一种可编剧的网络攻击处置系统及方法与流程

本发明属于网络安全领域，具体涉及一种可编剧的网络攻击处置系统及方法。

背景技术：

1、随着国内外网络安全形势日益严峻，国内网络安全从业人员面临的形势也越来越严峻，无论是在重保期间还是在日常安全运营当中，网络安全人员一直处于“救火队”状态，疲于安全事件的处置，如何提升安全事件处置效率，成为重点关注的话题。

2、随着安全建设进程的不断深化，安全保障工作的重心正逐步从建设期向运营期转移，设计好的安全体系和解决方案，购买优秀的产品只是开始，更重要第是如何将这个安全体系运行起来。

3、在安全体系运行过程中，存在如下问题亟待解决：

4、安全日志的海量告警；安全团队在安全运营中投入了大量的人力物力，但威胁告警仍然处在日益增加的趋势，难以应对海量告警的现状仍然无法有效解决。

5、网络攻击自动化；网络攻击已然发展到自动化、高级化，因此企业面临的威胁也越来越复杂，数量越来越大，在解决前一次攻击之前，很可能会遭受新的攻击，并且威胁的驻留时间(检测和修复攻击所需的时间)仍在增加。

6、企业业务复杂化；企业自身的网络环境、业务也在日益复杂，导致安全跟不上网络和业务的建设，只能通过堆砌安全产品式的解决方案来不断扩充，而众多产品之间的联动没有打通，纵深防御也只成各自独立的孤岛，安全运维负荷越来越大。

技术实现思路

1、本发明的目的在于克服海量安全日志告警无法及时处理，安全运维负荷大的缺陷。

2、为了实现上述目的，本发明提出了一种可编剧的网络攻击处置系统，用于根据配置规则对告警信息进行分析，执行编排好的剧本，实现安全事件的及时处理；所述系统包括：

3、剧本编排模块，用于编排剧本；所述剧本为对应不同类型的安全事件的安全运营流程；

4、告警响应模块，用于根据匹配规则对告警信息进行分析，归并相同的事件，对事件划分告警严重性和处置优先级，根据剧本编排模块设定的规则执行对应的剧本；和

5、响应处置协助模块，用于对剧本执行过程进行信息查询、监控和干预，将剧本执行情况生成报告。

6、作为上述系统的一种改进，所述剧本编排模块，以内置组件的拖拽方式编排剧本和关联外部应用。

7、作为上述系统的一种改进，所述告警响应模块包括：

8、告警分诊子模块，用于通过匹配规则将不同来源的告警信息连同外部的情境数据进行交叉比对与关联，实现安全事件的识别；对相同的安全事件进行归并；对安全事件划分告警严重性和处置优先级；

9、告警调查子模块，用于根据告警信息查看告警相关联的资产、漏洞和配置，核查相关信息进行分析研判，确认告警准确度以及对齐处置策略；

10、告警响应子模块，用于利用配置好的规则，执行安全事件对应的剧本；和

11、告警库子模块，用于在告警处置过程中，对处置经验进行总结形成相应的处置知识库。

12、作为上述系统的一种改进，所述告警分诊子模块的匹配规则具体包括逻辑条件、字段条件和过滤器；

13、所述逻辑条件是指通过与、或等逻辑符号进行条件关联；

14、所述字段条件是指根据告警的字段设置不同的条件进行匹配；

15、所述过滤器是指将一系列的条件组合，保存成过滤器，执行该过滤器即执行过滤器中的所有条件。

16、作为上述系统的一种改进，所述告警响应子模块还用于：

17、将告警事件添加到对应案例，实现案例的信息采集。

18、作为上述系统的一种改进，所述告警响应子模块还用于：

19、剧本在执行过程中，根据配置信息调用外部应用。

20、作为上述系统的一种改进，所述响应处置协助模块还用于：

21、调用各类实用工具及poc脚本。

22、本发明还提供一种可编剧的网络攻击处置方法，所述方法包括：

23、编排剧本；所述剧本为对应不同类型的安全事件的安全运营流程；

24、根据配置规则对告警信息进行分析，归并相同的事件，对事件划分优先级，根据设定的规则执行对应的剧本；

25、对剧本执行过程进行监控和干预，将剧本执行情况生成报告。

26、本发明还提供一种计算机设备，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如上述任一项所述的方法。

27、本发明还提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序当被处理器执行时使所述处理器执行如上述任一项所述的方法。

28、与现有技术相比，本发明的优势在于：

29、本发明实现了针对安全事件的自动化告警分诊、自动化安全响应、自动化剧本执行、自动化应用执行和自动化案例处置，可以对安全事件进行准确的及时处理，极大的减少了安全运维人员的工作量，提高了系统的安全性。

技术特征：

1.一种可编剧的网络攻击处置系统，用于根据配置规则对告警信息进行分析，执行编排好的剧本，实现安全事件的及时处理；其特征在于，所述系统包括：

2.根据权利要求1所述的可编剧的网络攻击处置系统，其特征在于，所述剧本编排模块，以内置组件的拖拽方式编排剧本和关联外部应用。

3.根据权利要求1所述的可编剧的网络攻击处置系统，其特征在于，所述告警响应模块包括：

4.根据权利要求3所述的可编剧的网络攻击处置系统，其特征在于，所述告警分诊子模块的匹配规则具体包括逻辑条件、字段条件和过滤器；

5.根据权利要求3所述的可编剧的网络攻击处置系统，其特征在于，所述告警响应子模块还用于：

6.根据权利要求3所述的可编剧的网络攻击处置系统，其特征在于，所述告警响应子模块还用于：

7.根据权利要求1所述的可编剧的网络攻击处置系统，其特征在于，所述响应处置协助模块还用于：

8.一种可编剧的网络攻击处置方法，所述方法包括：

9.一种计算机设备，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求8所述的方法。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机程序，所述计算机程序当被处理器执行时使所述处理器执行如权利要求8所述的方法。

技术总结
本发明提供了一种可编剧的网络攻击处置系统及方法，所述系统用于根据配置规则对告警信息进行分析，执行编排好的剧本，实现安全事件的及时处理；所述系统包括：剧本编排模块，用于编排剧本；告警响应模块，用于根据配置规则对告警信息进行分析，归并相同的事件，对事件划分告警严重性和处置优先级，根据剧本编排模块设定的规则执行对应的剧本；响应处置协助模块，用于对剧本执行过程进行监控和干预，将剧本执行情况生成报告。本发明的优势在于：实现策略自动化编排下发和安全事件自动化编排处置，大幅提升网络安全件事的处置效率。

技术研发人员：孙刚,马道华,陈文秀,王月辉,徐阳,陈瑞锋,富源,张庆丰
受保护的技术使用者：国家电投集团数字科技有限公司
技术研发日：
技术公布日：2024/5/10