CN113987473B - 智能边缘计算网闸的安全策略确定方法及系统 - Google Patents
智能边缘计算网闸的安全策略确定方法及系统 Download PDFInfo
- Publication number
- CN113987473B CN113987473B CN202111177617.7A CN202111177617A CN113987473B CN 113987473 B CN113987473 B CN 113987473B CN 202111177617 A CN202111177617 A CN 202111177617A CN 113987473 B CN113987473 B CN 113987473B
- Authority
- CN
- China
- Prior art keywords
- edge computing
- intelligent edge
- gatekeeper
- gatekeepers
- intelligent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供的智能边缘计算网闸的安全策略确定方法及系统,可以通过智能边缘计算网闸的业务环境标签之间在边缘计算会话进程中的传递关系,生成各个智能边缘计算网闸的之间的匹配记录,以确保匹配记录的精准性和可靠性。鉴于数据风险威胁的通常存在持续性的随机变化,因此对于借助任一智能边缘计算网闸检测到的行为描述,一般可以与该智能边缘计算网闸存在关联的智能边缘计算网闸检测到的行为描述进行融合,因此在生成精准完整的匹配记录的前提下,能够实现准确可靠的行为描述进行融合,这样能够通过行为描述融合结果确定应对数据风险威胁的安全防护策略,从而提高安全策略确定的灵活性。
Description
技术领域
本申请涉及智能边缘计算及网闸技术领域,特别涉及一种智能边缘计算网闸的安全策略确定方法及系统。
背景技术
在互联网应用中,出于网络安全考虑,通常会通过网闸进行多种网络隔离,而网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备。然而在应对数据攻击和数据威胁时,如何保障安全策略的灵活性是现目前需要改善的一个技术问题。
发明内容
为改善相关技术中存在的技术问题,本申请提供了一种智能边缘计算网闸的安全策略确定方法及系统。
第一方面,本申请实施例提供了一种智能边缘计算网闸的安全策略确定方法,应用于安全策略确定系统,所述方法包括:依据事先配置的若干智能边缘计算网闸之间的匹配记录,确定与当前智能边缘计算网闸存在匹配记录的上下游边缘计算网闸,所述当前智能边缘计算网闸为所述若干智能边缘计算网闸中检测到数据风险威胁的待融合行为描述的智能边缘计算网闸;将所述待融合行为描述与所述上下游边缘计算网闸检测到的所述数据风险威胁的行为描述进行融合;通过行为描述融合结果确定应对所述数据风险威胁的安全防护策略;其中,所述匹配记录的生成步骤为:确定所述若干智能边缘计算网闸中每个智能边缘计算网闸的业务环境标签,并针对所述若干智能边缘计算网闸中的每两个智能边缘计算网闸,判断该两个智能边缘计算网闸的业务环境标签在边缘计算会话进程中是否存在传递关系,若该两个智能边缘计算网闸的业务环境标签在边缘计算会话进程中存在传递关系,生成该两个智能边缘计算网闸之间的匹配记录。
这样一来,一方面,可以通过智能边缘计算网闸的业务环境标签之间在边缘计算会话进程中的传递关系,生成各个智能边缘计算网闸的之间的匹配记录,以确保匹配记录的精准性和可靠性。另一方面,鉴于数据风险威胁的通常存在持续性的随机变化,因此对于借助任一智能边缘计算网闸检测到的行为描述,一般可以与该智能边缘计算网闸存在关联的智能边缘计算网闸检测到的行为描述进行融合,因此在生成精准完整的匹配记录的前提下,能够实现准确可靠的行为描述进行融合,这样能够通过行为描述融合结果确定应对数据风险威胁的安全防护策略,从而提高安全策略确定的灵活性。
优选地,所述确定若干智能边缘计算网闸中每个智能边缘计算网闸的业务环境标签,包括:对于每个智能边缘计算网闸,基于该智能边缘计算网闸识别到的数据风险威胁的可变行为描述,确定所述数据风险威胁入侵或退出该智能边缘计算网闸的业务环境标签的切换时段和第一会话状态;通过设定状态检测终端检测得到的所述数据风险威胁的可变行为描述,确定所述数据风险威胁在所述切换时段所处的第二会话状态;通过所述第一会话状态与所述第二会话状态之间的变化指示,确定该智能边缘计算网闸的业务环境标签。
优选地,所述判断该两个智能边缘计算网闸的业务环境标签在边缘计算会话进程中是否存在传递关系,包括:判断该两个智能边缘计算网闸的业务环境标签之间是否存在剩余智能边缘计算网闸的业务环境标签,所述剩余智能边缘计算网闸为所述若干智能边缘计算网闸中除该两个智能边缘计算网闸之外的智能边缘计算网闸;若该两个智能边缘计算网闸的业务环境标签之间不存在剩余智能边缘计算网闸的业务环境标签,确定该两个智能边缘计算网闸的业务环境标签在边缘计算会话进程中存在传递关系;若该两个智能边缘计算网闸的业务环境标签之间存在剩余智能边缘计算网闸的业务环境标签,确定该两个智能边缘计算网闸的业务环境标签在边缘计算会话进程中不存在传递关系;
相应的,所述若干智能边缘计算网闸的时序特征事先完成校正;所述判断该两个智能边缘计算网闸的业务环境标签之间是否存在剩余智能边缘计算网闸的业务环境标签,包括:通过第一智能边缘计算网闸识别到的数据风险威胁的可变行为描述,确定所述数据风险威胁退出所述第一智能边缘计算网闸的业务环境标签的退出时刻,所述第一智能边缘计算网闸为所述若干智能边缘计算网闸中的任一智能边缘计算网闸;通过第二智能边缘计算网闸识别到的所述数据风险威胁的可变行为描述,确定所述数据风险威胁入侵所述第二智能边缘计算网闸的业务环境标签的入侵时刻,所述第二智能边缘计算网闸为除所述第一智能边缘计算网闸之外在所述数据风险威胁入侵所述第一智能边缘计算网闸的业务环境标签之后识别到所述数据风险威胁的任一智能边缘计算网闸;通过所述退出时刻和所述入侵时刻,判断所述第一智能边缘计算网闸和所述第二智能边缘计算网闸的业务环境标签之间是否存在剩余智能边缘计算网闸的业务环境标签。
优选地,所述通过所述退出时刻和所述入侵时刻,判断所述第一智能边缘计算网闸和所述第二智能边缘计算网闸的业务环境标签之间是否存在剩余智能边缘计算网闸的业务环境标签,包括:判断所述退出时刻是否迟于所述入侵时刻;若所述退出时刻迟于所述入侵时刻,确定所述第一智能边缘计算网闸和所述第二智能边缘计算网闸的业务环境标签之间不存在剩余智能边缘计算网闸的业务环境标签。
优选地,所述通过所述退出时刻和所述入侵时刻,判断所述第一智能边缘计算网闸和所述第二智能边缘计算网闸的业务环境标签之间是否存在剩余智能边缘计算网闸的业务环境标签,包括:判断所述入侵时刻是否迟于所述退出时刻并且所述入侵时刻与所述退出时刻之间的时刻比较结果大于设定时刻比较结果判定值;若所述入侵时刻迟于所述退出时刻并且所述入侵时刻与所述退出时刻之间的时刻比较结果大于所述设定时刻比较结果判定值,确定所述第一智能边缘计算网闸和所述第二智能边缘计算网闸的业务环境标签之间存在剩余智能边缘计算网闸的业务环境标签。
优选地,所述方法还包括:针对所述若干智能边缘计算网闸中的每两个智能边缘计算网闸,基于该两个智能边缘计算网闸的会话状态,确定该两个智能边缘计算网闸的状态映射描述。
优选地,所述方法还包括:针对所述若干智能边缘计算网闸中的每个智能边缘计算网闸,确定基于已检测的数据风险威胁得到的若干可变行为描述,得到该智能边缘计算网闸与该智能边缘计算网闸存在匹配记录的每个智能边缘计算网闸之间的变化可能性,所述变化可能性用于表示所述数据风险威胁在退出该智能边缘计算网闸后入侵与该智能边缘计算网闸存在匹配记录的各个智能边缘计算网闸的量化可能指数。
优选地,所述方法还包括:确定所述待融合行为描述中所述数据风险威胁的变化特征;通过事先配置的所述若干智能边缘计算网闸之间的状态映射描述,从所述上下游边缘计算网闸中确定出符合状态要求的智能边缘计算网闸,所述状态要求为该智能边缘计算网闸与所述当前智能边缘计算网闸之间的状态映射描述和所述变化特征之间的余弦距离小于设定距离判定值;其中,所述状态映射描述的确定步骤为:针对所述若干智能边缘计算网闸中的每个智能边缘计算网闸,确定基于已检测的数据风险威胁得到的若干可变行为描述,得到该智能边缘计算网闸与该上下游边缘计算网闸存在匹配记录的每个智能边缘计算网闸之间的变化可能性,所述变化可能性用于表示所述数据风险威胁在退出该智能边缘计算网闸后入侵与该智能边缘计算网闸存在匹配记录的各个智能边缘计算网闸的量化可能指数;
所述将所述待融合行为描述与所述上下游边缘计算网闸检测到的所述数据风险威胁的行为描述进行融合,包括:将所述待融合行为描述与确定得到的智能边缘计算网闸检测到的所述数据风险威胁的行为描述进行融合。
优选地,所述方法还包括:通过事先配置的所述当前智能边缘计算网闸与各智能边缘计算网闸之间的变化可能性,从所述上下游边缘计算网闸中确定出与所述当前智能边缘计算网闸之间的变化可能性最高的智能边缘计算网闸;其中,所述变化可能性的计算步骤为:针对所述若干智能边缘计算网闸中的每个智能边缘计算网闸,确定基于已检测的数据风险威胁得到的若干可变行为描述,得到该智能边缘计算网闸与该上下游边缘计算网闸存在匹配记录的每个智能边缘计算网闸之间的变化可能性,所述变化可能性用于表示所述数据风险威胁在退出该智能边缘计算网闸后入侵与该智能边缘计算网闸存在匹配记录的各个智能边缘计算网闸的量化可能指数;
所述将所述待融合行为描述与所述上下游边缘计算网闸检测到的所述数据风险威胁的行为描述进行融合,包括:将所述待融合行为描述与确定得到的智能边缘计算网闸检测到的所述数据风险威胁的行为描述进行融合。
第二方面,本申请还提供了一种安全策略确定系统,包括处理器和存储器;所述处理器和所述存储器通信连接,所述处理器用于从所述存储器中读取计算机程序并执行,以实现上述所述的方法。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并于说明书一起用于解释本申请的原理。
图1是本申请实施例提供的一种安全策略确定系统的硬件结构示意图。
图2是本申请实施例提供的一种智能边缘计算网闸的安全策略确定方法的流程示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
本申请实施例所提供的方法实施例可以在安全策略确定系统、计算机设备或者类似的运算装置中执行。以运行在安全策略确定系统上为例,图1是本申请实施例的实施一种智能边缘计算网闸的安全策略确定方法的安全策略确定系统的硬件结构框图。如图1所示,安全策略确定系统10可以包括一个或多个(图1中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)和用于存储数据的存储器104,可选地,上述安全策略确定系统还可以包括用于通信功能的传输装置106。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述安全策略确定系统的结构造成限定。例如,安全策略确定系统10还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
存储器104可用于存储计算机程序,例如,应用软件的软件程序以及模块,如本申请实施例中的一种智能边缘计算网闸的安全策略确定方法对应的计算机程序,处理器102通过运行存储在存储器104内的计算机程序,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至安全策略确定系统10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括安全策略确定系统10的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(Network Interface Controller,简称为NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(RadioFrequency,简称为RF)模块,其用于通过无线方式与互联网进行通讯。
基于此,请参阅图2,图2是本发明实施例所提供的一种智能边缘计算网闸的安全策略确定方法的流程示意图,该方法应用于安全策略确定系统,进一步可以包括以下内容描述的技术方案。
步骤21、依据事先配置的若干智能边缘计算网闸之间的匹配记录,确定与当前智能边缘计算网闸存在匹配记录的上下游边缘计算网闸,所述当前智能边缘计算网闸为所述若干智能边缘计算网闸中检测到数据风险威胁的待融合行为描述的智能边缘计算网闸。
步骤22、将所述待融合行为描述与所述上下游边缘计算网闸检测到的所述数据风险威胁的行为描述进行融合;通过行为描述融合结果确定应对所述数据风险威胁的安全防护策略。
在本申请实施例中,所述匹配记录的生成步骤为:确定若干智能边缘计算网闸中每个智能边缘计算网闸的业务环境标签,并针对所述若干智能边缘计算网闸中的每两个智能边缘计算网闸,判断该两个智能边缘计算网闸的业务环境标签在边缘计算会话进程中是否存在传递关系,若该两个智能边缘计算网闸的业务环境标签在边缘计算会话进程中存在传递关系,生成该两个智能边缘计算网闸之间的匹配记录。
在一种可示性实施例中,上所述描述的确定若干智能边缘计算网闸中每个智能边缘计算网闸的业务环境标签,具体可以包括:对于每个智能边缘计算网闸,基于该智能边缘计算网闸识别到的数据风险威胁的可变行为描述,确定所述数据风险威胁入侵或退出该智能边缘计算网闸的业务环境标签的切换时段和第一会话状态;通过设定状态检测终端检测得到的所述数据风险威胁的可变行为描述,确定所述数据风险威胁在所述切换时段所处的第二会话状态;通过所述第一会话状态与所述第二会话状态之间的变化指示,确定该智能边缘计算网闸的业务环境标签。如此,第一会话状态与第二会话状态之间的变化指示,这样能够有针对性地确定该智能边缘计算网闸的业务环境标签。
在一种可示性实施例中,上所述描述的判断该两个智能边缘计算网闸的业务环境标签在边缘计算会话进程中是否存在传递关系,具体可以包括如下步骤31-步骤33。
步骤31、判断该两个智能边缘计算网闸的业务环境标签之间是否存在剩余智能边缘计算网闸的业务环境标签,所述剩余智能边缘计算网闸为所述若干智能边缘计算网闸中除该两个智能边缘计算网闸之外的智能边缘计算网闸。
在一种可示性实施例中,所述若干智能边缘计算网闸的时序特征事先完成校正。基于此,步骤31所记录的判断该两个智能边缘计算网闸的业务环境标签之间是否存在剩余智能边缘计算网闸的业务环境标签,具体可以包括如下步骤311-步骤313所记录的内容:
步骤311、通过第一智能边缘计算网闸识别到的数据风险威胁的可变行为描述,确定所述数据风险威胁退出所述第一智能边缘计算网闸的业务环境标签的退出时刻,所述第一智能边缘计算网闸为所述若干智能边缘计算网闸中的任一智能边缘计算网闸。
步骤312、通过第二智能边缘计算网闸识别到的所述数据风险威胁的可变行为描述,确定所述数据风险威胁入侵所述第二智能边缘计算网闸的业务环境标签的入侵时刻,所述第二智能边缘计算网闸为除所述第一智能边缘计算网闸之外在所述数据风险威胁入侵所述第一智能边缘计算网闸的业务环境标签之后识别到所述数据风险威胁的任一智能边缘计算网闸。
步骤313、通过所述退出时刻和所述入侵时刻,判断所述第一智能边缘计算网闸和所述第二智能边缘计算网闸的业务环境标签之间是否存在剩余智能边缘计算网闸的业务环境标签。
执行步骤311-步骤313所记录的内容,通过退出时刻和入侵时刻判断第一智能边缘计算网闸和第二智能边缘计算网闸的业务环境标签之间是否存在剩余智能边缘计算网闸的业务环境标签,这样更加准确的判断出是否存在剩余智能边缘计算网闸的业务环境标签,进而为后续判断两个智能边缘计算网闸的业务环境标签在边缘计算会话进程中不存在传递关系提供依据。
在一种可示性实施例中,步骤313所描述的通过所述退出时刻和所述入侵时刻,判断所述第一智能边缘计算网闸和所述第二智能边缘计算网闸的业务环境标签之间是否存在剩余智能边缘计算网闸的业务环境标签,具体可以包括如下两种实施例。
第一种实施例,判断所述退出时刻是否迟于所述入侵时刻;若所述退出时刻迟于所述入侵时刻,确定所述第一智能边缘计算网闸和所述第二智能边缘计算网闸的业务环境标签之间不存在剩余智能边缘计算网闸的业务环境标签。
第一种实施例,判断所述入侵时刻是否迟于所述退出时刻并且所述入侵时刻与所述退出时刻之间的时刻比较结果大于设定时刻比较结果判定值;若所述入侵时刻迟于所述退出时刻并且所述入侵时刻与所述退出时刻之间的时刻比较结果大于所述设定时刻比较结果判定值,确定所述第一智能边缘计算网闸和所述第二智能边缘计算网闸的业务环境标签之间存在剩余智能边缘计算网闸的业务环境标签。
步骤32、若该两个智能边缘计算网闸的业务环境标签之间不存在剩余智能边缘计算网闸的业务环境标签,确定该两个智能边缘计算网闸的业务环境标签在边缘计算会话进程中存在传递关系。
步骤33、若该两个智能边缘计算网闸的业务环境标签之间存在剩余智能边缘计算网闸的业务环境标签,确定该两个智能边缘计算网闸的业务环境标签在边缘计算会话进程中不存在传递关系。
执行步骤31-步骤33,在判断出两个智能边缘计算网闸的业务环境标签之间存在剩余智能边缘计算网闸的业务环境标签的前提下,判断两个智能边缘计算网闸的业务环境标签在边缘计算会话进程中不存在传递关系,这样能够保证判断出的结果的准确性。
在一种可示性实施例中,该智能边缘计算网闸的安全策略确定方法具体还可以包括:针对所述若干智能边缘计算网闸中的每两个智能边缘计算网闸,基于该两个智能边缘计算网闸的会话状态,确定该两个智能边缘计算网闸的状态映射描述。
在一种可示性实施例中,该智能边缘计算网闸的安全策略确定方法具体还可以包括:针对所述若干智能边缘计算网闸中的每个智能边缘计算网闸,确定基于已检测的数据风险威胁得到的若干可变行为描述,得到该智能边缘计算网闸与该智能边缘计算网闸存在匹配记录的每个智能边缘计算网闸之间的变化可能性,所述变化可能性用于表示所述数据风险威胁在退出该智能边缘计算网闸后入侵与该智能边缘计算网闸存在匹配记录的各个智能边缘计算网闸的量化可能指数。
在一种可示性实施例中,该智能边缘计算网闸的安全策略确定方法具体还可以包括:确定所述待融合行为描述中所述数据风险威胁的变化特征;
通过事先配置的所述若干智能边缘计算网闸之间的状态映射描述,从所述上下游边缘计算网闸中确定出符合状态要求的智能边缘计算网闸,所述状态要求为该智能边缘计算网闸与所述当前智能边缘计算网闸之间的状态映射描述和所述变化特征之间的余弦距离小于设定距离判定值。如此,能够从维度确定出符合状态要求的智能边缘计算网闸,这样能够提高智能边缘计算网闸的准确性。
在本申请实施例中,所述状态映射描述的确定步骤,具体可以包括:针对所述若干智能边缘计算网闸中的每个智能边缘计算网闸,确定基于已检测的数据风险威胁得到的若干可变行为描述,得到该智能边缘计算网闸与该上下游边缘计算网闸存在匹配记录的每个智能边缘计算网闸之间的变化可能性,所述变化可能性用于表示所述数据风险威胁在退出该智能边缘计算网闸后入侵与该智能边缘计算网闸存在匹配记录的各个智能边缘计算网闸的量化可能指数。
进一步地,步骤22所描述的将所述待融合行为描述与所述上下游边缘计算网闸检测到的所述数据风险威胁的行为描述进行融合,具体可以包括:将所述待融合行为描述与确定得到的智能边缘计算网闸检测到的所述数据风险威胁的行为描述进行融合。
在一种可示性实施例中,该智能边缘计算网闸的安全策略确定方法具体还可以包括:通过事先配置的所述当前智能边缘计算网闸与各智能边缘计算网闸之间的变化可能性,从所述上下游边缘计算网闸中确定出与所述当前智能边缘计算网闸之间的变化可能性最高的智能边缘计算网闸。
在本申请实施例中,所述变化可能性的计算步骤具体可以为:针对所述若干智能边缘计算网闸中的每个智能边缘计算网闸,确定基于已检测的数据风险威胁得到的若干可变行为描述,得到该智能边缘计算网闸与该上下游边缘计算网闸存在匹配记录的每个智能边缘计算网闸之间的变化可能性,所述变化可能性用于表示所述数据风险威胁在退出该智能边缘计算网闸后入侵与该智能边缘计算网闸存在匹配记录的各个智能边缘计算网闸的量化可能指数。
进一步地,步骤22所描述的所述将所述待融合行为描述与所述上下游边缘计算网闸检测到的所述数据风险威胁的行为描述进行融合,包括:将所述待融合行为描述与确定得到的智能边缘计算网闸检测到的所述数据风险威胁的行为描述进行融合。
综上所述,一方面,可以通过智能边缘计算网闸的业务环境标签之间在边缘计算会话进程中的传递关系,生成各个智能边缘计算网闸的之间的匹配记录,以确保匹配记录的精准性和可靠性。另一方面,鉴于数据风险威胁的通常存在持续性的随机变化,因此对于借助任一智能边缘计算网闸检测到的行为描述,一般可以与该智能边缘计算网闸存在关联的智能边缘计算网闸检测到的行为描述进行融合,因此在生成精准完整的匹配记录的前提下,能够实现准确可靠的行为描述进行融合,这样能够通过行为描述融合结果确定应对数据风险威胁的安全防护策略,从而提高安全策略确定的灵活性。
进一步地,还提供了一种可读存储介质,其上存储有程序,该程序被处理器执行时实现上述的方法。
在本申请实施例所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置和方法实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,媒体业务服务器10,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种智能边缘计算网闸的安全策略确定方法,其特征在于,应用于安全策略确定系统,所述方法包括:
依据事先配置的若干智能边缘计算网闸之间的匹配记录,确定与当前智能边缘计算网闸存在匹配记录的上下游边缘计算网闸,所述当前智能边缘计算网闸为所述若干智能边缘计算网闸中检测到数据风险威胁的待融合行为描述的智能边缘计算网闸;
将所述待融合行为描述与所述上下游边缘计算网闸检测到的所述数据风险威胁的行为描述进行融合;通过行为描述融合结果确定应对所述数据风险威胁的安全防护策略;
其中,所述匹配记录的生成步骤为:确定所述若干智能边缘计算网闸中每个智能边缘计算网闸的业务环境标签,并针对所述若干智能边缘计算网闸中的每两个智能边缘计算网闸,判断该两个智能边缘计算网闸的业务环境标签在边缘计算会话进程中是否存在传递关系,若该两个智能边缘计算网闸的业务环境标签在边缘计算会话进程中存在传递关系,生成该两个智能边缘计算网闸之间的匹配记录。
2.如权利要求1所述的方法,其特征在于,所述确定若干智能边缘计算网闸中每个智能边缘计算网闸的业务环境标签,包括:
对于每个智能边缘计算网闸,基于该智能边缘计算网闸识别到的数据风险威胁的可变行为描述,确定所述数据风险威胁入侵或退出该智能边缘计算网闸的业务环境标签的切换时段和第一会话状态;
通过设定状态检测终端检测得到的所述数据风险威胁的可变行为描述,确定所述数据风险威胁在所述切换时段所处的第二会话状态;
通过所述第一会话状态与所述第二会话状态之间的变化指示,确定该智能边缘计算网闸的业务环境标签。
3.如权利要求1所述的方法,其特征在于,所述判断该两个智能边缘计算网闸的业务环境标签在边缘计算会话进程中是否存在传递关系,包括:
判断该两个智能边缘计算网闸的业务环境标签之间是否存在剩余智能边缘计算网闸的业务环境标签,所述剩余智能边缘计算网闸为所述若干智能边缘计算网闸中除该两个智能边缘计算网闸之外的智能边缘计算网闸;
若该两个智能边缘计算网闸的业务环境标签之间不存在剩余智能边缘计算网闸的业务环境标签,确定该两个智能边缘计算网闸的业务环境标签在边缘计算会话进程中存在传递关系;
若该两个智能边缘计算网闸的业务环境标签之间存在剩余智能边缘计算网闸的业务环境标签,确定该两个智能边缘计算网闸的业务环境标签在边缘计算会话进程中不存在传递关系;
相应的,所述若干智能边缘计算网闸的时序特征事先完成校正;所述判断该两个智能边缘计算网闸的业务环境标签之间是否存在剩余智能边缘计算网闸的业务环境标签,包括:
通过第一智能边缘计算网闸识别到的数据风险威胁的可变行为描述,确定所述数据风险威胁退出所述第一智能边缘计算网闸的业务环境标签的退出时刻,所述第一智能边缘计算网闸为所述若干智能边缘计算网闸中的任一智能边缘计算网闸;
通过第二智能边缘计算网闸识别到的所述数据风险威胁的可变行为描述,确定所述数据风险威胁入侵所述第二智能边缘计算网闸的业务环境标签的入侵时刻,所述第二智能边缘计算网闸为除所述第一智能边缘计算网闸之外在所述数据风险威胁入侵所述第一智能边缘计算网闸的业务环境标签之后识别到所述数据风险威胁的任一智能边缘计算网闸;
通过所述退出时刻和所述入侵时刻,判断所述第一智能边缘计算网闸和所述第二智能边缘计算网闸的业务环境标签之间是否存在剩余智能边缘计算网闸的业务环境标签。
4.如权利要求3所述的方法,其特征在于,所述通过所述退出时刻和所述入侵时刻,判断所述第一智能边缘计算网闸和所述第二智能边缘计算网闸的业务环境标签之间是否存在剩余智能边缘计算网闸的业务环境标签,包括:
判断所述退出时刻是否迟于所述入侵时刻;
若所述退出时刻迟于所述入侵时刻,确定所述第一智能边缘计算网闸和所述第二智能边缘计算网闸的业务环境标签之间不存在剩余智能边缘计算网闸的业务环境标签。
5.如权利要求3所述的方法,其特征在于,所述通过所述退出时刻和所述入侵时刻,判断所述第一智能边缘计算网闸和所述第二智能边缘计算网闸的业务环境标签之间是否存在剩余智能边缘计算网闸的业务环境标签,包括:
判断所述入侵时刻是否迟于所述退出时刻并且所述入侵时刻与所述退出时刻之间的时刻比较结果大于设定时刻比较结果判定值;
若所述入侵时刻迟于所述退出时刻并且所述入侵时刻与所述退出时刻之间的时刻比较结果大于所述设定时刻比较结果判定值,确定所述第一智能边缘计算网闸和所述第二智能边缘计算网闸的业务环境标签之间存在剩余智能边缘计算网闸的业务环境标签。
6.如权利要求1所述的方法,其特征在于,所述方法还包括:
针对所述若干智能边缘计算网闸中的每两个智能边缘计算网闸,基于该两个智能边缘计算网闸的会话状态,确定该两个智能边缘计算网闸的状态映射描述。
7.如权利要求1所述的方法,其特征在于,所述方法还包括:
针对所述若干智能边缘计算网闸中的每个智能边缘计算网闸,确定基于已检测的数据风险威胁得到的若干可变行为描述,得到该智能边缘计算网闸与该智能边缘计算网闸存在匹配记录的每个智能边缘计算网闸之间的变化可能性,所述变化可能性用于表示所述数据风险威胁在退出该智能边缘计算网闸后入侵与该智能边缘计算网闸存在匹配记录的各个智能边缘计算网闸的量化可能指数。
8.如权利要求1所述的方法,其特征在于,所述方法还包括:
确定所述待融合行为描述中所述数据风险威胁的变化特征;
通过事先配置的所述若干智能边缘计算网闸之间的状态映射描述,从所述上下游边缘计算网闸中确定出符合状态要求的智能边缘计算网闸,所述状态要求为该智能边缘计算网闸与所述当前智能边缘计算网闸之间的状态映射描述和所述变化特征之间的余弦距离小于设定距离判定值;
其中,所述状态映射描述的确定步骤为:针对所述若干智能边缘计算网闸中的每个智能边缘计算网闸,确定基于已检测的数据风险威胁得到的若干可变行为描述,得到该智能边缘计算网闸与该上下游边缘计算网闸存在匹配记录的每个智能边缘计算网闸之间的变化可能性,所述变化可能性用于表示所述数据风险威胁在退出该智能边缘计算网闸后入侵与该智能边缘计算网闸存在匹配记录的各个智能边缘计算网闸的量化可能指数;
所述将所述待融合行为描述与所述上下游边缘计算网闸检测到的所述数据风险威胁的行为描述进行融合,包括:将所述待融合行为描述与确定得到的智能边缘计算网闸检测到的所述数据风险威胁的行为描述进行融合。
9.如权利要求1所述的方法,其特征在于,所述方法还包括:
通过事先配置的所述当前智能边缘计算网闸与各智能边缘计算网闸之间的变化可能性,从所述上下游边缘计算网闸中确定出与所述当前智能边缘计算网闸之间的变化可能性最高的智能边缘计算网闸;
其中,所述变化可能性的计算步骤为:针对所述若干智能边缘计算网闸中的每个智能边缘计算网闸,确定基于已检测的数据风险威胁得到的若干可变行为描述,得到该智能边缘计算网闸与该上下游边缘计算网闸存在匹配记录的每个智能边缘计算网闸之间的变化可能性,所述变化可能性用于表示所述数据风险威胁在退出该智能边缘计算网闸后入侵与该智能边缘计算网闸存在匹配记录的各个智能边缘计算网闸的量化可能指数;
所述将所述待融合行为描述与所述上下游边缘计算网闸检测到的所述数据风险威胁的行为描述进行融合,包括:将所述待融合行为描述与确定得到的智能边缘计算网闸检测到的所述数据风险威胁的行为描述进行融合。
10.一种安全策略确定系统,其特征在于,包括处理器和存储器;所述处理器和所述存储器通信连接,所述处理器用于从所述存储器中读取计算机程序并执行,以实现上述权利要求1-9任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111177617.7A CN113987473B (zh) | 2021-10-09 | 2021-10-09 | 智能边缘计算网闸的安全策略确定方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111177617.7A CN113987473B (zh) | 2021-10-09 | 2021-10-09 | 智能边缘计算网闸的安全策略确定方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113987473A CN113987473A (zh) | 2022-01-28 |
CN113987473B true CN113987473B (zh) | 2023-07-18 |
Family
ID=79737980
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111177617.7A Active CN113987473B (zh) | 2021-10-09 | 2021-10-09 | 智能边缘计算网闸的安全策略确定方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113987473B (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102984170A (zh) * | 2012-12-11 | 2013-03-20 | 清华大学 | 一种工业控制网络安全过滤系统及方法 |
CN107395653A (zh) * | 2017-09-13 | 2017-11-24 | 上海织语网络科技有限公司 | 一种基于安全隔离网闸的企业即时通讯系统及方法 |
CN109587450A (zh) * | 2018-12-20 | 2019-04-05 | 北京明朝万达科技股份有限公司 | 视频数据传输方法和系统 |
WO2021073151A1 (zh) * | 2019-10-16 | 2021-04-22 | 平安国际智慧城市科技股份有限公司 | 基于多网通信的数据传输方法及相关设备 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10885219B2 (en) * | 2017-02-13 | 2021-01-05 | Microsoft Technology Licensing, Llc | Privacy control operation modes |
US11368480B2 (en) * | 2019-05-29 | 2022-06-21 | Sight Gain Inc. | Systems and methods for automated detection of cybersecurity performance gaps |
-
2021
- 2021-10-09 CN CN202111177617.7A patent/CN113987473B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102984170A (zh) * | 2012-12-11 | 2013-03-20 | 清华大学 | 一种工业控制网络安全过滤系统及方法 |
CN107395653A (zh) * | 2017-09-13 | 2017-11-24 | 上海织语网络科技有限公司 | 一种基于安全隔离网闸的企业即时通讯系统及方法 |
CN109587450A (zh) * | 2018-12-20 | 2019-04-05 | 北京明朝万达科技股份有限公司 | 视频数据传输方法和系统 |
WO2021073151A1 (zh) * | 2019-10-16 | 2021-04-22 | 平安国际智慧城市科技股份有限公司 | 基于多网通信的数据传输方法及相关设备 |
Non-Patent Citations (4)
Title |
---|
Learning Interactions as it Evolves in a Social Learning Management System;Orven E. Llantos等;《2021 Eighth International Conference on Social Network Analysis, Management and Security (SNAMS)》;第1-8页 * |
以安全网闸技术实现计算机网络安全;余明等;《科学与管理》(第03期);第88-91页 * |
基于LabVIEW的电机转速转矩测量系统设计;蔡杰焕;《机电信息》(第第24期期);第117-118页 * |
网闸在医院网络安全管理中的应用;苗元青等;中国数字医学;第4卷(第09期);第67-68页 * |
Also Published As
Publication number | Publication date |
---|---|
CN113987473A (zh) | 2022-01-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113672938B (zh) | 一种区块链节点可信状态确定方法 | |
EP3053046B1 (en) | Network intrusion detection | |
US20190230086A1 (en) | Authority management method and device in distributed environment, and server | |
US11250434B2 (en) | Payment method and device | |
CN103368904A (zh) | 移动终端、可疑行为检测及判定系统和方法 | |
CN105376210A (zh) | 一种账户威胁识别和防御方法及系统 | |
CN103379099A (zh) | 恶意攻击识别方法及系统 | |
CN112672357B (zh) | 处理业务系统中用户账号的方法、装置及计算机设备 | |
CN111131310A (zh) | 访问控制方法、装置、系统、计算机设备和存储介质 | |
CN104767713A (zh) | 账号绑定的方法、服务器及系统 | |
US9742642B2 (en) | Monitoring SMS messages related to server/customer interactions | |
CN109547427B (zh) | 黑名单用户识别方法、装置、计算机设备及存储介质 | |
CN103826216A (zh) | 在网络侧检测车辆与车载终端是否匹配的方法和系统 | |
CN108141758A (zh) | 无连接的数据传输 | |
CN110933069A (zh) | 网络防护的方法、装置以及存储介质 | |
CN115271719A (zh) | 一种基于大数据的攻击防护方法及存储介质 | |
CN106325993A (zh) | 一种应用程序的冻结方法以及终端 | |
CN113987473B (zh) | 智能边缘计算网闸的安全策略确定方法及系统 | |
CN113992396A (zh) | 一种流量检测方法、装置及电子设备和存储介质 | |
Zacharaki et al. | Complex Engineering Systems as an enabler for security in Internet of Vehicles: The nIoVe approach | |
CN113987474A (zh) | 智能边缘计算网闸的检测数据处理方法及系统 | |
CN110769010B (zh) | 一种数据管理权限处理方法、装置及计算机设备 | |
US20200007499A1 (en) | Big-data-based business logic learning method and protection method and apparatuses thereof | |
US10200273B2 (en) | Method and system of data routing through time-variant contextual trust | |
CN113821522B (zh) | 基于大数据技术的企业业务智能化管理方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |