本发明涉及计算机数据安全技术领域，特别是涉及一种智能自动化的内网应用系统应急响应处置的方法。

背景技术：

随着电网企业信息化建设的快速发展，电网根据业务要求，部署和实施了多套应用系统，同时也需要大量的安全运维人员来保障应用系统的安全性。但是由于应用系统数量繁多，当内网中的服务器或网络设备等发生网络安全事件时，需要安全运维人员花费大量的时间和精力来进行加固修复，而且响应处置的时间未能及时处置修复，加固修复的方法也未能保证完全适用于出现网络安全事件的服务器或网络设备等，并不便于将处置之后的结果进行整理归档。

技术实现要素：

为了解决当内网应用系统出现网络安全事件时能够及时加固修复而且能够保证加固修复方式的有效化，并自动化地进行整理归档，故提出一种智能自动化的内网应用系统应急响应处置的方法。

为了实现上述目的，本发明采取的技术方案如下。

一种智能自动化的内网应用系统应急响应处置的方法，包括步骤：

通过SNMP形式或从第三方监控平台中采集内网应用系统的告警信息、运行状态信息和日志信息，将采集的信息记录到智能自动化应急响应处置中心系统；

人工录入或自动采集互联网上关于各种基础网络设施的网络应急响应处置方案，通过机器学习中的决策树算法对采集到的数据进行自动匹配入库，构建网络安全应急响应策略库；

智能自动化应急响应处置中心系统检测到内网应用系统出现网络安全事件时，先判断出现网络安全事件的内网应用系统的版本信息，再从网络安全应急响应策略库中匹配网络安全事件类别，再下发网络安全策略，清除网络安全威胁；并以短信或邮件的形式通知相关负责人或运维人员；

当网络安全事件处置完成后，智能自动化应急响应处置中心系统采集处置完成的结果，持续监测该出现网络安全事件的内网应用系统的运行状态，将应急响应处置过程以报告形式统计并显示出来。

本发明智能自动化的内网应用系统应急响应处置的方法，收集应用系统的日志信息、运行信息和告警信息，据此检测应用系统的网络安全事件，并收集各种应急响应处置方案，通过机器学习的方式对采集的方案进行筛选，构建应急响应策略库。当检测到网络安全事件时，采用策略库中对应的应急方案进行处置，并对处置结果进行记录与展示，从而完成对网络安全事件的加固修复。

附图说明

图1为智能自动化应急响应处置中心系统采集条目示意图；

图2为本发明智能自动化的内网应用系统应急响应处置的方法的流程示意图。

具体实施方式

通过下面给出的本发明的具体实施方式可以进一步了解本发明，但它们不是对本发明的限定。对于本领域的技术人员根据上述发明内容所作的一些非本质的改进与调整，也视为落在本发明的保护范围内。

本发明智能自动化的内网应用系统应急响应处置的方法，包括如下步骤：

步骤一：在内部网络环境中部署智能自动化应用响应处置中心系统，通过SNMP(Simple NetworkManagementProtocol，简单网络管理协议)形式或从第三方监控平台中采集内网安全设备的告警信息及网络设备、服务器、应用服务等的运行状态信息，及时掌握内网应用系统的安全状态，应急响应处置中心系统采集条目如图1所示。

步骤二：通过人工录入及自动采集互联网上关于各种基础网络设施的网络应急响应处置方案，通过机器学习中的决策树算法对采集到的数据进行自动匹配入库，构建成一套完善的网络安全应急响应策略库；

步骤三：智能自动化应急响应处置中心系统检测到内网中的应用系统出现网络安全事件的时候，会自动判断出现网络安全事件的安全设备、网络设备、服务器或应用服务等相关的版本信息，并从网络安全应急响应策略库中匹配网络安全事件类别，从而自动化地下发网络安全策略，从而快速和准确地清除网络安全威胁；

步骤四：智能自动化应急响应处置中心系统会以短信或邮件形式通报给出现网络安全事件的应用系统所属负责人或运维人员；

步骤五：当处置完成后，智能自动化应急响应处置中心系统会采集处置完成的结果，持续监测该出现网络安全事件的安全设备、网络设备、服务器或应用服务等的运行状态，确保下发的网络安全应急响应策略的有效性及可用性，并将应急响应处置过程以报告形式显示出来并统计，主要处理流程图如图2所示。

进一步地，在步骤一中，在内网环境中部署智能自动化应急响应处置中心系统，采集设备或服务类型包含但不限于入侵检测系统、入侵防御系统、网络防火墙、应用防火墙、网络交换机、路由器、无线设备、Linux系统、Windows系统、中间件、数据库等；

进一步地，在步骤二中，通过人工录入及采集互联网上关于各种基础网络设施的网络应急响应处置方案，使用机器学习中的决策树算法对采集到的数据进行自动匹配入库，构建成一套完善的网络安全应急响应策略库；

进一步地，在步骤三中，根据智能自动化应急响应处置中心系统采集到的信息，判断出现网络安全事件的类别及设备或服务的版本信息，从网络安全应急响应策略库中匹配相应的处置策略，从而有针对性地进行下发部署实施，快速和准确地清除网络安全威胁；

进一步地，在步骤四中，智能自动化应急响应处置中心系统根据出现网络安全事件的应用系统通过资产匹配确认对应负责人或运维人员，通过短信或邮件形式进行通报；

进一步地，在步骤五中，当网络安全事件处置完成后，会由人工进行确认处置结果，并由智能自动化应急响应处置中心系统持续对该应用系统进行监控，确保策略下发的有效性及可用性，自动将策略进行归档处理，对网络安全应急响应策略库进行更新处理，并将应急响应处置的完整过程以报告形式呈现出来并统计。

以上所述实施例仅表达了本发明的实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。