一种安全产品自响应处置方法及相关设备与流程

1.本公开涉及计算机技术领域，尤其涉及一种安全产品自响应处置方法及相关设备。


背景技术：

2.为保证系统的安全性，企业采取多重异构的安全架构，利用安全产品对各类网络攻击的检测能力各有所长的特点，集各个安全产品之长，互相补充，形成更完善的安全防护和检测体系。
3.然而，由于安全产品检测能力存在差异，检测结果存在一定误报率，因此有可能会封禁部分正常客户的访问ip地址。在发生错误封禁的情况下，由于需要多个安全产品联动查询分析，因此容易导致对用户报障的响应不及时，影响用户的使用体验。


技术实现要素：

4.鉴于上述问题，本公开提供一种克服上述问题或者至少部分地解决上述问题的一种安全产品自响应处置方法及相关设备，技术方案如下：
5.一种安全产品自响应处置方法，包括：
6.获得用户端发送的报障信息，其中，所述报障信息包括所述用户端的ip地址和系统访问信息；
7.利用ip封禁记录，确定封禁所述ip地址的安全产品；
8.通过所述ip地址和所述系统访问信息，调用所述安全产品的接口获得与所述报障信息对应的封禁信息，其中，所述封禁信息包括封禁所述ip地址所应用的封禁策略；
9.在策略判断历史数据库中，获得与所述封禁策略关联的历史封禁记录信息；
10.利用所述历史封禁记录信息，确定是否对所述ip地址进行解封。
11.可选的，所述利用ip封禁记录，确定封禁所述ip地址的安全产品，包括：
12.查询ip封禁记录中是否存在所述ip地址，如果存在，则确定所述ip地址被封禁；
13.根据所述ip封禁记录，确定封禁所述ip地址的安全产品。
14.可选的，所述利用所述历史封禁记录信息，确定是否对所述ip地址进行解封，包括：
15.生成包括所述历史封禁记录信息在内的告警信息；
16.基于所述告警信息中的所述历史封禁记录信息，确定所述安全产品应用所述封禁策略是否错误封禁所述ip地址，如果是，则对所述ip地址进行解封。
17.可选的，所述方法还包括：
18.在确定所述安全产品应用所述封禁策略未错误封禁所述ip地址的情况下，利用所述历史封禁记录信息，确定所述ip地址的误报匹配率；
19.确定所述误报匹配率是否大于预设匹配率，如果大于，则对所述ip地址进行解封。
20.可选的，所述利用所述历史封禁记录信息，确定所述ip地址的误报匹配率，包括：
21.在所述历史封禁记录信息中，确定与所述ip地址关联的第一封禁记录的第一数量；
22.在所述第一数量的所述第一封禁记录中，确定有误报标识的第二封禁记录的第二数量；
23.根据所述第一数量和第二数量，确定所述ip地址的误报匹配率。
24.可选的，所述方法还包括：
25.在确定所述安全产品应用所述封禁策略错误封禁所述ip地址的情况下，在所述策略判断历史数据库中，对所述封禁策略关联的所述历史封禁记录信息添加包括误报标识的第三封禁记录。
26.可选的，所述方法还包括：
27.在对所述ip地址进行解封后，将解封结果发送至所述用户端。
28.一种安全产品自响应处置装置，包括：第一获得单元、第一确定单元、第二获得单元、第三获得单元以及第二确定单元，
29.所述第一获得单元，用于获得用户端发送的报障信息，其中，所述报障信息包括所述用户端的ip地址和系统访问信息；
30.所述第一确定单元，用于利用ip封禁记录，确定封禁所述ip地址的安全产品；
31.所述第二获得单元，用于通过所述ip地址和所述系统访问信息，调用所述安全产品的接口获得与所述报障信息对应的封禁信息，其中，所述封禁信息包括封禁所述ip地址所应用的封禁策略；
32.所述第三获得单元，用于在策略判断历史数据库中，获得与所述封禁策略关联的历史封禁记录信息；
33.所述第二确定单元，用于利用所述历史封禁记录信息，确定是否对所述ip地址进行解封。
34.一种计算机可读存储介质，其上存储有程序，所述程序被处理器执行时实现上述任一项所述的安全产品自响应处置方法。
35.一种电子设备，所述电子设备包括至少一个处理器、以及与处理器连接的至少一个存储器、总线；其中，所述处理器、所述存储器通过所述总线完成相互间的通信；所述处理器用于调用所述存储器中的程序指令，以执行上述任一项所述的安全产品自响应处置方法。
36.借由上述技术方案，本公开提供的一种安全产品自响应处置方法及相关设备，可以获得用户端发送的报障信息，其中，报障信息包括用户端的ip地址和系统访问信息；利用ip封禁记录，确定封禁ip地址的安全产品；通过ip地址和系统访问信息，调用安全产品的接口获得与报障信息对应的封禁信息，其中，封禁信息包括封禁ip地址所应用的封禁策略；在策略判断历史数据库中，获得与封禁策略关联的历史封禁记录信息；利用历史封禁记录信息，确定是否对ip地址进行解封。本公开可以整合多种安全产品，通过封禁策略的历史封禁记录信息实现数据的联动分析，在各个安全产品之间实现对用户报障的应急响应，有利于提高用户的使用体验。
37.上述说明仅是本公开技术方案的概述，为了能够更清楚了解本公开的技术手段，而可依照说明书的内容予以实施，并且为了让本公开的上述和其它目的、特征和优点能够
更明显易懂，以下特举本公开的具体实施方式。
附图说明
38.通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本公开的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：
39.图1示出了本公开实施例提供的安全产品自响应处置方法的一种实施方式的流程示意图；
40.图2示出了本公开实施例提供的安全产品自响应处置方法的另一种实施方式的流程示意图；
41.图3示出了本公开实施例提供的安全产品自响应处置方法的另一种实施方式的流程示意图；
42.图4示出了本公开实施例提供的安全产品自响应处置方法的另一种实施方式的流程示意图；
43.图5示出了本公开实施例提供的安全产品自响应处置方法的另一种实施方式中步骤s540的流程示意图；
44.图6示出了本公开实施例提供的安全产品自响应处置装置的一种结构示意图。
具体实施方式
45.下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。
46.如图1所示，本公开实施例提供的安全产品自响应处置方法的一种实施方式的流程示意图，该方法可以包括：
47.s100、获得用户端发送的报障信息，其中，报障信息包括用户端的ip地址和系统访问信息。
48.本公开实施例可以应用于安全事件响应平台。安全事件响应平台可以通过汇聚功能模块、组合功能模块和展示功能模块实现系统逻辑功能。
49.其中，汇聚功能模块用于提供安全产品的产品接口注册并保证产品接口统一，使得产品接口返回统一的格式，保证安全产品底层接口的可用性。其中，接口注册为将接入安全事件响应平台的安全产品的api接口的定义在平台注册，指名产品、功能、输入参数、方法、输出结果。接口统一为将此前注册的域名进行封装，统一接口输出的格式。
50.其中，组合功能模块用于运维场景定制以及对应功能接口的流程组合，以保证运维场景的可用性。其中，场景定制为根据日常运维需求定义的运维流程。流程组合为安全事件响应平台根据定制的运维场景，组合具体的安全产品的功能接口，组合出与该运维场景对应的功能执行流程。
51.其中，展示功能模块用于根据定制的运维场景，展示与运维场景相应的功能执行流程以及功能处置结果，通过分析生成判断结果并向指定地址发送通知。
52.其中，系统访问信息为用户端需要访问的系统的信息。
53.s200、利用ip封禁记录，确定封禁ip地址的安全产品。
54.其中，本公开实施例可以记录被封禁的ip地址，生成ip封禁记录。ip封禁记录至少可以包括被封禁的ip地址以及封禁该ip地址的安全产品。因此，本公开实施例可以通过ip封禁记录，确定用户端的ip地址是否已被封禁以及封禁该ip地址的安全产品。
55.可选的，基于图1所示方法，如图2所示，本公开实施例提供的安全产品自响应处置方法的另一种实施方式的流程示意图，步骤s200可以包括：
56.s210、查询ip封禁记录中是否存在ip地址，如果存在，则执行步骤s220。
57.可选的，若ip封禁记录中不存在该ip地址，则确定该ip地址未被封禁。
58.s220、确定ip地址被封禁。
59.s230、根据ip封禁记录，确定封禁ip地址的安全产品。
60.本公开实施例通过ip封禁记录可以准确查询到封禁ip地址的安全产品，有利于整合多种安全产品，便于在各个安全产品之间实现对用户保障进行应急联动。
61.s300、通过ip地址和系统访问信息，调用安全产品的接口获得与报障信息对应的封禁信息，其中，封禁信息包括封禁ip地址所应用的封禁策略。
62.可以理解的是，安全产品记录有执行相关安全操作的操作信息。若该安全操作包括封禁操作，则操作信息中包括与该封禁操作对应的具体的封禁信息。该封禁信息可以记录有封禁的ip地址和相应的系统访问信息。该可选的，封禁信息还可以包括封禁时间以及封禁原因。
63.本公开实施例可以以ip地址和系统访问信息作为关键字，在安全产品中准确查询出与用户端发送的保障信息相对应的封禁信息。
64.s400、在策略判断历史数据库中，获得与封禁策略关联的历史封禁记录信息。
65.其中，策略判断历史数据库可以是记录有分别与各封禁策略关联的历史封禁记录信息的数据库。历史封禁记录信息可以包括封禁时间、封禁原因以及是否为误报。
66.s500、利用历史封禁记录信息，确定是否对ip地址进行解封。
67.可选的，基于图1所示方法，如图3所示，本公开实施例提供的安全产品自响应处置方法的另一种实施方式的流程示意图，步骤s500可以包括：
68.s510、生成包括历史封禁记录信息在内的告警信息。
69.s520、基于告警信息中的历史封禁记录信息，确定安全产品应用封禁策略是否错误封禁ip地址，如果是，则执行步骤s530。
70.可选的，本公开实施例可以将告警信息发送至管理端，以使管理端基于告警信息中的历史封禁记录信息，确定安全产品应用封禁策略是否错误封禁ip地址。
71.具体的，本公开实施例可以根据封禁策略的历史封禁记录信息，确定该封禁策略错误封禁ip地址的第三数量，根据该第三数量确定安全产品应用封禁策略是否错误封禁ip地址。进一步地，本公开实施例可以在第三数量大于预设阈值的情况下，确定安全产品应用封禁策略错误封禁ip地址，否则，确定安全产品应用封禁策略未错误封禁ip地址。
72.可选的，运维人员可以通过管理端输入管理指令对安全产品应用封禁策略是否错误封禁ip地址的确定结果进行确认或修订。
73.可选的，本公开实施例可以在确定安全产品应用封禁策略未错误封禁ip地址的情
况下，维持封禁ip地址，并将维持封禁ip地址的封禁原因发送至用户端。
74.s530、对ip地址进行解封。
75.可选的，基于图3所示方法，如图4所示，本公开实施例提供的安全产品自响应处置方法的另一种实施方式的流程示意图，本公开实施例可以在确定安全产品应用封禁策略未错误封禁ip地址的情况下，执行步骤s540。
76.s540、利用历史封禁记录信息，确定ip地址的误报匹配率。
77.可选的，基于图4所示方法，如图5所示，本公开实施例提供的安全产品自响应处置方法的另一种实施方式中步骤s540的流程示意图，步骤s540可以包括：
78.s541、在历史封禁记录信息中，确定与ip地址关联的第一封禁记录的第一数量。
79.s542、在第一数量的第一封禁记录中，确定有误报标识的第二封禁记录的第二数量。
80.s543、根据第一数量和第二数量，确定ip地址的误报匹配率。
81.s550、确定误报匹配率是否大于预设匹配率，如果大于，则执行步骤s560。
82.可选的，预设匹配率可以为70％。可以理解的是，本公开实施例可以根据实际需求设置预设匹配率。
83.可选的，本公开实施例在确定误报匹配率不大于预设匹配率的情况下，维持封禁ip地址，并将维持封禁ip地址的封禁原因发送至用户端。
84.s560、对ip地址进行解封。
85.可以理解的是，由于安全产品实际应用的环境复杂多变，可能对某一ip地址存在频繁错误封禁的情况，本公开实施例通过该ip地址的误报匹配率，可以确定安全产品对该ip地址的错误封禁情况，从而确定是否对该ip地址进行解封，提高对错误封禁的ip地址的解封效率。
86.可选的，本公开实施例可以在确定安全产品应用封禁策略错误封禁ip地址的情况下，在策略判断历史数据库中，对封禁策略关联的历史封禁记录信息添加包括误报标识的第三封禁记录。
87.本公开实施例通过丰富策略判断历史数据库中各封禁策略的历史封禁记录信息，有利于安全产品的提供方对该安全产品进行规则优化。
88.可选的，本公开实施例可以在对ip地址进行解封后，将解封结果发送至用户端。
89.本公开提供的一种安全产品自响应处置方法，可以获得用户端发送的报障信息，其中，报障信息包括用户端的ip地址和系统访问信息；利用ip封禁记录，确定封禁ip地址的安全产品；通过ip地址和系统访问信息，调用安全产品的接口获得与报障信息对应的封禁信息，其中，封禁信息包括封禁ip地址所应用的封禁策略；在策略判断历史数据库中，获得与封禁策略关联的历史封禁记录信息；利用历史封禁记录信息，确定是否对ip地址进行解封。本公开可以整合多种安全产品，通过封禁策略的历史封禁记录信息实现数据的联动分析，在各个安全产品之间实现对用户报障的应急响应，有利于提高用户的使用体验。
90.虽然采用特定次序描绘了各操作，但是这不应当理解为要求这些操作以所示出的特定次序或以顺序次序执行来执行。在一定环境下，多任务和并行处理可能是有利的。
91.应当理解，本公开的方法实施方式中记载的各个步骤可以按照不同的顺序执行，和/或并行执行。此外，方法实施方式可以包括附加的步骤和/或省略执行示出的步骤。本公
开的范围在此方面不受限制。
92.与上述方法实施例相对应，本公开实施例还提供一种安全产品自响应处置装置，其结构如图6所示，可以包括：第一获得单元100、第一确定单元200、第二获得单元300、第三获得单元400以及第二确定单元500。
93.所述第一获得单元100，用于获得用户端发送的报障信息，其中，所述报障信息包括所述用户端的ip地址和系统访问信息。
94.所述第一确定单元200，用于利用ip封禁记录，确定封禁所述ip地址的安全产品。
95.所述第二获得单元300，用于通过所述ip地址和所述系统访问信息，调用所述安全产品的接口获得与所述报障信息对应的封禁信息，其中，所述封禁信息包括封禁所述ip地址所应用的封禁策略。
96.所述第三获得单元400，用于在策略判断历史数据库中，获得与所述封禁策略关联的历史封禁记录信息。
97.所述第二确定单元500，用于利用所述历史封禁记录信息，确定是否对所述ip地址进行解封。
98.可选的，所述第一确定单元200，具体用于查询ip封禁记录中是否存在所述ip地址，如果存在，则确定所述ip地址被封禁；根据所述ip封禁记录，确定封禁所述ip地址的安全产品。
99.可选的，所述第二确定单元500，具体用于生成包括所述历史封禁记录信息在内的告警信息；基于所述告警信息中的所述历史封禁记录信息，确定所述安全产品应用所述封禁策略是否错误封禁所述ip地址，如果是，则对所述ip地址进行解封。
100.可选的，第二确定单元500可以在确定所述安全产品应用所述封禁策略未错误封禁所述ip地址的情况下，利用所述历史封禁记录信息，确定所述ip地址的误报匹配率；确定所述误报匹配率是否大于预设匹配率，如果大于，则对所述ip地址进行解封。
101.可选的，第二确定单元500可以在所述历史封禁记录信息中，确定与所述ip地址关联的第一封禁记录的第一数量；在所述第一数量的所述第一封禁记录中，确定有误报标识的第二封禁记录的第二数量；根据所述第一数量和第二数量，确定所述ip地址的误报匹配率。
102.可选的，该装置还可以包括：第一添加单元。
103.所述第一添加单元，用于在第二确定单元500确定所述安全产品应用所述封禁策略错误封禁所述ip地址的情况下，在所述策略判断历史数据库中，对所述封禁策略关联的所述历史封禁记录信息添加包括误报标识的第三封禁记录。
104.可选的，该装置还可以包括：第一发送单元。
105.所述第一发送单元，用于在对所述ip地址进行解封后，将解封结果发送至所述用户端。
106.本公开提供的一种安全产品自响应处置装置，可以获得用户端发送的报障信息，其中，报障信息包括用户端的ip地址和系统访问信息；利用ip封禁记录，确定封禁ip地址的安全产品；通过ip地址和系统访问信息，调用安全产品的接口获得与报障信息对应的封禁信息，其中，封禁信息包括封禁ip地址所应用的封禁策略；在策略判断历史数据库中，获得与封禁策略关联的历史封禁记录信息；利用历史封禁记录信息，确定是否对ip地址进行解
封。本公开可以整合多种安全产品，通过封禁策略的历史封禁记录信息实现数据的联动分析，在各个安全产品之间实现对用户报障的应急响应，有利于提高用户的使用体验。
107.关于上述实施例中的装置，其中各个单元执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。
108.所述安全产品自响应处置装置包括处理器和存储器，上述第一获得单元100、第一确定单元200、第二获得单元300、第三获得单元400以及第二确定单元500等均作为程序单元存储在存储器中，由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
109.处理器中包含内核，由内核去存储器中调取相应的程序单元。内核可以设置一个或以上，通过调整内核参数来整合多种安全产品，通过封禁策略的历史封禁记录信息实现数据的联动分析，在各个安全产品之间实现对用户报障的应急响应，有利于提高用户的使用体验。
110.本公开实施例提供了一种计算机可读存储介质，其上存储有程序，该程序被处理器执行时实现所述安全产品自响应处置方法。
111.本公开实施例提供了一种处理器，所述处理器用于运行程序，其中，所述程序运行时执行所述安全产品自响应处置方法。
112.本公开实施例提供了一种电子设备，电子设备包括至少一个处理器、以及与处理器连接的至少一个存储器、总线；其中，处理器、存储器通过总线完成相互间的通信；处理器用于调用存储器中的程序指令，以执行上述的安全产品自响应处置方法。本文中的电子设备可以是服务器、pc、pad、手机等。
113.本公开还提供了一种计算机程序产品，当在电子设备上执行时，适于执行初始化有安全产品自响应处置方法步骤的程序。
114.本公开是参照根据本公开实施例的方法、装置、电子设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程设备的处理器以产生一个机器，使得通过计算机或其他可编程设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
115.在一个典型的配置中，电子设备包括一个或多个处理器(cpu)、存储器和总线。电子设备还可以包括输入/输出接口、网络接口等。
116.存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flash ram)，存储器包括至少一个存储芯片。存储器是计算机可读介质的示例。
117.计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算
机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。
118.在本公开的描述中，需要理解的是，如若涉及术语“上”、“下”、“前”、“后”、“左”和“右”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的位置或元件必须具有特定方位、以特定的方位构成和操作，因此不能理解为本公开的限制。
119.需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
120.本领域技术人员应明白，本公开的实施例可提供为方法、系统或计算机程序产品。因此，本公开可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本公开可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
121.以上仅为本公开的实施例而已，并不用于限制本公开。对于本领域技术人员来说，本公开可以有各种更改和变化。凡在本公开的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本公开的权利要求范围之内。