CN117134950A - 一种基于协议状态的安全分析方法及系统 - Google Patents
一种基于协议状态的安全分析方法及系统 Download PDFInfo
- Publication number
- CN117134950A CN117134950A CN202310982685.3A CN202310982685A CN117134950A CN 117134950 A CN117134950 A CN 117134950A CN 202310982685 A CN202310982685 A CN 202310982685A CN 117134950 A CN117134950 A CN 117134950A
- Authority
- CN
- China
- Prior art keywords
- protocol
- security
- analysis
- determining
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 95
- 238000011156 evaluation Methods 0.000 claims abstract description 96
- 238000000034 method Methods 0.000 claims abstract description 29
- 230000002159 abnormal effect Effects 0.000 claims description 34
- 238000011835 investigation Methods 0.000 claims description 9
- 238000012544 monitoring process Methods 0.000 claims description 9
- 238000012937 correction Methods 0.000 claims description 3
- 238000012216 screening Methods 0.000 claims description 3
- 230000005540 biological transmission Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012854 evaluation process Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Maintenance And Management Of Digital Transmission (AREA)
Abstract
本申请公开的一种基于协议状态的安全分析方法及系统,涉及协议安全防护技术领域,方法包括:建立节点遍历表,根据协议触发顺序规则对节点遍历表进行扫描分析,确定协议栈的第一安全性评价因子,并基于协议正常应用规则,确定每一协议的第二安全性评价因子,并基于第一安全性因子确定第二安全性因子的可信任度,并基于可信任度对第二安全性因子进行修正,根据修正后的第二安全性因子确定协议的安全状态,实现了对协议的状态进行分析,就可以准确的确定协议的安全性。
Description
技术领域
本发明涉及协议安全防护技术领域,尤其是涉及一种基于协议状态的安全分析方法及系统。
背景技术
协议状态的安全分析是指对协议运行中的各种状态进行分析和评估,以确定协议在不同状态下的安全性能和保障程度。在网络安全领域中,协议状态的安全分析是非常重要的,因为它可以帮助网络管理员和安全专家识别协议状态下的安全漏洞和风险,从而采取相应的安全措施来保护网络安全。
现有技术中,对于协议攻击的分析方法是针对数据单元的解析,通过判断解析后的数据单元是否与预设的标准相符来判断是否有协议攻击,但是这种方法对于那些发送模仿程度高的虚假数据单元的攻击效果不佳,所以亟需一种可以根据协议状态来判断协议的安全性的方法。
发明内容
本发明的目的是提供一种能够根据协议状态判断安全性的方法。
所以本发明公开了一种基于协议状态的安全分析方法,包括:
建立协议分析名录,并针对协议分析名录确定要监控的协议的所在的设备建立协议分析节点;
根据协议之间的调用关系,建立协议触发顺序规则;
针对发送的数据进行分析,确定数据需要经过的协议分析节点,并生成节点遍历表,当数据每经历一个协议分析节点时,对所述节点遍历表的对应节点标识进行签名;
根据所述协议触发顺序规则,对所述节点遍历表进行扫描分析,确定协议栈的第一安全性评价因子;
针对系统的正常运行特征,对所述协议分析名录中的每一协议建立协议正常应用规则;
根据所述协议正常应用规则,对所述节点遍历表进行扫描分析,并基于分析结果,确定每一协议的第二安全性评价因子;
基于所述协议栈的第一安全性评价因子,对每一协议的第二安全性评价因子的可信任度,并根据所述可信任度,对所述第二安全性评价因子进行修正,并根据修正后的第二安全性评价因子对相对应的协议的安全状态进行确定。
在本申请的一些实施例中,针对协议分析名录确定要监控的协议的所在的设备建立协议分析节点,包括:
根据所述协议分析名录,对要进行监控的协议、协议所在的设备和协议的功能进行确定;
根据协议所在的设备建立协议分析节点,并根据协议的功能,在所述协议分析节点建立协议监控模型,所述协议监控模型用于监控协议在执行功能时候的动作。
在本申请的一些实施例中,公开了一种建立协议触发顺序规则的方法,根据协议之间的调用关系,建立协议触发顺序规则,包括:
根据系统要执行的功能,确定出每一功能需要完成的所有子工作步骤;
针对所有的所述子工作步骤,确定所要应用的协议,并根据完成所述子工作步骤的完成特征,确定所要应用的协议以及协议调用顺序,生成第一协议调用逻辑,所述子工作步骤与所述第一协议调用逻辑相关联;
将所述协议分析名录确定的需要监控的协议和所有的第一协议调用逻辑进行比对分析,针对每一所述第一调用逻辑筛选出被包含的需要监控的协议,并将筛选出的需要监控的协议按照相对应的所述第一调用逻辑的调用顺序生成第二协议调用逻辑;
将所有的所述第二协议调用逻辑构建成协议触发顺序规则,且所述第二协议调用逻辑与相对应的第一协议调用逻辑关联的子工作步骤相关联。
在本申请的一些实施例中,公开了一种确定协议栈的第一安全性评价因子的方法,根据所述协议触发顺序规则,对所述节点遍历表进行扫描分析,确定协议栈的第一安全性评价因子,包括:
针对所述节点遍历表建立有协议栈异常次数阵列,所述协议栈异常次数阵列设定有若干首尾相接的异常次数区间;
根据所述协议触发顺序规则,对所述节点遍历表进行扫描分析,每出现一个不符合所述协议触发顺序规则的节点遍历表,则确定一次协议栈异常次数;
根据预设时间段内协议栈异常次数所属所述协议栈异常次数阵列中的异常次数区间,对所述第一安全性评价因子赋值。
在本申请的一些实施例中,,针对系统的正常运行特征,对所述协议分析名录中的每一协议建立协议正常应用规则,包括:
获取系统运行状态日志,并根据系统运行状态日志,确定系统正常运行过程中所包含的若干系统子运行状态特征;
针对所述系统子运行状态特征,将相同时间节点的不同的协议调用情况进行记录,并将所属于同一所述系统运行状态特征下的不同协议调用情况进行整合,生成协议正常调用状态组;
将所有所述协议正常调用状态组构建成所述协议正常应用规则。
在本申请的一些实施例中,公开了一种确定每一协议的第二安全性评价因子的方法,根据所述协议正常应用规则,对所述节点遍历表进行扫描分析,并基于分析结果,确定每一协议的第二安全性评价因子,包括:
针对协议的触发建立第一时间线,所述第一时间线上针对所述节点遍历表上的每一个协议分析节点均设定有第一标签,且将所属对应所述节点遍历表上的所有第一标签构建为第一标签组;
对所述第一标签之间的时间间隔进行判断,确定所述第一标签之间的时间间隔是否符合所述协议正常规则,若符合所述协议正常规则,则确定一次所述第一标签符合所述协议正常规则中的时间间隔考察要素;
对生成时间节点相邻的两个所述节点遍历表相对应的第一标签组进行扫描分析,确定两个所述第一标签组内相同的第一标签之间的时间间隔是否符合所述协议正常规则,若符合所述协议正常规则,则确定一次所述第一标签满足所述协议正常规则中的频率考察要素;
若一个所述第一标签同时满足所述时间间隔考察要素和频率考察要素,则确定所述第一标签符合所述协议正常应用规则;
若所述第一标签不符合满足所述协议正常应用规则,则确定一次单一协议异常;
在预设时间段内,根据所述单一协议异常的次数,对单一协议的第二安全性评价因子进行赋值。
在本申请的一些实施例中,公开了一种对每一协议的第二安全性评价因子的确定可信度的方法,基于所述协议栈的第一安全性评价因子,对每一协议的第二安全性评价因子的可信任度,包括:
设定有第一安全性因子对应值阵列,所述第一安全性因子对应值阵列包含有若干首尾相接第一安全性因子对应值区间,每一所述第一安全性因子对应值区间均对应有一可信任度;
根据所述第一安全性因子对应值所属的第一安全性因子对应值区间,确定所述第一安全性因子的可信任度。
在本申请的一些实施例中,对第二安全性评价因子的安全状态确定的方法进行了公开,根据修正后的第二安全性评价因子对相对应的协议的安全状态进行确定,包括:
根据修正后的第二安全性评价因子对相应的协议的安全状态值进行确定,确定所述安全状态值的表达式为:
其中,所述Y为安全状态值,为第n个协议的第二安全性评价因子的对应值,/>为协议栈连续i次符合所述协议触发顺序规则后得到的第一安全性评价因子的对应值,/>为第i次第一安全性评价因子的修正系数,t为安全表达参数。
在本申请的一些实施例中,还公开了一种基于协议状态的安全分析系统,包括:
协议分析名录录入模块,用于录入协议分析目录;
遍历表生成模块,用于根据数据需要经过的协议分析节点,并生成节点遍历表;
签名模块,用于根据数据经历的协议分析节点,对所述节点遍历表进行签名;
协议栈安全评价模块,内置有协议触发顺序规则,用于对所述节点遍历表进行扫描分析,确定出协议栈的第一安全性评价因子;
单体协议安全评价模块,内置有协议正常应用规则,用于对所述节点遍历表进行扫描分析,确定出每一协议的第二安全性评价因子;
安全状态确定模块,用于分析所述协议栈的第一安全性评价因子,并基于分析结果,确定第二安全性评价因子的可信任度,并根据所述可信任度,对所述第二安全性评价因子进行修正,并根据修正后的第二安全性评价因子对相对应的协议的安全状态进行确定。
所述签名模块设置于对应的协议分析节点的设备。
本申请公开了一种基于协议状态的安全分析方法及系统,建立节点遍历表,根据协议触发顺序规则对节点遍历表进行扫描分析,确定协议栈的第一安全性评价因子,并基于协议正常应用规则,确定每一协议的第二安全性评价因子,并基于第一安全性因子确定第二安全性因子的可信任度,并基于可信任度对第二安全性因子进行修正,根据修正后的第二安全性因子确定协议的安全状态,实现了对协议的状态进行分析,就可以准确的确定协议的安全性。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
图1为本申请实施例中一种基于协议状态的安全分析方法的方法步骤图。
具体实施方式
以下通过附图和实施例对本发明的技术方案作进一步说明。
以下将结合附图以及具体实施例,对本发明的技术方案进行清楚、完整的描述,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,不能理解为对本发明保护范围的限制,该领域的技术熟练人员可以根据下述本发明的内容做出一些非本质的改进和调整。在本发明中,除非另有明确的规定和限定,本申请使用的技术术语应当为本发明所述技术人员所理解的通常意义。术语“相连”“连接”“固定”“设置”等应做广义理解,可以是固定连接,也可以是可拆卸连接,或成一体;可以是直接相连,也可以通过中间媒介间接相连;可以是机械连接、也可以是电连接。除非另有明确的限定。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本发明中的具体含义。除非另有明确的规定和限定,第一特征在第二特征“上”或“下”可以是第一和第二特征直接接触,或第一和第二特征通过中间媒介间接接触。而且,第一特征在第二特征“之上”或者“上方”或者“上面”等可是第一特征在第二特征正上方或斜上方,或仅仅表示第一特征水平高度高于第二特征。第一特征在第二特征“之下”或“下方”或“下面”可以是第一特征在第二特征正下方或斜下方,或仅仅表示第一特征水平高度小于第二特征。诸如第一、第二等之类的关系术语仅仅用来将一个实体或者操作与另外一个实体或者操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
实施例:
本发明的目的是提供一种基于协议状态的安全分析方法,参阅图1,包括:
步骤1,建立协议分析名录,并针对协议分析名录确定要监控的协议的所在的设备建立协议分析节点。
需要理解的是,所述协议分析名录可以是工作人员基于系统运行所要调用的协议事先制定的,针对协议所在的设备的建立对协议动作进行监控的程序,比如协议对数据进行解析的动作,可以被监控的程序确定。
步骤2,根据协议之间的调用关系,建立协议触发顺序规则。
需要理解的是,协议应用过程中,存在着应用的先后顺序,比如五层网络结构,物理层、数据链路层、网络层、传输层和应用层,每一层均应用有对应的协议,并且,数据在传输过程中,对数据的解析用的协议也是分有顺序进行的,通过对使用协议顺序的鉴别,并对鉴别具有记录性,才会生成节点遍历表,实现避免有外来的恶意攻击从不所属源头的网络节点发送具有欺骗性质的数据,进而对系统进行攻击。
所述协议触发顺序规则可以是若干个顺序触发组组成,例如一个顺序触发组可以是{协议a=1,x协议b=2,协议c=3},其中协议a为第一位,协议b为第二位,协议c为第三位。
步骤3,针对发送的数据进行分析,确定数据需要经过的协议分析节点,并生成节点遍历表,当数据每经历一个协议分析节点时,对所述节点遍历表的对应节点标识进行签名。
需要理解的是,对所述节点遍历表的对应节点标识进行签名的是程序进行签名,针对签名的有效性和安全性,可以在协议所在的设备设置签名生成程序,并在系统设置签名解析程序。
步骤4,根据所述协议触发顺序规则,对所述节点遍历表进行扫描分析,确定协议栈的第一安全性评价因子。
需要了解的是,所述协议栈可以理解为,为了执行系统的一个功能,或者一个功能下的某个步骤所要应用到的所有协议的组合;所述第一安全性评价因子可以理解为对所述协议栈的一个安全性评价的变量,可以是具体的值。
步骤5,针对系统的正常运行特征,对所述协议分析名录中的每一协议建立协议正常应用规则。
需要理解的是,系统的正常运行特征,包括系统在不同的时间点的正常运行下的特征,在这一特征下,每一个协议均有对应的调用特征,比如,系统在运行繁忙的时间段7-8点,某一个功能的所占用的总性能资源的负载在特定区间,该功能的实现,需要调用的协议的应用频率也在特定的区间,超越这个区间,变可以确定该协议出现异常。
步骤6,根据所述协议正常应用规则,对所述节点遍历表进行扫描分析,并基于分析结果,确定每一协议的第二安全性评价因子。
步骤7,基于所述协议栈的第一安全性评价因子,对每一协议的第二安全性评价因子的可信任度,并根据所述可信任度,对所述第二安全性评价因子进行修正,并根据修正后的第二安全性评价因子对相对应的协议的安全状态进行确定。
需要理解的是,通过第一安全性评价因子确定整个协议栈的安全性,并基于这一安全性的评价,初步确定系统是否遭受到了攻击,并根据这一初步判断,实现对安全状态更加精准的判断。
在本申请的一些实施例中,针对协议分析名录确定要监控的协议的所在的设备建立协议分析节点,包括:
第一步,根据所述协议分析名录,对要进行监控的协议、协议所在的设备和协议的功能进行确定。
第二步,根据协议所在的设备建立协议分析节点,并根据协议的功能,在所述协议分析节点建立协议监控模型,所述协议监控模型用于监控协议在执行功能时候的动作。
在本申请的一些实施例中,公开了一种建立协议触发顺序规则的方法,根据协议之间的调用关系,建立协议触发顺序规则,包括:
第一步,根据系统要执行的功能,确定出每一功能需要完成的所有子工作步骤。
第二步,针对所有的所述子工作步骤,确定所要应用的协议,并根据完成所述子工作步骤的完成特征,确定所要应用的协议以及协议调用顺序,生成第一协议调用逻辑,所述子工作步骤与所述第一协议调用逻辑相关联。
第三步,将所述协议分析名录确定的需要监控的协议和所有的第一协议调用逻辑进行比对分析,针对每一所述第一调用逻辑筛选出被包含的需要监控的协议,并将筛选出的需要监控的协议按照相对应的所述第一调用逻辑的调用顺序生成第二协议调用逻辑。
第四步,将所有的所述第二协议调用逻辑构建成协议触发顺序规则,且所述第二协议调用逻辑与相对应的第一协议调用逻辑关联的子工作步骤相关联。
在本申请的一些实施例中,公开了一种确定协议栈的第一安全性评价因子的方法,根据所述协议触发顺序规则,对所述节点遍历表进行扫描分析,确定协议栈的第一安全性评价因子,包括:
第一步,针对所述节点遍历表建立有协议栈异常次数阵列,所述协议栈异常次数阵列设定有若干首尾相接的异常次数区间。
第二步,根据所述协议触发顺序规则,对所述节点遍历表进行扫描分析,每出现一个不符合所述协议触发顺序规则的节点遍历表,则确定一次协议栈异常次数。
第三步,根据预设时间段内协议栈异常次数所属所述协议栈异常次数阵列中的异常次数区间,对所述第一安全性评价因子赋值。
例如:所述协议栈异常次数阵列可以为{p1,p2,p3,…,pn},其中p1为第一预设协议栈异常次数,p2为第二预设协议栈异常次数,p3为第三预设协议栈异常次数,pn为第n预设协议栈异常次数。
设定有第一安全性评价因子赋值阵列{L1,L2,L3,…,Ln},所述L1为第一预设第一安全评价因子值,L2为第二第一安全评价因子值,L3为第三第一安全评价因子值,Ln为第n第一安全评价因子值。
确定预设时间段内协议栈异常次数p0。
若p0≤p1,则确定L1为第一安全评价因子的赋值。
若p1<p0≤p2,则确定L2为第一安全评价因子的赋值。
若p2<p0≤p3,则确定L3为第一安全评价因子的赋值。
若pn-1<p0≤pn,则确定Ln为第一安全评价因子的赋值。
在本申请的一些实施例中,,针对系统的正常运行特征,对所述协议分析名录中的每一协议建立协议正常应用规则,包括:
第一步,获取系统运行状态日志,并根据系统运行状态日志,确定系统正常运行过程中所包含的若干系统子运行状态特征。
第二步,针对所述系统子运行状态特征,将相同时间节点的不同的协议调用情况进行记录,并将所属于同一所述系统运行状态特征下的不同协议调用情况进行整合,生成协议正常调用状态组。
将所有所述协议正常调用状态组构建成所述协议正常应用规则。
在本申请的一些实施例中,公开了一种确定每一协议的第二安全性评价因子的方法,根据所述协议正常应用规则,对所述节点遍历表进行扫描分析,并基于分析结果,确定每一协议的第二安全性评价因子,包括:
第一步,针对协议的触发建立第一时间线,所述第一时间线上针对所述节点遍历表上的每一个协议分析节点均设定有第一标签,且将所属对应所述节点遍历表上的所有第一标签构建为第一标签组。
第二步,对所述第一标签之间的时间间隔进行判断,确定所述第一标签之间的时间间隔是否符合所述协议正常规则,若符合所述协议正常规则,则确定一次所述第一标签符合所述协议正常规则中的时间间隔考察要素。
第三步,对生成时间节点相邻的两个所述节点遍历表相对应的第一标签组进行扫描分析,确定两个所述第一标签组内相同的第一标签之间的时间间隔是否符合所述协议正常规则,若符合所述协议正常规则,则确定一次所述第一标签满足所述协议正常规则中的频率考察要素。
第四步,若一个所述第一标签同时满足所述时间间隔考察要素和频率考察要素,则确定所述第一标签符合所述协议正常应用规则。
第五步,若所述第一标签不符合满足所述协议正常应用规则,则确定一次单一协议异常。
第六步,在预设时间段内,根据所述单一协议异常的次数,对单一协议的第二安全性评价因子进行赋值。
在本申请的一些实施例中,公开了一种对每一协议的第二安全性评价因子的确定可信度的方法,基于所述协议栈的第一安全性评价因子,对每一协议的第二安全性评价因子的可信任度,包括:
第一步,设定有第一安全性因子对应值阵列,所述第一安全性因子对应值阵列包含有若干首尾相接第一安全性因子对应值区间,每一所述第一安全性因子对应值区间均对应有一可信任度。
第二步,根据所述第一安全性因子对应值所属的第一安全性因子对应值区间,确定所述第一安全性因子的可信任度。
在本申请的一些实施例中,对第二安全性评价因子的安全状态确定的方法进行了公开,根据修正后的第二安全性评价因子对相对应的协议的安全状态进行确定,包括:
根据修正后的第二安全性评价因子对相应的协议的安全状态值进行确定,确定所述安全状态值的表达式为:
其中,所述Y为安全状态值,为第n个协议的第二安全性评价因子的对应值,/>为协议栈连续i次符合所述协议触发顺序规则后得到的第一安全性评价因子的对应值,/>为第i次第一安全性评价因子的修正系数,t为安全表达参数。
需要理解的是,随着协议栈连续符合所述协议触发顺序规则的次数的增多,意味着系统在运行过程中,从协议栈整体上进行安全评测过程上,得到了越来越高的安全性认可,所以对第二安全性评价因子的对应值的修参方向应该也随之变高,为了实现工作人员对安全状态值的调整,介入安全表达参数,通过对安全表达参数的设定,实现得到最终得到的安全状态值为可控制的。
在本申请的一些实施例中,还公开了一种基于协议状态的安全分析系统,包括:协议分析名录录入模块、遍历表生成模块、签名模块、协议栈安全评价模块、单体协议安全评价模块和安全状态确定模块。
所述协议分析名录录入模块用于录入协议分析目录。
所述遍历表生成模块用于根据数据需要经过的协议分析节点,并生成节点遍历表。
所述签名模块用于根据数据经历的协议分析节点,对所述节点遍历表进行签名。
所述协议栈安全评价模块内置有协议触发顺序规则,用于对所述节点遍历表进行扫描分析,确定出协议栈的第一安全性评价因子。
所述单体协议安全评价模块内置有协议正常应用规则,用于对所述节点遍历表进行扫描分析,确定出每一协议的第二安全性评价因子。
所述安全状态确定模块用于分析所述协议栈的第一安全性评价因子,并基于分析结果,确定第二安全性评价因子的可信任度,并根据所述可信任度,对所述第二安全性评价因子进行修正,并根据修正后的第二安全性评价因子对相对应的协议的安全状态进行确定。
所述签名模块设置于对应的协议分析节点的设备。
本申请公开了一种基于协议状态的安全分析方法及系统,建立节点遍历表,根据协议触发顺序规则对节点遍历表进行扫描分析,确定协议栈的第一安全性评价因子,并基于协议正常应用规则,确定每一协议的第二安全性评价因子,并基于第一安全性因子确定第二安全性因子的可信任度,并基于可信任度对第二安全性因子进行修正,根据修正后的第二安全性因子确定协议的安全状态,实现了对协议的状态进行分析,就可以准确的确定协议的安全性。
最后应说明的是:以上实施例仅用以说明本发明的技术方案而非对其进行限制,尽管参照较佳实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对本发明的技术方案进行修改或者等同替换,而这些修改或者等同替换亦不能使修改后的技术方案脱离本发明技术方案的精神和范围。
Claims (10)
1.一种基于协议状态的安全分析方法,其特征在于,包括:
建立协议分析名录,并针对协议分析名录确定要监控的协议的所在的设备建立协议分析节点;
根据协议之间的调用关系,建立协议触发顺序规则;
针对发送的数据进行分析,确定数据需要经过的协议分析节点,并生成节点遍历表,当数据每经历一个协议分析节点时,对所述节点遍历表的对应节点标识进行签名;
根据所述协议触发顺序规则,对所述节点遍历表进行扫描分析,确定协议栈的第一安全性评价因子;
针对系统的正常运行特征,对所述协议分析名录中的每一协议建立协议正常应用规则;
根据所述协议正常应用规则,对所述节点遍历表进行扫描分析,并基于分析结果,确定每一协议的第二安全性评价因子;
基于所述协议栈的第一安全性评价因子,对每一协议的第二安全性评价因子的可信任度,并根据所述可信任度,对所述第二安全性评价因子进行修正,并根据修正后的第二安全性评价因子对相对应的协议的安全状态进行确定。
2.根据权利要求1所述的一种基于协议状态的安全分析方法,其特征在于,针对协议分析名录确定要监控的协议的所在的设备建立协议分析节点,包括:
根据所述协议分析名录,对要进行监控的协议、协议所在的设备和协议的功能进行确定;
根据协议所在的设备建立协议分析节点,并根据协议的功能,在所述协议分析节点建立协议监控模型,所述协议监控模型用于监控协议在执行功能时候的动作。
3.根据权利要求1所述的一种基于协议状态的安全分析方法,其特征在于,根据协议之间的调用关系,建立协议触发顺序规则,包括:
根据系统要执行的功能,确定出每一功能需要完成的所有子工作步骤;
针对所有的所述子工作步骤,确定所要应用的协议,并根据完成所述子工作步骤的完成特征,确定所要应用的协议以及协议调用顺序,生成第一协议调用逻辑,所述子工作步骤与所述第一协议调用逻辑相关联;
将所述协议分析名录确定的需要监控的协议和所有的第一协议调用逻辑进行比对分析,针对每一所述第一调用逻辑筛选出被包含的需要监控的协议,并将筛选出的需要监控的协议按照相对应的所述第一调用逻辑的调用顺序生成第二协议调用逻辑;
将所有的所述第二协议调用逻辑构建成协议触发顺序规则,且所述第二协议调用逻辑与相对应的第一协议调用逻辑关联的子工作步骤相关联。
4.根据权利要求1所述的一种基于协议状态的安全分析方法,其特征在于,根据所述协议触发顺序规则,对所述节点遍历表进行扫描分析,确定协议栈的第一安全性评价因子,包括:
针对所述节点遍历表建立有协议栈异常次数阵列,所述协议栈异常次数阵列设定有若干首尾相接的异常次数区间;
根据所述协议触发顺序规则,对所述节点遍历表进行扫描分析,每出现一个不符合所述协议触发顺序规则的节点遍历表,则确定一次协议栈异常次数;
根据预设时间段内协议栈异常次数所属所述协议栈异常次数阵列中的异常次数区间,对所述第一安全性评价因子赋值。
5.根据权利要求1所述的一种基于协议状态的安全分析方法,其特征在于,针对系统的正常运行特征,对所述协议分析名录中的每一协议建立协议正常应用规则,包括:
获取系统运行状态日志,并根据系统运行状态日志,确定系统正常运行过程中所包含的若干系统子运行状态特征;
针对所述系统子运行状态特征,将相同时间节点的不同的协议调用情况进行记录,并将所属于同一所述系统运行状态特征下的不同协议调用情况进行整合,生成协议正常调用状态组;
将所有所述协议正常调用状态组构建成所述协议正常应用规则。
6.根据权利要求5所述的一种基于协议状态的安全分析方法,其特征在于,根据所述协议正常应用规则,对所述节点遍历表进行扫描分析,并基于分析结果,确定每一协议的第二安全性评价因子,包括:
针对协议的触发建立第一时间线,所述第一时间线上针对所述节点遍历表上的每一个协议分析节点均设定有第一标签,且将所属对应所述节点遍历表上的所有第一标签构建为第一标签组;
对所述第一标签之间的时间间隔进行判断,确定所述第一标签之间的时间间隔是否符合所述协议正常规则,若符合所述协议正常规则,则确定一次所述第一标签符合所述协议正常规则中的时间间隔考察要素;
对生成时间节点相邻的两个所述节点遍历表相对应的第一标签组进行扫描分析,确定两个所述第一标签组内相同的第一标签之间的时间间隔是否符合所述协议正常规则,若符合所述协议正常规则,则确定一次所述第一标签满足所述协议正常规则中的频率考察要素;
若一个所述第一标签同时满足所述时间间隔考察要素和频率考察要素,则确定所述第一标签符合所述协议正常应用规则;
若所述第一标签不符合满足所述协议正常应用规则,则确定一次单一协议异常;
在预设时间段内,根据所述单一协议异常的次数,对单一协议的第二安全性评价因子进行赋值。
7.根据权利要求1所述的一种基于协议状态的安全分析方法,其特征在于,基于所述协议栈的第一安全性评价因子,对每一协议的第二安全性评价因子的可信任度,包括:
设定有第一安全性因子对应值阵列,所述第一安全性因子对应值阵列包含有若干首尾相接第一安全性因子对应值区间,每一所述第一安全性因子对应值区间均对应有一可信任度;
根据所述第一安全性因子对应值所属的第一安全性因子对应值区间,确定所述第一安全性因子的可信任度。
8.根据权利要求1所述的一种基于协议状态的安全分析方法,其特征在于,根据修正后的第二安全性评价因子对相对应的协议的安全状态进行确定,包括:
根据修正后的第二安全性评价因子对相应的协议的安全状态值进行确定,确定所述安全状态值的表达式为:
;
其中,所述Y为安全状态值,为第n个协议的第二安全性评价因子的对应值,/>为协议栈连续i次符合所述协议触发顺序规则后得到的第一安全性评价因子的对应值,/>为第i次第一安全性评价因子的修正系数,t为安全表达参数。
9.一种基于协议状态的安全分析系统,其特征在于,包括:
协议分析名录录入模块,用于录入协议分析目录;
遍历表生成模块,用于根据数据需要经过的协议分析节点,并生成节点遍历表;
签名模块,用于根据数据经历的协议分析节点,对所述节点遍历表进行签名;
协议栈安全评价模块,内置有协议触发顺序规则,用于对所述节点遍历表进行扫描分析,确定出协议栈的第一安全性评价因子;
单体协议安全评价模块,内置有协议正常应用规则,用于对所述节点遍历表进行扫描分析,确定出每一协议的第二安全性评价因子;
安全状态确定模块,用于分析所述协议栈的第一安全性评价因子,并基于分析结果,确定第二安全性评价因子的可信任度,并根据所述可信任度,对所述第二安全性评价因子进行修正,并根据修正后的第二安全性评价因子对相对应的协议的安全状态进行确定。
10.根据权利要求9所述的一种基于协议状态的安全分析系统,其特征在于,所述签名模块设置于对应的协议分析节点的设备。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310982685.3A CN117134950A (zh) | 2023-08-04 | 2023-08-04 | 一种基于协议状态的安全分析方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310982685.3A CN117134950A (zh) | 2023-08-04 | 2023-08-04 | 一种基于协议状态的安全分析方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117134950A true CN117134950A (zh) | 2023-11-28 |
Family
ID=88851898
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310982685.3A Pending CN117134950A (zh) | 2023-08-04 | 2023-08-04 | 一种基于协议状态的安全分析方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117134950A (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106209843A (zh) * | 2016-07-12 | 2016-12-07 | 工业和信息化部电子工业标准化研究院 | 一种面向Modbus协议的数据流异常分析方法 |
CN107026835A (zh) * | 2015-11-03 | 2017-08-08 | 丛林网络公司 | 具有规则优化的集成安全系统 |
CN111669375A (zh) * | 2020-05-26 | 2020-09-15 | 武汉大学 | 一种电力工控终端在线安全态势评估方法及系统 |
US20220303300A1 (en) * | 2021-03-18 | 2022-09-22 | International Business Machines Corporation | Computationally assessing and remediating security threats |
-
2023
- 2023-08-04 CN CN202310982685.3A patent/CN117134950A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107026835A (zh) * | 2015-11-03 | 2017-08-08 | 丛林网络公司 | 具有规则优化的集成安全系统 |
CN106209843A (zh) * | 2016-07-12 | 2016-12-07 | 工业和信息化部电子工业标准化研究院 | 一种面向Modbus协议的数据流异常分析方法 |
CN111669375A (zh) * | 2020-05-26 | 2020-09-15 | 武汉大学 | 一种电力工控终端在线安全态势评估方法及系统 |
US20220303300A1 (en) * | 2021-03-18 | 2022-09-22 | International Business Machines Corporation | Computationally assessing and remediating security threats |
Non-Patent Citations (1)
Title |
---|
赵桐: "基于多源日志的网络威胁态势评估关键技术研究", 信息科技辑, 15 November 2018 (2018-11-15) * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11799898B2 (en) | Method for sharing cybersecurity threat analysis and defensive measures amongst a community | |
US11044264B2 (en) | Graph-based detection of lateral movement | |
US11637853B2 (en) | Operational network risk mitigation system and method | |
CN102082659B (zh) | 一种面向网络安全评估的漏洞扫描系统及其处理方法 | |
US7594270B2 (en) | Threat scoring system and method for intrusion detection security networks | |
US7574740B1 (en) | Method and system for intrusion detection in a computer network | |
US9191398B2 (en) | Method and system for alert classification in a computer network | |
US9009824B1 (en) | Methods and apparatus for detecting phishing attacks | |
Bryant et al. | Improving SIEM alert metadata aggregation with a novel kill-chain based classification model | |
Julisch | Using root cause analysis to handle intrusion detection alarms | |
CN111428248A (zh) | 一种基于等级赋分的漏洞降噪识别方法及系统 | |
US20180063170A1 (en) | Network security scoring | |
CN110602135B (zh) | 网络攻击处理方法、装置以及电子设备 | |
CN112560046B (zh) | 一种业务数据安全指数的评估方法及装置 | |
CN114268452A (zh) | 一种网络安全防护方法及系统 | |
US10333974B2 (en) | Automated processing of suspicious emails submitted for review | |
CN105262777A (zh) | 一种基于局域网的安全检测方法和装置 | |
CN117134950A (zh) | 一种基于协议状态的安全分析方法及系统 | |
CN113591092B (zh) | 一种基于漏洞组合的攻击链构建方法 | |
Pham et al. | Security assurance aggregation for it infrastructures | |
Munir et al. | A quantitative measure of the security risk level of enterprise networks | |
CN109688159B (zh) | 网络隔离违规识别方法、服务器及计算机可读存储介质 | |
EP3968593A1 (en) | Method of automated validation of netblocks of a company | |
Zhai et al. | Network intrusion early warning model based on DS evidence theory | |
CN111935121B (zh) | 一种漏洞上报方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |