置方式配置;从处置动作配置模块中提取必填动作请求参数进行合法性校验;最终形成预定义的联动过程模型。
8.根据权利要求7所述的安全联动编排实现系统,其特征在于,所述对安全设备提供的处置动作接口进行配置包括:
请求方式定义步骤:将请求方式类型分为HTTP、SNMP、WebService三种,每个处置动作为其中一种;
请求参数定义步骤:请求参数为一个或多个;将单个请求参数分为参数信息、参数映射、数据类型三部分分别定义;所述参数映射用于将参数与所述联动过程模型中的事件或动作中的字段进行自动关联映射;数据类型用于接口调用时的数据类型转换,使之符合接口调用要求;
形成处置动作配置模型步骤:
对于相同的安全设备,处置动作归为一类配置,形成该类型安全设备的处置动作配置模型,配置顺序为确定动作归属设备、确定动作接口请求方式、确定接口请求参数;
所述系统还包括模型评价模块:被配置用于对联动过程模型进行评价,分为事前检查、事中监控和事后评价三部分;所述事前检查在上述形成联动过程模型时校验模型定义合法性;事中监控在联动过程模型执行中收集联动执行情况,输出事件命中次数、动作执行成功率、动作执行处理时间;事后评价通过评价公式得出联动过程模型的可靠性评分。
9.一种电子设备,其特征在于,该电子设备包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有能够被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行时,使所述至少一个处理器执行如权利要求1-6任一项所述的安全联动编排实现方法。
10.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令当由至少一个处理器执行时使所述至少一个处理器执行如1-6任一项所述的安全联动编排实现方法。
CN202410064438.XA 2024-01-16 2024-01-16 一种安全联动编排实现方法、系统、设备及存储介质 Pending CN117896143A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202410064438.XA CN117896143A (zh) 2024-01-16 2024-01-16 一种安全联动编排实现方法、系统、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202410064438.XA CN117896143A (zh) 2024-01-16 2024-01-16 一种安全联动编排实现方法、系统、设备及存储介质

Publications (1)

Publication Number Publication Date
CN117896143A true CN117896143A (zh) 2024-04-16

Family

ID=90639230

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202410064438.XA Pending CN117896143A (zh) 2024-01-16 2024-01-16 一种安全联动编排实现方法、系统、设备及存储介质

Country Status (1)

Country Link
CN (1) CN117896143A (zh)

Similar Documents

Publication Publication Date Title
US10735456B2 (en) Advanced cybersecurity threat mitigation using behavioral and deep analytics
US20180013771A1 (en) Advanced cybersecurity threat mitigation for inter-bank financial transactions
CN110912927B (zh) 工业控制系统中控制报文的检测方法及装置
CN109086182B (zh) 数据库自动告警的方法及终端设备
CN117156012B (zh) 异常请求数据处理方法、装置、设备和计算机可读介质
EP4086124A2 (en) Vehicle security check method, system and apparatus, device and storage medium
EP3655878A1 (en) Advanced cybersecurity threat mitigation using behavioral and deep analytics
KR102124611B1 (ko) 보안 정책 관리 방법 및 그 시스템
CN115361450B (zh) 请求信息处理方法、装置、电子设备、介质和程序产品
CN117896143A (zh) 一种安全联动编排实现方法、系统、设备及存储介质
CN110378120A (zh) 应用程序接口攻击检测方法、装置以及可读存储介质
EP4102772A1 (en) Method and apparatus of processing security information, device and storage medium
CN113839912B (zh) 主被动结合进行异常主机分析的方法、装置、介质和设备
CN114039765A (zh) 一种配电物联网的安全管控方法、装置及电子设备
CN114462030A (zh) 隐私政策的处理、取证方法、装置、设备及存储介质
CN113436415A (zh) 报警设备控制方法、装置、电子设备和计算机可读介质
CN117254970A (zh) 异常行为检测方法、装置、设备及存储介质
CN113596051B (zh) 检测方法、检测装置、电子设备、介质和计算机程序
CN115865519B (zh) 适用于网络攻防虚拟仿真的数据处理方法及系统
CN109150871A (zh) 安全检测方法、装置、电子设备及计算机可读存储介质
CN113672910B (zh) 安全事件处理方法及装置
CN111258852B (zh) 异常数据监控方法、装置、电子设备、及存储介质
CN117499265A (zh) 一种异常处理方法、装置、电子设备及计算机可读介质
CN117768200A (zh) 一种威胁风险指数分析方法、装置、电子设备及存储介质
CN116248340A (zh) 接口攻击的检测方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination