近日，聚銘網(wǎng)絡(luò)申報的《安全報警研判方法、裝置及存儲介質(zhì)》發(fā)明專利通過國家知識產(chǎn)權(quán)局授權(quán)，正式獲得國家發(fā)明專利證書。

在網(wǎng)絡(luò)安全領(lǐng)域中，安全運營平臺往往承載著收集、泛化、分析和研判各種安全產(chǎn)品或設(shè)備的告警功能，由于其處于安全防護體系的頂端，能獲取的各種安全報警數(shù)據(jù)也較為抽象，因此在研判上可能存在較大問題。

對于誤報的處理，傳統(tǒng)上安全管理員仍需要登錄到各個安全設(shè)備查看其詳細內(nèi)容，但一般的邊界安全設(shè)備，如防火墻、統(tǒng)一威脅管理（UTM）、Web應(yīng)用防火墻、網(wǎng)絡(luò)流量檢測和響應(yīng)產(chǎn)品等，出于性能考慮一般不會留存太多細節(jié)數(shù)據(jù)，特別是不可能提供完整的攻擊負載（Payload），即發(fā)生攻擊時的網(wǎng)絡(luò)訪問數(shù)據(jù)。故僅憑這些產(chǎn)品自身提供的報警來判斷是否誤報，是非常困難的，因為這些設(shè)備對于安全運營平臺而言都是三方設(shè)備。

針對上述問題，需要一種能記錄所有相關(guān)攻擊流量的設(shè)備，配合安全運營平臺以提供完整的攻擊取證能力，從而可以在技術(shù)細節(jié)上對各類誤報提供研判依據(jù)，最終達到可以自動化運維的目的。

對此，本專利創(chuàng)新提供了一種安全報警研判方法、裝置及存儲介質(zhì)，其中方法如下圖所示：

通過上述方法，在網(wǎng)絡(luò)邊界部署網(wǎng)絡(luò)全流量（也可以在內(nèi)部網(wǎng)絡(luò)邊界和內(nèi)部互聯(lián)部分）記錄裝置，以抓取所有完整網(wǎng)絡(luò)流量，利用內(nèi)部通信信道向安全運營平臺提供原始攻擊數(shù)據(jù)，以便于安全運維人員針對具體攻擊流量進行研判。并通過多層次的規(guī)則配置方式，在報警元數(shù)據(jù)（Metadata）、報警部分負載以及攻擊負載規(guī)則層面提供篩選能力，對后續(xù)可能產(chǎn)生的類似報警進行處理，極大地縮減了用戶需要處理的安全告警數(shù)量。

依托本項發(fā)明，聚銘網(wǎng)絡(luò)旗下聚銘下一代智慧安全運營中心等安全產(chǎn)品將具備更全面的數(shù)據(jù)整合能力以及更卓越的安全報警研判能力，從而最大限度地支持安全運營的自動化和精準(zhǔn)化運作，幫助客戶提升整體安全建設(shè)效能，形成聯(lián)防聯(lián)控安全防御體系。

后續(xù)，聚銘網(wǎng)絡(luò)還將繼續(xù)深耕網(wǎng)絡(luò)安全領(lǐng)域，加大產(chǎn)品研發(fā)力度，充分利用人才、設(shè)備等資源優(yōu)勢，積極探索前沿技術(shù)，不斷加強科研創(chuàng)新，提升企業(yè)核心競爭力，更好的為廣大行業(yè)客戶提供網(wǎng)絡(luò)安全智能分析與檢測服務(wù)。