CN102934122B - 用于适配信息系统基础设施的安全策略的方法 - Google Patents

用于适配信息系统基础设施的安全策略的方法 Download PDF

Info

Publication number
CN102934122B
CN102934122B CN201180022919.5A CN201180022919A CN102934122B CN 102934122 B CN102934122 B CN 102934122B CN 201180022919 A CN201180022919 A CN 201180022919A CN 102934122 B CN102934122 B CN 102934122B
Authority
CN
China
Prior art keywords
attack
security strategy
medicable
affecting parameters
probability
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201180022919.5A
Other languages
English (en)
Other versions
CN102934122A (zh
Inventor
W·卡努恩
S·迪比
N·库本斯
F·库本斯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alcatel Lucent SAS
IMT Atlantique Bretagne
Original Assignee
Alcatel Lucent SAS
IMT Atlantique Bretagne
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alcatel Lucent SAS, IMT Atlantique Bretagne filed Critical Alcatel Lucent SAS
Publication of CN102934122A publication Critical patent/CN102934122A/zh
Application granted granted Critical
Publication of CN102934122B publication Critical patent/CN102934122B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明涉及根据攻击适配信息系统基础设施的安全策略的方法,包括:-将潜在攻击及其相关风险存储到数据储存库中(126);-将响应于潜在攻击的有疗效安全策略存储到数据储存库中(128);-监控(101)代表信息系统数据流的输入内容;-检测(129)信息系统中的至少一个攻击;-评估所检测至少一个攻击的成功概率参数(132)及其相关成本影响参数(136);-响应于所检测至少一个攻击及其相关成本影响参数而评估至少一个有疗效安全策略的激活影响参数;-根据所检测至少一个攻击的成功概率参数、至少一个有疗效安全策略的激活影响参数以及所检测至少一个攻击和至少一个有疗效安全策略二者的成本影响参数,判定激活或去激活(134)有疗效的安全策略。

Description

用于适配信息系统基础设施的安全策略的方法
技术领域
本发明涉及信息系统保护领域,并且具体地涉及根据信息系统所经受的或正在经受的攻击来管理安全策略。
背景技术
信息系统基础设施需要受到保护以免于有害的攻击,该攻击会导致恶意事件,例如数据失窃或蠕虫等等。
由于由具有大型信息系统基础设施的现有攻击检测系统所生成的潜在告警数目,操作员实时评估攻击的风险并且判定响应于该攻击而要实施的适当响应变得不可行。因此,在保护电信和信息基础设施方面开始考虑正式定义的操作安全策略的自动部署。
图1示出了现有技术中的这种自动保护的例子。
第一步骤101对应于检测对受监控的信息系统的攻击,这导致创建基本告警(102)。告警关联因而被处理(103)以定义被发送给策略实例化引擎(105)以激活合适的安全规则(106)的关联告警(104)。这些规则被发送至生成被用来配置策略执行点(109)的配置脚本(108)的策略判决点(107)。所述策略执行点(109)位于信息系统1中并且响应于检测到的攻击而应用安全规则。
这种安全策略激活配置存在缺陷。实际上,它只基于关联告警并且关联告警的数目可能达到非常大的数目(在大型系统的情况下在一天内达到几千个),这会导致几千次安全策略激活。此外,在现有技术的配置中没有将所述安全策略的去激活考虑在内以使得安全策略可以保持激活,即使它对信息系统1的用户的影响比攻击的影响更大。
发明内容
本发明的一个目的因而是克服上述现有技术缺陷并且提供一种通过考虑影响激活判定的多个参数并且通过定义一种允许在必要时去激活安全策略的方法来仅当必要时动态触发安全策略激活的方法。
这是通过一种用于根据攻击来适配信息系统基础设施的安全策略的方法来实现的,其中,该方法包括下列步骤:
-将潜在攻击及其相关风险存储到数据储存库中;
-将响应于所述潜在攻击的有疗效的安全策略存储到数据储存库中;
-监控代表所述信息系统的数据流的输入内容;
-检测所述信息系统中的至少一个攻击;
-评估检测到的所述至少一个攻击的成功概率参数及其相关的成本影响参数;
-响应于检测到的所述至少一个攻击及其相关成本影响参数来评估至少一个有疗效的安全策略的激活影响参数;
-根据检测到的所述至少一个攻击的成功概率参数、至少一个有疗效的安全策略的激活影响参数以及检测到的所述至少一个攻击和至少一个有疗效的安全策略二者的成本影响参数,来判定有疗效的安全策略的激活或去激活。
根据本发明的另一个方面,将潜在攻击及其相关风险存储到数据储存库中的步骤包括以下步骤:
-定义信息系统拓扑和攻击检测签名;
-定义标识了潜在攻击目标的信息系统的风险分析;
-指定用于到达所标识的攻击目标的攻击模型;
-将所述攻击模型存储到数据储存库中。
根据本发明的又另一个方面,将响应于潜在攻击的有疗效的安全策略存储到数据储存库中的步骤包括:
-指定至少一个攻击上下文;
-指定与所指定的至少一个攻击上下文相对应的有疗效的安全策略;
-将所述有疗效的安全策略储存到数据储存库中。
根据本发明的附加的方面,评估检测到的所述至少一个攻击的成功概率参数及其相关成本影响参数的步骤包括:
-基于所存储的攻击模型和检测到的所述至少一个攻击而生成攻击策略图;
-评估攻击到达其目标的概率;
-评估攻击目标对系统安全等级和系统服务质量(QoS)等级的影响;
-评估攻击目标的相关成本影响参数。
根据本发明的另一个方面,响应于检测到的所述至少一个攻击及其相关成本影响参数而评估至少一个有疗效的安全策略的激活影响参数的步骤是基于所存储的有疗效的安全策略和被监控的信息系统的状态的。
根据本发明的又另一个方面,根据检测到的所述至少一个攻击的成功概率参数、至少一个有疗效的安全策略的激活影响参数以及检测到的所述至少一个攻击和至少一个有疗效的安全策略二者的成本影响参数来判定有疗效的安全策略的激活或去激活的步骤是基于被监控的系统的状态演变而被动态应用的。
根据本发明的附加的方面,所述成本影响参数包括:
-服务质量(QoS)影响,和
-安全等级降级影响。
本发明还涉及一种监控和保护设备,其包括:
-至少一个数据储存库,其用于:
-存储潜在攻击及其相关风险;
-存储响应于所述潜在攻击的有疗效的安全策略;
-处理装置,其用于:
-监控代表所述信息系统的数据流的输入内容;
-检测所述信息系统中的至少一个攻击;
-评估检测到的所述至少一个攻击的成功概率参数及其相关成本影响参数;
-响应于检测到的所述至少一个攻击及其相关成本影响参数而评估至少一个有疗效的安全策略的至少一个激活影响参数;
-根据检测到的所述至少一个攻击的成功概率参数、至少一个有疗效的安全策略的激活影响参数以及检测到的所述至少一个攻击和至少一个有疗效的安全策略二者的成本影响参数来判定有疗效的安全策略的激活;
-激活至少一个有疗效的安全策略。
本发明还涉及一种监控和保护设备,其包括:
-至少一个数据储存库,其用于:
-存储潜在攻击及其相关风险;
-响应于所述潜在攻击而存储有疗效的安全策略;
-处理装置,其用于:
-监控代表所述信息系统的数据流的输入内容;
-检测所述信息系统中的至少一个攻击;
-评估检测到的所述至少一个攻击的成功概率参数及其相关成本影响参数;
-响应于检测到的所述至少一个攻击及其相关成本影响参数而评估至少一个有疗效的安全策略的至少一个激活影响参数;
-根据检测到的所述至少一个攻击的成功概率参数、至少一个有疗效的安全策略的激活影响参数以及检测到的所述至少一个攻击和至少一个有疗效的安全策略二者的成本影响参数来判定有疗效的安全策略的去激活;
-去激活至少一个有疗效的安全策略。
附图说明
图1是根据现有技术的用于对抗信息系统的攻击而发起安全策略的保护性方法的不同步骤的示意图;
图2是根据本发明的用于对抗攻击而适配信息系统基础设施的安全策略的保护性方法的不同步骤的示意图;
图3示出了包括不同攻击步骤和关联于这些攻击的目标的攻击图的一个例子;
图4是根据本发明的用于对抗攻击而适配信息系统基础设施的安全策略的详细保护性方法的不同步骤的示意图。
具体实施方式
如这里所使用的,术语“攻击”是指系统中这样的事件:其超越了对系统的正常授权使用并且故意地或无意地利用了系统中的漏洞,例如网络扫描、密码破解、恶意电子邮件(也称为垃圾邮件)的发送、畸形互联网协议(IP)分组的发送等等。
此外,关于信息系统的表达攻击是指从信息系统外部或内部(通常是供攻击者机器)发起并且去往信息系统以在该系统中制造功能失调的攻击。
如这里所使用的,术语“SIP”是指会话互联网协议的首字母缩略词。
如这里所使用的“IP”是指互联网协议的首字母缩略词。
如这里所使用的,术语“QoS”是指服务质量的首字母缩略词。
本发明的实施例涉及一种用于激活和去激活安全策略从而使得信息系统免受恶意攻击的方法,其中,不仅是攻击的影响而且还有攻击到达其目标的成功可能性和安全策略的影响,在做出激活/去激活判定时都被考虑在内,从而最小化攻击对信息系统用户的影响,并且特别是成本。
图2示出了用于适配信息系统1的保护的方法的一般步骤。
步骤110涉及在数据储存库中指定并存储潜在攻击及其相关风险。这个第一步骤使之能够提供定义了策略和可能攻击的目标的攻击模型。
步骤111涉及在数据储存库中指定并存储响应于前一步骤中定义的可能攻击而要应用的预知安全策略。
步骤112涉及监控与数据流和攻击检测相对应的信息系统1的输入内容。
步骤113涉及评估检测到的攻击的成功概率和与这些攻击有关的成本影响。这种评估是基于在步骤110中存储的攻击模型和在步骤112中检测到的攻击而实现的。
步骤114涉及评估响应于检测到的攻击而激活有疗效的安全策略的影响以及关联于该激活的成本影响。这种评估是基于步骤111中存储的安全策略和被监控的信息系统1的状态而实现的。
步骤115涉及根据步骤113和114中实现的评估而判定激活或去激活有疗效的安全策略。这种判定对应于比较攻击和有疗效的安全策略二者对信息系统1的累积影响。
步骤115中判定的激活或去激活因而在步骤116中实施。
此外,应当指出,步骤110和111是能够离线实现的预备步骤,而步骤112、113、114、115、116是动态步骤,该动态步骤被在线实现以使得对信息系统的任何修改都被实时考虑以判定激活或去激活安全策略。因此,由于对攻击结果和安全策略激活结果二者的评估,本发明使之能够确定是否值得激活有疗效的安全策略,并且当所述策略被激活时根据信息系统的演变和这个策略对该信息系统的影响而确定是否值得保持该策略被激活。
如上文所述,攻击是系统中发生的事件。在实践中,攻击包括到达攻击目标的不同等级(或步骤),如图3所示,其中示出了旨在入侵互联网协议上的语音(VoIP)系统的攻击图的一个例子。
第一等级201对应于向受害机器发生电子邮件(恶意电子邮件或垃圾邮件)。然后,下面的(或接下来的)等级代表到达目标(213、214、215和216)的不同步骤。第二等级202涉及受害者机器中的远程shell的获取(对应于用户打开恶意链接或电子邮件附件)。第三等级203对应于僵尸(bot)程序(机器人)感染,其是安装能够模仿使用远程shell的人类活动的恶意软件僵尸程序。僵尸程序能够等待将来来自攻击者的要执行的命令。如图3所示,几个远程shell和几个相应的僵尸程序感染可以在信息系统中并行发展。
下一个等级204对应于发现会话起始协议(SIP),其是对系统(或网络)的扫描以发现使用SIP协议的机器(通常是计算机)或服务器。这种攻击可以由僵尸程序完成。
从这个步骤起,攻击可以根据其目标而使用两种不同的方式。
第一种方式到达涉及SIP指纹的步骤205,其包括标识安装于在前一步骤(204)中发现的SIP实体中的软件(操作系统、软件电话、服务器等)的版本和类型。这个等级也可以由僵尸程序完成。从步骤205起,攻击可以再次具有两种不同的方式,一个到达IP电话垃圾信息(SPIT)的目标213并且包括两个等级,发现激活用户(其是进行扫描以确定VoIP系统的用户并且可以由僵尸程序完成),和涉及(通过僵尸程序)呼叫受害用户以执行IP电话垃圾信息(SPIT)的直接呼叫209。
从等级205起的其他可能性是发现潜在受害机器207的媒体访问控制(MAC)地址(其可以由僵尸程序完成)。
下一步骤208因而是强制两个受害用户之间的业务(例如所建立的呼叫)经过一个僵尸程序的地址解析协议(ARP)投毒。攻击者因而可以访问两个受害用户之间的所有业务。这或者导致嗅探两个用户之间传送的音频分组的嗅探音频步骤211或者导致在两个用户之间的传输中注入音频分组以改变所建立的呼叫的注入音频步骤212。相应的各自的目标是会话窃听214和会话注入215。
从等级204起,第二攻击解决方案在于服务器泛洪攻击210,其中僵尸程序泛洪轰击VoIP系统的主服务器以致使作为目标216的服务拒绝(DoS)。
应当指出,攻击与目标越近,达到目标的概率就越高。因此,当垃圾邮件(等级201)被检测到时,通常不值得激活安全策略,因为攻击到达目标(213、214、215或216)之一的概率仍然较低,而如果服务器例如被泛洪攻击(等级210),则到达目标216的概率就非常高了。
例如图3所示的图是基于存储于数据储存库中的攻击模型而自动实现的并且被用于评估攻击的影响及其到达其目标的概率,如前文所述。
为了更好地理解本发明的不同步骤,现在将基于图4描述本发明的可能实施例的详细配置,其涉及对图2所示的组织的更详细介绍。步骤120对应于在数据储存库中存储信息系统拓扑和攻击或入侵检测签名(IDS)。步骤121是对被监控系统的风险分析,其是由专家执行的以识别潜在攻击目标122。基于这些攻击目标和系统拓扑(在步骤120中被存储),攻击模型由专家)指定123以及攻击上下文指定126。例如图4中显示的攻击模型因而被建立124并且作为基本模型被存储到数据储存库125中。
另一方面,攻击上下文的指定126使之能够指定响应上下文127。对于每个标识的攻击上下文而言,具有相关安全规则的合适的响应上下文被指定。所述安全规则和攻击上下文作为安全策略被存储在数据储存库128中。所述安全策略例如涉及防火墙激活、认证请求激活或用户账户阻止或能够治愈信息系统或减小攻击影响的任何动作。
基于所存储的攻击模型和响应于每个攻击而要应用的安全策略,本发明的自动和动态的部分可以被实现。
信息系统1由入侵检测系统(IDS)101监控,该入侵检测系统对应于能够检测攻击并且生成并发送告警的任何类型的传感器。所述传感器可以由专用电子设备(微控制器、专用集成电路(ASIC)等)制成,或者在信息技术(IT)环境中,它可以简单地是由计算机、服务器或路由器运行的软件。
由IDS发送的告警然后在在线关联引擎131中被聚集129,该引擎使用这些聚集的告警和存储在数据储存库中的攻击模型来生成例如图3显示的攻击图。所生成的图一方面被用来评估攻击到达其目标的概率132,另一方面被用来评估攻击的影响133。
对到达目标的概率的确定对应于攻击到达目标的成功可能性。因此,攻击的(在攻击图中预先定义的)每个可到达的目标的成功可能性等级被计算。这个等级表明了攻击与其目标的接近程度。
攻击影响评估对应于确定攻击对信息系统1的安全和服务质量(QoS)的影响。这聚集了对机密性、完整性和可用性的影响以及影响信息系统1的使用的任何参数。这种评估也基于信息系统1的状态。
两个评估的结果然后被发送至策略实例化引擎(PIE)134,其中确定攻击的累积影响。
而且,以与对攻击影响的评估相同的方式,对能够响应于攻击136而被使用的有疗效的安全策略的影响的评估是基于所存储的安全策略而完成的。再一次,当评估时,对信息系统的安全和QoS二者的影响以及该系统的状态被考虑在内。评估的结果也被发送到PIE 134,其中确定有疗效的安全策略的累积影响。
策略实例化引擎134接收一方面与攻击影响而另一方面与有疗效的安全策略影响相对应的评估,其分别由攻击处理器模块135和响应处理器模块137处理。对于每种影响而言,定义至少一个度量,并且在一般情况下,对应于影响的不同方面(安全性、QoS等)的多个度量被定义并且所有这些影响贡献的评估值被增加(在实践上是通过它们的值对时间的积分)。
基于由攻击处理器模块和响应处理器模块计算的两个累积影响以及攻击到达其目标的概率(也称为成功可能性)和被监控的信息系统1的状态,PIE 134确定是激活还是去激活有疗效的安全策略。
可以使用不同的激活/去激活规则,例如如果成功可能性到达给定阈值或者如果攻击影响到达预定阈值则安全策略可以被激活。它也可以是二者的组合(如果攻击影响和成功可能性到达给定阈值则激活)。
通常,响应策略必须在以下情况下被激活:
-检测到的威胁违反安全和操作策略,
-威胁的成功可能性(其在考虑攻击进展和被监控系统的状态的情况下被动态地计算)超过预定义的阈值,
-威胁的影响超过预定义的阈值并且大于有关响应策略的成本。
以相同的方式,如果成功可能性小于给定阈值或响应影响超过预定义阈值或者二者的组合,则激活的安全策略必须被去激活。如果就初始攻击而言响应策略的影响引入了更多的缺陷而不是优势或者如果解除或根除了关联于攻击的风险,则可能发生这种情况。
激活或去激活安全策略的命令因而被发送给响应策略部署点(PDP)107(也称为策略判定点),其中响应策略的每个安全规则被转换成用于配置策略执行点(PEP)109的脚本,该策略执行点位于信息系统1内并且被用来执行安全策略(防火墙激活或配置、入侵防御系统激活、账户许可或访问修改等)。
在线步骤(包括在线关联引擎131、攻击目标概率评估132、攻击影响评估、攻击响应评估136、策略实例化引擎134、策略部署点和策略执行点)可以通过由计算机或服务器允许的软件或程序来实现。所述在线步骤使用数据储存库(攻击模型数据储存库125和响应策略数据储存库128)中所存储的元素来根据检测到的攻击和被监控的信息系统1的状态而动态地确定激活/去激活响应安全策略的必要性。因此,本发明使之能够提供对攻击影响以及响应于攻击而应用的安全策略的影响的动态评估,这因而提供了安全策略使用的优化效率。此外,确定去激活安全策略的条件这一思想使之能够改进信息系统保护的反应性并且避免对信息系统的不必要的降级使用。实际上,安全策略通常对应于降级的模型,其限制了攻击的效应但是也降低了信息系统的能力并且会干扰和影响信息系统的用户,这导致使用信息系统的企业的生产力损失或服务质量(QoS)降低。

Claims (9)

1.一种用于根据攻击来适配信息系统基础设施的安全策略的方法,其中,该方法包括以下步骤:
-将潜在攻击及其相关风险存储到数据储存库中;
-将响应于所述潜在攻击的有疗效的安全策略存储到数据储存库中;
-监控代表所述信息系统的数据流的输入内容;
-检测所述信息系统中的至少一个攻击;
-评估检测到的所述至少一个攻击的成功概率参数及其相关成本影响参数;
-响应于检测到的所述至少一个攻击及其相关成本影响参数而评估至少一个有疗效的安全策略的激活影响参数;
-根据检测到的所述至少一个攻击的成功概率参数、至少一个有疗效的安全策略的激活影响参数以及检测到的所述至少一个攻击和所述至少一个有疗效的安全策略二者的成本影响参数,来判定激活有疗效的安全策略,
其中所述判定包括如果至少一个检测到的攻击的成功概率参数变得低于指定阈值,则判定对激活的有疗效的安全策略进行去激活。
2.根据权利要求1所述的用于根据攻击来适配信息系统基础设施的安全策略的方法,其中,将潜在攻击及其相关风险存储到数据储存库中的步骤包括以下步骤:
-定义信息系统拓扑和攻击检测签名;
-定义标识了潜在攻击目标的信息系统的风险分析;
-指定用于到达所标识的攻击目标的攻击模型;
-将所述攻击模型存储到数据储存库中。
3.根据权利要求1或2所述的用于根据攻击来适配信息系统基础设施的安全策略的方法,其中,将响应于潜在攻击的有疗效的安全策略存储到数据储存库中的步骤包括:
-指定至少一个攻击上下文;
-指定与所指定的至少一个攻击上下文相对应的有疗效的安全策略;
-将所述有疗效的安全策略储存到数据储存库中。
4.根据权利要求1或2所述的用于根据攻击来适配信息系统基础设施的安全策略的方法,其中,评估检测到的所述至少一个攻击的成功概率参数及其相关成本影响参数的步骤包括:
-基于所存储的攻击模型和检测到的所述至少一个攻击而生成攻击策略图;
-评估攻击到达其目标的概率;
-评估攻击目标对系统安全等级和系统服务质量(QoS)等级的影响;
-评估攻击目标的相关成本影响参数。
5.根据权利要求1或2所述的用于根据攻击来适配信息系统基础设施的安全策略的方法,其中,响应于检测到的所述至少一个攻击及其相关成本影响参数而评估至少一个有疗效的安全策略的激活影响参数的步骤是基于所存储的有疗效的安全策略和被监控的信息系统的状态的。
6.根据权利要求1或2所述的用于根据攻击来适配信息系统基础设施的安全策略的方法,其中,根据检测到的所述至少一个攻击的成功概率参数、至少一个有疗效的安全策略的激活影响参数以及所述检测到的所述至少一个攻击和所述至少一个有疗效的安全策略二者的成本影响参数来判定有疗效的安全策略的激活的步骤是基于被监控的系统的状态演变而被动态应用的。
7.根据权利要求1或2所述的用于根据攻击来适配信息系统基础设施的安全策略的方法,其中,所述成本影响参数包括:
-服务质量(QoS)影响,和
-安全等级降级影响。
8.一种监控和保护设备,包括:
-至少一个数据储存库,其用于:
-存储潜在攻击及其相关风险;
-存储响应于所述潜在攻击的有疗效的安全策略;
-处理装置,其用于:
-监控代表信息系统的数据流的输入内容;
-检测所述信息系统中的至少一个攻击;
-评估检测到的所述至少一个攻击的成功概率参数及其相关成本影响参数;
-响应于检测到的所述至少一个攻击及其相关成本影响参数而评估至少一个有疗效的安全策略的至少一个激活影响参数;
-根据检测到的所述至少一个攻击的成功概率参数、至少一个有疗效的安全策略的激活影响参数以及检测到的所述至少一个攻击和所述至少一个有疗效的安全策略二者的成本影响参数,来判定有疗效的安全策略的激活;
-激活至少一个有疗效的安全策略,
其中所述激活包括如果至少一个检测到的攻击的成功概率参数变得低于指定阈值,则判定对激活的有疗效的安全策略进行去激活。
9.一种监控和保护设备,包括:
-至少一个数据储存库,其用于:
-存储潜在攻击及其相关风险;
-存储响应于所述潜在攻击的有疗效的安全策略;
-处理装置,其用于:
-监控代表信息系统的数据流的输入内容;
-检测所述信息系统中的至少一个攻击;
-评估检测到的所述至少一个攻击的成功概率参数及其相关成本影响参数;
-响应于检测到的所述至少一个攻击及其相关成本影响参数而评估至少一个有疗效的安全策略的至少一个激活影响参数;
-根据检测到的所述至少一个攻击的成功概率参数、至少一个有疗效的安全策略的激活影响参数以及检测到的所述至少一个攻击和至少一个有疗效的安全策略二者的成本影响参数,来判定有疗效的安全策略的去激活,其中所述判定包括如果至少一个检测到的攻击的成功概率参数变得低于指定阈值,则判定对激活的有疗效的安全策略进行去激活;
-去激活至少一个有疗效的安全策略。
CN201180022919.5A 2010-05-07 2011-05-05 用于适配信息系统基础设施的安全策略的方法 Active CN102934122B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP10290250.9A EP2385676B1 (en) 2010-05-07 2010-05-07 Method for adapting security policies of an information system infrastructure
EP10290250.9 2010-05-07
PCT/EP2011/057252 WO2011138417A1 (en) 2010-05-07 2011-05-05 Method for adapting security policies of an information system infrastructure

Publications (2)

Publication Number Publication Date
CN102934122A CN102934122A (zh) 2013-02-13
CN102934122B true CN102934122B (zh) 2015-08-19

Family

ID=42830020

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201180022919.5A Active CN102934122B (zh) 2010-05-07 2011-05-05 用于适配信息系统基础设施的安全策略的方法

Country Status (6)

Country Link
US (1) US8973092B2 (zh)
EP (1) EP2385676B1 (zh)
JP (1) JP5745619B2 (zh)
KR (1) KR101404352B1 (zh)
CN (1) CN102934122B (zh)
WO (1) WO2011138417A1 (zh)

Families Citing this family (49)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107580376B (zh) 2011-04-01 2021-08-20 交互数字专利控股公司 移动性管理实体及用于提供连接性信息的方法
US9565213B2 (en) 2012-10-22 2017-02-07 Centripetal Networks, Inc. Methods and systems for protecting a secured network
US9137205B2 (en) 2012-10-22 2015-09-15 Centripetal Networks, Inc. Methods and systems for protecting a secured network
US9203806B2 (en) 2013-01-11 2015-12-01 Centripetal Networks, Inc. Rule swapping in a packet network
US9124552B2 (en) 2013-03-12 2015-09-01 Centripetal Networks, Inc. Filtering network data transfers
US9094445B2 (en) 2013-03-15 2015-07-28 Centripetal Networks, Inc. Protecting networks from cyber attacks and overloading
EP3036863A1 (en) 2013-08-19 2016-06-29 Hewlett Packard Enterprise Development LP Adaptive network security policies
WO2016027292A1 (ja) 2014-08-22 2016-02-25 日本電気株式会社 分析装置、分析方法及びコンピュータ読み取り可能な記録媒体
US9871822B2 (en) 2014-11-28 2018-01-16 International Business Machines Corporation Deployment using a context-based cloud security assurance system
US9264370B1 (en) 2015-02-10 2016-02-16 Centripetal Networks, Inc. Correlating packets in communications networks
US9866576B2 (en) 2015-04-17 2018-01-09 Centripetal Networks, Inc. Rule-based network-threat detection
US9762616B2 (en) 2015-08-08 2017-09-12 International Business Machines Corporation Application-based security rights in cloud environments
US9917856B2 (en) 2015-12-23 2018-03-13 Centripetal Networks, Inc. Rule-based network-threat detection for encrypted communications
US11729144B2 (en) 2016-01-04 2023-08-15 Centripetal Networks, Llc Efficient packet capture for cyber threat analysis
JP6407184B2 (ja) * 2016-03-15 2018-10-17 三菱電機株式会社 攻撃対策判定システム、攻撃対策判定方法及び攻撃対策判定プログラム
US10764321B2 (en) * 2016-03-24 2020-09-01 Lenovo Enterprise Solutions (Singapore) Pte. Ltd Identifying and remediating at-risk resources in a computing environment
US10402570B2 (en) 2017-03-08 2019-09-03 Wipro Limited Method and device for software risk management within information technology (IT) infrastructure
US11194915B2 (en) * 2017-04-14 2021-12-07 The Trustees Of Columbia University In The City Of New York Methods, systems, and media for testing insider threat detection systems
US10503899B2 (en) 2017-07-10 2019-12-10 Centripetal Networks, Inc. Cyberanalysis workflow acceleration
US10284526B2 (en) 2017-07-24 2019-05-07 Centripetal Networks, Inc. Efficient SSL/TLS proxy
US11233777B2 (en) 2017-07-24 2022-01-25 Centripetal Networks, Inc. Efficient SSL/TLS proxy
DE112018007373T5 (de) 2018-03-27 2020-12-10 Nec Corporation Sicherheits-evaluationssystem, sicherheits-evaluationsverfahren, und programm
US11063967B2 (en) * 2018-07-03 2021-07-13 The Boeing Company Network threat indicator extraction and response
US10333898B1 (en) 2018-07-09 2019-06-25 Centripetal Networks, Inc. Methods and systems for efficient network protection
US11281806B2 (en) 2018-12-03 2022-03-22 Accenture Global Solutions Limited Generating attack graphs in agile security platforms
US11277432B2 (en) 2018-12-03 2022-03-15 Accenture Global Solutions Limited Generating attack graphs in agile security platforms
US11184385B2 (en) 2018-12-03 2021-11-23 Accenture Global Solutions Limited Generating attack graphs in agile security platforms
US11159555B2 (en) 2018-12-03 2021-10-26 Accenture Global Solutions Limited Generating attack graphs in agile security platforms
US11283825B2 (en) 2018-12-03 2022-03-22 Accenture Global Solutions Limited Leveraging attack graphs of agile security platform
US11695795B2 (en) 2019-07-12 2023-07-04 Accenture Global Solutions Limited Evaluating effectiveness of security controls in enterprise networks using graph values
US11258825B1 (en) * 2019-07-18 2022-02-22 Trend Micro Incorporated Computer network monitoring with event prediction
CN110602135B (zh) * 2019-09-25 2022-04-29 北京金山安全软件有限公司 网络攻击处理方法、装置以及电子设备
CN110909362B (zh) * 2019-11-12 2022-04-29 中国科学院微电子研究所 系统检测方法、装置、电子设备及存储介质
EP3872665A1 (en) 2020-02-28 2021-09-01 Accenture Global Solutions Limited Cyber digital twin simulator for security controls requirements
US11876824B2 (en) 2020-06-25 2024-01-16 Accenture Global Solutions Limited Extracting process aware analytical attack graphs through logical network analysis
US11411976B2 (en) 2020-07-09 2022-08-09 Accenture Global Solutions Limited Resource-efficient generation of analytical attack graphs
US11483213B2 (en) 2020-07-09 2022-10-25 Accenture Global Solutions Limited Enterprise process discovery through network traffic patterns
US12034756B2 (en) 2020-08-28 2024-07-09 Accenture Global Solutions Limited Analytical attack graph differencing
US20220103597A1 (en) * 2020-09-29 2022-03-31 Cisco Technology, Inc. Dynamic optimization of client application access via a secure access service edge (sase) network optimization controller (noc)
US11831675B2 (en) 2020-10-26 2023-11-28 Accenture Global Solutions Limited Process risk calculation based on hardness of attack paths
US11362996B2 (en) 2020-10-27 2022-06-14 Centripetal Networks, Inc. Methods and systems for efficient adaptive logging of cyber threat incidents
US11973790B2 (en) 2020-11-10 2024-04-30 Accenture Global Solutions Limited Cyber digital twin simulator for automotive security assessment based on attack graphs
US11159546B1 (en) 2021-04-20 2021-10-26 Centripetal Networks, Inc. Methods and systems for efficient threat context-aware packet filtering for network protection
US11880250B2 (en) 2021-07-21 2024-01-23 Accenture Global Solutions Limited Optimizing energy consumption of production lines using intelligent digital twins
US11895150B2 (en) 2021-07-28 2024-02-06 Accenture Global Solutions Limited Discovering cyber-attack process model based on analytical attack graphs
CN113987477B (zh) * 2021-10-26 2024-07-19 北京京航计算通讯研究所 一种分布式ai系统的防投毒方法和系统
CN114389897B (zh) * 2022-03-18 2022-06-10 苏州市卫生计生统计信息中心 It基础设施安全策略集中管控优化方法
CN114710331A (zh) * 2022-03-23 2022-07-05 新华三信息安全技术有限公司 一种安全防御的方法和网络安全设备
CN116389075B (zh) * 2023-03-08 2023-10-20 安芯网盾(北京)科技有限公司 一种主机攻击行为动态拦截方法及装置

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1777874A (zh) * 2003-04-21 2006-05-24 艾珀利斯网络公司 在检测安全漏洞的基础上保护网络服务质量的系统和方法

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3952648B2 (ja) * 1999-11-25 2007-08-01 株式会社日立製作所 安全対策方針作成装置
US7162741B2 (en) * 2001-07-30 2007-01-09 The Trustees Of Columbia University In The City Of New York System and methods for intrusion detection with dynamic window sizes
US7818797B1 (en) * 2001-10-11 2010-10-19 The Trustees Of Columbia University In The City Of New York Methods for cost-sensitive modeling for intrusion detection and response
AU2003278706A1 (en) * 2002-08-09 2004-02-25 Alphatech, Inc. Control systems and methods using a partially-observable markov decision process (po-mdp)
JP2005071218A (ja) * 2003-08-27 2005-03-17 Nec Fielding Ltd 不正アクセス防御システム、ポリシ管理装置、不正アクセス防御方法、及びプログラム
US20070028291A1 (en) * 2005-07-29 2007-02-01 Bit 9, Inc. Parametric content control in a network security system
WO2007027131A2 (en) * 2005-09-02 2007-03-08 Teliasonera Ab Method for dependence based risk evaluation in computer systems
US8438643B2 (en) * 2005-09-22 2013-05-07 Alcatel Lucent Information system service-level security risk analysis
JP5020776B2 (ja) * 2007-10-29 2012-09-05 株式会社エヌ・ティ・ティ・データ 情報セキュリティ対策決定支援装置及び方法ならびにコンピュータプログラム
JP5145907B2 (ja) * 2007-12-04 2013-02-20 日本電気株式会社 セキュリティ運用管理システム、方法、及び、プログラム
WO2009119049A1 (ja) * 2008-03-25 2009-10-01 パナソニック株式会社 電子端末、制御方法、コンピュータプログラム及び集積回路
US7899849B2 (en) * 2008-05-28 2011-03-01 Zscaler, Inc. Distributed security provisioning

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1777874A (zh) * 2003-04-21 2006-05-24 艾珀利斯网络公司 在检测安全漏洞的基础上保护网络服务质量的系统和方法

Also Published As

Publication number Publication date
JP5745619B2 (ja) 2015-07-08
WO2011138417A1 (en) 2011-11-10
US8973092B2 (en) 2015-03-03
JP2013525927A (ja) 2013-06-20
CN102934122A (zh) 2013-02-13
EP2385676B1 (en) 2019-06-26
EP2385676A1 (en) 2011-11-09
KR101404352B1 (ko) 2014-06-09
US20130111548A1 (en) 2013-05-02
KR20130005301A (ko) 2013-01-15

Similar Documents

Publication Publication Date Title
CN102934122B (zh) 用于适配信息系统基础设施的安全策略的方法
JP2013525927A5 (zh)
AU2004289001B2 (en) Method and system for addressing intrusion attacks on a computer system
US7281270B2 (en) Attack impact prediction system
US20170257339A1 (en) Logical / physical address state lifecycle management
US8006305B2 (en) Computer worm defense system and method
US7039950B2 (en) System and method for network quality of service protection on security breach detection
CN106850637B (zh) 一种基于流量白名单的异常流量检测方法
US20030101260A1 (en) Method, computer program element and system for processing alarms triggered by a monitoring system
WO2010144796A2 (en) Integrated cyber network security system and method
CN106992955A (zh) Apt防火墙
CN109905410A (zh) Web应用安全防护方法与Web应用防火墙系统
CN112688930A (zh) 暴力破解检测方法、系统、设备及介质
CN117319019A (zh) 一种基于智能决策的电力网络动态防御系统
Mehresh et al. A deception framework for survivability against next generation cyber attacks
Li et al. An active defense model based on situational awareness and firewalls
Singh Intrusion Detection Systems (IDS) and Intrusion Prevention Systems (IPS) For Network Security: A Critical Analysis
Alshayea et al. Reducing the Effect of Denial of Service in Web Service Environment
Cuppens et al. Expression and deployment of reaction policies
Saxena Next Generation Intelligent Network Intrusion Prevention System
CN115622754A (zh) 一种检测并防止mqtt漏洞的方法、系统和装置
CN115374445A (zh) 基于跨网场景的终端系统安全评估方法、装置及系统
CN115865517A (zh) 面向大数据应用的攻击检测方法及系统
Carlsson et al. Leveraging organizational etiquette to improve Internet security
ONUwA Improving Network Attack Alarm System: A Proposed Hybrid Intrusion Detection System Model

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant