一种网络安全自动化调度的方法及装置与流程

1.本发明属于信息完全技术领域，涉及从整体上将分散的检测与响应机制进行有效整合的安全运营的方法，尤其涉及一种网络安全自动化调度的方法及装置。


背景技术：

2.随着网络安全攻防对抗的日趋激烈，网络安全单纯指望防范和阻止的策略已经失效，必须更加注重检测与响应。企业和组织要在网络已经遭受攻击的假定前提下构建集阻止、检测、响应和预防于一体的全新安全防护体系。
3.正是在这样的背景下，在国际上，检测和响应类产品受到了极大的关注。放眼国内，更多的注意力集中到了新型检测产品，尤其是未知威胁检测领域。借助这些产品和技术，用户获得了更低的平均检测时间，能够更快更准确地检测出攻击和入侵。但是，这些产品和技术大都没有帮助用户降低平均响应时间。事实上，对于用户而言，更快地检测出问题仅仅是第一步，如何快速地对问题进行响应更加重要。
4.而在提升安全响应效率的时候，仅仅从单点(譬如单纯从端点或者网络)去考虑，没有从全网整体安全运维的角度去考虑，分散的检测与响应机制没有有机的整合起来。如何实现从全网整体安全运维的角度来实现检测与响应机制是需要解决的主要问题。


技术实现要素：

5.本发明主要目的为解决网络系统安全运维的时，对接入的网络设备、安全系统等设备实现统一检测；并在网络系统产生的安全威胁告警信息时，通过统一调度、操控接入的设备实现对安全威胁告警信息的及时、有效应对。
6.为实现上述目的，本发明采用如下技术方案来实现：
7.一种网络安全自动化调度方法，包含以下步骤：
8.s1、数据泵抽取联网设备的各种数据，通过数据清洗、范化，形成包含不同类型数据的数据池；
9.s2、对获得的数据池中的数据通过进行综合情报分析，得到综合威胁告警信息；
10.s3、针对生成的综合威胁告警信息，匹配相应的安全事件，再匹配到应对该安全事件的台词，再将台词编排为安全剧本；
11.s4、剧本执行引擎按照安全剧本的执行流程，控制设备登录引擎和设备调度引擎操控相应的安全设备。
12.进一步地，对安全剧本、台词的编排，告警信息、安全指标，日常运维及工作展示与管理，通过可视化交互界面进行展示。
13.进一步地，对联网设备遭受的攻击进行自动引流，并收集攻击相关信息。
14.进一步地，所述数据泵，通过数据探针、数据爬虫、数据表单以及数据接口等方式获取联网设备的各类信息。
15.进一步地，所述数据清洗，是指对用户及行为的数据进行清洗；通过自动清洗或/
和人工清洗进行；
16.进一步地，所述安全剧本包含了若干台词，安全剧本是将若干台词按照安全事件处置操作流程进行顺序编排的一组有序的台词；
17.所述台词，是对联网设备当中的某个设备，实现某一具体任务，而按流程执行的一系列操作，是完成某一具体任务时进行的标准操作。
18.进一步地，所述告警信息，可推送给声光警报装置进行提示，还可通过转发系统发送相关的告警信息到关联的安全维护人员接收设备上。
19.进一步地，步骤s4中，操控相应的联网设备的步骤如下：
20.首先通过登录引擎登录安全剧本中涉及的联网设备；
21.所述设备登录引擎通过反向代理装置实现对联网设备的统一登录，并持续保持登录状态；
22.在设备处于统一登录状态下时，设备调度引擎按照流程执行对联网设备的操作。
23.进一步地，所述数据泵还抽取攻击者信息，用于构建数据池；
24.所述数据池包含日志池、情报池、用户和行为池以及资产池；
25.所述数据池中存储的是范化后格式统一的各类数据，日志池中存储了日志数据；情报池中存储了情报数据，用户和行为池中存储了用户和行为的数据，资产池中存储了资产的数据。
26.本发明还提供了一种网络安全自动化调度装置，包括：
27.数据收集模块，用于数据泵抽取联网设备的各种数据，通过数据范湖、清洗，形成包含不同类型数据的数据池；
28.综合威胁预警模块，用于对获得的数据池中的数据通过进行综合情报分析，得到综合威胁告警信息；
29.安全编排与调度模块，用于针对生成的综合威胁告警信息，匹配相应的安全事件，再匹配到应对该安全事件的台词，再将台词编排为安全剧本；
30.设备管控模块，用于剧本执行引擎按照安全剧本的执行流程，控制设备登录引擎和设备调度引擎操控相应的安全设备；
31.可视化交互模块，用于对安全剧本、台词的编排，告警信息、安全指标，日常运维及工作展示与管理，通过可视化交互界面进行展示。
32.自动引流模块，用于对联网设备遭受的攻击进行自动引流，并收集攻击相关信息。
33.本发明还提供了一种存储介质，所述存储介质中存储有计算机程序，其中计算机程序被设置为运行时执行权利要求1-9任一项中所述的方法。
34.本发明还提供了一种电子装置，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器被设置为运行所述计算机程序执行一种网络安全自动化调度的方法。
35.工作原理：
36.首先通过数据收集措施，获取联网设备的各种数据，构建出联网设备的基信息，以及相关威胁的安全事件信息；
37.在安全事件产生时，首先对推送的综合威胁告警信息进行分析，产生对应的安全设备的应对操作信息，再将应对的操作信息进行编排形成相应安全剧本，然后设备管控服务按照该安全剧本的执行流程，通过设备登录引擎登录该安全剧本涉及的安全设备，在通
过设备调度引擎对涉及的安全设备进行操控，完成对推送的威胁告警对应的处置操作。
38.有益效果：
39.1、对接入的网络设备、安全系统等设备实现统一检测、统一调度，以便能够在网络安全威胁产生时及时、高效的应对；
40.2、将若干分散的网络设备进行集中管理，更方便的获悉网络总体情况。
41.3、分散的检测与响应机制整合起来，形成联动，进行自动化的响应。
附图说明
42.图1为本发明实施例提供的一种网络安全自动化调度的方法网络应用连接示意图；
43.图2为本发明实施例提供的一种安全自动调度方法的流程图；
44.图3为在实施例2的基础上本发明实施例提供了一种剧本执行引擎操控相应的联网设备的流程图；
45.图4为本发明实施例提供了一种网络安全自动化调度装置结构示意图；
46.图5为本本发明实施例提供了一种电子设备结构示意图。
具体实施方式
47.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
48.实施例1
49.如图1所示，本发明实施例提供的一种网络安全自动化调度的方法网络应用连接示意图。包括：联网设备101、安全调度服务器 102、显示大屏103、声光报警装置104。所述示大屏、声光报警装置104、联网设备101通过网络与安全调度服务相连，处于统一内网当中。所述调度服务器中，安装有安全自动化调度系统，所述安全自动化调度系统采用了一种网络安全自动化调度的方法，来实现对联网设备101的调度，对网络安全威胁通过声光报警装置104以及显示大屏103进行报警，所述显示大屏103可显示调度服务器的可视化交互信息以及报警信息等。
50.所述安全调度服务器102，还可以是若干台服务器形成的服务器集群，其上均安装有采用了一种网络安全自动化调度的方法的全自动化调度系统。
51.所述联网设备101包括：主机、网络设备、安全管控设备、安全系统、用户及行为系统等。
52.所述网络设备，包含：交换机、路由器、负载均衡设备等；
53.所述安全管控设备，包含：waf、nf、ads、ips、ids等；
54.所述安全系统，安装在主机或服务器上，包含：vpn、行为审计、数据库审计、基线、日志易、soc、威胁情报等；
55.所述用户及行为系统，包括4a、准入，pki/ca、edr等。
56.实施例2
57.如图2所示，本发明实施例提供的一种安全自动调度方法的流程。一种安全自动调度方法可运行在示例1中的网络结构当中。
58.具体的，一种安全自动调度方法的步骤如下：
59.s201、数据泵抽取联网设备的各种数据，通过数据清洗、范化，形成包含不同类型数据的数据池；
60.s202、对获得的数据池中的数据通过进行综合情报分析，得到综合威胁告警信息；
61.s203、针对生成的综合威胁告警信息，匹配相应的安全事件，再匹配到应对该安全事件的台词，再将台词编排为安全剧本；
62.s204、剧本执行引擎按照安全剧本的执行流程，控制设备登录引擎和设备调度引擎操控相应的安全设备；
63.s205、对安全剧本、台词的编排，告警信息、安全指标，日常运维及工作展示与管理，通过可视化交互界面进行展示。
64.进一步的，对联网设备遭受的攻击进行自动引流，并收集攻击相关信息。
65.所述数据泵，通过数据探针、数据爬虫、数据表单以及数据接口等方式获取联网设备的各类信息；所述的数据泵主要分为：syslog泵、kafka泵、http泵、snmp泵。
66.所述数据池包含日志池、情报池、用户和行为池以及资产池；
67.所述数据池中存储的是范化后格式统一的各类数据，日志池中存储了日志数据；情报池中存储了情报数据，用户和行为池中存储了用户和行为的数据，资产池中存储了资产的数据。
68.获取到的各类信息首先通过数据范化再进行数据清洗转化为数据池中对应的数据类型；
69.所述数据清洗，是通过自动清洗或/和人工清洗进行；
70.针对用户及行为的数据，清洗完成后直接进入用户和行为池；
71.其它数据在对其进行范化时，也会进行数据进行清洗，以便获取满足数据池中不同数据池的数据要求。在通过数据泵获取到其它数据后，对数据进行范化，在数据范化过程中对进行数据清洗；此时，清洗的数据主要是清洗与数据池中的数据类型无关的数据，最后范化完成后，在按照数据的类型分别存储进入相应的数据池。
72.所述综合情报分析，通过对数据池中日志数据、情报数据、用户和行为数据以及资产数据进行综合情报关联分析，用户及实体行为的多为关联数据查询及用户及实体行为的使用分析，获得用户及实体行为异常预警信息。
73.所述安全事件，存储在安全事件库中，所述安全事件库中包含了若干不同安全事件；所述安全事件库，通过网络中公布的安全事件信息库，遭受的攻击威胁，以及网络安全漏洞等信息形成。
74.所述安全剧本包含了若干台词，安全剧本是将若干台词按照安全事件处置操作流程进行顺序编排的一组有序的台词。
75.安全剧本中的台词最终通过安全执行引擎，按照流程进行调度、执行。
76.所述台词，是对联网设备当中的某个设备，实现某一具体任务，而按流程执行的一系列操作，是完成某一具体任务时进行的标准操作；
77.例如：对联网设备中的防火墙，进行封堵某个ip地址，此时封堵某个ip地址的一系
列操作就是一个标准动作，为防火墙封堵ip 标准操作；
78.此时标准操作包含的一系列操作动作有：登录防火墙
→
登录防火墙
→
创建ip对象
→
创建ip段对象
→
创建区域对象
→
创建区域组对象
→
创建应用软件对象
→
创建服务端口对象
→
创建应用对象
→
创建允许动作
→
创建禁止动作
→
创建时间段对象
→
保存。
79.所述告警信息，同时推送给声光警报装置进行提示，还可通过转发系统发送相关的告警信息到关联的安全维护人员接收设备上。
80.实施例3
81.如图3所示，在实施例2的基础上本发明实施例提供了一种剧本执行引擎操控相应的联网设备的流程图。
82.一种剧本执行引擎操控相应的联网设备的方法，
83.具体步骤如下：
84.s301、首先通过登录引擎登录安全剧本中涉及的联网设备，再进行各种标准操作；
85.s302、所述设备登录引擎通过反向代理技术实现对联网设备的统一登录，并持续保持登录状态；
86.s303、在设备处于统一登录状态下时，设备调度引擎按照流程执行对联网设备的操作。
87.实施例4
88.如图4所示，本发明实施例提供了一种网络安全自动化调度装置结构示意图。一种网络安全自动化调度装置包括：
89.数据收集模块405，用于数据泵抽取联网设备的各种数据，通过数据范湖、清洗，形成包含不同类型数据的数据池；
90.综合威胁预警模块403，用于对获得的数据池中的数据通过进行综合情报分析，得到综合威胁告警信息；
91.安全编排与调度模块402，用于针对生成的综合威胁告警信息，匹配相应的安全事件，再匹配到应对该安全事件的台词，再将台词编排为安全剧本；
92.设备管控模块401，用于剧本执行引擎按照安全事件剧本的执行流程，控制设备登录引擎和设备调度引擎操控相应的安全设备；
93.可视化交互模块407，用于对安全剧本、台词的编排，告警信息、安全指标，日常运维及工作展示与管理，通过可视化交互界面进行展示。
94.自动引流模块406，用于对联网设备遭受的攻击进行自动引流，并收集攻击相关信息。
95.所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，所述描述的模块的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。
96.实施例5
97.如图5所示，本发明实施例提供了一种电子设备结构示意图。电子设备包括中央处理单元(cpu)，其可以根据存储在只读存储器(rom)中的计算机程序指令或者从存储单元加载到随机访问存储器(ram)中的计算机程序指令，来执行各种适当的动作和处理。在ram 中，还可以存储设备操作所需的各种程序和数据。cpu、rom以及 ram通过总线彼此相连。输入/输出(i/o)接口也连接至总线。
98.电子设备中的多个部件连接至i/o接口，包括：输入单元，例如键盘、鼠标等；输出单元，例如各种类型的显示器、扬声器等；存储单元，例如磁盘、光盘等；以及通信单元，例如网卡、调制解调器、无线通信收发机等。通信单元允许电子设备通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
99.处理单元执行上文所描述的各个方法和处理，例如方法s201～ s205以及s301～s303。例如，在一些实施例中，方法s201～s205 以及s301～s303可被实现为计算机软件程序，其被有形地包含于机器可读介质，例如存储单元。在一些实施例中，计算机程序的部分或者全部可以经由rom和/或通信单元而被载入和/或安装到设备上。当计算机程序加载到ram并由cpu执行时，可以执行上文描述的方法s201～s205、s301～303中的一个或多个步骤。备选地，在其他实施例中，cpu可以通过其他任何适当的方式(例如，借助于固件)而被配置为执行方法s201～s205以及s301～s303。
100.本文中以上描述的功能可以至少部分地由一个或多个硬件逻辑部件来执行。例如，非限制性地，可以使用的示范类型的硬件逻辑部件包括：场可编程门阵列(fpga)、专用集成电路(asic)、专用标准产品(assp)、芯片上系统的系统(soc)、负载可编程逻辑设备(cpld)等等。
101.用于实施本发明的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器，使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/ 操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行，作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
102.在本发明的上下文中，机器可读介质可以是有形的介质，其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备，或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦除可编程只读存储器(eprom或快闪存储器)、光纤、便捷式紧凑盘只读存储器(cd
‑ꢀ
rom)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
103.此外，虽然采用特定次序描绘了各操作，但是这应当理解为要求这样操作以所示出的特定次序或以顺序次序执行，或者要求所有图示的操作应被执行以取得期望的结果。在一定环境下，多任务和并行处理可能是有利的。同样地，虽然在上面论述中包含了若干具体实现细节，但是这些不应当被解释为对本发明的范围的限制。在单独的实施例的上下文中描述的某些特征还可以组合地实现在单个实现中。相反地，在单个实现的上下文中描述的各种特征也可以单独地或以任何合适的子组合的方式实现在多个实现中。
104.以上所述是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明所述原理的前提下，还可以作出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

技术特征：
1.一种网络安全自动化调度的方法，其特征在于，包含以下步骤：s1、数据泵抽取联网设备的各种数据，通过数据清洗、范化，形成包含不同类型数据的数据池；s2、对获得的数据池中的数据通过进行综合情报分析，得到综合威胁告警信息；s3、针对生成的综合威胁告警信息，匹配相应的安全事件，再匹配到应对该安全事件的台词，再将台词编排为安全剧本；s4、剧本执行引擎按照安全剧本的执行流程，控制设备登录引擎和设备调度引擎操控相应的安全设备。2.根据权利要求1所述的方法，其特征在于，对安全剧本、台词的编排，告警信息、安全指标，日常运维及工作展示与管理，通过可视化交互界面进行展示。3.根据权利要求1所述的方法，其特征在于，对联网设备遭受的攻击进行自动引流，并收集攻击相关信息。4.根据权利要求1所述的方法，其特征在于，所述数据泵，通过数据探针、数据爬虫、数据表单以及数据接口等方式获取联网设备的各类信息。5.根据权利要求1所述的方法，其特征在于，所述数据清洗，是指对用户及行为的数据进行清洗；通过自动清洗或/和人工清洗进行。6.根据权利要求1所述的方法，其特征在于，所述安全剧本包含了若干台词，安全剧本是将若干台词按照安全事件处置操作流程进行顺序编排的一组有序的台词；所述台词，是对联网设备当中的某个设备，实现某一具体任务，而按流程执行的一系列操作，是完成某一具体任务时进行的标准操作。7.根据权利要求2所述的方法，其特征在于，所述告警信息，可推送给声光警报装置进行提示，还可通过转发系统发送相关的告警信息到关联的安全维护人员接收设备上。8.根据权利要求1所述的方法，其特征在于，步骤s4中，操控相应的联网设备的步骤如下：首先通过登录引擎登录安全剧本中涉及的联网设备；所述设备登录引擎通过反向代理装置实现对联网设备的统一登录，并持续保持登录状态；在设备处于统一登录状态下时，设备调度引擎按照流程执行对联网设备的操作。9.根据权利要求3所述的方法，其特征在于，所述数据泵还抽取攻击者信息，用于构建数据池；所述数据池包含日志池、情报池、用户和行为池以及资产池；所述数据池中存储的是范化后格式统一的各类数据，日志池中存储了日志数据；情报池中存储了情报数据，用户和行为池中存储了用户和行为的数据，资产池中存储了资产的
数据。10.一种网络安全自动化调度装置，其特征在于，包括：数据收集模块，用于数据泵抽取联网设备的各种数据，通过数据范湖、清洗，形成包含不同类型数据的数据池；综合威胁预警模块，用于对获得的数据池中的数据通过进行综合情报分析，得到综合威胁告警信息；安全编排与调度模块，用于针对生成的综合威胁告警信息，匹配相应的安全事件，再匹配到应对该安全事件的台词，再将台词编排为安全剧本；设备管控模块，用于剧本执行引擎按照安全剧本的执行流程，控制设备登录引擎和设备调度引擎操控相应的安全设备；可视化交互模块，用于对安全剧本、台词的编排，告警信息、安全指标，日常运维及工作展示与管理，通过可视化交互界面进行展示。自动引流模块，用于对联网设备遭受的攻击进行自动引流，并收集攻击相关信息。

技术总结
本发明公开了一种网络安全自动化调度的方法及装置。解决了网络系统安全运维的时，对接入的网络设备、安全系统等设备统一检测及响应的问题。所述方法包括：首先通过数据泵抽取联网设备的各种数据，再通过数据清洗、范化，再进行分析得到综合威胁告警信息；再将安全事件处置进行安全剧本化；最后通过剧本执行引擎操控相应的安全设备，实现自动化调度。有益效果：实现了对接入的网络设备、安全系统等设备实现统一检测、统一调度，以便能够在网络安全威胁产生时及时、高效的应对；将若干分散的网络设备进行集中管理，更方便的获悉网络总体情况；分散的检测与响应机制整合起来，形成联动，进行自动化的响应。行自动化的响应。行自动化的响应。


技术研发人员：甘元军 严亮 李昕
受保护的技术使用者：云南云思科技有限公司
技术研发日：2021.12.31
技术公布日：2023/7/13