CN114050942A - 安全策略配置方法、装置、网络设备及介质 - Google Patents
安全策略配置方法、装置、网络设备及介质 Download PDFInfo
- Publication number
- CN114050942A CN114050942A CN202210024680.5A CN202210024680A CN114050942A CN 114050942 A CN114050942 A CN 114050942A CN 202210024680 A CN202210024680 A CN 202210024680A CN 114050942 A CN114050942 A CN 114050942A
- Authority
- CN
- China
- Prior art keywords
- information
- target
- target network
- security policy
- data packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种安全策略配置方法、装置、网络设备及介质,属于网络技术领域。本申请通过在获取到目标网络中满足设定条件的第一数据包的特征信息后,即基于特征信息,从包括多个场景信息以及各个场景信息对应的预设特征信息的目标数据库中,确定出特征信息对应的目标场景信息,即可得到目标网络所应用的场景,从而可以基于目标场景信息对应的预设特征信息,自动生成目标网络的安全策略,从而能够提高策略配置过程的效率,而且,所生成的安全策略与目标网络所应用的场景更加匹配,提高了策略配置过程的准确性。
Description
技术领域
本说明书涉及网络技术领域,尤其涉及一种安全策略配置方法、装置、网络设备及介质。
背景技术
随着计算机技术和网络技术应用范围的不断扩大,如何提高网络安全性能,使得网络可以更好地为用户提供服务,逐渐成为了一个重要研究方向。通常,可以通过预先配置一些网络安全防护策略,如传输层策略、应用层策略和抗攻击策略等,从而通过网络安全防护策略,来对网络所传输的数据包进行检查,对不满足安全防护策略的数据包进行丢弃,以保证网络的安全性。
以城市工控安全系统的网络安全防护策略为例,相关技术中,在进行网络安全防护策略的配置时,需要由运维人员对工控网络中固有的数据通信情况,以及工控软件的控制器所执行的操作进行摸排,以根据摸排结果配置传输层策略和应用层策略,而抗攻击策略则只能使用默认的阈值,从而使得策略配置过程的效率和准确性都比较低。
发明内容
为克服相关技术中存在的问题,本申请提供了一种安全策略配置方法、装置、网络设备及介质。
根据本申请实施例的第一方面,提供一种安全策略配置方法,该方法包括:
获取目标网络中满足设定条件的第一数据包的特征信息,特征信息用于指示第一数据包所使用的协议和/或第一数据包对应的待执行操作的特征;
基于特征信息,从目标数据库中,确定特征信息对应的目标场景信息,目标数据库中包括多个场景信息以及各个场景信息对应的预设特征信息;
基于目标场景信息对应的预设特征信息,生成目标网络的安全策略。
在本申请的一些实施例中,基于特征信息,从目标数据库中,确定特征信息对应的目标场景信息,包括:
从目标数据库中,确定所对应的预设特征信息与特征信息匹配的至少一个候选场景信息,以及各个候选场景信息所对应的匹配次数;
从至少一个候选场景信息中,确定匹配次数最大的候选场景信息,作为目标场景信息。
在本申请的一些实施例中,特征信息包括协议信息、数据特征信息、组合特征信息、时间特征信息和频率特征信息中的至少一项,协议信息用于指示第一数据包所使用的网络协议,述数据特征信息用于指示第一数据包对应的待执行操作的操作值,组合特征信息用于指示第一数据包对应的待执行操作的顺序和/或组合方式,时间特征信息用于指示第一数据包对应的待执行操作的时间,频率特征信息用于指示第一数据包对应的待执行操作的频率。
在本申请的一些实施例中,从目标数据库中,确定所对应的预设特征信息与特征信息匹配的至少一个候选场景信息,以及各个候选场景信息所对应的匹配次数,包括下述至少一项:
对于特征信息所包括的协议信息,将目标数据库中与协议信息匹配的预设协议信息对应的场景信息,确定为候选场景信息,并确定候选场景信息对应的匹配次数;
对于特征信息所包括的数据特征信息,将目标数据库中与数据特征信息匹配的预设数据特征信息对应的场景信息,确定为候选场景信息,并确定候选场景信息对应的匹配次数;
对于特征信息所包括的组合特征信息,将目标数据库中与组合特征信息匹配的预设组合特征信息对应的场景信息,确定为候选场景信息,并确定候选场景信息对应的匹配次数;
对于特征信息所包括的时间特征信息,将目标数据库中与时间特征信息匹配的预设时间特征信息对应的场景信息,确定为候选场景信息,并确定候选场景信息对应的匹配次数;
对于特征信息所包括的频率特征信息,将目标数据库中与频率特征信息匹配的预设频率特征信息对应的场景信息,确定为候选场景信息,并确定候选场景信息对应的匹配次数。
在本申请的一些实施例中,基于目标场景信息对应的预设特征信息,生成目标网络的安全策略,包括下述至少一项:
基于目标场景信息对应的预设数据特征信息,生成目标网络的第一安全策略,第一安全策略用于指示目标网络中允许执行的操作所使用的操作值;
基于目标场景信息对应的预设组合特征信息,生成目标网络的第二安全策略,第二安全策略用于指示目标网络中允许执行的操作的顺序和/或组合方式;
基于目标场景信息对应的预设时间特征信息,生成目标网络的第三安全策略,第三安全策略用于指示目标网络中允许执行操作的时间;
基于目标场景信息对应的预设频率特征信息,生成目标网络的第四安全策略,第四安全策略用于指示目标网络所允许的操作频率。
在本申请的一些实施例中,获取目标网络中满足设定条件的第一数据包的特征信息之前,该方法还包括:
获取目标网络在设定时间段内传输的第一数据包,得到目标网络中满足设定条件的第一数据包。
在本申请的一些实施例中,该方法还包括下述至少一项:
获取目标网络中满足设定条件的第一数据包的传输层信息,传输层信息用于指示第一数据包所对应的地址信息和/或传输层协议;
获取目标网络中满足设定条件的第一数据包的应用层信息,应用层信息用于指示第一数据包所对应的操作类型和/或操作地址。
在本申请的一些实施例中,该方法还包括下述至少一项:
基于传输层信息,生成目标网络的传输层安全策略,传输层策略用于指示目标网络允许传输的数据包所对应的地址信息和/或传输层协议;
基于应用层信息,生成目标网络的应用层安全策略,应用层策略用于指示目标网络允许传输的数据包所对应的操作类型和/或操作地址;
基于在设定时长内通过目标网络所传输的数据包的数量,生成目标网络的抗攻击策略,抗攻击策略用于指示目标网络在设定时长内允许传输的数据包的数量阈值。
在本申请的一些实施例中,基于目标场景信息对应的预设特征信息,生成目标网络的安全策略之后,该方法还包括下述任一项:
响应于在目标网络中获取到待传输的第二数据包,在第二数据包不满足安全策略的情况下,阻断第二数据包的传输;
响应于在目标网络中获取到待传输的第二数据包,在第二数据包满足安全策略的情况下,通过目标网络对第二数据包进行传输。
根据本申请实施例的第二方面,提供一种安全策略配置装置,该装置包括:
获取模块,用于获取目标网络中满足设定条件的第一数据包的特征信息,特征信息用于指示第一数据包所使用的协议和/或第一数据包对应的待执行操作的特征;
确定模块,用于基于特征信息,从目标数据库中,确定特征信息对应的目标场景信息,目标数据库中包括多个场景信息以及各个场景信息对应的预设特征信息;
生成模块,用于基于目标场景信息对应的预设特征信息,生成目标网络的安全策略。
在本申请的一些实施例中,该确定模块,在用于基于特征信息,从目标数据库中,确定特征信息对应的目标场景信息时,包括第一确定单元和第二确定单元;
该第一确定单元,用于从目标数据库中,确定所对应的预设特征信息与特征信息匹配的至少一个候选场景信息,以及各个候选场景信息所对应的匹配次数;
该第二确定单元,用于从至少一个候选场景信息中,确定匹配次数最大的候选场景信息,作为目标场景信息。
在本申请的一些实施例中,特征信息包括协议信息、数据特征信息、组合特征信息、时间特征信息和频率特征信息中的至少一项,协议信息用于指示第一数据包所使用的网络协议,数据特征信息用于指示第一数据包对应的待执行操作的操作值,组合特征信息用于指示第一数据包对应的待执行操作的顺序和/或组合方式,时间特征信息用于指示第一数据包对应的待执行操作的时间,频率特征信息用于指示第一数据包对应的待执行操作的频率。
在本申请的一些实施例中,该第一确定单元,在用于从目标数据库中,确定所对应的预设特征信息与特征信息匹配的至少一个候选场景信息,以及各个候选场景信息所对应的匹配次数时,用于下述至少一项:
对于特征信息所包括的协议信息,将目标数据库中与协议信息匹配的预设协议信息对应的场景信息,确定为候选场景信息,并确定候选场景信息对应的匹配次数;
对于特征信息所包括的数据特征信息,将目标数据库中与数据特征信息匹配的预设数据特征信息对应的场景信息,确定为候选场景信息,并确定候选场景信息对应的匹配次数;
对于特征信息所包括的组合特征信息,将目标数据库中与组合特征信息匹配的预设组合特征信息对应的场景信息,确定为候选场景信息,并确定候选场景信息对应的匹配次数;
对于特征信息所包括的时间特征信息,将目标数据库中与时间特征信息匹配的预设时间特征信息对应的场景信息,确定为候选场景信息,并确定候选场景信息对应的匹配次数;
对于特征信息所包括的频率特征信息,将目标数据库中与频率特征信息匹配的预设频率特征信息对应的场景信息,确定为候选场景信息,并确定候选场景信息对应的匹配次数。
在本申请的一些实施例中,该生成模块,在用于基于目标场景信息对应的预设特征信息,生成目标网络的安全策略时,用于下述至少一项:
基于目标场景信息对应的预设数据特征信息,生成目标网络的第一安全策略,第一安全策略用于指示目标网络中允许执行的操作所使用的操作值;
基于目标场景信息对应的预设组合特征信息,生成目标网络的第二安全策略,第二安全策略用于指示目标网络中允许执行的操作的顺序和/或组合方式;
基于目标场景信息对应的预设时间特征信息,生成目标网络的第三安全策略,第三安全策略用于指示目标网络中允许执行操作的时间;
基于目标场景信息对应的预设频率特征信息,生成目标网络的第四安全策略,第四安全策略用于指示目标网络所允许的操作频率。
在本申请的一些实施例中,该获取模块,还用于获取目标网络在设定时间段内传输的第一数据包,得到目标网络中满足设定条件的第一数据包。
在本申请的一些实施例中,该获取模块,还用于获取目标网络中满足设定条件的第一数据包的传输层信息,传输层信息用于指示第一数据包所对应的地址信息和/或传输层协议;
该获取模块,还用于获取目标网络中满足设定条件的第一数据包的应用层信息,应用层信息用于指示第一数据包所对应的操作类型和/或操作地址。
在本申请的一些实施例中,该生成模块,还用于基于传输层信息,生成目标网络的传输层安全策略,传输层策略用于指示目标网络允许传输的数据包所对应的地址信息和/或传输层协议;
该生成模块,还用于基于应用层信息,生成目标网络的应用层安全策略,应用层策略用于指示目标网络允许传输的数据包所对应的操作类型和/或操作地址;
该生成模块,还用于基于在设定时长内通过目标网络所传输的数据包的数量,生成目标网络的抗攻击策略,抗攻击策略用于指示目标网络在设定时长内允许传输的数据包的数量阈值。
在本申请的一些实施例中,该装置还包括:
阻断模块,用于响应于在目标网络中获取到待传输的第二数据包,在第二数据包不满足安全策略的情况下,阻断第二数据包的传输;
传输模块,用于响应于在目标网络中获取到待传输的第二数据包,在第二数据包满足安全策略的情况下,通过目标网络对第二数据包进行传输。
根据本说明书实施例的第三方面,提供一种网络设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其中,处理器执行计算机程序时实现上述安全策略配置方法所执行的操作。
根据本说明书实施例的第四方面,提供一种计算机可读存储介质,计算机可读存储介质上存储有程序,程序被处理器执行上述安全策略配置方法所执行的操作。
根据本说明书实施例的第五方面,提供一种计算机程序产品,包括计算机程序,计算机程序被处理器执行时实现上述安全策略配置方法所执行的操作。
本说明书的实施例提供的技术方案可以包括以下有益效果:
通过在获取到目标网络中满足设定条件的第一数据包的特征信息后,即基于特征信息,从包括多个场景信息以及各个场景信息对应的预设特征信息的目标数据库中,确定出特征信息对应的目标场景信息,即可得到目标网络所应用的场景,从而可以基于目标场景信息对应的预设特征信息,自动生成目标网络的安全策略,从而能够提高策略配置过程的效率,而且,所生成的安全策略与目标网络所应用的场景更加匹配,提高了策略配置过程的准确性。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本说明书。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本说明书的实施例,并与说明书一起用于解释本说明书的原理。
图1是本说明书根据一示例性实施例示出的一种安全策略配置方法的流程图。
图2是本说明书根据一示例性实施例示出的一种安全策略配置装置的框图。
图3是本说明书根据一示例性实施例示出的一种网络设备的结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本说明书相一致的所有实施方式。相反,它们仅是与如本申请中所详述的、本说明书的一些方面相一致的装置和方法的例子。
在本说明书使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本说明书。在本申请中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本说明书可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本说明书范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
本申请提供了一种安全策略配置方法,用于基于目标网络中满足设定条件的第一数据包,来自动生成安全策略,以便后续可以基于所生成的安全策略,来对通过目标网络传输的第二数据包进行检查,从而丢弃有威胁的第二数据包,以保证目标网络的安全性。
该目标网络可以为工业控制系统(简称工控系统)中所使用的网络,工控系统可以为多种类型的城市工业控制系统,如水务、交通、燃气工程等工控系统。可选地,该目标网络还可以为其他网络,本申请对此不加以限定。
以该目标网络为工控系统中所使用的网络为例,工控系统可以包括现场设备层、现场控制层、过程监控层、制造执行系统(Manufacturing Execution System,MES)层、企业管理层和外部网络,该目标网络可以为位于现场控制层和过程监控层之间的网络设备中的网络,该目标网络用于在现场控制层和过程监控层之间进行数据传输。
上述仅为对本申请应用场景的示例性说明,并不构成对本申请应用场景的限定,在更多可能的实现方式中,本申请可以应用在多种其他涉及到数据传输的网络中。
上述安全策略配置方法可以由网络设备执行,也即是,目标网络可以位于网络设备中,网络设备可以为、、器、、卡(Network Interface Controller ,NIC)、(WirelessAccess Point,WAP)等等,本申请对网络设备的具体类型不加以限定。
在一种可能的实现方式中,在通过网络设备实现本申请所提供的安全策略配置方法时,可以通过网络设备的网卡接口,将网络设备接入现场控制层和过程监控层之间,网络设备在检测到网络设备的网卡接口开启后,可以自动将已开启的网卡接口配置为桥接模式,从而通过处于桥接模式的接口,来在现场控制层和过程监控层之间进行数据包的传输,以保证数据传输的畅通。
在介绍了本申请的应用场景之后,接下来结合本说明书实施例,对本申请所提供的安全策略的配置方法进行详细说明。
如图1所示,图1是本申请根据一示例性实施例示出的一种安全策略配置方法的流程图,该方法包括以下步骤:
步骤101、获取目标网络中满足设定条件的第一数据包的特征信息,特征信息用于指示第一数据包所使用的协议和/或第一数据包对应的待执行操作的特征。
例如,特征信息可以指示第一数据包所使用的传输层协议,可选地,特征信息还可以指示第一数据包对应的待执行操作的操作类型、操作值、操作时间、操作频率等。
步骤102、基于特征信息,从目标数据库中,确定特征信息对应的目标场景信息,目标数据库中包括多个场景信息以及各个场景信息对应的预设特征信息。
以目标网络为工控系统中的网络为例,该场景信息可以包括水务工控系统中的工控场景(如水务供水系统的加压场景)、交通工控系统中的工控场景(如城市交通信号灯场景)、燃气工控系统中的工控场景(如燃气供气系统的加压场景)等。
步骤103、基于目标场景信息对应的预设特征信息,生成目标网络的安全策略。
本申请所提供的安全策略配置方法,通过在获取到目标网络中满足设定条件的第一数据包的特征信息后,即基于特征信息,从包括多个场景信息以及各个场景信息对应的预设特征信息的目标数据库中,确定出特征信息对应的目标场景信息,即可得到目标网络所应用的场景,从而可以基于目标场景信息对应的预设特征信息,自动生成目标网络的安全策略,从而能够提高策略配置过程的效率,而且,所生成的安全策略与目标网络所应用的场景更加匹配,提高了策略配置过程的准确性。
在介绍了本申请的基本实现过程之后,下面具体介绍本申请的各种非限制性实施方式。
