CN112398778B - 一种对模块化环境中的安全问题自动响应的方法 - Google Patents

Abstract

本发明公开了一种对模块化环境中的安全问题自动响应的方法，其特征在于：通过模块管理***将服务器的进程进行模块化，实时采集所有模块的安全性能指标；所述模块管理***对采集的相关安全指标自动进行预测分析，匹配安全策略库自动启动安全应对措施，同时对正常性能数据进行分模块展示；所述安全策略库根据所呈现威胁的置信水平的变化向管理员连续推荐应对策略。本发明的优点在于本发明使用了模块化管理***，将检测对象的安全性能指标进行模块化。安全性能指标数据正常的监测对象可以分模块展示，对于安全威胁事件，可以连续动态的提供应对策略，在安全事件处理效率上具有极大的提高，同时节约了处理时间。

Description

一种对模块化环境中的安全问题自动响应的方法

技术领域

本发明属于安全事件的处理方法领域，尤其涉及一种对模块化环境中的安全问题自动响应的方法。

背景技术

随着信息化进程的飞速发展，计算机***已经成为现代企业的一部分。近年来各行业信息化建设不断完善，业务的操作也越来越集中于信息***或信息平台。***的安全工作也日渐重要，如何快速正确的反应***所遇到的各类安全问题也成为运维人员的工作重点之一。

目前针对突发安全事件，业界普遍采用安全事件分级,这种工作方式对应的处理方式可能会随着时间推进在动态变化中变得不再合适，从而在管理上不能做到准确的安全运维，存在漏洞。在后续出现问题需要人工逐步排查，用户需要一种同时满足实时性、智能化和安全性良好的故障应对方法。业界长期以来对事后分析的重视度不高，因为运维人员面对的故障原因多种多样，事后分析的结果很难明显的作用于下一次故障的预防或处理上。

发明内容

本发明提供了一种对模块化环境中的安全问题自动响应的方法，解决安全事件发生时得到相关的正确应对方案费时，效率低的问题。

本发明是通过以下技术方案来实现：

一种对模块化环境中的安全问题自动响应的方法，其特征在于：

通过模块管理***将服务器的进程进行模块化，实时采集所有模块的安全性能指标；

所述模块管理***对采集的相关安全指标自动进行预测分析，匹配安全策略库自动启动安全应对措施，同时对正常性能数据进行分模块展示并通过存储模块存储；

所述安全策略库根据所呈现威胁的置信水平的变化向管理员连续推荐应对策略。

优选的：所述模块化采集步骤：

步骤一：服务器启动，模块管理***启动一个安全事件指标采集进程，安全事件采集进程根据固定的时间，分模块对检测对象采集安全性能值、关联日志、标准、错误输出、流量、访问IP；

步骤二：以“性能指标名+ip+key+性能指标值”方式保存每个模块的安全性能指标。

优选的：所述模块管理***会根据服务器的启动的进程，对应启动安全性能采集线程，负责采集对应进程的安全性能指标，一分钟采集一次，并将采集后的性能指标加入发送队列；所述进程停止时，对应采集线程也停止。

优选的：所述模块化采集步骤二中“key”用于一份指标具有多份不同数据是进行区分存储，当一份指标只有一份数据时，key为空。

优选的：所述模块管理***按照模块图形化展示安全性能指标，用于管理员查进行单机服务性能查看和整体性能查看，整体性能由数据叠加产生。

优选的：所述模块管理***包括安全事件分析模块，所述安全事件分析模块对一个或者多个相关安全指标进行预测时，自动启动的应对措施包括对一个或多个防火墙修改；从***环境中移除对应进程；将相关模块隔离，阻止IP防问。

优选的：所述安全策略库根据模块管理***采集的安全性能指标所呈现威胁的置信水平进行连续推荐应对策略的步骤包括：

步骤一：所述安全策略库根据模块化管理***基于未知威胁来传送第一组推荐动作；

步骤二：所述安全策略库根据进一步收到所呈现未知威胁的相关信息，将第二组建议推荐动作于管理员；

步骤三：继续收集所呈现未知威胁的相关信息，将第三组建议推荐动作于管理员；

步骤四：重复收集所呈现位置威胁的相关信息，不断推荐能够解决未知威胁的建议动作于管理员。

优选的：所述管理员通过安全策略库提供的应对策略列表确定首选对应策略作为模块管理***默认应对策略；所述安全策略库提供于管理员的应对策略基于管理员的先前选择。

优选的：一种模块管理***，其特征在于，包括：

服务器进程模块化模块:用于将服务器中运行的进程进行模块划分，便于采集安全性能值、相关日志、标准、错误输出、流量、防问IP地址；

安全事件分析模块：用于对模块化采集的安全性能指标进行预测分析，判别安全时间为已知威胁、未知威胁和正常性能值，同时在模块展示界面显示正常性能指标；

安全策略库：用于对所存在的威胁进行推荐应对策略，无管理员参与，默认采取安全策略库第一条应对策略，若管理员参与，根据威胁相关信息的获取，为管理员动态提供应对策略列表，不断更新最优推荐列表，去除无法解决威胁的应对策略；

安全事件处理模块：用于提取安全策略库动态提供的应对策略，进行威胁事件处理；

储存模块：用于储存运行参数、缓存事件参数。

优选的：一种安全事件管理平台，其特征在于：包括至少一个权利要求1～7任一所述的模块管理***、至少一个如权利要求1、7、8或9任一所述的安全策略库以及至少一个和模块管理***连接的分模块展示界面

附图说明与现有技术相比，本发明具有以下有益的技术效果：

本发明的优点在于本发明使用了模块化管理***，将检测对象的安全性能指标进行模块化。安全性能指标数据正常的监测对象可以分模块展示，对于安全威胁事件，可以连续动态的提供应对策略，在安全事件处理效率上具有极大的提高，同时节约了处理时间。

附图说明

图1为本发明在模块化环境中进行动态响应的流程图；

图2为本发明模块化环境的结构示意图；

图3为本发明的动态选择对应策略结构示意图；

具体实施方式

下面结合附图对本发明做进一步详细描述，所述是对本发明的解释而不是限定。

根据图1、图2和图3所示的一种对模块化环境中的安全问题自动响应的方法，首先在通过模块管理***将服务器的进程进行模块化，实时采集所有模块的安全性能指标。然后经过模块管理***对采集的相关安全指标自动进行预测分析，匹配安全策略库自动启动安全应对措施，同时对正常性能数据进行分模块展示。最厚根据安全策略库根据所呈现威胁的置信水平的变化向管理员连续推荐应对策略。

本发明在计算机环境下，通过计算机读取事件信息，包括资产配置数据，然后通过模块管理***将整个数据模块化，同时对数据进行检测。采集模块化后数据的安全性能指标。所采集的数据包括安全性能只，相关的日志、标准、错误的输出、流量和防问的ip地址等等。并对模块管理***中正常性能的数据进行在展示界面分模块展示。对于预测过后可能是威胁的数据通过告警模块报告给管理员。同时模块管理***生成性能报表，通过性能报表进行对对应的威胁选择对应的应对策略。也便于管理员对于***的运行状态和趋势总体了解。

本发明在模块化采集步骤：

步骤一：服务器启动，模块管理***启动一个安全事件指标采集进程，安全事件采集进程根据固定的时间，分模块对检测对象采集安全性能值、关联日志、标准、错误输出、流量、访问IP；

步骤二：以“性能指标名+ip+key+性能指标值”方式保存每个模块的安全性能指标。

本模块化采集步骤中，采集数据相对于多级采集的方法更加精确，采集的数据以模块化的方式进行存储，条理清晰，便于找到对应的处理方法。

模块管理***会根据服务器的启动的进程，对应启动安全性能采集线程，负责采集对应进程的安全性能指标，一分钟采集一次，并将采集后的性能指标加入发送队列；所述进程停止时，对应采集线程也停止。按照***的进程进行采集数据，进程停止，数据采集也结束，可以极大减少内存专用，使得***在运行时更加精确。

模块化采集步骤二中“key”用于一份指标具有多份不同数据是进行区分存储，当一份指标只有一份数据时，key为空。便于区分一份指标中的不同数据，对于威胁的的判断更加精确。

模块管理***按照模块图形化展示安全性能指标，用于管理员查进行单机服务性能查看和整体性能查看，整体性能由数据叠加产生。本发明通过模块化的展示，数据划分明确，既可以整体查看，也可以单一查询，在数据查询上具有极大的便利性。

模块管理***对一个或者多个相关安全指标进行预测时，自动启动的应对措施包括对一个或多个防火墙修改；从***环境中移除对应进程；将相关模块隔离，阻止IP防问。自动启动模式可以防止在管理员未察觉的情况下，***的自我防护功能。。

安全策略库根据模块管理***采集的安全性能指标所呈现威胁的置信水平进行连续推荐应对策略的步骤包括：

步骤一：所述安全策略库根据模块化管理***基于未知威胁来传送第一组推荐动作；

步骤二：所述安全策略库根据进一步收到所呈现未知威胁的相关信息，将第二组建议推荐动作于管理员；

步骤三：继续收集所呈现未知威胁的相关信息，将第三组建议推荐动作于管理员；

步骤四：重复收集所呈现位置威胁的相关信息，不断推荐能够解决未知威胁的建议动作于管理员。

本过程是本发明的动态选择应对策略的步骤，通过上述步骤，对于未知威胁事件可以通过对未知威胁事件的相关信息更加了解，安全策略库不断提供更加优秀的应对策略。

管理员通过安全策略库提供的应对策略列表确定首选对应策略作为模块管理***默认应对策略；所述安全策略库提供于管理员的应对策略基于管理员的先前选择。

一种模块管理***，其特征在于，包括：服务器进程模块化模块:用于将服务器中运行的进程进行模块划分，便于采集安全性能值、相关日志、标准、错误输出、流量、防问IP地址；安全事件分析模块：用于对模块化采集的安全性能指标进行预测分析，判别安全时间为已知威胁、未知威胁和正常性能值，同时在模块展示界面显示正常性能指标；安全策略库：用于对所存在的威胁进行推荐应对策略，无管理员参与，默认采取安全策略库第一条应对策略，若管理员参与，根据威胁相关信息的获取，为管理员动态提供应对策略列表，不断更新最优推荐列表，去除无法解决威胁的应对策略；安全事件处理模块：用于提取安全策略库动态提供的应对策略，进行威胁事件处理；储存模块：用于储存运行参数、缓存事件参数。储存模块还用于存储各个安全事件的发生次数，发生频率等等。

一种安全事件管理平台模块管理***、和模块管理***连接的分模块展示界面。安全事件管理平台是本方法运行的基础，是对本方法进行实施的必要要求。根据本安全事件管理平台可以迅速的找到未知威胁的应对策略，在效率上更加迅速。极大的提高了在处理未知威胁方面的程序，适用于大规模，集成化高的集体网络进行网络防护，提高了网络安全。

以上给出的实施例是实现本发明较优的例子，本发明不限于上述实施例。本领域的技术人员根据本发明技术方案的技术特征所做出的任何非本质的添加、替换，均属于本发明的保护范围。

Claims (8)

1.一种对模块化环境中的安全问题自动响应的方法，其特征在于：

通过模块管理***的服务器进程采集模块将服务器的进程进行模块化，实时采集所有模块的安全性能指标；

所述模块管理***对采集的相关安全指标自动进行预测分析，匹配安全策略库自动启动安全应对措施，同时对正常性能数据进行分模块展示并通过存储模块存储；

所述安全策略库根据所呈现威胁的置信水平的变化向管理员连续推荐应对策略；所述安全策略库根据模块管理***采集的安全性能指标所呈现威胁的置信水平进行连续推荐应对策略的步骤包括：

步骤一：所述安全策略库根据模块化管理***基于未知威胁来传送第一组推荐动作；

步骤二：所述安全策略库根据进一步收到所呈现未知威胁的相关信息，将第二组建议推荐动作于管理员；

步骤三：继续收集所呈现未知威胁的相关信息，将第三组建议推荐动作于管理员；

步骤四：重复收集所呈现位置威胁的相关信息，不断推荐能够解决未知威胁的建议动作于管理员。

2.根据权利要求1所述的一种对模块化环境中的安全问题自动响应的方法，其特征在于,所述实时采集步骤包括：

步骤一：服务器启动，模块管理***启动一个安全事件指标采集进程，安全事件采集进程根据固定的时间，分模块对检测对象采集安全性能值、关联日志、标准、错误输出、流量、访问IP；

步骤二：以“性能指标名+ip+key+性能指标值”方式保存每个模块的安全性能指标。

3.根据权利要求1或2所述的一种对模块化环境中的安全问题自动响应的方法，其特征在于：所述模块管理***会根据服务器启动的进程，对应启动安全性能采集线程，负责采集对应进程的安全性能指标，一分钟采集一次，并将采集后的性能指标加入发送队列；所述进程停止时，对应采集线程也停止。

4.根据权利要求2所述的一种对模块化环境中的安全问题自动响应的方法，其特征在于：所述模块化采集步骤二中“key”用于一份指标具有多份不同数据是进行区分存储，当一份指标只有一份数据时，key为空。

5.根据权利要求1所述的一种对模块化环境中的安全问题自动响应的方法，其特征在于：所述模块管理***按照模块图形化展示安全性能指标，用于管理员查进行单机服务性能查看和整体性能查看，整体性能由数据叠加产生。

6.根据权利要求1所述的一种对模块化环境中的安全问题自动响应的方法，其特征在于：所述模块管理***包括安全事件分析模块，所述安全事件分析模块对一个或者多个相关安全指标进行预测时，自动启动的应对措施包括对一个或多个防火墙修改；从***环境中移除对应进程；将相关模块隔离，阻止IP防问。

7.根据权利要求1所述的一种对模块化环境中的安全问题自动响应的方法，其特征在于：所述管理员通过安全策略库提供的应对策略列表确定首选对应策略作为模块管理***默认应对策略；所述安全策略库提供于管理员的应对策略基于管理员的先前选择。

8.一种模块管理***，其特征在于包括：

服务器进程采集模块:用于将服务器中运行的进程进行模块划分，便于采集安全性能值、相关日志、标准、错误输出、流量、防问IP地址；

安全事件分析模块：用于对模块化采集的安全性能指标进行预测分析，判别安全事件为已知威胁、未知威胁和正常性能值，同时在模块展示界面显示正常性能指标；

安全策略库：用于对所存在的威胁进行推荐应对策略，无管理员参与，默认采取安全策略库第一条应对策略，若管理员参与，根据威胁相关信息的获取，为管理员动态提供应对策略列表，不断更新最优推荐列表，去除无法解决威胁的应对策略；

安全事件处理模块：用于提取安全策略库动态提供的应对策略，进行威胁事件处理；

储存模块：用于储存运行参数、缓存事件参数。

Images