[发明专利]一种网络安全设备联动处置方法及装置

权利要求书

1.一种网络安全设备联动处置方法，其特征是，包括以下步骤：

S1、建立多源网络安全设备原始告警日志与标准化日志的映射关系；

所述建立多源网络安全设备原始告警日志与标准化日志的映射关系，具体包括：

分别为不同网络安全设备创建标准化模版并保存为配置文件，标准化模板为Key-Value类型，Key为当前网络安全设备的告警日志字段，Value为对应的标准化日志格式的字段名；

S2、设定不同安全场景下告警日志权值的关联分析规则和触发阈值的响应处置规则；

所述设定不同安全场景下告警日志权值的关联分析规则和触发阈值的响应处置规则，具体包括：

根据不同的安全场景，为多个网络安全设备的告警日志分别设置不同的权值，并设置该场景的事件处置触发阈值；

生成不同的安全场景下的安全设备处置顺序步骤；

S3、收集安全设备原始告警日志并对原始告警日志进行标准化；

所述收集安全设备原始告警日志并对原始告警日志进行标准化，具体包括：

将安全设备告警日志原始信息暂存至日志数据库，并将告警日志放入日志高速缓存队列；

周期性读取日志高速缓存队列中的告警日志信息，选择相应的标准化模板，将告警日志统一为同一标准格式；

S4、根据收集的日志信息判断是否符合该安全场景下的关联分析规则，如果否，根据响应处置规则进行响应处置；如果是，转到步骤S3。

2.如权利要求1所述的网络安全设备联动处置方法，其特征是，所述根据收集的日志信息判断是否符合该安全场景下的关联分析规则，具体包括：

对收集到的告警日志信息进行重复告警去重归并、关联告警关联分析、无效告警删减剔除，计算告警日志权值标签数值，判断告警日志权值数值是否超过阈值。

3.如权利要求1所述的网络安全设备联动处置方法，其特征是，所述根据响应处置规则进行响应处置，具体包括：

根据相应的网络安全场景制定的的响应处置规则，采用SSH连接方式控制各类安全设备，按处置顺序发送处置命令。

4.一种网络安全设备联动处置装置，其特征是，包括：

日志映射关系生成模块，建立多源网络安全设备原始告警日志与标准化日志的映射关系；

所述建立多源网络安全设备原始告警日志与标准化日志的映射关系，具体包括：

分别为不同网络安全设备创建标准化模版并保存为配置文件，标准化模板为Key-Value类型，Key为当前网络安全设备的告警日志字段，Value为对应的标准化日志格式的字段名；

安全场景规则设置模块，设定不同安全场景下告警日志权值的关联分析规则和触发阈值的响应处置规则；

所述设定不同安全场景下告警日志权值的关联分析规则和触发阈值的响应处置规则，具体包括：

根据不同的安全场景，为多个网络安全设备的告警日志分别设置不同的权值，并设置该场景的事件处置触发阈值；

生成不同的安全场景下的安全设备处置顺序步骤；

日志收集标准化模块，收集安全设备原始告警日志并对原始告警日志进行标准化；

所述收集安全设备原始告警日志并对原始告警日志进行标准化，具体包括：

将安全设备告警日志原始信息暂存至日志数据库，并将告警日志放入日志高速缓存队列；

周期性读取日志高速缓存队列中的告警日志信息，选择相应的标准化模板，将告警日志统一为同一标准格式；

网络攻击分析研判模块，根据收集的日志信息判断是否符合该安全场景下的关联分析规则，若不符合，根据响应处置规则进行响应。