CN109413088A - 一种网络中的威胁处置策略分解方法及系统 - Google Patents
一种网络中的威胁处置策略分解方法及系统 Download PDFInfo
- Publication number
- CN109413088A CN109413088A CN201811378048.0A CN201811378048A CN109413088A CN 109413088 A CN109413088 A CN 109413088A CN 201811378048 A CN201811378048 A CN 201811378048A CN 109413088 A CN109413088 A CN 109413088A
- Authority
- CN
- China
- Prior art keywords
- disposition
- instruction
- threat
- disposal
- order
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供一种网络中的威胁处置策略分解方法及系统。方法包括:根据威胁处置策略、网络拓扑结构、威胁特征、资产特征,确定威胁处置区域;根据威胁特征、处置对象能力、第一联动关系集合,确定威胁处置区域的候选处置对象及其第二联动关系集合;根据安全保障目标分解映射关系、目标优先级、目标达成度、目标实现成本、可用资源,对安全保障目标进行分解,得到威胁处置区域的安全保障子目标;根据候选处置对象及其第二联动关系集合、安全保障子目标、处置对象能力、威胁特征、处置成本、处置效果,对威胁处置策略中的处置命令进行分解和/或确定处置对象。实现了全网设备统一管控、威胁差异化联动处置与协同响应,增强了网络管控能力。
Description
技术领域
本发明实施例涉及网络安全技术领域,尤其涉及一种网络中的威胁处置策略分解方法及系统。
背景技术
大规模复杂异构网络动态互联互通,需要在威胁处置过程中实现网络安全的分级管理、异构网络指挥的分层部署。不同网络的技术体制不同,网络间安全防护能力差异,且管理权分属不同部门,各网络中安全设备类型众多、同类安全设备厂商众多,不同安全设备的功能差异、指挥方式差异,不同安全设备处置指令也不相同,得分别生成,需要根据分级管理职能、各级网络中对象能力,实现处置策略自动分解。
现有方案仅针对单级或特定层级网络架构,无法扩展,且仅考虑了某类特定攻击的应对,难以满足复杂网络环境下多种攻击的防御。各类安全设备分属不同管理域,各管理域之间“各自为政”,缺乏协同,降低威胁的处置效果,无法保证威胁的最佳应对,需要实现跨管理域的全网统一指挥。现有方案针对单一具体网络生成处置命令,没有方案解决针对大规模异构互联网络环境下面向威胁事件的全网统一处置指挥问题。由于不同类型安全设备处置能力/防护差异大,威胁分布广泛且状态实时变化,使得安全威胁的处置会涉及多个区域不同类型设备,需要根据威胁特征、安全目标等动态确定多条处置指令由哪些对应安全设备执行,而不是所有安全设备都执行相同的处置指令。
发明内容
本发明实施例提供一种网络中的威胁处置策略分解方法及系统,用以解决现有技术中威胁处置方法处置效果差、处置效率低以及无法支持威胁的差异化联动处置的缺陷,提高了处置效率,也能最大程度上降低网络被威胁所影响的程度,进而能够确保网络的安全。
第一方面,本发明实施例提供一种网络中的威胁处置策略分解方法,包括:
接收威胁处置策略,根据所述威胁处置策略、网络拓扑结构、威胁特征、资产特征中的任意一种或多种,确定威胁处置区域;
根据威胁特征、处置对象能力、第一联动关系集合中的任意一种或多种,确定所述威胁处置区域的候选处置对象及其第二联动关系集合;
根据安全保障目标分解映射关系、目标优先级、目标达成度、目标实现成本、可用资源中的任意一种或多种,对安全保障目标进行分解,得到所述威胁处置区域的安全保障子目标;
根据所述候选处置对象及其第二联动关系集合、所述安全保障子目标、处置对象能力、威胁特征、处置成本、处置效果中的任意一种或多种,对所述威胁处置策略中的处置命令进行分解,和/或,确定处置对象。
第二方面,本发明实施例提供一种网络中的威胁处置策略分解系统,包括:
威胁处置区域确定模块,用于接收威胁处置策略,根据所述威胁处置策略、网络拓扑结构、威胁特征、资产特征中的任意一种或多种,确定威胁处置区域;
候选处置对象及其第二联动关系集合确定模块,用于根据威胁特征、处置对象能力、第一联动关系集合中的任意一种或多种,确定所述威胁处置区域的候选处置对象及其第二联动关系集合;
安全保障目标分解模块,用于根据安全保障目标分解映射关系、目标优先级、目标达成度、目标实现成本、可用资源中的任意一种或多种,对安全保障目标进行分解,得到所述威胁处置区域的安全保障子目标;
处置命令分解模块,用于根据所述候选处置对象及其第二联动关系集合、所述安全保障子目标、处置对象能力、威胁特征、处置成本、处置效果中的任意一种或多种,对所述威胁处置策略中的处置命令进行分解,和/或,确定处置对象。
第三方面,本发明实施例提供一种电子设备,包括存储器和处理器,所述处理器和所述存储器通过总线完成相互间的通信;所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行第一方面的方法。
第四方面,本发明实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机程序,所述计算机程序使所述计算机执行第一方面的方法。
本发明实施例提供的一种网络中的威胁处置策略分解方法及系统,通过在威胁处置过程中,基于处置策略的归一化描述,通过上层统一下发威胁处置策略,实现对威胁处置策略的自动分解,完成威胁处置策略的逐级/跨级/同级分发,使得不同管理域(即处置区域)围绕同一威胁处置目标执行不同操作,保证并实现各区域之间的协同,实现设备跨区域、跨管理级、跨类型的设备统一管控和全网威胁统一、协同处置,提升威胁处置效果,增强了管理者对分级大规模异构网络的管控能力,确保缩小威胁的影响范围或小范围隔离威胁/阻断威胁扩散。不仅如此,本发明在威胁处置策略分解过程中,综合考虑威胁的类型、严重程度、攻击频度、传播特征等信息对威胁处置区域进行判定与分割,同时根据处置区域内不同设备的能力,动态确定不同设备具体执行的处置指令,确保并实现不同设备之间的协同操作。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图,都属于本发明保护的范围。
图1为本发明实施例提供的一种网络中的威胁处置策略分解方法流程图;
图2为本发明实施例提供的一种威胁处置策略的构成示意图;
图3为本发明实施例提供的一种命令集的构成示意图;
图4为本发明实施例提供的一种命令的构成示意图;
图5为本发明实施例提供的一种指令的构成示意图;
图6为本发明实施例提供的一种网络中的威胁处置策略分解系统的结构示意图;
图7为本发明实施例提供的一种网络中的威胁处置策略分解系统的模块关系图;
图8为本发明实施例提供的一种电子设备的实体结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了更好地理解本发明实施例,在此对本发明实施例的应用环境做出说明:本发明实施例可以应用在任何网络中,例如,专用网络、天地一体化网络、物联网或各类服务系统(如:电子凭据服务系统、电子商务系统、电子政务系统)所在的网络等,特别地,也适用于包含了专用网络、天地一体化网络、物联网和各类服务系统所在的网络等多种网络的大规模异构互联网络。
图1为本发明实施例提供的一种网络中的威胁处置策略分解方法流程图,如图1所示,该方法包括:
步骤101,接收威胁处置策略,根据所述威胁处置策略、网络拓扑结构、威胁特征、资产特征中的任意一种或多种,确定威胁处置区域。
具体地,将本发明实施例提供的方法的执行主体称作处置指挥中心,处置指挥中心可位于网络外,也可位于网络中,但不管处置指挥中心位于何处,当处置指挥中心接收到威胁处置策略后,通常会对其进行分解,以对威胁进行处置。
需要说明的是,对于一个网络来说,可以有一个处置指挥中心,也可有多个处置指挥中心,当有多个处置指挥中心时,处置指挥中心可分层部署,部署层次可以为任意层,每一层次可以有任意个处置指挥中心,每一处置指挥中心均管理各自所辖区域,某一处置指挥中心也可接受其他与其具有管理关系的处置指挥中心的管理,不同处置指挥中心之间具体的管理关系可根据行政管理的隶属关系等确定。为便于描述,根据管理关系将处置指挥中心按需求分别描述为本地处置指挥中心、本级处置指挥中心、下级处置指挥中心。
所述的威胁特征包括但不限于:威胁类型、攻击目标类型、攻击属性特征、攻击行为特征、传播特征中的任意一个或多个。
威胁类型包括但不限于:拒绝服务攻击、非法访问、流量异常、震荡波蠕虫、漏洞攻击、后门攻击、域名劫持、扫描探测、木马/病毒、中间人攻击中的任意一种或多种的组合;
攻击目标类型包括但不限于:服务器、终端、网络设备、安全设备、服务系统中的任意一种或多种的组合;
攻击属性特征包括但不限于:特征码,所述的特征码指恶意程序或流量中一段独有的特征序列;
攻击行为特征包括但不限于以下任意一种或多种的组合:
信息搜集特征、扫描策略特征、恶意动作特征、触发条件特征、传播特征;
所述的信息搜集特征包括但不限于:采用的信息搜集算法、搜集内容中的任意一种或多种的组合,所述搜集内容包括但不限于:本机系统信息、用户信息、邮件列表、对本机信任或授权的主机、本机所处网络的拓扑结构、边界路由信息中的任意一种或多种的组合;
所述的扫描策略特征包括但不限于:扫描方式、扫描策略、扫描频率、扫描目标端口中的任意一种或多种的组合;
所述扫描方式包括但不限于:基于网络的扫描、基于主机的扫描中的任意一种或多种的组合;
所述扫描策略包括但不限于:选择性随机扫描、顺序扫描、基于目标列表的扫描、分治扫描、基于路由的扫描、基于DNS扫描中的任意一种或多种的组合;
所述恶意动作特征包括但不限于:破坏系统数据、破坏目录和/或文件、修改内存、干扰系统运行、破坏显示、降低效率、干扰键盘操作中的任意一种或多种的组合;
所述破坏系统数据包括但不限于:破坏硬盘主引导区、引导扇区、文件分配表、破坏硬盘数据中的任意一种或多种的组合;
所述破坏目录和/或文件包括但不限于:删除文件和/目录、修改文件名、修改文件目录、修改文件内容、修改文件属性中的任意一种或多种的组合;
所述修改内存包括但不限于:蚕食内存、禁止系统分配内存中的任意一种或多种的组合;
所述的干扰系统运行包括但不限于:对用户的命令不予执行、显示干扰信息、无法打开文件、胡乱操作、修改系统时间、重启动系统、系统死机中的任意一种或多种的组合;
所述破坏显示包括但不限于:字符跌落、绕环、倒置、显示前屏、滚屏、抖动、乱写、吃字符中的任意一种或多种的组合;
所述降低效率指反复使用一些无效的空操作来消耗CPU的资源;
所述干扰键盘操作包括但限于:对用户的键盘输入不予接受、不接受特定的键盘字符、替换用户键盘的输入、制造噪音、修改CMOS参数中的任意一种或多种的组合;
所述触发条件特征包括但不限于:日期、时间、发现特性程序、感染次数、特定中断的调用次数中的任意一种或多种的组合;
所述传播特征包括但不限于:攻击/威胁采取的传播模型、传播途径中的任意一种或多种的组合;
所述传播模型包括但不限于:SEM(Simple Epidemic Model)、KM(Kmerack-Mckendrick)、SIS(Suscepitble Infectious Susceptible)、Two-factor模型、SEIR模型、SAIR模型、SEIQV模型、SAIC模型中的任意一种或多种的组合;
所述传播途径包括:邮件、外部介质、复制、下载、浏览网页、特定应用中的任意一种或多种的组合。
步骤102,根据威胁特征、处置对象能力、第一联动关系集合中的任意一种或多种,确定所述威胁处置区域的候选处置对象及其第二联动关系集合。
所述处置对象能力指处置对象可以执行的处置指令类型;
所述处置对象包括但不限于:设备和/或系统。
所述设备包括但不限于:终端(固定终端、移动终端、卫星终端)、服务器、路由器、接入网关、互联网关、内容过滤设备、防火墙、密码设备、认证设备、VPN、蜜罐、交换机、调制解调器、集线器和桥接器中的任意一种或多种;所述系统包括但不限于:入侵防御系统、入侵检测系统、入侵响应系统、认证系统、鉴权系统、设备管理系统、威胁分析系统中的任意一种或多种。需要说明的是,此处的设备可以是物理设备,也可以是利用虚拟化技术得到的虚拟设备。处置对象的具体指代依据不同应用领域而不同。
例如,在专用网络中,设备包括但不限于:工控网关、流量过滤监测设备、流转管控设备等设备中的任意一种或多种;系统包括但不限于:存储系统、办公系统、文件交换系统、监管系统等系统中的任意一种或多种。
在天地一体化网络中,设备包括但不限于:各类卫星,高速航天器终端、天基骨干网地面终端、Ka大容量宽带便携/固定终端、高轨卫星移动军用手持/民用车载终端、低轨星座手持/车载终端、Ku(FDMA)便携/固定终端、Ku(TDMA)便携/固定终端等安全终端,天基骨干卫星安全接入网关、宽带卫星安全接入网关、卫星移动安全接入网关、异构网间安全互联网关、地面网间安全互联网关等网关中的任意一种或多种;系统包括但不限于:身份认证管理系统、接入鉴权系统、网间互联安全控制系统、密码资源管理系统、威胁融合分析与态势预警系统、全网安全设备统一管理系统等系统中的任意一种或多种。
在物联网中,设备包括但不限于:物联网防火墙、物联网综合安全接入网关、网间互联网关、异构数据汇集网关、单向/双向数据隔离设备等设备中的任意一种或多种;系统包括但不限于:数据交换应用代理软件、数据流转监测系统、可编排应用防护系统、物联网拓扑测绘系统、安全服务需求与资源管理系统、数据存储调度管理系统、物联网安全管控中心管理系统、设备发现与识别系统等系统中的任意一种或多种。
在各类服务系统所在的网络中,设备包括但不限于:电子凭据高速核准服务设备、统一认证服务设备等设备中的任意一种或多种;系统包括但不限于:电子凭据核准服务管理系统、电子凭据状态管理与控制系统、统一认证服务管理系统、电子凭据查验服务系统、多业务电子凭据协同开具系统、海量电子凭据数据存储系统、身份鉴别系统、密码服务支撑系统、数据存储系统等系统中的任意一种或多种。
所述的处置指令类型包括但不限于:
包过滤类指令、路由类指令、设备关机类指令、设备重启类指令、服务关闭类指令、服务重启类指令、服务迁移类指令、数据备份类指令、连接断开类指令(RST)、连接关闭类指令(FIN)、漏洞修复类指令、进程查杀类指令、注册表修改类指令、用户权限修改类指令、文件访问权限修改类指令、用户密码修改类指令、密码资源操作类指令中的任意一种或多种。
所述包过滤类指令指通过检查数据包判断对该数据包执行以下动作一种或多种的任意组合:丢弃该数据包、放行该数据包、拒绝该数据包;
所述的检查数据包包括但不限于:检查数据包中各类网络协议的首部中的各字段、数据载荷;所述网络协议类型包括但不限于:ARP、RARP、IPv4、IPv6、ICMP、ICMPv6、IGMP、IS-IS、IPsec、TCP、UDP、TLS、DCCP、SCTP、RSVP、OSPF、DHCP、DNS、FTP、Gopher、HTTP、IMAP4、IRC、NNTP、XMPP、POP3、SIP、SMTP、SNMP、SSH、TELNET、RPC、RTCP、RTP、RTSP、SDP、SOAP、GTP、STUN、NTP、SSDP、BGP、RIP中的任意一种或多种组合。
所述路由类指令指通过设置路由规则实现对满足特定条件的数据包的转发或丢弃操作的指令;
所述设备关机类指令指关闭所有运行的程序,向主板和电源发出特殊信号,让电源切断对设备的供电,彻底关闭设备的指令;
所述设备重启类指令指指向主板和电源发出特殊信号,关闭设备后重新启动设备的指令;
所述服务关闭类指令指向已部署服务的设备发送关闭服务的指令;
所述服务重启类指令指向已部署服务的设备发送重新启动服务的指令;
所述服务迁移类指令指将部署在某一物理或虚拟设备上的服务迁移到其他物理或虚拟设备的指令;
所述数据备份类指令指将全部或部分数据从某一存储介质复制到其它的存储介质的指令;
连接断开类指令指向保持TCP连接通信双方的某一方发送RST包,达到断开TCP连接的目的的指令;
连接关闭类指令指向保持TCP连接通信双方的某一方发送FIN包,达到关闭TCP连接的目的的指令;
所述漏洞修复类指令指通过安装软件来修复特定缺陷的指令;
进程查杀类指令指根据进程的PID号和/或进程名,停止特定进程的运行的指令;
所述注册表修改类指令指通过对设备系统注册表内容的增、删、改等操作,达到限制服务等目的的指令;
所述用户权限修改类指令指通过修改用户的操作权限,限制特定用户对特定资源的操作的指令;
所述文件访问权限修改类指令指通过修改文件资源访问权限,限制用户对特定资源的操作的指令;
所述密码修改类指令指通过对用户的登录密码进行修改的指令;
所述密码资源操作类指令指对密码资源进行包括但不限于以下操作:预置、销毁、更新、查询中任意一种或多种的指令;
所述的密码资源包括但不限于:密钥、密码算法、算法参数中的任意一种或多种的组合;
所述联动关系集合包括但不限于:联动时间、联动地点、联动对象类型、交互内容中任意一种或多种的组合。
步骤103,根据安全保障目标分解映射关系、目标优先级、目标达成度、目标实现成本、可用资源中的任意一种或多种,对安全保障目标进行分解,得到所述威胁处置区域的安全保障子目标。
所述安全保障目标分解映射关系指安全保障目标与一个/多个安全保障子目标之间的对应关系;
所述目标优先级包括但不限于:重要度优先级、紧急度优先级;
所述的重要度指子目标相较于其他子目标的重要程度;
所述紧急度指子目标相较于其他子目标的紧急程度;
所述重要度和紧急度可以用整数值、百分数和小数进行表示,可以根据经验静态设定,也可以动态计算;
所述目标达成度可以用整数值、百分数和小数进行表示,可静态赋予,也可动态计算;
所述目标实现成本指达到安全保障目标所需要的计算资源、存储资源、网络资源、人力成本、资金成本中任意一种或多种组合,可以用整数值、百分数和小数进行表示,可预先静态赋予,也可以根据目标达成所涉及的对象数量、所需执行操作的复杂度等因素动态计算;
所述可用资源指可提供的计算资源、存储资源、网络资源、人力成本、资金成本中任意一种或多种组合。
步骤104,根据所述候选处置对象及其第二联动关系集合、所述安全保障子目标、处置对象能力、威胁特征、处置成本、处置效果中的任意一种或多种,对所述威胁处置策略中的处置命令进行分解,和/或,确定处置对象;
所述处置成本指实现处置命令所需的计算资源、存储资源、网络资源、人力成本、资金成本中任意一种或多种组合;
所述处置效果指安全保障目标的达成度或网络安全状态的提升程度;
所述处置对象包括但不限于:设备和/或系统;
设备包括但不限于:终端(固定终端、移动终端、卫星终端)、服务器、路由器、接入网关、互联网关、内容过滤设备、防火墙、密码设备、认证设备、VPN、蜜罐、交换机、调制解调器、集线器和桥接器中的任意一种或多种;系统包括但不限于:入侵防御系统、入侵检测系统、入侵响应系统、认证系统、鉴权系统、设备管理系统、威胁分析系统中的任意一种或多种。需要说明的是,此处的设备可以是物理设备,也可以是利用虚拟化技术得到的虚拟设备。对象的具体指代依据不同应用领域而不同。
在专用网络中,除了通用类设备,对象还包括一些非通用类设备,设备包括但不限于:工控网关、流量过滤监测设备、流转管控设备等设备中的任意一种或多种;系统包括但不限于:存储系统、办公系统、文件交换系统、监管系统等系统中的任意一种或多种。
在天地一体化网络中,设备包括但不限于:各类卫星,高速航天器终端、天基骨干网地面终端、Ka大容量宽带便携/固定终端、高轨卫星移动军用手持/民用车载终端、低轨星座手持/车载终端、Ku(FDMA)便携/固定终端、Ku(TDMA)便携/固定终端等安全终端,天基骨干卫星安全接入网关、宽带卫星安全接入网关、卫星移动安全接入网关、异构网间安全互联网关、地面网间安全互联网关等网关中的任意一种或多种;系统包括但不限于:身份认证管理系统、接入鉴权系统、网间互联安全控制系统、密码资源管理系统、威胁融合分析与态势预警系统、全网安全设备统一管理系统等系统中的任意一种或多种。
在物联网中,设备包括但不限于:物联网防火墙、物联网综合安全接入网关、网间互联网关、异构数据汇集网关、单向/双向数据隔离设备等设备中的任意一种或多种;系统包括但不限于:数据交换应用代理软件、数据流转监测系统、可编排应用防护系统、物联网拓扑测绘系统、安全服务需求与资源管理系统、数据存储调度管理系统、物联网安全管控中心管理系统、设备发现与识别系统等系统中的任意一种或多种。
在各类服务系统所在的网络中,设备包括但不限于:电子凭据高速核准服务设备、统一认证服务设备等设备中的任意一种或多种;系统包括但不限于:电子凭据核准服务管理系统、电子凭据状态管理与控制系统、统一认证服务管理系统、电子凭据查验服务系统、多业务电子凭据协同开具系统、海量电子凭据数据存储系统、身份鉴别系统、密码服务支撑系统、数据存储系统等系统中的任意一种或多种。
本发明实施例提供的一种网络中的威胁处置策略分解方法,通过在威胁处置过程中,基于处置策略的统一/归一化描述,通过上层统一下发威胁处置策略,实现对威胁处置策略的自动分解,完成威胁处置策略的逐级/跨级/同级分发,使得不同管理域(即处置区域)围绕同一威胁处置目标执行不同操作,保证并实现各区域之间的协同,实现设备跨区域、跨管理级、跨类型的设备统一管控和全网威胁统一、协同处置,提升威胁处置效果,增强了管理者对分级大规模异构网络的管控能力,确保缩小威胁的影响范围或小范围隔离阻断威胁扩散。不仅如此,本发明在威胁处置策略分解过程中,综合考虑威胁的类型、严重程度、攻击频度、传播特征等信息对威胁处置区域进行判定与分割,同时根据处置区域内不同设备的能力,动态确定不同设备具体执行的处置指令,确保并实现不同设备之间的协同操作。
在上述实施例的基础上,本发明实施例对上述实施例中的威胁处置策略进行说明,图2为本发明实施例提供的一种威胁处置策略的构成示意图,如图2所示,所述威胁处置策略包括:
处置策略ID、安全保障目标、处置命令类型、处置命令、处置区域、约束信息、分解类型、分解层次、分解条件中的任意一种或多种。其中,
所述处置策略ID唯一标识一条威胁处置策略;
所述安全保障目标指威胁处置所期望达到的安全效果,包括但不限于:宏观需求和/或微观需求,所述宏观需求包括但不限于:机密性、完整性、可用性、可鉴别性中任意一个或多个的组合,所述微观需求包括但不限于:保证系统的服务质量,保证系统正常运行,保证系统文件不被篡改中的任意一个或多个的组合。一个对象可以同时有多个安全保障目标,不同的安全保障目标之间可以有优先级差异。
所述处置命令类型包括但不限于:命令集、命令、指令、动作中的任意一个或多个。
所述处置命令中的内容根据所述处置命令类型的不同而不同。
所述处置区域(即,威胁处置区域)包括但不限于:包含一个或若干个服务/进程的对象、由若干对象及其连接关系组成的网络、由若干网络及其连接关系组成的大网络、物理上的某个地址、物理上的某一地址范围、某一物理区域中的任意一种或多种组合;
所述的区域的标识方式包括但不限于:逻辑方式标识、物理方式标识中的任意一种或多种。
例如,以某一IP标识某一设备,或一个IP段标识某一网络,或以若干个IP段标识某一网络,或某一部门网络,或具有相同安全需求的对象组成的安全域,或以经纬度标识的某一物理坐标位置,或以经纬度范围标识的某一物理区域,或以按照行政划分的某一区域等。
例如在天地一体化网络中,可以将全国范围内所有关口站及对应设备作为一级目标区域,二级目标区域是某个具体的关口站,三级目标区域可以是关口站内的某个具体区域或者根据房间信息划分的物理片区,四级目标区域可以是大终端覆盖的区域;例如在专用网络中,可以根据国家级、省级、地市级、区/县级等行政级别进行区域划分,各区域由相应的专用网络管理中心进行管理;例如在电子凭据服务系统中,可以根据国家级、省级、地市级、区/县级等行政级别进行区域划分,各区域由相应的电子凭据监管中心进行管理。
所述约束信息包括但不限于:策略生成时间、策略分发时间、策略执行时间、策略有效期、策略的持续时间、策略的安全等级、策略的知悉范围中的任意一种或多种的组合。
所述分解类型包括但不限于:处置区域分解和/或处置命令分解。
所述分解层次包括但不限于:本地分解、本级分解、下级分解中的任意一种或多种。
所述分解条件为对处置策略进行分解时所需满足的外部条件,可以从时间、空间等多个维度进行限定。例如:接收到指令后直接进行分解,或者在特定时间后才可以进行分解。
在上述各实施例的基础上,本发明实施例对上述实施例的步骤101进行具体说明,也即,对确定威胁处置区域进行说明。确定威胁处置区域,进一步包括:
判定本区域下辖各区域是否存在攻击源和/或潜在攻击源,将存在攻击源和/或潜在攻击源的区域称为攻击区域。
所述的判定本区域下辖各区域是否存在攻击源和/或潜在攻击源,将存在攻击源和/或潜在攻击源的区域称为攻击区域,可以采用以下方式实现:
具体地,第一种可实现的方式是根据下辖区域中的各设备发出数据包的地址和端口信息进行判断是否为可疑攻击包,从而判定发出该可疑攻击包的设备是否为攻击源。
所述的第一种可实现的方式包括以下步骤:
判断某一设备发出的数据包中目的IP地址和/或目的端口与受攻击对象的IP地址和/或端口信息是否匹配,若匹配,则判断数据包中的源IP地址是否为该设备的IP,若不是,则将该数据包判断为可疑攻击包,反之该数据包为正常数据包;
判断可疑攻击包数与正常数据包数的比例,若该比例超过特定阈值,则认为发出这些数据包的相应设备为攻击源;
所述受攻击对象的IP地址和/或端口信息可根据接收到的上级处置策略或接收到的威胁报警信息得到;
所述的判断可以是对所有数据包进行判断,也可以是以一定概率对数据包进行判断;
所述的特定阈值可预先静态设定,也可动态调整。
第二种可实现的方式是检查下辖区域中的各设备的主机日志,判断是否有访问受攻击对象的记录,若在攻击时间段内访问频率超过特定阈值,则认为相应设备为攻击源;
所述的访问频率指在在攻击时间段内的访问记录数量除以攻击时间段,所述的攻击时间段可根据接收到的上级处置策略或接收到的威胁报警信息得到。
所述的特定阈值可预先静态设定,也可动态调整。
第三种可实现的方式是对设备在攻击时间段内发出数据包数和收到数据包数的比例进行判断,若该比例低于特定阈值,则认为相应设备为攻击源。所述的特定阈值可预先静态设定,也可动态调整。
除了上述提到的方法外,还可以采用已有的在数据包中打标记记录数据包路径的方式来实现。
所述下辖各区域可以是直接下辖区域,也可以是间接下辖区域(即下辖区域的下辖区域)。
若所述攻击源和/或潜在攻击源是本区域的直属设备,则直接将本区域作为处置区域,不再分解。所述直属设备是本区域的管理者可直接进行管理操作,或,通过直接下发指令或动作的形式让设备执行特定操作。
判定本区域下辖各区域是否存在受攻击对象和/或潜在受攻击对象,将存在受攻击对象和/或潜在受攻击对象的区域称为受攻击区域。
所述的攻击对象和/或潜在受攻击对象可以是服务、系统、节点、设备,或由服务、系统、节点、设备组成的网络;
若所述受攻击对象和/或潜在受攻击对象是本区域的直属设备,则直接将本区域作为处置区域,不再分解。
所述的判定本区域下辖各区域是否存在受攻击对象和/或潜在受攻击对象,将存在受攻击对象和/或潜在受攻击对象的区域称为受攻击区域,可以通过以下方法实现:
第一种可实现的方式通过以下步骤实现:
获取上级处置策略或接收到的威胁报警信息中携带的受攻击对象信息;
判断所述受攻击对象是否在本区域或下辖区域内,若在,则将相应区域作为处置区域;反之,判断本区域内的对象是否与该受攻击对象具有服务依赖关系、或对象间可访问关系中的一种或多种,若有,则将该对象判断为潜在受攻击对象,并将潜在受攻击对象所在区域作为处置区域。
所述的对象间可访问关系指具有拓扑连接关系的两个实体相互之间可以进行通信;
所述的服务依赖关系指服务的运行依赖于其他服务,则两个服务之间具有服务依赖关系;
所述的拓扑连接关系指网络中的两个实体在物理通路上具有可达关系,包括有线连接、无线连接等方式;
第二种可实现的方式通过以下步骤实现:
获取上级处置策略或接收到的威胁报警信息中携带的受攻击对象信息;
判断所述受攻击对象是否在本区域或下辖区域内,若在,则将相应区域作为处置区域。若所述受攻击对象所在的区域为本区域的下辖区域,则基于相似性度量思想,判断本区域的其他下辖区域受攻击可能性。
所述具体做法为:
根据上级处置策略或接收到的威胁报警信息判断受攻击对象遭受的攻击类型,获取威胁特征;
所述威胁特征包括:威胁类型、攻击目标类型、攻击属性特征、攻击行为特征、传播特征中的一个或多个。
判断受攻击对象所在范围的范围特征,包括判断区域中的拓扑结构特征、设备类型特征、设备数量特征、资产特征、业务特征,安全需求特征、脆弱性特征等;所述拓扑结构特征指区域的拓扑类型,包括:总线型拓扑、环型拓扑、树形拓扑结构、星形拓扑结构、网状拓扑、混合型拓扑结构、蜂窝拓扑结构、卫星通信拓扑结构;所述设备类型特征指区域中包含的设备类型;所述设备数量特征指区域中包含的各种类型的设备的数量;所述资产特征指区域中各资产的重要性分布情况;所述业务特征指区域中设备所提供的服务类型、用户规模等;所述安全需求特征指该区域中各设备的安全保障目标,包括:保护机密性、保护完整性、保护可用性等;所述脆弱性特征指该区域中所包含的漏洞类型。
根据提取出的威胁特征和/或区域特征,对其他区域进行相似性判定,被判定为受威胁区域的相似区域,则将该区域作为潜在受威胁区域,并将所述潜在受威胁区域作为威胁处置区域。
所述相似度判定算法包括但不限于:余弦相似度计算算法、欧氏距离计算算法、皮尔逊相关性计算算法、斯皮尔曼等级相关性计算算法、平均平方差异(MSD)、Jaccard距离计算算法、曼哈顿距离计算算法、明可夫斯基距离计算算法。
所述的用于计算基于区域特征的区域之间相似度的特征包括但不限于:拓扑结构特征,设备类型特征,设备数量特征、资产特征、业务特征,安全需求特征、脆弱性特征、网络管理模式特征。
所述的用于计算基于威胁特征的区域之间相似度的特征包括但不限于:攻击类型、攻击目标类型、攻击属性特征、攻击行为特征、传播特征。
判定两个区域是否为相似区域的方式可以采用相似度高于某一阈值的方法实现,阈值可提前静态设定,也可动态修改。
判断本区域下辖各区域中是否存在联动处置对象和/或潜在联动处置对象,将包含所述联动处置对象和/或潜在联动对象的区域称为联动区域。
所述的判断本区域下辖各区域中是否存在联动处置对象和/或潜在联动处置对象,将包含所述联动处置对象和/或潜在联动对象的区域称为联动区域,可以采用以下方式实现:
获取从攻击源到受攻击对象的攻击路径和/潜在攻击路径,将攻击路径和/潜在攻击路径上除源、目的节点及源和目的节点所在区域的出入口设备外的其他一个或多个节点作为可以配合威胁处置的对象,从而得到联动区域,将属于本区域下辖区域的联动区域作为威胁处置区域。
将攻击区域、受攻击区域、联动区域中的任意一个,或者,任意多个的交集,或者,任意多个的并集作为威胁处置区域。
在上述各实施例的基础上,本发明实施例对上述实施例的步骤102进行具体说明,也即,对威胁处置区域的候选处置对象及其第二联动关系集合的确定过程进行说明。根据威胁特征、处置对象能力、第一联动关系集合中的任意一种或多种,确定所述威胁处置区域的候选处置对象及其第二联动关系集合,进一步包括:
获取所述威胁处置区域的处置对象,根据威胁特征和/或处置对象能力,判断所述处置对象是否可抵抗具有所述威胁特征的威胁;
若所述处置对象可以抵抗具有所述威胁特征的威胁,则将所述处置对象作为候选处置对象,生成候选处置对象集合;
从所述候选处置对象集合对应的第一联动关系集合中,选取任意一个或多个候选处置对象对应的一种或多种满足第一预设条件的联动关系,作为第二联动关系集合。
其中,所述第一预设条件包括但不限于:联动成本最低、交互时间最短、交互内容最少、交互内容最多、涉及的联动对象最少、涉及的联动对象最多中的任意一种或多种的组合。
在上述各实施例的基础上,本发明实施例对上述实施例的步骤103进行具体说明。根据安全保障目标分解映射关系、目标优先级、目标达成度、目标实现成本、可用资源中的任意一种或多种,对安全保障目标进行分解,得到所述威胁处置区域的安全保障子目标,进一步包括:
根据安全保障目标分解映射关系和/或目标优先级类型,对安全保障目标进行分解,得到满足第二预设条件或第三预设条件的子目标,将所述子目标作为所述安全保障目标分解后的安全保障子目标。
其中,所述第二预设条件包括但不限于:将与所述安全保障目标有映射关系的子目标中某类优先级高于特定等级的子目标作为所述安全保障目标的分解结果,和/或,将与所述安全保障目标有映射关系的子目标中按照特定类型优先级排序靠前的特定数量的子目标作为所述安全保障目标的分解结果。
所述第三预设条件为:在分解得到的子目标实现后可达到的目标达成度大于所述安全保障目标的预期目标达成度,目标实现成本小于可用资源的前提下,将使得各子目标所需的目标实现成本之和尽可能小,目标达成度尽可能高的子目标构成的集合作为分解后的子目标。具体计算方式包括但不限于:多目标规划算法、投资回报比算法。
所述多目标规划算法中,目标可包括:总实现成本尽可能小,目标达成度尽可能高;约束条件包括:目标达成度大于父目标的预期目标达成度,目标实现成本小于可用资源;不同目标的权重可预先静态赋予,或动态计算。
所述投资回报比算法指选取分解后的子目标实现后可达到的父目标达成度比上子目标所需的总达成成本的值尽可能高的分解方案。
安全保障目标分解之后得到的不同子目标可以针对相同的区域,也可以分别针对不同的区域。
在上述各实施例的基础上,本发明实施例对上述实施例的步骤104进行具体说明。对所述威胁处置策略中的处置命令进行分解,和/或,确定处置对象,进一步包括:
判定处置命令类型,若为命令集,则将命令集分解为命令,构造威胁处置子策略;若为命令,则将命令分解为指令,构造威胁处置子策略;若为指令,则确定处置对象,按照指令格式对指令的各部分内容进行填充,和/或,对指令中的动作列表的各字段进行指定,构造威胁处置子策略。
可选地,在执行上述步骤后,还可以执行以下步骤:
将所述威胁处置子策略分发到威胁处置子策略的接收方;
和/或,
威胁处置子策略的接收方执行所述威胁处置策略。
所述威胁处置子策略的接收方包括但不限于:本地处置指挥中心、本级处置指挥中心、下级处置指挥中心、处置对象。
所述本地处置指挥中心、本级处置指挥中心或下级处置指挥中心接收到所述威胁处置子策略后,对所述威胁处置子策略再次进行分解,或者,将所述威胁处置子策略分发到对应的处置对象。
处置对象接收到所述威胁处置子策略后执行该子策略。
在上述各实施例的基础上,本发明实施例对上述实施例中的命令集进行具体说明,图3为本发明实施例提供的一种命令集的构成示意图,如图3所示,所述命令集包括:
命令集ID、命令数量、命令、命令的选项中的任意一种或多种。其中,
所述命令集ID为命令集的唯一标识;
所述的命令数量表示该条命令集中命令的数量;
所述命令表示命令类型;
所述命令的选项表示对执行或分解该命令集时,命令是否必选。
在上述各实施例的基础上,判定处置命令类型,若为命令集,则判断接收到的处置策略中处置命令中命令的选项,若选项为必选,则将相应命令作为处置命令分解后的命令之一;
若选项为非必选,则根据该命令对安全保障目标达成的贡献度、威胁处置区域的能力、威胁处置区域执行该命令的成本收益情况中的一个或多个判定是否将相应命令作为处置命令分解的命令之一;
根据所述分解后的命令,构造威胁处置子策略。
其中,所述判定是否将相应命令作为处置命令分解的结果之一的一种可实现的判定方式是:根据成本收益情况进行判定,具体为:计算该命令执行的收益成本比,即该命令执行所带来的收益与该命令执行所需要的成本的比值,判断该值是否超过阈值,若超过,则将该命令作为命令集分解之后的命令之一。其中,所述收益和成本可按照命令类型预先静态设定,也可以根据实际情况动态调整;所述阈值可根据经验提前静态设定,也可根据实际情况动态调整。
在上述各实施例的基础上,本发明实施例对上述实施例中的命令进行具体说明,图4为本发明实施例提供的一种命令的构成示意图,如图4所示,所述命令包括:
命令ID、指令数量、指令、指令的执行时序、指令的时序要求中的任意一种或多种。其中,
所述命令ID为该条命令的唯一标识;
所述指令数量为该条命令中包含的指令数量;
所述指令表示该指令的类型;
所述指令的执行时序表示在执行或分解该条命令时,该条指令的执行顺序;指令的时序要求表示对执行顺序的进一步约束,例如:两条指令之间的执行时间间隔等。
在上述各实施例的基础上,判定处置命令类型,若为命令,则将命令分解为指令,构造威胁处置子策略,进一步包括:
若处置命令类型为命令,根据命令类型,按照命令与指令的映射关系,将命令分解为指令,根据所述分解后的指令,构造威胁处置子策略。
在上述各实施例的基础上,本发明实施例对上述实施例中的指令进行具体说明,图5为本发明实施例提供的一种指令的构成示意图,如图5所示,所述指令包括:
指令ID、指令类型、指令执行主体、指令执行客体、动作列表、指令参数列表、结果验证方式中的任意一种或多种。其中,
所述指令ID为指令的唯一标识;
所述指令类型表示该条指令的类型;
所述指令执行主体为该条指令的执行者;
所述指令执行客体为该条指令的作用对象;
所述动作列表为指令执行所需执行的动作,包括但不限于:动作数量、动作类型、动作参数列表、动作的执行顺序、动作的选项中的任意一种或多种;
所述指令参数列表为执行指令所需的具体参数内容。
所述动作列表中的动作数量表示指令执行或分解时的动作数量;所述动作类表中的动作类型表示动作的类型;所述动作列表中的动作参数列表包括但不限于:参数数量、参数ID(表示参数类型)、参数内容;所述动作列表中的动作的执行顺序为对该条动作在动作列表中的所有动作中执行的先后关系的描述;所述动作类表中的动作的选项表示在执行该指令时对应的动作是否必须要执行。
在上述各实施例的基础上,判定处置命令类型,若为指令,则确定处置对象,按照指令格式对指令的各部分内容进行填充,和/或,对指令中的动作列表的各字段进行指定,构造威胁处置子策略,进一步包括:
根据攻击路径、处置对象能力、指令类型中的任意一种或多种,确定处置对象;
根据受攻击对象、攻击对象、威胁特征、处置区域中的任意一种或多种,按照指令格式对指令参数列表内容进行填充;
根据所述指令参数列表、指令与动作的映射关系中的任意一种或多种,将指令分解为动作,对动作参数列表进行填充,然后构造相应威胁处置子策略。
所述处置对象的确定方式包括但不限于:将攻击路径上的处置对象的处置能力符合所述指令类型的处置设备集合中的一个或多个作为处置对象;若所述处置设备集合中仅有一台设备,则直接将该设备作为处置对象;若所述处置设备集合中有多台设备,则将满足第二预设条件的设备作为处置对象。
所述第二预设条件包括但不限于:距离受攻击对象距离最近、距离攻击对象距离最近中的任意一种或多种。所述距离可以包括但不限于逻辑距离、物理距离。
确定处置对象后,从所述候选处置对象及其第二联动关系集合中为处置对象选取相应的联动关系。
对于包过滤类指令,指令内容包括但不限于:指令执行主体、源IP地址、目的IP地址、源端口、目的端口、协议类型、流量方向、操作方式中的任意一种或多种的组合。指令的填充方式包括但不限于以下三种方式中任意一种或多种的组合:
方式一:基于“近源端”保护思想,在分解得到的区域中的攻击区域的出入口相关设备上部署处置措施,对攻击信息和/或可疑攻击信息进行过滤,过滤条件为丢弃源地址为攻击对象和/或潜在攻击对象的数据包;
方式二:基于“近目的端”保护思想,在分解得到的区域中的受攻击区域的受攻击设备和/或出入口相关设备上部署处置措施,对攻击信息和/或可疑攻击信息进行过滤,过滤条件包括但不限于:丢弃目的地址为受攻击对象和/或潜在受攻击对象的数据包、丢弃目的端口为受攻击对象和/或潜在受攻击对象已开放的端口的数据包中的任意一种或多种的组合;
方式三:在分解得到的区域中的联动区域的出入口相关设备上部署处置措施,对攻击信息和/或可疑攻击信息进行过滤,过滤条件包括但不限于:丢弃源地址为攻击对象和/或潜在攻击对象的数据包、丢弃目的地址为受攻击对象的数据包、丢弃目的端口为受攻击对象和/或潜在受攻击对象已开放端口的数据包。指令的持续时间可以根据威胁持续时间、系统异常时间持续时间、用户制定的配置获得;针对部分拒绝服务类攻击,还可以设置添加限制数据包并发量的限制,限制上限可根据威胁特征中的攻击强度确定。
对于设备关机类指令,指令内容包括但不限于:指令执行主体、关机时间的任意一种或多种的组合。
一种可实现的指令内容的填充方式为:将受攻击对象和/或攻击对象作为该类指令的执行对象;关机时间及处于关机的时间段可根据威胁特征中的威胁持续时间或时间分布特征确定。
对于设备重启类指令,指令内容包括但不限于:指令执行主体、关机时间的任意一种或多种的组合。
一种可实现的指令内容的填充方式为:将受攻击对象和/攻击对象作为该类指令的执行对象;重启时间可根据威胁特征中的威胁持续时间或时间分布特征确定。
对于服务关闭类指令,指令内容包括但不限于:服务、指令执行主体、关闭时间的任意一种或多种的组合。
一种可实现的指令内容的填充方式为:将受攻击的服务作为被关闭的服务;将受攻击对象作为该类指令的执行对象;服务关闭的时间及持续时间可根据威胁特征中的威胁持续时间或时间分布特征确定。
对于服务重启类指令,指令内容包括但不限于:服务类型、指令执行主体、关闭时间的任意一种或多种的组合。
一种可实现的指令内容的填充方式为:将受攻击的服务作为被重启的服务;将受攻击对象作为该类指令的执行对象;重启时间可根据威胁特征中的威胁持续时间或时间分布特征确定。
对于服务迁移类指令,指令内容包括但不限于:服务、迁移时间、迁移到的目标对象。
一种可实现的指令内容的填充方式为:将受攻击的服务作为被迁移的服务;服务迁移时间包括但不限于立即迁移、特定时间后迁移等,具体可根据攻击严重程度等确定;迁移到的目标对象可以是用户预先设定的目的地址,也可以是任一其他地址。
对于数据备份类指令,指令内容包括但不限于:数据备份内容、备份时间、备份数据存储位置。
一种可实现的指令内容的填充方式为:将被修改数据、潜在被修改数据、全盘数据中的任意一种或多种组合作为数据备份内容;备份时间可以是立即备份、特定时间后备份、定期备份等;具体可根据攻击严重程度等确定;备份数据存储位置可以是本机,也可以是其他设备。
对于连接断开类指令,指令内容包括但不限于源IP地址、目的IP地址、源端口号、目的端口号。
一种可实现的指令内容的填充方式为:将攻击对象和/或潜在攻击的IP地址作为RST数据包中的源IP地址;将受攻击对象和/或潜在受攻击对象的IP地址作为目的IP地址;将受攻击对象和/或潜在受攻击对象的开放端口作为RST数据包中的源端口;将攻击数据包和/或可疑数据包中的源端口作为RST数据包中的目的端口。
连接关闭类指令,指令内容包括但不限于源IP地址、目的IP地址、源端口号、目的端口号。
一种可实现的指令内容的填充方式包括但不限于:将攻击对象和/或潜在攻击的IP地址作为FIN数据包中的源IP地址;将受攻击对象和/或潜在受攻击对象的IP地址作为FIN数据包中的目的IP地址;将受攻击对象和/或潜在受攻击对象的开放端口作为FIN数据包中的源端口;将攻击数据包和/或可疑数据包中的源端口作为FIN数据包中的目的端口。
对于漏洞修复类指令,指令填充内容包括但不限于:漏洞编号、补丁地址中的任意一种或多种的组合。
一种可实现的指令内容的填充方式为:将引起攻击的漏洞作为漏洞编号指;补丁地址可以是官方发布的补丁地址,也可以是其他可提供补丁下载功能的地址,对此不做限制。
图6为本发明实施例提供的一种网络中的威胁处置策略分解系统的结构示意图,如图6所示,该系统包括:
威胁处置区域确定模块601,用于接收威胁处置策略,根据所述威胁处置策略、网络拓扑结构、威胁特征、资产特征中的任意一种或多种,确定威胁处置区域;
候选处置对象及其第二联动关系集合确定模块602,用于根据威胁特征、处置对象能力、第一联动关系集合中的任意一种或多种,确定所述威胁处置区域的候选处置对象及其第二联动关系集合;
安全保障目标分解模块603,用于根据安全保障目标分解映射关系、目标优先级、目标达成度、目标实现成本、可用资源中的任意一种或多种,对安全保障目标进行分解,得到所述威胁处置区域的安全保障子目标;
处置命令分解模块604,用于根据所述候选处置对象及其第二联动关系集合、所述安全保障子目标、处置对象能力、威胁特征、处置成本、处置效果中的任意一种或多种,对威胁处置策略中的处置命令进行分解,和/或,确定处置对象。
图7为本发明实施例提供的一种网络中的威胁处置策略分解系统的模块关系图。该系统包括:威胁处置区域确定模块、候选处置对象及其第二联动关系集合确定模块、安全保障目标分解模块、处置命令分解模块及存储单元。
其中,所述威胁处置区域确定模块,用于接收威胁处置策略,从所述存储单元获取网络拓扑结构、威胁特征、资产特征,并根据所述的威胁处置策略、网络拓扑结构、威胁特征、资产特征中的任意一种或多种,确定威胁处置区域;
所述候选处置对象及其第二联动关系集合确定模块,用于接收来自所述威胁处置区域确定模块的所述威胁处置区域,从所述存储单元获取威胁特征、处置对象能力、第一联动关系集合,并根据所述的威胁特征、处置对象能力、第一联动关系集合中的任意一种或多种,确定所述威胁处置区域的候选处置对象及其第二联动关系集合;
所述安全保障目标分解模块,用于接收来自所述威胁处置区域确定模块的所述威胁处置区域信息,从所述存储单元获取安全保障目标分解映射关系、目标优先级、目标达成度、目标实现成本、可用资源,并根据所述安全保障目标分解映射关系、目标优先级、目标达成度、目标实现成本、可用资源中的任意一种或多种,对安全保障目标进行分解,得到所述威胁处置区域的安全保障子目标;
所述处置命令分解模块,用于接收来自所述威胁处置区域确定模块的所述威胁处置区域信息、所述候选处置对象及其第二联动关系集合确定模块的所述候选处置对象及其第二联动关系集合确定模块、所述安全保障目标分解模块的所述安全保障子目标信息,从所述存储单元获取处置对象能力、处置成本、处置效果,根据所述候选处置对象及其第二联动关系集合、所述安全保障子目标、处置对象能力、威胁特征、处置成本、处置效果中的任意一种或多种,对处置命令进行分解,和/或,确定处置对象,从而得到威胁处置子策略。
所述存储单元,用于存储网络拓扑结构、资产特征、威胁特征、处置对象能力、联动关系集合、安全保障目标分解映射关系、目标优先级、目标达成度、目标达成成本、目标实现成本、可用资源、处置成本、处置效果。
图8为本发明实施例提供的一种电子设备的实体结构示意图,如图8所示,该电子设备可以包括:处理器(processor)801、通信接口(Communications Interface)802、存储器(memory)803和通信总线804,其中,处理器801,通信接口802,存储器803通过通信总线804完成相互间的通信。处理器801可以调用存储在存储器803上并可在处理器801上运行的计算机程序,以执行上述各实施例提供的方法,例如包括:接收威胁处置策略,根据所述威胁处置策略、网络拓扑结构、威胁特征、资产特征中的任意一种或多种,确定威胁处置区域;根据威胁特征、处置对象能力、第一联动关系集合中的任意一种或多种,确定所述威胁处置区域的候选处置对象及其第二联动关系集合;根据安全保障目标分解映射关系、目标优先级、目标达成度、目标实现成本、可用资源中的任意一种或多种,对安全保障目标进行分解,得到所述威胁处置区域的安全保障子目标;根据所述候选处置对象及其第二联动关系集合、所述安全保障子目标、处置对象能力、威胁特征、处置成本、处置效果中的任意一种或多种,对所述威胁处置策略中的处置命令进行分解,和/或,确定处置对象。
此外,上述的存储器803中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本发明实施例还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各实施例提供的传输方法,例如包括:接收威胁处置策略,根据所述威胁处置策略、网络拓扑结构、威胁特征、资产特征中的任意一种或多种,确定威胁处置区域;根据威胁特征、处置对象能力、第一联动关系集合中的任意一种或多种,确定所述威胁处置区域的候选处置对象及其第二联动关系集合;根据安全保障目标分解映射关系、目标优先级、目标达成度、目标实现成本、可用资源中的任意一种或多种,对安全保障目标进行分解,得到所述威胁处置区域的安全保障子目标;根据所述候选处置对象及其第二联动关系集合、所述安全保障子目标、处置对象能力、威胁特征、处置成本、处置效果中的任意一种或多种,对所述威胁处置策略中的处置命令进行分解,和/或,确定处置对象。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (15)
1.一种网络中的威胁处置策略分解方法,其特征在于,包括:
接收威胁处置策略,根据所述威胁处置策略、网络拓扑结构、威胁特征、资产特征中的任意一种或多种,确定威胁处置区域;
根据威胁特征、处置对象能力、第一联动关系集合中的任意一种或多种,确定所述威胁处置区域的候选处置对象及其第二联动关系集合;
根据安全保障目标分解映射关系、目标优先级、目标达成度、目标实现成本、可用资源中的任意一种或多种,对安全保障目标进行分解,得到所述威胁处置区域的安全保障子目标;
根据所述候选处置对象及其第二联动关系集合、所述安全保障子目标、处置对象能力、威胁特征、处置成本、处置效果中的任意一种或多种,对所述威胁处置策略中的处置命令进行分解,和/或,确定处置对象。
2.根据权利要求1所述的方法,其特征在于,所述威胁处置策略包括:
处置策略ID、安全保障目标、处置命令类型、处置命令、处置区域、约束信息、分解类型、分解层次、分解条件中的任意一种或多种。
3.根据权利要求1所述的方法,其特征在于,确定威胁处置区域,进一步包括:
判定本区域下辖各区域是否存在攻击源和/或潜在攻击源,将存在攻击源和/或潜在攻击源的区域称为攻击区域;
判定本区域下辖各区域是否存在受攻击对象和/或潜在受攻击对象,将存在受攻击对象和/或潜在受攻击对象的区域称为受攻击区域;
判断本区域下辖各区域中是否存在联动处置对象和/或潜在联动处置对象,将包含所述联动处置对象和/或潜在联动对象的区域称为联动区域;
将攻击区域、受攻击区域、联动区域中的任意一个,或者,任意多个的交集,或者,任意多个的并集作为威胁处置区域。
4.根据权利要求1所述的方法,其特征在于,根据威胁特征、处置对象能力、第一联动关系集合中的任意一种或多种,确定所述威胁处置区域的候选处置对象及其第二联动关系集合,进一步包括:
获取所述威胁处置区域的处置对象,根据威胁特征和/或处置对象能力,判断所述处置对象是否可抵抗具有所述威胁特征的威胁;
若所述处置对象可以抵抗具有所述威胁特征的威胁,则将所述处置对象作为候选处置对象,生成候选处置对象集合;
从所述候选处置对象集合对应的第一联动关系集合中,选取任意一个或多个候选处置对象对应的一种或多种满足第一预设条件的联动关系,作为第二联动关系集合。
5.根据权利要求1所述的方法,其特征在于,根据安全保障目标分解映射关系、目标优先级、目标达成度、目标实现成本、可用资源中的任意一种或多种,对安全保障目标进行分解,得到所述威胁处置区域的安全保障子目标,进一步包括:
根据安全保障目标分解映射关系和/或目标优先级类型,对安全保障目标进行分解,得到满足第二预设条件或第三预设条件的子目标,将所述子目标作为所述安全保障目标分解后的安全保障子目标。
6.根据权利要求1所述的方法,其特征在于,对所述威胁处置策略中的处置命令进行分解,和/或,确定处置对象,进一步包括:
判定处置命令类型,若为命令集,则将命令集分解为命令,构造威胁处置子策略;若为命令,则将命令分解为指令,构造威胁处置子策略;若为指令,则确定处置对象,按照指令格式对指令的各部分内容进行填充,和/或,对指令中的动作列表的各字段进行指定,构造威胁处置子策略。
7.根据权利要求6所述的方法,其特征在于,所述命令集包括但不限于:
命令集ID、命令数量、命令、命令的选项中的任意一种或多种。
8.根据权利要求7所述的方法,其特征在于,判定处置命令类型,若为命令集,则命令集分解为命令,构造相应威胁处置子策略,进一步包括:
判断接收到的处置策略中处置命令中命令的选项,若选项为必选,则将相应命令作为处置命令分解后的命令之一;
若选项为非必选,则根据该命令对安全保障目标达成的贡献度、威胁处置区域的能力、威胁处置区域执行该命令的成本收益情况中的一个或多个判定是否将相应命令作为处置命令分解后的的命令之一;
根据所述分解后的命令,构造威胁处置子策略。
9.根据权利要求6所述的方法,其特征在于,所述命令包括:
命令ID、指令数量、指令、指令的执行时序、指令的时序要求中的任意一种或多种。
10.根据权利要求9所述的方法,其特征在于,判定处置命令类型,若为命令,则将命令分解为指令,构造威胁处置子策略,进一步包括:
根据命令类型,按照命令与指令的映射关系,将命令分解为指令;
根据所述分解后的指令,构造威胁处置子策略。
11.根据权利要求6所述的方法,其特征在于,所述指令包括:
指令ID、指令类型、指令执行主体、指令执行客体、动作列表、指令参数列表、结果验证方式中的任意一种或多种。
12.根据权利要求11所述的方法,其特征在于,判定处置命令类型,若为指令,则确定处置对象,按照指令格式对指令的各部分内容进行填充,和/或,对指令中的动作列表的各字段进行指定,构造威胁处置子策略,进一步包括:
根据攻击路径、处置对象能力、指令类型中的任意一种或多种,确定处置对象;
根据受攻击对象、攻击对象、威胁特征、处置区域中的任意一种或多种,按照指令格式对指令参数列表内容进行填充;
根据所述指令参数列表、指令与动作的映射关系中的任意一种或多种,将指令分解为动作,对动作参数列表进行填充,然后构造威胁处置子策略。
13.一种网络中的威胁处置策略分解系统,其特征在于,包括:
威胁处置区域确定模块,用于接收威胁处置策略,根据所述威胁处置策略、网络拓扑结构、威胁特征、资产特征中的任意一种或多种,确定威胁处置区域;
候选处置对象及其第二联动关系集合确定模块,用于根据威胁特征、处置对象能力、第一联动关系集合中的任意一种或多种,确定所述威胁处置区域的候选处置对象及其第二联动关系集合;
安全保障目标分解模块,用于根据安全保障目标分解映射关系、目标优先级、目标达成度、目标实现成本、可用资源中的任意一种或多种,对安全保障目标进行分解,得到所述威胁处置区域的安全保障子目标;
处置命令分解模块,用于根据所述候选处置对象及其第二联动关系集合、所述安全保障子目标、处置对象能力、威胁特征、处置成本、处置效果中的任意一种或多种,对所述威胁处置策略中的处置命令进行分解,和/或,确定处置对象。
14.一种电子设备,其特征在于,包括存储器和处理器,所述处理器和所述存储器通过总线完成相互间的通信;所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如权利要求1至12任一所述的方法。
15.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机程序,所述计算机程序使所述计算机执行如权利要求1至12任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811378048.0A CN109413088B (zh) | 2018-11-19 | 2018-11-19 | 一种网络中的威胁处置策略分解方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811378048.0A CN109413088B (zh) | 2018-11-19 | 2018-11-19 | 一种网络中的威胁处置策略分解方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109413088A true CN109413088A (zh) | 2019-03-01 |
| CN109413088B CN109413088B (zh) | 2020-08-04 |
Family
ID=65474142
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811378048.0A Active CN109413088B (zh) | 2018-11-19 | 2018-11-19 | 一种网络中的威胁处置策略分解方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109413088B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110266680A (zh) * | 2019-06-17 | 2019-09-20 | 辽宁大学 | 一种基于双重相似性度量的工业通信异常检测方法 |
| CN111917769A (zh) * | 2020-07-30 | 2020-11-10 | 中盈优创资讯科技有限公司 | 一种安全事件的自动处置方法、装置和电子设备 |
| WO2020248306A1 (zh) * | 2019-06-13 | 2020-12-17 | 中国科学院信息工程研究所 | 采集代理部署方法及装置 |
| CN112738114A (zh) * | 2020-12-31 | 2021-04-30 | 四川新网银行股份有限公司 | 一种网络安全策略的配置方法 |
| CN113935040A (zh) * | 2021-09-05 | 2022-01-14 | 广州赛度检测服务有限公司 | 一种基于大数据移动终端的信息安全测评系统及方法 |
| CN115225384A (zh) * | 2022-07-19 | 2022-10-21 | 天翼安全科技有限公司 | 一种网络威胁度评估方法、装置、电子设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1909488A (zh) * | 2006-08-30 | 2007-02-07 | 北京启明星辰信息技术有限公司 | 一种结合病毒检测与入侵检测的方法及系统 |
| CN101699815A (zh) * | 2009-10-30 | 2010-04-28 | 华南师范大学 | 一种网络攻击自动执行/展现的系统及方法 |
| CN104901960A (zh) * | 2015-05-26 | 2015-09-09 | 汉柏科技有限公司 | 一种基于告警策略的网络安全管理设备及方法 |
| CN106357637A (zh) * | 2016-09-13 | 2017-01-25 | 国家电网公司 | 一种针对智慧能源终端数据的主动防御系统 |
| US10091204B1 (en) * | 2013-12-31 | 2018-10-02 | EMC IP Holding Company LLC | Controlling user access to protected resource based on outcome of one-time passcode authentication token and predefined access policy |
-
2018
- 2018-11-19 CN CN201811378048.0A patent/CN109413088B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1909488A (zh) * | 2006-08-30 | 2007-02-07 | 北京启明星辰信息技术有限公司 | 一种结合病毒检测与入侵检测的方法及系统 |
| CN101699815A (zh) * | 2009-10-30 | 2010-04-28 | 华南师范大学 | 一种网络攻击自动执行/展现的系统及方法 |
| US10091204B1 (en) * | 2013-12-31 | 2018-10-02 | EMC IP Holding Company LLC | Controlling user access to protected resource based on outcome of one-time passcode authentication token and predefined access policy |
| CN104901960A (zh) * | 2015-05-26 | 2015-09-09 | 汉柏科技有限公司 | 一种基于告警策略的网络安全管理设备及方法 |
| CN106357637A (zh) * | 2016-09-13 | 2017-01-25 | 国家电网公司 | 一种针对智慧能源终端数据的主动防御系统 |
Non-Patent Citations (1)
| Title |
|---|
| 岳猛: "《面向云计算数据中心的协同式防御DOS攻击关键技术研究》", 《中国博士学位论文全文数据库信息科技辑》 * |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020248306A1 (zh) * | 2019-06-13 | 2020-12-17 | 中国科学院信息工程研究所 | 采集代理部署方法及装置 |
| CN110266680A (zh) * | 2019-06-17 | 2019-09-20 | 辽宁大学 | 一种基于双重相似性度量的工业通信异常检测方法 |
| CN110266680B (zh) * | 2019-06-17 | 2021-08-24 | 辽宁大学 | 一种基于双重相似性度量的工业通信异常检测方法 |
| CN111917769A (zh) * | 2020-07-30 | 2020-11-10 | 中盈优创资讯科技有限公司 | 一种安全事件的自动处置方法、装置和电子设备 |
| CN112738114A (zh) * | 2020-12-31 | 2021-04-30 | 四川新网银行股份有限公司 | 一种网络安全策略的配置方法 |
| CN112738114B (zh) * | 2020-12-31 | 2023-04-07 | 四川新网银行股份有限公司 | 一种网络安全策略的配置方法 |
| CN113935040A (zh) * | 2021-09-05 | 2022-01-14 | 广州赛度检测服务有限公司 | 一种基于大数据移动终端的信息安全测评系统及方法 |
| CN113935040B (zh) * | 2021-09-05 | 2023-08-01 | 深圳市蓝畅科技有限公司 | 一种基于大数据移动终端的信息安全测评系统及方法 |
| CN115225384A (zh) * | 2022-07-19 | 2022-10-21 | 天翼安全科技有限公司 | 一种网络威胁度评估方法、装置、电子设备及存储介质 |
| CN115225384B (zh) * | 2022-07-19 | 2024-01-23 | 天翼安全科技有限公司 | 一种网络威胁度评估方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109413088B (zh) | 2020-08-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109413088A (zh) | 一种网络中的威胁处置策略分解方法及系统 | |
| CN109698819B (zh) | 一种网络中的威胁处置管理方法及系统 | |
| US10055247B2 (en) | Method and system for enabling self-monitoring virtual assets to correlate external events with characteristic patterns associated with the virtual assets | |
| Yan et al. | Software-defined networking (SDN) and distributed denial of service (DDoS) attacks in cloud computing environments: A survey, some research issues, and challenges | |
| Jafarian et al. | Adversary-aware IP address randomization for proactive agility against sophisticated attackers | |
| Fan et al. | Honeydoc: an efficient honeypot architecture enabling all-round design | |
| CN104106094B (zh) | 在网络环境下使用本地策略应用进行云电子邮件消息扫描 | |
| US7150044B2 (en) | Secure self-organizing and self-provisioning anomalous event detection systems | |
| US20060212932A1 (en) | System and method for coordinating network incident response activities | |
| US20070180107A1 (en) | Security incident manager | |
| Shakil et al. | A novel dynamic framework to detect DDoS in SDN using metaheuristic clustering | |
| Ramaki et al. | A survey of IT early warning systems: architectures, challenges, and solutions | |
| Sahay et al. | Adaptive policy-driven attack mitigation in SDN | |
| Luiijf et al. | On the sharing of cyber security information | |
| TWI668987B (zh) | 基於目標式移動防護的主機防護系統及其方法 | |
| Verma et al. | A detailed survey of denial of service for IoT and multimedia systems: Past, present and futuristic development | |
| Toosarvandani et al. | The risk assessment and treatment approach in order to provide LAN security based on ISMS standard | |
| Vimal et al. | Enhance Software‐Defined Network Security with IoT for Strengthen the Encryption of Information Access Control | |
| Chen et al. | Effective allied network security system based on designed scheme with conditional legitimate probability against distributed network attacks and intrusions | |
| Ayodele et al. | SDN as a defence mechanism: a comprehensive survey | |
| Babatope et al. | Strategic sensor placement for intrusion detection in network-based IDS | |
| Thatha et al. | Security and risk analysis in the cloud with software defined networking architecture. | |
| Ali et al. | Byod cyber forensic eco-system | |
| Repetto et al. | Leveraging the 5G architecture to mitigate amplification attacks | |
| Giacobe | Data fusion in cyber security: first order entity extraction from common cyber data |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |