近日,聚铭网络申报的《安全报警研判方法、装置及存储介质》发明专利通过国家知识产权局授权,正式获得国家发明专利证书。
在网络安全领域中,安全运营平台往往承载着收集、泛化、分析和研判各种安全产品或设备的告警功能,由于其处于安全防护体系的顶端,能获取的各种安全报警数据也较为抽象,因此在研判上可能存在较大问题。
对于误报的处理,传统上安全管理员仍需要登录到各个安全设备查看其详细内容,但一般的边界安全设备,如防火墙、统一威胁管理(UTM)、Web应用防火墙、网络流量检测和响应产品等,出于性能考虑一般不会留存太多细节数据,特别是不可能提供完整的攻击负载(Payload),即发生攻击时的网络访问数据。故仅凭这些产品自身提供的报警来判断是否误报,是非常困难的,因为这些设备对于安全运营平台而言都是三方设备。
针对上述问题,需要一种能记录所有相关攻击流量的设备,配合安全运营平台以提供完整的攻击取证能力,从而可以在技术细节上对各类误报提供研判依据,最终达到可以自动化运维的目的。
对此,本专利创新提供了一种安全报警研判方法、装置及存储介质,其中方法如下图所示:
通过上述方法,在网络边界部署网络全流量(也可以在内部网络边界和内部互联部分)记录装置,以抓取所有完整网络流量,利用内部通信信道向安全运营平台提供原始攻击数据,以便于安全运维人员针对具体攻击流量进行研判。并通过多层次的规则配置方式,在报警元数据(Metadata)、报警部分负载以及攻击负载规则层面提供筛选能力,对后续可能产生的类似报警进行处理,极大地缩减了用户需要处理的安全告警数量。
依托本项发明,聚铭网络旗下聚铭下一代智慧安全运营中心等安全产品将具备更全面的数据整合能力以及更卓越的安全报警研判能力,从而最大限度地支持安全运营的自动化和精准化运作,帮助客户提升整体安全建设效能,形成联防联控安全防御体系。
后续,聚铭网络还将继续深耕网络安全领域,加大产品研发力度,充分利用人才、设备等资源优势,积极探索前沿技术,不断加强科研创新,提升企业核心竞争力,更好的为广大行业客户提供网络安全智能分析与检测服务。