CN114584339A - 基于内生安全机制的网络安全防护方法和装置 - Google Patents

基于内生安全机制的网络安全防护方法和装置 Download PDF

Info

Publication number
CN114584339A
CN114584339A CN202111681563.8A CN202111681563A CN114584339A CN 114584339 A CN114584339 A CN 114584339A CN 202111681563 A CN202111681563 A CN 202111681563A CN 114584339 A CN114584339 A CN 114584339A
Authority
CN
China
Prior art keywords
protection
cloud server
target
security
protection rule
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111681563.8A
Other languages
English (en)
Inventor
刘浩
鲍坤夫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qax Technology Group Inc
Secworld Information Technology Beijing Co Ltd
Original Assignee
Qax Technology Group Inc
Secworld Information Technology Beijing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qax Technology Group Inc, Secworld Information Technology Beijing Co Ltd filed Critical Qax Technology Group Inc
Priority to CN202111681563.8A priority Critical patent/CN114584339A/zh
Publication of CN114584339A publication Critical patent/CN114584339A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/34Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters 

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明提供一种基于内生安全机制的网络安全防护方法和装置,其中方法包括:采集所述云服务器的目标资产指纹信息;向安全服务器发送所述目标资产指纹信息;接收所述安全服务器发送的所述云服务器的目标防护规则集;其中,所述目标防护规则集是所述安全服务器基于所述目标资产指纹信息和防护规则库确定的;所述防护规则库中存储有资产指纹信息和防护规则的对应关系;基于所述云服务器的目标防护规则集进行安全防护。本发明提供的基于内生安全机制的网络安全防护方法和装置,获取到的目标防护规则集是针对云服务器自身的目标资产指纹信息确定的,无需安全服务器将防护规则库中的所有防护规则下发给云服务器,从而减少了云服务器的资源消耗。

Description

基于内生安全机制的网络安全防护方法和装置
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于内生安全机制的网络安全防护方法和装置。
背景技术
随着移动互联网技术的发展,终端用户通常通过互联网访问云服务器的资源,云服务器为终端用户提供远程的业务存储和处理服务,终端用户的个人信息和业务数据会存储在云服务器的业务系统上。因此,为了符合内生安全机制的要求,云服务器的安全性检测显得尤为重要。
相关技术中,通常是在云服务器中安装agent代理,由agent代理通过在云服务器的网络驱动层上挂载的安全模块来实现网络包的防护,其中的防护规则都是从安全服务器统一全量获取。
但上述相关技术中,若安全服务器中的防护规则需要增加时,云服务器的防护规则也需要全量更新,而越来越多的防护规则,导致云服务器的资源消耗越来越多。
发明内容
针对现有技术存在的问题,本发明提供一种基于内生安全机制的网络安全防护方法和装置。
本发明提供一种基于内生安全机制的网络安全防护方法,应用于云服务器,包括:
采集所述云服务器的目标资产指纹信息;
向安全服务器发送所述目标资产指纹信息;
接收所述安全服务器发送的所述云服务器的目标防护规则集;其中,所述目标防护规则集是所述安全服务器基于所述目标资产指纹信息和防护规则库确定的;所述防护规则库中存储有资产指纹信息和防护规则的对应关系;
基于所述云服务器的目标防护规则集进行安全防护。
根据本发明提供的一种基于内生安全机制的网络安全防护方法,所述采集所述云服务器的目标资产指纹信息,包括:
按照预设周期,通过agent采集所述云服务器的目标资产指纹信息。
根据本发明提供的一种基于内生安全机制的网络安全防护方法,所述目标资产指纹信息至少包括以下之一:所述云服务器的操作系统信息、所述云服务器的系统软件信息和所述云服务器的应用软件信息。
根据本发明提供的一种基于内生安全机制的网络安全防护方法,在所述基于所述云服务器的目标防护规则集进行安全防护之后,所述方法还包括:
接收所述安全服务器发送的新的防护规则;
基于所述新的防护规则进行安全防护。
本发明还提供一种基于内生安全机制的网络安全防护方法,应用于安全服务器,包括:
接收云服务器发送的目标资产指纹信息;
基于所述目标资产指纹信息和防护规则库确定所述云服务器的目标防护规则集;其中,所述防护规则库中存储有资产指纹信息和防护规则的对应关系;
向所述云服务器发送所述目标防护规则集。
根据本发明提供的一种基于内生安全机制的网络安全防护方法,所述基于所述目标资产指纹信息和防护规则库确定所述云服务器的目标防护规则集,包括:
在所述防护规则库中查找与所述目标资产指纹信息对应的至少一个防护规则;
基于所述至少一个防护规则确定所述云服务器的所述目标防护规则集。
根据本发明提供的一种基于内生安全机制的网络安全防护方法,所述方法还包括:
获取新的漏洞信息;
基于所述新的漏洞信息确定新的防护规则;
将所述新的防护规则添加至所述防护规则库中。
根据本发明提供的一种基于内生安全机制的网络安全防护方法,在所述将所述新的防护规则添加至所述防护规则库中之后,所述方法还包括:
在确定所述新的防护规则为所述目标资产指纹信息对应的防护规则时,将所述新的防护规则发送至所述云服务器。
本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述基于内生安全机制的网络安全防护方法的步骤。
本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述基于内生安全机制的网络安全防护方法的步骤。
本发明还提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如上述任一种所述基于内生安全机制的网络安全防护方法的步骤。
本发明提供的一种基于内生安全机制的网络安全防护方法和装置,将采集到的云服务器的目标资产指纹信息发送给安全服务器,由安全服务器将基于目标资产指纹信息和防护规则库确定的目标防护规则集下发给云服务器,从而使得云服务器基于目标防护规则集进行安全防护。可知,本发明获取到的目标防护规则集是针对云服务器自身的目标资产指纹信息确定的,无需安全服务器将防护规则库中的所有防护规则下发给云服务器,从而减少了云服务器的资源消耗。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的基于内生安全机制的网络安全防护方法的流程示意图之一;
图2是本发明提供的基于内生安全机制的网络安全防护方法的流程示意图之二;
图3是本发明提供的基于内生安全机制的网络安全防护方法的流程示意图之三;
图4是本发明提供的基于内生安全机制的网络安全防护方法的流程示意图之四;
图5是本发明提供的基于内生安全机制的网络安全防护方法的流程示意图之五;
图6是本发明提供的基于内生安全机制的网络安全防护方法的交互图;
图7是本发明提供的基于内生安全机制的网络安全防护装置的结构示意图之一;
图8是本发明提供的基于内生安全机制的网络安全防护装置的结构示意图之二;
图9是本发明提供的电子设备的实体结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面结合图1-图6描述本发明的基于内生安全机制的网络安全防护方法。
图1是本发明提供的基于内生安全机制的网络安全防护方法的流程示意图之一,应用于云服务器,如图1所示,该网络安全防护方法包括以下步骤:
步骤101、采集所述云服务器的目标资产指纹信息。
其中,所述目标资产指纹信息至少包括以下之一:所述云服务器的操作系统信息、所述云服务器的系统软件信息和所述云服务器的应用软件信息。
可选地,按照预设周期,通过agent采集所述云服务器的目标资产指纹信息。
示例地,在云服务器上安装有agent代理,由agent按照预设周期采集云服务器的目标资产指纹信息,该目标资产指纹信息至少可以包括以下之一:云服务器的操作系统信息、云服务器的系统软件信息和云服务器的应用软件信息;其中,云服务器的操作系统信息可以为云服务器的操作系统的名称和版本信息,例如,安卓2.0;云服务器的系统软件信息可以为操作系统自身的软件标识信息,例如,安卓操作系统内置的相机软件的标识信息、相册软件的标识信息和应用商店的标识信息等;云服务器的应用软件信息可以为用户安装的软件的标识信息,例如,出行软件的标识信息、旅游软件的标识信息和支付软件的标识信息等。
可以理解的是,agent按照预设周期采集云服务器的目标资产指纹信息,可以实现云服务器中的资产指纹信息的持续更新。
步骤102、向安全服务器发送所述目标资产指纹信息。
示例地,在每次获取到云服务器的目标资产指纹信息时,都将获取到的云服务器的目标资产指纹信息发送给安全服务器。
步骤103、接收所述安全服务器发送的所述云服务器的目标防护规则集。
其中,所述目标防护规则集是所述安全服务器基于所述目标资产指纹信息和防护规则库确定的;所述防护规则库中存储有资产指纹信息和防护规则的对应关系。
示例地,安全服务器在每次接收到云服务器发送的目标资产指纹信息时,基于目标资产指纹信息和预先存储的防护规则库确定云服务器的目标防护规则集,并将确定的云服务器的目标防护规则集发送给云服务器。
需要说明的是,目标防护规则集中的每个防护规则可以为入侵防御系统(Intrusion Prevention Systems,IPS)规则。
步骤104、基于所述云服务器的目标防护规则集进行安全防护。
示例地,云服务器在接收到安全服务器发送的目标防护规则集时,基于目标防护规则集中的每个防护规则对云服务器进行安全防护;具体安全防护可以为基于目标防护规则集中的防护规则对网络数据包进行过滤检查,将不合法的网络数据包进行拦截,接收合法的网络数据包等。
本发明提供的一种基于内生安全机制的网络安全防护方法,将采集到的云服务器的目标资产指纹信息发送给安全服务器,由安全服务器将基于目标资产指纹信息和防护规则库确定的目标防护规则集下发给云服务器,从而使得云服务器基于目标防护规则集进行安全防护。可知,本发明获取到的目标防护规则集是针对云服务器自身的目标资产指纹信息确定的,无需安全服务器将防护规则库中的所有防护规则下发给云服务器,从而减少了云服务器的资源消耗。
可选地,图2是本发明提供的基于内生安全机制的网络安全防护方法的流程示意图之二,如图2所示,图1中的步骤104之后,该基于内生安全机制的网络安全防护方法还包括以下步骤:
步骤105、接收所述安全服务器发送的新的防护规则。
步骤106、基于所述新的防护规则进行安全防护。
示例地,云服务器在接收到安全服务器发送的新的防护规则时,可以基于新的防护规则对云服务器进行持续防护。
本发明提供的基于内生安全机制的网络安全防护方法,可以接收新的防护规则,基于新的防护规则对云服务器进行全面防护,提高了云服务器安全防护的全面性。
图3是本发明提供的基于内生安全机制的网络安全防护方法的流程示意图之三,应用于安全服务器,如图3所示,该基于内生安全机制的网络安全防护方法包括以下步骤:
步骤301、接收云服务器发送的目标资产指纹信息。
步骤302、基于所述目标资产指纹信息和防护规则库确定所述云服务器的目标防护规则集。
其中,所述防护规则库中存储有资产指纹信息和防护规则的对应关系。
可选地,在所述防护规则库中查找与所述目标资产指纹信息对应的至少一个防护规则;基于所述至少一个防护规则确定所述云服务器的所述目标防护规则集。
示例地,安全服务器在接收到云服务器发送的目标资产指纹信息时,对目标资产指纹信息进行解析,得到目标资产指纹信息中包括的所有信息,例如所有信息为云服务器的操作系统信息、一个系统软件信息和一个应用软件信息;然后,在防护规则库中查找操作系统信息对应的防护规则、查找该系统软件信息对应的防护规则、以及查找该应用软件对应的防护规则,最后将查找到的操作系统信息对应的防护规则、该系统软件信息对应的防护规则、以及该应用软件对应的防护规则确定为云服务器的目标防护规则集,也就是说,该目标防护规则集中包括了3个防护规则。
需要说明的是,防护规则库中的每个防护规则都是基于漏洞信息确定的,安全服务器在每获取到一个漏洞信息时,会基于该漏洞信息确定对应的防护规则,并将确定的防护规则添加至防护规则库中;所以获取到的漏洞信息越多,防护规则库中的防护规则也就越多。
可以理解的是,防护规则库中的每个防护规则都与漏洞信息和资产指纹信息对应。
步骤303、向所述云服务器发送所述目标防护规则集。
示例地,安全服务器在确定云服务器的目标防护规则集时,将目标防护规则集下发给对应的云服务器。
需要说明的是,安全服务器可以连接多个云服务器,每个云服务器均可以将采集的目标资产指纹信息发送给安全服务器,由安全服务器基于每个云服务器的目标资产指纹信息和防护规则库确定每个云服务器对应的目标防护规则集,并将每个云服务器对应的目标防护规则集发送给对应的云服务器,这样,每个云服务器获取到的目标防护规则集都是针对自己环境的,无需安全服务器将防护规则库中的所有防护规则下发给每个云服务器,从而减少了每个云服务器的资源消耗。
本发明提供的一种基于内生安全机制的网络安全防护方法,安全服务器在接收到云服务器发送的目标资产指纹信息时,将基于目标资产指纹信息和防护规则库确定的目标防护规则集下发给云服务器,从而使得云服务器基于目标防护规则集进行安全防护。可知,本发明获取到的目标防护规则集是针对云服务器自身的目标资产指纹信息确定的,无需安全服务器将防护规则库中的所有防护规则下发给云服务器,从而减少了云服务器的资源消耗。
可选地,图4是本发明提供的基于内生安全机制的网络安全防护方法的流程示意图之四,如图4所示,该基于内生安全机制的网络安全防护方法还可以包括以下步骤:
步骤304、获取新的漏洞信息。
示例地,安全服务器可以通过云端威胁情报获取新的漏洞信息。
步骤305、基于所述新的漏洞信息确定新的防护规则。
示例地,在获取到新的漏洞信息时,开发人员可以制定新的漏洞信息对应的防护规则。
步骤306、将所述新的防护规则添加至所述防护规则库中。
示例地,在确定新的防护规则后,将新的防护规则添加到防护规则库中。
本发明提供的基于内生安全机制的网络安全防护方法,在获取到新的漏洞信息时,制定对应的新的防护规则,以实现防护规则库中的防护规则的不断更新。
可选地,图5是本发明提供的基于内生安全机制的网络安全防护方法的流程示意图之五,如图5所示,图4中的步骤306之后,该基于内生安全机制的网络安全防护方法还可以包括以下步骤:
步骤307、在确定所述新的防护规则为所述目标资产指纹信息对应的防护规则时,将所述新的防护规则发送至所述云服务器。
示例地,在将新的防护规则添加至防护规则库中后,还可以确定新的防护规则是否为之前获取到的云服务器的目标资产指纹信息对应的防护规则,在确定新的防护规则为之前获取到的云服务器的目标资产指纹信息对应的防护规则时,可以将新的防护规则及时下发给对应的云服务器,便于云服务器基于新的防护规则继续进行安全防护;另外,将新的防护规则只发给相关的云服务器,也可以实现针对性的防护。
图6是本发明提供的基于内生安全机制的网络安全防护方法的交互图,应用于云服务器和安全服务器,如图6所示,该基于内生安全机制的网络安全防护方法包括以下步骤:
步骤601、采集所述云服务器的目标资产指纹信息。
步骤602、向安全服务器发送所述目标资产指纹信息。
步骤603、基于所述目标资产指纹信息和防护规则库确定所述云服务器的目标防护规则集。
其中,所述防护规则库中存储有资产指纹信息和防护规则的对应关系。
步骤604、向所述云服务器发送所述目标防护规则集。
步骤605、基于所述云服务器的目标防护规则集进行安全防护。
需要说明的是,在执行完步骤605之后,还可以基于预设周期循环执行上述步骤601至步骤605,以实现对每个云服务器的持续安全防护。
本发明提供的基于内生安全机制的网络安全防护方法,将采集到的云服务器的目标资产指纹信息发送给安全服务器,由安全服务器将基于目标资产指纹信息和防护规则库确定的目标防护规则集下发给云服务器,从而使得云服务器基于目标防护规则集进行安全防护。可知,本发明获取到的目标防护规则集是针对云服务器自身的目标资产指纹信息确定的,无需安全服务器将防护规则库中的所有防护规则下发给云服务器,从而减少了云服务器的资源消耗;另外,目标防护规则集中的防护规则都是针对云服务器本身的,所以不会造成无用防护规则的运行,进一步减少了云服务器的资源消耗;而且,目标防护规则集中的防护规则的数量小于防护规则库中的防护规则的数量,这样也会降低防护规则的误拦概率,还可以减少对云服务器中的用户业务的影响,提升用户业务的稳定性。
下面对本发明提供的基于内生安全机制的网络安全防护装置进行描述,下文描述的基于内生安全机制的网络安全防护装置与上文描述的基于内生安全机制的网络安全防护方法可相互对应参照。
图7是本发明提供的基于内生安全机制的网络安全防护装置的结构示意图之一,如图7所示,该基于内生安全机制的网络安全防护装置包括采集单元701、第一发送单元702、第一接收单元703和第一防护单元704;其中:
采集单元701,用于采集所述云服务器的目标资产指纹信息;
第一发送单元702,用于向安全服务器发送所述目标资产指纹信息;
第一接收单元703,用于接收所述安全服务器发送的所述云服务器的目标防护规则集;其中,所述目标防护规则集是所述安全服务器基于所述目标资产指纹信息和防护规则库确定的;所述防护规则库中存储有资产指纹信息和防护规则的对应关系;
第一防护单元704,用于基于所述云服务器的目标防护规则集进行安全防护。
本发明提供的一种基于内生安全机制的网络安全防护装置,将采集到的云服务器的目标资产指纹信息发送给安全服务器,由安全服务器将基于目标资产指纹信息和防护规则库确定的目标防护规则集下发给云服务器,从而使得云服务器基于目标防护规则集进行安全防护。可知,本发明获取到的目标防护规则集是针对云服务器自身的目标资产指纹信息确定的,无需安全服务器将防护规则库中的所有防护规则下发给云服务器,从而减少了云服务器的资源消耗。
基于上述任一实施例,所述采集单元701具体用于:
按照预设周期,通过agent采集所述云服务器的目标资产指纹信息。
基于上述任一实施例,所述目标资产指纹信息至少包括以下之一:所述云服务器的操作系统信息、所述云服务器的系统软件信息和所述云服务器的应用软件信息。
基于上述任一实施例,所述装置还包括第三接收单元和第二防护单元;
所述第三接收单元,用于接收所述安全服务器发送的新的防护规则;
所述第二防护单元,用于基于所述新的防护规则进行安全防护。
图8是本发明提供的基于内生安全机制的网络安全防护装置的结构示意图之二,如图8所示,该基于内生安全机制的网络安全防护装置包括第二接收单元801、第一确定单元802和第二发送单元803;其中:
第二接收单元801,用于接收云服务器发送的目标资产指纹信息;
第一确定单元802,用于基于所述目标资产指纹信息和防护规则库确定所述云服务器的目标防护规则集;其中,所述防护规则库中存储有资产指纹信息和防护规则的对应关系;
第二发送单元803,用于向所述云服务器发送所述目标防护规则集。
本发明提供的一种基于内生安全机制的网络安全防护装置,安全服务器在接收到云服务器发送的目标资产指纹信息时,将基于目标资产指纹信息和防护规则库确定的目标防护规则集下发给云服务器,从而使得云服务器基于目标防护规则集进行安全防护。可知,本发明获取到的目标防护规则集是针对云服务器自身的目标资产指纹信息确定的,无需安全服务器将防护规则库中的所有防护规则下发给云服务器,从而减少了云服务器的资源消耗。
基于上述任一实施例,所述第一确定单元802具体用于:
在所述防护规则库中查找与所述目标资产指纹信息对应的至少一个防护规则;
基于所述至少一个防护规则确定所述云服务器的所述目标防护规则集。
基于上述任一实施例,所述装置还包括获取单元、第二确定单元和添加单元;
所述获取单元,用于获取新的漏洞信息;
所述第二确定单元,用于基于所述新的漏洞信息确定新的防护规则;
所述添加单元,用于将所述新的防护规则添加至所述防护规则库中。
基于上述任一实施例,所述装置还包括第三发送单元;
所述第三发送单元,用于在确定所述新的防护规则为所述目标资产指纹信息对应的防护规则时,将所述新的防护规则发送至所述云服务器。
图9是本发明提供的电子设备的实体结构示意图,如图9所示,该电子设备可以包括:处理器(processor)910、通信接口(Communications Interface)920、存储器(memory)930和通信总线940,其中,处理器910,通信接口920,存储器930通过通信总线940完成相互间的通信。处理器910可以调用存储器930中的逻辑指令,以执行基于内生安全机制的网络安全防护方法,该方法包括:采集所述云服务器的目标资产指纹信息;
向安全服务器发送所述目标资产指纹信息;
接收所述安全服务器发送的所述云服务器的目标防护规则集;其中,所述目标防护规则集是所述安全服务器基于所述目标资产指纹信息和防护规则库确定的;所述防护规则库中存储有资产指纹信息和防护规则的对应关系;
基于所述云服务器的目标防护规则集进行安全防护;
或者,处理器910可以调用存储器930中的逻辑指令,以执行基于内生安全机制的网络安全防护方法,该方法包括:
接收云服务器发送的目标资产指纹信息;
基于所述目标资产指纹信息和防护规则库确定所述云服务器的目标防护规则集;其中,所述防护规则库中存储有资产指纹信息和防护规则的对应关系;
向所述云服务器发送所述目标防护规则集。
此外,上述的存储器930中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括计算机程序,计算机程序可存储在非暂态计算机可读存储介质上,所述计算机程序被处理器执行时,计算机能够执行上述各方法所提供的基于内生安全机制的网络安全防护方法,该方法包括:采集所述云服务器的目标资产指纹信息;
向安全服务器发送所述目标资产指纹信息;
接收所述安全服务器发送的所述云服务器的目标防护规则集;其中,所述目标防护规则集是所述安全服务器基于所述目标资产指纹信息和防护规则库确定的;所述防护规则库中存储有资产指纹信息和防护规则的对应关系;
基于所述云服务器的目标防护规则集进行安全防护;
或者,当所述程序指令被计算机执行时,计算机能够实现如下方法:
接收云服务器发送的目标资产指纹信息;
基于所述目标资产指纹信息和防护规则库确定所述云服务器的目标防护规则集;其中,所述防护规则库中存储有资产指纹信息和防护规则的对应关系;
向所述云服务器发送所述目标防护规则集。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各方法提供的基于内生安全机制的网络安全防护方法,该方法包括:采集所述云服务器的目标资产指纹信息;
向安全服务器发送所述目标资产指纹信息;
接收所述安全服务器发送的所述云服务器的目标防护规则集;其中,所述目标防护规则集是所述安全服务器基于所述目标资产指纹信息和防护规则库确定的;所述防护规则库中存储有资产指纹信息和防护规则的对应关系;
基于所述云服务器的目标防护规则集进行安全防护;
或者,该计算机程序被处理器执行时实现如下方法:
接收云服务器发送的目标资产指纹信息;
基于所述目标资产指纹信息和防护规则库确定所述云服务器的目标防护规则集;其中,所述防护规则库中存储有资产指纹信息和防护规则的对应关系;
向所述云服务器发送所述目标防护规则集。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (13)

1.一种基于内生安全机制的网络安全防护方法,其特征在于,应用于云服务器,包括:
采集所述云服务器的目标资产指纹信息;
向安全服务器发送所述目标资产指纹信息;
接收所述安全服务器发送的所述云服务器的目标防护规则集;其中,所述目标防护规则集是所述安全服务器基于所述目标资产指纹信息和防护规则库确定的;所述防护规则库中存储有资产指纹信息和防护规则的对应关系;
基于所述云服务器的目标防护规则集进行安全防护。
2.根据权利要求1所述的基于内生安全机制的网络安全防护方法,其特征在于,所述采集所述云服务器的目标资产指纹信息,包括:
按照预设周期,通过agent采集所述云服务器的目标资产指纹信息。
3.根据权利要求1所述的基于内生安全机制的网络安全防护方法,其特征在于,所述目标资产指纹信息至少包括以下之一:所述云服务器的操作系统信息、所述云服务器的系统软件信息和所述云服务器的应用软件信息。
4.根据权利要求1-3任一项所述的基于内生安全机制的网络安全防护方法,其特征在于,在所述基于所述云服务器的目标防护规则集进行安全防护之后,所述方法还包括:
接收所述安全服务器发送的新的防护规则;
基于所述新的防护规则进行安全防护。
5.一种基于内生安全机制的网络安全防护方法,其特征在于,应用于安全服务器,包括:
接收云服务器发送的目标资产指纹信息;
基于所述目标资产指纹信息和防护规则库确定所述云服务器的目标防护规则集;其中,所述防护规则库中存储有资产指纹信息和防护规则的对应关系;
向所述云服务器发送所述目标防护规则集。
6.根据权利要求5所述的基于内生安全机制的网络安全防护方法,其特征在于,所述基于所述目标资产指纹信息和防护规则库确定所述云服务器的目标防护规则集,包括:
在所述防护规则库中查找与所述目标资产指纹信息对应的至少一个防护规则;
基于所述至少一个防护规则确定所述云服务器的所述目标防护规则集。
7.根据权利要求5或6所述的基于内生安全机制的网络安全防护方法,其特征在于,所述方法还包括:
获取新的漏洞信息;
基于所述新的漏洞信息确定新的防护规则;
将所述新的防护规则添加至所述防护规则库中。
8.根据权利要求7所述的基于内生安全机制的网络安全防护方法,其特征在于,在所述将所述新的防护规则添加至所述防护规则库中之后,所述方法还包括:
在确定所述新的防护规则为所述目标资产指纹信息对应的防护规则时,将所述新的防护规则发送至所述云服务器。
9.一种基于内生安全机制的网络安全防护装置,其特征在于,包括:
采集单元,用于采集所述云服务器的目标资产指纹信息;
第一发送单元,用于向安全服务器发送所述目标资产指纹信息;
第一接收单元,用于接收所述安全服务器发送的所述云服务器的目标防护规则集;其中,所述目标防护规则集是所述安全服务器基于所述目标资产指纹信息和防护规则库确定的;所述防护规则库中存储有资产指纹信息和防护规则的对应关系;
第一防护单元,用于基于所述云服务器的目标防护规则集进行安全防护。
10.一种基于内生安全机制的网络安全防护装置,其特征在于,包括:
第二接收单元,用于接收云服务器发送的目标资产指纹信息;
第一确定单元,用于基于所述目标资产指纹信息和防护规则库确定所述云服务器的目标防护规则集;其中,所述防护规则库中存储有资产指纹信息和防护规则的对应关系;
第二发送单元,用于向所述云服务器发送所述目标防护规则集。
11.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至4任一项所述基于内生安全机制的网络安全防护方法的步骤,或者,实现如权利要求5至8任一项所述基于内生安全机制的网络安全防护方法的步骤。
12.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至4任一项所述基于内生安全机制的网络安全防护方法的步骤,或者,实现如权利要求5至8任一项所述基于内生安全机制的网络安全防护方法的步骤。
13.一种计算机程序产品,包括计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至4任一项所述基于内生安全机制的网络安全防护方法的步骤,或者,实现如权利要求5至8任一项所述基于内生安全机制的网络安全防护方法的步骤。
CN202111681563.8A 2021-12-29 2021-12-29 基于内生安全机制的网络安全防护方法和装置 Pending CN114584339A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111681563.8A CN114584339A (zh) 2021-12-29 2021-12-29 基于内生安全机制的网络安全防护方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111681563.8A CN114584339A (zh) 2021-12-29 2021-12-29 基于内生安全机制的网络安全防护方法和装置

Publications (1)

Publication Number Publication Date
CN114584339A true CN114584339A (zh) 2022-06-03

Family

ID=81772002

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111681563.8A Pending CN114584339A (zh) 2021-12-29 2021-12-29 基于内生安全机制的网络安全防护方法和装置

Country Status (1)

Country Link
CN (1) CN114584339A (zh)

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101560259B1 (ko) * 2015-02-27 2015-10-15 주식회사 씨에이에스 정보보호 관리체계의 범용 법규/규칙 수용이 가능한 통제항목 및 준수 관리시스템
CN106888106A (zh) * 2015-12-16 2017-06-23 国家电网公司 智能电网中的it资产大规模侦测系统
CN107800709A (zh) * 2017-11-06 2018-03-13 杭州迪普科技股份有限公司 一种生成网络攻击检测策略的方法及装置
CN109428871A (zh) * 2017-08-31 2019-03-05 腾讯科技(深圳)有限公司 防御策略确定方法及装置
CN110708315A (zh) * 2019-10-09 2020-01-17 杭州安恒信息技术股份有限公司 资产漏洞的识别方法、装置和系统
CN112087455A (zh) * 2020-09-10 2020-12-15 杭州安恒信息技术股份有限公司 一种waf站点防护规则生成方法、系统、设备及介质
CN112270493A (zh) * 2020-11-13 2021-01-26 中盈优创资讯科技有限公司 一种资产自动防护的方法及装置
CN112702300A (zh) * 2019-10-22 2021-04-23 华为技术有限公司 一种安全漏洞的防御方法和设备
CN112966183A (zh) * 2020-09-11 2021-06-15 卞美玲 面向云计算和信息安全的业务防护方法、系统及智能平台
CN112995236A (zh) * 2021-05-20 2021-06-18 杭州海康威视数字技术股份有限公司 一种物联网设备安全管控方法、装置和系统
CN113704059A (zh) * 2021-08-17 2021-11-26 深信服科技股份有限公司 业务资产的防护方法、装置、电子设备和存储介质

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101560259B1 (ko) * 2015-02-27 2015-10-15 주식회사 씨에이에스 정보보호 관리체계의 범용 법규/규칙 수용이 가능한 통제항목 및 준수 관리시스템
CN106888106A (zh) * 2015-12-16 2017-06-23 国家电网公司 智能电网中的it资产大规模侦测系统
CN109428871A (zh) * 2017-08-31 2019-03-05 腾讯科技(深圳)有限公司 防御策略确定方法及装置
CN107800709A (zh) * 2017-11-06 2018-03-13 杭州迪普科技股份有限公司 一种生成网络攻击检测策略的方法及装置
CN110708315A (zh) * 2019-10-09 2020-01-17 杭州安恒信息技术股份有限公司 资产漏洞的识别方法、装置和系统
CN112702300A (zh) * 2019-10-22 2021-04-23 华为技术有限公司 一种安全漏洞的防御方法和设备
CN112087455A (zh) * 2020-09-10 2020-12-15 杭州安恒信息技术股份有限公司 一种waf站点防护规则生成方法、系统、设备及介质
CN112966183A (zh) * 2020-09-11 2021-06-15 卞美玲 面向云计算和信息安全的业务防护方法、系统及智能平台
CN112270493A (zh) * 2020-11-13 2021-01-26 中盈优创资讯科技有限公司 一种资产自动防护的方法及装置
CN112995236A (zh) * 2021-05-20 2021-06-18 杭州海康威视数字技术股份有限公司 一种物联网设备安全管控方法、装置和系统
CN113704059A (zh) * 2021-08-17 2021-11-26 深信服科技股份有限公司 业务资产的防护方法、装置、电子设备和存储介质

Similar Documents

Publication Publication Date Title
CN109743315B (zh) 针对网站的行为识别方法、装置、设备及可读存储介质
US8805995B1 (en) Capturing data relating to a threat
US9106681B2 (en) Reputation of network address
CN111786966A (zh) 浏览网页的方法和装置
US20220217169A1 (en) Malware detection at endpoint devices
CN109344611B (zh) 应用的访问控制方法、终端设备及介质
US20170155683A1 (en) Remedial action for release of threat data
CN116938600B (zh) 威胁事件的分析方法、电子设备及存储介质
CN110839025A (zh) 中心化web渗透检测蜜罐方法、装置、系统及电子设备
CN109150790B (zh) Web页面爬虫识别方法和装置
CN104318153A (zh) 一种在线监测移动设备下载移动应用的系统
CN115086064A (zh) 基于协同入侵检测的大规模网络安全防御系统
EP3451223B1 (en) Systems and methods for detecting fraudulent use of a serial code for accessing an associated value stored on a network
US10706148B2 (en) Spatial and temporal convolution networks for system calls based process monitoring
US20210112418A1 (en) Sms fraud detection
CN108256327B (zh) 一种文件检测方法及装置
CN114584339A (zh) 基于内生安全机制的网络安全防护方法和装置
CN107332856B (zh) 地址信息的检测方法、装置、存储介质和电子装置
CN116016174A (zh) 规则库升级方法、装置、电子设备和存储介质
CN113364766B (zh) 一种apt攻击的检测方法及装置
CN111262842B (zh) 网页防篡改方法、装置、电子设备、及存储介质
CN114726579A (zh) 防御网络攻击的方法、装置、设备、存储介质及程序产品
CN113709136A (zh) 一种访问请求验证方法和装置
CN109150871A (zh) 安全检测方法、装置、电子设备及计算机可读存储介质
Rethishkumar et al. Status Monitoring System-Based Defense Mechanism (SMS-BDM) for Preventing Co-resident DoS Attacks in Cloud Environment

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination