CN109995794B - 一种安全防护系统、方法、设备及存储介质 - Google Patents
一种安全防护系统、方法、设备及存储介质 Download PDFInfo
- Publication number
- CN109995794B CN109995794B CN201910300103.2A CN201910300103A CN109995794B CN 109995794 B CN109995794 B CN 109995794B CN 201910300103 A CN201910300103 A CN 201910300103A CN 109995794 B CN109995794 B CN 109995794B
- Authority
- CN
- China
- Prior art keywords
- micro
- information
- security
- risk
- host
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 85
- 238000002955 isolation Methods 0.000 claims abstract description 113
- 230000008859 change Effects 0.000 claims abstract description 75
- 238000012544 monitoring process Methods 0.000 claims abstract description 65
- 230000008569 process Effects 0.000 claims description 53
- 230000006399 behavior Effects 0.000 claims description 17
- 238000001514 detection method Methods 0.000 claims description 15
- 238000004590 computer program Methods 0.000 claims description 10
- 230000009471 action Effects 0.000 claims description 9
- 230000002265 prevention Effects 0.000 claims description 9
- 230000007123 defense Effects 0.000 description 19
- 241000700605 Viruses Species 0.000 description 7
- 230000002159 abnormal effect Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 5
- 238000012423 maintenance Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000007704 transition Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 238000004883 computer application Methods 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000009792 diffusion process Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
- 230000007480 spreading Effects 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
- 238000007794 visualization technique Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种安全防护系统,该系统包括微隔离管理设备、安全资源池和安装于业务系统的主机上的微隔离终端代理;微隔离终端代理监测主机的风险状态,获得风险监测信息,并将风险监测信息上报给微隔离管理设备;微隔离管理设备读取微隔离终端代理的心跳信息,根据风险监测信息和心跳信息,确定变化信息,将变化信息上报给安全资源池;安全资源池根据变化信息调整安全防护策略,并下发给相应的网络安全设备。应用本发明实施例所提供的技术方案,网络安全设备和主机中的微隔离终端协同工作,可以有效地对主机进行安全防护。本发明还公开了一种安全防护方法、一种微隔离管理设备、一种计算机可读存储介质,具有相应技术效果。
Description
技术领域
本发明涉及计算机应用技术领域,特别是涉及一种安全防护系统、方法、设备及存储介质。
背景技术
随着互联网技术的快速发展,各企事业单位的业务系统使用互联网的频率越来越高,面临的各种网络攻击也越来越多,如暴库、勒索病毒、0-day等。受到攻击的业务系统主要是由于安全防护能力不强,或者其操作系统或应用本身存在安全漏洞,使攻击者有机可乘。
目前,安全防护手段主要有两种:一种是通过硬件防火墙防护,一种是通过网络安全设备防护。
其中,通过硬件防火墙防护,是将硬件防火墙部署在物理网络的出口,使之对出入的流量进行清洗,一旦发现有攻击流量,则进行拦截并记录日志,给运维人员分析,此方法对运维人员的技术要求较高,需要运维人员能够分析日志并针对当前网络配置合理的安全防护策略,如果运维人员能力不足,基于其所制定的安全防护策略可能无法进行有效防护。
通过网络安全设备防护,主要是将流量包内容和网络安全设备的规则进行深度匹配,达到防护的作用。每个网络安全设备有各自的优势,例如,防火墙能够防DoS(Denial ofService,拒绝服务)攻击、上网行为管理设备能够对上网动作行为管控、web应用防护设备(Web Application Firewall,WAF)能够保护Web安全、入侵防御检测设备(IntrusionPrevention System,IPS)能够进行僵尸网络等主机防护,等等。这些网络安全设备,每个都有着自己的独特的优势,但每个安全设备也都有着自身的不足,比如漏判、误判等。单一的网络安全设备无法进行有效防护。
综上所述,如何对业务系统进行有效的安全防护,是目前本领域技术人员急需解决的问题。
发明内容
本发明的目的是提供一种安全防护系统、方法、设备及存储介质,以对业务系统进行有效防护。
为解决上述技术问题,本发明提供如下技术方案:
一种安全防护系统,包括微隔离管理设备、安全资源池和安装于业务系统的主机上的微隔离终端代理,所述安全资源池中包括至少一种网络安全设备;其中:
所述微隔离终端代理,用于监测所述主机的风险状态,获得风险监测信息,并将所述风险监测信息上报给所述微隔离管理设备;
所述微隔离管理设备,用于接收所述微隔离终端代理上报的所述风险监测信息,读取所述微隔离终端代理的心跳信息,根据所述风险监测信息和所述心跳信息,确定变化信息,将所述变化信息上报给所述安全资源池;
所述安全资源池,用于根据所述变化信息调整安全防护策略,并将调整后的安全防护策略下发给相应的网络安全设备。
在本发明的一种具体实施方式中,所述风险监测信息包括风险进程信息和主机风险级别信息。
在本发明的一种具体实施方式中,
所述微隔离终端代理,具体用于监测所述主机的风险状态,根据所述主机中运行的进程的动作,确定风险进程和主机风险级别,获得所述风险进程信息和所述主机风险级别信息。
在本发明的一种具体实施方式中,
所述安全资源池,还用于输出展示所述风险进程信息,以使用户基于所述风险进程信息进行防护配置。
在本发明的一种具体实施方式中,
所述安全资源池,还用于获得用户的配置策略,并具体用于根据所述变化信息和所述配置策略,调整安全防护策略。
在本发明的一种具体实施方式中,所述安全资源池中包括以下一种或多种网络安全设备:
防火墙、上网行为管理设备、入侵防御检测设备、web应用防护设备、SSLVPN防护设备、堡垒机。
一种安全防护方法,应用于安全防护系统中的微隔离管理设备,所述安全防护系统还包括安全资源池和安装于业务系统的主机上的微隔离终端代理,所述安全资源池中包括至少一种网络安全设备;所述方法包括:
获得所述微隔离终端代理上报的风险监测信息;所述风险监测信息为所述微隔离终端代理监测所述主机的风险状态获得的;
根据所述风险监测信息,确定变化信息;
将所述变化信息上报给所述安全资源池,以使所述安全资源池根据所述变化信息调整安全防护策略,并将调整后的安全防护策略下发给相应的网络安全设备。
在本发明的一种具体实施方式中,还包括:
读取所述微隔离终端代理的心跳信息;
所述根据所述风险监测信息,确定变化信息,包括:
根据所述风险监测信息和所述心跳信息,确定变化信息。
一种微隔离管理设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现上述安全防护方法的步骤。
一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述安全防护方法的步骤。
应用本发明实施例所提供的技术方案,微隔离终端代理监测主机的风险状态,获得风险监测信息,将风险监测信息上报给微隔离管理设备,微隔离管理设备根据风险监测信息和读取的微隔离终端代理的心跳信息,确定变化信息,将变化信息上报给安全资源池,安全资源池根据变化信息进行安全防护策略的自动调整,并下发给相应的网络安全设备,以使各网络安全设备基于相应的安全防护策略对主机进行安全防护。通过安全资源池中的网络安全设备的网络安全防御能力和主机中的微隔离终端的防御能力以及检测能力,协同工作,可以有效地对主机进行安全防护。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中一种安全防护系统的结构示意图;
图2为本发明实施例中一种安全防护系统的整体框架图;
图3为本发明实施例中一种安全防护方法的实施流程图;
图4为本发明实施例中一种微隔离管理设备的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面结合附图和具体实施方式对本发明作进一步的详细说明。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参见图1所示,为本发明实施例所提供的一种安全防护系统的结构示意图,该安全防护系统可以包括微隔离管理设备120、安全资源池130和安装于业务系统的主机上的微隔离终端代理110,安全资源池130中包括至少一种网络安全设备。
其中,微隔离终端代理110,用于监测主机的风险状态,获得风险监测信息,并将风险监测信息上报给微隔离管理设备120;
微隔离管理设备120,用于接收微隔离终端代理110上报的风险监测信息,读取微隔离终端代理110的心跳信息,根据风险监测信息和心跳信息,确定变化信息,将变化信息上报给安全资源池130;
安全资源池130,用于根据变化信息调整安全防护策略,并将调整后的安全防护策略下发给相应的网络安全设备。
在本发明实施例中,业务系统可以包括一台或多台服务器,每台服务器运行了如网站等服务,每台服务器也可称为主机。本发明实施例是以业务系统的一个主机的角度对方案进行的描述。
在业务系统的主机上可以安装微隔离终端代理。所谓微隔离(MicroIsolation),是一种更细粒度的网络隔离技术,主要面向虚拟化的数据中心,重点用于阻止攻击在进入企业数据中心网络内部后的横向平移,或者叫东西向移动,是软件定义安全的一种具体实践。流可见技术(注意:不是可视化技术)则与微隔离技术伴生,因为要实现东西向网络流的隔离和控制,必先实现流的可见性(Visibility)。流可见性技术使得安全运维与管理人员可以看到内部网络信息流动的情况,使得微隔离能够更好地设置策略并协助纠偏。
微隔离管理设备可以部署于安全资源池中,与微隔离终端代理通信连接,也可以单独部署,分别与微隔离终端代理和安全资源池通信连接。安全资源池(Cloud SecurityService Platform,CSSP)的整个理念是以保护用户资产和业务为核心,服务将持续在整个用户的资产和业务生命周期内,以保证用户得到不是一堆安全产品,而是得到真实可靠的安全防护能力,和持续不断的提升用户资产和业务的安全防护能力。
如图1所示,安全资源池包括至少一种网络安全设备,如包括以下一种或多种网络安全设备:防火墙、上网行为管理设备、入侵防御检测设备、web应用防护设备、SSL(SecureSockets Layer安全套接层)VPN(Virtual PrivateNetwork,虚拟专用网络)防护设备、堡垒机。其中,防火墙,如下一代防火墙等,主要进行服务器网络攻击和客户端僵尸网络防护等,上网行为管理设备则对客户端上网行为以及动作进行管控,入侵防御检测设备主要做入侵防御监测,web应用防护用于防护如门户网站等对外公布网站安全,SSL VPN防护设备和堡垒机用于发布内网业务。
微隔离终端代理可以监测主机的风险状态,获得风险监测信息。风险监测信息可以包括风险进程信息和主机风险级别信息。微隔离终端代理监测主机的风险状态,可以根据主机中运行的进程的动作,确定风险进程和主机风险级别,获得风险进程信息和主机风险级别信息。
微隔离终端代理在监测主机的风险状态时,可以获得主机中运行的进程的信息。在实际应用中,可以预先设定风险进程判定标准,将主机中运行的进程的动作与风险进程判定标准进行比较,如果主机中运行的进程的动作符合风险进程判定标准,则可以将相应的进程确定为风险进程。风险进程判定标准可以人为根据实际情况和先验知识设定,还可以基于从互联网中获取到的风险信息进行设定。
在实际应用中,还可以设定主机风险级别判定规则。如下表1所示:
表1
这里的终端即为微隔离终端,具体为安装在主机上的防御软件等,微隔离终端代理可以通过微隔离终端监测主机的风险状态。
基于上表,微隔离终端代理在监测主机的风险状态时,满足下列任意一项即可认定主机风险级别为高危级别:
(1)检测到主机上有恶意程序,并且恶意程序已经运行。如果恶意程序的进程已运行,则非常大可能对业系统造成影响,例如记录终端超级管理原密码、非法加密文件等;
(2)检测到主机上的进程对外发送了恶意流量,如病毒扩散等;
(3)终端异常停止,无法正常运行,目前市场上有部分恶意病毒会杀死主机的防御软件,破坏业务系统的安全防御功能,然后再肆无忌惮的进行破坏,该场景最为严重。
在满足下列任意一项时,可认定主机风险级别为中危级别,即表1中的警示一列:
(1)检测到恶意程序文件,但是该恶意程序并未运行,而且也没有对外发送异常流量;
(2)判定为潜伏病毒,在某个特定条件或特定时间运行。
在满足下列任意一项时,可认定主机风险级别为安全级别:
未检测到恶意程序文件,终端运行正常。
微隔离终端代理获得风险监测信息后,可以将风险监测信息上报给微隔离管理设备。
微隔离管理设备可以接收微隔离终端代理上报的风险监测信息,读取微隔离终端代理的心跳信息,根据风险监测信息和心跳信息,可以确定变化信息。在本发明实施例中,变化信息可以是微隔离终端代理的心跳信息的变化,还可以是风险监测信息的变化。即变化信息包括心跳信息的变化信息和/或风险监测信息的变化信息。
微隔离管理设备确定变化信息后,可以将变化信息上报给安全资源池。具体的,可以通过RESTful(Representational State Transfer,REST,表述性状态转移,如果一个架构符合REST的约束条件和原则,就称为RESTful架构)api(Application ProgrammingInterface,应用程序编程接口)接口发送给安全资源池。
安全资源池接收到变化信息后,可以将变化信息存入数据库,根据变化信息可以进行安全防护策略的调整。具体的,安全资源池可以根据变化信息,确定涉及到的网络安全防护设备,调整相应的网络安全防护设备的安全防护策略。如防火墙对应防火墙策略,上网行为管理设备对应上网行为管理策略,入侵防御检测设备对应入侵防御检测策略,web应用防护设备对应web应用防护策略,VPN防护设备对应VPN发布业务策略,堡垒机对应堡垒机运维策略等。然后将调整后的安全防护策略下发给相应的网络安全设备,以使各网络安全设备基于相应的安全防护策略对主机进行安全防护。
如图1所示,互联网发往主机的流量通过路由器经由eth接口将先经过安全资源池中各网络安全设备的清洗,才会到达安装有微隔离终端代理的主机,微隔离终端代理向微隔离管理设备上报各种信息,微隔离管理设备再将相应的变化信息上报给安全资源池,安全资源池进行安全防护策略的调整,下发相应的网络安全设备,各网络安全设备基于新的安全防护策略进行防护。实现终端与网络安全设备的协同防御,有效对主机进行防护。
举例而言,主机一开始是安全的,在某一天被感染了病毒或者已被攻陷,主机风险级别变高,微隔离终端代理通过微隔离管理设备主动将变化信息上报给安全资源池,安全资源池确定涉及的网络安全防护设备为防火墙和上网行为管理设备,根据变化信息自动调整防火墙和上网行为管理设备对应的安全防护策略,然后将调整后的安全防护策略下发给相应的网络安全设备,网络安全设备针对新的安全防护策略进行防护。当用户进行杀毒后,主机恢复安全状态,微隔离终端代理通过微隔离管理设备通知安全资源池,安全资源池自动调整安全防护策略并下发到相应的网络安全设备,网络安全设备再次根据新的安全防护策略防护。这个过程应用了两次本发明实施例所提供的技术方案。
应用本发明实施例所提供的系统,微隔离终端代理监测主机的风险状态,获得风险监测信息,将风险监测信息上报给微隔离管理设备,微隔离管理设备根据风险监测信息和读取的微隔离终端代理的心跳信息,确定变化信息,将变化信息上报给安全资源池,安全资源池根据变化信息进行安全防护策略的自动调整,并下发给相应的网络安全设备,以使各网络安全设备基于相应的安全防护策略对主机进行安全防护。通过安全资源池中的网络安全设备的网络安全防御能力和主机中的微隔离终端的防御能力以及检测能力,协同工作,可以有效地对主机进行安全防护。
在本发明的一个实施例中,安全资源池可以输出展示风险进程信息,以使用户基于风险进程信息进行防护配置。
安全资源池接收到来自微隔离管理设备的变化信息后,可以从变化信息中提取风险进程信息,将风险进程信息输出展示给用户,如通过用户界面UI输出展示。风险进程信息可以包括进程名称、路径、进程风险级别等信息。用户基于风险进程进行可以进行防护配置。例如,用户可以配置在全网拦截该进程数据库、或禁止该进程的所有上网行为、或分析该进程的上网行为动作并记录分析等策略,进行提前防御。
在本发明的一个实施例中,安全资源池还可以获得用户的配置策略,并根据变化信息和配置策略,调整安全防护策略。
在本发明实施例中,安全资源池可以为用户提供策略配置接口,用户通过该策略配置接口提前配置或者调整防御策略。例如:配置高风险主机自动拦截、已攻陷主机自动拦截,配置防火墙+终端协同防御策略(终端异常离线拦截、业务系统风险级别动态拦截、恶意进程拦截等),上网行为管理设备+终端协同防御策略(终端异常时业务系统上网拦截、业务系统风险上网管理、恶意程序上网管理等),web应用防护设备+终端协同防御策略(终端异常web业务拦截、业务系统异常web进程交互拦截等),入侵防御检测设备+终端协同防御策略(终端异常进程外发流量拦截、僵尸网络拦截等),SSL VPN+终端协同防御策略(VPN发布业务风险监测),堡垒机+终端协同防御策略(运维业务系统终端异常检测、业务系统风险程度认证等)。
用户的配置策略可以在安全资源池端管理生成并自动适配。在初始阶段,安全资源池可以基于用户的配置策略生成多个安全防护策略,并分别下发给各个网络安全设备。在获得微隔离管理设备上报的变化信息时,或者用户的配置策略有调整时,可以根据变化信息和用户的配置策略,自适应调整安全防护策略,并下发相应的网络安全设备,以使各网络安全设备基于新的安全防护策略进行防护。
图2所示为本发明实施例所提供的安全防护系统的整体框架图,安全资源池为用户提供用户界面UI,以便接收用户的配置策略,基于用户的配置策略和数据库DB中存储的微隔离管理设备上报的变化信息,进行策略配置,调整安全防护策略,并将安全防护策略,即图2中的安全策略下发给相应的网络安全设备,如防火墙、上网行为管理设备、入侵防御检测设备等,各网络安全设备在工作过程中,可以将防护日志上报给安全资源池。微隔离终端代理和微隔离管理设备基于与安全资源池的关联策略进行相关信息的上报,及日志的上报。关联策略是指微隔离终端、微隔离管理设备、安全资源池之间的一些关联的策略和联动信息之类的策略。其中,kernel module为内核模块,IPC为Inter-Process Communication,进程间通信。
在本发明实施例中,微隔离终端代理将对主机的风险识别情况和微隔离终端的情况信息实时通过微隔离管理设备反馈给安全资源池,安全资源池结合网络安全设备的功能,动态进行安全防护策略的调整,提前防护未知网络安全风险,有效防止已感染的病毒扩散。
相应于上面的系统实施例,本发明实施例还提供了一种安全防护方法,应用于安全防护系统中的微隔离管理设备,安全防护系统还包括安全资源池和安装于业务系统的主机上的微隔离终端代理,安全资源池中包括至少一种网络安全设备;下文描述的一种安全防护方法与上文描述的一种安全防护系统可相互对应参照。
参见图3所示,该方法包括:
S310:接收微隔离终端代理上报的风险监测信息;风险监测信息为微隔离终端代理监测主机的风险状态获得的;
S320:根据风险监测信息,确定变化信息;
S330:将变化信息上报给安全资源池,以使安全资源池根据变化信息调整安全防护策略,并将调整后的安全防护策略下发给相应的网络安全设备。
在本发明实施例中,微隔离终端代理可以监测主机的风险状态,获得风险监测信息。风险监测信息可以包括风险进程信息和主机风险级别信息。微隔离终端代理监测主机的风险状态,可以根据主机中运行的进程的动作,确定风险进程和主机风险级别,获得风险进程信息和主机风险级别信息。
微隔离终端代理在监测主机的风险状态时,可以获得主机中运行的进程的信息。在实际应用中,可以预先设定风险进程判定标准,将主机中运行的进程的动作与风险进程判定标准进行比较,如果主机中运行的进程的动作符合风险进程判定标准,则可以将相应的进程确定为风险进程。风险进程判定标准可以人为根据实际情况和先验知识设定,还可以基于从互联网中获取到的风险信息进行设定。
微隔离终端代理获得风险监测信息后,可以将风险监测信息上报给微隔离管理设备。
微隔离管理设备可以接收微隔离终端代理上报的风险监测信息,根据风险监测信息,确定变化信息。还可以进一步读取微隔离终端代理的心跳信息,进而根据风险监测信息和心跳信息,可以确定变化信息。在本发明实施例中,变化信息可以是微隔离终端代理的心跳信息的变化,还可以是风险监测信息的变化。即变化信息包括心跳信息的变化信息和/或风险监测信息的变化信息。
微隔离管理设备确定变化信息后,可以将变化信息上报给安全资源池。具体的,可以通过RESTful(Representational State Transfer,REST,表述性状态转移,如果一个架构符合REST的约束条件和原则,就称为RESTful架构)api(Application ProgrammingInterface,应用程序编程接口)接口发送给安全资源池。
安全资源池接收到变化信息后,可以将变化信息存入数据库,根据变化信息可以进行安全防护策略的调整。具体的,安全资源池可以根据变化信息,确定涉及到的网络安全防护设备,调整相应的网络安全防护设备的安全防护策略。如防火墙对应防火墙策略,上网行为管理设备对应上网行为管理策略,入侵防御检测设备对应入侵防御检测策略,web应用防护设备对应web应用防护策略,VPN防护设备对应VPN发布业务策略,堡垒机对应堡垒机运维策略等。然后将调整后的安全防护策略下发给相应的网络安全设备,以使各网络安全设备基于相应的安全防护策略对主机进行安全防护。
应用本发明实施例所提供的方法,微隔离终端代理监测主机的风险状态,获得风险监测信息,将风险监测信息上报给微隔离管理设备,微隔离管理设备根据风险监测信息和读取的微隔离终端代理的心跳信息,确定变化信息,将变化信息上报给安全资源池,安全资源池根据变化信息进行安全防护策略的自动调整,并下发给相应的网络安全设备,以使各网络安全设备基于相应的安全防护策略对主机进行安全防护。通过安全资源池中的网络安全设备的网络安全防御能力和主机中的微隔离终端的防御能力以及检测能力,协同工作,可以有效地对主机进行安全防护。
相应于上面的方法实施例,本发明实施例还提供了一种微隔离管理设备,如图4所示,该设备包括:
存储器410,用于存储计算机程序;
处理器420,用于执行计算机程序时实现上述安全防护方法的步骤。
相应于上面的方法实施例,本发明实施例还提供了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述安全防护方法的步骤。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的技术方案及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。
Claims (10)
1.一种安全防护系统,其特征在于,包括微隔离管理设备、安全资源池和安装于业务系统的主机上的微隔离终端代理,所述安全资源池中包括至少一种网络安全设备;其中:
所述微隔离终端代理,用于监测所述主机的风险状态,获得风险监测信息,并将所述风险监测信息上报给所述微隔离管理设备;
所述微隔离管理设备,用于接收所述微隔离终端代理上报的所述风险监测信息,读取所述微隔离终端代理的心跳信息,根据所述风险监测信息和所述心跳信息,确定变化信息,将所述变化信息上报给所述安全资源池;
所述安全资源池,用于根据所述变化信息调整安全防护策略,并将调整后的安全防护策略下发给相应的网络安全设备。
2.根据权利要求1所述的系统,其特征在于,所述风险监测信息包括风险进程信息和主机风险级别信息。
3.根据权利要求2所述的系统,其特征在于,
所述微隔离终端代理,具体用于监测所述主机的风险状态,根据所述主机中运行的进程的动作,确定风险进程和主机风险级别,获得所述风险进程信息和所述主机风险级别信息。
4.根据权利要求2所述的系统,其特征在于,
所述安全资源池,还用于输出展示所述风险进程信息,以使用户基于所述风险进程信息进行防护配置。
5.根据权利要求1所述的系统,其特征在于,
所述安全资源池,还用于获得用户的配置策略,并具体用于根据所述变化信息和所述配置策略,调整安全防护策略。
6.根据权利要求1至5之中任一项所述的系统,其特征在于,所述安全资源池中包括以下一种或多种网络安全设备:
防火墙、上网行为管理设备、入侵防御检测设备、web应用防护设备、SSL VPN防护设备、堡垒机。
7.一种安全防护方法,其特征在于,应用于安全防护系统中的微隔离管理设备,所述安全防护系统还包括安全资源池和安装于业务系统的主机上的微隔离终端代理,所述安全资源池中包括至少一种网络安全设备;所述方法包括:
获得所述微隔离终端代理上报的风险监测信息;所述风险监测信息为所述微隔离终端代理监测所述主机的风险状态获得的;
根据所述风险监测信息,确定变化信息;
将所述变化信息上报给所述安全资源池,以使所述安全资源池根据所述变化信息调整安全防护策略,并将调整后的安全防护策略下发给相应的网络安全设备。
8.根据权利要求7所述的方法,其特征在于,还包括:
读取所述微隔离终端代理的心跳信息;
所述根据所述风险监测信息,确定变化信息,包括:
根据所述风险监测信息和所述心跳信息,确定变化信息。
9.一种微隔离管理设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求7、8所述安全防护方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求7、8所述安全防护方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910300103.2A CN109995794B (zh) | 2019-04-15 | 2019-04-15 | 一种安全防护系统、方法、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910300103.2A CN109995794B (zh) | 2019-04-15 | 2019-04-15 | 一种安全防护系统、方法、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109995794A CN109995794A (zh) | 2019-07-09 |
| CN109995794B true CN109995794B (zh) | 2021-09-17 |
Family
ID=67133609
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910300103.2A Active CN109995794B (zh) | 2019-04-15 | 2019-04-15 | 一种安全防护系统、方法、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109995794B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112422486B (zh) * | 2019-08-23 | 2022-12-06 | 上海云盾信息技术有限公司 | 一种基于sdk的安全防护方法及设备 |
| CN110890979B (zh) * | 2019-11-14 | 2023-10-31 | 光通天下网络科技股份有限公司 | 堡垒机自动部署方法、装置、设备及介质 |
| CN111083114B (zh) * | 2019-11-19 | 2021-09-24 | 宏图智能物流股份有限公司 | 一种物流仓库网络安全系统及构建方法 |
| CN111277604B (zh) * | 2020-01-19 | 2022-04-22 | 牡丹江医学院 | 基于mpi和ip跟踪的堡垒主机防火墙的安全事件预警方法 |
| CN114697052B (zh) * | 2020-12-25 | 2023-10-27 | 北京国双千里科技有限公司 | 网络防护方法及装置 |
| CN113139193A (zh) * | 2021-04-23 | 2021-07-20 | 杭州安恒信息技术股份有限公司 | 一种反弹shell风险判定方法、装置和系统 |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8504504B2 (en) * | 2008-09-26 | 2013-08-06 | Oracle America, Inc. | System and method for distributed denial of service identification and prevention |
| CN101414927B (zh) * | 2008-11-20 | 2011-05-11 | 浙江大学 | 用于内网网络攻击检测的报警和响应系统 |
| CN101582883B (zh) * | 2009-06-26 | 2012-05-09 | 西安电子科技大学 | 通用网络安全管理系统及其管理方法 |
| CN101938460B (zh) * | 2010-06-22 | 2014-04-09 | 北京中兴网安科技有限公司 | 全程全网安全协同防御系统的协同防御方法 |
| CN103281333B (zh) * | 2013-06-17 | 2016-12-28 | 山石网科通信技术有限公司 | 数据流的转发方法及装置 |
| CN104753952A (zh) * | 2015-04-13 | 2015-07-01 | 成都双奥阳科技有限公司 | 基于虚拟机业务数据流的入侵检测分析系统 |
| CN104901838B (zh) * | 2015-06-23 | 2018-04-20 | 中国电建集团成都勘测设计研究院有限公司 | 企业网络安全事件管理系统及其方法 |
| CN105391687A (zh) * | 2015-10-13 | 2016-03-09 | 南京联成科技发展有限公司 | 一种向中小企业提供信息安全运维服务的系统与方法 |
| CN105491063A (zh) * | 2015-12-30 | 2016-04-13 | 深圳市深信服电子科技有限公司 | 防御网络入侵的方法及装置 |
| CN106790023B (zh) * | 2016-12-14 | 2019-03-01 | 平安科技(深圳)有限公司 | 网络安全联合防御方法和装置 |
| CN108574676A (zh) * | 2017-03-13 | 2018-09-25 | 北京格勤科技有限公司 | 网络安全共享服务一体机 |
| CN107347067B (zh) * | 2017-07-07 | 2021-06-04 | 深信服科技股份有限公司 | 一种网络风险监控方法、系统及安全网络系统 |
| CN108156135A (zh) * | 2017-12-05 | 2018-06-12 | 北京控制与电子技术研究所 | 一种涉密网信息泄密风险监测方法 |
| CN108449345B (zh) * | 2018-03-22 | 2022-01-18 | 深信服科技股份有限公司 | 一种网络资产持续安全监控方法、系统、设备及存储介质 |
-
2019
- 2019-04-15 CN CN201910300103.2A patent/CN109995794B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN109995794A (zh) | 2019-07-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109995794B (zh) | 一种安全防护系统、方法、设备及存储介质 | |
| Amara et al. | Cloud computing security threats and attacks with their mitigation techniques | |
| US11265347B2 (en) | Automated testing of network security policies against a desired set of security controls | |
| AU2003222180B2 (en) | System and method for detecting an infective element in a network environment | |
| CN106713216B (zh) | 流量的处理方法、装置及系统 | |
| US20060282893A1 (en) | Network information security zone joint defense system | |
| Householder et al. | Managing the threat of denial-of-service attacks | |
| WO2005038598A2 (en) | Policy-based network security management | |
| US9306957B2 (en) | Proactive security system for distributed computer networks | |
| US11856008B2 (en) | Facilitating identification of compromised devices by network access control (NAC) or unified threat management (UTM) security services by leveraging context from an endpoint detection and response (EDR) agent | |
| Schneider | The state of network security | |
| Lindemann | Towards abuse detection and prevention in IaaS cloud computing | |
| Shaar et al. | DDoS attacks and impacts on various cloud computing components | |
| Araújo et al. | EICIDS-elastic and internal cloud-based detection system | |
| Devi et al. | Cloud-based DDoS attack detection and defence system using statistical approach | |
| Sahu et al. | DDoS attacks & mitigation techniques in cloud computing environments | |
| Saadi et al. | A new approach to mitigate security threats in cloud environment | |
| Oktivasari et al. | Analysis of effectiveness of iptables on web server from slowloris attack | |
| KR20190007697A (ko) | 네트워크 대역폭을 기반으로 한 시계열 이상행위 탐지 시스템 | |
| Petcu et al. | Security risks of cloud computing services from the new cybernetics’ threats perspective | |
| EP3595257B1 (en) | Detecting suspicious sources, e.g. for configuring a distributed denial of service mitigation device | |
| Maciel et al. | Impact assessment of multi-threats in computer systems using attack tree modeling | |
| Prathyusha et al. | A study on cloud security issues | |
| Hasegawa et al. | A countermeasure recommendation system against targeted attacks with preserving continuity of internal networks | |
| Leelavathy | A Secure Methodology to Detect and Prevent Ddos and Sql Injection Attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: A security protection system, method, equipment, and storage medium Effective date of registration: 20231212 Granted publication date: 20210917 Pledgee: Shenzhen Branch of China Merchants Bank Co.,Ltd. Pledgor: SANGFOR TECHNOLOGIES Inc. Registration number: Y2023980070863 |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right |