CN114143096A - 安全策略配置方法、装置、设备、存储介质及程序产品 - Google Patents
安全策略配置方法、装置、设备、存储介质及程序产品 Download PDFInfo
- Publication number
- CN114143096A CN114143096A CN202111460825.8A CN202111460825A CN114143096A CN 114143096 A CN114143096 A CN 114143096A CN 202111460825 A CN202111460825 A CN 202111460825A CN 114143096 A CN114143096 A CN 114143096A
- Authority
- CN
- China
- Prior art keywords
- attacker
- target object
- attack
- alarm log
- security policy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 43
- 230000002452 interceptive effect Effects 0.000 claims abstract description 5
- 230000006399 behavior Effects 0.000 claims description 53
- 238000004458 analytical method Methods 0.000 claims description 18
- 238000004590 computer program Methods 0.000 claims description 6
- 238000010801 machine learning Methods 0.000 claims description 6
- 238000000605 extraction Methods 0.000 claims description 5
- 238000001914 filtration Methods 0.000 claims description 4
- 230000005012 migration Effects 0.000 claims description 4
- 238000013508 migration Methods 0.000 claims description 4
- 238000012549 training Methods 0.000 claims description 4
- 230000003542 behavioural effect Effects 0.000 claims description 3
- 230000007547 defect Effects 0.000 abstract description 5
- 238000005516 engineering process Methods 0.000 description 14
- 238000010586 diagram Methods 0.000 description 12
- 230000003993 interaction Effects 0.000 description 6
- 230000006870 function Effects 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 230000007123 defense Effects 0.000 description 4
- 238000001514 detection method Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 230000004044 response Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 3
- 230000006698 induction Effects 0.000 description 2
- 238000003672 processing method Methods 0.000 description 2
- 102100026278 Cysteine sulfinic acid decarboxylase Human genes 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000013145 classification model Methods 0.000 description 1
- 238000003066 decision tree Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000003062 neural network model Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 239000003208 petroleum Substances 0.000 description 1
- 239000002243 precursor Substances 0.000 description 1
- 108010064775 protein C activator peptide Proteins 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000012706 support-vector machine Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Medical Informatics (AREA)
- Evolutionary Computation (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Mathematical Physics (AREA)
- Artificial Intelligence (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本公开实施例公开了一种安全策略配置方法、装置、设备、存储介质及程序产品,所述方法包括:获取攻击者与陷阱主机在预设时间段内交互的流量数据;从所述流量数据中提取攻击者的行为特征;根据所述行为特征确定攻击者的攻击目标转移至目标对象的概率;在所述概率大于阈值的情况下,将预设时间段后攻击者的攻击流量迁移到指定蜜罐中;其中,所述指定蜜罐的类型根据所述目标对象确定;分析所述攻击流量并生成告警日志;根据所述告警日志配置所述目标对象的安全策略。上述技术方案克服了攻击流量分散的缺陷,通过分析攻击流量生成告警日志,根据告警日志配置所述目标对象的安全策略,提高了目标对象的网络安全。
Description
技术领域
本公开涉及互联网安全技术领域,具体涉及一种安全策略配置方法、装置、设备、存储介质及程序产品。
背景技术
随机黑客技术不断发展,网络攻击层出不穷,手段日趋多样化,仅仅依靠被动防御技术(例如防火墙技术、入侵检测技术)已经很难抵御攻击了。而像银行、石油、电力等行业的网络信息系统由于长期以来一直是网络攻击的重要目标,面对网络威胁全面掌握主动权,应用主动防御技术来保障网络安全显得尤为重要。
蜜罐技术是一种网络主动防御技术,任何对蜜罐的访问、嗅探,除了极少数的误操以外,都可以视为攻击行为或者攻击行为的前兆。同时,蜜罐对威胁的检测并非根据行为规则来判断,而是根据是否有交互的行为本身进行判断,正常的业务交互是无法和蜜罐产生的。因此,蜜罐还能针对APT攻击(Advanced Persistent Threat,定向威胁攻击)、Oday攻击等未知攻击进行防范。
发明人发现,由于蜜罐的部署逻辑并非和业务系统串联,在蜜罐系统中无论发生何种攻防行为,在配置适当的情况下,都不会对业务系统产生影响。因此,蜜罐技术的落地难点主要体现在提供蜜罐技术服务的厂商一种安全策略配置方法、装置、设备、存储介质及程序产品对业务系统理解深度不足,为核心业务部署的蜜罐“甜度”不足,因此攻击者的攻击流量并不会集中到核心业务的蜜罐上,而是分散在整个业务系统中,使得管理人员无法高效捕获攻击者攻击核心业务的攻击手段、攻击路径等信息,也无法为核心业务提供针对性的安全策略配置。
发明内容
为了解决相关技术中的问题,本公开实施例提供一种安全策略配置方法、装置、设备、存储介质及程序产品。
第一方面,本公开实施例中提供了一种安全策略配置方法。
具体地,所述安全策略配置方法,包括:
获取攻击者与陷阱主机在预设时间段内交互的流量数据;
从所述流量数据中提取攻击者的行为特征;
根据所述行为特征确定攻击者的攻击目标转移至目标对象的概率;
在所述概率大于阈值的情况下,将预设时间段后攻击者的攻击流量迁移到指定蜜罐中;其中,所述指定蜜罐的类型根据所述目标对象确定;
分析所述攻击流量并生成告警日志;
根据所述告警日志配置所述目标对象的安全策略。
结合第一方面,本公开在第一方面的第一种实现方式中,所述根据所述行为特征确定攻击者的攻击目标转移至目标对象的概率,包括:
根据所述行为特征以及预设意图分析模型确定攻击者的攻击目标转移至目标对象的概率。
结合第一方面的第一种实现方式,本公开在第一方面的第二种实现方式中,所述方法还包括:
从历史告警日志记录中获取所述攻击者攻击当前对象的第一行为特征、攻击目标对象的第二行为特征以及所述当前对象与所述目标对象之间的关联关系;
利用所述第一行为特征、第二行为特征、所述当前对象与所述目标对象之间的关联关系对预设的机器学习模型进行训练,得到预设意图分析模型。
结合第一方面,本公开在第一方面的第三种实现方式中,所述根据所述告警日志配置所述目标对象的安全策略,包括:
根据所述告警日志获取系统漏洞、攻击者的攻击手段、攻击路径;
根据所述系统漏洞、攻击者的攻击手段、攻击路径配置所述目标对象的安全策略。
结合第一方面、第一方面的第一种实现方式、第一方面的第二种实现方式、第一方面的第三种实现方式,本公开在第一方面的第四种实现方式中,所述方法还包括:
配置防火墙规则,过滤所述指定蜜罐访问所述目标对象的请求。
结合第一方面、第一方面的第一种实现方式、第一方面的第二种实现方式、第一方面的第三种实现方式,本公开在第一方面的第五种实现方式中,所述方法还包括:
将所述告警日志发送至安全管理中心,以使所述安全管理中心利用收集到的所述告警日志生成攻击者画像。
第二方面,本公开实施例中提供了一种安全策略配置装置。
具体地,所述安全策略配置装置,包括:
第一获取模块,被配置为获取攻击者与陷阱主机在预设时间段内交互的流量数据;
提取模块,被配置为从所述流量数据中提取攻击者的行为特征;
确定模块,被配置为根据所述行为特征确定攻击者的攻击目标转移至目标对象的概率;
迁移模块,被配置为在所述概率大于阈值的情况下,将预设时间段后攻击者的攻击流量迁移到指定蜜罐中;其中,所述指定蜜罐的类型根据所述目标对象确定;
分析模块,被配置为分析所述攻击流量并生成告警日志;
第一配置模块,被配置为根据所述告警日志配置所述目标对象的安全策略。
第三方面,本公开实施例提供了一种电子设备,包括存储器和处理器,其中,所述存储器用于存储一条或多条计算机指令,其中,所述一条或多条计算机指令被所述处理器执行以实现如第一方面任一项所述的方法。
第四方面,本公开实施例中提供了一种可读存储介质,其上存储有计算机指令,该计算机指令被处理器执行时实现如第一方面任一项所述的方法。
第五方面,本公开实施例中提供了一种计算机程序产品,包括计算机指令,该计算机指令被处理器执行时实现如第一方面任一项所述的方法步骤。
根据本公开实施例提供的技术方案,获取攻击者与陷阱主机在预设时间段内交互的流量数据;从所述流量数据中提取攻击者的行为特征;根据所述行为特征确定攻击者的攻击目标转移至目标对象的概率;在所述概率大于阈值的情况下,将预设时间段后攻击者的攻击流量迁移到指定蜜罐中;其中,所述指定蜜罐的类型根据所述目标对象确定;分析所述攻击流量并生成告警日志;根据所述告警日志配置所述目标对象的安全策略。上述技术方案通过构建陷阱主机来诱使攻击者实施攻击,然后分析攻击者的行为特征来推测其攻击意图是否在于目标对象,如果是则将攻击者的攻击流量牵引至指定蜜罐进行深度交互,以更多地暴露攻击者对目标对象的攻击手段等信息,克服了攻击流量分散的缺陷,之后通过分析攻击流量生成告警日志,根据所述告警日志配置所述目标对象的安全策略,提高了目标对象的网络安全。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
结合附图,通过以下非限制性实施方式的详细描述,本公开的其它特征、目的和优点将变得更加明显。在附图中:
图1示出根据本公开实施例的安全策略配置方法的网络架构图;
图2示出根据本公开实施例的安全策略配置方法的流程图;
图3示出根据本公开的实施例的安全策略配置装置的结构框图;
图4示出适于用来实现根据本公开实施例的分布式存储系统数据处理方法的计算机系统的结构示意图。
具体实施方式
下文中,将参考附图详细描述本公开的示例性实施例,以使本领域技术人员可容易地实现它们。此外,为了清楚起见,在附图中省略了与描述示例性实施例无关的部分。
在本公开中,应理解,诸如“包括”或“具有”等的术语旨在指示本说明书中所公开的特征、数字、步骤、行为、部件、部分或其组合的存在,并且不欲排除一个或多个其他特征、数字、步骤、行为、部件、部分或其组合存在或被添加的可能性。
另外还需要说明的是,在不冲突的情况下,本公开中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本公开。
在本公开中,对用户信息或用户数据的获取均为经用户授权、确认,或由用户主动选择的操作。
蜜罐技术的落地难点主要体现在提供蜜罐技术服务的厂商对业务系统理解深度不足,为核心业务部署的蜜罐“甜度”不足,因此攻击者的攻击流量并不会集中到核心业务的蜜罐上,而是分散在整个业务系统中,使得管理人员无法高效捕获攻击者攻击核心业务的攻击手段、攻击路径等信息,也无法为核心业务提供针对性的安全策略配置。
考虑到上述问题,本公开实施例的安全策略配置方法,通过构建陷阱主机来诱使攻击者实施攻击,然后分析攻击者的行为特征来推测其攻击意图是否在于目标对象,如果是则将攻击者的攻击流量牵引至指定蜜罐进行深度交互,以更多地暴露攻击者对目标对象的攻击手段等信息,克服了攻击流量分散的缺陷,之后通过分析攻击流量生成告警日志,根据所述告警日志配置所述目标对象的安全策略,提高了目标对象的网络安全。
图1示出根据本公开实施例的安全策略配置方法的网络架构图。如图1所示,所述网络架构包括多个服务器11、12、13、多个陷阱主机21、22、23、核心交换机30、工作组交换机41、42、安全管理平台。其中,服务器11、12、13用于向终端提供网络服务,每个服务器对应一个陷阱主机,陷阱主机21、22、23通过蜜罐技术构建,用于仿真服务器提供网络服务。工作组交换机41、42用于将核心交换机30的流量发送至陷阱主机21、22、23。安全管理平台包括:流量牵引器51、52、意图识别模块53和策略配置模块54,其中,流量牵引器51、52分别与工作组交换机41、42连接,用于将来自攻击者的攻击流量迁移至意图识别模块53,意图识别模块53对攻击流量进行特征分析后,提取攻击者的行为特征并输入预设意图分析模型中确定攻击者转移攻击目标至目标对象的概率,然后生成告警日志,之后由策略配置模块54根据告警日志配置目标对象的安全策略。
应该理解,图1中的服务器、陷阱主机、流量牵引器的数目仅仅是示意性的。根据需要,可以具有任意数目的服务器、陷阱主机、流量牵引器。
图2示出根据本公开实施例的安全策略配置方法的流程图。如图2所示,所述安全策略配置方法应用于安全管理平台,包括步骤S201-S206:
在步骤S201中,获取攻击者与陷阱主机在预设时间段内交互的流量数据;
在步骤S202中,从所述流量数据中提取攻击者的行为特征;
在步骤S203中,根据所述行为特征确定攻击者的攻击目标转移至目标对象的概率;
在步骤S204中,在所述概率大于阈值的情况下,将预设时间段后攻击者的攻击流量迁移到指定蜜罐中;其中,所述指定蜜罐的类型根据所述目标对象确定;
在步骤S205中,分析所述攻击流量并生成告警日志;
在步骤S206中,根据所述告警日志配置所述目标对象的安全策略。
在本公开一实施方式中,所述陷阱主机根据蜜罐技术构建,例如通过添加蜜罐IP并对应vlan号,在相应区域的网段中生成中高交互虚拟蜜罐作为陷阱主机。陷阱主机根据网络环境提供以下至少一种服务:FTP、MYSQL、TELNET、HTTP等,上述服务可以进行任意组合,构建出逼真的陷阱网络环境。这些服务中内置了假性脆弱点,攻击者发现后无论花费多少时间,都无法成功利用,为管理者采取相应应急响应措施来保护其核心业务和资产提供了时间。
在本公开一实施方式中,预设时间段可以采取定时间隔方式设置,每隔一段时间,对该时间段内的流量数据进行攻击者的行为特征分析和提取,得到攻击者在某个陷阱主机上停留的时间以及攻击请求和回应请求的内容,例如攻击目标、攻击方式、攻击频率、回应时长、回应请求内容。
在本公开一实施方式中,所述根据所述行为特征确定攻击者的攻击目标转移至目标对象的概率,包括:
根据所述行为特征以及预设意图分析模型确定攻击者的攻击目标转移至目标对象的概率。
在本公开方式中,预设意图分析模型的输入为攻击者的行为特征,其输出为目标对象被攻击的概率。预设意图分析模型为提前训练好的。通过这种方式,可以更加准确地通过攻击者的行为特征确定目标对象遭受攻击的可能性,暴露攻击者的各种攻击方式,从而可以配置更加可靠的安全策略保护目标对象的网络安全。
在本公开方式中,目标对象可以是用户的真实业务系统,例如OA系统、ERP系统、VPN系统、邮箱系统等,根据真实业务系统提供的应用或服务,可以部署指定蜜罐,指定蜜罐的作用在于仿真真实业务系统,提供与真实业务系统相似的诱导信息和/或文件,其中可以包括“用户信息”、“账户信息”、“虚假邮箱”、“商业机密”等字符,通过将攻击者的攻击流量引入指定蜜罐可以更加有针对性地获取攻击者对目标对象的攻击方式,从而可以配置后续相应的安全策略。
在本公开一实施方式中,所述方法还包括:
从历史告警日志记录中获取所述攻击者攻击当前对象的第一行为特征、攻击目标对象的第二行为特征以及所述当前对象与所述目标对象之间的关联关系;
利用所述第一行为特征、第二行为特征、所述当前对象与所述目标对象之间的关联关系对预设的机器学习模型进行训练,得到预设意图分析模型。
在本公开方式中,历史告警日志中记录有攻击者在网络中转移攻击目标的过程,通过分析历史告警日志从中确定攻击者攻击当前对象的第一行为特征、攻击目标对象的第二行为特征以及当前对象与所述目标对象之间的关联关系,能够得到攻击者各种通过当前对象攻击目标对象的攻击方式,其中当前对象可以是攻击者转移攻击目标前的对象,例如攻击者攻击陷阱主机中的漏洞,并在利用该漏洞的情况下,攻击者从当前对象转移攻击目标对象,通过利用上述表征攻击者攻击方式的特征数据对预设的机器学习模型进行训练,得到预设意图分析模型,可以有效地识别目标对象被攻击前攻击者的行为特征,便于管理者发现系统漏洞,从而有针对性地配置安全策略。
在本公开方式中,预设的机器学习模块可以采用贝叶斯分类模型、决策树、支持向量机或者神经网络模型,本公开对此不做限制。
在本公开一实施方式中,步骤S206所述根据所述告警日志配置所述目标对象的安全策略,包括:
根据所述告警日志获取系统漏洞、攻击者的攻击手段、攻击路径;
根据所述系统漏洞、攻击者的攻击手段、攻击路径配置所述目标对象的安全策略。
在本公开方式中,系统漏洞至少包括一下一种:升级程序漏洞、服务拒绝漏洞、VM漏洞等。
在本公开方式中,目标对象的安全策略可以是更新防火墙的过滤规则,采用防火墙与入侵检测的联动检测等方式,也可以采用现有技术中的其他安全策略,本公开对此不做限制。
在本公开一实施方式中,所述方法还包括:
配置防火墙规则,过滤所述指定蜜罐访问所述目标对象的请求。
在本公开方式中,为了避免指定蜜罐作为跳板攻击真实业务系统,可以配置防火墙规则,过滤指定蜜罐访问目标对象的请求,若有异常情况,可以向管理者发送信息警告,以确定是否采取进一步措施来限制攻击者的行为。
在本公开一实施方式中,所述方法还包括:
将所述告警日志发送至安全管理中心,以使所述安全管理中心利用收集到的所述告警日志生成攻击者画像。
在本公开方式中,可以记录攻击者在网络中转移目标的过程,形成攻击范围描绘,并将捕获到的攻击流量以PCAP包形式留存,产生告警日志发送至安全管理中心,描绘攻击者画像输出高价值威胁情报。
本公开实施例提供的安全策略配置方法,通过构建陷阱主机来诱使攻击者实施攻击,然后分析攻击者的行为特征来推测其攻击意图是否在于目标对象,如果是则将攻击者的攻击流量牵引至指定蜜罐进行深度交互,以更多地暴露攻击者对目标对象的攻击手段等信息,克服了攻击流量分散的缺陷,之后通过分析攻击流量生成告警日志,根据所述告警日志配置所述目标对象的安全策略,提高了目标对象的网络安全。
图3示出根据本公开的实施例的安全策略配置装置的结构框图。其中,该装置可以通过软件、硬件或者两者的结合实现成为电子设备的部分或者全部。
如图3所示,所述安全策略配置装置300包括:第一获取模块310、提取模块320、确定模块330、迁移模块340、分析模块350和第一配置模块360。
所述获取模块310被配置为获取攻击者与陷阱主机在预设时间段内交互的流量数据;
所述提取模块320被配置为从所述流量数据中提取攻击者的行为特征;
所述确定模块330被配置为根据所述行为特征确定攻击者的攻击目标转移至目标对象的概率;
所述迁移模块340被配置为在所述概率大于阈值的情况下,将预设时间段后攻击者的攻击流量迁移到指定蜜罐中;其中,所述指定蜜罐的类型根据所述目标对象确定;
所述分析模块350被配置为分析所述攻击流量并生成告警日志;
所述第一配置模块360被配置为根据所述告警日志配置所述目标对象的安全策略。
本公开实施例提供的安全策略配置装置,通过构建陷阱主机来诱使攻击者实施攻击,然后分析攻击者的行为特征来推测其攻击意图是否在于目标对象,如果是则将攻击者的攻击流量牵引至指定蜜罐进行深度交互,以更多地暴露攻击者对目标对象的攻击手段等信息,克服了攻击流量分散的缺陷,之后通过分析攻击流量生成告警日志,根据所述告警日志配置所述目标对象的安全策略,提高了目标对象的网络安全。
在本公开一实施方式中,所述确定模块330包括:
确定单元,被配置为根据所述行为特征以及预设意图分析模型确定攻击者的攻击目标转移至目标对象的概率。
在本公开一实施方式中,所述装置还包括:
第二获取模块,被配置为从历史告警日志记录中获取所述攻击者攻击当前对象的第一行为特征、攻击目标对象的第二行为特征以及所述当前对象与所述目标对象之间的关联关系;
训练模块,被配置为利用所述第一行为特征、第二行为特征、所述当前对象与所述目标对象之间的关联关系对预设的机器学习模型进行训练,得到预设意图分析模型。
在本公开一实施方式中,所述配置模块360包括:
获取单元,被配置为获取所述告警日志获取系统漏洞、攻击者的攻击手段、攻击路径;
配置单元,被配置为根据所述系统漏洞、攻击者的攻击手段、攻击路径配置所述目标对象的安全策略。
在本公开一实施方式中,所述装置还包括:
第二配置模块,被配置为配置防火墙规则,过滤所述指定蜜罐访问所述目标对象的请求。
在本公开一实施方式中,所述装置还包括:
发送模块,被配置为将所述告警日志发送至安全管理中心,以使所述安全管理中心利用收集到的所述告警日志生成攻击者画像。
图4示出适于用来实现根据本公开实施例的分布式存储系统数据处理方法的计算机系统的结构示意图。
如图4所示,计算机系统400包括处理单元401,其可以根据存储在只读存储器(ROM)402中的程序或者从存储部分408加载到随机访问存储器(RAM)403中的程序而执行上述实施例中的各种处理。在RAM403中,还存储有系统400操作所需的各种程序和数据。CPU401、ROM402以及RAM403通过总线404彼此相连。输入/输出(I/O)接口405也连接至总线404。
以下部件连接至I/O接口405:包括键盘、鼠标等的输入部分406;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分407;包括硬盘等的存储部分408;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分409。通信部分409经由诸如因特网的网络执行通信处理。驱动器410也根据需要连接至I/O接口405。可拆卸介质411,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器410上,以便于从其上读出的计算机程序根据需要被安装入存储部分408。其中,所述处理单元401可实现为CPU、GPU、TPU、FPGA、NPU等处理单元。
特别地,根据本公开的实施例,上文描述的方法可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括计算机指令,该计算机指令被处理器执行时实现上文所述的方法步骤。在这样的实施例中,该计算机程序产品可以通过通信部分409从网络上被下载和安装,和/或从可拆卸介质411被安装。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本公开实施例中所涉及到的单元或模块可以通过软件的方式实现,也可以通过可编程硬件的方式来实现。所描述的单元或模块也可以设置在处理器中,这些单元或模块的名称在某种情况下并不构成对该单元或模块本身的限定。
作为另一方面,本公开还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中电子设备或计算机系统中所包含的计算机可读存储介质;也可以是单独存在,未装配入设备中的计算机可读存储介质。计算机可读存储介质存储有一个或者一个以上程序,所述程序被一个或者一个以上的处理器用来执行描述于本公开的方法。
以上描述仅为本公开的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本公开中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离所述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本公开中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (10)
1.一种安全策略配置方法,包括:
获取攻击者与陷阱主机在预设时间段内交互的流量数据;
从所述流量数据中提取攻击者的行为特征;
根据所述行为特征确定攻击者的攻击目标转移至目标对象的概率;
在所述概率大于阈值的情况下,将预设时间段后攻击者的攻击流量迁移到指定蜜罐中;其中,所述指定蜜罐的类型根据所述目标对象确定;
分析所述攻击流量并生成告警日志;
根据所述告警日志配置所述目标对象的安全策略。
2.根据权利要求1所述的方法,所述根据所述行为特征确定攻击者的攻击目标转移至目标对象的概率,包括:
根据所述行为特征以及预设意图分析模型确定攻击者的攻击目标转移至目标对象的概率。
3.根据权利要求2所述的方法,还包括:
从历史告警日志记录中获取所述攻击者攻击当前对象的第一行为特征、攻击目标对象的第二行为特征以及所述当前对象与所述目标对象之间的关联关系;
利用所述第一行为特征、第二行为特征、所述当前对象与所述目标对象之间的关联关系对预设的机器学习模型进行训练,得到预设意图分析模型。
4.根据权利要求1所述的方法,所述根据所述告警日志配置所述目标对象的安全策略,包括:
根据所述告警日志获取系统漏洞、攻击者的攻击手段、攻击路径;
根据所述系统漏洞、攻击者的攻击手段、攻击路径配置所述目标对象的安全策略。
5.根据权利要求1-4任一项所述的方法,还包括:
配置防火墙规则,过滤所述指定蜜罐访问所述目标对象的请求。
6.根据权利要求1-4任一项所述的方法,还包括:
将所述告警日志发送至安全管理中心,以使所述安全管理中心利用收集到的所述告警日志生成攻击者画像。
7.一种安全策略配置装置,包括:
第一获取模块,被配置为获取攻击者与陷阱主机在预设时间段内交互的流量数据;
提取模块,被配置为从所述流量数据中提取攻击者的行为特征;
确定模块,被配置为根据所述行为特征确定攻击者的攻击目标转移至目标对象的概率;
迁移模块,被配置为在所述概率大于阈值的情况下,将预设时间段后攻击者的攻击流量迁移到指定蜜罐中;其中,所述指定蜜罐的类型根据所述目标对象确定;
分析模块,被配置为分析所述攻击流量并生成告警日志;
第一配置模块,被配置为根据所述告警日志配置所述目标对象的安全策略。
8.一种电子设备,包括存储器和处理器;其中,所述存储器用于存储一条或多条计算机指令,其中,所述一条或多条计算机指令被所述处理器执行以实现权利要求1-6任一项所述的方法步骤。
9.一种可读存储介质,其上存储有计算机指令,其特征在于,该计算机指令被处理器执行时实现权利要求1-6任一项所述的方法步骤。
10.一种计算机程序产品,包括计算机指令,该计算机指令被处理器执行时实现权利要求1-6任一项所述的方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111460825.8A CN114143096A (zh) | 2021-12-02 | 2021-12-02 | 安全策略配置方法、装置、设备、存储介质及程序产品 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111460825.8A CN114143096A (zh) | 2021-12-02 | 2021-12-02 | 安全策略配置方法、装置、设备、存储介质及程序产品 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114143096A true CN114143096A (zh) | 2022-03-04 |
Family
ID=80387120
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111460825.8A Pending CN114143096A (zh) | 2021-12-02 | 2021-12-02 | 安全策略配置方法、装置、设备、存储介质及程序产品 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114143096A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114679341A (zh) * | 2022-05-27 | 2022-06-28 | 江苏益柏锐信息科技有限公司 | 结合erp系统的网络入侵攻击分析方法、设备及介质 |
| CN114844666A (zh) * | 2022-03-16 | 2022-08-02 | 西安交通大学 | 网络流量分析与重构方法及装置 |
| CN116055159A (zh) * | 2023-01-09 | 2023-05-02 | 北京华境安技术有限公司 | 一种安全防御方法、装置及计算机设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170331858A1 (en) * | 2016-05-10 | 2017-11-16 | Quadrant Information Security | Method, system, and apparatus to identify and study advanced threat tactics, techniques and procedures |
| CN108243169A (zh) * | 2016-12-27 | 2018-07-03 | 中国移动通信集团内蒙古有限公司 | 一种网络安全探知方法及系统 |
| CN110011982A (zh) * | 2019-03-19 | 2019-07-12 | 西安交通大学 | 一种基于虚拟化的攻击智能诱骗系统与方法 |
| CN110381045A (zh) * | 2019-07-09 | 2019-10-25 | 腾讯科技(深圳)有限公司 | 攻击操作的处理方法和装置、存储介质及电子装置 |
| CN113486339A (zh) * | 2021-06-29 | 2021-10-08 | 新华三信息安全技术有限公司 | 一种数据处理方法、装置、设备及机器可读存储介质 |
-
2021
- 2021-12-02 CN CN202111460825.8A patent/CN114143096A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170331858A1 (en) * | 2016-05-10 | 2017-11-16 | Quadrant Information Security | Method, system, and apparatus to identify and study advanced threat tactics, techniques and procedures |
| CN108243169A (zh) * | 2016-12-27 | 2018-07-03 | 中国移动通信集团内蒙古有限公司 | 一种网络安全探知方法及系统 |
| CN110011982A (zh) * | 2019-03-19 | 2019-07-12 | 西安交通大学 | 一种基于虚拟化的攻击智能诱骗系统与方法 |
| CN110381045A (zh) * | 2019-07-09 | 2019-10-25 | 腾讯科技(深圳)有限公司 | 攻击操作的处理方法和装置、存储介质及电子装置 |
| CN113486339A (zh) * | 2021-06-29 | 2021-10-08 | 新华三信息安全技术有限公司 | 一种数据处理方法、装置、设备及机器可读存储介质 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114844666A (zh) * | 2022-03-16 | 2022-08-02 | 西安交通大学 | 网络流量分析与重构方法及装置 |
| CN114679341A (zh) * | 2022-05-27 | 2022-06-28 | 江苏益柏锐信息科技有限公司 | 结合erp系统的网络入侵攻击分析方法、设备及介质 |
| CN116055159A (zh) * | 2023-01-09 | 2023-05-02 | 北京华境安技术有限公司 | 一种安全防御方法、装置及计算机设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110677408B (zh) | 攻击信息的处理方法和装置、存储介质及电子装置 | |
| CN107426242B (zh) | 网络安全防护方法、装置及存储介质 | |
| CN106790186B (zh) | 基于多源异常事件关联分析的多步攻击检测方法 | |
| CN107659583B (zh) | 一种检测事中攻击的方法及系统 | |
| CN114143096A (zh) | 安全策略配置方法、装置、设备、存储介质及程序产品 | |
| US10673872B2 (en) | Advanced persistent threat detection | |
| CN108092948A (zh) | 一种网络攻击模式的识别方法和装置 | |
| CN110381041B (zh) | 分布式拒绝服务攻击态势检测方法及装置 | |
| CN110401638B (zh) | 一种网络流量分析方法及装置 | |
| CN112134897B (zh) | 网络攻击数据的处理方法和装置 | |
| CN110798482B (zh) | 基于linux网络过滤器的系统级蜜罐网络隔离系统 | |
| CN108200095B (zh) | 互联网边界安全策略脆弱性确定方法及装置 | |
| CN113079185B (zh) | 实现深度数据包检测控制的工业防火墙控制方法及设备 | |
| CN114531258B (zh) | 网络攻击行为的处理方法和装置、存储介质及电子设备 | |
| Ng et al. | Honeypot frameworks and their applications: a new framework | |
| Karthikeyan et al. | Honeypots for network security | |
| CN116260628A (zh) | 一种基于蜜网主动溯源方法 | |
| CN113810423A (zh) | 一种工控蜜罐 | |
| CN106209867B (zh) | 一种高级威胁防御方法及系统 | |
| Saini et al. | Vulnerability and Attack Detection Techniques: Intrusion Detection System | |
| Kawazoe et al. | On implementing a simulation environment for a cooperative multi-agent learning approach to mitigate drdos attacks | |
| Yang et al. | Cyber threat detection and application analysis | |
| US20220060485A1 (en) | Threat forecasting | |
| KR20210141198A (ko) | 내부망의 보안 옵티마이즈 기능을 제공하는 네트워크 보안 시스템 | |
| CN112637217B (zh) | 基于诱饵生成的云计算系统的主动防御方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20220304 |
|
| RJ01 | Rejection of invention patent application after publication |