CN116418571A - 数据的安全处理方法、系统、电子设备和存储介质 - Google Patents
数据的安全处理方法、系统、电子设备和存储介质 Download PDFInfo
- Publication number
- CN116418571A CN116418571A CN202310277228.4A CN202310277228A CN116418571A CN 116418571 A CN116418571 A CN 116418571A CN 202310277228 A CN202310277228 A CN 202310277228A CN 116418571 A CN116418571 A CN 116418571A
- Authority
- CN
- China
- Prior art keywords
- monitoring
- monitoring mode
- mode
- ips
- engine
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000003672 processing method Methods 0.000 title abstract description 13
- 238000012544 monitoring process Methods 0.000 claims abstract description 658
- 238000000034 method Methods 0.000 claims abstract description 73
- 230000002265 prevention Effects 0.000 claims abstract description 34
- 238000012545 processing Methods 0.000 claims description 96
- 230000006399 behavior Effects 0.000 claims description 85
- 230000004044 response Effects 0.000 claims description 53
- 230000008569 process Effects 0.000 claims description 16
- 230000002159 abnormal effect Effects 0.000 claims description 12
- 230000000694 effects Effects 0.000 description 38
- 238000010586 diagram Methods 0.000 description 25
- 239000003795 chemical substances by application Substances 0.000 description 23
- 238000012360 testing method Methods 0.000 description 14
- 230000006870 function Effects 0.000 description 11
- 230000005540 biological transmission Effects 0.000 description 10
- 239000000306 component Substances 0.000 description 10
- 238000012795 verification Methods 0.000 description 9
- 230000008859 change Effects 0.000 description 8
- 230000007123 defense Effects 0.000 description 7
- 230000009977 dual effect Effects 0.000 description 7
- 238000004891 communication Methods 0.000 description 5
- 230000006854 communication Effects 0.000 description 5
- 238000001514 detection method Methods 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 238000013519 translation Methods 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 3
- 238000013475 authorization Methods 0.000 description 3
- 230000007175 bidirectional communication Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- ZPUCINDJVBIVPJ-LJISPDSOSA-N cocaine Chemical compound O([C@H]1C[C@@H]2CC[C@@H](N2C)[C@H]1C(=O)OC)C(=O)C1=CC=CC=C1 ZPUCINDJVBIVPJ-LJISPDSOSA-N 0.000 description 2
- 230000008878 coupling Effects 0.000 description 2
- 238000010168 coupling process Methods 0.000 description 2
- 238000005859 coupling reaction Methods 0.000 description 2
- 238000007405 data analysis Methods 0.000 description 2
- 230000003111 delayed effect Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 239000004973 liquid crystal related substance Substances 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 238000010295 mobile communication Methods 0.000 description 2
- 239000002699 waste material Substances 0.000 description 2
- 239000008186 active pharmaceutical agent Substances 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 230000032683 aging Effects 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 239000008358 core component Substances 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000002361 inverse photoelectron spectroscopy Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000005067 remediation Methods 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请公开了一种数据的安全处理方法、系统、电子设备和存储介质。其中,该方法包括:调用与入侵防御系统IPS引擎的线上流量关联的镜像流量;在镜像流量下,利用待发布至IPS引擎的监测模式对网络行为进行安全监测,得到监测结果,其中,监测模式用于表示对网络行为进行安全监测的规则;响应于监测结果为监测模式与IPS引擎相匹配,允许向IPS引擎发布监测模式。本申请解决了无法对数据进行安全处理的技术问题。
Description
技术领域
本申请涉及数据处理领域,具体而言,涉及一种数据的安全处理方法、系统、电子设备和存储介质。
背景技术
目前,互联网攻防对抗不断的升级,高级长期威胁(Advanced PersistentThreat,简称为APT)事件层出不穷,但漏洞(比如,0day)也频频爆出,给企业安全、运营人员带来了巨大的压力。
在相关技术中,通常是以单入侵防御系统(Intrusion Prevention System,简称为IPS)引擎实现对漏洞或攻击的观察和拦截,但是该方法在规则更新与升级方面,严重滞后于漏洞披露时间,从而导致无法对数据进行安全处理的技术问题。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种数据的安全处理方法、系统、电子设备和存储介质,以至少解决无法对数据进行安全处理的技术问题。
根据本申请实施例的一个方面,提供了一种数据的安全处理方法。该方法可以包括:调用与入侵防御系统IPS引擎的线上流量关联的镜像流量;在镜像流量下,利用待发布至IPS引擎的监测模式对网络行为进行安全监测,得到监测结果,其中,所述监测模式用于表示对所述网络行为进行所述安全监测的规则;响应于监测结果为监测模式与IPS引擎相匹配,允许向IPS引擎发布监测模式。
根据本申请实施例的另一个方面,还提供了另一种数据的安全处理方法。该方法可以包括:获取镜像入侵防御系统IPS引擎发布的监测模式,其中,监测模式用于表示对网络行为进行安全监测的规则,监测模式为基于监测结果为监测模式与线上IPS引擎相匹配所确认的,监测结果为在镜像流量下,利用监测模式对网络行为进行安全监测所得到的,镜像流量为基于与线上IPS引擎的线上流量关联的流量;对获取到的监测模式进行发布。
根据本申请实施例的另一方面,还提供了一种数据的安全处理系统。该系统可以包括:处理器;存储器,与处理器相连接,用于为处理器提供处理以下处理步骤的指令:调用与入侵防御系统IPS引擎的线上流量关联的镜像流量;在镜像流量下,利用待发布至IPS引擎的监测模式对网络行为进行安全监测,得到监测结果;响应于监测结果为监测模式与IPS引擎相匹配,允许向IPS引擎发布监测模式;其中,监测模式用于表示对网络行为进行安全监测的规则。
根据本申请实施例的一个方面,还提供了一种数据的安全处理装置。该装置可以包括:调用单元,用于调用与入侵防御系统IPS引擎的线上流量关联的镜像流量;第一处理单元,用于在镜像流量下,利用待发布至IPS引擎的监测模式对网络行为进行安全监测,得到监测结果,其中,监测模式用于表示对网络行为进行安全监测的规则;第一发布单元,用于响应于监测结果为监测模式与IPS引擎相匹配,允许向IPS引擎发布监测模式。
根据本申请实施例的另一个方面,还提供了另一种数据的安全处理装置。该装置可以包括:获取单元,用于获取镜像入侵防御系统IPS引擎发布的监测模式,其中,监测模式用于表示对网络行为进行安全监测的规则,监测模式为基于监测结果为监测模式与线上IPS引擎相匹配所确认的,监测结果为在镜像流量下,利用监测模式对网络行为进行安全监测所得到的,镜像流量为基于与线上IPS引擎的线上流量关联的流量;第二发布单元,用于对获取到的监测模式进行发布。
根据本申请实施例的另一方面,还提供了一种计算机可读存储介质,计算机可读存储介质包括存储的程序,其中,在程序运行时控制存储介质所在设备执行上述任意一项的数据的安全处理方法。
根据本申请实施例的另一方面,还提供了一种处理器,处理器用于运行程序,其中,在程序运行时执行上述任意一项的数据的安全处理方法。
在本申请实施例中,调用与入侵防御系统IPS引擎的线上流量关联的镜像流量;在镜像流量下,利用待发布至IPS引擎的监测模式对网络行为进行安全监测,得到监测结果,其中,所述监测模式用于表示对网络行为进行安全监测的规则;响应于监测结果为监测模式与IPS引擎相匹配,允许向IPS引擎发布监测模式。也即,在本申请实施例中,利用镜像流量等同IPS引擎的线上流量(又可以称为真实流量),获取在镜像流量下,待发布至IPS引擎的监测模式对网络行为进行安全监测的监测结果,只有响应于监测结果为监测模式与IPS引擎相匹配,允许向线上IPS引擎发布监测模式,从而可以进行较长时间的“试错”筛选出符合IPS的监测模式,进而达到了有效对数据进行安全处理的技术效果,解决了无法对数据进行安全处理的技术问题。
容易注意到的是,上面的通用描述和后面的详细描述仅仅是为了对本申请进行举例和解释,并不构成对本申请的限定。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例的一种用于实现数据的安全处理方法的计算机终端(或移动设备)的硬件结构框图;
图2是根据本申请实施例的一种计算环境的结构框图;
图3是根据本申请实施例的一种服务网格的结构框图;
图4是根据本申请实施例的一种数据的安全处理方法的流程图;
图5是根据本申请实施例的另一种数据的安全处理方法的流程图;
图6是根据本发明实施例的一种数据的安全处理系统的示意图;
图7是根据相关技术中的一种单引擎处理数据的流程图;
图8是根据本申请实施例的一种双引擎的示意图;
图9是根据本申请实施例的一种镜像IPS引擎中模块的示意图;
图10是根据本申请实施例的一种线上IPS引擎中模块的示意图;
图11是根据本申请实施例的一种IPS双引擎工作的流程图;
图12是根据本申请实施例的一种数据的安全处理装置的示意图;
图13是根据本申请实施例的另一种数据的安全处理装置的示意图;
图14是根据本申请实施例的一种计算机终端的结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
首先,在对本申请实施例进行描述的过程中出现的部分名词或术语适用于如下解释:
入侵防御系统(Intrusion Prevention System,简称为IPS),可以为一部能够监测网络或网络设备的网络资料传输行为的计算机网络安全设备,能够及时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为;
镜像流量(Traffic Mirroring),可以指的是流量在另外一个服务器上的完全关联的副本;
灰度测试,指的是在某项产品或应用正式发布前,选择特定人群使用,逐步扩大其试用者数量,以便及时发现和纠正其中的问题;
双引擎系统,可以指的是在防病毒软件中采用两个引擎,其界面已经实现了完全无缝集成在一起,每个引擎可以相互独立低判断程序的合法性;
灰度发布,可以指按照一定策略选取部分用户,让其先体验新版本的应用,通过收集部分用于对于新版本应用的反馈及评论,继续放大新版本投放范围直至全量升级或回滚至老版本。
实施例1
根据本申请实施例,提供了一种数据的安全处理方法,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请实施例一所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。图1是根据本申请实施例的一种用于实现数据的安全处理方法的计算机终端(或移动设备)的硬件结构框图。如图1所示,计算机终端10(或移动设备)可以包括一个或多个(图中采用102a、102b,……,102n来示出)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器104、以及用于通信功能的传输模块106。除此以外,还可以包括:显示器、输入/输出接口(I/O接口)、通用串行总线(Universal Serial Bus,USB)端口(可以作为BUS总线的端口中的一个端口被包括)、网络接口、电源和/或相机。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,计算机终端10还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
应当注意到的是上述一个或多个处理器102和/或其他数据处理电路在本文中通常可以被称为“数据处理电路”。该数据处理电路可以全部或部分的体现为软件、硬件、固件或其他任意组合。此外,数据处理电路可为单个独立的处理模块,或全部或部分的结合到计算机终端10(或移动设备)中的其他元件中的任意一个内。如本申请实施例中所涉及到的,该数据处理电路作为一种处理器控制(例如与接口连接的可变电阻终端路径的选择)。
存储器104可用于存储应用软件的软件程序以及模块,如本申请实施例中的数据的安全处理方法对应的程序指令/数据存储装置,处理器102通过运行存储在存储器104内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的数据的认证方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至计算机终端10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端10的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(Network Interface Controller,NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
显示器可以例如触摸屏式的液晶显示器(Liquid Crystal Display,LCD),该液晶显示器可使得用户能够与计算机终端10(或移动设备)的用户界面进行交互。
图1示出的硬件结构框图,不仅可以作为上述计算机终端10(或移动设备)的示例性框图,还可以作为上述服务器的示例性框图,一种可选实施例中,图2以框图示出了使用上述图1所示的计算机终端10(或移动设备)作为计算环境201中计算节点的一种实施例。图2是根据本申请实施例的一种计算环境的结构框图,如图2所示,计算环境201包括运行在分布式网络上的多个(图中采用210-1,210-2,…,来示出)计算节点(如服务器)。计算节点都包含本地处理和内存资源,终端用户202可以在计算环境201中远程运行应用程序或存储数据。应用程序可以作为计算环境201中的多个服务220-1,220-2,220-3和220-4进行提供,分别代表服务“A”,“D”,“E”和“H”。
终端用户202可以通过客户端上的web浏览器或其他软件应用程序提供和访问服务,在一些实施例中,可以将终端用户202的供应和/或请求提供给入口网关230。入口网关230可以包括一个相应的代理来处理针对服务(计算环境201中提供的一个或多个服务)的供应和/或请求。
服务是根据计算环境201支持的各种虚拟化技术来提供或部署的。在一些实施例中,可以根据基于虚拟机(Virtual Machine,VM)的虚拟化、基于容器的虚拟化和/或类似的方式提供服务。基于虚拟机的虚拟化可以是通过初始化虚拟机来模拟真实的计算机,在不直接接触任何实际硬件资源的情况下执行程序和应用程序。在虚拟机虚拟化机器的同时,根据基于容器的虚拟化,可以启动容器来虚拟化整个操作系统(Operating System,OS),以便多个工作负载可以在单个操作系统实例上运行。
在基于容器虚拟化的一个实施例中,服务的若干容器可以被组装成一个Pod(例如,Kubernetes Pod)。举例来说,如图2所示,服务220-2可以配备一个或多个Pod240-1,240-2,…,240-N(统称为Pod)。Pod可以包括代理245和一个或多个容器242-1,242-2,…,242-M(统称为容器)。Pod中一个或多个容器处理与服务的一个或多个相应功能相关的请求,代理245通常控制与服务相关的网络功能,如路由、负载均衡等。其他服务也可以配备类似于Pod的Pod。
在操作过程中,执行来自终端用户202的用户请求可能需要调用计算环境201中的一个或多个服务,执行一个服务的一个或多个功能可能需要调用另一个服务的一个或多个功能。如图2所示,服务“A”220-1从入口网关230接收终端用户202的用户请求,服务“A”220-1可以调用服务“D”220-2,服务“D”220-2可以请求服务“E”220-3执行一个或多个功能。
上述的计算环境可以是云计算环境,资源的分配由云服务提供上管理,允许功能的开发无需考虑实现、调整或扩展服务器。该计算环境允许开发人员在不构建或维护复杂基础设施的情况下执行响应事件的代码。服务可以被分割完成一组可以自动独立伸缩的功能,而不是扩展单个硬件设备来处理潜在的负载。
另一种可选实施例中,图3以框图示出了使用上述图1所示的计算机终端10(或移动设备)作为服务网格的一种实施例。图3是根据本申请实施例的一种服务网格的结构框图,如图3所示,该服务网格300主要用于方便多个微服务之间进行安全和可靠的通信,微服务是指将应用程序分解为多个较小的服务或者实例,并分布在不同的集群/机器上运行。
如图3所示,微服务可以包括应用服务实例A和应用服务实例B,应用服务实例A和应用服务实例B形成服务网格300的功能应用层。在一种实施方式中,应用服务实例A以容器/进程308的形式运行在机器/工作负载容器组314(Pod),应用服务实例B以容器/进程310的形式运行在机器/工作负载容器组316(Pod)。
在一种实施方式中,应用服务实例A可以是商品查询服务,应用服务实例B可以是商品下单服务。
如图3所示,应用服务实例A和网格代理(sidecar)303共存于机器工作负载容器组614,应用服务实例B和网格代理305共存于机器工作负载容器314。网格代理303和网格代理305形成服务网格300的数据平面层(data plane)。其中,网格代理303和网格代理305分别以容器/进程304,容器/进程306的形式运行,可以接收请求312,以用于进行商品查询服务,并且网格代理303和应用服务实例A之间可以双向通信,网格代理305和应用服务实例B之间可以双向通信。此外,网格代理303和网格代理305之间还可以双向通信。
在一种实施方式中,应用服务实例A的流量都通过网格代理303被路由到合适的目的地,应用服务实例B的网络流量都通过网格代理305被路由到合适的目的地。需要说明的是,在此提及的网络流量包括但不限于超文本传输协议(Hyper Text Transfer Protocol,简称为HTTP),表述性状态传递(Representational State Transfer,简称为REST),高性能、通用的开源框架(google Remote Procedure Call,g-RPC),开源的内存中的数据结构存储系统(Redis)等形式。
在一种实施方式中,可以通过为服务网格300中的代理(Envoy)编写自定义的过滤器(Filter)来实现扩展数据平面层的功能,服务网格代理配置可以是为了使服务网格正确地代理服务流量,实现服务互通和服务治理。网格代理303和网格代理305可以被配置成执行至少如下功能中的一种:服务发现(service discovery),健康检查(health checking),路由(Routing),负载均衡(Load Balancing),认证和授权(authentication andauthorization),以及可观测性(observability)。
如图3所示,该服务网格300还包括控制平面层。其中,控制平面层可以是由一组在一个专用的命名空间中运行的服务,在机器/工作负载容器组(machine/Pod)302中由托管控制面组件301来托管这些服务。如图3所示,托管控制面组件301与网格代理303和网格代理305进行双向通信。托管控制面组件301被配置成执行一些控制管理的功能。例如,托管控制面组件301接收网格代理303和网格代理305传送的遥测数据,可以进一步对这些遥测数据做聚合。这些服务,托管控制面组件301还可以提供面向用户的应用程序接口(Application Programming Interface,API),以便较容易地操纵网络行为,以及向网格代理303和网格代理305提供配置数据等。
在上述运行环境下,本申请从镜像入侵防御系统IPS引擎侧提供了如图4所示的数据的安全处理方法。图4是根据本申请实施例的一种数据的安全处理方法的流程图。如图4所示,该方法可以包括以下步骤:
步骤S402,调用与入侵防御系统IPS引擎的线上流量关联的镜像流量。
在本申请上述步骤S402提供的技术方案中,可以调用于IPS引擎的线上流量关联的流量作为镜像流量。其中,此处的入侵防御系统IPS引擎可以为线上IPS引擎。线上流量可以为线上IPS引擎中的数据,又可以称为真实流量。镜像流量可以为镜像IPS引擎中的数据,又可以称为模拟流量。
在该实施例中,镜像流量和线上流量具有一致性。使用与线上流量关联的镜像流量,从而可以基于监测模式在镜像流量下的监测效果,确定监测模式在线上流量下的监测效果。
步骤S404,在镜像流量下,利用待发布至IPS引擎的监测模式对网络行为进行安全监测,得到监测结果,其中,监测模式用于表示对网络行为进行安全监测的规则。
在本申请上述步骤S404提供的技术方案中,可以获取待发布至入侵防御系统IPS引擎的监测模式。在镜像流量下,可以基于待发布至UPS引擎的监测模式对网络行为进行安全监测,得到监测结果。其中,监测模式可以用于表示对网络行为进行安全监测的规则,可以用于监测,可以为新增的规则,比如,可以为开源规则、流量自学习规则等,此处仅为举例,不对规则的种类做具体限制。监测结果可以用于表征监测模式的性能或效果,可以为监测和反馈的结果,比如,可以为对异常网络行为、漏洞等情况的命中数量等,此处仅为举例,不对监测结果的内容做具体限制。
可选地,可以对镜像IPS引擎进行监测,获取到来自数据输入模块中的规则,得到待发布至IPS引擎的监测模式。在镜像流量下,可以基于监测反馈模块对获取到的监测模式进行检测,确定监测模式对网络行为进行安全监测得到的监测结果。
举例而言,可以将原始线上IPS引擎的监测模式(规则)作为输入,通过数据输入模块得到各类的规则,比如,可以为开源规则、流量自学习规则、恶意控制翻转(Inversion OfControl,简称为IOC)规则等,从而得到待发布至IPS引擎的监测模式,在镜像流量下,可以利用获取到的监测模式对网络行为进行安全监测,可以对网络行为中的异常网络行为进行监测,得到对网络行为中的异常网络行为的命中数量,从而得到监测结果。其中,开源规则可以指来源为开放源代码的网络入侵预防软件与网络入侵检测软件(Snort)平台或在线软件源代码托管服务(github)平台、互联网披露的完整的规则。流量自学习规则可以指基于海量流量数据进行分析、判定得到的漏洞攻击利用概念验证,基于概念验证而自动化生成的规则。恶意控制翻转规则可以指基于特定恶意互联网协议地址(Internet Protocol,简称为IP)、域名、统一资源定位符(Uniform Resource Locator,简称为URL)生成的规则。
步骤S406,响应于监测结果为监测模式与IPS引擎相匹配,允许向IPS引擎发布监测模式。
在本申请上述步骤S406提供的技术方案中,在镜像流量下,利用监测模式对网络行为进行安全监测,得到监测结果。确定监测结果是否为监测模式与IPS引擎相匹配,如果监测结果为监测模式与IPS引擎相匹配,响应于检测结果为监测模式与IPS引擎相匹配,允许向IPS引擎发布监测模式。
可选地,获取监测结果,可以基于监测结果确定监测模式的效果。对监测结果进行判断,可以基于监测结果确定监测模式与IPS引擎是否相匹配。如果监测结果为监测模式与IPS引擎相匹配,响应于监测结果为监测模式与IPS引擎相匹配,允许向IPS引擎发布监测模式。
举例而言,可以获取监测反馈模块监测得到的监测结果,确定监测结果中的命中次数是否满足IPS引擎要求的命中次数,响应于命中次数满足IPS引擎要求的命中次数,可以确定监测结果为监测模式与IPS引擎相匹配。响应于监测结果为监测模式与IPS引擎相匹配,允许向线上IPS引擎发布监测模式。
在相关技术中,通常是在线上IPS引擎中,确定在线上流量下,监测模式的监测效果,但是该方法在对量级比较大的监测模式进行长周期测试时,存在时效性差、规则的质量难以保证的问题。而在本申请实施例中,在镜像流量下,确定监测模式对网络行为中的异常网络行为或危险网络行为监测的监测结果,确定监测结果是否满足线上IPS引擎的要求,只有在监测结果为监测模式与IPS引擎相匹配,才会向IPS引擎发布监测模式。其中,镜像IPS能够承载大量的IPS在镜像流量中运行,从而可以较长周期的对大量规则(监测模式)进行真实流量(线上流量)的检测,进而提高了监测模式发布的时效性,提高了监测模式的质量。
通过本申请上述步骤S402至步骤S406,调用与入侵防御系统IPS引擎的线上流量关联的镜像流量;在镜像流量下,利用待发布至IPS引擎的监测模式对网络行为进行安全监测,得到监测结果,其中,监测模式用于表示对网络行为进行安全监测的规则;响应于监测结果为监测模式与IPS引擎相匹配,允许向IPS引擎发布监测模式。也即,在本申请实施例中,利用镜像流量等同IPS引擎的线上流量(又可以称为真实流量),获取在镜像流量下,待发布至IPS引擎的监测模式对网络行为进行安全监测的监测结果,只有响应于监测结果为监测模式与IPS引擎相匹配,允许向线上IPS引擎发布监测模式,从而可以进行较长时间的“试错”筛选出符合IPS的监测模式,进而达到了有效对数据进行安全处理的技术效果,解决了无法对数据进行安全处理的技术问题。
下面对该实施例的上述方法进行进一步的介绍。
作为一种可选的实施方式,响应于原始监测模式的语法模式未满足目标语法模式,将原始监测模式调整为满足目标语法模式的监测模式,其中,原始监测模式用于表示初始建立的对网络行为进行安全监测的原始规则。
在该实施例中,可以确定原始监测模式的语法模式是否满足目标语法模式,如果原始监测模式的语法模式满足目标语法模式,可以将原始监测模式的语法模式进行调整,将语法模式调整为目标语法模式的原始监测模式确定为待发布至IPS引擎的监测模式。其中,原始监测模式可以用于表示初始建立的对网络行为进行安全监测的原始规则。语法模式可以为基于开放源代码的网络入侵预防软件与网络入侵检测软件的规则(Snort)的语法模式建立的规则,可以为原始IPS引擎的规则。目标语法模式可以为预先设定的语法模式,可以为镜像IPS引擎的语法模式,又可以称为规则语法。
可选地,由于数据输入模块生成的原始监测模式的语法模式可能不符合目标语法模式,可以对原始监测模式的语法模式进行判断。如果原始监测模式的语法模式满足目标语法模式,则可以不对原始监测模式进行调整。如果原始监测模式的语法模式未满足目标语法模式,响应于原始监测模式的语法模式未满足目标语法模式,则需要对原始监测模式的语法模式进行调整,可以通过进行组装和校验等翻译工作,将原始监测模式调整为符合目标语法模式的监测规则。
举例而言,当原始监测模式的内容(语法模式)中包含“符号未经转义”时,由于该符号为目标语法模式的关键字,导致镜像IPS引擎不能正确对原始监测模式(规则)进行识别,从而会导致编译报错。因此,在校验阶段,需要对规则内容中的符号进行校验与调整,以得到符合最新版本的镜像IPS引擎的目标语法格式的监测模式,从而达到避免编译报错的目的。
可选地,可以直接按照镜像IPS引擎的语法模式生成监测模式,从而可以避免组装的过程,同时,对规则的校验可以在镜像IPS引擎中进行。
作为一种可选的实施方式,响应于原始监测模式中存在历史已发布监测模式,从原始监测模式中删除历史已发布监测模式,其中,历史已发布监测模式为IPS引擎在历史时间段中已发布过的监测模式;将删除历史已发布监测模式后的原始监测模式,确定为待发布的监测模式。
在该实施例中,为避免重复发布相同的监测模式,可以对待发布的监测模式进行查重处理。确定原始监测模式中是否存在历史已发布监测模式,如果原始监测模式中存在历史已发布监测模式,可以响应于原始监测模式中存在历史已发布监测模式,可以删除原始监测模式中历史已发布的监测模式。可以将删除历史已发布监测模式后的原始监测模式确定为待发布的监测模式。其中,历史已发布监测模式可以为IPS在历史时间段中已发布过的监测模式。
可选地,可以对原始监测模式进行查重处理,确定原始监测模式中历史已发布监测模式,可以将删除原始监测模式中的历史已发布监测模式,可以将删除了历史已发布监测模式的原始监测模式,确定为监测模式。
在该实施例中,为了避免频繁调用发布接口和避免无限制的发布规则,可以对待发布的规则进行查重处理,删除原始监测规则中已经发布过的监测模式,从而进一步提升数据处理的效率。
作为一种可选的实施方式,响应于原始监测模式未包含IPS引擎中设定的目标展示内容,将目标展示内容添加至原始监测模式中,得到监测模式。
在该实施例中,可以确定原始监测模式中是否包含IPS引擎中设定的目标展示内容,如果原始监测模式中包含IPS引擎中设定的目标展示内容,可以响应于原始监测模式中未包含IPS引擎中设定的目标展示内容,可以将目标展示内容添加至原始监测模式中,得到监测模式。其中,目标展示内容可以为产品控制台中的展示内容,可以包括规则分类、中英文翻译、公开的已知的网络安全漏洞和暴露的列表(Common Vulnerabilities andExposures,简称为CVE)匹配、规则编号重分配等内容。CVE匹配可以指的是通过规则中的关键内容匹配到漏洞库对应CVE号,并在控制台进行展示
可选地,可以获取数据输入模块输出的原始监测模式,可以确定原始监测模式中是否包含IPS引擎中设定的目标展示内容,响应于原始监测模式中不包含IPS引擎中设定的目标展示内容,可以通过处理校验模块对原始监测模式进行处理,可以通过处理校验模块将目标展示内容添加至原始监测模式中,得到包含目标展示内容的原始监测模式。
举例而言,经过查重后的规则仍需要经过处理校验,以符合产品控制台中需要的展示内容。可以确定原始监测模式中是否包含IPS引擎中设定的目标展示内容,响应于原始监测模式中包含IPS引擎中设定的目标展示内容,可以将目标展示内容添加至原始监测模式中,得到监测模式。
作为一种可选的实施方式,基于镜像IPS引擎的语法模式生成监测模式。
在该实施例中,可以基于镜像IPS引擎的语法模式生成监测模式。其中,镜像IPS可以为对镜像流量进行监测的引擎。
在本申请实施例中,为了减少对监测模式的修改过程,可以基于镜像IPS引擎的语法模式生成监测模式,从而可以避免对原始监测模式的语法模式的修改,可以直接得到满足目标语法模式的监测模式,从而减少了数据处理的时间。
作为一种可选的实施方式,响应于监测结果为监测模式与IPS引擎不匹配,禁止向IPS引擎发布监测模式。
在该实施例中,在镜像流量下,利用监测模式对网络行为进行安全监测,得到监测结果。确定监测结果是否为监测模式与IPS引擎相匹配,如果监测结果为监测模式与IPS引擎不匹配,响应于检测结果为监测模式与IPS引擎不匹配,禁止向IPS引擎发布监测模式。
可选地,获取监测结果,可以基于监测结果确定监测模式的效果。对监测结果进行判断,可以基于监测结果确定,监测模式与IPS引擎是否相匹配。如果监测结果为监测模式与IPS引擎不匹配,响应于监测结果为监测模式与IPS引擎不匹配,禁止向IPS引擎发布监测模式。
举例而言,可以获取监测反馈模块监测得到的监测结果,确定监测结果中的命中次数是否满足IPS引擎要求的命中次数,响应于命中次数不满足IPS引擎要求的命中次数,可以确定监测结果为监测模式与IPS引擎不匹配。响应于监测结果为监测模式与IPS引擎不匹配,禁止向线上IPS引擎发布监测模式。
作为一种可选的实施方式,响应于监测结果未满足目标监测结果,确定监测模式与IPS引擎不匹配,删除或记录监测模式,其中,目标监测结果用于表征监测模式对处于异常状态的网络行为进行监测的监测性能。
在该实施例中,在镜像流量下,利用监测模式对网络行为进行安全监测,得到监测结果,确定监测结果是否满足目标检测结果。如果监测结果满足目标检测监测结果,响应于监测结果未满足目标监测结果,可以确定监测模式与IPS引擎不匹配,当监测模式与IPS引擎不匹配时,可以删除并记录监测模式。其中,目标监测结果可以为预先设定的监测反馈结果,可以用于表征监测模式对处于异常状态的网络行为进行监测的监测性能。
可选地,可以通过监测反馈模块对监测模块对异常状态的网络行为的命中情况、性能效果等,得到监测结果。判断监测结果是否满足预先设定的目标监测结果,如果监测结果未满足目标监测结果,可以确定监测模式的命中情况、性能效果等情况不满足预先设定的要求,可以确定监测模式与IPS引擎不匹配,可以删除或记录监测模式,从而可以避免在下次测试的过程中存在浪费计算资源的情况。
举例而言,可以通过监测反馈模块对待发布的规则的命中、性能、效果等相关情况进行监测。可以基于监测结果,对规则的误漏报情况、性能效果情况进行评估。可以基于监测反馈模块的监测结果,确定是否进行线上IPS引擎发布。如果监测结果不符合预先设定的监测反馈结果,则可以对规则进行删除和记录处理,避免该规则二次上线中浪费计算资源。
作为一种可选的实施方式,响应于监测结果满足目标监测结果,确定监测模式与IPS引擎相匹配。
在该实施例中,可以确定监测结果是否满足目标监测结果,如果监测结果满足目标监测结果,可以确定监测模式与IPS引擎相匹配。
可选地,可以通过监测反馈模块对监测模块对异常状态的网络行为的命中情况、性能效果等,得到监测结果。判断监测结果是否满足预先设定的目标监测结果,如果监测结果满足目标监测结果,则可以确定监测结果为监测模式与IPS引擎相匹配。
举例而言,可以通过监测反馈模块对待发布的规则的命中、性能、效果等相关情况进行监测。可以基于监测结果,对规则的误漏报情况、性能效果情况进行评估。可以基于监测反馈模块的监测结果,确定是否进行线上IPS引擎发布。如果监测结果符合预先设定的监测反馈结果(目标监测结果),则可以确定监测模式与IPS引擎相匹配。
作为一种可选的实施方式,步骤S408,响应于监测结果为监测模式与IPS引擎相匹配,允许向IPS引擎发布监测模式,包括:响应于监测结果为监测模式与IPS引擎相匹配,对监测模式进行灰度处理;响应于对监测模式灰度处理结束,向IPS引擎发布灰度处理后的监测模式。
在该实施例中,当确定监测结果为监测模式与IPS引擎相匹配,允许向IPS引擎发布监测模式,但是,在监测模式发布至IPS引擎之前,需要对监测模式进行灰度处理,当对监测模式灰度处理结束后,可以向线上IPS引擎发布灰度处理后的监测模式。其中,灰度处理可以为规则灰度处理,可以包括互联网协议灰度、地区灰度等,灰度处理可以包括灰度测试和灰度发布。
可选地,可以确定在镜像流量下,满足线上IPS引擎规则的镜像IPS引擎规则(监测模式),在监测模式发布至线上IPS引擎之前,可以通过等待变更窗口对待发布的规则进行灰度处理,只有满足灰度要求才能在线上IPS引擎中进行线上发布。
可选地,在监测模式发布至IPS引擎之前,需要对监测模式进行灰度处理。可以按照设定策略,比如,可以为IP选择或地区信息选择的策略,选取部分用户,让其先体验发布的监测模式,通过收集部分用于对于发布的监测模式的反馈及评论,继续放大待发布的监测模式的投放范围直至全量升级,从而完成对监测模式的灰度处理,当对监测模式灰度处理结束后,可以向线上IPS引擎发布灰度处理后的监测模式,从而达到了降低发布监测模式带来的影响的目的。
因为镜像流量和线上流量一致的原因,本申请实施例已经预先通过镜像流量对监测模式进行测试,发布到线上IPS引擎的监测模式对线上流量的命中情况、性能情况、语法编译情况等都已满足极高的要求,且该规则在线上IPS引擎和镜像IPS引擎中的表现一致,故能减少变更风险,同时,可以达到减少漏洞响应时间的效果。
在本申请实施例中,利用镜像流量等同IPS引擎的线上流量(又可以称为真实流量),获取在镜像流量下,待发布至IPS引擎的监测模式对网络行为进行安全监测的监测结果,只有响应于监测结果为监测模式与IPS引擎相匹配,允许向线上IPS引擎发布监测模式,从而可以进行较长时间的“试错”筛选出符合IPS的监测模式,进而达到了有效对数据进行安全处理的技术效果,解决了无法对数据进行安全处理的技术问题。
本申请实施例还提供了另一种数据的安全处理方法,该方法可以应用于线上IPS引擎侧。图5是根据本申请实施例的另一种数据的安全处理方法的流程图,如图5所示,该方法可以包括以下步骤。
步骤S502,获取镜像入侵防御系统IPS引擎发布的监测模式,其中,监测模式为响应于监测结果为监测模式与线上IPS引擎相匹配所确认的,用于表示对网络行为进行安全监测的规则,监测结果为在镜像流量下,利用监测模式对网络行为进行安全监测所得到的,镜像流量为基于与线上IPS引擎的线上流量相同流量。
在本申请上述步骤S502提供的技术方案中,在镜像IPS侧,可以调用与线上流量关联的镜像流量,确定在镜像流量下,利用监测模式对网络行为进行安全监测所得到的监测结果。确定监测结果是否为监测模式与线上IPS引擎相匹配,响应于监测结果为监测模式与线上IPS引擎相匹配,确定监测模式为待发布至线上IPS引擎的监测模式。可以获取由镜像IPS引擎发布的监测模式。其中,监测模式可以为镜像IPS引擎或线上IPS引擎中的规则,可以用于表示对网络行为进行安全监测的规则。
在相关技术中,通常是只是通过单IPS引擎确定监测模式,而在本申请实施例中,镜像IPS引擎能够承载大量的规则在镜像流量中运行,从而可以在较长周期内的对大量规则进行真实流量(线上流量)的检测,只有通远超流量测试仪的模拟线上流量的真实流量及其长周期运行,才能够依据性能、命中评估出高质量规则。本申请实施例利用大量的开源、自动化生成监测模式(规则)进行真实流量下的“试错”,从而才可以达到可以依赖结果数据分析挑选出低误漏报率的规则的目的。
在本申请实施例中,在镜像IPS引擎中,确定监测模式的效果,将满足要求的监测模式发布到线上IPS引擎中,从避免了单引擎下较难对量级较大的规则进行长周期测试,进而避免了线上IPS引擎的监测模式的质量(性能、冗余度)较难以保证的技术问题。
步骤S504,对获取到的监测模式进行发布。
在本申请上述步骤S504提供的技术方案中,可以获取符合线上IPS引擎的监测模式并进行发布,可以通过监测反馈模块对规则的效果进行监测。
作为一种可选的实施方式,在线上流量下,利用发布后的监测模式对网络行为进行安全监测,得到监测结果。
在该实施例中,当对规则进行线上发布之后,可以在线上流量下,利用发布后的监测模式持续性的对网络行为进行安全监测。
通过本申请上述步骤S502至步骤S504,获取镜像入侵防御系统IPS引擎发布的监测模式,其中,监测模式为响应于监测结果为监测模式与线上IPS引擎相匹配所确认的,用于表示对网络行为进行安全监测的规则,监测结果为在镜像流量下,利用监测模式对网络行为进行安全监测所得到的,镜像流量为基于与线上IPS引擎的线上流量关联的流量;对获取到的监测模式进行发布,从而实现了对数据进行安全处理的技术效果,解决了无法对数据进行安全处理的技术问题。
实施例2
根据本申请实施例,还提供了一种数据的安全处理系统的实施例,图6是根据本发明实施例的一种数据的安全处理系统的示意图,如图6所示,该系统可以包括:处理器601和存储器602。
处理器601,用于与存储器602相连。
存储器602,用于为处理器提供处理以下处理步骤的指令:调用与入侵防御系统IPS引擎的线上流量关联的镜像流量;在镜像流量下,利用待发布至IPS引擎的监测模式对网络行为进行安全监测,得到监测结果;响应于监测结果为监测模式与IPS引擎相匹配,允许向IPS引擎发布监测模式;其中,监测模式用于表示对网络行为进行安全监测的规则。
在该系统中,提供了一种数据的安全处理系统。在该系统中,处理器与存储器相连;通过存储器,为处理器提供处理以下处理步骤的指令:调用与入侵防御系统IPS引擎的线上流量关联的镜像流量;在镜像流量下,利用待发布至IPS引擎的监测模式对网络行为进行安全监测,得到监测结果;响应于监测结果为监测模式与IPS引擎相匹配,允许向IPS引擎发布监测模式;其中,监测模式用于表示对网络行为进行安全监测的规则,从而实现了对数据进行安全处理的技术效果,解决了无法对数据进行安全处理的技术问题。
实施例3
目前,互联网攻防对抗不断的升级,高级长期威胁事件层出不穷,但漏洞(比如,0day)也频频爆出,给企业安全、运营人员带来了巨大的压力。网络边界承载着攻防对抗的第一道防线,不仅范围广、任务重,所面临的威胁种类也多。当前网络边界上防火墙仍是企业防御体系上一个重要不可或缺的一环,入侵防御系统是防火墙中的安全核心能力,然而,相关技术中,大多入侵防御系统引擎仍然是单引擎模式,规则更新、升级严重滞后于漏洞披露时间。
在相关技术中,通常是以单IPS引擎实现对漏洞或攻击的观察和拦截。图7是根据相关技术中的一种单引擎处理数据的流程图,如图7所示,相关技术可以通过对漏洞或攻击进行概念验证(Proof of Concept,简称为PoC)的收集和分析。
步骤S701,确定是否新增规则。
在该实施例中,确定是否新增针对漏洞进行攻击的IPS规则。
步骤S702,进行灰度测试。
可选地,如果确定新增监测规则,可以通过规则灰度模板,在模拟环境下的灰度测试。
步骤S703,线上发布规则。
当测试通过灰度测试后,可以更新包的方式不定期对防火墙设备中的IPS引擎进行规则更新,从而完成线上发布规则的过程。
步骤S704,对发布后的规则的效果进行监测。
可以对规则的命中效果、效能等情况进行监测,得到在真实流量下,依据用户的反馈或数据、效果监测分析决定规则优劣及误报率等。
步骤S705,确定监测的效果是否符合预期。
确定规则的监测效果是否符合预期,如果监测效果符合预期,则结束对规则的监测,如果监测效果不符合预期,则实施步骤S706。
步骤S706,修改规则。
如果监测效果不符合预期,则对规则进行修改,并重新对规则进行测试。
在相关技术中,IPS引擎作为边界防御上核心组件,具备流量阻断的能力,故在规则更新、发布过程中极其严格。而当前网络攻防环境下,从漏洞披露到被武器化时间越来越短,传统的人工分析、应急方式再辅之单引擎模式下的灰度、发布流程,势必造成时间上的浪费,从而存在漏洞或攻击应急时效长的问题。且单引擎下较难以以真实流量对量级较大的规则进行长周期测试,更多的是以流量测试仪的方式进行模拟流量测试,这就存在线上的规则的质量(性能、冗余度)较难以保证的问题。
为解决上述问题,本申请实施例提出了一种IPS规则自动化的多引擎系统,通过利用镜像IPS引擎对时延要求低、不影响功能、规则变更频繁等特性,将镜像IPS引擎(简称为镜像IPS)与线上IPS引擎(简称为线上IPS)互相配合,从而为线上IPS引擎提供实时、高质量、稳定的规则,同时在双引擎的辅助下,使得IPS规则更新变得实时、质量更高且稳定,从而使得防火墙安全能力能得到较大提升。
在本申请实施例中,图8是根据本申请实施例的一种双引擎的示意图,如图8所示,IPS规则自动化的多引擎系统可以为双引擎系统,可以包括镜像IPS引擎801和线上IPS引擎802。图9是根据本申请实施例的一种镜像IPS引擎中模块的示意图,如图9所示,镜像IPS引擎800可以包括:规则增加模块901、规则删除模块902、规则编辑模块903、规则检索模块904、查重模块905、性能监测模块906和规则发布模块907。图10是根据本申请实施例的一种线上IPS引擎中模块的示意图,如图10所示,线上IPS引擎802可以包括规则增加模块1001、规则删除模块1002、规则编辑模块1003、规则检索模块1004、变更检查模块1005、规则灰度模块1006和规则发布模块1007。
可选地,镜像IPS和线上IPS共同拥有的模块可以包括规则增加模块、规则删除模块、规则编辑模块、规则检索模块、规则发布模块。但是,查重模块、性能监测模块为镜像IPS独有,主要用于大量发布IPS规则,并可以通过查重模块、性能监测模块等模块挑选出高质量的规则。线上IPS只有变更检查模块和规则灰度模块,上述两个模块可以用以确保镜像中的IPS规则能够有序、可控的在线上IPS中发布。
举例而言,规则灰度模块可以指的是灰度发布,即在黑与白之间,能够平滑过渡的一种发布方式。在规则灰度模块上可以进行两面测试(比如,A/B testing),即让一部分用户继续用产品特性A,一部分用户开始用产品特性B,如果用户对B没有什么反对意见,那么逐步扩大范围,把所有用户都迁移到B上面来。灰度发布可以保证整体系统的稳定,在初始灰度的时候就可以发现、调整问题,以保证规则的影响度。
下面对IPS规则自动化的多引擎系统的实现过程进行进一步介绍。图11是根据本申请实施例的一种IPS双引擎工作的流程图,如图11所示,双引擎的工作过程可以包括以下步骤。
步骤S1101,确定是否新增规则。
在该实施例中,可以对镜像IPS引擎进行新增规则监测,确定是否获取到来自数据输入模块的规则。
步骤S1102,基于数据输入模块对新增规则进行处理。
在该实施例中,可以基于数据输入模块对新增规则进行处理,生成大量的规则。其中,数据输入模块可以包含开源规则、流量自学习规则、恶意控制翻转规则等。其中,开源规则可以指来源为开放源代码的网络入侵预防软件与网络入侵检测软件平台或在线软件源代码托管服务平台、互联网披露的完整的规则。流量自学习规则可以指基于海量流量数据进行分析、判定得到的漏洞攻击利用概念验证,基于概念验证而自动化生成的规则。恶意控制翻转规则可以指基于特定恶意互联网协议地址、域名、统一资源定位符生成的规则。
在该实施例中,可以将原始IPS引擎规则作为输入,通过数据输入模块得到各类规则,保证低漏报率。同时,该步骤体现了双引擎的优势,因为是镜像IPS引擎,故镜像流量不直接作用于线上流量,从而达到既能承载大量的规则进行流量匹配,又不需太考虑稳定性和性能的影响。
步骤S1103,对规则进行组装和校验。
在该实施例中,由于数据输入模块生成的规则可能不符合镜像IPS引擎的语法模式,因此,需要对规则进行组装和校验等翻译工作,以符合镜像IPS引擎的语法模式。其中,镜像IPS引擎的语法模式可以为基于开放源代码的网络入侵预防软件与网络入侵检测软件的规则的语法模式建立的。
举例而言,当输入规则的内容中包含“符号未经转义”时,由于该符号为规则语法关键字,镜像IPS引擎不能正确识别规则,会导致编译报错,因此,在校验阶段需要对规则内容中的符号进行校验以符合最新版本的镜像IPS引擎的语法格式,避免编译报错。
可选地,可以直接按照镜像IPS引擎的语法模式生成规则,从而可以避免组装的过程,同时,对规则的校验是在镜像IPS引擎中进行的。
步骤S1104,对待发布的规则进行查重处理。
在该实施例中,为了避免频繁调用发布接口和避免无限制的发布规则,可以对预发到镜像IPS的规则进行查重处理,从而进一步提升数据处理的效率。
步骤S1105,通过处理校验模块对待发布的规则进行处理。
在该实施例中,经过查重后的规则仍需要经过处理校验,以符合产品控制台中对客展示内容。其中,展示内容可以包含规则分类、中英文翻译、公开的已知的网络安全漏洞和暴露的列表匹配、规则编号重分配等。
可选地,CVE匹配可以指的是通过规则中的关键内容匹配到漏洞库对应CVE号,并在控制台进行展示。
步骤S1106,发布规则至镜像IPS引擎中。
在该实施例中,当规则符合镜像IPS引擎规范后可以进行发布,并实施步骤S1107.
步骤S1107,镜像执行。
可选地,当规则符合镜像IPS引擎规范后可以进行发布,可以实时下发至线上流量服务器的IPS程序中进行执行。
步骤S1108,通过监测反馈模块对规则的效果进行监测。
在该实施例中,可以通过监测反馈模块对发布至镜像IPS引擎中的规则的命中、性能、效果等相关情况进行监测。可以基于监测结果,对规则的误漏报情况、性能效果情况进行评估。
步骤S1109,判断是否进行线上发布。
在该实施例中,可以基于监测反馈模块的监测结果,确定是否进行线上IPS引擎发布。
可选地,如果监测结果符合监测反馈结果的规则将进行发布;如果不符合,则对规则进行删除和记录处理,避免该规则二次上线镜像IPS中浪费计算资源。
步骤S1110,对规则进行变更检查。
在该实施例中,可以确定满足线上IPS引擎规则的镜像IPS引擎规则(待发布的规则),可以通过等待变更窗口对待发布的规则进行灰度。
因为镜像流量和线上流量一致的原因,本申请实施例已经预先通过镜像流量对规则进行测试,发布到线上IPS引擎的规则对流量的命中情况、性能情况、语法编译情况等都已满足极高的要求,且该规则在线上IPS引擎和镜像IPS引擎中的表现应该一致,故能减少变更风险,同时,可以达到减少漏洞响应时间的效果。
步骤S1111,对规则进行规则灰度。
在该实施例中,当规则发布至线上IPS引擎中之前,可以对规则进行规则灰度。其中,规则灰度可以包括IP灰度、地区灰度等,只有满足灰度要求才能在线上IPS引擎中进行线上发布。
步骤S1112,对规则进行线上发布。
可选地,对规则进行规则灰度后,可以在线上IPS引擎中,对规则进行线上发布。
步骤S1113,对线上IPS引擎中的规则进行持续的监测。
在该实施例中,当对规则进行线上发布之后,可以对规则的效果进行持续的监测。
在相关技术中,传统IPS规则的更新需要经过人工编写、测试、灰度等再进行更新,在当前互联网信息扁平化和信息传播快速的时代,漏洞从披露到被集成时间间隔极短,因此单引擎模式下将严重影响了漏洞应急响应时效,企业客户的防御效果也较难得到保障,从而存在规则更新的实时性差的问题。但在本申请实施例中,提出了一种IPS规则自动化的多引擎系统、控制方法及服务器,通过引入镜像IPS引擎实现了IPS双引擎模式。替代了原有的单一引擎模式下的规则更新、发布等约束,不需过度考虑性能、承载力因素,进一步达到了提升规则更新实时性的效果。
在本申请实施例中,镜像IPS引擎能够承载大量的规则在镜像流量中运行,从而可以在较长周期内的对大量规则进行真实流量的检测,只有通远超流量测试仪的模拟流量的真实流量及其长周期运行,才能够依据性能、命中评估出高质量规则。同时,本申请实施例利用大量的开源、自动化生成规则进行真实流量下的“试错”,从而才可以达到可以依赖结果数据分析挑选出低误漏报率的规则的目的。
需要说明的是,本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据,并且相关数据的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准,并提供有相应的操作入口,供用户选择授权或者拒绝。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本申请所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本申请各个实施例的方法。
实施例4
根据本申请实施例,还提供了一种用于实施上述图4所示的数据的安全处理方法的数据的安全处理装置。
图12是根据本申请实施例的一种数据的安全处理装置的示意图,如图12所示,该数据的认证装置1200可以包括:调用单元1202、第一处理单元1204和第一发布单元1206。
调用单元1202,用于调用与入侵防御系统IPS引擎的线上流量关联的镜像流量。
第一处理单元1204,用于在镜像流量下,利用待发布至IPS引擎的监测模式对网络行为进行安全监测,得到监测结果,其中,监测模式用于表示对网络行为进行安全监测的规则。
第一发布单元1206,用于响应于监测结果为监测模式与IPS引擎相匹配,允许向IPS引擎发布监测模式。
此处需要说明的是,上述调用单元1202、第一处理单元1204和第一发布单元1206对应于实施例1中的步骤S402至步骤S406,三个单元与对应的步骤所实现的实例和应用场景相同,但不限于上述实施例1所公开的内容。需要说明的是,上述单元可以是存储在存储器(例如,存储器104)中并由一个或多个处理器(例如,处理器102a,102b……,102n)处理的硬件组件或软件组件,上述单元也可以作为装置的一部分可以运行在实施例1提供的计算机终端A中。
根据本申请实施例,还提供了一种用于实施上述图5所示的数据的安全处理方法的数据的安全处理装置。
图13是根据本申请实施例的另一种数据的安全处理装置的示意图,如图13所示,该数据的安全处理装置1300可以包括:获取单元1302和第二发布单元1304。
获取单元1302,用于获取镜像入侵防御系统IPS引擎发布的监测模式,其中,监测模式用于表示对网络行为进行安全监测的规则,监测模式为基于监测结果为监测模式与线上IPS引擎相匹配所确认的,监测结果为在镜像流量下,利用监测模式对网络行为进行安全监测所得到的,镜像流量为基于与线上IPS引擎的线上流量关联的流量。
第二发布单元1304,用于对获取到的监测模式进行发布。
此处需要说明的是,上述获取单元1302和第二发布单元1304对应于实施例1中的步骤S502至步骤S504,两个单元与对应的步骤所实现的实例和应用场景相同,但不限于上述实施例1所公开的内容。需要说明的是,上述单元可以是存储在存储器(例如,存储器104)中并由一个或多个处理器(例如,处理器102a,102b……,102n)处理的硬件组件或软件组件,上述单元也可以作为装置的一部分可以运行在实施例1提供的计算机终端A中。
在该数据的安全处理装置中,利用镜像流量等同IPS引擎的线上流量,获取在镜像流量下,待发布至IPS引擎的监测模式对网络行为进行安全监测的监测结果,只有响应于监测结果为监测模式与IPS引擎相匹配,允许向线上IPS引擎发布监测模式,从而可以进行较长时间的“试错”筛选出符合IPS的监测模式,进而达到了有效对数据进行安全处理的技术效果,解决了无法对数据进行安全处理的技术问题。
实施例5
本申请的实施例可以提供一种计算机终端,该计算机终端可以是计算机终端群中的任意一个计算机终端设备。可选地,在本实施例中,上述计算机终端也可以替换为移动终端等终端设备。
可选地,在本实施例中,上述计算机终端可以位于计算机网络的多个网络设备中的至少一个网络设备。
在本实施例中,上述计算机终端可以执行数据的安全处理方法中以下步骤的程序代码:调用与入侵防御系统IPS引擎的线上流量关联的镜像流量;在镜像流量下,利用待发布至IPS引擎的监测模式对网络行为进行安全监测,得到监测结果,其中,监测模式用于表示对网络行为进行安全监测的规则;响应于监测结果为监测模式与IPS引擎相匹配,允许向IPS引擎发布监测模式。
可选地,图14是根据本申请实施例的一种计算机终端的结构框图。如图14所示,该计算机终端A可以包括:一个或多个(图中仅示出一个)处理器1402、存储器1404以及传输装置1406。
其中,存储器可用于存储软件程序以及模块,如本申请实施例中的数据的安全处理方法和装置对应的程序指令/模块,处理器通过运行存储在存储器内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的数据的安全处理方法。存储器可包括高速随机存储器,还可以包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器可进一步包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至终端A。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
处理器可以通过传输装置调用存储器存储的信息及应用程序,以执行下述步骤:调用与入侵防御系统IPS引擎的线上流量关联的镜像流量;在镜像流量下,利用待发布至IPS引擎的监测模式对网络行为进行安全监测,得到监测结果,其中,监测模式用于表示对网络行为进行安全监测的规则;响应于监测结果为监测模式与IPS引擎相匹配,允许向IPS引擎发布监测模式。
可选的,上述处理器还可以执行如下步骤的程序代码:响应于原始监测模式的语法模式未满足目标语法模式,将原始监测模式调整为满足目标语法模式的监测模式,其中,原始监测模式用于表示初始建立的对网络行为进行安全监测的原始规则。
可选的,上述处理器还可以执行如下步骤的程序代码:响应于原始监测模式中存在历史已发布监测模式,从原始监测模式中删除历史已发布监测模式,其中,历史已发布监测模式为IPS引擎在历史时间段中已发布过的监测模式;将删除历史已发布监测模式后的原始监测模式,确定为待发布的监测模式。
可选的,上述处理器还可以执行如下步骤的程序代码:响应于原始监测模式未包含IPS引擎中设定的目标展示内容,将目标展示内容添加至原始监测模式中,得到监测模式。
可选的,上述处理器还可以执行如下步骤的程序代码:获取待发布至IPS引擎的监测模式,包括:基于IPS引擎的语法模式生成监测模式。
可选的,上述处理器还可以执行如下步骤的程序代码:响应于监测结果为监测模式与IPS引擎不匹配,禁止向IPS引擎发布监测模式。
可选的,上述处理器还可以执行如下步骤的程序代码:响应于监测结果未满足目标监测结果,确定监测模式与IPS引擎不匹配,删除或记录监测模式,其中,目标监测结果用于表征监测模式对处于异常状态的网络行为进行监测的监测性能。
可选的,上述处理器还可以执行如下步骤的程序代码:响应于监测结果满足目标监测结果,确定监测模式与IPS引擎相匹配。
可选的,上述处理器还可以执行如下步骤的程序代码:响应于监测结果为监测模式与IPS引擎相匹配,对监测模式进行灰度处理;响应于对监测模式灰度处理结束,向IPS引擎发布灰度处理后的监测模式。
作为一种可选的示例,处理器可以通过传输装置调用存储器存储的信息及应用程序,以执行下述步骤:获取镜像入侵防御系统IPS引擎发布的监测模式,其中,监测模式用于表示对网络行为进行安全监测的规则,监测模式为基于监测结果为监测模式与线上IPS引擎相匹配所确认的,监测结果为在镜像流量下,利用监测模式对网络行为进行安全监测所得到的,镜像流量为基于与线上IPS引擎的线上流量关联的流量;对获取到的监测模式进行发布。
可选地,上述处理器还可以执行如下步骤的程序代码:在线上流量下,利用发布后的监测模式对网络行为进行安全监测,得到监测结果。
采用本申请实施例,提供了一种数据的安全处理方法。利用镜像流量等同IPS引擎的线上流量,获取在镜像流量下,待发布至IPS引擎的监测模式对网络行为进行安全监测的监测结果,只有响应于监测结果为监测模式与IPS引擎相匹配,允许向线上IPS引擎发布监测模式,从而可以进行较长时间的“试错”筛选出符合IPS的监测模式,进而达到了有效对数据进行安全处理的技术效果,解决了无法对数据进行安全处理的技术问题。
本领域普通技术人员可以理解,图14所示的结构仅为示意,计算机终端也可以是智能手机(如Android手机、iOS手机等)、平板电脑、掌上电脑以及移动互联网设备(MobileInternet Devices,MID)、PAD等终端设备。图14其并不对上述电子装置的结构造成限定。例如,计算机终端A还可包括比图14中所示更多或者更少的组件(如网络接口、显示装置等),或者具有与图14所示不同的配置。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:闪存盘、只读存储器(Read-Only Memory,ROM)、随机存取器(RandomAccess Memory,RAM)、磁盘或光盘等。
实施例6
本申请的实施例还提供了一种存储介质。可选地,在本实施例中,上述存储介质可以用于保存上述实施例一所提供的数据的认证方法所执行的程序代码。
可选地,在本实施例中,上述存储介质可以位于计算机网络中计算机终端群中的任意一个计算机终端中,或者位于移动终端群中的任意一个移动终端中。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:调用与入侵防御系统IPS引擎的线上流量关联的镜像流量;在镜像流量下,利用待发布至IPS引擎的监测模式对网络行为进行安全监测,得到监测结果,其中,监测模式用于表示对网络行为进行安全监测的规则;响应于监测结果为监测模式与IPS引擎相匹配,允许向IPS引擎发布监测模式。
可选地,上述计算机可读存储介质还可以执行如下步骤的程序代码:响应于原始监测模式的语法模式未满足目标语法模式,将原始监测模式调整为满足目标语法模式的监测模式,其中,原始监测模式用于表示初始建立的对网络行为进行安全监测的原始规则。
可选地,上述计算机可读存储介质还可以执行如下步骤的程序代码:响应于原始监测模式中存在历史已发布监测模式,从原始监测模式中删除历史已发布监测模式,其中,历史已发布监测模式为IPS引擎在历史时间段中已发布过的监测模式;将删除历史已发布监测模式后的原始监测模式,确定为待发布的监测模式。
可选的,上述处理器还可以执行如下步骤的程序代码:获取待发布至IPS引擎的监测模式,包括:基于IPS引擎的语法模式生成监测模式。
可选的,上述处理器还可以执行如下步骤的程序代码:响应于监测结果为监测模式与IPS引擎不匹配,禁止向IPS引擎发布监测模式。
可选地,上述计算机可读存储介质还可以执行如下步骤的程序代码:响应于原始监测模式未包含IPS引擎中设定的目标展示内容,将目标展示内容添加至原始监测模式中,得到监测模式。
可选地,上述计算机可读存储介质还可以执行如下步骤的程序代码:响应于监测结果未满足目标监测结果,确定监测模式与IPS引擎不匹配,删除或记录监测模式,其中,目标监测结果用于表征监测模式对处于异常状态的网络行为进行监测的监测性能。
可选地,上述计算机可读存储介质还可以执行如下步骤的程序代码:响应于监测结果满足目标监测结果,确定监测模式与IPS引擎相匹配。
可选地,上述计算机可读存储介质还可以执行如下步骤的程序代码:响应于监测结果为监测模式与IPS引擎相匹配,对监测模式进行灰度处理;响应于对监测模式灰度处理结束,向IPS引擎发布灰度处理后的监测模式。
作为一种可选的示例,计算机可读存储介质被设置为存储用于执行以下步骤的程序代码:获取镜像入侵防御系统IPS引擎发布的监测模式,其中,监测模式用于表示对网络行为进行安全监测的规则,监测模式为基于监测结果为监测模式与线上IPS引擎相匹配所确认的,监测结果为在镜像流量下,利用监测模式对网络行为进行安全监测所得到的,镜像流量为基于与线上IPS引擎的线上流量关联的流量;对获取到的监测模式进行发布。
可选地,上述计算机可读存储介质还可以执行如下步骤的程序代码:在线上流量下,利用发布后的监测模式对网络行为进行安全监测,得到监测结果。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
在本申请的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上仅是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。
Claims (14)
1.一种数据的安全处理方法,其特征在于,包括:
调用与入侵防御系统IPS引擎的线上流量关联的镜像流量;
在所述镜像流量下,利用待发布至所述IPS引擎的监测模式对网络行为进行安全监测,得到监测结果,其中,所述监测模式用于表示对所述网络行为进行所述安全监测的规则;
响应于所述监测结果为所述监测模式与所述IPS引擎相匹配,允许向所述IPS引擎发布所述监测模式。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
响应于原始监测模式的语法模式未满足目标语法模式,将所述原始监测模式调整为满足所述目标语法模式的所述监测模式,其中,所述原始监测模式用于表示初始建立的对所述网络行为进行安全监测的原始规则。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
响应于原始监测模式中存在历史已发布监测模式,从所述原始监测模式中删除所述历史已发布监测模式,其中,所述历史已发布监测模式为所述IPS引擎在历史时间段中已发布过的监测模式;
将删除所述历史已发布监测模式后的所述原始监测模式,确定为待发布的所述监测模式。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
响应于原始监测模式未包含所述IPS引擎中设定的目标展示内容,将所述目标展示内容添加至所述原始监测模式中,得到所述监测模式。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
基于所述IPS引擎的语法模式生成所述监测模式。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
响应于所述监测结果为所述监测模式与所述IPS引擎不匹配,禁止向所述IPS引擎发布所述监测模式。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
响应于所述监测结果未满足目标监测结果,确定所述监测模式与所述IPS引擎不匹配,删除或记录所述监测模式,其中,所述目标监测结果用于表征所述监测模式对处于异常状态的所述网络行为进行监测的监测性能。
8.根据权利要求1所述的方法,其特征在于,所述方法还包括:
响应于所述监测结果满足目标监测结果,确定所述监测模式与所述IPS引擎相匹配。
9.根据权利要求1所述的方法,其特征在于,响应于所述监测结果为所述监测模式与所述IPS引擎相匹配,允许向所述IPS引擎发布所述监测模式,包括:
响应于所述监测结果为所述监测模式与所述IPS引擎相匹配,对所述监测模式进行灰度处理;
响应于对所述监测模式灰度处理结束,向所述IPS引擎发布灰度处理后的所述监测模式。
10.一种数据的安全处理方法,其特征在于,包括:
获取镜像入侵防御系统IPS引擎发布的监测模式,其中,所述监测模式为响应于监测结果为所述监测模式与线上所述IPS引擎相匹配所确认的,用于表示对网络行为进行安全监测的规则,所述监测结果为在镜像流量下,利用所述监测模式对所述网络行为进行安全监测所得到的,所述镜像流量为基于与线上所述IPS引擎的线上流量关联的流量;
对获取到的所述监测模式进行发布。
11.根据权利要求10所述的方法,其特征在于,所述方法还包括:
在所述线上流量下,利用发布后的所述监测模式对所述网络行为进行安全监测,得到监测结果。
12.一种数据的安全处理系统,其特征在于,包括:
处理器;
存储器,与所述处理器相连接,用于为所述处理器提供处理以下处理步骤的指令:调用与入侵防御系统IPS引擎的线上流量关联的镜像流量;在所述镜像流量下,利用待发布至所述IPS引擎的监测模式对网络行为进行安全监测,得到监测结果;响应于所述监测结果为所述监测模式与所述IPS引擎相匹配,允许向所述IPS引擎发布所述监测模式;其中,所述监测模式用于表示对所述网络行为进行安全监测的规则。
13.一种电子设备,其特征在于,包括:
存储器,存储有可执行程序;
处理器,用于运行所述程序,其中,所述程序运行时执行权利要求1至11中任意一项所述的方法。
14.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质包括存储的可执行程序,其中,在所述可执行程序运行时控制所述存储介质所在设备执行权利要求1至11中任意一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310277228.4A CN116418571A (zh) | 2023-03-16 | 2023-03-16 | 数据的安全处理方法、系统、电子设备和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310277228.4A CN116418571A (zh) | 2023-03-16 | 2023-03-16 | 数据的安全处理方法、系统、电子设备和存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116418571A true CN116418571A (zh) | 2023-07-11 |
Family
ID=87054172
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310277228.4A Pending CN116418571A (zh) | 2023-03-16 | 2023-03-16 | 数据的安全处理方法、系统、电子设备和存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116418571A (zh) |
-
2023
- 2023-03-16 CN CN202310277228.4A patent/CN116418571A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11017107B2 (en) | Pre-deployment security analyzer service for virtual computing resources | |
US10225273B2 (en) | Secured event monitoring leveraging blockchain | |
De Carvalho et al. | State of the art and challenges of security SLA for cloud computing | |
JP6559694B2 (ja) | 自動sdk受容 | |
CN103607385B (zh) | 基于浏览器进行安全检测的方法和装置 | |
US10108801B2 (en) | Web application vulnerability scanning | |
US10491621B2 (en) | Website security tracking across a network | |
CN111277432B (zh) | 配置信息更新方法、装置、电子设备及存储介质 | |
EP3939231B1 (en) | Intent-based governance service | |
CN107690800A (zh) | 管理动态ip地址分配 | |
CN108989355B (zh) | 一种漏洞检测方法和装置 | |
CN112994958B (zh) | 一种网络管理系统、方法、装置及电子设备 | |
US10243959B1 (en) | Secure cloud computing framework | |
US10725751B2 (en) | Generating a predictive data structure | |
US11928605B2 (en) | Techniques for cyber-attack event log fabrication | |
Bass et al. | Eliciting operations requirements for applications | |
WO2013061213A1 (en) | Passive monitoring of virtual systems using extensible indexing | |
US20080162687A1 (en) | Data acquisition system and method | |
US20210034754A1 (en) | Security testing based on user request | |
US11823701B2 (en) | Network operation based on domain specific language | |
CN115604103A (zh) | 云计算系统的配置方法、装置、存储介质以及电子设备 | |
CN116418571A (zh) | 数据的安全处理方法、系统、电子设备和存储介质 | |
CN114817482A (zh) | 一种产品制造程序的确定方法、装置、设备及存储介质 | |
US11487570B1 (en) | Efficient creation of endpoints for accessing services directly within a cloud-based system | |
US9298597B2 (en) | Automated testing of websites based on mode |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |