CN113127882A - 一种终端安全防护方法、装置、设备及可读存储介质 - Google Patents
一种终端安全防护方法、装置、设备及可读存储介质 Download PDFInfo
- Publication number
- CN113127882A CN113127882A CN202110442778.8A CN202110442778A CN113127882A CN 113127882 A CN113127882 A CN 113127882A CN 202110442778 A CN202110442778 A CN 202110442778A CN 113127882 A CN113127882 A CN 113127882A
- Authority
- CN
- China
- Prior art keywords
- security
- index
- safety
- data
- safety index
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Abstract
本申请公开了一种终端安全防护方法、装置、设备及可读存储介质,该方法包括:获取终端设备的系统安全指数、行为安全指数和数据安全指数;利用系统安全指数、行为安全指数和数据安全指数确定出整体安全指数的置信区间;对系统安全指数、行为安全指数和数据安全指数进行自适应加权平均处理,得到整体安全指数;利用整体安全指数与置信区间的对应关系,确定出安全策略,并执行安全策略。本申请能够基于更加全面且准确地进行可信度安全评估,并精准确定安全策略,能够有效提高终端设备的安全防护性能。
Description
技术领域
本申请涉及安全保障技术领域,特别是涉及一种终端安全防护方法、装置、设备及可读存储介质。
背景技术
网络攻击者手段多样,例如:有利用网络终端系统安全漏洞的,有利用终端数据通信过程中不安全的机制,也有利用非法入侵、非法行为来获取终端敏感信息,最终导致终端所在网络酿成安全事件,丢失数据、甚至造成系统破坏。
传统的网络安全手段主要利用终端漏洞扫描工具或流量分析检测设备进行终端安全防护。但是,终端漏洞扫描工具仅仅基于终端是否存在漏洞,就确定终端的安全指数,造成终端安全策略配置不准确;流量分析检测设备,则仅仅从流量分析终端网络流量去向,分析终端行为安全,去评定终端安全指数,指定安全策略。
可见,这些网络安全手段的可信评估手段不够全面准确,很难为终端制定合适的安全策略,难以保障终端安全。
综上所述,如何有效地解决终端安全防护等问题,是目前本领域技术人员急需解决的技术问题。
发明内容
本申请的目的是提供一种终端安全防护方法、装置、设备及可读存储介质,能够有效提高终端设备的安全防护性能。
为解决上述技术问题,本申请提供如下技术方案:
一种终端防护方法,包括:
获取终端设备的系统安全指数、行为安全指数和数据安全指数;
利用所述系统安全指数、所述行为安全指数和所述数据安全指数确定出整体安全指数的置信区间;
对所述系统安全指数、所述行为安全指数和所述数据安全指数进行自适应加权平均处理,得到所述整体安全指数;
利用所述整体安全指数与所述置信区间的对应关系,确定出安全策略,并执行所述安全策略。
优选地,对所述系统安全指数、所述行为安全指数和所述数据安全指数进行自适应加权平均处理,得到所述整体安全指数,包括:
获取所述终端设备的安全状态;
利用所述安全状态,为所述系统安全指数、所述行为安全指数和所述数据安全指数分别赋予对应的权重;
利用所述权重对所述系统安全指数、所述行为安全指数和所述数据安全指数进行加权平均处理,得到所述整体安全指数。
优选地,所述获取终端设备的系统安全指数、行为安全指数和数据安全指数,包括:
获取系统安全数据、行为安全数据和数据安全结果;
利用所述系统安全数据,确定所述系统安全指数;
利用所述行为安全数据,确定所述行为安全指数;
利用所述数据安全结果,确定所述数据安全指数。
优选地,所述获取系统安全数据、行为安全数据和数据安全结果,包括:
利用系统安全扫描引擎,获取所述系统安全数据;
利用行为安全分析引擎,获取所述行为安全数据;
利用数据安全分析引擎,获取所述数据安全结果。
优选地,执行所述安全策略,包括:
将所述安全策略对应的安全任务分发给对应安全引擎,以便所述安全引擎执行所述安全任务。
优选地,利用所述整体安全指数与所述置信区间的对应关系,确定出安全策略,包括:
按照所述整体安全指数位于所述置信区间的相对位置,确定安全等级;
将与所述安全等级对应的预设安全策略,确定为所述安全策略。
优选地,将与所述安全等级对应的预设安全策略,确定为所述安全策略,包括:
将所述安全等级,及低于所述安全等级所对应的全部预设安全策略,确定为所述安全策略。
一种终端安全防护装置,包括:
多维安全指数获取模块,用于获取终端设备的系统安全指数、行为安全指数和数据安全指数;
置信区间确定模块,用于利用所述系统安全指数、所述行为安全指数和所述数据安全指数确定出整体安全指数的置信区间;
整体安全指数确定模块,用于对所述系统安全指数、所述行为安全指数和所述数据安全指数进行自适应加权平均处理,得到所述整体安全指数;
安全策略执行模块,用于利用所述整体安全指数与所述置信区间的对应关系,确定出安全策略,并实施所述安全策略。
一种终端安全防护设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现上述终端安全防护方法的步骤。
一种可读存储介质,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述终端安全防护方法的步骤。
应用本申请实施例所提供的方法,获取终端设备的系统安全指数、行为安全指数和数据安全指数;利用系统安全指数、行为安全指数和数据安全指数确定出整体安全指数的置信区间;对系统安全指数、行为安全指数和数据安全指数进行自适应加权平均处理,得到整体安全指数;利用整体安全指数与置信区间的对应关系,确定出安全策略,并执行安全策略。
在本申请中,首先获取终端设备三个不同维度的安全指数,即系统安全指数、行为安全指数和数据安全指数。然后,在确定出这三个维度对应的整体安全指数的置信区间,并采用自适应加权平均的方式,计算出整体安全指数。基于整体安全指数与置信区间的对应关系,便可确定出安全策略并进行执行。相较于利用终端漏洞扫描工具或流量分析检测设备在单一维度进行终端安全防护而言,本申请可以基于三个不同维度,并通过自适应加权平均的方式计算出整体安全指数,实现了更加全面准确地进行可信度评估。然后,再基于整体安全指数与执行区间的对应关系,从而更加精准地确定出安全策略。也就是说,本申请能够基于更加全面且准确地进行可信度安全评估,并精准确定安全策略,能够有效提高终端设备的安全防护性能。
相应地,本申请实施例还提供了与上述终端安全防护方法相对应的终端安全防护装置、设备和可读存储介质,具有上述技术效果,在此不再赘述。
附图说明
为了更清楚地说明本申请实施例或相关技术中的技术方案,下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例中一种终端安全防护方法的实施流程图;
图2为本申请实施例中一种终端安全防护方法的具体实施示意图;
图3为本申请实施例中一种终端安全防护装置的结构示意图;
图4为本申请实施例中一种终端安全防护设备的结构示意图;
图5为本申请实施例中一种终端安全防护设备的具体结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面结合附图和具体实施方式对本申请作进一步的详细说明。显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
请参考图1,图1为本申请实施例中一种终端安全防护方法的流程图,该方法包括以下步骤:
S101、获取终端设备的系统安全指数、行为安全指数和数据安全指数。
在本实施例中,该终端设备可以为任意一种网络系统中需要进行网络安全防护的设备。
其中,系统安全指数与终端设备的系统弱口令、系统漏洞相关;行为安全指数与终端设备的非法行为数据相关;数据安全指数与终端设备有无数据加密,隐私泄漏风险相关。具体的,对于如何确定系统安全指数、行为安全指数和数据安全指数的具体数值,可参照这些安全指数对应的安全引擎对应的具体分析确定方法,在此不再一一赘述。
在本实施例中,可以通过接收数据的方式,获得系统安全指数、行为安全指数和数据安全指数;也可以设置指数代理服务的方式,从而获得系统安全指数、行为安全指数和数据安全指数;还可以通过将系统安全指数、行为安全指数和数据安全指数存入特定存储空间中,直接读取该特定存储空间的方式得到系统安全指数、行为安全指数和数据安全指数。
具体的,获取终端设备的系统安全指数、行为安全指数和数据安全指数,具体包括:
步骤一、获取系统安全数据、行为安全数据和数据安全结果;
步骤二、利用系统安全数据,确定系统安全指数;
步骤三、利用行为安全数据,确定行为安全指数;
步骤四、利用数据安全结果,确定数据安全指数。
也就是说,系统安全指数基于系统安全数据确定,行为安全指数基于行为安全数据而确定,数据安全指数基于数据安全结果而定。
优选地,为了降低方案复杂度,在实际应用中可以直接采用相关安全引擎来获取系统安全数据、行为安全数据和数据安全结果,也就是说,上述步骤一获取系统安全数据、行为安全数据和数据安全结果,可具体包括:
步骤1、利用系统安全扫描引擎,获取系统安全数据;
步骤2、利用行为安全分析引擎,获取行为安全数据;
步骤3、利用数据安全分析引擎,获取数据安全结果。
具体的,对于系统安全扫描引擎、行为安全分析引擎和数据安全分析引擎具体如何获得相关数据和结果,则可具体参照这些安全引擎的具体定义和实施,在此不再一一赘述。
S102、利用系统安全指数、行为安全指数和数据安全指数确定出整体安全指数的置信区间。
在本实施例中,为了融合三个不同维度的安全指数,将采用加权平均的方式来确定出整体安全指数。而为不同的维度的安全指数分别设置不同的权重,则对应的整体安全指数会存在偏差,为了在基于整体安全指数确定安全策略时更加精准,因而在本实施例中,会确定出整体安全指数的置信区间。
其中,置信区间(Confidence interval)指由样本统计量所构造的总体参数的估计区间。在统计学中,一个概率样本的置信区间是对这个样本的某个总体参数的区间估计。置信区间展现的是这个参数的真实值有一定概率落在测量结果的周围的程度,其给出的是被测量参数的测量值的可信程度。
为便于操作,在实际应用中,可以通过为三个不同维度的安全指数分别尝试赋予不同的权重,进而计算出相应的整体安全指数的所有可能的数值,然后直接将其中的最大值和最小值对应的区间范围,确定为该置信区间。
举例说明:若一款终端设备的系统安全指数为α=f(x,y),其中x,y变量与终端的系统弱口令、系统漏洞相关;终端的行为安全指数为β=f(a,b),其中a,b变量与终端的非法行为数据相关;终端的数据安全指数为γ=f(m,n),其中m,n变量与终端有无数据加密,隐私泄漏风险相关。基于上述假设,可以得出终端的整体安全指数δ的计算公式如下:
δ=α*λ+β*μ+γ*σ=λ*f(x,y)+μ*f(a,b)+σ*f(m,n);其中:λ、μ、σ分别为针对系统安全、行为安全以及数据安全三个维度的权重(也是自适应调整的参数)。λ、μ、σ的取值范围均限制为0到1之间,且总和为1。据此可以确定最大整体安全指数为:δ(max)=f(x,y)+f(a,b)+f(m,n),最小整体安全指数:δ(min)=f(x,y)+f(a,b)+f(m,n),即置信区间对应(δ(min),δ(max))。
S103、对系统安全指数、行为安全指数和数据安全指数进行自适应加权平均处理,得到整体安全指数。
其中,自适应指处理和分析过程中,根据处理数据的数据特征自动调整处理方法、处理顺序、处理参数、边界条件或约束条件,使其与所处理数据的统计分布特征、结构特征相适应,以取得最佳的处理效果。也就是说,在本实施例中,为了将三个不同维度的安全指数结合起来要对这三个维度的安全指数进行加权平均处理,从而得到整体安全指数。即,在本实施例中各个不同维度的权重并非固定的,而是自适应变化的。
在本实施例中,可以预先设置好权重的自适应变化规则,从而在获取到三个不同维度的安全指数之后,便可自适应确定各个维度的安全指数所对应的权重,然后便可基于加权平均的计算方式,计算出整体安全指数。
举例说明:若一款终端设备的系统安全指数为α=f(x,y),其中x,y变量与终端的系统弱口令、系统漏洞相关;终端的行为安全指数为β=f(a,b),其中a,b变量与终端的非法行为数据相关;终端的数据安全指数为γ=f(m,n),其中m,n变量与终端有无数据加密,隐私泄漏风险相关。基于上述假设,可以得出终端的整体安全指数为:
δ=α*λ+β*μ+γ*σ=λ*f(x,y)+μ*f(a,b)+σ*f(m,n);其中:λ、μ、σ分别为针对终端安全、行为安全以及数据安全三个维度的自适应算法调节变量。即自适应确定好λ、μ、σ之后,便可确定出整体安全指数的具体数值。
S104、利用整体安全指数与置信区间的对应关系,确定出安全策略,并执行安全策略。
得到整体安全指数以及整体安全指数的置信区间之后,通过整体安全指数与置信区间的对应关系,便可明确当前终端设备的安全情况,进而便可确定出对应的安全策略并进行实施/执行。
其中,安全策略可以预先设置备选策略,然后基于整体安全指数与置信区间的对应关系从这些备选策略中确定出安全策略。其中,备选策略可以具体为通常为保障终端设备的安全而制定的防护策略,例如,针对终端系统进行安全加固;在终端传输链路上进行访问控制隔离;在终端应用层部署应用防火墙等。
具体的,执行安全策略,可具体将安全策略对应的安全任务分发给对应安全引擎,以便安全引擎执行安全任务。例如,将安全策略中与系统安全对应的安全任务,发送给终端系统安全扫描引擎;将安全策略中与行为安全对应的安全任务发送给行为安全分析引擎;将安全策略中与数据安全对应的安全任务发送给行为数据安全分析引擎。
对于具体如何实施安全策略,则可参照安全策略的具体定义以及执行需求进行,在此不再一一赘述。
应用本申请实施例所提供的方法,获取终端设备的系统安全指数、行为安全指数和数据安全指数;利用系统安全指数、行为安全指数和数据安全指数确定出整体安全指数的置信区间;对系统安全指数、行为安全指数和数据安全指数进行自适应加权平均处理,得到整体安全指数;利用整体安全指数与置信区间的对应关系,确定出安全策略,并执行安全策略。
在本申请中,首先获取终端设备三个不同维度的安全指数,即系统安全指数、行为安全指数和数据安全指数。然后,在确定出这三个维度对应的整体安全指数的置信区间,并采用自适应加权平均的方式,计算出整体安全指数。基于整体安全指数与置信区间的对应关系,便可确定出安全策略并进行执行。相较于利用终端漏洞扫描工具或流量分析检测设备在单一维度进行终端安全防护而言,本申请可以基于三个不同维度,并通过自适应加权平均的方式计算出整体安全指数,实现了更加全面准确地进行可信度评估。然后,再基于整体安全指数与执行区间的对应关系,从而更加精准地确定出安全策略。也就是说,本申请能够基于更加全面且准确地进行可信度安全评估,并精准确定安全策略,能够有效提高终端设备的安全防护性能。
需要说明的是,基于上述实施例,本申请实施例还提供了相应的改进方案。在优选/改进实施例中涉及与上述实施例中相同步骤或相应步骤之间可相互参考,相应的有益效果也可相互参照,在本文的优选/改进实施例中不再一一赘述。
在本申请的一种具体实施方式中,步骤S103、对系统安全指数、行为安全指数和数据安全指数进行自适应加权平均处理,得到整体安全指数,包括:
步骤一、获取终端设备的安全状态;
步骤二、利用安全状态,为系统安全指数、行为安全指数和数据安全指数分别赋予对应的权重;
步骤三、利用权重对系统安全指数、行为安全指数和数据安全指数进行加权平均处理,得到整体安全指数。
为便于描述,下面将上述三个步骤结合起来进行说明。
在确定各个维度的安全指数对应的权重时,可以参照终端设备的安全状态,进而确定出对应权重。具体的,可预先为不同的安全状态分别为各个维度的安全指数定义好权重,如此,在获取到安全状态之后,便可为系统安全指数、行为安全指数和数据安全指数分别赋予对应的权重。例如,终端系统安全如果已经存在问题,并且终端系统能被入侵,而数据安全、行为安全都没有危及终端安全的时候,此时应该提高终端系统安全的权重,如设置0.8的权重,而为另外两个维度的安全指数分别设置为0.1。
然后,再按照对应权重对对系统安全指数、行为安全指数和数据安全指数进行加权平均处理,即可得到整体安全指数。也就是说,本申请中的整体安全指数基于不同维度的安全指数以及设备终端的实际安全状态而定,可以使得最终确定出的整体安全指数更加符合实际情况。
在本申请中的一种具体实施方式中,步骤S104中的利用整体安全指数与置信区间的对应关系,确定出安全策略,包括:
步骤一、按照整体安全指数位于置信区间的相对位置,确定安全等级;
步骤二、将与安全等级对应的预设安全策略,确定为安全策略。
为便于描述,下面将上述两个步骤结合起来进行说明。
从上述实施例即可知,整体安全指数是位于置信区间内的,基于该整体安全指数位于置信区间的相对位置,可以确定出对应的安全等级。具体的,整体安全指数越大,则表明安全等级越高,即整体安全指数越接近置信区间的上限值,则表明安全等级越高。在实际应用中,可以对置信区间进行等级划分,从而基于整体安全指数位于该执行区间的那个等级,即可确定出安全等级。
确定出终端设备的安全等级之后,便可直接将与安全等级对应的预设安全策略确定为需要被执行的安全策略。如此,便可结合置信区间以及整体安全指数的具体对应情况,确定出安全策略,可以使得安全策略更加贴合实际需求。
进一步地,在实际应用中,上述步骤二将与安全等级对应的预设安全策略,确定为安全策略,还可以具体为:将安全等级,及低于安全等级所对应的全部预设安全策略,确定为安全策略。
举例说明,可设置一级安全策略:针对终端系统进行安全加固;二级安全策略:在终端传输链路上进行访问控制隔离;三级安全策略:在终端应用层部署应用防火墙。若确定出的安全等级为二级,则对应的安全策略对应包括针对终端系统进行安全加固,在终端传输链路上进行访问控制隔离。通过将更低安全等级的策略均选定为安全策略,可保障最终的安全策略更加的全面安全。
为便于本领域技术人员更好地理解本申请实施例所提供的终端安全防护方法,下面结合具体应用实例,对终端安全防护方法进行详细说明。
请参考图2,图2为本申请实施例中一种终端安全防护方法的具体实施示意图。其中,终端安全可信评估算法决策模块:基于终端系统安全数据、终端数据安全结果、终端行为安全结果进行安全指数评定,并结合可动态自适应的可信评估算法决策模块对三个维度的安全指数结果进行分析计算,得出整体安全指数。终端安全策略模块:基于可信评估算法决策模块输出的结果,即整体安全指数,自动生成终端系统安全、数据安全、行为安全三个维度的策略,并实时通过各类安全引擎部署到终端上,全方位保障终端安全。
在视频网里,将摄像头作为终端设备,其终端安全可信指数取决于摄像头自身系统安全指数、行为安全指数以及终端数据安全指数三类指数的自适应加权平均。
其中,摄像头自身系统安全指数影响因素有:系统安全漏洞、系统弱口令等。
摄像头行为安全指数的影响因素有:摄像头在网络里非法接入、非法替换、非法外联等非法行为;
摄像头数据安全指数的影响因素有:摄像头数据是否进行加密,加密强度,加密算法是否符合国家密码算法。
假定摄像头自身系统安全指数为关于X的函数,摄像头行为安全指数为关于Y的函数,摄像头数据安全指数为关于Z的函数,则摄像头整体安全指数S,S=f(x,y,z)。例如,在一种具体情况下,S=40%*X+40%*Y+30%*Z。
根据S的置信区间(具体计算方式可参照上述实施例的描述),可以来判定该针对该摄像头采取什么样的安全策略,应对其安全风险。
相应于上面的方法实施例,本申请实施例还提供了一种终端安全防护装置,下文描述的终端安全防护装置与上文描述的终端安全防护方法可相互对应参照。
参见图3所示,该装置包括以下模块:
多维安全指数获取模块101,用于获取终端设备的系统安全指数、行为安全指数和数据安全指数;
置信区间确定模块102,用于利用系统安全指数、行为安全指数和数据安全指数确定出整体安全指数的置信区间;
整体安全指数确定模块103,用于对系统安全指数、行为安全指数和数据安全指数进行自适应加权平均处理,得到整体安全指数;
安全策略执行模块104,用于利用整体安全指数与置信区间的对应关系,确定出安全策略,并实施安全策略。
应用本申请实施例所提供的装置,获取终端设备的系统安全指数、行为安全指数和数据安全指数;利用系统安全指数、行为安全指数和数据安全指数确定出整体安全指数的置信区间;对系统安全指数、行为安全指数和数据安全指数进行自适应加权平均处理,得到整体安全指数;利用整体安全指数与置信区间的对应关系,确定出安全策略,并执行安全策略。
在本申请中,首先获取终端设备三个不同维度的安全指数,即系统安全指数、行为安全指数和数据安全指数。然后,在确定出这三个维度对应的整体安全指数的置信区间,并采用自适应加权平均的方式,计算出整体安全指数。基于整体安全指数与置信区间的对应关系,便可确定出安全策略并进行执行。相较于利用终端漏洞扫描工具或流量分析检测设备在单一维度进行终端安全防护而言,本申请可以基于三个不同维度,并通过自适应加权平均的方式计算出整体安全指数,实现了更加全面准确地进行可信度评估。然后,再基于整体安全指数与执行区间的对应关系,从而更加精准地确定出安全策略。也就是说,本申请能够基于更加全面且准确地进行可信度安全评估,并精准确定安全策略,能够有效提高终端设备的安全防护性能。
在本申请的一种具体实施方式中,整体安全指数确定模块103,具体用于获取终端设备的安全状态;利用安全状态,为系统安全指数、行为安全指数和数据安全指数分别赋予对应的权重;利用权重对系统安全指数、行为安全指数和数据安全指数进行加权平均处理,得到整体安全指数。
在本申请的一种具体实施方式中,多维安全指数获取模块101,具体用于获取系统安全数据、行为安全数据和数据安全结果;利用系统安全数据,确定系统安全指数;利用行为安全数据,确定行为安全指数;
利用数据安全结果,确定数据安全指数。
在本申请的一种具体实施方式中,多维安全指数获取模块101,具体用于利用系统安全扫描引擎,获取系统安全数据;利用行为安全分析引擎,获取行为安全数据;利用数据安全分析引擎,获取数据安全结果。
在本申请的一种具体实施方式中,安全策略执行模块104,具体用于将安全策略对应的安全任务分发给对应安全引擎,以便安全引擎执行安全任务。
在本申请的一种具体实施方式中,安全策略执行模块104,具体用于按照整体安全指数位于置信区间的相对位置,确定安全等级;将与安全等级对应的预设安全策略,确定为安全策略。
在本申请的一种具体实施方式中,安全策略执行模块104,具体用于将安全等级,及低于安全等级所对应的全部预设安全策略,确定为安全策略。
相应于上面的方法实施例,本申请实施例还提供了一种终端安全防护设备,下文描述的一种终端安全防护设备与上文描述的一种终端安全防护方法可相互对应参照。
参见图4所示,该终端安全防护设备包括:
存储器332,用于存储计算机程序;
处理器322,用于执行计算机程序时实现上述方法实施例的终端安全防护方法的步骤。
具体的,请参考图5,图5为本实施例提供的一种终端安全防护设备的具体结构示意图,该终端安全防护设备可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上处理器(central processing units,CPU)322(例如,一个或一个以上处理器)和存储器332,存储器332存储有一个或一个以上的计算机应用程序342或数据344。其中,存储器332可以是短暂存储或持久存储。存储在存储器332的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对数据处理设备中的一系列指令操作。更进一步地,中央处理器322可以设置为与存储器332通信,在终端安全防护设备301上执行存储器332中的一系列指令操作。
终端安全防护设备301还可以包括一个或一个以上电源326,一个或一个以上有线或无线网络接口350,一个或一个以上输入输出接口358,和/或,一个或一个以上操作系统341。
上文所描述的终端安全防护方法中的步骤可以由终端安全防护设备的结构实现。
相应于上面的方法实施例,本申请实施例还提供了一种可读存储介质,下文描述的一种可读存储介质与上文描述的一种终端安全防护方法可相互对应参照。
一种可读存储介质,可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述方法实施例的终端安全防护方法的步骤。
该可读存储介质具体可以为U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可存储程序代码的可读存储介质。
本领域技术人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。本领域技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
Claims (10)
1.一种终端安全防护方法,其特征在于,包括:
获取终端设备的系统安全指数、行为安全指数和数据安全指数;
利用所述系统安全指数、所述行为安全指数和所述数据安全指数确定出整体安全指数的置信区间;
对所述系统安全指数、所述行为安全指数和所述数据安全指数进行自适应加权平均处理,得到所述整体安全指数;
利用所述整体安全指数与所述置信区间的对应关系,确定出安全策略,并执行所述安全策略。
2.根据权利要求1所述的终端安全防护方法,其特征在于,对所述系统安全指数、所述行为安全指数和所述数据安全指数进行自适应加权平均处理,得到所述整体安全指数,包括:
获取所述终端设备的安全状态;
利用所述安全状态,为所述系统安全指数、所述行为安全指数和所述数据安全指数分别赋予对应的权重;
利用所述权重对所述系统安全指数、所述行为安全指数和所述数据安全指数进行加权平均处理,得到所述整体安全指数。
3.根据权利要求1所述的终端安全防护方法,其特征在于,所述获取终端设备的系统安全指数、行为安全指数和数据安全指数,包括:
获取系统安全数据、行为安全数据和数据安全结果;
利用所述系统安全数据,确定所述系统安全指数;
利用所述行为安全数据,确定所述行为安全指数;
利用所述数据安全结果,确定所述数据安全指数。
4.根据权利要求3所述的终端安全防护方法,其特征在于,所述获取系统安全数据、行为安全数据和数据安全结果,包括:
利用系统安全扫描引擎,获取所述系统安全数据;
利用行为安全分析引擎,获取所述行为安全数据;
利用数据安全分析引擎,获取所述数据安全结果。
5.根据权利要求1所述的终端安全防护方法,其特征在于,执行所述安全策略,包括:
将所述安全策略对应的安全任务分发给对应安全引擎,以便所述安全引擎执行所述安全任务。
6.根据权利要求1至5任一项所述的终端安全防护方法,其特征在于,利用所述整体安全指数与所述置信区间的对应关系,确定出安全策略,包括:
按照所述整体安全指数位于所述置信区间的相对位置,确定安全等级;
将与所述安全等级对应的预设安全策略,确定为所述安全策略。
7.根据权利要求6所述的终端安全防护方法,其特征在于,将与所述安全等级对应的预设安全策略,确定为所述安全策略,包括:
将所述安全等级,及低于所述安全等级所对应的全部预设安全策略,确定为所述安全策略。
8.一种终端安全防护装置,其特征在于,包括:
多维安全指数获取模块,用于获取终端设备的系统安全指数、行为安全指数和数据安全指数;
置信区间确定模块,用于利用所述系统安全指数、所述行为安全指数和所述数据安全指数确定出整体安全指数的置信区间;
整体安全指数确定模块,用于对所述系统安全指数、所述行为安全指数和所述数据安全指数进行自适应加权平均处理,得到所述整体安全指数;
安全策略执行模块,用于利用所述整体安全指数与所述置信区间的对应关系,确定出安全策略,并实施所述安全策略。
9.一种终端安全防护设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至7任一项所述终端安全防护方法的步骤。
10.一种可读存储介质,其特征在于,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述终端安全防护方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110442778.8A CN113127882B (zh) | 2021-04-23 | 2021-04-23 | 一种终端安全防护方法、装置、设备及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110442778.8A CN113127882B (zh) | 2021-04-23 | 2021-04-23 | 一种终端安全防护方法、装置、设备及可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113127882A true CN113127882A (zh) | 2021-07-16 |
| CN113127882B CN113127882B (zh) | 2023-06-09 |
Family
ID=76779485
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110442778.8A Active CN113127882B (zh) | 2021-04-23 | 2021-04-23 | 一种终端安全防护方法、装置、设备及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113127882B (zh) |
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103581186A (zh) * | 2013-11-05 | 2014-02-12 | 中国科学院计算技术研究所 | 一种网络安全态势感知方法及系统 |
| CN103581155A (zh) * | 2012-08-08 | 2014-02-12 | 贵州电网公司信息通信分公司 | 信息安全态势分析方法与系统 |
| CN104320271A (zh) * | 2014-10-20 | 2015-01-28 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络设备安全评估方法及装置 |
| WO2015199719A1 (en) * | 2014-06-27 | 2015-12-30 | Hewlett Packard Enterprise Development L.P. | Security policy based on risk |
| US20160205126A1 (en) * | 2010-09-24 | 2016-07-14 | BitSight Technologies, Inc. | Information technology security assessment system |
| CN106096423A (zh) * | 2016-08-22 | 2016-11-09 | 浪潮电子信息产业股份有限公司 | 一种动态评估操作系统安全指数的方法 |
| CN108092985A (zh) * | 2017-12-26 | 2018-05-29 | 厦门服云信息科技有限公司 | 网络安全态势分析方法、装置、设备及计算机存储介质 |
| EP3343873A1 (en) * | 2016-12-29 | 2018-07-04 | McAfee, LLC | Technologies for privacy-preserving security policy evaluation |
| CN108924084A (zh) * | 2018-05-22 | 2018-11-30 | 全球能源互联网研究院有限公司 | 一种网络设备安全评估方法及装置 |
| CN111556037A (zh) * | 2020-04-21 | 2020-08-18 | 杭州安恒信息技术股份有限公司 | 网站系统安全指数评估的方法和装置 |
| CN111669375A (zh) * | 2020-05-26 | 2020-09-15 | 武汉大学 | 一种电力工控终端在线安全态势评估方法及系统 |
| CN112052457A (zh) * | 2020-09-03 | 2020-12-08 | 中国银行股份有限公司 | 应用系统的安全状况评估方法及装置 |
| CN112383525A (zh) * | 2020-11-04 | 2021-02-19 | 淮安苏信科技信息有限公司 | 一种评价水平和准确性高的工业互联网安全态势评价方法 |
-
2021
- 2021-04-23 CN CN202110442778.8A patent/CN113127882B/zh active Active
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160205126A1 (en) * | 2010-09-24 | 2016-07-14 | BitSight Technologies, Inc. | Information technology security assessment system |
| CN103581155A (zh) * | 2012-08-08 | 2014-02-12 | 贵州电网公司信息通信分公司 | 信息安全态势分析方法与系统 |
| CN103581186A (zh) * | 2013-11-05 | 2014-02-12 | 中国科学院计算技术研究所 | 一种网络安全态势感知方法及系统 |
| WO2015199719A1 (en) * | 2014-06-27 | 2015-12-30 | Hewlett Packard Enterprise Development L.P. | Security policy based on risk |
| CN104320271A (zh) * | 2014-10-20 | 2015-01-28 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络设备安全评估方法及装置 |
| CN106096423A (zh) * | 2016-08-22 | 2016-11-09 | 浪潮电子信息产业股份有限公司 | 一种动态评估操作系统安全指数的方法 |
| EP3343873A1 (en) * | 2016-12-29 | 2018-07-04 | McAfee, LLC | Technologies for privacy-preserving security policy evaluation |
| CN108092985A (zh) * | 2017-12-26 | 2018-05-29 | 厦门服云信息科技有限公司 | 网络安全态势分析方法、装置、设备及计算机存储介质 |
| CN108924084A (zh) * | 2018-05-22 | 2018-11-30 | 全球能源互联网研究院有限公司 | 一种网络设备安全评估方法及装置 |
| CN111556037A (zh) * | 2020-04-21 | 2020-08-18 | 杭州安恒信息技术股份有限公司 | 网站系统安全指数评估的方法和装置 |
| CN111669375A (zh) * | 2020-05-26 | 2020-09-15 | 武汉大学 | 一种电力工控终端在线安全态势评估方法及系统 |
| CN112052457A (zh) * | 2020-09-03 | 2020-12-08 | 中国银行股份有限公司 | 应用系统的安全状况评估方法及装置 |
| CN112383525A (zh) * | 2020-11-04 | 2021-02-19 | 淮安苏信科技信息有限公司 | 一种评价水平和准确性高的工业互联网安全态势评价方法 |
Non-Patent Citations (5)
| Title |
|---|
| 安月英: "《数字图书馆理论与实践》", 31 July 2010, 西安地图出版社, pages: 278 - 279 * |
| 廖辉等: "网络终端安全评估量化指标体系的设计与实现", 《广东工业大学学报》 * |
| 廖辉等: "网络终端安全评估量化指标体系的设计与实现", 《广东工业大学学报》, no. 02, 15 June 2010 (2010-06-15) * |
| 林丽琼;陈守军;谭忠富;: "电网运营风险预警评估的模糊故障树分析模型", 华东电力, no. 02 * |
| 赵雪岩;陈天平;张串绒;: "主机系统安全实时风险量化评估方法的研究", 西安工程大学学报, no. 02 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113127882B (zh) | 2023-06-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Li et al. | A dynamic decision-making approach for intrusion response in industrial control systems | |
| Schmittner et al. | Security application of failure mode and effect analysis (FMEA) | |
| US8762188B2 (en) | Cyberspace security system | |
| US11921845B2 (en) | Risk evaluation and countermeasure planning system, and risk evaluation and countermeasure planning method | |
| Schmerl et al. | Architecture-based self-protection: composing and reasoning about denial-of-service mitigations | |
| KR101623843B1 (ko) | 정보자산의 위험평가시스템 및 그 방법 | |
| CA2996966A1 (en) | Process launch, monitoring and execution control | |
| CN111669365B (zh) | 网络安全测试方法及装置 | |
| Grechishnikov et al. | Algorithmic model of functioning of the system to detect and counter cyber attacks on virtual private network | |
| JP7213626B2 (ja) | セキュリティ対策検討ツール | |
| Gonzalez-Granadillo et al. | Attack graph-based countermeasure selection using a stateful return on investment metric | |
| Bejarano et al. | A vision for improving business continuity through cyber-resilience mechanisms and frameworks | |
| CN116776324A (zh) | 一种基于云计算服务的异常用户行为处理方法及系统 | |
| CN113127882B (zh) | 一种终端安全防护方法、装置、设备及可读存储介质 | |
| KR102384542B1 (ko) | 위험도 분포의 상세 분석을 통한 종합 위험도 분석 방법, 장치 및 프로그램 | |
| Smith et al. | Cyber risk analysis for a smart grid: How smart is smart enough? A multi-armed bandit approach | |
| Anjum et al. | A framework for prioritizing software vulnerabilities using fuzzy best-worst method | |
| Singh et al. | Toward grading cybersecurity & resilience posture for cyber physical systems | |
| CN110798425B (zh) | 一种黑客攻击行为的检测方法、系统及相关装置 | |
| Abazari et al. | Optimal response to computer network threats | |
| Kaloudi et al. | Comparison of risk analysis approaches for analyzing emergent misbehavior in autonomous systems | |
| CN109861865A (zh) | 一种告警联动方法、装置、系统、计算机设备和存储介质 | |
| Neto et al. | Untrustworthiness: A trust-based security metric | |
| CN117097560B (zh) | 一种虚拟化攻防对抗环境构建方法 | |
| CN117459178B (zh) | 一种基于语义导向的无人机通信干扰方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |