【技术实现步骤摘要】
本专利技术涉及网络安全,特别是涉及一种安全联动编排实现方法、系统、设备及存储介质。
技术介绍
1、随着网络安全攻防对抗的日趋激烈,简单的网络安全防范和阻止策略已经不足以应对现有的网络攻击,企业和组织必须更加注重在网络安全检测与响应方面的防范工作,即在网络已经遭受攻击的假定前提下构建集阻止、检测、响应和预防于一体的全新安全防护体系。安全编排自动化就应运而生,它是信息安全领域近几年提出的新概念,是一系列技术的合集,以安全编排和自动化为核心,将人、流程、技术和工具进行整合,辅助安全运营人员日常工作,提升安全运营效率。
2、对于安全事件联动编排,目前的方案有:基于bpmn的联动过程工作流模型及采用基于webservice的联动接口调用方法。其中,基于bpmn的联动过程工作流模型方案的缺点是:概念定义复杂,图元之间的逻辑关系没有统一的规范,bpmn描述语言过于专业化。而基于webservice的联动接口调用方案的缺点是:webservice调用方法需要预先获得服务端提供的服务描述文件及生成对应的调用客户端代理,对于不同设备类型适配不够灵活。
技术实现思路
1、有鉴于此,本专利技术提供一种安全联动编排实现方法及系统,使其可以有效降低安全运维人员的维护成本与学习成本,提升安全运营效率,可靠性高,并能保证联动动作适配的成功率,灵活、快速形成自动化处理安全事件的流程。
2、第一方面,本专利技术实施例提供了一种安全联动编排实现方法,包括:
3、安全事件定义步骤:安全
4、处置动作配置步骤:处置动作配置模块对安全设备提供的处置动作接口进行配置,用于远程调用安全设备执行处置动作;
5、执行动作定义步骤:执行动作定义模块对执行动作进行定义,并从处置动作配置模块中提取无默认值参数作为处置对象;
6、触发规则定义步骤:触发规则定义模块对联动过程触发规则进行定义,包括:从安全事件定义模块中提取事件进行事件逻辑关系组合;从执行动作定义模块中提取动作进行处置方式配置;从处置动作配置模块中提取必填动作请求参数进行合法性校验;最终形成预定义的联动过程模型。
7、根据本专利技术实施例的一种具体实现方式,所述处置动作配置模块对安全设备提供的处置动作接口进行配置包括:
8、请求方式定义步骤:将请求方式类型分为http、snmp、webservi ce三种,每个处置动作为其中一种;
9、请求参数定义步骤:请求参数为一个或多个;将单个请求参数分为参数信息、参数映射、数据类型三部分分别定义;所述参数映射用于将参数与所述联动过程模型中的事件或动作中的字段进行自动关联映射;数据类型用于接口调用时的数据类型转换,使之符合接口调用要求;
10、形成处置动作配置模型步骤:
11、对于相同的安全设备,处置动作归为一类配置,形成该类型安全设备的处置动作配置模型,配置顺序为确定动作归属设备、确定动作接口请求方式、确定接口请求参数。
12、根据本专利技术实施例的一种具体实现方式,所述安全事件定义中,安全事件需要定义的内容包括事件类型、事件输出字段、事件命中条件;所述事件输出字段为可与处置动作参数进行关联的字段;
13、所述执行动作定义中,执行动作需要定义的内容包括动作名称、动作提供方、处置动作接口及动作处置对象,所述动作处置对象为可选项。
14、根据本专利技术实施例的一种具体实现方式,所述触发规则定义步骤中,从处置动作配置模块中提取必填动作请求参数进行合法性校验包括:触发规则定义时会在事件与动作关联时自动对匹配度进行合法校验检查,仅当任意处置动作接口必需的所有参数均适配时才为合法的规则,检查顺序为参数存在默认值、执行动作中存在参数名相同的处置对象、单一事件组合单元的输出字段与参数存在映射关系。
15、根据本专利技术实施例的一种具体实现方式,还包括模型评价步骤:对联动过程模型进行评价,分为事前检查、事中监控和事后评价三部分;
16、所述事前检查在上述形成联动过程模型时校验模型定义合法性;事中监控在联动过程模型执行中收集联动执行情况,输出事件命中次数、动作执行成功率、动作执行处理时间;事后评价通过评价公式得出联动过程模型的可靠性评分。
17、根据本专利技术实施例的一种具体实现方式,所述评价公式为:
18、可靠性评分=(各子事件命中次数*事件占比权重之和/事件总命中次数)*30+各动作执行平均成功率*50+(超时时间阈值/各动作执行处理时间平均值)*20。
19、第二方面,本专利技术实施例还提供了一种安全联动编排实现系统,包括:
20、安全事件定义模块,被配置用于对安全事件进行定义,并配置事件是否命中的过滤查询条件;
21、处置动作配置模块,被配置用于对安全设备提供的处置动作接口进行配置,用于远程调用安全设备执行处置动作;
22、执行动作定义模块,被配置用于对执行动作进行定义,并从处置动作配置模块中提取无默认值参数作为处置对象;
23、触发规则定义模块,被配置用于对联动过程触发规则进行定义,包括:从安全事件定义模块中提取事件进行事件逻辑关系组合;从执行动作定义模块中提取动作进行处置方式配置;从处置动作配置模块中提取必填动作请求参数进行合法性校验;最终形成预定义的联动过程模型。
24、根据本专利技术实施例的一种具体实现方式,所述对安全设备提供的处置动作接口进行配置包括:
25、请求方式定义步骤:将请求方式类型分为http、snmp、webservi ce三种,每个处置动作为其中一种;
26、请求参数定义步骤:请求参数为一个或多个;将单个请求参数分为参数信息、参数映射、数据类型三部分分别定义;所述参数映射用于将参数与所述联动过程模型中的事件或动作中的字段进行自动关联映射;数据类型用于接口调用时的数据类型转换,使之符合接口调用要求;
27、形成处置动作配置模型步骤:
28、对于相同的安全设备,处置动作归为一类配置,形成该类型安全设备的处置动作配置模型,配置顺序为确定动作归属设备、确定动作接口请求方式、确定接口请求参数;
29、所述系统还包括模型评价模块:被配置用于对联动过程模型进行评价,分为事前检查、事中监控和事后评价三部分;所述事前检查在上述形成联动过程模型时校验模型定义合法性;事中监控在联动过程模型执行中收集联动执行情况,输出事件命中次数、动作执行成功率、动作执行处理时间;事后评价通过评价公式得出联动过程模型的可靠性评分。
30、第三方面,本专利技术实施例还提供了一种电子设备,该电子设备包括:
31、至少一个处理器;以及,
32、与所述至少一个处理器通信连接的存储器;其中,
33、所述存储器存储有能够被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行时,使所述至本文档来自技高网...
【技术保护点】
1.一种安全联动编排实现方法,其特征在于,包括:
2.根据权利要求1所述的安全联动编排实现方法,其特征在于,所述处置动作配置模块对安全设备提供的处置动作接口进行配置包括:
3.根据权利要求1或2所述的安全联动编排实现方法,其特征在于,所述安全事件定义中,安全事件需要定义的内容包括事件类型、事件输出字段、事件命中条件;所述事件输出字段为可与处置动作参数进行关联的字段;
4.根据权利要求1或2所述的安全联动编排实现方法,其特征在于,所述触发规则定义步骤中,从处置动作配置模块中提取必填动作请求参数进行合法性校验包括:触发规则定义时会在事件与动作关联时自动对匹配度进行合法校验检查,仅当任意处置动作接口必需的所有参数均适配时才为合法的规则,检查顺序为参数存在默认值、执行动作中存在参数名相同的处置对象、单一事件组合单元的输出字段与参数存在映射关系。
5.根据权利要求1或2所述的安全联动编排实现方法,其特征在于,还包括模型评价步骤:对联动过程模型进行评价,分为事前检查、事中监控和事后评价三部分;
6.根据权利要求5所述的安全联动编排实
7.一种安全联动编排实现系统,其特征在于,包括:
8.根据权利要求7所述的安全联动编排实现系统,其特征在于,所述对安全设备提供的处置动作接口进行配置包括:
9.一种电子设备,其特征在于,该电子设备包括:
10.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令当由至少一个处理器执行时使所述至少一个处理器执行如1-6任一项所述的安全联动编排实现方法。
...【技术特征摘要】
1.一种安全联动编排实现方法,其特征在于,包括:
2.根据权利要求1所述的安全联动编排实现方法,其特征在于,所述处置动作配置模块对安全设备提供的处置动作接口进行配置包括:
3.根据权利要求1或2所述的安全联动编排实现方法,其特征在于,所述安全事件定义中,安全事件需要定义的内容包括事件类型、事件输出字段、事件命中条件;所述事件输出字段为可与处置动作参数进行关联的字段;
4.根据权利要求1或2所述的安全联动编排实现方法,其特征在于,所述触发规则定义步骤中,从处置动作配置模块中提取必填动作请求参数进行合法性校验包括:触发规则定义时会在事件与动作关联时自动对匹配度进行合法校验检查,仅当任意处置动作接口必需的所有参数均适配时才为合法的规则,检查顺序为参数存在默认值、执行动作中存在参数名相同的处置对象、单一...
【专利技术属性】
技术研发人员:郭昌盛,王荆,李华生,王磊,徐若愚,姜昱西,
申请(专利权)人:北京江民新科技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。