CN116527514A - 一种内生安全云服务场景构建方法、装置、设备及介质 - Google Patents

一种内生安全云服务场景构建方法、装置、设备及介质 Download PDF

Info

Publication number
CN116527514A
CN116527514A CN202310357402.6A CN202310357402A CN116527514A CN 116527514 A CN116527514 A CN 116527514A CN 202310357402 A CN202310357402 A CN 202310357402A CN 116527514 A CN116527514 A CN 116527514A
Authority
CN
China
Prior art keywords
mimicry
cloud service
service
security cloud
endogenous
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310357402.6A
Other languages
English (en)
Inventor
刘浩
张铮
张高斐
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Network Communication and Security Zijinshan Laboratory
Original Assignee
Network Communication and Security Zijinshan Laboratory
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Network Communication and Security Zijinshan Laboratory filed Critical Network Communication and Security Zijinshan Laboratory
Priority to CN202310357402.6A priority Critical patent/CN116527514A/zh
Publication of CN116527514A publication Critical patent/CN116527514A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本申请公开了一种内生安全云服务场景构建方法、装置、设备及存储介质,涉及网络安全技术领域,包括:获取对用户业务需求信息进行解析后得到的业务数据流;根据所述业务数据流中的业务代码确定出与所述用户业务需求信息对应的目标构建任务;基于所述业务数据流以及预设拟态资源配置模型确定出与所述目标构建任务对应的拟态资源集;根据所述目标构建任务以及所述拟态资源集完成与所述用户业务需求信息对应的内生安全云服务场景的构建操作。这样一来,本申请可以基于用户业务需求信息利用预设拟态资源配置模型确定适配的拟态资源集,能够面对灵活多变的服务场景,构建相应的内生安全云服务场景,可以提升信息化服务的安全性以及兼容性。

Description

一种内生安全云服务场景构建方法、装置、设备及介质
技术领域
本发明涉及网络安全技术领域,特别涉及一种内生安全云服务场景构建方法、装置、设备及存储介质。
背景技术
由于认知能力桎梏、生态环境依赖、工程能力限制等客观因素,网络空间软硬件产品的设计、开发、加工、制造、销售、应用、售后等全产业链环节必然存在已知或未知的安全威胁,这也正是当前网络空间“易攻难守”困境的根本原因。针对此问题,邬江兴院士提出了网络空间内生安全防御技术,通过利用创新的动态异构冗余架构(Dynamic HeterogeneousRedundancy,DHR),实现了可从机理上“免疫”构造环境内基于已知或未知安全漏洞后门的网络攻击影响。随着网络空间内生安全防御技术的不断发展和应用推广,核心技术工程实现、测评体系等不断完善,也形成了拟态Web服务器、拟态路由器、拟态域名服务器等一系列覆盖网络基础设施和服务领域的技术成果,其在解决网络空间安全威胁难彻查、难根除、难防护等问题的有效性也已得到充分验证,尤其在Web服务领域,已衍生出拟态Web虚拟主机、内生安全云等系列成果,并在相关领域进行了真实业务场景检验。
随着信息技术不断发展,Web服务逐渐呈现功能复杂化、形式多元化、迭代快速化等特性,尤其在企业全面上云的时期最为明显,这直接导致对内生安全防御技术DHR架构赋能Web服务的技术实现要求日益增加。如何在灵活多变的服务场景应用内生安全防御技术,快速提升各类信息化服务的安全性,这是本领域要解决的问题。
发明内容
有鉴于此,本发明的目的在于提供一种内生安全云服务场景构建方法、装置、设备及存储介质,能够应对灵活多变的服务场景,构建内生安全云服务场景以提升各类信息化服务的安全性。其具体方案如下:
第一方面,本申请提供了一种内生安全云服务场景构建方法,包括:
获取对用户业务需求信息进行解析后得到的业务数据流;
根据所述业务数据流中的业务代码确定出与所述用户业务需求信息对应的目标构建任务;
基于所述业务数据流以及预设拟态资源配置模型确定出与所述目标构建任务对应的拟态资源集;
根据所述目标构建任务以及所述拟态资源集完成与所述用户业务需求信息对应的内生安全云服务场景的构建操作。
可选的,所述根据所述业务数据流中的业务代码确定出与所述用户业务需求信息对应的目标构建任务,包括:
若所述业务代码为空,则基于所述业务数据流生成第一目标构建任务,以基于所述第一目标构建任务生成全新的内生安全云服务场景;
若所述业务代码不为空,则基于所述业务代码生成第二目标构建任务,以基于所述第二目标构建任务对现有的用户业务场景进行内生安全改造,得到改造后的内生安全云服务场景。
可选的,所述基于所述业务数据流以及预设拟态资源配置模型确定出与所述目标构建任务对应的拟态资源集,包括:
利用预设异构性量化评估模型对预设组件的异构性进行评估得到各个组件对应的异构量化值;所述预设组件为用于构建内生安全云服务场景的组件;
基于所述异构量化值以及所述业务数据流利用预设内生安全云服务场景构造学习模型确定出与所述目标构建任务对应的拟态资源集。
可选的,所述根据所述目标构建任务以及所述拟态资源集完成与所述用户业务需求信息对应的内生安全云服务场景的构建操作,包括:
基于所述拟态资源集从预设拟态资源库中确定出用于内生安全云服务场景构建的全部资源,得到待调配资源;
根据所述目标构建任务利用所述待调配资源构建相应的内生安全云服务场景,以完成与所述用户业务需求信息对应的内生安全云服务场景的构建操作。
可选的,所述方法还包括:
收集当前内生安全云服务场景产生的异常告警日志,并基于所述异常告警日志生成针对所述当前内生安全云服务场景中风险点的拟态风险数据;
根据所述拟态风险数据生成针对所述当前内生安全云服务场景的升级任务,并基于所述升级任务完成对所述当前内生安全云服务场景的升级操作。
可选的,所述基于所述升级任务完成对所述当前内生安全云服务场景的升级操作,包括:
基于所述升级任务以及预设拟态资源配置模型从预设拟态资源库中确定出相应的目标拟态资源;
根据所述升级任务利用所述目标拟态资源完成对所述当前内生安全云服务场景的升级操作。
可选的,所述根据所述升级任务利用所述目标拟态资源完成对所述当前内生安全云服务场景的升级操作,包括:
若所述升级任务表征所述当前内生安全云服务场景中的异构组件存在漏洞风险,则利用相应的预设漏洞补丁对所述当前内生安全云服务场景进行修复升级;
若所述升级任务表征所述当前内生安全云服务场景中拟态组件存在故障,则利用预设内生安全云服务场景构造学习模型对相关拟态组件进行调整,以完成对所述当前内生安全云服务场景的升级操作。
第二方面,本申请提供了一种内生安全云服务场景构建装置,包括:
业务数据获取模块,用于获取对用户业务需求信息进行解析后得到的业务数据流;
任务确定模块,用于根据所述业务数据流中的业务代码确定出与所述用户业务需求信息对应的目标构建任务;
资源确定模块,用于基于所述业务数据流以及预设拟态资源配置模型确定出与所述目标构建任务对应的拟态资源集;
场景构建模块,用于根据所述目标构建任务以及所述拟态资源集完成与所述用户业务需求信息对应的内生安全云服务场景的构建操作。
第三当面,本申请提供了一种电子设备,包括:
存储器,用于保存计算机程序;
处理器,用于执行所述计算机程序以实现如上述的内生安全云服务场景构建方法。
第四方面,本申请提供了一种计算机可读存储介质,用于保存计算机程序,所述计算机程序被处理器执行时实现如上述的内生安全云服务场景构建方法。
由此可见,本申请中,首先获取对用户业务需求信息进行解析后得到的业务数据流;再根据所述业务数据流中的业务代码确定出与所述用户业务需求信息对应的目标构建任务;然后基于所述业务数据流以及预设拟态资源配置模型确定出与所述目标构建任务对应的拟态资源集;再根据所述目标构建任务以及所述拟态资源集完成与所述用户业务需求信息对应的内生安全云服务场景的构建操作。这样一来,对用户业务需求信息进行解析得到业务数据流,再根据业务数据流中业务代码确定用于构建内生安全云服务场景的目标构建任务,可以应对灵活多变的服务场景,并且通过预设拟态资源配置模型可以针对性选配资源,以构建内生安全云服务场景;可以提升服务场景的安全性以及兼容性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请公开的一种内生安全云服务场景构建方法流程图;
图2为本申请公开的一种具体的内生安全云服务场景构建方法流程图;
图3为本申请公开的另一种内生安全云服务场景构建逻辑结构图;
图4为本申请公开的一种服务场景构建流程图;
图5为本申请公开的一种服务场景升级流程图;
图6为本申请公开的又一种内生安全云服务场景构建方法流程图;
图7为本申请公开的一种内生安全云服务场景构建装置结构示意图;
图8为本申请公开的一种电子设备结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为提升网络空间软硬件系统的安全性,网络安全领域逐渐将内生安全理念引入至各软件系统、硬件设备乃至应用场景。例如,针对固定的软硬件对象应用内生安全理念,如智能算法、虚拟控制系统、密码监控等现有产品,根据现有产品的功能特性和使用需求形成系列异构执行体或者内生安全系统构建技术;再者,针对某一类对象应用内生安全理念,可为该类对象范围内所有产品提供通用技术支持,通过汇总罗列该类对象所用各种非同源开发框架、组件,随机选择不同层次的框架和组件等构建异构的执行体,最终形成内生安全系统。虽然上述技术方案均可为构建内生安全系统提供支撑,但具备以下几点不足:大多提供确定设备、系统的内生安全设计与改造,缺乏针对多元应用场景下自适应构造内生安全云服务场景的能力;大多仅借助非同源COTS级组件堆叠的方式构造异构执行体,虽非同源COTS级组件之间的自然异构性较高,但有以下情况:1、异构执行体构造形式相对较为单一,且缺乏异构性量化评估作为指导;2、成本也相对较高,且容易受到服务兼容性限制;虽具备负反馈机制,可动态调度异常执行体进行下线清洗、上线等操作,但不会对所感知到的执行体风险甚至是拟态组件异常进行及时修复。由此,本申请可以根据用户业务需求信息确定出应对不同服务场景的目标构建任务,然后利用预设拟态资源配置模型针对性调度用于构建内生安全云服务场景的资源,围绕用户业务安全需求,完成内生安全云服务场景构建,并对所构建的内生安全云服务场景进行持续性风险感知以及根据出现的风险对内生安全云服务场景进行智能化迭代升级。
参见图1所示,本发明实施例公开了一种内生安全云服务场景构建方法,包括:
步骤S11、获取对用户业务需求信息进行解析后得到的业务数据流。
本申请中,获取的用户业务需求信息包括但不限于业务功能需求、初始业务源码、组件配置要求等,然后对获取到的用户业务需求信息进行解析以得到相应的业务数据流;需要指出的是,在具体的实施例中,业务数据流包括但不限于功能字段总表、业务代码、开发语言类型、数据库配置、操作系统配置、中间件配置等。
步骤S12、根据所述业务数据流中的业务代码确定出与所述用户业务需求信息对应的目标构建任务。
进一步的,本申请实施例中可以根据所述业务数据流中是否存在业务代码以确定出与用户业务需求信息对应的目标构建任务;
在具体的实施例中,所述根据所述业务数据流中的业务代码确定出与所述用户业务需求信息对应的目标构建任务,包括:若所述业务代码为空,则基于所述业务数据流生成第一目标构建任务,以基于所述第一目标构建任务生成全新的内生安全云服务场景;若所述业务代码不为空,则基于所述业务代码生成第二目标构建任务,以基于所述第二目标构建任务对用户业务场景进行内生安全改造,得到改造后的内生安全云服务场景。
具体的,若所述业务数据流中的所述业务代码为空,则可以判定用户属于从零构造内生安全服务,并生成所述第一目标构建任务,以根据所述第一目标任务生成全新的内生安全云服务场景;相应的,若所述业务数据流中的所述业务代码不为空,则可以判定用户需要将已有的服务场景改造为内生安全云服务场景,并生成所述第二目标构建任务,以根据所述第二目标构建任务对用户业务场景进行内生安全改造,得到改造后的内生安全云服务场景。
步骤S13、基于所述业务数据流以及预设拟态资源配置模型确定出与所述目标构建任务对应的拟态资源集。
得到所述目标构建任务之后,可以基于所述业务数据流以及所述预设拟态资源配置模型确定出用于内生安全云服务场景构建的所述拟态资源集;可以理解的是,在具体的实施例中,拟态资源集包括但不限于拟态分发表决器、调度器、异构中间件等。
步骤S14、根据所述目标构建任务以及所述拟态资源集完成与所述用户业务需求信息对应的内生安全云服务场景的构建操作。
进一步的,可以基于所述目标构建任务以及相应的所述拟态资源集完成内生安全云服务场景的构建操作。
在一种具体的实施例中,还可以包括:收集当前内生安全云服务场景产生的异常告警日志,并基于所述异常告警日志生成针对所述当前内生安全云服务场景中风险点的拟态风险数据;根据所述拟态风险数据生成针对所述当前内生安全云服务场景的升级任务,并基于所述升级任务完成对所述当前内生安全云服务场景的升级操作。可以理解的是,在具体的实施例中可以收集在内生安全云服务场景中产生的全部异常告警日志,并解读定位异常行为在服务场景内对应的风险点,最终形成所述拟态风险数据;然后根据所述拟态风险数据生成针对当前内生安全云服务场景的所述升级任务,以基于所述升级任务完成对所述当前内生安全云服务场景的升级操作。需要指出的是,拟态风险数据包括但不限于风险点、异常执行体IP、异常行为信息等。
相应的,所述基于所述升级任务完成对所述当前内生安全云服务场景的升级操作,可以包括:基于所述升级任务以及预设拟态资源配置模型从预设拟态资源库中确定出相应的目标拟态资源;根据所述升级任务利用所述目标拟态资源完成对所述当前内生安全云服务场景的升级操作。具体的,首先利用所述预设拟态资源配置模型根据所述升级任务从所述预设拟态资源库中确定出用于服务场景升级的所述目标拟态资源,然后根据所述目标拟态资源可以完成对所述当前内生安全云服务场景的升级操作。
进一步的,所述根据所述升级任务利用所述目标拟态资源完成对所述当前内生安全云服务场景的升级操作,可以包括:若所述升级任务表征所述当前内生安全云服务场景中的异构组件存在漏洞风险,则利用相应的预设漏洞补丁对所述当前内生安全云服务场景进行修复升级;若所述升级任务表征所述当前内生安全云服务场景中拟态组件存在故障,则利用预设内生安全云服务场景构造学习模型对相关拟态组件进行调整,以完成对所述当前内生安全云服务场景的升级操作。在具体的实施例中,若是发现当前内生安全云服务场景中的异构组件存在漏洞风险,则可以直接根据此漏洞对应的现有解决方案或补丁进行修复与异构化操作;若发现拟态分发表决器(拟态组件的一种)存在相关故障,包括但不限于自身存在漏洞、分发表决规则适配性降低等,则可以通过预设内生安全云服务场景构造学习模型演进形成更加完备的分发表决规则与安全配置,以此实现升级迭代;若发现调度器(拟态组件的一种)存在相关故障,包括但不限于调度频率过高导致服务不可用、调度频率过低导致协同一致逃逸行为等等,则以当前调度频率为输入,利用预设内生安全云服务场景构造学习模型调整形成更加合适的调度器配置,以此实现服务场景的升级迭代。
由此可见,本申请实施例中,可以根据业务数据流中的业务代码是否为空来生成用于构建全新的内生安全云服务场景的第一目标构建任务,和用于对现有的用户业务场景进行改造得到改造后内生安全云服务场景的第二目标构建任务,并且本申请还可以收集当前内生安全云服务场景的异常告警日志,以基于异常告警日志生成针对当前内生安全云服务场景的升级任务,再根据升级任务对服务场景中的异构组件进行修复,或利用预设内生安全云服务场景构造学习模型调整拟态组件,如拟态分发表决器和/或调度器,以实现内生安全云服务场景的升级迭代。这样一来,本申请对用户业务需求信息进行解析得到业务数据流,再根据业务数据流中业务代码确定用于构建内生安全云服务场景的目标构建任务,可以应对灵活多变的服务场景,并且通过预设拟态资源配置模型可以针对性选配资源,以构建内生安全云服务场景;可以提升服务场景的安全性以及兼容性。进一步的,本申请可以通过收集异常告警日志可以及时优化升级当前内生安全云服务场景,对感知到的异构组件风险甚至是拟态组件异常进行及时修复,这样可以提高内生安全云服务场景的安全性和可靠性。
前述实施例中介绍了本申请技术方案以业务应用功能、代码、安全需求为输入,调度拟态资源,可以灵活构建内生安全服务场景;感知服务场景的风险威胁等,并通过预设内生安全云服务场景构建学习模型及时调整修复,提高了内生安全云服务场景的安全性。下面实施例中将具体介绍利用预设内生安全云服务场景构建学习模型调度拟态资源的过程。参见图2所示,本发明实施例公开了一种内生安全云服务场景构建方法,包括:
步骤S21、获取对用户业务需求信息进行解析后得到的业务数据流。
步骤S22、根据所述业务数据流中的业务代码确定出与所述用户业务需求信息对应的目标构建任务。
步骤S23、利用预设异构性量化评估模型对预设组件的异构性进行评估得到各个组件对应的异构量化值;所述预设组件为用于构建内生安全云服务场景的组件。
本实施例中,可以利用所述预设异构性量化评估模型对所述预设组件的异构性进行评估以得到相应的所述异构量化值;需要指出的是,在具体的实施例中,预设组件包括但不限于CPU、操作系统、数据库、中间件、业务代码等组件。在具体的实施例中,对于已知同类型但非同源COTS级软硬件,默认评定两者之间异构性最大;对于同类型且同源但不同版本的COTS级软硬件,则根据两者所存在漏洞的交集进行异构性判断,交集越大异构性越小,反之无交集时异构性最大;此种组件的异构性评估过程主要采用国家信息安全漏洞共享平台、Common Vulnerabilities&Exposures(公共漏洞和暴露,CVE)等平台披露漏洞数据完成。对于基于随机化标签思想的解释型语言拟态变换实现的异构服务,两者之间标签不同则异构性最大。对于基于混淆加密的编译型语言拟态编译实现的异构服务,则可以根据两者编译后函数、控制流、指令、地址空间等各层面的差异性进行异构性评估,差异性越大则异构性越大。通过前述几种情况下的组件异构性评估方式可以得到各组件的异构量化值。
步骤S24、基于所述异构量化值以及所述业务数据流利用预设内生安全云服务场景构造学习模型确定出与所述目标构建任务对应的拟态资源集。
进一步的,本申请中预设内生安全云服务场景构造学习模型可以根据各组件的异构量化值选取同一功能层面(如同属CPU/操作系统/中间件等)但异构性最大的组件,用于构建异构冗余的服务执行体;并且可以结合业务数据来参考各种行业领域下的内生安全服务构造案例和经验,以及内生安全服务现网运行过程中所产生的各类日志数据,不断学习调整拟态特有组件(如拟态分发表决器、调度器等)与异构冗余的服务执行体的适配规则,以提升拟态特有组件对于多元用户需求的通用性,进而支撑构建多模态的内生安全服务场景;可以理解的是,在具体的实施例中,前述用于构建异构冗余的服务执行体的异构组件和相适配的拟态特有组件等形成了与目标构建任务对应的拟态资源集。
步骤S25、基于所述拟态资源集从预设拟态资源库中确定出用于内生安全云服务场景构建的全部资源,得到待调配资源。
本申请实施例中,确定出与目标构建任务对应的拟态资源集之后,可以基于所述拟态资源集从所述拟态资源库中确定出用于内生安全云服务场景构建的全部资源,以得到所述待调配资源。可以理解的是,预设拟态资源库负责提供内生安全服务场景构建所需的一切资源,可以根据目标构建任务对应的拟态资源集及时确定出用于内生安全服务场景构建的待调配资源。
步骤S26、根据所述目标构建任务利用所述待调配资源构建相应的内生安全云服务场景,以完成与所述用户业务需求信息对应的内生安全云服务场景的构建操作。
需要指出的是,在具体的实施例中,内生安全云服务场景构建所需的资源,包括异构中间件(CPU、操作系统、通用服务器软件等)、拟态特有功能组件、拟态变换/编译工具链、典型应用框架等,其中拟态特有功能组件包括拟态分发表决器、调度器等,拟态变换/编译工具链则负责提供基于业务代码的改造和异构。进一步的,基于拟态资源集可以得到用于构建内生安全云服务场景的全部资源。
其中,关于上述步骤S21和S22更加具体的处理过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。
由此可见,本申请实施例中可以利用预设异构性量化评估评估内生安全服务场景构建所需CPU、操作系统、数据库、中间件、业务代码等关键组件的异构性,再利用预设内生安全云服务场景构建学习模型根据各组件的异构量化值确定出构建异构冗余的服务执行体,然后结合各种行业领域下的内生安全服务构造案例和经验,以及内生安全服务现网运行过程中所产生的各类日志数据确定出适配的拟态特有组件,以得到与目标构建任务对应的拟态资源集;这样以预设异构性量化评估模型为基础,针对性选配功能组件,结合各种行业领域下的内生安全服务构造案例和经验,以及内生安全服务现网运行过程中所产生的各类日志数据可以快速形成具备异构特性并且通用性强的功能组件,提高了内生安全服务场景的构建速度和适用性。
本申请实施例将结合如图3所示的逻辑结构图对本申请的技术方案进行介绍,包括:
本实施例中的逻辑结构具体可以包括:业务解读单元(Service InterpretationUnit,SI)、智能决策大脑(Intelligent Decision-making Brain,IDMB)、拟态资源仓库(Mimic Resource Library,MRL)、智能升级单元(Intelligent Upgrading Unit,IU)、安全态势单元(Security Situation Unit,SS)以及场景构建单元(Service-building Unit,SU)。
其中,业务解读单元负责接收用户业务需求信息,并将用户业务需求信息解读成一组业务数据流(Service Data Flow,SDF)反馈给智能决策大脑,为后者定制内生安全云服务场景构造方案提供基础数据支撑。在具体的实施例中,智能决策大脑可以接收业务数据流并反馈服务场景构造模式决策(Architecture Pattern Decision,APD)至场景构建单元;根据业务数据流中业务代码是否为空,APD可分为两种:1、采用典型应用框架的内生安全服务构造模式;2、现有服务的内生安全改造模式。其中,所述服务场景构造模式决策为前述实施例中的目标构建任务。在一种具体的实施例中,对于采用典型应用框架的内生安全服务构造模式,关键点在于IDMB读取SDF中业务代码为空,此时IDMB判定用户属于从零构造内生安全服务。之后,IDMB将根据SDF中开发语言类型,选择符合用户需求的典型应用框架和数据库、操作系统、中间件等COTS级异构组件,结合拟态编译/变换技术(基于随机化标签思想的解释型语言拟态变换和基于混淆加密的编译型语言拟态编译)实现典型应用框架的异构化,最终完成内生安全服务场景构建操作。相应的,在另一种具体的实施例中,对于现有服务的内生安全改造模式,关键点在于IDMB读取SDF中业务代码不为空,此时IDMB判定用户需要将已有服务改造为内生安全服务。之后,IDMB根据SDF中开发语言类型,选择与其对应的拟态编译/变换技术实现业务代码的异构化,并根据SDF中数据库、操作系统、中间件等配置要求,调用相对应COTS级异构组件,最终完成内生安全服务场景构建操作。
可以理解的是,智能决策大脑中可以根据业务数据流确定内生安全服务场景构建所需的拟态资源,具体的,可以基于预设异构性量化评估模型,利用神经网络、深度学习等构造内生安全服务场景构造学习模型,以确定最佳的拟态资源集(Best Mimic ResourceSet,BMRS),并将拟态资源集反馈至MRL和SU,由MRL(资源仓库)自动生成和配置资源,包括但不限于拟态分发表决器、调度器、异构中间件等,由SU按照BMRS完成资源调配和内生安全场景构建操作。
进一步的,智能决策大脑还可以接收安全态势单元的拟态风险数据(Mimic RiskData,MRD),制定并反馈服务升级决策(Service Upgrade Decision,SUD)至智能升级单元,以实现内生安全服务场景功能与安全的智能迭代演进。MRD主要来自于:1、服务运行过程中由内生安全表决机制生成的异常行为告警信息,包括但不限于已知或未知漏洞、后门、木马等所构造的恶意攻击;2、接收来自传统网络安全防御设备检测到的服务威胁态势数据。IDMB将根据MRD中所体现的具体威胁,围绕分发、表决、调度、异构执行体组成等各方面制定服务升级决策,并交由智能升级单元执行迭代。其中,服务升级决策为前述实施例中的升级任务。
需要指出的是,本申请中拟态资源仓库负责提供内生安全服务场景构建所需的一切资源;安全态势单元负责收集内生安全服务场景所产生全部异常告警日志,并通过态势信息解读定位异常行为在服务场景内对应的风险点,最终形成拟态风险数据并反馈至智能决策大脑,拟态风险数据包括但不限于风险点、异常执行体IP、异常行为信息等。进一步的,对于态势信息解读过程,关键点在于利用内生安全表决机制形成的告警日志分析服务场景内的风险点。根据现有内生安全系列设备日志规范,在异构执行体因遭受攻击或自身发生故障而导致对外响应结果不一致时,内生安全表决机制会形成标准格式的告警日志信息,此日志将包含不一致发生时间、响应结果不一致的执行体的信息、触发不一致的用户输入等等。通过告警日志信息能够清晰、直接地解读到内生安全服务场景内存在的风险点。
智能升级单元负责接收服务升级决策,并根据决策内容动态调配拟态资源,执行打补丁、组件配置升级等一系列操作,进而完成内生安全服务场景升级过程。场景构建单元负责接收智能决策大脑的决策信息,并调配拟态资源仓库内各类资源,采用现有高效自动化部署技术手段,快速构建符合用户业务需求的内生安全服务场景。
在一种具体的实施例中,如图4所示为内生安全服务场景构建流程,接收与业务数据流对应的目标构建任务,即服务场景构造模式决策APD,然后根据业务数据流是否有业务代码确定出是基于典型服务框架的全新内生安全服务场景的构造模式,还是针对现有服务的内生安全改造模式;进一步的,若是针对现有服务的内生安全改造模式,可以基于测评体系构造异构执行体,即前述实施例中基于预设异构性量化评估模型确定异构组件,并利用神经网络、机器学习等进一步确定出BMRS,即前述实施例中的拟态资源集,然后调用相应的资源完成内生安全服务场景改造操作。相应的,若是基于典型服务框架的全新内生安全服务场景的构造模式,可以选择符合用户需求的典型应用框架和数据库、操作系统、中间件等COTS级异构组件,结合拟态编译/变换技术实现典型应用框架的异构化,最终完成内生安全服务场景构造操作。
图5所示为内生安全服务场景升级流程,接收拟态风险数据MRD,然后通过神经网络、机器学习等手段,结合用户业务过往态势信息形成针对风险点的迭代升级方案,即服务场景升级任务,然后将相应的升级任务SUD反馈至智能升级单元进行服务场景的升级操作。
在另一种具体的实施例中,如图6所示的流程图,用户端在步骤1提交业务需求信息SFI,业务解读单元SI接收到SFI后会对其进行内容解读得到业务数据流SDF,并在步骤2将SDF发送至智能决策大脑IDMB。IDMB在接收到SDF后会根据其内容定制化内生安全服务场景构造模式APD,并将其发送至场景构建单元SU,同时将决策出最适合用户业务场景的拟态资源集BMRS,并将其同时发送至拟态资源仓库MRL和场景构建单元SU。MRL在接收BMRS之后,会自动生成BMRS内所要求的全部资源,等待SU调配使用。在步骤5,SU将直接调用BMRS生成针对用户业务的内生安全服务场景,并在步骤6反馈至用户端供其使用。
相应的,在用户使用内生安全服务场景过程中,业务遭受网络攻击时将同步记录异常告警日志。此时,在步骤7,安全态势单元SS将对异常告警日志进行态势信息解读形成拟态风险数据MRD,并将其发送至IDMB。在步骤8,IDMB将通过神经网络、机器学习等技术手段,综合用户业务过往态势信息,分析形成服务升级决策SUD,并发送至智能升级单元IU。在步骤9,IU将根据SUD内容指示调用MRL的BMRS,进而在步骤10完成内生安全服务场景的迭代演进,并反馈给用户端。
由此可见,本申请实施例以业务应用功能、代码、安全需求为输入,由内置智能决策大脑针对性形成内生安全构造方案,并调度拟态资源仓库提供所需资源,实现灵活构建内生安全服务场景。并且可以基于异构性量化评估模型,智能决策大脑调动拟态资源仓库,针对性选配功能组件,自动化形成适应服务场景的异构执行体集群,再利用系列拟态变换和拟态编译技术快速形成具备异构特性的服务功能组件,提升具备自然异构性的COTS级异构组件和具备人工异构性的拟态变换组件适配的通用性。还可以利用拟态表决机制实现服务场景网络威胁全量感知,由安全态势单元进行威胁事件解读,并将结果实时反馈至智能决策大脑进行安防策略生成,指导系统实现持续性智能升级演进。
如图7所示,本申请公开了一种内生安全云服务场景构建装置,包括:
业务数据获取模块11,用于获取对用户业务需求信息进行解析后得到的业务数据流;
任务确定模块12,用于根据所述业务数据流中的业务代码确定出与所述用户业务需求信息对应的目标构建任务;
资源确定模块13,用于基于所述业务数据流以及预设拟态资源配置模型确定出与所述目标构建任务对应的拟态资源集;
场景构建模块14,用于根据所述目标构建任务以及所述拟态资源集完成与所述用户业务需求信息对应的内生安全云服务场景的构建操作。
由此可见,本申请可以对用户业务需求信息进行解析得到业务数据流,再根据业务数据流中业务代码确定用于构建内生安全云服务场景的目标构建任务,可以应对灵活多变的服务场景,并且通过预设拟态资源配置模型可以针对性选配资源,以构建内生安全云服务场景;可以提升服务场景的安全性和兼容性。
在一种具体的实施例中,所述根据所述业务数据流中的业务代码确定出与所述用户业务需求信息对应的目标构建任务,包括:
第一任务生成单元,用于当所述业务代码为空时,基于所述业务数据流生成第一目标构建任务,以基于所述第一目标构建任务生成全新的内生安全云服务场景;
第二任务生成单元,用于当所述业务代码不为空时,基于所述业务代码生成第二目标构建任务,以基于所述第二目标构建任务对用户业务场景进行内生安全改造,得到改造后的内生安全云服务场景。
在一种具体的实施例中,所述资源确定模块13,可以包括:
异构评估单元,用于利用预设异构性量化评估模型对预设组件的异构性进行评估得到各个组件对应的异构量化值;所述预设组件为用于构建内生安全云服务场景的组件;
第一资源确定单元,用于基于所述异构量化值以及所述业务数据流利用预设内生安全云服务场景构造学习模型确定出与所述目标构建任务对应的拟态资源集。
在一种具体的实施例中,所述场景构建模块14,可以包括:
第二资源确定单元,用于基于所述拟态资源集从预设拟态资源库中确定出用于内生安全云服务场景构建的全部资源,得到待调配资源;
场景构建单元,用于根据所述目标构建任务利用所述待调配资源构建相应的内生安全云服务场景,以完成与所述用户业务需求信息对应的内生安全云服务场景的构建操作。
在一种具体的实施例中,所述装置还可以包括:
风险数据生成单元,用于收集当前内生安全云服务场景产生的异常告警日志,并基于所述异常告警日志生成针对所述当前内生安全云服务场景中风险点的拟态风险数据;
场景升级模块,用于根据所述拟态风险数据生成针对所述当前内生安全云服务场景的升级任务,并基于所述升级任务完成对所述当前内生安全云服务场景的升级操作。
在一种具体的实施例中,所述场景升级模块,可以包括:
目标资源确定单元,用于基于所述升级任务以及预设拟态资源配置模型从预设拟态资源库中确定出相应的目标拟态资源;
场景升级子模块,用于根据所述升级任务利用所述目标拟态资源完成对所述当前内生安全云服务场景的升级操作。
在另一种具体的实施例中,所述场景升级子模块,可以包括:
第一组件升级单元,用于当所述升级任务表征所述当前内生安全云服务场景中的异构组件存在漏洞风险时,利用相应的预设漏洞补丁对所述当前内生安全云服务场景进行修复升级;
第二组件升级单元,用于当所述升级任务表征所述当前内生安全云服务场景中拟态组件存在故障时,利用预设内生安全云服务场景构造学习模型对相关拟态组件进行调整,以完成对所述当前内生安全云服务场景的升级操作。
进一步的,本申请实施例还公开了一种电子设备,图8是根据一示例性实施例示出的电子设备20结构图,图中的内容不能认为是对本申请的使用范围的任何限制。
图8为本申请实施例提供的一种电子设备20的结构示意图。该电子设备20,具体可以包括:至少一个处理器21、至少一个存储器22、电源23、通信接口24、输入输出接口25和通信总线26。其中,所述存储器22用于存储计算机程序,所述计算机程序由所述处理器21加载并执行,以实现前述任一实施例公开的内生安全云服务场景构建方法中的相关步骤。另外,本实施例中的电子设备20具体可以为电子计算机。
本实施例中,电源23用于为电子设备20上的各硬件设备提供工作电压;通信接口24能够为电子设备20创建与外界设备之间的数据传输通道,其所遵循的通信协议是能够适用于本申请技术方案的任意通信协议,在此不对其进行具体限定;输入输出接口25,用于获取外界输入数据或向外界输出数据,其具体的接口类型可以根据具体应用需要进行选取,在此不进行具体限定。
另外,存储器22作为资源存储的载体,可以是只读存储器、随机存储器、磁盘或者光盘等,其上所存储的资源可以包括操作系统221、计算机程序222等,存储方式可以是短暂存储或者永久存储。
其中,操作系统221用于管理与控制电子设备20上的各硬件设备以及计算机程序222,其可以是Windows Server、Netware、Unix、Linux等。计算机程序222除了包括能够用于完成前述任一实施例公开的由电子设备20执行的内生安全云服务场景构建方法的计算机程序之外,还可以进一步包括能够用于完成其他特定工作的计算机程序。
进一步的,本申请还公开了一种计算机可读存储介质,用于存储计算机程序;其中,所述计算机程序被处理器执行时实现前述公开的内生安全云服务场景构建方法。关于该方法的具体步骤可以参考前述实施例中公开的相应内容,在此不再进行赘述。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本申请所提供的技术方案进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。

Claims (10)

1.一种内生安全云服务场景构建方法,其特征在于,包括:
获取对用户业务需求信息进行解析后得到的业务数据流;
根据所述业务数据流中的业务代码确定出与所述用户业务需求信息对应的目标构建任务;
基于所述业务数据流以及预设拟态资源配置模型确定出与所述目标构建任务对应的拟态资源集;
根据所述目标构建任务以及所述拟态资源集完成与所述用户业务需求信息对应的内生安全云服务场景的构建操作。
2.根据权利要求1所述的内生安全云服务场景构建方法,其特征在于,所述根据所述业务数据流中的业务代码确定出与所述用户业务需求信息对应的目标构建任务,包括:
若所述业务代码为空,则基于所述业务数据流生成第一目标构建任务,以基于所述第一目标构建任务生成全新的内生安全云服务场景;
若所述业务代码不为空,则基于所述业务代码生成第二目标构建任务,以基于所述第二目标构建任务对现有的用户业务场景进行内生安全改造,得到改造后的内生安全云服务场景。
3.根据权利要求1所述的内生安全云服务场景构建方法,其特征在于,所述基于所述业务数据流以及预设拟态资源配置模型确定出与所述目标构建任务对应的拟态资源集,包括:
利用预设异构性量化评估模型对预设组件的异构性进行评估得到各个组件对应的异构量化值;所述预设组件为用于构建内生安全云服务场景的组件;
基于所述异构量化值以及所述业务数据流利用预设内生安全云服务场景构造学习模型确定出与所述目标构建任务对应的拟态资源集。
4.根据权利要求1所述的内生安全云服务场景构建方法,其特征在于,所述根据所述目标构建任务以及所述拟态资源集完成与所述用户业务需求信息对应的内生安全云服务场景的构建操作,包括:
基于所述拟态资源集从预设拟态资源库中确定出用于内生安全云服务场景构建的全部资源,得到待调配资源;
根据所述目标构建任务利用所述待调配资源构建相应的内生安全云服务场景,以完成与所述用户业务需求信息对应的内生安全云服务场景的构建操作。
5.根据权利要求1至4任一项所述的内生安全云服务场景构建方法,其特征在于,还包括:
收集当前内生安全云服务场景产生的异常告警日志,并基于所述异常告警日志生成针对所述当前内生安全云服务场景中风险点的拟态风险数据;
根据所述拟态风险数据生成针对所述当前内生安全云服务场景的升级任务,并基于所述升级任务完成对所述当前内生安全云服务场景的升级操作。
6.根据权利要求5所述的内生安全云服务场景构建方法,其特征在于,所述基于所述升级任务完成对所述当前内生安全云服务场景的升级操作,包括:
基于所述升级任务以及预设拟态资源配置模型从预设拟态资源库中确定出相应的目标拟态资源;
根据所述升级任务利用所述目标拟态资源完成对所述当前内生安全云服务场景的升级操作。
7.根据权利要求6所述的内生安全云服务场景构建方法,其特征在于,所述根据所述升级任务利用所述目标拟态资源完成对所述当前内生安全云服务场景的升级操作,包括:
若所述升级任务表征所述当前内生安全云服务场景中的异构组件存在漏洞风险,则利用相应的预设漏洞补丁对所述当前内生安全云服务场景进行修复升级;
若所述升级任务表征所述当前内生安全云服务场景中拟态组件存在故障,则利用预设内生安全云服务场景构造学习模型对相关拟态组件进行调整,以完成对所述当前内生安全云服务场景的升级操作。
8.一种内生安全云服务场景构建装置,其特征在于,包括:
业务数据获取模块,用于获取对用户业务需求信息进行解析后得到的业务数据流;
任务确定模块,用于根据所述业务数据流中的业务代码确定出与所述用户业务需求信息对应的目标构建任务;
资源确定模块,用于基于所述业务数据流以及预设拟态资源配置模型确定出与所述目标构建任务对应的拟态资源集;
场景构建模块,用于根据所述目标构建任务以及所述拟态资源集完成与所述用户业务需求信息对应的内生安全云服务场景的构建操作。
9.一种电子设备,其特征在于,包括:
存储器,用于保存计算机程序;
处理器,用于执行所述计算机程序以实现如权利要求1至7任一项所述的内生安全云服务场景构建方法。
10.一种计算机可读存储介质,其特征在于,用于保存计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的内生安全云服务场景构建方法。
CN202310357402.6A 2023-04-06 2023-04-06 一种内生安全云服务场景构建方法、装置、设备及介质 Pending CN116527514A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310357402.6A CN116527514A (zh) 2023-04-06 2023-04-06 一种内生安全云服务场景构建方法、装置、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310357402.6A CN116527514A (zh) 2023-04-06 2023-04-06 一种内生安全云服务场景构建方法、装置、设备及介质

Publications (1)

Publication Number Publication Date
CN116527514A true CN116527514A (zh) 2023-08-01

Family

ID=87402089

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310357402.6A Pending CN116527514A (zh) 2023-04-06 2023-04-06 一种内生安全云服务场景构建方法、装置、设备及介质

Country Status (1)

Country Link
CN (1) CN116527514A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116880905A (zh) * 2023-09-08 2023-10-13 之江实验室 一种数据存储方法、装置、存储介质及电子设备
CN117435191A (zh) * 2023-12-20 2024-01-23 杭银消费金融股份有限公司 一种基于客制化需求的程序处理方法和装置

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116880905A (zh) * 2023-09-08 2023-10-13 之江实验室 一种数据存储方法、装置、存储介质及电子设备
CN116880905B (zh) * 2023-09-08 2024-01-09 之江实验室 一种数据存储方法、装置、存储介质及电子设备
CN117435191A (zh) * 2023-12-20 2024-01-23 杭银消费金融股份有限公司 一种基于客制化需求的程序处理方法和装置
CN117435191B (zh) * 2023-12-20 2024-03-26 杭银消费金融股份有限公司 一种基于客制化需求的程序处理方法和装置

Similar Documents

Publication Publication Date Title
CN116527514A (zh) 一种内生安全云服务场景构建方法、装置、设备及介质
Trapp et al. Safety assurance of open adaptive systems–a survey
Hussein et al. UMLintr: a UML profile for specifying intrusions
CN117879970B (zh) 一种网络安全防护方法及系统
Rossebø et al. An enhanced risk-assessment methodology for smart grids
CN111475805B (zh) 一种拟态表决器的安全运行方法及系统
Barabanov et al. Procedure for substantiated development of measures to design secure software for automated process control systems
Vegesna Threat and risk assessment techniques and mitigation approaches for enhancing security in automotive domain
Mees Security by design in an enterprise architecture framework
Marksteiner et al. A process to facilitate automated automotive cybersecurity testing
Marksteiner et al. Using cyber digital twins for automated automotive cybersecurity testing
CN116361807A (zh) 风险管控方法、装置、存储介质及电子设备
Allison et al. Digital twin-enhanced incident response for cyber-physical systems
CN114915449A (zh) 信息系统拟态化升级改造方法及装置
Drago et al. Model-driven estimation of distributed vulnerability in complex railway networks
Schneider et al. Towards trust assurance and certification in cyber-physical systems
Yu et al. A Systematic Approach for Cybersecurity Design of In‐Vehicle Network Systems with Trade‐Off Considerations
Kropatschek et al. Combining Models for Safety and Security Concerns in Automating Digital Production
CN112766961A (zh) 基于区块链金融和在线支付的信息安全防护方法及设备
Vogt et al. A comprehensive risk management approach to information security in intelligent transport systems
Kaloudi et al. Comparison of risk analysis approaches for analyzing emergent misbehavior in autonomous systems
Musliner et al. Meta-control for adaptive cybersecurity in FUZZBUSTER
Ehrlich et al. Towards automated security evaluation within the industrial reference architecture
Papakonstantinou et al. CyberRiskDELPHI: Towards Objective Cyber Risk Assessment for Complex Systems
Kang et al. Safety & security analysis of a manufacturing system using formal verification and attack-simulation

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination