CN117097565B - 一种基于业务系统构造策略模型的方法 - Google Patents
一种基于业务系统构造策略模型的方法 Download PDFInfo
- Publication number
- CN117097565B CN117097565B CN202311348517.5A CN202311348517A CN117097565B CN 117097565 B CN117097565 B CN 117097565B CN 202311348517 A CN202311348517 A CN 202311348517A CN 117097565 B CN117097565 B CN 117097565B
- Authority
- CN
- China
- Prior art keywords
- service system
- service
- access
- abnormal
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 48
- 238000009960 carding Methods 0.000 claims abstract description 18
- 230000008520 organization Effects 0.000 claims abstract description 13
- 230000002159 abnormal effect Effects 0.000 claims description 54
- 238000004891 communication Methods 0.000 claims description 18
- 238000013527 convolutional neural network Methods 0.000 claims description 14
- 230000006870 function Effects 0.000 claims description 13
- 238000013507 mapping Methods 0.000 claims description 12
- 230000008569 process Effects 0.000 claims description 12
- 230000005540 biological transmission Effects 0.000 claims description 9
- 238000012545 processing Methods 0.000 claims description 9
- 230000004044 response Effects 0.000 claims description 9
- 238000010586 diagram Methods 0.000 claims description 7
- 230000004927 fusion Effects 0.000 claims description 7
- 238000012544 monitoring process Methods 0.000 claims description 7
- 238000010606 normalization Methods 0.000 claims description 6
- 230000005856 abnormality Effects 0.000 claims description 5
- 238000004458 analytical method Methods 0.000 claims description 5
- 238000001914 filtration Methods 0.000 claims description 5
- 230000003993 interaction Effects 0.000 claims description 5
- 206010000117 Abnormal behaviour Diseases 0.000 claims description 4
- 238000013461 design Methods 0.000 claims description 4
- 238000005206 flow analysis Methods 0.000 claims description 4
- 238000012549 training Methods 0.000 claims description 4
- 239000011159 matrix material Substances 0.000 claims description 3
- 238000007781 pre-processing Methods 0.000 claims 1
- 238000005516 engineering process Methods 0.000 abstract description 3
- 230000002688 persistence Effects 0.000 abstract description 2
- 230000004048 modification Effects 0.000 abstract 1
- 238000012986 modification Methods 0.000 abstract 1
- 238000007726 management method Methods 0.000 description 18
- 238000012423 maintenance Methods 0.000 description 13
- 230000008859 change Effects 0.000 description 4
- 238000001514 detection method Methods 0.000 description 4
- 230000000875 corresponding effect Effects 0.000 description 3
- 101001033293 Homo sapiens Interleukin enhancer-binding factor 3 Proteins 0.000 description 2
- 102100039062 Interleukin enhancer-binding factor 3 Human genes 0.000 description 2
- 230000004913 activation Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 230000007123 defense Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000002779 inactivation Effects 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 230000001737 promoting effect Effects 0.000 description 2
- 230000000007 visual effect Effects 0.000 description 2
- 238000012935 Averaging Methods 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 230000002547 anomalous effect Effects 0.000 description 1
- 238000012098 association analyses Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000010835 comparative analysis Methods 0.000 description 1
- 239000012141 concentrate Substances 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 208000037265 diseases, disorders, signs and symptoms Diseases 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000009472 formulation Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 210000001503 joint Anatomy 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000003032 molecular docking Methods 0.000 description 1
- 238000013439 planning Methods 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 238000012502 risk assessment Methods 0.000 description 1
- 230000004083 survival effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000013024 troubleshooting Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/0464—Convolutional networks [CNN, ConvNet]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
- G06N3/098—Distributed learning, e.g. federated learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Molecular Biology (AREA)
- Data Mining & Analysis (AREA)
- Computational Linguistics (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Evolutionary Computation (AREA)
- Biophysics (AREA)
- Biomedical Technology (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Health & Medical Sciences (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于业务系统构造策略模型的方法,涉及网络安全技术领域,该方法包括以下步骤:S1、梳理组织网络环境内的业务系统及业务系统地址;S2、依次梳理业务系统内部、业务系统与业务系统之间、业务系统与终端之间以及业务系统与用户之间的访问关系;S3、梳理每个访问关系需要经过的防火墙;S4、基于访问关系的梳理,以业务系统访问关系表为基础,构造业务系统安全策略模型;S5、将业务系统安全策略模型与当前安全策略进行结合与对比。本发明通过基于JAVA语言进行算法实现,使用MySql作为持久化技术,安全策略与业务系统紧密关联,实现安全策略更改有理有据,避免安全策略的乱象。
Description
技术领域
本发明涉及网络安全技术领域,尤其是涉及一种基于业务系统构造策略模型的方法。
背景技术
组织最重要的是其核心业务,其发展是组织生存的必要条件,而业务系统是在信息化、数字化时代保障和促进业务发展的重要手段。组织信息管理部门作为服务部门,保障业务系统新建、变更是其核心职责,网络安全是以围绕保障业务系统工作所进行的。
网络安全是确保业务系统运行安全的重要要素。由于业务系统的需求不断变化,安全策略也需要根据实际情况进行新建、变更和废除。无论是在业务系统新建阶段,还是在变更和运维阶段,安全策略的调整都是必要的。此外,在与其他业务系统对接时,也需要对安全策略进行相应的更改以保障信息的安全传输和处理。
防火墙和防火墙策略管理在网络安全中扮演着关键的角色,它们对于保护网络和信息安全至关重要。防火墙监控和控制网络流量,根据预定义的安全策略来允许或阻止数据包的传输,保护内部网络免受未经授权的访问、网络攻击、恶意软件和其他网络威胁。防火墙策略管理则对防火墙规则和策略进行管理、配置和优化的过程,涉及到定义和调整防火墙的规则集,以确保防火墙按照组织的安全要求进行适当的流量控制。
然而,当前对防火墙和防火墙策略管理的相关产品仍具备以下缺陷:
(1)安全策略配置过程中,一般是以业务系统需求配置,但是经过长时间,不规范的配置安全策略,安全策略逐渐与业务系统脱离。如果仅以业务系统需求为导向,而忽视长期的规范管理,就容易导致安全策略与业务系统逐渐脱离。业务系统和安全策略的变化需要相互关联,否则,业务需求的变更可能无法得到及时和有效的安全策略调整,增加系统遭受安全威胁的风险。
(2)现在市场上防火墙系统没有安全策略与业务系统关联分析的技术与功能。安全策略管理系统,也是就策略而分析策略,未分析业务系统需求,未建立业务系统安全策略模型。这意味着缺乏对业务系统需求的深入了解和分析,没有建立业务系统安全策略模型,从而无法在策略制定过程中充分考虑业务系统的特点和安全需求。
发明内容
基于此,有必要针对上述技术问题,提供一种基于业务系统构造策略模型的方法。
本发明提供了一种基于业务系统构造策略模型的方法,该方法包括以下步骤:
S1、梳理组织网络环境内的业务系统及业务系统地址,并明确业务系统地址列表以及每个业务系统地址的作用;
S2、依次梳理业务系统内部、业务系统与业务系统之间、业务系统与终端之间以及业务系统与用户之间的访问关系;
S3、梳理每个访问关系需要经过的防火墙;
S4、基于访问关系的梳理,以业务系统访问关系表为基础,构造业务系统安全策略模型,并以图表的形式进行可视化呈现;
S5、将业务系统安全策略模型与当前安全策略进行结合与对比,并依据结果与对比结果,对安全策略进行调整。
在其中一个实施例中,依次梳理业务系统内部、业务系统与业务系统之间、业务系统与终端之间以及业务系统与用户之间的访问关系包括以下步骤:
S21、通过收集系统信息、理解系统组件、分析代码与配置、访问关系映射及验证确认的方式,梳理业务系统内部的访问关系;
S22、利用流量分析网络会话的方式梳理业务系统之间的访问关系,以及梳理业务系统与终端、用户之间的访问关系。
在其中一个实施例中,通过收集系统信息、理解系统组件、分析代码与配置、访问关系映射及验证确认的方式,梳理业务系统内部的访问关系包括以下步骤:
S211、收集与业务系统相关的系统信息;
S212、获取业务系统内部各个系统组件的功能、角色与工作原理;
S213、检查应用服务器、数据库服务器及前置服务器的代码与配置文件,再检查各个服务器内部的服务器信息,确定系统组件之间的访问关系;
S214、将系统组件之间的访问关系进行映射,对相互之间需要进行访问与通信的系统组件进行标记,并记录该系统组件的标记信息;
S215、通过业务系统实际运行、调试与监控,对系统组件之间访问关系的准确性与完整性进行验证与确认,并观察系统日志、网络传输与请求/响应情况,确保系统组件之间的访问关系和通信符合预期。
在其中一个实施例中,利用流量分析网络会话的方式梳理业务系统之间的访问关系,以及梳理业务系统与终端、用户之间的访问关系包括以下步骤:
S221、利用网络设备的流量工具获取网络流量数据;
S222、设置过滤规则对网络流量数据进行过滤,提取出感兴趣的会话相关的网络数据包;
S223、将会话相关的网络数据包进行组合,重建完整的会话数据;
S224、对重建完毕后的会话数据进行分析,获取异常信息;
S225、将异常信息作为输入,利用联邦学习与卷积神经网络融合构建的异常识别模型对业务系统中的异常情况进行检测;
S226、通过会话数据,确定业务系统之间的通信模式,识别出业务系统中的客户端、服务端和中间件组件,以及业务系统与客户端、服务端和中间件组件之间的请求和响应;
S227、根据识别得到的通信模式与各个组件之间的交互,绘制业务系统访问关系表;
S228、将访问关系表与业务系统的文档与架构图进行核对及验证,并对比业务系统的设计和文档,确保访问关系表的精确性。
在其中一个实施例中,系统信息包括系统架构图、技术文档、配置文件及代码库;
系统组件包括应用服务器、数据库服务器及前置服务器;
流量工具包括流量镜像端口、抓包工具及网络流量分析工具。
在其中一个实施例中,对重建完毕后的会话数据进行分析,获取异常信息包括以下步骤:
S2241、检查重建后会话数据的起始时间与结束时间;
S2242、检查重建后会话数据的协议类型;
S2243、观察重建后会话数据中传输数据大小与方向;
S2244、分析重建后会话数据在会话期间的请求与响应;
S2245、将检查分析过程中出现的异常数据或异常行为标记为异常信息。
在其中一个实施例中,将异常信息作为输入,利用联邦学习与卷积神经网络融合构建的异常识别模型对业务系统中的异常情况进行检测包括以下步骤:
S2251、基于联邦学习原理设立独立的会话管理服务器,会话管理服务器获取每个业务系统当前的梯度参数,并对梯度参数进行算数平均操作实现全局模型的迭代更新,并向每个业务系统同步全局模型参数;
S2252、每个业务系统对自身存在的异常信息进行预处理;
S2253、业务系统利用预处理后的异常信息对卷积神经网络模型进行训练,提取异常特征,并通过SoftMax分类器获取异常情况的识别结果。
在其中一个实施例中,每个业务系统对自身存在的异常信息进行预处理包括以下步骤:
S22521、业务系统获取自身与其他业务系统、终端及用户进行会话期间产生的异常信息;
S22522、将异常信息进行数值化处理,通过独热编码方式(one-hot编码)将字符型特征转换为数值型特征;
S22523、采用最小-最大缩放方法(min-max方法)对数值化后的异常信息以列为单位进行标准化处理,使得异常信息内的每个数值映射在[0,1]区间内;
S22524、将数值化与标准化处理后的异常信息映射至标准化矩阵中。
在其中一个实施例中,卷积神经网络包括输入层、卷积层、全连接层、随机失活层及输出层,且卷积层与全连接层之间插入有Sigmoid激活函数;
SoftMax分类器的表达式为:
式中,表示当前异常信息属于第i类异常情况的概率;W i 表示全连接层输出中与第i类异常情况相关的分数;W j 表示全连接层输出中与第j类异常情况相关的分数;n表示异常情况的种类;e表示自然对数的底数。
在其中一个实施例中,业务系统安全策略模型包括其他访问业务系统与业务系统访问其他两部分,其他访问业务系统包括全体人员、业务运维人员及服务器运维人员,业务系统访问其他包括邮件系统、财务系统及其他单位系统。
本发明的有益效果:
1、该基于业务系统构造策略模型的方法,通过基于JAVA语言进行算法实现,使用MySql作为持久化技术,安全策略与业务系统紧密关联,实现安全策略更改有理有据,避免安全策略的乱象,提高安全策略配置规范性、合规性。
2、该基于业务系统构造策略模型的方法,在组织内部网络环境中建立更有效和安全的业务系统管理和防火墙策略,通过梳理业务系统、明确地址及其作用,了解内部及与其他系统、终端和用户的访问关系,以及经过的防火墙,有助于建立精确的访问控制模型;进而,在基于访问关系构建的业务系统安全策略模型中,综合了系统之间的关联,实现了更精准的策略制定,从而提高了系统的安全性,有助于实现长期的规范管理。与现有安全策略对比和调整可进一步确保策略的一致性和有效性,最终帮助组织更好地管理和保障其业务系统,应对潜在的安全风险。
3、该基于业务系统构造策略模型的方法,通过基于联邦学习与卷积神经网络融合的异常检测模型,在业务系统之间的会话数据中实现了异常信息的准确识别与检测,充分利用了多个业务系统之间分布的数据,集中分析各个系统的本地数据,避免了数据中心化,同时通过卷积神经网络强大的特征提取能力,捕获了会话数据中的复杂关联,从而实现对系统的实时监控与保护,加强了网络安全性,降低了风险,并提升了业务系统的整体稳定性与可靠性。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为本发明的一种基于业务系统构造策略模型的方法的流程图;
图2为本发明的一种基于业务系统构造策略模型的方法中业务系统安全策略模型示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
请参阅图1-图2,提供了一种基于业务系统构造策略模型的方法,该方法包括以下步骤:
S1、梳理组织网络环境内的业务系统及业务系统地址,并明确业务系统地址列表以及每个业务系统地址的作用。
在组织的网络环境中,梳理业务系统及其相应的地址,并明确业务系统地址列表以及每个地址的作用,是确保网络管理和信息安全的关键步骤。通过这个过程,能够系统地了解网络内部的业务架构和通信关系,获得以下重要信息:首先,收集关于每个业务系统的详细信息,包括系统名称、IP地址、端口号等。这些信息用于识别不同的系统,并能够进行针对性的管理和监控。其次,明确每个业务系统地址的作用,理解每个地址所承载的功能、服务或数据流。例如,某个地址可能负责承载用户身份验证,另一个地址可能用于数据库访问,还有可能有用于外部通信的接口等。这种清晰的了解有助于在需要时精确地进行配置更改和故障排除。
S2、依次梳理业务系统内部、业务系统与业务系统之间、业务系统与终端之间以及业务系统与用户之间的访问关系。
在本发明的描述中,依次梳理业务系统内部、业务系统与业务系统之间、业务系统与终端之间以及业务系统与用户之间的访问关系包括以下步骤:
S21、通过收集系统信息、理解系统组件、分析代码与配置、访问关系映射及验证确认的方式,梳理业务系统内部的访问关系。
梳理业务系统内部的访问关系,例如应用服务器需要访问数据库服务器,前置服务器需要访问应用服务器,双机服务器之间有心跳交互。
在一个业务系统中,不同的系统组件或服务器之间需要进行相互访问和通信,以实现系统的功能和数据处理,常见的业务系统内部访问如下:
(1)应用服务器需要访问数据库服务器。应用服务器扮演着处理业务逻辑和提供服务的角色,它需要从数据库服务器获取数据或将数据写入到数据库中。这种访问关系通常通过数据库连接来实现,应用服务器可以发送查询请求或更新操作到数据库服务器,并获取返回的结果。前置服务器需要访问应用服务器。
(2)前置服务器可以理解为一个位于应用服务器前面的代理或反向代理服务器,它负责处理客户端的请求并将请求转发给后面的应用服务器。前置服务器可能会对请求进行一些处理、负载均衡或缓存等操作,然后再将请求发送给应用服务器进行处理。
(3)双机服务器之间有心跳交互。双机服务器通常是为了实现高可用性而搭建的一对服务器,在这种配置下,两台服务器通过心跳机制相互监控彼此的状态。心跳通常是指定时间间隔内发送的小型网络数据包,用于验证服务器的可达性和活跃性。如果一台服务器检测到另一台服务器的心跳信号中断,可能会采取相应的措施(例如触发故障切换),以确保系统的连续性和可用性。
在本发明的描述中,通过收集系统信息、理解系统组件、分析代码与配置、访问关系映射及验证确认的方式,梳理业务系统内部的访问关系包括以下步骤:
S211、收集与业务系统相关的系统信息。
其中,系统信息包括系统架构图、技术文档、配置文件及代码库。
S212、获取业务系统内部各个系统组件的功能、角色与工作原理。
其中,系统组件包括应用服务器、数据库服务器及前置服务器。
S213、检查应用服务器、数据库服务器及前置服务器的代码与配置文件,再检查各个服务器内部的服务器信息,确定系统组件之间的访问关系。
S214、将系统组件之间的访问关系进行映射,对相互之间需要进行访问与通信的系统组件进行标记,并记录该系统组件的标记信息。
S215、通过业务系统实际运行、调试与监控,对系统组件之间访问关系的准确性与完整性进行验证与确认,并观察系统日志、网络传输与请求/响应情况,确保系统组件之间的访问关系和通信符合预期。
通过以上步骤实现逐步梳理业务系统内部的访问关系,从而更好地理解系统组件之间的连接和通信。这样的梳理过程可以为安全策略配置、构造业务策略模型提供重要帮助,并提供对整个系统的更深入的了解。
S22、利用流量分析网络会话的方式梳理业务系统之间的访问关系,以及梳理业务系统与终端、用户之间的访问关系。
在一个复杂的业务环境中,不同的业务系统可能需要相互访问和通信,同时也需要与终端用户进行交互。业务系统之间可能存在数据传输、API调用,终端用户与业务系统之间可通过Web应用、移动应用、桌面应用等访问业务系统。业务系统间访问关系如表1(a)与表1(b)所示:
表1(a):业务系统访问关系表之一
表1(b):业务系统访问关系表之二
(1)门户网站访问关系。门户网站是具有宣传性质的网站,可供所有内部用户和外部用户访问门户网站的业务端口。而仅仅供运维人员访问运维端口。
(2)OA系统访问关系。OA系统是内部办公使用,仅供内部所有用户访问业务端口,仅仅供运维人员访问运维端口,因本地ERP、财务、邮件等系统需要调用OA获取组织结构,需这些系统访问业务对接端口获取数据。
(3)ERP系统访问关系。ERP系统是内部办公使用,仅供内部所有用户访问业务端口,仅供运维人员访问运维端口,上级ERP系统可访问本地ERP系统。
(4)财务系统访问关系。财务系统是内部财务结算使用,仅供财务人员访问业务端口,仅供运维人员访问运维端口。
(5)邮件系统访问关系。邮件系统是全体人员邮件交换系统,仅供内部人员访问业务端口,仅供运维人员访问运维端口,仅供上级单位邮件系统访问业务端口,因OA系统需从邮件系统获取邮件数据,需OA系统访问邮件系统的对接端口。
(6)安全设备和网络设备访问关系。安全设备和网络设备仅供运维人员访问运维端口。
在本发明的描述中,利用流量分析网络会话的方式梳理业务系统之间的访问关系,以及梳理业务系统与终端、用户之间的访问关系包括以下步骤:
S221、利用网络设备的流量工具获取网络流量数据,从而确保有足够的网络数据来进行会话分析。
其中,流量工具包括流量镜像端口、抓包工具及网络流量分析工具。
S222、设置过滤规则对网络流量数据进行过滤,提取出感兴趣的会话相关的网络数据包。
其中,步骤S222可通过设置过滤规则来实现,规则可以基于端口号、IP地址、协议类型等关键信息进行筛选。例如,可以设置过滤规则只捕获与特定应用程序或服务器之间的会话数据。
S223、将会话相关的网络数据包进行组合,重建完整的会话数据。
根据协议类型,可以使用不同的方法来重建会话。例如,在TCP协议中,利用源IP地址、源端口、目标IP地址和目标端口等字段来组合数据包,以还原完整的会话信息。
S224、对重建完毕后的会话数据进行分析,获取异常信息。
在本发明的描述中,对重建完毕后的会话数据进行分析,获取异常信息包括以下步骤:
S2241、检查重建后会话数据的起始时间与结束时间。
S2242、检查重建后会话数据的协议类型。
S2243、观察重建后会话数据中传输数据大小与方向。
S2244、分析重建后会话数据在会话期间的请求与响应。
S2245、将检查分析过程中出现的异常数据或异常行为标记为异常信息。
S225、将异常信息作为输入,利用联邦学习与卷积神经网络融合构建的异常识别模型对业务系统中的异常情况进行检测。
在本发明的描述中,将异常信息作为输入,利用联邦学习与卷积神经网络融合构建的异常识别模型对业务系统中的异常情况进行检测包括以下步骤:
S2251、基于联邦学习原理设立独立的会话管理服务器,会话管理服务器获取每个业务系统当前的梯度参数,并对梯度参数进行算数平均操作实现全局模型的迭代更新,并向每个业务系统同步全局模型参数。
其中,联邦学习是一种分布式机器学习方法,旨在让多个参与方(例如设备、组织或个人)共同训练一个全局模型,而无需将原始数据集集中在一处。这种方法的目标是保护隐私数据,同时实现模型的集体智能提升。每个参与方在本地维护自己的数据,并在本地训练模型,然后通过加密、聚合等方式将模型更新传输到中央服务器或其他共享位置,以合并成一个全局模型。
在本发明中,优先设置一个独立的服务器,作为会话管理服务器,其主要作用是协调和管理各个业务系统之间的数据和模型更新过程。每个业务系统在本地进行模型训练时,计算得到本地数据的梯度参数。这些参数将会发送给会话管理服务器,但是不会传递给其他业务系统。会话管理服务器收集到来自各个业务系统的梯度参数后,对这些参数进行算术平均操作。通过将不同业务系统的梯度参数进行平均,可以得到一个全局的平均梯度。更新后的全局模型参数将会发送回各个业务系统,以保持模型的同步性。每个业务系统可以将这些参数应用到本地的模型(卷积神经网络模型)中。
S2252、每个业务系统对自身存在的异常信息进行预处理。
在本发明的描述中,每个业务系统对自身存在的异常信息进行预处理包括以下步骤:
S22521、业务系统获取自身与其他业务系统、终端及用户进行会话期间产生的异常信息。
S22522、将异常信息进行数值化处理,通过独热编码方式(one-hot编码)将字符型特征转换为数值型特征。
S22523、采用最小-最大缩放方法(min-max方法)对数值化后的异常信息以列为单位进行标准化处理,使得异常信息内的每个数值映射在[0,1]区间内。
S22524、将数值化与标准化处理后的异常信息映射至标准化矩阵中。
S2253、业务系统利用预处理后的异常信息对卷积神经网络模型进行训练,提取异常特征,并通过SoftMax分类器获取异常情况的识别结果。
其中,卷积神经网络包括输入层、卷积层、全连接层、随机失活层及输出层,且卷积层与全连接层之间插入有Sigmoid激活函数。
SoftMax分类器的表达式为:
式中,表示当前异常信息属于第i类异常情况的概率,W i 表示全连接层输出中与第i类异常情况相关的分数,W j 表示全连接层输出中与第j类异常情况相关的分数,n表示异常情况的种类,e表示自然对数的底数。
S226、通过会话数据,确定业务系统之间的通信模式,识别出业务系统中的客户端、服务端和中间件组件,以及业务系统与客户端、服务端和中间件组件之间的请求和响应。
S227、根据识别得到的通信模式与各个组件之间的交互,绘制业务系统访问关系表。
S228、将访问关系表与业务系统的文档与架构图进行核对及验证,并对比业务系统的设计和文档,确保访问关系表的精确性。
通过上述步骤S2,可清楚地了解不同系统之间的依赖关系和通信方式,以及业务系统如何与用户进行交互,可以优化系统架构、改进用户体验,并确保系统能够稳定可靠地为用户提供所需的服务和功能。这种梳理过程有助于系统设计、维护和扩展,并能够更好地满足业务需求。
S3、梳理每个访问关系需要经过的防火墙。
在本发明的描述中,梳理每个访问关系需要经过的防火墙是网络安全规划的关键步骤之一,它有助于确保业务系统之间的通信是受控和安全的。通过明确每个访问关系所需要经过的防火墙,可以实现以下目标:
访问控制和隔离:了解每个访问关系经过的防火墙,有助于设置适当的访问控制规则,限制只有授权的通信可以通过,从而确保业务系统之间的通信是受控的。
防御策略制定:明确每个访问关系的防火墙路径,可以根据不同的通信需求制定合适的防御策略。比如,对于外部系统的访问,可以设置更严格的入站规则以保护内部网络。
异常检测与监控:将每个访问关系与特定防火墙关联,有助于实施针对性的异常检测和实时监控。任何试图绕过防火墙或异常访问的行为都可以更容易地被检测到。
合规性与审计:了解每个访问关系的防火墙路径,有助于满足合规性要求,能够更精确地记录和审计网络通信,从而提高合规性。
S4、基于访问关系的梳理,以业务系统访问关系表为基础,构造业务系统安全策略模型,并以图表的形式进行可视化呈现。
在本发明的描述中,如图2所示,业务系统安全策略模型包括其他访问业务系统与业务系统访问其他两部分,其他访问业务系统包括全体人员、业务运维人员及服务器运维人员,业务系统访问其他包括邮件系统、财务系统及其他单位系统。
(1)其他访问业务系统,图2中的最左边是,访问业务系统的源,比如图中的全体人员、业务系统运维人员、服务器运维人员等,访问的源也可以是其他业务系统,左边中的位置表示访问业务系统时需要经过的防火墙,TCP80、SSH、TCP3306等表示访问业务系统的那些服务。
(2)业务系统访问其他,图2中的最右边是,是业务系统访问其他的目的,图中的邮件系统、财务系统、其他单位系统是其他的业务系统,业务系统下表示访问业务系统的那些服务。中间位置同样表示为流经的防火墙。
(3)访问业务系统的源,比如图中的全体人员、业务系统运维人员、服务器运维人员等,访问的源也可以是其他业务系统,左边中的位置表示访问业务系统时需要经过的防火墙,TCP80、SSH、TCP3306等表示访问业务系统的那些服务。
S5、将业务系统安全策略模型与当前安全策略进行结合与对比,并依据结果与对比结果,对安全策略进行调整。
在本发明的描述中,结合模型与现有策略,将基于业务系统构建的安全策略模型与组织目前已实施的安全策略进行对比。比较模型中所建议的访问规则、授权措施等与现有策略的相似之处和差异。在对比分析过程中,识别出模型与现有策略之间的差异和不足。可能包括模型未覆盖的访问情况、过于宽松的访问权限等问题。
基于对比结果,识别出潜在的异常行为、安全漏洞或风险。确定哪些访问可能是恶意的、异常的,以及可能导致安全问题的规则和设置。调整安全策略:根据对比和风险评估的结果,对现有安全策略进行调整。可能涉及到修改现有规则、增加新规则、强化访问控制、限制特定操作等,以便更好地与模型建议相符。在调整安全策略后,进行一系列测试和验证,确保调整后的策略在不影响业务正常运行的前提下,能够有效地减少风险、提高安全性。
应该理解的是,虽然附图的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,其可以以其他的顺序执行。而且,附图的流程图中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,其执行顺序也不必然是依次进行,而是可以与其他步骤或者其他步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
Claims (6)
1.一种基于业务系统构造策略模型的方法,其特征在于,该方法包括以下步骤:
S1、梳理组织网络环境内的业务系统及业务系统地址,并明确业务系统地址列表以及每个所述业务系统地址的作用;
S2、依次梳理所述业务系统内部、所述业务系统与所述业务系统之间、所述业务系统与终端之间以及所述业务系统与用户之间的访问关系;
S3、梳理每个所述访问关系需要经过的防火墙;
S4、基于所述访问关系的梳理,以所述业务系统访问关系表为基础,构造业务系统安全策略模型,并以图表的形式进行可视化呈现;
S5、将所述业务系统安全策略模型与当前安全策略进行对比,并依据对比结果,对安全策略进行调整;
所述依次梳理所述业务系统内部、所述业务系统与所述业务系统之间、所述业务系统与终端之间以及所述业务系统与用户之间的访问关系包括以下步骤:
S21、通过收集系统信息、理解系统组件、分析代码与配置、访问关系映射及验证确认的方式,梳理所述业务系统内部的访问关系;
S22、利用流量分析网络会话的方式梳理所述业务系统之间的访问关系,以及梳理所述业务系统与终端、用户之间的访问关系;
所述系统信息包括系统架构图、技术文档、配置文件及代码库;
所述系统组件包括应用服务器、数据库服务器及前置服务器;
所述通过收集系统信息、理解系统组件、分析代码与配置、访问关系映射及验证确认的方式,梳理所述业务系统内部的访问关系包括以下步骤:
S211、收集与所述业务系统相关的系统信息;
S212、获取所述业务系统内部各个系统组件的功能、角色与工作原理;
S213、检查应用服务器、数据库服务器及前置服务器的代码与配置文件,再检查各个服务器内部的服务器信息,确定所述系统组件之间的访问关系;
S214、将所述系统组件之间的访问关系进行映射,对相互之间需要进行访问与通信的所述系统组件进行标记,并记录该系统组件的标记信息;
S215、通过所述业务系统实际运行、调试与监控,对所述系统组件之间访问关系的准确性与完整性进行验证与确认,并观察系统日志、网络传输与请求/响应情况,确保所述系统组件之间的访问关系和通信符合预期。
2.根据权利要求1所述的一种基于业务系统构造策略模型的方法,其特征在于,所述利用流量分析网络会话的方式梳理所述业务系统之间的访问关系,以及梳理所述业务系统与终端、用户之间的访问关系包括以下步骤:
S221、利用网络设备的流量工具获取网络流量数据;
S222、设置过滤规则对所述网络流量数据进行过滤,提取出感兴趣的会话相关的网络数据包;
S223、将会话相关的所述网络数据包进行组合,重建完整的会话数据;
S224、对重建完毕后的所述会话数据进行分析,获取异常信息;
S225、将所述异常信息作为输入,利用联邦学习与卷积神经网络融合构建的异常识别模型对所述业务系统中的异常情况进行检测;
S226、通过所述会话数据,确定所述业务系统之间的通信模式,识别出所述业务系统中的客户端、服务端和中间件组件,以及所述业务系统与所述客户端、所述服务端和所述中间件组件之间的请求和响应;
S227、根据识别得到的所述通信模式与各个中间件组件之间的交互,绘制所述业务系统访问关系表;
S228、将所述访问关系表与所述业务系统的文档与架构图进行核对及验证,并对比所述业务系统的设计和文档,确保所述访问关系表的精确性。
3.根据权利要求2所述的一种基于业务系统构造策略模型的方法,其特征在于,
所述流量工具包括流量镜像端口、抓包工具及网络流量分析工具。
4.根据权利要求3所述的一种基于业务系统构造策略模型的方法,其特征在于,所述对重建完毕后的所述会话数据进行分析,获取异常信息包括以下步骤:
S2241、检查重建后所述会话数据的起始时间与结束时间;
S2242、检查重建后所述会话数据的协议类型;
S2243、观察重建后所述会话数据中传输数据大小与方向;
S2244、分析重建后所述会话数据在会话期间的请求与响应;
S2245、将检查分析过程中出现的异常数据或异常行为标记为异常信息。
5.根据权利要求3所述的一种基于业务系统构造策略模型的方法,其特征在于,所述将所述异常信息作为输入,利用联邦学习与卷积神经网络融合构建的异常识别模型对所述业务系统中的异常情况进行检测包括以下步骤:
S2251、基于联邦学习原理设立独立的会话管理服务器,所述会话管理服务器获取每个所述业务系统当前的梯度参数,并对所述梯度参数进行算数平均操作实现全局模型的迭代更新,并向每个所述业务系统同步全局模型参数;
S2252、每个所述业务系统对自身存在的所述异常信息进行预处理;
S2253、所述业务系统利用预处理后的所述异常信息对卷积神经网络模型进行训练,提取异常特征,并通过SoftMax分类器获取异常情况的识别结果。
6.根据权利要求5所述的一种基于业务系统构造策略模型的方法,其特征在于,所述每个所述业务系统对自身存在的所述异常信息进行预处理包括以下步骤:
S22521、所述业务系统获取自身与其他所述业务系统、所述终端及所述用户进行会话期间产生的所述异常信息;
S22522、将所述异常信息进行数值化处理,通过独热编码方式将字符型特征转换为数值型特征;
S22523、采用最小-最大缩放方法对数值化后的所述异常信息以列为单位进行标准化处理,使得所述异常信息内的每个数值映射在[0,1]区间内;
S22524、将数值化与标准化处理后的所述异常信息映射至标准化矩阵中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311348517.5A CN117097565B (zh) | 2023-10-18 | 2023-10-18 | 一种基于业务系统构造策略模型的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311348517.5A CN117097565B (zh) | 2023-10-18 | 2023-10-18 | 一种基于业务系统构造策略模型的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN117097565A CN117097565A (zh) | 2023-11-21 |
| CN117097565B true CN117097565B (zh) | 2023-12-29 |
Family
ID=88780626
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311348517.5A Active CN117097565B (zh) | 2023-10-18 | 2023-10-18 | 一种基于业务系统构造策略模型的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117097565B (zh) |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103176817A (zh) * | 2012-12-21 | 2013-06-26 | 中国电力科学研究院 | 一种基于自学习的Linux安全策略配置方法 |
| CN106657047A (zh) * | 2016-12-14 | 2017-05-10 | 北京启明星辰信息安全技术有限公司 | 一种网络访问关系的生成方法及装置 |
| CN108683632A (zh) * | 2018-04-04 | 2018-10-19 | 山石网科通信技术有限公司 | 防火墙安全策略调整方法及装置 |
| CN111835794A (zh) * | 2020-09-17 | 2020-10-27 | 腾讯科技(深圳)有限公司 | 防火墙策略控制方法、装置、电子设备及存储介质 |
| CN111865815A (zh) * | 2020-09-24 | 2020-10-30 | 中国人民解放军国防科技大学 | 一种基于联邦学习的流量分类方法及系统 |
| CN112769825A (zh) * | 2021-01-07 | 2021-05-07 | 深圳市永达电子信息股份有限公司 | 一种网络安全保障方法、系统以及计算机存储介质 |
| KR102260273B1 (ko) * | 2019-12-12 | 2021-06-03 | 한국과학기술정보연구원 | 보안 정책 정보 가시화 장치, 보안 정책 정보 가시화 방법 및 보안 정책 정보를 가시화하는 프로그램을 저장하는 저장매체 |
| CN114021155A (zh) * | 2021-11-26 | 2022-02-08 | 国网四川省电力公司信息通信公司 | 一种企业网络安全域可视化管理与策略审计系统及方法 |
| CN114640532A (zh) * | 2022-03-29 | 2022-06-17 | 联想(北京)有限公司 | 一种处理方法、装置及电子设备 |
| CN115277033A (zh) * | 2021-04-29 | 2022-11-01 | 北京华为数字技术有限公司 | 访问策略管理方法、装置、设备及计算机可读存储介质 |
| CN115361189A (zh) * | 2022-08-12 | 2022-11-18 | 华能澜沧江水电股份有限公司 | 一种基于分布式防火墙安全策略智能管理的方法及系统 |
-
2023
- 2023-10-18 CN CN202311348517.5A patent/CN117097565B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103176817A (zh) * | 2012-12-21 | 2013-06-26 | 中国电力科学研究院 | 一种基于自学习的Linux安全策略配置方法 |
| CN106657047A (zh) * | 2016-12-14 | 2017-05-10 | 北京启明星辰信息安全技术有限公司 | 一种网络访问关系的生成方法及装置 |
| CN108683632A (zh) * | 2018-04-04 | 2018-10-19 | 山石网科通信技术有限公司 | 防火墙安全策略调整方法及装置 |
| KR102260273B1 (ko) * | 2019-12-12 | 2021-06-03 | 한국과학기술정보연구원 | 보안 정책 정보 가시화 장치, 보안 정책 정보 가시화 방법 및 보안 정책 정보를 가시화하는 프로그램을 저장하는 저장매체 |
| CN111835794A (zh) * | 2020-09-17 | 2020-10-27 | 腾讯科技(深圳)有限公司 | 防火墙策略控制方法、装置、电子设备及存储介质 |
| CN111865815A (zh) * | 2020-09-24 | 2020-10-30 | 中国人民解放军国防科技大学 | 一种基于联邦学习的流量分类方法及系统 |
| CN112769825A (zh) * | 2021-01-07 | 2021-05-07 | 深圳市永达电子信息股份有限公司 | 一种网络安全保障方法、系统以及计算机存储介质 |
| CN115277033A (zh) * | 2021-04-29 | 2022-11-01 | 北京华为数字技术有限公司 | 访问策略管理方法、装置、设备及计算机可读存储介质 |
| CN114021155A (zh) * | 2021-11-26 | 2022-02-08 | 国网四川省电力公司信息通信公司 | 一种企业网络安全域可视化管理与策略审计系统及方法 |
| CN114640532A (zh) * | 2022-03-29 | 2022-06-17 | 联想(北京)有限公司 | 一种处理方法、装置及电子设备 |
| CN115361189A (zh) * | 2022-08-12 | 2022-11-18 | 华能澜沧江水电股份有限公司 | 一种基于分布式防火墙安全策略智能管理的方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN117097565A (zh) | 2023-11-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104063473B (zh) | 一种数据库审计监测系统及其方法 | |
| CN114978584A (zh) | 基于单位单元的网络安全防护安全方法及系统 | |
| US9973536B2 (en) | Directing audited data traffic to specific repositories | |
| US20180033089A1 (en) | Method and system for identifying and addressing potential account takeover activity in a financial system | |
| CN109861995A (zh) | 一种网络空间安全大数据智能分析方法、计算机可读介质 | |
| US20180033009A1 (en) | Method and system for facilitating the identification and prevention of potentially fraudulent activity in a financial system | |
| CN111209269A (zh) | 一种智慧城市大数据管理系统 | |
| CN107958322A (zh) | 一种城市网络空间综合治理系统 | |
| DE202013102441U1 (de) | System zur Überprüfung digitaler Zertifikate | |
| CA3115124A1 (en) | Continuous and anonymous risk evaluation | |
| CN115134099B (zh) | 基于全流量的网络攻击行为分析方法及装置 | |
| Lindqvist et al. | eXpert-BSM: A host-based intrusion detection solution for Sun Solaris | |
| KR20140035146A (ko) | 정보보안 장치 및 방법 | |
| CN114003943B (zh) | 一种用于机房托管管理的安全双控管理平台 | |
| CN107733902A (zh) | 一种目标数据扩散过程的监控方法及装置 | |
| CN114338105B (zh) | 一种基于零信任信创堡垒机系统 | |
| US20240089260A1 (en) | System and method for graduated deny list | |
| RU2481633C2 (ru) | Система и способ автоматического расследования инцидентов безопасности | |
| CN109600395A (zh) | 一种终端网络接入控制系统的装置及实现方法 | |
| CN117097565B (zh) | 一种基于业务系统构造策略模型的方法 | |
| CN115840965B (zh) | 一种信息安全保障模型训练方法和系统 | |
| US20090234827A1 (en) | Citizenship fraud targeting system | |
| Lakka et al. | Incident Handling for Healthcare Organizations and Supply-Chains | |
| CN114760083B (zh) | 一种攻击检测文件的发布方法、装置及存储介质 | |
| CN113271315A (zh) | 虚拟专用网络异常使用检测方法、装置和电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |