近日,聚明网络申报的“安防报警研究与判断方法、装置及存储介质”发明专利获得国家知识产权局授权,正式获得国家发明专利证书。
在网络安全领域,安全运营平台往往承载着对各种安全产品或设备进行采集、泛化、分析、判断的告警功能。
传统上,安全管理员仍然需要登录每个安全设备才能查看其详细信息,但一般的外围安全设备,如防火墙、统一威胁管理(UTM)、Web应用程序防火墙和网络流量检测和响应产品,出于性能原因,通常不会保留太多详细数据,尤其是无法提供完整的攻击有效载荷, 即攻击时的网络访问数据。因此,根据这些产品本身提供的告警,很难判断是否存在误报,因为这些设备是安防运营平台的第三方设备。
为了解决上述问题,需要有一台能够记录所有相关攻击流量的设备,并配合安全运营平台提供完整的攻击取证能力,从而为技术细节上各种误报的研究和判断提供依据,最终达到自动化运维的目的。
对此,本专利创新提供一种安全报警研究与判断方法、装置及存储介质,其特征在于,该方法如下图所示:
通过上述方法,在网络边界部署全网流量(也可以在内部网络边界和内部互连部分)的记录设备,捕获所有完整的网络流量,利用内部通信信道将原始攻击数据提供给安全运营平台, 以便安全运维人员对具体的攻击流量进行研究和判断。通过多级规则配置,提供告警元数据、告警部分负载、攻击负载规则级别的过滤能力,处理未来可能产生的类似告警,大大减少用户需要处理的安全告警数量。
依托本发明,聚明网络的聚明下一代智能安防运营中心等安防产品将具备更全面的数据集成能力和更好的安防告警研究判断能力,从而:最大程度支持安全运营的自动化、精准化运行,帮助客户提高整体安全建设效率,形成联防联控安全防御体系。
后续,聚明网络将继续深耕网络安全领域,加大产品研发力度,充分利用人才、设备等资源优势,积极探索前沿技术,不断加强科研创新,提升企业核心竞争力,更好地为行业客户提供网络安全智能分析测试服务。