其中,目标数据库可以为预先构建好的数据库,以目标数据库用于存储常用工控系统中的场景信息以及对应的预设特征信息为例,该目标数据库中的场景信息可以包括水务供水系统的加压场景、水务供水系统的净化加药场景、燃气供气系统的加压场景,等等,各个场景信息在目标数据库中均对应有预设特征信息,预设特征信息可以包括预设协议信息、预设数据特征信息、预设组合特征信息、预设时间特征信息和预设频率特征信息。
对于任一场景信息,预设协议信息可以指示在该场景信息对应的场景中,目标网络允许使用的网络协议,预设数据特征信息可以指示在该场景信息对应的场景中,目标网络允许执行的操作所使用的操作值,预设组合特征信息用于指示在该场景信息对应的场景中,目标网络允许执行的操作的顺序和/或组合方式,预设时间特征信息可以指示在该场景信息对应的场景中,目标网络允许执行操作的时间,预设频率特征信息可以指示在该场景信息对应的场景中,目标网络允许执行操作的频率。
例如,对于预设协议信息,不同场景中所使用的常用协议可以包括Modbus协议、Siemens S7协议、DNP 3.0协议、Zigbee协议、IEC 104协议,等等。
对于预设数据特征信息,不同场景中所允许使用的操作值可能会有明显不同。例如,在城市交通信号灯场景中,允许使用的操作值只有0和1,而在燃气供气系统的加压场景中,允许使用的操作值不固定,仅需保证操作值位于一个设定的数值范围内即可。
对于预设组合特征信息,不同场景中所允许执行的操作的顺序和组合可以是不同的。例如,在城市交通信号灯场景中,按照红黄绿黄的操作地址顺序来进行数据写入;在燃气供气系统的加压场景中,按照写线圈→写寄存器的顺序来进行数据写入。
对于预设时间特征信息,不同场景中允许执行操作的时间可以是不同的。例如,部分场景在24小时内均允许执行操作,而在部分场景中,仅允许在每天的特定时间段内进行操作。
对于预设频率特征信息,不同场景中允许的操作频率可以是不同的。例如,在城市交通信号灯场景中,允许的操作频率是每分钟1到2次,而在燃气供气系统的加压场景中,允许的操作频率是每小时1到2次。
上述内容仅简单对各种预设特征信息进行介绍,下面以水务供水系统的净化加药场景为例,对水务供水系统的净化加药场景多对应的完整的预设特征信息进行介绍。
以目标数据库中所存储的水务供水系统的净化加药场景所对应的预设特征信息为例,预设协议信息可以包括Modbus协议,预设数据特征信息可以为每次写入的工控数据为预设范围内的值,且每次写入的工控数据相同,预设组合特征信息可以包括写线圈操作→写寄存器操作,预设时间特征信息可以为允许在6时至24时执行操作,预设频率特征信息可以为每小时允许进行3到4次操作。
可选地,对于目标数据库中所存储的任一场景信息,该场景信息对应的预设组合特征信息可以为空,表明该场景信息对应的操作无需限定操作顺序和/或组合方式;该场景信息对应的预设时间特征信息也可以为空,表明该场景信息对应的操作无需限定执行时间。
上述各个实施例仅介绍了目标数据库可以包括的场景信息以及各个示例性的场景信息对应的预设特征信息,下面对目标数据库的构建过程进行介绍。
在一种可能的实现方式中,相关技术人员可以对各个场景中允许使用的协议、允许执行的操作、允许使用的操作值、允许执行的操作的顺序和/或组合方式、允许执行操作的时间以及允许的操作频率进行调研,从而获取到各个场景中允许使用的协议、允许执行的操作、允许使用的操作值、允许执行的操作的顺序和/或组合方式、允许执行操作的时间以及允许的操作频率,进而将获取到的数据存储至网络设备所关联的目标数据库中。
需要说明的是,每个协议都对应有相应的待执行操作,因而在确定了各个场景中允许使用的协议后,即可确定出基于协议与待执行操作的对应关系,确定出相应的待执行操作。
以Modbus协议为例,Modbus协议对应的待执行操作,也即是Modbus协议下允许执行的操作可以参见下表1:
表1
以在目标数据库中添加水务供水系统的净化加药场景这种场景信息以及对应的预设特征信息为例,获取各种数据的过程如下:
一、调研某水务集团水务供水系统的过滤消毒工控系统,在进行净化加药时所使用的网络协议,并确定出该网络协议所对应的操作,作为水务供水系统的净化加药场景下允许使用的操作。
可选地,在确定所使用的网络协议时,可以基于过滤消毒工控系统所使用的控制器确定,不同的控制器可以对应于不同的网络协议。
例如,该过滤消毒工控系统所使用的控制器可以为施耐德控制器,则该过滤消毒工控系统所使用的网络协议,即为施耐德控制器所对应的网络协议,也即是Modbus协议,而Modbus协议所对应的操作可以参见上表1,此处不再赘述。
二、调研该水务集团水务供水系统的过滤消毒工控系统,在通过净化加药来进行过滤消毒的过程中,主要控制的是加药量,即每次过滤时,向过滤水池中投入净水药液,而每次投放的药量是相同的,相关技术人员即可将获取到的信息输入网络设备,以便网络设备可以基于相关技术人员所提供的信息,生成预设数据特征信息,也即是,每次投药时所对应的操作值(也即是药量)相同。
三、调研该水务集团水务供水系统的过滤消毒工控系统中所允许的操作的顺序和/或组合方式,可以发现过滤消毒的操作是存在顺序的,即在一次加药操作时,首先需要进行写线圈操作来打开阀门,随后通过写寄存器操作来控制阀门的开度,若不进行写线圈操作而直接进行写寄存器操作,则写寄存器操作是无效的。相关技术人员即可将获取到的操作顺序输入网络设备,以便网络设备可以基于相关技术人员所提供的操作顺序,生成预设组合特征信息,也即是,先进行写线圈操作再进行写寄存器操作。
四、调研该水务集团水务供水系统的过滤消毒工控系统在通过净化加药来进行过滤消毒的过程中的加药时间,发现过滤消毒工控系统仅会在用水高峰期6:00-24:00进行加药操作,而在其余时间处于停机状态,若在停机状态进行加药操作会导致系统损坏,相关技术人员即可将获取到的加药时间输入网络设备,以便网络设备可以基于相关技术人员所提供的加药时间,生成预设时间信息,也即是,允许在6时至24时进行加药操作。
五、调研该水务集团水务供水系统的过滤消毒工控系统在通过净化加药来进行过滤消毒的过程中的加药频率,发现加药操作是具有频率规律的,即每小时进行3到4次加药,若每小时加药的次数超过固有的频率规律,则有可能出现加药过多导致危险的情况,相关技术人员可以将获取到的加药频率输入网络设备,以便网络设备可以基于相关技术人员所提供的加药频率,生成预设频率信息,也即是,允许每小时进行3到4次加药操作。
上述过程仅以获取水务供水系统的净化加药场景对应的预设特征信息为例来进行说明,其他场景下的预设特征信息的获取过程与之同理,此处不再赘述。
从上述五个方面即可获取到水务供水系统的净化加药场景对应的预设特征信息,进而即可将获取到的预设特征信息及该场景信息对应存储至目标数据库中。
通过上述各个实施例,即可实现目标数据库中场景信息以及各个场景信息对应的预设特征信息的获取,以便后续在获取到数据包后,即可基于目标数据库中所存储的场景信息以及对应的预设特征信息,来确定数据包所处的场景,从而可以根据所处的场景来针对性地生成对应于该场景的安全策略。
下面对获取数据包,并基于获取到的数据包生成安全策略的过程进行说明。
在一些实施例中,在步骤101之前,该方法还可以包括以下步骤:
步骤100、获取目标网络在设定时间段内传输的第一数据包,得到目标网络中满足设定条件的第一数据包。
其中,满足设定条件的第一数据包也即是目标网络在设定时间段内传输的数据包。该设定时间段可以为任意时间段,例如,该设定时间段可以为目标网络投入使用后的七天内,可选地,设定时间段还可以为其他时间段。
在一种可能的实现方式中,在设定时间段内,若网络设备接收到待传输的第一数据包,则通过步骤101获取待传输的第一数据包的特征信息,并对第一数据包进行传输,而无需对第一数据包进行检测。
需要说明的是,数据包是通过报文来对要传输的信息进行承载的,而报文的不同字段,可以用于传输不同类型的信息。而对于采用不同的网络协议封装的数据包,同种类型的信息所处的字段可能不同,也即是,对于同种类型的信息,其在一种网络协议封装得到的数据包中位于报文的第二个字段处,而在另一种网络协议封装得到的数据包中位于报文的第五个字段处。
可选地,各种网络协议所对应的各个字段所存储的信息类型也可以存储在目标数据库中,以便网络设备在确定出数据包对应的网络协议后,即可确定该数据包所对应的报文的各个字段所承载的信息。
在一些实施例中,对于步骤101,在获取目标网络中满足设定条件的第一数据包的特征信息时,可以通过如下方式实现:
在一种可能的实现方式中,获取该第一数据包的协议信息,并基于该协议信息,从目标数据库中,获取该协议信息所对应的各个字段所存储的信息类型,从而可以基于获取到的各个字段所存储的信息类型,从相应字段处获取到对应的特征信息。
其中,该特征信息可以包括协议信息、数据特征信息、组合特征信息、时间特征信息和频率特征信息中的至少一项,协议信息用于指示第一数据包所使用的网络协议,数据特征信息用于指示第一数据包对应的待执行操作的操作值,组合特征信息用于指示第一数据包对应的待执行操作的顺序和/或组合方式,时间特征信息用于指示第一数据包对应的待执行操作的时间,频率特征信息用于指示第一数据包对应的待执行操作的频率。
在一些实施例中,在获取到第一数据包,并从第一数据包中获取到特征信息后,即可基于获取到的特征信息,来确定第一数据包对应的场景信息。
在一种可能的实现方式中,对于步骤102,在基于特征信息,从目标数据库中,确定特征信息对应的目标场景信息时,可以包括如下步骤:
步骤1021、从目标数据库中,确定所对应的预设特征信息与特征信息匹配的至少一个候选场景信息,以及各个候选场景信息所对应的匹配次数。
需要说明的是,由于特征信息可以包括多种类型的特征信息,因而,在进行特征信息和预设特征信息的匹配时,可以逐一对各种类型的特征信息进行匹配。也即是,该步骤1021可以包括下述至少一项:
对于特征信息所包括的协议信息,将目标数据库中与协议信息匹配的预设协议信息对应的场景信息,确定为候选场景信息,并确定候选场景信息对应的匹配次数;
对于特征信息所包括的数据特征信息,将目标数据库中与数据特征信息匹配的预设数据特征信息对应的场景信息,确定为候选场景信息,并确定候选场景信息对应的匹配次数;
对于特征信息所包括的组合特征信息,将目标数据库中与组合特征信息匹配的预设组合特征信息对应的场景信息,确定为候选场景信息,并确定候选场景信息对应的匹配次数;
对于特征信息所包括的时间特征信息,将目标数据库中与时间特征信息匹配的预设时间特征信息对应的场景信息,确定为候选场景信息,并确定候选场景信息对应的匹配次数;
对于特征信息所包括的频率特征信息,将目标数据库中与频率特征信息匹配的预设频率特征信息对应的场景信息,确定为候选场景信息,并确定候选场景信息对应的匹配次数。
例如,以确定出的第一数据包的特征信息包括协议信息、数据特征信息、组合特征信息、时间特征信息和频率特征信息为例,则在基于特征信息确定候选场景信息时,若基于协议信息,确定出目标数据库中与该协议信息匹配的预设协议信息对应的场景信息为水务供水系统的加压场景和水务供水系统的净化加药场景;基于数据特征信息,确定出目标数据库中与该数据特征信息匹配的预设数据特征信息对应的场景信息为水务供水系统的净化加药场景和燃气供气系统的加压场景;基于组合特征信息,确定出目标数据库中与该组合特征信息匹配的预设组合特征信息对应的场景信息为水务供水系统的净化加药场景和燃气供气系统的加压场景;基于时间特征信息,确定出目标数据库中与该时间特征信息匹配的预设时间特征信息对应的场景信息为水务供水系统的加压场景和燃气供气系统的加压场景;基于频率特征信息,确定出目标数据库中与该频率特征信息匹配的预设频率特征信息对应的场景信息为水务供水系统的净化加药场景和水务供水系统的加压场景,从而即可将水务供水系统的加压场景、水务供水系统的净化加药场景和燃气供气系统的加压场景,均确定为候选场景信息。其中,水务供水系统的加压场景对应的匹配次数为3,水务供水系统的净化加药场景对应的匹配次数为4,燃气供气系统的加压场景对应的匹配次数为3。
步骤1022、从至少一个候选场景信息中,确定匹配次数最大的候选场景信息,作为目标场景信息。
仍基于上述示例继续进行说明,在确定出水务供水系统的加压场景对应的匹配次数为3,水务供水系统的净化加药场景对应的匹配次数为4,燃气供气系统的加压场景对应的匹配次数为3后,即可将其中匹配次数最大的水务供水系统的净化加药场景,确定为目标场景信息。
需要说明的是,对于上述步骤100至步骤102,网络设备可以每获取到一个第一数据包,即通过步骤101至步骤102,来确定该第一数据包对应的目标场景信息。也即是,网络设备响应于获取到一个第一数据包,即通过步骤101至步骤102,来确定所获取到的数据包对应的目标场景信息,而在获取到另一个数据包后,会再次通过步骤101至步骤102,来确定新获取到的数据包对应的目标场景信息,从而得到设定时间段内传输的各个第一数据包对应的目标场景信息。
在一种可能情况下,设定时间段内所传输的各个第一数据包对应的目标场景信息可能不同,此时,可以基于各个目标场景信息对应的匹配次数,来确定目标网络所对应的目标场景信息。
例如,若在设定时间段内通过目标网络传输的第一数据包有20个,而基于这20个第一数据包,确定出的目标场景信息包括水务供水系统的净化加药场景和水务供水系统的加压场景,而水务供水系统的净化加药场景对应的匹配次数为14次,水务供水系统的加压场景对应的匹配次数为6次,从而即可将水务供水系统的净化加药场景确定为目标场景信息。
可选地,对于上述步骤100至步骤102,网络设备还可以先获取到在预设时间段内传输的所有第一数据包,从而基于所获取到的所有第一数据包,来进行特征信息的匹配,从而确定出目标网络对应的目标场景信息,具体实现方式可以参见上述各个实施例,此处不再赘述。
需要说明的是,在确定出目标场景信息后,即可基于目标数据库中所存储的目标场景信息对应的预设特征信息,来进行安全策略的生成。而由于目标场景信息所对应的预设特征信息是多种类型的,因而,在进行安全策略的生成时,可以逐一基于各种类型的预设特征信息,来生成相应的安全策略。也即是,对于步骤103,在基于目标场景信息对应的预设特征信息,生成目标网络的安全策略时,可以包括下述至少一项:
基于目标场景信息对应的预设数据特征信息,生成目标网络的第一安全策略,第一安全策略用于指示目标网络中允许执行的操作所使用的操作值;
基于目标场景信息对应的预设组合特征信息,生成目标网络的第二安全策略,第二安全策略用于指示目标网络中允许执行的操作的顺序和/或组合方式;
基于目标场景信息对应的预设时间特征信息,生成目标网络的第三安全策略,第三安全策略用于指示目标网络中允许执行操作的时间;
基于目标场景信息对应的预设频率特征信息,生成目标网络的第四安全策略,第四安全策略用于指示目标网络所允许的操作频率。
下面分别对各个安全策略的生成过程以及各个安全策略的内容进行介绍。
对于第一安全策略,该第一安全策略也可以称为数值范围策略,在一种可能的实现方式中,网络设备可以将目标场景信息所对应的预设数据特征信息所指示的操作值,确定为目标网络中允许使用的操作值,从而实现第一安全策略的生成。
例如,若目标场景信息对应的预设数据特征信息所指示的操作值为0和1,则网络设备可以将固定值0和固定值1确定为目标网络允许使用的操作值,从而实现第一安全策略的生成。又例如,若目标场景信息对应的预设数据特征信息所指示的操作值为0到1之间任意取值,则网络设备可以将目标网络允许使用的操作值确定为取值位于0到1之间任意值,从而实现第一安全策略的生成。又例如,若目标场景信息对应的预设数据特征信息所指示的操作值为任意取值,则网络设备可以将目标网络允许使用的操作值确定为任意值,从而实现第一安全策略的生成。
对于第二安全策略,该第二安全策略也可以称为顺序策略或组合策略,在一种可能的实现方式中,网络设备可以将目标场景信息所对应的预设组合特征信息所指示的操作顺序和/或组合方式,确定为目标网络中允许执行的操作的顺序和/或组合方式,从而实现第二安全策略的生成。
可选地,若在目标数据库中,目标场景信息对应的预设组合特征信息为空,则无需生成该第二安全策略,也即是,无需限定目标场景信息中操作对应的执行顺序和/或组合方式。
对于第三安全策略,该第三安全策略也可以称为时间策略,在一种可能的实现方式中,网络设备可以将目标场景信息所对应的预设时间特征信息所指示的时间,确定为目标网络中允许执行操作的时间,从而实现第三安全策略的生成。
可选地,若在目标数据库中,目标场景信息对应的预设时间特征信息为空,则无需生成第三安全策略,也即是,无需限定目标场景信息中操作的执行时间。
对于第四安全策略,该第四安全策略也可以称为频率策略,在一种可能的实现方式中,网络设备可以将目标场景信息所对应的预设频率特征信息所指示的频率,确定为目标网络中允许的操作频率,从而实现第四安全策略的生成。
例如,若目标场景信息对应的预设频率特征信息所指示的操作频率为每小时3到4次,则网络设备可以将每小时3到4次确定为目标网络允许的操作频率,从而实现第四安全策略的生成。
上述过程是以基于第一数据包的特征信息,来生成安全策略为例来进行说明的,在更多可能的实现方式中,还可以结合第一数据包的传输层信息和/或应用层信息,来配置安全策略。
也即是,在获取到第一数据包后,该方法还可以包括下述至少一项:
获取目标网络中满足设定条件的第一数据包的传输层信息,传输层信息用于指示第一数据包所对应的地址信息和/或传输层协议;
获取目标网络中满足设定条件的第一数据包的应用层信息,应用层信息用于指示第一数据包所对应的操作类型和/或操作地址。
其中,传输层信息可以包括五元组信息和/或虚拟局域网(Virtual Local AreaNetwork,VLAN)信息。五元组信息可以包括源网际协议(Internet Protocol,IP)地址、源端口、目的IP地址、目的端口和传输层协议,五元组信息所包括的源IP地址、源端口、目标IP地址和目的端口即可指示第一数据包的地址信息,五元组信息所包括的传输层信息即可指示第一数据包的传输层信息。虚拟局域网(Virtual Local Area Network,VLAN)信息可以包括网络地址、端口地址等,VLAN信息所包括的网络地址、端口地址即可指示第一数据包的地址信息。
应用层信息可以包括工控功能码、工控操作地址等,工控功能码可以用于指示第一数据包的操作类型,工控操作地址可以用于指示第一数据包的操作地址。
其中,工控系统中的指令可以对应于工控功能码,从而可以通过工控功能码来指示指令对应的操作,以Modbus协议所包括的工控功能码为例,工控功能码及其所指示的指令对应的操作可以如下:
功能码01:读取线圈(输出)状态,例如,读取一组逻辑线圈的当前状态(ON/OFF);
功能码02:读取输入状态,例如,读取一组开关输入的当前状态(ON/OFF);
功能码03:读取保持寄存器,例如,在一个或多个保持寄存器中读取当前二进制值;
功能码04:读取输入寄存器,例如,在一个或多个输入寄存器中读取当前二进制值;
功能码05:强制(写)单线圈(输出)状态,例如,强制(写)一个逻辑线圈通断状态(ON/OFF);
功能码06:强制(写)单寄存器,例如,把二进制值写入一个保持寄存器;
功能码16:强制(写)多寄存器,例如,把二进制值写入一串连续的保持寄存器。
其中,工控操作地址可以为统一资源定位符(Uniform Resource Locator,URL),可选地,工控操作地址还可以为其他类型的地址,本申请对此不加以限定。
在一些实施例中,在获取到第一数据包的传输层信息和/或应用层信息后,即可基于获取到的传输层信息和/或应用层信息,来进行安全策略的生成。此外,还可以基于目标网络在预设时长所传输的第一数据包的数量,来进行安全策略的生成。
也即是,该方法在生成安全策略时,还包括下述至少一项:
基于传输层信息,生成目标网络的传输层安全策略,传输层策略用于指示目标网络允许传输的数据包所对应的地址信息和/或传输层协议;
基于应用层信息,生成目标网络的应用层安全策略,应用层策略用于指示目标网络允许传输的数据包所对应的操作类型和/或操作地址;
基于在设定时长内通过目标网络所传输的数据包的数量,生成目标网络的抗攻击策略,抗攻击策略用于指示目标网络在设定时长内允许传输的数据包的数量阈值。
例如,在生成目标网络的传输层安全策略时,若所获取到的第一数据包的传输层信息为五元组信息,则可以将各个第一数据包的五元组信息所包括源IP地址,确定为目标网络允许传输的数据包的源IP地址;将各个第一数据包的五元组信息所包括的源端口,确定为目标网络允许传输的数据包的源端口;将各个第一数据包的五元组信息所包括的目的IP地址,确定为目标网络允许传输的数据包的目的IP地址;将各个第一数据包的五元组信息所包括的目的端口,确定为目标网络允许传输的数据包的目的端口;将各个第一数据包的五元组信息所包括的传输层协议,确定为目标网络允许传输的数据包的传输层协议,从而实现传输层安全策略的生成。
在生成目标网络的应用层安全策略时,若所获取到的第一数据包的应用层信息为工控功能码,则可以将各个第一数据包所对应的工控功能码所指示的工控操作的操作类型,确定为目标网络允许传输的数据包所对应的操作类型,从而实现应用层策略的生成。
在生成目标网络的抗攻击策略时,可以将目标网络在多个设定时长内所传输的第一数据包的数量均值,确定为目标网络在设定时长内允许传输的数据包的数量阈值,从而实现抗攻击策略的生成。
可选地,设定时长可以为任意时长,本申请对此不加以限定。以设定时长为5分钟为例,可以获取目标网络在连续的多个5分钟时间内所传输的第一数据包的数量,例如,目标网络在10:00-10:05传输了20个数据包,在10:05-10:10传输了22个数据包,在10:10-10:15传输了19个数据包,在10:15-10:20传输了18个数据包,在10:20-10:25传输了21个数据包,在10:25-10:30传输了20个个数据包,则可以确定在各个5分钟的时间内传输的第一数据包的数量均值,也即是20个,确定为目标网络在设定时长(也即是5分钟)内允许传输的数据包的数量阈值。
需要说明的是,通过在基于特征信息生成安全策略时,还可以生成传输层安全策略、应用层安全策略和抗攻击安全策略中的至少一项,可以进一步保证目标网络的安全性。
上述各个实施例所生成的安全策略可以参见下表2,其中,基于第一数据包的特征信息所生成的安全策略为场景策略,基于传输层信息、应用层信息以及目标网络在预设时长所传输的第一数据包的数量所生成的安全策略为传统策略。
表2
其中,五元组访问控制列表(Access Control Lists,ACL)策略也即是基于第一数据包的五元组信息所生成的传输层安全策略,VLAN策略也即是基于第一数据包的VLAN信息所生成的传输层安全策略。
TCP SYN阈值也即是基于传输控制协议(Transmission Control Protocol,TCP)的同步序列编号(Synchronize Sequence Numbers,SYN)数据包对应的数量阈值,UDP阈值也即是基于用户数据包协议(User Datagram Protocol,UDP)的数据包对应的数量阈值,ARP阈值也即是基于地址解析协议(Address Resolution Protocol,ARP)的数据包对应的数量阈值。
在一些实施例中,在通过上述实施例生成安全策略后,即可基于所生成的安全策略,来对通过目标网络传输的第二数据包进行检测。
在一种可能的实现方式中,响应于在目标网络中获取到待传输的第二数据包,在第二数据包不满足安全策略的情况下,阻断第二数据包的传输。
在另一种可能的实现方式中,响应于在目标网络中获取到待传输的第二数据包,在第二数据包满足安全策略的情况下,通过目标网络对第二数据包进行传输。
上述实施例通过在生成安全策略后,基于所生成的安全策略来进行数据包检测,从而可以阻断不满足安全策略的数据包的传输,而对满足安全策略的数据包,正常进行传输,从而可以包括所传输的数据包的安全性和合法性,进而提高目标网络的安全性。
与前述方法的实施例相对应,本申请还提供了相应的安全策略配置装置及其所应用的网络设备的实施例。
如图2所示,图2是本申请根据一示例性实施例示出的一种安全策略配置装置的框图,该装置包括:
获取模块201,用于获取目标网络中满足设定条件的第一数据包的特征信息,特征信息用于指示第一数据包所使用的协议和/或第一数据包对应的待执行操作的特征;
确定模块202,用于基于特征信息,从目标数据库中,确定特征信息对应的目标场景信息,目标数据库中包括多个场景信息以及各个场景信息对应的预设特征信息;
生成模块203,用于基于目标场景信息对应的预设特征信息,生成目标网络的安全策略。
在本申请的一些实施例中,该确定模块202,在用于基于特征信息,从目标数据库中,确定特征信息对应的目标场景信息时,包括第一确定单元和第二确定单元;
该第一确定单元,用于从目标数据库中,确定所对应的预设特征信息与特征信息匹配的至少一个候选场景信息,以及各个候选场景信息所对应的匹配次数;
该第二确定单元,用于从至少一个候选场景信息中,确定匹配次数最大的候选场景信息,作为目标场景信息。
在本申请的一些实施例中,特征信息包括协议信息、数据特征信息、组合特征信息、时间特征信息和频率特征信息中的至少一项,协议信息用于指示第一数据包所使用的网络协议,数据特征信息用于指示第一数据包对应的待执行操作的操作值,组合特征信息用于指示第一数据包对应的待执行操作的顺序和/或组合方式,时间特征信息用于指示第一数据包对应的待执行操作的时间,频率特征信息用于指示第一数据包对应的待执行操作的频率。
在本申请的一些实施例中,该第一确定单元,在用于从目标数据库中,确定所对应的预设特征信息与特征信息匹配的至少一个候选场景信息,以及各个候选场景信息所对应的匹配次数时,用于下述至少一项:
对于特征信息所包括的协议信息,将目标数据库中与协议信息匹配的预设协议信息对应的场景信息,确定为候选场景信息,并确定候选场景信息对应的匹配次数;
对于特征信息所包括的数据特征信息,将目标数据库中与数据特征信息匹配的预设数据特征信息对应的场景信息,确定为候选场景信息,并确定候选场景信息对应的匹配次数;
对于特征信息所包括的组合特征信息,将目标数据库中与组合特征信息匹配的预设组合特征信息对应的场景信息,确定为候选场景信息,并确定候选场景信息对应的匹配次数;
对于特征信息所包括的时间特征信息,将目标数据库中与时间特征信息匹配的预设时间特征信息对应的场景信息,确定为候选场景信息,并确定候选场景信息对应的匹配次数;
对于特征信息所包括的频率特征信息,将目标数据库中与频率特征信息匹配的预设频率特征信息对应的场景信息,确定为候选场景信息,并确定候选场景信息对应的匹配次数。
在本申请的一些实施例中,该生成模块203,在用于基于目标场景信息对应的预设特征信息,生成目标网络的安全策略时,用于下述至少一项:
基于目标场景信息对应的预设数据特征信息,生成目标网络的第一安全策略,第一安全策略用于指示目标网络中允许执行的操作所使用的操作值;
基于目标场景信息对应的预设组合特征信息,生成目标网络的第二安全策略,第二安全策略用于指示目标网络中允许执行的操作的顺序和/或组合方式;
基于目标场景信息对应的预设时间特征信息,生成目标网络的第三安全策略,第三安全策略用于指示目标网络中允许执行操作的时间;
基于目标场景信息对应的预设频率特征信息,生成目标网络的第四安全策略,第四安全策略用于指示目标网络所允许的操作频率。
在本申请的一些实施例中,该获取模块201,还用于获取目标网络在设定时间段内传输的第一数据包,得到目标网络中满足设定条件的第一数据包。
在本申请的一些实施例中,该获取模块201,还用于获取目标网络中满足设定条件的第一数据包的传输层信息,传输层信息用于指示第一数据包所对应的地址信息和/或传输层协议;
该获取模块201,还用于获取目标网络中满足设定条件的第一数据包的应用层信息,应用层信息用于指示第一数据包所对应的操作类型和/或操作地址。
在本申请的一些实施例中,该生成模块203,还用于基于传输层信息,生成目标网络的传输层安全策略,传输层策略用于指示目标网络允许传输的数据包所对应的地址信息和/或传输层协议;
该生成模块203,还用于基于应用层信息,生成目标网络的应用层安全策略,应用层策略用于指示目标网络允许传输的数据包所对应的操作类型和/或操作地址;
该生成模块203,还用于基于在设定时长内通过目标网络所传输的数据包的数量,生成目标网络的抗攻击策略,抗攻击策略用于指示目标网络在设定时长内允许传输的数据包的数量阈值。
在本申请的一些实施例中,该装置还包括:
阻断模块,用于响应于在目标网络中获取到待传输的第二数据包,在第二数据包不满足安全策略的情况下,阻断第二数据包的传输;
传输模块,用于响应于在目标网络中获取到待传输的第二数据包,在第二数据包满足安全策略的情况下,通过目标网络对第二数据包进行传输。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本说明书方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
本申请还提供了一种网络设备,参见图3,图3是本说明书根据一示例性实施例示出的一种计算设备的结构示意图。如图3所示,计算设备包括处理器310、存储器320和网络接口330,存储器320用于存储可在处理器310上运行的计算机指令,处理器310用于在执行所述计算机指令时实现本申请任一实施例所提供的安全策略配置方法,网络接口330用于实现输入输出功能。在更多可能的实现方式中,计算设备还可以包括其他硬件,本申请对此不做限定。
本申请还提供了一种计算机可读存储介质,计算机可读存储介质可以是多种形式,比如,在不同的例子中,计算机可读存储介质可以是:RAM(Radom Access Memory,随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、DVD等),或者类似的存储介质,或者它们的组合。特殊的,计算机可读介质还可以是纸张或者其他合适的能够打印程序的介质。计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现本申请任一实施例所提供的安全策略配置方法。
本申请还提供了一种计算机程序产品,包括计算机程序,计算机程序被处理器执行时实现本申请任一实施例所提供的安全策略配置方法。
本领域技术人员应明白,本说明书一个或多个实施例可提供为方法、装置、网络设备、计算机可读存储介质或计算机程序产品。因此,本说明书一个或多个实施例可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本说明书一个或多个实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于网络设备所对应的实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
上述对本说明书特定实施例进行了描述。其它实施例在本申请的范围内。在一些情况下,在本申请中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
本说明书中描述的主题及功能操作的实施例可以在以下中实现:数字电子电路、有形体现的计算机软件或固件、包括本说明书中公开的结构及其结构性等同物的计算机硬件、或者它们中的一个或多个的组合。本说明书中描述的主题的实施例可以实现为一个或多个计算机程序,即编码在有形非暂时性程序载体上以被数据处理装置执行或控制数据处理装置的操作的计算机程序指令中的一个或多个模块。可替代地或附加地,程序指令可以被编码在人工生成的传播信号上,例如机器生成的电、光或电磁信号,该信号被生成以将信息编码并传输到合适的接收机装置以由安全策略配置装置执行。计算机存储介质可以是机器可读存储设备、机器可读存储基板、随机或串行存取存储器设备、或它们中的一个或多个的组合。
本说明书中描述的处理及逻辑流程可以由执行一个或多个计算机程序的一个或多个可编程计算机执行,以通过根据输入数据进行操作并生成输出来执行相应的功能。所述处理及逻辑流程还可以由专用逻辑电路—例如FPGA(现场可编程门阵列)或ASIC(专用集成电路)来执行,并且装置也可以实现为专用逻辑电路。
适合用于执行计算机程序的计算机包括,例如通用和/或专用微处理器,或任何其他类型的中央处理单元。通常,中央处理单元将从只读存储器和/或随机存取存储器接收指令和数据。计算机的基本组件包括用于实施或执行指令的中央处理单元以及用于存储指令和数据的一个或多个存储器设备。通常,计算机还将包括用于存储数据的一个或多个大容量存储设备,例如磁盘、磁光盘或光盘等,或者计算机将可操作地与此大容量存储设备耦接以从其接收数据或向其传送数据,抑或两种情况兼而有之。然而,计算机不是必须具有这样的设备。此外,计算机可以嵌入在另一设备中,例如移动电话、个人数字助理(PDA)、移动音频或视频播放器、游戏操纵台、全球定位系统(GPS)接收机、或例如通用串行总线(USB)闪存驱动器的便携式存储设备,仅举几例。
适合于存储计算机程序指令和数据的计算机可读介质包括所有形式的非易失性存储器、媒介和存储器设备,例如包括半导体存储器设备(例如EPROM、EEPROM和闪存设备)、磁盘(例如内部硬盘或可移动盘)、磁光盘以及CD ROM和DVD-ROM盘。处理器和存储器可由专用逻辑电路补充或并入专用逻辑电路中。
虽然本说明书包含许多具体实施细节,但是这些不应被解释为限制任何发明的范围或所要求保护的范围,而是主要用于描述特定发明的具体实施例的特征。本说明书内在多个实施例中描述的某些特征也可以在单个实施例中被组合实施。另一方面,在单个实施例中描述的各种特征也可以在多个实施例中分开实施或以任何合适的子组合来实施。此外,虽然特征可以如上所述在某些组合中起作用并且甚至最初如此要求保护,但是来自所要求保护的组合中的一个或多个特征在一些情况下可以从该组合中去除,并且所要求保护的组合可以指向子组合或子组合的变型。
类似地,虽然在附图中以特定顺序描绘了操作,但是这不应被理解为要求这些操作以所示的特定顺序执行或顺次执行、或者要求所有例示的操作被执行,以实现期望的结果。在某些情况下,多任务和并行处理可能是有利的。此外,上述实施例中的各种系统模块和组件的分离不应被理解为在所有实施例中均需要这样的分离,并且应当理解,所描述的程序组件和系统通常可以一起集成在单个软件产品中,或者封装成多个软件产品。
由此,主题的特定实施例已被描述。其他实施例在本申请的范围以内。在某些情况下,本申请中记载的动作可以以不同的顺序执行并且仍实现期望的结果。此外,附图中描绘的处理并非必需所示的特定顺序或顺次顺序,以实现期望的结果。在某些实现中,多任务和并行处理可能是有利的。
本领域技术人员在考虑说明书及实践这里申请的发明后,将容易想到本说明书的其它实施方案。本说明书旨在涵盖本说明书的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本说明书的一般性原理并包括本说明书未申请的本技术领域中的公知常识或惯用技术手段。也即是,本说明书并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。
以上所述仅为本说明书的可选实施例而已,并不用以限制本说明书,凡在本说明书的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本说明书保护的范围之内。
Claims (12)
1.一种安全策略配置方法,其特征在于,所述方法包括:
获取目标网络中满足设定条件的第一数据包的特征信息,所述特征信息用于指示所述第一数据包所使用的协议和/或所述第一数据包对应的待执行操作的特征;
基于所述特征信息,从目标数据库中,确定所述特征信息对应的目标场景信息,所述目标数据库中包括多个场景信息以及各个场景信息对应的预设特征信息;
基于所述目标场景信息对应的预设特征信息,生成所述目标网络的安全策略。
2.根据权利要求1所述的方法,其特征在于,所述基于所述特征信息,从目标数据库中,确定所述特征信息对应的目标场景信息,包括:
从所述目标数据库中,确定所对应的预设特征信息与所述特征信息匹配的至少一个候选场景信息,以及各个候选场景信息所对应的匹配次数;
从所述至少一个候选场景信息中,确定匹配次数最大的候选场景信息,作为所述目标场景信息。
3.根据权利要求1或2所述的方法,其特征在于,所述特征信息包括协议信息、数据特征信息、组合特征信息、时间特征信息和频率特征信息中的至少一项,所述协议信息用于指示所述第一数据包所使用的网络协议,所述数据特征信息用于指示所述第一数据包对应的待执行操作的操作值,所述组合特征信息用于指示所述第一数据包对应的待执行操作的顺序和/或组合方式,所述时间特征信息用于指示所述第一数据包对应的待执行操作的时间,所述频率特征信息用于指示所述第一数据包对应的待执行操作的频率。
4.根据权利要求3所述的方法,其特征在于,所述从所述目标数据库中,确定所对应的预设特征信息与所述特征信息匹配的至少一个候选场景信息,以及各个候选场景信息所对应的匹配次数,包括下述至少一项:
对于所述特征信息所包括的协议信息,将所述目标数据库中与所述协议信息匹配的预设协议信息对应的场景信息,确定为所述候选场景信息,并确定所述候选场景信息对应的匹配次数;
对于所述特征信息所包括的数据特征信息,将所述目标数据库中与所述数据特征信息匹配的预设数据特征信息对应的场景信息,确定为所述候选场景信息,并确定所述候选场景信息对应的匹配次数;
对于所述特征信息所包括的组合特征信息,将所述目标数据库中与所述组合特征信息匹配的预设组合特征信息对应的场景信息,确定为所述候选场景信息,并确定所述候选场景信息对应的匹配次数;
对于所述特征信息所包括的时间特征信息,将所述目标数据库中与所述时间特征信息匹配的预设时间特征信息对应的场景信息,确定为所述候选场景信息,并确定所述候选场景信息对应的匹配次数;
对于所述特征信息所包括的频率特征信息,将所述目标数据库中与所述频率特征信息匹配的预设频率特征信息对应的场景信息,确定为所述候选场景信息,并确定所述候选场景信息对应的匹配次数。
5.根据权利要求3所述的方法,其特征在于,所述基于所述目标场景信息对应的预设特征信息,生成所述目标网络的安全策略,包括下述至少一项:
基于所述目标场景信息对应的预设数据特征信息,生成所述目标网络的第一安全策略,所述第一安全策略用于指示所述目标网络中允许执行的操作所使用的操作值;
基于所述目标场景信息对应的预设组合特征信息,生成所述目标网络的第二安全策略,所述第二安全策略用于指示所述目标网络中允许执行的操作的顺序和/或组合方式;
基于所述目标场景信息对应的预设时间特征信息,生成所述目标网络的第三安全策略,所述第三安全策略用于指示所述目标网络中允许执行操作的时间;
基于所述目标场景信息对应的预设频率特征信息,生成所述目标网络的第四安全策略,所述第四安全策略用于指示所述目标网络所允许的操作频率。
6.根据权利要求1所述的方法,其特征在于,所述获取目标网络中满足设定条件的第一数据包的特征信息之前,所述方法还包括:
获取所述目标网络在设定时间段内传输的第一数据包,得到所述目标网络中满足设定条件的第一数据包。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括下述至少一项:
获取所述目标网络中满足设定条件的第一数据包的传输层信息,所述传输层信息用于指示所述第一数据包所对应的地址信息和/或传输层协议;
获取所述目标网络中满足设定条件的第一数据包的应用层信息,所述应用层信息用于指示所述第一数据包所对应的操作类型和/或操作地址。
8.根据权利要求7所述的方法,其特征在于,所述方法还包括下述至少一项:
基于所述传输层信息,生成所述目标网络的传输层安全策略,所述传输层策略用于指示所述目标网络允许传输的数据包所对应的地址信息和/或传输层协议;
基于所述应用层信息,生成所述目标网络的应用层安全策略,所述应用层策略用于指示所述目标网络允许传输的数据包所对应的操作类型和/或操作地址;
基于在设定时长内通过所述目标网络所传输的数据包的数量,生成所述目标网络的抗攻击策略,所述抗攻击策略用于指示所述目标网络在设定时长内允许传输的数据包的数量阈值。
9.根据权利要求1所述的方法,其特征在于,所述基于所述目标场景信息对应的预设特征信息,生成所述目标网络的安全策略之后,所述方法还包括下述任一项:
响应于在目标网络中获取到待传输的第二数据包,在所述第二数据包不满足所述安全策略的情况下,阻断所述第二数据包的传输;
响应于在目标网络中获取到待传输的第二数据包,在所述第二数据包满足所述安全策略的情况下,通过所述目标网络对所述第二数据包进行传输。
10.一种安全策略配置装置,其特征在于,所述装置包括:
获取模块,用于获取目标网络中满足设定条件的第一数据包的特征信息,所述特征信息用于指示所述第一数据包所使用的协议和/或所述第一数据包对应的待执行操作的特征;
确定模块,用于基于所述特征信息,从目标数据库中,确定所述特征信息对应的目标场景信息,所述目标数据库中包括多个场景信息以及各个场景信息对应的预设特征信息;
生成模块,用于基于所述目标场景信息对应的预设特征信息,生成所述目标网络的安全策略。
11.一种网络设备,其特征在于,所述网络设备包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其中,所述处理器执行所述程序时实现如权利要求1至9中任一项所述的安全策略配置方法所执行的操作。
12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有程序,所述程序被处理器执行如权利要求1至9中任一项所述的安全策略配置方法所执行的操作。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210024680.5A CN114050942B (zh) | 2022-01-11 | 2022-01-11 | 安全策略配置方法、装置、网络设备及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210024680.5A CN114050942B (zh) | 2022-01-11 | 2022-01-11 | 安全策略配置方法、装置、网络设备及介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114050942A true CN114050942A (zh) | 2022-02-15 |
CN114050942B CN114050942B (zh) | 2022-04-26 |
Family
ID=80196197
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210024680.5A Active CN114050942B (zh) | 2022-01-11 | 2022-01-11 | 安全策略配置方法、装置、网络设备及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114050942B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115632995A (zh) * | 2022-12-19 | 2023-01-20 | 北京安帝科技有限公司 | 用于工控网络的数据特征提取方法、设备与计算机介质 |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080109470A1 (en) * | 2003-09-11 | 2008-05-08 | Mcgee Steven James | Method to enable the heartbeat beacon for homeland security and homeland defense interoperability |
US20170277142A1 (en) * | 2016-03-24 | 2017-09-28 | Honeywell International Inc. | Process control system performance analysis using scenario data |
CN107222496A (zh) * | 2017-06-29 | 2017-09-29 | 北京东土军悦科技有限公司 | 基于现场层设备的报文的安全策略匹配方法和现场层设备 |
CN110809004A (zh) * | 2019-11-12 | 2020-02-18 | 成都知道创宇信息技术有限公司 | 一种安全防护方法、装置、电子设备及存储介质 |
CN110880983A (zh) * | 2019-08-14 | 2020-03-13 | 奇安信科技集团股份有限公司 | 基于场景的渗透测试方法及装置、存储介质、电子装置 |
CN111181964A (zh) * | 2019-12-30 | 2020-05-19 | 北京天融信网络安全技术有限公司 | 安全策略匹配方法、装置及网络设备、存储介质 |
CN111786832A (zh) * | 2020-07-01 | 2020-10-16 | 哈尔滨工业大学(威海) | 一种攻防平台与多种工控场景互联的方法与装置 |
CN112131050A (zh) * | 2020-09-29 | 2020-12-25 | 中国建设银行股份有限公司 | 一种灾备切换方法、装置、存储介质及计算机设备 |
CN112738063A (zh) * | 2020-12-25 | 2021-04-30 | 山东钢铁集团日照有限公司 | 一种工业控制系统网络安全监测平台 |
US20210320943A1 (en) * | 2020-04-09 | 2021-10-14 | Arbor Networks, Inc. | Detecting over-mitigation of network traffic by a network security element |
CN113783662A (zh) * | 2021-11-12 | 2021-12-10 | 中国信息通信研究院 | 自适应数据传输方法、装置、计算机设备及可读存储介质 |
-
2022
- 2022-01-11 CN CN202210024680.5A patent/CN114050942B/zh active Active
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080109470A1 (en) * | 2003-09-11 | 2008-05-08 | Mcgee Steven James | Method to enable the heartbeat beacon for homeland security and homeland defense interoperability |
US20170277142A1 (en) * | 2016-03-24 | 2017-09-28 | Honeywell International Inc. | Process control system performance analysis using scenario data |
CN107222496A (zh) * | 2017-06-29 | 2017-09-29 | 北京东土军悦科技有限公司 | 基于现场层设备的报文的安全策略匹配方法和现场层设备 |
CN110880983A (zh) * | 2019-08-14 | 2020-03-13 | 奇安信科技集团股份有限公司 | 基于场景的渗透测试方法及装置、存储介质、电子装置 |
CN110809004A (zh) * | 2019-11-12 | 2020-02-18 | 成都知道创宇信息技术有限公司 | 一种安全防护方法、装置、电子设备及存储介质 |
CN111181964A (zh) * | 2019-12-30 | 2020-05-19 | 北京天融信网络安全技术有限公司 | 安全策略匹配方法、装置及网络设备、存储介质 |
US20210320943A1 (en) * | 2020-04-09 | 2021-10-14 | Arbor Networks, Inc. | Detecting over-mitigation of network traffic by a network security element |
CN111786832A (zh) * | 2020-07-01 | 2020-10-16 | 哈尔滨工业大学(威海) | 一种攻防平台与多种工控场景互联的方法与装置 |
CN112131050A (zh) * | 2020-09-29 | 2020-12-25 | 中国建设银行股份有限公司 | 一种灾备切换方法、装置、存储介质及计算机设备 |
CN112738063A (zh) * | 2020-12-25 | 2021-04-30 | 山东钢铁集团日照有限公司 | 一种工业控制系统网络安全监测平台 |
CN113783662A (zh) * | 2021-11-12 | 2021-12-10 | 中国信息通信研究院 | 自适应数据传输方法、装置、计算机设备及可读存储介质 |
Non-Patent Citations (2)
Title |
---|
王申雯: "面向工控网与业务网信息交互的访问控制技术研究", 《中国优秀硕士学位论文全文数据库》 * |
闫飞: "工业控制系统终端设备信息安全防护体系研究", 《仪器仪表用户》 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115632995A (zh) * | 2022-12-19 | 2023-01-20 | 北京安帝科技有限公司 | 用于工控网络的数据特征提取方法、设备与计算机介质 |
CN115632995B (zh) * | 2022-12-19 | 2023-03-17 | 北京安帝科技有限公司 | 用于工控网络的数据特征提取方法、设备与计算机介质 |
Also Published As
Publication number | Publication date |
---|---|
CN114050942B (zh) | 2022-04-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109936640A (zh) | 从节点设备的地址分配方法和装置 | |
KR101424411B1 (ko) | 로케이션 기반 서비스들에서 로케이션 프라이버시를 위한 더미 정보 | |
CN104734964B (zh) | 报文处理方法、节点及系统 | |
CN102577275B (zh) | 中继控制设备、中继控制系统、中继控制方法 | |
CN109379375B (zh) | 访问控制规则的获取方法、装置及网络设备 | |
CN112272179B (zh) | 一种网络安全处理方法、装置、设备及机器可读存储介质 | |
CN114050942B (zh) | 安全策略配置方法、装置、网络设备及介质 | |
CN105871811B (zh) | 控制应用程序权限的方法及控制器 | |
CN111431800B (zh) | 一种建立路径的方法、装置、设备及机器可读存储介质 | |
CN101710856B (zh) | 一种聚合链路的环回检测处理方法及设备 | |
CN104539408A (zh) | 具有报文多级滤清及业务分类控制的冗余工业以太网系统 | |
CN102833263A (zh) | 入侵检测和防护的方法及设备 | |
CN112769738B (zh) | DetNet数据包处理方法及装置 | |
CN111064750A (zh) | 一种数据中心的网络报文控制方法和装置 | |
CN107534609B (zh) | 用于服务功能链的方法、装置及存储介质 | |
CN105279073A (zh) | 线上系统性能测试方法及装置 | |
CN115280745A (zh) | 随流检测方法和电子设备 | |
JP2006332949A (ja) | 通信制御方法および通信制御装置 | |
CN116886328A (zh) | 数据安全的检测方法、检测装置和plc系统 | |
CN113179252B (zh) | 一种安全策略管理方法、装置、设备及机器可读存储介质 | |
CN110768934A (zh) | 网络访问规则的检查方法和装置 | |
CN104239028B (zh) | 信息处理设备,信息处理方法和程序 | |
CN116633955A (zh) | 通信方法、装置、车辆、介质及设备 | |
CN106612266B (zh) | 网络转发方法及设备 | |
US20130133060A1 (en) | Communication system, control device and control program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |