CN109218255A - 安全防护方法、控制系统和安全防护系统 - Google Patents
安全防护方法、控制系统和安全防护系统 Download PDFInfo
- Publication number
- CN109218255A CN109218255A CN201710518703.7A CN201710518703A CN109218255A CN 109218255 A CN109218255 A CN 109218255A CN 201710518703 A CN201710518703 A CN 201710518703A CN 109218255 A CN109218255 A CN 109218255A
- Authority
- CN
- China
- Prior art keywords
- safety
- grade
- item collection
- product
- safety problem
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 52
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 39
- 238000004590 computer program Methods 0.000 claims description 9
- 238000003860 storage Methods 0.000 claims description 8
- 230000007123 defense Effects 0.000 claims description 6
- 230000000694 effects Effects 0.000 abstract description 12
- 238000010586 diagram Methods 0.000 description 17
- 230000008569 process Effects 0.000 description 9
- 235000010804 Maranta arundinacea Nutrition 0.000 description 4
- 235000012419 Thalia geniculata Nutrition 0.000 description 4
- 230000006399 behavior Effects 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 244000151018 Maranta arundinacea Species 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 238000007405 data analysis Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 238000004611 spectroscopical analysis Methods 0.000 description 2
- 206010021703 Indifference Diseases 0.000 description 1
- 244000145580 Thalia geniculata Species 0.000 description 1
- 230000003044 adaptive effect Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 238000005304 joining Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 238000005065 mining Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0654—Management of faults, events, alarms or notifications using network fault recovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本申请提出一种安全防护方法、控制系统和安全防护系统,涉及信息安全领域。本发明的一种安全防护方法包括:开启具有多个安全产品的安全防护系统中具有强关联性的安全产品,其中,具有强关联性的安全产品根据改进的关联规则算法确定;将实时待防护流量输入开启的具有强关联性的安全产品以便进行安全防护。通过这样的方法,能够根据改进的关联规则算法确定针对待防护流量的具有强关联性的安全产品,并开启且仅开启这些具有强关联性的安全产品,从而实现安全产品的自适应选择,在优化防护效果的同时,提高防护效率。
Description
技术领域
本申请涉及信息安全领域,特别是一种安全防护方法、控制系统和安全防护系统。
背景技术
APT(Advanced Persistent Threat,高级持续性威胁)是黑客以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划,并具备高度的隐蔽性。APT的攻击手法在于隐匿自己,针对特定对象,长期、有计划性和组织性地窃取数据,这种发生在数字空间的偷窃资料、搜集情报的行为,就是一种“网络间谍”的行为。
APT攻击的原理相对于其他攻击形式更为高级和先进,其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中,此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞,利用这些漏洞组建攻击者所需的网络,并利用0day漏洞进行攻击。
由于APT攻击带有极强的针对性,传统的防护策略难以起效,各种安全产品往往具有各自的侧重点,单独使用防护效果欠佳,但无差别采用多种安全产品又会造成效率低下、资源浪费的后果。
发明内容
本申请的一个目的在于实现安全产品的自适应选择。
根据本申请的一个方面,提出一种安全防护方法,包括:开启具有多个安全产品的安全防护系统中具有强关联性的安全产品,其中,具有强关联性的安全产品根据改进的关联规则算法Apriori确定;将实时待防护流量输入开启的具有强关联性的安全产品以便进行安全防护。
可选地,还包括:根据备份的待防护流量,利用改进的关联规则算法确定具有强关联性的安全产品。
可选地,还包括:备份预定时长的流量,预定时长包括多个预定周期长度。
可选地,根据备份的待防护流量,利用改进的关联规则算法确定具有强关联性的安全产品包括:开启安全防护系统中所有的安全产品;将备份的待防护流量输入安全防护系统以便各个安全产品输出安全问题标识,其中,当安全产品确定备份的待防护流量中包括安全产品的防护目标相关联的问题,则输出安全问题标识;根据多个时间周期内各个安全产品输出的安全问题标识,基于改进的关联规则算法确定具有强关联性的安全产品。
可选地,根据各个安全产品输出的安全问题标识,基于改进的关联规则算法确定具有强关联性的安全产品包括:将安全问题标识作为第1级项集,第1级项集的支持度为安全问题标识出现的次数;将不同的安全问题标识两两组合,获取第2级项集,第2级项集与第1级项集之间的距离为组成第2级项集的安全问题标识在预定时长内出现的次数;将不同的第k-1级项集两两组合,获取第k级项集,第k级项集与第k-1级项集之间的距离为组成第k级项集的安全问题标识在预定时长内出现的次数,其中,k为大于1的正整数;当项集的级数等于安全问题标识的种类时,确定从第1级项集到第k级项集之间距离最长的路径中各个节点的安全问题标识对应的安全产品为具有强关联性的安全产品。
可选地,将安全问题标识作为第1级项集,第1级项集的支持度为安全问题标识出现的次数包括:将安全问题标识的支持度与预定最小支持度相比较;若安全问题标识的支持度不小于最小支持度,则将安全问题标识作为第1级项集;若安全问题标识的支持度小于最小支持度,则确定安全问题标识对应的安全产品不属于具有强关联性的安全产品。
通过这样的方法,能够根据改进的关联规则算法确定针对待防护流量的具有强关联性的安全产品,并开启且仅开启这些具有强关联性的安全产品,从而实现安全产品的自适应选择,在优化防护效果的同时,提高防护效率。
根据本申请的另一个方面,提出一种安全防护控制系统,包括:开关控制单元,用于开启具有多个安全产品的安全防护系统中具有强关联性的安全产品,其中,具有强关联性的安全产品根据改进的关联规则算法确定;流量输入单元,用于将实时待防护流量输入开启的具有强关联性的安全产品以便进行安全防护。
可选地,还包括:强关联性确定单元,用于根据备份的待防护流量,利用改进的关联规则算法确定具有强关联性的安全产品。
可选地,还包括:流量备份单元,用于备份预定时长的流量,预定时长包括多个预定周期长度。
可选地,强关联性确定单元包括:产品开启子单元,用于开启安全防护系统中所有的安全产品;问题标识获取子单元,用于将备份的待防护流量输入安全防护系统以便各个安全产品输出安全问题标识,其中,当安全产品确定备份的待防护流量中包括安全产品的防护目标相关联的问题,则输出安全问题标识;关联规则计算子单元,用于根据多个时间周期内各个安全产品输出的安全问题标识,基于改进的关联规则算法确定具有强关联性的安全产品。
可选地,关联规则计算子单元用于:将安全问题标识作为第1级项集,第1级项集的支持度为安全问题标识出现的次数;将不同的安全问题标识两两组合,获取第2级项集,第2级项集与第1级项集之间的距离为组成第2级项集的安全问题标识在预定时长内出现的次数;将不同的第k-1级项集两两组合,获取第k级项集,第k级项集与第k-1级项集之间的距离为组成第k级项集的安全问题标识在预定时长内出现的次数,其中,k为大于1的正整数;当第k级项集的级数等于安全问题标识的种类时,确定从第1级项集到第k级项集之间距离最长的路径中各个节点的安全问题标识对应的安全产品为具有强关联性的安全产品。
可选地,将安全问题标识作为第1级项集,第1级项集的支持度为安全问题标识出现的次数包括:将安全问题标识的支持度与预定最小支持度相比较;若安全问题标识的支持度不小于最小支持度,则将安全问题标识作为第1级项集;若安全问题标识的支持度小于最小支持度,则确定安全问题标识对应的安全产品不属于具有强关联性的安全产品。
这样的安全防护控制系统能够根据改进的关联规则算法确定针对待防护流量的具有强关联性的安全产品,并开启且仅开启这些具有强关联性的安全产品,从而实现安全产品的自适应选择,在优化防护效果的同时,提高防护效率。
根据本申请的又一个方面,提出一种安全防护控制系统,包括:存储器;以及耦接至存储器的处理器,处理器被配置为基于存储在存储器的指令执行上文中提到的任意一种安全防护方法。
这样的安全防护控制系统能够实现安全产品的自适应选择,在优化防护效果的同时,提高防护效率。
根据本申请的再一个方面,提出一种计算机可读存储介质,其上存储有计算机程序指令,该指令被处理器执行时实现上文中提到的任意一种安全防护方法的步骤。
这样的计算机可读存储介质通过执行其上的程序,能够实现安全产品的自适应选择,在优化防护效果的同时,提高防护效率。
另外,根据本申请的一个方面,提出一种安全防护系统,包括:安全防护控制系统,用于执行上文中提到的任意一种安全防护方法;多个安全产品,用于分别对待防护流量进行安全防护,输出安全问题标识。
这样的安全防护系统能够在安全防护控制系统的控制下实现安全产品的开启、关闭状态切换,从而实现安全产品的自适应选择,在优化防护效果的同时,提高防护效率。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本申请的安全防护控制系统的一个实施例的示意图。
图2为本申请的安全防护控制系统的另一个实施例的示意图。
图3为本申请的安全防护方法的一个实施例的流程图。
图4为本申请的安全防护方法的另一个实施例的流程图。
图5为本申请的安全防护方法中确定具有强关联性的安全产品的一个实施例的流程图。
图6为本申请的安全防护方法中确定具有强关联性的安全产品的另一个实施例的流程图。
图7为本申请的安全防护方法中确定具有强关联性的安全产品的一个实施例的示意图。
图8为本申请的安全防护控制系统的又一个实施例的示意图。
图9为本申请的安全防护控制系统的再一个实施例的示意图。
图10为本申请的安全防护控制系统中强关联性确定单元的一个实施例的示意图。
图11为本申请的安全防护系统的一个实施例的示意图。
具体实施方式
下面通过附图和实施例,对本申请的技术方案做进一步的详细描述。
目前,很多针对APT攻击的防护技术都只是从单一的安全产品着手,并没有从多个单一的安全产品关联性的角度来考虑APT攻击的防护策略。
本申请的安全防护控制系统的一个实施例的结构示意图如图1所示。安全防护控制系统包括存储器110和处理器120。其中:存储器110可以是磁盘、闪存或其它任何非易失性存储介质。存储器用于存储下文中安全防护方法的对应实施例中的指令。处理器120耦接至存储器110,可以作为一个或多个集成电路来实施,例如微处理器或微控制器。该处理器120用于执行存储器中存储的指令,能够实现安全产品的自适应选择。
在一个实施例中,还可以如图2所示,安全防护控制系统200包括存储器210和处理器220。处理器220通过BUS总线230耦合至存储器210。该安全防护控制系统200还可以通过存储接口240连接至外部存储装置250以便调用外部数据,还可以通过网络接口260连接至网络或者另外一台计算机系统(未标出)。此处不再进行详细介绍。
在该实施例中,通过存储器存储数据指令,再通过处理器处理上述指令,能够实现安全产品的自适应选择。
在另一个实施例中,一种计算机可读存储介质,其上存储有计算机程序指令,该指令被处理器执行时实现安全防护方法对应实施例中的方法的步骤。本领域内的技术人员应明白,本申请的实施例可提供为方法、装置、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用非瞬时性存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请的安全防护方法的一个实施例的流程图如图3所示。
在步骤301中,开启具有多个安全产品的安全防护系统中具有强关联性的安全产品,其中,具有强关联性的安全产品根据改进的关联规则算法确定。
在步骤302中,将实时待防护流量输入开启的具有强关联性的安全产品以便进行安全防护。在一个实施例中,安全防护系统可以处于内、外网之间,外网流量为待防护流量,经过安全防护系统的安全防护处理后输入内网。
通过这样的方法,能够根据改进的关联规则算法确定针对待防护流量的具有强关联性的安全产品,并开启且仅开启这些具有强关联性的安全产品,从而实现安全产品的自适应选择,在优化防护效果的同时,提高防护效率。
在一个实施例中,可以根据待防护流量的特征实时确定具有强关联性的安全产品,例如,将实时流量备份,输入安全防护系统利用改进的关联规则算法确定具有强关联性的安全产品,进而用确定的具有强关联性的安全产品进行实时流量的安全防护。
通过这样的方法,能够针对当前流量生成有针对性的具有强关联性的安全产品,从而在实现安全产品的自适应选择的同时,优化安全防护的效果。
在另一个实施例中,可以记录待防护流量的特征和确定的具有强关联性的安全产品,当再次有符合该特征的流量到来时,调用确定的具有强关联性的安全产品,从而避免了再次进行计算,提高了调用效率。在一个实施例中,待防护流量的特征可以包括流量的种类、源地址等信息。
本申请的安全防护方法的另一个实施例的流程图如图4所示。
在步骤401中,备份预定时长的流量,预定时长包括多个预定周期长度。在一个实施例中,要实施改进的关联规则算法需要以几个周期的数据作为数据基础进行计算,因此需要备份预定时长的流量,且记录流量的时间标签以便进行数据分析。
在步骤402中,根据备份的待防护流量,利用改进的关联规则算法确定具有强关联性的安全产品。
在步骤403中,开启具有多个安全产品的安全防护系统中具有强关联性的安全产品,其中,具有强关联性的安全产品根据改进的关联规则算法确定。
在步骤404中,将实时待防护流量输入开启的具有强关联性的安全产品以便进行安全防护。在一个实施例中,安全防护系统可以处于内、外网之间,外网流量为待防护流量,经过安全防护系统的安全防护处理后输入内网。
通过这样的方法,能够备份预定时长的流量作为计算具有强关联性的安全产品的数据基础,提高了确定的具有强关联性的安全产品的准确度。
本申请的安全防护方法中确定具有强关联性的安全产品的一个实施例的流程图如图5所示。
在步骤501中,开启安全防护系统中所有的安全产品。
在步骤502中,将备份的待防护流量输入安全防护系统。当安全产品确定备份的待防护流量中包括安全产品的防护目标相关联的问题时,输出安全问题标识。获取各个安全产品输出的安全问题标识。
在步骤503中,根据多个时间周期内各个安全产品输出的安全问题标识,基于改进的关联规则算法确定具有强关联性的安全产品。
通过这样的方法,能够先开启全部的安全产品进行备份的待防护流量的防护检测,提高全面性;根据输出的多个周期的安全问题标识分析具有强关联性的安全产品,提高准确性。
上述实施例步骤503的具体实现方法可以如图6所示。
在步骤601中,将安全问题标识作为第1级项集,第1级项集的支持度为安全问题标识出现的次数。在一个实施例中,可以设置最小支持度,若安全问题标识出现的次数达到最小支持度,则该安全问题标识可以作为第1级项集中的一员,否则忽略不计。
在步骤602中,将不同的第k-1级项集两两组合,获取第k级项集,第k级项集与第k-1级项集之间的距离为组成第k级项集的安全问题标识在预定时长内出现的次数,其中,k为大于1的正整数。如,将不同的安全问题标识两两组合,获取第2级项集,第2级项集与第1级项集之间的距离为组成第2级项集的安全问题标识在预定时长内出现的次数。如表1所示:
假设我们采集了t时刻的流量数据,t时刻可以划分为4个时间间隔(T1~T4),总共有5个安全产品(I)对每个时间间隔流入的数据进行安全诊断,并对诊断结果进行标识,假设输入改进的Apriori算法的数据如下矩阵所示:
表1输入改进的Apriori算法的数据
| I1 | I2 | I3 | I4 | I5 | |
| T1 | 0 | 1 | 1 | 0 | 1 |
| T2 | 1 | 0 | 0 | 1 | 0 |
| T3 | 1 | 0 | 1 | 1 | 0 |
| T4 | 0 | 1 | 1 | 0 | 1 |
安全产品项集I1的支持度sup=2(I1所在列中“1”的个数),I1I2的sup=0(I1与I2所在列中相同行均是“1”的个数),I2I3的sup=2(I2与I3所在列中相同行均是“1”的个数),其他项集sup的计算方法如此类推。
在步骤603中,判断k是否等于安全问题标识的种类。若k等于安全问题标识的种类,则执行步骤604;若k小于安全问题标识的种类,则执行步骤605。
在步骤604中,确定从第1级项集到第k级项集之间距离最长的路径中各个节点的安全问题标识对应的安全产品为具有强关联性的安全产品。在一个实施例中,用户可以根据需要选择路径中的节点作为当前要使用的具有强关联性的安全产品。
在步骤605中,将k的数量加1,返回执行步骤602。
具体如图7所示,安全防护系统中包括五种安全产品,即第一级项集中包括I1~I5五种,
1)对筛选出的支持度sup≥最小支持度min_sup的5个安全产品构成的第1级项集{I1}、{I2}、{I3}、{I4}、{I5}进行两两组合,生成第2级项集,第2级项集的项数为C4 1+C3 1+C2 1+C1 1=10。对组合的项集之间通过箭头进行连接。箭头根部代表组合前的项集(第1级项集),箭头指向为组合后的项集(第2级项集)。记录组合项集的支持度,代表该组合项集从第1级项集到第2级项集的距离。
2)对第2级项集{I1I2}、{I1I3}、{I1I4}、{I1I5}、……、{I4I5}进行两两组合,组合为第2级项集的项数为:C4 2+C3 2+C2 2=10。对组合的项集之间通过箭头进行连接。箭头根部代表组合前的项集(第2级项集),箭头指向代表组合后的项集(第3级项集)。记录组合项集的支持度代表该组合项集从第2级项集到第3级项集的距离。
3)对第3级项集{I1I2I3}、{I1I2I4}、……、{I3I4I5}进行两两组合,组合为第4级项集的项数为:C4 3+C3 3=5。对组合的项集之间通过箭头进行连接。箭头根部代表组合前的项集(第3级项集),箭头指向代表组合后的项集(第4级项集)。记录组合项集的支持度sup,代表该组合项集从第3级项集到第4级项集的距离。
4)对第4级项集{I1I2I3I4}、{I1I2I3I5}、{I1I2I4I5}、{I1I3I4I5}、{I2I3I4I5}进行两两组合,组合为第4级项集的项数总共是C5 5=1。对组合的项集之间通过箭头进行连接。箭头根部代表组合前的项集(第4级项集),箭头指向代表组合后的项集(第5级项集)。记录组合项集的支持度sup,代表该组合项集从第4级项集到第5级项集的距离。
5)根据min_sup,筛选出符合条件的每级所记录的距离,然后计算筛选出的所有路径的距离,根据计算结果,选择距离最大的一条路径,该路径就是具有最强关联性的路径,即粗线所标识的路径。
一些已有的关联规则算法Apriori改进算法只是通过调整控制某些项目的参与情况来优化数据集的扫描次数与候选集的产生,只是针对各项目之间的强关联性进行分析,并没有真正的去寻找各项集之间的最佳强关联性,通过本发明的实施例中的方法,简化了频繁项集在原始算法的实现过程中循环判断的过程,着重于不同项集之间的最佳强关联性的路径选择,与原始的算法只是关注不同项目之间具有的强关联性的组合情况有所区别;能够对各项集之间的关联性进行挖掘分析,得到一条最佳强关联性路径,该路径揭示了各项集之间潜在的最佳强关联状态;通过对多个单一的安全产品进行关联性分析,得到具有强防护能力的安全产品项集,从而利用自适应开关的闭合与断开状态来对APT攻击进行实时有效的安全防护。
在一个实施例中,如图7所示,得到了一条最佳强关联性路径L:I4->I3I4->I1I3I4->I1I3I4I5,假设项集I4、I3I4、I1I3I4与I1I3I4I5的sup值分别为2、4、2、3。然后进行最佳项集的选择。由于该条路径上面的安全产品项集都具有最强的关联性,在安全防护能力评估模型中,可以根据系统环境的需要自由选择出其中一个项集,比如选择出这条路径上面sup值最大的一个项集(I3I4),或者选择出包含项目最多的一个项集(I1I3I4I5)。然后根据选择结果进行安全产品开关状态的控制。比如选择sup值最大的项集I3I4,则此时的5个开关(S1,S2,S3,S4,S5)状态分别为:断开,断开,闭合,闭合,断开。用“0”或“1”表示即为:开关集合S={0,0,1,1,0}。此时,外部实时流量会先经过APT防护安全产品3与APT防护安全产品4的安全防护,然后再流入内部网络。
通过这样的方法,能够生成最佳强关联性路径,根据实际防护需求选择路径中的节点作为具有强关联性的安全产品对流量进行安全防护,用户可以根据效率、全面性需求进行选择,提高了可控性和用户友好度。
本申请的安全防护控制系统的又一个实施例的示意图如图8所示。开关控制单元801能够开启具有多个安全产品的安全防护系统中具有强关联性的安全产品,其中,具有强关联性的安全产品根据改进的关联规则算法确定。流量输入单元802能够将实时待防护流量输入开启的具有强关联性的安全产品以便进行安全防护。在一个实施例中,安全防护系统可以处于内、外网之间,外网流量为待防护流量,经过安全防护系统的安全防护处理后输入内网。
这样的安全防护控制系统能够根据改进的关联规则算法确定针对待防护流量的具有强关联性的安全产品,并开启且仅开启这些具有强关联性的安全产品,从而实现安全产品的自适应选择,在优化防护效果的同时,提高防护效率。
本申请的安全防护控制系统的再一个实施例的示意图如图9所示。开关控制单元901和流量输入单元902的结构和功能与图8的实施例中相似。安全防护控制系统还包括强关联性确定单元903,能够根据备份的待防护流量,利用改进的关联规则算法确定具有强关联性的安全产品。通过这样的方法,能够针对当前流量生成有针对性的具有强关联性的安全产品,从而在实现安全产品的自适应选择的同时,优化安全防护的效果。
在一个实施例中,安全防护控制系统还包括流量备份单元904,能够备份预定时长的流量,预定时长包括多个预定周期长度。在一个实施例中,要实施改进的关联规则算法需要以几个周期的数据作为数据基础进行计算,因此需要备份预定时长的流量,且记录流量的时间标签以便进行数据分析,提高了确定的具有强关联性的安全产品的准确度。
本申请的安全防护控制系统中强关联性确定单元的一个实施例的示意图如图10所示。产品开启子单元1001能够开启安全防护系统中所有的安全产品。问题标识获取子单元1002能够将备份的待防护流量输入安全防护系统。当安全产品确定备份的待防护流量中包括安全产品的防护目标相关联的问题时,输出安全问题标识。获取各个安全产品输出的安全问题标识。关联规则计算子单元1003能够根据多个时间周期内各个安全产品输出的安全问题标识,基于改进的关联规则算法确定具有强关联性的安全产品。在一个实施例中,关联规则计算子单元1003可以采用如图6所示的实施例中的方式确定具有强关联性的安全产品。
这样的安全防护控制系统能够先开启全部的安全产品进行备份的待防护流量的防护检测,提高全面性;根据输出的多个周期的安全问题标识分析具有强关联性的安全产品,提高准确性。
本申请的安全防护系统的一个实施例的示意图如图11所示。外部网络1110向安全防护系统输入数据,可以先对外部网络1110的数据进行备份,开启全部开关,将备份数据输入安全产品1121~112n。安全防护控制系统中的关联规则计算子单元1130根据安全产品1121~112n输出的安全问题标识确定具有强关联性的安全产品。开关控制单元1140根据确定的具有强关联性的安全产品调整各个安全产品的开关状态,进而将外部网络1110的实时流量输入安全防护系统,由开启状态的安全产品进行安全防护。
这样的安全防护系统能够根据改进的关联规则算法确定针对待防护流量的具有强关联性的安全产品,并开启且仅开启这些具有强关联性的安全产品,从而实现安全产品的自适应选择,在优化防护效果的同时,提高防护效率。
本申请是参照根据本申请实施例的方法、设备(系统)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
至此,已经详细描述了本申请。为了避免遮蔽本申请的构思,没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述,完全可以明白如何实施这里公开的技术方案。
可能以许多方式来实现本申请的方法以及装置。例如,可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本申请的方法以及装置。用于所述方法的步骤的上述顺序仅是为了进行说明,本申请的方法的步骤不限于以上具体描述的顺序,除非以其它方式特别说明。此外,在一些实施例中,还可将本申请实施为记录在记录介质中的程序,这些程序包括用于实现根据本申请的方法的机器可读指令。因而,本申请还覆盖存储用于执行根据本申请的方法的程序的记录介质。
最后应当说明的是:以上实施例仅用以说明本申请的技术方案而非对其限制;尽管参照较佳实施例对本申请进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本申请的具体实施方式进行修改或者对部分技术特征进行等同替换;而不脱离本申请技术方案的精神,其均应涵盖在本申请请求保护的技术方案范围当中。
Claims (15)
1.一种安全防护方法,包括:
开启具有多个安全产品的安全防护系统中具有强关联性的安全产品,其中,所述具有强关联性的安全产品根据改进的关联规则算法确定;
将实时待防护流量输入开启的所述具有强关联性的安全产品以便进行安全防护。
2.根据权利要求1所述的方法,还包括:
根据备份的待防护流量,利用所述改进的关联规则算法确定所述具有强关联性的安全产品。
3.根据权利要求2所述的方法,还包括:
备份预定时长的流量,所述预定时长包括多个预定周期长度。
4.根据权利要求2或3所述的方法,其中,所述根据备份的待防护流量,利用所述改进的关联规则算法确定所述具有强关联性的安全产品包括:
开启所述安全防护系统中所有的安全产品;
将备份的待防护流量输入所述安全防护系统以便各个所述安全产品输出安全问题标识,其中,当所述安全产品确定备份的待防护流量中包括所述安全产品的防护目标相关联的问题,则输出安全问题标识;
根据多个时间周期内各个所述安全产品输出的安全问题标识,基于所述改进的关联规则算法确定所述具有强关联性的安全产品。
5.根据权利要求4所述的方法,其中,所述根据各个所述安全产品输出的安全问题标识,基于所述改进的关联规则算法确定所述具有强关联性的安全产品包括:
将安全问题标识作为第1级项集,所述第1级项集的支持度为所述安全问题标识出现的次数;
将不同的安全问题标识两两组合,获取第2级项集,所述第2级项集与所述第1级项集之间的距离为组成所述第2级项集的安全问题标识在预定时长内出现的次数;
将不同的第k-1级项集两两组合,获取第k级项集,所述第k级项集与所述第k-1级项集之间的距离为组成所述第k级项集的安全问题标识在预定时长内出现的次数,其中,k为大于1的正整数;
当k等于安全问题标识的种类时,确定从第1级项集到第k级项集之间距离最长的路径中各个节点的安全问题标识对应的安全产品为所述具有强关联性的安全产品。
6.根据权利要求5所述的方法,所述将安全问题标识作为第1级项集,所述第1级项集的支持度为所述安全问题标识出现的次数包括:
将安全问题标识的支持度与预定最小支持度相比较;
若所述安全问题标识的支持度不小于所述最小支持度,则将所述安全问题标识作为第1级项集;
若所述安全问题标识的支持度小于所述最小支持度,则确定所述安全问题标识对应的安全产品不属于所述具有强关联性的安全产品。
7.一种安全防护控制系统,包括:
开关控制单元,用于开启具有多个安全产品的安全防护系统中具有强关联性的安全产品,其中,所述具有强关联性的安全产品根据改进的关联规则算法确定;
流量输入单元,用于将实时待防护流量输入开启的所述具有强关联性的安全产品以便进行安全防护。
8.根据权利要求7所述的控制系统,还包括:
强关联性确定单元,用于根据备份的待防护流量,利用所述改进的关联规则算法确定所述具有强关联性的安全产品。
9.根据权利要求8所述的控制系统,还包括:
流量备份单元,用于备份预定时长的流量,所述预定时长包括多个预定周期长度。
10.根据权利要求8或9所述的控制系统,其中,所述强关联性确定单元包括:
产品开启子单元,用于开启所述安全防护系统中所有的安全产品;
问题标识获取子单元,用于将备份的待防护流量输入所述安安全防护系统以便各个所述安全产品输出安全问题标识,其中,当所述安全产品确定备份的待防护流量中包括所述安全产品的防护目标相关联的问题,则输出安全问题标识;
关联规则计算子单元,用于根据多个时间周期内各个所述安全产品输出的安全问题标识,基于所述改进的关联规则算法确定所述具有强关联性的安全产品。
11.根据权利要求10所述的控制系统,其中,所述关联规则计算子单元用于:
将安全问题标识作为第1级项集,所述第1级项集的支持度为所述安全问题标识出现的次数;
将不同的安全问题标识两两组合,获取第2级项集,所述第2级项集与所述第1级项集之间的距离为组成所述第2级项集的安全问题标识在预定时长内出现的次数;
将不同的第k-1级项集两两组合,获取第k级项集,所述第k级项集与所述第k-1级项集之间的距离为组成所述第k级项集的安全问题标识在预定时长内出现的次数,其中,k为大于1的正整数;
当k等于安全问题标识的种类时,确定从第1级项集到第k级项集之间距离最长的路径中各个节点的安全问题标识对应的安全产品为所述具有强关联性的安全产品。
12.根据权利要求11所述的控制系统,所述将安全问题标识作为第1级项集,所述第1级项集的支持度为所述安全问题标识出现的次数包括:
将安全问题标识的支持度与预定最小支持度相比较;
若所述安全问题标识的支持度不小于所述最小支持度,则将所述安全问题标识作为第1级项集;
若所述安全问题标识的支持度小于所述最小支持度,则确定所述安全问题标识对应的安全产品不属于所述具有强关联性的安全产品。
13.一种安全防护控制系统,包括:
存储器;以及
耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器的指令执行如权利要求1至6任一项所述的方法。
14.一种计算机可读存储介质,其上存储有计算机程序指令,该指令被处理器执行时实现权利要求1至6任意一项所述的方法的步骤。
15.一种安全防护系统,包括:
安全防护控制系统,用于执行权利要求1~6任意一项所述的方法;和,
多个安全产品,用于分别对待防护流量进行安全防护,输出安全问题标识。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710518703.7A CN109218255B (zh) | 2017-06-30 | 2017-06-30 | 安全防护方法、控制系统和安全防护系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710518703.7A CN109218255B (zh) | 2017-06-30 | 2017-06-30 | 安全防护方法、控制系统和安全防护系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109218255A true CN109218255A (zh) | 2019-01-15 |
| CN109218255B CN109218255B (zh) | 2021-06-04 |
Family
ID=64960848
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710518703.7A Active CN109218255B (zh) | 2017-06-30 | 2017-06-30 | 安全防护方法、控制系统和安全防护系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109218255B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030187584A1 (en) * | 2002-03-28 | 2003-10-02 | Harris Cole Coryell | Methods and devices relating to estimating classifier performance |
| CN1878093A (zh) * | 2006-07-19 | 2006-12-13 | 华为技术有限公司 | 安全事件关联分析方法和系统 |
| CN101937447A (zh) * | 2010-06-07 | 2011-01-05 | 华为技术有限公司 | 一种告警关联规则挖掘方法、规则挖掘引擎及系统 |
| CN103581198A (zh) * | 2013-11-13 | 2014-02-12 | 浙江中烟工业有限责任公司 | 基于Apriori算法的安全日志分析方法 |
| CN105827422A (zh) * | 2015-01-06 | 2016-08-03 | 中国移动通信集团上海有限公司 | 一种确定网元告警关联关系的方法及装置 |
| US20170075978A1 (en) * | 2015-09-16 | 2017-03-16 | Linkedin Corporation | Model-based identification of relevant content |
-
2017
- 2017-06-30 CN CN201710518703.7A patent/CN109218255B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030187584A1 (en) * | 2002-03-28 | 2003-10-02 | Harris Cole Coryell | Methods and devices relating to estimating classifier performance |
| CN1878093A (zh) * | 2006-07-19 | 2006-12-13 | 华为技术有限公司 | 安全事件关联分析方法和系统 |
| CN101937447A (zh) * | 2010-06-07 | 2011-01-05 | 华为技术有限公司 | 一种告警关联规则挖掘方法、规则挖掘引擎及系统 |
| CN103581198A (zh) * | 2013-11-13 | 2014-02-12 | 浙江中烟工业有限责任公司 | 基于Apriori算法的安全日志分析方法 |
| CN105827422A (zh) * | 2015-01-06 | 2016-08-03 | 中国移动通信集团上海有限公司 | 一种确定网元告警关联关系的方法及装置 |
| US20170075978A1 (en) * | 2015-09-16 | 2017-03-16 | Linkedin Corporation | Model-based identification of relevant content |
Non-Patent Citations (1)
| Title |
|---|
| 杨光明子: ""基于入侵检测的APT防御平台的设计与实现"", 《中国优秀硕士学位论文全文数据库》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109218255B (zh) | 2021-06-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101904911B1 (ko) | 하이브리드 퍼징 기반 보안 취약점 자동 탐색 방법 및 그 장치 | |
| US9306962B1 (en) | Systems and methods for classifying malicious network events | |
| Ghafouri et al. | Optimal thresholds for anomaly-based intrusion detection in dynamical environments | |
| CN102790706B (zh) | 海量事件安全分析方法及装置 | |
| Onwubiko | Situational Awareness in Computer Network Defense: Principles, Methods and Applications: Principles, Methods and Applications | |
| Alcaraz et al. | Recovery of structural controllability for control systems | |
| Hemberg et al. | Adversarial co-evolution of attack and defense in a segmented computer network environment | |
| CN105117430B (zh) | 一种基于等价类的重复任务过程发现方法 | |
| Yuan et al. | Mining software component interactions to detect security threats at the architectural level | |
| Rubio et al. | Tracking advanced persistent threats in critical infrastructures through opinion dynamics | |
| Sukhwani et al. | A survey of anomaly detection techniques and hidden markov model | |
| Lou et al. | Ownership verification of dnn architectures via hardware cache side channels | |
| CN107231383A (zh) | Cc攻击的检测方法及装置 | |
| CN112632564B (zh) | 一种威胁评估方法及装置 | |
| CN112995176A (zh) | 应用于电力通信网络中的网络攻击可达性计算方法及装置 | |
| Aldaya et al. | Online template attacks: Revisited | |
| CN116208514B (zh) | 一种多阶段攻击的防御趋势预测方法、系统、设备及介质 | |
| CN106411951A (zh) | 网络攻击行为检测方法及装置 | |
| CN109218255A (zh) | 安全防护方法、控制系统和安全防护系统 | |
| CN107800683A (zh) | 一种挖掘恶意ip的方法及装置 | |
| Niu et al. | Minimum violation control synthesis on cyber-physical systems under attacks | |
| CN105095066B (zh) | 安全漏洞检测方法及装置 | |
| CN107145599A (zh) | 一种大数据资产管理系统 | |
| CN103677769B (zh) | 指令重组方法及装置 | |
| Lu et al. | Reduction rules and deadlock detecting methods in Object Oriented Petri Net models |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| EE01 | Entry into force of recordation of patent licensing contract | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20190115 Assignee: Tianyiyun Technology Co.,Ltd. Assignor: CHINA TELECOM Corp.,Ltd. Contract record no.: X2024110000040 Denomination of invention: Security protection methods, control systems, and security protection systems Granted publication date: 20210604 License type: Common License Record date: 20240914 |