CN111756692B - 一种网络安全防护方法及系统 - Google Patents

一种网络安全防护方法及系统 Download PDF

Info

Publication number
CN111756692B
CN111756692B CN202010427084.2A CN202010427084A CN111756692B CN 111756692 B CN111756692 B CN 111756692B CN 202010427084 A CN202010427084 A CN 202010427084A CN 111756692 B CN111756692 B CN 111756692B
Authority
CN
China
Prior art keywords
security
result
threat
safety
disposal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010427084.2A
Other languages
English (en)
Other versions
CN111756692A (zh
Inventor
李凤华
张玲翠
郭云川
耿魁
房梁
李晖
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Institute of Information Engineering of CAS
Original Assignee
Institute of Information Engineering of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute of Information Engineering of CAS filed Critical Institute of Information Engineering of CAS
Priority to CN202010427084.2A priority Critical patent/CN111756692B/zh
Publication of CN111756692A publication Critical patent/CN111756692A/zh
Application granted granted Critical
Publication of CN111756692B publication Critical patent/CN111756692B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Alarm Systems (AREA)

Abstract

本发明实施例提供一种网络安全防护方法及系统,其中方法包括:基于安全防护需求、融合分析结果、安全服务编排预案、威胁处置信息、安全态势信息、威胁处置结果、编排执行结果、处置研判结果以及态势研判结果中的至少一种,确定安全服务能力编排结果;将所述安全服务能力编排结果分解下发至安全管理与处置指挥单元,以供所述安全管理与处置指挥单元基于所述安全服务能力编排结果确定安全服务能力编排指令并下发至网络安全对象。本发明实施例提供的方法及系统,使得网络安全防护系统各组成单元互为一体、有机融合、相互协同、形成闭环,系统联动性强,能够按需配置防护资源和精准及时处置网络威胁。

Description

一种网络安全防护方法及系统
技术领域
本发明涉及网络安全技术领域,具体涉及一种网络安全防护方法及系统。
背景技术
随着安全防护需求不断变化和网络攻击技术不断演进,安全防护技术也必须不断迭代。为了有效地应对安全威胁,必须从宏观全局上洞悉网络的整体安全风险,并针对全局安全威胁和局部安全威胁,动态调配差异化的安全防护资源对威胁进行处置,避免威胁“跃出局部,延至全网”甚至导致网络瘫痪的后果。
现有的网络安全防护系统根据功能定位不同,可能包括软件定义安全单元、安全态势分析单元、威胁处置指挥单元等部分。其中,安全态势分析单元从宏观上评估并预测网络安全风险;软件定义安全单元通过软件编程方式实现安全业务编排和管理;威胁处置指挥单元对威胁进行响应。但是,现有网络安全防护系统中的各个单元相互独立、各自为政、缺乏协同、未能形成闭环,不能成为有机整体,存在系统联动性差的问题。此外,现有技术中的威胁处置效果验证方式单一:由威胁处置指挥单元对威胁处置效果进行验证,其验证主体和验证方式单一,不能保障效果验证的准确性和客观性,从而不能从根源上确保威胁处置措施的准确性。
例如,专利CN 109698819 A存在以下三方面问题:①威胁处置管理系统只能接收来自威胁检测系统的具体威胁报警后才能进行威胁处置,无法根据安全态势信息对设备进行调度;②威胁处置管理系统不能接受安全编排结果,只能实现与其所管辖设备的联动;③仅由威胁处置管理系统对威胁处置效果进行单源验证,其验证主体单一,缺乏双系统双重验证机制。该专利只能做到局部优化。
发明内容
本发明实施例提供一种网络安全防护方法及系统,用以解决现有的网络安全防护系统中各单元不能成为有机整体,系统联动性差的问题。
第一方面,本发明实施例提供一种网络安全防护方法,包括:
基于安全防护需求、融合分析结果、安全服务编排预案、威胁处置信息、安全态势信息、威胁处置结果、编排执行结果、处置研判结果以及态势研判结果中的至少一种,确定安全服务能力编排结果;
将所述安全服务能力编排结果分解下发至安全管理与处置指挥单元,以供所述安全管理与处置指挥单元基于所述安全服务能力编排结果确定安全服务能力编排指令并下发至网络安全对象。
可选地,所述融合分析结果包含第一融合分析结果和/或第二融合分析结果;
其中,所述第一融合分析结果是安全态势分析单元基于安全数据、所述威胁处置结果和所述处置研判结果中的至少一种确定的;
所述第二融合分析结果是所述安全管理与处置指挥单元基于威胁报警信息、威胁预警信息、所述安全服务能力编排结果、所述威胁处置结果和态势综合分析结果中的至少一种确定的;
所述态势综合分析结果是所述安全态势分析单元基于所述安全数据和/或所述威胁处置结果确定的。
可选地,所述基于安全防护需求、融合分析结果、安全服务编排预案、威胁处置信息、安全态势信息、威胁处置结果、编排执行结果、处置研判结果以及态势研判结果中的至少一种,确定安全服务能力编排结果,之前还包括:
基于所述第一融合分析结果和所述第二融合分析结果,确定验证结果。
可选地,所述基于所述第一融合分析结果和所述第二融合分析结果,确定验证结果,具体包括:
对所述第一融合分析结果和所述第二融合分析结果进行安全指标值一致性验证和/或融合分析结果一致性验证。
可选地,所述基于所述第一融合分析结果和所述第二融合分析结果,确定验证结果,之前还包括:
对所述第一融合分析结果和所述第二融合分析结果进行安全指标映射和/或安全指标量纲映射。
可选地,所述基于安全防护需求、融合分析结果、安全服务编排预案、威胁处置信息、安全态势信息、威胁处置结果、编排执行结果、处置研判结果以及态势研判结果中的至少一种,确定安全服务能力编排结果,具体包括:
基于安全防护需求、融合分析结果、安全服务编排预案、威胁处置信息、安全态势信息、威胁处置结果、编排执行结果、处置研判结果以及态势研判结果中的至少一种,确定安全服务编排预案;
其中,所述确定安全服务编排预案,具体包括确定新的安全服务编排预案和/或调整原有安全服务编排预案;
基于所述安全服务编排预案,确定所述安全服务能力编排结果。
可选地,所述安全服务能力编排结果包括威胁处置策略、资源调配策略、安全功能配置策略以及安全功能升级策略中的至少一种。
第二方面,本发明实施例提供一种网络安全防护方法,包括:
将安全态势信息发送至安全服务能力编排单元,以供所述安全服务能力编排单元基于安全防护需求、融合分析结果、安全服务编排预案、威胁处置信息、安全态势信息、威胁处置结果、编排执行结果、处置研判结果以及态势研判结果中的至少一种,确定安全服务能力编排结果,并由安全管理与处置指挥单元基于所述安全服务能力编排结果确定安全服务能力编排指令并下发至网络安全对象。
可选地,还包括:
基于所述网络安全对象确定的安全数据和/或所述威胁处置结果确定态势综合分析结果;
将所述威胁处置结果和/或所述态势综合分析结果发送至所述安全管理与处置指挥单元,以供所述安全管理与处置指挥单元基于威胁报警信息、威胁预警信息、所述安全服务能力编排结果、所述威胁处置结果和所述态势综合分析结果中的至少一种确定第二融合分析结果并发送至所述安全服务能力编排单元,以及供所述安全管理与处置指挥单元基于所述威胁处置结果、所述威胁报警信息、所述威胁预警信息、所述安全服务能力编排结果和所述态势综合分析结果中的至少一种,确定所述处置研判结果;
接收所述安全管理与处置指挥单元返回的所述处置研判结果,基于所述处置研判结果、所述安全数据和所述威胁处置结果中的至少一种确定第一融合分析结果并发送至所述安全服务能力编排单元,以供所述安全服务能力编排单元基于所述第一融合分析结果和所述第二融合分析结果,确定验证结果。
第三方面,本发明实施例提供一种网络安全防护方法,包括:
基于安全服务能力编排单元下发的安全服务能力编排结果,确定安全服务能力编排指令;
将所述安全服务能力编排指令下发至网络安全对象;
其中,所述安全服务能力编排结果是所述安全服务能力编排单元基于安全防护需求、融合分析结果、安全服务编排预案、威胁处置信息、安全态势信息、威胁处置结果、编排执行结果、处置研判结果以及态势研判结果中的至少一种确定的。
可选地,还包括:
基于威胁报警信息、威胁预警信息、所述安全服务能力编排结果、所述威胁处置结果,以及所述安全态势分析单元发送的所述态势综合分析结果中的至少一种确定第二融合分析结果;所述态势综合分析结果是所述安全态势分析单元基于安全数据和/或所述威胁处置结果确定的;
将所述处置研判结果发送至所述安全态势分析单元,以供所述安全态势分析单元基于所述处置研判结果、所述安全数据和所述威胁处置结果中的至少一种确定第一融合分析结果;
将所述第二融合分析结果发送至所述安全服务能力编排单元,以供所述安全服务能力编排单元基于所述第一融合分析结果和所述第二融合分析结果,确定验证结果。
可选地,所述安全服务能力编排指令包括威胁处置指令、资源调配指令、安全功能配置指令以及安全功能升级指令中的至少一种。
第四方面,本发明实施例提供一种网络安全防护系统,包括:
安全态势分析单元,用于基于网络安全对象确定的安全数据和/或安全管理与处置指挥单元确定的处置研判结果,确定态势研判结果;
安全管理与处置指挥单元,用于基于网络安全对象确定的威胁处置结果、安全态势分析单元确定的威胁报警信息、安全态势分析单元确定的威胁预警信息、安全态势分析单元确定的态势综合分析结果和安全服务能力编排单元确定的安全服务能力编排结果中的至少一种,确定所述处置研判结果;
安全服务能力编排单元,用于基于安全防护需求、融合分析结果、安全服务编排预案、威胁处置信息、安全态势信息、威胁处置结果、编排执行结果、处置研判结果以及态势研判结果中的至少一种,确定安全服务能力编排结果;
所述网络安全对象,用于执行所述安全管理与处置指挥单元基于所述安全服务能力编排结果确定并下发的安全服务能力编排指令。
可选地,所述融合分析结果包含第一融合分析结果和/或第二融合分析结果;
其中,所述第一融合分析结果是所述安全态势分析单元基于安全数据、所述威胁处置结果和所述处置研判结果中的至少一种确定的;
所述第二融合分析结果是所述安全管理与处置指挥单元基于威胁报警信息、威胁预警信息、所述安全服务能力编排结果、所述威胁处置结果和态势综合分析结果中的至少一种确定的;
所述态势综合分析结果是所述安全态势分析单元基于所述安全数据和/或所述威胁处置结果确定的。
可选地,所述安全服务能力编排单元包括编排子单元和双重验证子单元;
其中,所述编排子单元用于基于安全防护需求、融合分析结果、安全服务编排预案、威胁处置信息、安全态势信息、威胁处置结果、编排执行结果、处置研判结果以及态势研判结果中的至少一种,确定所述安全服务能力编排结果;
所述双重验证子单元用于基于所述第一融合分析结果和所述第二融合分析结果,确定验证结果。
可选地,所述双重验证子单元具体用于对所述第一融合分析结果和所述第二融合分析结果进行安全指标值一致性验证和/或融合分析结果一致性验证。
可选地,所述双重验证子单元在进行安全指标值一致性验证和/或融合分析结果一致性验证之前,还用于对所述第一融合分析结果和所述第二融合分析结果进行安全指标映射和/或安全指标量纲映射。
可选地,所述编排子单元具体用于:
基于安全防护需求、融合分析结果、安全服务编排预案、威胁处置信息、安全态势信息、威胁处置结果、编排执行结果、处置研判结果以及态势研判结果中的至少一种,确定安全服务编排预案;
其中,所述确定安全服务编排预案,具体包括确定新的安全服务编排预案和/或调整原有安全服务编排预案;
基于所述安全服务编排预案,确定所述安全服务能力编排结果。
可选地,所述安全服务能力编排结果包括威胁处置策略、资源调配策略、安全功能配置策略以及安全功能升级策略中的至少一种。
可选地,所述安全服务能力编排指令包括威胁处置指令、资源调配指令、安全功能配置指令以及安全功能升级指令中的至少一种。
可选地,所述安全管理与处置指挥单元还用于获取所述网络安全对象反馈的指令执行结果。
可选地,所述安全数据和/或所述威胁处置结果是所述网络安全对象向所述安全态势分析单元主动推送的,和/或所述安全态势分析单元从所述网络安全对象采集得到的。
本发明实施例提供一种网络安全防护方法及系统,通过基于安全防护需求、融合分析结果、安全服务编排预案、威胁处置信息、安全态势信息、威胁处置结果、编排执行结果、处置研判结果以及态势研判结果中的至少一种,确定安全服务能力编排结果,将安全服务能力编排结果分解下发至安全管理与处置指挥单元,以供安全管理与处置指挥单元基于安全服务能力编排结果确定安全服务能力编排指令并下发至网络安全对象,该方法使得网络安全防护系统各组成单元互为一体、有机融合、相互协同、形成闭环,系统联动性强,能够按需配置防护资源和精准及时处置网络威胁,同时,系统通过安全管理与处置指挥单元下发安全服务能力编排指令,降低了网络安全对象的指令接收接口的数量。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的网络安全防护方法的流程示意图;
图2为本发明实施例提供的网络安全防护系统的结构示意图;
图3为本发明实施例提供的网络安全防护系统的交互示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
现有网络安全防护系统中的各个单元相互独立、各自为政、缺乏协同、未能形成闭环,不能成为有机整体,存在系统联动性差的问题,具体体现在以下方面:
(1)安全编排结果缺乏多要素协同
软件定义安全单元主要基于软件定义网络的方式来编排和管理安全业务,其安全需求主要来自于人为输入,导致软件定义安全编排结果只能做到局部优化,不能基于多要素进行协同自适应编排。
(2)威胁处置指挥单元与其他单元缺乏联动性
威胁处置指挥单元和安全态势分析单元之间联动性低,威胁处置指挥单元不能直接获取安全态势分析系统的安全态势结果,这使得威胁处置指挥单元确定的威胁处置策略不精准;威胁处置指挥单元和软件定义安全单元相互独立,不能接受安全编排结果。
(3)安全态势分析单元采集能力弱
网络安全对象不会主动推送内部状态和威胁处置结果给安全态势分析单元,安全态势分析单元也不可能实时采集到用于安全态势分析的威胁处置结果等关键信息。
(4)网络安全对象的指令接收接口复杂
当前网络安全对象需从不同通道接收如软件定义安全单元、威胁处置指挥单元等下发的防护指令,指令接收接口复杂。
图1为本发明实施例提供的网络安全防护方法的流程示意图,如图1所示,该方法包括:
步骤101,基于安全防护需求、融合分析结果、安全服务编排预案、威胁处置信息、安全态势信息、威胁处置结果、编排执行结果、处置研判结果以及态势研判结果中的至少一种,确定安全服务能力编排结果;
步骤102,将安全服务能力编排结果分解下发至安全管理与处置指挥单元,以供安全管理与处置指挥单元基于安全服务能力编排结果确定安全服务能力编排指令并下发至网络安全对象。
具体地,本发明实施例提供的方法执行对象为网络安全防护系统中的安全服务能力编排单元。
安全防护需求是由防护对象、防护目标、安全保障时间、安全保障等级等部分和/或全部字段的任意组合来描述,表示在安全保障时间内防护对象须满足的防护目标或在安全保障时间内防护对象须达到的安全保障等级;防护对象为单个防护对象、防护对象集合、防护对象类型、防护对象类型集合、防护区域和防护区域集合中的至少一种,其组合方式包括交、差、并和补中的至少一种。
融合分析结果用于描述威胁处置指令的执行效果,可用如下一个或多个字段的任意组合来描述:融合分析ID、融合分析者ID、融合分析者、威胁处置时间、威胁事件ID、威胁处置措施ID、威胁处置措施、威胁处置措施执行者ID、威胁处置措施执行者、威胁发生时间、威胁处置措施执行效果。其中,威胁处置措施执行效果可用定性描述,也可用定量描述。
安全服务编排预案是指针对安全威胁和/或安全需求,根据当前状态或历史经验,分析潜在可能发生的安全事件和其影响程度,事先制定的威胁处置方案和/或安全保障方案,所述安全服务编排预案生成方式包括人工录入和/或自动生成,通过所述自动生成方式得到的安全服务编排预案包括经过验证是正确的安全服务编排预案和/或未经过验证的安全服务编排预案。
威胁处置信息表示对威胁报警信息和/或威胁预警信息的处置情况,是基于威胁处置指令、威胁处置结果、威胁报警信息、威胁预警信息、态势综合分析结果中的至少一种确定,包括被攻击的网络安全对象、攻击类型、攻击者、攻击目的、攻击时间、攻击路径、攻击统计、攻击频率、攻击强度、危害程度、攻击损失、威胁处置时间、威胁处置目标、威胁处置频率、威胁处置指令发送结果、威胁处置指令执行结果中的至少一种。
安全态势信息是基于网络安全对象处采集的安全数据和/或威胁处置结果确定的;安全态势信息分为第一安全态势信息和第二安全态势信息两种。其中,第一安全态势信息是指威胁处置前的安全态势信息;第二安全态势信息是指威胁处置后的安全态势信息。
安全态势信息用于描述过去或现在某区域的安全状态和未来安全趋势,可用安全防护对象、时间区间、安全态势指标、安全态势指数中的至少一种来描述,表示在时间区间内安全防护对象在安全态势指标上的安全态势指数;安全态势指标包括漏洞统计、漏洞分布、高危漏洞统计、高危漏洞分布、脆弱性、事件趋势、告警统计、最新告警、热点事件等中的至少一种,安全态势指数可用离散值、连续值、离散值集合和连续值集合中的至少一种衡量。当前的一个或多个安全态势指数全部满足安全条件时,可触发安全威胁报警;所预测的一个或多个安全态势指数全部满足或部分满足安全条件时,或者当前的一个或多个安全态势指数部分满足安全条件时,可触发安全威胁预警。安全条件可以预先设定,也可以动态调整,安全条件包括但不限于:安全态势指数大于/等于/小于阈值、安全态势指数在某个区间、安全态势指数等于某个值等。
威胁处置结果是网络安全对象执行威胁处置指令的情况,表示一个网络安全对象的一条指令的执行结果,也可以一个网络安全对象的多条指令的执行结果的集合;多个网络安全对象时每个网络安全对象的一条指令的执行结果集合,也可以多个网络安全对象时每个网络安全对象的多条指令的执行结果的集合。
编排执行结果表示对编排结果的执行情况,包括安全管理与处置指挥单元对安全服务能力编排结果的分解结果、网络安全对象反馈的指令执行结果、安全管理与处置指挥单元对所述指令执行结果的综合分析结果中的至少一种。
处置研判结果用于说明威胁处置效果的结论,包括威胁处置指令的执行情况、威胁处置指令下发前后的安全情况,可用以下一个或多个字段的任意组合来描述:处置研判结果ID、处置研判者ID、处置研判者、威胁处置时间、威胁事件ID、威胁事件、威胁处置措施ID、威胁处置措施、威胁处置措施执行者ID、威胁处置措施执行者、威胁发生时间、威胁处置措施是否执行、安全指标、安全指数变化值,其中,安全指标包括机密性确保程度、完整性确保程度、可用性确保程度中的至少一种。
态势研判结果包括安全态势信息的改变情况、威胁处置结果接收前后的安全态势情况,是说明威胁是否解决的结论,可用以下一个或多个字段的任意组合来描述:态势研判结果ID、态势研判者ID、态势研判者、威胁处置时间、威胁事件ID、威胁事件、威胁处置措施ID、威胁处置措施、威胁处置措施执行者ID、威胁处置措施执行者、威胁发生时间、安全态势指标、安全态势指数变化值。
处置研判结果是基于威胁处置结果、威胁报警信息、威胁预警信息、安全服务能力编排结果和态势综合分析结果中的至少一种确定的。
态势研判结果是基于网络安全对象确定的安全数据和/或安全管理与处置指挥单元确定的处置研判结果确定的。
安全服务能力编排结果是在限定约束下对网络安全对象集合实施的操作动作的集合,是安全事件被触发时满足安全防护需求和/或服务需求的安全服务编排预案的实例化。安全服务能力编排结果的要素包括但不限于:执行主体、操作对象、操作集、操作参数、操作执行顺序、时间区间,表示在给定时间区间范围内,执行主体按照规定的操作执行顺序和操作参数对操作对象执行操作。
安全网络对象集合至少包含一个元素;限定约束包含安全保障能力约束、安全保障资源约束、安全保障成本约束中的至少一种,安全保障能力约束包括数据包过滤能力约束、入侵检测能力约束、安全审计能力约束、准入控制能力约束、认证能力约束、加密能力约束、密钥管理能力约束、认证加密速率约束、态势感知能力约束、边界防护能力约束中的至少一种,安全保障资源约束包括用于安全保障的计算资源、用于安全保障的存储资源、用于安全保障的网络资源、用于安全保障的空间资源中的至少一种;操作动作的集合包括算法复位、控制模块复位、用户注册、设备注册、系统注册、代理注册、模块注册、用户信息更新、软件模块更新、配置更新、策略更新、参数更新、用户注销、角色注销、设备注销、代理注销、系统注销,主处理模块销毁、协处理模块销毁、接入点切换、用户切换、态势信息上报、日志上报、运行结果上报、运行状态上报、用户信息上报、策略下发、配置下发、参数下发、软件包下发、密钥上注、设备配置、系统配置、代理配置、算法配置、参数配置、认证服务开启、过滤服务开启、加密服务开启、入侵检测服务开启、准入控制服务开启、态势感知服务开启、边界防护服务开启、认证服务停止、过滤服务停止、加密服务停止、入侵检测服务停止、准入控制服务停止、态势感知服务停止、边界防护服务停止、SAN服务停止、异常信息推送、存储控制模块升级、告警信息推送等中的至少一种。
本发明实施例提供一种网络安全防护方法,通过基于安全防护需求、融合分析结果、安全服务编排预案、威胁处置信息、安全态势信息、威胁处置结果、编排执行结果、处置研判结果以及态势研判结果中的至少一种,确定安全服务能力编排结果,将安全服务能力编排结果分解下发至安全管理与处置指挥单元,以供安全管理与处置指挥单元基于安全服务能力编排结果确定安全服务能力编排指令并下发至网络安全对象,该方法使得网络安全防护系统各组成单元互为一体、有机融合、相互协同、形成闭环,系统联动性强,能够按需配置防护资源和精准及时处置网络威胁。
基于上述实施例,融合分析结果包含第一融合分析结果和/或第二融合分析结果;
其中,所述第一融合分析结果是安全态势分析单元基于安全数据、所述威胁处置结果、处置研判结果中的至少一种确定的;
第二融合分析结果是安全管理与处置指挥单元基于威胁报警信息、威胁预警信息、安全服务能力编排结果、威胁处置结果和态势综合分析结果中的至少一种确定的;
态势综合分析结果是安全态势分析单元基于安全数据和/或威胁处置结果确定的,是第一安全态势信息和第二安全态势信息的综合分析结果。
具体地,安全态势分析单元从网络安全对象处获得威胁处置结果,结合从网络安全对象采集的当前安全数据和/或历史安全数据采用综合分析法计算得到态势综合分析结果。
安全态势分析单元接收到处置研判结果后,对处置研判结果、安全数据、威胁处置结果中的至少一种进行分析得到第一融合分析结果。
安全管理与处置指挥单元基于威胁报警信息、威胁预警信息、安全服务能力编排结果、威胁处置结果和态势综合分析结果中的至少一种确定第二融合分析结果。
融合分析结果包括第一融合分析结果和/或第二融合分析结果,用于安全服务能力编排单元确定安全服务能力编排结果。
基于上述任一实施例,步骤101,之前还包括:
基于第一融合分析结果和第二融合分析结果,确定验证结果。
基于上述任一实施例,基于第一融合分析结果和第二融合分析结果,确定验证结果,具体包括:
对第一融合分析结果和第二融合分析结果进行安全指标值一致性验证和/或融合分析结果一致性验证。
具体地,验证结果的一致性包括安全指标值一致性和/或融合分析结果一致性。
安全指标值一致性具体为安全指标值一致性逐一比较,是指对第一融合分析结果和第二融合分析结果中的单个安全指标值进行逐一比较。
融合分析结果一致性具体为融合分析结果一致性综合判定,是指当存在多个安全指标进行比较时,安全服务能力编排单元综合判定第一融合分析结果和第二融合分析结果是否具有一致性。
基于上述任一实施例,基于第一融合分析结果和第二融合分析结果,确定验证结果,之前还包括:
对第一融合分析结果和第二融合分析结果进行安全指标映射和/或安全指标量纲映射。
具体地,由于第一融合分析结果和第二融合分析结果分别是在安全态势分析单元和安全管理与处置指挥单元中确定的。两种融合分析结果可能存在安全指标和/或安全指标量纲上的不同。在进行验证一致性之前,需要对两种融合分析结果进行映射处理,具体包括安全指标映射和/或安全指标量纲映射。
基于上述任一实施例,步骤101,具体包括:
基于安全防护需求、融合分析结果、安全服务编排预案、威胁处置信息、安全态势信息、威胁处置结果、编排执行结果、处置研判结果以及态势研判结果中的至少一种,确定安全服务编排预案;
其中,确定安全服务编排预案,具体包括确定新的安全服务编排预案和/或调整原有安全服务编排预案;
基于安全服务编排预案,确定安全服务能力编排结果。
具体地,可以基于安全防护需求、融合分析结果、安全服务编排预案、威胁处置信息、安全态势信息、威胁处置结果、编排执行结果、处置研判结果以及态势研判结果中的至少一种确定安全服务编排预案。
确定安全服务编排预案包括确定新的安全服务编排预案和/或调整原有安全服务编排预案;
安全服务编排预案生成方式包括人工录入和/或自动生成,通过所述自动生成方式得到的安全服务编排预案包括经过验证是正确的安全服务编排预案和/或未经过验证的安全服务编排预案。
基于上述任一实施例,安全服务能力编排结果包括威胁处置策略、资源调配策略、安全功能配置策略以及安全功能升级策略中的至少一种。
基于上述任一实施例,本发明实施例提供一种网络安全防护方法,包括:
将安全态势信息发送至安全服务能力编排单元,以供安全服务能力编排单元基于安全防护需求、融合分析结果、安全服务编排预案、威胁处置信息、安全态势信息、威胁处置结果、编排执行结果、处置研判结果以及态势研判结果中的至少一种,确定安全服务能力编排结果,并由安全管理与处置指挥单元基于安全服务能力编排结果确定安全服务能力编排指令并下发至网络安全对象。
具体地,本发明实施例提供的方法执行对象为网络安全防护系统中的安全态势分析单元。
基于上述任一实施例,还包括:
基于网络安全对象确定的安全数据和/或威胁处置结果确定态势综合分析结果,所述态势综合分析结果是第一安全态势信息和第二安全态势信息的综合分析结果;
将威胁处置结果和/或所述态势综合分析结果发送至安全管理与处置指挥单元,以供安全管理与处置指挥单元基于威胁报警信息、威胁预警信息、安全服务能力编排结果、威胁处置结果和态势综合分析结果中的至少一种确定第二融合分析结果并发送至安全服务能力编排单元,以及供安全管理与处置指挥单元基于威胁处置结果、威胁报警信息、威胁预警信息、安全服务能力编排结果和态势综合分析结果中的至少一种,确定所述处置研判结果;
接收安全管理与处置指挥单元返回的所述处置研判结果,基于所述处置研判结果、所述安全数据、所述威胁处置结果中的至少一种确定所述第一融合分析结果并发送至安全服务能力编排单元,以供安全服务能力编排单元基于第一融合分析结果和第二融合分析结果,确定验证结果。
基于上述任一实施例,本发明实施例提供一种网络安全防护方法,包括:
基于安全服务能力编排单元下发的安全服务能力编排结果,确定安全服务能力编排指令;
将安全服务能力编排指令下发至网络安全对象;
其中,安全服务能力编排结果是安全服务能力编排单元基于安全防护需求、融合分析结果、安全服务编排预案、威胁处置信息、安全态势信息、威胁处置结果、编排执行结果、处置研判结果以及态势研判结果中的至少一种确定的。
具体地,本发明实施例提供的方法执行对象为网络安全防护系统中的安全管理与处置指挥单元。
基于上述任一实施例,还包括:
基于威胁报警信息、威胁预警信息、安全服务能力编排结果、威胁处置结果,以及安全态势分析单元发送的态势综合分析结果中的至少一种确定第二融合分析结果;态势综合分析结果是安全态势分析单元基于安全数据和/或威胁处置结果确定的,是第一安全态势信息和第二安全态势信息的综合分析结果;
将处置研判结果发送至安全态势分析单元,以供安全态势分析单元基于处置研判结果、安全数据、威胁处置结果中的至少一种确定第一融合分析结果;
将第二融合分析结果发送至安全服务能力编排单元,以供安全服务能力编排单元基于第一融合分析结果和第二融合分析结果,确定验证结果。
基于上述任一实施例,安全服务能力编排指令包括威胁处置指令、资源调配指令、安全功能配置指令以及安全功能升级指令中的至少一类,可以是一个网络安全对象的一条指令、一个网络安全对象的多条指令、多个网络安全对象时每个网络安全对象的一条指令、多个网络安全对象时每个网络安全对象的多条指令中的至少一种。
图2为本发明实施例提供的网络安全防护系统的结构示意图,如图2所示,该系统包括网络安全对象201、安全态势分析单元202、安全服务能力编排单元203和安全管理与处置指挥单元204;
其中,安全态势分析单元202,用于基于网络安全对象确定的安全数据和/或安全管理与处置指挥单元204确定的处置研判结果,确定态势研判结果;
安全管理与处置指挥单元204,用于基于网络安全对象201确定的威胁处置结果、安全态势分析单元202确定的威胁报警信息、安全态势分析单元202确定的威胁预警信息、安全态势分析单元202确定的态势综合分析结果、安全服务能力编排单元203确定的安全服务能力编排结果中的至少一种,确定处置研判结果;
安全服务能力编排单元203,用于基于安全防护需求、融合分析结果、安全服务编排预案、威胁处置信息、安全态势信息、威胁处置结果、编排执行结果、处置研判结果以及态势研判结果中的至少一种,确定安全服务能力编排结果;
网络安全对象201,用于执行安全管理与处置指挥单元204基于安全服务能力编排结果确定并下发的安全服务能力编排指令。
具体地,网络安全对象201包括网络中的安全设备、安全系统、安全组件、安全动态库、安全模块和安全代理中的至少一种。例如,安全设备包括但不限于高速航天器终端、天基骨干网地面终端、网络互联安全网关、接入安全网关、无线信道密码机、IP网络密码机、高性能服务器密码机、单向/双向数据隔离设备,安全系统包括但不限于身份认证管理系统、接入鉴权系统、网间互联安全控制系统、密码资源管理系统、数据流转监测系统、可编排应用防护系统、物联网拓扑测绘系统,安全组件包括但不限于安全加密组件、安全通信组件、安全认证组件、安全防护组件,安全动态库包括但不限于加密动态库、威胁检测动态库,安全模块包括但不限于安全加密模块、安全通信模块、安全认证模块、安全防护模块,安全代理包括但不限于数据交换应用代理、安全威胁感知代理。安全态势分析单元202从网络安全对象201处采集并获取安全数据。安全数据包括收到的威胁处置指令、威胁处置指令执行情况、收到的资源调配指令、资源调配指令执行情况、收到的安全功能配置指令、安全功能配置指令执行情况、收到的安全功能升级指令、安全功能升级指令执行情况、运行状态、运行日志和数据流量中的至少一种。采集方式包括主动采集、被动采集和主被动混合采集中的至少一种。本发明实施例对安全数据的类型和采集方式不做具体限定。
安全态势分析单元202用于基于网络安全对象201处的安全数据,确定安全态势信息。具体地,安全态势分析单元202依据当前所采集的安全数据和/或历史安全数据进行关联融合分析,得到安全态势信息,并将安全态势信息发送至安全服务能力编排单元203。此外,安全态势分析单元202进行关联融合分析还得到威胁报警信息和/或威胁预警信息,并将其发送至安全管理与处置指挥单元204。
其中,安全态势信息,用于描述过去或现在某区域的安全状态和未来安全趋势,可用安全防护对象、时间区间、安全态势指标、安全态势指数等部分或全部任意组合来描述,表示在时间区间内安全防护对象在安全态势指标上的安全态势指数。安全态势指标包括漏洞统计、漏洞分布、高危漏洞统计、高危漏洞分布、脆弱性、事件趋势、告警统计、最新告警、热点事件等中的至少一种,安全态势指数可用离散值、连续值、离散值集合和连续值集合中的至少一种衡量。安全态势信息是基于网络安全对象处采集的安全数据和/或威胁处置结果确定的;安全态势信息分为第一安全态势信息和第二安全态势信息两种。其中,第一安全态势信息是指威胁处置前的安全态势信息;第二安全态势信息是指威胁处置后的安全态势信息。
安全态势分析单元202,用于基于网络安全对象确定的安全数据和/或安全管理与处置指挥单元204确定的处置研判结果中的至少一种,确定态势研判结果。
当前的一个或多个安全态势指数全部满足安全条件时,可触发安全威胁报警;所预测的一个或多个安全态势指数全部满足或部分满足安全条件时,或者当前的一个或多个安全态势指数部分满足安全条件时,可触发安全威胁预警。威胁报警信息和/或威胁预警信息的描述字段包括被攻击的网络安全对象、攻击类型、攻击者、攻击目的、攻击时间、攻击路径、攻击统计、攻击频率、攻击强度、危害程度和攻击损失中的至少一种。安全条件可以预先设定,也可以动态调整,安全条件包括安全态势指数大于/等于/小于阈值、安全态势指数在某个区间和安全态势指数等于某个值中的至少一种。
安全态势分析单元202还从网络安全对象201处获得威胁处置结果,并将其转发给安全管理与处置指挥单元204。安全管理与处置指挥单元204接收威胁处置结果后,基于所述威胁处置结果、威胁报警信息、威胁预警信息、安全服务能力编排结果和态势综合分析结果中的至少一种进行独立研判,得到用于描述处置指令是否执行的处置研判结果。
其中,威胁处置结果是网络安全对象执行威胁处置指令的情况,表示一个网络安全对象的一条指令的执行结果,也可以一个网络安全对象的多条指令的执行结果的集合;多个网络安全对象时每个网络安全对象的一条指令的执行结果集合,也可以多个网络安全对象时每个网络安全对象的多条指令的执行结果的集合。
处置研判结果用于说明威胁处置效果的结论,包括威胁处置指令的执行情况、威胁处置指令下发前后的安全情况,可用以下一个或多个字段的任意组合来描述:处置研判结果ID、处置研判者ID、处置研判者、威胁处置时间、威胁事件ID、威胁事件、威胁处置措施ID、威胁处置措施、威胁处置措施执行者ID、威胁处置措施执行者、威胁发生时间、威胁处置措施是否执行、安全指标、安全指数变化值,其中,安全指标包括机密性确保程度、完整性确保程度、可用性确保程度中的至少一种。
态势研判结果包括安全态势信息的改变情况、威胁处置结果接收前后的安全态势情况,是说明威胁是否解决的结论,可用以下一个或多个字段的任意组合来描述:态势研判结果ID、态势研判者ID、态势研判者、威胁处置时间、威胁事件ID、威胁事件、威胁处置措施ID、威胁处置措施、威胁处置措施执行者ID、威胁处置措施执行者、威胁发生时间、安全态势指标、安全态势指数变化值。
安全管理与处置指挥单元204用于独立研判的依据包括威胁处置结果和/或第二融合分析结果,用于独立研判的方法包括加权平均法、模糊分析法、抽样检测法和概率统计法等中的至少一种,本发明实施例对独立研判的依据和方法不做具体限定。
安全服务能力编排单元203,用于基于安全防护需求、融合分析结果、安全服务编排预案、威胁处置信息、安全态势信息、威胁处置结果、编排执行结果、处置研判结果以及态势研判结果中的至少一种,确定安全服务能力编排结果。安全服务能力编排结果的确定是在满足安全服务能力编排结果确定时机时,在安全保障能力等约束下,确定满足安全防护需求和/或服务需求的安全服务能力编排结果。
其中,安全防护需求是由防护对象、防护目标、安全保障时间、安全保障等级等部分和/或全部字段的任意组合来描述,表示在安全保障时间内防护对象的防护目标须达到安全保障等级。防护对象为单个防护对象、防护对象集合、防护对象类型、防护对象类型集合、防护区域和防护区域集合中的至少一种,其组合方式包括交、差、并和补中的至少一种。例如,“在A防护区域内除设备B之外的C类型设备”可表示为:{“A防护区域内的设备集合”}∩{“类型为C的设备集合”}-{“设备B”}。防护目标可由包括安全保障属性、安全保障层次和阻止攻击中的至少一种来描述,其中,安全保障属性是由机密性、完整性、可控性和可用性中的至少一种来描述,安全保障层次可由物理层、运行层、数据层和应用层中的至少一种来描述,阻止攻击包括阻止DDoS(Distributed Denial of Service,分布式拒绝服务)攻击、阻止洪泛攻击、阻止口令猜测、阻止特洛伊木马、阻止缓冲区溢出、阻止扫描攻击、阻止反响映射攻击、阻止体系结构探测攻击、阻止假消息攻击、阻止DNS高速缓存污染、阻止伪造电子邮件等中的至少一种。安全保障等级定义系统需要达到的安全等级,安全等级可以用离散值来表示。
服务需求用于描述应给安全服务所支撑的业务系统提供的功能与性能需求,包括网络服务需求、并发服务需求和业务需求中的至少一种。网络服务需求包括传输带宽需求、传输时延需求、串行化时延需求、处理时延需求和队列时延需求中的至少一种,并发服务需求包括在线服务并发数和并发切换性能中的至少一种。
安全服务编排预案是指针对安全威胁和/或安全需求,根据当前状态或历史经验,分析潜在可能发生的安全事件和其影响程度,事先制定的威胁处置方案和/或安全保障方案,所述安全服务编排预案生成方式包括人工录入和/或自动生成,通过所述自动生成方式得到的安全服务编排预案包括经过验证是正确的安全服务编排预案和/或未经过验证的安全服务编排预案。
威胁处置信息表示对威胁报警信息和/或威胁预警信息的处置情况,是基于威胁处置指令、威胁处置结果、威胁报警信息、威胁预警信息、态势综合分析结果中的至少一种确定,包括被攻击的网络安全对象、攻击类型、攻击者、攻击目的、攻击时间、攻击路径、攻击统计、攻击频率、攻击强度、危害程度、攻击损失、威胁处置时间、威胁处置目标、威胁处置频率、威胁处置指令发送结果、威胁处置指令执行结果中的至少一种。
编排执行结果表示对编排结果的执行情况,包括安全管理与处置指挥单元对安全服务能力编排结果的分解结果、网络安全对象反馈的指令执行结果、安全管理与处置指挥单元对所述指令执行结果的综合分析结果中的至少一种。
融合分析结果用于描述威胁处置指令的执行效果,可用如下一个或多个字段的任意组合来描述:融合分析ID、融合分析者ID、融合分析者、威胁处置时间、威胁事件ID、威胁处置措施ID、威胁处置措施、威胁处置措施执行者ID、威胁处置措施执行者、威胁发生时间、威胁处置措施执行效果。其中,威胁处置措施执行效果可用定性描述,也可用定量描述。
安全服务能力编排结果是在限定约束下对网络安全对象集合实施的操作动作的集合,是安全事件被触发时满足安全防护需求和/或服务需求的安全服务编排预案的实例化。安全服务能力编排结果的要素包括但不限于:执行主体、操作对象、操作集、操作参数、操作执行顺序、时间区间,表示在给定时间区间范围内,执行主体按照规定的操作执行顺序和操作参数对操作对象执行操作。
安全网络对象集合至少包含一个元素;限定约束包含安全保障能力约束、安全保障资源约束、安全保障成本约束中的至少一种,安全保障能力约束包括数据包过滤能力约束、入侵检测能力约束、安全审计能力约束、准入控制能力约束、认证能力约束、加密能力约束、密钥管理能力约束、认证加密速率约束、态势感知能力约束、边界防护能力约束等中的至少一种,安全保障资源约束包括用于安全保障的计算资源、用于安全保障的存储资源、用于安全保障的网络资源、用于安全保障的空间资源中的至少一种;操作动作的集合包括算法复位、控制模块复位、用户注册、设备注册、系统注册、代理注册、模块注册、用户信息更新、软件模块更新、配置更新、策略更新、参数更新、用户注销、角色注销、设备注销、代理注销、系统注销,主处理模块销毁、协处理模块销毁、接入点切换、用户切换、态势信息上报、日志上报、运行结果上报、运行状态上报、用户信息上报、策略下发、配置下发、参数下发、软件包下发、密钥上注、设备配置、系统配置、代理配置、算法配置、参数配置、认证服务开启、过滤服务开启、加密服务开启、入侵检测服务开启、准入控制服务开启、态势感知服务开启、边界防护服务开启、认证服务停止、过滤服务停止、加密服务停止、入侵检测服务停止、准入控制服务停止、态势感知服务停止、边界防护服务停止、SAN服务停止、异常信息推送、存储控制模块升级、告警信息推送等中的至少一种。
安全服务能力编排结果确定方式包括单目标规划算法和多目标规划算法中的至少一种。其中,在单目标优化或多目标规划算法中,目标包括防护成本尽可能小、防护收益尽可能大和防护性价比最高中的至少一种。单目标优化或多目标规划的约束条件包括安全保障能力约束、安全保障资源约束、安全保障成本约束中等的至少一种。规划算法的求解方式可以为遗传算法、模拟退火算法和蚁群算法中的至少一种,本发明实施例对此不做具体限定。
安全服务能力编排单元203将确定的安全服务能力编排结果发送至安全管理与处置指挥单元204。发送时机包括确定安全服务能力编排结果后立即发送和/或确定安全服务能力编排结果后延时发送。可选地,安全服务能力编排单元203还将与安全服务能力编排结果相关的附加数据发送至安全管理与处置指挥单元204,附加数据包括软件升级包、FPGAbit文件和配置参数中的至少一种。
安全管理与处置指挥单元204基于安全服务能力编排结果确定安全服务能力编排指令,将其下发至网络安全对象201。下发时机包括安全服务能力编排指令确定后立即发送和/或安全服务能力编排指令确定后延时发送。
其中,安全服务能力编排指令是在网络安全对象201上可执行的不可分解的命令,组合要素包括原子执行主体、原子操作对象、原子操作和原子操作执行参数中的至少一个,表示原子执行主体在原子操作对象上按照原子操作执行参数执行原子操作。原子操作执行参数包括执行起止时间、执行频率和执行次序中的至少一种。
相比于安全服务能力编排结果,安全服务能力编排指令最核心的差异是可执行性。安全服务能力编排结果中所涉及到的执行主体、操作对象和操作在语义上可能是若干原子主体的复合、若干原子操作对象的复合和若干原子操作的复合(可以称之为抽象主体、抽象客体和抽象操作),而不一定是单个原子执行主体、单个原子操作对象和单个原子操作。例如,在安全服务能力编排结果“A区内除设备c之外的防火墙对DDoS攻击进行拦截”中,执行主体“A区内除设备c之外的防火墙”可能涉及到若干防火墙构成的集合,操作“拦截”包括网络层过滤、内容层过滤,拦截对象包括源IP(Internet Protocol)、源端口、目的IP、目的端口等。因此,安全服务能力编排结果在网络安全对象中可能不能直接执行。为了确保安全服务能力编排结果在网络安全对象上执行,需要将安全服务能力编排结果转化为可执行的安全服务能力编排指令。
网络安全对象201接收到安全服务能力编排指令后,依据具体的安全服务能力编排指令类型执行指令。
本发明实施例提供的网络安全防护系统,通过安全服务能力编排单元基于安全防护需求、融合分析结果、安全服务编排预案、威胁处置信息、安全态势信息、威胁处置结果、编排执行结果、处置研判结果以及态势研判结果中的至少一种,确定安全服务能力编排结果,进而由安全管理与处置指挥单元基于安全服务能力编排结果确定安全服务能力编排指令并下发至网络安全对象执行,系统各组成单元互为一体、有机融合、相互协同、形成闭环,系统联动性强,能够按需配置防护资源和精准及时处置网络威胁,同时,系统通过安全管理与处置指挥单元下发安全服务能力编排指令,降低了网络安全对象的指令接收接口的数量。
基于上述实施例,融合分析结果包含第一融合分析结果和/或第二融合分析结果;
其中,第一融合分析结果是安全态势分析单元202基于安全数据、威胁处置结果和处置研判结果中的至少一种确定的;
第二融合分析结果是安全管理与处置指挥单元204基于威胁报警信息、威胁预警信息、安全服务能力编排结果、威胁处置结果和态势综合分析结果中的至少一种确定的;
态势综合分析结果是安全态势分析单元202基于安全数据和/或威胁处置结果确定的,是第一安全态势信息和第二安全态势信息的综合分析结果。
具体地,安全态势分析单元202从网络安全对象201处获得威胁处置结果,结合从网络安全对象201处采集的当前安全数据和/或历史安全数据采用综合分析法计算得到态势综合分析结果。
态势综合分析结果用于描述威胁处置、资源调配、安全功能配置、安全功能升级中任意一种完成后相应的安全保障对象在各安全态势指标上的指标值,可用如下一个或多个字段的任意组合来描述:态势综合分析结果ID、综合分析者ID、综合分析者、安全保障对象、安全态势指标、安全态势指标值。
综合分析法可以采用加权平均法、模糊分析法、抽样检测法和概率统计法中的至少一种,本发明实施例对此不做具体限定。在计算完成态势综合分析结果后,安全态势分析单元202将态势综合分析结果发送给安全管理与处置指挥单元204。
安全管理与处置指挥单元204在确定处置研判结果后,将处置研判结果传输至安全态势分析单元202。
安全管理与处置指挥单元204基于威胁报警信息、威胁预警信息、安全服务能力编排结果、威胁处置结果和态势综合分析结果中的至少一种进行融合分析,得到第二融合分析结果。安全管理与处置指挥单元204进行融合分析还可以结合历史安全数据,本发明实施例对此不做具体限定。安全管理与处置指挥单元204基于网络安全对象201确定的威胁处置结果、安全态势分析单元202确定的威胁报警信息、安全态势分析单元202确定的威胁预警信息、安全态势分析单元202确定的态势综合分析结果、安全服务能力编排单元203确定的安全服务能力编排结果中的至少一种,确定处置研判结果,将所述处置研判结果发送至安全态势分析单元202,将第二融合分析结果和处置研判结果发送至安全服务能力编排单元203。
安全态势分析单元202接收到处置研判结果后,对处置研判结果、安全数据、威胁处置结果中的至少一种进行分析得到第一融合分析结果。安全态势分析单元202还可以基于处置研判结果、安全数据中的至少一种进行安全态势分析,获得态势研判结果。安全态势分析单元202将第一融合分析结果和态势研判结果上报至安全服务能力编排单元203。
融合分析结果包括第一融合分析结果和/或第二融合分析结果,用于安全服务能力编排单元203确定安全服务能力编排结果。
现有的网络安全防护系统主要由威胁处置指挥单元对威胁处置效果进行单源验证,验证主体和验证方式单一,不能保障效果验证的准确性和客观性。针对于这一问题,基于上述任一实施例,安全服务能力编排单元203包括编排子单元和双重验证子单元;
其中,编排子单元用于基于安全防护需求、融合分析结果、安全服务编排预案、威胁处置信息、安全态势信息、威胁处置结果、编排执行结果、处置研判结果以及态势研判结果中的至少一种,确定安全服务能力编排结果;
双重验证子单元用于基于第一融合分析结果和第二融合分析结果,确定验证结果。
具体地,编排子单元用于基于安全防护需求、融合分析结果、安全服务编排预案、威胁处置信息、安全态势信息、威胁处置结果、编排执行结果、处置研判结果以及态势研判结果中的至少一种,确定安全服务能力编排结果。
安全态势信息可以包括第一安全态势信息和第二安全态势信息中的至少一种。其中,第一安全态势信息是指威胁处置前的安全态势信息;第二安全态势信息是指威胁处置后的安全态势信息。
融合分析结果具体包括第一融合分析结果和第二融合分析结果中的至少一种。融合分析结果可来源于历史融合分析结果和/或当前融合分析结果。
双重验证子单元获取来自安全态势分析单元202的第一融合分析结果和来自安全管理与处置指挥单元204的第二融合分析结果后,对第一融合分析结果和第二融合分析结果进行双重验证,验证结果的一致性。
本发明实施例提供的网络安全防护系统,通过双重验证子单元对来自安全态势分析单元的第一融合分析结果和来自安全管理与处置指挥单元的第二融合分析结果进行双重验证,确保了融合分析的准确性和客观性。
基于上述任一实施例,双重验证子单元具体用于对第一融合分析结果和第二融合分析结果进行安全指标值一致性验证和/或融合分析结果一致性验证。
具体地,验证结果的一致性包括安全指标值一致性和/或融合分析结果一致性。
安全指标值一致性具体为安全指标值一致性逐一比较,是指对第一融合分析结果和第二融合分析结果中的单个安全指标值进行逐一比较。
融合分析结果一致性具体为融合分析结果一致性综合判定,是指当存在多个安全指标进行比较时,安全服务能力编排单元103综合判定第一融合分析结果和第二融合分析结果是否具有一致性。
例如,假设某事件处置结果的安全评价指标为<身份匿名性、消息完整性、消息机密性>,若安全态势分析单元202和安全管理与处置指挥单元204对该事件处置后得到的第一融合分析结果和第二融合分析结果中对应评分分别为<75,80,85>和<70,85,80>。由于这两套评分中不存在其中一套评分的每个单项均比另外一套的单项并评分高,因此,需要进行综合判定。综合判定的方式包括欧氏距离、曼哈顿距离、切比雪夫距离、闵可夫斯基距离和标准化欧氏距离中的至少一种,本发明实施例对此不做具体限定。若两者距离小于综合判定设定的阈值,则第一融合分析结果和第二融合分析结果具有一致性,否则不具有一致性。
基于上述任一实施例,双重验证子单元在进行安全指标值一致性验证和/或融合分析结果一致性验证之前,还用于对第一融合分析结果和第二融合分析结果进行安全指标映射和/或安全指标量纲映射。
具体地,由于第一融合分析结果和第二融合分析结果分别是在安全态势分析单元202和安全管理与处置指挥单元204中确定的。两种融合分析结果可能存在安全指标和/或安全指标量纲上的不同。在进行验证一致性之前,需要对两种融合分析结果进行映射处理,具体包括安全指标映射和/或安全指标量纲映射。
安全指标不一致包括语法不一致和语义不一致性两种类型,其中语法不一致是指同一语义用多个不同的指标进行描述。例如,语法上不同的两个指标“机密性”和“保密性”在语义上是等价的,语法上不一致的安全指标映射方法可采用模板翻译等方法。其中模板翻译是指定义两个或多个指标间的语法映射模板,并基于该映射模板,实现不同语义相同但语法不同的指标间的翻译,例如,将“机密性—保密性”定义为一个模板,当第一融合分析结果中出现“机密性”,第二融合分析结果中出现“保密性”,可以将这两个安全指标作为等价指标进行比较验证。
安全指标量纲映射是指若同一指标的值存在不同的量纲,则为了比较不同量纲的指标值,需要进行量纲映射。例如,在安全态势分析单元202和安全管理与处置指挥单元204对机密性的评价取值变化区间分别是[0,10]和[0,100]。为了执行研判,需要对其变化区间的量纲进行映射,如安全态势分析单元202中机密性的变化区间[0,10]乘以10,以此保持与机密性在安全管理与处置指挥单元204中的变化区间相同,以方便进行验证比较。
基于上述任一实施例,编排子单元具体用于:
基于安全防护需求、融合分析结果、安全服务编排预案、威胁处置信息、安全态势信息、威胁处置结果、编排执行结果、处置研判结果以及态势研判结果中的至少一种,确定安全服务编排预案;
其中,确定安全服务编排预案,具体包括确定新的安全服务编排预案和/或调整原有安全服务编排预案;
基于安全服务编排预案,确定安全服务能力编排结果。
具体地,可以基于安全防护需求、融合分析结果、安全服务编排预案、威胁处置信息、安全态势信息、威胁处置结果、编排执行结果、处置研判结果以及态势研判结果中的至少一种确定安全服务编排预案。
安全保障能力用于描述安全防护设备能提供的安全功能和最高安全性能,包括原子能力和复合能力,其中原子能力是具有最小粒度的不可再细分的能力,原子能力包括加密、解密、数字签名、数字验签、关键词过滤能力、IP过滤能力、端口过滤能力、密钥重构能力、密码算法重构能力、防重放能力、虹膜识别能力、指纹识别能力、恶意代码检测能力、进程查杀能力、CPU利用率监测能力、内存利用率监测能力、路由调整能力、链路重构能力中的至少一种;复合能力可由若干个子能力构成,包括但不限于密码服务能力、过滤能力、单/双向认证能力、防病毒能力、资源监控能力、建立安全隧道能力、态势分析能力、拒绝服务攻击防护能力。安全保障能力可用安全保障能力树CapTree=<V,E,T>描述。其中,V为树的节点集合,每个节点表示以一个网络安全对象或网络安全子对象,树的节点集合包含叶子节点和非叶子节点,叶子节点代表该叶子节点所对应的网络安全对象或网络安全子对象的原子能力,非叶子节点代表该叶子节点所对应的网络安全对象或网络安全子对象的复合能力;树的边E集代表“能力包含”关系,边起始节点所代表的能力包含边终止节点所代表的能力。例如,若令e=(v1,v2)∈E,则节点v1所对应的网络安全对象或网络安全子对象的能力包含了节点v2所对应的网络安全对象或网络安全子对象的能力;T为所有节点的标签集合,对每个叶节点,其标签包括网络安全对象ID、原子能力名和若干参数中的至少一种。例如,<0001,加密,最大加密速率:20Gbps>表示ID为0001的网络安全对象能够提供加密能力,其最大加密速率为20Gbps。对非叶子节点,其标签集合为将该叶子作为根节点的子树的所有叶子节点的能力的并集(其子树的非根节点的标签称之为相对于该非叶子节点的子标签),或者与该并集在语义上等价的标签集合,获取在语义上等价的标签集合的方式包括标签融合等。例如,假设复合节点v1包含2条边:(v1,v2)和(v1,v3),v2和v3为叶节点,其标签分别为<0011,加密,最大加密速率:20Gbps>,<0012,解密,最大加密速率:20Gbps>,则v1的标签为{<0011,加密,最大加密速率:20Gbps>,<0012,解密,最大加密速率:20Gbps>}或{<0010,加解密,最大加解密速率:20Gbps>}。由于一个网络安全对象可能由若干网络安全子对象构成,每个网络安全对象或网络安全对象子对象都有网络安全子对象ID。在标签融合中,各个子标签可能有不同的网络安全对象ID;融合后得到标签中的网络安全对象ID可以是该标签所对应的网络安全对象的ID,也可以是由其子标签的融合。
安全服务编排预案用于描述安全事件触发后在给定时间区间内并满足编排条件下,防护主体应对防护对象采取的措施以及措施执行顺序。安全服务编排预案的要素包括安全触发事件、时间区间、编排条件、防护主体、防护对象、操作集、操作参数和操作执行顺序中的至少一种。其中,安全触发事件包括安全防护需求、安全态势报警、安全态势预警、融合分析结果、处置研判结果和态势研判结果中的至少一种。其中,安全态势报警和安全态势预警的描述信息包括攻击目标、攻击者、攻击类型、攻击时间、攻击路径、攻击频率、攻击强度和危害程度中的至少一种。编排条件包括防护资源条件和防护能力条件中的至少一种。防护资源条件包括计算资源条件、存储资源条件、带宽资源条件和空间资源条件中的至少一种。防护能力条件包括密码能力条件、过滤能力条件、单/双向认证能力条件、资源监控能力条件、建立安全隧道能力条件、态势分析能力条件、拒绝服务攻击防护能力条件中的至少一种。其中,密码能力约束包括是否具备加解密能力、最低加解密速率、是否具备签名验签能力、最低签名验签速率、是否具备认证能力、最低认证速率、是否具备Hash能力和最低Hash校验速率中的至少一种,过滤能力条件包括是否支持五元组过滤、五元组最低过滤速率、是否支持内容层过滤、是否支持模糊过滤、内容层最低过滤速率和内容过滤最低准确度中的至少一种,单/双向认证能力条件包括最低单/双向认证速率、最高单/双向认证并发数中的至少一种,资源监控能力条件包括是否具备CPU利用率监测能力、是否具备内存利用率监测能力、是否具备带宽利用率监测能力、最大监测主机数中的至少一种,建立安全隧道能力条件包括是否具备链路层安全隧道建立能力、是否具备建立网络层隧道能力、是否具备建立传输层链路能力、是否具备建立加密隧道能力、是否具备建立认证隧道能力中的至少一种,态势分析能力条件包括是否具备威胁报警能力、是否具备威胁预警能力、最大网络范围中的至少一种。
操作集是指在防护对象上所实施的安全操作集合,包括威胁处置操作、资源调配操作、安全功能配置操作和安全功能升级操作中的至少一种。威胁处置操作包括更新防火墙配置、数据迁移、数据恢复和病毒查杀中的至少一种。资源调配操作包括资源分配、资源释放、资源回收和资源销毁中的至少一种。安全功能配置包括配置更新、配置删除、配置冲突检测和配置启停中的至少一种。安全功能升级包括安全功能版本管理和/或安全功能更新。操作执行顺序定义各个操作在防护对象上的执行时序。
确定安全服务编排预案包括确定新的安全服务编排预案和/或调整原有安全服务编排预案。
安全服务编排预案生成方式包括人工录入和/或自动生成,通过所述自动生成方式得到的安全服务编排预案包括经过验证是正确的安全服务编排预案和/或未经过验证的安全服务编排预案。
新的安全服务编排预案确定方法包括主成分分析法、启发式法、单目标优化和多目标优化中的至少一种,本发明实施例对此不做具体限定。依据网络拓扑结构、资产价值、安全防护需求和历史数据等因素,评估潜在安全风险,分析潜在威胁处置对象和潜在的威胁处置措施,计算潜在威胁处置措施的收益和威胁处置措施所需要的编排资源,得到满足编排条件的新的安全服务编排预案。
调整原有安全服务编排预案的触发条件包括融合分析结果、处置研判结果和态势研判结果中的至少一种,表明现有安全服务能力编排预案不满足预定安全防护需求和/或服务需求,安全服务能力编排预案的调整将降低防护成本、提升防护收益和/或提升防护性价比、增加新的防护措施、提升防护措施的防护能力和降低防护成本中的至少一种,本发明实施例对此不做具体限定。
安全服务能力编排结果是安全事件被触发时在安全保障能力、安全保障资源、安全保障成本约束下,满足安全防护需求和/或服务需求的安全服务编排预案的实例化。基于安全服务编排预案,可以确定安全服务能力编排结果。
本发明实施例提供的网络安全防护系统,依据安全防护需求、融合分析结果、安全服务编排预案、威胁处置信息、安全态势信息、威胁处置结果、编排执行结果、处置研判结果以及态势研判结果中的至少一种,按需确定具有全局优化特性的安全服务能力编排结果,降低了安全防护资源消耗和提高了处置的准确性。
基于上述任一实施例,编排子单元还依据安全态势信息和融合分析结果对安全服务能力编排结果进行校正,提升安全服务能力编排结果的准确性。
基于上述任一实施例,安全服务能力编排结果包括威胁处置策略、资源调配策略、安全功能配置策略以及安全功能升级策略中的至少一种。
具体地,安全服务能力编排结果包括威胁处置策略、资源调配策略、安全功能配置策略以及安全功能升级策略中的至少一种。
安全服务能力编排结果确定方式包括模板准确匹配、模板模糊匹配、单目标优化和多目标优化中的至少一种。确定安全服务能力编排结果后,需要进行冲突检测,冲突检测类型包括时间冲突、频率冲突和参数冲突中的至少一种。检测方式包括基于图的检测、基于逻辑推理的检测和基于统计的检测中的至少一种。本发明实施例对策略确定方式、冲突检测类型和检测方式不做具体限定。
安全管理与处置指挥单元204可以根据安全服务能力编排结果、网络拓扑信息、资源属性库、资源能力库和抽象操作分解模板中的至少一种,确定安全服务能力编排指令。安全服务能力编排指令确定方式包括模板模糊匹配、模板准确匹配、单目标优化和多目标优化中的至少一种。
其中,基于模板的安全服务能力编排指令确定方式如下:由于在安全服务能力编排结果的执行主体中定义了抽象主体、抽象客体,网络拓扑描述了该网络中的所有资源,资源属性库描述了所有资源的属性,资源能力库描述了所有资源的能力,因此将抽象主体和抽象客体在网络拓扑中资源属性、资源能力上投影,获得原子执行主体和原子客体;由于抽象操作分解模板定义了抽象操作与原子操作间的映射以及原子操作的执行顺序,因此可采用给定抽象操作,获得原子操作及其执行顺序。基于多目标优化的安全服务能力编排指令确定中,多目标优化的优化目标包括但不限于:所辖域内的防护成本最小,所辖域内的防护收益尽可能大、所辖域内的防护性价比最高,单目标优化或多目标规划的约束条件包括满足所辖域内的安全防护需求、满足所辖域内的服务需求、所辖域内的防护成本小于预定值、所辖域内的防护收益大于预定值和实际所有的安全保障需求不高于安全保障能力中的至少一种。规划算法的求解方式包括遗传算法、模拟退火算法、蚁群算法中的至少一种。
安全服务能力编排指令是在网络安全对象201上可执行的不可分解的命令。
对应地,网络安全对象201,用于执行安全管理与处置指挥单元204基于安全服务能力编排结果确定并下发的安全服务能力编排指令。
基于上述任一实施例,安全服务能力编排指令包括威胁处置指令、资源调配指令、安全功能配置指令以及安全功能升级指令中的至少一类,可以是一个网络安全对象的一条指令、一个网络安全对象的多条指令、多个网络安全对象时每个网络安全对象的一条指令、多个网络安全对象时每个网络安全对象的多条指令中的至少一种。
具体地,若指令为威胁处置指令,则网络安全对象201依据处置指令中的处置时间、处置目标、处置频率等参数执行相应处置。其中,威胁处置指令包括单目标攻击防护指令和区域目标攻击防护指令中的至少一种。
若指令为资源调配指令,则网络安全对象201依据资源调配指令中的调配时间、调配主体、调配客体、调配参数等执行资源调配。
若指令为安全功能配置指令,则网络安全对象201依据配置指令中的配置时间、配置目标、配置参数等执行配置;若配置失败,则研判配置失败原因,进行重新配置或放弃。
若指令为安全功能升级指令,则网络安全对象201依据安全功能升级指令中的审计时间、升级参数、升级所用的数据包参数等执行安全功能升级。
基于上述任一实施例,安全管理与处置指挥单元204还用于获取网络安全对象201反馈的指令执行结果。
具体地,网络安全对象201执行完成安全服务能力编排指令后,向安全管理与处置指挥单元204反馈指令执行结果,指令执行结果指收到的指令及指令执行情况,包括收到的威胁处置指令、威胁处置指令执行情况、收到的资源调配指令、资源调配指令执行情况、收到的安全功能配置指令、安全功能配置指令执行情况、收到的安全功能升级指令、安全功能升级指令执行情况中的至少一种。安全管理与处置指挥单元204存储指令执行结果,并将其反馈至安全服务能力编排单元203。
本发明实施例提供的网络安全防护系统,通过安全管理和处置指挥单元下发安全服务能力编排指令和/或接收指令执行结果,降低网络防护系统的指令接收接口数量。
基于上述任一实施例,安全数据和/或威胁处置结果是网络安全对象201向安全态势分析单元202主动推送的,和/或安全态势分析单元202从网络安全对象201采集得到的。
本发明实施例提供的网络安全防护系统,通过网络安全对象201向安全态势分析单元202主动推送安全数据和威胁处置结果,降低了数据采集的资源消耗,提升了数据采集的准确性。
基于上述任一实施例,图3为本发明实施例提供的网络安全防护系统的交互示意图,如图3所示,安全态势分析单元接收网络安全对象发送的安全数据和威胁处置结果,以及安全管理与处置指挥单元发送的处置研判结果;向安全服务能力编排单元发送第一融合分析结果、态势研判结果、第一安全态势信息和第二安全态势信息;向安全管理与处置指挥单元发送威胁报警信息和/或威胁预警信息、威胁处置结果和态势综合分析结果。
安全服务能力编排单元接收安全防护需求、安全态势分析单元发送的第一融合分析结果、态势研判结果、第一安全态势信息和第二安全态势信息,以及安全管理与处置指挥单元发送的第二融合分析结果、指令执行结果、处置研判结果、威胁处置信息和威胁处置结果;向安全管理与处置指挥单元发送安全服务能力编排结果。
安全管理与处置指挥单元接收安全态势分析单元发送的威胁报警信息和/或威胁预警信息、威胁处置结果和态势综合分析结果,安全服务能力编排单元发送的安全服务能力编排结果,以及网络安全对象发送的指令执行结果;向安全态势分析单元发送处置研判结果;向安全服务能力编排单元发送第二融合分析结果、指令执行结果、处置研判结果、威胁处置信息和威胁处置结果;向网络安全对象发送安全服务能力编排指令。
网络安全对象只接收安全管理与处置指挥单元下发的安全服务能力编排指令;向安全态势分析单元发送安全数据和威胁处置结果;向安全管理与处置指挥单元发送指令执行结果。
下面通过示例来说明上述实施例中网络安全防护系统中网络安全对象接收到安全管理与处置指挥单元指令后的运行管理过程,运行管理包括但不限于:威胁处置状态管理、安全功能配置管理、安全功能升级管理。运行管理可采用链表、栈和队列等方式进行管理。链表包括但不限于:威胁处置状态管理链表、安全功能配置管理链表、安全功能升级管理链表,栈包括但不限于:威胁处置状态管理栈、安全功能配置管理栈、安全功能升级管理栈,队列包括但不限于:威胁处置状态管理队列、安全功能配置管理队列、安全功能升级管理队列。
以安全功能配置管理为例,当网络安全对象首次接收到安全管理与处置指挥单元下发的威胁处置指令时,将当前的运行配置插入到安全功能配置管理链表的头节点,链表中节点信息包括但不限于:运行配置ID、运行配置、当前保存时间。其中运行配置包括但不限于:网络配置、防火墙配置、黑/白名单配置、入侵检测规则配置、日志记录配置、设备/系统基本配置、设备/系统能力配置、设备/系统威胁处置配置。将当前的运行状态插入到威胁处置状态管理链表的头节点,并链表的当前指针指向威胁处置状态管理链表的尾节点。而后网络安全对象依据指令类型执行安全服务能力编排指令。若指令类型为威胁处置指令,则依据威胁处置指令中的处置时间、处置目标、处置频率等参数执行相应处置。在威胁处置指令执行过程中,运行配置可能动态变化;当运行配置变化时,将运行配置插入到威胁处置状态管理链表尾节点中,链表的当前指针指向威胁处置状态管理链表的尾节点。
威胁处置指令执行完成后,采用威胁评估算法对威胁处置效果进行评估。若威胁处置效果大于等于阈值,则将威胁处置状态管理链表的当前指针指向威胁处置前的节点,将所述威胁处置前的节点中的运行配置作为网络安全对象的当前配置,此外可抽取当前指令中的处置对象、处置频率等信息,并将之与触发本次指令执行的事件等融合形成为安全服务编排预案。若威胁处置效果小于阈值,网络安全对象等待安全管理与处置指挥单元下发的威胁处置指令;当接收到网络安全对象接收到安全管理与处置指挥单元下发的威胁处置指令后,将当前的运行配置插入到安全功能配置管理链表的尾节点,并执行威胁处置指令。网络安全对象的第一次配置为缺省配置,缺省配置由人工决定或由安全服务能力编排结果中首次下发的配置指令的配置。
本发明实施例提供的网络安全防护系统,系统各组成单元互为一体、有机融合、相互协同、形成闭环,系统联动性强,能够按需配置防护资源和精准及时处置网络威胁,通过安全服务能力编排单元对来自安全态势分析单元的第一融合分析结果和来自安全管理与处置指挥单元的第二融合分析结果进行双重验证,确保了融合分析的准确性和客观性,同时,系统通过安全管理与处置指挥单元下发安全服务能力编排指令,降低了网络安全对象的指令接收接口的数量。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干命令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (22)

1.一种网络安全防护方法,其特征在于,包括:
基于安全防护需求、融合分析结果、安全服务编排预案、威胁处置信息、安全态势信息、威胁处置结果、编排执行结果、处置研判结果以及态势研判结果中的至少一种,确定安全服务能力编排结果;
将所述安全服务能力编排结果分解下发至安全管理与处置指挥单元,以供所述安全管理与处置指挥单元基于所述安全服务能力编排结果确定安全服务能力编排指令并下发至网络安全对象;
所述融合分析结果用于描述威胁处置指令的执行效果。
2.根据权利要求1所述的网络安全防护方法,其特征在于,所述融合分析结果包含第一融合分析结果和/或第二融合分析结果;
其中,所述第一融合分析结果是安全态势分析单元基于安全数据、所述威胁处置结果和所述处置研判结果中的至少一种确定的;
所述第二融合分析结果是所述安全管理与处置指挥单元基于威胁报警信息、威胁预警信息、所述安全服务能力编排结果、所述威胁处置结果和态势综合分析结果中的至少一种确定的。
3.根据权利要求2所述的网络安全防护方法,其特征在于,所述基于安全防护需求、融合分析结果、安全服务编排预案、威胁处置信息、安全态势信息、威胁处置结果、编排执行结果、处置研判结果以及态势研判结果中的至少一种,确定安全服务能力编排结果,之前还包括:
基于所述第一融合分析结果和所述第二融合分析结果,确定验证结果。
4.根据权利要求3所述的网络安全防护方法,其特征在于,所述基于所述第一融合分析结果和所述第二融合分析结果,确定验证结果,具体包括:
对所述第一融合分析结果和所述第二融合分析结果进行安全指标值一致性验证和/或融合分析结果一致性验证。
5.根据权利要求3所述的网络安全防护方法,其特征在于,所述基于所述第一融合分析结果和所述第二融合分析结果,确定验证结果,之前还包括:
对所述第一融合分析结果和所述第二融合分析结果进行安全指标映射和/或安全指标量纲映射。
6.根据权利要求3所述的网络安全防护方法,其特征在于,所述基于安全防护需求、融合分析结果、安全服务编排预案、威胁处置信息、安全态势信息、威胁处置结果、编排执行结果、处置研判结果以及态势研判结果中的至少一种,确定安全服务能力编排结果,具体包括:
基于安全防护需求、融合分析结果、安全服务编排预案、威胁处置信息、安全态势信息、威胁处置结果、编排执行结果、处置研判结果以及态势研判结果中的至少一种,确定安全服务编排预案;
其中,所述确定安全服务编排预案,具体包括确定新的安全服务编排预案和/或调整原有安全服务编排预案;
基于所述安全服务编排预案,确定所述安全服务能力编排结果。
7.根据权利要求1至6中任一项所述的网络安全防护方法,其特征在于,所述安全服务能力编排结果包括威胁处置策略、资源调配策略、安全功能配置策略以及安全功能升级策略中的至少一种。
8.一种网络安全防护方法,其特征在于,包括:
将安全态势信息发送至安全服务能力编排单元,以供所述安全服务能力编排单元基于安全防护需求、融合分析结果、安全服务编排预案、威胁处置信息、安全态势信息、威胁处置结果、编排执行结果、处置研判结果以及态势研判结果中的至少一种,确定安全服务能力编排结果,并由安全管理与处置指挥单元基于所述安全服务能力编排结果确定安全服务能力编排指令并下发至网络安全对象;
所述融合分析结果用于描述威胁处置指令的执行效果。
9.根据权利要求8所述的网络安全防护方法,其特征在于,还包括:
基于所述网络安全对象确定的安全数据和/或所述威胁处置结果确定态势综合分析结果;
将所述威胁处置结果和/或所述态势综合分析结果发送至所述安全管理与处置指挥单元,以供所述安全管理与处置指挥单元基于威胁报警信息、威胁预警信息、所述安全服务能力编排结果、所述威胁处置结果和所述态势综合分析结果中的至少一种确定第二融合分析结果并发送至所述安全服务能力编排单元,以及供所述安全管理与处置指挥单元基于所述威胁处置结果、所述威胁报警信息、所述威胁预警信息、所述安全服务能力编排结果和所述态势综合分析结果中的至少一种,确定所述处置研判结果;
接收所述安全管理与处置指挥单元返回的所述处置研判结果,基于所述处置研判结果、所述安全数据和所述威胁处置结果中的至少一种确定第一融合分析结果并发送至所述安全服务能力编排单元,以供所述安全服务能力编排单元基于所述第一融合分析结果和所述第二融合分析结果,确定验证结果。
10.一种网络安全防护方法,其特征在于,包括:
基于安全服务能力编排单元下发的安全服务能力编排结果,确定安全服务能力编排指令;
将所述安全服务能力编排指令下发至网络安全对象;
其中,所述安全服务能力编排结果是所述安全服务能力编排单元基于安全防护需求、融合分析结果、安全服务编排预案、威胁处置信息、安全态势信息、威胁处置结果、编排执行结果、处置研判结果以及态势研判结果中的至少一种确定的;
所述融合分析结果用于描述威胁处置指令的执行效果。
11.根据权利要求10所述的网络安全防护方法,其特征在于,还包括:
基于威胁报警信息、威胁预警信息、所述安全服务能力编排结果、所述威胁处置结果,以及安全态势分析单元发送的态势综合分析结果中的至少一种确定第二融合分析结果;所述态势综合分析结果是所述安全态势分析单元基于安全数据和/或所述威胁处置结果确定的;
将所述处置研判结果发送至所述安全态势分析单元,以供所述安全态势分析单元基于所述处置研判结果、所述安全数据和所述威胁处置结果中的至少一种确定第一融合分析结果;
将所述第二融合分析结果发送至所述安全服务能力编排单元,以供所述安全服务能力编排单元基于所述第一融合分析结果和所述第二融合分析结果,确定验证结果。
12.根据权利要求10或11所述的网络安全防护方法,其特征在于,所述安全服务能力编排指令包括威胁处置指令、资源调配指令、安全功能配置指令以及安全功能升级指令中的至少一种。
13.一种网络安全防护系统,其特征在于,包括:
安全态势分析单元,用于基于网络安全对象确定的安全数据和/或安全管理与处置指挥单元确定的处置研判结果,确定态势研判结果;
安全管理与处置指挥单元,用于基于网络安全对象确定的威胁处置结果、安全态势分析单元确定的威胁报警信息、安全态势分析单元确定的威胁预警信息、安全态势分析单元确定的态势综合分析结果和安全服务能力编排单元确定的安全服务能力编排结果中的至少一种,确定所述处置研判结果;
安全服务能力编排单元,用于基于安全防护需求、融合分析结果、安全服务编排预案、威胁处置信息、安全态势信息、威胁处置结果、编排执行结果、处置研判结果以及态势研判结果中的至少一种,确定安全服务能力编排结果;
所述网络安全对象,用于执行所述安全管理与处置指挥单元基于所述安全服务能力编排结果确定并下发的安全服务能力编排指令;
所述融合分析结果用于描述威胁处置指令的执行效果。
14.根据权利要求13所述的网络安全防护系统,其特征在于,所述融合分析结果包含第一融合分析结果和/或第二融合分析结果;
其中,所述第一融合分析结果是所述安全态势分析单元基于安全数据、所述威胁处置结果和所述处置研判结果中的至少一种确定的;
所述第二融合分析结果是所述安全管理与处置指挥单元基于威胁报警信息、威胁预警信息、所述安全服务能力编排结果、所述威胁处置结果和态势综合分析结果中的至少一种确定的。
15.根据权利要求14所述的网络安全防护系统,其特征在于,所述安全服务能力编排单元包括编排子单元和双重验证子单元;
其中,所述编排子单元用于基于安全防护需求、融合分析结果、安全服务编排预案、威胁处置信息、安全态势信息、威胁处置结果、编排执行结果、处置研判结果以及态势研判结果中的至少一种,确定所述安全服务能力编排结果;
所述双重验证子单元用于基于所述第一融合分析结果和所述第二融合分析结果,确定验证结果。
16.根据权利要求15所述的网络安全防护系统,其特征在于,所述双重验证子单元具体用于对所述第一融合分析结果和所述第二融合分析结果进行安全指标值一致性验证和/或融合分析结果一致性验证。
17.根据权利要求15所述的网络安全防护系统,其特征在于,所述双重验证子单元在进行安全指标值一致性验证和/或融合分析结果一致性验证之前,还用于对所述第一融合分析结果和所述第二融合分析结果进行安全指标映射和/或安全指标量纲映射。
18.根据权利要求15所述的网络安全防护系统,其特征在于,所述编排子单元具体用于:
基于安全防护需求、融合分析结果、安全服务编排预案、威胁处置信息、安全态势信息、威胁处置结果、编排执行结果、处置研判结果以及态势研判结果中的至少一种,确定安全服务编排预案;
其中,所述确定安全服务编排预案,具体包括确定新的安全服务编排预案和/或调整原有安全服务编排预案;
基于所述安全服务编排预案,确定所述安全服务能力编排结果。
19.根据权利要求13至18中任一项所述的网络安全防护系统,其特征在于,所述安全服务能力编排结果包括威胁处置策略、资源调配策略、安全功能配置策略以及安全功能升级策略中的至少一种。
20.根据权利要求19所述的网络安全防护系统,其特征在于,所述安全服务能力编排指令包括威胁处置指令、资源调配指令、安全功能配置指令以及安全功能升级指令中的至少一种。
21.根据权利要求13至18中任一项所述的网络安全防护系统,其特征在于,所述安全管理与处置指挥单元还用于获取所述网络安全对象反馈的指令执行结果。
22.根据权利要求13至18中任一项所述的网络安全防护系统,其特征在于,所述安全数据和/或所述威胁处置结果是所述网络安全对象向所述安全态势分析单元主动推送的,和/或所述安全态势分析单元从所述网络安全对象采集得到的。
CN202010427084.2A 2020-05-19 2020-05-19 一种网络安全防护方法及系统 Active CN111756692B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010427084.2A CN111756692B (zh) 2020-05-19 2020-05-19 一种网络安全防护方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010427084.2A CN111756692B (zh) 2020-05-19 2020-05-19 一种网络安全防护方法及系统

Publications (2)

Publication Number Publication Date
CN111756692A CN111756692A (zh) 2020-10-09
CN111756692B true CN111756692B (zh) 2021-05-14

Family

ID=72673894

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010427084.2A Active CN111756692B (zh) 2020-05-19 2020-05-19 一种网络安全防护方法及系统

Country Status (1)

Country Link
CN (1) CN111756692B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113347632A (zh) * 2020-11-11 2021-09-03 周金华 应用于人工智能的热点共享方法及大数据云平台
CN113780443B (zh) * 2021-09-16 2023-11-28 中国民航大学 一种面向威胁检测的网络安全态势评估方法
CN114928509B (zh) * 2022-05-25 2023-04-11 中国联合网络通信集团有限公司 一种宽带接入服务系统及其处理方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104618379A (zh) * 2015-02-04 2015-05-13 北京天地互连信息技术有限公司 一种面向idc业务场景的安全服务编排方法及网络结构
CN105207798A (zh) * 2014-06-26 2015-12-30 中兴通讯股份有限公司 软件定义网络中的业务编排方法及装置

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8555394B2 (en) * 2008-11-15 2013-10-08 Vibesec Ltd. Network security server suitable for unified communications network
CN104463759A (zh) * 2014-11-28 2015-03-25 东莞中国科学院云计算产业技术创新与育成中心 基于数字预案的决策指挥一体机及其运行方法
CN106817275B (zh) * 2016-12-16 2020-05-08 江苏省未来网络创新研究院 一种自动化预防和编排处理策略冲突的系统和方法
CN107222433B (zh) * 2017-04-18 2019-12-10 中国科学院信息工程研究所 一种基于sdn网络路径的访问控制方法及系统
CN108200207A (zh) * 2018-02-11 2018-06-22 中国联合网络通信集团有限公司 云计算系统安全服务的方法和系统、安全云管理平台
CN108881207B (zh) * 2018-06-11 2020-11-10 中国人民解放军战略支援部队信息工程大学 基于安全服务链的网络安全服务实现方法
CN108965289B (zh) * 2018-07-10 2019-10-29 北京明朝万达科技股份有限公司 一种网络安全协同防护方法和系统
CN109347663B (zh) * 2018-09-28 2021-01-12 南京易捷思达软件科技有限公司 一种OpenStack云平台中资源可视化编排方法
CN109947534B (zh) * 2019-03-12 2022-12-27 中山大学 一种基于sdn的云安全功能调度系统
CN110213369B (zh) * 2019-06-03 2021-03-16 电子科技大学 一种服务功能链自动编排系统及其编排方法
CN111064715B (zh) * 2019-11-29 2022-05-17 北京浪潮数据技术有限公司 一种防火墙的编排方法、装置和计算机可读存储介质

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105207798A (zh) * 2014-06-26 2015-12-30 中兴通讯股份有限公司 软件定义网络中的业务编排方法及装置
CN104618379A (zh) * 2015-02-04 2015-05-13 北京天地互连信息技术有限公司 一种面向idc业务场景的安全服务编排方法及网络结构

Also Published As

Publication number Publication date
CN111756692A (zh) 2020-10-09

Similar Documents

Publication Publication Date Title
Chica et al. Security in SDN: A comprehensive survey
US10397255B1 (en) System and method for providing security in a distributed computation system utilizing containers
Balamurugan et al. Enhanced intrusion detection and prevention system on cloud environment using hybrid classification and OTS generation
CN111756692B (zh) 一种网络安全防护方法及系统
Snapp et al. Dids (distributed intrusion detection system)–motivation
Kholidy Detecting impersonation attacks in cloud computing environments using a centric user profiling approach
Shameli-Sendi et al. Taxonomy of intrusion risk assessment and response system
Deb et al. A comprehensive survey of vulnerability and information security in SDN
CN109587174B (zh) 用于网络防护的协同防御方法和系统
CN104115463A (zh) 用于处理网络元数据的流式传输方法和系统
Garg et al. Performance analysis of snort-based intrusion detection system
US20230095415A1 (en) Helper agent and system
Sharma et al. Survey of intrusion detection techniques and architectures in cloud computing
Panahnejad et al. APT-Dt-KC: advanced persistent threat detection based on kill-chain model
Gnatyuk et al. Studies on Cloud-based Cyber Incidents Detection and Identification in Critical Infrastructure.
US20210344723A1 (en) Distributed network application security policy generation and enforcement for microsegmentation
KR20020072618A (ko) 네트워크 기반 침입탐지 시스템
Araujo et al. Evidential cyber threat hunting
KR102131496B1 (ko) 보안 문제의 근본적인 원인 제공을 위한 보안 출처 제공 시스템 및 그 방법
CN112437070B (zh) 一种基于操作生成树状态机完整性验证计算方法及系统
Vaid et al. Intrusion detection system in software defined network using machine learning approach-survey
El Mir et al. Performance analysis and security based on intrusion detection and prevention systems in cloud data centers
Cerullo et al. Enabling convergence of physical and logical security through intelligent event correlation
Lamb et al. Protecting virtual programmable switches from cross-app poisoning (cap) attacks
Almutairi Improving intrusion detection systems using data mining techniques

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant