CN114500063B - 网络资产的分区感知威胁的方法、装置、系统及存储介质 - Google Patents
网络资产的分区感知威胁的方法、装置、系统及存储介质 Download PDFInfo
- Publication number
- CN114500063B CN114500063B CN202210114959.2A CN202210114959A CN114500063B CN 114500063 B CN114500063 B CN 114500063B CN 202210114959 A CN202210114959 A CN 202210114959A CN 114500063 B CN114500063 B CN 114500063B
- Authority
- CN
- China
- Prior art keywords
- asset
- network
- threat
- assets
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种网络资产的分区感知威胁的方法、装置、系统及存储介质,涉及网络安全技术领域。所述方法包括步骤:根据网络资产所属的物理区域对网络资产进行划区;采集各分区内网络资产的网络安全信息;基于网络资产待防御列表,选取其中的任一网络资产,获取与该网络资产进行访问交互的其它资产,选取受威胁的风险网络资产,判断风险网络资产是否与该网络资产处于同一分区;为否时,分别获取选取的网络资产和风险网络资产所属的分区网络环境信息,比较分区网络环境的威胁感知差异,根据威胁感知差异调整防御方案。本发明根据受威胁的风险网络资产,确定风险网络资产所属的网络区域,进一步调整针对风险网络资产的防御方案,实现防御目的。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及网络资产的分区感知威胁的方法。
背景技术
网络资产是指计算机网络或通讯网络中使用的各种设备,主要包括主机、网络设备(例如路由器和交换机)和安全设备(例如防火墙)等设备。
网络资产的数据信息作为企业最为宝贵的资源,为保障网络资产的安全,技术人员往往会使用态势感知系统来监控和掌握网络环境中各网络资产的安全变化趋势。而使用态势感知系统作为感知网络资产的数据信息安全的一种手段,具有感知资产的网络威胁,并采取防御策略的能力,以保证网络资产的数据信息的安全。
由于网络资产的数量过于庞杂,导致在管理网络资产时,需要对网络资产根据不同的需求进行划区管理,以方便管理员对网络资产的日常管理,但是该操作同时也会导致各个分区的管理都是相对独立的,这使得跨分区的网络资产交互的安全管理存在较大的安全隐患。
为此,提供一种网络资产的分区感知威胁的方法、装置、系统及存储介质,以根据受威胁的风险网络资产,确定风险网络资产所属的网络分区,进一步调整针对风险网络资产的防御方案,实现防御目的,是当前亟需解决的技术问题。
发明内容
本发明的目的在于:克服现有技术的不足,提供一种网络资产的分区感知威胁的方法、装置、系统及存储介质,本发明能够根据网络资产所属的物理区域对网络资产进行划区;采集各分区内网络资产的网络安全信息;基于预设的网络资产待防御列表,选取其中的任一网络资产,获取与该网络资产进行访问交互的其它资产,选取受威胁的风险网络资产,判断风险网络资产是否与该网络资产处于同一分区;为否时,分别获取选取的网络资产和风险网络资产所属的分区网络环境信息,比较分区网络环境的威胁感知差异,根据威胁感知差异调整防御方案。
为解决现有的技术问题,本发明提供了如下技术方案:
一种网络资产的分区感知威胁的方法,其特征在于,包括步骤,
根据网络资产所属的物理区域对网络资产进行划区,对划区后的每个分区内的网络资产标记资产ID;
采集各分区内网络资产的网络安全信息,所述网络安全信息包括网络资产的威胁信息和网络资产所属的网络环境信息;
基于预设的网络资产待防御列表,选取待防御列表中的任一网络资产,获取与该网络资产进行访问交互的其它资产,从前述其它资产中选取受威胁的风险网络资产,判断风险网络资产是否与该网络资产处于同一分区;所述待防御列表中包括资产ID信息、威胁项信息和威胁对象信息;
判定为否时,分别获取前述选取的网络资产和风险网络资产所属的分区网络环境信息,比较前述分区网络环境的威胁感知差异,根据前述威胁感知差异调整防御方案。
进一步,所述网络安全数据包括资产维度信息和威胁维度信息;所述资产维度信息包括网络和主机状态信息、服务状态信息、链路状态信息和资产配置信息;所述威胁维度数据包括攻击行为的特征信息和威胁情报信息。
进一步,所述威胁信息是基于态势感知系统现有的威胁感知能力分析得到的;所述威胁信息包括受威胁的资产ID、威胁项、威胁类型和威胁等级。
进一步,对前述分区内的资产按照使用功能划分子分区,当任一子分区内的资产与其他子分区的资产进行交互时,基于前述使用功能判断威胁项,以限制前述威胁项对应的防御方案的选择范围,然后基于各资产实际的威胁项选取对应的防御方案进行防御。
进一步,当网络环境中多个分区的网络资产的故障为同一威胁时,提取对应前述威胁对应的子分区,确定前述子分区间进行交互的范围,对前述子分区进行协同分析,并进行协同防御。
进一步,当网络环境中多个分区的网络资产的故障为同一威胁等级时,获取前述威胁等级对应的子分区,确定前述子分区内的威胁项,调取前述同一威胁等级的威胁项所对应的防御方案,对存在威胁的网络资产进行防御。
进一步,对前述子分区设置访问验证项,当存在有网络资产对前述子分区的资产进行访问时,执行访问验证项,以验证前述网络资产能否进入子分区,并访问资产;当某一资产同时位于多个子分区时,将该资产设置为前述多个子分区的共有资产,当其他资产对共有资产进行访问,且满足该共有资产所属子分区的访问验证项的验证要求时,允许前述资产对前述共有资产执行访问操作;所述子分区的访问验证项的选择,基于前述资产访问前述共有资产时的访问请求信息来确定。
一种网络资产的分区感知威胁的装置,其特征在于包括结构:
信息区划单元,用以根据网络资产所属的物理区域对网络资产进行划区,对划区后的每个分区内的网络资产标记资产ID;
信息采集单元,用以采集各分区内网络资产的网络安全信息,所述网络安全信息包括网络资产的威胁信息和网络资产所属的网络环境信息;
信息判断单元,用以基于预设的网络资产待防御列表,选取待防御列表中的任一网络资产,获取与该网络资产进行访问交互的其它资产,从前述其它资产中选取受威胁的风险网络资产,判断风险网络资产是否与该网络资产处于同一分区;所述待防御列表中包括资产ID信息、威胁项信息和威胁对象信息;
信息防御单元,用以判定为否时,分别获取前述选取的网络资产和风险网络资产所属的分区网络环境信息,比较前述分区网络环境的威胁感知差异,根据前述威胁感知差异调整防御方案。
一种网络资产的分区感知威胁的系统,其特征在于包括:
网络资产,用于存储和收发数据;
态势感知系统,定期检测受威胁的网络资产,将前述网络资产的安全信息进行分析;
系统服务器,所述系统服务器连接网络资产和态势感知系统;
所述系统服务器被配置为:根据网络资产所属的物理区域对网络资产进行划区,对划区后的每个分区内的网络资产标记资产ID;采集各分区内网络资产的网络安全信息,所述网络安全信息包括网络资产的威胁信息和网络资产所属的网络环境信息;基于预设的网络资产待防御列表,选取待防御列表中的任一网络资产,获取与该网络资产进行访问交互的其它资产,从前述其它资产中选取受威胁的风险网络资产,判断风险网络资产是否与该网络资产处于同一分区;所述待防御列表中包括资产ID信息、威胁项信息和威胁对象信息;判定为否时,分别获取前述选取的网络资产和风险网络资产所属的分区网络环境信息,比较前述分区网络环境的威胁感知差异,根据前述威胁感知差异调整防御方案。
一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现网络资产的分区感知威胁的方法中的任一步骤。
基于上述优点和积极效果,本发明的优势在于:根据网络资产所属的物理区域对网络资产进行划区,对划区后的每个分区内的网络资产标记资产ID;采集各分区内网络资产的网络安全信息,所述网络安全信息包括网络资产的威胁信息和网络资产所属的网络环境信息;基于预设的网络资产待防御列表,选取待防御列表中的任一网络资产,获取与该网络资产进行访问交互的其它资产,从前述其它资产中选取受威胁的风险网络资产,判断风险网络资产是否与该网络资产处于同一分区;所述待防御列表中包括资产ID信息、威胁项信息和威胁对象信息;判定为否时,分别获取前述选取的网络资产和风险网络资产所属的分区网络环境信息,比较前述分区网络环境的威胁感知差异,根据前述威胁感知差异调整防御方案。
进一步,当网络环境中多个分区的网络资产的故障为同一威胁等级时,获取前述威胁等级对应的子分区,确定前述子分区内的威胁项,调取前述同一威胁等级的威胁项所对应的防御方案,对存在威胁的网络资产进行防御。
进一步,对前述子分区设置访问验证项,当存在有网络资产对前述子分区的资产进行访问时,执行访问验证项,以验证前述网络资产能否进入子分区,并访问资产;当某一资产同时位于多个子分区时,将该资产设置为前述多个子分区的共有资产,当其他资产对共有资产进行访问,且满足该共有资产所属子分区的访问验证项的验证要求时,允许前述资产对前述共有资产执行访问操作;所述子分区的访问验证项的选择,基于前述资产访问前述共有资产时的访问请求信息来确定。
附图说明
图1为本发明实施例提供的流程图。
图2为本发明实施例提供的装置的结构示意图。
图3为本发明实施例提供的系统的结构示意图。
附图标记说明:
装置200,信息区划单元201,信息采集单元202,信息判断单元203,信息防御单元204;
系统300,网络资产301,态势感知系统302,系统服务器303。
具体实施方式
以下结合附图和具体实施例对本发明公开的一种网络资产的分区感知威胁的方法、装置、系统及存储介质作进一步详细说明。应当注意的是,下述实施例中描述的技术特征或者技术特征的组合不应当被认为是孤立的,它们可以被相互组合从而达到更好的技术效果。在下述实施例的附图中,各附图所出现的相同标号代表相同的特征或者部件,可应用于不同实施例中。因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
需说明的是,本说明书所附图中所绘示的结构、比例、大小等,均仅用以配合说明书所揭示的内容,以供熟悉此技术的人士了解与阅读,并非用以限定发明可实施的限定条件,任何结构的修饰、比例关系的改变或大小的调整,在不影响发明所能产生的功效及所能达成的目的下,均应落在发明所揭示的技术内容所能涵盖的范围内。本发明的优选实施方式的范围包括另外的实现,其中可以不按所述的或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
实施例
参见图1所示,为本发明提供的一个流程图。所述方法的实施步骤S100如下:
S101,根据网络资产所属的物理区域对网络资产进行划区,对划区后的每个分区内的网络资产标记资产ID。
所述网络资产是指计算机网络或通讯网络中使用的各种设备,主要包括主机、网络设备(例如路由器和交换机)和安全设备(例如防火墙)等设备。
其中,每一个网络资产都对应有唯一的资产ID信息。
S102,采集各分区内网络资产的网络安全信息,所述网络安全信息包括网络资产的威胁信息和网络资产所属的网络环境信息。
所述网络安全信息包括但不限制于网络资产的威胁信息和网络资产所属的网络环境信息。
所述威胁信息包括但不限制于对应前述网络资产受到网络威胁时的状态信息、威胁类型和受威胁时间等信息。
所述网络环境信息涉及前述网络资产所属网络环境的相关数据信息,所述网络环境信息包括但不限制于用户首次访问时间、用户访问次数、当前时间下用户的操作类型和控制用户的访问速率等。
此外,所述网络安全信息还可以是前述网络资产中安装特定的安全证书集合、网络特定的安全证书集合、随机数生成器种子值、加密密钥、加密算法、nonce字段或子字段和/或其它面向安全的配置数据。
S103,基于预设的网络资产待防御列表,选取待防御列表中的任一网络资产,获取与该网络资产进行访问交互的其它资产,从前述其它资产中选取受威胁的风险网络资产,判断风险网络资产是否与该网络资产处于同一分区;所述待防御列表中包括资产ID信息、威胁项信息和威胁对象信息。
由于所述待防御列表中包括所有待防御的资产ID信息、威胁项信息和威胁对象信息,因此,在选取待防御的资产时,可以对前述待防御列表中待防御的资产的排列顺序进行设置。
所述待防御的资产的排列顺序可以由用户或管理员对最急需防御的网络资产进行优先防御,也可以通过态势感知系统进行自动选定,例如态势感知系统可以选定前述威胁项中威胁影响最大的一个网络资产进行优先防御。
此外,还可以对多个待防御的网络资产采取并行防御的防御方式,比如对同一时间最多可以同时进行防御的网络资产的个数进行设置。
当选取前述待防御列表中的任一网络资产时,可以获取与该网络资产进行访问交互的当前资产和在前资产。也就是说,当获取任一待防御的网络资产信息时,同时也能得到该网络资产中所有的历史访问交互的网络资产的信息,从而能够根据前述当前资产和在前资产与该网络资产进行相互访问的历史记录,判断受威胁的资产是否与该网络资产处于同一分区。
S104,判定为否时,分别获取前述选取的网络资产和风险网络资产所属的分区网络环境信息,比较前述分区网络环境的威胁感知差异,根据前述威胁感知差异调整防御方案。
需要说明的是,当判定为否时,即受威胁的资产与前述待防御的网络资产分属两区,虽然这两个网络资产相互间存在有访问交互的行为,但隶属于不同的网络分区,即根据网络划分,归属为不同的网络环境,这导致各网络环境对威胁感知的敏感度有差异。
所述威胁感知的敏感度可以设置为对威胁的高敏感度、一般敏感度和低敏感度。
其中,所述高敏感度设置为当网络分区鲁棒性好时,对该分区内的威胁项达到高敏感度时才会对前述威胁项采取防御措施;所述低敏感度设置为当网络分区鲁棒性差时,对该分区内的威胁项达到低敏感度时就会对前述威胁项采取防御措施。
作为举例而非限制,当判断出受威胁的资产和前述待防御的网络资产分别在网络A区和网络B区,而网络A区和网络B区对威胁感知的敏感度不同。针对同一威胁项,网络A区的鲁棒性好,但网络A区对前述威胁项所反映威胁的高敏感度,而网络B区的鲁棒性差,网络B区对前述威胁项所反映威胁的低敏感度。
因此,由于网络A区的鲁棒性好,所以只有当该威胁项对网络资产的威胁达到了网络A区对前述威胁项所反映威胁的高敏感度时,才会对网络A区中的这一威胁项进行防御;而网络B区的鲁棒性差,因此只有当该威胁项达到了网络B区对前述威胁项所反映威胁的低敏感度时,就会对网络B区中的这一威胁项进行防御。
因此,这也就导致了对不同分区中,存在访问交互关系的网络资产,在具有同一威胁项时,会采取不同的防御方案去进行对应防御。
优选的,所述网络安全数据包括资产维度信息和威胁维度信息;所述资产维度信息包括网络和主机状态信息、服务状态信息、链路状态信息和资产配置信息;所述威胁维度数据包括攻击行为的特征信息和威胁情报信息。
其中,所述资产维度数据是指目标系统包含的与各类软件和硬件、运行任务相关的资产数据;所述威胁维度数据是指攻击者对系统进行攻击时留下的与威胁行为相关的数据。
优选的,所述威胁信息是基于态势感知系统现有的威胁感知能力分析得到的;所述威胁信息包括受威胁的资产ID、威胁项、威胁类型和威胁等级。
优选的,对前述分区内的资产按照使用功能划分子分区,当任一子分区内的资产与其他子分区的资产进行交互时,基于前述使用功能判断威胁项,以限制前述威胁项对应的防御方案的选择范围,然后基于各资产实际的威胁项选取对应的防御方案进行防御。
所述子分区是在前述分区的基础上进行的又一次分区,其优势在于能够对分区内的网络资产根据其使用功能进行划分,并基于前述使用功能判断各子分区中的威胁项,从而限制前述威胁项对应的防御方案的选择范围,以减少防御威胁项时的数据处理量,提高防御效率。
优选的,当网络环境中多个分区的网络资产的故障为同一威胁时,提取对应前述威胁对应的子分区,确定前述子分区间进行交互的范围,对前述子分区进行协同分析,并进行协同防御。
所述协同分析是指通过协调前述多个分区的网络资产的故障原因,以协同一致地完成针对同一威胁源的分析操作。
所述协同防御是指对前述节点进行协同分析后,通过联合防御的方式,对隶属于不同分区的网络资产进行防御。
优选的,当网络环境中多个分区的网络资产的故障为同一威胁等级时,获取前述威胁等级对应的子分区,确定前述子分区内的威胁项,调取前述同一威胁等级的威胁项所对应的防御方案,对存在威胁的网络资产进行防御。
优选的,对前述子分区设置访问验证项,当存在有网络资产对前述子分区的资产进行访问时,执行访问验证项,以验证前述网络资产能否进入子分区,并访问资产;当某一资产同时位于多个子分区时,将该资产设置为前述多个子分区的共有资产,当其他资产对共有资产进行访问,且满足该共有资产所属子分区的访问验证项的验证要求时,允许前述资产对前述共有资产执行访问操作;所述子分区的访问验证项的选择,基于前述资产访问前述共有资产时的访问请求信息来确定。
所述访问验证项能够对网络资产的访问进行验证,当存在有网络资产对前述子分区的资产进行访问时,执行访问验证项,能够在前述网络资产进行访问前,对网络资产中存在的威胁或异常向态势感知系统发出预警信息。
可选的,所述待防御列表中待防御资产的顺序排列,将对网络环境影响最大的待防御资产ID放在首位,作为首位待防御资产,并基于对网络环境的影响从高到低依序确定待防御资产;对网络环境的影响的判断依据现有的网络安全评价指标计算得到。
可选的,对与该网络资产进行访问交互的当前资产和在前资产,确定前述资产进行访问交互的顺序,得到原始的受威胁的资产ID。
其它技术特征参考在前实施例,在此不再赘述。
参见图2所示,本发明还给出了一个实施例,提供了一种网络资产的分区感知威胁的装置200,其特征在于包括结构:
信息区划单元201,用以根据网络资产所属的物理分区对网络资产进行划区,对划区后的每个分区内的网络资产标记资产ID。
信息采集单元202,用以采集各分区内网络资产的网络安全信息,所述网络安全信息包括网络资产的威胁信息和网络资产所属的网络环境信息。
信息判断单元203,用以基于预设的网络资产待防御列表,选取待防御列表中的任一网络资产,获取与该网络资产进行访问交互的其它资产,从前述其它资产中选取受威胁的风险网络资产,判断风险网络资产是否与该网络资产处于同一分区;所述待防御列表中包括资产ID信息、威胁项信息和威胁对象信息。
信息防御单元204,用以判定为否时,分别获取前述选取的网络资产和风险网络资产所属的分区网络环境信息,比较前述分区网络环境的威胁感知差异,根据前述威胁感知差异调整防御方案。
此外,参见图3所示,本发明还给出了一个实施例,提供了一种网络资产的分区感知威胁的系统300,其特征在于包括:
网络资产301,用于存储和收发数据。
态势感知系统302,定期检测受威胁的网络资产,将前述网络资产的安全信息进行分析。
所述态势感知系统是指整合防病毒软件、防火墙、网管系统、入侵监测系统、安全审计系统等多个数据信息系统,以完成目前网络环境情况的评估,以及,前述网络环境未来变化趋势的预测。
所述定期检测可以设置检测时间或是检测时间周期,所述的定期检测可以是下述项目,包括但不限于网页防篡改,进程异常行为,异常登录,敏感文件篡改,恶意进程等。
系统服务器303,所述系统服务器303连接网络资产301和态势感知系统302。
所述系统服务器303被配置为:根据网络资产所属的物理分区对网络资产进行划区,对划区后的每个分区内的网络资产标记资产ID;采集各分区内网络资产的网络安全信息,所述网络安全信息包括网络资产的威胁信息和网络资产所属的网络环境信息;基于预设的网络资产待防御列表,选取待防御列表中的任一网络资产,获取与该网络资产进行访问交互的其它资产,从前述其它资产中选取受威胁的风险网络资产,判断风险网络资产是否与该网络资产处于同一分区;所述待防御列表中包括资产ID信息、威胁项信息和威胁对象信息;判定为否时,分别获取前述选取的网络资产和风险网络资产所属的分区网络环境信息,比较前述分区网络环境的威胁感知差异,根据前述威胁感知差异调整防御方案。
其它技术特征参见在前实施例,在此不再赘述。
本发明实施例还提供了一种计算机可读存储介质,其上存储有程序,用于前述网络资产的分区感知威胁的装置中,所述程序被处理器执行时,能够实现上述任一项所述网络资产的分区感知威胁的方法的步骤。
其它技术特征参见在前实施例,在此不再赘述。
在上面的描述中,在本公开内容的目标保护范围内,各组件可以以任意数目选择性地且操作性地进行合并。另外,像“包括”、“囊括”以及“具有”的术语应当默认被解释为包括性的或开放性的,而不是排他性的或封闭性,除非其被明确限定为相反的含义。所有技术、科技或其他方面的术语都符合本领域技术人员所理解的含义,除非其被限定为相反的含义。在词典里找到的公共术语应当在相关技术文档的背景下不被太理想化或太不实际地解释,除非本公开内容明确将其限定成那样。
虽然已出于说明的目的描述了本公开内容的示例方面,但是本领域技术人员应当意识到,上述描述仅是对本发明较佳实施例的描述,并非对本发明范围的任何限定,本发明的优选实施方式的范围包括另外的实现,其中可以不按所述出现或讨论的顺序来执行功能。本发明领域的普通技术人员根据上述揭示内容做的任何变更、修饰,均属于权利要求书的保护范围。
Claims (8)
1.一种网络资产的分区感知威胁的方法,其特征在于,包括步骤,根据网络资产所属的物理区域对网络资产进行划区,对划区后的每个分区内的网络资产标记资产ID;对前述分区内的资产按照使用功能划分子分区;其中,对前述子分区设置访问验证项,当存在有网络资产对前述子分区的资产进行访问时,执行访问验证项,以验证前述网络资产能否进入子分区,并访问资产;当某一资产同时位于多个子分区时,将该资产设置为前述多个子分区的共有资产,当其他资产对共有资产进行访问,且满足该共有资产所属子分区的访问验证项的验证要求时,允许前述资产对前述共有资产执行访问操作;所述子分区的访问验证项的选择,基于前述资产访问前述共有资产时的访问请求信息来确定;
采集各分区内网络资产的网络安全信息,所述网络安全信息包括网络资产的威胁信息和网络资产所属的网络环境信息;
基于预设的网络资产待防御列表,选取待防御列表中的任一网络资产,获取与该网络资产进行访问交互的其它资产,从前述其它资产中选取受威胁的风险网络资产,判断风险网络资产是否与该网络资产处于同一分区;所述待防御列表中包括资产ID信息、威胁项信息和威胁对象信息;其中,在获取任一待防御的网络资产信息时,得到该网络资产中所有的历史访问交互的网络资产的信息,从而根据当前资产和在前资产与该网络资产进行相互访问的历史记录,判断受威胁的风险网络资产是否与该网络资产处于同一分区;当任一子分区内的资产与其他子分区的资产进行交互时,基于前述使用功能判断威胁项,以限制前述威胁项对应的防御方案的选择范围,然后基于各资产实际的威胁项选取对应的防御方案进行防御;
判定为否时,分别获取该网络资产和风险网络资产所属的分区网络环境信息,比较前述分区网络环境的威胁感知差异,根据前述威胁感知差异调整防御方案。
2.根据权利要求1所述的方法,其特征在于,所述网络安全数据包括资产维度信息和威胁维度信息;
所述资产维度信息包括网络和主机状态信息、服务状态信息、链路状态信息和资产配置信息;
所述威胁维度信息包括攻击行为的特征信息和威胁情报信息。
3.根据权利要求1所述的方法,其特征在于,所述威胁信息是基于态势感知系统现有的威胁感知能力分析得到的;所述威胁信息包括受威胁的资产ID、威胁项、威胁类型和威胁等级。
4.根据权利要求1所述的方法,其特征在于,当网络环境中多个分区的网络资产的故障为同一威胁时,提取对应前述威胁对应的子分区,确定前述子分区间进行交互的范围,对前述子分区进行协同分析,并进行协同防御。
5.根据权利要求1所述的方法,其特征在于,当网络环境中多个分区的网络资产的故障为同一威胁等级时,获取前述威胁等级对应的子分区,确定前述子分区内的威胁项,调取前述同一威胁等级的威胁项所对应的防御方案,对存在威胁的网络资产进行防御。
6.一种网络资产的分区感知威胁的装置,包括如权利要求1-5中任一项所述的方法,其特征在于包括结构:
信息区划单元,用以根据网络资产所属的物理区域对网络资产进行划区,对划区后的每个分区内的网络资产标记资产ID;对前述分区内的资产按照使用功能划分子分区;其中,对前述子分区设置访问验证项,当存在有网络资产对前述子分区的资产进行访问时,执行访问验证项,以验证前述网络资产能否进入子分区,并访问资产;当某一资产同时位于多个子分区时,将该资产设置为前述多个子分区的共有资产,当其他资产对共有资产进行访问,且满足该共有资产所属子分区的访问验证项的验证要求时,允许前述资产对前述共有资产执行访问操作;所述子分区的访问验证项的选择,基于前述资产访问前述共有资产时的访问请求信息来确定;
信息采集单元,用以采集各分区内网络资产的网络安全信息,所述网络安全信息包括网络资产的威胁信息和网络资产所属的网络环境信息;
信息判断单元,用以基于预设的网络资产待防御列表,选取待防御列表中的任一网络资产,获取与该网络资产进行访问交互的其它资产,从前述其它资产中选取受威胁的风险网络资产,判断风险网络资产是否与该网络资产处于同一分区;所述待防御列表中包括资产ID信息、威胁项信息和威胁对象信息;其中,在获取任一待防御的网络资产信息时,得到该网络资产中所有的历史访问交互的网络资产的信息,从而根据当前资产和在前资产与该网络资产进行相互访问的历史记录,判断受威胁的风险网络资产是否与该网络资产处于同一分区;当任一子分区内的资产与其他子分区的资产进行交互时,基于前述使用功能判断威胁项,以限制前述威胁项对应的防御方案的选择范围,然后基于各资产实际的威胁项选取对应的防御方案进行防御;
信息防御单元,用以判定为否时,分别获取该网络资产和风险网络资产所属的分区网络环境信息,比较前述分区网络环境的威胁感知差异,根据前述威胁感知差异调整防御方案。
7.一种网络资产的分区感知威胁的系统,包括如权利要求1-5中任一项所述的方法,其特征在于包括:
网络资产,用于存储和收发数据;
态势感知系统,定期检测受威胁的网络资产,将前述网络资产的安全信息进行分析;
系统服务器,所述系统服务器连接网络资产和态势感知系统;
所述系统服务器被配置为:根据网络资产所属的物理区域对网络资产进行划区,对划区后的每个分区内的网络资产标记资产ID;对前述分区内的资产按照使用功能划分子分区;其中,对前述子分区设置访问验证项,当存在有网络资产对前述子分区的资产进行访问时,执行访问验证项,以验证前述网络资产能否进入子分区,并访问资产;当某一资产同时位于多个子分区时,将该资产设置为前述多个子分区的共有资产,当其他资产对共有资产进行访问,且满足该共有资产所属子分区的访问验证项的验证要求时,允许前述资产对前述共有资产执行访问操作;所述子分区的访问验证项的选择,基于前述资产访问前述共有资产时的访问请求信息来确定;采集各分区内网络资产的网络安全信息,所述网络安全信息包括网络资产的威胁信息和网络资产所属的网络环境信息;基于预设的网络资产待防御列表,选取待防御列表中的任一网络资产,获取与该网络资产进行访问交互的其它资产,从前述其它资产中选取受威胁的风险网络资产,判断风险网络资产是否与该网络资产处于同一分区;所述待防御列表中包括资产ID信息、威胁项信息和威胁对象信息;其中,在获取任一待防御的网络资产信息时,得到该网络资产中所有的历史访问交互的网络资产的信息,从而根据当前资产和在前资产与该网络资产进行相互访问的历史记录,判断受威胁的风险网络资产是否与该网络资产处于同一分区;当任一子分区内的资产与其他子分区的资产进行交互时,基于前述使用功能判断威胁项,以限制前述威胁项对应的防御方案的选择范围,然后基于各资产实际的威胁项选取对应的防御方案进行防御;判定为否时,分别获取该网络资产和风险网络资产所属的分区网络环境信息,比较前述分区网络环境的威胁感知差异,根据前述威胁感知差异调整防御方案。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-5任一所述的方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210114959.2A CN114500063B (zh) | 2022-01-31 | 2022-01-31 | 网络资产的分区感知威胁的方法、装置、系统及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210114959.2A CN114500063B (zh) | 2022-01-31 | 2022-01-31 | 网络资产的分区感知威胁的方法、装置、系统及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114500063A CN114500063A (zh) | 2022-05-13 |
| CN114500063B true CN114500063B (zh) | 2023-10-13 |
Family
ID=81479288
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210114959.2A Active CN114500063B (zh) | 2022-01-31 | 2022-01-31 | 网络资产的分区感知威胁的方法、装置、系统及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114500063B (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2497950A1 (en) * | 2004-04-26 | 2005-10-26 | Avaya Technology Corp. | Method and apparatus for network security based on device security status |
| CN109698819A (zh) * | 2018-11-19 | 2019-04-30 | 中国科学院信息工程研究所 | 一种网络中的威胁处置管理方法及系统 |
| CN111586046A (zh) * | 2020-05-08 | 2020-08-25 | 武汉思普崚技术有限公司 | 一种结合威胁情报和机器学习的网络流量分析方法及系统 |
| CN111614639A (zh) * | 2020-05-09 | 2020-09-01 | 深圳市云盾科技有限公司 | 一种基于边界理论的网络安全分析方法 |
| CN111787001A (zh) * | 2020-06-30 | 2020-10-16 | 中国电子科技集团公司电子科学研究院 | 网络安全信息的处理方法、装置、电子设备和存储介质 |
| CN112738125A (zh) * | 2021-01-07 | 2021-04-30 | 中国重型机械研究院股份公司 | 一种网络安全协同防御系统 |
| WO2021098527A1 (zh) * | 2019-11-19 | 2021-05-27 | 华为技术有限公司 | 一种蠕虫检测方法及网络设备 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10447733B2 (en) * | 2014-06-11 | 2019-10-15 | Accenture Global Services Limited | Deception network system |
| US20150381641A1 (en) * | 2014-06-30 | 2015-12-31 | Intuit Inc. | Method and system for efficient management of security threats in a distributed computing environment |
| CA2968710A1 (en) * | 2016-05-31 | 2017-11-30 | Valarie Ann Findlay | Security threat information gathering and incident reporting systems and methods |
| US10984122B2 (en) * | 2018-04-13 | 2021-04-20 | Sophos Limited | Enterprise document classification |
| US11562068B2 (en) * | 2019-12-31 | 2023-01-24 | Fortinet, Inc. | Performing threat detection by synergistically combining results of static file analysis and behavior analysis |
-
2022
- 2022-01-31 CN CN202210114959.2A patent/CN114500063B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2497950A1 (en) * | 2004-04-26 | 2005-10-26 | Avaya Technology Corp. | Method and apparatus for network security based on device security status |
| CN109698819A (zh) * | 2018-11-19 | 2019-04-30 | 中国科学院信息工程研究所 | 一种网络中的威胁处置管理方法及系统 |
| WO2021098527A1 (zh) * | 2019-11-19 | 2021-05-27 | 华为技术有限公司 | 一种蠕虫检测方法及网络设备 |
| CN111586046A (zh) * | 2020-05-08 | 2020-08-25 | 武汉思普崚技术有限公司 | 一种结合威胁情报和机器学习的网络流量分析方法及系统 |
| CN111614639A (zh) * | 2020-05-09 | 2020-09-01 | 深圳市云盾科技有限公司 | 一种基于边界理论的网络安全分析方法 |
| CN111787001A (zh) * | 2020-06-30 | 2020-10-16 | 中国电子科技集团公司电子科学研究院 | 网络安全信息的处理方法、装置、电子设备和存储介质 |
| CN112738125A (zh) * | 2021-01-07 | 2021-04-30 | 中国重型机械研究院股份公司 | 一种网络安全协同防御系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114500063A (zh) | 2022-05-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11310285B2 (en) | Adaptive network security policies | |
| US10721243B2 (en) | Apparatus, system and method for identifying and mitigating malicious network threats | |
| US8683588B2 (en) | Method of and apparatus for monitoring for security threats in computer network traffic | |
| US8935785B2 (en) | IP prioritization and scoring system for DDoS detection and mitigation | |
| EP3068095B1 (en) | Monitoring apparatus and method | |
| KR100942456B1 (ko) | 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버 | |
| US20220086064A1 (en) | Apparatus and process for detecting network security attacks on iot devices | |
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| CN111600880A (zh) | 异常访问行为的检测方法、系统、存储介质和终端 | |
| US9479521B2 (en) | Software network behavior analysis and identification system | |
| KR20140027616A (ko) | 웹 트랜잭션 밀집도 기반 에이치티티피 봇넷 탐지 장치 및 방법 | |
| CN106470203B (zh) | 信息获取方法及装置 | |
| CN114301706B (zh) | 基于目标节点中现有威胁的防御方法、装置及系统 | |
| CN108712365B (zh) | 一种基于流量日志的DDoS攻击事件检测方法及系统 | |
| CN114500063B (zh) | 网络资产的分区感知威胁的方法、装置、系统及存储介质 | |
| CN116488923A (zh) | 一种基于openstack的网络攻击场景构建方法 | |
| CN114205169B (zh) | 网络安全防御方法、装置及系统 | |
| CN114301796A (zh) | 预测态势感知的验证方法、装置及系统 | |
| CN114189361A (zh) | 防御威胁的态势感知方法、装置及系统 | |
| CA3122328A1 (en) | A system for, and a method of creating cybersecurity situational awareness, threat detection and risk detection within the internet-of-things space | |
| KR101753846B1 (ko) | 사용자 맞춤형 로그 타입을 생성하기 위한 방법, 시스템 및 컴퓨터 판독 가능한 기록 매체 | |
| CN105187359A (zh) | 检测攻击客户端的方法和装置 | |
| CN114338189B (zh) | 基于节点拓扑关系链的态势感知防御方法、装置及系统 | |
| CN115766088A (zh) | 防护策略配置方法、装置、电子设备和可读存储介质 | |
| CN113704059A (zh) | 业务资产的防护方法、装置、电子设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |