CN117216758A - 应用安全检测系统及方法 - Google Patents
应用安全检测系统及方法 Download PDFInfo
- Publication number
- CN117216758A CN117216758A CN202311473932.3A CN202311473932A CN117216758A CN 117216758 A CN117216758 A CN 117216758A CN 202311473932 A CN202311473932 A CN 202311473932A CN 117216758 A CN117216758 A CN 117216758A
- Authority
- CN
- China
- Prior art keywords
- application
- security
- detected
- center
- protection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 95
- 238000000034 method Methods 0.000 title claims abstract description 36
- 238000011156 evaluation Methods 0.000 abstract description 8
- 238000010586 diagram Methods 0.000 description 7
- 238000013459 approach Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 3
- 238000004590 computer program Methods 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 230000010354 integration Effects 0.000 description 2
- 230000000737 periodic effect Effects 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008094 contradictory effect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000000586 desensitisation Methods 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 230000002787 reinforcement Effects 0.000 description 1
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了一种应用安全检测系统及方法。通过应用本申请的技术方案,可以在安全中心检测到与其关联的业务系统中初始部署有待检测应用时,可以自动识别待检测应用的防护要素,以使后续基于该应用的防护要素针对性的对其进行安全性评估,从而自动制定出专属于该待检测应用的防护策略。从而一方面实现了一种无需业务用户必须在业务系统部署应用一段时间后,再周期性的对其的使用状态进行安全风险检测的技术方案。另一方面也可以由安全中心同步的对多地区以及多业务系统中部署的各个应用自动进行防护的目的。
Description
技术领域
本申请中涉及数据处理技术,尤其是一种应用安全检测系统及方法。
背景技术
随着算力时代来临,各个企业平台部署的业务系统也将面临新的安全挑战,例如包括其上的应用节点遭受的攻击风险正在逐渐加大,不可信应用节点接入所带来网络攻击、数据窃取、算力窃取等风险等等。
相关技术中,业务系统对其部署的各个应用节点往往采用人工定期检查的方式来进行安全检测。然而这种处理方式的效率不高,从而容易导致业务系统存在安全隐患。
发明内容
本申请实施例提供一种应用安全检测系统及方法。从而解决相关技术中出现的业务系统中的应用节点容易存在安全隐患的问题。
其中,根据本申请实施例的一个方面,提供的一种应用安全检测系统,其特征在于,包括算力中心与安全中心,包括:
所述安全中心,用于在接收到待检测应用的应用参数时,从应用模板数据库中选取与所述应用参数相匹配的应用模板;基于所述应用模板为所述待检测应用制定对应的防护策略,并向所述算力中心发送用于执行所述防护策略的资源获取请求,其中所述应用参数用于反映所述待检测应用的防护需求;
所述算力中心,用于在接收到所述安全中心发送的资源获取请求时,调取能够执行所述防护策略的算力资源并发送给所述安全中心;
所述安全中心,用于按照所述防护策略,利用所述算力资源对所述待检测应用进行安全检测。
其中,根据本申请实施例的一个方面,提供的一种应用安全检测方法,应用于与算力中心相关联的安全中心,包括:
获取用于反映待检测应用的防护需求的应用参数,从应用模板库中选取与所述应用参数相匹配的应用模板,并基于所述应用模板为所述待检测应用制定对应的防护策略;
向所述算力中心发送用于执行所述防护策略的资源获取请求,并接收所述算力中心返回的算力资源,其中所述算力资源为能够执行所述防护策略的算力资源;
按照所述防护策略,利用所述算力资源对所述待检测应用进行安全检测。
根据本申请实施例的又一个方面,提供的一种电子设备,包括:
存储器,用于存储可执行指令;以及
显示器,用于与所述存储器执行所述可执行指令从而完成上述任一所述应用安全检测方法的操作。
根据本申请实施例的还一个方面,提供的一种计算机可读存储介质,用于存储计算机可读取的指令,所述指令被执行时执行上述任一所述应用安全检测方法的操作。
本申请中,获取用于反映待检测应用的防护需求的应用参数,从应用模板库中选取与应用参数相匹配的应用模板,并基于应用模板为待检测应用制定对应的防护策略;向算力中心发送用于执行防护策略的资源获取请求,并接收算力中心返回的算力资源,其中算力资源为能够执行防护策略的算力资源;按照防护策略,利用算力资源对待检测应用进行安全检测。
通过应用本申请的技术方案,可以在安全中心检测到与其关联的业务系统中初始部署有待检测应用时,可以自动识别待检测应用的防护要素,以使后续基于该应用的防护要素针对性的对其进行安全性评估,从而自动制定出专属于该待检测应用的防护策略。从而一方面实现了一种无需业务用户必须在业务系统部署应用一段时间后,再周期性的对其的使用状态进行安全风险检测的技术方案。另一方面也可以由安全中心同步的对多地区以及多业务系统中部署的各个应用自动进行防护的目的。
下面通过附图和实施例,对本申请的技术方案做进一步的详细描述。
附图说明
构成说明书的一部分的附图描述了本申请的实施例,并且连同描述一起用于解释本申请的原理。
参照附图,根据下面的详细描述,可以更加清楚地理解本申请,其中:
图1为本申请提出的一种安全检测系统的示意图;
图2为本申请提出的一种应用安全检测方法的示意图;
图3为本申请提出的一种应用安全检测方法的整体流程示意图;
图4为本申请提出的电子装置的结构示意图;
图5为本申请提出的电子设备的结构示意图。
具体实施方式
现在将参照附图来详细描述本申请的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本申请的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,不作为对本申请及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为说明书的一部分。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
另外,本申请各个实施例之间的技术方案可以相互结合,但是必须是以本领域普通技术人员能够实现为基础,当技术方案的结合出现相互矛盾或无法实现时应当认为这种技术方案的结合不存在,也不在本申请要求的保护范围之内。
