一种联动阻断方法、装置、电子设备及存储介质与流程

1.本技术涉及网络安全技术领域，具体而言，涉及一种联动阻断方法、装置、电子设备及计算机可读存储介质。


背景技术：

2.自动化编排系统、系统操作中心（system operations center，soc）平台、安全信息与事件管理（security information event management，siem）平台和态势平台能够动全网相关安全产品，如防火墙、入侵检测、apt、终端安全管理软件等，实现联动分析和威胁阻断，对于主机/容器层面可以实现进程、文件、账号实体级别的联动阻断。
3.由于威胁形势的发展和变化速度较快，公司生产业务的增长产生了更大的网络流量，安全告警数量剧增，自动化攻击频繁，会产生海量的告警日志，联动阻断无法准确的判断现有告警的正确性，从而导致会错误的下发阻断规则。


技术实现要素：

4.本技术实施例的目的在于提供一种联动阻断方法、装置、电子设备及计算机可读存储介质，能够解决由于海量的告警日志产生的联动阻断无法准确判断现有告警的准确性的问题。
5.第一方面，本技术实施例提供了一种联动阻断方法，包括：获取多个告警日志；对所述多个告警日志进行去重处理，得到去重后的告警日志；根据所述去重后的告警日志生成联动阻断规则；将所述联动阻断规则发送到防御设备，以使所述防御设备根据所述联动阻断规则进行联动阻断。
6.在上述实现过程中，对多个告警日志进行去重处理，由于现有技术中产生的海量告警日志中存在着大量相同的告警日志，因此，对告警日志提供去重处理能够使得后续生成联动阻断规则的数量降低，能将正确的联动阻断规则发送给防御设备，提高防御设备对网络攻击的防御能力。
7.进一步地，在所述得到去重后的告警日志的步骤之后，还包括：将所述去重后的告警日志与本地的威胁情报进行匹配，得到多个不同威胁等级的告警日志；所述根据所述去重后的告警日志生成联动阻断规则的步骤包括：将所述多个不同威胁等级的告警日志与联动策略进行匹配，生成多个不同危险等级的联动阻断规则列表，所述多个不同危险等级的联动阻断规则列表中的每个联动阻断规则列表包括至少一个所述联动阻断规则。
8.在上述实现过程中，不同的告警日志中包括不同等级的威胁情报，防御设备针对不同的危险等级的威胁情报，其处理难度，处理时间是不相同的。因此，首先将去重后的告
警日志和本地的威胁情报进行匹配，得到多个不同威胁等级的告警日志，将多个不同威胁等级的告警日志与联动策略进行匹配，从而生成多个不同危险等级的联动阻断规则列表。基于上述实施方式，能够提高防御设备对网络攻击的联动阻断效率。
9.进一步地，所述将所述联动阻断规则发送到防御设备的步骤，包括：每隔预设时间，将所述多个不同危险等级的联动阻断规则列表发送到所述防御设备。
10.在上述实现过程中，由于当前网络攻击存在海量性的特点，因此，每隔预设时间，将生成的多个不同危险等级的联动阻断规则列表发送到防御设备能够提高防御设备对网络攻击的防御强度。
11.进一步地，在所述将所述联动阻断规则发送到防御设备的步骤之前，还包括：获取所述防御设备的配置文件；所述将所述联动阻断规则发送到防御设备的步骤，包括：根据所述防御设备的配置文件，将所述联动阻断规则发送到所述防御设备。
12.在上述实现过程中，由于不同的防御设备之间的物理性能、参数不同，因此，在将联动阻断规则发送到防御设备之前首先接收防御设备的配置文件，根据防御设备的配置文件将联动阻断规则发送到防御设备。
13.进一步地，所述获取告警日志的步骤，包括：获取多个不同数据类型的初始告警日志；将所述多个不同数据类型的初始告警日志输入预先设置的数据源，所述数据源配置有关于所述多个不同数据类型的告警日志的解析规则，得到所述多个告警日志，所述多个告警日志具有相同的数据格式。
14.在上述实现过程中，由于不同的防御设备所提供的数据的格式是不同的，因此，需要先将多个获取的不同数据类型的初始告警日志输入到配置好的数据源，由数据源对多个不同数据类型的初始告警日志进行处理，最终得到数据格式统一的多个告警日志。
15.进一步地，所述配置文件包括所述防御设备能接收的数据格式和通信方式。
16.在上述实现过程中，由于不同的防御设备能够接收的数据格式和通信方式不同的，因此，配置文件中需要包括防御设备能接收的数据格式以及通信方式。
17.第二方面，本技术实施例提供一种联动阻断防御设备，包括：获取模块，用于获取多个告警日志；去重模块，用于对所述多个告警日志进行去重处理，得到去重后的告警日志；生成模块，用于根据所述去重后的告警日志生成联动阻断规则；发送模块，用于将所述联动阻断规则发送到防御设备，以使所述防御设备根据所述联动阻断规则进行联动阻断。
18.在上述实现过程中，对多个告警日志进行去重处理，由于现有技术中产生的大量告警日志中存在着大量相同的告警日志，因此，对告警日志提供去重处理能够使得后续生成联动阻断规则的数量降低，能将正确的联动阻断规则发送给防御设备，提高防御设备对网络攻击的防御能力。
19.进一步地，装置包括匹配模块，用于将所述去重后的告警日志与本地的威胁情报进行匹配，得到多个不同威胁等级的告警日志；将所述多个不同威胁等级的告警日志与联
动策略进行匹配，生成多个不同危险等级的联动阻断规则列表，所述多个不同危险等级的联动阻断规则列表中的每个联动阻断规则列表包括至少一个所述联动阻断规则。
20.第三方面，本技术实施例提供的一种电子设备，包括：存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如第一方面任一项所述的方法的步骤。
21.第四方面，本技术实施例提供的一种计算机可读存储介质，所述计算机可读存储介质上存储有指令，当所述指令在计算机上运行时，使得所述计算机执行如第一方面任一项所述的方法。
22.本技术公开的其他特征和优点将在随后的说明书中阐述，或者，部分特征和优点可以从说明书推知或毫无疑义地确定，或者通过实施本技术公开的上述技术即可得知。
23.为使本技术的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。
附图说明
24.为了更清楚地说明本技术实施例的技术方案，下面将对本技术实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本技术的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
25.图1为本技术实施例提供的联动阻断方法的流程示意图；图2为本技术实施例提供的获取告警日志的流程示意图；图3为本技术实施例提供的另一联动阻断方法的流程示意图；图4为本技术实施例提供的联动阻断装置的结构示意图；图5为本技术实施例提供的电子设备的结构示意图。
具体实施方式
26.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行描述。
27.应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本技术的描述中，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。
28.由于威胁形势的发展和变化速度较快，公司生产业务的增长产生了更大的网络流量，安全告警数量剧增，自动化攻击频繁，会产生海量的告警日志，联动阻断无法准确的判断现有告警的正确性，从而导致会错误的下发阻断规则。因此，本技术实施例提供一种联动阻断方法、装置、电子设备及计算机可读存储介质。
29.实施例1参见图1，本技术实施例提供了一种联动阻断方法，包括：s11：获取多个告警日志；s12：对多个告警日志进行去重处理，得到去重后的告警日志；s13：根据去重后的告警日志生成联动阻断规则；s14：将联动阻断规则发送到防御设备，以使防御设备根据联动阻断规则进行联动
阻断。
30.上述方法应用于本地威胁情报管理平台（threat intelligence platform，tip），告警日志来自安防设备。本技术实施例中，所涉及的防御设备可以是防火墙、网站应用级入侵防御系统（web application firewall，waf）等。
31.在上述实现过程中，对多个告警日志进行去重处理，由于现有技术中产生的大量告警日志中存在着大量相同的告警日志，因此，对告警日志提供去重处理能够使得后续生成联动阻断规则的数量降低，能将正确的联动阻断规则发送给防御设备，提高防御设备对网络攻击的防御能力。
32.在一种可能的实施方式中，s14包括以下步骤：每隔预设时间，将多个不同危险等级的联动阻断规则列表发送到防御设备。
33.由于当前网络攻击存在海量性的特点，因此，每隔预设时间，将生成的多个不同危险等级的联动阻断规则列表发送到防御设备能够提高防御设备对网络攻击的防御强度。
34.在一种可能的实施方式中，在s14之前，还包括：获取防御设备的配置文件；s4包括以下步骤：根据防御设备的配置文件，将联动阻断规则发送到防御设备。
35.由于不同的防御设备之间的物理性能、参数不同，因此，在将联动阻断规则发送到防御设备之前首先接收防御设备的配置文件，根据防御设备的配置文件将联动阻断规则发送到防御设备。基于上述实施方式，能联动多种防御设备。
36.参见图2，在一种可能的实施方式中，s11进一步包括：s111：获取多个不同数据类型的初始告警日志；s112：将多个不同数据类型的初始告警日志输入预先设置的数据源，数据源预先配置有关于多个不同数据类型的告警日志的解析规则，得到多个告警日志，多个告警日志具有相同的数据格式。
37.进一步地，配置文件包括防御设备能接收的数据格式和通信方式。
38.在上述实现过程中，由于不同的防御设备能够接收的数据格式和通信方式不同的，因此，配置文件中需要包括防御设备能接收的数据格式以及通信方式。
39.通信方式包括但不限于安全外壳协议（secure shell，ssh）、远程终端协议（telnet）、应用程序接口（application programming interface，api）中的一种或多种。
40.实施例2参见图3，本技术实施例提供另外一种联动阻断方法，包括：s21：获取多个告警日志；s22：对多个告警日志进行去重处理，得到去重后的告警日志；s23：将去重后的告警日志与本地的威胁情报进行匹配，得到多个不同威胁等级的告警日志；s24：将多个不同威胁等级的告警日志与联动策略进行匹配，生成多个不同危险等级的联动阻断规则列表，多个不同危险等级的联动阻断规则列表中的每个联动阻断规则列表包括至少一个联动阻断规则。
41.s25：将多个不同危险等级的联动阻断规则列表发送到防御设备，以使防御设备根
据多个不同危险等级的联动阻断规则列表进行联动阻断。
42.上述方法应用于本地威胁情报管理平台，告警日志来自安防设备。s25中的防御设备包括防火墙，网站应用级入侵防御系统等。
43.上述实施例中，对多个告警日志进行去重处理，由于现有技术中产生的大量告警日志中存在着大量相同的告警日志，因此，对告警日志提供去重处理能够使得后续生成联动阻断规则的数量降低，能将正确的联动阻断规则发送给防御设备，提高防御设备对网络攻击的防御能力。
44.不同的告警日志中包括不同等级的威胁情报，防御设备针对不同的危险等级的威胁情报，其处理难度，处理时间是不相同的。因此，首先将去重后的告警日志和本地的威胁情报进行匹配，得到多个不同威胁等级的告警日志，将多个不同威胁等级的告警日志与联动策略进行匹配，从而生成多个不同危险等级的联动阻断规则列表。基于上述实施方式，能够提高防御设备对网络攻击的联动阻断效率。
45.需要说明的是，实施例1提到的各种可能的实施方式适用于实施例2，这里不在赘述。
46.在一种可能的实施方式中，在s24之前，还包括接收联动策略。
47.基于上述实施方式，可以实现自动化定制联动策略。
48.实施例3参见图4，本技术实施例提供一种联动装置，包括：获取模块1，用于获取多个告警日志；去重模块2，用于对多个告警日志进行去重处理，得到去重后的告警日志；生成模块3，用于根据去重后的告警日志生成联动阻断规则；发送模块4，用于将联动阻断规则发送到防御设备，以使防御设备根据联动阻断规则进行联动阻断。
49.上述实施方式中，对多个告警日志进行去重处理，由于现有技术中产生的大量告警日志中存在着大量相同的告警日志，因此，对告警日志提供去重处理能够使得后续生成联动阻断规则的数量降低，能将正确的联动阻断规则发送给防御设备，提高防御设备对网络攻击的防御能力。
50.在一种可能的实施方式中，装置还包括匹配模块，用于还用于将去重后的告警日志与本地的威胁情报进行匹配，得到多个不同威胁等级的告警日志；将多个不同威胁等级的告警日志与联动策略进行匹配，生成多个不同危险等级的联动阻断规则列表，多个不同危险等级的联动阻断规则列表中的每个联动阻断规则列表包括至少一个联动阻断规则。
51.在一种可能的实施方式中，发送模块4还用于每隔预设时间，将多个不同危险等级的联动阻断规则列表发送到防御设备。
52.在一种可能的实施方式中，获取模块1还用于获取防御设备的配置文件；发送防御设备还用于每隔预设时间，将多个不同危险等级的联动阻断规则列表发送到防御设备。
53.在一种可能的实施方式中，获取模块1还用于获取防御设备的配置文件；发送模块4还用于根据防御设备的配置文件，将联动阻断规则发送到防御设备。
54.在一种可能的实施方式中，获取模块1还用于获取多个不同数据类型的初始告警
日志；将多个不同数据类型的初始告警日志输入预先设置的数据源，数据源配置有关于多个不同数据类型的告警日志的解析规则，得到多个告警日志，多个告警日志具有相同的数据格式。
55.实施例4本技术还提供一种电子设备，请参见图5，图5为本技术实施例提供的一种电子设备的结构框图。电子设备可以包括处理器51、通信接口52、存储器53和至少一个通信总线54。其中，通信总线54用于实现这些组件直接的连接通信。其中，本技术实施例中电子设备的通信接口52用于与其他节点设备进行信令或数据的通信。处理器51可以是一种集成电路芯片，具有信号的处理能力。
56.上述的处理器51可以是通用处理器，包括中央处理器（central processing unit，cpu）、网络处理器（network processor，np）等；还可以是数字信号处理器（dsp）、专用集成电路（asic）、现成可编程门阵列（fpga）或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本技术实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器51也可以是任何常规的处理器等。
57.存储器53可以是，但不限于，随机存取存储器（random access memory，ram），只读存储器（read only memory，rom），可编程只读存储器（programmable read-only memory，prom），可擦除只读存储器（erasable programmable read-only memory，eprom），电可擦除只读存储器（electric erasable programmable read-only memory，eeprom）等。存储器53中存储有计算机可读取指令，当计算机可读取指令由处理器51执行时，电子设备可以执行上述图1至图3方法实施例涉及的各个步骤。
58.可选地，电子设备还可以包括存储控制器、输入输出单元。
59.存储器53、存储控制器、处理器51、外设接口、输入输出单元各元件相互之间直接或间接地电性连接，以实现数据的传输或交互。例如，这些元件相互之间可通过一条或多条通信总线54实现电性连接。处理器51用于执行存储器53中存储的可执行模块，例如电子设备包括的软件功能模块或计算机程序。
60.输入输出单元用于提供给用户创建任务以及为该任务创建启动可选时段或预设执行时间以实现用户与服务器的交互。输入输出单元可以是，但不限于，鼠标和键盘等。
61.可以理解，图5所示的结构仅为示意，电子设备还可包括比图5中所示更多或者更少的组件，或者具有与图5所示不同的配置。图5中所示的各组件可以采用硬件、软件或其组合实现。
62.本技术实施例还提供一种存储介质，存储介质上存储有指令，当所述指令在计算机上运行时，所述计算机程序被处理器执行时实现方法实施例所述的方法，为避免重复，此处不再赘述。
63.本技术还提供一种计算机程序产品，所述计算机程序产品在计算机上运行时，使得计算机执行方法实施例所述的方法。
64.在本技术所提供的几个实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本技术的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一
部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
65.另外，在本技术各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。
66.所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本技术各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器（read-only memory，rom）、随机存取存储器（random access memory，ram）、磁碟或者光盘等各种可以存储程序代码的介质。
67.以上所述仅为本技术的实施例而已，并不用于限制本技术的保护范围，对于本领域的技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本技术的保护范围之内。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。
68.以上所述，仅为本技术的具体实施方式，但本技术的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本技术揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应所述以权利要求的保护范围为准。
69.需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。