数据驱动的安全策略配置方法及系统技术方案

本发明专利技术涉及网络安全技术领域，公开了数据驱动的安全策略配置方法及系统，其技术方案要点是包括配置于若干安全设备上的若干安全策略，安全策略包括风险分数区间阈值和风险分计算算法，风险分计算算法输出结果用于与风险分数区间阈值比较；本发明专利技术相较于现有技术，同时支持多个不同安全设备的安全策略，从而实现跨平台跨多设备的安全策略检测，从而实现对安全策略统一管控，并且每个安全策略均配置有若干个安全规则，并且每个安全规则适应多个匹配策略来满足可能存在或隐蔽性较高的风险，并且满足多个安全设备之间连动检测

【技术实现步骤摘要】
数据驱动的安全策略配置方法及系统


[0001]本专利技术涉及网络安全
，更具体的说是涉及数据驱动的安全策略配置方法及系统
。

技术介绍

[0002]目前，安全厂商通过在装置中集成一条条规则形成一套安全策略，从而对安全日志报文中的属性信息进行规则匹配从而采取对应的防控动作，如
CN114172718A、CN115277088A
等专利
。
其在规则匹配上主要是通过正则表达式和关键字来实现，简单粗暴，容易造成误报和漏报，各安全日志报文在安全策略规则上的匹配处置结果都是数据孤岛，没有打通，在全局层面进行防控，而安全攻击往往都是一环套一环的，受限于装置本身的资源限制和厂商各自的优势，往往每类装置上只配置适合于当前装置的安全策略，如防火墙策略
、IPS
策略
、VPN
策略等，无法做到安全策略的统一管控
。

技术实现思路

[0003]针对现有技术存在的不足，本专利技术的目的在于提供数据驱动的安全策略配置方法及系统，用于克服现有技术中的上述缺陷
。
[0004]为实现上述目的，本专利技术提供了如下技术方案：数据驱动的安全策略配置方法，包括：
[0005]配置于若干安全设备上的若干安全策略，所述安全策略包括风险分数区间阈值和风险分计算算法，所述风险分计算算法输出结果用于与所述风险分数区间阈值比较；
[0006]每个所述安全策略均包括若干个安全规则，所述安全规则包括风险分和匹配逻辑，若安全日志报文符合匹配逻辑则生成风险分，所述风险分计算算法计算所述风险分，并生成计算结果
。
[0007]作为本专利技术的进一步改进，接收安全日志报文，主动或被动收集安全设备上的安全日志报文；
[0008]报文字段标准化，提取日志报文内容，将日志报文内容标准化，以生成标准日志报文；
[0009]实时计算，统计预设时间区间内的一个字段或多个字段的标准日志报文，并进行报文数据聚合，并以生成聚合日志报文
。
[0010]作为本专利技术的进一步改进，获取所述聚合日志报文，根据所述聚合日志报文选取对应的所述安全策略；
[0011]执行所述安全策略中所有安全规则并记录命中结果并统计风险分值；
[0012]根据统计的风险分值带入所述风险分计算算法，将输出结果与所述风险分数区间阈值比较，若输出结果处于所述风险分数区间阈值内，则生成第一处理结果，若输出结果不处于所述风险分数区间阈值内，则生成第二处理结果
。
[0013]作为本专利技术的进一步改进，获取第一处理结果，将安全规则并记录命中结果生成
规则命中信息并记录
。
[0014]作为本专利技术的进一步改进，获取第二处理结果，将安全规则并记录命中结果生成规则命中信息并记录，并生成告警信息
。
[0015]作为本专利技术的进一步改进，获取模块
、
配置模块
、
推送模块以及执行模块；
[0016]所述获取模块，用于接收安全日志报文并对安全日志报文进行标准化处理；
[0017]所述配置模块，用于对安全策略和安全规则进行配置；
[0018]所述推送模块，用于将配置的安全策略和安全规则推送给所述执行模块；
[0019]所述执行模块，用于对安全日志报文处理，并执行推送的安全策略和安全规则，生成第一处理结果或第二处理结果
。
[0020]作为本专利技术的进一步改进，所述执行模块还包括实时计算子模块
、
策略执行子模块
、
规则输出子模块和告警计算子模块；
[0021]所述实时计算子模块，配置有配置有预设时间区间，统计并聚合预设时间区间内的一个字段或多个字段的标准日志报文，以生成聚合日志报文；
[0022]所述策略执行子模块，获取所述聚合日志报文选取对应的所述安全策略，执行所述安全策略中所述安全规则并记录命中结果并统计风险分值，通过所述风险分值带入所述风险分计算算法，生成所述第一处理结果或所述第二处理结果；
[0023]所述规则输出子模块，用于记录并输出命中的安全规则对应的命中信息；
[0024]所述告警计算子模块，用于生成告警信息并向用户发送所述警告信息
。
[0025]作为本专利技术的进一步改进，还包括情报库，所述情报库用于接收并存储所述命中信息
。
[0026]本专利技术的有益效果：本专利技术相较于现有技术，同时支持多个不同安全设备的安全策略，从而实现跨平台跨多设备的安全策略检测，从而实现对安全策略统一管控，并且每个安全策略均配置有若干个安全规则，并且每个安全规则适应多个匹配策略来满足可能存在或隐蔽性较高的风险，并且满足多个安全设备之间连动检测
。
附图说明
[0027]图1是本专利技术的方法示意图；
[0028]图2是本专利技术的系统示意图
[0029]图3是本专利技术的运行结果示意图
。
具体实施方式
[0030]下面结合附图和实施例，对本专利技术进一步详细说明
。
其中相同的零部件用相同的附图标记表示
。
需要说明的是，下面描述中使用的词语“前”、“后”、“左”、“右”、“上”和“下”指的是附图中的方向，词语“底面”和“顶面”、“内”和“外”分别指的是朝向或远离特定部件几何中心的方向
。
[0031]参照图1所示，本实施例的数据驱动的安全策略配置方法及系统，包括数据驱动的安全策略配置方法，包括：
[0032]配置于若干安全设备上的若干安全策略，安全策略包括但不限于防火墙策略
、IPS
策略
、VPN
策略等，所述安全策略包括风险分数区间阈值和风险分计算算法，所述风险分计
算算法输出结果用于与所述风险分数区间阈值比较；
[0033]每个所述安全策略均包括若干个安全规则，所述安全规则包括风险分和匹配逻辑，若安全日志报文符合匹配逻辑则生成风险分，所述风险分计算算法计算所述风险分，并生成计算结果，本专利技术相较于现有技术，同时支持多个不同安全设备的安全策略，从而实现跨平台跨多设备的安全策略检测，从而实现对安全策略统一管控，并且每个安全策略均配置有若干个安全规则，并且每个安全规则适应多个匹配策略来满足可能存在或隐蔽性较高的风险，并且满足多个安全设备之间连动检测
。
[0034]具体的，安全策略和安全规则的配置根据安全领域
(
网络攻防
、
数据安全
、
人员内控等
)
和风险类型
(
代码执行
、
信息探测
、
后门木马等
)
来确定，从而方便进行管理和维护
。
[0035]在一个实施例中，所述风险分数区间阈值可根据需求自行更改，从而保障本专利技术使用场景的适用性
。
[003本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
数据驱动的安全策略配置方法，其特征在于，包括：配置于若干安全设备上的若干安全策略，所述安全策略包括风险分数区间阈值和风险分计算算法，所述风险分计算算法输出结果用于与所述风险分数区间阈值比较；每个所述安全策略均包括若干个安全规则，所述安全规则包括风险分和匹配逻辑，若安全日志报文符合匹配逻辑则生成风险分，所述风险分计算算法计算所述风险分，并生成计算结果
。2.
根据权利要求1所述的数据驱动的安全策略配置方法，其特征在于：接收安全日志报文，主动或被动收集安全设备上的安全日志报文；报文字段标准化，提取日志报文内容，将日志报文内容标准化，以生成标准日志报文；实时计算，统计预设时间区间内的一个字段或多个字段的标准日志报文，并进行报文数据聚合，并以生成聚合日志报文
。3.
根据权利要求2所述的数据驱动的安全策略配置方法，其特征在于：获取所述聚合日志报文，根据所述聚合日志报文选取对应的所述安全策略；执行所述安全策略中所有安全规则并记录命中结果并统计风险分值；根据统计的风险分值带入所述风险分计算算法，将输出结果与所述风险分数区间阈值比较，若输出结果处于所述风险分数区间阈值内，则生成第一处理结果，若输出结果不处于所述风险分数区间阈值内，则生成第二处理结果
。4.
根据权利要求3所述的数据驱动的安全策略配置方法，其特征在于：获取第一处理结果，将安全规则并记录命中结果生成规则命中信息并记录
。5.
根据权利要求3所述的数据驱动的安全策略配置方法，其特征在于：获取第二处理结果...

【专利技术属性】
技术研发人员：李平，陈昌龙，吴加栋，
申请(专利权)人：杭州瞬安信息科技有限公司，
类型：发明
国别省市：