一种基于网络安全实时告警方法、系统、设备及介质与流程
本发明属于网络安全维护,涉及一种基于网络安全实时告警方法、系统、设备及介质。
背景技术:
1、edr(endpoint detection and response,端点检测和响应)是gartner的安东·丘瓦金(anton chuvakin)创造的一个术语,用来指代一种端点安全防护解决方案。它记录端点上的行为,使用数据分析和基于上下文的信息检测来发现异常和恶意活动,并记录有关恶意活动的数据,使安全团队能够调查和响应事件。端点可以是员工终端pc或笔记本电脑、服务器、云系统、移动设备或物联网设备等。edr解决方案通常提供威胁搜寻、检测、分析和响应功能,但是现有技术在进行威胁搜寻时,采用对比的方式进行检测,检测的精确较低,因此不能有效实现网络安全实时告警。
技术实现思路
1、本发明的目的在于克服上述现有技术的缺点,提供了一种基于网络安全实时告警方法、系统、设备及介质,该方法、系统、设备及介质能够实现网络安全实时告警。
2、为达到上述目的,本发明采用如下技术方案:
3、本发明一方面,本发明所述的基于网络安全实时告警方法,包括:
4、通过安全感知系统获取web服务器上的告警信息;
5、通过edr从网络中的所有终端上收集数据,再采用实时关联匹配的方式对收集到的数据进行实时分析及网络威胁检测,当检测到网络威胁时,则进行自动网络威胁响应、网络威胁隔离以及网络威胁补救;
6、查找网络威胁的证据。
7、作为本发明所述基于网络安全实时告警方法的进步改进在于:
8、进一步的,所述网络威胁的证据包括僵尸网络、下载恶意文件、socks流量异常、web框架漏洞、钓鱼网站、目录遍历及蠕虫。
9、进一步的,还包括:
10、通过警告平台显示网络威胁以及所述告警信息。
11、进一步的,所述对收集到的数据进行实时分析及网络威胁检测的过程为:
12、将所述收集到的数据与海量威胁数据库中的数据进行实时关联匹配,以识别出网络威胁。
13、进一步的,将所述收集到的数据与海量威胁数据库中的数据通过ueba综合分析方法或事件关联分析方法进行实时关联匹配。
14、进一步的,所述自动网络威胁响应的过程为:
15、提醒安全团队注意网络威胁或可疑活动;
16、根据网络威胁的严重程度对事件进行分类或确定优先级;
17、断开端点设备,将最终用户从网络中注销;
18、终止系统或端点进程;
19、防止端点执行可疑文件或电子邮件附件;
20、触发防病毒或反恶意软件扫描网络上的各端点是否存在相同网络威胁。
21、进一步的,所述网络威胁补救的过程为:
22、销毁恶意文件并将其从端点上清除;
23、恢复损坏的配置、注册表设置、数据和应用程序文件;
24、应用更新或补丁来消除漏洞。
25、本发明二方面,本发明所述的基于网络安全实时告警系统,包括:
26、获取模块,用于通过安全感知系统获取web服务器上的告警信息;
27、处理模块,用于通过edr从网络中的所有终端上收集数据,再采用实时关联匹配的方式对收集到的数据进行实时分析及网络威胁检测,当检测到网络威胁时,则进行自动网络威胁响应、网络威胁隔离以及网络威胁补救;
28、查找模块,用于查找网络威胁的证据。
29、本发明三方面,本发明所述的计算机设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现所述基于网络安全实时告警方法的步骤。
30、本发明四方面,本发明所述的计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现所述基于网络安全实时告警方法的步骤。
31、本发明具有以下有益效果:
32、本发明所述的基于网络安全实时告警方法、系统、设备及介质在具体操作时,通过edr从网络中的所有终端上收集数据,再采用实时关联匹配的方式对收集到的数据进行实时分析及网络威胁检测,网络威胁检测的准确性较高。另外,当检测到网络威胁时,则进行自动网络威胁响应、网络威胁隔离以及网络威胁补救,实现网络安全实时告警。
技术特征:
1.一种基于网络安全实时告警方法,其特征在于,包括:
2.根据权利要求1所述的基于网络安全实时告警方法,其特征在于,所述网络威胁的证据包括僵尸网络、下载恶意文件、socks流量异常、web框架漏洞、钓鱼网站、目录遍历及蠕虫。
3.根据权利要求1所述的基于网络安全实时告警方法,其特征在于,还包括:
4.根据权利要求1所述的基于网络安全实时告警方法,其特征在于,所述对收集到的数据进行实时分析及网络威胁检测的过程为:
5.根据权利要求4所述的基于网络安全实时告警方法,其特征在于,将所述收集到的数据与海量威胁数据库中的数据通过ueba综合分析方法或事件关联分析方法进行实时关联匹配。
6.根据权利要求1所述的基于网络安全实时告警方法,其特征在于,所述自动网络威胁响应的过程为:
7.根据权利要求1所述的基于网络安全实时告警方法,其特征在于,所述网络威胁补救的过程为:
8.一种基于网络安全实时告警系统,其特征在于,包括:
9.一种计算机设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1-7任一项所述基于网络安全实时告警方法的步骤。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-7任一项所述基于网络安全实时告警方法的步骤。
技术总结
本发明公开了一种基于网络安全实时告警方法、系统、设备及介质,包括:通过安全感知系统获取web服务器上的告警信息;通过EDR从网络中的所有终端上收集数据,再采用实时关联匹配的方式对收集到的数据进行实时分析及网络威胁检测,当检测到网络威胁时,则进行自动网络威胁响应、网络威胁隔离以及网络威胁补救;查找网络威胁的证据,该方法、系统、设备及介质能够实现网络安全实时告警。
技术研发人员:赵运新,杨继明,王宏伟,孟喆,刘美岑,刘东旭
受保护的技术使用者:北京华能新锐控制技术有限公司
技术研发日:
技术公布日:2024/11/28
技术研发人员:赵运新,杨继明,王宏伟,孟喆,刘美岑,刘东旭
技术所有人:北京华能新锐控制技术有限公司
备 注:该技术已申请专利,仅供学习研究,如用于商业用途,请联系技术所有人。
声 明 :此信息收集于网络,如果你是此专利的发明人不想本网站收录此信息请联系我们,我们会在第一时间删除