CN114726557A - 一种网络安全防护方法及装置 - Google Patents
一种网络安全防护方法及装置 Download PDFInfo
- Publication number
- CN114726557A CN114726557A CN202011505798.7A CN202011505798A CN114726557A CN 114726557 A CN114726557 A CN 114726557A CN 202011505798 A CN202011505798 A CN 202011505798A CN 114726557 A CN114726557 A CN 114726557A
- Authority
- CN
- China
- Prior art keywords
- attack
- target
- network
- path
- attack path
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 64
- 230000015654 memory Effects 0.000 claims description 20
- 208000001613 Gambling Diseases 0.000 claims description 10
- 238000004590 computer program Methods 0.000 claims description 7
- 238000004891 communication Methods 0.000 description 45
- 230000007123 defense Effects 0.000 description 17
- 230000006399 behavior Effects 0.000 description 15
- 238000005516 engineering process Methods 0.000 description 11
- 238000012545 processing Methods 0.000 description 9
- 238000004422 calculation algorithm Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 8
- 230000007704 transition Effects 0.000 description 7
- 230000002787 reinforcement Effects 0.000 description 6
- 230000008569 process Effects 0.000 description 5
- 235000012907 honey Nutrition 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000006855 networking Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000001939 inductive effect Effects 0.000 description 2
- 238000012038 vulnerability analysis Methods 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000001364 causal effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000003379 elimination reaction Methods 0.000 description 1
- 230000002349 favourable effect Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供了一种网络安全防护方法,该方法可以周期性获取目标网络的网络信息,根据目标网络的网络信息预测攻击者可能采取的攻击手段,并动态部署安全防护策略。由于在不同的采集时间点,所采集的目标网络的状态信息可能不同,相应的所得到目标攻击手段也不同,进一步地,部署的安全防护策略也不同。换言之,利用本方案,可以动态的基于目标网络的网络信息,部署安全防护策略,例如动态蜜罐,从而有效保护网络安全。
Description
技术领域
本申请涉及网络安全领域,尤其涉及一种网络安全防护方法及装置。
背景技术
随着网络技术的发展,互联网(internet)实现了全球范围内数以亿计的主机(host)的互联互通,网络服务也已经渗透到生产和生活的方方面面。但是,随之而来的网络安全问题也日益突出,攻击者例如网络黑客可以通过对网络进行攻击,来影响网络服务的正常运行。
因此,如何保证网络安全,是目前亟待解决的问题。
发明内容
本申请实施例提供了一种网络安全防护方法及装置,可以有效提升网络安全。
第一方面,本申请实施例提供了一种网络安全防护方法,该方法可以由控制管理实体执行。在一个示例中,为了提升目标网络的网络安全,控制管理实体可以周期性获取目标网络的网络信息,并根据获取到的所述网络信息确定所述目标网络在当前状态下的目标攻击路径。此处提及的目标攻击路径,用于实现攻击目标。也就是说,所述目标攻击路径是达到攻击目标攻击者有可能采取的攻击路径。控制管理实体确定所述目标攻击路径之后,可以根据所述目标攻击路径动态部署安全防护策略。由此可见,利用本申请实施例的方法,控制管理实体可以根据目标网络的网络信息,预测攻击者可能对目标网络采取的攻击手段,并动态部署对应的安全防护策略,从而有效防止网络攻击,以提升目标网络的网络安全。作为一个示例,控制管理实体可以在目标网络内动态调整蜜罐的安全防护策略,从而引导攻击者攻击蜜罐,从而减少攻击者对目标网络中的通信装置的攻击,以提升目标网络的网络安全。由于在不同的采集时间点,所采集的目标网络的状态信息可能不同,相应的所得到目标攻击手段也不同,进一步地,部署的安全防护策略也不同。因此,利用本方案,可以动态的基于目标网络的网络信息,部署安全防护策略,从而有效保护网络安全。
在一种可能的实现方式中,考虑到攻击者一般会利用该网络的漏洞和/或该网络开放的端口信息对网络进行攻击。因此,所述目标网络的网络信息,可以包括目标网络的漏洞信息和/或目标网络开放的端口信息。控制管理实体获取到所述漏洞信息和开放的端口信息之后,可以根据所获取到的漏洞信息和开放的端口信息,确定目标攻击路径。
在一种可能的实现方式中,考虑到对于攻击者而言,其能够获得的与目标网络相关的信息越多,越有利于其对目标网络进行分析,从而确定攻击行为。因此,所述目标网络的网络信息,除了包括签署漏洞信息和/或开放的端口信息之外,还可以包括其它信息。一方面,目标网络的告警信息在一定程度上也能暴露目标网络的脆弱点,攻击者可以利用告警信息来确定攻击行为,因此,所述目标网络的网络信息,还可以包括告警信息。另一个方面,对于目标网络而言,若攻击者获得了目标网络的拓扑信息以及目标网络的设备配置信息,则攻击者也可以利用所述拓扑信息和设备配置信息,针对性的对所述目标网络进行精准攻击,因此,所述目标网络的网络信息,还可以包括所述目标网络的设备配置信息和/或拓扑信息。
在一种可能的实现方式中,由于对于当前状态下的目标网络而言,若要实现攻击目标,攻击者所能采取的攻击路径可能不止一个。因此,控制管理设备获取目标网络的网络信息之后,可以根据获取到的网络信息,确定第一攻击路径集合,第一攻击路径集合是能够实现所述攻击目标的多个攻击路径的集合。确定所述第一攻击路径集合之后,可以从所述第一攻击路径集合中选择所述目标攻击路径。在一个示例中,可以根据所述网络信息对攻击者能够实施的攻击路径进行遍历,以得到所述第一攻击路径集合。在又一个示例中,可以根据目标网络的网络信息,得到目标网络的第一攻击图,并进一步根据第一攻击图得到所述第一攻击路径集合。
在一种可能的实现方式中,可以从所述第一攻击路径集合中随机选择一个或者多个攻击路径作为所述目标攻击路径。
在一种可能的实现方式中,考虑到虽然所述第一攻击路径集合中的所有攻击路径均能够实现所述攻击目标,但是各个攻击路径对应的攻击代价可能并不相同。而攻击者在对网络进行攻击时,往往更加倾向于采用较小的攻击代价实现攻击目标。因此,可以从所述第一攻击路径集合中选择出一个或者多个攻击代价较小的攻击路径作为所述目标攻击路径。可以理解的是,对于所述第一攻击路径集合中的攻击路径而言,攻击者采用攻击代价最小的攻击路径对目标网络进行攻击的可能性最大,因此,在一个示例中,所述目标攻击路径可以是所述第一攻击路径集合中对应攻击代价最小的攻击路径。其中,所述第一攻击路径集合中对应攻击代价最小的攻击路径,也可以被称为最优攻击路径。
在一种可能的实现方式中,根据所述目标攻击路径动态部署安全防护策略在具体实现时,可以根据所述目标攻击路径,在目标网络内动态调整蜜罐的安全防护策略,从而使得蜜罐能够引诱更多的攻击流量,从而达到保护目标网络的目的。
在一种可能的实现方式中,若所述目标网络中已经部署有蜜罐,则可以对该已有蜜罐的安全防护策略进行调整。在另一些实施例中,还可以在所述目标网络中新增蜜罐。例如,目标网络中原本没有部署蜜罐,则可以新增蜜罐以引诱攻击流量;又如,目标网络中原本虽然已经部署蜜罐,但是已有蜜罐的安全防护策略不适合进行调整,故而可以新增蜜罐以引诱攻击流量。
在一种可能的实现方式中,控制管理实体根据获取到的网络信息确定目标攻击路径在具体实现时,可以首先根据获取到的所述网络信息,得到目标网络的第一攻击图。所述第一攻击图可以体现目标网络的各个漏洞之间的关联关系、以及能够达到攻击目标的攻击路径。因此,得到所述第一攻击图之后,可以利用所述第一攻击图得到所述目标攻击路径。
在一种可能的实现方式中,考虑到若计算目标攻击路径的攻击图中存在的信息可能会比较多,则会导致根据该攻击图计算所述目标攻击路径的计算量较大。为了降低计算所述目标攻击路径的计算量。可以首先根据所述获取到的所述网络信息,得到目标网络的第二攻击图,而后,去除所述第二攻击图中的冗余信息,得到第一攻击图。可以理解的是,所述第一攻击图与第二攻击图相比,数据量更少,但是却保留了第二攻击图中的有效信息。采用这种方式,可以有效减少计算所述目标攻击路径的计算量。
在一种可能的实现方式中,所述目标攻击路径可以为前述第一攻击路径集合中对应攻击代价较小的一个或者多个攻击路径。在一个示例中,为确定所述目标攻击路径,可以结合特定的算法或者模型和所述第一攻击图,得到所述目标攻击路径。其中,前述特点的算法可以确定第一攻击路径集合中各攻击路径的攻击代价。
在一种可能的实现方式中,可以利用多臂赌博机模型和所述第一攻击图得到所述目标攻击路径。其中,多臂赌博机模型对应的是强化学习中的单步强化学习任务,基于多臂赌博机模型能够确定对应攻击代价较小的攻击路径。在一个示例中,根据多臂赌博机模型和所述第一攻击图,确定目标网络的目标攻击路径在具体实现时,可以根据目标网络的当前状态(即:第一状态)、达成攻击目标时目标网络的状态(即:第二状态)以及所述第一攻击图,得到能够使得所述目标网络由第一状态转移为第二状态的第一攻击路径集合。可以理解的是,对于第一攻击路径集合中的任意一个攻击路径,均可以使得目标网络由第一状态转移为第二状态。而后,利用多臂赌博机模型计算所述第一攻击路径集合中各个攻击路径的报酬,然后,根据所述各个攻击路径的报酬,从第一攻击路径集合中选择所述目标攻击路径。
在一种可能的实现方式中,根据所述各个攻击路径的报酬,从第一攻击路径集合中选择所述目标攻击路径在具体实现时,可以将所述第一路径集合中的对应报酬由高到低排序靠前的N个攻击路径,确定为所述目标路径。此处提及的N为大于或者等于1的整数。当所述N的值为1时,所述目标路径实际上为实现攻击目标的最优攻击路径。
第二方面,本申请提供了一种控制管理实体,包括:收发单元和处理单元。所述收发单元用于执行以上第一方面以及第一方面任意一项所述的控制管理实体执行的收发操作,所述处理单元用于执行以上第一方面以及第一方面任意一项所述的控制管理实体执行的除收发操作之外的其它操作。
第三方面,本申请提供了一种控制管理实体,所述控制管理实体包括存储器和处理器;所述存储器,用于存储程序代码;所述处理器,用于运行所述程序代码中的指令,使得所述控制管理实体执行以上第一方面以及第一方面任意一项所述的方法。
第四方面,本申请提供了一种控制管理实体,所述控制管理实体包括通信接口和处理器,所述通信接口用于执行以上第一方面以及第一方面任意一项所述的控制管理实体执行的收发操作,所述处理器用于执行以上第一方面以及第一方面任意一项所述的控制管理实体执行的除收发操作之外的其它操作。
第五方面,本申请提供了一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有指令,当处理器运行所述指令时,实现以上第一方面以及第一方面任意一项所述的方法。
第六方面,本申请提供了一种计算机程序产品,包括计算机程序,当处理器运行所述程序时,实现以上第一方面以及第一方面任意一项所述的方法。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为部署了蜜罐的网络系统的示意图;
图2为本申请实施例提供的一种网络安全防护方法的流程示意图;
图3为本申请实施例提供的一种控制管理实体的结构示意图;
图4为本申请实施例提供的一种控制管理实体的结构示意图;
图5为本申请实施例提供的一种控制管理实体的结构示意图。
具体实施方式
本申请实施例提供了一种网络安全防护方法及装置,能够有效提升网络安全。
为方便理解,首先对网络安全防护的相关知识以及本申请实施例可能的应用场景进行介绍。
随着网络技术的发展,网络安全问题也日益突出,网络黑客可以通过对网络进行攻击,来影响网络服务的正常运行。
目前,为了保证网络安全,可以基于网络架构构建防御体系,通过多种不同的防御措施进行组合,实现网络安全防御。其中,前述防御体系例如可以是防火墙、入侵检测、安全网关、防病毒软件、数据加密、访问控制、用户认证等等,此处不一一列举说明。然而,这种防御体系的构建依赖于已有网络攻击的先验知识,是一种被动的防御技术。换言之,这种防御体系即只能拦截已知的攻击,而无法拦截未知的攻击。因此,这种防御体系并不能有效防止网络攻击。
鉴于前述防御体系不能有效防止网络攻击,蜜罐技术应运而生。蜜罐技术通过部署诱饵通信装置,诱使攻击者对诱饵通信装置实施攻击,从而减少攻击者对真实通信装置的攻击流量,进一步保护网络安全。另外,还可以对诱饵通信装置所受到的攻击进行分析,得到攻击者的攻击意图,并作出相应的应对措施,从而有效延缓、乃至阻止网络攻击,从而达到保护网络安全的目的。其中,诱饵通信装置也可以被称为蜜罐。
图1为部署了蜜罐的网络系统的示意图。如图1所示,数据收集、处理、分析模块可以收集针对诱饵通信装置的攻击信息,并对该攻击信息进行分析,从而得到攻击者的攻击意图,根据该攻击意图可以进一步采取相应的应对措施以保护真实通信装置。
对于待保护的网络而言,可以为其部署多台蜜罐,并且蜜罐技术还可以和前述防御系统相结合,从而保护网络安全。其中:蜜罐技术和前述防御系统相结合,也可以被称为密网技术。在密网技术中,为了引诱更多的攻击流量,所述蜜罐可以与待保护的网络中的通信装置部署相同的系统。例如,待保护网络中的主机部署有windows系统,则所述蜜罐也可以部署windows系统。而且,为降低密网技术的部署成本,蜜网的防御策略可以动态调整。例如,在第一通信周期内,开放蜜罐的1号端口至10号端口,在第二通信周期内,开放蜜罐的11号端口至20号端口。
但是,目前的密网技术只能根据已经捕获到的攻击来调整密网的防御措施。可以理解的是,当检测到攻击之后再去调整蜜网的防御策略,一方面攻击已经发生,此时再去调整蜜网的防御策略,无法起到完全、有效的保护;另一方面,网络中所存在的攻击繁多,仅基于已经捕获的攻击去调整蜜网防御策略,很难防范高危、隐蔽的攻击。换言之,目前的密网技术也不能有效保护网络安全。
鉴于此,本申请实施例提供了一种网络安全防护方法,该方法可以根据目标网络的网络信息预测攻击者可能采取的攻击手段,并动态部署安全防护策略,从而有效防止网络攻击,提升网络安全。
本申请实施例中提及的通信装置,可以是交换机、路由器等网络设备,也可以是网络设备上的一部分组件,例如是网络设备上的单板,线卡,还可以是网络设备上的一个功能模块,本申请实施例不做具体限定。通信装置还可以是用户设备。通信装置之间例如可以但不限于通过以太网线或光缆直接连接。
图2为本申请实施例提供的一种网络安全防护方法的流程示意图。图2所示的网络安全防护方法100,可以由控制管理实体执行。
本申请实施例中提及的控制管理实体例如可以为运行了网络管理系统(networkmanage system,NMS)的设备,又如可以为控制器。控制管理实体,可以是实现控制和/或管理功能的功能模块,也可以是运行了相关功能模块的物理实体,上述物理实体例如可以是安装了相关软件的服务器,通信装置等,所述相关软件用于实现控制管理实体的功能。本申请实施例不做具体限定。
图2所示的方法100,例如可以包括如下S101-S103。
S101:周期性的获取目标网络的网络信息。
在本申请实施例中,目标网络是待保护的网络,目标网络中可以包括网络设备和/或用户设备。目标网络中网络设备的可以属于接入网,也可以属于汇聚网,还可以属于核心网,此处不做具体限定。
目标网络的状态信息用于指示目标网络的状态。攻击者可以通过对目标网络的网络信息进行分析,从而采取相应的攻击行为。在本申请实施例中,为了有效保护目标网络的网络安全,可以首先获取所述目标网络的网络信息,并进一步根据所获取到的网络信息,预测攻击者对所述目标网络可能采取的攻击行为。
在一些实施例中,考虑到攻击者一般会利用该网络的漏洞和/或该网络开放的端口信息对网络进行攻击。因此,在一个示例中,所述目标网络的网络信息,可以包括目标网络的漏洞信息和/或目标网络开放的端口信息。其中,目标网络开放的端口信息,可以是目标网络中的通信装置上开放的协议端口号。在本申请实施例中,可以利用漏洞分析工具获得所述目标网络的漏洞信息,可以利用端口扫描工具获得所述目标网络开放的端口信息。关于漏洞分析工具和端口扫描工具,此处不做限定。
在一些实施例中,考虑到对于攻击者而言,其能够获得的与目标网络相关的信息越多,越有利于其对目标网络进行分析,从而确定攻击行为。因此,所述目标网络的网络信息,除了包括签署漏洞信息和/或开放的端口信息之外,还可以包括其它信息。作为一个示例,考虑到目标网络的告警信息在一定程度上也能暴露目标网络的脆弱点,攻击者可以利用告警信息来确定攻击行为,因此,所述目标网络的网络信息,还可以包括告警信息。作为另一个示例,对于目标网络而言,若攻击者获得了目标网络的拓扑信息以及目标网络的设备配置信息,则攻击者也可以利用所述拓扑信息和设备配置信息,针对性的对所述目标网络进行精准攻击,因此,所述目标网络的网络信息,还可以包括所述目标网络的设备配置信息和/或拓扑信息。其中:目标网络的设备配置信息,可以是目标网络中的通信装置的配置信息,通信装置的配置信息,例如可以包括通信装置支持的通信协议、通信装置开放的端口信息、以及通信装置提供的服务等。
S102:根据获取到的所述网络信息确定目标网络在当前状态下的目标攻击路径,所述目标攻击路径用于实现攻击目标。
获得目标网络的网络信息之后,可以根据所获取的网络信息确定目标网络在当前状态下的目标攻击路径。其中,目标攻击路径指的是为达到攻击目标攻击者有可能采取的攻击路径。所谓攻击路径,可以认为是攻击者按照一定顺序执行的多个攻击行为的集合。举例说明:攻击者利用漏洞A,攻陷了通信装置A。然后,在攻陷通信装置A的基础上,利用漏洞B,攻陷了通信装置B。最后在攻陷通信装置B的基础上,利用漏洞C,达到了攻击目标。对于这种情况,攻击者所采用的攻击路径包括按照执行的3个攻击行为,这三个攻击行为分别为:利用漏洞A攻击通信装置A、利用漏洞B攻击通信装置B、利用漏洞C进行攻击以实现攻击目标。此处提及的攻击目标,例如可以为攻陷某一通信装置。
可以理解的是,对于当前状态下的目标网络而言,若要实现攻击目标,攻击者所能采取的攻击路径可能不止一个。在一个示例中,S102在具体实现时,可以根据获取到的网络信息,确定第一攻击路径集合,第一攻击路径集合是能够实现所述攻击目标的多个攻击路径的集合。换言之,所述第一攻击路径集合中的所有攻击路径均能实现所述攻击目标。正是由于第一攻击路径集合中的所有攻击路径均能够实现所述攻击目标,因此,当攻击者希望实现所述攻击目标时,攻击者可能会利用所述第一攻击路径集合中的任意一个或者多个攻击路径对所述目标网络进行攻击。因此,确定所述第一攻击路径集合之后,可以从所述第一攻击路径集合中选择所述目标攻击路径。
在一个示例中,根据获取到的网络信息,确定第一攻击路径集合在具体实现时,可以根据所述网络信息对攻击者能够实施的攻击路径进行遍历,以得到所述第一攻击路径集合。在又一个示例中,可以根据目标网络的网络信息,得到目标网络的第一攻击图,并进一步根据第一攻击图得到所述第一攻击路径集合。关于第一攻击图以及根据第一攻击图得到第一攻击路径集合的具体实现,可以参考下文的相关描述部分,此处不做详述。
在一个示例中,可以从所述第一攻击路径集合中随机选择一个或者多个攻击路径作为所述目标攻击路径。
在又一个示例中,考虑到虽然所述第一攻击路径集合中的所有攻击路径均能够实现所述攻击目标,但是各个攻击路径对应的攻击代价可能并不相同。举例说明:第一攻击路径集合中包括攻击路径1和攻击路径2,其中,攻击路径1仅利用一个端口即可实现攻击目标,而攻击路径2则需要攻陷3个通信装置才能实现攻击目标,显然,攻击路径1的攻击代价小于攻击路径2的攻击代价。而攻击者在对网络进行攻击时,往往更加倾向于采用较小的攻击代价实现攻击目标。因此,在一种实现方式中,可以从所述第一攻击路径集合中选择出一个或者多个攻击代价较小的攻击路径作为所述目标攻击路径。例如,可以对所述第一攻击路径集合中的攻击路径按照攻击代价由小到大进行排序,将排序靠前的一定数目个攻击路径作为所述目标攻击路径。可以理解的是,对于所述第一攻击路径集合中的攻击路径而言,攻击者采用攻击代价最小的攻击路径对目标网络进行攻击的可能性最大,因此,在一个示例中,所述目标攻击路径可以是所述第一攻击路径集合中对应攻击代价最小的攻击路径。其中,所述第一攻击路径集合中对应攻击代价最小的攻击路径,也可以被称为最优攻击路径。
S103:根据所述目标攻击路径动态部署安全防护策略。
得到所述目标攻击路径之后,可以根据所述目标攻击路径动态部署安全防护策略。由于所述目标攻击路径是攻击者可能采取的攻击手段,因此,根据所述目标攻击路径动态部署安全防护策略,可以有效拦截攻击流量,从而保护目标网络的网络安全。
在S103的一种实现方式中,可以根据所述目标攻击路径,在目标网络内动态调整蜜罐的安全防护策略,从而使得蜜罐能够引诱更多的攻击流量,从而达到保护目标网络的目的。在一些实施例中,若所述目标网络中已经部署有蜜罐,则可以对该已有蜜罐的安全防护策略进行调整。例如:目标攻击路径指示攻击者可能会基于XX端口实现攻击目标,则可以在已有蜜罐上开放该XX端口以达到引诱攻击流量的目的。又如,目标攻击路径指示攻击者可能会基于已有的漏洞X实现攻击目标,则可以在蜜罐上部署该漏洞X,从而达到引诱攻击流量、保护真实通信装置的目的。在另一些实施例中,还可以在所述目标网络中新增蜜罐。例如,目标网络中原本没有部署蜜罐,则可以新增蜜罐以引诱攻击流量;又如,目标网络中原本虽然已经部署蜜罐,但是已有蜜罐的安全防护策略不适合进行调整,故而可以新增蜜罐以引诱攻击流量。
在S103的又一种实现方式中,可以在防火墙部署针对所述目标攻击路径对应的攻击流量的防护策略。在一个示例中,可以根据目标攻击路径对攻击流量可能具备的特征进行分析,得到攻击流量的特征之后,可以在防火墙上部署针对该攻击流量的拦截策略。在又一个示例中,基于目标攻击路径在目标网络内动态调整蜜罐的安全防护策略之后,控制管理实体可以收集蜜罐所受到的攻击,并对蜜罐所受到的攻击进行分析,进一步根据分析结果在防火墙上部署对应的防护策略。举例说明:蜜罐接收到大量针对XX端口的攻击流量,则可以在防火墙上部署针对XX端口的流量校验策略。
通过以上描述可知,利用方法100,控制管理实体可以根据目标网络的状态信息,预测攻击者可能对目标网络采取的攻击手段,并动态部署对应的安全防护策略,从而有效防止网络攻击,以提升目标网络的网络安全。而且,在不同的采集时间点,所采集的目标网络的状态信息可能不同,相应的所得到目标攻击手段也不同,进一步地,部署的安全防护策略也不同。换言之,利用本方案,可以动态的基于目标网络的网络信息,部署安全防护策略,从而有效保护网络安全。
接下来对S102的可能的实现方式进行介绍。
在一个示例中,S102可以通过如下步骤A和步骤B实现。
步骤A:控制管理实体根据获取到的所述网络信息,得到目标网络的第一攻击图。
首先,对攻击图进行简单介绍。
网络中总是存在一定的安全漏洞,同时这些漏洞之间可能存在一定的关联关系,即当一个漏洞被成功利用后,可能为另一漏洞的利用创造有利条件。例如:利用漏洞A攻陷通信装置A之后,即可利用漏洞B攻陷通信装置B。为了能够彻底找出所有关联关系,可以通过模拟攻击者对存在安全漏洞的网络攻击过程,找到所有能够到达攻击目标的攻击路径,同时将这些路径以图的形式表现,这种图就是攻击图。
此处提及的第一攻击图,可以体现目标网络的各个漏洞之间的关联关系、以及能够达到攻击目标的攻击路径。可以理解的是,所述第一攻击图在一定程度上可以体现目标网络潜在的高危威胁。
在一个示例中,攻击图生成工具能够基于所述目标网络的网络信息输出所述第一攻击图,因此,可以利用所述攻击图生成工具生成第一攻击图。本申请实施例不具体限定所述攻击图生成工具,所述攻击图生成工具例如可以为多阶段漏洞分析(multi-host multi-stage vulnerability analysis,MulVAL)工具。
在一个示例中,考虑到一些攻击图生成工具生成的攻击图中存在的信息可能会比较多,从而使得根据该攻击图计算所述目标攻击路径的计算量较大。为了降低计算所述目标攻击路径的计算量。可以首先根据所述获取到的所述网络信息,得到目标网络的第二攻击图,而后,去除所述第二攻击图中的冗余信息,得到第一攻击图。例如,可以利用MulVAL工具生成第二攻击图,并利用重构攻击图算法(algorithm to refine attack graph,ARAG)对所述第一攻击图进行重构,以去除所述第二攻击图中的冗余信息,得到所述第一攻击图。可以理解的是,所述第一攻击图与第二攻击图相比,数据量更少,但是却保留了第二攻击图中的有效信息。
步骤B:控制管理实体根据所述第一攻击图确定所述目标攻击路径。
如前所述,第一攻击图,可以体现目标网络的各个漏洞之间的关联关系、以及能够达到攻击目标的攻击路径。因此,可以利用所述第一攻击图得到所述目标攻击路径。
如前文对于目标攻击路径的描述可知,所述目标攻击路径可以为第一攻击路径集合中对应攻击代价较小的一个或者多个攻击路径。在一个示例中,为确定所述目标攻击路径,可以结合特定的算法或者模型和所述第一攻击图,得到所述目标攻击路径。其中,前述特点的算法可以确定第一攻击路径集合中各攻击路径的攻击代价。
在一个示例中:可以利用隐马尔科夫模型和所述第一攻击图得到所述目标攻击路径。举例说明:可以将目标网络中已知的漏洞、开放的端口和使用的协议作为观察态,目标网络遭受攻击或者目标网络遭受攻击的状态作为隐式态,目标网络的观察态和隐式态之间基于某个概率相关联。基于隐马尔科夫模型,系统的下一个状态可基于观察态的值预测出来。最后基于脆弱性评分和防御成本,并利用维特比算法可计算出最有可能的攻击序列进而得到目标攻击路径。
在又一个示例中,可以利用贝叶斯网络和所述第一攻击图得到所述目标攻击路径。其中:贝叶斯网络是一种概率图网络,其基于先验知识并结合因果关系得到某一未知事情的发生概率。可以利用贝叶斯网络和第一攻击图得到基于贝叶斯网络的攻击图。基于贝叶斯网络的攻击图由三元组{节点,连接线、概率矩阵}组成,其中,节点表示目标网络中已知的漏洞、暴露的端口等信息;连接线表示节点间的依赖关系;概率矩阵表示节点被攻击的条件概率。最后基于贝叶斯公示可求解目标攻击路径。
在另一个示例中,可以利用多臂赌博机模型和所述第一攻击图得到所述目标攻击路径。考虑到多臂赌博机模型对应的是强化学习中的单步强化学习任务,基于多臂赌博机模型能够确定对应攻击代价较小的攻击路径,而前述隐马尔可夫模型和贝叶斯网络只能求解得到能够实现攻击目标的攻击路径,不能确定实现攻击目标且对应攻击代价较小的攻击路径。因此,在一个优选的实现方式中,步骤B在实现时,可以利用多臂赌博机模型和所述第一攻击图,确定所述目标攻击路径。
首先,对多臂赌博机模型进行简单介绍。
多臂赌博机模型对应的是强化学习中的单步强化学习任务。多臂赌博机问题可描述如下:一个具有多个摇臂的赌博机,每次只能拉动其中的一个摇臂,且获得一定报酬,但拉动各个摇臂所对应的报酬未知。多臂赌博机问题是指:在各个决策时刻,按照怎样的策略拉动摇臂,才能使得自己获得的报酬最大。换言之,按照怎样的步骤拉动多臂赌博机的摇臂,才能获得最大的报酬。
将多臂赌博机模型应用于目标攻击路径确定的场景中时,可以将问题总结为:对于能够实现攻击目标的各种攻击路径,哪些攻击路径对应的报酬较大,报酬越大,对应该攻击路径的攻击代价越小。
其中:一个攻击路径可以包括多个攻击行为,每个攻击行为均对应一个攻击报酬,对于一个攻击路径,例如对于第一攻击路径而言,可以根据第一攻击路径包括的各个攻击行为的报酬确定所述第一攻击路径的报酬。
在一个示例中,根据多臂赌博机模型和所述第一攻击图,确定目标网络的目标攻击路径在具体实现时,可以根据目标网络的当前状态(以下简称第一状态)、达成攻击目标时所述目标网络的状态(以下简称第二状态)以及所述第一攻击图,得到能够使得所述目标网络由第一状态转移为第二状态的第一攻击路径集合。可以理解的是,对于第一攻击路径集合中的任意一个攻击路径,均可以使得目标网络由第一状态转移为第二状态。而后,利用多臂赌博机模型计算所述第一攻击路径集合中各个攻击路径的报酬,然后,根据所述各个攻击路径的报酬,从第一攻击路径集合中选择所述目标攻击路径。
关于第一状态和第二状态,需要说明的是,在一个示例中,当目标网络处于第一状态时,攻击者能够采取的攻击手段可以构成第二攻击路径集合,第二攻击路径集合中的部分攻击路径可以使得目标网络由第一状态转移为第二状态,第二攻击路径集合中的另外一些攻击路径可以使得目标网络由第一状态转移为其它状态例如第三状态。如前文描述可知,能够使得目标网络由第一状态转移为第二状态的攻击路径可以构成第一攻击路径集合,因此,第一攻击路径集合为第二攻击路径集合的子集。第一状态还可以指示当前攻击者已经实现的攻击目标。类似的,第二状态可以指示目标网络处于第二状态时攻击者已经实现的攻击目标。在一个示例中,攻击路径的报酬可以通过如下公式(1)确定。
在公式(1)中:
其中:l的取值大于或者等于1,l用于指示攻击路径中包括的攻击行为的数量;当l等于1时,攻击路径仅包括一个攻击行为
当l等于2时,攻击路径包括攻击行为
当l等于3时,攻击路径包括攻击行为
当l等于4时,攻击路径包括攻击行为
依此类推;
βn为
的折扣因子,该折扣因子可以是一个经验值,具体取值此处不做限定。
可以理解的是,目标网络的当前状态为S(0),即第一状态为S(0)。采取攻击行为
之后,目标网络的状态可以转移至S(1),继续采取攻击行为
目标网络的状态可以转移至S(2),依此类推,前述攻击路径
执行完成之后,目标网络的状态转移至S(l),此时,实现攻击目标。也就是说,所述状态S(l)能够指示攻击目标,状态S(l)即为前述第二状态。
根据公式(1)可知,为确定目标攻击路径,实际上是为了确定所述第一路径集合中对应报酬靠前的N个攻击路径。换言之,将所述第一路径集合中对应报酬靠前的N个攻击路径,确定为所述目标路径。可以理解的是,当所述N的值为1时,所述目标路径实际上为实现攻击目标的最优攻击路径。N为大于或者等于1的整数。
在一个示例中,可以利用Gittins定理和状态消除算法(state-eliminationalgorithm,SEA)计算各个攻击行为例如
的Gittins指标,从而根据各个攻击行为的Gittins指标,得到目标攻击路径。关于Gittins定理和SEA,由于是成熟的算法,故而此处不做详细说明。
此外,本申请实施例还提供了一种控制管理实体300,参见图3所示。图3为本申请实施例提供的一种控制管理实体的结构示意图。该控制管理实体300包括收发单元301和处理单元302。
在一个示例中,所述控制管理实体300可以执行以上实施例中的方法100,当控制管理实体300用于执行以上实施例中的方法100时,控制管理实体300相当于方法100中的控制管理实体。收发单元301用于执行方法100中控制管理实体执行的收发操作。处理单元302用于执行方法100中控制管理实体执行的除收发操作之外的操作。例如:收发单元301用于周期性的获取目标网络的网络信息;处理单元302用于根据获取到的所述网络信息确定所述目标网络在当前状态下的目标攻击路径,所述目标攻击路径用于实现攻击目标,并根据所述目标攻击路径动态部署安全防护策略。
此外,本申请实施例还提供了一种控制管理实体400,参见图4所示,图4为本申请实施例提供的一种通信装置的结构示意图。该控制管理实体400包括通信接口401和与通信接口401连接的处理器402。
在一个示例中,所述控制管理实体400可以执行以上实施例中的方法100,当控制管理实体400用于执行以上实施例中的方法100时,控制管理实体400相当于方法100中的控制管理实体。通信接口401用于执行方法100中控制管理实体执行的收发操作。处理器402用于执行方法100中控制管理实体执行的除收发操作之外的操作。例如:通信接口401用于周期性的获取目标网络的网络信息;处理器402用于根据获取到的所述网络信息确定所述目标网络在当前状态下的目标攻击路径,所述目标攻击路径用于实现攻击目标,并根据所述目标攻击路径动态部署安全防护策略。
此外,本申请实施例还提供了一种控制管理实体500,参见图5所示,图5为本申请实施例提供的一种通信装置的结构示意图。
该控制管理实体500可以用于执行以上实施例中的方法100。
如图5所示,控制管理实体500可以包括处理器510,与所述处理器510耦合连接的存储器520,收发器530。收发器530例如可以是通信接口,光模块等。处理器510可以是中央处理器(英文:central processing unit,缩写:CPU),网络处理器(英文:networkprocessor,缩写:NP)或者CPU和NP的组合。处理器还可以是专用集成电路(英文:application-specific integrated circuit,缩写:ASIC),可编程逻辑器件(英文:programmable logic device,缩写:PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(英文:complex programmable logic device,缩写:CPLD),现场可编程逻辑门阵列(英文:field-programmable gate array,缩写:FPGA),通用阵列逻辑(英文:generic arraylogic,缩写:GAL)或其任意组合。处理器510可以是指一个处理器,也可以包括多个处理器。存储器520可以包括易失性存储器(英文:volatile memory),例如随机存取存储器(英文:random-access memory,缩写:RAM);存储器也可以包括非易失性存储器(英文:non-volatile memory),例如只读存储器(英文:read-only memory,缩写:ROM),快闪存储器(英文:flash memory),硬盘(英文:hard disk drive,缩写:HDD)或固态硬盘(英文:solid-state drive,缩写:SSD);存储器520还可以包括上述种类的存储器的组合。存储器520可以是指一个存储器,也可以包括多个存储器。在一个实施方式中,存储器520中存储有计算机可读指令,所述计算机可读指令包括多个软件模块,例如发送模块521,处理模块522和接收模块523。处理器510执行各个软件模块后可以按照各个软件模块的指示进行相应的操作。在本实施例中,一个软件模块所执行的操作实际上是指处理器510根据所述软件模块的指示而执行的操作。
在一个示例中,所述控制管理实体500可以执行以上实施例中的方法100,当控制管理实体500用于执行以上实施例中的方法100时,控制管理实体500相当于方法100中的控制管理实体。收发器530用于执行方法100中控制管理实体执行的收发操作。处理器510用于执行方法100中控制管理实体执行的除收发操作之外的操作。例如:收发器530用于周期性的获取目标网络的网络信息;处理器510用于根据获取到的所述网络信息确定所述目标网络在当前状态下的目标攻击路径,所述目标攻击路径用于实现攻击目标,并根据所述目标攻击路径动态部署安全防护策略。
本申请还提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得所述计算机执行前述实施例所述的方法(例如,方法100)中任意一个或多个操作。
本申请还提供了一种计算机程序产品,包括计算机程序,当其在计算机上运行时,使得所述计算机执行前述实施例所述的方法(例如,方法100)中任意一个或多个操作。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑业务划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各业务单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件业务单元的形式实现。
集成的单元如果以软件业务单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本领域技术人员应该可以意识到,在上述一个或多个示例中,本发明所描述的业务可以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时,可以将这些业务存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质,其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。
以上的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上仅为本发明的具体实施方式而已。
以上,以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。
Claims (15)
1.一种网络安全防护方法,其特征在于,由控制管理实体执行,所述方法包括:
周期性的获取目标网络的网络信息;
根据获取到的所述网络信息确定所述目标网络在当前状态下的目标攻击路径,所述目标攻击路径用于实现攻击目标;
根据所述目标攻击路径动态部署安全防护策略。
2.根据权利要求1所述的方法,其特征在于,所述目标网络的网络信息,包括以下一项或者多项:
漏洞信息和开放的端口信息。
3.根据权利要求2所述的方法,其特征在于,所述目标网络的网络信息,还包括以下任意一项或者多项:
告警信息、设备配置信息和拓扑信息。
4.根据权利要求1-3任意一项所述的方法,其特征在于,所述目标攻击路径为实现攻击目标的最优攻击路径。
5.根据权利要求1-4任意一项所述的方法,其特征在于,所述根据所述目标攻击路径动态部署安全防护策略,包括:
根据所述目标攻击路径,在目标网络内动态调整蜜罐的安全防护策略。
6.根据权利要求5所述的方法,其特征在于,所述在目标网络内动态调整蜜罐的安全防护策略,包括:
在所述目标网络中新增蜜罐,或者,
对所述目标网络中已有的蜜罐的安全防护策略进行调整。
7.根据权利要求1-4任意一项所述的方法,其特征在于,根据所述目标攻击路径动态部署安全防护策略,包括:
在防火墙上部署针对所述目标攻击路径对应的攻击流量的防护策略。
8.根据权利要求1-7任意一项所述的方法,其特征在于,所述根据获取到的所述网络信息确定所述目标网络在当前状态下的目标攻击路径,包括:
根据所述网络信息,确定第一攻击路径集合,所述第一攻击路径集合中的所有攻击路径均能达到所述攻击目标;
从所述第一攻击路径集合中选择所述目标攻击路径。
9.根据权利要求1-7任意一项所述的方法,其特征在于,根据获取到的所述网络信息确定所述目标网络在当前状态下的目标攻击路径,包括:
根据获取到的所述网络信息,得到所述目标网络的第一攻击图;
根据所述第一攻击图确定所述目标攻击路径。
10.根据权利要求9所述的方法,其特征在于,所述根据所述第一攻击图确定所述目标攻击路径,包括:
根据多臂赌博机模型和所述第一攻击图,确定所述目标攻击路径。
11.根据权利要求10所述的方法,其特征在于,所述根据多臂赌博机模型和所述第一攻击图,确定所述目标网络的目标攻击路径,包括:
根据所述第一攻击图确定使得所述目标网络由第一状态转移到第二状态的第一攻击路径集合,所述第一状态为所述目标网络的当前状态,所述第二状态为达成所述攻击目标时所述目标网络的状态,所述第一攻击集合中的各个攻击路径均能够使得所述目标网络由所述第一状态转移为所述第二状态;
根据所述多臂赌博机模型确定所述第一攻击路径集合中各个攻击路径分别对应的报酬;
根据所述第一攻击路径集合中各个攻击路径分别对应的报酬,从所述第一攻击路径中选择所述目标攻击路径。
12.根据权利要求11所述的方法,其特征在于,所述根据所述第一攻击路径集合中各个攻击路径分别对应的报酬,从所述第一攻击路径中选择所述目标攻击路径,包括:
将所述第一路径集合中的对应报酬由高到底排序靠前的N个攻击路径,确定为所述目标路径,所述N为大于或者等于1的整数。
13.一种控制管理实体,其特征在于,所述控制管理实体包括存储器和处理器;
所述存储器,用于存储指令;
所述处理器,用于运行所述指令,使得所述控制管理实体执行以上权利要求1-12任意一项所述的方法。
14.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有指令,当处理器运行所述指令时,实现权利要求1-12任意一项所述的方法。
15.一种计算机程序产品,其特征在于,包括计算机程序,当处理器运行所述程序时,实现权利要求1-12任一项所述的方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011505798.7A CN114726557A (zh) | 2020-12-18 | 2020-12-18 | 一种网络安全防护方法及装置 |
| PCT/CN2021/131087 WO2022127482A1 (zh) | 2020-12-18 | 2021-11-17 | 一种网络安全防护方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011505798.7A CN114726557A (zh) | 2020-12-18 | 2020-12-18 | 一种网络安全防护方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114726557A true CN114726557A (zh) | 2022-07-08 |
Family
ID=82058915
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011505798.7A Pending CN114726557A (zh) | 2020-12-18 | 2020-12-18 | 一种网络安全防护方法及装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN114726557A (zh) |
| WO (1) | WO2022127482A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115391780A (zh) * | 2022-09-02 | 2022-11-25 | 中国电信股份有限公司 | 应用代码的安全加固方法、系统、设备及存储介质 |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115242467B (zh) * | 2022-07-05 | 2024-02-06 | 北京华顺信安科技有限公司 | 一种网络数据识别方法及系统 |
| CN115034694B (zh) * | 2022-08-11 | 2022-10-21 | 成都数之联科技股份有限公司 | 一种电网脆弱性评估方法、装置、电子设备及存储介质 |
| CN116132090B (zh) * | 2022-11-09 | 2024-04-02 | 中国电子科技集团公司第三十研究所 | 一种面向Web安全防护的欺骗防御系统 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105827450A (zh) * | 2016-04-11 | 2016-08-03 | 全球能源互联网研究院 | 一种脆弱性修复策略生成方法 |
| CN107528850A (zh) * | 2017-09-05 | 2017-12-29 | 西北大学 | 一种基于改进蚁群算法的最优防护策略分析系统及方法 |
| US11252175B2 (en) * | 2018-10-26 | 2022-02-15 | Accenture Global Solutions Limited | Criticality analysis of attack graphs |
| CN111683080B (zh) * | 2020-06-03 | 2021-08-10 | 西安电子科技大学 | 一种高危攻击路径动态预测及修复系统与方法 |
-
2020
- 2020-12-18 CN CN202011505798.7A patent/CN114726557A/zh active Pending
-
2021
- 2021-11-17 WO PCT/CN2021/131087 patent/WO2022127482A1/zh active Application Filing
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115391780A (zh) * | 2022-09-02 | 2022-11-25 | 中国电信股份有限公司 | 应用代码的安全加固方法、系统、设备及存储介质 |
| CN115391780B (zh) * | 2022-09-02 | 2024-02-02 | 中国电信股份有限公司 | 应用代码的安全加固方法、系统、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2022127482A1 (zh) | 2022-06-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Moustafa et al. | A holistic review of network anomaly detection systems: A comprehensive survey | |
| Sengupta et al. | A survey of moving target defenses for network security | |
| Miehling et al. | A POMDP approach to the dynamic defense of large-scale cyber networks | |
| JP6378395B2 (ja) | 異常部分グラフの検出のための道探査及び異常/変更検出及び網状況認知のためのdns要求及びホストエージェントの使用 | |
| CN114726557A (zh) | 一种网络安全防护方法及装置 | |
| Balarezo et al. | A survey on DoS/DDoS attacks mathematical modelling for traditional, SDN and virtual networks | |
| Roy et al. | Scalable optimal countermeasure selection using implicit enumeration on attack countermeasure trees | |
| EP2816773B1 (en) | Method for calculating and analysing risks and corresponding device | |
| Chen et al. | A model-based validated autonomic approach to self-protect computing systems | |
| Shen et al. | Adaptive Markov game theoretic data fusion approach for cyber network defense | |
| Fu et al. | On recognizing virtual honeypots and countermeasures | |
| CN110381041B (zh) | 分布式拒绝服务攻击态势检测方法及装置 | |
| Ankali et al. | Detection architecture of application layer DDoS attack for internet | |
| CN110401638B (zh) | 一种网络流量分析方法及装置 | |
| Ge et al. | Proactive defense for internet-of-things: moving target defense with cyberdeception | |
| Qin et al. | Worm detection using local networks | |
| Zhang et al. | A multi-step attack detection model based on alerts of smart grid monitoring system | |
| Hong et al. | Scalable security model generation and analysis using k-importance measures | |
| Ge et al. | Proactive defense for internet-of-things: Integrating moving target defense with cyberdeception | |
| Meier et al. | Towards an AI-powered Player in Cyber Defence Exercises | |
| Liu et al. | Integrated proactive defense for software defined Internet of Things under multi-target attacks | |
| Irum et al. | DDoS detection and prevention in internet of things | |
| Said et al. | Detection of mirai by syntactic and semantic analysis | |
| Yong et al. | Understanding botnet: From mathematical modelling to integrated detection and mitigation framework | |
| Vishnevsky et al. | A survey of game-theoretic approaches to modeling honeypots |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |