CN112532596B - 一种网络安全方案和策略生成方法及装置 - Google Patents
一种网络安全方案和策略生成方法及装置 Download PDFInfo
- Publication number
- CN112532596B CN112532596B CN202011296326.5A CN202011296326A CN112532596B CN 112532596 B CN112532596 B CN 112532596B CN 202011296326 A CN202011296326 A CN 202011296326A CN 112532596 B CN112532596 B CN 112532596B
- Authority
- CN
- China
- Prior art keywords
- scheme
- strategy
- network security
- combination
- recommended
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N7/00—Computing arrangements based on specific mathematical models
- G06N7/02—Computing arrangements based on specific mathematical models using fuzzy logic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Biomedical Technology (AREA)
- Evolutionary Computation (AREA)
- Molecular Biology (AREA)
- Fuzzy Systems (AREA)
- Automation & Control Theory (AREA)
- Algebra (AREA)
- Artificial Intelligence (AREA)
- Computational Mathematics (AREA)
- Data Mining & Analysis (AREA)
- General Health & Medical Sciences (AREA)
- Life Sciences & Earth Sciences (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Pure & Applied Mathematics (AREA)
- Mathematical Physics (AREA)
- Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络安全方案和策略生成方法及装置,该方法包括:根据接收的网络安全需求进行需求特征模糊量化;根据量化的需求特征模糊变量值,在预设的实例库中进行类似方案和策略锚点检索,形成推荐方案和策略组合;对推荐方案和策略组合进行攻防信息校正;基于网络安全需求,计算所述推荐方案和策略组合的量化数据;根据校正的推荐方案和策略组合以及量化数据,生成建议方案和策略。本发明的方法和装置,减少了解和制定网络安全防御策略和执行的复杂度,减少投资额,降低了采用网络安全防御方案的技术门槛,具有很强的社会实际推广意义。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种网络安全方案和策略生成方法及装置。
背景技术
企业、学校和政府部门等单位网络安全策略的制定包含网络架构设计(网段的划分)、防火墙的选型、VPN的设置、IDS的应用、蜜罐的部署、病毒防护策略、密码和加密机制、以及管理制度制定等实际方法和策略的选择,这是一个复杂的多目标决策过程。目前,由于网络安全防护的专业性很强,专业人才相对缺乏,通常情况下有懂网络安全人才的单位并不多。面对日益严峻的国际国内网络安全形势,一般单位通常采用如下的方法制定安全方案和策略:
(1)网络安全成本预算决定网络安全方案和策略制定。一般安全需求的单位,按照信息化建设项目一定比例计算网络安全的投资,并依据网络安全的投资购置相应的网络安全设备,很少定制开发网络安全软件系统,采用现有设备的安全策略配置管理其网络安全事务。这种方法,简单不实际,是对于网路安全及其不负责任的做法,不能有效保障本单位的核心资产的网络安全,因此不推荐这种做法。采用这种做法的原因是态度上对单位网络安全工作不重视,对本单位的网络安全威胁没有实际认知,对网络安全工作走形式、走过场造成的。
(2)同类型单位的网络安全方案和策略复制拷贝。一个比较常用的网络安全策略制定方法,就是依据同类型、相当体量企业的现有安全策略的复制拷贝。虽然,没有考虑自身的特点和需求,但是在专业人员和技术条件都不具备的情况下,人云亦云地模仿其他单位的现有方案和策略,成了一部分不了解网络安全技术的单位制定网络安全方案和策略的主要参考依据。造成这种选择的主要原因是不了解网络安全的专业知识,和对于他人现有(默认是成熟案例)方案的盲目信任。
(3)根据互联网网络安全事件制定临时防御措施。这种方法是依据当下出现的网络安全事件制定本单位的临时防御措施。这在本单位资产目标不是很突出的情况下,尤其表现的很突出。很多对网络安全防御需求不是很强的单位,都是采用这种头痛医头、脚痛医脚的策略进行网络安全建设。造成采用这种临时性网络安全策略的主要原因是单位决策者投资的策略,只是对眼前出现的网络威胁有防御的意愿,只认为眼前的威胁有防御价值,不愿意对看不到的威胁投资做防御方案。
发明内容
基于上述问题,本发明提供一种网络安全方案和策略生成方法和装置,以简化的模糊逻辑评估安全需求,多目标模糊逻辑计算网络安全的防御方案的匹配程度,辅以互联网安全事件信息修正和锚点典型单位安全投资和防护方案,减少了解和制定网络安全防御策略和执行的复杂度,减少投资额,降低了采用网络安全防御方案的技术门槛,具有很强的社会实际推广意义。
为解决上述问题,本发明一个实施例提供了一种网络安全方案和策略生成方法,所述方法包括:
根据接收的网络安全需求进行需求特征模糊量化;
根据量化的需求特征模糊变量值,在预设的实例库中进行类似方案和策略锚点检索,形成推荐方案和策略组合;
对推荐方案和策略组合进行攻防信息校正;
基于网络安全需求,计算所述推荐方案和策略组合的量化数据;
根据校正的推荐方案和策略组合以及量化数据,生成建议方案和策略。
其中,所述方法还包括:
收集典型网络安全方案和策略实例;
对收集的网络安全方案和策略实例进行特征分析;
根据分析得到的网络安全方案和策略实例特征,建立实例特征库和实例库。
其中,所述方法还包括:接收来自用户的网络安全需求。
其中,所述根据量化的需求特征模糊变量值,在特征库中进行类似方案和策略锚点检索,形成推荐方案和策略组合,具体包括:
依据多目标类似计算算法,求取最匹配的特征变量模糊值组合网络安全方案和策略;
依据需求的方案和策略评估变量,求取最匹配的网络安全方案和策略;
将所述最匹配的网络安全和策略作为检索锚点,对比所述特征变量模糊值组合网络安全方案和策略,对所述特征变量模糊值组合网络安全方案和策略进行修正,得到推荐方案和策略组合。
其中,所述对推荐方案和策略组合进行攻防信息校正,具体包括:
分析所述推荐方案和策略组合与网络安全需求之间的差别;
根据分析得到的差别生成供方应对补充方案;
采用特征分类和模糊逻辑变量分类的方法将所述功放应对补充方案和推荐方案和策略组合进行拆分和重组,得到校正的推荐方案和策略组合。
其中,所述基于网络安全需求,计算所述推荐方案和策略组合的量化数据,具体包括:
依据推荐方案和策略组合的特征值对应的网络安全方案,计算所述推荐方案和策略组合的预算成本和整体防护水平评价量化指标。
其中,所述计算所述推荐方案和策略组合的预算成本和整体防护水平评价量化指标,使用的计算方法为加权和或者加权平均计算方法。
本发明的又一个实施例中,提供一种网络安全方案和策略生成装置,所述装置包括:
量化单元,用于根据接收的网络安全需求进行需求特征模糊量化;
组合单元,用于根据量化的需求特征模糊变量值,在特征库中进行类似方案和策略锚点检索,形成推荐方案和策略组合;
校正单元,用于对推荐方案和策略组合进行攻防信息校正;
计算单元,用于基于网络安全需求,计算所述推荐方案和策略组合的量化数据;
方案生成单元,用于根据校正的推荐方案和策略组合以及量化数据,生成建议方案和策略。
其中,所述装置还包括:
案例收集单元,用于收集典型网络安全方案和策略实例;
特征分析单元,用于对收集的网络安全方案和策略实例进行特征分析;
特征库建立单元,用于根据分析得到的网络安全方案和策略实例特征,建立特征库。
其中,所述组合单元,具体包括:
特征匹配子单元,用于依据多目标类似计算算法,求取最匹配的特征变量模糊值组合网络安全方案和策略;
方案匹配子单元,用于依据需求的方案和策略评估变量,求取最匹配的网络安全方案和策略;
对比子单元,用于将所述最匹配的网络安全和策略作为检索锚点,对比所述特征变量模糊值组合网络安全方案和策略,对所述特征变量模糊值组合网络安全方案和策略进行修正,得到推荐方案和策略组合。
本发明实施例的一种网络安全方案和策略生成方法和装置,对防御方案和策略使用模糊逻辑进行等级分类,对不同防护水平和成本的方案进行分级别归类,有利于用户简单需求描述下的方案和策略精准推荐。另外,利用互联网攻防事件信息和类似单位网络安全方案和策略对推荐方案进行修正和调整,有利于用户对推荐方案的现实针对性和实用性的理解。
附图说明
图1示出了本发明的网络安全方案和策略生成方法的流程图;
图2示出了本发明的网络安全方案和策略生成装置的结构框图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
本发明实施例针对影响单位网络安全方案和策略的内外部因素,比如,防护成本、核心资产、现实威胁和攻防预警信息等,模糊量化各种因素的等级,对应不同级别的防护方案和策略,并应用典型单位的成功防护方法和策略作为锚点,根据不同因素对应防护锚点方案的近似程度,确定相应单位的安全防护方案和策略,最后再根据互联网攻防预警信息进行补充和完善,形成主动的简单操作清楚易懂的一般单位网络安全防护方法和策略。
图1示出了本发明的网络安全方案和策略生成方法的流程图。
如图1所示,本发明一个实施例中提供了一种网络安全方案和策略生成方法,包括:
S1、根据接收的网络安全需求进行需求特征模糊量化;
S2、根据量化的需求特征模糊变量值,在特征库中进行类似方案和策略锚点检索,形成推荐方案和策略组合;
S3、对推荐方案和策略组合进行攻防信息校正;
S4、基于网络安全需求,计算所述推荐方案和策略组合的量化数据;
S5、根据校正的推荐方案和策略组合以及量化数据,生成建议方案和策略。
上述实施例中,步骤S1之前还包括:接收来自用户的网络安全需求。
在进一步的实施例中,上述方法还包括:
S01、收集典型网络安全方案和策略实例;
S02、对收集的网络安全方案和策略实例进行特征分析;
S03、根据分析得到的网络安全方案和策略实例特征,建立实例特征库和实例库。
以下通过具体实施例详细描述上述网络安全方案和策略生成方法。
在一个具体的实施例中,步骤S01中,收集典型的、有代表性的单位的网络安全防护方案和策略,包括网段划分、防火墙配置、密码或指纹认证、传输加密、IDS安装和网络安全监测管理中心的部署等内容,最好是行业、信息化体量、核心资产敏感度、投资成本、安全需求有差异的不同单位的网络安全方案和策略,便于后面的整理、拆解、分析和重组。
同时,收集互联网网络安全事件的信息和补充完善防护方案及其成本代价,便于后续的网络安全方案的调整和修正。
在一个实施例中,收集上述方案的渠道,可以主要依靠互联网、网络安全企业推送、或者其他专业渠道。
在步骤S02中,对收集的网络安全方案和策略实例进行特征分析,具体按照网络安全框架理论分析网络安全方案和策略的典型实例,比如,网段划分WD(简单、一般、细致)、密码MM(弱、一般、高)、认证RZ(无、一般、高强度)、传输加密CM(无、强度一般、强度高)、安全协议AX(无安全协议、一般安全协议、高可靠安全协议)、防火墙HQ(简单门户配置、核心资产配置、全域层次配置)、IDS(无配置、一般配置、可靠配置)、VPN(一般配置、中等配置、可靠配置)、文件加密FM(无、一般强度、高强度)、病毒防护BD(无、单机防护、网络防护中心)、蜜罐安置MG(无配置、简单安置、大量安置)、安全管理中心ZX(无中心管理、一般中心管理、态势主动管理)、单位安全防护需求XQ(一般、中等、高)、核心资产类型ZC、成本预算YS(低、中等、高)和单位所述领域LY等特征,及其特征属性的模糊值。
在一个实施例中,上述的每项特征在其属性模糊取值时评估其成本代价和执行复杂度,以备方案和策略重组时使用信息。
在步骤S03、根据分析得到的网络安全方案和策略实例特征,建立如下表的实例特征库:
进一步地,按照方案和策略实例,建立如下表结构的实例库,其中NO是序号,FA方案编号,TZ是方案特征,ZH是方案特征的模糊取值,SM是方案说明文本,CB是相应特征配置的成本预算。
本实施例中,通过建立实例特征库和实例库库,保存了大量各种不同需求特征的网络安全方案和策略,积累了网络安全设计和实施的实例素材,使系统具备了组合和评估特征需求的能力。这种方法,弥补了技术人员短缺和网络安全知识匮乏带来的不足,降低了网络安全方案和策略的设计、评估和实际操作的门槛,有利于网络安全技术和应用的普及。
在一个实施例中,用户的网络安全需求,可以是专业的,比如网段划分、密码强度或者认证技术等细节需求,也可以是简单的,比如大致预算成本、安全需求急迫程度等。越是普通防护单位,其安全需求越是简单模糊;安全级别较高单位,其需求越是细致。所以,对于缺失较多信息的单位需求,以无需求和一般需求进行需求扩充,形成整体网络安全闭环需求方案。
进一步的实施例中,步骤S1中对需求进行特征模块量化,具体为:将需求变量用模糊概念值量化表示,比如一个一般需求单位的安全需求可以量化表示为:网段划分(一般)、密码强度(一般)、认证技术(一般)、防火墙(核心资产配置)、病毒(单机防护)、成本预算(20万左右)。
本实施例量化表示网络安全需求,形成分类别的不同层级表述,在方案和策略实例库中分类查找相应措施及其成本和其他属性,以备组合推荐网络安全策略和方案。
本实施例中,对于各种不同方案和策略的特征需求,将其按照实施相关度分类,按照实施成本和难易程度分级模糊量化,形成不同级别需求的各类可组合技术库。这样做,在进行方案和策略生成时,既可以归类不同技术的方案和策略,又能达到方案和策略组合的需求。模糊量化需求特征、网络安全方案和策略是本方案的核心创新点,需要了解网络安全领域知识的专业技术人员的一些额外的技术标注工作,带来的好处是本方案可以服务于众多用户,一次投入,多次收获工作效率。
进一步地,根据量化的需求特征模糊变量值,在数据库中查找相关方案和策略。这个过程有两点要特殊处理:(1)相同需求特征模糊值存在多种选择方案和策略。本方案采取的是其他需求特征模糊值相同数量最多的方案和策略;比如,网段划分(一般)有多个方案和策略对应,可以选择密码强度、认证技术和防火墙等其他已知需求特征模糊值相同数最多的方案。(2)缺省需求特征模糊变量值的自动补充填充。本方案采取的是已知需求特征变量模糊值的平均级别,比如,从简单到复杂,所有特征模糊值级别可以分为0,1,2,根据平均级别的值,再确定对应相应特征的模糊值。
上述实施例中,步骤S2具体可以为:依据多目标类似计算算法,求取最匹配的特征变量模糊值组合网络安全方案和策略。再依据预算成本等方案和策略评估变量,求取最匹配的网络安全方案和策略,作为检索的锚点,对比特征变量模糊值组合方案,并应用成本评估等方法,对特征变量模糊值组合方案和策略进行调整、修正或补充,确保推荐方案和策略偏离锚点方案和策略的距离不会很多,从而形成推荐方案和策略组合。
进一步实施例中,通过现有的网络安全方案和策略的重组,可能无法应对新出现的现实威胁。一般而言,专业安全公司都会在第一时间给出新出现的攻击应对方案,这时候,需要根据专业安全公司提供的攻击应对方案对重组的网络安全方案和策略进行修正和补充。补充同样可以采用特征分类和模糊逻辑变量分级的方案对补充方案进行拆分,融入到重组方案中。依据补充融入的内容的安全强度,适当提高相应的补充方案的安全强度级别,并保存到实例特征库中。
上述实施例步骤S4中,依据推荐方案和策略的特征值对应的网络安全方案,计算相应整体推荐方案的预算成本和整体防护水平评价量化指标。可以采用加权和或者加权平均等计算和评价方法。整体方法和策略量化数据是对于服务单位网络安全需求的响应,不应大距离偏差于服务单位预算成本等总体装备限制。若推荐方案和策略偏离过大,则说明用户需求存在相互矛盾的情况,则应该根据实际情况与用户沟通,或者调整需求说明,或者增加预算等限制性条件。S3、对推荐方案和策略组合进行攻防信息校正;
最后,根据校正的推荐方案和策略组合以及量化数据,生成建议方案和策略。
本发明实施例中,建议方案和策略不仅包含成本预算、防护水平评价量化指标等整体安全属性,还包括网段划分要求、认证密码强度、加密密码强度、加密文件系统、防火墙配置、IDS配置、蜜罐配置和安全中心配置等网络安全具体配置内容和措施方法。
本发明实施例生成的建议方案和策略可以在人工审阅后,与用户交流达成共识后建设实施。
本实施例中,通过系统生成的量化需求推荐方案,要经过互联网网络安全事件信息和类似单位网络安全方案和策略的修正处理,然后才能提交用户评估。这一过程,可能是自动的、半自动的、或者人工的。自动的处理过程是依据互联网网络安全事件针对的防御需求特征,适当提高模糊防御级别,或增加新的技术方案或策略内容,以应对新的网络安全威胁。类似单位网络安全方案可以参考的是成本预算和核心资产的防护需求基本要一致,其他特征需求要求可以不同。使用外部和内部信息对网络安全方案和策略的修正,使推荐方案和策略保证大方向和核心内容的适合程度。
在又一个实施例中,如图2所示,提供一种网络安全方案和策略生成装置,该装置包括:
量化单元10,用于根据接收的网络安全需求进行需求特征模糊量化;
组合单元20,用于根据量化的需求特征模糊变量值,在特征库中进行类似方案和策略锚点检索,形成推荐方案和策略组合;
校正单元30,用于对推荐方案和策略组合进行攻防信息校正;
计算单元40,用于基于网络安全需求,计算所述推荐方案和策略组合的量化数据;
方案生成单元50,用于根据校正的推荐方案和策略组合以及量化数据,生成建议方案和策略。
进一步的实施例中,上述装置还包括:
案例收集单元101,用于收集典型网络安全方案和策略实例;
特征分析单元102,用于对收集的网络安全方案和策略实例进行特征分析;
特征库建立单元103,用于根据分析得到的网络安全方案和策略实例特征,建立特征库。
在一个具体的实施例中,上述组合单元20,具体包括:
特征匹配子单元201,用于依据多目标类似计算算法,求取最匹配的特征变量模糊值组合网络安全方案和策略;
方案匹配子单元202,用于依据需求的方案和策略评估变量,求取最匹配的网络安全方案和策略;
对比子单元203,用于将所述最匹配的网络安全和策略作为检索锚点,对比所述特征变量模糊值组合网络安全方案和策略,对所述特征变量模糊值组合网络安全方案和策略进行修正,得到推荐方案和策略组合
需要说明的是,本实施例的一种网络安全方案和策略生成装置,用于实现上述的网络安全方案和策略的生成,因此前述实施例中的一种网络安全方案和策略生成方法中的具体内容,均可以使用装置实现,在此不再赘述。
本发明实施例的一种网络安全方案和策略生成方法和装置,通过收集各种类型单位和需求的网络安全方案和策略实例,量化评估了各种方案和策略的防护级别和成本代价,对于推荐方案和策略在整体社会防御能力和成本的位置有量化数据描述,使用户能客观地了解本单位网络安全防御能力和预算水平。比起简单以成本规划网络安全方案和策略的方法,本方案使网络安全防御技术的“黑盒”变成“白盒”,有助于用户有针对性地提高某些要害部门和核心资产的防御能力。
进一步地,对防御方案和策略使用模糊逻辑进行等级分类,对不同防护水平和成本的方案进行分级别归类,有利于用户简单需求描述下的方案和策略精准推荐。网络安全方案和策略本没有量化的分类,本方案依据网络安全方案合策略的成本代价以及防御能力将各种措施和设计分级归类,并以同样的方式量化用户网络安全的需求,使既往案例与用户需求之间形成对应关系,各种措施设计都有了参照,并能够量化评估整体成本和防御能力。比起,用类似单位成熟方案的方法来讲,本方案特征更细化,方案设计更有针对性,更贴近用户实际的需要。
最后,利用互联网攻防事件信息和类似单位网络安全方案和策略对推荐方案进行修正和调整,有利于用户对推荐方案的现实针对性和实用性的理解。较大面积或影响的网络安全事件爆发时,互联网上都会有舆情事件相联系,专业安全公司会迅速给出应对方法和策略的建议,依据这些建议,审查安全威胁和自身核心资产的匹配程度,决定是否采取建议的方案和策略补充完善单位自身的网络安全体系。类似单位的网络安全方案和策略的采用,要识别出自身和类似单位防御关注点的不同,从而区别对待类似单位网络安全方案和策略中不同的安全措施,决定借鉴或抛弃相应的设计。
上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。
Claims (10)
1.一种网络安全方案和策略生成方法,其特征在于,所述方法包括:
根据接收的网络安全需求进行需求特征模糊量化;
根据量化的需求特征模糊变量值,在预设的实例库中进行类似方案和策略锚点检索,形成推荐方案和策略组合;其中,所述预设的实例库中包括多个不同需求特征的网络安全方案和策略,将所述多个不同方案和策略的需求特征,按照实施相关度分类,按照实施成本和难易程度进行分级模糊量化,形成不同类别和不同级别的需求可组合实例库;
对推荐方案和策略组合进行攻防信息校正;
基于网络安全需求,计算所述推荐方案和策略组合的量化数据;
根据校正的推荐方案和策略组合以及量化数据,生成建议方案和策略。
2.如权利要求1所述的方法,其特征在于,所述方法还包括:
收集典型网络安全方案和策略实例;
对收集的网络安全方案和策略实例进行特征分析;
根据分析得到的网络安全方案和策略实例特征,建立实例特征库和实例库。
3.如权利要求1所述的方法,其特征在于,所述方法还包括:接收来自用户的网络安全需求。
4.如权利要求1所述的方法,其特征在于,所述根据量化的需求特征模糊变量值,在特征库中进行类似方案和策略锚点检索,形成推荐方案和策略组合,具体包括:
依据多目标类似计算算法,求取最匹配的特征变量模糊值组合网络安全方案和策略;
依据需求的方案和策略评估变量,求取最匹配的网络安全方案和策略;
将所述最匹配的网络安全和策略作为检索锚点,对比所述特征变量模糊值组合网络安全方案和策略,对所述特征变量模糊值组合网络安全方案和策略进行修正,得到推荐方案和策略组合。
5.如权利要求1所述的方法,其特征在于,所述对推荐方案和策略组合进行攻防信息校正,具体包括:
分析所述推荐方案和策略组合与网络安全需求之间的差别;
根据分析得到的差别生成攻防应对补充方案;
采用特征分类和模糊逻辑变量分类的方法将所述攻防应对补充方案和推荐方案和策略组合进行拆分和重组,得到校正的推荐方案和策略组合。
6.如权利要求1所述的方法,其特征在于,所述基于网络安全需求,计算所述推荐方案和策略组合的量化数据,具体包括:
依据推荐方案和策略组合的特征值对应的网络安全方案,计算所述推荐方案和策略组合的预算成本和整体防护水平评价量化指标。
7.如权利要求6所述的方法,其特征在于,所述计算所述推荐方案和策略组合的预算成本和整体防护水平评价量化指标,使用的计算方法为加权和或者加权平均计算方法。
8.一种网络安全方案和策略生成装置,其特征在于,所述装置包括:
量化单元,用于根据接收的网络安全需求进行需求特征模糊量化;
组合单元,用于根据量化的需求特征模糊变量值,在特征库中进行类似方案和策略锚点检索,形成推荐方案和策略组合;其中,所述特征库中包括多个不同需求特征的网络安全方案和策略,将所述多个不同方案和策略的需求特征,按照实施相关度分类,按照实施成本和难易程度进行分级模糊量化,形成不同类别和不同级别的需求可组合实例库;
校正单元,用于对推荐方案和策略组合进行攻防信息校正;
计算单元,用于基于网络安全需求,计算所述推荐方案和策略组合的量化数据;
方案生成单元,用于根据校正的推荐方案和策略组合以及量化数据,生成建议方案和策略。
9.如权利要求8所述的装置,其特征在于,所述装置还包括:
案例收集单元,用于收集典型网络安全方案和策略实例;
特征分析单元,用于对收集的网络安全方案和策略实例进行特征分析;
特征库建立单元,用于根据分析得到的网络安全方案和策略实例特征,建立特征库。
10.如权利要求8所述的装置,其特征在于,所述组合单元,具体包括:
特征匹配子单元,用于依据多目标类似计算算法,求取最匹配的特征变量模糊值组合网络安全方案和策略;
方案匹配子单元,用于依据需求的方案和策略评估变量,求取最匹配的网络安全方案和策略;
对比子单元,用于将所述最匹配的网络安全和策略作为检索锚点,对比所述特征变量模糊值组合网络安全方案和策略,对所述特征变量模糊值组合网络安全方案和策略进行修正,得到推荐方案和策略组合。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011296326.5A CN112532596B (zh) | 2020-11-18 | 2020-11-18 | 一种网络安全方案和策略生成方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011296326.5A CN112532596B (zh) | 2020-11-18 | 2020-11-18 | 一种网络安全方案和策略生成方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112532596A CN112532596A (zh) | 2021-03-19 |
CN112532596B true CN112532596B (zh) | 2023-04-18 |
Family
ID=74981431
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011296326.5A Active CN112532596B (zh) | 2020-11-18 | 2020-11-18 | 一种网络安全方案和策略生成方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112532596B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11621974B2 (en) * | 2019-05-14 | 2023-04-04 | Tenable, Inc. | Managing supersedence of solutions for security issues among assets of an enterprise network |
CN113395288B (zh) * | 2021-06-24 | 2022-06-24 | 浙江德迅网络安全技术有限公司 | 基于sdwan主动防御ddos系统 |
CN113794677B (zh) * | 2021-07-28 | 2022-06-17 | 北京永信至诚科技股份有限公司 | 一种高交互蜜罐的控制方法、装置及系统 |
CN116501840B (zh) * | 2023-06-26 | 2023-09-01 | 北京常乐我净科技有限公司 | 一种用于获客营销的nlp智能分析方法 |
CN117040912B (zh) * | 2023-09-13 | 2024-01-05 | 湖南新生命网络科技有限公司 | 一种基于数据分析的网络安全运维管理方法及系统 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111522533A (zh) * | 2020-04-24 | 2020-08-11 | 中国标准化研究院 | 基于用户个性化需求推荐的产品模块化设计方法及装置 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7885820B1 (en) * | 2000-07-19 | 2011-02-08 | Convergys Cmg Utah, Inc. | Expert system supported interactive product selection and recommendation |
US7290275B2 (en) * | 2002-04-29 | 2007-10-30 | Schlumberger Omnes, Inc. | Security maturity assessment method |
US8255985B2 (en) * | 2006-11-13 | 2012-08-28 | At&T Intellectual Property I, L.P. | Methods, network services, and computer program products for recommending security policies to firewalls |
CN103248632A (zh) * | 2013-05-29 | 2013-08-14 | 中国人民解放军理工大学 | 一种同步盘数据安全保护写入及读取方法 |
CN106650992A (zh) * | 2016-10-10 | 2017-05-10 | 北京极派客科技有限公司 | 一种量化投资策略的生成方法及装置 |
CN108399480A (zh) * | 2018-01-08 | 2018-08-14 | 浙江工业大学 | 一种基于模糊专家系统的电能质量治理决策支持方法 |
CN109710848A (zh) * | 2018-12-26 | 2019-05-03 | 巨轮智能装备股份有限公司 | 一种基于模糊优选神经网络的个性化信息推荐方法 |
-
2020
- 2020-11-18 CN CN202011296326.5A patent/CN112532596B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111522533A (zh) * | 2020-04-24 | 2020-08-11 | 中国标准化研究院 | 基于用户个性化需求推荐的产品模块化设计方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN112532596A (zh) | 2021-03-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112532596B (zh) | 一种网络安全方案和策略生成方法及装置 | |
Paulauskas et al. | Analysis of data pre-processing influence on intrusion detection using NSL-KDD dataset | |
Mabu et al. | An intrusion-detection model based on fuzzy class-association-rule mining using genetic network programming | |
CN111738817B (zh) | 识别风险社区的方法及系统 | |
CN111680863A (zh) | 基于层次分析法的网络环境安全状况评估方法 | |
Al-Safwani et al. | ISCP: In-depth model for selecting critical security controls | |
CN114785563B (zh) | 一种软投票策略的加密恶意流量检测方法 | |
Lin et al. | Machine learning with variational autoencoder for imbalanced datasets in intrusion detection | |
US20210201270A1 (en) | Machine learning-based change control systems | |
CN114003920A (zh) | 系统数据的安全评估方法及装置、存储介质和电子设备 | |
CN116846619A (zh) | 一种自动化网络安全风险评估方法、系统及可读存储介质 | |
CN116684182A (zh) | 一种基于异常流量识别的信息拦截方法及系统 | |
CN112422503A (zh) | 一种用于审计审查数据的安全分类分级方法及系统 | |
CN118012775A (zh) | 一种基于内核保护服务器数据的加固测试方法 | |
Verma et al. | Evaluation and Selection of a Cybersecurity Platform─ Case of the Power Sector in India | |
CN116719512B (zh) | 一种基于评分和无监督自学习的安全设计规则标记方法 | |
CN117596026A (zh) | 一种特定网络的漏洞优先级评估方法和系统 | |
Zhao et al. | Research on multidimensional system security assessment based on ahp and gray correlation | |
CN115599345A (zh) | 一种基于知识图谱的应用安全需求分析推荐方法 | |
US12041068B2 (en) | System and method for cybersecurity operations threat modeling | |
CN115134122A (zh) | 一种基于工业系统网络实体的威胁图谱的构建方法 | |
CN115022063A (zh) | 网空威胁行为体攻击意图分析方法、系统、电子设备及存储介质 | |
Brožová et al. | Information security management: ANP based approach for risk analysis and decision making | |
CN111917801A (zh) | 私有云环境下基于Petri网的用户行为认证方法 | |
Zhang | Analysis of Network Security Countermeasures From the Perspective of Improved FS Algorithm and ICT Convergence |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |