CN113329038A - 一种关键数字资产保护方法和装置、电子设备、存储介质 - Google Patents

一种关键数字资产保护方法和装置、电子设备、存储介质 Download PDF

Info

Publication number
CN113329038A
CN113329038A CN202110883385.0A CN202110883385A CN113329038A CN 113329038 A CN113329038 A CN 113329038A CN 202110883385 A CN202110883385 A CN 202110883385A CN 113329038 A CN113329038 A CN 113329038A
Authority
CN
China
Prior art keywords
asset
key
key asset
assets
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110883385.0A
Other languages
English (en)
Other versions
CN113329038B (zh
Inventor
王锷
王开勋
孙良忠
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanjing Tianhua Zhongan Communication Technology Co ltd
Original Assignee
Nanjing Tianhua Zhongan Communication Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nanjing Tianhua Zhongan Communication Technology Co ltd filed Critical Nanjing Tianhua Zhongan Communication Technology Co ltd
Priority to CN202110883385.0A priority Critical patent/CN113329038B/zh
Publication of CN113329038A publication Critical patent/CN113329038A/zh
Application granted granted Critical
Publication of CN113329038B publication Critical patent/CN113329038B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0681Configuration of triggering conditions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/065Generation of reports related to network devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种关键数字资产保护方法和装置,包括:根据第一关键资产的安全等级,初始化分布式网络区域的链路结构,在第一关键资产对应的链路路径上所有资产的业务类型安全指数与其安全等级相符的前提下,最小化分布式网络的流量消耗总量;获取第一关键资产的业务流量数据,得到第一关键资产正在处理的业务类型;将去噪后的第二关键资产的业务流量数据导入预先训练的流量分解模型,得到每个第二关键资产正在处理的业务类型,判断正在处理的业务类型是否为异常业务。本发明能够对分布式网络中的关键数字资产进行有效保护的同时,尽可能减少流量消耗;分析监测异常业务从而对关键数字资产进行保护,防止出现非法业务访问、信息泄露等问题。

Description

一种关键数字资产保护方法和装置、电子设备、存储介质
技术领域
本发明涉及关键数字资产保护技术领域,具体而言涉及一种关键数字资产保护方法和装置、电子设备、存储介质。
背景技术
目前的关键数字资产识别保护技术通常会针对网络中的设备进行识别并绘制网络拓扑图,使用较为固定死板的方式如人工标注对资产进行分类标注,从而进行分析保护。
在分析保护的过程中,主要是针对各种常见的攻击进行分析防护如漏洞注入、中间件攻击等,但不对比如非法业务访问、敏感信息获取等异常业务进行分析保护,这样的识别保护方法只对安全攻击进行防护,而忽略了非攻击行为的非法业务行为,不能有效地对网络中的关键资产进行识别保护。
另外,为了确保对关键数字资产的保护效果,通常会采用集中式的网络结构,以达到对关键数字资产的绝对控制。当前述保护技术应用在分布式网络中,管理人员会选择采用类似集中式的网络结构,更倾向于关键数字资产保护效果而忽视网络流量控制效果。
发明内容
本发明针对现有技术中的不足,提供一种关键数字资产保护方法和装置、电子设备、存储介质,能够对分布式网络中的关键数字资产进行有效保护的同时,尽可能减少流量消耗;另外,通过对关键资产进行自动化评估标注,结合流量对资产进行业务分析,对其进行业务标签画像,分析监测异常业务从而对关键数字资产进行保护,防止出现非法业务访问、信息泄露等问题。
为实现上述目的,本发明采用以下技术方案:
第一方面,本发明实施例提及一种关键数字资产保护方法,所述保护方法包括以下步骤:
S1,构建分布式网络区域内所有节点的拓扑关系,每个节点对应一个资产;资产的设备类型包括服务器、交换设备、安全设备和终端设备;对所有资产进行识别,筛选出其中用于执行关键功能的终端设备,将其标识为第一关键资产;
S2,根据第一关键资产的安全等级,初始化分布式网络区域的链路结构,在第一关键资产对应的链路路径上所有资产的业务类型安全指数与其安全等级相符的前提下,最小化分布式网络的流量消耗总量;
S3,获取用于控制第一关键资产和存储第一关键资产采集数据的服务器,将其标识为第二关键资产;
S4,实时获取第一关键资产的业务流量数据,对其进行分析,得到第一关键资产正在处理的业务类型,如果为异常业务类型,发出告警信息,暂停第一关键资产运作,转入步骤S6,否则进入步骤S5;
S5,实时/定期采集每个第二关键资产的业务流量数据,对其进行去噪处理,将去噪后的业务流量数据导入预先训练的流量分解模型,得到每个第二关键资产正在处理的业务类型;该流量分解模型采用去噪后的业务流量对应的序列数据或流量曲线和各个业务类型的样本流量数据进行训练得到;结合第二关键资产的业务流量数据、正在处理的业务类型和第二关键资产所处链路信息,判断正在处理的业务类型是否为异常业务,如果是,发出告警信息,暂停第二关键资产,转入步骤S6,否则,转入步骤S4,直至分布式网络中不再存在正在运作的第一关键资产和第二关键资产;
S6,调整分布式网络区域的链路结构,转入步骤S3,直至分布式网络中不再存在正在运作的第一关键资产和第二关键资产。
可选地,步骤S2中,根据下述公式初始化分布式网络区域的链路结构:
Figure 100002_DEST_PATH_IMAGE001
式中,
Figure 799542DEST_PATH_IMAGE002
是第
Figure 982261DEST_PATH_IMAGE003
个第一关键资产对应的链路路径上所有资产的业务类型安全指数,
Figure 27578DEST_PATH_IMAGE004
Figure 422787DEST_PATH_IMAGE005
是第
Figure 502738DEST_PATH_IMAGE003
个第一关键资产对应的最低安全指数阈值;
Figure 964682DEST_PATH_IMAGE006
是第
Figure 497294DEST_PATH_IMAGE003
个第一关键资产对应的链路路径上第
Figure 696194DEST_PATH_IMAGE007
个资产的实时安全系数,
Figure 630652DEST_PATH_IMAGE008
Figure 889595DEST_PATH_IMAGE009
是第
Figure 643925DEST_PATH_IMAGE003
个第一关键资产对应的链路路径的节点总数;
Figure 521882DEST_PATH_IMAGE010
是第
Figure 45267DEST_PATH_IMAGE003
个第一关键资产对应的链路路径上第
Figure 740691DEST_PATH_IMAGE007
个资产的初始安全系数,
Figure 247895DEST_PATH_IMAGE011
是与第
Figure 523019DEST_PATH_IMAGE003
个第一关键资产对应的链路路径上第
Figure 432069DEST_PATH_IMAGE007
个资产相连接的其他资产的安全系数降幅;
Figure 908181DEST_PATH_IMAGE012
Figure 637102DEST_PATH_IMAGE013
是与第
Figure 981496DEST_PATH_IMAGE003
个第一关键资产对应的链路路径上第
Figure 479474DEST_PATH_IMAGE007
个资产相连接的其他资产的总数量;
Figure 516700DEST_PATH_IMAGE014
是第
Figure 732917DEST_PATH_IMAGE003
个第一关键资产的第k个节点和第k-1个节点之间的流量消耗值。
可选地,步骤S5中,实时/定期采集每个第二关键资产的业务流量数据,对其进行去噪处理的过程包括:
S51,根据第二关键资产对应的终端设备的数量设定第一预设幅值阈值;
S52,拟合第二关键资产的流量变化曲线,提取变化幅值超出第一预设幅值阈值的异常信号点;
S53,针对每个异常信号点,获取第二关键资产对应的所有终端设备在该异常信号点的变化曲线;
S54,针对每个异常信号点,以时间为基准,统计变化幅值超出第二预设幅值阈值的所有与该异常信号点对应的终端设备的数量占比,如果统计得到的数量占比超过预设占比阈值,根据下述公式削减异常信号点的幅值:
Figure 756368DEST_PATH_IMAGE015
式中,
Figure 108852DEST_PATH_IMAGE016
是第
Figure 316980DEST_PATH_IMAGE017
个第二关键资产在异常信号点
Figure 20493DEST_PATH_IMAGE018
时刻的信号幅值,
Figure 441110DEST_PATH_IMAGE019
是削减后的信号幅值;
Figure 179259DEST_PATH_IMAGE020
是第
Figure 292709DEST_PATH_IMAGE017
个第二关键资产削减比例因子,与其链路中的资产数量和设备类型相关;
Figure 857420DEST_PATH_IMAGE021
是第
Figure 347307DEST_PATH_IMAGE017
个第二关键资产对应的第
Figure 408804DEST_PATH_IMAGE022
个终端设备在
Figure 958734DEST_PATH_IMAGE018
时刻的信号涨幅;
如果统计得到的数量未超过预设占比阈值,根据异常信号点的变化幅值与对应时间范围内终端设备变化幅值的累积之间的关系,发出终端设备异常告警或者链路告警。
可选地,步骤S54中,根据异常信号点的变化幅值与对应时间范围内终端设备变化幅值的累积之间的关系,发出终端设备异常告警或者链路告警的过程包括:
计算异常信号点的变化幅值与对应时间范围内终端设备变化幅值的累积之间的差值,如果差值小于预设差值阈值,发出终端设备异常告警,否则,发出链路告警。
可选地,所述保护方法还包括以下步骤:
结合链路结构自动识别与第二关键资产对应的交换设备和安全设备,将其标识为辅助资产;
对辅助资产进行监控,如果辅助资产出现故障、被异常攻击或者被异常访问,调整分布式网络区域的链路结构,转入步骤S3。
可选地,所述保护方法还包括以下步骤:
当有第一关键资产或第二关键资产故障或关闭时,重新调整分布式网络区域的链路结构。
第二方面,本发明实施例提及一种关键数字资产保护装置,所述保护装置包括:
拓扑关系构建模块,用于构建分布式网络区域内所有节点的拓扑关系,每个节点对应一个资产;资产的设备类型包括服务器、交换设备、安全设备和终端设备;
第一关键资产管理模块,用于对所有资产进行识别,筛选出其中用于执行关键功能的终端设备,将其标识为第一关键资产;
初始化模块,用于根据第一关键资产的安全等级,初始化分布式网络区域的链路结构,在第一关键资产对应的链路路径上所有资产的业务类型安全指数与其安全等级相符的前提下,最小化分布式网络的流量消耗总量;
第二关键资产管理模块,用于获取用于控制第一关键资产和存储第一关键资产采集数据的服务器,将其标识为第二关键资产;
第一关键资产监控模块,用于实时获取第一关键资产的业务流量数据,对其进行分析,得到第一关键资产正在处理的业务类型,如果为异常业务类型,发出告警信息,暂停第一关键资产运作,发送调整信号至链路调整模块;
第二关键资产监控模块,用于实时/定期采集每个第二关键资产的业务流量数据,对其进行去噪处理,将去噪后的业务流量数据导入预先训练的流量分解模型,得到每个第二关键资产正在处理的业务类型;该流量分解模型采用去噪后的业务流量对应的序列数据或流量曲线和各个业务类型的样本流量数据进行训练得到;结合第二关键资产的业务流量数据、正在处理的业务类型和第二关键资产所处链路信息,判断正在处理的业务类型是否为异常业务,如果是,发出告警信息,暂停第二关键资产,发送调整信号至链路调整模块;
链路调整模块,用于调整分布式网络区域的链路结构。
第三方面,本发明实施例提及一种电子设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如前所述的关键数字资产保护方法。
第四方面,本发明实施例提及一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如前所述的关键数字资产保护方法。
本发明的有益效果是:
(1)本发明能够应用在分布式网络中,对分布式网络中的关键数字资产进行有效保护的同时,尽可能减少流量消耗。
(2)本发明根据资产特性将网络设备划分成普通资产、第一关键资产、第二关键资产和辅助资产四种,通过对关键资产进行自动化评估标注,结合流量对资产进行业务分析,对其进行业务标签画像,分析监测异常业务从而对关键数字资产进行保护,防止出现非法业务访问、信息泄露等问题。
附图说明
图1是本发明实施例的关键数字资产保护方法流程图。
图2是本发明实施例的其中一种包括关键数字资产的分布式网络结构图。
具体实施方式
现在结合附图对本发明作进一步详细的说明。
需要注意的是,发明中所引用的如“上”、“下”、“左”、“右”、“前”、“后”等的用语,亦仅为便于叙述的明了,而非用以限定本发明可实施的范围,其相对关系的改变或调整,在无实质变更技术内容下,当亦视为本发明可实施的范畴。
实施例一
图1是本发明实施例的关键数字资产保护方法流程图。结合图1,该保护方法包括以下步骤:
S1,构建分布式网络区域内所有节点的拓扑关系,每个节点对应一个资产;资产的设备类型包括服务器、交换设备、安全设备和终端设备;对所有资产进行识别,筛选出其中用于执行关键功能的终端设备,将其标识为第一关键资产。
在本实施例中,终端设备是用于执行关键功能的设备。本实施例并不局限终端设备的类型,终端设备可以包括传感器、视频设备和PC机等多种类型的执行设备。
S2,根据第一关键资产的安全等级,初始化分布式网络区域的链路结构,在第一关键资产对应的链路路径上所有资产的业务类型安全指数与其安全等级相符的前提下,最小化分布式网络的流量消耗总量。图2本发明实施例的其中一种包括关键数字资产的分布式网络结构图。节点3、11、12、13、6、7、8均为终端设备,其通常位于每条链路的终端。在类似智能家居的场合下,中间节点如节点10、5等也可以是终端设备。但不管如何,在一个区域网络中,第一关键资产通常是固定的。因此可以在初始化分布式网络后,就可以通过资产的业务类型自动识别得到其中包含的所有第一关键资产。在实际应用中,当有第一关键资产或第二关键资产故障或关闭时,可以直接重新调整分布式网络区域的链路结构。
不同第一关键资产的安全等级不同,以视频设备为例,有些视频设备监控的区域为重点区域,为了防止泄密,通常会设置较高的安全等级,而有些视频设备监控的区域为普通出入场所,其安全等级则较低,甚至不属于关键资产。同样的,有些传感器用于探测重要设备的重要参数,则安全等级高。因此,在一些例子中,第一关键资产的识别依据和安全等级的配置依据主要是视第一关键资产的执行功能、执行对象和获取数据的类型决定。在本实施例中,可以在网络初始化时,同时对每个终端的前述参数进行配置,当其中部分终端设备的包括连接方式在内的工作状态发生改变时,只需要更新相关参数,就可以自动识别其是否属于第一关键资产。为了便于自动初始化和后续自动调整分布式网络结构,本实施例对每个第一关键资产的安全等级进行数值化处理,将其转换成相应的最低安全指数阈值。
对于第一关键资产来说,其选择的路径的跳转节点越多,安全性越低。而对于跳转节点,分支越多,安全性越低。不同设备的初始安全系数也不相同,如果路径中包含有网关等安全设备,该路径的安全指数也会高一些。示例性地,本实施例提出了一种初始化链路结构的方法,具体的,根据下述公式初始化分布式网络区域的链路结构:
Figure 636840DEST_PATH_IMAGE023
式中,
Figure 664839DEST_PATH_IMAGE002
是第
Figure 987367DEST_PATH_IMAGE003
个第一关键资产对应的链路路径上所有资产的业务类型安全指数,
Figure 442619DEST_PATH_IMAGE004
Figure 608021DEST_PATH_IMAGE005
是第
Figure 174132DEST_PATH_IMAGE003
个第一关键资产对应的最低安全指数阈值;
Figure 882325DEST_PATH_IMAGE006
是第
Figure 242899DEST_PATH_IMAGE003
个第一关键资产对应的链路路径上第
Figure 895597DEST_PATH_IMAGE007
个资产的实时安全系数,
Figure 265399DEST_PATH_IMAGE008
Figure 421574DEST_PATH_IMAGE009
是第
Figure 484208DEST_PATH_IMAGE003
个第一关键资产对应的链路路径的节点总数;
Figure 93043DEST_PATH_IMAGE010
是第
Figure 407481DEST_PATH_IMAGE003
个第一关键资产对应的链路路径上第
Figure 683742DEST_PATH_IMAGE007
个资产的初始安全系数,
Figure 651698DEST_PATH_IMAGE011
是与第
Figure 13409DEST_PATH_IMAGE003
个第一关键资产对应的链路路径上第
Figure 990592DEST_PATH_IMAGE007
个资产相连接的其他资产的安全系数降幅,该参数为一固定值,与资产类型相关;
Figure 855780DEST_PATH_IMAGE012
Figure 639977DEST_PATH_IMAGE013
是与第
Figure 488985DEST_PATH_IMAGE003
个第一关键资产对应的链路路径上第
Figure 738700DEST_PATH_IMAGE007
个资产相连接的其他资产的总数量;
Figure 989553DEST_PATH_IMAGE014
是第
Figure 564891DEST_PATH_IMAGE003
个第一关键资产的第k个节点和第k-1个节点之间的流量消耗值。应当理解,也可以采用现有技术中的其他流量计算方法来替换本实施例的流量计算公式,优选的,还可以选择其他分布式网络路径优化方法,在其基础上考虑链路的安全指数即可。当一条链路上出现两个或者更多第一关键资产时,只需要分别对其进行安全指数计算即可,以图2为例,当节点11和节点10都是关键资产时,在计算节点11的安全指数时,只需要将节点10视为普通中转节点即可。
在步骤S6中,可以采用同样的方式来调整分布式网络区域的链路结构。
S3,获取用于控制第一关键资产和存储第一关键资产采集数据的服务器,将其标识为第二关键资产。
在本实施例中,第一关键资产相对固定,但由于分布式网络的链路结构是动态变化的,因此,与第一关键资产对应、用以控制终端设备和接收终端设备采集数据的服务器有可能会发生变化。同时,由于服务器承载了前述功能,因此,有心人也有可能通过服务器来非法访问第一关键资产或者直接从服务器中非法访问第一关键资产的相关数据。为此,本实施例提出,将用于控制第一关键资产和存储第一关键资产采集数据的服务器标识为第二关键资产,对其进行保护。
S4,实时获取第一关键资产的业务流量数据,对其进行分析,得到第一关键资产正在处理的业务类型,如果为异常业务类型,发出告警信息,暂停第一关键资产运作,转入步骤S6,否则进入步骤S5。
被标识为第一关键资产的终端设备的业务类型通常比较单一,一旦其业务流量数据发生异常,即可以判定其可能正在被异常访问或者正在处理异常业务。示例性地,可以直接获取每个第一关键资产常规业务的流量序列或者流量曲线,通过比对流量序列或流量曲线,来进行异常业务判定。具体的,一旦比对失败,即判定出现了异常业务。
S5,实时/定期采集每个第二关键资产的业务流量数据,对其进行去噪处理,将去噪后的业务流量数据导入预先训练的流量分解模型,得到每个第二关键资产正在处理的业务类型;该流量分解模型采用去噪后的业务流量对应的序列数据或流量曲线和各个业务类型的样本流量数据进行训练得到;结合第二关键资产的业务流量数据、正在处理的业务类型和第二关键资产所处链路信息,判断正在处理的业务类型是否为异常业务,如果是,发出告警信息,暂停第二关键资产,转入步骤S6,否则,转入步骤S4,直至分布式网络中不再存在正在运作的第一关键资产和第二关键资产。
被标识为第二关键资产的服务器的业务类型复杂并且经常同步执行多个业务,本实施例采用流量分解模型,利用每个业务类型的流量曲线或流量序列各不相同这一特性来计算得到每个第二关键资产正在处理的业务类型。流量分解模型可以基于神经网络算法等深度学习方法来学习得到,并且可以对新产生的判定结果和对应的告警结果判定进行处理以生成新的样本数据,不断优化更新,以提高流量分解模型的准确率。
在实际应用中,由于网络性能并不稳定,例如网速在某些时候会产生波动,这些外界环境因素也会对流量曲线造成影响,但此种情况通常会对多个网络设备同时产生影响。这部分影响有可能会对最终的业务类型判定造成干扰,因此,本实施例提出,在对第二关键资产的业务流量数据进行分解前,先对其进行去噪处理。另外,诸如开机启动或关机、以及其他会带来流量产生较大幅度变化的设备自身发起的业务动作也可能会使第二关键资产的流量产生较大幅度变化,这部分变化数据由于带有明显的动作特征,实际上可以帮助我们判定链路上各设备的业务动作类型,因此,这部分数据应当保留以加以应用。
示例性地,步骤S5中,实时/定期采集每个第二关键资产的业务流量数据,对其进行去噪处理的过程包括:
S51,根据第二关键资产对应的终端设备的数量设定第一预设幅值阈值。
S52,拟合第二关键资产的流量变化曲线,提取变化幅值超出第一预设幅值阈值的异常信号点。
S53,针对每个异常信号点,获取第二关键资产对应的所有终端设备在该异常信号点的变化曲线。
S54,针对每个异常信号点,以时间为基准,统计变化幅值超出第二预设幅值阈值的所有与该异常信号点对应的终端设备的数量占比,如果统计得到的数量占比超过预设占比阈值,根据下述公式削减异常信号点的幅值:
Figure 635615DEST_PATH_IMAGE015
式中,
Figure 829967DEST_PATH_IMAGE016
是第
Figure 935327DEST_PATH_IMAGE017
个第二关键资产在异常信号点
Figure 415986DEST_PATH_IMAGE018
时刻的信号幅值,
Figure 974007DEST_PATH_IMAGE019
是削减后的信号幅值;
Figure 831104DEST_PATH_IMAGE020
是第
Figure 931915DEST_PATH_IMAGE017
个第二关键资产削减比例因子,与其链路中的资产数量和设备类型相关;
Figure 583477DEST_PATH_IMAGE021
是第
Figure 894372DEST_PATH_IMAGE017
个第二关键资产对应的第
Figure 289582DEST_PATH_IMAGE022
个终端设备在
Figure 103954DEST_PATH_IMAGE018
时刻的信号涨幅。
如果统计得到的数量未超过预设占比阈值,根据异常信号点的变化幅值与对应时间范围内终端设备变化幅值的累积之间的关系,发出终端设备异常告警或者链路告警。
由于分布式网络中的链路长短不一,一个服务器有可能会对接几个终端设备,也有可能会对接十几甚至几十个终端设备,因此,不同服务器的幅值阈值也不相同,本实施例提出,根据第二关键资产对应的终端设备的数量设定第一预设幅值阈值,并从拟合得到的流量变化曲线中提取出其中包含的异常信号点(或者流量毛刺)。当任意一个第二关键资产的流量曲线中出现异常信号点时,则需要对该流量曲线进行去噪判定。首先获取该第二关键资产对应的所有终端设备的流量变化曲线,从中提取得到终端设备的流量毛刺。其次,以时间为基准,将第二关键资产的流量毛刺和其对应的终端设备的流量毛刺对应起来。最后,统计每个异常信号点对应的异常终端设备的数量占比,但数量占比超过预设占比阈值时,说明该异常信号点包含了很多由环境因素(如网络波动)造成的异常幅度,为了能够更加准确的判断业务类型,我们可以对这部分异常信号进行去噪处理。
Figure 457575DEST_PATH_IMAGE020
是第
Figure 865553DEST_PATH_IMAGE017
个第二关键资产削减比例因子,与其链路中的资产数量和设备类型相关,资产数量越多,受网络波动影响小的设备越多,
Figure 64454DEST_PATH_IMAGE020
的取值越小。之所以选择数量占比的原因之一也有链路中终端设备数量有可能不相同甚至差距极大的原因,例如其中一个服务器只对应一个终端设备,当服务器发生网络波动时,如果终端设备正常工作,网络波动必然会导致终端设备发生变化,此时数量占比为100%。一个服务器只对应少量几个终端设备时类似。而当一个服务器对应很多个终端设备时,由于终端设备的工作状态有可能不一致,其中会出现部分终端设备流量不波动的可能性更大,因此只要满足预设占比阈值即可判定其受到了较大的环境干扰。反之,如果统计得到的数量未超过预设占比阈值,根据异常信号点的变化幅值与对应时间范围内终端设备变化幅值的累积之间的关系,发出终端设备异常告警或者链路告警,其中虽然有可能会因为终端设备正常关闭或断连导致告警,但几率较小,另外,可以借此自动启动链路结构调整功能,尽快优化分布式网络结构,减少流量消耗,优化传输路径。具体的,计算异常信号点的变化幅值与对应时间范围内终端设备变化幅值的累积之间的差值,如果差值小于预设差值阈值,说明异常信号点的变化幅值是由少量终端设备变化导致,这部分终端设备出现异常的可能性很大,此时可以发出终端设备异常告警,否则,说明异常信号点的变化幅值更多是由链路上的其他设备导致,此时可以发出链路告警。
S6,调整分布式网络区域的链路结构,转入步骤S3,直至分布式网络中不再存在正在运作的第一关键资产和第二关键资产。例如,节点2和9均为服务器,当节点9出现异常业务时,暂定节点9,使员节点9对应的支线设备重新链接至节点2或者节点4即可。
示例性地,保护方法还包括以下步骤:
结合链路结构自动识别与第二关键资产对应的交换设备和安全设备,将其标识为辅助资产;对辅助资产进行监控,如果辅助资产出现故障,调整分布式网络区域的链路结构,转入步骤S3。由于辅助资产不涉及关键数据,不管其是出现故障、被异常攻击或者被异常访问,均可以直接调整分布式网络区域的链路结构,避免辅助资产被攻破后用户借由辅助资产访问关键资产。可选的,由于辅助资产的业务类型也相对单一,通过分析辅助资产的流量曲线来判断其是否发生了故障或者正在处理异常业务。对于辅助资产的异常处理,在某些例子中,无需暂停辅助资产,可以只将第一关键资产和第二关键资产的链路进行调整,使其不再路由至该辅助资产即可,再通过告警的方式对辅助资产进行异常处理,处理完成后再次调整链路,达到流量消耗最小的目的。
实施例二
第二方面,本发明实施例提及一种关键数字资产保护装置,该保护装置包括拓扑关系构建模块、第一关键资产管理模块、初始化模块、第二关键资产管理模块、第一关键资产监控模块、第二关键资产监控模块和链路调整模块。
拓扑关系构建模块,用于构建分布式网络区域内所有节点的拓扑关系,每个节点对应一个资产;资产的设备类型包括服务器、交换设备、安全设备和终端设备。
第一关键资产管理模块,用于对所有资产进行识别,筛选出其中用于执行关键功能的终端设备,将其标识为第一关键资产。
初始化模块,用于根据第一关键资产的安全等级,初始化分布式网络区域的链路结构,在第一关键资产对应的链路路径上所有资产的业务类型安全指数与其安全等级相符的前提下,最小化分布式网络的流量消耗总量。
第二关键资产管理模块,用于获取用于控制第一关键资产和存储第一关键资产采集数据的服务器,将其标识为第二关键资产。
第一关键资产监控模块,用于实时获取第一关键资产的业务流量数据,对其进行分析,得到第一关键资产正在处理的业务类型,如果为异常业务类型,发出告警信息,暂停第一关键资产运作,发送调整信号至链路调整模块。
第二关键资产监控模块,用于实时/定期采集每个第二关键资产的业务流量数据,对其进行去噪处理,将去噪后的业务流量数据导入预先训练的流量分解模型,得到每个第二关键资产正在处理的业务类型;该流量分解模型采用去噪后的业务流量对应的序列数据或流量曲线和各个业务类型的样本流量数据进行训练得到;结合第二关键资产的业务流量数据、正在处理的业务类型和第二关键资产所处链路信息,判断正在处理的业务类型是否为异常业务,如果是,发出告警信息,暂停第二关键资产,发送调整信号至链路调整模块。
链路调整模块,用于调整分布式网络区域的链路结构。
示例性地,用户也可以通过直接对第一关键资产管理模块和第二关键资产管理模块进行操作也人为设定第一关键资产和第二关键资产,甚至直接调整第一关键资产的自动识别条件。
实施例三
本申请实施例提供了一种电子设备,包括处理器、存储器、输入装置和输出装置;电子设备中,处理器的数量可以一个或多个;电子设备中的处理器、存储器、输入装置和输出装置可以通过总线或其他方式连接。
存储器作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序以及模块,如本发明实施例中的检测方法对应的程序指令/模块。处理器通过运行存储在存储器中的软件程序、指令以及模块,从而执行电子设备的各种功能应用以及数据处理,即实现本发明实施例所提供的关键数字资产保护方法。
存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作装置、至少一个功能所需的应用程序;存储数据区可存储根据终端的使用所创建的数据等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储器可进一步包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至电子设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置可用于接收输入的数字或字符信息,以及产生与电子设备的用户设置以及功能控制有关的键信号输入,可以包括键盘、鼠标等。输出装置可包括显示屏等显示设备。
实施例四
本申请实施例提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如前所述关键数字资产保护方法。
当然,本发明实施例所提供的一种包含计算机可执行指令的存储介质,其计算机可执行指令不限于如上所述的方法操作,还可以执行本发明任意实施例所提供的关键数字资产保护方法中的相关操作。
以上仅是本发明的优选实施方式,本发明的保护范围并不仅局限于上述实施例,凡属于本发明思路下的技术方案均属于本发明的保护范围。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理前提下的若干改进和润饰,应视为本发明的保护范围。

Claims (9)

1.一种关键数字资产保护方法,其特征在于,所述保护方法包括以下步骤:
S1,构建分布式网络区域内所有节点的拓扑关系,每个节点对应一个资产;资产的设备类型包括服务器、交换设备、安全设备和终端设备;对所有资产进行识别,筛选出其中用于执行关键功能的终端设备,将其标识为第一关键资产;
S2,根据第一关键资产的安全等级,初始化分布式网络区域的链路结构,在第一关键资产对应的链路路径上所有资产的业务类型安全指数与其安全等级相符的前提下,最小化分布式网络的流量消耗总量;
S3,获取用于控制第一关键资产和存储第一关键资产采集数据的服务器,将其标识为第二关键资产;
S4,实时获取第一关键资产的业务流量数据,对其进行分析,得到第一关键资产正在处理的业务类型,如果为异常业务类型,发出告警信息,暂停第一关键资产运作,转入步骤S6,否则进入步骤S5;
S5,实时/定期采集每个第二关键资产的业务流量数据,对其进行去噪处理,将去噪后的业务流量数据导入预先训练的流量分解模型,得到每个第二关键资产正在处理的业务类型;该流量分解模型采用去噪后的业务流量对应的序列数据或流量曲线和各个业务类型的样本流量数据进行训练得到;结合第二关键资产的业务流量数据、正在处理的业务类型和第二关键资产所处链路信息,判断正在处理的业务类型是否为异常业务,如果是,发出告警信息,暂停第二关键资产,转入步骤S6,否则,转入步骤S4,直至分布式网络中不再存在正在运作的第一关键资产和第二关键资产;
S6,调整分布式网络区域的链路结构,转入步骤S3,直至分布式网络中不再存在正在运作的第一关键资产和第二关键资产。
2.根据权利要求1所述的关键数字资产保护方法,其特征在于,步骤S2中,根据下述公式初始化分布式网络区域的链路结构:
Figure DEST_PATH_IMAGE001
式中,
Figure 877131DEST_PATH_IMAGE002
是第
Figure 401653DEST_PATH_IMAGE003
个第一关键资产对应的链路路径上所有资产的业务类型安全指数,
Figure 421562DEST_PATH_IMAGE004
Figure 158574DEST_PATH_IMAGE005
是第
Figure 321440DEST_PATH_IMAGE003
个第一关键资产对应的最低安全指数阈值;
Figure 16863DEST_PATH_IMAGE006
是第
Figure 992909DEST_PATH_IMAGE003
个第一关键资产对应的链路路径上第
Figure 799191DEST_PATH_IMAGE007
个资产的实时安全系数,
Figure 708242DEST_PATH_IMAGE008
Figure 43408DEST_PATH_IMAGE009
是第
Figure 913275DEST_PATH_IMAGE003
个第一关键资产对应的链路路径的节点总数;
Figure 257669DEST_PATH_IMAGE010
是第
Figure 755646DEST_PATH_IMAGE003
个第一关键资产对应的链路路径上第
Figure 527293DEST_PATH_IMAGE007
个资产的初始安全系数,
Figure 9090DEST_PATH_IMAGE011
是与第
Figure 891595DEST_PATH_IMAGE003
个第一关键资产对应的链路路径上第
Figure 385025DEST_PATH_IMAGE007
个资产相连接的其他资产的安全系数降幅;
Figure 593152DEST_PATH_IMAGE012
Figure 31087DEST_PATH_IMAGE013
是与第
Figure 982862DEST_PATH_IMAGE003
个第一关键资产对应的链路路径上第
Figure 596377DEST_PATH_IMAGE007
个资产相连接的其他资产的总数量;
Figure 444248DEST_PATH_IMAGE014
是第
Figure 635058DEST_PATH_IMAGE003
个第一关键资产的第k个节点和第k-1个节点之间的流量消耗值。
3.根据权利要求1所述的关键数字资产保护方法,其特征在于,步骤S5中,实时/定期采集每个第二关键资产的业务流量数据,对其进行去噪处理的过程包括:
S51,根据第二关键资产对应的终端设备的数量设定第一预设幅值阈值;
S52,拟合第二关键资产的流量变化曲线,提取变化幅值超出第一预设幅值阈值的异常信号点;
S53,针对每个异常信号点,获取第二关键资产对应的所有终端设备在该异常信号点的变化曲线;
S54,针对每个异常信号点,以时间为基准,统计变化幅值超出第二预设幅值阈值的所有与该异常信号点对应的终端设备的数量占比,如果统计得到的数量占比超过预设占比阈值,根据下述公式削减异常信号点的幅值:
Figure 859365DEST_PATH_IMAGE015
式中,
Figure 452021DEST_PATH_IMAGE016
是第
Figure 1951DEST_PATH_IMAGE017
个第二关键资产在异常信号点
Figure 414478DEST_PATH_IMAGE018
时刻的信号幅值,
Figure 816378DEST_PATH_IMAGE019
是削减后的信号幅值;
Figure 263540DEST_PATH_IMAGE020
是第
Figure 718792DEST_PATH_IMAGE017
个第二关键资产削减比例因子,与其链路中的资产数量和设备类型相关;
Figure 884194DEST_PATH_IMAGE021
是第
Figure 450305DEST_PATH_IMAGE017
个第二关键资产对应的第
Figure 751973DEST_PATH_IMAGE022
个终端设备在
Figure 519072DEST_PATH_IMAGE018
时刻的信号涨幅;
如果统计得到的数量未超过预设占比阈值,根据异常信号点的变化幅值与对应时间范围内终端设备变化幅值的累积之间的关系,发出终端设备异常告警或者链路告警。
4.根据权利要求3所述的关键数字资产保护方法,其特征在于,步骤S54中,根据异常信号点的变化幅值与对应时间范围内终端设备变化幅值的累积之间的关系,发出终端设备异常告警或者链路告警的过程包括:
计算异常信号点的变化幅值与对应时间范围内终端设备变化幅值的累积之间的差值,如果差值小于预设差值阈值,发出终端设备异常告警,否则,发出链路告警。
5.根据权利要求1所述的关键数字资产保护方法,其特征在于,所述保护方法还包括以下步骤:
结合链路结构自动识别与第二关键资产对应的交换设备和安全设备,将其标识为辅助资产;
对辅助资产进行监控,如果辅助资产出现故障、被异常攻击或者被异常访问,调整分布式网络区域的链路结构,转入步骤S3。
6.根据权利要求1所述的关键数字资产保护方法,其特征在于,所述保护方法还包括以下步骤:
当有第一关键资产或第二关键资产故障或关闭时,重新调整分布式网络区域的链路结构。
7.一种关键数字资产保护装置,其特征在于,所述保护装置包括:
拓扑关系构建模块,用于构建分布式网络区域内所有节点的拓扑关系,每个节点对应一个资产;资产的设备类型包括服务器、交换设备、安全设备和终端设备;
第一关键资产管理模块,用于对所有资产进行识别,筛选出其中用于执行关键功能的终端设备,将其标识为第一关键资产;
初始化模块,用于根据第一关键资产的安全等级,初始化分布式网络区域的链路结构,在第一关键资产对应的链路路径上所有资产的业务类型安全指数与其安全等级相符的前提下,最小化分布式网络的流量消耗总量;
第二关键资产管理模块,用于获取用于控制第一关键资产和存储第一关键资产采集数据的服务器,将其标识为第二关键资产;
第一关键资产监控模块,用于实时获取第一关键资产的业务流量数据,对其进行分析,得到第一关键资产正在处理的业务类型,如果为异常业务类型,发出告警信息,暂停第一关键资产运作,发送调整信号至链路调整模块;
第二关键资产监控模块,用于实时/定期采集每个第二关键资产的业务流量数据,对其进行去噪处理,将去噪后的业务流量数据导入预先训练的流量分解模型,得到每个第二关键资产正在处理的业务类型;该流量分解模型采用去噪后的业务流量对应的序列数据或流量曲线和各个业务类型的样本流量数据进行训练得到;结合第二关键资产的业务流量数据、正在处理的业务类型和第二关键资产所处链路信息,判断正在处理的业务类型是否为异常业务,如果是,发出告警信息,暂停第二关键资产,发送调整信号至链路调整模块;
链路调整模块,用于调整分布式网络区域的链路结构。
8.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-6中任一项所述的关键数字资产保护方法。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-7中任一项所述的关键数字资产保护方法。
CN202110883385.0A 2021-08-03 2021-08-03 一种关键数字资产保护方法和装置、电子设备、存储介质 Active CN113329038B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110883385.0A CN113329038B (zh) 2021-08-03 2021-08-03 一种关键数字资产保护方法和装置、电子设备、存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110883385.0A CN113329038B (zh) 2021-08-03 2021-08-03 一种关键数字资产保护方法和装置、电子设备、存储介质

Publications (2)

Publication Number Publication Date
CN113329038A true CN113329038A (zh) 2021-08-31
CN113329038B CN113329038B (zh) 2021-10-19

Family

ID=77426793

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110883385.0A Active CN113329038B (zh) 2021-08-03 2021-08-03 一种关键数字资产保护方法和装置、电子设备、存储介质

Country Status (1)

Country Link
CN (1) CN113329038B (zh)

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100153316A1 (en) * 2008-12-16 2010-06-17 At&T Intellectual Property I, Lp Systems and methods for rule-based anomaly detection on ip network flow
US20150213369A1 (en) * 2002-10-21 2015-07-30 Rockwell Automation Technologies, Inc. System and methodology providing automation security analysis and network intrusion protection in an industrial environment
CN105635085A (zh) * 2014-11-19 2016-06-01 上海悦程信息技术有限公司 基于动态健康度模型的安全大数据分析系统及方法
US20190089740A1 (en) * 2017-09-18 2019-03-21 Fortinet, Inc. Automated auditing of network security policies
CN110336860A (zh) * 2019-06-13 2019-10-15 河海大学常州校区 工业物联网中基于多维数据处理的关键节点数据保护方法
CN110460481A (zh) * 2019-09-12 2019-11-15 南京经纬信安科技有限公司 一种网络关键资产的识别方法
CN112217826A (zh) * 2020-10-14 2021-01-12 福建奇点时空数字科技有限公司 一种基于流量感知的网络资产关联分析和动态监管方法
CN112235793A (zh) * 2020-10-16 2021-01-15 南京天华中安通信技术有限公司 一种多业务接入网系统及其控制方法
CN112822163A (zh) * 2020-12-29 2021-05-18 山石网科通信技术股份有限公司 数据流量的生成方法及装置、系统

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150213369A1 (en) * 2002-10-21 2015-07-30 Rockwell Automation Technologies, Inc. System and methodology providing automation security analysis and network intrusion protection in an industrial environment
US20100153316A1 (en) * 2008-12-16 2010-06-17 At&T Intellectual Property I, Lp Systems and methods for rule-based anomaly detection on ip network flow
CN105635085A (zh) * 2014-11-19 2016-06-01 上海悦程信息技术有限公司 基于动态健康度模型的安全大数据分析系统及方法
US20190089740A1 (en) * 2017-09-18 2019-03-21 Fortinet, Inc. Automated auditing of network security policies
CN110336860A (zh) * 2019-06-13 2019-10-15 河海大学常州校区 工业物联网中基于多维数据处理的关键节点数据保护方法
CN110460481A (zh) * 2019-09-12 2019-11-15 南京经纬信安科技有限公司 一种网络关键资产的识别方法
CN112217826A (zh) * 2020-10-14 2021-01-12 福建奇点时空数字科技有限公司 一种基于流量感知的网络资产关联分析和动态监管方法
CN112235793A (zh) * 2020-10-16 2021-01-15 南京天华中安通信技术有限公司 一种多业务接入网系统及其控制方法
CN112822163A (zh) * 2020-12-29 2021-05-18 山石网科通信技术股份有限公司 数据流量的生成方法及装置、系统

Also Published As

Publication number Publication date
CN113329038B (zh) 2021-10-19

Similar Documents

Publication Publication Date Title
CN110602041A (zh) 基于白名单的物联网设备识别方法、装置及网络架构
CN110768946A (zh) 一种基于布隆过滤器的工控网络入侵检测系统及方法
CN111309565A (zh) 告警处理方法、装置、电子设备以及计算机可读存储介质
US20170024983A1 (en) System and method for tamper detection on distributed utility infrastructure
CN110830467A (zh) 基于模糊预测的网络可疑资产识别方法
CN111224973A (zh) 一种基于工业云的网络攻击快速检测系统
CN106452941A (zh) 网络异常的检测方法及装置
CN114629728B (zh) 一种卡尔曼滤波的网络攻击追踪方法及装置
CN110224852A (zh) 基于htm算法的网络安全监测方法及装置
CN113691507A (zh) 一种工业控制网络安全检测方法及系统
CN115049410A (zh) 窃电行为识别方法、装置、电子设备及计算机可读存储介质
CN113329038B (zh) 一种关键数字资产保护方法和装置、电子设备、存储介质
CN109743339A (zh) 电力厂站的网络安全监测方法和装置、计算机设备
CN111736579B (zh) 基于日志问询留存的工业控制设备安全检测方法
CN116366319A (zh) 一种检测网络安全的方法及系统
CN116628554A (zh) 一种工业互联网数据异常的检测方法、系统和设备
Salazar et al. Monitoring approaches for security and safety analysis: application to a load position system
CN111478913B (zh) 配用电通信网络的网络入侵检测方法、装置及存储介质
Veselý et al. Neural networks in intrusion detection systems
CN113949539A (zh) 一种核电厂kns系统网络安全的保护方法及kns系统
Hurst et al. Protecting critical infrastructures through behavioural observation
Flaus et al. Review of machine learning based intrusion detection approaches for industrial control systems
CN118018328B (zh) 基于端口感知的主动防御与攻击方法、系统、设备和介质
Andryukhin et al. Industrial network anomaly behavior detection via exponential smoothing model
CN104933357A (zh) 一种基于数据挖掘的洪泛攻击检测系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant