CN113660217B - 一种设备安全管控方法、装置、计算机设备、存储介质 - Google Patents
一种设备安全管控方法、装置、计算机设备、存储介质 Download PDFInfo
- Publication number
- CN113660217B CN113660217B CN202110848880.8A CN202110848880A CN113660217B CN 113660217 B CN113660217 B CN 113660217B CN 202110848880 A CN202110848880 A CN 202110848880A CN 113660217 B CN113660217 B CN 113660217B
- Authority
- CN
- China
- Prior art keywords
- data
- threat
- control model
- equipment
- intelligence data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请涉及一种设备安全管控方法、装置、计算机设备和计算机存储介质,通过对设备的安全事件从属性、事件、服务建立安全管控模型,统一威胁情报数据格式,使用安全管控模型对威胁情报数据进行校验,合理阻断非法数据上报,并针对不同的威胁做相应的防护。解决了由于接入设备型号、标准、规格的多元化导致设备威胁情报数据的统一收集与处理出现数据碎片化、聚合难度大的问题。
Description
技术领域
本申请涉及物联网安全技术领域,特别是涉及一种设备安全管控方法、装置、系统、电子装置和存储介质。
背景技术
随着物联网技术的不断发展,越来越多的物联网设备投入到社会生产的使用中。物联网设备的引入,为人们生活、工作、学习带来巨大的便利的同时,设备信息安全问题也逐渐放大,不容小觑。现有的web技术,结合设备终端SDK(Software Development Kit,软件开发工具包)或Agent(代理)等,虽然可以实现对设备威胁数据的管理,实时掌握设备动态的威胁数据,及时阻断对威胁攻击。但当接入设备型号、标准、规格出现多元化的情况下,设备安全信息的统一收集与处理出现数据碎片化、聚合难度大的问题。
针对相关技术中由于接入设备型号、标准、规格的多元化导致设备安全信息的统一收集与处理出现数据碎片化、聚合难度大的问题,尚未提出有效的解决方案。
发明内容
基于此,有必要针对上述技术问题,提供一种设备安全管控方法、装置、计算机设备、以及计算机可读存储介质。
第一方面,本申请实施例提供了一种设备安全管控方法,包括以下步骤:
采集所述设备产生的威胁情报数据;
获取所述威胁情报数据对应的安全管控模型,所述安全管控模型为从设备安全事件的属性、事件和服务三个维度建立的物模型;
利用所述安全管控模型对所述威胁情报数据进行校验,根据效验结果确定所述威胁情报数据是否为非法情报数据;
在确定所述威胁情报数据为非法情报数据的情况下,阻断所述非法情报数据的上报。
在其中一些实施例中,在所述获取所述威胁情报数据对应的安全管控模型之前,所述方法还包括以下步骤:
针对设备的设备安全事件,从属性、事件和服务三个维度建立所述安全管控模型。
在其中一些实施例中,在根据所述效验结果确定所述威胁情报数据为合法情报数据的情况下,还包括:
根据预先建立好的规则获取所述合法情报数据的目标标签;
对所有所述目标标签进行分类叠加计算,并对计算结果进行可视化展示。
在其中一些实施例中,所述设备安全事件包括系统用户变更、违规外联、暴力破解和远程访问中的一种或几种事件。
在其中一些实施例中,使用Elasticsearch搜索引擎采集所述威胁情报数据。
在其中一些实施例中,在所述确定所述威胁情报数据为非法情报数据的情况下,还包括:对所述非法情报数据进行记录。
在其中一些实施例中,在所述根据预先建立好的规则获取所述合法情报数据的目标标签之后,所述方法还包括基于所述目标标签获取对应的防护手段对所述设备进行防护。
在其中一些实施例中,所述方法还包括:定期更新所述催收评分模型。
在其中一些实施例中,所述目标标签包括威胁类型、数据源可信度和情报源可信度中的任意一个或者多个。
第二个方面,在本实施例中提供了一种设备安全管控装置,包括:采集模块、模型获取模块、校验模块和结果模块,其中:
所述采集模块,用于采集所述设备产生的威胁情报数据;
所述模型获取模块,用于获取所述威胁情报数据对应的安全管控模型,所述安全管控模型为从设备安全事件的属性、事件和服务三个维度建立的物模型;
所述校验模块,用于利用所述安全管控模型对所述威胁情报数据进行校验,根据效验结果确定所述威胁情报数据是否为非法情报数据;
所述结果模块,用于在确定所述威胁情报数据为非法情报数据的情况下,阻断所述非法情报数据的上报。
第三个方面,在本实施例中提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述第一个方面所述方法的步骤。
第四个方面,在本实施例中提供了计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述第一个方面所述的方法的步骤。
上述设备安全管控方法、装置、计算机设备、以及计算机可读存储介质,其中设备安全管控方法通过对设备的安全事件从属性、事件和服务建立安全管控模型,统一威胁情报数据格式,使用安全管控模型对威胁情报数据进行校验,合理阻断非法数据上报,并针对不同的威胁做相应的防护。解决了由于接入设备型号、标准、规格的多元化导致设备威胁情报数据的统一收集与处理出现数据碎片化、聚合难度大的问题。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例提供的设备安全管控方法的应用场景图;
图2是根据本申请实施例提供的设备安全管控方法的流程图一;
图3是根据本申请实施例提供的设备安全管控方法的流程图二;
图4是根据本申请实施例提供的设备安全管控装置的结构示意图;
图5是根据本申请实施例提供的计算机设备的结构示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行描述和说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。基于本申请提供的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
显而易见地,下面描述中的附图仅仅是本申请的一些示例或实施例,对于本领域的普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图将本申请应用于其他类似情景。此外,还可以理解的是,虽然这种开发过程中所作出的努力可能是复杂并且冗长的,然而对于与本申请公开的内容相关的本领域的普通技术人员而言,在本申请揭露的技术内容的基础上进行的一些设计,制造或者生产等变更只是常规的技术手段,不应当理解为本申请公开的内容不充分。
在本申请中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是,本申请所描述的实施例在不冲突的情况下,可以与其它实施例相结合。
除非另作定义,本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制,可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形,意图在于覆盖不排他的包含;例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可以还包括没有列出的步骤或单元,或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电气的连接,不管是直接的还是间接的。本申请所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象,不代表针对对象的特定排序。
图1为一个实施例中设备安全管控方法的应用场景图。如图1所示,服务器101与设备102之间均可以通过网络进行数据传输。其中,服务器101用于采集设备102产生的威胁情报数据,根据威胁情报数据唯一的标识符获取威胁情报数据对应的安全管控模型,利用安全管控模型对威胁情报数据进行校验,根据效验结果确定威胁情报数据是合法情报数据还是非法情报数据,在确定威胁情报数据为非法情报数据的情况下,阻断非法情报数据的上报。其中服务器101可以由独立的服务器或者是多个服务器组成的服务器集群来实现,设备102可以为任意一种物联网设备。
本申请实施例提供了一种设备安全管控方法,可用于物联网安全技术领域中的设备安全管控,如图2所示,该方法包括如下步骤:
步骤S210,采集设备产生的威胁情报数据。
威胁情报数据使指设备与外界进行交互时产生的与安全相关的数据,比如各种事件上报信息和各种安全漏洞等。由于设备威胁情报数据量庞大,可以使用高性能引擎对设备威胁情报数据进行采集。
作为一种可实施方式,可以使用Elasticsearch搜索引擎采集威胁情报数据。Elasticsearch是一个分布式、高扩展以及高实时的搜索与数据分析引擎,它能很方便的对大量数据进行搜索、分析和探索。
步骤S230,获取威胁情报数据对应的安全管控模型,安全管控模型是将设备安全事件从属性、事件和服务三个维度建立的模型。
安全管控模型对设备安全事件提供一个建模标准,从属性、事件和服务三个角度描述设备安全事件,并且统一了威胁情报数据的上报格式。对设备安全事件建立安全管控模型与面向对象思维相似,可以将identifier和name作为安全事件的标识符,设备安全事件模型的identifier和人的身份证号一样,是唯一的,type代表事件类型,outputData描述事件上报的数据类型和数据范围。例如对系统用户变更事件建立的安全管控模型如下:
安全管控模型是提前建立好并保存在数据库里,当获取到一个特定的威胁情报数据时,可以根据威胁情报数据唯一的标识符identifier进行匹配获取威胁情报数据对应的安全管控模型。
步骤S250,利用安全管控模型对威胁情报数据进行校验,根据效验结果确定威胁情报数据是否为非法情报数据。
安全管控模型outputData描述的事件上报的各字段的数据类型和数据范围,根据outputData里的identifier找到威胁情报数据对应的字段,根据不同字段对应的数据类型和数据范围对威胁情报数据进行校验,如果威胁情报数据存在某个字段不符合安全管控模型outputData描述的数据类型和数据范围,则此威胁情报数据为非法情报数据。若威胁情报数据与outputData相对应的所有字段符合outputData字段描述的数据类型和数据范围,则此威胁情报数据为合法情报数据。以上述系统用户变更安全管控模型为例,系统用户变更安全管控模型outputData有两个字段,分别为“level”(等级)和“userList”(用户列表),其中安全管控模型约束“level”的数据类型是整型,范围是0~10,且步长是1;安全管控模型约束“userList”的数据类型是数组,大小是100。若威胁情报数据匹配到的是系统用户变更安全管控模型,则需要校验“level”和“userList”是否符合系统用户变更安全管控模型outputData规定的“level”和“userList”数据类型和数据范围。
步骤S270,在确定威胁情报数据为非法情报数据的情况下,阻断非法情报数据的上报。
对于非法情报数据,直接阻断其上报,防止非法情报数据对设备造成损害。
作为一种可实施方式,在确定威胁情报数据为非法情报数据的情况下,增加日志模块对非法情报数据进行记录,以便后续对设备安全进行全面的分析和了解,输出更完备的设备安全防控手段。
相关技术中,未对设备安全事件进行标准化建模,在接入设备型号、标准、规格的多元化的情况下,设备威胁情报数据的统一收集与处理出现数据碎片化、聚合难度大的问题。而本申请通过上述步骤S210至S270,对设备的安全事件从属性、事件和服务建立安全管控模型,统一威胁情报数据格式,使用安全管控模型对威胁情报数据进行校验,合理阻断非法数据上报,并针对不同的威胁做相应的防护。解决了由于接入设备型号、标准、规格的多元化导致威胁情报数据的统一收集与处理出现数据碎片化、聚合难度大的问题。
在其中一个实施例中,如图3所示,在获取威胁情报数据对应的安全管控模型之前,还包括以下步骤:
步骤S200,针对设备的设备安全事件,从属性、事件和服务三个维度建立安全管控模型。
具体建立安全管控模型的方法已在上述实施例讲述,在此不作赘述。
作为一种可实施方式,设备安全事件包括系统用户变更、违规外联、暴力破解和远程访问等。可能出现的设备安全事件各种各样,对设备可能出现的设备安全事件建立安全管控模型,能对设备安全做好及时的防护并且能够高效地收集和处理设备产生的威胁情报数据。
上述实施例提供的安全管控方法,对设备可能出现的安全事件从属性、事件和服务建立安全管控模型,统一威胁情报数据格式,使用安全管控模型对威胁情报数据进行校验,合理阻断非法数据上报,并针对不同的威胁做相应的防护。解决了由于接入设备型号、标准、规格的多元化导致设备威胁情报数据的统一收集与处理出现数据碎片化、聚合难度大的问题。
在其中一个实施例中,在根据效验结果确定威胁情报数据为合法情报数据的情况下,还包括:
根据预先建立好的规则获取合法情报数据的目标标签;
对所有目标标签进行分类叠加计算,并对计算结果进行可视化展示。
每个目标标签对应一个规则,规则和标签都可以通过用户自定义的方式建立。例如规则为合法情报数据出现“Buffer overflow”字段,目标标签为“缓存溢出漏洞”。可以从多个方面对设备建立标签。
作为一种可实施方式,目标标签包括威胁类型、数据源可信度和情报源可信度等,通过多个方面给设备建立标签,对设备安全进行画像,可以更全面地了解当前的设备安全情况。
对所有的目标标签进行分类叠加计算,例如计算出“缓存溢出漏洞”出现多少次,“弱口令”出现多少次,“数据源不可信”出现多少次和“情报源不可信”出现多少次等,对计算结果进行可视化展示,可以用大液晶显示屏进行展示,通过这种可视化方式能够实时直观地了解设备当前安全状态。当设备安全状态不理想时,例如经常出现各类漏洞等,可以对设备采取一些防护手段,例如直接将设备复位来调整设备当前的安全状态。
在其中一个实施例中,在根据预先建立好的规则获取合法情报数据的目标标签之后,还包括基于目标标签获取对应的防护手段对设备进行防护。
例如当获取到设备出现“缓存溢出漏洞”目标标签,对设备发送“修复缓存溢出漏洞”的指令让设备自行修复缓存溢出漏洞。
通过此方式可及时修复设备安全问题,保证设备拥有良好的工作状态。
本实施例还提供了一种设备安全管控装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。上述设备安全管控装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。尽管在以下实施例中所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能被构想的。
图4是根据本发明实施例中设备安全管控装置的示意图,如图4所示,提供了一种设备安全管控装置30,该装置包括采集模块31、模型获取模块32、校验模块33和结果模块34,其中:
采集模块31,用于采集设备产生的威胁情报数据;
模型获取模块32,用于获取威胁情报数据对应的安全管控模型,安全管控模型为从设备安全事件的属性、事件和服务三个维度建立的物模型;
校验模块33,用于利用安全管控模型对威胁情报数据进行校验,根据效验结果确定威胁情报数据是否为非法情报数据;
结果模块34,用于在确定威胁情报数据为非法情报数据的情况下,阻断非法情报数据的上报。
上述设备安全管控装置30用于对设备的安全事件从属性、事件和服务建立安全管控模型,统一威胁情报数据格式,使用安全管控模型对威胁情报数据进行校验,合理阻断非法数据上报,并针对不同的威胁做相应的防护。解决了由于接入设备型号、标准、规格的多元化导致设备威胁情报数据的统一收集与处理出现数据碎片化、聚合难度大的问题。
在其中一个实施例中,安全管控装置30还包括模型建立模块35,用于在获取威胁情报数据对应的安全管控模型之前,针对设备的设备安全事件,从属性、事件和服务三个维度建立安全管控模型。
在其中一个实施例中,结果模块34还用于在根据效验结果确定威胁情报数据为合法情报数据的情况下,根据预先建立好的规则获取合法情报数据的目标标签,对所有目标标签进行分类叠加计算,并对计算结果进行可视化展示。
在其中一个实施例中,设备安全事件包括系统用户变更、违规外联、暴力破解和远程访问中的一种或几种事件。
在其中一个实施例中,采集模块31使用Elasticsearch搜索引擎采集威胁情报数据。
在其中一个实施例中,结果模块34还用于在确定威胁情报数据为非法情报数据的情况下,对非法情报数据进行记录。
在其中一个实施例中,结果模块34还用于在根据预先建立好的规则获取合法情报数据的目标标签之后,基于目标标签获取对应的防护手段对设备进行防护。
在其中一个实施例中,目标标签包括威胁类型、数据源可信度和情报源可信度中的任意一个或者多个。
需要说明地是,上述各个模块可以是功能模块也可以是程序模块,既可以通过软件实现,也可以通过硬件来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图5所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储预设配置信息集合。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现上述设备安全管控方法。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是终端。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口、显示屏和输入装置。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种设备安全管控方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图5中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
采集设备产生的威胁情报数据;
获取威胁情报数据对应的安全管控模型,安全管控模型为从设备安全事件的属性、事件和服务三个维度建立的物模型;
利用安全管控模型对威胁情报数据进行校验,根据效验结果确定威胁情报数据是否为非法情报数据;
在确定威胁情报数据为非法情报数据的情况下,阻断非法情报数据的上报。
在一个实施例中,在获取威胁情报数据对应的安全管控模型之前,处理器执行计算机程序时还实现以下步骤:
针对设备的设备安全事件,从属性、事件和服务三个维度建立安全管控模型。
在一个实施例中,在根据效验结果确定威胁情报数据为合法情报数据的情况下,处理器执行计算机程序时还实现以下步骤:
根据预先建立好的规则获取合法情报数据的目标标签;
对所有目标标签进行分类叠加计算,并对计算结果进行可视化展示。
在一个实施例中,设备安全事件包括系统用户变更、违规外联、暴力破解和远程访问中的一种或几种事件。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
使用Elasticsearch搜索引擎采集威胁情报数据。
在一个实施例中,在确定威胁情报数据为非法情报数据的情况下,处理器执行计算机程序时还实现以下步骤:对非法情报数据进行记录。
在一个实施例中,在根据预先建立好的规则获取合法情报数据的目标标签之后,处理器执行计算机程序时还实现以下步骤:
基于目标标签获取对应的防护手段对设备进行防护。
在一个实施例中,目标标签包括威胁类型、数据源可信度和情报源可信度中的任意一个或者多个。
上述存储介质用于对设备的安全事件从属性、事件和服务建立安全管控模型,统一威胁情报数据格式,使用安全管控模型对威胁情报数据进行校验,合理阻断非法数据上报,并针对不同的威胁做相应的防护。解决了由于接入设备型号、标准、规格的多元化导致设备威胁情报数据的统一收集与处理出现数据碎片化、聚合难度大的问题。
应该明白的是,这里描述的具体实施例只是用来解释这个应用,而不是用来对它进行限定。根据本申请提供的实施例,本领域普通技术人员在不进行创造性劳动的情况下得到的所有其它实施例,均属本申请保护范围。
显然,附图只是本申请的一些例子或实施例,对本领域的普通技术人员来说,也可以根据这些附图将本申请适用于其他类似情况,但无需付出创造性劳动。另外,可以理解的是,尽管在此开发过程中所做的工作可能是复杂和漫长的,但是,对于本领域的普通技术人员来说,根据本申请披露的技术内容进行的某些设计、制造或生产等更改仅是常规的技术手段,不应被视为本申请公开的内容不足。
“实施例”一词在本申请中指的是结合实施例描述的具体特征、结构或特性可以包括在本申请的至少一个实施例中。该短语出现在说明书中的各个位置并不一定意味着相同的实施例,也不意味着与其它实施例相互排斥而具有独立性或可供选择。本领域的普通技术人员能够清楚或隐含地理解的是,本申请中描述的实施例在没有冲突的情况下,可以与其它实施例结合。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对专利保护范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。
Claims (11)
1.一种设备安全管控方法,其特征在于,包括:
采集所述设备产生的威胁情报数据;
获取所述威胁情报数据对应的安全管控模型,所述安全管控模型为从设备安全事件的属性、事件和服务三个维度建立的物模型;
利用所述安全管控模型对所述威胁情报数据进行校验,根据效验结果确定所述威胁情报数据是否为非法情报数据;所述安全管控模型统一了所述威胁情报数据的上报格式;所述安全管控模型中的outputData描述了事件上报的各字段的数据类型和数据范围,根据outputData里的标识符identifier找到所述威胁情报数据对应的字段,根据不同字段对应的数据类型和数据范围对所述威胁情报数据进行校验,如果所述威胁情报数据存的某个字段不符合所述安全管控模型中的outputData描述的数据类型和数据范围,则判断所述威胁情报数据为非法情报数据;
在确定所述威胁情报数据为非法情报数据的情况下,阻断所述非法情报数据的上报。
2.根据权利要求1所述的设备安全管控方法,其特征在于,在所述获取所述威胁情报数据对应的安全管控模型之前,所述方法还包括以下步骤:
针对设备的设备安全事件,从属性、事件和服务三个维度建立所述安全管控模型。
3.根据权利要求1或2所述的设备安全管控方法,其特征在于,在根据所述效验结果确定所述威胁情报数据为合法情报数据的情况下,还包括:
根据预先建立好的规则获取所述合法情报数据的目标标签;
对所有所述目标标签进行分类叠加计算,并对计算结果进行可视化展示。
4.根据权利要求1或2所述的设备安全管控方法,其特征在于,所述设备安全事件包括系统用户变更、违规外联、暴力破解和远程访问中的一种或几种事件。
5.根据权利要求1或2所述的设备安全管控方法,其特征在于,使用Elasticsearch搜索引擎采集所述威胁情报数据。
6.根据权利要求1或2所述的设备安全管控方法,其特征在于,在所述确定所述威胁情报数据为非法情报数据的情况下,还包括:对所述非法情报数据进行记录。
7.根据权利要求3所述的设备安全管控方法,其特征在于,在所述根据预先建立好的规则获取所述合法情报数据的目标标签之后,所述方法还包括基于所述目标标签获取对应的防护手段对所述设备进行防护。
8.根据权利要求3所述的设备安全管控方法,其特征在于,所述目标标签包括威胁类型、数据源可信度和情报源可信度中的任意一个或者多个。
9.一种设备安全管控装置,其特征在于,包括:采集模块、模型获取模块、校验模块和结果模块,其中:
所述采集模块,用于采集所述设备产生的威胁情报数据;
所述模型获取模块,用于获取所述威胁情报数据对应的安全管控模型,所述安全管控模型为从设备安全事件的属性、事件和服务三个维度建立的物模型;
所述校验模块,用于利用所述安全管控模型对所述威胁情报数据进行校验,根据效验结果确定所述威胁情报数据是否为非法情报数据;所述安全管控模型统一了所述威胁情报数据的上报格式;所述安全管控模型中的outputData描述了事件上报的各字段的数据类型和数据范围,根据outputData里的标识符identifier找到所述威胁情报数据对应的字段,根据不同字段对应的数据类型和数据范围对所述威胁情报数据进行校验,如果所述威胁情报数据存的某个字段不符合所述安全管控模型中的outputData描述的数据类型和数据范围,则判断所述威胁情报数据为非法情报数据;
所述结果模块,用于在确定所述威胁情报数据为非法情报数据的情况下,阻断所述非法情报数据的上报。
10.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至8中任一项所述方法的步骤。
11.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至8中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110848880.8A CN113660217B (zh) | 2021-07-27 | 2021-07-27 | 一种设备安全管控方法、装置、计算机设备、存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110848880.8A CN113660217B (zh) | 2021-07-27 | 2021-07-27 | 一种设备安全管控方法、装置、计算机设备、存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113660217A CN113660217A (zh) | 2021-11-16 |
| CN113660217B true CN113660217B (zh) | 2022-12-20 |
Family
ID=78490695
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110848880.8A Active CN113660217B (zh) | 2021-07-27 | 2021-07-27 | 一种设备安全管控方法、装置、计算机设备、存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113660217B (zh) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109547479A (zh) * | 2018-12-27 | 2019-03-29 | 国网浙江省电力有限公司电力科学研究院 | 一种工业环境中威胁情报整合系统和方法 |
| US10986117B1 (en) * | 2018-08-07 | 2021-04-20 | Ca, Inc. | Systems and methods for providing an integrated cyber threat defense exchange platform |
-
2021
- 2021-07-27 CN CN202110848880.8A patent/CN113660217B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10986117B1 (en) * | 2018-08-07 | 2021-04-20 | Ca, Inc. | Systems and methods for providing an integrated cyber threat defense exchange platform |
| CN109547479A (zh) * | 2018-12-27 | 2019-03-29 | 国网浙江省电力有限公司电力科学研究院 | 一种工业环境中威胁情报整合系统和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113660217A (zh) | 2021-11-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20210092150A1 (en) | Advanced cybersecurity threat mitigation using behavioral and deep analytics | |
| US10609079B2 (en) | Application of advanced cybersecurity threat mitigation to rogue devices, privilege escalation, and risk-based vulnerability and patch management | |
| US10432660B2 (en) | Advanced cybersecurity threat mitigation for inter-bank financial transactions | |
| US11818169B2 (en) | Detecting and mitigating attacks using forged authentication objects within a domain | |
| US11968227B2 (en) | Detecting KERBEROS ticket attacks within a domain | |
| CN111786950B (zh) | 基于态势感知的网络安全监控方法、装置、设备及介质 | |
| US11818150B2 (en) | System and methods for detecting and mitigating golden SAML attacks against federated services | |
| US8850588B2 (en) | Systems and methods for providing mobile security based on dynamic attestation | |
| Xu et al. | Remote attestation with domain-based integrity model and policy analysis | |
| US20230388278A1 (en) | Detecting and mitigating forged authentication object attacks in multi - cloud environments with attestation | |
| US20230319019A1 (en) | Detecting and mitigating forged authentication attacks using an advanced cyber decision platform | |
| CN110289995A (zh) | 基于利用属性攻击图的社交网络行为监控方法及装置 | |
| CN111316272A (zh) | 使用行为和深度分析的先进网络安全威胁减缓 | |
| CN110099041A (zh) | 一种物联网防护方法及设备、系统 | |
| CN113660217B (zh) | 一种设备安全管控方法、装置、计算机设备、存储介质 | |
| EP3679506A2 (en) | Advanced cybersecurity threat mitigation for inter-bank financial transactions | |
| Gaur et al. | Prevention of Security Attacks in Cloud Computing | |
| WO2019113492A1 (en) | Detecting and mitigating forged authentication object attacks using an advanced cyber decision platform | |
| CN108471430A (zh) | 一种物联网嵌入式安全防护方法及装置 | |
| CN115696341A (zh) | 基于一致性与共识的有害事件的识别分析方法及其装置 | |
| CN116934012A (zh) | 一种安全事件处理方法、装置、电子设备及存储介质 | |
| CN118316656A (zh) | 数据包处理方法、装置、电子设备及存储介质 | |
| CN118316729A (zh) | 一种基于人工智能的网络安全脆弱点分析方法及装置 | |
| CN116595503A (zh) | 一种基于系统调用行为的工业物联网设备指纹识别方法 | |
| CN115664771A (zh) | 一种参与灵活资源聚合调控智能终端安全监测方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |