CN117040946B - 一种安全防护策略的确定方法及装置 - Google Patents

一种安全防护策略的确定方法及装置 Download PDF

Info

Publication number
CN117040946B
CN117040946B CN202311306308.4A CN202311306308A CN117040946B CN 117040946 B CN117040946 B CN 117040946B CN 202311306308 A CN202311306308 A CN 202311306308A CN 117040946 B CN117040946 B CN 117040946B
Authority
CN
China
Prior art keywords
processed
subnet
equipment
steps
method comprises
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202311306308.4A
Other languages
English (en)
Other versions
CN117040946A (zh
Inventor
程攀
陈志刚
张鑫
李绪
张根深
肖新光
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Antan Network Security Technology Co ltd
Original Assignee
Shenzhen Antan Network Security Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Antan Network Security Technology Co ltd filed Critical Shenzhen Antan Network Security Technology Co ltd
Priority to CN202311306308.4A priority Critical patent/CN117040946B/zh
Publication of CN117040946A publication Critical patent/CN117040946A/zh
Application granted granted Critical
Publication of CN117040946B publication Critical patent/CN117040946B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Mining & Analysis (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computing Systems (AREA)
  • Artificial Intelligence (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开一种安全防护策略的确定方法及装置,涉及网络安全技术领域,包括:获取待处理设备的设备特征ZJ和其所在子网的子网特征ZW;获取若干预设的安全防护策略对应的标准特征信息列表集B;根据ZJ、ZW和B,获取待处理设备对应的匹配度集P;将P中的最大值对应的标准特征信息列表确定为目标特征信息列表;将所述目标特征信息列表对应的预设的安全防护策略确定为所述待处理设备对应的目标安全防护策略。本发明根据待处理设备的设备特征和其所在子网的子网特征与标准特征信息的相似度,确定待处理设备对应的目标安全防护策略,能够更精确地为待处理设备设置安全防护策略,更好地保护待处理设备的网络安全。

Description

一种安全防护策略的确定方法及装置
技术领域
本发明涉及网络安全技术领域,特别是涉及一种安全防护策略的确定方法及装置。
背景技术
目前,相似度评估技术和算法大多被应用于短视频、人脸识别等领域,例如,短视频领域通过多维度的视频帧特征向量的构建,进行视频判重、搬运检测。鉴于相似度技术带来的量化分析的有益效果,结合数据挖掘和逻辑推理为各领域提供了广泛的实用价值。然而,在网络安全的场景下,缺失借助相似度识别为网络中的设备提供安全防护的技术手段,使得以下瓶颈无法被突破;一是无法有效评估设备之间的相似度,使得安全防护策略无法精确部署,二是在同一设备更换网络环境等造成设备相关信息变更时,无法有效的对不同信息指向同一设备的情况进行识别,造成安全防护策略部署等工作的重复实施,难以进一步优化网络安全设置,三是无法对网络中的各类信息进行深度挖掘,造成信息资源的浪费。
发明内容
有鉴于此,本发明提出一种安全防护策略的确定方法及装置,根据待处理设备的设备特征和其所在子网的子网特征与标准特征信息的相似度,确定待处理设备对应的目标安全防护策略,能够更精确地为待处理设备设置安全防护策略,更好地保护待处理设备的网络安全,至少部分解决现有技术中存在的问题。
具体发明内容为:
一种安全防护策略的确定方法,包括以下步骤:
步骤11:获取待处理设备的设备特征ZJ和其所在子网的子网特征ZW。
步骤12:获取若干预设的安全防护策略对应的标准特征信息列表集B=(B1,B2,…,Bi,…,Bn);其中,i=1,2,…,n;n为预设的安全防护策略的数量;Bi为第i个预设的安全防护策略对应的标准特征信息列表;Bi=(BPi1,BPi2,…,BPij,…,BPif(i));j=1,2,…,f(i);f(i)为第i个预设的安全防护策略对应的标准特征信息的数量;BPij为Bi中第j个标准特征信息;BPij=(BZJij,BZWij);BZJij为BPij中的标准设备特征;BZWij为BPij中的标准子网特征。
步骤13:根据ZJ、ZW和B,获取待处理设备对应的匹配度集P=(P1,P2,…,Pi,…,Pn);其中,Pi为待处理设备与第i个标准特征信息列表的匹配度;Pi=(∑j=1 f(i)ZJPij+β/>ZWPij))/f(i);ZJPij为ZJ与BZJij的相似度;ZWPij为ZW与BZWij的相似度;α为预设的标准设备特征系数;β为预设的标准子网特征系数。
步骤14:将P中的最大值对应的标准特征信息列表确定为目标特征信息列表。
步骤15:将所述目标特征信息列表对应的预设的安全防护策略确定为所述待处理设备对应的目标安全防护策略。
进一步地,所述Bi通过以下步骤获取:
步骤21:将若干使用了第i个预设的安全防护策略的电子设备确定为关键设备。
步骤22:获取若干关键设备对应的设备特征集GZJ=(GZJ1,GZJ2,…,GZJf,…,GZJm);其中,f=1,2,…,m;m为所述关键设备的数量;GZJf为第f个关键设备的设备特征;
步骤23:获取若干关键设备对应的子网特征集GZW=(GZW1,GZW2,…,GZWf,…,GZWm);其中,GZWf为第f个关键设备所在子网的子网特征。
步骤24:对GZJ中的设备特征进行聚类,得到设备特征组集ZJZ=(ZJZ1,ZJZ2,…,ZJZx,…,ZJZy);其中,x=1,2,…,y;y为经过聚类后得到的设备特征组的数量;ZJZx为ZJZ中第x个设备特征组;ZJZx=(ZJZx1,ZJZx2,…,ZJZxk,…,ZJZxg(x));k=1,2,…,g(x);g(x)为ZJZx中设备特征的数量;ZJZxk为ZJZx中第k个设备特征。
步骤25:对ZJZx对应的各关键设备的子网特征进行聚类,得到ZJZx对应的子网特征组集ZWZx=(ZWZx1,ZWZx2,…,ZWZxk’,…,ZWZxh(x’));其中,k’=1,2,…,h(x’);h(x’)为ZJZx对应的各关键设备的子网特征经过聚类后,得到的子网特征组的数量;∑x’=1 yh(x’)=f(i);ZWZxk’为ZWZx中第k’个子网特征组;ZWZxk’=(ZWZxk’1,ZWZxk’2,…,ZWZxk’s,…,ZWZxk’p(xk));s=1,2,…,p(xk);p(xk)为ZWZxk’中子网特征的数量;ZWZxk’s为ZWZxk’中第s个子网特征。
步骤26:将ZJZx的中心向量确定为BZJx1,BZJx2,…,BZJxk’,…,BZJxh(x’);将ZWZxk’的中心向量确定为BZWxk’,以得到Bi
进一步地,所述ZJ通过以下步骤获取:
步骤31:获取待处理设备的设备端口特征ZJD=(NUM,ZJD1,ZJD2,…,ZJDa,…,ZJDb);其中,a=1,2,…,b;b为待处理设备提供的端口的总数量;NUM为待处理设备对应的当前状态为开启的端口数量;ZJDa为待处理设备对应的第a个端口的当前状态的特征值;ZJDa=0表示待处理设备对应的第a个端口的当前状态为关闭;ZJDa=1表示待处理设备对应的第a个端口的当前状态为开启。
步骤32:获取待处理设备的设备物理地址特征WL=(WL1,WL2,…,WL6);其中,WL1至WL6分别为待处理设备的MAC地址的第1个字节至第6个字节对应的十进制数。
步骤33:获取待处理设备的操作系统特征OS=(OS1,OS2,…,OSe,…,OSr);其中,e=1,2,…,r;r为预设的操作系统的数量;OSe为第e个预设的操作系统的特征值;OSe=0表示待处理设备的操作系统不为第e个预设的操作系统;OSe=1表示待处理设备的操作系统为第e个预设的操作系统。
步骤34:获取待处理设备的设备名特征DN=(DN1,DN2,…,DNg,…,DNh);其中,g=1,2,…,h;h为预设的特征位数;DNg为待处理设备的设备名对应的字符串通过哈希计算后,得到的哈希值对应的二进制数的第g位数值。
步骤35:获取待处理设备的网络地址特征NA=(NA1,NA2,NA3,NA4);其中,NA1至NA4分别为待处理设备当前的IP地址第1个字节至第4个字节对应的十进制数。
步骤36:确定ZJ=(ZJD,WL,OS,DN,NA)。
进一步地,所述ZW通过以下步骤获取:
步骤41:获取待处理设备所在子网的子网结构特征SC=(DC,TX);其中,DC为根据待处理设备所在子网包括的设备的设备信息,得到的设备特征列表;DC=(DC1,DC2,…,DCu,…,DCw);u=1,2,…,w;w为待处理设备所在子网中设备的数量;DCu为待处理设备所在子网中第u个设备的设备特征;TX为待处理设备所在子网中各设备之间的通讯关系特征列表;TX=(TX1,TX2,…,TXu,…,TXw);TXu为待处理设备所在子网中第u个设备与其他设备的通讯关系特征。
步骤42:获取待处理设备的子网地址特征SA=(NUM’,SA1,SA2,SA3,SA4);其中,NUM’为待处理设备所在子网中已分配的IP地址数量占可用IP地址数量的比值;SA1至SA4分别为待处理设备所在子网的子网掩码第1个字节至第4个字节对应的十进制数。
步骤43:获取待处理设备的子网网络特征SN=(PC,TC);其中,PC为待处理设备所在子网的数据包特征;TC为待处理设备所在子网的流量特征。
步骤44:获取待处理设备的子网网络策略特征NP=(SE,NS);其中,SE为待处理设备所在子网的安全设备特征,SE=(total,SE1,SE2,…,SEd,…,SEq);d=1,2,…,q;total为待处理设备所在子网中安全设备的数量;q为预设的安全设备类型的数量;SEd为待处理设备所在子网中第d个预设的安全设备类型对应的安全设备的数量;NS为待处理设备所在子网的网络服务特征;NS=(NS1,NS2,…,NSp,…,NSc);p=1,2,…,c;c为预设的网络服务的数量;NSp为待处理设备所在子网对应的第p个网络服务的特征值;NSp=0表示待处理设备所在子网未启用第p个网络服务;NSp=1表示待处理设备所在子网启用了第p个网络服务。
步骤45:确定ZW=(SC,SA,SN,NP)。
进一步地,DCu=(DTu,DMu);其中,
DTu为待处理设备所在子网中第u个设备的设备类型特征;DTu=(DTu1,DTu2,…,DTut,…,DTuv);t=1,2,…,v;v为预设的设备类型的数量,v>q;DTut为待处理设备所在子网中第u个设备对应的第t个预设的设备类型的特征值;DTut=0表示待处理设备所在子网中第u个设备的设备类型不为第t个预设的设备类型;DTut=1表示待处理设备所在子网中第u个设备的设备类型为第t个预设的设备类型。
DMu为待处理设备所在子网中第u个设备的设备厂商特征;DMu=(DMu1,DMu2,…,DMuL,…,DMuo);L=1,2,…,o;o为预设的设备厂商的数量;DMuL为待处理设备所在子网中第u个设备对应的第L个设备厂商的特征值;DMuL=0表示待处理设备所在子网中第u个设备的设备厂商不为第L个设备厂商;DMuL=1表示待处理设备所在子网中第u个设备的设备厂商为第L个设备厂商。
进一步地,所述TX通过以下步骤获取:
步骤51:获取待处理设备所在子网的目标流量数据。
步骤52:根据所述目标流量数据获取待处理设备所在子网中各设备之间的通讯关系,得到待处理设备所在子网对应的通讯关系矩阵。
步骤53:将所述通讯关系矩阵中的每一行进行顺序拼接,得到所述TX;其中,TXu=(TXu1,TXu2,…,TXua’,…,TXuw);a’=1,2,…,w;TXua’为待处理设备所在子网中第u个设备与第a’个设备的通讯关系特征值;TXua’=0表示待处理设备所在子网中第u个设备不可向第a’个设备发送通讯数据;TXua’=1表示待处理设备所在子网中第u个设备可向第a’个设备发送通讯数据;若a’=u,则TXua’=0。
进一步地,PC=(HIP,HXY);其中,
HIP为根据待处理设备所在子网的数据包得到的活跃IP地址特征列表;HIP=(HIP1,HIP2,…,HIPc’,…HIPd’);c’=1,2,…,d’;d’为预设第一数量值;HIPc’为待处理设备所在子网中通讯频率第c’高的IP地址特征;HIPc’=(HIPc’1,HIPc’2,HIPc’3,HIPc’4);HIPc’1至HIPc’4分别为待处理设备所在子网中,通讯频率第c’高的IP地址第1个字节至第4个字节对应的十进制数。
HXY为根据待处理设备所在子网的据包得到的活跃通讯协议类型特征列表;HXY=(HXY1,HXY2,…,HXYm’,…,HXYn’);m’=1,2,…,n’;n’为预设第二数量值;HXYm’为待处理设备所在子网中使用频率第m’高的通讯协议类型对应的特征;HXYm’=(HXYm’1,HXYm’2,…,HXYm’h’,…,HXYm’g’);h’=1,2,…,g’;g’为预设的通讯协议类型的数量;HXYm’h’为待处理设备所在子网中,使用频率第m’高的通讯协议类型对应的第h’个预设的通讯协议类型的特征值;HXYm’h’=0表示待处理设备所在子网中,使用频率第m’高的通讯协议类型不为第h’个预设的通讯协议类型;HXYm’h’=1表示待处理设备所在子网中,使用频率第m’高的通讯协议类型为第h’个预设的通讯协议类型。
进一步地,TC=(TC1,TC2);其中,TC1为目标时间段内子网对应的网络流量的平均速率;TC2为目标时间段内子网对应的网络流量的峰值速率;所述目标时间段的开始时间早于当前时间,结束时间为当前时间。
进一步地,所述α和β满足如下约束条件:
α+β=1。
一种安全防护策略的确定装置,包括:
特征获取模块,用于获取待处理设备的设备特征ZJ和其所在子网的子网特征ZW。
标准特征信息获取模块,用于获取若干预设的安全防护策略对应的标准特征信息列表集B=(B1,B2,…,Bi,…,Bn);其中,i=1,2,…,n;n为预设的安全防护策略的数量;Bi为第i个预设的安全防护策略对应的标准特征信息列表;Bi=(BPi1,BPi2,…,BPij,…,BPif(i));j=1,2,…,f(i);f(i)为第i个预设的安全防护策略对应的标准特征信息的数量;BPij为Bi中第j个标准特征信息;BPij=(BZJij,BZWij);BZJij为BPij中的标准设备特征;BZWij为BPij中的标准子网特征。
匹配度集获取模块,用于根据ZJ、ZW和B,获取待处理设备对应的匹配度集P=(P1,P2,…,Pi,…Pn);其中,Pi为待处理设备与第i个标准特征信息列表的匹配度;Pi=(∑j=1 f(i)ZJPij+β/>ZWPij))/f(i);ZJPij为ZJ与BZJij的相似度;ZWPij为ZW与BZWij的相似度;α为预设的标准设备特征系数;β为预设的标准子网特征系数。
目标特征信息列表确定模块,用于将P中的最大值对应的标准特征信息列表确定为目标特征信息列表。
目标安全防护策略确定模块,用于将所述目标特征信息列表对应的预设的安全防护策略确定为所述待处理设备对应的目标安全防护策略。
本发明的有益效果体现在:
本发明获取待处理设备的设备特征和其所在子网的子网特征,这两个特征可作为待处理设备在其所在网络中的画像信息,能够更精准地表示待处理设备,应用这样的特征信息进行相似度计算,能够更准确地确定出待处理设备对应的目标特征信息列表,以提升最终目标安全防护策略的精准性,更好地对待处理设备进行网络安全防护。本发明设置有若干预设的安全防护策略对应的标准特征信息列表集,包含与预设的安全防护策略的数量相同的标准特征信息列表,每一标准特征信息列表对应一种预设的安全防护策略,每一标准特征信息列表包括若干标准特征信息,同一所述标准特征信息列表中的标准特征信息对应同一预设的安全防护策略,每一标准特征信息包括一个标准设备特征和一个标准子网特征,任意两个标准特征信息列表对应的预设的安全防护策略不同,具备这样对应关系的标准特征信息列表集能够全面、详细地给出每一标准特征与每一预设的安全防护策略的对应关系,将待处理设备的设备特征和其所在子网的子网特征与这样的标准特征进行相似度计算,能够更准确地确定出目标安全防护策略。本发明与同一网络中的设备同一应用相同安全防护策略,或设备用户自选安全防护策略等方式相比,能够有效优化安全防护策略的应用方案,为待处理设备设置更符合其自身情况的安全防护策略,有效提升网络安全防护能力。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种安全防护策略的确定方法流程图;
图2为本发明实施例提供的一种安全防护策略的确定装置结构图。
具体实施方式
需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合;并且,基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
需要说明的是,下文描述在所附权利要求书的范围内的实施例的各种方面。应显而易见,本文中所描述的方面可体现于广泛多种形式中,且本文中所描述的任何特定结构及/或功能仅为说明性的。基于本公开,所属领域的技术人员应了解,本文中所描述的一个方面可与任何其它方面独立地实施,且可以各种方式组合这些方面中的两者或两者以上。举例来说,可使用本文中所阐述的任何数目个方面来实施设备及/或实践方法。另外,可使用除了本文中所阐述的方面中的一或多者之外的其它结构及/或功能性实施此设备及/或实践此方法。
本发明提供一种安全防护策略的确定方法实施例,如图1所示,包括以下步骤:
步骤11:获取待处理设备的设备特征ZJ和其所在子网的子网特征ZW。
步骤12:获取若干预设的安全防护策略对应的标准特征信息列表集B=(B1,B2,…,Bi,…,Bn);其中,i=1,2,…,n;n为预设的安全防护策略的数量;Bi为第i个预设的安全防护策略对应的标准特征信息列表;Bi=(BPi1,BPi2,…,BPij,…,BPif(i));j=1,2,…,f(i);f(i)为第i个预设的安全防护策略对应的标准特征信息的数量;BPij为Bi中第j个标准特征信息;BPij=(BZJij,BZWij);BZJij为BPij中的标准设备特征;BZWij为BPij中的标准子网特征。
步骤13:根据ZJ、ZW和B,获取待处理设备对应的匹配度集P=(P1,P2,…,Pi,…,Pn);其中,Pi为待处理设备与第i个标准特征信息列表的匹配度;Pi=(∑j=1 f(i)ZJPij+β/>ZWPij))/f(i);ZJPij为ZJ与BZJij的相似度;ZWPij为ZW与BZWij的相似度;α为预设的标准设备特征系数;β为预设的标准子网特征系数。
步骤14:将P中的最大值对应的标准特征信息列表确定为目标特征信息列表。
步骤15:将所述目标特征信息列表对应的预设的安全防护策略确定为所述待处理设备对应的目标安全防护策略。
图1所述实施例获取待处理设备的设备特征和其所在子网的子网特征,这两个特征可作为待处理设备在其所在网络中的画像信息,能够更精准地表示待处理设备,应用这样的特征信息进行相似度计算,能够更准确地确定出待处理设备对应的目标特征信息列表,以提升最终目标安全防护策略的精准性,更好地对待处理设备进行网络安全防护。图1所述实施例设置有若干预设的安全防护策略对应的标准特征信息列表集,包含与预设的安全防护策略的数量相同的标准特征信息列表,每一标准特征信息列表对应一种预设的安全防护策略,每一标准特征信息列表包括若干标准特征信息,同一所述标准特征信息列表中的标准特征信息对应同一预设的安全防护策略,每一标准特征信息包括一个标准设备特征和一个标准子网特征,任意两个标准特征信息列表对应的预设的安全防护策略不同,具备这样对应关系的标准特征信息列表集能够全面、详细地给出每一标准特征与每一预设的安全防护策略的对应关系,将待处理设备的设备特征和其所在子网的子网特征与这样的标准特征进行相似度计算,能够更准确地确定出目标安全防护策略。图1所述实施例与同一网络中的设备同一应用相同安全防护策略,或设备用户自选安全防护策略等方式相比,能够有效优化安全防护策略的应用方案,为待处理设备设置更符合其自身情况的安全防护策略,有效提升网络安全防护能力。
图1所述实施例应用场景十分广泛,可应用在互联网、局域网、专网等各类网络环境中,待处理设备包括计算机、服务器、路由器、打印机、移动设备等可通过网线或网络热点等形式接入网络的设备。图1所述实施例提供了量化的设备相似度评估方法,有效提升设备相似度评估效率,以更好地应对复杂的网络环境及自动化处理大规模网络环境下设备安全防护策略的配置,增强设备网络安全防护的时效性。图1所述实施例中,待处理设备的设备特征和其所在子网的子网特征,以及标准特征可形成特征数据集,可应用于数据挖掘、态势分析等工作,以提炼价值信息,更充分地发挥特征数据的作用。
优选地,所述Bi通过以下步骤获取:
步骤21:将若干使用了第i个预设的安全防护策略的电子设备确定为关键设备。
步骤22:获取若干关键设备对应的设备特征集GZJ=(GZJ1,GZJ2,…,GZJf,…,GZJm);其中,f=1,2,…,m;m为所述关键设备的数量;GZJf为第f个关键设备的设备特征;
步骤23:获取若干关键设备对应的子网特征集GZW=(GZW1,GZW2,…,GZWf,…,GZWm);其中,GZWf为第f个关键设备所在子网的子网特征。
步骤24:对GZJ中的设备特征进行聚类,得到设备特征组集ZJZ=(ZJZ1,ZJZ2,…,ZJZx,…,ZJZy);其中,x=1,2,…,y;y为经过聚类后得到的设备特征组的数量;ZJZx为ZJZ中第x个设备特征组;ZJZx=(ZJZx1,ZJZx2,…,ZJZxk,…,ZJZxg(x));k=1,2,…,g(x);g(x)为ZJZx中设备特征的数量;ZJZxk为ZJZx中第k个设备特征。
步骤25:对ZJZx对应的各关键设备的子网特征进行聚类,得到ZJZx对应的子网特征组集ZWZx=(ZWZx1,ZWZx2,…,ZWZxk’,…,ZWZxh(x’));其中,k’=1,2,…,h(x’);h(x’)为ZJZx对应的各关键设备的子网特征经过聚类后,得到的子网特征组的数量;∑x’=1 yh(x’)=f(i);ZWZxk’为ZWZx中第k’个子网特征组;ZWZxk’=(ZWZxk’1,ZWZxk’2,…,ZWZxk’s,…,ZWZxk’p(xk));s=1,2,…,p(xk);p(xk)为ZWZxk’中子网特征的数量;ZWZxk’s为ZWZxk’中第s个子网特征。
步骤26:将ZJZx的中心向量确定为BZJx1,BZJx2,…,BZJxk’,…,BZJxh(x’);将ZWZxk’的中心向量确定为BZWxk’,以得到Bi
上述优选方案中,首先对各关键设备的设备特征进行聚类,得到若干设备特征组,再对每一设备特征组对应的各关键设备所对应的子网特征进行聚类,得到每一设备特征组对应的若干子网特征组,最后根据每一子网特征组生成标准特征信息,以得到Bi。每一子网特征组对应的标准特征信息中,标准设备特征为当前子网特征组对应的设备特征组的中心向量,标准子网特征为当前子网特征组的中心向量,这里应用聚类后得到的中心向量更能体现出标准设备特征和标准子网的中心代表性,以使Bi能够更精确地体现综合考虑设备和所在子网环境的某一类设备的特征。
优选地,所述ZJ通过以下步骤获取:
步骤31:获取待处理设备的设备端口特征ZJD=(NUM,ZJD1,ZJD2,…,ZJDa,…,ZJDb);其中,a=1,2,…,b;b为待处理设备提供的端口的总数量;NUM为待处理设备对应的当前状态为开启的端口数量;ZJDa为待处理设备对应的第a个端口的当前状态的特征值;ZJDa=0表示待处理设备对应的第a个端口的当前状态为关闭;ZJDa=1表示待处理设备对应的第a个端口的当前状态为开启。
步骤32:获取待处理设备的设备物理地址特征WL=(WL1,WL2,…,WL6);其中,WL1至WL6分别为待处理设备的MAC地址的第1个字节至第6个字节对应的十进制数。
步骤33:获取待处理设备的操作系统特征OS=(OS1,OS2,…,OSe,…,OSr);其中,e=1,2,…,r;r为预设的操作系统的数量;OSe为第e个预设的操作系统的特征值;OSe=0表示待处理设备的操作系统不为第e个预设的操作系统;OSe=1表示待处理设备的操作系统为第e个预设的操作系统。
步骤34:获取待处理设备的设备名特征DN=(DN1,DN2,…,DNg,…,DNh);其中,g=1,2,…,h;h为预设的特征位数;DNg为待处理设备的设备名对应的字符串通过哈希计算后,得到的哈希值对应的二进制数的第g位数值。
步骤35:获取待处理设备的网络地址特征NA=(NA1,NA2,NA3,NA4);其中,NA1至NA4分别为待处理设备当前的IP地址第1个字节至第4个字节对应的十进制数。
步骤36:确定ZJ=(ZJD,WL,OS,DN,NA)。
上述优选方案中,ZJD,WL,OS,DN和NA均为设备不会轻易变化的特征,利用这些特征确定出的ZJ能更好地唯一表示出待处理设备,以使最终得到的待处理设备对应的目标安全防护策略更精确。
优选地,所述ZW通过以下步骤获取:
步骤41:获取待处理设备所在子网的子网结构特征SC=(DC,TX);其中,DC为根据待处理设备所在子网包括的设备的设备信息,得到的设备特征列表;DC=(DC1,DC2,…,DCu,…,DCw);u=1,2,…,w;w为待处理设备所在子网中设备的数量;DCu为待处理设备所在子网中第u个设备的设备特征;TX为待处理设备所在子网中各设备之间的通讯关系特征列表;TX=(TX1,TX2,…,TXu,…,TXw);TXu为待处理设备所在子网中第u个设备与其他设备的通讯关系特征。
步骤42:获取待处理设备的子网地址特征SA=(NUM’,SA1,SA2,SA3,SA4);其中,NUM’为待处理设备所在子网中已分配的IP地址数量占可用IP地址数量的比值;SA1至SA4分别为待处理设备所在子网的子网掩码第1个字节至第4个字节对应的十进制数。
步骤43:获取待处理设备的子网网络特征SN=(PC,TC);其中,PC为待处理设备所在子网的数据包特征;TC为待处理设备所在子网的流量特征。
步骤44:获取待处理设备的子网网络策略特征NP=(SE,NS);其中,SE为待处理设备所在子网的安全设备特征,SE=(total,SE1,SE2,…,SEd,…,SEq);d=1,2,…,q;total为待处理设备所在子网中安全设备的数量;q为预设的安全设备类型的数量;SEd为待处理设备所在子网中第d个预设的安全设备类型对应的安全设备的数量;NS为待处理设备所在子网的网络服务特征;NS=(NS1,NS2,…,NSp,…,NSc);p=1,2,…,c;c为预设的网络服务的数量;NSp为待处理设备所在子网对应的第p个网络服务的特征值;NSp=0表示待处理设备所在子网未启用第p个网络服务;NSp=1表示待处理设备所在子网启用了第p个网络服务。
上述优选方案中,所述安全设备类型包括防火墙、入侵检测设备、入侵防御设备、漏洞扫描设备、安全隔离网闸、VPN设备等。所述网络服务包括DHCP、DNS、NTP等。
步骤45:确定ZW=(SC,SA,SN,NP)。
优选地,DCu=(DTu,DMu);其中,
DTu为待处理设备所在子网中第u个设备的设备类型特征;DTu=(DTu1,DTu2,…,DTut,…,DTuv);t=1,2,…,v;v为预设的设备类型的数量,v>q;DTut为待处理设备所在子网中第u个设备对应的第t个预设的设备类型的特征值;DTut=0表示待处理设备所在子网中第u个设备的设备类型不为第t个预设的设备类型;DTut=1表示待处理设备所在子网中第u个设备的设备类型为第t个预设的设备类型。
DMu为待处理设备所在子网中第u个设备的设备厂商特征;DMu=(DMu1,DMu2,…,DMuL,…,DMuo);L=1,2,…,o;o为预设的设备厂商的数量;DMuL为待处理设备所在子网中第u个设备对应的第L个设备厂商的特征值;DMuL=0表示待处理设备所在子网中第u个设备的设备厂商不为第L个设备厂商;DMuL=1表示待处理设备所在子网中第u个设备的设备厂商为第L个设备厂商。
上述优选方案中,所述设备类型包括客户端、服务器、网关、路由器、交换机、安全设备等。
优选地,所述TX通过以下步骤获取:
步骤51:获取待处理设备所在子网的目标流量数据。
步骤52:根据所述目标流量数据获取待处理设备所在子网中各设备之间的通讯关系,得到待处理设备所在子网对应的通讯关系矩阵。
步骤53:将所述通讯关系矩阵中的每一行进行顺序拼接,得到所述TX;其中,TXu=(TXu1,TXu2,…,TXua’,…,TXuw);a’=1,2,…,w;TXua’为待处理设备所在子网中第u个设备与第a’个设备的通讯关系特征值;TXua’=0表示待处理设备所在子网中第u个设备不可向第a’个设备发送通讯数据;TXua’=1表示待处理设备所在子网中第u个设备可向第a’个设备发送通讯数据;若a’=u,则TXua’=0。
优选地,PC=(HIP,HXY);其中,
HIP为根据待处理设备所在子网的数据包得到的活跃IP地址特征列表;HIP=(HIP1,HIP2,…,HIPc’,…HIPd’);c’=1,2,…,d’;d’为预设第一数量值;HIPc’为待处理设备所在子网中通讯频率第c’高的IP地址特征;HIPc’=(HIPc’1,HIPc’2,HIPc’3,HIPc’4);HIPc’1至HIPc’4分别为待处理设备所在子网中,通讯频率第c’高的IP地址第1个字节至第4个字节对应的十进制数。
HXY为根据待处理设备所在子网的据包得到的活跃通讯协议类型特征列表;HXY=(HXY1,HXY2,…,HXYm’,…,HXYn’);m’=1,2,…,n’;n’为预设第二数量值;HXYm’为待处理设备所在子网中使用频率第m’高的通讯协议类型对应的特征;HXYm’=(HXYm’1,HXYm’2,…,HXYm’h’,…,HXYm’g’);h’=1,2,…,g’;g’为预设的通讯协议类型的数量;HXYm’h’为待处理设备所在子网中,使用频率第m’高的通讯协议类型对应的第h’个预设的通讯协议类型的特征值;HXYm’h’=0表示待处理设备所在子网中,使用频率第m’高的通讯协议类型不为第h’个预设的通讯协议类型;HXYm’h’=1表示待处理设备所在子网中,使用频率第m’高的通讯协议类型为第h’个预设的通讯协议类型。
上述优先方案中,所述通讯协议类型包括FTP协议、SMTP协议、POP协议、IMAP协议等。
优选地,TC=(TC1,TC2);其中,TC1为目标时间段内子网对应的网络流量的平均速率;TC2为目标时间段内子网对应的网络流量的峰值速率;所述目标时间段的开始时间早于当前时间,结束时间为当前时间。
优选地,所述α和β满足如下约束条件:
α+β=1。α和β之和为1,有利于相似度计算的回归分析和统计。
本发明还提供一种安全防护策略的确定装置实施例,如图2所示,包括:
特征获取模块21,用于获取待处理设备的设备特征ZJ和其所在子网的子网特征ZW。
标准特征信息获取模块22,用于获取若干预设的安全防护策略对应的标准特征信息列表集B=(B1,B2,…,Bi,…,Bn);其中,i=1,2,…,n;n为预设的安全防护策略的数量;Bi为第i个预设的安全防护策略对应的标准特征信息列表;Bi=(BPi1,BPi2,…,BPij,…,BPif(i));j=1,2,…,f(i);f(i)为第i个预设的安全防护策略对应的标准特征信息的数量;BPij为Bi中第j个标准特征信息;BPij=(BZJij,BZWij);BZJij为BPij中的标准设备特征;BZWij为BPij中的标准子网特征。
匹配度集获取模块23,用于根据ZJ、ZW和B,获取待处理设备对应的匹配度集P=(P1,P2,…,Pi,…,Pn);其中,Pi为待处理设备与第i个标准特征信息列表的匹配度;Pi=(∑j=1 f(i)ZJPij+β/>ZWPij))/f(i);ZJPij为ZJ与BZJij的相似度;ZWPij为ZW与BZWij的相似度;α为预设的标准设备特征系数;β为预设的标准子网特征系数。
目标特征信息列表确定模块24,用于将P中的最大值对应的标准特征信息列表确定为目标特征信息列表。
目标安全防护策略确定模块25,用于将所述目标特征信息列表对应的预设的安全防护策略确定为所述待处理设备对应的目标安全防护策略。
图2所述实施例获取待处理设备的设备特征和其所在子网的子网特征,这两个特征可作为待处理设备在其所在网络中的画像信息,能够更精准地表示待处理设备,应用这样的特征信息进行相似度计算,能够更准确地确定出待处理设备对应的目标特征信息列表,以提升最终目标安全防护策略的精准性,更好地对待处理设备进行网络安全防护。图2所述实施例设置有若干预设的安全防护策略对应的标准特征信息列表集,包含与预设的安全防护策略的数量相同的标准特征信息列表,每一标准特征信息列表对应一种预设的安全防护策略,每一标准特征信息列表包括若干标准特征信息,同一所述标准特征信息列表中的标准特征信息对应同一预设的安全防护策略,每一标准特征信息包括一个标准设备特征和一个标准子网特征,任意两个标准特征信息列表对应的预设的安全防护策略不同,具备这样对应关系的标准特征信息列表集能够全面、详细地给出每一标准特征与每一预设的安全防护策略的对应关系,将待处理设备的设备特征和其所在子网的子网特征与这样的标准特征进行相似度计算,能够更准确地确定出目标安全防护策略。图2所述实施例与同一网络中的设备同一应用相同安全防护策略,或设备用户自选安全防护策略等方式相比,能够有效优化安全防护策略的应用方案,为待处理设备设置更符合其自身情况的安全防护策略,有效提升网络安全防护能力。
图2所述实施例应用场景十分广泛,可应用在互联网、局域网、专网等各类网络环境中,待处理设备包括计算机、服务器、路由器、打印机、移动设备等可通过网线或网络热点等形式接入网络的设备。图2所述实施例提供了量化的设备相似度评估方式,有效提升设备相似度评估效率,以更好地应对复杂的网络环境及自动化处理大规模网络环境下设备安全防护策略的配置,增强设备网络安全防护的时效性。图2所述实施例中,待处理设备的设备特征和其所在子网的子网特征,以及标准特征可形成特征数据集,可应用于数据挖掘、态势分析等工作,以提炼价值信息,更充分地发挥特征数据的作用。
优选地,所述Bi通过以下方式获取:
将若干使用了第i个预设的安全防护策略的电子设备确定为关键设备。
获取若干关键设备对应的设备特征集GZJ=(GZJ1,GZJ2,…,GZJf,…,GZJm);其中,f=1,2,…,m;m为所述关键设备的数量;GZJf为第f个关键设备的设备特征;
获取若干关键设备对应的子网特征集GZW=(GZW1,GZW2,…,GZWf,…,GZWm);其中,GZWf为第f个关键设备所在子网的子网特征。
对GZJ中的设备特征进行聚类,得到设备特征组集ZJZ=(ZJZ1,ZJZ2,…,ZJZx,…,ZJZy);其中,x=1,2,…,y;y为经过聚类后得到的设备特征组的数量;ZJZx为ZJZ中第x个设备特征组;ZJZx=(ZJZx1,ZJZx2,…,ZJZxk,…,ZJZxg(x));k=1,2,…,g(x);g(x)为ZJZx中设备特征的数量;ZJZxk为ZJZx中第k个设备特征。
对ZJZx对应的各关键设备的子网特征进行聚类,得到ZJZx对应的子网特征组集ZWZx=(ZWZx1,ZWZx2,…,ZWZxk’,…,ZWZxh(x’));其中,k’=1,2,…,h(x’);h(x’)为ZJZx对应的各关键设备的子网特征经过聚类后,得到的子网特征组的数量;∑x’=1 yh(x’)=f(i);ZWZxk’为ZWZx中第k’个子网特征组;ZWZxk’=(ZWZxk’1,ZWZxk’2,…,ZWZxk’s,…,ZWZxk’p(xk));s=1,2,…,p(xk);p(xk)为ZWZxk’中子网特征的数量;ZWZxk’s为ZWZxk’中第s个子网特征。
将ZJZx的中心向量确定为BZJx1,BZJx2,…,BZJxk’,…,BZJxh(x’);将ZWZxk’的中心向量确定为BZWxk’,以得到Bi
优选地,所述ZJ通过以下方式获取:
获取待处理设备的设备端口特征ZJD=(NUM,ZJD1,ZJD2,…,ZJDa,…,ZJDb);其中,a=1,2,…,b;b为待处理设备提供的端口的总数量;NUM为待处理设备对应的当前状态为开启的端口数量;ZJDa为待处理设备对应的第a个端口的当前状态的特征值;ZJDa=0表示待处理设备对应的第a个端口的当前状态为关闭;ZJDa=1表示待处理设备对应的第a个端口的当前状态为开启。
获取待处理设备的设备物理地址特征WL=(WL1,WL2,…,WL6);其中,WL1至WL6分别为待处理设备的MAC地址的第1个字节至第6个字节对应的十进制数。
获取待处理设备的操作系统特征OS=(OS1,OS2,…,OSe,…,OSr);其中,e=1,2,…,r;r为预设的操作系统的数量;OSe为第e个预设的操作系统的特征值;OSe=0表示待处理设备的操作系统不为第e个预设的操作系统;OSe=1表示待处理设备的操作系统为第e个预设的操作系统。
获取待处理设备的设备名特征DN=(DN1,DN2,…,DNg,…,DNh);其中,g=1,2,…,h;h为预设的特征位数;DNg为待处理设备的设备名对应的字符串通过哈希计算后,得到的哈希值对应的二进制数的第g位数值。
获取待处理设备的网络地址特征NA=(NA1,NA2,NA3,NA4);其中,NA1至NA4分别为待处理设备当前的IP地址第1个字节至第4个字节对应的十进制数。
确定ZJ=(ZJD,WL,OS,DN,NA)。
优选地,所述ZW通过以下方式获取:
获取待处理设备所在子网的子网结构特征SC=(DC,TX);其中,DC为根据待处理设备所在子网包括的设备的设备信息,得到的设备特征列表;DC=(DC1,DC2,…,DCu,…,DCw);u=1,2,…,w;w为待处理设备所在子网中设备的数量;DCu为待处理设备所在子网中第u个设备的设备特征;TX为待处理设备所在子网中各设备之间的通讯关系特征列表;TX=(TX1,TX2,…,TXu,…,TXw);TXu为待处理设备所在子网中第u个设备与其他设备的通讯关系特征。
获取待处理设备的子网地址特征SA=(NUM’,SA1,SA2,SA3,SA4);其中,NUM’为待处理设备所在子网中已分配的IP地址数量占可用IP地址数量的比值;SA1至SA4分别为待处理设备所在子网的子网掩码第1个字节至第4个字节对应的十进制数。
获取待处理设备的子网网络特征SN=(PC,TC);其中,PC为待处理设备所在子网的数据包特征;TC为待处理设备所在子网的流量特征。
获取待处理设备的子网网络策略特征NP=(SE,NS);其中,SE为待处理设备所在子网的安全设备特征,SE=(total,SE1,SE2,…,SEd,…,SEq);d=1,2,…,q;total为待处理设备所在子网中安全设备的数量;q为预设的安全设备类型的数量;SEd为待处理设备所在子网中第d个预设的安全设备类型对应的安全设备的数量;NS为待处理设备所在子网的网络服务特征;NS=(NS1,NS2,…,NSp,…,NSc);p=1,2,…,c;c为预设的网络服务的数量;NSp为待处理设备所在子网对应的第p个网络服务的特征值;NSp=0表示待处理设备所在子网未启用第p个网络服务;NSp=1表示待处理设备所在子网启用了第p个网络服务。
确定ZW=(SC,SA,SN,NP)。
优选地,DCu=(DTu,DMu);其中,
DTu为待处理设备所在子网中第u个设备的设备类型特征;DTu=(DTu1,DTu2,…,DTut,…,DTuv);t=1,2,…,v;v为预设的设备类型的数量,v>q;DTut为待处理设备所在子网中第u个设备对应的第t个预设的设备类型的特征值;DTut=0表示待处理设备所在子网中第u个设备的设备类型不为第t个预设的设备类型;DTut=1表示待处理设备所在子网中第u个设备的设备类型为第t个预设的设备类型。
DMu为待处理设备所在子网中第u个设备的设备厂商特征;DMu=(DMu1,DMu2,…,DMuL,…,DMuo);L=1,2,…,o;o为预设的设备厂商的数量;DMuL为待处理设备所在子网中第u个设备对应的第L个设备厂商的特征值;DMuL=0表示待处理设备所在子网中第u个设备的设备厂商不为第L个设备厂商;DMuL=1表示待处理设备所在子网中第u个设备的设备厂商为第L个设备厂商。
优选地,所述TX通过以下方式获取:
获取待处理设备所在子网的目标流量数据。
根据所述目标流量数据获取待处理设备所在子网中各设备之间的通讯关系,得到待处理设备所在子网对应的通讯关系矩阵。
将所述通讯关系矩阵中的每一行进行顺序拼接,得到所述TX;其中,TXu=(TXu1,TXu2,…,TXua’,…,TXuw);a’=1,2,…,w;TXua’为待处理设备所在子网中第u个设备与第a’个设备的通讯关系特征值;TXua’=0表示待处理设备所在子网中第u个设备不可向第a’个设备发送通讯数据;TXua’=1表示待处理设备所在子网中第u个设备可向第a’个设备发送通讯数据;若a’=u,则TXua’=0。
优选地,PC=(HIP,HXY);其中,
HIP为根据待处理设备所在子网的数据包得到的活跃IP地址特征列表;HIP=(HIP1,HIP2,…,HIPc’,…HIPd’);c’=1,2,…,d’;d’为预设第一数量值;HIPc’为待处理设备所在子网中通讯频率第c’高的IP地址特征;HIPc’=(HIPc’1,HIPc’2,HIPc’3,HIPc’4);HIPc’1至HIPc’4分别为待处理设备所在子网中,通讯频率第c’高的IP地址第1个字节至第4个字节对应的十进制数。
HXY为根据待处理设备所在子网的据包得到的活跃通讯协议类型特征列表;HXY=(HXY1,HXY2,…,HXYm’,…,HXYn’);m’=1,2,…,n’;n’为预设第二数量值;HXYm’为待处理设备所在子网中使用频率第m’高的通讯协议类型对应的特征;HXYm’=(HXYm’1,HXYm’2,…,HXYm’h’,…,HXYm’g’);h’=1,2,…,g’;g’为预设的通讯协议类型的数量;HXYm’h’为待处理设备所在子网中,使用频率第m’高的通讯协议类型对应的第h’个预设的通讯协议类型的特征值;HXYm’h’=0表示待处理设备所在子网中,使用频率第m’高的通讯协议类型不为第h’个预设的通讯协议类型;HXYm’h’=1表示待处理设备所在子网中,使用频率第m’高的通讯协议类型为第h’个预设的通讯协议类型。
优选地,TC=(TC1,TC2);其中,TC1为目标时间段内子网对应的网络流量的平均速率;TC2为目标时间段内子网对应的网络流量的峰值速率;所述目标时间段的开始时间早于当前时间,结束时间为当前时间。
优选地,所述α和β满足如下约束条件:
α+β=1。
图2所述实施例为图1所述方法实施例所对应的装置实施例,图2所述实施例的部分实现过程和技术效果与图1所述实施例相近,因此,对图2所述实施例的描述较为简单,相关之处请参照图1所述实施例。
此外,尽管在附图中以特定顺序描述了本公开中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施方式的方法。
在本公开的示例性实施例中,还提供了一种能够实现上述方法的电子设备。
所属技术领域的技术人员能够理解,本申请的各个方面可以实现为系统、方法或程序产品。因此,本申请的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
根据本申请的这种实施方式的电子设备。电子设备仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
电子设备以通用计算设备的形式表现。电子设备的组件可以包括但不限于:上述至少一个处理器、上述至少一个储存器、连接不同系统组件(包括储存器和处理器)的总线。
其中,所述储存器存储有程序代码,所述程序代码可以被所述处理器执行,使得所述处理器执行本说明书上述“示例性方法”部分中描述的根据本申请各种示例性实施方式的步骤。
储存器可以包括易失性储存器形式的可读介质,例如随机存取储存器(RAM)和/或高速缓存储存器,还可以进一步包括只读储存器(ROM)。
储存器还可以包括具有一组(至少一个)程序模块的程序/实用工具,这样的程序模块包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线可以为表示几类总线结构中的一种或多种,包括储存器总线或者储存器控制器、外围总线、图形加速端口、处理器或者使用多种总线结构中的任意总线结构的局域总线。
电子设备也可以与一个或多个外部设备(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备交互的设备通信,和/或与使得该电子设备能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口进行。并且,电子设备还可以通过网络适配器与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。网络适配器通过总线与电子设备的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。
在本公开的示例性实施例中,还提供了一种计算机可读存储介质,其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中,本申请的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在终端设备上运行时,所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本申请各种示例性实施方式的步骤。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本申请操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
此外,上述附图仅是根据本申请示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。

Claims (10)

1.一种安全防护策略的确定方法,其特征在于,包括以下步骤:
步骤11:获取待处理设备的设备特征ZJ和其所在子网的子网特征ZW;
步骤12:获取若干预设的安全防护策略对应的标准特征信息列表集B=(B1,B2,…,Bi,…,Bn);其中,i=1,2,…,n;n为预设的安全防护策略的数量;Bi为第i个预设的安全防护策略对应的标准特征信息列表;Bi=(BPi1,BPi2,…,BPij,…,BPif(i));j=1,2,…,f(i);f(i)为第i个预设的安全防护策略对应的标准特征信息的数量;BPij为Bi中第j个标准特征信息;BPij=(BZJij,BZWij);BZJij为BPij中的标准设备特征;BZWij为BPij中的标准子网特征;
步骤13:根据ZJ、ZW和B,获取待处理设备对应的匹配度集P=(P1,P2,…,Pi,…,Pn);其中,Pi为待处理设备与第i个标准特征信息列表的匹配度;Pi=(∑j=1 f(i)ZJPij+β/>ZWPij))/f(i);ZJPij为ZJ与BZJij的相似度;ZWPij为ZW与BZWij的相似度;α为预设的标准设备特征系数;β为预设的标准子网特征系数;
步骤14:将P中的最大值对应的标准特征信息列表确定为目标特征信息列表;
步骤15:将所述目标特征信息列表对应的预设的安全防护策略确定为所述待处理设备对应的目标安全防护策略。
2.根据权利要求1所述的方法,其特征在于,所述Bi通过以下步骤获取:
步骤21:将若干使用了第i个预设的安全防护策略的电子设备确定为关键设备;
步骤22:获取若干关键设备对应的设备特征集GZJ=(GZJ1,GZJ2,…,GZJf,…,GZJm);其中,f=1,2,…,m;m为所述关键设备的数量;GZJf为第f个关键设备的设备特征;
步骤23:获取若干关键设备对应的子网特征集GZW=(GZW1,GZW2,…,GZWf,…,GZWm);其中,GZWf为第f个关键设备所在子网的子网特征;
步骤24:对GZJ中的设备特征进行聚类,得到设备特征组集ZJZ=(ZJZ1,ZJZ2,…,ZJZx,…,ZJZy);其中,x=1,2,…,y;y为经过聚类后得到的设备特征组的数量;ZJZx为ZJZ中第x个设备特征组;ZJZx=(ZJZx1,ZJZx2,…,ZJZxk,…,ZJZxg(x));k=1,2,…,g(x);g(x)为ZJZx中设备特征的数量;ZJZxk为ZJZx中第k个设备特征;
步骤25:对ZJZx对应的各关键设备的子网特征进行聚类,得到ZJZx对应的子网特征组集ZWZx=(ZWZx1,ZWZx2,…,ZWZxk’,…,ZWZxh(x’));其中,k’=1,2,…,h(x’);h(x’)为ZJZx对应的各关键设备的子网特征经过聚类后,得到的子网特征组的数量;∑x’=1 yh(x’)=f(i);ZWZxk’为ZWZx中第k’个子网特征组;ZWZxk’=(ZWZxk’1,ZWZxk’2,…,ZWZxk’s,…,ZWZxk’p(xk));s=1,2,…,p(xk);p(xk)为ZWZxk’中子网特征的数量;ZWZxk’s为ZWZxk’中第s个子网特征;
步骤26:将ZJZx的中心向量确定为BZJx1,BZJx2,…,BZJxk’,…,BZJxh(x’);将ZWZxk’的中心向量确定为BZWxk’,以得到Bi;其中,BZJxk’为Bi中第∑x’=1 x-1h(x’)+k’个标准特征信息中的标准设备特征;BZWxk’为Bi中第∑x’=1 x-1h(x’)+k’个标准特征信息中的标准子网特征;若x=1,则BZJxk’为Bi中第k’个标准特征信息中的标准设备特征,BZWxk’为Bi中第k’个标准特征信息中的标准子网特征。
3.根据权利要求1所述的方法,其特征在于,所述ZJ通过以下步骤获取:
步骤31:获取待处理设备的设备端口特征ZJD=(NUM,ZJD1,ZJD2,…,ZJDa,…,ZJDb);其中,a=1,2,…,b;b为待处理设备提供的端口的总数量;NUM为待处理设备对应的当前状态为开启的端口数量;ZJDa为待处理设备对应的第a个端口的当前状态的特征值;ZJDa=0表示待处理设备对应的第a个端口的当前状态为关闭;ZJDa=1表示待处理设备对应的第a个端口的当前状态为开启;
步骤32:获取待处理设备的设备物理地址特征WL=(WL1,WL2,…,WL6);其中,WL1至WL6分别为待处理设备的MAC地址的第1个字节至第6个字节对应的十进制数;
步骤33:获取待处理设备的操作系统特征OS=(OS1,OS2,…,OSe,…,OSr);其中,e=1,2,…,r;r为预设的操作系统的数量;OSe为第e个预设的操作系统的特征值;OSe=0表示待处理设备的操作系统不为第e个预设的操作系统;OSe=1表示待处理设备的操作系统为第e个预设的操作系统;
步骤34:获取待处理设备的设备名特征DN=(DN1,DN2,…,DNg,…,DNh);其中,g=1,2,…,h;h为预设的特征位数;DNg为待处理设备的设备名对应的字符串通过哈希计算后,得到的哈希值对应的二进制数的第g位数值;
步骤35:获取待处理设备的网络地址特征NA=(NA1,NA2,NA3,NA4);其中,NA1至NA4分别为待处理设备当前的IP地址第1个字节至第4个字节对应的十进制数;
步骤36:确定ZJ=(ZJD,WL,OS,DN,NA)。
4.根据权利要求1所述的方法,其特征在于,所述ZW通过以下步骤获取:
步骤41:获取待处理设备所在子网的子网结构特征SC=(DC,TX);其中,DC为根据待处理设备所在子网包括的设备的设备信息,得到的设备特征列表;DC=(DC1,DC2,…,DCu,…,DCw);u=1,2,…,w;w为待处理设备所在子网中设备的数量;DCu为待处理设备所在子网中第u个设备的设备特征;TX为待处理设备所在子网中各设备之间的通讯关系特征列表;TX=(TX1,TX2,…,TXu,…,TXw);TXu为待处理设备所在子网中第u个设备与其他设备的通讯关系特征;
步骤42:获取待处理设备的子网地址特征SA=(NUM’,SA1,SA2,SA3,SA4);其中,NUM’为待处理设备所在子网中已分配的IP地址数量占可用IP地址数量的比值;SA1至SA4分别为待处理设备所在子网的子网掩码第1个字节至第4个字节对应的十进制数;
步骤43:获取待处理设备的子网网络特征SN=(PC,TC);其中,PC为待处理设备所在子网的数据包特征;TC为待处理设备所在子网的流量特征;
步骤44:获取待处理设备的子网网络策略特征NP=(SE,NS);其中,SE为待处理设备所在子网的安全设备特征,SE=(total,SE1,SE2,…,SEd,…,SEq);d=1,2,…,q;total为待处理设备所在子网中安全设备的数量;q为预设的安全设备类型的数量;SEd为待处理设备所在子网中第d个预设的安全设备类型对应的安全设备的数量;NS为待处理设备所在子网的网络服务特征;NS=(NS1,NS2,…,NSp,…,NSc);p=1,2,…,c;c为预设的网络服务的数量;NSp为待处理设备所在子网对应的第p个网络服务的特征值;NSp=0表示待处理设备所在子网未启用第p个网络服务;NSp=1表示待处理设备所在子网启用了第p个网络服务;
步骤45:确定ZW=(SC,SA,SN,NP)。
5.根据权利要求4所述的方法,其特征在于,DCu=(DTu,DMu);其中,
DTu为待处理设备所在子网中第u个设备的设备类型特征;DTu=(DTu1,DTu2,…,DTut,…,DTuv);t=1,2,…,v;v为预设的设备类型的数量,v>q;DTut为待处理设备所在子网中第u个设备对应的第t个预设的设备类型的特征值;DTut=0表示待处理设备所在子网中第u个设备的设备类型不为第t个预设的设备类型;DTut=1表示待处理设备所在子网中第u个设备的设备类型为第t个预设的设备类型;
DMu为待处理设备所在子网中第u个设备的设备厂商特征;DMu=(DMu1,DMu2,…,DMuL,…,DMuo);L=1,2,…,o;o为预设的设备厂商的数量;DMuL为待处理设备所在子网中第u个设备对应的第L个设备厂商的特征值;DMuL=0表示待处理设备所在子网中第u个设备的设备厂商不为第L个设备厂商;DMuL=1表示待处理设备所在子网中第u个设备的设备厂商为第L个设备厂商。
6.根据权利要求4所述的方法,其特征在于,所述TX通过以下步骤获取:
步骤51:获取待处理设备所在子网的目标流量数据;
步骤52:根据所述目标流量数据获取待处理设备所在子网中各设备之间的通讯关系,得到待处理设备所在子网对应的通讯关系矩阵;
步骤53:将所述通讯关系矩阵中的每一行进行顺序拼接,得到所述TX;其中,TXu=(TXu1,TXu2,…,TXua’,…,TXuw);a’=1,2,…,w;TXua’为待处理设备所在子网中第u个设备与第a’个设备的通讯关系特征值;TXua’=0表示待处理设备所在子网中第u个设备不可向第a’个设备发送通讯数据;TXua’=1表示待处理设备所在子网中第u个设备可向第a’个设备发送通讯数据;若a’=u,则TXua’=0。
7.根据权利要求4所述的方法,其特征在于,PC=(HIP,HXY);其中,
HIP为根据待处理设备所在子网的数据包得到的活跃IP地址特征列表;HIP=(HIP1,HIP2,…,HIPc’,…HIPd’);c’=1,2,…,d’;d’为预设第一数量值;HIPc’为待处理设备所在子网中通讯频率第c’高的IP地址特征;HIPc’=(HIPc’1,HIPc’2,HIPc’3,HIPc’4);HIPc’1至HIPc’4分别为待处理设备所在子网中,通讯频率第c’高的IP地址第1个字节至第4个字节对应的十进制数;
HXY为根据待处理设备所在子网的据包得到的活跃通讯协议类型特征列表;HXY=(HXY1,HXY2,…,HXYm’,…,HXYn’);m’=1,2,…,n’;n’为预设第二数量值;HXYm’为待处理设备所在子网中使用频率第m’高的通讯协议类型对应的特征;HXYm’=(HXYm’1,HXYm’2,…,HXYm’h’,…,HXYm’g’);h’=1,2,…,g’;g’为预设的通讯协议类型的数量;HXYm’h’为待处理设备所在子网中,使用频率第m’高的通讯协议类型对应的第h’个预设的通讯协议类型的特征值;HXYm’h’=0表示待处理设备所在子网中,使用频率第m’高的通讯协议类型不为第h’个预设的通讯协议类型;HXYm’h’=1表示待处理设备所在子网中,使用频率第m’高的通讯协议类型为第h’个预设的通讯协议类型。
8.根据权利要求4所述的方法,其特征在于,TC=(TC1,TC2);其中,TC1为目标时间段内子网对应的网络流量的平均速率;TC2为目标时间段内子网对应的网络流量的峰值速率;所述目标时间段的开始时间早于当前时间,结束时间为当前时间。
9.根据权利要求1所述的方法,起特征在于,所述α和β满足如下约束条件:
α+β=1。
10.一种安全防护策略的确定装置,其特征在于,包括:
特征获取模块,用于获取待处理设备的设备特征ZJ和其所在子网的子网特征ZW;
标准特征信息获取模块,用于获取若干预设的安全防护策略对应的标准特征信息列表集B=(B1,B2,…,Bi,…,Bn);其中,i=1,2,…,n;n为预设的安全防护策略的数量;Bi为第i个预设的安全防护策略对应的标准特征信息列表;Bi=(BPi1,BPi2,…,BPij,…,BPif(i));j=1,2,…,f(i);f(i)为第i个预设的安全防护策略对应的标准特征信息的数量;BPij为Bi中第j个标准特征信息;BPij=(BZJij,BZWij);BZJij为BPij中的标准设备特征;BZWij为BPij中的标准子网特征;
匹配度集获取模块,用于根据ZJ、ZW和B,获取待处理设备对应的匹配度集P=(P1,P2,…,Pi,…Pn);其中,Pi为待处理设备与第i个标准特征信息列表的匹配度;Pi=(∑j=1 f(i)ZJPij+β/>ZWPij))/f(i);ZJPij为ZJ与BZJij的相似度;ZWPij为ZW与BZWij的相似度;α为预设的标准设备特征系数;β为预设的标准子网特征系数;
目标特征信息列表确定模块,用于将P中的最大值对应的标准特征信息列表确定为目标特征信息列表;
目标安全防护策略确定模块,用于将所述目标特征信息列表对应的预设的安全防护策略确定为所述待处理设备对应的目标安全防护策略。
CN202311306308.4A 2023-10-10 2023-10-10 一种安全防护策略的确定方法及装置 Active CN117040946B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311306308.4A CN117040946B (zh) 2023-10-10 2023-10-10 一种安全防护策略的确定方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311306308.4A CN117040946B (zh) 2023-10-10 2023-10-10 一种安全防护策略的确定方法及装置

Publications (2)

Publication Number Publication Date
CN117040946A CN117040946A (zh) 2023-11-10
CN117040946B true CN117040946B (zh) 2024-01-26

Family

ID=88639507

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311306308.4A Active CN117040946B (zh) 2023-10-10 2023-10-10 一种安全防护策略的确定方法及装置

Country Status (1)

Country Link
CN (1) CN117040946B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103856371A (zh) * 2014-02-28 2014-06-11 中国人民解放军91655部队 一种用于信息系统的安全防护方法
CN112333288A (zh) * 2021-01-04 2021-02-05 三盟科技股份有限公司 一种智慧学堂数据安全防护方法、系统及可读存储介质
CN114844715A (zh) * 2022-05-25 2022-08-02 中国电子科技集团公司第三十研究所 一种网络安全防御策略优化方法、设备及介质
CN116527299A (zh) * 2022-12-30 2023-08-01 苏州新芦苇科技有限公司 一种基于网络安全防护方法及动态防御系统

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110289216A1 (en) * 2010-05-21 2011-11-24 Timothy Szeto System and Method for Generating Subnets and Using Such Subnets for Controlling Access to Web Content
US8726393B2 (en) * 2012-04-23 2014-05-13 Abb Technology Ag Cyber security analyzer
US11902152B2 (en) * 2021-10-25 2024-02-13 T-Mobile Innovations Llc Secure enclave of UE route selection policy rules in the 5G device or network slicing

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103856371A (zh) * 2014-02-28 2014-06-11 中国人民解放军91655部队 一种用于信息系统的安全防护方法
CN112333288A (zh) * 2021-01-04 2021-02-05 三盟科技股份有限公司 一种智慧学堂数据安全防护方法、系统及可读存储介质
CN114844715A (zh) * 2022-05-25 2022-08-02 中国电子科技集团公司第三十研究所 一种网络安全防御策略优化方法、设备及介质
CN116527299A (zh) * 2022-12-30 2023-08-01 苏州新芦苇科技有限公司 一种基于网络安全防护方法及动态防御系统

Also Published As

Publication number Publication date
CN117040946A (zh) 2023-11-10

Similar Documents

Publication Publication Date Title
US10491611B2 (en) Method and protection apparatus to prevent malicious information communication in IP networks by exploiting benign networking protocols
US8914871B1 (en) Distributed multi-processing security gateway
US8291487B1 (en) System and method for distributed multi-processing security gateway
US11848854B1 (en) Method, apparatus, and computer program product for dynamic security based grid routing
US10798061B2 (en) Automated learning of externally defined network assets by a network security device
CN111294415B (zh) 域名解析的方法和装置
CN112468518B (zh) 访问数据处理方法、装置、存储介质及计算机设备
Aldabbas et al. A novel mechanism to handle address spoofing attacks in SDN based IoT
CN113904866B (zh) Sd-wan业务流量安全处置引流方法、设备、系统以及介质
CN110545230B (zh) 用于转发vxlan报文的方法和装置
US9680756B2 (en) Efficient in-band communication of quality-of-service policies between virtual classification devices and enforcement devices
CN113676390B (zh) 基于vxlan的触发式动态安全通道的方法、用户端及中央控制台
CN112383559B (zh) 地址解析协议攻击的防护方法及装置
CN117040946B (zh) 一种安全防护策略的确定方法及装置
CN114827078A (zh) 节点访问方法以及数据传输系统
US20210037057A1 (en) System resource management in self-healing networks
US11258720B2 (en) Flow-based isolation in a service network implemented over a software-defined network
CN117040945B (zh) 一种电子设备防护策略的确定方法、装置、介质及设备
US11929850B2 (en) Dynamic elimination of old IPv6 addresses from WLAN/BYOD/IOT devices INDHCPv6 stateless mode after transitioning between VLANs
US11683680B2 (en) Elimination of old IPV6 addresses from WLAN stations in DHCPV6 stateful mode after transitioning between VLANs
US20230319547A1 (en) Device identification for newly connecting devices using mac randomization on a network
US20210152481A1 (en) System and methods to filter out noisy application signatures to improve precision of first packet classification
KR20130018608A (ko) 방화벽 엔진 및 이를 이용한 패킷 매칭 방법
Kumar et al. Handling DDOS attacks in Cloud Computing based on SDM System
CN116318992A (zh) 云原生kubernetes网络的黑名单控制方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant