CN113704059A - 业务资产的防护方法、装置、电子设备和存储介质 - Google Patents

业务资产的防护方法、装置、电子设备和存储介质 Download PDF

Info

Publication number
CN113704059A
CN113704059A CN202110943164.8A CN202110943164A CN113704059A CN 113704059 A CN113704059 A CN 113704059A CN 202110943164 A CN202110943164 A CN 202110943164A CN 113704059 A CN113704059 A CN 113704059A
Authority
CN
China
Prior art keywords
business
asset
service
assets
determining
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110943164.8A
Other languages
English (en)
Other versions
CN113704059B (zh
Inventor
郑炎亭
邱亮
马涛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sangfor Technologies Co Ltd
Original Assignee
Sangfor Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sangfor Technologies Co Ltd filed Critical Sangfor Technologies Co Ltd
Priority to CN202110943164.8A priority Critical patent/CN113704059B/zh
Publication of CN113704059A publication Critical patent/CN113704059A/zh
Application granted granted Critical
Publication of CN113704059B publication Critical patent/CN113704059B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3006Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is distributed, e.g. networked systems, clusters, multiprocessor systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/301Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is a virtual computing platform, e.g. logically partitioned systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/302Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is a software system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3065Monitoring arrangements determined by the means or processing involved in reporting the monitored data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Mathematical Physics (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本申请公开了一种业务资产的防护方法、装置、电子设备和存储介质,所述方法包括:获取云平台上至少一个业务资产中每一所述业务资产的资产信息;根据每一所述业务资产的资产信息,确定对应业务资产的第一策略;根据每一所述业务资产的第一策略,对对应业务资产进行防护和检测,得到对应业务资产的检测结果;根据每一所述业务资产的检测结果,对对应业务资产进行处置。

Description

业务资产的防护方法、装置、电子设备和存储介质
技术领域
本申请涉及信息安全技术领域,涉及但不限于一种业务资产的防护方法、装置、电子设备和存储介质。
背景技术
相关技术中,对云环境下的安全通常分为以下几种模式:模式一、通过物理的安全设备进行防护;模式二、通过集中式的安全资源池进行防护;模式三、通过网络功能虚拟化(Network Function Virtualizatio,NFV)的方式在虚拟的资源池上进行安全组件虚拟化进行防护;
然而模式一中每个安全设备都是单独进行运维和管理,必须要用双机等方式避免单机故障;模式二中安全资源池需要额外购置硬件,没办法充分利用硬件资源;模式三中NFV割裂形成一个个设备的堆栈,防护策略需要登入各个NFV上进行管理,比较麻烦。
发明内容
有鉴于此,本申请实施例提供一种业务资产的防护方法、装置、电子设备和存储介质。
第一方面,本申请实施例提供一种业务资产的防护方法,所述方法包括:获取云平台上至少一个业务资产中每一所述业务资产的资产信息;根据每一所述业务资产的资产信息,确定对应业务资产的第一策略;根据每一所述业务资产的第一策略,对对应业务资产进行防护和检测,得到对应业务资产的检测结果;根据每一所述业务资产的检测结果,对对应业务资产进行处置。
第二方面,本申请实施例提供一种业务资产的防护装置,包括:获取模块,用于获取云平台上至少一个业务资产中每一所述业务资产的资产信息;第一确定模块,用于根据每一所述业务资产的资产信息,确定对应业务资产的第一策略;防护模块,用于根据每一所述业务资产的第一策略,对对应业务资产进行防护和检测,得到对应业务资产的检测结果;处置模块,用于根据每一所述业务资产的检测结果,对对应业务资产进行处置。
第三方面,本申请实施例提供一种电子设备,包括存储器和处理器,所述存储器存储有可在处理器上运行的计算机程序,所述处理器执行所述程序时实现本申请实施例第一方面所述业务资产的防护方法中的步骤。
第四方面,本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现本申请实施例第一方面所述业务资产的防护方法中的步骤。
本申请实施例中,通过根据识别到的云平台上业务资产的资产信息,确定对应的防护策略,并根据业务资产的检测结果,对业务资产进行处置,从而可以无需外部组件,由云平台对不同的业务资产进行针对性的防护。
附图说明
图1为本申请实施例一种业务资产的防护方法的流程示意图;
图2为本申请实施例提供的一种云内建安全方案的流程示意图;
图3为本申请实施例一种业务资产的识别方法示意图;
图4为本申请实施例提供的一种业务资产的资源使用情况的示意图;
图5为本申请实施例一种安全功能和规则的推荐方法示意图;
图6为本申请实施例一种云网端多维度的检测和防护方法示意图;
图7为本申请实施例一种业务资产的防护装置的组成结构示意图;
图8为本申请实施例电子设备的一种硬件实体示意图。
具体实施方式
下面结合附图和实施例对本申请的技术方案进一步详细阐述。
图1为本申请实施例一种业务资产的防护方法的流程示意图,如图1所示,该方法包括:
步骤102:获取云平台上至少一个业务资产中每一所述业务资产的资产信息;
其中,云平台一般指云计算平台。云计算平台也称为云平台,是指基于硬件资源和软件资源的服务,提供计算、网络和存储能力;业务资产又可以称为业务或者资产,业务资产可以是服务器、客户端、路由器、防火墙和负载平衡器等物理机,所述业务资产还可以是对在专用硬件上运行的网络服务(例如路由器、防火墙和负载平衡器等)进行虚拟化后的虚拟机;资产信息可以是所述业务资产的属性信息,所述资产信息可以包括业务资产内的应用情况,所述应用情况包括所述业务资产使用的操作系统及操作系统的版本,运行的软件及软件的版本;所述资产信息还可以包括业务资产的访问对象;所述资产信息还可以包括业务资产的资源使用信息等。
步骤104:根据每一所述业务资产的资产信息,确定对应业务资产的第一策略;
其中,所述第一策略可以包括对应的业务资产的防护策略和检测策略,为了达到轻量且有效地对业务资产进行保护,需要针对不同的业务资产采取不同的防护策略和检测策略。
步骤106:根据每一所述业务资产的第一策略,对对应业务资产进行防护和检测,得到对应业务资产的检测结果;
其中,可以利用所述防护策略对对应的业务资产进行防护,并利用所述检测策略对所述防护策略防护下的业务资产进行检测,检测结果包括业务资产正常和业务资产异常,在业务资产异常的情况下,还可得到业务资产详细的异常项。
步骤108:根据每一所述业务资产的检测结果,对对应业务资产进行处置。
其中,在业务资产的检测结果为业务资产异常的情况下,可以对业务资产进行处置。
本申请实施例中,通过根据识别到的云平台上业务资产的资产信息,确定对应的防护策略,并根据业务资产的检测结果,对业务资产进行处置,从而可以无需外部组件,由云平台对不同的业务资产进行针对性的防护。
本申请实施例还提供一种业务资产的防护方法,所述方法包括以下步骤:
步骤S202:利用云平台上的所述至少一个业务资产中每一所述业务资产内的代理工具,获取对应业务资产的业务资产类型;
其中,业务资产内的代理工具又可以称为轻量agent,即轻量代理工具,轻量代理工具可以是VMtools工具,文件传输和性能优化是VMtools工具的基本功能,还可以向VMtools工具中添加识别模块,由于所述识别模块可以对业务资产进行识别;因此,添加了识别模块的VMtools工具能够以免安装,低开销的方式自动采集业务资产内的应用情况,所述应用情况包括需要识别业务资产使用的操作系统及操作系统的版本,运行的软件及软件的版本。可以根据业务资产使用的操作系统、运行的软件等确定业务资产的业务资产类型,如数据库类型、中间件类型和Web类型等,还可以是服务器类型或者客户端类型等;可以根据业务资产使用的操作系统、运行的软件等判断业务资产为虚拟机还是物理机。
步骤S204:根据每一所述业务资产的业务资产类型,确定对应业务资产的第一防护规则;
其中,第一防护规则可以是第一策略的一种。
步骤S206:根据每一所述业务资产的第一防护规则,对对应业务资产进行防护和检测,得到对应业务资产的检测结果;
步骤S208:根据每一所述业务资产的检测结果,对对应业务资产进行处置。
本申请实施例中,通过业务资产内部的轻量代理工具VMtools,可以以免安装、低开销的方式自动采集业务资产内的应用情况,从而能够更便捷、更智能、更低成本地确定业务资产内的应用情况。
本申请实施例还提供一种业务资产的防护方法,所述方法包括以下步骤:
步骤S302:利用所述至少一个业务资产中每一所述业务资产内的代理工具,获取对应业务资产的业务资产类型;
其中,所述业务资产的业务资产类型包括业务资产的数据库类型和业务资产的Web类型。
步骤S304:在所述业务资产的业务资产类型为数据库类型的情况下,确定所述业务资产的第一防护规则包括入侵防御系统防护;
步骤S306:在所述业务资产的业务资产类型为Web类型的情况下,确定所述业务资产的第一防护规则包括入侵检测系统防护和网站应用级入侵防御系统防护;
其中,入侵防御系统(Intrusion Prevention System,IPS)、入侵检测系统(intrusion detection system,IDS)防护和网站应用级入侵防御系统(Web ApplicationFirewall,WAF)为不同类型的分布式防护墙(Distribute Fire Wall,DFW),区别与传统的放在数据中心边界的防火墙,更多是用于数据中心内部的东西向流量的防护,通常能做到基于虚拟机粒度的隔离。
步骤S308:根据每一所述业务资产的第一防护规则,对对应业务资产进行防护和检测,得到对应业务资产的检测结果;
步骤S310:在检测结果表明业务资产异常的情况下,将所述业务资产确定为目标业务资产;
步骤S312:利用所述云平台的虚拟机监控器,对每一所述目标业务资产进行链接克隆,得到对应目标业务资产的克隆业务资产;
其中,可以通过对每一所述目标业务资产进行快照,得到对应目标业务资产的克隆业务资产。
步骤S314:对每一所述克隆业务资产进行处置预演,得到对应克隆业务资产的处置结果;
步骤S316:根据每一所述克隆业务资产的处置结果,对对应目标业务资产的初始处置方法进行调整,得到调整后的处置方法;
其中,在一个实施例中,还可以不更改目标业务资产的处置方法,可以根据每一所述克隆业务资产的处置结果,输出第二告警信息,所述第二告警信息用于告知用户在利用初始处置方法对目标业务资产进行处置的情况下存在风险。
步骤S318:利用调整后的处置方法,对对应目标业务资产进行处置。
本申请实施例中,通过在业务资产类型为数据库类型的情况下,对业务资产进行IPS防护,在业务资产类型为Web类型的情况下,对业务资产进行IDS防护和WAF防护,从而可以对不同业务资产类型的业务资产进行针对性的防护;另外,通过模拟真实的环境进行处置预演,可以提高在生产环境(业务资产)处置后的成功率,另外,链接克隆的方式可以节省磁盘空间,提高克隆速度。
本申请实施例还提供一种业务资产的防护方法,所述方法包括以下步骤:
步骤S402:利用所述至少一个业务资产中每一所述业务资产内的代理工具,获取对应业务资产的操作系统;
步骤S404:利用所述云平台内的软件定义网络,获取所述至少两个业务资产之间的业务流量;
其中,软件定义网络(Software Defined Network,SDN)是网络虚拟化的一种实现方式,可以通过SDN网络获取任意两个业务资产之间的业务流量。
一方面,可以根据业务流量的分析结果,确定业务资产之间的访问关系,另一方面,也可以根据业务流量的分析结果,判断出业务流量的波峰、波谷,根据业务流量基线判断业务流量是否有异常;再一方面,还可以通过分析业务流量是东西向流量还是南北向流量,对数据包中的内容进行过滤分析;另外,可以根据业务资产之间的历史访问记录确定业务资产之间的访问关系,还可以根据业务资产的业务类型确定业务资产之间的初始访问关系,比如Web和中间件之间默认访问,Web和数据库之间默认不访问。
步骤S406:根据所述至少两个业务资产之间的业务流量,确定每一所述业务资产的业务资产访问对象;
其中,业务资产访问对象可以是业务资产的访问对象,业务资产对象同样可以是业务资产;可以根据所述至少两个业务资产之间的业务流量,确定对应两个业务资产之间的访问关系,所述访问关系可以是两个业务资产不相互访问,或者两个业务资产相互访问,如果业务资产A和业务资产B之间相互访问,则业务资产B为业务资产A的业务资产访问对象,同理,业务资产A为业务资产B的业务资产访问对象。
需要说明的是,还可以根据至少两个业务资产之间的访问关系,确定访问控制列表规则。
步骤S408:根据每一所述业务资产的操作系统和业务资产访问对象的操作系统,确定任意两个业务资产之间的业务流量模式;
其中,由于虚拟机和宿主机的操作系统不同,因此,可以根据业务资产的操作系统判断业务资产是虚拟机还是宿主机;在业务资产和对应的业务资产访问对象均为虚拟机的情况下,业务流量模式可以是东西向业务流量,在业务资产和对应的业务资产访问对象一个为虚拟机、另一个为宿主机的情况下,业务流量模式可以是南北向业务流量。
步骤S410:根据任意两个业务资产之间的业务流量模式,确定对应两个业务资产中每一所述业务资产的第二防护规则。
步骤S412:根据每一所述业务资产的第二防护规则,对对应业务资产进行防护和检测,得到对应业务资产的检测结果;
步骤S414:在检测结果表明业务资产异常的情况下,将所述业务资产确定为目标业务资产;
步骤S416:在对每一所述目标业务资产处置前,利用所述云平台的虚拟机监控器的快照对对应目标业务资产的数据进行保存;
其中,虚拟机监控器又可以称为Hypervisor;Hypervisor可以向虚拟机分配适量的内存、CPU(central processing unit,中央处理器)、网络和磁盘等,即Hypervisor可以进行资源调度和不同虚拟机之间的资源共享;可以通过业务资产内的VMtools工具监控业务资产内部的资源使用情况,还可以利用Hypervisor宏观统计这个内网中各个虚拟机的资源使用情况,即进行全局调配,可以利用Hypervisor确定某一宿主机的繁忙时刻,宿主机之间进行业务流量交互的繁忙时刻,以及整个虚拟网络的繁忙时刻等。
步骤S418:对所述目标业务资产进行处置;
步骤S420:在处置发生异常的情况下,进行对应目标业务资产的数据的回滚。
本申请实施例中,通过利用所述云平台内的软件定义网络,获取对应业务资产的业务资产访问对象,进而确定业务资产之间的访问关系,从而可以更准确、更高效地确定业务资产之间的访问关系;另外,通过进行处置前的快照和处置异常时的数据回滚,从而可以降低处置异常带来的损失。
本申请实施例还提供一种业务资产的防护方法,所述方法包括以下步骤:
步骤S502:利用所述至少一个业务资产中每一所述业务资产内的代理工具,获取对应业务资产的操作系统;
步骤S504:利用所述云平台内的软件定义网络,获取所述至少两个业务资产之间的业务流量;
步骤S506:根据所述至少两个业务资产之间的业务流量,确定每一所述业务资产的业务资产访问对象;
步骤S508:根据每一所述业务资产的操作系统和业务资产访问对象的操作系统,确定任意两个业务资产之间的业务流量模式;
步骤S510:在所述任意两个业务资产之间的业务流量模式为东西向流量模式的情况下,确定对应两个业务资产中每一所述业务资产的第二防护规则为网络探针检测;
其中,所述SDN网络还可以对云平台的业务流量进行采集和分析,并进行展示,所述业务流量可以包括相互通信或者相互访问的两个业务资产中每一业务资产的IP(Internet Protocol,网际互连协议)地址、协议、端口号、带宽、时延和数据传送速率等。
其中,网络探针又称互联网探针,网络探针可以用于数据包的捕获、过滤和分析;对于东西向(服务器类型的业务资产与服务器类型的业务资产之间的)的流量,可以自动镜像到网络探针进行网络分析。
步骤S512:在所述任意两个业务资产之间的业务流量模式为南北向流量模式的情况下,确定对应两个业务资产中每一所述业务资产的第二防护规则为欺骗防御蜜罐;
其中,欺骗防御蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
对于南北向的(服务器类型的业务资产与客户端类型的业务资产之间的)网络流量,可以自动的进行SFC(System File Checker,系统文件检查程序)的策略配置到内置的类蜜罐产品内进行欺骗防御。
步骤S514:在所述任意两个业务资产之间的业务流量模式为东西向流量模式的情况下,将所述至少两个业务资产之间的业务流量镜像至网络探针进行网络分析,得到对应两个业务资产中每一所述业务资产的第一检测结果;
步骤S516:在所述任意两个业务资产之间的业务流量模式为南北向流量模式的情况下,将所述至少两个业务资产之间的业务流量引流至蜜罐中进行欺骗防御,得到对应两个业务资产中每一所述业务资产的第二检测结果;
步骤S518:利用所述云平台内的云安全中心向每一所述业务资产推送的威胁情报,确定对应业务资产的风险等级;
其中,所述风险等级可以分为低、中和高;也可以根据威胁情报,对业务资产的风险等级进行评分,分数越高,表示风险等级越高。
步骤S520:利用获取到的每一所述业务资产的资源使用信息,确定对应业务资产的繁忙程度;
其中,所述繁忙程度可以包括资源使用高峰和资源使用低谷。
步骤S522:根据每一所述业务资产的风险等级和繁忙程度,确定对应业务资产的处置时机;
其中,由于在风险等级较低的情况下,可能风险对业务资产的危害程度较低,无需对业务资产进行处置,在繁忙程度为资源使用高峰的情况下,对业务资产进行处置,降低性能影响会导致业务的连续性问题,因此,可根据业务资产的风险等级较高,且业务资产的繁忙程度为资源使用低谷的出现时刻,确定业务资产的处置时机。
步骤S524:在检测结果表明业务资产异常的情况下,将所述业务资产确定为目标业务资产;
步骤S526:在所述目标业务资产的处置时机,利用所述云平台的代理工具,将与所述目标业务资产的异常相关的文件删除或者放入隔离文件的目录下;
步骤S528:利用所述云平台的软件定义网络,对所述目标业务资产进行网络隔离;
步骤S530:利用所述云平台的虚拟机监控器,对所述目标业务资产进行挂起或强制关机。
本申请实施例中,通过根据业务资产之间的访问关系,对业务资产的业务流量进行针对性地分析,从而可以提高数据检测准确性和效率;除了通过内置的代理进行guestos内的操作以外,内建安全还能通过云平台的SDN能力进行网络的隔离,以及虚拟机监控器对虚拟机的挂起和电源操作,用丰富的方式来解决不同的安全问题;通过选择在低谷时候对业务进行处置,可以降低性能影响导致业务资产的连续性问题。
本申请实施例还提供一种业务资产的防护方法,所述方法包括以下步骤:
步骤S602:利用所述云平台内的软件定义网络,获取所述至少两个业务资产之间的业务流量;
步骤S604:利用所述云平台内的虚拟机监控器,获取所述至少一个业务资产中每一所述业务资产的资源使用信息;
步骤S606:根据每一所述业务资产的业务流量和资源使用信息,确定对应业务资产的第三防护规则;
其中,可以持续获得每一业务资产的资源使用情况,并且保存长周期的统计信息,将对应的资源画像进行资源基线。同理,可以持续获得每一业务资产的业务流量,并且保存长周期的统计信息,将对应的业务流向画像进行业务流量基线;基线是项目储存库中每种资源在特定时期的一个“快照”。它提供一个正式标准,随后的工作基于此标准,并且只有经过授权后才能变更这个标准。建立一个初始基线后,以后每次对其进行的变更都将记录为一个差值,直到建成下一个基线。
步骤S608:根据每一所述业务资产的第三防护规则,对对应业务资产进行防护和检测,得到对应业务资产的检测结果;
步骤S610:根据每一所述业务资产的检测结果,对对应业务资产进行处置。
本申请实施例中,通过云平台内的虚拟机监控器,获取业务资产的资源使用信息,从而可以更高效、更准确地确定业务资产的资源使用信息;通过将不同的资源与对应的资源基线进行比较,从而可以确定对应的防护规则,并利用对应的防护规则,检测出业务资产的异常行为。
本申请实施例还提供一种业务资产的防护方法,所述方法包括以下步骤:
步骤S702:利用所述云平台内的软件定义网络,获取所述至少两个业务资产之间的业务流量;
步骤S704:利用所述云平台内的虚拟机监控器,获取所述至少一个业务资产中每一所述业务资产的资源使用信息;
其中,所述业务资产的资源使用信息包括CPU的利用率和存储的输入输出中至少之一;对应地,所述资源基线包括CPU的利用率基线和存储的输入输出基线。
步骤S706:根据每一所述业务资产的CPU的利用率和对应业务资产的CPU的利用率基线,确定对应业务资产的第三防护规则为挖矿行为检测规则;
步骤S708:根据每一所述业务资产的业务流量和对应业务资产的业务流量基线,确定对应业务资产的第三防护规则为数据泄密行为检测规则;
步骤S710:根据每一所述业务资产的存储的输入输出和对应业务资产的存储的输入输出基线,确定对应业务资产的第三防护规则为勒索加密行为检测规则;
步骤S712:在每一所述业务资产的CPU的利用率高于对应业务资产的CPU的利用率基线的情况下,检测对应业务资产是否存在挖矿行为,得到对应业务资产的第三检测结果;
步骤S714:在每一所述业务资产的业务流量高于对应业务资产的业务流量基线的情况下,检测对应业务资产是否存在数据泄密行为,得到对应业务资产的第四检测结果;
步骤S716:在每一所述业务资产的存储的输入输出高于对应业务资产的存储的输入输出基线的情况下,检测对应业务资产是否存在勒索加密行为,得到对应业务资产的第五检测结果;
步骤S718:利用所述云平台内的云安全中心向每一所述业务资产推送的威胁情报,对对应所述业务资产的漏洞进行检测和防护,得到对应业务资产的第六检测结果;
步骤S720:利用每一所述业务资产内的代理工具和所述云平台内的虚拟机监控器,对对应所述业务资产的漏洞进行检测和防护,得到对应业务资产的第七检测结果;
其中,目标业务资产的操作系统不同,业务类型不同,会有不同的防护面,目标业务资产上会有不同的访问文件,在业务资产的业务资产类型为Web类型的情况下,需要防护的是Web文件;操作系统为linux系统的业务系统容易受到某类攻击,则可以对该类攻击进行防护,windows系统上容易受到RDP(Remote Data Protocol,远程数据协议)攻击,则可以对该类攻击进行防护。
步骤S722:根据每一所述业务资产的检测结果,对对应业务资产进行处置。
本申请实施例中,通过利用云平台内的虚拟机监控器,获取业务资产的资源使用信息,从而可以更高效、更准确地确定业务资产的资源使用信息;通过将不同的资源与对应的资源基线进行比较,从而可以确定对应的防护规则,并利用对应的防护规则,检测出业务资产的异常行为;另外,还可以通过业务资产内的轻量代理工具和所述云平台内的虚拟机监控器,以及云平台向业务资产推送的威胁情报,实时检测业务资产的异常行为,从而可以更高效、更安全地对业务资产进行防护。
本申请实施例还提供一种业务资产的防护方法,所述方法包括以下步骤:
步骤S802:获取云平台上至少一个业务资产中每一所述业务资产的资产信息;
步骤S804:根据每一所述业务资产的资产信息,确定对应业务资产的推荐策略;
步骤S806:将每一所述业务资产的推荐策略发送至对应业务资产,并接收对应业务资产对对应推荐策略的响应结果;
步骤S808:根据每一业务资产的响应结果,确定对应业务资产的第一策略;
步骤S810:根据每一所述业务资产的第一策略,对对应业务资产进行防护和检测,得到对应业务资产的检测结果;
步骤S812:根据每一所述业务资产的检测结果,对对应业务资产进行处置。
本申请实施例中,可以先向不同的业务资产推荐不同的、合适的防护策略,并根据业务资产的响应结果,确定最终的防护策略,从而能够提高业务资产的防护策略确定的自主性。
相关技术中,对云环境下的安全通常分为以下几种实现模式:
第一种:通过物理的安全设备进行防护;
物理设备部署还是传统的数据中心安全建设思路,通过在网络层面进行分区分域。这种方案还是主要进行传统南北向的网络安全防护,同时后续进行变更时,需要进行物理层面的网络变动。每个安全设备都是单独进行运维和管理,需要用双机等方式避免单点故障。
第二种:通过集中式的安全资源池;
安全资源池通过将安全设备在标准的X86硬件上进行虚拟化,解决了物理部署灵活和横向扩展的问题,但是安全资源池需要配置业务网络进行流量引流,会导致存在流量的发夹弯效应,同时安全资源池需要额外购置硬件,没办法充分利用硬件资源。
第三种:通过NFV的方式在云上使用;
相关技术中,云厂商一般是通过NFV的方式在虚拟的资源池上进行安全组件虚拟化来解决灵活部署的问题,同时也能复用空闲的计算资源。但是当前的NFV还是割裂形成一个个设备的堆栈,管理和策略需要登入到各个NFV上进行管理,安全和云是简单的堆砌,整个安全体系还是基于威胁视角构建,没有针对不同的业务特征进行针对性的防护。整个网络安全架构还是传统的南北向防护方式,需要依赖业务的网络拓扑部署。
针对上述三种“外挂式”的云安全方案,本申请实施例提供一种“云内建安全”方案。从安全效果上来说,掌握越多的信息,越有助于安全的防护建设,内建安全的整体的思路是:通过云平台天生具备的资产全生命周期管理,能精准识别业务的应用和访问关系、资源画像的“上帝视角”。通过业务的精准识别,能够根据业务本身的脆弱性和可能面临的风险,给不同的业务推荐最合适的防护能力和策略,并在防护和处置的时候借由云平台底层的能力,进行最终的兜底。
所以“云内建安全”方案会由以下几个部分组成:
业务的精准识别;包括业务应用的精准识别、业务访问关系的精准识别和业务资源负载的精准识别。
自适应的功能推荐;包括针对不同资产开启不同的安全防护能力以及对应的策略配置推荐。
云和安全的联动机制;包括利用虚拟机监控器(hypervisor)构建-1级权限的安全保护,和平台层面的业务和流量操作,数据快照兜底等。
图2为本申请实施例提供的一种云内建安全方案的流程示意图,参见图2,整个云内建安全方案的流程包括以下步骤:
步骤201:业务资产的自动识别与发现;
其中,可以自动发现并精准识别业务资产上运行的应用。
步骤202:安全功能和规则的自适应推荐;
其中,可以针对业务资产上的应用,自动配置安全功能和规则,具有轻消耗的优点。
步骤203:云网端多维度的检测和防护;
其中,可以从云、网、端三个维度进行精准防护,自动阻断攻击。
步骤204:云平台自动化处置和加固。
其中,除了智能启用安全功能和规则外,云平台还进行处置兜底,进一步增强业务资产的防护能力。
本申请实施例提供一种云内建安全方法,所述方法包括以下步骤:
步骤S901、业务资产的自动识别与发现;
如何准确的识别业务资产,是进行安全防护最重要的环节。通常业内对业务资产进行标签或识别其上面运行的应用这一个维度来定义,而在云内建安全中为了更精确的进行后续的推荐和处置,将会充分结合云平台本身的特点,总共会从三个维度对业务资产进行识别:
图3为本申请实施例一种业务资产的识别方法示意图,参见图3,所述云平台上部署有云安全中心301、业务资产302、业务资产303、虚拟机监控器304和分布式防火墙305,云安全中心301可以分别与所述业务资产302和所述业务资产303进行数据交互,所述云安全中心301可以向所述业务资产302或所述业务资产303下发数据,所述业务资产302或所述业务资产303也可以向所述云安全中心301进行数据上报。
首先是业务资产的应用情况的识别,包括需要识别业务资产使用的操作系统及操作系统的版本,运行的软件及软件的版本。由于资源的创建、发放、回收都通过云平台来进行,所以利用云平台能够对业务资产的生命周期和运行位置进行精确掌握,所有应用的变更和上线能够迅速感知。通过云平台内置在guest os(虚拟机上运行的操作系统)的轻量代理VMtools工具,能够以免安装,低开销的方式自动采集资产内的应用情况,可以根据业务资产使用的操作系统、运行的软件等确定业务资产的业务资产类型,如数据库类型、中间件类型和Web类型等,还可以是服务器类型或者客户端类型等。
参见图3,可以通过业务资产302的guest os 3021的VMtools工具3022采集业务资产302中的应用情况,确定业务资产302的业务资产类型为数据库类型(Data Base,DB)3023;也可以通过业务资产303的guest os 3031的VMtools工具3032采集业务资产303中的应用情况,确定业务资产303的业务资产类型为Web类型3033。
其次是业务资产的运行情况,包括业务资产使用的CPU、内存、网络、存储等资源的使用情况,使用高峰和低谷的情况。
图4为本申请实施例提供的一种业务资产的资源使用情况的示意图,参见图4,业务资产41中包括第一高峰点401、第二高峰点402,第三高峰点403和第四高峰点404;同理,业务资产42中包括第五高峰点405和第六高峰点406。
可以利用图3中云平台的虚拟机监控器(hypervisor)304提供的资源监控能力,持续获得该业务资产的资源使用情况,并且保存长周期的统计信息,将对应的资源画像进行基线,对后续步骤S902至步骤S904的自适应推荐和处置提供输入。基线是项目储存库中每种资源在特定时期的一个“快照”。它提供一个正式标准,随后的工作基于此标准,并且只有经过授权后才能变更这个标准。建立一个初始基线后,以后每次对其进行的变更都将记录为一个差值,直到建成下一个基线。
接着是业务资产之间的依赖关系的识别,包括业务资产之间的访问关系和依赖调用。
业务资产之间的访问关系有助于从业务资产的全局来进行判断。例如一个业务资产失陷后,会导致哪些业务资产出现异常,最近邻的哪些业务资产可能也已经受到了感染,应该怎样设置业务资产之间的访问策略能够在不影响业务的情况下减少暴露面等功能,为了更智能的评估和推荐,都需要业务资产之间的访问关系来进行支撑。通过云平台提供的原生SDN能力,可以自动对云平台上的业务流量进行采集和分析,结合云平台的资产信息进行展示,所述业务流量可以是通信的两个业务资产中每一业务资产的IP地址、协议、端口号、带宽、时延和数据传送速率等。
步骤S902、安全功能和规则的自适应推荐;
其中,所述云平台可以根据具体应用自动配置防护策略,设定可信基线名单,所述可信基线名单中可以包括可信的进程、资源和访问关系等;所述云平台可以根据访问关系自动配置分布式防火墙,所述虚拟机监控器可以根据应用自动进行快照或者备份。
为了达到轻量且有效的对业务资产进行保护,需要针对不同的业务资产采取不同的防护手段。依托于第一步获取的精确的资产信息,云平台可以自适应的进行如下的推荐:
图5为本申请实施例一种安全功能和规则的推荐方法示意图,参见图5,所述云平台上部署有云安全中心501、业务资产502、业务资产503、虚拟机监控器504,云安全中心501可以分别与所述业务资产502和所述业务资产503进行数据交互,所述云安全中心501可以向所述业务资产502或所述业务资产503下发数据,所述业务资产502或所述业务资产503也可以向所述云安全中心501进行数据上报。
首先是功能的针对性自启用:
云平台可以根据不同的业务资产类型,自动对业务资产进行开启相应的保护措施。参见图5,例如对于数据库类型的业务资产,将会自动进行云平台的数据保护并对数据库应用进行IPS防护505;对于Web应用,会自动开启7层WAF防护506和IDS防护507。区别于传统的NFV网络功能虚拟化方案,内建安全的能力都集成在SDN、hypervisor和轻量agent上,所有能力都可以以虚拟机为最小粒度进行生效,并且无需改变网络部署。
其次是自适应规则推荐:
云平台可以根据第一步获取的资产信息,通过不同的应用访问关系(即业务资产之间的访问关系),自动推荐出满足业务访问情况下的最小权限4至7层ACL(AccessControl Lists,访问控制列表)规则。同时结合原生SDN端口镜像和引流的能力,确定业务流量508是东西向流量还是南北向流量,对东西向的流量(服务器到服务器的流量)自动镜像到网络探针509进行网络分析,对于南北向的网络流量(客户端到服务器的流量)会自动的进行SFC(System File Checker,系统文件检查程序)的策略配置到内置的蜜罐510或类蜜罐产品内进行欺骗防御。
步骤S903、云网端多维度的检测和防护;
整个检测和防护环节,充分利用了云内建安全的多维能力。
图6为本申请实施例一种云网端多维度的检测和防护方法示意图,参见图6,所述云平台上部署有云安全中心601、业务资产602、业务资产603、虚拟机监控器604,云安全中心601可以分别与所述业务资产602和所述业务资产603进行数据交互,所述云安全中心601可以向所述业务资产602或所述业务资产603下发数据,所述业务资产602或所述业务资产603也可以向所述云安全中心601进行数据上报。可以分别从云网端三个维度进行检测和防护:
端:利用平台自带的轻agent(轻量代理)以及hypervisor上无代理杀毒等安全功能的能力,对业务资产内的漏洞、恶意文件,恶意进程、恶意攻击进行实时检测和防护,可以针对业务资产中的应用精准扫描应用白名单,只有白名单中的应用才能被启用。
网:在基于步骤S902构建的最小访问策略的情况下,持续的采用分布式的IDS/IPS和持续的流量分析探针(网络探针605)、欺骗防御蜜罐等,对所有东西向的流量进行持续的检测和防御,例如可以通过WAF 606对CC(Challenge Collapsar Attack,挑战黑洞攻击)异常流量607进行识别,自动阻断CC攻击;通过分布式IDS 608持续识别内网威胁;“X”表示攻击被阻断。
云:通过云端的威胁情报进行最新的威胁情报609推送,可以自动更新威胁、漏洞或者补丁,云镜610可以用于漏洞检测,OS(operating system,操作系统)611表示云镜的操作系统;除云端进行威胁情报推送之外,对于一些0day(零日漏洞)威胁,还可以通过云平台的资源基线迅速定位出异常。CPU整体利用率升高,则可以检测是否存在挖矿行为,即通过资源基线识别挖矿病毒;网络流量异常增大,还可以检测是否存在数据泄密行为;存储IO(Input/Output,输入输出)异常增加,还可以检测是否存在勒索加密行为。从资源侧对新型威胁的检测能力进一步进行了补充。
步骤S904:平台自动化处置和加固;
误报是安全领域永恒的话题,没有系统能做到100%的正确,而每次错误的安全处置,都可能对业务资产连续性造成了伤害。为了尽可能兼顾业务资产的连续性和安全的效果,云内建安全的处置的思想就是在正确的时间,做正确的事,即使错了,也能兜底。
处置关联影响与后果评估:利用步骤S901中业务资产的精准识别,可以掌握业务资产的应用情况和应用间的关联关系(即业务资产之间的访问关系)。通过云端的情报分析风险的危害程度,通过访问关系分析处置后对整体业务带来的影响,帮助决策者在情报充裕的情况下进行正确的决策。一方面,在对某个业务资产进行处置的情况下,需要根据该业务资产与其他业务资产之间的访问关系,分析处置该业务资产时对其他业务资产造成的影响,从而谨慎处置该业务资产;另一方面,与该业务资产之间存在访问的其他业务资产可能也被该业务资产的病毒感染,需要同时对其他业务资产进行处置。
多维度处置机制:除了通过内置的agent进行guest os内的操作以外,内建安全还能通过云平台的SDN能力进行网络的隔离,以及hypervisor对虚拟机的挂起和电源操作,用丰富的方式来解决不同的安全问题。
处置的预演:对于威胁事件自动处置,克隆自动验证,通过云平台链接克隆等方式,完全模拟真实的环境进行演练,提高在生产环境处置后的成功率。
处置的择时:可以根据风险严重程序和业务高峰低谷情况选择择时处置;通过业务资产识别出的业务高峰和低谷,选择在低谷时候对业务进行处置,降低性能影响导致业务资产的连续性问题。
处置的兜底:执行前进行快照,出异常自动回滚,对业务资产处置前通过云平台的快照进行数据的保存,一旦出现异常可以进行快速的回滚。
另外,还可以对业务资产进行严格防护策略一键生效,由于某些重要时期需要严格护网,即使误杀一些业务资产也没有关系,保证不要出现安全问题,此时可以执行严格防护策略一键生效。
需要说明的是,在出现新增业务资产的情况下,可以通过人工智能学习的方式,为新增的业务资产配置对应的防护策略。
基于前述的实施例,本申请实施例提供一种业务资产的防护装置,该装置包括所包括的各模块,可以通过电子设备中的处理器来实现;当然也可通过具体的逻辑电路实现;在实施的过程中,处理器可以为中央处理器(CPU,Central Processing Unit)、微处理器(MPU,Microprocessor Unit)、数字信号处理器(DSP,Digital Signal Processing)或现场可编程门阵列(FPGA,Field Programmable Gate Array)等。
图7为本申请实施例一种业务资产的防护装置的组成结构示意图,如图7所示,所述装置700包括获取模块701、第一确定模块702、防护模块703和处置模块704,其中:
获取模块701,用于获取云平台上至少一个业务资产中每一所述业务资产的资产信息;
第一确定模块702,用于根据每一所述业务资产的资产信息,确定对应业务资产的第一策略;
防护模块703,用于根据每一所述业务资产的第一策略,对对应业务资产进行防护和检测,得到对应业务资产的检测结果;
处置模块704,用于根据每一所述业务资产的检测结果,对对应业务资产进行处置。
在一个实施例中,所述业务资产的资产信息包括业务资产的业务资产类型,所述获取模块701,包括:第一获取子模块,用于利用所述至少一个业务资产中每一所述业务资产内的代理工具,获取对应业务资产的业务资产类型;所述第一确定模块702,包括:第一确定子模块,用于根据每一所述业务资产的业务资产类型,确定对应业务资产的第一防护规则。
在一个实施例中,所述业务资产的业务资产类型包括业务资产的数据库类型和业务资产的Web类型,所述第一确定子模块,包括:第一确定单元,用于在所述业务资产的业务资产类型为数据库类型的情况下,确定所述业务资产的第一防护规则包括入侵防御系统防护;第二确定单元,用于在所述业务资产的业务资产类型为Web类型的情况下,确定所述业务资产的第一防护规则包括入侵检测系统防护和网站应用级入侵防御系统防护。
在一个实施例中,所述业务资产的资产信息包括业务资产的操作系统和业务资产访问对象,所述获取模块701,包括:第二获取子模块,用于利用所述至少一个业务资产中每一所述业务资产内的代理工具,获取对应业务资产的操作系统;利用所述云平台内的软件定义网络,获取所述至少两个业务资产之间的业务流量,根据所述至少两个业务资产之间的业务流量,确定每一所述业务资产的业务资产访问对象;所述第一确定模块702,包括:第二确定子模块,用于根据每一所述业务资产的操作系统和业务资产访问对象的操作系统,确定任意两个业务资产之间的业务流量模式;第三确定子模块,用于根据任意两个业务资产之间的业务流量模式,确定对应两个业务资产中每一所述业务资产的第二防护规则。
在一个实施例中,所述第三确定子模块,包括:第三确定单元,用于在所述任意两个业务资产之间的业务流量模式为东西向流量模式的情况下,确定对应两个业务资产中每一所述业务资产的第二防护规则为网络探针检测;所述防护模块,包括:第一防护子模块,用于将所述至少两个业务资产之间的业务流量镜像至网络探针进行网络分析,得到对应两个业务资产中每一所述业务资产的第一检测结果。
在一个实施例中,所述第三确定子模块,还包括:第四确定单元,用于在所述任意两个业务资产之间的业务流量模式为南北向流量模式的情况下,确定对应两个业务资产中每一所述业务资产的第二防护规则为欺骗防御蜜罐;所述防护模块703,包括:第二防护子模块,用于将所述至少两个业务资产之间的业务流量引流至蜜罐中进行欺骗防御,得到对应两个业务资产中每一所述业务资产的第二检测结果。
在一个实施例中,所述业务资产的资产信息包括业务资产的业务流量和资源使用信息,所述获取模块701,包括:第三获取子模块,用于利用所述云平台内的软件定义网络,获取所述至少两个业务资产之间的业务流量;利用所述云平台内的虚拟机监控器,获取所述至少一个业务资产中每一所述业务资产的资源使用信息;所述第一确定模块702,包括:第四确定子模块,用于根据每一所述业务资产的业务流量和资源使用信息,确定对应业务资产的第三防护规则。
在一个实施例中,所述业务资产的资源使用信息包括中央处理器CPU的利用率和存储的输入输出中至少之一;所述第四确定子模块,包括:第五确定单元,用于根据每一所述业务资产的CPU的利用率和对应业务资产的CPU的利用率基线,确定对应业务资产的第三防护规则为挖矿行为检测规则;第六确定单元,用于根据每一所述业务资产的网络流量和对应业务资产的网络流量基线,确定对应业务资产的第三防护规则为数据泄密行为检测规则;第七确定单元,用于根据每一所述业务资产的存储的输入输出和对应业务资产的存储的输入输出基线,确定对应业务资产的第三防护规则为勒索加密行为检测规则。
在一个实施例中,所述防护模块703,包括:第三防护子模块,用于在每一所述业务资产的CPU的利用率高于对应业务资产的CPU的利用率基线的情况下,检测对应业务资产是否存在挖矿行为,得到对应业务资产的第三检测结果;第四防护子模块,用于在每一所述业务资产的业务流量高于对应业务资产的业务流量基线的情况下,检测对应业务资产是否存在数据泄密行为,得到对应业务资产的第四检测结果;第五防护子模块,用于在每一所述业务资产的存储的输入输出高于对应业务资产的存储的输入输出基线的情况下,检测对应业务资产是否存在勒索加密行为,得到对应业务资产的第五检测结果。
在一个实施例中,所述防护模块703,还包括:第六防护子模块,用于利用所述云平台内的云安全中心向每一所述业务资产推送的威胁情报,对对应所述业务资产的漏洞进行检测和防护,得到对应业务资产的第六检测结果。
在一个实施例中,所述处置模块704,包括:第五确定子模块,用于在检测结果表明业务资产异常的情况下,将所述业务资产确定为目标业务资产;将所述目标业务资产的异常上传至所述云平台内的云安全中心,以供所述云安全中心在所述目标业务资产的异常满足特定条件的情况下,输出第一告警信息;在所述目标业务资产的异常不满足所述特定条件的情况下,对所述目标业务资产执行以下操作中的至少一种;删除子模块,用于利用所述云平台的代理工具,将与所述目标业务资产的异常相关的文件删除或者放入隔离文件的目录下;隔离子模块,用于利用所述云平台的软件定义网络,对所述目标业务资产进行网络隔离;挂起子模块,用于利用所述云平台的虚拟机监控器,对所述目标业务资产进行挂起或强制关机。
在一个实施例中,所述装置还包括:第二确定模块,用于利用所述云平台内的云安全中心向每一所述业务资产推送的威胁情报,确定对应业务资产的风险等级;第三确定模块,用于利用获取到的每一所述业务资产的资源使用信息,确定对应业务资产的繁忙程度;第四确定模块,用于根据每一所述业务资产的风险等级和繁忙程度,确定对应业务资产的处置时机。
在一个实施例中,所述处置模块704,包括:第五确定子模块,用于在检测结果表明业务资产异常的情况下,将所述业务资产确定为目标业务资产;快照子模块,用于在对每一所述目标业务资产处置前,利用所述云平台的虚拟机监控器的快照对对应目标业务资产的数据进行保存;第一处置子模块,用于对所述目标业务资产进行处置;回滚子模块,用于在处置发生异常的情况下,进行对应目标业务资产的数据的回滚。
在一个实施例中,所述处置模块704,包括:第五确定子模块,用于在检测结果表明业务资产异常的情况下,将所述业务资产确定为目标业务资产;克隆子模块,用于利用所述云平台的虚拟机监控器,对每一所述目标业务资产进行链接克隆,得到对应的克隆业务资产;预演子模块,用于对每一所述克隆业务资产进行处置预演,得到对应克隆业务资产的处置结果;输出子模块,用于根据每一所述克隆业务资产的处置结果,输出第二告警信息;
在一个实施例中,所述处置模块704,包括调整子模块,用于根据每一所述克隆业务资产的处置结果,对对应目标业务资产的初始处置方法进行调整,得到调整后的处置方法;第二处置子模块,用于利用调整后的处置方法,对对应目标业务资产进行处置。
在一个实施例中,所述第一确定模块702,包括:第六确定子模块,用于根据每一所述业务资产的资产信息,确定对应业务资产的推荐策略;发送子模块,用于将每一所述业务资产的推荐策略发送至对应业务资产,并接收对应业务资产对对应推荐策略的响应结果;第七确定子模块,用于根据每一业务资产的响应结果,确定对应业务资产的第一策略。
以上装置实施例的描述,与上述方法实施例的描述是类似的,具有同方法实施例相似的有益效果。对于本申请装置实施例中未披露的技术细节,请参照本申请方法实施例的描述而理解。
对应地,本申请实施例提供一种电子设备,图8为本申请实施例电子设备的一种硬件实体示意图,如图8所示,该电子设备800的硬件实体包括:包括存储器801和处理器802,所述存储器801存储有可在处理器802上运行的计算机程序,所述处理器802执行所述程序时实现上述实施例业务资产的防护方法中的步骤。
存储器801配置为存储由处理器802可执行的指令和应用,还可以缓存待处理器802以及电子设备800中各模块待处理或已经处理的数据(例如,图像数据、音频数据、语音通信数据和视频通信数据),可以通过闪存(FLASH)或随机访问存储器(Random AccessMemory,RAM)实现。
对应地,本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述实施例中提供的业务资产的防护方法中的步骤。
这里需要指出的是:以上存储介质和设备实施例的描述,与上述方法实施例的描述是类似的,具有同设备实施例相似的有益效果。对于本申请存储介质和方法实施例中未披露的技术细节,请参照本申请设备实施例的描述而理解。
应理解,说明书通篇中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本申请的至少一个实施例中。因此,在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外,这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。应理解,在本申请的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元;既可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。另外,在本申请各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、只读存储器(Read Only Memory,ROM)、磁碟或者光盘等各种可以存储程序代码的介质。或者,本申请上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得计算机设备(可以是手机、平板电脑、台式机、个人数字助理、导航仪、数字电话、视频电话、电视机、传感设备等)执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、磁碟或者光盘等各种可以存储程序代码的介质。
本申请所提供的几个方法实施例中所揭露的方法,在不冲突的情况下可以任意组合,得到新的方法实施例。本申请所提供的几个产品实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的产品实施例。本申请所提供的几个方法或设备实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的方法实施例或设备实施例。
以上所述,仅为本申请的实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。

Claims (10)

1.一种业务资产的防护方法,其特征在于,所述方法包括:
获取云平台上至少一个业务资产中每一所述业务资产的资产信息;
根据每一所述业务资产的资产信息,确定对应业务资产的第一策略;
根据每一所述业务资产的第一策略,对对应业务资产进行防护和检测,得到对应业务资产的检测结果;
根据每一所述业务资产的检测结果,对对应业务资产进行处置。
2.根据权利要求1所述的方法,其特征在于,所述业务资产的资产信息包括业务资产的业务资产类型,所述业务资产的业务资产类型包括业务资产的数据库类型和业务资产的Web类型,
所述获取云平台上至少一个业务资产中每一所述业务资产的资产信息,包括:利用所述至少一个业务资产中每一所述业务资产内的代理工具,获取对应业务资产的业务资产类型;
所述根据每一所述业务资产的资产信息,确定对应业务资产的第一策略,包括:在所述业务资产的业务资产类型为数据库类型的情况下,确定所述业务资产的第一防护规则包括入侵防御系统防护;在所述业务资产的业务资产类型为Web类型的情况下,确定所述业务资产的第一防护规则包括入侵检测系统防护和网站应用级入侵防御系统防护。
3.根据权利要求1或2所述的方法,其特征在于,所述业务资产的资产信息包括业务资产的操作系统和业务资产访问对象,
所述获取云平台上至少一个业务资产中每一所述业务资产的资产信息,包括:利用所述至少一个业务资产中每一所述业务资产内的代理工具,获取对应业务资产的操作系统;利用所述云平台内的软件定义网络,获取所述至少两个业务资产之间的业务流量,根据所述至少两个业务资产之间的业务流量,确定每一所述业务资产的业务资产访问对象;
所述根据每一所述业务资产的资产信息,确定对应业务资产的第一策略,包括:根据每一所述业务资产的操作系统和业务资产访问对象的操作系统,确定任意两个业务资产之间的业务流量模式;根据任意两个业务资产之间的业务流量模式,确定对应两个业务资产中每一所述业务资产的第二防护规则。
4.根据权利要求3所述的方法,其特征在于,所述根据任意两个业务资产之间的业务流量模式,确定对应两个业务资产中每一所述业务资产的第二防护规则,包括:在所述任意两个业务资产之间的业务流量模式为东西向流量模式的情况下,确定对应两个业务资产中每一所述业务资产的第二防护规则为网络探针检测;
所述根据每一所述业务资产的第一策略,对对应业务资产进行检测和防护,得到对应业务资产的检测结果,包括:将所述至少两个业务资产之间的业务流量镜像至网络探针进行网络分析,得到对应两个业务资产中每一所述业务资产的第一检测结果。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
在所述任意两个业务资产之间的业务流量模式为南北向流量模式的情况下,确定对应两个业务资产中每一所述业务资产的第二防护规则为欺骗防御蜜罐;
所述根据每一所述业务资产的第一策略,对对应业务资产进行检测和防护,得到对应业务资产的检测结果,包括:将所述至少两个业务资产之间的业务流量引流至蜜罐中进行欺骗防御,得到对应两个业务资产中每一所述业务资产的第二检测结果。
6.根据权利要求1或2所述的方法,其特征在于,所述业务资产的资产信息包括业务资产的业务流量和资源使用信息,所述获取云平台上至少一个业务资产中每一所述业务资产的资产信息,包括:
利用所述云平台内的软件定义网络,获取所述至少两个业务资产之间的业务流量;利用所述云平台内的虚拟机监控器,获取所述至少一个业务资产中每一所述业务资产的资源使用信息;
所述根据每一所述业务资产的资产信息,确定对应业务资产的第一策略,包括:
根据每一所述业务资产的业务流量和资源使用信息,确定对应业务资产的第三防护规则。
7.根据权利要求6所述的方法,其特征在于,所述业务资产的资源使用信息包括中央处理器CPU的利用率和存储的输入输出中至少之一;所述根据每一所述业务资产的业务流量和资源使用信息,确定对应业务资产的第三防护规则,包括:
根据每一所述业务资产的CPU的利用率和对应业务资产的CPU的利用率基线,确定对应业务资产的第三防护规则为挖矿行为检测规则;
根据每一所述业务资产的业务流量和对应业务资产的业务流量基线,确定对应业务资产的第三防护规则为数据泄密行为检测规则;
根据每一所述业务资产的存储的输入输出和对应业务资产的存储的输入输出基线,确定对应业务资产的第三防护规则为勒索加密行为检测规则。
8.一种业务资产的防护装置,其特征在于,所述装置包括:
获取模块,用于获取云平台上至少一个业务资产中每一所述业务资产的资产信息;
第一确定模块,用于根据每一所述业务资产的资产信息,确定对应业务资产的第一策略;
防护模块,用于根据每一所述业务资产的第一策略,对对应业务资产进行防护和检测,得到对应业务资产的检测结果;
处置模块,用于根据每一所述业务资产的检测结果,对对应业务资产进行处置。
9.一种电子设备,包括存储器和处理器,所述存储器存储有可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1至7中任一项所述业务资产的防护方法中的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至7中任一项所述业务资产的防护方法中的步骤。
CN202110943164.8A 2021-08-17 2021-08-17 业务资产的防护方法、装置、电子设备和存储介质 Active CN113704059B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110943164.8A CN113704059B (zh) 2021-08-17 2021-08-17 业务资产的防护方法、装置、电子设备和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110943164.8A CN113704059B (zh) 2021-08-17 2021-08-17 业务资产的防护方法、装置、电子设备和存储介质

Publications (2)

Publication Number Publication Date
CN113704059A true CN113704059A (zh) 2021-11-26
CN113704059B CN113704059B (zh) 2024-05-28

Family

ID=78653028

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110943164.8A Active CN113704059B (zh) 2021-08-17 2021-08-17 业务资产的防护方法、装置、电子设备和存储介质

Country Status (1)

Country Link
CN (1) CN113704059B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114499998A (zh) * 2021-12-31 2022-05-13 奇安信科技集团股份有限公司 安全防护方法、装置、电子设备和存储介质
CN114584339A (zh) * 2021-12-29 2022-06-03 奇安信科技集团股份有限公司 基于内生安全机制的网络安全防护方法和装置

Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090125751A1 (en) * 2007-11-13 2009-05-14 Colin Scott Dawson System and Method for Correlated Analysis of Data Recovery Readiness for Data Assets
CN102307184A (zh) * 2011-06-16 2012-01-04 北京峰盛博远科技有限公司 基于入侵容忍的信息资产保护方法
US20130125114A1 (en) * 2011-11-11 2013-05-16 Vmware, Inc. Computational asset identification without predetermined identifiers
CN105591834A (zh) * 2015-07-10 2016-05-18 杭州华三通信技术有限公司 Vxlan中的流量监控方法和装置
CN109698819A (zh) * 2018-11-19 2019-04-30 中国科学院信息工程研究所 一种网络中的威胁处置管理方法及系统
CN109995736A (zh) * 2017-12-31 2019-07-09 中国移动通信集团四川有限公司 检测威胁攻击的方法、装置、设备和存储介质
CN110191016A (zh) * 2019-05-21 2019-08-30 深信服科技股份有限公司 云平台业务监控方法、装置、设备、系统及可读存储介质
CN111245793A (zh) * 2019-12-31 2020-06-05 西安交大捷普网络科技有限公司 网络数据的异常分析方法及装置
CN112235253A (zh) * 2020-09-22 2021-01-15 杭州安恒信息技术股份有限公司 数据资产的梳理方法、装置、计算机设备和存储介质
CN112291232A (zh) * 2020-10-27 2021-01-29 中国联合网络通信有限公司深圳市分公司 一种基于租户的安全能力和安全服务链管理平台
CN112417477A (zh) * 2020-11-24 2021-02-26 恒安嘉新(北京)科技股份公司 一种数据安全监测方法、装置、设备及存储介质
CN112511512A (zh) * 2020-11-19 2021-03-16 北京凌云信安科技有限公司 漏洞扫描引擎和威胁检测引擎的风险管理系统

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109922021B (zh) * 2017-12-12 2022-03-08 中国电信股份有限公司 安全防护系统以及安全防护方法
CN109962891B (zh) * 2017-12-25 2021-10-22 中国移动通信集团安徽有限公司 监测云安全的方法、装置、设备和计算机存储介质
CN111294365B (zh) * 2020-05-12 2020-08-18 腾讯科技(深圳)有限公司 攻击流量防护系统、方法、装置、电子设备和存储介质
CN112398844A (zh) * 2020-11-10 2021-02-23 国网浙江省电力有限公司双创中心 基于内外网实时引流数据的流量分析实现方法

Patent Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090125751A1 (en) * 2007-11-13 2009-05-14 Colin Scott Dawson System and Method for Correlated Analysis of Data Recovery Readiness for Data Assets
CN102307184A (zh) * 2011-06-16 2012-01-04 北京峰盛博远科技有限公司 基于入侵容忍的信息资产保护方法
US20130125114A1 (en) * 2011-11-11 2013-05-16 Vmware, Inc. Computational asset identification without predetermined identifiers
CN105591834A (zh) * 2015-07-10 2016-05-18 杭州华三通信技术有限公司 Vxlan中的流量监控方法和装置
CN109995736A (zh) * 2017-12-31 2019-07-09 中国移动通信集团四川有限公司 检测威胁攻击的方法、装置、设备和存储介质
CN109698819A (zh) * 2018-11-19 2019-04-30 中国科学院信息工程研究所 一种网络中的威胁处置管理方法及系统
CN110191016A (zh) * 2019-05-21 2019-08-30 深信服科技股份有限公司 云平台业务监控方法、装置、设备、系统及可读存储介质
CN111245793A (zh) * 2019-12-31 2020-06-05 西安交大捷普网络科技有限公司 网络数据的异常分析方法及装置
CN112235253A (zh) * 2020-09-22 2021-01-15 杭州安恒信息技术股份有限公司 数据资产的梳理方法、装置、计算机设备和存储介质
CN112291232A (zh) * 2020-10-27 2021-01-29 中国联合网络通信有限公司深圳市分公司 一种基于租户的安全能力和安全服务链管理平台
CN112511512A (zh) * 2020-11-19 2021-03-16 北京凌云信安科技有限公司 漏洞扫描引擎和威胁检测引擎的风险管理系统
CN112417477A (zh) * 2020-11-24 2021-02-26 恒安嘉新(北京)科技股份公司 一种数据安全监测方法、装置、设备及存储介质

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114584339A (zh) * 2021-12-29 2022-06-03 奇安信科技集团股份有限公司 基于内生安全机制的网络安全防护方法和装置
CN114499998A (zh) * 2021-12-31 2022-05-13 奇安信科技集团股份有限公司 安全防护方法、装置、电子设备和存储介质
CN114499998B (zh) * 2021-12-31 2024-05-10 奇安信科技集团股份有限公司 安全防护方法、装置、电子设备和存储介质

Also Published As

Publication number Publication date
CN113704059B (zh) 2024-05-28

Similar Documents

Publication Publication Date Title
US11936663B2 (en) System for monitoring and managing datacenters
US11522882B2 (en) Detection of adversary lateral movement in multi-domain IIOT environments
US11146581B2 (en) Techniques for defending cloud platforms against cyber-attacks
Zhang et al. Communication security in internet of thing: preventive measure and avoid DDoS attack over IoT network
EP3068095B1 (en) Monitoring apparatus and method
US9258321B2 (en) Automated internet threat detection and mitigation system and associated methods
Sendi et al. Real time intrusion prediction based on optimized alerts with hidden Markov model
US20150052614A1 (en) Virtual machine trust isolation in a cloud environment
US20230208870A1 (en) Systems and methods for predictive analysis of potential attack patterns based on contextual security information
US20170061126A1 (en) Process Launch, Monitoring and Execution Control
US20230205891A1 (en) Systems and methods for prioritizing security findings using machine learning models
WO2015134008A1 (en) Automated internet threat detection and mitigation system and associated methods
US20230208871A1 (en) Systems and methods for vulnerability assessment for cloud assets using imaging methods
CN113704059B (zh) 业务资产的防护方法、装置、电子设备和存储介质
US20170318037A1 (en) Distributed anomaly management
CN117527412A (zh) 数据安全监测方法及装置
US20210084061A1 (en) Bio-inspired agile cyber-security assurance framework
Le et al. A threat computation model using a Markov Chain and common vulnerability scoring system and its application to cloud security
Zeng On detection of current and next-generation botnets
Ghribi et al. Multi-layer Cooperative Intrusion Detection System for Cloud Environment.
Fanfara et al. Autonomous hybrid honeypot as the future of distributed computer systems security
Awodele Simon et al. Intrusion Detection System in Cloud Computing: A
Khordadpour Toward Efficient Protecting Cyber-Physical Systems with Cyber Threat Hunting and Intelligence
Karie et al. Cybersecurity Incident Response in the Enterprise
Prathap et al. Detecting Malware Intrusion in Network Environment

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant