[发明专利]一种基于RPA的网络安全自动防御系统

说明书

本发明提供一种基于RPA的网络安全自动防御系统，涉及网络安全技术领域，包括：数据接收模块，用于接收指定源地址的安全信息；规则分析模块，采用安全分析规则对安全信息进行分析并输出分析结果；执行处理模块，用于当分析结果表示指定源地址的安全信息触发安全分析规则时，生成调用指令并输出；业务对接模块，用于接收调用指令并调用安全防御设备进行封禁；数据存储模块，用于存储安全信息、操作信息并作为结构化数据库；RPA机器人管理模块，用于进行自动化控制。有益效果是本系统使用RPA流程自动封禁，加快封禁和事件处理速度，自动记录相关流程和步骤，自动同步配置信息，减少误封漏封的可能性，具备一键封禁、定时解封、快速解封功能。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种基于RPA的网络安全自动防御系统。

背景技术

网络安全自动防御系统在日常网络安全场景中，用于检测具有恶意行为的IP地址并使用防火墙、IDS/IPS、WAF、SOC、SIEM、负载均衡、应用安全网关等产品和技术手段进行网络安全防御，通过封禁恶意IP地址可以有效的降低恶意攻击行为带来的安全风险。

现有技术和设备封禁IP人工介入多，处理时间长，效率不高，封禁IP过程需要大量工作记录，可能造成历史追溯较难；封禁IP后需要手动进行配置信息同步和变更流程记录，容易出错，易出现“误封”和“漏封”现象；没有对IP地址或域名进行一键封禁和快速解封的功能，设备如短时间内进行大量封禁IP，可能造成设备能力下降，增加网络延时的问题；设备本身在处理大量历史封禁处理列表时，可能会影响正常访问受限，设备性能也有可能收到影响，且动态维护封禁列表是一项复杂的工作，封禁列表无法有效及时更新，影响正常访问；设备封禁进行一段时间以后，封禁垃圾策略越来越多，没有定时解封功能，需要人工进行统计和解封。

发明内容

针对现有技术中存在的问题，本发明提供一种基于RPA的网络安全自动防御系统，包括：

一数据接收模块，用于接收至少一指定源地址的安全信息；

一规则分析模块，连接数据接收模块，规则分析模块采用预先设定的安全分析规则对安全信息进行分析，并输出分析结果；

一执行处理模块，连接规则分析模块，用于当分析结果表示对应的指定源地址的安全信息触发安全分析规则时，生成对应的调用指令并输出；

一业务对接模块，连接执行处理模块，用于接收调用指令并分别调用对应的安全防御设备，对触发安全分析规则的指定源地址进行封禁；

一数据存储模块，分别连接数据接收模块、规则分析模块、执行处理模块和业务对接模块，用于存储安全信息、网络安全自动防御系统运行过程中产生的操作信息，并作为网络安全自动防御系统的结构化数据库；

一RPA机器人管理模块，分别连接数据接收模块、规则分析模块、执行处理模块、业务对接模块和数据存储模块，用于对数据接收模块、规则分析模块、执行处理模块、业务对接模块和数据存储模块进行自动化控制。

优选的，数据接收模块包括：

一日志接收单元，用于接收指定源地址产生的安全设备日志并包含在安全信息中输出；

一告警采集单元，用于接收外部的安全管理中心针对指定源地址的告警信息并包括在安全信息中输出；

一配置采集单元，用于接收外部的安全设备实时更新的黑白名单信息，并发送至规则分析模块，以包括在安全分析规则中；

一情报采集单元，用于接收预设的威胁情报信息，并发送至规则分析模块，以构建威胁情报库并包括在安全分析规则中。

优选的，告警信息包括指定源地址以及安全管理中心对指定源地址的告警次数。

优选的，规则分析模块包括：