本公开提供一种安全管理方法、装置、设备及机器可读存储介质,该方法包括:生成安全日志子规则、目标设备子规则、脆弱性子规则;选择关联的安全日志子规则、目标设备子规则、脆弱性子规则,生成对应的安全规则,所述安全规则包括关联的子规则间的运算关系;根据运行子规则的判定结果、所述安全规则包括的关联的子规则间的运算关系,获取安全规则的判定结果,根据安全规则的判定结果输出安全状态。通过本公开的技术方案,根据安全日志、目标设备的信息和脆弱性建立子规则,当进行安全分析时,首先运行子规则,并记录子规则的运行结果,安全规则根据关联的子规则的运行结果和预设运算关系,得到安全状态。
【技术实现步骤摘要】
一种安全管理方法、装置、设备及机器可读存储介质
本公开涉及通信
,尤其是涉及一种安全管理方法、装置、设备及机器可读存储介质。
技术介绍
在云场景环境中,部署防火墙、入侵检测等安全设备,以防护目标设备安全,如何评估目标设备安全状态变得日益迫切。一种方案中仅对安全日志进行审计,利用关联规则挖掘出有效的安全事件,去评估目标设备安全状态。通过安全设备日志维度挖掘安全事件,缺少目标设备以及目标设备脆弱性维度的子规则事件。在关联分析过程中每个规则的子规则都需要从全量数据中找到与之匹配的日志数据,会重复计算多次,从而影响分析效率。
技术实现思路
有鉴于此,本公开提供一种安全管理方法、装置及电子设备、机器可读存储介质,以改善上述安全分析重复计算较多、缺少与目标设备脆弱性关联之一的技术问题。具体地技术方案如下:本公开提供了一种安全管理方法,应用于安全设备,所述方法包括:根据安全日志生成安全日志子规则,根据预设目标设备信息生成目标设备子规则,根据目标设备的安全脆弱性生成脆弱性子规则;根据网络场景,选择关联的安全日志子规则和/或目标设备子规则和/或脆弱性子规则,生成对应的安全规则,所述安全规则包括关联的子规则间的运算关系;根据当前状态,运行子规则,根据运行子规则的判定结果、所述安全规则包括的关联的子规则间的运算关系,获取安全规则的判定结果,根据安全规则的判定结果输出安全状态。作为一种技术方案,所述预设目标设备信息包括,目标设备价值、目标设备关注度、目标设备安全防护级别。作为一种技术方案,所述目标设备的安全脆弱性包括,目标设备所属的安全漏洞、密码强度、配置风险。作为一种技术方案,所述获取安全规则的判定结果,根据安全规则的判定结果输出安全状态,包括:若判定符合安全规则,则输出安全事件,记录安全日志;若判定不符合安全规则,则记录安全日志。本公开同时提供了一种安全管理装置,应用于安全设备,所述装置包括:子规则模块,用于根据安全日志生成安全日志子规则,根据预设目标设备信息生成目标设备子规则,根据目标设备的安全脆弱性生成脆弱性子规则;规则模块,用于根据网络场景,选择关联的安全日志子规则和/或目标设备子规则和/或脆弱性子规则,生成对应的安全规则,所述安全规则包括关联的子规则间的运算关系;运行模块,用于根据当前状态,运行子规则,根据运行子规则的判定结果、所述安全规则包括的关联的子规则间的运算关系,获取安全规则的判定结果,根据安全规则的判定结果输出安全状态。作为一种技术方案,所述预设目标设备信息包括,目标设备价值、目标设备关注度、目标设备安全防护级别。作为一种技术方案,所述目标设备的安全脆弱性包括,目标设备所属的安全漏洞、密码强度、配置风险。作为一种技术方案,所述获取安全规则的判定结果,根据安全规则的判定结果输出安全状态,包括:若判定符合安全规则,则输出安全事件,记录安全日志;若判定不符合安全规则,则记录安全日志。本公开同时提供了一种电子设备,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,处理器执行所述机器可执行指令以实现前述的安全管理方法。本公开同时提供了一种机器可读存储介质,所述机器可读存储介质存储有机器可执行指令,所述机器可执行指令在被处理器调用和执行时,所述机器可执行指令促使所述处理器实现前述的安全管理方法。本公开提供的上述技术方案至少带来了以下有益效果:根据安全日志、目标设备的信息和脆弱性建立子规则,当进行安全分析时,首先运行子规则,并记录子规则的运行结果,安全规则根据关联的子规则的运行结果和预设运算关系,得到安全状态,避免子规则在不同安全规则下重复运行计算,且建立与目标设备安全脆弱性的关联。附图说明为了更加清楚地说明本公开实施方式或者现有技术中的技术方案,下面将对本公开实施方式或者现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开中记载的一些实施方式,对于本领域普通技术人员来讲,还可以根据本公开实施方式的这些附图获得其他的附图。图1是本公开一种实施方式中的安全管理方法的流程图;图2是本公开一种实施方式中的安全管理装置的结构图;图3是本公开一种实施方式中的电子设备的硬件结构图。具体实施方式在本公开实施方式使用的术语仅仅是出于描述特定实施方式的目的,而非限制本公开。本公开和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其它含义。还应当理解,本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解,尽管在本公开实施方式可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本公开范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,此外,所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。在一种技术方案中,收集多种安全设备日志,通过配置关联规则挖掘出安全事件。首先配置安全规则,安全规则定义依据应用场景,安全规则可以绑定多个子规则,从而挖掘出有价值的安全日志集合,如恶意主机外联、漏洞利用攻击、感染恶意文件等。然后配置子规则,子规则定义依据每种安全设备日志细分出具体攻击场景,将每种类型定义为一种子事件,如恶意域名事件、恶意文件事件、扫描侦查事件等。安全规则可以配置多个子规则,子规则之间可以有多种运算关系,如全部匹配、任一匹配、顺序匹配等,具体地,规则中子规则之间使用全部匹配时,需要满足每条子规则的条件,才会输出该规则的安全事件;使用任意匹配时,需要满足任一个子规则,就会输出该规则的安全事件;使用顺序匹配时,需要顺序满足子规则,才会输出该规则的安全事件。通过上述方法进行关联规则配置后,启动任务获取规则集合,对收到安全设备日志数据流进行分析,对数据流中数据每条规则根据配置的子规则都需要做判断,符合规则的条件后,输出安全事件。其中,根据各种安全设备上报的日志进行划分归类,抽象成不同类型的安全日志子规则;根据场景配置规则,规则下挂不同的安全日志子规则。具体执行时,获取规则列表,任务建立起规则树,存储规则包含子规则的关系图;获取安全设备上报的日志数据,每个规则根据规则所包含的子规则列表对日志数据流中全部数据进行分析,如果符合规则,输出安全事件,否则,不输出。通过安全设备日志维度挖掘安全事件,缺少目标设备以及目标设备脆弱性维度的子规则事件。关联规则配置完后,规则的子规则只隶属于该规则,在关联分析过程中每个规则的子规则都需要从全量数据中找到与之匹配的日志数据,当规则中子规则被其他规则重复使用时,会重复计算多次,从而影响分析效率。有鉴于此,本公开提供一种安全管理方法、装置及电子设备、机器可读存储介质,以改善上述技术问本文档来自技高网...
【技术保护点】
1.一种安全管理方法,其特征在于,应用于安全设备,所述方法包括:/n根据安全日志生成安全日志子规则,根据预设目标设备信息生成目标设备子规则,根据目标设备的安全脆弱性生成脆弱性子规则;/n根据网络场景,选择关联的安全日志子规则和/或目标设备子规则和/或脆弱性子规则,生成对应的安全规则,所述安全规则包括关联的子规则间的运算关系;/n根据当前状态,运行子规则,根据运行子规则的判定结果、所述安全规则包括的关联的子规则间的运算关系,获取安全规则的判定结果,根据安全规则的判定结果输出安全状态。/n
【技术特征摘要】
1.一种安全管理方法,其特征在于,应用于安全设备,所述方法包括:
根据安全日志生成安全日志子规则,根据预设目标设备信息生成目标设备子规则,根据目标设备的安全脆弱性生成脆弱性子规则;
根据网络场景,选择关联的安全日志子规则和/或目标设备子规则和/或脆弱性子规则,生成对应的安全规则,所述安全规则包括关联的子规则间的运算关系;
根据当前状态,运行子规则,根据运行子规则的判定结果、所述安全规则包括的关联的子规则间的运算关系,获取安全规则的判定结果,根据安全规则的判定结果输出安全状态。
2.根据权利要求1所述的方法,其特征在于,
所述预设目标设备信息包括,目标设备价值、目标设备关注度、目标设备安全防护级别。
3.根据权利要求1所述的方法,其特征在于,
所述目标设备的安全脆弱性包括,目标设备所属的安全漏洞、密码强度、配置风险。
4.根据权利要求1所述的方法,其特征在于,所述获取安全规则的判定结果,根据安全规则的判定结果输出安全状态,包括:
若判定符合安全规则,则输出安全事件,记录安全日志;
若判定不符合安全规则,则记录安全日志。
5.一种安全管理装置,其特征在于,应用于安全设备,所述装置包括:
子规则模块,用于根据安全日志生成安全日志子规则,根据预设目标设备信息生成目标设备子规则,根据目标设备的安全脆弱性生成脆弱性子规则;
规则模块,用于根...
【专利技术属性】
技术研发人员:邸维巍,
申请(专利权)人:新华三信息安全技术有限公司,
类型:发明
国别省市:安徽;34
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。