近日,聚銘網(wǎng)絡(luò)申報(bào)的《安全報(bào)警研判方法、裝置及存儲(chǔ)介質(zhì)》發(fā)明專利通過(guò)國(guó)家知識(shí)產(chǎn)權(quán)局授權(quán),正式獲得國(guó)家發(fā)明專利證書(shū)。
在網(wǎng)絡(luò)安全領(lǐng)域中,安全運(yùn)營(yíng)平臺(tái)往往承載著收集、泛化、分析和研判各種安全產(chǎn)品或設(shè)備的告警功能,由于其處于安全防護(hù)體系的頂端,能獲取的各種安全報(bào)警數(shù)據(jù)也較為抽象,因此在研判上可能存在較大問(wèn)題。
對(duì)于誤報(bào)的處理,傳統(tǒng)上安全管理員仍需要登錄到各個(gè)安全設(shè)備查看其詳細(xì)內(nèi)容,但一般的邊界安全設(shè)備,如防火墻、統(tǒng)一威脅管理(UTM)、Web應(yīng)用防火墻、網(wǎng)絡(luò)流量檢測(cè)和響應(yīng)產(chǎn)品等,出于性能考慮一般不會(huì)留存太多細(xì)節(jié)數(shù)據(jù),特別是不可能提供完整的攻擊負(fù)載(Payload),即發(fā)生攻擊時(shí)的網(wǎng)絡(luò)訪問(wèn)數(shù)據(jù)。故僅憑這些產(chǎn)品自身提供的報(bào)警來(lái)判斷是否誤報(bào),是非常困難的,因?yàn)檫@些設(shè)備對(duì)于安全運(yùn)營(yíng)平臺(tái)而言都是三方設(shè)備。
針對(duì)上述問(wèn)題,需要一種能記錄所有相關(guān)攻擊流量的設(shè)備,配合安全運(yùn)營(yíng)平臺(tái)以提供完整的攻擊取證能力,從而可以在技術(shù)細(xì)節(jié)上對(duì)各類(lèi)誤報(bào)提供研判依據(jù),最終達(dá)到可以自動(dòng)化運(yùn)維的目的。
對(duì)此,本專利創(chuàng)新提供了一種安全報(bào)警研判方法、裝置及存儲(chǔ)介質(zhì),其中方法如下圖所示:
通過(guò)上述方法,在網(wǎng)絡(luò)邊界部署網(wǎng)絡(luò)全流量(也可以在內(nèi)部網(wǎng)絡(luò)邊界和內(nèi)部互聯(lián)部分)記錄裝置,以抓取所有完整網(wǎng)絡(luò)流量,利用內(nèi)部通信信道向安全運(yùn)營(yíng)平臺(tái)提供原始攻擊數(shù)據(jù),以便于安全運(yùn)維人員針對(duì)具體攻擊流量進(jìn)行研判。并通過(guò)多層次的規(guī)則配置方式,在報(bào)警元數(shù)據(jù)(Metadata)、報(bào)警部分負(fù)載以及攻擊負(fù)載規(guī)則層面提供篩選能力,對(duì)后續(xù)可能產(chǎn)生的類(lèi)似報(bào)警進(jìn)行處理,極大地縮減了用戶需要處理的安全告警數(shù)量。
依托本項(xiàng)發(fā)明,聚銘網(wǎng)絡(luò)旗下聚銘下一代智慧安全運(yùn)營(yíng)中心等安全產(chǎn)品將具備更全面的數(shù)據(jù)整合能力以及更卓越的安全報(bào)警研判能力,從而最大限度地支持安全運(yùn)營(yíng)的自動(dòng)化和精準(zhǔn)化運(yùn)作,幫助客戶提升整體安全建設(shè)效能,形成聯(lián)防聯(lián)控安全防御體系。
后續(xù),聚銘網(wǎng)絡(luò)還將繼續(xù)深耕網(wǎng)絡(luò)安全領(lǐng)域,加大產(chǎn)品研發(fā)力度,充分利用人才、設(shè)備等資源優(yōu)勢(shì),積極探索前沿技術(shù),不斷加強(qiáng)科研創(chuàng)新,提升企業(yè)核心競(jìng)爭(zhēng)力,更好的為廣大行業(yè)客戶提供網(wǎng)絡(luò)安全智能分析與檢測(cè)服務(wù)。