一种确定调用的网络防护设备的方法及装置制造方法及图纸

本公开涉及网络安全领域，尤其涉及一种确定调用的网络防护设备的方法及装置，解决防护响应动作与执行防护响应动作的设备具有强关联性，制定的防护响应动作策略无法通用的问题，方法为：筛选待防护目标关联的网络防护设备，生成候选网络防护设备集合以及显式管控网段集合，确定所述待防护目标未包含在所述显式管控网段集合对应的网段范围内时，基于各个网络防护设备各自关联的隐式管控网段，生成可管控网段集合，确定所述可管控集合包含待防护目标时，筛选确定被调用执行所述防护响应动作的目标网络防护设备。这样，解耦防护响应动作以及目标网络防护设备之间的绑定关系，实现针对同种网络威胁类型确定的防护响应动作对于不同待防护目标的通用。

【技术实现步骤摘要】
一种确定调用的网络防护设备的方法及装置
本公开涉及网络安全领域，尤其涉及一种确定调用的网络防护设备的方法及装置。
技术介绍
安全编排和自动化响应(SecurityOrchestration,AutomationandResponse，SOAR)的提出，为安全运营提供了新的思路，且SOAR支持对现有的网络安全流程进行灵活编排，接入多种数据源。通过编写剧本完成场景构建，并通过调用网络防护设备实现对网络威胁的处理，所述剧本具体为一系列的动作指示，包含了安全运营所需要的完整的研判处置流程。如何将剧本编排的流程中的动作与执行所述动作的具体网络防护设备进行绑定，成为了安全运营中亟待解决的技术问题。现有技术下提出的解决方式为，在创建剧本时，同时要求用户将动作对应的网络防护设备进行绑定，对于一个用户来说，剧本中的动作与执行动作的一个用户的网络防护设备之间具有强关联性，且不同用户间基于同种网络威胁执行的剧本无法通用。这样，由于运营人员在编写剧本时，用于不同用户的网络防护设备各不相同，无法实现针对性的将剧本中涉及到的动作与不同用户的网络防护本文档来自技高网...

【技术保护点】
1.一种确定调用的网络防护设备的方法，其特征在于，应用于安全编排和自动化响应SOAR架构下的剧本运行场景，所述方法包括：/n接收包含有待防护目标和网络威胁类型的防护请求，确定剧本指示的防护响应动作，并在所述待防护目标关联的网络防护设备中筛选出支持执行所述防护响应动作的部分网络防护设备，生成候选网络防护设备集合；/n获取预先配置的所述候选网络防护设备集合中各个网络防护设备各自关联的显式管控网段，生成包含各个显示管控网段的显式管控网段集合；/n确定所述待防护目标未包含在所述显式管控网段集合对应的网段范围内时，获取所述各个网络防护设备各自关联的隐式管控网段，生成可管控网段集合，所述可管控网段集合中包...

【技术特征摘要】
1.一种确定调用的网络防护设备的方法，其特征在于，应用于安全编排和自动化响应SOAR架构下的剧本运行场景，所述方法包括：
接收包含有待防护目标和网络威胁类型的防护请求，确定剧本指示的防护响应动作，并在所述待防护目标关联的网络防护设备中筛选出支持执行所述防护响应动作的部分网络防护设备，生成候选网络防护设备集合；
获取预先配置的所述候选网络防护设备集合中各个网络防护设备各自关联的显式管控网段，生成包含各个显示管控网段的显式管控网段集合；
确定所述待防护目标未包含在所述显式管控网段集合对应的网段范围内时，获取所述各个网络防护设备各自关联的隐式管控网段，生成可管控网段集合，所述可管控网段集合中包括所述各个显示管控网段以及各个隐式管控网段，所述隐式管控网段中包括网络防护设备的运行日志中记录的，执行防护响应动作处理的，除关联的显式管控网段之外的其他网段；
确定所述防护目标包含在所述可管控网段集合对应的网段范围内时，将筛选出的包含所述待防护目标的可管控网段，对应的网络防护设备确定为被调用执行所述防护响应动作的目标网络防护设备。


2.如权利要求1所述的方法，其特征在于，所述在所述待防护目标关联的网络防护设备中筛选出支持执行所述防护响应动作的部分网络防护设备，生成候选网络防护设备集合，包括：
确定所述防护响应动作关联的网络防护设备的设备类型和网络防护设备的部署方式，在所述待防护目标关联的网络防护设备中筛选出与所述网络防护设备的设备类型匹配的网络防护设备，得到包含设备类型相同的网络防护设备的初始网络防护设备集合；
筛选出所述初始网络防护设备集合中，与所述网络防护设备的部署方式相同的网络防护设备，生成包含部署方式相同的网络防护设备的中间网络防护设备集合；
获取预先配置的所述中间网络防护设备集合中各个网络防护设备各自关联的显式管控网段，筛选出与所述待防护目标存在交集的显式管控网段，生成包含筛选出的显式管控网段对应的网络防护设备的候选网络防护设备集合。


3.如权利要求1所述的方法，其特征在于，接收到对于关联有防护目标的待注册网络防护设备的注册请求时，进一步包括：
确定未安装与所述待注册网络防护设备的交互接口时，获取并安装所述待注册网络防护设备的设备插件，所述设备插件封装有所述网络防护设备的设备类型和支持的响应动作；
获取针对所述待注册网络防护设备配置的显式管控信息，并基于所述显式管控信息以及所述待注册网络防护设备的属性信息，完成所述待注册网络防护设备的注册，所述属性信息包括所述待注册网络防护设备的地址信息以及部署方式。


4.如权利要求1-3任一项所述的方法，其特征在于，所述获取所述各个网络防护设备各自关联的隐式管控网段，包括：
针对各个网络防护设备，分别执行以下操作：
获取一个网络防护设备的运行日志，确定所述运行日志中记录的执行防护响应动作的操作记录，确定所述操作记录覆盖的处理网段；
确定所述一个网络防护设备关联的显式管控网段，将所述处理网段中除去所述显式管控网段的其他网段确定为隐式管控网段。


...

【专利技术属性】
技术研发人员：郭兰杰，赵粤征，
申请(专利权)人：绿盟科技集团股份有限公司，北京神州绿盟科技有限公司，
类型：发明
国别省市：北京;11