CN114938303B - 一种适用于电网调控云平台的微隔离安全防护方法 - Google Patents
一种适用于电网调控云平台的微隔离安全防护方法 Download PDFInfo
- Publication number
- CN114938303B CN114938303B CN202210550314.3A CN202210550314A CN114938303B CN 114938303 B CN114938303 B CN 114938303B CN 202210550314 A CN202210550314 A CN 202210550314A CN 114938303 B CN114938303 B CN 114938303B
- Authority
- CN
- China
- Prior art keywords
- micro
- node
- host
- isolation
- service system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Remote Monitoring And Control Of Power-Distribution Networks (AREA)
- Supply And Distribution Of Alternating Current (AREA)
Abstract
本发明公开一种适用于电网调控云平台微隔离安全防护方法,包括:基于电网调控云平台管理的所有主机节点的节点运行信息分析得到主机节点之间的连接关系数据,进而分析确定调控云平台内的业务系统,以及各业务系统下的主机节点;基于已确定的业务系统及其主机节点,按照预设的微隔离原则生成对应调控云平台内业务系统的微隔离策略,下发至对应的业务系统下的主机节点,使得主机节点执行所述微隔离策略;根据主机节点的节点运行信息,判断主机节点之间的连接行为是否符合其应当正在执行的微隔离策略,得到主机节点的策略执行校核结果。本发明能够实现电网调控云平台对业务节点的业务类型识别,进而实现电网调控云平台内外的微隔离防护,有效调控云平台系统的安全性。
Description
技术领域
本发明涉及网络安全技术领域,特别是一种适用于电网调控云平台的微隔离安全防护方法、装置、存储介质及系统。
背景技术
调控云,是适应电网一体化运行特征,以电网运行和调控管理业务为需求导向,依托云计算、大数据和移动互联网等新技术,所构建的面向电网调控业务的云服务平台。调控云构建了全网统一的模型、运行和实时数据资源池,实现了电网一、二次系统完整、准确建模,各类运行数据的云端存储和应用,以及电网实时数据云端获取。
微隔离作为调控云业务间访问的重要手段,可以实现云平台上业务的连接关系的发现、业务识别和隔离等功能。电网调控云可通过明确调控云安全防护边界,合理划分内部网络安全域,部署安全防护技术措施。现有的调控云平台中,可对不同节点进行管理,但缺少业务系统的自动计算识别,尚未具备对大量的主机节点进行高效管理,以及采集节点的连接关系后,对新的节点所属的业务系统进行更新的能力。
发明内容
本发明的目的是提供一种适用于电网调控云平台微隔离安全防护方法、装置、存储介质及系统,能够实现电网调控云平台中服务端对业务节点的业务类型识别,并在此基础上实现电网调控云平台业务系统的微隔离防护,有效构建调控云的边界防护。本发明采用的技术方案如下。
一方面,本发明提供一种适用于电网调控云平台的微隔离安全防护方法,包括:
接收各主机节点发出的节点运行信息;
基于所有主机节点的节点运行信息分析得到主机节点之间的连接关系数据;
根据所述连接关系数据分析确定调控云平台内的业务系统,以及各业务系统下的主机节点;
基于已确定的业务系统及各业务系统下的主机节点,按照预设的微隔离原则生成对应调控云平台内业务系统的微隔离策略;
将所确定的业务系统的微隔离策略下发至对应的业务系统下的主机节点,使得主机节点执行所述微隔离策略;
根据主机节点发出的节点运行信息,判断主机节点之间的连接行为是否符合其应当正在执行的微隔离策略,得到主机节点的策略执行校核结果。
可选的,方法还包括,接收外部输入的指定微隔离策略数据,根据所述指定微隔离策略数据对当前微隔离策略进行更新,将更新后的微隔离策略下发至对应的业务系统的主机节点。也即,本发明既能够实现微隔离策略的自动生成,也能够支持微隔离策略的人工主动修改。
可选的,方法还包括,根据所述策略执行校核结果,将连接行为符合微隔离策略的主机节点作为校核通过的节点,对于连接行为不符合微隔离策略的主机节点,获取对应的连接关系信息,输出相应的连接关系告警信息。
可选的,方法还包括,对每次接收到的节点运行信息和每次生成的微隔离策略进行存储;
所述根据主机节点发出的节点运行信息,判断主机节点之间的连接行为是否符合其应当正在执行的微隔离策略,包括:根据已存储的指定时段的节点运行信息和微隔离策略,判断所述指定时段内主机节点之间的连接行为是否符合该时段应当执行的微隔离策略。也即,本发明不仅支持实时节点连接关系校核,也能够支持指定时段的历史连接关系校核。
可选的,方法还包括:接收主机节点返回的策略执行结果信息,根据所述策略执行结果信息,若主机节点执行微隔离策略失败,则再次向相应的主机节点下发最新的主机节点所属业务系统的微隔离策略。避免数据传输出错导致的微隔离策略无法执行。
可选的,所述节点运行信息包括主机节点实时的本地信息、运行状态、运行的软件、执行的进程、开放的服务端口以及与其他主机节点的连接关系信息;
主机节点的本地信息包括主机名、操作系统、cpu使用率、内存信息、网络设备信息等;
所述连接关系信息包括:本地IP、本地端口、远程IP、远程端口、网络协议、进程ID、进程名和最近连接时间。
其中:本地IP是指采集信息的主机节点的自身IP地址;本地端口指与远端节点连接的自身节点开放的端口;远程IP指节点采集到的与自身字节连接的远端IP地址;远程端口指节点采集到的与自身字节连接的远端开放的端口;网络协议是指通信双方就通信如何进行所必须共同遵守的约定和通信规则的集合,包括TCP、UDP等;进程ID是指节点与远端的连接关系在自身节点进程的ID;进程名是指节点与远端的连接关系在自身节点进程的名称;最近连接时间是指该条连接关系最近的连接时间。
可选的,所述节点运行信息由各主机节点周期性采集并发送至服务端;
所述基于所有主机节点的节点运行信息分析得到主机节点之间的连接关系数据,包括:周期性的基于所有主机节点在相同时段内上送的节点运行信息,分析得到对应时段的主机节点之间的连接关系数据。
可选的,根据所述连接关系数据分析确定调控云平台内的业务系统,以及各业务系统下的主机节点,包括:
构建用于识别节点业务系统的图生成模型AGM;
根据所述连接关系数据对应的实际图,采用梯度下降方法对AGM的模型参数进行迭代优化,得到最优拟合实际图的AGM;
根据最优AGM确定调控云平台内的业务系统以及各业务系统下的主机节点。
以上业务系统及其下主机节点的识别即采用了现有的BigCLAM重叠算法实现。
可选的,图生成模型AGM表示为B(V,C,M,{Pc}),其中,V表示主机节点集合,C表示需要确定的业务系统数,M表示主机节点隶属业务系统的关系矩阵,Pc表示业务系统内每对主机节点的连接概率;
所述根据所述连接关系数据对应的实际图,采用梯度下降方法对AGM的模型参数进行迭代优化,得到最优拟合实际图的AGM,包括:
S11,根据主机节点的服务端口类型和连接端口种类初始化一个较大的初始业务系统数C0;
S12,根据C0构造节点隶属业务系统的关系矩阵M,其每一行中的元素代表同一主机节点隶属不同业务系统的强度,每一列中的元素代表不同主机节点隶属同一业务系统的强度;其中,节点间的连接概率到节点隶属强度的转换方式表示为:
式中,Fu、Fv分别表示主机节点u、v等长地隶属每个业务系统的强度向量;
S13,将节点间的连接概率到节点隶属强度的转换公式代入以下优化目标函数,采用梯度下降方法优化AGM的模型参数,得到每个主机节点隶属每个业务系统的强度向量;其中优化目标函数表示为:
式中,G代表业务系统,F代表最优拟合实际图的AGM,F与G的节点数相同;
S14,根据每个主机节点隶属每个业务系统的强度向量,确定M中列元素不全为0的列的个数,将其作为最终的业务系统数C,各列中不为0的元素所对应的主机节点为相应业务系统下的主机节点。
可选的,方法还包括:根据节点运行信息中的所运行软件及所开放的服务端口信息,确定主机节点的角色标签;
所述预设的微隔离原则包括:调控云平台内的主机节点仅指定的部分IP地址面向调控云平台外部可访问;调控云平台内各业务系统之间仅指定开放的服务或端口可相互访问;业务系统内的主机节点之间,根据预设的主机节点角色标签制定访问规则,包括:各主机节点根据角色标签开放对应的服务或端口,角色标签为APP(应用)的主机节点仅供角色标签为DB(数据库)的主机节点访问,角色标签为DB的主机节点仅供角色标签为WEB(网站)的主机节点访问,以及,角色标签为WEB的主机节点仅供角色为PC(计算机)的主机节点访问。
可选的,所述微隔离策略包括策略名称、策略类型、业务系统、访问者、访问者端口、服务者、服务对象和描述信息;
其中,策略类型信息包括黑名单和白名单,业务系统信息为微隔离策略所面向的业务系统;访问者信息包括访问发起的主机节点、主机节点角色标签、IP地址或IP地址范围;访问者端口信息包括访问发起的源端口;服务者信息包括提供服务的主机节点、主机节点角色标签或IP地址;服务对象信息包括访问协议和目的端口;角色标签信息为根据主机节点的业务或开放的端口定义的角色标签。
第二方面,本发明提供一种微隔离安全防护装置,包括:
节点运行信息采集模块,被配置用于接收各主机节点发出的节点运行信息;
节点连接关系分析模块,被配置用于基于所有主机节点的节点运行信息分析得到主机节点之间的连接关系数据;
业务系统识别模块,被配置用于根据所述连接关系数据分析确定调控云平台内的业务系统,以及各业务系统下的主机节点;
微隔离策略生成模块,被配置用于基于已确定的业务系统及各业务系统下的主机节点,按照预设的微隔离原则生成对应调控云平台内业务系统的微隔离策略;
微隔离策略下发模块,被配置用于将所确定的业务系统的微隔离策略下发至对应的业务系统下的主机节点,使得主机节点执行所述微隔离策略;
节点连接行为校核模块,被配置用于根据主机节点发出的节点运行信息,判断主机节点之间的连接行为是否符合其应当正在执行的微隔离策略,得到主机节点的策略执行校核结果。
可选的,所述微隔离策略生成模块还被配置用于,接收外部输入的指定微隔离策略数据,根据所述指定微隔离策略数据对当前微隔离策略进行更新;多数微隔离策略下发模块还被配置用于将更新后的微隔离策略下发至对应的业务系统的主机节点。也即,本发明既能够实现微隔离策略的自动生成,也能够支持微隔离策略的人工主动修改。
可选的,所述节点连接行为校核模块还被配置用于,根据所述策略执行校核结果,将连接行为符合微隔离策略的主机节点作为校核通过的节点,对于连接行为不符合微隔离策略的主机节点,获取对应的连接关系信息,输出相应的连接关系告警信息。
第三方面,本发明提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时,实现如第一方面所述的微隔离安全防护方法。
第四方面,本发明提供一种微隔离安全防护系统,包括服务端和多个主机节点,所述服务端执行第一方面所述的微隔离安全防护方法,对多个主机节点进行管理。微隔离安全防护方法可实现为运行于服务端上的管理平台软件。
第五方面,本发明提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时,实现如权利要求1-11任一项所述的微隔离安全防护方法。
有益效果
本发明的微隔离防护方法,通过首先对调控云平台所管理的大量主机节点进行业务系统的识别,然后根据业务系统生成微隔离策略,进而根据主机节点的运行信息判断是否命中微隔离策略,可实现对不同业务系统不同主机节点之间访问关系的监控,有效实现调控云系统内部的微隔离以及边界防护,避免非必要的访问,防止调控云平台内部攻击,防止外界对调控云发起攻击,防范调控云安全风险,保障调控云承载业务的机密性、完整性和可用性,从而提升调控云平台综合防御能力。
附图说明
图1所示为调控云平台管理系统的架构示意图;
图2所示为本发明微隔离防护方法的一种实施例流程示意图。
具体实施方式
名词解释
AGM,community-affiliation graph model,社区隶属关系图模型,AGM模型是一个二部图结构,用B(V,C,M,{pc})表示,V是指所有节点的集合,C指社区数,M指节点-社区隶属关系,用矩阵表示,pc指每对节点的相连概率。
BIGCLAM,Cluster Affiliation Model for Big Networks,大型网络的聚类关系模型,是一个bipartite affiliation network模型。是AGM的松弛版本,改进之处在于增加了边权重,采用了NMF方法等。BLGCLAM将社区检测视为非负矩阵分解(nonnegative matrixfactorization),而且与NMF相似的,需要在网络中找到能还原这个邻接矩阵的因子。
本发明的技术构思为:利用社区检测算法,基于主机节点的运行信息分析节点之间的连接关系,进而对调控云平台管理的大量主机节点进行业务系统的识别,同时根据节点运行的软件、开放的端口识别节点的服务类型,在此基础上生成微隔离策略,对节点之间以及节点与调控云平台外部之间的访问行为进行管理,实现调控云系统内部的微隔离以及边界防护。
以下结合附图和具体实施例进一步描述。
实施例1
本发明的一种适应电网调控云平台的业务系统识别方法,参考图2,方法包括:
适用于电网调控云平台的微隔离安全防护方法,包括:
接收各主机节点发出的节点运行信息;
基于所有主机节点的节点运行信息分析得到主机节点之间的连接关系数据;
根据所述连接关系数据分析确定调控云平台内的业务系统,以及各业务系统下的主机节点;
基于已确定的业务系统及各业务系统下的主机节点,按照预设的微隔离原则生成对应调控云平台内业务系统的微隔离策略;
将所确定的业务系统的微隔离策略下发至对应的业务系统下的主机节点,使得主机节点执行所述微隔离策略;
根据主机节点发出的节点运行信息,判断主机节点之间的连接行为是否符合其应当正在执行的微隔离策略,得到主机节点的策略执行校核结果。
本实施例的方法所适用的调控云平台系统可参考图2所示,调控云平台通过服务端管理多个主机节点,主机节点之间基于业务系统需求进行访问连接,为了确保调控云平台综合防御能力,需要对调控云平台管理的节点之间的访问行为以及内部节点与调控云平台外部之间的访问行为,制定微隔离防护策略。微隔离防护方法具体实现过程介绍如下。
本实施例的微隔离防护方法由服务端执行,服务端及各主机节点中分别部署相应的软件,调控云平台下管理的各主机节点客户端软件预先注册至服务端后,可通过对应的软件与服务端之间进行交互,上传节点运行信息或接收微隔离策略数据。
一、关于节点运行信息的采集
各主机节点周期性采集自身节点运行信息并发送至服务端。节点运行信息包括主机节点实时的本地信息、运行状态、运行的软件、执行的进程、开放的服务端口以及与其他主机节点的连接关系信息。
主机节点的本地信息包括主机名、操作系统、cpu使用率、内存信息、网络设备信息等。
节点连接关系的内容及格式为:<本地IP,本地端口,远程IP,远程端口,网络协议,进程ID,进程名,最近连接时间>,其中:本地IP是指采集信息的主机节点的自身IP地址;本地端口指与远端节点连接的自身节点开放的端口;远程IP指节点采集到的与自身字节连接的远端IP地址;远程端口指节点采集到的与自身字节连接的远端开放的端口;网络协议是指通信双方就通信如何进行所必须共同遵守的约定和通信规则的集合,包括TCP、UDP等;进程ID是指节点与远端的连接关系在自身节点进程的ID;进程名是指节点与远端的连接关系在自身节点进程的名称;最近连接时间是指该条连接关系最近的连接时间。
二、关于业务系统的识别
服务端接收到主机节点上报的节点运行信息后,可直接存储至数据库,方便后续分析及历史数据追溯。
基于所存储的节点运行信息,服务端可周期性的按照最新节点运行信息进行业务系统的识别,或者在外部触发节点业务系统关系变化时进行业务系统的识别,进而根据实时的业务系统识别结果进行微隔离策略的生成。
对于同一时段主机节点上传的节点运行信息中的连接关系信息进行汇总分析,即可得到所有主机节点在相应时段内的连接关系数据。根据该连接关系数据,本实施例采用BigCLAM重叠算法进行社区检测,识别调控云平台内的业务系统,以及各业务系统下的主机节点。本实施例实现业务系统识别的过程如下。
2.1构建用于识别节点业务系统的图生成模型AGM
图生成模型AGM表示为B(V,C,M,{Pc}),其中,V表示主机节点集合,C表示需要确定的业务系统数,M表示主机节点隶属业务系统的关系矩阵,Pc表示业务系统内每对主机节点的连接概率。
2.2根据连接关系数据对应的实际图,采用梯度下降方法对AGM的模型参数进行迭代优化,得到最优拟合实际图的AGM,包括:
S11,根据主机节点的服务端口类型和连接端口种类初始化一个较大的初始业务系统数C0;
S12,根据C0构造节点隶属业务系统的关系矩阵M,其每一行中的元素代表同一主机节点隶属不同业务系统的强度,每一列中的元素代表不同主机节点隶属同一业务系统的强度;其中,节点间的连接概率到节点隶属强度的转换方式表示为:
式中,Fu、Fv分别表示主机节点u、v等长地隶属每个业务系统的强度向量;
S13,将节点间的连接概率到节点隶属强度的转换公式代入以下优化目标函数,采用梯度下降方法优化AGM的模型参数,得到每个主机节点隶属每个业务系统的强度向量;其中优化目标函数表示为:
式中,G代表业务系统,F代表最优拟合实际图的AGM,F与G的节点数相同;
S14,根据每个主机节点隶属每个业务系统的强度向量,确定M中列元素不全为0的列的个数,将其作为最终的业务系统数C,各列中不为0的元素所对应的主机节点为相应业务系统下的主机节点。
BigCLAM重叠算法为现有技术,因此上述最优AGM的求解过程不予赘述。
2.3根据最优AGM确定调控云平台内的业务系统以及各业务系统下的主机节点,参考前述步骤S14。
当发生运维等事件导致的主机节点连接关系变化,可触发对应的主机节点向服务端发送更新的节点运行信息,此时服务端可在周期性分析之外进行业务系统的分析识别,以及时变更对应的微隔离策略,保障调控业务平台安全性。
本实施例识别得到的业务系统及主机节点之间的连接关系,可通过调控业务平台的前端运行界面显示。
三、微隔离策略的生成
本实施例微隔离策略的生成首先要依据预设的微隔离原则,在此基础上针对各业务系统分别制定对应的微隔离策略,对于同一业务系统的不同主机节点,需要根据主机节点运行的软件和开放的端口确定节点服务类型,即角色标签,然后根据微隔离原则制定相应的节点访问策略。
预设的微隔离原则包括:调控云平台内的主机节点仅指定的部分IP地址面向调控云平台外部可访问;调控云平台内各业务系统之间仅指定开放的服务或端口可相互访问;业务系统内的主机节点之间,根据预设的主机节点角色标签制定访问规则,包括:各主机节点根据角色标签开放对应的服务或端口,角色标签为APP(应用)的主机节点仅供角色标签为DB(数据库)的主机节点访问,角色标签为DB的主机节点仅供角色标签为WEB(网站)的主机节点访问,以及,角色标签为WEB的主机节点仅供角色为PC(计算机)的主机节点访问。
微隔离策略的内容及形式为:<策略名称,类型,业务系统,访问者,访问者端口,服务者,服务对象,描述>;
其中,策略类型信息是指创建的策略所属的类型,包括黑名单和白名单;业务系统信息为微隔离策略所面向的业务系统,即策略需应用到哪个业务系统;访问者信息是指访问的发起方,或访问来源,即微隔离策略限制的IP源地址,可以指定业务系统内的主机或者节点角色标签,也可以是指定的IP地址、IP地址范围或者不限任何地址;访问者端口信息指微隔离策略限制的源端口,即访问发起的源端口;服务者信息是指提供服务的主机节点,即微隔离策略所作用的目的地址,可以指定业务系统内的主机或者节点角色标签;服务对象信息指微隔离策略限制的协议和目的端口;角色标签信息是指对主机节点的业务或者其他条件定义的标签,可弱化对IP的依赖,从业务的角度赋予节点的名称,方便后期策略的定制和使用。描述是指对所创建的微隔离策略的描述。
在确定调控业务平台内的业务系统及业务系统下的主机节点后,即可根据上述微隔离原则智能生成微隔离策略。除此之外,本实施例还支持手动创建微隔离策略,用户可根据实际需求,由外部输入所需的指定微隔离策略数据,服务端结合外部输入的指定微隔离策略数据及微隔离原则后生成最终的微隔离策略。
微隔离策略生成后,按照业务系统下发至对应的各主机节点,同时可显示在调控业务云平台的前端界面上。
各主机节点接收到服务端下发的所属业务系统的微隔离策略后,可根据自己的微隔离功能是否开启来确定是否执行微隔离策略,若执行,则可按照自身的角色标签、IP、开放端口等,执行微隔离策略中的相对应的策略内容。主机节点可根据策略接收情况或者策略执行情况向服务端返回相应的策略执行状态信息,服务端根据该信息监测主机节点中所有策略的执行状态,并可在节点未接收到微隔离策略或策略执行失败时,向主机节点重发相应的微隔离策略,保证策略执行。
节点的微隔离功能可手动开启或者禁止,默认为开启状态。服务端可根据不同的业务系统或者不同的节点角色关闭特殊节点的微隔离功能,或者向指定的主机节点发送禁止指定微隔离策略的指令,以保证调控云平台的稳定运行和微隔离策略的灵活性。
四、基于微隔离策略的主机节点校核
服务端根据节点上送的节点运行信息分析得到的节点连接数据,还用于主机节点连接行为的校核,即,判断主机节点之间的访问连接行为是否命中微隔离策略中被限制的访问,若命中,则相应的主机节点校核不通过,可在节点全部校核完成后通过调控业务平台前端界面输出通过校核的节点数百分比,以及需要告警的连接关系信息,后续用户可根据实际需求和告警的连接关系信息进行微隔离防护策略的调整。
上述主机节点连接行为的校核,可周期性执行,也可以基于历史节点连接关系数据及对应时段的微隔离策略进行,每次生成的微隔离策略与节点运行信息一样存储至数据库,方便回溯。
以上,本实施例基于业务系统的识别制定微隔离策略,解决了调控云平台内部主机之间无法有效阻隔网络攻击的问题,满足调控云平台内部东西向流量隔离的需求,保证了调控云下整个环境的安全。
实施例2
与实施例1基于相同的发明构思,本实施例介绍一种微隔离安全防护装置,包括:
节点运行信息采集模块,被配置用于接收各主机节点发出的节点运行信息;
节点连接关系分析模块,被配置用于基于所有主机节点的节点运行信息分析得到主机节点之间的连接关系数据;
业务系统识别模块,被配置用于根据所述连接关系数据分析确定调控云平台内的业务系统,以及各业务系统下的主机节点;
微隔离策略生成模块,被配置用于基于已确定的业务系统及各业务系统下的主机节点,按照预设的微隔离原则生成对应调控云平台内业务系统的微隔离策略;
微隔离策略下发模块,被配置用于将所确定的业务系统的微隔离策略下发至对应的业务系统下的主机节点,使得主机节点执行所述微隔离策略;
节点连接行为校核模块,被配置用于根据主机节点发出的节点运行信息,判断主机节点之间的连接行为是否符合其应当正在执行的微隔离策略,得到主机节点的策略执行校核结果。
以上各功能模块的具体功能实现参考实施例1中方法的相关内容,特别指出以下。
微隔离策略生成模块还被配置用于,接收外部输入的指定微隔离策略数据,根据所述指定微隔离策略数据对当前微隔离策略进行更新;多数微隔离策略下发模块还被配置用于将更新后的微隔离策略下发至对应的业务系统的主机节点。也即,本发明既能够实现微隔离策略的自动生成,也能够支持微隔离策略的人工主动修改。
节点连接行为校核模块还被配置用于,根据所述策略执行校核结果,将连接行为符合微隔离策略的主机节点作为校核通过的节点,对于连接行为不符合微隔离策略的主机节点,获取对应的连接关系信息,输出相应的连接关系告警信息。
实施例3
本实施例介绍一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时,实现如实施例1所述的微隔离安全防护方法.
实施例4
本实施例介绍一种微隔离安全防护系统,参考图1所示,系统包括服务端和多个主机节点,服务端执行实施例1所述的微隔离安全防护方法,对多个主机节点进行管理,实现调控业务平台内外的安全防护。微隔离安全防护方法可实现为运行于服务端上的管理平台软件。
实施例5
本实施例介绍一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在是,所述处理器执行所述计算机程序时,实现如实施例1所述的微隔离安全防护方法。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上结合附图对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,这些均属于本发明的保护之内。
Claims (13)
1.一种适用于电网调控云平台的微隔离安全防护方法,其特征是,包括:
接收各主机节点发出的节点运行信息;
基于所有主机节点的节点运行信息分析得到主机节点之间的连接关系数据;
根据所述连接关系数据分析确定调控云平台内的业务系统,以及各业务系统下的主机节点;
基于已确定的业务系统及各业务系统下的主机节点,按照预设的微隔离原则生成对应调控云平台内业务系统的微隔离策略;
将所确定的业务系统的微隔离策略下发至对应的业务系统下的主机节点,使得主机节点执行所述微隔离策略;
根据主机节点发出的节点运行信息,判断主机节点之间的连接行为是否符合其应当正在执行的微隔离策略,得到主机节点的策略执行校核结果;
以及,根据节点运行信息中的所运行软件及所开放的服务端口信息,确定主机节点的角色标签;
其中,所述预设的微隔离原则包括:调控云平台内的主机节点仅指定的部分IP地址面向调控云平台外部可访问;调控云平台内各业务系统之间仅指定开放的服务或端口可相互访问;
业务系统内的主机节点之间,根据预设的主机节点角色标签制定访问规则,包括:各主机节点根据角色标签开放对应的服务或端口,角色标签为应用APP的主机节点仅供角色标签为数据库DB的主机节点访问,角色标签为DB的主机节点仅供角色标签为网站WEB的主机节点访问,以及,角色标签为WEB的主机节点仅供角色为计算机PC的主机节点访问;
所述根据所述连接关系数据分析确定调控云平台内的业务系统,以及各业务系统下的主机节点,包括:
构建用于识别节点业务系统的图生成模型AGM;
根据所述连接关系数据对应的实际图,采用梯度下降方法对AGM的模型参数进行迭代优化,得到最优拟合实际图的AGM;
根据最优AGM确定调控云平台内的业务系统以及各业务系统下的主机节点;
图生成模型AGM表示为B(V,C,M,{Pc}),其中,V表示主机节点集合,C表示需要确定的业务系统数,M表示主机节点隶属业务系统的关系矩阵,Pc表示业务系统内每对主机节点的连接概率;
所述根据所述连接关系数据对应的实际图,采用梯度下降方法对AGM的模型参数进行迭代优化,得到最优拟合实际图的AGM,包括:
S11,根据主机节点的服务端口类型和连接端口种类初始化一个较大的初始业务系统数C0;
S12,根据C0构造节点隶属业务系统的关系矩阵M,其每一行中的元素代表同一主机节点隶属不同业务系统的强度,每一列中的元素代表不同主机节点隶属同一业务系统的强度;其中,节点间的连接概率到节点隶属强度的转换方式表示为:
p(u,v)=1-exp(-Fu·Fv T)
式中,Fu、Fv分别表示主机节点u、v等长地隶属每个业务系统的强度向量;
S13,将节点间的连接概率到节点隶属强度的转换公式代入以下优化目标函数,采用梯度下降方法优化AGM的模型参数,得到每个主机节点隶属每个业务系统的强度向量;其中优化目标函数表示为:
式中,G代表业务系统,F代表最优拟合实际图的AGM,F与G的节点数相同;
S14,根据每个主机节点隶属每个业务系统的强度向量,确定M中列元素不全为0的列的个数,将其作为最终的业务系统数C,各列中不为0的元素所对应的主机节点为相应业务系统下的主机节点。
2.根据权利要求1所述的方法,其特征是,还包括,接收外部输入的指定微隔离策略数据,根据所述指定微隔离策略数据对当前微隔离策略进行更新,将更新后的微隔离策略下发至对应的业务系统的主机节点。
3.根据权利要求1所述的方法,其特征是,还包括,根据所述策略执行校核结果,将连接行为符合微隔离策略的主机节点作为校核通过的节点,对于连接行为不符合微隔离策略的主机节点,获取对应的连接关系信息,输出相应的连接关系告警信息。
4.根据权利要求1所述的方法,其特征是,还包括,对每次接收到的节点运行信息和每次生成的微隔离策略进行存储;
所述根据主机节点发出的节点运行信息,判断主机节点之间的连接行为是否符合其应当正在执行的微隔离策略,包括:根据已存储的指定时段的节点运行信息和微隔离策略,判断所述指定时段内主机节点之间的连接行为是否符合该时段应当执行的微隔离策略。
5.根据权利要求1所述的方法,其特征是,还包括:接收主机节点返回的策略执行结果信息,若主机节点执行微隔离策略失败,则再次向相应的主机节点下发最新的主机节点所属业务系统的微隔离策略。
6.根据权利要求1所述的方法,其特征是,所述节点运行信息包括主机节点实时的本地信息、运行的软件、执行的进程、开放的服务端口以及与其他主机节点的连接关系信息;
主机节点的本地信息包括主机名、操作系统、cpu使用率、内存信息、网络设备信息;
所述连接关系信息包括:本地IP、本地端口、远程IP、远程端口、网络协议、进程ID、进程名和最近连接时间。
7.根据权利要求1所述的方法,其特征是,所述节点运行信息由各主机节点周期性采集并发送至服务端;
所述基于所有主机节点的节点运行信息分析得到主机节点之间的连接关系数据,包括:
周期性的基于所有主机节点在相同时段内上送的节点运行信息,分析得到对应时段的主机节点之间的连接关系数据。
8.根据权利要求1所述的方法,其特征是,所述微隔离策略包括策略名称、策略类型、业务系统、访问者、访问者端口、服务者、服务对象和描述信息;
其中,策略类型信息包括黑名单和白名单,业务系统信息为微隔离策略所面向的业务系统;访问者信息包括访问发起的主机节点、主机节点角色标签、IP地址或IP地址范围;访问者端口信息包括访问发起的源端口;服务者信息包括提供服务的主机节点、主机节点角色标签或IP地址;服务对象信息包括访问协议和目的端口;角色标签信息为根据主机节点的业务或开放的端口定义的角色标签。
9.一种实现权利要求1-8任一项所述适用于电网调控云平台的微隔离安全防护方法的微隔离安全防护装置,其特征是,包括:
节点运行信息采集模块,被配置用于接收各主机节点发出的节点运行信息;
节点连接关系分析模块,被配置用于基于所有主机节点的节点运行信息分析得到主机节点之间的连接关系数据;
业务系统识别模块,被配置用于根据所述连接关系数据分析确定调控云平台内的业务系统,以及各业务系统下的主机节点;
微隔离策略生成模块,被配置用于基于已确定的业务系统及各业务系统下的主机节点,按照预设的微隔离原则生成对应调控云平台内业务系统的微隔离策略;
微隔离策略下发模块,被配置用于将所确定的业务系统的微隔离策略下发至对应的业务系统下的主机节点,使得主机节点执行所述微隔离策略;
以及,节点连接行为校核模块,被配置用于根据主机节点发出的节点运行信息,判断主机节点之间的连接行为是否符合其应当正在执行的微隔离策略,得到主机节点的策略执行校核结果。
10.根据权利要求9所述的微隔离安全防护装置,其特征是,所述微隔离策略生成模块还被配置用于,接收外部输入的指定微隔离策略数据,根据所述指定微隔离策略数据对当前微隔离策略进行更新;多数微隔离策略下发模块还被配置用于将更新后的微隔离策略下发至对应的业务系统的主机节点。
11.根据权利要求9所述的微隔离安全防护装置,其特征是,所述节点连接行为校核模块还被配置用于,根据所述策略执行校核结果,将连接行为符合微隔离策略的主机节点作为校核通过的节点,对于连接行为不符合微隔离策略的主机节点,获取对应的连接关系信息,输出相应的连接关系告警信息。
12.一种计算机可读存储介质,其上存储有计算机程序,其特征是,该计算机程序被处理器执行时,实现如权利要求1-8任一项所述的微隔离安全防护方法。
13.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在是,所述处理器执行所述计算机程序时,实现如权利要求1-8任一项所述的微隔离安全防护方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210550314.3A CN114938303B (zh) | 2022-05-20 | 2022-05-20 | 一种适用于电网调控云平台的微隔离安全防护方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210550314.3A CN114938303B (zh) | 2022-05-20 | 2022-05-20 | 一种适用于电网调控云平台的微隔离安全防护方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114938303A CN114938303A (zh) | 2022-08-23 |
| CN114938303B true CN114938303B (zh) | 2023-10-20 |
Family
ID=82865005
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210550314.3A Active CN114938303B (zh) | 2022-05-20 | 2022-05-20 | 一种适用于电网调控云平台的微隔离安全防护方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114938303B (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109194700A (zh) * | 2018-11-28 | 2019-01-11 | 深信服科技股份有限公司 | 一种流量管控方法及相关装置 |
| CN109413001A (zh) * | 2017-08-15 | 2019-03-01 | 东软集团股份有限公司 | 对云计算系统内的交互数据进行安全保护的方法及装置 |
| CN113472820A (zh) * | 2021-09-06 | 2021-10-01 | 中铁信弘远(北京)软件科技有限责任公司 | 一种基于零信任模型的云资源安全隔离控制方法及系统 |
| CN113507117A (zh) * | 2021-07-08 | 2021-10-15 | 国网河北省电力有限公司电力科学研究院 | 配电网拓扑模型生成方法及终端设备 |
| CN113595790A (zh) * | 2021-07-29 | 2021-11-02 | 国网电力科学研究院有限公司 | 一种电力终端设备的安全访问评估方法及装置 |
| CN113923028A (zh) * | 2021-10-11 | 2022-01-11 | 厦门服云信息科技有限公司 | 一种网络微隔离策略自生成方法及系统 |
| CN114125039A (zh) * | 2021-12-08 | 2022-03-01 | 阿里云计算有限公司 | 服务之间访问关系的发现与控制方法和装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11349708B2 (en) * | 2017-03-09 | 2022-05-31 | Telefonaktiebolaget L M Ericsson (Publ) | Configuration generation for virtual network functions (VNFs) with requested service availability |
-
2022
- 2022-05-20 CN CN202210550314.3A patent/CN114938303B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109413001A (zh) * | 2017-08-15 | 2019-03-01 | 东软集团股份有限公司 | 对云计算系统内的交互数据进行安全保护的方法及装置 |
| CN109194700A (zh) * | 2018-11-28 | 2019-01-11 | 深信服科技股份有限公司 | 一种流量管控方法及相关装置 |
| CN113507117A (zh) * | 2021-07-08 | 2021-10-15 | 国网河北省电力有限公司电力科学研究院 | 配电网拓扑模型生成方法及终端设备 |
| CN113595790A (zh) * | 2021-07-29 | 2021-11-02 | 国网电力科学研究院有限公司 | 一种电力终端设备的安全访问评估方法及装置 |
| CN113472820A (zh) * | 2021-09-06 | 2021-10-01 | 中铁信弘远(北京)软件科技有限责任公司 | 一种基于零信任模型的云资源安全隔离控制方法及系统 |
| CN113923028A (zh) * | 2021-10-11 | 2022-01-11 | 厦门服云信息科技有限公司 | 一种网络微隔离策略自生成方法及系统 |
| CN114125039A (zh) * | 2021-12-08 | 2022-03-01 | 阿里云计算有限公司 | 服务之间访问关系的发现与控制方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114938303A (zh) | 2022-08-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11115428B2 (en) | Systems and methods for determining network data quality and identifying anomalous network behavior | |
| US20140222745A1 (en) | Dynamic Model-Based Analysis of Data Centers | |
| US10530740B2 (en) | Systems and methods for facilitating closed loop processing using machine learning | |
| US7412432B2 (en) | Problem determination rules processing | |
| US20220029888A1 (en) | Detect impact of network maintenance in software defined infrastructure | |
| KR100865015B1 (ko) | 실시간 통합 관리정보 데이터 변환 및 모니터링 장치 및 그방법 | |
| US20180285397A1 (en) | Entity-centric log indexing with context embedding | |
| US9104706B2 (en) | Meta-directory control and evaluation of events | |
| US20090164618A1 (en) | Network system and method of administrating networks | |
| CN109684038B (zh) | Docker服务容器日志的处理方法、装置和电子设备 | |
| Lakhno | Development of a support system for managing the cyber security | |
| CN115712646A (zh) | 一种告警策略生成方法、装置和存储介质 | |
| CN113704765A (zh) | 基于人工智能的操作系统识别方法、装置及电子设备 | |
| CN113965497A (zh) | 服务器异常识别方法、装置、计算机设备及可读存储介质 | |
| US20210392165A1 (en) | Application protectability schemes for enterprise applications | |
| CN114938303B (zh) | 一种适用于电网调控云平台的微隔离安全防护方法 | |
| CN112448963A (zh) | 分析自动攻击工业资产的方法、装置、设备及存储介质 | |
| US20230012641A1 (en) | Securing network resources from known threats | |
| US20220141256A1 (en) | Method and system for performing security management automation in cloud-based security services | |
| TW202010292A (zh) | 目標設備的預測方法、裝置、電子設備及儲存媒體 | |
| Santi et al. | Automated and reproducible application traces generation for IoT applications | |
| Sen et al. | On holistic multi-step cyberattack detection via a graph-based correlation approach | |
| CN115766081A (zh) | 一种电力工控云平台的异常流量检测方法及装置 | |
| US20210377313A1 (en) | Threat Mitigation System and Method | |
| Martinez-Julia et al. | Achieving the autonomic adaptation of resources in virtualized network environments |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |