CN116389174B - 网络安全管控方法和装置 - Google Patents
网络安全管控方法和装置 Download PDFInfo
- Publication number
- CN116389174B CN116389174B CN202310665006.XA CN202310665006A CN116389174B CN 116389174 B CN116389174 B CN 116389174B CN 202310665006 A CN202310665006 A CN 202310665006A CN 116389174 B CN116389174 B CN 116389174B
- Authority
- CN
- China
- Prior art keywords
- security
- policy
- module
- event
- situation awareness
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 45
- 230000000694 effects Effects 0.000 claims abstract description 31
- 238000007726 management method Methods 0.000 claims description 34
- 230000004044 response Effects 0.000 claims description 22
- 238000001514 detection method Methods 0.000 claims description 9
- 238000011084 recovery Methods 0.000 claims description 8
- 230000009471 action Effects 0.000 claims description 6
- 230000008569 process Effects 0.000 claims description 6
- 230000001960 triggered effect Effects 0.000 claims description 4
- 230000002159 abnormal effect Effects 0.000 claims description 3
- 238000012550 audit Methods 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000001737 promoting effect Effects 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
- 230000008707 rearrangement Effects 0.000 description 1
- 230000002787 reinforcement Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000035899 viability Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/147—Network analysis or design for predicting network behaviour
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种网络安全管控方法和装置,通过建立网络安全模型,其中网络安全模型包括态势感知模块、策略模块和执行模块,态势感知模块用于根据网络安全关键数据发现安全事件并确定安全事件对当前网络系统的已经产生效果和预测产生效果;策略模块用于为安全事件提供防护手段和实施方法;针对安全事件,根据态势感知模块的态势感知结果和策略模块的预设部署方案控制执行模块执行相应的措施,进而可以实现通过态势感知模块进行态势感知以主动发现对网络系统的外部潜在威胁,并根据态势感知模块的态势感知结果和策略模块的预设部署方案控制执行模块执行相应的措施,以为网络系统安全提供有效保护。
Description
技术领域
本发明实施例涉及网络信息安全技术领域,尤其涉及一种网络安全管控方法和装置。
背景技术
目前物联网、云计算、大数据、移动互联等信息技术迎来了快速发展和广泛应用,但新信息技术的引入,导致智能信息服务系统在促进智能化、提高信息服务质量的同时,也面临更多的网络安全威胁。
现有技术中,为保证网络安全,在网络系统中应用的安全模型为P2DR2,该模型中P2代表Policy(策略)和Protection(防护),D代表Detection(检测),R2代表Response(响应)和Recovery(恢复)。
然而,P2DR2安全模型只能针对已经发生的攻击事件作出相应的动作,无法发现潜在的威胁并作出响应。
发明内容
本发明提供一种网络安全管控方法和装置,以实现通过态势感知模块进行态势感知以主动发现对网络系统的外部潜在威胁,并根据态势感知模块的态势感知结果和策略模块的预设部署方案控制执行模块执行相应的措施,以为网络系统安全提供有效保护。
第一方面,本发明实施例提供了一种网络安全管控方法,包括:
建立网络安全模型,其中网络安全模型包括态势感知模块、策略模块和执行模块,态势感知模块用于根据网络安全关键数据发现安全事件并确定安全事件对当前网络系统的已经产生效果和预测产生效果;策略模块用于为安全事件提供防护手段和实施方法;
针对安全事件,根据态势感知模块的态势感知结果和策略模块的预设部署方案控制执行模块执行相应的措施。
可选的,态势感知模块包括网络安全态势觉察单元;其中网络安全态势觉察单元用于针对安全事件的网络安全关键数据确定主客体角色,以及设置网络安全关键数据所包括的各安全参数对应的权重;其中,安全事件包括攻击事件;创建事件库,事件库包括安全事件对应的阈值参数以及预判事件类型;其中,阈值参数为各安全参数及其对应的权重加权和的阈值。
可选的,网络安全态势觉察单元还用于根据网络系统的反馈调整权重和/或阈值参数。
可选的,态势感知模块还包括网络安全态势理解单元和网络安全态势投射单元;
其中网络安全态势理解单元用于根据网络安全态势觉察单元发现安全事件,确定安全事件的语义以及意图;
网络安全态势投射单元用于分析安全事件对当前网络系统中各个对象的威胁情况,威胁情况包括已经产生效果和预测产生效果。
可选的,执行模块包括防护单元、检测单元、响应单元和恢复单元。
可选的,针对安全事件,根据态势感知模块的态势感知结果和策略模块的预设部署方案控制执行模块执行相应的措施,包括:
从策略数据库选择发布的目标策略对象,并根据目标策略对象确定目标策略控制对象以通过目标策略控制对象将目标策略对象分发至目标策略实施组件,以使策略实施组件执行装入、卸载、启用、或禁用执行对象中的一个动作;其中,策略数据库中存储有多个预先创建编译的策略对象;
在接收到安全事件后,根据态势感知模块的态势感知结果和安全策略模块中预设的安全策略自管理规则对正在运行的安全策略进行调整,以使执行模块执行调整后的安全策略。
可选的,在接收到安全事件后,根据态势感知模块的态势感知结果和安全策略模块中预设的安全策略自管理规则对正在运行的安全策略进行调整,以使执行模块执行调整后的安全策略,包括:
在态势感知模块的态势感知结果为确定当前的安全事件存在威胁时,禁用正在运行的安全策略并更改安全策略的参数,启用修改参数后的安全策略;
或者,根据安全事件的相关参数判断事件类型,并根据事件类型从一组预先定义的安全策略中选择启用的安全策略和禁用的安全策略;
或者,根据安全事件的相关参数,采用预设算法创建一条更新安全策略替换原有安全策略,并启用更新安全策略、禁用原有安全策略。
可选的,针对安全事件,根据态势感知模块的态势感知结果和安全策略模块的预设部署方案控制执行模块执行相应的措施,还包括:
接收到安全事件后触发对应的策略模板,策略模板中定义有多个联动的安全策略,以控制执行模块按照联动的安全策略进行联动。
可选的,网络安全关键数据包括安全日志、审计数据和流量数据。
第二方面,本发明实施例还提供了一种网络安全管控装置,包括:
模型建立模块,用于建立网络安全模型,其中网络安全模型包括态势感知模块和策略模块,态势感知模块用于根据网络安全关键数据发现安全事件并确定安全事件对当前网络系统的已经产生效果和预测产生效果;策略模块用于为安全事件提供防护手段和实施方法;
控制模块,用于针对安全事件,根据态势感知模块的态势感知结果和策略模块的预设部署方案控制执行模块执行相应的措施。
本实施例的网络安全管控方法和装置,通过建立网络安全模型,其中网络安全模型包括态势感知模块、策略模块和执行模块,态势感知模块用于根据网络安全关键数据发现安全事件并确定安全事件对当前网络系统的已经产生效果和预测产生效果;策略模块用于为安全事件提供防护手段和实施方法;针对安全事件,根据态势感知模块的态势感知结果和策略模块的预设部署方案控制执行模块执行相应的措施,进而可以实现通过态势感知模块进行态势感知以主动发现对网络系统的外部潜在威胁,并根据态势感知模块的态势感知结果和策略模块的预设部署方案控制执行模块执行相应的措施,以为网络系统安全提供有效保护。
附图说明
图1是本发明实施例提供的一种网络安全管控方法的流程图;
图2是本发明实施例提供的SAP2DR2安全模型的结构示意图;
图3是本发明实施例提供的另一种网络安全管控方法的流程图;
图4是本发明实施例提供的一种网络安全管控装置的结构示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
本发明实施例提供了一种网络安全管控方法,图1是本发明实施例提供的一种网络安全管控方法的流程图,该网络安全管控方法可以适用于主动发现对网络系统的外部潜在威胁的情况,该网络安全管控方法可以由网络安全管控装置执行,其中网络安全管控装置可以通过软件和/或硬件实现,参考图1,该网络安全管控方法包括:
步骤110、建立网络安全模型,其中网络安全模型包括态势感知模块、策略模块和执行模块,态势感知模块用于根据网络安全关键数据发现安全事件并确定安全事件对当前网络系统的已经产生效果和预测产生效果;策略模块用于为安全事件提供防护手段和实施方法。
具体的,为提供高效灵活和动态自适应的信息安全保障策略,更有效地解决各种新型的网络安全威胁,本实施例提出了基于状态感知的SAP2DR2安全模型。图2是本发明实施例提供的SAP2DR2安全模型的结构示意图,参考图2,本步骤建立的SAP2DR2安全模型,在P2DR2模型的基础上,引入态势感知模块210,其中SAP2DR2安全模型中的SA是SituationAwareness的缩写,即态势感知。态势感知是指在一定的时空范围内,认知、理解环境因素,并且对未来的发展趋势进行预测。态势感知模块210具体用于根据网络安全关键数据发现安全事件并确定安全事件对当前网络系统的已经产生效果和预测产生效果,其中,网络安全关键数据可以安全日志、审计数据、流量数据等。安全事件可以包括攻击事件。与现有技术相比,本实施例的SAP2DR2模型中,态势感知模块210不仅可以根据网络安全关键数据发现安全事件,确定安全事件对当前网络系统已经产生效果,还可以确定安全事件对当前网络系统的预测产生效果,进而可以及时发现潜在的威胁,即可以主动发现对网络系统的外部潜在威胁。
SAP2DR2模型还包括策略模块220和执行模块,P2代表Policy(策略)和Protection(防护),D代表Detection(检测),R2代表Response(响应)和Recovery(恢复)。策略模块220用于为安全事件提供防护手段和实施方法。整个模型的核心就是策略模块220。模型中的每个环节都在策略模块220的控制与指导下进行。不同的网络需要不同的策略,在制定策略之前,需要全面考虑网络中可能存在的风险和脆弱性,并确定相应的防护手段和实施办法。在进行全面考虑网络中可能存在的风险和脆弱性,确定相应的防护手段和实施方法后,在策略模块220中预设部署方案。策略是使一组对象协同完成某项任务或达到某个目标而必须共同遵守的行为规范。安全策略是指在一个特定网络环境中,为保证提供一定级别的安全保护所必须遵守的一些列规则。这些规则主要用于如何配置、管理和控制系统;约束用户在正常环境下应如何使用网络资源;当网络环境发生不正常行为时,应如何相应和恢复。
执行模块包括防护单元231、检测单元232、响应单元233和恢复单元234。其中防护单元231采用强口令认证、分组授权访问、防火墙及防病毒、入侵防护等技术,结合日志分析、安全加固、紧急响应等安全服务,防御来自外界的网络攻击,同时切断内部的非法访问。
检测单元232通过动态的性能检测、蜜罐诱骗、入侵检测和漏洞扫描等方法及时发现网络的薄弱环节,如果监控到网络受到攻击或是扫描到网络存在漏洞,立即做出修补并将反馈结果传递到下一模块中。
响应单元233实现主动防御响应和遭受攻击的重要信息即时恢复功能。“响应”是指发生安全事件后的紧急处理程序,可以被看作更进一步的“保护”。
恢复单元234在系统遭到突发情况时,立即采用一系列的措施,尽快恢复系统功能,提供正常服务。综合运用系统升级、打补丁等方式将遭到破坏的网络系统复原到未遭破坏之前的状态,在恢复模块中,可以将发生安全事故时丢失的信息找回,或是利用软件升级和打补丁等手段修复网络。恢复是实现动态网络安全的保证,是系统生存能力的重要体现。
步骤120、针对安全事件,根据态势感知模块的态势感知结果和策略模块的预设部署方案控制执行模块执行相应的措施。
其中,策略模块的预设部署方案可以包括多个预设安全策略。具体的,本步骤中,对于不同的安全事件,态势感知模块所感知到的态势感知结果可能是不同的,相应的,对于不同的安全事件,策略模块中与该安全事件对应的安全策略也可能是不同的。换句话说,策略模块中的预设部署方案中,对于一个安全事件,可以包括与该安全事件的态势感知结果一一对应的安全策略。示例性的,对于一个特定的安全事件,态势感知模块的态势感知结果为对当前网络系统的预测产生效果是存在较大威胁,危害较大,则针对该安全事件,可以根据策略模块的预设部署方案预制对应的安全策略来控制模块执行相应的措施,例如采取防护措施,以及进行响应和恢复动作等,进而保证网络系统安全。
本实施例的网络安全管控方法,通过建立网络安全模型,其中网络安全模型包括态势感知模块、策略模块和执行模块,态势感知模块用于根据网络安全关键数据发现安全事件并确定安全事件对当前网络系统的已经产生效果和预测产生效果;策略模块用于为安全事件提供防护手段和实施方法;针对安全事件,根据态势感知模块的态势感知结果和策略模块的预设部署方案控制执行模块执行相应的措施,进而可以实现通过态势感知模块进行态势感知以主动发现对网络系统的外部潜在威胁,并根据态势感知模块的态势感知结果和策略模块的预设部署方案控制执行模块执行相应的措施,以为网络系统安全提供有效保护。
在上述技术方案的基础上,可选的,态势感知模块包括网络安全态势觉察单元;其中网络安全态势觉察单元用于针对安全事件的网络安全关键数据确定主客体角色,以及设置网络安全关键数据所包括的各安全参数对应的权重;其中,安全事件包括攻击事件;创建事件库,事件库包括安全事件对应的阈值参数以及预判事件类型;其中,阈值参数为各安全参数及其对应的权重加权和的阈值。
其中,安全事件的主体是一个主动的实体,包括用户、用户组、进程等。网络系统中最基本的主体是用户,包括一般用户和系统管理员、系统安全员等特殊用户。每个进入网络系统的用户具有唯一标识。安全事件的客体是一个被动的实体,在操作系统中,客体可以是按照一定格式存储在一定记录介质上的数据信息,通常以文件系统格式存储数据,也可以是操作系统中的进程。
其中,安全事件包括多个安全参数,针对一个安全事件,可以根据各安全参数与之对应的权重乘积的加权和得到该安全事件对应的威胁指数,将该威胁指数与设定的阈值参数进行比较,进而得到该安全事件的预判事件类型,其中预判事件类型可以包括攻击事件和非攻击事件。其中,对于一个安全事件,可以设定多个不同大小的阈值参数,以判断安全事件的威胁大小。示例性的,对于一个安全事件,其对应的安全参数包括第一安全参数p1、第二安全参数p2和第三安全参数p3,第一安全参数p1对应的权重为第一权重w1、第二安全参数p2对应的权重为第二权重w2、第三安全参数p3对应的权重为第三权重w3,则该安全事件对应的威胁指数q=p1*w1+p2*w2+p3*w3。示例性的,该安全事件对应的阈值参数可以包括第一阈值参数a1、第二阈值参数a2和第三阈值参数a3,其中a1<a2<a3。通过分别比较威胁指数q与第一阈值参数a1、第二阈值参数a2、第三阈值参数a3的大小关系,可以确定安全事件的威胁等级,示例性的,在q<a1时,确定该安全事件不存在威胁,则确定该安全事件为非攻击事件;当a1<q<a2时,确定该安全事件存在威胁,但威胁等级低,则确定该安全事件为低级攻击事件;当a2<q<a3时,确定该安全事件存在威胁,威胁等级中等,则确定该安全事件为中级攻击事件;当q> a3时,确定该安全事件的威胁等级高,则确定该安全事件为高级攻击事件。
网络安全态势觉察单元还用于根据网络系统的反馈调整权重和/或阈值参数。具体的,针对安全事件,根据态势感知模块的态势感知结果和策略模块的预设部署方案控制执行模块执行相应的措施之后,可以根据网络系统的反馈确定安全参数的权重大小设定是否合理,以及阈值参数设定是否合理,并在不合理时对安全参数的权重和/或阈值参数进行调整。示例性的,当根据设定的安全参数和阈值参数确定一安全事件的预判事件类型为低级攻击事件时,根据策略模块的预设部署方案控制执行模块采取措施之前和采取措施之后,网络系统的状态没有任何改变,则说明对该安全事件的安全参数的权重和阈值参数大小设置的不合理,此种情况下可以对安全参数的权重和/或阈值参数进行调整。
在上述技术方案的基础上,态势感知模块还包括网络安全态势理解单元和网络安全态势投射单元;其中网络安全态势理解单元用于根据网络安全态势觉察单元发现安全事件,确定安全事件的语义以及意图;网络安全态势投射单元用于分析安全事件对当前网络系统中各个对象的威胁情况,威胁情况包括已经产生效果和预测产生效果。
图3是本发明实施例提供的另一种网络安全管控方法的流程图,参考图3,该网络安全管控方法包括:
步骤310、建立网络安全模型,其中网络安全模型包括态势感知模块、策略模块和执行模块,态势感知模块用于根据网络安全关键数据发现安全事件并确定安全事件对当前网络系统的已经产生效果和预测产生效果;策略模块用于为安全事件提供防护手段和实施方法;该步骤与上述实施例中步骤110过程相同,在此不再赘述。
步骤320、从策略数据库选择发布的目标策略对象,并根据目标策略对象确定目标策略控制对象以通过目标策略控制对象将目标策略对象分发至目标策略实施组件,以使策略实施组件执行装入、卸载、启用、或禁用执行对象中的一个动作;其中,策略数据库中存储有多个预先创建编译的策略对象。
其中策略对象支持的元素类型包括地址对象、区域对象、服务对象、应用程序对象、URL对象、时间表对象和处理措施安全配置对象。其中步骤320为策略的自动分发,策略的自动分发有策略服务发起。策略服务首先创建编译策略对象,将其存储于策略数据库中。然后从策略数据库选择发布的目标策略对象,并根据目标策略对象确定目标策略控制对象以通过目标策略控制对象将目标策略对象分发至目标策略实施组件,以使策略实施组件执行装入、卸载、启用、或禁用执行对象中的一个动作。其中,策略控制对象可以包括防火墙、交换机。策略实施组件可以包括网络设备。
步骤330、在接收到安全事件后,根据态势感知模块的态势感知结果和策略模块中预设的策略自管理规则对正在运行的安全策略进行调整,以使执行模块执行调整后的安全策略。
其中步骤330为策略自适应调整,策略自适应调整根据所作用对象的不同可分为授权策略的自管理和职责策略的自管理。新类型策略的主客体都是策略服务,该类型策略从创建、分发到执行、停止都在策略服务内完成。
可选的,上述步骤330包括:
在态势感知模块的态势感知结果为确定当前的安全事件存在威胁时,禁用正在运行的安全策略并更改安全策略的参数,启用修改参数后的安全策略;
或者,根据安全事件的相关参数判断事件类型,并根据事件类型从一组预先定义的安全策略中选择启用的安全策略和禁用的安全策略;
或者,根据安全事件的相关参数,采用预设算法创建一条更新安全策略替换原有安全策略,并启用更新安全策略、禁用原有安全策略。
其中,对于步骤330所包括的上述三种情况,本领域技术人员可以根据实际需要通过程序设定进行选择。
步骤340、接收到安全事件后触发对应的策略模板,策略模板中定义有多个联动的安全策略,以控制执行模块按照联动的安全策略进行联动。
具体的,当一个攻击事件发生时,运用安全策略的联动机制可以同时实现关闭攻击源连接、报告管理员、配置不同边界的防火墙等动作。对于分布式网络环境,因为各安全产品部署在不同的边界,安全事件的及时响应很困难,因此在大规模分布式网络系统基于策略的管理中策略的联动操作是很必要的。在SAP2DR2模型中,把攻击响应预案以策略模板的形式定义。当一个攻击事件发生时触发相应的策略模板,在策略模板中定义的各响应安全策略联动操作,实现自动响应。网络发生异常时,事件服务接收安全事件触发并查找与之相应已注册的策略实施代理,如果没有与之相应的策略实施,将与策略服务进行交互得到或重新定制策略模板,利用安全事件参数将模板进行实例化,并自动分发到相应的策略实施代理上,策略实施代理处理事件响应,根据安全事件触发的限制策略或职责策略,执行策略定义的动作完成对事件的响应。
本实施例的网络安全管控方法,通过SAP2DR2模型可以为基于云计算架构的智能服务系统构建协同联动的主动发现体系,建立策略数据进行策略管理,根据实时场景自适应决策响应,快速生成应急响应预案,主动将安全策略推送给全网关键设备(例如核心交换机、重要服务器和存储设备)。同时,现有安全硬件网关可充当态势感知的执行单元,通过云端检测与边界防御,实时预警和响应安全事件,实现对外部威胁的主动发现。SAP2DR2模型能够对整个网络中各种安全组件进行分布式、动态的、基于策略的管理,实现策略的自动分发 、运行时的自管理和安全策略的联动,使策略核心能够实现用户的操作行为和系统管理动作,为各种安全组件提供良好的信息共享和协作平台。
本发明实施例还提供了一种网络安全管控装置,图4是本发明实施例提供的一种网络安全管控装置的结构示意图,参考图4,该网络安全管控装置包括:
模型建立模块410,用于建立网络安全模型,其中网络安全模型包括态势感知模块和策略模块,态势感知模块包括根据网络安全关键数据发现安全事件并确定安全事件对当前网络系统的已经产生效果和预测产生效果;策略模块用于为安全事件提供防护手段和实施方法;
控制模块420,用于针对安全事件,根据态势感知模块的态势感知结果和策略模块的预设部署方案控制执行模块执行相应的措施。
本发明实施例的网络安全管控装置,用于执行本发明上述任意实施例的网络安全管控方法,具备本发明上述任意实施例的网络安全管控方法的有益效果。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
Claims (6)
1.一种网络安全管控方法,其特征在于,包括:
建立网络安全模型,其中所述网络安全模型包括态势感知模块、策略模块和执行模块,所述态势感知模块用于根据网络安全关键数据发现安全事件并确定所述安全事件对当前网络系统的已经产生效果和预测产生效果;所述策略模块用于为所述安全事件提供防护手段和实施方法;
针对所述安全事件,根据所述态势感知模块的态势感知结果和所述策略模块的预设部署方案控制执行模块执行相应的措施;所述态势感知模块包括网络安全态势觉察单元;其中所述网络安全态势觉察单元用于针对安全事件的网络安全关键数据确定主客体角色,以及设置所述网络安全关键数据所包括的各安全参数对应的权重;其中,所述安全事件包括攻击事件;创建事件库,所述事件库包括所述安全事件对应的阈值参数以及预判事件类型;其中,所述阈值参数为各所述安全参数及其对应的权重加权和的阈值;所述网络安全态势觉察单元还用于根据网络系统的反馈调整所述权重和/或阈值参数;针对所述安全事件,根据所述态势感知模块的态势感知结果和所述策略模块的所述预设部署方案控制所述执行模块执行相应的措施之后,根据网络系统的反馈确定所述安全参数的权重大小设定是否合理,以及所述阈值参数设定是否合理,并在不合理时对安全参数的权重和/或阈值参数进行调整;
所述针对所述安全事件,根据所述态势感知模块的态势感知结果和所述策略模块的预设部署方案控制执行模块执行相应的措施,包括:
从策略数据库选择发布的目标策略对象,并根据所述目标策略对象确定目标策略控制对象以通过所述目标策略控制对象将所述目标策略对象分发至目标策略实施组件,以使所述策略实施组件执行装入、卸载、启用、或禁用执行对象中的一个动作;其中,所述策略数据库中存储有多个预先创建编译的策略对象;策略服务首先创建编译策略对象,将其存储于策略数据库中;然后从策略数据库选择发布的目标策略对象,并根据目标策略对象确定目标策略控制对象以通过目标策略控制对象将目标策略对象分发至目标策略实施组件,以使策略实施组件执行装入、卸载、启用、或禁用执行对象中的一个动作;
在接收到所述安全事件后,根据所述态势感知模块的态势感知结果和所述策略模块中预设的策略自管理规则对正在运行的安全策略进行调整,以使所述执行模块执行调整后的安全策略;
所述针对所述安全事件,根据所述态势感知模块的态势感知结果和所述策略模块的预设部署方案控制执行模块执行相应的措施,还包括:
接收到所述安全事件后触发对应的策略模板,所述策略模板中定义有多个联动的安全策略,以控制所述执行模块按照联动的安全策略进行联动;新类型策略的主客体都是策略服务,该类型策略从创建、分发到执行、停止都在策略服务内完成;
网络发生异常时,事件服务接收安全事件触发并查找与之相应已注册的策略实施代理,如果没有与之相应的策略实施,将与策略服务进行交互得到或重新定制策略模板,利用安全事件参数将模板进行实例化,并自动分发到相应的策略实施代理上,策略实施代理处理事件响应,根据安全事件触发的限制策略或职责策略,执行策略定义的动作完成对事件的响应。
2.根据权利要求1所述的网络安全管控方法,其特征在于,所述态势感知模块还包括网络安全态势理解单元和网络安全态势投射单元;
其中所述网络安全态势理解单元用于根据所述网络安全态势觉察单元发现所述安全事件,确定所述安全事件的语义以及意图;
所述网络安全态势投射单元用于分析所述安全事件对所述当前网络系统中各个对象的威胁情况,所述威胁情况包括已经产生效果和预测产生效果。
3.根据权利要求1所述的网络安全管控方法,其特征在于,所述执行模块包括防护单元、检测单元、响应单元和恢复单元。
4.根据权利要求1所述的网络安全管控方法,其特征在于,所述在接收到所述安全事件后,根据所述态势感知模块的态势感知结果和所述策略模块中预设的策略自管理规则对正在运行的安全策略进行调整,以使所述执行模块执行调整后的安全策略,包括:
在所述态势感知模块的态势感知结果为确定当前的安全事件存在威胁时,禁用正在运行的安全策略并更改安全策略的参数,启用修改参数后的安全策略;
或者,根据所述安全事件的相关参数判断事件类型,并根据所述事件类型从一组预先定义的策略中选择启用的安全策略和禁用的安全策略;
或者,根据所述安全事件的相关参数,采用预设算法创建一条更新安全策略替换原有安全策略,并启用所述更新安全策略、禁用原有安全策略。
5.根据权利要求1-4任一项所述的网络安全管控方法,其特征在于,所述网络安全关键数据包括安全日志、审计数据和流量数据。
6.一种网络安全管控装置,其特征在于,包括:
模型建立模块,用于建立网络安全模型,其中所述网络安全模型包括态势感知模块和策略模块,所述态势感知模块用于根据网络安全关键数据发现安全事件并确定所述安全事件对当前网络系统的已经产生效果和预测产生效果;所述策略模块用于为所述安全事件提供防护手段和实施方法;
控制模块,用于针对所述安全事件,根据所述态势感知模块的态势感知结果和所述策略模块的预设部署方案控制执行模块执行相应的措施;
所述态势感知模块包括网络安全态势觉察单元;其中所述网络安全态势觉察单元用于针对安全事件的网络安全关键数据确定主客体角色,以及设置所述网络安全关键数据所包括的各安全参数对应的权重;其中,所述安全事件包括攻击事件;创建事件库,所述事件库包括所述安全事件对应的阈值参数以及预判事件类型;其中,所述阈值参数为各所述安全参数及其对应的权重加权和的阈值;
所述网络安全态势觉察单元还用于根据网络系统的反馈调整所述权重和/或阈值参数;针对所述安全事件,根据所述态势感知模块的态势感知结果和所述策略模块的所述预设部署方案控制所述执行模块执行相应的措施之后,根据网络系统的反馈确定所述安全参数的权重大小设定是否合理,以及所述阈值参数设定是否合理,并在不合理时对安全参数的权重和/或阈值参数进行调整;
所述针对所述安全事件,根据所述态势感知模块的态势感知结果和所述策略模块的预设部署方案控制执行模块执行相应的措施,包括:
从策略数据库选择发布的目标策略对象,并根据所述目标策略对象确定目标策略控制对象以通过所述目标策略控制对象将所述目标策略对象分发至目标策略实施组件,以使所述策略实施组件执行装入、卸载、启用、或禁用执行对象中的一个动作;其中,所述策略数据库中存储有多个预先创建编译的策略对象;策略服务首先创建编译策略对象,将其存储于策略数据库中;然后从策略数据库选择发布的目标策略对象,并根据目标策略对象确定目标策略控制对象以通过目标策略控制对象将目标策略对象分发至目标策略实施组件,以使策略实施组件执行装入、卸载、启用、或禁用执行对象中的一个动作;
在接收到所述安全事件后,根据所述态势感知模块的态势感知结果和所述策略模块中预设的策略自管理规则对正在运行的安全策略进行调整,以使所述执行模块执行调整后的安全策略;
所述针对所述安全事件,根据所述态势感知模块的态势感知结果和所述策略模块的预设部署方案控制执行模块执行相应的措施,还包括:
接收到所述安全事件后触发对应的策略模板,所述策略模板中定义有多个联动的安全策略,以控制所述执行模块按照联动的安全策略进行联动;新类型策略的主客体都是策略服务,该类型策略从创建、分发到执行、停止都在策略服务内完成;
网络发生异常时,事件服务接收安全事件触发并查找与之相应已注册的策略实施代理,如果没有与之相应的策略实施,将与策略服务进行交互得到或重新定制策略模板,利用安全事件参数将模板进行实例化,并自动分发到相应的策略实施代理上,策略实施代理处理事件响应,根据安全事件触发的限制策略或职责策略,执行策略定义的动作完成对事件的响应。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310665006.XA CN116389174B (zh) | 2023-06-07 | 2023-06-07 | 网络安全管控方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310665006.XA CN116389174B (zh) | 2023-06-07 | 2023-06-07 | 网络安全管控方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116389174A CN116389174A (zh) | 2023-07-04 |
CN116389174B true CN116389174B (zh) | 2023-09-12 |
Family
ID=86969829
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310665006.XA Active CN116389174B (zh) | 2023-06-07 | 2023-06-07 | 网络安全管控方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116389174B (zh) |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101436967A (zh) * | 2008-12-23 | 2009-05-20 | 北京邮电大学 | 一种网络安全态势评估方法及其系统 |
CN102123149A (zh) * | 2011-03-04 | 2011-07-13 | 哈尔滨工程大学 | 面向服务的大规模网络安全态势评估装置及方法 |
CN102821007A (zh) * | 2012-08-06 | 2012-12-12 | 河南科技大学 | 一种基于自律计算的网络安全态势感知系统及其处理方法 |
CN107623697A (zh) * | 2017-10-11 | 2018-01-23 | 北京邮电大学 | 一种基于攻防随机博弈模型的网络安全态势评估方法 |
CN109063205A (zh) * | 2018-09-17 | 2018-12-21 | 河南大学 | 一种面向网络安全的知识库构建方法 |
CN109639634A (zh) * | 2018-11-05 | 2019-04-16 | 杭州安恒信息技术股份有限公司 | 一种物联网自适应安全防护方法及系统 |
CN110620759A (zh) * | 2019-07-15 | 2019-12-27 | 公安部第一研究所 | 基于多维关联的网络安全事件危害指数评估方法及其系统 |
CN111431862A (zh) * | 2020-02-28 | 2020-07-17 | 中国电子科技网络信息安全有限公司 | 威胁驱动的电力监控系统网络安全深度防护方法及系统 |
CN111628981A (zh) * | 2020-05-21 | 2020-09-04 | 公安部第三研究所 | 一种可与应用系统联动的网络安全系统及方法 |
CN115996146A (zh) * | 2022-12-19 | 2023-04-21 | 华中科技大学 | 数控系统安全态势感知与分析系统、方法、设备及终端 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030051026A1 (en) * | 2001-01-19 | 2003-03-13 | Carter Ernst B. | Network surveillance and security system |
-
2023
- 2023-06-07 CN CN202310665006.XA patent/CN116389174B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101436967A (zh) * | 2008-12-23 | 2009-05-20 | 北京邮电大学 | 一种网络安全态势评估方法及其系统 |
CN102123149A (zh) * | 2011-03-04 | 2011-07-13 | 哈尔滨工程大学 | 面向服务的大规模网络安全态势评估装置及方法 |
CN102821007A (zh) * | 2012-08-06 | 2012-12-12 | 河南科技大学 | 一种基于自律计算的网络安全态势感知系统及其处理方法 |
CN107623697A (zh) * | 2017-10-11 | 2018-01-23 | 北京邮电大学 | 一种基于攻防随机博弈模型的网络安全态势评估方法 |
CN109063205A (zh) * | 2018-09-17 | 2018-12-21 | 河南大学 | 一种面向网络安全的知识库构建方法 |
CN109639634A (zh) * | 2018-11-05 | 2019-04-16 | 杭州安恒信息技术股份有限公司 | 一种物联网自适应安全防护方法及系统 |
CN110620759A (zh) * | 2019-07-15 | 2019-12-27 | 公安部第一研究所 | 基于多维关联的网络安全事件危害指数评估方法及其系统 |
CN111431862A (zh) * | 2020-02-28 | 2020-07-17 | 中国电子科技网络信息安全有限公司 | 威胁驱动的电力监控系统网络安全深度防护方法及系统 |
CN111628981A (zh) * | 2020-05-21 | 2020-09-04 | 公安部第三研究所 | 一种可与应用系统联动的网络安全系统及方法 |
CN115996146A (zh) * | 2022-12-19 | 2023-04-21 | 华中科技大学 | 数控系统安全态势感知与分析系统、方法、设备及终端 |
Also Published As
Publication number | Publication date |
---|---|
CN116389174A (zh) | 2023-07-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP1495616B1 (en) | Detecting and countering malicious code in enterprise networks | |
US7281270B2 (en) | Attack impact prediction system | |
CN111324889A (zh) | 安全事件预测方法、装置、设备及计算机可读存储介质 | |
CN117081868B (zh) | 一种基于安全策略的网络安全运营方法 | |
Bashendy et al. | Intrusion response systems for cyber-physical systems: A comprehensive survey | |
GB2569302A (en) | Probing and responding to computer network security breaches | |
Naik et al. | Comparing attack models for it systems: Lockheed martin’s cyber kill chain, mitre att&ck framework and diamond model | |
Lin et al. | Constructing detection knowledge for DDoS intrusion tolerance | |
Zouhair et al. | A review of intrusion detection systems in cloud computing | |
Meier et al. | Towards an AI-powered Player in Cyber Defence Exercises | |
Mehresh et al. | A deception framework for survivability against next generation cyber attacks | |
CN116389174B (zh) | 网络安全管控方法和装置 | |
CN109729089B (zh) | 一种基于容器的智能网络安全功能管理方法及系统 | |
Abou Ghaly et al. | Protecting Software Defined Networks with IoT and Deep Reinforcement Learning | |
Kumar et al. | Statistical based intrusion detection framework using six sigma technique | |
Lysenko et al. | Resilient Computer Systems Development for Cyberattacks Resistance. | |
Janakiraman et al. | An Intelligent Distributed Intrusion Detection System using Genetic Algorithm. | |
Lakhdhar et al. | An approach to a graph-based active cyber defense model | |
Luo et al. | DDOS Defense Strategy in Software Definition Networks | |
Hermanowski et al. | Proactive risk assessment based on attack graphs: An element of the risk management process on system, enterprise and national level | |
Wang et al. | An analysis approach for multi-stage network attacks | |
Hermanowski et al. | Network risk assessment based on attack graphs | |
Hilker | Next challenges in bringing artificial immune systems to production in network security | |
Wu et al. | Automated intrusion response decision based on the analytic hierarchy process | |
JP7243329B2 (ja) | コンピュータプログラム、イベント異常検知方法及びコンピュータ |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |