[发明专利]一种确定调用的网络防护设备的方法及装置

权利要求书

1.一种确定调用的网络防护设备的方法，其特征在于，应用于安全编排和自动化响应SOAR架构下的剧本运行场景，所述方法包括：

接收包含有待防护目标和网络威胁类型的防护请求，确定剧本指示的防护响应动作，并在所述待防护目标关联的网络防护设备中筛选出支持执行所述防护响应动作的部分网络防护设备，生成候选网络防护设备集合；

获取预先配置的所述候选网络防护设备集合中各个网络防护设备各自关联的显式管控网段，生成包含各个显示管控网段的显式管控网段集合；

确定所述待防护目标未包含在所述显式管控网段集合对应的网段范围内时，获取所述各个网络防护设备各自关联的隐式管控网段，生成可管控网段集合，所述可管控网段集合中包括所述各个显示管控网段以及各个隐式管控网段，所述隐式管控网段中包括网络防护设备的运行日志中记录的，执行防护响应动作处理的，除关联的显式管控网段之外的其他网段；

确定所述待防护目标包含在所述可管控网段集合对应的网段范围内时，将筛选出的包含所述待防护目标的可管控网段，对应的网络防护设备确定为被调用执行所述防护响应动作的目标网络防护设备。

2.如权利要求1所述的方法，其特征在于，所述在所述待防护目标关联的网络防护设备中筛选出支持执行所述防护响应动作的部分网络防护设备，生成候选网络防护设备集合，包括：

确定所述防护响应动作关联的网络防护设备的设备类型和网络防护设备的部署方式，在所述待防护目标关联的网络防护设备中筛选出与所述网络防护设备的设备类型匹配的网络防护设备，得到包含设备类型相同的网络防护设备的初始网络防护设备集合；

筛选出所述初始网络防护设备集合中，与所述网络防护设备的部署方式相同的网络防护设备，生成包含部署方式相同的网络防护设备的中间网络防护设备集合；

获取预先配置的所述中间网络防护设备集合中各个网络防护设备各自关联的显式管控网段，筛选出与所述待防护目标存在交集的显式管控网段，生成包含筛选出的显式管控网段对应的网络防护设备的候选网络防护设备集合。

3.如权利要求1所述的方法，其特征在于，接收到对于关联有防护目标的待注册网络防护设备的注册请求时，进一步包括：

确定未安装与所述待注册网络防护设备的交互接口时，获取并安装所述待注册网络防护设备的设备插件，所述设备插件封装有所述网络防护设备的设备类型和支持的响应动作；

获取针对所述待注册网络防护设备配置的显式管控信息，并基于所述显式管控信息以及所述待注册网络防护设备的属性信息，完成所述待注册网络防护设备的注册，所述属性信息包括所述待注册网络防护设备的地址信息以及部署方式。

4.如权利要求1-3任一项所述的方法，其特征在于，所述获取所述各个网络防护设备各自关联的隐式管控网段，包括：

针对各个网络防护设备，分别执行以下操作：

获取一个网络防护设备的运行日志，确定所述运行日志中记录的执行防护响应动作的操作记录，确定所述操作记录覆盖的处理网段；

确定所述一个网络防护设备关联的显式管控网段，将所述处理网段中除去所述显式管控网段的其他网段确定为隐式管控网段。

5.如权利要求1所述的方法，其特征在于，确定所述待防护目标包含在所述显式管控网段集合对应的网段范围内时，进一步包括：

筛选出所述显式管控网段集合中包含所述待防护目标的显式管控网段，并将筛选出的显式管控网段对应的网络防护设备，作为被调用执行所述防护响应动作的目标网络防护设备。

6.如权利要求1所述的方法，其特征在于，确定所述待防护目标未包含在所述可管控网段集合对应的网段范围内时，进一步包括：

将所述候选网络防护设备集合中的各个网络防护设备确定为被调用执行所述防护响应动作的目标网络防护设备。