[发明专利]安全事件响应方法及装置

说明书

本发明实施例提供了一种安全事件响应方法及装置，其中，安全事件响应方法包括：在网络设备检测到发生安全事件时，获取该安全事件的事件标识以及发生该安全事件的当前时刻，根据事件标识，从配置的安全事件响应策略列表中查找事件标识对应的多个策略标识及多个策略标识分别对应的生效时段，确定匹配当前时刻的生效时段所对应的第一策略标识，执行策略标识为第一策略标识的第一响应策略。同一个安全事件配置了多个响应策略，该安全事件的各响应策略的生效时段不重合，对于一个安全事件在不同时段内可以执行不同的响应策略，有效地应对了复杂的安全事件，增强了安全事件响应的灵活性。

技术领域

本发明涉及网络安全技术领域，特别是涉及安全事件响应方法及装置。

背景技术

随着互联网技术的迅速发展，网络所承载的信息日益丰富，互联网成为人们生活的重要基础设施，给人们的生活带来了极大的便利。与此同时，网络安全问题也日益严重，网络病毒、蠕虫、木马、恶意软件等层出不穷，危害着网络用户的信息安全。

安全事件分析是网络安全技术的一个重要手段，常见的安全事件主要有远程木马、恶意式程序攻击、畸形报文攻击、分布式服务、暴力破解、横向渗透等。传统的安全事件分析方法中，应对不同的安全事件，预先配置有对应的响应策略，安全事件与响应策略是一一对应的，当检测到安全事件发生时，直接执行对应的响应策略。

然而，安全事件往往是非常复杂的，仅依靠单一的响应策略，通常无法应对复杂的安全事件，导致安全事件响应的灵活性较差。

发明内容

有鉴于此，本发明提供了一种安全事件响应方法及装置，以提高安全事件响应的灵活性。具体技术方案如下：

第一方面，本发明实施例提供了一种安全事件响应方法，应用于网络设备，所述网络设备已配置安全事件响应策略列表，所述安全事件响应策略列表包括多个表示安全事件的事件标识、应对每个安全事件的多个响应策略的策略标识以及每个响应策略的生效时段，且每个响应策略的生效时段之间不存在重合时间；所述方法包括：

在检测到发生安全事件时，获取所述安全事件的事件标识以及发生所述安全事件的当前时刻；

根据所述事件标识，从所述安全事件响应策略列表中查找所述事件标识对应的多个策略标识及所述多个策略标识分别对应的生效时段；

确定匹配所述当前时刻的生效时段所对应的第一策略标识；

执行第一响应策略，所述第一响应策略的策略标识为所述第一策略标识。

第二方面，本发明实施例提供了一种安全事件响应装置，应用于网络设备，所述网络设备已配置安全事件响应策略列表，所述安全事件响应策略列表包括多个表示安全事件的事件标识、应对每个安全事件的多个响应策略的策略标识以及每个响应策略的生效时段，且每个响应策略的生效时段之间不存在重合时间；所述装置包括：

获取模块，用于在检测到发生安全事件时，获取所述安全事件的事件标识以及发生所述安全事件的当前时刻；

查找模块，用于根据所述事件标识，从所述安全事件响应策略列表中查找所述事件标识对应的多个策略标识及所述多个策略标识分别对应的生效时段；

确定模块，用于确定匹配所述当前时刻的生效时段所对应的第一策略标识；

执行模块，用于执行第一响应策略，所述第一响应策略的策略标识为所述第一策略标识。

第三方面，本发明实施例提供了一种网络设备，包括处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，所述处理器被所述机器可执行指令促使：执行本发明实施例第一方面所述的方法步骤。

第四方面，本发明实施例提供了一种机器可读存储介质，所述机器可读存储介质内存储有机器可执行指令，所述机器可执行指令被处理器执行时，实现本发明实施例第一方面所述的方法步骤。