CN109361690A - 一种网络中的威胁处置策略生成方法及系统 - Google Patents
一种网络中的威胁处置策略生成方法及系统 Download PDFInfo
- Publication number
- CN109361690A CN109361690A CN201811377190.3A CN201811377190A CN109361690A CN 109361690 A CN109361690 A CN 109361690A CN 201811377190 A CN201811377190 A CN 201811377190A CN 109361690 A CN109361690 A CN 109361690A
- Authority
- CN
- China
- Prior art keywords
- disposal
- template
- target
- policy
- strategy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 62
- 230000000694 effects Effects 0.000 claims abstract description 24
- 238000011282 treatment Methods 0.000 claims description 64
- 238000000354 decomposition reaction Methods 0.000 claims description 57
- 230000009471 action Effects 0.000 claims description 33
- 238000004422 calculation algorithm Methods 0.000 claims description 19
- 238000012545 processing Methods 0.000 claims description 13
- 238000011156 evaluation Methods 0.000 claims description 11
- 238000011269 treatment regimen Methods 0.000 claims description 7
- 230000001010 compromised effect Effects 0.000 claims 2
- 238000012163 sequencing technique Methods 0.000 claims 1
- 230000004069 differentiation Effects 0.000 abstract 1
- 238000010586 diagram Methods 0.000 description 8
- 230000008569 process Effects 0.000 description 8
- 230000004044 response Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 3
- 238000001914 filtration Methods 0.000 description 3
- 238000005457 optimization Methods 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 241000721662 Juniperus Species 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000011221 initial treatment Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
- 238000007670 refining Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Alarm Systems (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明实施例提供一种网络中的威胁处置策略生成方法及系统。方法包括:根据接收到的报警信息,确定网络中受到威胁的对象;基于预先创建的安全保障目标库,确定所述对象的安全保障目标;根据所述报警信息和/或所述安全保障目标,在处置策略模板库中,获取目标处置策略模板;根据所述报警信息和所述目标处置策略模板,生成处置策略,以对威胁进行处置。本发明实施例提供的方法及系统,通过处置策略统一描述,并利用处置策略模板库,使得在接收到报警信息后,可以按需生成威胁处置策略,为威胁的差异化联动处置提供基础,提高了处置效率和处置效果。
Description
技术领域
本发明实施例涉及网络安全技术领域,尤其涉及一种网络中的威胁处置策略生成方法及系统。
背景技术
移动通信技术、网络技术和信息技术的快速发展,业务跨域频繁交互的应用需求,促使各类网络跨单位、跨地域、跨管理域广泛互联互通,促进了以专用网络、天地一体化网络、物联网、各类服务系统(如:电子凭据服务系统、电子商务系统、电子政务系统)所在网络为典型代表,以分级管理为重要特点的大规模互联网络逐渐形成。然而,在大规模互联网络为用户提供便利服务的同时,网络威胁日益严重。
现有技术中的威胁处置方式通常为:针对某一特定威胁,为不同安全设备分别生成不同格式的策略,采用单点防御来处置威胁,无法保证处置效果,难以实现对涉及多个受威胁对象的威胁的差异化的联动处置;不仅如此,现有方案多基于人工经验确定用于处置威胁的方法,这样做的缺陷在于:处置方法受人主观认识的影响,由于人的失误,可能造成处置方法无法很好地去处置该威胁,从而使得网络安全得不到保证。并且,由于人工确定处置威胁的方法通常需要一定的时间去进行选择判断,缺乏实时性。
发明内容
本发明实施例提供一种网络中的威胁处置策略生成方法及系统,用以解决现有技术中威胁处置方法处置效果差、处置效率低以及无法支持威胁的差异化联动处置的缺陷,提高了处置效率,也能最大程度上降低网络被威胁所影响的程度,进而能够确保网络的安全。
第一方面,本发明实施例提供一种网络中的威胁处置策略生成方法,包括:
根据接收到的报警信息,确定网络中受到威胁的对象;
基于预先创建的安全保障目标库,确定所述对象的安全保障目标;
根据所述报警信息和/或所述安全保障目标,在处置策略模板库中,获取目标处置策略模板;
根据所述报警信息和所述目标处置策略模板,生成处置策略,以对威胁进行处置。
第二方面,本发明实施例提供一种网络中的威胁处置策略生成系统,包括:
受威胁的对象确定模块,用于根据接收到的报警信息,确定网络中受到威胁的对象;
安全保障目标确定模块,用于基于预先创建的安全保障目标库,确定所述对象的安全保障目标;
处置策略模板确定模块,用于根据所述报警信息和/或所述安全保障目标,在处置策略模板库中,获取目标处置策略模板;
处置策略生成模块,用于根据所述报警信息和所述目标处置策略模板,生成处置策略,以对威胁进行处置。
第三方面,本发明实施例提供一种电子设备,包括存储器和处理器,所述处理器和所述存储器通过总线完成相互间的通信;所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行第一方面的方法。
第四方面,本发明实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行第一方面的方法。
本发明实施例提供的一种网络中的威胁处置策略生成方法及系统,通过报警信息获取网络中受到威胁的对象,并根据报警信息和受到威胁的对象的安全保障目标,从处置策略模板库中,获取目标处置策略模板,从而基于目标处置策略模板生成对威胁处置策略,进而对威胁进行处置。所述处置策略模板基于归一化描述设计,对基于处置策略模板生成的处置策略及处置策略中的命令集、命令、指令、动作中的任意组合进行了归一化描述,使得处置策略支持多种类型处置命令及其组合,因此,接收到报警信息后,可以按需生成威胁处置策略,实现在威胁处置时,不同处置指挥中心对处置策略的统一发布,降低了对象差异性对处置指挥中心的影响,为多级、多域、多类、多台对象的差异化联动响应和威胁处置的统一管理提供基础,提高了处置效率和处置效果。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种网络中的威胁处置策略生成方法流程图;
图2为本发明实施例提供的一种处置策略模板的构成示意图;
图3为本发明实施例提供的一种网络中的威胁处置策略生成系统的结构示意图;
图4为本发明实施例提供的一种网络中的威胁处置策略生成系统的模块关系图;
图5为本发明实施例提供的一种电子设备的实体结构框图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了更好地理解本发明实施例,在此对本发明实施例的应用环境做出说明:本发明实施例可以应用在任何网络中,例如,专用网络、天地一体化网络、物联网或各类服务系统所在的网络等,特别地,也适用于包含了专用网络、天地一体化网络、物联网和各类服务系统所在的网络等多种网络的大规模异构互联网络。网络中通常包含了多个对象(系统和/或设备),这些对象共同组成了网络。网络中的威胁是指网络中的对象受到威胁,网络中的威胁处置是指对威胁进行处置,以减轻或消除威胁,达到保证网络安全的目的。
图1为本发明实施例提供的一种网络中的威胁处置策略生成方法流程图,如图1所示,该方法包括:
步骤101,根据接收到的报警信息,确定网络中受到威胁的对象。
步骤102,基于预先创建的安全保障目标库,确定所述对象的安全保障目标。
步骤103,根据所述报警信息和/或所述安全保障目标,在处置策略模板库中,获取目标处置策略模板。
步骤104,根据所述报警信息和所述目标处置策略模板,生成处置策略,以对威胁进行处置。
其中,所述处置策略模板库中的处置策略模板包括:威胁特征、安全保障效果、处置命令类型、处置命令、处置区域、分解类型和分解层次中的任意一种或多种;处置命令类型包括:命令集、命令、指令和动作中的任意一种或多种;分解类型包括:处置命令分解和/或处置区域分解;分解层次包括:本地分解、本级分解和下级分解中的任意一种或多种。
具体地,将本发明实施例提供的方法的执行主体称作处置指挥中心,处置指挥中心可位于网络外,也可位于网络中,但不管处置指挥中心位于何处,当处置指挥中心接收到报警信息后,都会判定网络遭受到威胁攻击,并会基于报警信息,生成处置策略,以对威胁进行处置。需要说明的是,对于一个网络来说,可以有一个处置指挥中心,也可有多个处置指挥中心,当有多个处置指挥中心时,处置指挥中心可分层部署,部署层次可以为任意层,每一层次可以有任意个处置指挥中心,每一处置指挥中心均管理各自所辖区域,某一处置指挥中心也可接受其他与其具有管理关系的处置指挥中心的管理,不同处置指挥中心之间具体的管理关系可根据行政管理的隶属关系确定。为便于描述,根据管理关系将处置指挥中心按需求分别描述为本地处置指挥中心、本级处置指挥中心、下级处置指挥中心。
对于步骤101,处置指挥中心根据接收到的报警信息,确定网络中受到威胁的对象。其中,报警信息可以由人工分析得出,也可以由IDS等其他具有威胁检测、分析功能的设备和/或系统得出。报警信息可以是已经确定的威胁报警,也可以是潜在的威胁线索。报警信息可以包括但不限于:威胁类型、严重程度、置信度、攻击频度、攻击路径、攻击源、攻击目的中的任意一种或多种。
对于步骤102,处置指挥中心基于预先创建的安全保障目标库,确定所述对象的安全保障目标。其中,安全保障目标库用于存储网络中每一对象的安全保障目标。安全保障目标通常由管理员自定义,可以是保护机密性、保护完整性或保护可用性等宏观性需求,也可根据实际需要进行扩展,细化为:保证系统的服务质量,保证系统正常运行,保证系统文件不被篡改等具体需求。一个对象可以同时有多个安全保障目标,不同的安全保障目标之间可以有优先级差异。
对于步骤103,处置指挥中心根据所述报警信息和/或所述安全保障目标,在处置策略模板库中,获取目标处置策略模板。其中,处置策略模板库用于存储处置威胁的处置策略模板,可预先创建,也可根据威胁处置历史信息等动态更新和调整,其中,处置策略模板为:在达到特定安全保障效果的情况下为应对特定威胁,对特定威胁进行处置的策略模板。从报警信息中可提取网络中受威胁的对象,根据报警信息和/或受威胁的对象的安全保障目标,即可在处置策略模板库中,获取目标处置策略模板。需要说明的是,处置策略模板包括但不限于:威胁特征、安全保障效果、处置命令类型、处置命令、处置区域、分解类型和分解层次中的任意一种或多种。
对处置策略模板所包括的威胁特征、安全保障效果、处置命令类型、处置命令、处置区域、分解类型和分解层次,进行进一步说明:
威胁特征指对威胁的描述,可以包括但不限于:威胁类型、严重程度、置信度、攻击频度、传播方式中的一种或多种。
安全保障效果指该条处置策略模板实例化为处置策略并被执行后,可以满足的安全保障目标,一个处置策略模板可以实现多种安全保障效果。需注意的是,这里指的可以满足并非百分之百满足,可以是一定程度上满足。
处置命令类型包括但不限于:命令集、命令、指令和动作中的任意一种或多种。其中,命令集中包含了多种类型的命令,命令包含了多种类型的指令,指令包含了多种类型的动作。
处置命令根据处置命令类型的不同而不同,当处置命令类型为命令集时,处置命令中的内容为命令集模板;当处置命令类型为命令时,处置命令中的内容为命令模板;当处置命令类型为指令时,处置命令中的内容为指令模板;当处置命令类型为动作时,处置命令中的内容为动作模板。其中:
命令集模板指一条或多条命令模板所组成的集合。命令集模板的处置命令的描述字段包括但不限于:命令集模板ID、命令数量、命令、命令选项中的任意一种或多种。命令选项标明以该命令集模板作为处置命令的处置策略模板实例化为处置策略时,该命令是否为必选项。
命令模板指包含一条或多条指令,且指令之间具有特定时序关系的指令组合。命令模板的处置命令的描述字段包括但不限于:命令模板ID、指令数量、指令、执行时序、时序要求中的任意一种或多种,不同指令的执行时序可以相同。
指令模板指对某一指令的具体描述,包含一个或多个动作,指令模板的处置命令的描述字段包括但不限于:指令模板ID、指令类型、指令执行主体类型、指令执行客体类型、动作列表、指令参数信息、结果验证方式中的任意一种或多种。指令一系列动作的排列组合,通过执行一系列动作可达到特定目的,例如:对于关机指令,在Juniper MX5路由器上,需要先输入动作1:request system halt,系统提示是否确认关机后,再输入动作2:yes。
所述动作指设备或系统可识别并执行的操作。所述动作的描述字段包括但不限于:动作类型、动作的内容、动作的执行顺序、动作的选项。
所述处置区域为执行处置策略的对象所在范围或空间的限定,可以以逻辑方式标注,也可以以物理方式标准。例如:以特定IP段地址标识,以唯一编号标识或以经纬度标识。根据分级网络特点,可对处置区域进行分级,定义一级区域、二级区域、三级区域,以此类推,不作赘述。具体的几级目标区域可根据实际需求划分。例如在专用网络中,可以根据国家级、省级、地市级、区/县级等行政级别进行区域划分,各区域由相应的专用网络管理中心进行管理;例如在天地一体化网络中,可以将全国范围内所有关口站及对应设备作为一级目标区域,二级目标区域是某个具体的关口站,三级目标区域可以是关口站内的某个具体区域或者根据房间信息划分的物理片区,四级目标区域可以是大终端覆盖的区域;例如在物联网中,可以按照应用层、传输层和感知层等层次结构进行区域划分,各区域内可根据设备规模、类型等进一步细分,各区域由相应的安全管理中心进行管理;例如在电子凭据服务系统所在的网络中,可以根据国家级、省级、地市级、区/县级等行政级别进行区域划分,各区域由相应的电子凭据监管中心进行管理。
分解类型用于:确定仅对处置命令进行分解,仅对处置区域进行分解,还是同时对处置命令和处置区域进行分解。
分解层次用于:确定由何级在何处对威胁处置策略进行分解。即,确定在对处置命令进行分解时的具体分解层次,可以是本地分解、本级分解、下级分解或其中的任意二者以上的自由组合。其中:
本地分解指本地处置指挥中心生成处置策略之后,直接将处置策略分解,若处置策略为命令集类策略,则将命令集分解为命令;若处置策略为命令类策略,则将命令分解为指令;若处置策略为指令类策略,则确定指令中所有内容并填充,和/或,将指令分解为动作;若处置策略为动作类策略,则对动作中的所有内容进行填充。处置策略为命令集类策略指的是:基于处置命令类型为命令集的处置策略模板生成的处置策略。同理,命令类策略、指令类策略和动作类策略的含义不再赘述。
本级分解指由与本地处置指挥中心位于同一等级的处置指挥中心对该处置策略进行分解,若处置策略为命令集类策略,则将命令集分解为命令;若处置策略为命令类策略,则将命令分解为指令;若处置策略为指令类策略,则确定指令中所有内容并填充,和/或,将指令分解为动作;若处置策略为动作类策略,则对动作中的所有内容进行填充。
下级分解指由本地处置指挥中心下辖的处置指挥中心对该处置策略进行分解,若处置策略为命令集类策略,则将命令集分解为命令;若处置策略为命令类策略,则将命令分解为指令;若处置策略为指令类策略,则确定指令中所有内容并填充,和/或,将指令分解为动作;若处置策略为动作类策略,则对动作中的所有内容进行填充。
由于处置策略模板库中的处置策略模板均至少由威胁特征、安全保障效果、处置命令类型、处置命令、处置区域、分解类型和分解层次中的任意一种或多种所构成,而这种构成方式相当于对处置策略模板进行了归一化描述,进而也相当于对处置策略进行了归一化描述,从而实现在威胁处置时,不同处置指挥中心对处置策略的统一发布,降低了对象差异性对处置指挥中心的影响,为多级、多域、多类、多台对象联动响应和威胁处置的统一管理提供基础。
对于步骤104,中心根据所述报警信息和所述目标处置策略模板,生成处置策略,以对威胁进行处置。
其中,在所述生成处置策略之前,还可以获取拓扑连接关系信息。
需要说明的是,目标处置策略模板和处置策略的区别在于:目标处置策略模板是存储于处置策略模板库中的,而处置策略是基于目标处置策略模板生成的,也即,前者为后者提供了一种策略描述模板,后者在前者的基础上对前者进行了实例化。
例如,目标处置策略模板为:在网络入口防火墙中添加一条包过滤规则,禁止攻击者访问受攻击对象中的HTTP服务,而处置策略为:在编号为3333的网络入口防火墙中添加一条包过滤规则,该包过滤规则中,源IP地址填写为攻击者IP(例如:113.53.21.222),目的端口号为80,流量方向为入流量,操作为拒绝。
本发明实施例提供的方法,通过报警信息获取网络中受到威胁的对象,并根据报警信息和受到威胁的对象的安全保障目标,从基于统一描述格式的处置策略模板库中,获取目标处置策略模板,从而基于目标处置策略模板生成对威胁进行处置的处置策略,进而对威胁进行处置。由于所设计的统一处置策略格式支持多种类型命令及其组合,且处置策略模板库基于所设计的统一处置策略格式创建,因此,接收到报警信息后,可根据威胁情况和所述目标处置策略模板按需生成威胁处置策略,提高了处置效率和处置效果,最大程度上降低了网络被威胁所影响的程度以确保网络的安全。并且,基于统一描述格式的处置策略格式,实现在威胁处置时,不同处置指挥中心对处置策略的统一发布,降低了对象差异性对处置指挥中心的影响,为多级、多域、多类、多台对象的差异化联动响应和威胁处置的统一管理提供基础。
在上述各实施例的基础上,处置策略模板库中的处置策略模板还可包括但不限于:策略模板ID、约束信息、分解条件和有效性中的任意一种或多种。此时,结合图2对处置策略模板的构成进行说明,图2为本发明实施例提供的一种处置策略模板的构成示意图,如图2所示,本发明实施例中的处置策略模板包括但不限于:策略模板ID、威胁特征、安全保障效果、处置命令类型、处置命令、处置区域、约束信息、分解类型、分解层次、分解条件和有效性中的任意一种或多种。
其中,威胁特征、安全保障效果、处置命令类型、处置命令、处置区域、分解类型和分解层次已在上述实施例中详细说明,以下重点介绍策略模板ID、约束信息、分解条件和有效性:
策略模板ID为处置策略模板的编号,不同处置策略模板的编号均不同。
约束信息为将处置策略模板具体化成某一处置策略后对该处置策略的约束条件,可以包括但不限于:生成时间、分发时间、执行时间、有效期、持续时间、安全等级和知悉范围中的任意一种或多种。
分解条件为对处置策略进行分解时所需满足的外部条件,可以从时间、空间等多个维度进行限定。例如:接收到指令后直接进行分解,或者在特定时间后才可以进行分解。
有效性为处置策略应对相应特征威胁时,达到安全保障效果的程度,可以用[0,9]的离散整数值表示,也可以用百分比、小数表示,可通过采用该条处置策略应对威胁时,成功的比例来表示。
本发明实施例提供的方法,通过将不同类型的动作进行排列组合得到指令,通过将不同类型指令按照一定规则(比如:时序、优先级)进行排列得到命令,通过不同命令的组合得到命令集,以构成处置策略模板,从而创建处置策略模板库,能够实现对处置策略的统一描述。从而实现威胁处置时不同层级管理者对处置策略的统一发布,降低网络中对象差异性对多层级管理者的影响,为多级、多域、多类、多台对象的差异化联动响应,最终实现威胁处置的统一管理提供基础。
在上述各实施例的基础上,本发明实施例对如何根据接收到的报警信息,确定网络中受到威胁的对象的过程进行进一步说明。即根据接收到的报警信息,确定网络中受到威胁的对象,进一步包括:对接收到的报警信息进行解析,获取所述报警信息中携带的威胁特征和攻击目的;根据所述攻击目的,确定网络中受到威胁的对象。
在上述各实施例的基础上,本发明实施例重点说明如何根据所述攻击目的,确定网络中受到威胁的对象,进一步包括:
将所述攻击目的指向的对象作为网络中受到威胁的对象;
或者,
获取与所述攻击目的具有直接拓扑连接关系的第一对象集合;在第一对象集合中,获取与所述攻击目的具有对象间可访问关系的第二对象集合,以及与所述攻击目的具有服务依赖关系的第三对象集合;将第二对象集合,或第三对象集合,或第二对象集合和第三对象集合的并集,或第二对象集合和第三对象集合的交集作为网络中受到威胁的对象。
其中,直接拓扑连接关系指网络中的两个实体在物理通路上具有直接可达关系(即:仅一跳)。对象间可访问关系指具有拓扑连接关系的两个实体相互之间可以进行通信。服务依赖关系指若某一服务的运行依赖于其他服务,则两个服务之间具有服务依赖关系,例如:Web服务的运行一般情况下都依赖于数据库服务。其中,拓扑连接关系指网络中的两个实体在物理通路上具有可达关系,包括但不限于:有线连接、无线连接方式中的任意一种或多种。
在本发明实施例中,基于直接拓扑连接关系、对象间可访问关系、服务依赖关系确定网络中受到威胁的对象可具体化为:首先获取与攻击目的之间具有直接拓扑连接关系的对象集合A,在对象集合A中,获取与攻击目的具有对象间可访问关系的对象集合B,在对象集合A中,获取与攻击目的具有服务依赖关系的对象集合C,将对象集合B和对象C的并集作为网络中受到威胁的对象。
举个例子,报警信息中携带的攻击目的指的是网络中受到威胁的对象的地址,例如,攻击目的为134.268.27.155,与该攻击目的具有服务依赖关系的对象的IP地址为134.268.26.120,那么将IP地址为134.268.27.155和IP地址为134.268.26.120的对象作为网络中受到威胁的对象。
在上述各实施例的基础上,本发明实施例具体对基于预先创建的安全保障目标库,确定所述对象的安全保障目标的过程进行说明。需要说明的是,基于预先创建的安全保障目标库,确定所述对象的安全保障目标可以采用静态匹配方式或优先匹配方式。即,基于预先创建的安全保障目标库,确定所述对象的安全保障目标,进一步包括:静态匹配,即将安全保障目标库中所述对象的安全保障目标,作为所述对象的安全保障目标;或者,优先匹配,即根据安全保障目标的优先级对所述对象的安全保障目标进行排序,选取满足安全保障目标选取条件的安全保障目标作为所述对象的安全保障目标。其中,所述满足安全保障目标选取条件包括但不限于:排序靠前的特定数量,和优先级高于某一等级中的任意一种或多种。
需要说明的是,特定数量可预先静态设定,也可根据用户安全保障程度的需求动态计算。
在上述各实施例的基础上,本发明实施例重点说明如何根据所述报警信息和/或所述安全保障目标,在处置策略模板库中,获取目标处置策略模板。需要说明的是,可基于直接匹配方式、第一优化选取方式或第二优化选取方式,获取目标处置策略模板。本发明实施例对基于直接匹配方式获取目标处置策略模板的过程进行具体说明。即,根据所述报警信息和/或所述安全保障目标,在处置策略模板库中,获取目标处置策略模板,进一步包括:将所述威胁特征的描述字段与所述处置策略模板库中的处置策略模板的威胁特征相应描述字段进行匹配;若匹配,则将匹配成功的处置策略模板作为目标处置策略模板。
需要说明的是,描述字段指的是:威胁类型、严重程度、置信度、攻击频度、传播特征中的一个或多个,所述传播特征包括但不限于:传播类型。
在上述各实施例的基础上,本发明实施例对基于第一优化选取方式获取目标处置策略模板的过程进行具体说明。即,根据所述报警信息和/或所述安全保障目标,在处置策略模板库中,获取目标处置策略模板,进一步包括:将所述威胁特征的描述字段与所述处置策略模板库中处置策略模板的威胁特征相应描述字段进行匹配;将相匹配的描述字段满足第一描述字段匹配条件的处置策略模板,作为第一处置策略模板集;在所述第一处置策略模板集中,确定目标处置策略模板。其中,所述满足第一描述字段匹配条件可以包括但不限于:数量超过某一阈值、匹配度高于特定阈值中的任意一种或多种。
其中,在所述第一处置策略模板集中,确定目标处置策略模板,进一步包括:若所述第一处置策略模板集中包含一个处置策略模板,则将所述处置策略模板作为目标处置策略模板;若所述第一处置策略模板集中包含多个处置策略模板,则从所述多个处置策略模板中随机选取一个处置策略模板作为目标处置策略模板,或者利用相似度计算算法选取相似度最高的一个处置策略模板作为目标处置策略模板,或者利用模糊综合评价算法选取评价值最高的一个处置策略模板作为目标处置策略模板。
在上述各实施例的基础上,本发明实施例对基于第二优化选取方式获取目标处置策略模板的过程进行具体说明。即,根据所述报警信息和/或所述安全保障目标,在处置策略模板库中,获取目标处置策略模板,进一步包括:将所述威胁特征的描述字段与所述处置策略模板库中处置策略模板的威胁特征相应描述字段进行匹配;将相匹配的描述字段满足第二描述字段匹配条件的处置策略模板,作为第一处置策略模板集;将所述安全保障目标与所述处置策略模板库中处置策略模板的安全保障效果进行匹配,获取包含匹配成功的安全保障效果的第二处置策略模板集;根据所述第一处置策略模板集和/或所述第二处置策略模板集,确定目标处置策略模板。其中,所述满足第二描述字段匹配条件可以包括但不限于:数量超过某一阈值,和匹配度高于特定阈值中的任意一种或多种。
其中,根据所述第一处置策略模板集和/或所述第二处置策略模板集,确定目标处置策略模板,进一步包括:将所述第一处置策略模板集和所述第二处置策略模板集求取交集,根据所述交集确定目标处置策略模板。
其中,根据所述交集确定目标处置策略模板,进一步包括:若所述交集中包含一个处置策略模板,则将所述处置策略模板作为目标处置策略模板;若所述交集中包含多个处置策略模板,则从所述多个处置策略模板中随机选取一个处置策略模板作为目标处置策略模板,或者利用相似度计算算法选取相似度最高的一个处置策略模板作为目标处置策略模板,或者利用模糊综合评价算法选取评价值最高的一个处置策略模板作为目标处置策略模板。
需注意的是,在两种优化选取方式中,描述字段匹配的步骤可以不执行,即将处置策略模板库中的所有策略构成的集合作为第一处置策略模板集。
所述相似度计算算法包括但不限于:余弦相似度计算算法、欧氏距离计算算法、皮尔逊相关性计算算法、斯皮尔曼等级相关性计算算法、平均平方差异(MSD)、Jaccard距离计算算法、曼哈顿距离计算算法、明可夫斯基距离计算算法中的任意一种或多种。
相似度计算算法中,用于计算处置策略模板中威胁特征与报警信息之间相似度的特征包括但不限于:威胁类型、严重程度、置信度、攻击频度、传播特征中的任意一种或多种。
相似度计算算法中,用于计算处置策略模板中安全保障效果与安全保障目标之间相似度的特征包括但不限于:安全保障效果类型、保护程度中的任意一种或多种。
所述模糊综合评价法中,指标包括但不限于:威胁类型、严重程度、置信度、攻击频度、传播特征中的任意一种或多种;评价集中评价结果的数量可根据需求动态设定;隶属函数包括但不限于:正态分布型、梯形分布、三角模糊数、K次抛物线分布、Cauchy型分布、S型分布中的任意一种或多种。
需要说明的是,若多个处置策略模板之间具有相同的相似度,则可从这些模板中随机选取一个。
在上述各实施例的基础上,本发明实施例对根据所述报警信息和所述目标处置策略模板,生成处置策略的过程进行进一步说明:
根据所述报警信息,将所述目标处置策略模板实例化为处置策略。
举个例子,报警信息为:DoS攻击(SYNflood),严重程度5级,置信度80%,攻击频度无,攻击路径无,攻击源:213.15.57.46,攻击目的:134.268.27.155。IP地址为134.268.27.155的对象的安全保障目标为:保护可用性。根据“DoS攻击(SYNflood),严重程度5级,置信度80%,攻击频度无,攻击路径无”和“保护可用性”,从处置策略模板库中找到对应的目标处置策略模板如表1所示,表1为目标处置策略模板的构成表。
表1目标处置策略模板的构成表
根据报警信息,将攻击源的地址和攻击目的的地址分别填入源IP地址和目的IP地址中,以将目标处置策略模板实例化为处置策略,最终,得到的处置策略为:在HTTP服务器的自带防火墙中增加一条包过滤规则,规则中源IP地址为213.15.57.46、操作类型为丢弃,结果验证方式为:判断返回包结果,处置区域为被攻击设备,有效性为80%。
基于上述实施例,进一步地,根据所述报警信息和所述目标处置策略模板,调用处置策略生成算法,生成处置策略,以对威胁进行处置,之后还包括:
根据所述处置策略的分解类型,判定对所述处置策略进行处置命令分解和/或处置区域分解;
根据判定结果执行相应的分解操作后,进行发送。
具体地,若分解类型为处置命令分解,则对处置策略进行处置命令分解,若分解类型为处置区域分解,则对处置策略进行处置区域分解,即确定处置区域,若二者都需要执行,则既对处置策略进行处置命令分解,也对处置策略进行处置区域分解。其中,处置区域分解的含义为将某一区域细化为更小区域的过程,可结合受威胁的对象所在区域,以及所受威胁的威胁传播特征确定。例如:将一级处置区域分解为多个二级区域。
基于上述实施例,进一步地,根据判定结果执行相应的分解操作后,进行发送,进一步包括:
若判定结果为对所述处置策略进行处置命令分解,则获取所述处置策略的处置命令类型;
具体地,由于处置策略是将目标处置策略模板实例化所得到的,因此,处置策略的处置命令类型即为目标处置策略模板的处置命令类型。
若所述处置策略的处置命令类型为指令,则确定指令执行对象,即处置对象,对指令的参数数量、参数ID、参数内容进行填充,确定参数是否必选,和/或,对动作列表中的各字段进行指定,并将所述处置策略发送给所述处置对象,以使得所述处置对象执行所述处置策略。
基于上述实施例,进一步地,根据判定结果执行相应的分解操作后,进行发送,进一步还包括:
若所述处置策略的处置命令类型不为动作,则根据所述处置策略的分解层次,对所述处置策略进行分解,并获取分解后得到的若干条子策略;
对于每一子策略,根据所述子策略的处置命令类型,将所述子策略发送至对应的处置指挥中心,以进行再次分解,或者,将所述子策略发送至对应的处置对象,以使得所述处置对象执行所述子策略。
图3为本发明实施例提供的一种网络中的威胁处置策略生成系统的结构示意图,如图3所示,该系统包括:
受威胁的对象确定模块301,用于根据接收到的报警信息,确定网络中受到威胁的对象;安全保障目标确定模块302,用于基于预先创建的安全保障目标库,确定所述对象的安全保障目标;处置策略模板确定模块303,用于根据所述报警信息和/或所述安全保障目标,在处置策略模板库中,获取目标处置策略模板;处置策略生成模块304,用于根据所述报警信息和所述目标处置策略模板,生成处置策略,以对威胁进行处置;其中,在所述生成处置策略之前,还可以获取拓扑连接关系信息。
本发明实施例提供的系统,包括受威胁的对象确定模块301、安全保障目标确定模块302、处置策略模板确定模块303和处置策略生成模块304。通过各模块之间的配合实现上述任一方法实施例中的方法,具体实现过程可以参见上述任一方法实施例,此处不再赘述。
本发明实施例提供的系统,通过报警信息获取网络中受到威胁的对象,并根据报警信息和受到威胁的对象的安全保障目标,从处置策略模板库中,获取目标处置策略模板,从而基于目标处置策略模板生成对威胁进行处置的处置策略,进而对威胁进行处置。由于所设计的统一处置策略格式支持多种类型命令及其组合,且处置策略模板库基于所设计的统一处置策略格式创建,因此,接收到报警信息后,可根据威胁情况与目标处置策略模板按需生成处置威胁的处置策略,提高了处置效率和处置效果,最大程度上降低了网络被威胁所影响的程度以确保网络的安全。并且,基于统一描述格式的处置策略格式,实现在威胁处置时,不同处置指挥中心对处置策略的统一发布,降低了对象差异性对处置指挥中心的影响,为多级、多域、多类、多台对象联动响应和威胁处置的统一管理提供基础。
图4为本发明实施例提供的一种网络中的威胁处置策略生成系统的模块关系图,如图4所示,该系统包括:受威胁的对象确定模块、安全保障目标确定模块、处置策略模板确定模块、处置策略生成模块,以及存储单元;
其中,所述受威胁的对象确定模块,用于接收报警信息,并根据所述报警信息,从所述存储单元获取第一拓扑连接关系信息、对象间可访问关系信息、网络服务依赖关系信息,从而确定网络中受威胁的对象;
所述安全保障目标确定模块,用于接收来自所述受威胁的对象确定模块的所述受威胁的对象信息,并根据所述受威胁的对象信息,从所述存储单元中获取所述受威胁的对象的第一安全保障目标信息,从而确定所述对象的第二安全保障目标信息;
所述处置策略模板确定模块,用于获取所述报警信息和/或来自所述安全保障模块的第二安全保障目标信息,根据所述报警信息和/或来自所述安全保障模块的第二安全保障目标信息,从所述存储单元中,获取第一处置策略模板集,或,第一处置策略模板集和第二处置策略模板集,从而确定目标处置策略模板;
所述处置策略生成模块,用于获取所述报警信息和来自处置策略模板确定模块的所述目标处置策略模板,根据述报警信息和来自处置策略模板确定模块的所述目标处置策略模板,生成处置策略,以对威胁进行处置;其中,在所述生成处置策略之前,还可以从所述存储单元中获取拓扑连接关系信息。
所述存储单元,用于存储包括但不限于:网络拓扑连接关系信息库、对象间可访问关系信息库、服务依赖关系信息库、处置策略模板库、安全保障目标库中的任意一种或多种。
其中,所述处置策略模板库中的处置策略模板包括但不限于:威胁特征、安全保障效果、处置命令类型、处置命令、处置区域、分解类型和分解层次中的任意一种或多种;
处置命令类型包括但不限于:命令集、命令和、指令和动作中的任意一种或多种;
分解类型包括但不限于:处置命令分解和/或处置区域分解;
分解层次包括但不限于:本地分解、本级分解和下级分解中的任意一种或多种。
图5为本发明实施例提供的一种电子设备的实体结构框图,如图5所示,所述设备包括:处理器(processor)501、存储器(memory)502和总线503;其中,所述处理器501和所述存储器502通过所述总线503完成相互间的通信;所述处理器501用于调用所述存储器502中的程序指令,以执行上述各方法实施例所提供的方法,例如包括:根据接收到的报警信息,确定网络中受到威胁的对象;基于预先创建的安全保障目标库,确定所述对象的安全保障目标;根据所述报警信息和/或所述安全保障目标,在处置策略模板库中,获取目标处置策略模板;根据所述报警信息和所述目标处置策略模板,生成处置策略,以对威胁进行处置。
本发明实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行上述各方法实施例所提供的方法,例如包括:根据接收到的报警信息,确定网络中受到威胁的对象;基于预先创建的安全保障目标库,确定所述对象的安全保障目标;根据所述报警信息和/或所述安全保障目标,在处置策略模板库中,获取目标处置策略模板;根据所述报警信息和所述目标处置策略模板,生成处置策略,以对威胁进行处置。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (15)
1.一种网络中的威胁处置策略生成方法,其特征在于,包括:
根据接收到的报警信息,确定网络中受到威胁的对象;
基于预先创建的安全保障目标库,确定所述对象的安全保障目标;
根据所述报警信息和/或所述安全保障目标,在处置策略模板库中,获取目标处置策略模板;
根据所述报警信息和所述目标处置策略模板,生成处置策略,以对威胁进行处置。
2.根据权利要求1所述的方法,其特征在于,所述处置策略模板库中的处置策略模板包括:威胁特征、安全保障效果、处置命令类型、处置命令、处置区域、分解类型和分解层次中的任意一种或多种;
其中,处置命令类型包括:命令集、命令、指令和动作中的任意一种或多种;
分解类型包括:处置命令分解和/或处置区域分解;
分解层次包括:本地分解、本级分解和下级分解中的任意一种或多种。
3.根据权利要求1所述的方法,其特征在于,根据接收到的报警信息,确定网络中受到威胁的对象,进一步包括:
对接收到的报警信息进行解析,获取所述报警信息中携带的威胁特征和攻击目的;
根据所述攻击目的,确定网络中受到威胁的对象。
4.根据权利要求3所述的方法,其特征在于,根据所述攻击目的,确定网络中受到威胁的对象,进一步包括:
将所述攻击目的指向的对象作为网络中受到威胁的对象;
或者,
获取与所述攻击目的具有直接拓扑连接关系的第一对象集合;
在第一对象集合中,获取与所述攻击目的具有对象间可访问关系的第二对象集合,以及与所述攻击目的具有服务依赖关系的第三对象集合;
将第二对象集合,或第三对象集合,或第二对象集合和第三对象集合的交集,或第二对象集合和第三对象集合的并集作为网络中受到威胁的对象。
5.根据权利要求1所述的方法,其特征在于,基于预先创建的安全保障目标库,确定所述对象的安全保障目标,进一步包括:
将安全保障目标库中所述对象的安全保障目标,作为所述对象的安全保障目标;
或者,
根据安全保障目标的优先级对所述对象的安全保障目标进行排序,选取满足安全保障目标选取条件的安全保障目标作为所述对象的安全保障目标。
6.根据权利要求1所述的方法,其特征在于,根据所述报警信息和/或所述安全保障目标,在处置策略模板库中,获取目标处置策略模板,进一步包括:
将所述威胁特征的描述字段与所述处置策略模板库中的处置策略模板的威胁特征相应描述字段进行匹配;
若匹配,则将匹配成功的处置策略模板作为目标处置策略模板。
7.根据权利要求1所述的方法,其特征在于,根据所述报警信息和/或所述安全保障目标,在处置策略模板库中,获取目标处置策略模板,进一步包括:
将所述威胁特征的描述字段与所述处置策略模板库中处置策略模板的威胁特征相应描述字段进行匹配;
将相匹配的描述字段满足第一描述字段匹配条件的处置策略模板,作为第一处置策略模板集;
在所述第一处置策略模板集中,确定目标处置策略模板。
8.根据权利要求7所述的方法,其特征在于,在所述第一处置策略模板集中,确定目标处置策略模板,进一步包括:
若所述第一处置策略模板集中包含一个处置策略模板,则将所述处置策略模板作为目标处置策略模板;
若所述第一处置策略模板集中包含多个处置策略模板,则从所述多个处置策略模板中随机选取一个处置策略模板作为目标处置策略模板,或者利用相似度计算算法选取相似度最高的一个处置策略模板作为目标处置策略模板,或者利用模糊综合评价算法选取评价值最高的一个处置策略模板作为目标处置策略模板。
9.根据权利要求1所述的方法,其特征在于,根据所述报警信息和/或所述安全保障目标,在处置策略模板库中,获取目标处置策略模板,进一步包括:
将所述威胁特征的描述字段与所述处置策略模板库中处置策略模板的威胁特征相应描述字段进行匹配;
将相匹配的描述字段满足第二描述字段匹配条件的处置策略模板,作为第一处置策略模板集;
将所述安全保障目标与所述处置策略模板库中处置策略模板的安全保障效果进行匹配,获取包含匹配成功的安全保障效果的第二处置策略模板集;
根据所述第一处置策略模板集和/或所述第二处置策略模板集,确定目标处置策略模板。
10.根据权利要求9所述的方法,其特征在于,根据所述第一处置策略模板集和/或所述第二处置策略模板集,确定目标处置策略模板,进一步包括:
将所述第一处置策略模板集和所述第二处置策略模板集求取交集,根据所述交集确定目标处置策略模板。
11.根据权利要求10所述的方法,其特征在于,根据所述交集确定目标处置策略模板,进一步包括:
若所述交集中包含一个处置策略模板,则将所述处置策略模板作为目标处置策略模板;
若所述交集中包含多个处置策略模板,则从所述多个处置策略模板中随机选取一个处置策略模板作为目标处置策略模板,或者利用相似度计算算法选取相似度最高的一个处置策略模板作为目标处置策略模板,或者利用模糊综合评价算法选取评价值最高的一个处置策略模板作为目标处置策略模板。
12.根据权利要求1所述的方法,其特征在于,根据所述报警信息和所述目标处置策略模板,生成处置策略,进一步包括:
根据所述报警信息,将所述目标处置策略模板实例化为处置策略。
13.一种网络中的威胁处置策略生成系统,其特征在于,包括:
受威胁的对象确定模块,用于根据接收到的报警信息,确定网络中受到威胁的对象;
安全保障目标确定模块,用于基于预先创建的安全保障目标库,确定所述对象的安全保障目标;
处置策略模板确定模块,用于根据所述报警信息和/或所述安全保障目标,在处置策略模板库中,获取目标处置策略模板;
处置策略生成模块,用于根据所述报警信息和所述目标处置策略模板,生成处置策略,以对威胁进行处置。
14.一种电子设备,其特征在于,包括存储器和处理器,所述处理器和所述存储器通过总线完成相互间的通信;所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如权利要求1至12任一所述的方法。
15.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行如权利要求1至12任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811377190.3A CN109361690B (zh) | 2018-11-19 | 2018-11-19 | 一种网络中的威胁处置策略生成方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811377190.3A CN109361690B (zh) | 2018-11-19 | 2018-11-19 | 一种网络中的威胁处置策略生成方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109361690A true CN109361690A (zh) | 2019-02-19 |
| CN109361690B CN109361690B (zh) | 2020-07-07 |
Family
ID=65332202
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811377190.3A Active CN109361690B (zh) | 2018-11-19 | 2018-11-19 | 一种网络中的威胁处置策略生成方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109361690B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110290122A (zh) * | 2019-06-13 | 2019-09-27 | 中国科学院信息工程研究所 | 入侵响应策略生成方法及装置 |
| CN110445868A (zh) * | 2019-08-12 | 2019-11-12 | 杭州安恒信息技术股份有限公司 | 多级级联的物联网态势感知方法和系统 |
| CN111582619A (zh) * | 2020-01-22 | 2020-08-25 | 汕头大学 | 一种基于相关性与依赖性分析的适应性设计方法 |
| CN111917769A (zh) * | 2020-07-30 | 2020-11-10 | 中盈优创资讯科技有限公司 | 一种安全事件的自动处置方法、装置和电子设备 |
| CN112003853A (zh) * | 2020-08-19 | 2020-11-27 | 内蒙古工业大学 | 一种支持ipv6的网络安全应急响应系统 |
| CN112839045A (zh) * | 2021-01-14 | 2021-05-25 | 中盈优创资讯科技有限公司 | 对策略进行编排的实现方法及装置 |
| CN113475040A (zh) * | 2019-02-25 | 2021-10-01 | 思科技术公司 | 通过从棕地部署进行推断来获知 |
| CN113660252A (zh) * | 2021-08-12 | 2021-11-16 | 江苏亨通工控安全研究院有限公司 | 主动防御系统及方法 |
| CN114676423A (zh) * | 2022-04-13 | 2022-06-28 | 哈尔滨旭赛网络科技有限公司 | 一种应对云计算办公威胁的数据处理方法及服务器 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1556613A (zh) * | 2003-12-30 | 2004-12-22 | 上海交通大学 | 可信任主动式策略联动方法 |
| CN101184003A (zh) * | 2007-12-03 | 2008-05-21 | 中兴通讯股份有限公司 | 基于网络管理协议的前后台告警管理系统及其管理方法 |
| CN101252441A (zh) * | 2008-02-20 | 2008-08-27 | 深圳市永达电子有限公司 | 基于可设定信息安全目标的获得性安全保障方法及系统 |
| US20090100077A1 (en) * | 2007-10-12 | 2009-04-16 | Tae-In Jung | Network risk analysis method using information hierarchy structure |
| CN102324968A (zh) * | 2011-06-30 | 2012-01-18 | 中兴通讯股份有限公司 | 一种无源光网络终端设备告警管理的方法和装置 |
| CN104901960A (zh) * | 2015-05-26 | 2015-09-09 | 汉柏科技有限公司 | 一种基于告警策略的网络安全管理设备及方法 |
| CN106357637A (zh) * | 2016-09-13 | 2017-01-25 | 国家电网公司 | 一种针对智慧能源终端数据的主动防御系统 |
| CN107231382A (zh) * | 2017-08-02 | 2017-10-03 | 上海上讯信息技术股份有限公司 | 一种网络威胁态势评估方法及设备 |
-
2018
- 2018-11-19 CN CN201811377190.3A patent/CN109361690B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1556613A (zh) * | 2003-12-30 | 2004-12-22 | 上海交通大学 | 可信任主动式策略联动方法 |
| US20090100077A1 (en) * | 2007-10-12 | 2009-04-16 | Tae-In Jung | Network risk analysis method using information hierarchy structure |
| CN101184003A (zh) * | 2007-12-03 | 2008-05-21 | 中兴通讯股份有限公司 | 基于网络管理协议的前后台告警管理系统及其管理方法 |
| CN101252441A (zh) * | 2008-02-20 | 2008-08-27 | 深圳市永达电子有限公司 | 基于可设定信息安全目标的获得性安全保障方法及系统 |
| CN102324968A (zh) * | 2011-06-30 | 2012-01-18 | 中兴通讯股份有限公司 | 一种无源光网络终端设备告警管理的方法和装置 |
| CN104901960A (zh) * | 2015-05-26 | 2015-09-09 | 汉柏科技有限公司 | 一种基于告警策略的网络安全管理设备及方法 |
| CN106357637A (zh) * | 2016-09-13 | 2017-01-25 | 国家电网公司 | 一种针对智慧能源终端数据的主动防御系统 |
| CN107231382A (zh) * | 2017-08-02 | 2017-10-03 | 上海上讯信息技术股份有限公司 | 一种网络威胁态势评估方法及设备 |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113475040A (zh) * | 2019-02-25 | 2021-10-01 | 思科技术公司 | 通过从棕地部署进行推断来获知 |
| CN113475040B (zh) * | 2019-02-25 | 2024-05-17 | 思科技术公司 | 通过从棕地部署进行推断来获知 |
| CN110290122B (zh) * | 2019-06-13 | 2020-07-17 | 中国科学院信息工程研究所 | 入侵响应策略生成方法及装置 |
| CN110290122A (zh) * | 2019-06-13 | 2019-09-27 | 中国科学院信息工程研究所 | 入侵响应策略生成方法及装置 |
| CN110445868A (zh) * | 2019-08-12 | 2019-11-12 | 杭州安恒信息技术股份有限公司 | 多级级联的物联网态势感知方法和系统 |
| CN111582619A (zh) * | 2020-01-22 | 2020-08-25 | 汕头大学 | 一种基于相关性与依赖性分析的适应性设计方法 |
| CN111582619B (zh) * | 2020-01-22 | 2023-09-26 | 汕头大学 | 一种基于相关性与依赖性分析的适应性设计方法 |
| CN111917769A (zh) * | 2020-07-30 | 2020-11-10 | 中盈优创资讯科技有限公司 | 一种安全事件的自动处置方法、装置和电子设备 |
| CN112003853A (zh) * | 2020-08-19 | 2020-11-27 | 内蒙古工业大学 | 一种支持ipv6的网络安全应急响应系统 |
| CN112003853B (zh) * | 2020-08-19 | 2023-04-18 | 内蒙古工业大学 | 一种支持ipv6的网络安全应急响应系统 |
| CN112839045B (zh) * | 2021-01-14 | 2023-05-30 | 中盈优创资讯科技有限公司 | 对策略进行编排的实现方法及装置 |
| CN112839045A (zh) * | 2021-01-14 | 2021-05-25 | 中盈优创资讯科技有限公司 | 对策略进行编排的实现方法及装置 |
| CN113660252A (zh) * | 2021-08-12 | 2021-11-16 | 江苏亨通工控安全研究院有限公司 | 主动防御系统及方法 |
| CN113660252B (zh) * | 2021-08-12 | 2023-05-16 | 江苏亨通工控安全研究院有限公司 | 主动防御系统及方法 |
| CN114676423B (zh) * | 2022-04-13 | 2023-01-06 | 深圳市智联云网科技有限公司 | 一种应对云计算办公威胁的数据处理方法及服务器 |
| CN114676423A (zh) * | 2022-04-13 | 2022-06-28 | 哈尔滨旭赛网络科技有限公司 | 一种应对云计算办公威胁的数据处理方法及服务器 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109361690B (zh) | 2020-07-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109361690B (zh) | 一种网络中的威胁处置策略生成方法及系统 | |
| CN109698819B (zh) | 一种网络中的威胁处置管理方法及系统 | |
| US10055247B2 (en) | Method and system for enabling self-monitoring virtual assets to correlate external events with characteristic patterns associated with the virtual assets | |
| CN109688105B (zh) | 一种威胁报警信息生成方法及系统 | |
| CN102106114B (zh) | 分布式安全服务开通方法及其系统 | |
| CN104426906A (zh) | 识别计算机网络内的恶意设备 | |
| Suri et al. | Exploiting smart city IoT for disaster recovery operations | |
| CN109413088A (zh) | 一种网络中的威胁处置策略分解方法及系统 | |
| US11374970B2 (en) | Phishing attempt categorization/aggregation interface | |
| Luiijf et al. | On the sharing of cyber security information | |
| WO2021050544A1 (en) | Threat mitigation system and method | |
| EP4158509A1 (en) | Threat mitigation system and method | |
| CN110798353B (zh) | 基于行为特征大数据分析的网络行为风险感知及防御方法 | |
| CN114339767B (zh) | 一种信令检测方法、装置、电子设备及存储介质 | |
| CN108924086A (zh) | 一种基于安全代理的主机信息采集方法 | |
| US20120137362A1 (en) | Collaborative security system for residential users | |
| CN110958267B (zh) | 一种虚拟网络内部威胁行为的监测方法及系统 | |
| US20230334150A1 (en) | Restricted execution mode for network-accessible devices | |
| WO2023218167A1 (en) | Security threat alert analysis and prioritization | |
| CN109299053A (zh) | 文件的操作方法、设备和计算机存储介质 | |
| Awodele et al. | A Multi-Layered Approach to the Design of Intelligent Intrusion Detection and Prevention System (IIDPS). | |
| Wang et al. | The extraction of security situation in heterogeneous log based on Str-FSFDP density peak cluster | |
| CN113139878A (zh) | 一种配电自动化主站网络安全风险辨识方法及系统 | |
| CN112039839A (zh) | 一种基于用户常驻地审批授权的运维方法及装置 | |
| CN116451980B (zh) | 基于互联网可信机制的基层社会治理方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |