[发明专利]一种确定调用的网络防护设备的方法及装置

说明书

本公开涉及网络安全领域，尤其涉及一种确定调用的网络防护设备的方法及装置，解决防护响应动作与执行防护响应动作的设备具有强关联性，制定的防护响应动作策略无法通用的问题，方法为：筛选待防护目标关联的网络防护设备，生成候选网络防护设备集合以及显式管控网段集合，确定所述待防护目标未包含在所述显式管控网段集合对应的网段范围内时，基于各个网络防护设备各自关联的隐式管控网段，生成可管控网段集合，确定所述可管控集合包含待防护目标时，筛选确定被调用执行所述防护响应动作的目标网络防护设备。这样，解耦防护响应动作以及目标网络防护设备之间的绑定关系，实现针对同种网络威胁类型确定的防护响应动作对于不同待防护目标的通用。

技术领域

本公开涉及网络安全领域，尤其涉及一种确定调用的网络防护设备的方法及装置。

背景技术

安全编排和自动化响应(Security Orchestration,Automation and Response，SOAR)的提出，为安全运营提供了新的思路，且SOAR支持对现有的网络安全流程进行灵活编排，接入多种数据源。通过编写剧本完成场景构建，并通过调用网络防护设备实现对网络威胁的处理，所述剧本具体为一系列的动作指示，包含了安全运营所需要的完整的研判处置流程。如何将剧本编排的流程中的动作与执行所述动作的具体网络防护设备进行绑定，成为了安全运营中亟待解决的技术问题。

现有技术下提出的解决方式为，在创建剧本时，同时要求用户将动作对应的网络防护设备进行绑定，对于一个用户来说，剧本中的动作与执行动作的一个用户的网络防护设备之间具有强关联性，且不同用户间基于同种网络威胁执行的剧本无法通用。

这样，由于运营人员在编写剧本时，用于不同用户的网络防护设备各不相同，无法实现针对性的将剧本中涉及到的动作与不同用户的网络防护设备进行绑定，为实现用户的防护需要，必须对剧本进行再次编辑，实现将剧本中的动作与执行动作的网络防护设备的绑定，极大地降低了用户体验，而且当出现剧本版本更新的情况，或用户的网络防护设备的变更时，需要再次对得到的剧本进行编辑，极易造成编辑的遗漏和出错，无法有效实现网络安全防护功能。

有鉴于此，需要一种确定调用的网络防护设备的方法，以解决上述问题。

发明内容

本发明实施例提供一种确定调用的网络防护设备的方法及装置，用以解决现有技术中存在防护响应动作与执行防护响应动作的设备具有强关联性，制定的防护响应动作策略无法通用的问题。

本发明实施例提供的具体技术方案如下：

第一方面，提出一种确定调用的网络防护设备的方法，应用于安全编排和自动化响应SOAR架构下的剧本运行场景，包括：

接收包含有待防护目标和网络威胁类型的防护请求，确定剧本指示的防护响应动作，并在所述待防护目标关联的网络防护设备中筛选出支持执行所述防护响应动作的部分网络防护设备，生成候选网络防护设备集合；

获取预先配置的所述候选网络防护设备集合中各个网络防护设备各自关联的显式管控网段，生成包含各个显示管控网段的显式管控网段集合；

确定所述待防护目标未包含在所述显式管控网段集合对应的网段范围内时，获取所述各个网络防护设备各自关联的隐式管控网段，生成可管控网段集合，所述可管控网段集合中包括所述各个显示管控网段以及各个隐式管控网段，所述隐式管控网段中包括网络防护设备的运行日志中记录的，执行防护响应动作处理的，除关联的显式管控网段之外的其他网段；

确定所述防护目标包含在所述可管控网段集合对应的网段范围内时，将筛选出的包含所述待防护目标的可管控网段，对应的网络防护设备确定为被调用执行所述防护响应动作的目标网络防护设备。

可选的，所述在所述待防护目标关联的网络防护设备中筛选出支持执行所述防护响应动作的部分网络防护设备，生成候选网络防护设备集合，包括：