CN115277116A - 网络隔离的方法、装置、存储介质及电子设备 - Google Patents

网络隔离的方法、装置、存储介质及电子设备 Download PDF

Info

Publication number
CN115277116A
CN115277116A CN202210800646.2A CN202210800646A CN115277116A CN 115277116 A CN115277116 A CN 115277116A CN 202210800646 A CN202210800646 A CN 202210800646A CN 115277116 A CN115277116 A CN 115277116A
Authority
CN
China
Prior art keywords
network
sub
characteristic
determining
weight value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210800646.2A
Other languages
English (en)
Other versions
CN115277116B (zh
Inventor
周扬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhongneng Power Tech Development Co Ltd
Original Assignee
Zhongneng Power Tech Development Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhongneng Power Tech Development Co Ltd filed Critical Zhongneng Power Tech Development Co Ltd
Priority to CN202210800646.2A priority Critical patent/CN115277116B/zh
Publication of CN115277116A publication Critical patent/CN115277116A/zh
Application granted granted Critical
Publication of CN115277116B publication Critical patent/CN115277116B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls

Abstract

本公开涉及一种网络隔离的方法、装置、存储介质及电子设备,以对整个区域网络进行分区隔离,且每个子网络采用对应的网络隔离策略,避免对整个区域网络进行完全物理隔离。所述方法包括:响应于区域网络中的第一子网络出现网络安全事件,获取所述区域网络中各子网络的状态特征数据;根据所述各子网络的状态特征数据确定所述各子网络对应的特征权重值,所述第一子网络对应的特征权重值为第一特征权重值;确定所述各子网络中除所述第一子网络外的第二子网络对应的特征权重值与所述第一特征权重值的距离值;根据所述距离值所对应的预设区间、预设区间与网络隔离策略的对应关系,确定所述第二子网络的目标网络隔离策略。

Description

网络隔离的方法、装置、存储介质及电子设备
技术领域
本公开涉及网络安全技术领域,具体地,涉及一种网络隔离的方法、装置、存储介质及电子设备。
背景技术
目前,风电企业对于网络安全事件的防护能力受限于设备和技术等原因,防护能力较差。通常,当风电场发生网络安全事件后,现场运维人员第一时间对整个信息系统的通信网络进行完全的物理隔离,包括网线拔除与电源线拔除等操作,从而在第一时间实现网络攻击行为的阻断封锁。
但是,风电场的设备数量庞大,直接采用完全物理隔离的方式,会导致整个风电场的通信网络处于无法正常通信的状态,进而导致风机设备无法正常工作,最终造成经济效益的损失。
发明内容
本公开的目的是提供一种网络隔离的方法、装置、存储介质及电子设备,以解决上述技术问题。
为了实现上述目的,本公开的第一方面提供一种网络隔离的方法,所述方法包括:
响应于区域网络中的第一子网络出现网络安全事件,获取所述区域网络中各子网络的状态特征数据;
根据所述各子网络的状态特征数据确定所述各子网络对应的特征权重值,所述第一子网络对应的特征权重值为第一特征权重值;
确定所述各子网络中除所述第一子网络外的第二子网络对应的特征权重值与所述第一特征权重值的距离值;
根据所述距离值所对应的预设区间、预设区间与网络隔离策略的对应关系,确定所述第二子网络的目标网络隔离策略。
可选地,所述根据所述各子网络的状态特征数据确定所述各子网络对应的特征权重值,包括:
对所述各子网络的状态特征数据进行标准化处理得到目标状态特征数据,并确定所述各子网络的目标状态特征数据对应的网络熵值;
根据所述状态特征数据的状态特征种类数、所述网络熵值确定所述各子网络对应的特征权重值。
可选地,所述确定所述各子网络的目标状态特征数据对应的网络熵值,包括:
对所述目标状态特征数据的取值区间进行划分得到多个特征区间;
根据预设的隶属度函数,确定所述每一特征区间与多个预设聚类中心对应的多个隶属度;
根据所述多个特征区间、所述多个预设聚类中心以及所述多个隶属度,确定所述各子网络的目标状态特征数据对应的网络熵值。
可选地,所述根据所述多个特征区间、所述多个预设聚类中心以及所述多个隶属度,确定所述各子网络的目标状态特征数据对应的网络熵值,包括:
根据如下计算式确定所述网络熵值:
Figure BDA0003733821810000021
Figure BDA0003733821810000022
1≤l≤L,1≤i≤C,1≤j≤N,1≤k≤K
其中,Hk表示第k个状态特征的网络熵值,K表示状态特征种类数,L表示特征区间的数量,C表示预设聚类中心的数量,N表示所述状态特征数据的数据量,
Figure BDA0003733821810000031
表示第k个状态特征的第l个特征区间属于第i个预设聚类中心的概率,
Figure BDA0003733821810000032
表示第j个状态特征数据的第k个状态特征的第l个特征区间对于所述第i个预设聚类中心的隶属度。
可选地,所述根据所述状态特征数据的状态特征种类数、所述网络熵值确定所述各子网络对应的特征权重值,包括:
根据如下计算式确定所述特征权重值:
Figure BDA0003733821810000033
其中,wk表示第k个状态特征的特征权重值。
可选地,所述确定所述各子网络中除所述第一子网络外的第二子网络对应的特征权重值与所述第一特征权重值的距离值,包括:
将所述第二子网络对应的特征权重值与所述第一特征权重值的欧式距离作为所述距离值。
可选地,所述网络隔离策略包括对子网络进行完全封闭的第一网络隔离策略、保留目标用户访问权限和目标网络端口的第二网络隔策略、拒绝外部访问的第三隔离策略中的至少一者,且所述第一网络隔离策略对应的第一预设区间的上限阈值小于或等于所述第二网络隔离策略对应的第二预设区间的下限阈值,所述第二预设区间的上限阈值小于或等于所述第三网络隔离策略对应的第三预设区间的下限阈值。
本公开的第二方面还提供一种网络隔离的装置,所述装置包括:
获取模块,用于响应于区域网络中的第一子网络出现网络安全事件,获取所述区域网络中各子网络的状态特征数据;
权重确定模块,用于根据所述各子网络的状态特征数据确定所述各子网络对应的特征权重值,所述第一子网络对应的特征权重值为第一特征权重值;
距离确定模块,用于确定所述各子网络中除所述第一子网络外的第二子网络对应的特征权重值与所述第一特征权重值的距离值;
策略确定模块,用于根据所述距离值所对应的预设区间、预设区间与网络隔离策略的对应关系,确定所述第二子网络的目标网络隔离策略。
本公开的第三方面还提供一种非临时性计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现第一方面中任一项所述方法的步骤。
本公开的第四方面还提供一种电子设备,包括:
存储器,其上存储有计算机程序;
处理器,用于执行所述存储器中的所述计算机程序,以实现第一方面中任一项所述方法的步骤。
在上述技术方案中,响应于区域网络中的第一子网络出现网络安全事件,获取区域网络中各子网络的状态特征数据,然后根据各子网络的状态特征数据确定各子网络对应的特征权重值,第一子网络对应的特征权重值为第一特征权重值,进而确定各子网络中除第一子网络外的第二子网络对应的特征权重值与第一特征权重值的距离值,最后根据距离值所对应的预设区间、预设区间与网络隔离策略的对应关系,确定第二子网络的目标网络隔离策略。通过该方法,对整个区域网络进行分区隔离,且每个子网络采用对应的网络隔离策略,从而避免对整个区域网络进行完全物理隔离,进而导致整个区域网络无法正常工作。
本公开的其他特征和优点将在随后的具体实施方式部分予以详细说明。
附图说明
附图是用来提供对本公开的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本公开,但并不构成对本公开的限制。在附图中:
图1是本公开实施例提供的一种网络隔离的方法的流程示意图;
图2是本公开实施例提供的一种网络隔离的装置的框图;
图3是本公开实施例示出的一种电子设备的示意图。
具体实施方式
以下结合附图对本公开的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本公开,并不用于限制本公开。
应当理解,本公开的方法实施方式中记载的各个步骤可以按照不同的顺序执行,和/或并行执行。此外,方法实施方式可以包括附加的步骤和/或省略执行示出的步骤。本公开的范围在此方面不受限制。本文使用的术语“包括”及其变形是开放性包括,即“包括但不限于”。术语“基于”是“至少部分地基于”。术语“一个实施例”表示“至少一个实施例”;术语“另一实施例”表示“至少一个另外的实施例”;术语“一些实施例”表示“至少一些实施例”。其他术语的相关定义将在下文描述中给出。
需要注意,本公开中提及的“第一”、“第二”等概念仅用于对不同的装置、模块或单元进行区分,并非用于限定这些装置、模块或单元所执行的功能的顺序或者相互依存关系。需要注意,本公开中提及的“一个”、“多个”的修饰是示意性而非限制性的,本领域技术人员应当理解,除非在上下文另有明确指出,否则应该理解为“一个或多个”。
目前,风电企业对于网络安全事件的防护能力受限于设备和技术等原因,防护能力较差。通常,当风电场发生网络安全事件后,现场运维人员第一时间对整个信息系统的通信网络进行完全的物理隔离,包括网线拔除与电源线拔除等操作,从而在第一时间实现网络攻击行为的阻断封锁。
但是,直接采用完全物理隔离的方式,也使得风机设备的状态信息、发电量、发电上网情况等重要信息无法进行传输,进而导致企业无法进行生产监控与信息分析,最终造成经济效益的损失。
有鉴于此,本公开提供一种网络隔离的方法、装置、存储介质及电子设备,以解决上述技术问题。
下面结合具体实施例对本公开进行说明。
本公开实施例提供一种网络隔离的方法,参照图1,该方法包括:
S101、响应于区域网络中的第一子网络出现网络安全事件,获取区域网络中各子网络的状态特征数据。
S102、根据各子网络的状态特征数据确定各子网络对应的特征权重值。
其中,第一子网络对应的特征权重值为第一特征权重值。
S103、确定各子网络中除第一子网络外的第二子网络对应的特征权重值与第一特征权重值的距离值。
S104、根据距离值所对应的预设区间、预设区间与网络隔离策略的对应关系,确定第二子网络的目标网络隔离策略。
采用上述方法,对整个区域网络进行分区隔离,且每个子网络采用对应的网络隔离策略,从而避免对整个区域网络进行完全物理隔离,进而导致整个区域网络无法正常工作。
为了使得本领域技术人员更加理解本公开提供的网络隔离的方法,下面对上述各步骤进行详细举例说明。
首先,基于区域网络中不同网络子区域及关键网络节点,并综合考虑风电系统线路的部署方式和业务数据流传导路线,将区域网络划分为多个子网络。并提取区域网络中的不同状态信息作为状态特征,例如通过流量、访问情况、是否告警等,本公开对此不作限定。但是由于不同的状态特征的特征值不一致,可以对状态特征数据进行标准化处理,使其同趋化。
在可能的方式中,根据各子网络的状态特征数据确定各子网络对应的特征权重值可以是:对各子网络的状态特征数据进行标准化处理得到目标状态特征数据,并确定各子网络的目标状态特征数据对应的网络熵值。根据状态特征数据的状态特征种类数、网络熵值确定各子网络对应的特征权重值。
示例地,可以通过标准差归一化、“max-min”归一化等方式对各子网络的状态特征数据进行标准化处理。以“max-min”归一化为例,可以通过如下计算式对各子网络的状态特征数据进行标准化处理:
Figure BDA0003733821810000071
其中,N表示状态特征数据的数据量(单个子网络),K表示状态特征种类数,yj,min表示状态特征数据中第k个状态特征的最小值,yj,max表示状态特征数据中第k个状态特征的最大值,yj,k是状态特征数据中第j个状态特征数据的第k个状态特征,xj,k表示yj,k标准化后的值,其范围为[0,1]。从而实现各子网络的状态特征数据的标准化处理,使得不同子网络间的状态特征可以进行比较。
在可能的方式中,确定各子网络的目标状态特征数据对应的网络熵值可以是:对目标状态特征数据的取值区间进行划分得到多个特征区间,再根据预设的隶属度函数,确定每一特征区间与多个预设聚类中心对应的多个隶属度,最后根据多个特征区间、多个预设聚类中心以及多个隶属度,确定各子网络的目标状态特征数据对应的网络熵值。
示例地,可以对网络安全事件进行分析,划分出不同的预设的聚类中心。以二分类为例,一类为未受灾,二类为受灾。此外,除了可以划分出受灾和未受灾,还可以对受灾程度进行量化分析,聚类中心数量越多,受灾程度量化越细,例如分为未受灾、严重受灾、中度受灾和轻度受灾等等,本公开对此不作限定。
进一步地,以xj,k对聚类中心Ci的隶属度为例,构建隶属度的求解模型:
Figure BDA0003733821810000081
Figure BDA0003733821810000082
其中,C表示预设聚类中心的数量,μij表示xj,k对聚类中心Ci的隶属度,μij∈[0,1],m表示可控常数,dij表示xj,k与第i个预设聚类中心的欧氏距离。
再一步地,对上述模型进行求解,例如可以运用拉格朗日乘子算法:
Figure BDA0003733821810000083
Figure BDA0003733821810000084
示例地,对目标状态特征数据的取值区间进行划分得到多个特征区间,特征区间的数量可以和预设聚类中心的数量相同,也可以不相同,本公开对此不作限定。以将目标状态特征数据的取值区间进行L等分得到L个特征区间为例:
Figure BDA0003733821810000085
其中,
Figure BDA0003733821810000086
表示第j个状态特征数据的第k个状态特征的第l个特征区间对于第i个预设聚类中心的隶属度。
在可能的方式中,根据多个特征区间、多个预设聚类中心以及多个隶属度,确定各子网络的目标状态特征数据对应的网络熵值可以是:根据如下计算式确定网络熵值:
Figure BDA0003733821810000087
Figure BDA0003733821810000091
1≤l≤L,1≤i≤C,1≤j≤N,1≤k≤K
其中,Hk表示第k个状态特征的网络熵值,K表示状态特征种类数,L表示特征区间的数量,C表示预设聚类中心的数量,N表示状态特征数据的数据量,
Figure BDA0003733821810000092
表示第k个状态特征的第l个特征区间属于第i个预设聚类中心的概率,
Figure BDA0003733821810000093
表示第j个状态特征数据的第k个状态特征的第l个特征区间对于第i个预设聚类中心的隶属度。
进一步地,在得到状态特征的网络熵值后,可以通过如下计算式确定子网络的熵值:
Figure BDA0003733821810000094
其中,H表示子网络的熵值,wk表示第k个状态特征的特征权重值。
由于min(·)1/2可以等效于min(·),因此可以构建如下求解模型:
Figure BDA0003733821810000095
Figure BDA0003733821810000096
将wk的初始值设置为1/k,引入拉格朗日因子λ进行求解:
Figure BDA0003733821810000097
进一步地,分别对w和λ求偏导,得到
Figure BDA0003733821810000098
由于归一化后
Figure BDA0003733821810000099
Figure BDA00037338218100000910
是等效的,因此将第k个状态特征的特征权重值调整为
Figure BDA00037338218100000911
Hk表示第k个状态特征的网络熵值,表征状态特征的无序性程度,1-Hk表征状态特征的有序性程度。通过综合考虑状态特征的有序性分布和无序性分布,重新调整状态特征的特征权重值得到最终的特征权重值。
因此,在可能的方式中,根据状态特征数据的状态特征种类数、网络熵值确定各子网络对应的特征权重值可以是:根据如下计算式确定特征权重值:
Figure BDA0003733821810000101
其中,wk表示第k个状态特征的特征权重值。
在可能的方式中,确定各子网络中除第一子网络外的第二子网络对应的特征权重值与第一特征权重值的距离值可以是:将第二子网络对应的特征权重值与第一特征权重值的欧式距离作为距离值。
值得说明的是,第一子网络为出现网络安全事件的子网络,通过对比第一子网络和第二子网络的特征权重值,可以确定第一子网络和第二子网络在特征维度上的相似程度,从而确定第二子网络是否可能出现网络安全事件,进而判断是否需要进行网络隔离。
示例地,由于状态特征包括多个,因此可以将第二子网络的多个状态特征与第一子网络的多个状态特征的欧式距离作为距离值。除此之外,还可以利用余弦相似度等其他相似度计算方法,本公开对此不作限定。
在可能的方式中,网络隔离策略包括对子网络进行完全封闭的第一网络隔离策略、保留目标用户访问权限和目标网络端口的第二网络隔策略、拒绝外部访问的第三隔离策略中的至少一者,且第一网络隔离策略对应的第一预设区间的上限阈值小于或等于第二网络隔离策略对应的第二预设区间的下限阈值,第二预设区间的上限阈值小于或等于第三网络隔离策略对应的第三预设区间的下限阈值。
值得说明的是,由于距离值可以表征第二子网络和第一子网络在特征维度上的相似程度,那么距离值越小,说明第二子网络和第一子网络在特征维度上的相似程度越高,也就是说,第二子网络发生网络安全事件的可能性越大。因此,可以确定一个或多个距离阈值,并为不同距离阈值区间制定不同的网络隔离措施。
示例地,已设置3个距离阈值为例,其中第一距离阈值大于0且小于第二距离阈值,第二距离阈值小于第三距离阈值,计算各子网络中除第一子网络外的多个子网络与第一子网络的距离值。距离值在0到第一距离阈值的阈值区间的子网络,与第一子网络相似程度最高,对该子网络执行进行完全封闭的第一网络隔离策略,阻断所有数据流与用户访问行为。距离值在第一距离阈值到第二距离阈值的阈值区间的子网络,与第一子网络相似程度较高,对该子网络执行保留目标用户访问权限和目标网络端口的第二网络隔策略,例如支持关键业务运行的核心数据流所需的网络端口和用户访问权限、网络安全管理人员的用户访问权限、安全诊断所需的网络端口等。距离值在第二距离阈值到第三距离阈值的阈值区间的子网络,与第一子网络相似程度较低,对该子网络执行拒绝外部访问的第三隔离策略,可以保留大部分内网数据流流通,保留内部网络安全管理人员的用户访问权限,只需阻断外部人员的远程访问与直接接线访问等外部访问即可,避免其受到外部攻击。距离值大于第三距离阈值的子网络,与第一子网络相似程度最低,可以不对其进行网络隔离,仅进行持续关注即可。
通过距离区间的划分,对整个区域网络的每个子网络进行分等级隔离,避免对整个区域网络进行完全物理隔离,进而导致整个区域网络无法正常工作。上述距离区间的划分作为示例性说明,距离阈值的具体数量本公开对此不作限定。
此外,相似程度是指业务功能、通过数据流情况、受灾后对系统全体的影响层面与程度等方面的相似程度。还可以根据第二子网络和第一子网络在特征维度上的相似程度,进一步分析出攻击者的攻击模式,下一步攻击目标和攻击目的等等。
基于同一发明构思,本公开实施例还提供一种网络隔离的装置,参照图2,所述装置200包括:
获取模块201,用于响应于区域网络中的第一子网络出现网络安全事件,获取所述区域网络中各子网络的状态特征数据。
权重确定模块202,用于根据所述各子网络的状态特征数据确定所述各子网络对应的特征权重值,所述第一子网络对应的特征权重值为第一特征权重值。
距离确定模块203,用于确定所述各子网络中除所述第一子网络外的第二子网络对应的特征权重值与所述第一特征权重值的距离值。
策略确定模块204,用于根据所述距离值所对应的预设区间、预设区间与网络隔离策略的对应关系,确定所述第二子网络的目标网络隔离策略。
采用上述装置,对整个区域网络进行分区隔离,且每个子网络采用对应的网络隔离策略,从而避免对整个区域网络进行完全物理隔离,进而导致整个区域网络无法正常工作。
可选地,所述权重确定模块202用于:
对所述各子网络的状态特征数据进行标准化处理得到目标状态特征数据,并确定所述各子网络的目标状态特征数据对应的网络熵值;
根据所述状态特征数据的状态特征种类数、所述网络熵值确定所述各子网络对应的特征权重值。
可选地,所述权重确定模块202用于:
对所述目标状态特征数据的取值区间进行划分得到多个特征区间;
根据预设的隶属度函数,确定所述每一特征区间与多个预设聚类中心对应的多个隶属度;
根据所述多个特征区间、所述多个预设聚类中心以及所述多个隶属度,确定所述各子网络的目标状态特征数据对应的网络熵值。
可选地,所述权重确定模块202用于:
根据如下计算式确定所述网络熵值:
Figure BDA0003733821810000131
Figure BDA0003733821810000132
1≤l≤L,1≤i≤C,1≤j≤N,1≤k≤K
其中,Hk表示第k个状态特征的网络熵值,K表示状态特征种类数,L表示特征区间的数量,C表示预设聚类中心的数量,N表示所述状态特征数据的数据量,
Figure BDA0003733821810000133
表示第k个状态特征的第l个特征区间属于第i个预设聚类中心的概率,
Figure BDA0003733821810000134
表示第j个状态特征数据的第k个状态特征的第l个特征区间对于所述第i个预设聚类中心的隶属度。
可选地,所述权重确定模块202用于:
根据如下计算式确定所述特征权重值:
Figure BDA0003733821810000135
其中,wk表示第k个状态特征的特征权重值。
可选地,所述距离确定模块203用于:
将所述第二子网络对应的特征权重值与所述第一特征权重值的欧式距离作为所述距离值。
可选地,所述网络隔离策略包括对子网络进行完全封闭的第一网络隔离策略、保留目标用户访问权限和目标网络端口的第二网络隔策略、拒绝外部访问的第三隔离策略中的至少一者,且所述第一网络隔离策略对应的第一预设区间的上限阈值小于或等于所述第二网络隔离策略对应的第二预设区间的下限阈值,所述第二预设区间的上限阈值小于或等于所述第三网络隔离策略对应的第三预设区间的下限阈值。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
基于同一发明构思,本公开实施例还提供一种非临时性计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述网络隔离的方法的步骤。
基于同一发明构思,本公开实施例还提供一种电子设备,包括:
存储器,其上存储有计算机程序;
处理器,用于执行所述存储器中的所述计算机程序,以实现网络隔离的方法的步骤。
图3是根据一示例性实施例示出的一种电子设备300的框图。参照图3,电子设备300包括处理器301,其数量可以为一个或多个,以及存储器302,用于存储可由处理器301执行的计算机程序。存储器302中存储的计算机程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外,处理器301可以被配置为执行该计算机程序,以执行上述的网络隔离的方法。
另外,电子设备300还可以包括电源组件305和通信组件303,该电源组件305可以被配置为执行电子设备300的电源管理,该通信组件303可以被配置为实现电子设备300的通信,例如,有线或无线通信。此外,该电子设备300还可以包括输入/输出(I/O)接口304。电子设备300可以操作基于存储在存储器302的操作系统,例如Windows ServerTM,Mac OSXTM,UnixTM,LinuxTM等等。
在另一示例性实施例中,还提供了一种包括程序指令的计算机可读存储介质,该程序指令被处理器执行时实现上述的网络隔离的方法的步骤。例如,该非临时性计算机可读存储介质可以为上述包括程序指令的存储器302,上述程序指令可由电子设备300的处理器301执行以完成上述的网络隔离的方法。
在另一示例性实施例中,还提供一种计算机程序产品,该计算机程序产品包含能够由可编程的装置执行的计算机程序,该计算机程序具有当由该可编程的装置执行时用于执行上述的网络隔离的方法的代码部分。
以上结合附图详细描述了本公开的优选实施方式,但是,本公开并不限于上述实施方式中的具体细节,在本公开的技术构思范围内,可以对本公开的技术方案进行多种简单变型,这些简单变型均属于本公开的保护范围。
另外需要说明的是,在上述具体实施方式中所描述的各个具体技术特征,在不矛盾的情况下,可以通过任何合适的方式进行组合,为了避免不必要的重复,本公开对各种可能的组合方式不再另行说明。
此外,本公开的各种不同的实施方式之间也可以进行任意组合,只要其不违背本公开的思想,其同样应当视为本公开所公开的内容。

Claims (10)

1.一种网络隔离的方法,其特征在于,所述方法包括:
响应于区域网络中的第一子网络出现网络安全事件,获取所述区域网络中各子网络的状态特征数据;
根据所述各子网络的状态特征数据确定所述各子网络对应的特征权重值,所述第一子网络对应的特征权重值为第一特征权重值;
确定所述各子网络中除所述第一子网络外的第二子网络对应的特征权重值与所述第一特征权重值的距离值;
根据所述距离值所对应的预设区间、预设区间与网络隔离策略的对应关系,确定所述第二子网络的目标网络隔离策略。
2.根据权利要求1所述的方法,其特征在于,所述根据所述各子网络的状态特征数据确定所述各子网络对应的特征权重值,包括:
对所述各子网络的状态特征数据进行标准化处理得到目标状态特征数据,并确定所述各子网络的目标状态特征数据对应的网络熵值;
根据所述状态特征数据的状态特征种类数、所述网络熵值确定所述各子网络对应的特征权重值。
3.根据权利要求2所述的方法,其特征在于,所述确定所述各子网络的目标状态特征数据对应的网络熵值,包括:
对所述目标状态特征数据的取值区间进行划分得到多个特征区间;
根据预设的隶属度函数,确定所述每一特征区间与多个预设聚类中心对应的多个隶属度;
根据所述多个特征区间、所述多个预设聚类中心以及所述多个隶属度,确定所述各子网络的目标状态特征数据对应的网络熵值。
4.根据权利要求3所述的方法,其特征在于,所述根据所述多个特征区间、所述多个预设聚类中心以及所述多个隶属度,确定所述各子网络的目标状态特征数据对应的网络熵值,包括:
根据如下计算式确定所述网络熵值:
Figure FDA0003733821800000021
Figure FDA0003733821800000022
1≤l≤L,1≤i≤C,1≤j≤N,1≤k≤K
其中,Hk表示第k个状态特征的网络熵值,K表示状态特征种类数,L表示特征区间的数量,C表示预设聚类中心的数量,N表示所述状态特征数据的数据量,
Figure FDA0003733821800000023
表示第k个状态特征的第l个特征区间属于第i个预设聚类中心的概率,
Figure FDA0003733821800000024
表示第j个状态特征数据的第k个状态特征的第l个特征区间对于所述第i个预设聚类中心的隶属度。
5.根据权利要求4所述的方法,其特征在于,所述根据所述状态特征数据的状态特征种类数、所述网络熵值确定所述各子网络对应的特征权重值,包括:
根据如下计算式确定所述特征权重值:
Figure FDA0003733821800000025
其中,wk表示第k个状态特征的特征权重值。
6.根据权利要求1所述的方法,其特征在于,所述确定所述各子网络中除所述第一子网络外的第二子网络对应的特征权重值与所述第一特征权重值的距离值,包括:
将所述第二子网络对应的特征权重值与所述第一特征权重值的欧式距离作为所述距离值。
7.根据权利要求1-6中任一项所述的方法,其特征在于,所述网络隔离策略包括对子网络进行完全封闭的第一网络隔离策略、保留目标用户访问权限和目标网络端口的第二网络隔策略、拒绝外部访问的第三隔离策略中的至少一者,且所述第一网络隔离策略对应的第一预设区间的上限阈值小于或等于所述第二网络隔离策略对应的第二预设区间的下限阈值,所述第二预设区间的上限阈值小于或等于所述第三网络隔离策略对应的第三预设区间的下限阈值。
8.一种网络隔离的装置,其特征在于,所述装置包括:
获取模块,用于响应于区域网络中的第一子网络出现网络安全事件,获取所述区域网络中各子网络的状态特征数据;
权重确定模块,用于根据所述各子网络的状态特征数据确定所述各子网络对应的特征权重值,所述第一子网络对应的特征权重值为第一特征权重值;
距离确定模块,用于确定所述各子网络中除所述第一子网络外的第二子网络对应的特征权重值与所述第一特征权重值的距离值;
策略确定模块,用于根据所述距离值所对应的预设区间、预设区间与网络隔离策略的对应关系,确定所述第二子网络的目标网络隔离策略。
9.一种非临时性计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1-7任一项所述方法的步骤。
10.一种电子设备,其特征在于,包括:
存储器,其上存储有计算机程序;
处理器,用于执行所述存储器中的所述计算机程序,以实现权利要求1-7中任一项所述方法的步骤。
CN202210800646.2A 2022-07-06 2022-07-06 网络隔离的方法、装置、存储介质及电子设备 Active CN115277116B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210800646.2A CN115277116B (zh) 2022-07-06 2022-07-06 网络隔离的方法、装置、存储介质及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210800646.2A CN115277116B (zh) 2022-07-06 2022-07-06 网络隔离的方法、装置、存储介质及电子设备

Publications (2)

Publication Number Publication Date
CN115277116A true CN115277116A (zh) 2022-11-01
CN115277116B CN115277116B (zh) 2024-02-02

Family

ID=83766673

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210800646.2A Active CN115277116B (zh) 2022-07-06 2022-07-06 网络隔离的方法、装置、存储介质及电子设备

Country Status (1)

Country Link
CN (1) CN115277116B (zh)

Citations (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105357063A (zh) * 2015-12-14 2016-02-24 成都为帆斯通科技有限公司 一种网络空间安全态势实时检测方法
WO2016180127A1 (zh) * 2015-09-16 2016-11-17 中兴通讯股份有限公司 一种网络性能的评估方法及系统
CN108270645A (zh) * 2017-12-19 2018-07-10 中国电子科技网络信息安全有限公司 一种sdn网络隔离性检测方法
CN109272170A (zh) * 2018-10-11 2019-01-25 北京市交通信息中心 一种基于Louvain算法的交通小区划分系统
CN109302408A (zh) * 2018-10-31 2019-02-01 西安交通大学 一种网络安全态势评估方法
CN110505539A (zh) * 2018-05-17 2019-11-26 中兴通讯股份有限公司 物理光网络虚拟化映射方法、装置、控制器及存储介质
CN110740177A (zh) * 2019-10-12 2020-01-31 腾讯科技(深圳)有限公司 网络合并方法和装置、存储介质及电子装置
CN111262887A (zh) * 2020-04-26 2020-06-09 腾讯科技(深圳)有限公司 基于对象特征的网络风险检测方法、装置、设备及介质
WO2020205296A1 (en) * 2019-03-21 2020-10-08 Illumina, Inc. Artificial intelligence-based generation of sequencing metadata
CN111753024A (zh) * 2020-06-24 2020-10-09 河北工程大学 一种面向公共安全领域的多源异构数据实体对齐方法
CN112751843A (zh) * 2020-12-28 2021-05-04 中铁第一勘察设计院集团有限公司 铁路供电系统网络安全防护系统
CN114221897A (zh) * 2021-12-09 2022-03-22 网络通信与安全紫金山实验室 一种基于多属性决策的路由方法、装置、设备和介质
US20220102660A1 (en) * 2019-12-16 2022-03-31 Seoul National University R&Db Foundation Defect suppressed metal halide perovskite light-emitting material and light-emitting diode comprising the same
CN114372117A (zh) * 2022-01-07 2022-04-19 北华航天工业学院 一种复杂交通网络的多尺度聚集模式分析方法

Patent Citations (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016180127A1 (zh) * 2015-09-16 2016-11-17 中兴通讯股份有限公司 一种网络性能的评估方法及系统
CN105357063A (zh) * 2015-12-14 2016-02-24 成都为帆斯通科技有限公司 一种网络空间安全态势实时检测方法
CN108270645A (zh) * 2017-12-19 2018-07-10 中国电子科技网络信息安全有限公司 一种sdn网络隔离性检测方法
CN110505539A (zh) * 2018-05-17 2019-11-26 中兴通讯股份有限公司 物理光网络虚拟化映射方法、装置、控制器及存储介质
CN109272170A (zh) * 2018-10-11 2019-01-25 北京市交通信息中心 一种基于Louvain算法的交通小区划分系统
CN109302408A (zh) * 2018-10-31 2019-02-01 西安交通大学 一种网络安全态势评估方法
WO2020205296A1 (en) * 2019-03-21 2020-10-08 Illumina, Inc. Artificial intelligence-based generation of sequencing metadata
CN110740177A (zh) * 2019-10-12 2020-01-31 腾讯科技(深圳)有限公司 网络合并方法和装置、存储介质及电子装置
US20220102660A1 (en) * 2019-12-16 2022-03-31 Seoul National University R&Db Foundation Defect suppressed metal halide perovskite light-emitting material and light-emitting diode comprising the same
CN111262887A (zh) * 2020-04-26 2020-06-09 腾讯科技(深圳)有限公司 基于对象特征的网络风险检测方法、装置、设备及介质
CN111753024A (zh) * 2020-06-24 2020-10-09 河北工程大学 一种面向公共安全领域的多源异构数据实体对齐方法
CN112751843A (zh) * 2020-12-28 2021-05-04 中铁第一勘察设计院集团有限公司 铁路供电系统网络安全防护系统
CN114221897A (zh) * 2021-12-09 2022-03-22 网络通信与安全紫金山实验室 一种基于多属性决策的路由方法、装置、设备和介质
CN114372117A (zh) * 2022-01-07 2022-04-19 北华航天工业学院 一种复杂交通网络的多尺度聚集模式分析方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
JING CHEN;: "Isolation Forest Based Interest Flooding Attack Detection Mechanism in NDN", 2019 2ND INTERNATIONAL CONFERENCE ON HOT INFORMATION-CENTRIC NETWORKING (HOTICN) *
陈莉: "基于SDN的DDoS攻击检测与防御方法的应用研究", 信息科技辑 *

Also Published As

Publication number Publication date
CN115277116B (zh) 2024-02-02

Similar Documents

Publication Publication Date Title
US10097572B1 (en) Security for network computing environment based on power consumption of network devices
CN106789935B (zh) 一种终端异常检测方法
CN111163115A (zh) 一种基于双引擎的物联网安全监测方法及系统
US20040215972A1 (en) Computationally intelligent agents for distributed intrusion detection system and method of practicing same
CN106888106A (zh) 智能电网中的it资产大规模侦测系统
CN107995192B (zh) 一种网络边界违规内联的检测与阻断系统
KR101375813B1 (ko) 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 장치 및 방법
WO2014120181A1 (en) Targeted security alerts
CN109302396A (zh) 一种基于风险评估的网络安全态势感知方法
CN112506167B (zh) 一种工业网络设备的异常的处理方法以及系统
CN110597693B (zh) 告警信息发送方法、装置、设备、系统及存储介质
DE202022102631U1 (de) Intelligentes Verteidigungssystem gegen verteilte Denial of Service (DDoS) Angriffe in Internet of Things (IoT) Netzen
CN117081868B (zh) 一种基于安全策略的网络安全运营方法
CN112291266B (zh) 一种数据处理的方法、装置、服务器和存储介质
CN108667642A (zh) 一种基于风险评估的服务器的风险均衡器
KR20190104759A (ko) 지능형 장비 이상 증상 사전 탐지 시스템 및 방법
CN115277116A (zh) 网络隔离的方法、装置、存储介质及电子设备
CN116886341A (zh) 基于拓扑网络的设备安全管理方法及系统
CN115913652A (zh) 异常访问行为检测方法及装置、电子设备及可读存储介质
CN115567258A (zh) 网络安全态势感知方法、系统、电子设备及存储介质
CN113553588A (zh) 终端软件管理方法
CN112866172A (zh) 安全防护方法、装置、智能家居系统和计算机可读介质
CN115051922B (zh) 一种链路控制方法、装置、电子设备及存储介质
CN111835540B (zh) 进行告警的方法和装置
CN114553565A (zh) 一种基于请求频率的安全态势感知方法和系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant