一種安全威脅協同處理方法、設備及介質與流程
2023-11-03 09:41:50
1.本發明涉及安全威脅響應處理技術領域,尤其涉及一種安全威脅協同處理方法、設備及介質。
背景技術:
2.過去十幾年,安全廠商們的不斷創新以及企業安全建設的日趨完善,企業安全威脅檢測的能力也在不斷提升。但是,安全事件觸發後,事件運營過程中響應能力不足的問題也逐漸凸顯。日常安全事件運營過程中,在安全應急流程啟動之後,除了安全主管與工程師之間的溝通,往往還需要安全工程師與運維、it等人員再做交互。並且,最終總需要有人通過人機互動的方式登錄系統或設備完成一系列操作,才能獲得想要的結果。
3.安全編排自動化應急響應是眾多解決方案中的代表,它的思想是將各類安全應急響應過程中的動作進行組合,按照劇本化的方式自動開展應急響應工作。藉助編排好的安全應急響應劇本,當安全事件發生時,系統將通過自動化的手段進行響應,降低人工依賴。這樣,安全事件響應的速度和效率能夠得到保證,安全應急響應的質量也能夠得到保障,更能夠在真正的攻防對抗實戰中為防守方爭取時間,加速威脅響應處置。一方面,安全編排自動化應急響應無法覆蓋全部場景,而需要安全人員協同處理安全編排自動化應急響應無法覆蓋的安全威脅。另一方面,在大規模的應用場景中,安全編排自動化應急響應的分析數據量大、事件多,各個子場景不加限制的統一規劃容易導致安全威脅響應處理慢的問題。
技術實現要素:
4.為了解決上述技術問題或者至少部分地解決上述技術問題,本發明提供一種安全威脅協同處理方法、設備及介質。
5.第一方面,本發明提供一種安全威脅協同處理方法,包括:
6.接收上遊態勢感知、siem或soc發出的安全威脅告警事件,對安全威脅告警事件去重歸併處理後,分析安全威脅告警事件中涉及ip的信息,根據ip拉資產相關人員或手動分配相關人員進入基於人機協同作戰室實現的針對不同事件的獨立事務組;所述事務組獲取ai智能推薦處理安全威脅的劇本或協同通過劇本圖形化編輯器來可視化的構建針對安全威脅告警事件的劇本,通過所述劇本自動化或半自動化地調用網內具備的基礎能力來處理所述安全威脅告警事件,所述基礎能力包括內網具備的安全設備、網絡安全設備。
7.更進一步地,通過事件響應中心對安全威脅告警事件進行接收、格式化、隊列化、觸發,同時基於開放的api向外提供安全威脅告警事件傳輸能力。
8.更進一步地,以kafka消息機制和websocket實時流技術為基礎,提供支持多人在線協同處理安全威脅的所述人機協同作戰室,基於所述人機協同作戰室實現針對不同事件創建獨立的所述事務組;
9.人機協同作戰室配置的工作區包括:事件調度、能力驅動、作戰溝通、人員管理工作區。
10.更進一步地,所述人機協同作戰室通過自然語言處理nlp實現語義分析、上下文處理,並結合正則匹配、關聯分析處理下達給事務組的命令以加速命令的下達。
11.更進一步地,通過基於劇本庫和動作庫的所述劇本圖形化編輯器來可視化劇本編排,其中,
12.通過事件前置引擎,劇本調度引擎,動作執行引擎定義劇本規則,將劇本規則配置於劇本庫;使用模塊化編程定義動作,將動作配置於動作庫,並按照使用用途進行劇本庫和應用庫的劃分;
13.結合安全領域應用場景設計典型劇本,並提供自定義劇本設計接口;集成gui可視化編程能力,通過拖拉拽表示劇本規則和動作的圖形來實現劇本規則組合和動作調度,從而構建劇本。
14.更進一步地,採用基於開放sdk的基礎能力接入,以支持國內外主流網絡安全產品接入。
15.更進一步地,採用faster r-cnn、nlp自然語言處理、對抗學習來提供多場景的ai能力,包括:人機協同作戰室ocr圖像快速識別,安全威脅告警事件發生後推薦處理劇本,通過劇本圖形化編輯器來可視化的構建針對安全威脅告警事件的劇本過程中提供智能動作推薦和安全威脅告警事件收集過程中智能去重場景。
16.更進一步地,配置報告生成api,用戶通過報告生成api的配置項配置需生成報告的安全事件,所述配置項支持按時段、按關鍵字來匹配安全威脅告警事件,通過按鈕觸發生成事件總結報告,所述事件總結報告生成的同時也會自動歸檔到系統知識庫。
17.第二方面,本發明提供一種安全威脅協同處理設備,包括至少一處理單元、存儲單元和總線單元,所述總線單元連接所述存儲單元和所述處理單元,所述存儲單元中存儲有電腦程式,所述處理單元執行所述電腦程式以實現所述的安全威脅協同處理方法。
18.第三方面,本發明提供一種計算機可讀存儲介質,其上存儲有電腦程式,所述電腦程式被處理器執行時實現所述的安全威脅協同處理方法的步驟。
19.本發明實施例提供的上述技術方案與現有技術相比具有如下優點:
20.本技術接收安全威脅告警事件,對安全威脅告警事件去重歸併處理後,分析安全威脅告警事件中涉及ip的信息,根據ip拉資產相關人員或手動分配相關人員進入基於人機協同作戰室實現的針對不同事件的獨立事務組;所述事務組獲取ai智能推薦處理安全威脅的劇本或協同通過劇本圖形化編輯器來可視化的構建針對安全威脅告警事件的劇本,通過所述劇本自動化或半自動化地調用網內具備的基礎能力來處理所述安全威脅告警事件。將人機協同和基於劇本的安全威脅相應處理自動化整合,能夠有效提高安全威脅響應處理效率。
21.本技術支持根據安全威脅告警涉及到的ip來創建事務組,高效組織處理安全威脅告警的人員,提高處理效率。
22.本技術通過圖形化編輯器來可視化構建處理安全威脅告警事件的劇本,在需要編輯劇本時,通過拖拽編輯的方式高效的編輯劇本。
23.本技術將人機協同基於ai提供指令識別、安全威脅告警事件發生後推薦處理劇本、文字識別、劇本構建過程中的智能動作推薦,實現高效的人機協同。
附圖說明
24.此處的附圖被併入說明書中並構成本說明書的一部分,示出了符合本發明的實施例,並與說明書一起用於解釋本發明的原理。
25.為了更清楚地說明本發明實施例或現有技術中的技術方案,下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹,顯而易見地,對於本領域普通技術人員而言,在不付出創造性勞動性的前提下,還可以根據這些附圖獲得其他的附圖。
26.圖1為本發明實施例提供的實現一種安全威脅協同處理方法的框架圖;
27.圖2為本發明實施例提供的一種安全威脅協同處理方法的流程圖;
28.圖3為基於本發明一種安全威脅協同處理方法實現的一種處理上遊設備安全威脅告警的實施例的流程圖;
29.圖4為基於本發明一種安全威脅協同處理方法實現的一種處理第三方安全設備安全威脅告警的實施例的流程圖;
30.圖5為基於本發明一種安全威脅協同處理方法實現的一種處理聯動蜜罐設備安全威脅告警的實施例的流程圖;
31.圖6為本發明實施例提供的一種安全威脅協同處理設備的示意圖。
具體實施方式
32.為使本發明實施例的目的、技術方案和優點更加清楚,下面將結合本發明實施例中的附圖,對本發明實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例是本發明的一部分實施例,而不是全部的實施例。基於本發明中的實施例,本領域普通技術人員在沒有做出創造性勞動的前提下所獲得的所有其他實施例,都屬於本發明保護的範圍。
33.需要說明的是,在本文中,術語「包括」、「包含」或者其任何其他變體意在涵蓋非排他性的包含,從而使得包括一系列要素的過程、方法、物品或者設備不僅包括那些要素,而且還包括沒有明確列出的其他要素,或者是還包括為這種過程、方法、物品或者設備所固有的要素。在沒有更多限制的情況下,由語句「包括一個
……」
限定的要素,並不排除在包括所述要素的過程、方法、物品或者設備中還存在另外的相同要素。
34.實施例1
35.本發明實施例提供一種安全威脅協同處理方法,旨在提供人機協同和劇本編排自動化應急響應兩大核心功能,幫助進行安全威脅告警的快速應急響應,改善協同過程,提高安全威脅告警處理速度。
36.參閱圖1所示,本技術遵循「三中心一引擎一平臺構成」架構設計,處於底層的三中心包括系統中心、數據中心和事件響應中心。
37.其中,數據中心負責事件存儲、操作記錄、調度日誌和審計記錄;系統中心負責身份認證、權限管理、系統監控修復、資產管理和分布式調度;數據中心負責本發明同mysql、elasticsearch、oracle等後端數據產品之間數據連接,負責知識圖譜和知識庫創建維護;事件響應中心負責監測mq、rest api連通狀況,定時器、資料庫監聽等事件創建、監測、響應。具體的,通過事件響應中心對安全威脅告警事件進行接收、隊列、格式化、觸發等等操作,同時基於開放的api向外提供安全威脅告警事件傳輸能力。
38.基於底層提供服務的智能編排引擎,所述智能編排引擎包括:智能決策引擎、執行
引擎和人機協同作戰室引擎,所述智能編排引擎重點負責安全威脅告警事件接入和前置格式化,負責針對安全威脅告警事件的劇本啟動、執行、跟蹤和調度,負責人機協同作戰室消息廣播、消息通知、進度更新,和負責包含ocr識別、智能推薦、智能去重的ai能力。
39.所述人機協同作戰室引擎以kafka消息機制和websocket實時流技術為基礎,提供支持多人在線協同處理安全威脅的所述人機協同作戰室,人機協同作戰室配置的工作區包括:事件調度、能力驅動、作戰溝通、人員管理工作區。
40.基於所述人機協同作戰室實現針對不同事件創建獨立的所述事務組,通過人員管理工作區對事務組內的安全人員進行配置、認證、權限管理;允許所述事務組內安全人員共同參與安全威脅告警事件處置。所述人機協同作戰室通過所述作戰溝通工作區開展基於文字、圖片和附件等方式的在線溝通、協同。所述人機協同作戰室通過能力驅動實現劇本
41.為提高人員溝通效率,所述人機協同作戰室通過自然語言處理nlp實現語義分析、上下文處理,並結合正則匹配、關聯分析處理下達給事務組的命令以加速命令的下達。具體的,採用faster r-cnn、nlp自然語言處理、對抗學習來提供多場景的ai能力,包括:人機協同作戰室ocr圖像快速識別,安全威脅告警事件發生後推薦處理劇本,通過劇本圖形化編輯器來可視化的構建針對安全威脅告警事件的劇本過程中提供智能動作推薦和安全威脅告警事件收集過程中智能去重場景。
42.所述智能決策引擎和執行引擎支持基於劇本庫和動作庫的所述劇本圖形化編輯器來可視化劇本編排,其中,通過事件前置引擎,劇本調度引擎,動作執行引擎定義劇本規則,將劇本規則配置於劇本庫;使用模塊化編程定義動作,將動作配置於動作庫,並按照使用用途進行劇本庫和應用庫的劃分。具體實施過程中,結合安全領域應用場景設計典型劇本,並提供自定義劇本設計接口;集成gui可視化編程能力,通過拖拉拽表示劇本規則和動作的圖形來實現劇本規則組合和動作調度,從而構建劇本。
43.基於上述三中心一引擎提供服務的開放平臺,整合安全應用功能、第三方協作工具和開發者維護接口。如在安全應用功能方面採用基於開放sdk的基礎能力接入,以支持國內外主流網絡安全產品接入。
44.參閱圖2所示,所述智能編排引擎作為執行一種安全威脅協同處理方法的主體,實現的步驟包括:
45.接收上遊態勢感知、siem或soc發出的安全威脅告警事件。上遊態勢感知、siem或soc可通過kafka、syslog、api、sftp方式將安全威脅告警事件發送到事件響應中心。利用智能編排引擎中的人機協同作戰室引擎利用ai對安全威脅告警事件去重歸併處理,實現安全威脅告警事件收集過程中智能去重場景。
46.分析安全威脅告警事件中涉及ip的信息,根據ip拉資產相關人員或手動分配相關人員進入基於人機協同作戰室實現的針對不同事件的獨立事務組。
47.所述事務組獲取ai智能推薦處理安全威脅的劇本或協同通過劇本圖形化編輯器來可視化的構建針對安全威脅告警事件的劇本。
48.通過所述劇本自動化或半自動化地調用網內具備的基礎能力來處理所述安全威脅告警事件,所述基礎能力包括內網具備的安全設備、網絡安全設備。
49.用戶通過報告生成api的配置項配置需生成報告的安全事件,所述配置項支持按時段、按關鍵字來匹配安全威脅告警事件,通過按鈕觸發生成事件總結報告,所述事件總結
報告生成的同時也會自動歸檔到系統知識庫。
50.在一種具體的實施方式中,參閱圖3所示,接收上遊設備安全威脅告警,對安全威脅告警進行去重和歸併,解析安全威脅告警中異常ip,根據攻擊方向,先收集情報信息,將相關人員拉入人機協同作戰室形成事務組,開展處置工作。若由內到外,則對安全威脅告警涉及的攻擊ip進行白名單判斷,非白名單時,國內攻擊ip一鍵處置並記錄歸檔,通過省公司防火牆封禁攻擊ip。若攻擊方向由外帶內,則分析攻擊ip歸屬或是否符合天眼高危,若為境外ip或符合天眼高危,則攻擊ip一鍵處置並記錄歸檔,若為境內ip且不符合天眼高危,則選擇是否處置,若選擇處置則國內攻擊ip一鍵處置並記錄歸檔,通過省公司防火牆封禁攻擊ip,地市聯動一鍵處置,若選擇不處置,則鍵入所述白名單。自動根據攻擊ip屬性開展相應處置,具備了同時在多個防火牆上快速封禁威脅源的能力,1組ip封禁動作由幾十分鐘或十幾分鐘左右縮短到20秒內。
51.在一種具體的實施方式中,參閱圖4所示,接收第三方安全設備的挖礦、病毒木馬等安全威脅告警,解析安全威脅告警告警中的內、外部ip相關情報信息,拉資產相關人員入作戰室,結合攻擊方向、外部ip歸屬地、劇本應用場景,對安全事件進行處置。具體的,若攻擊方向為由內到外,則進行資產所在地判斷,資產所在地為地市時,地市封禁、更新資產封禁記錄並歸檔,資產所在地非地市則進行境外ip判斷,若判斷是境外ip則自動封禁,若判斷是境內ip管理員審批封禁,且管理員審批封禁的場景不是hvv場景時,由地市處置。若攻擊方向由外到內,則進行進行境外ip判斷若判斷是境外ip則自動封禁,若判斷是境內ip管理員審批封禁,且管理員審批封禁的場景不是hvv場景時,由地市處置。通過自動化流程,發生高危事件後,自動提取事件相關信息給安全人員做信息驗證,確認信息正確,需要處置後,自動通知相關負責人,經過管理員審批後,進行封禁處置。每個事件處置時間由10分鐘左右降低到15秒左右。
52.在一種具體的實施方式中,參閱圖5所示,本發明根據聯動的蜜罐設備中捕獲的蜜罐告警,自動查詢蜜罐告警中的異常ip,拉安全人員進入人機協同作戰室形成事務組,判斷異常ip是否為內部ip,是則由事務組人工審核後,封禁異常ip,封禁後告知管理員處置結果,否則獲取異常ip相關的威脅情報,自查詢手機號、郵箱、社交id收集匯總保存數據,幫助安全人員快速獲取相黑客肖像信息。
53.實施例2
54.參閱圖6所示,本發明實施例提供一種安全威脅協同處理設備,包括:至少一處理單元、存儲單元和總線單元,所述總線單元連接所述存儲單元和所述處理單元,所述存儲單元中存儲有電腦程式,所述處理單元執行所述電腦程式以實現所述的安全威脅協同處理方法。
55.所述存儲單元可主要包括存儲程序區和存儲數據區,其中,存儲程序區可存儲作業系統、至少一個功能所需的應用程式;存儲數據區可存儲安全威脅告警事件信息等。此外,存儲單元可以包括高速隨機存取存儲器,還可以包括非易失性存儲器,例如至少一個磁碟存儲器件、快閃記憶體器件、或其他非易失性固態存儲器件。在一些實例中,存儲單元可進一步包括相對於處理單元遠程設置的存儲器,這些遠程存儲器可以通過網絡連接至電子設備。上述網絡的實例包括但不限於網際網路、企業內部網、區域網、移動通信網及其組合。
56.實施例3
57.本發明實施例提供一種計算機可讀存儲介質,其上存儲有電腦程式,所述電腦程式被處理器執行時實現所述的安全威脅協同處理方法。當然,本發明實施例所提供的一種實現安全威脅協同處理方法的存儲介質,其存儲的電腦程式不限於如上所述的方法操作,還可以執行本發明任意實施例所提供的實現安全威脅協同處理方法中的相關操作。
58.通過以上關於實施方式的描述,所屬領域的技術人員可以清楚地了解到,本發明可藉助軟體及必需的通用硬體來實現,當然也可以通過硬體實現,但很多情況下前者是更佳的實施方式。基於這樣的理解,本發明的技術方案本質上或者說對現有技術做出貢獻的部分可以以軟體產品的形式體現出來,該計算機軟體產品可以存儲在計算機可讀存儲介質中,如計算機的軟盤、只讀存儲器(read—only memory,rom)、隨機存取存儲器(random access memory,ram)、快閃記憶體(flash)、硬碟或光碟等,包括若干指令用以使得一臺電子設備(可以是手機,個人計算機,伺服器,或者網絡設備等)執行本發明各個實施例所述的方法。
59.在本發明所提供的實施例中,應該理解到,所揭露的結構和方法,可以通過其它的方式實現。例如,以上所描述的結構實施例僅僅是示意性的,例如,所述單元的劃分,僅僅為一種邏輯功能劃分,實際實現時可以有另外的劃分方式,例如多個單元或組件可以結合或者可以集成到另一個系統,或一些特徵可以忽略,或不執行。另一點,所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過一些接口,結構或單元的間接耦合或通信連接,可以是電性,機械或其它的形式。
60.所述作為分離部件說明的單元可以是或者也可以不是物理上分開的,作為單元顯示的部件可以是或者也可以不是物理單元,即可以位於一個地方,或者也可以分布到多個網絡單元上。可以根據實際的需要選擇其中的部分或者全部單元來實現本實施例方案的目的。
61.另外,在本發明各個實施例中的各功能單元可以集成在一個處理單元中,也可以是各個單元單獨物理存在,也可以兩個或兩個以上單元集成在一個單元中。上述集成的單元既可以採用硬體的形式實現,也可以採用軟體功能單元的形式實現。
62.以上所述僅是本發明的具體實施方式,使本領域技術人員能夠理解或實現本發明。對這些實施例的多種修改對本領域的技術人員來說將是顯而易見的,本文中所定義的一般原理可以在不脫離本發明的精神或範圍的情況下,在其它實施例中實現。因此,本發明將不會被限制於本文所示的這些實施例,而是要符合與本文所申請的原理和新穎特點相一致的最寬的範圍。