[发明专利]一种基于SOAR的攻击行为响应方法、装置及处理设备

说明书

本申请提供了一种基于SOAR的攻击行为响应方法、装置及处理设备，用于针对大量设备的网络攻击响应工作，在实现高度自动化响应的情况下，还进一步实现轻量级的响应架构，如此可以获得兼顾响应效率和响应质量的网络攻击响应效果。本申请提供的基于SOAR的攻击行为响应方法，方法包括：获取目标安全设备发送过来的攻击行为告警信息，其中，包括目标安全设备的多个安全设备预先接入到系统中；对攻击行为告警信息执行数据入库操作；根据预设的告警信息响应策略，确定攻击行为告警信息适配的响应操作，其中，告警信息响应策略用于根据不同攻击行为告警信息生成不同响应操作；联动多个安全设备，执行响应操作。

技术领域

本申请涉及信息领域，具体涉及一种基于SOAR的攻击行为响应方法、装置及处理设备。

背景技术

在传统应对网络攻击的处理过程中，工作人员需要同时去监测多个安全设备的工作日志，需要工作人员花费大量的时间去分析是否存在攻击行为，与此同时，不同来源的工作日志中还会存在相同的攻击行为，这又会进一步降低响应效率。

而且，即使耗费精力分析出准确的攻击行为相关的日志信息，工作人员依然需要手动在其他处理设备(如防火墙或负载均衡等设备)将对应IP进行封禁下发处理。

显然，现有技术中对于涉及到大量设备的网络攻击响应工作，整体工作流程繁杂而臃肿，存在响应效率和响应质量上的明显缺陷。

发明内容

本申请提供了一种基于SOAR的攻击行为响应方法、装置及处理设备，用于针对大量设备的网络攻击响应工作，在实现高度自动化响应的情况下，还进一步实现轻量级的响应架构，如此可以获得兼顾响应效率和响应质量的网络攻击响应效果。

第一方面，本申请提供了一种基于SOAR的攻击行为响应方法，方法包括：

获取目标安全设备发送过来的攻击行为告警信息，其中，包括目标安全设备的多个安全设备预先接入到系统中；

对攻击行为告警信息执行数据入库操作；

根据预设的告警信息响应策略，确定攻击行为告警信息适配的响应操作，其中，告警信息响应策略用于根据不同攻击行为告警信息生成不同响应操作；

联动多个安全设备，执行响应操作。

结合本申请第一方面，在本申请第一方面第一种可能的实现方式中，获取目标安全设备发送过来的攻击行为告警信息，包括：

获取目标安全设备发送过来日志形式的攻击行为告警信息。

结合本申请第一方面第一种可能的实现方式，在本申请第一方面第二种可能的实现方式中，获取目标安全设备发送过来日志形式的攻击行为告警信息，包括：

通过预设接口获取目标安全设备发送过来日志形式的攻击行为告警信息，其中，预设接口限定所接入的目标安全设备的攻击行为告警日志的预设字段通过。

结合本申请第一方面，在本申请第一方面第三种可能的实现方式中，对攻击行为告警信息执行数据入库操作，包括：

对攻击行为告警信息进行数据解析，并按照预先设置的标准表结构要求和标准字段值要求，将攻击行为告警信息转化为标准形式的标准攻击行为告警信息；

将标注攻击行为告警信息存储于预设的数据库中，完成数据入库操作。

结合本申请第一方面，在本申请第一方面第四种可能的实现方式中，方法还包括：

根据由第一可视化面板输入的用户拖曳操作，将数据提取算子、日志过滤算子、日志关联算子、序列分析算子以及日志统计算子、阈值比较算子以及AI智能分析算子进行逻辑组合，得到多个数据处理脚本；

配置每个数据处理脚本的启用状态，得到告警信息响应策略，其中，启用状态包括关闭或者开启，多个开启后的数据处理脚本并行处理。