CN111162929B - 一种分级管理方法和*** - Google Patents

一种分级管理方法和*** Download PDF

Info

Publication number
CN111162929B
CN111162929B CN201911227511.6A CN201911227511A CN111162929B CN 111162929 B CN111162929 B CN 111162929B CN 201911227511 A CN201911227511 A CN 201911227511A CN 111162929 B CN111162929 B CN 111162929B
Authority
CN
China
Prior art keywords
management system
level management
information
log information
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911227511.6A
Other languages
English (en)
Other versions
CN111162929A (zh
Inventor
仇俊杰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou DPTech Technologies Co Ltd
Original Assignee
Hangzhou DPTech Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou DPTech Technologies Co Ltd filed Critical Hangzhou DPTech Technologies Co Ltd
Priority to CN201911227511.6A priority Critical patent/CN111162929B/zh
Publication of CN111162929A publication Critical patent/CN111162929A/zh
Application granted granted Critical
Publication of CN111162929B publication Critical patent/CN111162929B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/04Network management architectures or arrangements
    • H04L41/044Network management architectures or arrangements comprising hierarchical management structures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/069Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/18Closed-circuit television [CCTV] systems, i.e. systems in which the video signal is not broadcast
    • H04N7/181Closed-circuit television [CCTV] systems, i.e. systems in which the video signal is not broadcast for receiving images from a plurality of remote sources

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Multimedia (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供一种分级管理方法,所述方法包括:第一级管理***获取第二级管理***发送的告警信息;根据安全日志信息,生成安全日志信息对应的安全策略;根据告警信息对应的终端标识,确定目标第二级管理***;向目标第二级管理***发送所述安全策略,以便目标第二级管理***根据告警信息对应的终端标识确定目标第三级管理***,并且,目标第二级管理***和目标第三级管理***分别根据所述安全策略进行安全处理。这样,通过***级联的分级管理***,可以对分级管理***中各个管理***的日志信息进行汇总和管理,不需要各个管理***之间均相互通信,只要上下级管理***通信即可,实现了分级管理***中各个管理***的统一管理和安全风险的集中管控。

Description

一种分级管理方法和***
技术领域
本申请涉及网络通信技术领域,特别设计一种分级管理方法和***。
背景技术
视频监控网络是典型的分级部署网络,一般分为省、市、县三级。视频监控网络规模庞大、网络分支较多、网络摄像头(IP CAMERA,IPC)接入的地理位置十分分散,导致在视频监控网络在运行时,网络摄像头等设备的安全接入控制方面存在较大的安全风险。
目前,各级视频监控网络由各级视频监控管理***各自分别进行维护,上级视频监控管理***只能调取到下级视频监控管理***主动上报的监控数据,而上级视频监控网络无法直接对下级视频监控网络进行管理,导致上级视频监控网络无法实时了解下级视频监控网络的实际终端信息和下级视频监控网络中存在的安全风险。故此,现有技术中无法对视频监控网络中的视频终端进行统一管理和安全风险集中管控。
发明内容
有鉴于此,本申请提供一种分级管理方法和***,不需要各个管理***之间均相互通信,只要上下级管理***(即第一级管理***和第二级管理***、第二级管理系和第三级管理系)通信即可,从而实现了分级管理***中各个管理***的统一管理和安全风险的集中管控。
具体地,本申请是通过如下技术方案实现的:
一种分级管理方法,所述方法应用于分级管理***中的第一级管理***,其中,所述级联管理***包括所述第一级管理***、第二级管理***和第三级管理***;所述方法包括:
获取所述第二级管理***发送的告警信息,所述告警信息包括所述告警信息对应的终端标识和安全日志信息;
根据所述安全日志信息,生成所述安全日志信息对应的安全策略;
根据所述告警信息对应的终端标识,确定目标第二级管理***,所述目标第二级管理***为至少一第二级管理***;
向所述目标第二级管理***发送所述安全策略,以便所述目标第二级管理***根据所述告警信息对应的终端标识确定目标第三级管理***,并且,所述目标第二级管理***和所述目标第三级管理***分别根据所述安全策略进行安全处理;所述目标第三级管理***为至少一第三级管理***。
可选的,所述第一级管理***中包括历史日志信息,其中,每一历史日志信息包括以下至少一种信息:源IP地址、目的IP地址、源端口、目的端口、七层应用数据特征、通信协议、终端信息和日志事件,所述历史日志信息包括所述第一级管理***采集的历史日志信息和/或所述第二级管理***上报的历史日志信息;
所述根据所述安全日志信息,生成所述安全日志信息对应的安全策略,包括:
根据所述历史日志信息和所述安全日志信息,生成所述安全日志信息对应的安全策略。
可选的,所述第一级管理***包括多个前端终端,所述第一级管理***采集历史日志信息方式包括:
分别向所述多个前端终端发送探测报文,以便IP地址被使用的前端终端返回应答报文;
将接收到的应答报文所对应的前端终端确定为存活设备;
向存活设备发送设备发现报文,以便存活设备返回历史日志信息。
可选的,所述第一级管理***采集历史日志信息方式还包括:
根据终端信息、采集区域和/或采集时间对存活设备返回的历史日志信息进行分类且按照IP地址进行聚合,得到分类后的历史日志信息。
可选的,所述安全日志信息包括以下至少一种信息:源IP地址、目的IP地址、源端口、目的端口、七层应用数据特征、终端信息和日志事件;所述安全策略包括以下至少一种信息:源IP地址、目的IP地址、源端口、目的端口、七层应用数据特征、通信协议。
一种分级管理方法,所述方法应用于分级管理***中的第二级管理***,其中,所述级联管理***包括第一级管理***、所述第二级管理***和第三级管理***,且所述第二级管理***包括多个前端终端;所述方法包括:
当获取前端终端的通信数据,且所述通信数据不符合安全规则时,或者当获取所述第三级管理***发送的告警信息时,向所述第一级管理***发送告警信息;其中,所述告警信息包括所述前端终端的终端标识和安全日志信息;
接收所述第一级管理***发送的所述安全日志信息对应的安全策略;
根据所述安全策略进行安全处理;并且,根据所述告警信息对应的终端标识确定目标第三级管理***,向所述目标第三级管理***发送所述安全策略,以便所述目标第三级管理***根据所述安全策略进行安全处理;所述目标第三级管理***为至少一第三级管理***。
可选的,在所述接收所述第一级管理***发送的所述安全日志信息对应的安全策略之前,所述方法还包括:
分别向所述多个前端终端发送探测报文,以便IP地址被使用的前端终端返回应答报文;
将接收到的应答报文所对应的前端终端确定为存活设备;
向存活设备发送设备发现报文,以便存活设备返回历史日志信息;其中,每一历史日志信息包括以下至少一种信息:源IP地址、目的IP地址、源端口、目的端口、七层应用数据特征、通信协议、终端信息和日志事件;
向所述第一级管理***发送所述历史日志信息。
可选的,在所述向所述第一级管理***发送所述历史日志信息之前,所述方法还包括:
根据终端信息、采集区域和/或采集时间对存活设备返回的历史日志信息进行分类且按照IP地址进行聚合,得到分类后的历史日志信息。
可选的,在所述接收所述第一级管理***发送的所述安全日志信息对应的安全策略之前,所述方法还包括:
接收所述第三级管理***发送的分类后的历史日志信息;
向所述第一级管理***发送所述分类后的历史日志信息。
可选的,所述安全规则包括以下至少一种信息:源IP地址、目的IP地址、源端口、目的端口、七层应用数据特征、通信协议、终端信息;所述安全日志信息包括以下至少一种信息:源IP地址、目的IP地址、源端口、目的端口、七层应用数据特征、终端信息和日志事件;所述安全策略包括以下至少一种信息:源IP地址、目的IP地址、源端口、目的端口、七层应用数据特征、通信协议。
一种分级管理方法,所述方法应用于分级管理***中的第三级管理***,其中,所述级联管理***包括第一级管理***、第二级管理***和所述第三级管理***,且所述第三级管理***包括多个前端终端;所述方法包括:
当获取前端终端的通信数据,且所述通信数据不符合安全规则时,向所述第二级管理***发送告警信息;其中,所述告警信息包括所述前端终端的终端标识和安全日志信息;
接收所述第二级管理***发送的所述安全日志信息对应的安全策略;
根据所述安全策略进行安全处理。
可选的,在所述接收所述第二级管理***发送的所述安全日志信息对应的安全策略之前,所述方法还包括:
分别向所述多个前端终端发送探测报文,以便IP地址被使用的前端终端返回应答报文;
将接收到的应答报文所对应的前端终端确定为存活设备;
向存活设备发送设备发现报文,以便存活设备返回历史日志信息;其中,每一历史日志信息包括以下至少一种信息:源IP地址、目的IP地址、源端口、目的端口、七层应用数据特征、通信协议、终端信息和日志事件;
向所述第二级管理***发送所述历史日志信息。
可选的,在所述向所述第二级管理***发送所述历史日志信息之前,所述方法还包括:
根据终端信息、采集区域和/或采集时间对存活设备返回的历史日志信息进行分类且按照IP地址进行聚合,得到分类后的历史日志信息。
可选的,所述安全规则包括以下至少一种信息:源IP地址、目的IP地址、源端口、目的端口、七层应用数据特征、通信协议、终端信息;所述安全日志信息包括以下至少一种信息:源IP地址、目的IP地址、源端口、目的端口、七层应用数据特征、终端信息和日志事件;所述安全策略包括以下至少一种信息:源IP地址、目的IP地址、源端口、目的端口、七层应用数据特征、通信协议。
一种分级管理***,其特征在于,包括:
第一级管理***,用于获取所述第二级管理***发送的告警信息,所述告警信息包括所述告警信息对应的终端标识和安全日志信息;根据所述安全日志信息,生成所述安全日志信息对应的安全策略;根据所述告警信息对应的终端标识,确定目标第二级管理***,所述目标第二级管理***为至少一第二级管理***;向所述目标第二级管理***发送所述安全策略;
所述第二级管理***,用于当获取前端终端的通信数据,且所述通信数据不符合安全规则时,或者当获取所述第三级管理***发送的告警信息时,向所述第一级管理***发送告警信息;接收所述第一级管理***发送的所述安全日志信息对应的安全策略;根据所述安全策略进行安全处理;并且,根据所述告警信息对应的终端标识确定目标第三级管理***,向所述目标第三级管理***发送所述安全策略;所述目标第三级管理***为至少一第三级管理***
所述第三级管理***,用于当获取前端终端的通信数据,且所述通信数据不符合安全规则时,向所述第二级管理***发送告警信息;其中,所述告警信息包括所述前端终端的终端标识和安全日志信息;接收所述第二级管理***发送的所述安全日志信息对应的安全策略;根据所述安全策略进行安全处理。第三方面,本发明提供了一种可读介质,包括执行指令,当电子设备的处理器执行所述执行指令时,所述电子设备执行如上述方法中任一方法。
一种电子设备,包括处理器以及存储有执行指令的存储器,当所述处理器执行所述存储器存储的所述执行指令时,所述处理器执行如上述方法中任一方法。
由以上本申请提供的技术方案可见,第一级管理***获取告警第二级管理***发送的告警信息后,第一级管理***可以根据所述安全日志信息,生成所述安全日志信息对应的安全策略,以及根据所述目标第二级管理***的终端标识,确定目标第二级管理***;接着,向所述目标第二级管理***发送所述安全策略,以便所述第二级管理***根据所述安全策略进行安全处理。这样,通过***级联的分级管理***,可以对分级管理***中各个管理***的日志信息进行汇总和管理,不需要各个管理***之间均相互通信,只要上下级管理***(即第一级管理***和第二级管理***、第二级管理***和第三级管理***)通信即可,实现了分级管理***中各个管理***的统一管理和安全风险的集中管控。
附图说明
图1为本申请示出的一种分级管理方法的***架构图;
图2为本申请示出的一种分级管理方法的流程示意图;
图3为本申请示出的一种分级管理方法的***架构图;
图4为本申请示出的一种分级管理方法的流程示意图;
图5为本申请示出的一种分级管理方法的流程示意图;
图6为本申请示出的一种分级管理***的结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
请参见图1,图1为本申请示出的一种分级管理方法的***架构图。
图1所示的分级管理***包括第一级管理***101、第二级管理***102和第三级管理***103。其中,第一级管理***101与第二级管理***102通信连接,第二级管理***102与第三级管理***103通信连接,需要说明的是,在一种实现方式中还可以包括其他级管理***,例如第四级管理***、第五级管理***得等,其中,相邻的两级管理***互为上下级管理***关系,进行通信连接,即相邻的两级管理***之间通信连接。需要说明的是,各级管理***均可以包括多个,但同级管理***之间并没有通信连接。
举例来说,假设第二级管理***102包括多个前端终端,当第二级管理***1021获取到任一前端终端的通信数据时,若所述通信数据不符合安全规则,第二级管理***102向第一级管理***101发送告警信息,其中,所述告警信息包括所述前端终端的终端标识和安全日志信息;或者,第三级管理***103包括多个前端终端,当第三级管理***103获取到任一前端终端的通信数据时,若所述通信数据不符合安全规则,第三级管理***103向第二级管理***102发送告警信息,接着,第二级管理***102再向第一级管理***103发送该告警信息;其中,所述告警信息包括所述前端终端的终端标识和安全日志信息
第一级管理***101获取第二级管理***102发送的告警信息后,第一级管理***101根据所述安全日志信息,生成所述安全日志信息对应的安全策略,第一级管理***101可以根据所述安全策略进行安全处理;以及,第一级管理***101根据所述告警信息对应的终端标识,确定目标第二级管理***,例如,将第二级管理***102确定为目标第二级管理***;接着,第一级管理***101向第二级管理***102发送所述安全策略;第二级管理***102便可以根据所述安全策略进行安全处理,以及,根据所述告警信息对应的终端标识确定目标第三级管理***,例如,将第三级管理***103确定为目标第三级管理***,并向所述第三级管理***103发送所述安全策略,以便所述第三级管理***103根据所述安全策略进行安全处理。
需要注意的是,上述应用场景仅是为了便于理解本申请而示出,本申请的实施方式在此方面不受任何限制。相反,本申请的实施方式可以应用于适用的任何场景。
下面结合附图,详细说明本申请的各种非限制性实施方式。
参见图2,该图为本申请实施例提供的一种分级管理方法的流程示意图,需要说明的是,所述方法应用于分级管理***中的第一级管理***,其中,所述级联管理***包括所述第一级管理***、第二级管理***和第三级管理***;所述方法包括:
S201:第一级管理***获取第二级管理***发送的告警信息。
其中,向第一级管理***发送告警信息的第二级管理***可以为分级管理***中多个第二级管理***中的至少一第二级管理***,例如,可以为多个第二级管理***中的1个第二级管理***,也可以为多个第二级管理***中的2个第二级管理***。
在本实施例中,当第二级管理***确定其***中的一前端终端的通信数据不符合安全规则时,可以向第一级管理***发送告警信息。或者,当第三级管理***确定其***中的一前端终端的通信数据不符合安全规则时,可以向第二级管理***发送告警信息,第二级管理***再向第三级管理***发送该告警信息。例如,当第一级管理***和第二级管理***均为视频监控管理***时,前端终端可以为网络摄像头。
其中,该告警信息可以包括该告警信息对应的终端标识(即该前端终端的终端标识)和安全日志信息;需要说明的是,安全规则可以包括以下至少一种信息:源IP地址、目的IP地址、源端口、目的端口、七层应用数据特征、通信协议、终端信息,其中,安全规则中的信息均为预先设置的,另外,终端信息可以理解为前端终端对应的设备相关信息,例如厂商信息、类型信息;安全日志信息可以包括以下至少一种信息:源IP地址、目的IP地址、源端口、目的端口、七层应用数据特征、终端信息和日志事件,日志事件可以理解为该前端终端触发第二级管理***发送告警信息的事件,例如,安全规则包括终端信息为类型信息是网络摄像头,当该前端终端的终端信息为类型信息是PC端时,由于该前端终端的终端信息不符合安全规则,因此,可以将该前端终端的终端信息不符合安全规则作为日志事件。
需要强调的是,第一级管理***中的前端终端、第二级管理***中的前端终端和第三级管理***中的前端终端均分别设置有唯一的终端标识,可以理解的是,不同的前端终端的终端标识是互不相同的。其中,第二级管理***中所有前端终端的终端标识均由第一级管理***所分配,例如,第二级管理***中的前端终端部署时,第二级管理***可以向第一级管理***的预设接口请求获取前端终端的终端标识,第一级管理***获取到该请求后,可以为该前端终端分配一终端标识,并通过该预设接口将该终端标识向第二级管理***发送;第三级管理***中所有前端终端的终端标识均由第二级管理***所分配,例如,第三级管理***中的前端终端部署时,第三级管理***可以向第二级管理***的预设接口请求获取前端终端的终端标识,第二级管理***获取到该请求后,可以为该前端终端分配一终端标识,并通过该预设接口将该终端标识向第三级管理***发送。
接下来,将结合图3介绍S201。如图3所示,第一级管理***310包括管理服务器311和安全设备312,其中,安全设备312与多个前端摄像头313通信连接;第二级管理***320包括管理服务器321和安全设备322,其中,安全设备322与多个前端摄像头323通信连接;第三级管理***330包括管理服务器331和安全设备332,其中,安全设备332与多个前端摄像头333通信连接。当第二级管理***320中的安全设备322采集到一前端摄像头323的通信数据时,安全设备322将该通信数据向管理服务器321发送该通信数据;若管理服务器321确定前端摄像头323的通信数据不符合安全规则时,可以向第一级管理***310中的管理服务器311发送告警信息,这样,第一级管理***310便接收到第二级管理***320发送的告警信息。或者,当第三级管理***330中的安全设备332采集到一前端摄像头333的通信数据时,安全设备332将该通信数据向管理服务器331发送该通信数据;若管理服务器331确定前端摄像头333的通信数据不符合安全规则时,可以向第二级管理***320中的管理服务器321发送告警信息,第二级管理***320中的管理服务器321向第一级管理***310中的管理服务器311发送该告警信息,这样,第一级管理***310便接收到第二级管理***320发送的告警信息。
S202:所述第一级管理***根据所述安全日志信息,生成所述安全日志信息对应的安全策略。
其中,安全策略可以理解为用于处理告警信息产生原因的策略,例如安全策略可以为需要将对应安全日志信息的前端终端禁止通信或者允许通信等。在本实施例中,安全策略可以包括以下至少一种信息:源IP地址、目的IP地址、源端口、目的端口、七层应用数据特征、通信协议。
具体地,第一级管理***获取到告警信息后,由于告警信息中的安全日志信息可以反映该告警信息的原因,因此,第一级管理***可以根据告警信息中的安全日志信息生成该安全日志信息对应的安全策略,以便可以利用该安全策略解决触发告警信息的问题。例如,安全日志信息中包括终端信息为类型信息是PC端,则第一级管理***可以根据该安全日志信息生成安全策略:禁止终端类型为PC端的前端终端通信。需要说明的是,当第一级管理***收到多个告警信息时,可以根据多个告警信息之间的共同信息或者出现频率大于预设阈值的信息,生成对应的安全策略。
在一种可能的实现方式中,第一级管理***可以是根据历史日志信息和告警信息中的安全日志信息,生成该安全日志信息对应的安全策略。
需要说明的是,在本实施例中,第一级管理***中可以包括历史日志信息;其中,历史日志信息包括第一级管理***采集的历史日志信息、第二级管理***上报的历史日志信息、第三级管理***通过第二级管理***上报的历史日志信息中的至少一种;历史日志信息可以理解为前端终端在通信过程中所产生的日志信息,且历史日志信息可以反映前端终端在通信过程的通信数据,例如源IP地址、目的IP地址、源端口、目的端口、七层应用数据特征、通信协议、终端信息、日志事件,即,每一历史日志信息包括以下至少一种信息:源IP地址、目的IP地址、源端口、目的端口、七层应用数据特征、通信协议、终端信息和日志事件。
具体地,可以先在历史日志信息中确定与安全日志信息相关的历史日志信息,例如,若历史日志信息中包括安全日志信息中的部分或全部消息时,确定该历史日志信息为与该安全日志信息相关的历史日志信息;再利用与安全日志信息相关的历史日志信息,确定该安全日志信息对应的安全策略。这样,当安全日志信息中的信息数量较少时,可以通过与安全日志信息相关的历史日志信息确定更多的信息,从而可以确定更加准确、有效的安全策略。例如,安全日志信息仅包括终端信息为类型信息为PC端,则可以先确定包含终端信息为类型信息是PC端的历史日志信息,接着,可以根据这些历史日志信息确定除终端信息以外的信息,比如源IP地址、目标IP地址等信息,从而可以利用更丰富的信息确定更加准确、有效的安全策略。需要强调的是,第一级管理***、第二级管理***、第三级管理***采集历史日志信息的方式将在后面详细介绍。
S203:所述第一级管理***根据所述告警信息对应的终端标识,确定目标第二级管理***。
第一级管理***为了可以将安全策略向第二级管理***返回,第一级管理***需确定需要发送安全策略的第二级管理***,其中,为了便于描述,可以将需要发送安全策略的第二级管理***称之为目标第二级管理***,需要说明的是,目标第二级管理***可以为分级管理***中多个第二级管理***的至少一第二级管理***,且,发送告警信息的第二级管理***也可以为目标第二级管理***。
在本实施例中,第一级管理***为第二级管理***中的前端终端分配终端标识时,第二级管理***需要向第一级管理***上报与该前端终端对应的区域信息和IP地址(即前端终端对应的区域信息和IP地址)。这样,第一级管理***可以结合前端终端对应的终端标识、区域信息和IP地址,生成前端终端对应的终端标识,即前端终端对应的终端标识与前端终端的区域信息和IP地址形成唯一对应关系,也就是说,第一级管理***保存了各个前端终端的终端标识、区域信息和IP地址之间的对应关系。例如,一前端终端对应的区域信息为“XX市”、IP地址为“IP1”,则第一级管理***生成该前端终端对应的终端标识为“二级区域-IP1-1.1”。
故第一级管理***可以根据所述告警信息对应的终端标识,确定该终端标识对应的区域信息和IP地址,并根据该终端标识对应的区域信息和IP地址,确定存在与告警信息相同问题的前端终端,进而根据存在与告警信息相同问题的前端终端确定目标第二级管理***。举例来说,假设第一级管理***接收到多个告警信息,且多个告警信息中的终端标识分别对应不同的地区,比如杭州市、南昌市、长沙市,则可以将各个城市对应的第二级管理***均确定为目标第二级管理***;假设第一级管理***接收到多个告警信息,且多个告警信息中的终端标识均对应杭州市,则可以仅将杭州市对应的第二级管理***确定为目标第二级管理***。
S204:所述第一级管理***向所述目标第二级管理***发送所述安全策略,以便所述目标第二级管理***根据所述告警信息对应的终端标识确定目标第三级管理***,并且,所述目标第二级管理***和所述目标第三级管理***分别根据所述安全策略进行安全处理;所述目标第三级管理***为至少一第三级管理***。
第一级管理***生成安全策略以及确定目标第二级管理***之后,可以向目标第二级管理***发送安全策略,目标第二级管理***便可以根据安全策略进行安全处理。在一种实现方式中,目标第二级管理***可以先根据安全策略中的信息确定对应的前端终端,比如,安全策略仅包括类型信息为PC端或厂商信息为大华,则可以确定类型信息为PC端的前端终端或厂商信息为大华的前端终端;接着,再对所确定的前端终端进行安全处理,该安全处理的方式例如可以为禁止通信、允许通信或***升级等处理方式,需要说明的是,在本实施例中不对安全处理的方式进行限定。
在本实施例中,第二级管理***为第三级管理***中的前端终端分配终端标识时,第三级管理***需要向第二级管理***上报与该前端终端对应的区域信息和IP地址(即前端终端对应的区域信息和IP地址)。这样,第二级管理***可以结合前端终端对应的终端标识、区域信息和IP地址,生成前端终端对应的终端标识,即前端终端对应的终端标识与前端终端的区域信息和IP地址形成唯一对应关系,也就是说,第二级管理***保存了各个前端终端的终端标识、区域信息和IP地址之间的对应关系。例如,一前端终端对应的区域信息为“XX县”、IP地址为“IP2”,则第二级管理***生成该前端终端对应的终端标识为“三级区域-IP2-1.2”。
故第二级管理***可以根据所述告警信息对应的终端标识,确定该终端标识对应的区域信息和IP地址,并根据该终端标识对应的区域信息和IP地址,确定存在与告警信息相同问题的前端终端,进而根据存在与告警信息相同问题的前端终端确定目标第三级管理***。举例来说,假设第二级管理***接收到多个告警信息,且多个告警信息中的终端标识分别对应不同的地区,比如杭州市慈溪县、北仑县,则可以将慈溪县、北仑县分别对应的第三级管理***均确定为目标第三级管理***;假设第二级管理***接收到多个告警信息,且多个告警信息中的终端标识均对应慈溪县,则可以仅将慈溪县对应的第三级管理***确定为目标第三级管理***。
第二级管理***接收到安全策略以及确定目标第三级管理***之后,可以向目标第三级管理***发送安全策略,目标第二级管理***、目标第三级管理***便可以根据安全策略进行安全处理。在一种实现方式中,目标第三级管理***可以先根据安全策略中的信息确定对应的前端终端,比如,安全策略仅包括类型信息为PC端或厂商信息为大华,则可以确定类型信息为PC端的前端终端或厂商信息为大华的前端终端;接着,再对所确定的前端终端进行安全处理,该安全处理的方式例如可以为禁止通信、允许通信或***升级等处理方式,需要说明的是,在本实施例中不对安全处理的方式进行限定。
接下来,将结合图3介绍S204。如图3所示,第一级管理***310包括管理服务器311和安全设备312,其中,安全设备312与多个前端摄像头313通信连接;第二级管理***320包括管理服务器321和安全设备322,其中,安全设备322与多个前端摄像头323通信连接;第三级管理***330包括管理服务器331和安全设备332,其中,安全设备332与多个前端摄像头333通信连接。当第一级管理***310中的管理服务器311生成安全策略以及确定目标第二级管理***为第二级管理***310之后,管理服务器311可以向管理服务器321发送该安全策略;管理服务器321再将该安全策略向安全设备322发送,安全设备322根据该安全策略确定需要进行安全处理的前端终端323,再对所确定的前端终端323进行安全处理;第二级管理***320中的管理服务器321生成安全策略以及确定目标第二级管理***为第二级管理***320之后,管理服务器321可以向管理服务器331发送该安全策略;管理服务器331再将该安全策略向安全设备332发送,安全设备332根据该安全策略确定需要进行安全处理的前端终端3233,再对所确定的前端终端333进行安全处理;另外,管理服务器311也可以向安全设备312发送该安全策略,安全设备312根据该安全策略确定需要进行安全处理的前端终端313,再对所确定的前端终端313进行安全处理。
接下来,将介绍第一级管理***和第二级管理***采集历史日志信息的方式。需要说明的是,由于第一级管理***、第二级管理***、第三级管理***采集历史日志信息的方式相同,因此,下面将仅以第一级管理***为例进行说明。
在本实施例中,第一级管理***包括多个前端终端,具体地,所述第一级管理***采集历史日志消息方式包括:
步骤a:第一级管理***分别向所述多个前端终端发送探测报文,以便IP地址被使用的前端终端返回应答报文;
步骤b:第一级管理***将接收到的应答报文所对应的前端终端确定为存活设备。
在本实施例中,第一级管理***中保存其前端终端的IP地址,第一级管理***可以向第一级管理***中各个前端终端的IP地址发送探测报文,以确定第一级管理***中的存活设备,其中,存活设备可以理解为所对应的IP地址被使用的设备。具体地,第一级管理***向前端终端发送探测报文后,若第一级管理***接收到该前端终端返回的应答报文,则可以确定前端终端对应的IP地址被使用,即该前端终端确定为存活设备,反之,若第一级管理***不会接收到前端终端返回的应答报文,则可以确定前端终端对应的IP地址未被使用,即该前端终端确定不是存活设备;需要说明的是,为了提高测试结果的准确性,在一种实现方式中,当第一级管理***连续预设次数(比如三次)向同一前端终端对应的IP地址发送探测报文后,该前端终端均为返回应答报文时,才可以确定该前端终端对应的IP地址并未被使用。
举例说明,探测报文可以为SYN报文或ICMP报文;当第一级管理***向前端终端发送SYN报文后,若第一级管理***接收到该前端终端返回的SYN-ACK报文(即应答报文),则可以确定前端终端对应的IP地址被使用,反之,若第一级管理***不会接收到前端终端返回的SYN-ACK报文或RST报文,则可以确定前端终端对应的IP地址未被使用;当第一级管理***向前端终端发送ICMP报文后,若第一级管理***接收到该前端终端返回的ICMP应道报文(即应答报文),则可以确定前端终端对应的IP地址被使用,反之,若第一级管理***不会接收到前端终端返回ICMP应道报文,则可以确定前端终端对应的IP地址未被使用;需要说明的是,在一种实现方式中,为了避免某些终端只支持SYN报文或ICMP报文中的一种应答方式,导致探测结果不准确,可以同时采用SYN报文和ICMP报文对前端终端进行探测,若第一级管理***接收到前端终端返回SYN-ACK报文或RST报文或ICMP应道报文,均可以确定前端终端对应的IP地址被使用,若第一级管理***均未接收到前端终端返回SYN-ACK报文或RST报文或ICMP应道报文,则可以确定前端终端对应的IP地址未被使用。
接下来,将结合图3介绍步骤a和步骤b。第一级管理服务器310发送各前端设备313的IP地址下发到安全设备312中,安全设备312使用SYN报文和ICMP向前端设备313的固定端口62222发送报文,如果前端设备313向安全设备312发送SYN-ACK报文或RST报文或ICMP应道报文,则可以确定前端设备313的IP地址被使用,即前端设备313为存活设备;反之,如果前端设备313并未向安全设备312发送SYN-ACK报文、RST报文、ICMP应道报文中的至少一个报文,则可以确定前端设备313的IP地址未被使用,即前端设备313不为存活设备。
步骤c:第一级管理***向存活设备发送设备发现报文,以便存活设备返回历史日志信息。
第一级管理***确定存活设备后,为了获取存活设备的历史日志信息,第一级管理***可以向存活设备发送设备发现报文。例如,当前端终端为视频终端时,第一级管理***可以向存活设备发送设备发现报文ONVIF DISCOVER报文,以获取存活设备的历史日志信息,例如厂商信息、类型信息、型号信息等。
接下来,将结合图3介绍步骤c。当前端终端313使用的IP地址被发现后,安全设备312可以向前端设备313的IP地址发送ONVIF DISCOVER报文,如果前端终端313是视频终端,安全设备312可以获取前端终端313的型号信息,安全设备312将获取到的型号信息通过日志发送到管理服务器311,这样,管理服务器311便集成了所有主流终端厂商的设备型号,并额可以通过设备型号可以分析出被使用IP地址对应的前端终端的厂家信息、类型信息、型号信息等。
在一种可能实现方式中,为了提高第一级管理***根据历史日志信息确定的安全策略的效率,所述第一级管理***采集历史日志消息方式还可以包括:
根据终端类型、采集区域和/或采集时间对存活设备返回的历史日志信息进行分类且按照IP地址进行聚合,得到分类后的历史日志信息。
第一级管理***收到存活设备的历史日志信息后,可以分别根据终端类型、采集区域和采集时间进行分类,再分别针对每一类历史日志信息按照IP地址进行聚合,得到分类后的历史日志信息。这样,当需要根据每个IP地址对应的历史日志信息进行安全风险分析时,如一个IP访问了多少次外网、发送了多少次445端口的报文、发送了多少次ICMPInternet控制报文协议等不符合安全规则的行为,第一级管理***可以通过分类后的历史日志信息快速检索到所需要的历史日志信息。
由以上本申请提供的技术方案可见,第一级管理***获取告警第二级管理***发送的告警信息后,第一级管理***可以根据所述安全日志信息,生成所述安全日志信息对应的安全策略,以及根据所述目标第二级管理***的终端标识,确定目标第二级管理***;接着,向所述目标第二级管理***发送所述安全策略,以便所述第二级管理***根据所述安全策略进行安全处理。这样,通过***级联的分级管理***,可以对分级管理***中各个管理***的日志信息进行汇总和管理,不需要各个管理***之间均相互通信,只要上下级管理***(即第一级管理***和第二级管理***、第二级管理***和第三级管理***)通信即可,实现了分级管理***中各个管理***的统一管理和安全风险的集中管控。
参见图4,该图为本申请实施例提供的一种分级管理方法的流程示意图,需要说明的是,所述方法应用于分级管理***中的第二级管理***,其中,所述级联管理***包括第一级管理***、所述第二级管理***和所述第三级管理***,且所述第二级管理***包括多个前端终端;所述方法包括:
S401:当第二级管理***获取前端终端的通信数据,且所述通信数据不符合安全规则时,或者当获取所述第三级管理***发送的告警信息时,向所述第一级管理***发送告警信息;其中,所述告警信息包括所述前端终端的终端标识和安全日志信息;
S402:第二级管理***接收所述第一级管理***发送的所述安全日志信息对应的安全策略;
S403:第二级管理***根据所述安全策略进行安全处理;并且,根据所述告警信息对应的终端标识确定目标第三级管理***,向所述目标第三级管理***发送所述安全策略,以便所述目标第三级管理***根据所述安全策略进行安全处理;所述目标第三级管理***为至少一第三级管理***。
在本实施例中,第二级管理***可以实时获取其各个前端终端的通信数据。当第二级管理***确定其***中的一前端终端的通信数据不符合安全规则时,可以向第一级管理***发送告警信息。例如,安全规则包括访问外网的次数不超过预设值,第二级管理***中的一前端终端访问外网的次数超过该预设值时,由于该前端终端的通信数据不符合安全规则,第二级管理***可以向第一级管理***发送告警信息。或者,当第三级管理***确定其***中的一前端终端的通信数据不符合安全规则时,可以向第二级管理***发送告警信息,第二级管理***再向第三级管理***发送该告警信息。
第一级管理***根据安全日志信息,生成所述安全日志信息对应的安全策略(具体实现方式参见S202相关部分),并向第二级管理***发送该安全策略后,第二级管理***便可以根据安全策略进行安全处理。在一种实现方式中,第二级管理***可以先根据安全策略中的信息确定对应的前端终端,比如,安全策略仅包括类型信息为PC端或厂商信息为大华,则可以确定类型信息为PC端的前端终端或厂商信息为大华的前端终端;接着,再对所确定的前端终端进行安全处理,该安全处理的方式例如可以为禁止通信、允许通信或***升级等处理方式,需要说明的是,在本实施例中不对安全处理的方式进行限定。
第二级管理***接收到安全策略后,可以先根据所述告警信息对应的终端标识,确定该终端标识对应的区域信息和IP地址,并根据该终端标识对应的区域信息和IP地址,确定存在与告警信息相同问题的前端终端,进而根据存在与告警信息相同问题的前端终端确定目标第三级管理***。第二级管理***确定目标第三级管理***之后,可以向目标第三级管理***发送安全策略,第二级管理***、目标第三级管理***便可以根据安全策略进行安全处理。在一种实现方式中,目标第三级管理***可以先根据安全策略中的信息确定对应的前端终端,比如,安全策略仅包括类型信息为PC端或厂商信息为大华,则可以确定类型信息为PC端的前端终端或厂商信息为大华的前端终端;接着,再对所确定的前端终端进行安全处理,该安全处理的方式例如可以为禁止通信、允许通信或***升级等处理方式,需要说明的是,在本实施例中不对安全处理的方式进行限定。
由以上本申请提供的技术方案可见,第一级管理***获取告警第二级管理***发送的告警信息后,第一级管理***可以根据所述安全日志信息,生成所述安全日志信息对应的安全策略,以及根据所述目标第二级管理***的终端标识,确定目标第二级管理***;接着,向所述目标第二级管理***发送所述安全策略,以便所述第二级管理***根据所述安全策略进行安全处理。这样,通过***级联的分级管理***,可以对分级管理***中各个管理***的日志信息进行汇总和管理,不需要各个管理***之间均相互通信,只要上下级管理***(即第一级管理***和第二级管理***、第二级管理***和第三级管理***)通信即可,实现了分级管理***中各个管理***的统一管理和安全风险的集中管控。
为了能够使得第一级管理***可以根据安全日志信息生成更加准确有效的安全策略,第二级管理***可以采集本***中前端终端的历史日志信息,并向第一级管理***上传,以便第一级管理***可以根据历史日志信息和安全日志信息确定更加准确有效的安全策略。故在一种实现方式中,在所述接收所述第一级管理***发送的所述安全日志信息对应的安全策略之前,所述方法还包括:
步骤A:第二级管理***分别向所述多个前端终端发送探测报文,以便IP地址被使用的前端终端返回应答报文;
步骤B:第二级管理***将接收到的应答报文所对应的前端终端确定为存活设备;
步骤C:第二级管理***向存活设备发送设备发现报文,以便存活设备返回历史日志信息;其中,每一历史日志信息包括以下至少一种信息:源IP地址、目的IP地址、源端口、目的端口、七层应用数据特征、通信协议、终端信息和日志事件;
步骤D:第二级管理***向所述第一级管理***发送所述历史日志信息。
需要说明的是,上述步骤A-步骤C与上述步骤a-步骤c相同,具体实现过程可参见上述步骤a-步骤c,在此,不再赘述。
在一种可能实现方式中,为了提高第一级管理***根据历史日志信息确定的安全策略的效率,在所述向所述第一级管理***发送所述历史日志信息之前,所述方法还包括:
第二级管理***根据终端信息、采集区域和/或采集时间对存活设备返回的历史日志信息进行分类且按照IP地址进行聚合,得到分类后的历史日志信息。
第二级管理***收到存活设备的历史日志信息后,可以分别根据终端类型、采集区域和采集时间进行分类,再分别针对每一类历史日志信息按照IP地址进行聚合,得到分类后的历史日志信息,并将该分类后的历史日志信息上传至第一级管理***。这样,当需要根据每个IP地址对应的历史日志信息进行安全风险分析时,如一个IP访问了多少次外网、发送了多少次445端口的报文、发送了多少次ICMP Internet控制报文协议等不符合安全规则的行为,第一级管理***可以通过分类后的历史日志信息快速检索到所需要的历史日志信息。
在本实施例的一种实现方式中,在所述第二级管理***接收所述第一级管理***发送的所述安全日志信息对应的安全策略之前,所述方法还包括:
第二级管理***接收所述第三级管理***发送的分类后的历史日志信息;
第二级管理***向所述第一级管理***发送所述分类后的历史日志信息。
在本实施例中,第三级管理***采集历史日志信息的方式以及根据终端信息、采集区域和/或采集时间对存活设备返回的历史日志信息进行分类且按照IP地址进行聚合,得到分类后的历史日志信息的方式,与第二级管理***采集历史日志信息的方式以及根据终端信息、采集区域和/或采集时间对存活设备返回的历史日志信息进行分类且按照IP地址进行聚合,得到分类后的历史日志信息的方式相同,具体请参见第二级管理***的相关部分,这里不再赘述。
第三级管理***确定分类后的历史日志信息之后,第三级管理***可以将分类后的历史日志信息上传至第二级管理***,第二级管理***再将第三级管理***分类后的历史日志信息上报至第一级管理***。
由以上本申请提供的技术方案可见,第一级管理***获取告警第二级管理***发送的告警信息后,第一级管理***可以根据所述安全日志信息,生成所述安全日志信息对应的安全策略,以及根据所述目标第二级管理***的终端标识,确定目标第二级管理***;接着,向所述目标第二级管理***发送所述安全策略,以便所述第二级管理***根据所述安全策略进行安全处理。这样,通过***级联的分级管理***,可以对分级管理***中各个管理***的日志信息进行汇总和管理,不需要各个管理***之间均相互通信,只要上下级管理***(即第一级管理系和第二级管理系、第二级管理系和第三级管理系)通信即可,实现了分级管理***中各个管理***的统一管理和安全风险的集中管控。
参见图5,该图为本申请实施例提供的一种分级管理方法的流程示意图,需要说明的是,所述方法应用于分级管理***中的第三级管理***,其中,所述级联管理***包括第一级管理***、第二级管理***和所述第三级管理***,且所述第三级管理***包括多个前端终端;所述方法包括:
S501:当第三级管理***获取前端终端的通信数据,且所述通信数据不符合安全规则时,向所述第二级管理***发送告警信息;其中,所述告警信息包括所述前端终端的终端标识和安全日志信息;
S502:第三级管理***接收所述第二级管理***发送的所述安全日志信息对应的安全策略;
S503:第三级管理***根据所述安全策略进行安全处理。
在本实施例中,第三级管理***可以实时获取其各个前端终端的通信数据。当第三级管理***确定其***中的一前端终端的通信数据不符合安全规则时,可以向第二级管理***发送告警信息,以便第二级管理***可以向第一级管理***发送告警信息,第一级管理***根据安全日志信息,生成所述安全日志信息对应的安全策略(具体实现方式参见S202相关部分)。例如,安全规则包括访问外网的次数不超过预设值,第三级管理***中的一前端终端访问外网的次数超过该预设值时,由于该前端终端的通信数据不符合安全规则,第三级管理***可以向第二级管理***发送告警信息,第二级管理***再将该告警信息向第一级管理***发送。
第一级管理***根据安全日志信息,生成所述安全日志信息对应的安全策略,并向第二级管理***发送该安全策略(具体实现方式参见S202、S203相关部分)后,第二级管理***便可以根据安全策略进行安全处理。并且,第二级管理***接收到安全策略后,可以先根据所述告警信息对应的终端标识,确定该终端标识对应的区域信息和IP地址,并根据该终端标识对应的区域信息和IP地址,确定存在与告警信息相同问题的前端终端,进而根据存在与告警信息相同问题的前端终端确定目标第三级管理***。第二级管理***确定目标第三级管理***之后,可以向目标第三级管理***发送安全策略,第二级管理***、目标第三级管理***便可以根据安全策略进行安全处理。在一种实现方式中,目标第三级管理***可以先根据安全策略中的信息确定对应的前端终端,比如,安全策略仅包括类型信息为PC端或厂商信息为大华,则可以确定类型信息为PC端的前端终端或厂商信息为大华的前端终端;接着,再对所确定的前端终端进行安全处理,该安全处理的方式例如可以为禁止通信、允许通信或***升级等处理方式,需要说明的是,在本实施例中不对安全处理的方式进行限定。
由以上本申请提供的技术方案可见,第一级管理***获取告警第二级管理***发送的告警信息后,第一级管理***可以根据所述安全日志信息,生成所述安全日志信息对应的安全策略,以及根据所述目标第二级管理***的终端标识,确定目标第二级管理***;接着,向所述目标第二级管理***发送所述安全策略,以便所述第二级管理***根据所述安全策略进行安全处理。这样,通过***级联的分级管理***,可以对分级管理***中各个管理***的日志信息进行汇总和管理,不需要各个管理***之间均相互通信,只要上下级管理***(即第一级管理系和第二级管理系)通信即可,实现了分级管理***中各个管理***的统一管理和安全风险的集中管控。
为了能够使得第一级管理***可以根据安全日志信息生成更加准确有效的安全策略,第三级管理***可以采集本***中前端终端的历史日志信息,并通过第二级管理***向第一级管理***上传,以便第一级管理***可以根据历史日志信息和安全日志信息确定更加准确有效的安全策略。故在一种实现方式中,在所述接收所述第二级管理***发送的所述安全日志信息对应的安全策略之前,所述方法还包括:
步骤1:第三级管理***分别向所述多个前端终端发送探测报文,以便IP地址被使用的前端终端返回应答报文;
步骤2:第三级管理***将接收到的应答报文所对应的前端终端确定为存活设备;
步骤3:第三级管理***向存活设备发送设备发现报文,以便存活设备返回历史日志信息;其中,每一历史日志信息包括以下至少一种信息:源IP地址、目的IP地址、源端口、目的端口、七层应用数据特征、通信协议、终端信息和日志事件;
步骤4:第三级管理***向所述第二级管理***发送所述历史日志信息,以便所述第二级管理***向第一级管理***发送所述历史日志信息。
需要说明的是,上述步骤1-步骤3与上述步骤a-步骤c相同,具体实现过程可参见上述步骤a-步骤c,在此,不再赘述。
在一种可能实现方式中,为了提高第一级管理***根据历史日志信息确定的安全策略的效率,在步骤4之前,所述方法还包括:
第三级管理***根据终端信息、采集区域和/或采集时间对存活设备返回的历史日志信息进行分类且按照IP地址进行聚合,得到分类后的历史日志信息。
第三级管理***收到存活设备的历史日志信息后,可以分别根据终端类型、采集区域和采集时间进行分类,再分别针对每一类历史日志信息按照IP地址进行聚合,得到分类后的历史日志信息,并将该分类后的历史日志信息上传至第二级管理***,以便所述第二级管理***向第一级管理***发送所述分类后的历史日志信息。这样,当需要根据每个IP地址对应的历史日志信息进行安全风险分析时,如一个IP访问了多少次外网、发送了多少次445端口的报文、发送了多少次ICMP Internet控制报文协议等不符合安全规则的行为,第一级管理***可以通过分类后的历史日志信息快速检索到所需要的历史日志信息。
由以上本申请提供的技术方案可见,第一级管理***获取告警第二级管理***发送的告警信息后,第一级管理***可以根据所述安全日志信息,生成所述安全日志信息对应的安全策略,以及根据所述目标第二级管理***的终端标识,确定目标第二级管理***;接着,向所述目标第二级管理***发送所述安全策略,以便所述第二级管理***根据所述安全策略进行安全处理。这样,通过***级联的分级管理***,可以对分级管理***中各个管理***的日志信息进行汇总和管理,不需要各个管理***之间均相互通信,只要上下级管理***(即第一级管理***和第二级管理***、第二级管理***和第三级管理***)通信即可,实现了分级管理***中各个管理***的统一管理和安全风险的集中管控。
请参见图6,图6为本申请示出的一种分级管理***的结构示意图,所述分级管理***包括:
第一级管理***601,用于获取所述第二级管理***发送的告警信息,所述告警信息包括所述告警信息对应的终端标识和安全日志信息;根据所述安全日志信息,生成所述安全日志信息对应的安全策略;根据所述告警信息对应的终端标识,确定目标第二级管理***,所述目标第二级管理***为至少一第二级管理***;向所述目标第二级管理***发送所述安全策略;
所述第二级管理***602,用于当获取前端终端的通信数据,且所述通信数据不符合安全规则时,或者当获取所述第三级管理***发送的告警信息时,向所述第一级管理***发送告警信息;接收所述第一级管理***发送的所述安全日志信息对应的安全策略;根据所述安全策略进行安全处理;并且,根据所述告警信息对应的终端标识确定目标第三级管理***,向所述目标第三级管理***发送所述安全策略;所述目标第三级管理***为至少一第三级管理***
所述第三级管理***603,用于当获取前端终端的通信数据,且所述通信数据不符合安全规则时,向所述第二级管理***发送告警信息;其中,所述告警信息包括所述前端终端的终端标识和安全日志信息;接收所述第二级管理***发送的所述安全日志信息对应的安全策略;根据所述安全策略进行安全处理。
本申请提供了一种可读介质,包括执行指令,当电子设备的处理器执行所述执行指令时,所述电子设备执行上述方法中对应步骤的实现过程,在此不再赘述。
本申请提供了一种电子设备,包括处理器以及存储有执行指令的存储器,当所述处理器执行所述存储器存储的所述执行指令时,所述处理器执行如上述方法中对应步骤的实现过程,在此不再赘述。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。

Claims (15)

1.一种分级管理方法,其特征在于,所述方法应用于分级管理***中的第一级管理***,其中,所述分级管理***包括所述第一级管理***、第二级管理***和第三级管理***,且所述第二级管理***和所述第三级管理***包括多个前端终端;所述方法包括:
获取所述第二级管理***发送的告警信息,所述告警信息包括所述告警信息对应的前端终端的终端标识和安全日志信息,其中,所述终端标识为在所述前端终端原有的终端标识中添加所述前端终端对应的区域信息和IP地址而生成;
根据所述安全日志信息,生成所述安全日志信息对应的安全策略;
根据所述告警信息对应的终端标识,确定目标第二级管理***,所述目标第二级管理***为至少一第二级管理***;
向所述目标第二级管理***发送所述安全策略,以便所述目标第二级管理***根据所述告警信息对应的终端标识确定目标第三级管理***,并且,所述目标第二级管理***和所述目标第三级管理***分别根据所述安全策略进行安全处理;所述目标第三级管理***为至少一第三级管理***。
2.根据权利要求1所述的方法,其特征在于,所述第一级管理***中包括历史日志信息,其中,每一历史日志信息包括以下至少一种信息:源IP地址、目的IP地址、源端口、目的端口、七层应用数据特征、通信协议、终端信息和日志事件,所述历史日志信息包括所述第一级管理***采集的历史日志信息和/或所述第二级管理***上报的历史日志信息;
所述根据所述安全日志信息,生成所述安全日志信息对应的安全策略,包括:
根据所述历史日志信息和所述安全日志信息,生成所述安全日志信息对应的安全策略。
3.根据权利要求2所述的方法,其特征在于,所述第一级管理***包括多个前端终端,所述第一级管理***采集历史日志信息方式包括:
分别向所述多个前端终端发送探测报文,以便IP地址被使用的前端终端返回应答报文;
将接收到的应答报文所对应的前端终端确定为存活设备;
向存活设备发送设备发现报文,以便存活设备返回历史日志信息。
4.根据权利要求3所述的方法,其特征在于,所述第一级管理***采集历史日志信息方式还包括:
根据终端信息、采集区域和/或采集时间对存活设备返回的历史日志信息进行分类且按照IP地址进行聚合,得到分类后的历史日志信息。
5.根据权利要求1-4任一所述的方法,其特征在于,所述安全日志信息包括以下至少一种信息:源IP地址、目的IP地址、源端口、目的端口、七层应用数据特征、终端信息和日志事件;所述安全策略包括以下至少一种信息:源IP地址、目的IP地址、源端口、目的端口、七层应用数据特征、通信协议。
6.一种分级管理方法,其特征在于,所述方法应用于分级管理***中的第二级管理***,其中,所述分级管理***包括第一级管理***、所述第二级管理***和第三级管理***,且所述第二级管理***和第三级管理***包括多个前端终端;所述方法包括:
当获取所述第三级管理***发送的告警信息时,向所述第一级管理***发送告警信息;其中,所述告警信息包括所述前端终端的终端标识和安全日志信息,所述终端标识为在所述前端终端原有的终端标识中添加所述前端终端对应的区域信息和IP地址而生成;
接收所述第一级管理***发送的所述安全日志信息对应的安全策略;
根据所述安全策略进行安全处理;并且,根据所述告警信息对应的终端标识确定目标第三级管理***,向所述目标第三级管理***发送所述安全策略,以便所述目标第三级管理***根据所述安全策略进行安全处理;所述目标第三级管理***为至少一第三级管理***。
7.根据权利要求6所述的方法,其特征在于,在所述接收所述第一级管理***发送的所述安全日志信息对应的安全策略之前,所述方法还包括:
分别向所述多个前端终端发送探测报文,以便IP地址被使用的前端终端返回应答报文;
将接收到的应答报文所对应的前端终端确定为存活设备;
向存活设备发送设备发现报文,以便存活设备返回历史日志信息;其中,每一历史日志信息包括以下至少一种信息:源IP地址、目的IP地址、源端口、目的端口、七层应用数据特征、通信协议、终端信息和日志事件;
向所述第一级管理***发送所述历史日志信息。
8.根据权利要求7所述的方法,其特征在于,在所述向所述第一级管理***发送所述历史日志信息之前,所述方法还包括:
根据终端信息、采集区域和/或采集时间对存活设备返回的历史日志信息进行分类且按照IP地址进行聚合,得到分类后的历史日志信息。
9.据权利要求6-8任一所述方法,其特征在于,在所述接收所述第一级管理***发送的所述安全日志信息对应的安全策略之前,所述方法还包括:
接收所述第三级管理***发送的分类后的历史日志信息;
向所述第一级管理***发送所述分类后的历史日志信息。
10.根据权利要求6-8任一所述方法,其特征在于,安全规则包括以下至少一种信息:源IP地址、目的IP地址、源端口、目的端口、七层应用数据特征、通信协议、终端信息;所述安全日志信息包括以下至少一种信息:源IP地址、目的IP地址、源端口、目的端口、七层应用数据特征、终端信息和日志事件;所述安全策略包括以下至少一种信息:源IP地址、目的IP地址、源端口、目的端口、七层应用数据特征、通信协议。
11.一种分级管理方法,其特征在于,所述方法应用于分级管理***中的第三级管理***,其中,所述分级管理***包括第一级管理***、第二级管理***和所述第三级管理***,且所述第二级管理***和所述第三级管理***包括多个前端终端;所述方法包括:
当获取前端终端的通信数据,且所述通信数据不符合安全规则时,向所述第二级管理***发送告警信息;其中,所述告警信息包括所述前端终端的终端标识和安全日志信息,所述终端标识为在所述前端终端原有的终端标识中添加所述前端终端对应的区域信息和IP地址而生成;
接收所述第二级管理***发送的所述安全日志信息对应的安全策略;
根据所述安全策略进行安全处理。
12.根据权利要求11所述的方法,其特征在于,在所述接收所述第二级管理***发送的所述安全日志信息对应的安全策略之前,所述方法还包括:
分别向所述多个前端终端发送探测报文,以便IP地址被使用的前端终端返回应答报文;
将接收到的应答报文所对应的前端终端确定为存活设备;
向存活设备发送设备发现报文,以便存活设备返回历史日志信息;其中,每一历史日志信息包括以下至少一种信息:源IP地址、目的IP地址、源端口、目的端口、七层应用数据特征、通信协议、终端信息和日志事件;
向所述第二级管理***发送所述历史日志信息。
13.根据权利要求12所述的方法,其特征在于,在所述向所述第二级管理***发送所述历史日志信息之前,所述方法还包括:
根据终端信息、采集区域和/或采集时间对存活设备返回的历史日志信息进行分类且按照IP地址进行聚合,得到分类后的历史日志信息。
14.据权利要求11-13任一所述方法,其特征在于,所述安全规则包括以下至少一种信息:源IP地址、目的IP地址、源端口、目的端口、七层应用数据特征、通信协议、终端信息;所述安全日志信息包括以下至少一种信息:源IP地址、目的IP地址、源端口、目的端口、七层应用数据特征、终端信息和日志事件;所述安全策略包括以下至少一种信息:源IP地址、目的IP地址、源端口、目的端口、七层应用数据特征、通信协议。
15.一种分级管理***,其特征在于,包括:
第一级管理***,用于获取第二级管理***发送的告警信息,所述告警信息包括所述告警信息对应的终端标识和安全日志信息;根据所述安全日志信息,生成所述安全日志信息对应的安全策略;根据所述告警信息对应的终端标识,确定目标第二级管理***,所述目标第二级管理***为至少一第二级管理***;向所述目标第二级管理***发送所述安全策略;
所述第二级管理***,用于当获取第三级管理***发送的告警信息时,向所述第一级管理***发送告警信息;接收所述第一级管理***发送的所述安全日志信息对应的安全策略;根据所述安全策略进行安全处理;并且,根据所述告警信息对应的终端标识确定目标第三级管理***,向所述目标第三级管理***发送所述安全策略;所述目标第三级管理***为至少一第三级管理***;
所述第三级管理***,用于当获取前端终端的通信数据,且所述通信数据不符合安全规则时,向所述第二级管理***发送告警信息;其中,所述告警信息包括所述前端终端的终端标识和安全日志信息,其中,所述终端标识为在所述前端终端原有的终端标识中添加所述前端终端对应的区域信息和IP地址而生成;接收所述第二级管理***发送的所述安全日志信息对应的安全策略;根据所述安全策略进行安全处理。
CN201911227511.6A 2019-12-04 2019-12-04 一种分级管理方法和*** Active CN111162929B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911227511.6A CN111162929B (zh) 2019-12-04 2019-12-04 一种分级管理方法和***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911227511.6A CN111162929B (zh) 2019-12-04 2019-12-04 一种分级管理方法和***

Publications (2)

Publication Number Publication Date
CN111162929A CN111162929A (zh) 2020-05-15
CN111162929B true CN111162929B (zh) 2022-11-01

Family

ID=70556367

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911227511.6A Active CN111162929B (zh) 2019-12-04 2019-12-04 一种分级管理方法和***

Country Status (1)

Country Link
CN (1) CN111162929B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117453257B (zh) * 2023-12-25 2024-03-26 深圳万物安全科技有限公司 基于分级管理的升级方法、终端设备及可读存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101022367A (zh) * 2007-03-27 2007-08-22 杭州华为三康技术有限公司 网络管理的方法和***
CN101562541A (zh) * 2009-05-19 2009-10-21 杭州华三通信技术有限公司 一种统一管理方法和装置
CN204498251U (zh) * 2015-01-29 2015-07-22 四川瑞康电源设备有限公司 一种基于sip协议的通用视频监控上墙解码设备
CN106055984A (zh) * 2016-05-27 2016-10-26 浪潮电子信息产业股份有限公司 一种应用于安全基线软件的分级管理方法
CN107276830A (zh) * 2017-07-28 2017-10-20 郑州云海信息技术有限公司 一种安全网络的级联管理***和方法
WO2018107811A1 (zh) * 2016-12-14 2018-06-21 平安科技(深圳)有限公司 网络安全联合防御方法、装置、服务器和存储介质

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101022367A (zh) * 2007-03-27 2007-08-22 杭州华为三康技术有限公司 网络管理的方法和***
CN101562541A (zh) * 2009-05-19 2009-10-21 杭州华三通信技术有限公司 一种统一管理方法和装置
CN204498251U (zh) * 2015-01-29 2015-07-22 四川瑞康电源设备有限公司 一种基于sip协议的通用视频监控上墙解码设备
CN106055984A (zh) * 2016-05-27 2016-10-26 浪潮电子信息产业股份有限公司 一种应用于安全基线软件的分级管理方法
WO2018107811A1 (zh) * 2016-12-14 2018-06-21 平安科技(深圳)有限公司 网络安全联合防御方法、装置、服务器和存储介质
CN107276830A (zh) * 2017-07-28 2017-10-20 郑州云海信息技术有限公司 一种安全网络的级联管理***和方法

Also Published As

Publication number Publication date
CN111162929A (zh) 2020-05-15

Similar Documents

Publication Publication Date Title
US10904277B1 (en) Threat intelligence system measuring network threat levels
CN108494810B (zh) 面向攻击的网络安全态势预测方法、装置及***
US20100077078A1 (en) Network traffic analysis using a dynamically updating ontological network description
CN110888783A (zh) 微服务***的监测方法、装置以及电子设备
CN113098828B (zh) 网络安全报警方法及装置
CN112989330B (zh) 容器的入侵检测方法、装置、电子设备及存储介质
KR20060013491A (ko) 어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 판독 가능 기록 매체 및 어택 서명 생성 장치
CN113190423B (zh) 业务数据的监控方法、装置及***
CN109063486B (zh) 一种基于plc设备指纹识别的安全渗透测试方法与***
CN106034051A (zh) 网络监控数据处理方法及网络监控数据处理装置
CN109309591B (zh) 流量数据统计方法、电子设备及存储介质
CN110035062A (zh) 一种网络验伤方法及设备
CN113938524B (zh) 基于流量代理的物联网终端敏感信息泄露监测方法及***
CN113489711B (zh) DDoS攻击的检测方法、***、电子设备和存储介质
CN113438110B (zh) 一种集群性能的评价方法、装置、设备及存储介质
CN110149319A (zh) Apt组织的追踪方法及装置、存储介质、电子装置
CN114422325A (zh) 内容分发网络异常定位方法、装置、设备及存储介质
CN108566363A (zh) 基于流式计算的暴力破解确定方法和***
CN116614287A (zh) 一种网络安全事件评估处理方法、装置、设备及介质
CN113691507A (zh) 一种工业控制网络安全检测方法及***
CN111162929B (zh) 一种分级管理方法和***
US20080072321A1 (en) System and method for automating network intrusion training
CN111526109A (zh) 自动检测web威胁识别防御***的运行状态的方法及装置
CN113890820A (zh) 一种数据中心网络故障节点诊断方法及***
CN114205146B (zh) 一种多源异构安全日志的处理方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant