[发明专利]一种安全事件的处理方法、装置、设备和介质在审
| 申请号: | 202110700499.7 | 申请日: | 2021-06-23 |
| 公开(公告)号: | CN113315784A | 公开(公告)日: | 2021-08-27 |
| 发明(设计)人: | 纪侨斌;农乐安 | 申请(专利权)人: | 深信服科技股份有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 深圳市深佳知识产权代理事务所(普通合伙) 44285 | 代理人: | 张金香 |
| 地址: | 518055 广东省深圳市南*** | 国省代码: | 广东;44 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 安全 事件 处理 方法 装置 设备 介质 | ||
本申请实施例公开了一种安全事件的处理方法、装置、设备和介质,截获数据流量。为了对可能存在安全风险的数据流量自动化进行安全分析,可以设置安全事件触发条件。在数据流量满足设定的安全事件触发条件的情况下,说明当前的数据流量存在攻击行为,此时可以调用对应的安全处置规则对数据流量进行处理,从而实现对具有安全风险的数据流量快速及时的处理。在该技术方案中,基于优先级信息和/或攻击记录信息设置安全事件触发条件,可以检测到存在安全风险的数据流量,实现了对数据流量安全性的快速分析,提升了安全事件的分析效率,并且在满足安全事件触发条件时自动执行安全处置规则,实现了安全事件的全自动化响应。
技术领域
本申请涉及网络安全技术领域,特别是涉及一种安全事件的处理方法、装置、设备和计算机可读存储介质。
背景技术
安全运营中心(Security Operations Center,SOC)通过收集所有网内资产的安全信息,并进行相互之间的分析、印证,从多角度对网内资产进行安全分析和评估。
但是目前安全运营中心对网内资产进行安全分析和评估过程主要依靠人工实现,网内资产产生的安全事件的处理属于半自动响应,大量的安全事件都需要安全分析人员的分析,这样会导致运营成本较高。并且人工分析的过程中,效率无法保证,时间可能经常被浪费在低级别和无关紧要的安全事件分析上。
可见,如何提升安全事件的分析效率,是本领域技术人员需要解决的问题。
发明内容
本申请实施例的目的是提供一种安全事件的处理方法、装置、设备和计算机可读存储介质,可以提升安全事件的分析效率。
为解决上述技术问题,本申请实施例提供一种安全事件的处理方法,包括:
截获数据流量;
在数据流量满足设定的安全事件触发条件的情况下,调用对应的安全处置规则对所述数据流量进行处理;其中,所述安全事件触发条件包括优先级信息和/或攻击记录信息。
可选地,还包括:
利用设定的安全检测方式对所述数据流量进行分析,以得到是否存在安全事件的分析结果;
基于所述分析结果对所述数据流量进行处理。
可选地,所述安全处置规则包括不同攻击类型对应的处置动作;相应的,所述基于所述分析结果对所述数据流量进行处理包括:
在所述分析结果为所述数据流量存在攻击行为的情况下,基于所述攻击行为所属的攻击类型,将所述数据流量按照所述攻击类型对应的处置动作进行处理。
可选地,还包括:在所述分析结果为所述数据流量不存在攻击行为的情况下,基于所述数据流量和所述分析结果,对所述安全事件触发条件和/或安全处置规则进行更新。
可选地,每种安全检测方式有其对应的一个分析结果,在各分析结果均为所述数据流量不存在攻击行为的情况下,方法还包括:
对所有所述分析结果中包含的行为类型进行关联性分析;
在所有所述分析结果存在满足关联关系要求的行为类型的情况下,将所述数据流量的特征信息以及满足关联关系要求的行为类型记录至所述安全事件触发条件中。
可选地,所述在数据流量满足设定的安全事件触发条件的情况下,调用对应的安全处置规则对所述数据流量进行处理包括:
在所述数据流量的攻击类型属于高优先级的情况下,对所述数据流量执行所述攻击类型匹配的处置动作。
可选地,所述攻击记录信息包括攻击类型和攻击次数;相应的,所述在数据流量满足设定的安全事件触发条件的情况下,调用对应的安全处置规则对所述数据流量进行处理包括:
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于深信服科技股份有限公司,未经深信服科技股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202110700499.7/2.html,转载请声明来源钻瓜专利网。