需要说明的是,本申请实施例中所有方向性指示(诸如上、下、左、右、前、后……)仅用于解释在某一特定姿态(如附图所示)下各部件之间的相对位置关系、运动情况等,如果该特定姿态发生改变时,则该方向性指示也相应地随之改变。
下面结合图1-图3来描述根据本申请示例性实施方式的用于进行应用安全检测方法。需要注意的是,下述应用场景仅是为了便于理解本申请的精神和原理而示出,本申请的实施方式在此方面不受任何限制。相反,本申请的实施方式可以应用于适用的任何场景。
本申请还提出一种应用安全检测系统及方法。
相关技术中,应用的发展驱动算力需求持续增长,全球算力进入快速发展期,算力产业蓬勃发展。
随着算力时代来临,包括业务系统在内的算力网络也将面临新的安全挑战:例如泛在计算节点增加了攻击可能性;不可信节点接入带来网络攻击、数据窃取、算力窃取等风险;计算节点无序管理也可能算力的滥用及无序使用;用户数据在节点间流转存在数据泄露、计算结果不可信等风险。
也就是说,包括业务系统在内的算力背景下,需要从应用的单点防护到一体化的安全可信。也即需要提供动态可扩展、按需提供的原生、内生一体化安全能力,同时提供提升安全风险自动发现、自动防御的能力,构建端到端的安全保障,一体化安全全程可信的安全防护体系。
可以理解的,安全能力不再仅提供资源或者服务的订购,而是以满足应用安全作为输入任务,以应用防护为核心目标,实时动态构建一体化的内生、原生化安全中心。从而实现以安全能力原生集成融合,数据汇总打通,对外提供融合的一体化安全防护的目的。
然而相关技术中,业务系统对其部署的各个应用节点往往采用人工定期检查的方式来进行安全检测。可以理解的,这种处理方式的效率不高,从而容易导致业务系统存在安全隐患。
基于相关技术中的问题,本申请提出一种应用安全检测系统的架构示意图。如图1所示,该系统包括算力中心与安全中心,其中:
安全中心,用于在接收到待检测应用的应用参数时,从应用模板数据库中选取与应用参数相匹配的应用模板;基于应用模板为待检测应用制定对应的防护策略,并向算力中心发送用于执行防护策略的资源获取请求,其中应用参数用于反映待检测应用的防护需求;
算力中心,用于在接收到安全中心发送的资源获取请求时,调取能够执行防护策略的算力资源并发送给安全中心;
安全中心,用于按照防护策略,利用算力资源对待检测应用进行安全检测。
一种方式中,本申请实施例中的安全中心可以关联有一个或多个业务系统,且每个业务系统中需要至少部署有一个应用程序以用于处理业务系统中的各类业务。
作为示例的,本申请实施例中的应用模板数据库可以为一个统一的模板数据库,也可以单独为某一个或多个业务系统配置有相关联的模板数据库。
一种方式中,待检测应用的应用参数用于反映其防护需求。作为示例的,例如包括:待检测应用的应用类型、待检测应用的开源组件、待检测应用的应用安全需求与应用运行区域等等。
另一种方式中,本申请中的算力中心用于为安全中心提供相应的算力资源。其中,这些算力资源是指符合安全要求的算力单元。例如包括安全算力单元(SPU),即能够承担安全组件构建的算力单元。作为示例的,这些算力单元需要符合一定的安全性要求,或者由安全中心统一给予一定的基础安全检测能力。
可以理解的,在本申请提出的应用安全检测系统中,可以由安全中心在检测到业务系统中部署有待检测应用时,获取用于反映待检测应用的防护需求的应用参数;从与业务系统相关联的预设的应用模板数据库中选取与应用参数相匹配的应用模板,并基于应用模板为待检测应用制定对应的防护策略;以及,从算力中心中调取能够执行防护策略的算力资源;按照防护策略,利用算力资源对待检测应用进行安全检测。
其中,根据本申请实施例的一个方面,安全中心包括:
安全中心,用于在检测到目标业务系统中部署有待检测应用时,向待检测应用发送用于获取应用参数的参数获取请求,并基于参数获取请求接收应用参数;或,
安全中心,用于接收待检测应用发送的应用参数。
其中,根据本申请实施例的一个方面,安全中心包括:
安全中心,用于基于应用参数中包括的应用类型参数,从应用模板数据库中选取与应用类型参数相匹配的应用模板;
安全中心,还用于基于应用参数中包括的运行参数,利用应用模板为待检测应用制定对应的防护策略。
其中,根据本申请实施例的一个方面,安全中心包括:
安全中心,用于将运行参数中指向的应用开源组件创建为安全组件,其中安全组件为部署在安全中心中,用于执行防护策略的组件;以及,
安全中心,还用于基于运行参数中包括的应用安全需求与应用运行区域,利用应用模板为待检测应用制定对应的检测方式,其中检测方式用于表征应用模板配置的安全组件的预设数量、预设防护路径以及预设防护周期;
安全中心,还用于将由预设数量的安全组件,以检测方式对待检测应用执行安全检测的策略作为防护策略。
其中,根据本申请实施例的一个方面,算力中心包括:
算力中心,用于获取防护策略中包括的,安全组件对应的预设数量,并调取能够支持创建预设数量的安全组件的第一子算力资源;以及,调取能够支持安全组件执行防护策略的第二子算力资源;
算力中心,还用于将第一子算力资源与第二子算力资源作为算力资源,并将算力资源发送给安全中心
其中,根据本申请实施例的一个方面,安全中心包括:
安全中心,用于在对待检测应用执行安全检测的时间达到预设时长后,获取待检测应用的稳定性指标;
安全中心,还用于在检测到稳定性指标满足更换条件时,从应用模板数据库中选取与稳定性指标相匹配的其它应用模板;
安全中心,还用于基于其它应用模板所制定的其它防护策略,对待检测应用进行安全检测。
其中,根据本申请实施例的一个方面,安全中心包括:
安全中心,用于获取稳定性指标所反映的,待检测应用在预设时间段内受到的攻击频率;
安全中心,还用于若检测到攻击频率超过预设频率值,确定稳定性指标满足更换条件。
一种方式中,如图1所示,为本申请提出的一种实施应用安全检测方法的安全检测系统。其中包括一个或多个待检测应用、安全中心、算力中心以及一个或多个安全组件。其中安全检测系统的执行方案如下:
1)、安全中心获取待检测应用发送的,包含应用类型参数以及运行参数的应用参数。
2)、应用安全中心基于待检测应用的类型,在模板数据库中寻找相匹配的应用模板。
3)、基于安全模板,为待检测应用制定对应的防护策略。并调度应用安全中心的安全算力管控模块,向算力中心发送资源获取请求。
4)、算力中心基于资源获取请求,从其关联的所有算力资源中查找并调取合适的算力资源。
5)、算力中心给应用安全中心返回能够执行该防护策略的算力资源。
6)、应用安全中心利用算力资源中的第一子算力资源,创建对应数量与对应类型的安全组件。
7)、应用安全中心向生成的安全组件下发用于对待检测应用进行安全检测的检测路径以及检测方式。
8)、安全组件利用算力资源中的第二子算力资源,按照该检测路径以及检测方式对待检测应用进行安全检测。
通过应用本申请的技术方案,可以在安全中心检测到与其关联的业务系统中初始部署有待检测应用时,可以自动识别待检测应用的防护要素,以使后续基于该应用的防护要素针对性的对其进行安全性评估,从而自动制定出专属于该待检测应用的防护策略。从而一方面实现了一种无需业务用户必须在业务系统部署应用一段时间后,再周期性的对其的使用状态进行安全风险检测的技术方案。另一方面也可以由安全中心同步的对多地区以及多业务系统中部署的各个应用自动进行防护的目的。
基于相关技术中的问题,本申请提出一种应用安全检测方法的流程示意图。如图2所示,该方法应用于与算力中心相关联的安全中心,包括:
S101,获取用于反映待检测应用的防护需求的应用参数,从应用模板库中选取与应用参数相匹配的应用模板,并基于应用模板为待检测应用制定对应的防护策略。
一种方式中,本申请实施例中的安全中心可以关联有一个或多个业务系统,且每个业务系统中需要至少部署有一个应用程序以用于处理业务系统中的各类业务。
一种方式中,本申请实施例中的应用模板数据库可以为一个统一的模板数据库,也可以单独为某一个或多个业务系统配置有相关联的模板数据库。
作为示例的,例如待检测应用部署在目标业务系统时,本申请实施例可以从统一的模板数据库选取与该应用参数相匹配的应用模板,也可以从与该目标业务系统相关的模板数据库中,选取与该应用参数相匹配的应用模板。
一种方式中,待检测应用的应用参数用于反映其防护需求。作为示例的,例如包括:待检测应用的应用类型、待检测应用的开源组件、待检测应用的应用安全需求与应用运行区域等等。
其中,待检测应用的应用类型包括行业、类别、同类型应用等。待检测应用的应用安全需求包括对应的防泄漏等级、分类分级、脱敏等级等。
一种方式中,待检测应用可以在确定自身部署在业务系统之后,主动或被动的向安全中心发送用于反映自身防护需求的应用参数(例如自身主动向安全中心发送应用参数,或在接收到业务系统或安全中心的数据获取请求后,向安全中心发送应用参数)。
S102,向算力中心发送用于执行防护策略的资源获取请求,并接收算力中心返回的算力资源,其中算力资源为能够执行防护策略的算力资源。
一种方式中,本申请实施例需要由安全中心执行多个步骤以实现对待检测应用的安全检测。作为示例的,例如包括对待检测应用的应用安全评估、应用安全模板选取、安全组件的创建以及安全算力资源的调取。
第一方面,对于应用安全评估来说:
安全中心可以首先获取应用参数中包括的应用类型参数,以使后续从应用模板数据库中存储的多个应用模板中,寻找与其最为贴近的应用模板。
第二方面,对于安全模板选取来说:
作为示例的,应用模板可以包括以下主要元素:
防护待检测应用所需的安全组件(其中包括安全组件数量以及安全组件类型)、防护待检测应用所需的数据合规库、数据特征库、数据情报库以及安全组件的防护编排路径等等。
第三方面,对于安全组件的创建来说:
其中,对于安全组件SU来说,其是一种部署在安全中心中的,用于执行防护策略的组件。换言之,安全中心需要后续由对应数量的安全组件来实现对待检测应用的安全检测。
进一步的,安全组件SU是一种动态形成的安全功能组件,也即为具有一定安全功能的功能单元。作为示例的,安全组件例如可以为IPS功能安全组件、防病毒功能安全组件等。
一种方式中,安全组件SU可以由一个或多个安全算力单元SPU构成。
第四方面,对于安全算力资源的调取来说:
一种方式中,本申请实施例可以由安全中心预先对全中心的所有算力资源进行安全评估,或者对合适的算力资源进行安全加固,从而形成一个算力中心。以使后续基于各个待检测应用的资源需求,和算力中心协同以达到调度合适的安全算力单元(即能够执行防护策略的算力资源),来作为安全组件的算力资源的目的。
一种方式中,算力资源可以包括一个多个安全算力单元(SPU),其中SPU为能够承担安全组件构建的算力单元。可以理解的,该算力单元需要符合一定的安全性要求,或者由安全中心统一给予一定的基础安全能力。
S103,按照防护策略,利用算力资源对待检测应用进行安全检测。
一种方式中,本申请实施例可以基于防护策略所反映的安全组件的数量、防护路径以及防护周期等防护方式,利用能够执行该防护策略的算力资源来实时的对待检测应用进行安全检测。
通过应用本申请的技术方案,可以在安全中心检测到与其关联的业务系统中初始部署有待检测应用时,可以自动识别待检测应用的防护要素,以使后续基于该应用的防护要素针对性的对其进行安全性评估,从而自动制定出专属于该待检测应用的防护策略。从而一方面实现了一种无需业务用户必须在业务系统部署应用一段时间后,再周期性的对其的使用状态进行安全风险检测的技术方案。另一方面也可以由安全中心同步的对多地区以及多业务系统中部署的各个应用自动进行防护的目的。
可选地,在基于本申请上述方法的另一个实施例中,从应用模板库中选取与应用参数相匹配的应用模板,并基于应用模板为待检测应用制定对应的防护策略,包括:
基于应用参数中包括的应用类型参数,从应用模板数据库中选取与应用类型参数相匹配的应用模板;
基于应用参数中包括的运行参数,利用应用模板为待检测应用制定对应的防护策略。
一种方式中,待检测应用可以在确定自身部署在业务系统之后,主动或被动的向安全中心发送用于反映自身防护需求的应用参数(例如自身主动向安全中心发送应用参数,或在接收到业务系统或安全中心的数据获取请求后,向安全中心发送应用参数)。
另一种方式中,安全中心可以基于该应用参数,从应用模板数据库中存储的多个应用模板中,寻找与其最为贴近的应用模板。以使后续基于该安全模板,生成该待检测应用专属的安全防护策略,并获取可执行该安全防护策略的算力资源。
可选地,在基于本申请上述方法的另一个实施例中,基于应用参数中包括的运行参数,利用应用模板为待检测应用制定对应的防护策略,包括:
将运行参数中指向的应用开源组件创建为安全组件,其中安全组件为部署在安全中心中,用于执行防护策略的组件;以及,
基于运行参数中包括的应用安全需求与应用运行区域,利用应用模板为待检测应用制定对应的检测方式,其中检测方式用于表征应用模板配置的安全组件的预设数量、预设防护路径以及预设防护周期;
将由预设数量的安全组件,以检测方式对待检测应用执行安全检测的策略作为防护策略。
可选地,在基于本申请上述方法的另一个实施例中,算力资源包括第一子算力资源与第二子算力资源;其中,第一子算力资源用于创建执行防护策略所需要的安全组件,第二子算力资源用于支持安全组件执行防护策略。
一种方式中,第一子算力资源能够支持创建预设数量的安全组件,其中预设数量由防护策略而确定。
作为示例的,预设数量的数值可以由应用类型、应用行业等参数而确定。例如当应用类型为支付类型等高风险类型时,则可以选取较多个安全组件对其进行安全检测。又或当应用行业为敏感行业时,则同样可以选取较多个安全组件对其进行安全检测。
可选地,在基于本申请上述方法的另一个实施例中,按照防护策略,利用算力资源对待检测应用进行安全检测,包括:
在对待检测应用执行所述安全检测的时间达到预设时长后,获取待检测应用的稳定性指标;
在检测到稳定性指标满足更换条件时,从应用模板数据库中选取与稳定性指标相匹配的其它应用模板;
基于其它应用模板所制定的其它防护策略,对待检测应用进行安全检测。
可选地,在基于本申请上述方法的另一个实施例中,检测到所述稳定性指标满足更换条件,包括:
获取稳定性指标所包括的,待检测应用在预设时间段内受到的攻击事件;若检测到攻击事件的数量大于预设数值,确定稳定性指标满足更换条件。
一种方式中,本申请实施例还可以由安全中心定期评估待检测应用在该安全检测下的应用运行状态,并给出对应的稳定性指标。以使后续由安全中心基于该稳定性指标,确定是否更新该应用的安全模板,并基于调整的安全模板,动态更新应用的安全防护路径、防护策略等。
作为示例的,本申请实施例可以根据待检测应用在预设时间段内受到的攻击事件的数量(即检测攻击频率是否大于预设频率值)来确定是否需要更换其它的安全目标。可以理解的,如果攻击事件的数量过多,则代表该防护策略对待检测应用的检测力度不够或检测方式不匹配。因此,本申请实施例可以自动调整其它的防护模板,以达到实时更改防护要素的目的。
由上可以看出,本申请实施例可以由安全中心自动识别待检测应用的安全防护要素,并据此创建对应的应用安全方式策略。其中具体包括对应用进行评估,自动给出业务安全防护模板,包括需要的安全组件、安全组件间的防护路径等。
同时,本申请实施例中的安全中心也可以在后续动态的评估应用的安全状态,并根据评估结果,自动调整防护模板,实时更改防护要素。使得安全能力不再是现在提供资源或者具体安全服务的订购和防护方式,而是只需要用户将应用的安全需求告诉系统,安全系统自动分解需求为任务,自动创建一体化的原生、内生安全能力,从而真正达到以应用为任务,自动化调度、防护的目的,为实现真正意义上的算网安全奠定了基础。
另外一种方式中,如图3所示,为本申请实施例提出的应用安全检测方法的流程示意图,其中包括:
步骤1、检测到业务系统中部署有待检测应用时,获取用于反映待检测应用的防护需求的应用参数。
其中,应用参数包括待检测应用的应用类型参数、应用开源组件、应用安全需求与应用运行区域等等。
一种方式中,待检测应用可以在确定自身部署在业务系统之后,由自身主动向安全中心发送应用参数,或在接收到业务系统或安全中心的数据获取请求后,再向安全中心发送应用参数。
步骤2、基于应用参数中包括的应用类型参数,从应用模板数据库中选取与应用类型参数相匹配的应用模板。之后执行步骤3a与步骤3b。
步骤3a、将运行参数中指向的应用开源组件创建为安全组件。之后执行步骤4。
其中,安全组件为部署在安全中心中,用于执行防护策略的组件。
步骤3b、基于运行参数中包括的应用安全需求与应用运行区域,利用应用模板为待检测应用制定对应的检测方式。
其中,检测方式用于表征应用模板配置的安全组件的预设数量、预设防护路径以及预设防护周期。
步骤4、将由预设数量的安全组件,以检测方式对待检测应用执行安全检测的策略作为防护策略。
步骤5、接收算力中心返回的从算力中心中调取第一子算力资源与第二子算力资源。
其中,第一子算力资源用于创建防护策略所反映的安全组件,第二子算力资源用于支持安全组件执行防护策略。
步骤6、利用第一子算力资源创建预设数量的安全组件,以及利用第二子算力资源驱动预设数量的安全组件执行防护策略。
步骤7、在对待检测应用执行安全检测的时间达到预设时长后,获取待检测应用的稳定性指标在确定对待检测应用进行安全检测的预设时长后,周期性的获取待检测应用的稳定性指标。
步骤8、若检测到待检测应用在预设时间段内受到的攻击频率大于预设频率值,确定稳定性指标满足更换条件。
步骤9、从应用模板数据库中,选取与应用参数与稳定性指标相匹配的其它应用模板,并基于其它应用模板所制定的其它防护策略对待检测应用进行安全检测。
通过应用本申请的技术方案,可以在安全中心检测到与其关联的业务系统中初始部署有待检测应用时,可以自动识别待检测应用的防护要素,以使后续基于该应用的防护要素针对性的对其进行安全性评估,从而自动制定出专属于该待检测应用的防护策略。从而一方面实现了一种无需业务用户必须在业务系统部署应用一段时间后,再周期性的对其的使用状态进行安全风险检测的技术方案。另一方面也可以由安全中心同步的对多地区以及多业务系统中部署的各个应用自动进行防护的目的。
可选的,在本申请的另外一种实施方式中,如图4所示,本申请还提供一种应用安全检测装置。应用于与业务系统以及算力中心相关联的安全中心,包括:
第一检测模块201,用于获取用于反映待检测应用的防护需求的应用参数,从应用模板库中选取与所述应用参数相匹配的应用模板,并基于所述应用模板为所述待检测应用制定对应的防护策略;
选取模块202,用于向所述算力中心发送用于执行所述防护策略的资源获取请求,并接收所述算力中心返回的算力资源,其中所述算力资源为能够执行所述防护策略的算力资源;
第二检测模块203,用于按照所述防护策略,利用所述算力资源对所述待检测应用进行安全检测。
通过应用本申请的技术方案,可以在安全中心检测到与其关联的业务系统中初始部署有待检测应用时,可以自动识别待检测应用的防护要素,以使后续基于该应用的防护要素针对性的对其进行安全性评估,从而自动制定出专属于该待检测应用的防护策略。从而一方面实现了一种无需业务用户必须在业务系统部署应用一段时间后,再周期性的对其的使用状态进行安全风险检测的技术方案。另一方面也可以由安全中心同步的对多地区以及多业务系统中部署的各个应用自动进行防护的目的。
在本申请的另外一种实施方式中,选取模块202,用于:
基于所述应用参数中包括的应用类型参数,从所述应用模板数据库中选取与所述应用类型参数相匹配的所述应用模板;
基于所述应用参数中包括的运行参数,利用所述应用模板为所述待检测应用制定对应的防护策略。
在本申请的另外一种实施方式中,第二检测模块203,用于:
将所述运行参数中指向的应用开源组件创建为安全组件,其中所述安全组件为部署在所述安全中心中,用于执行所述防护策略的组件;以及,
基于所述运行参数中包括的应用安全需求与应用运行区域,利用所述应用模板为所述待检测应用制定对应的检测方式,其中所述检测方式用于表征所述应用模板配置的所述安全组件的预设数量、预设防护路径以及预设防护周期;
将由所述预设数量的安全组件,以所述检测方式对所述待检测应用执行安全检测的策略作为所述防护策略。
在本申请的另外一种实施方式中,选取模块202,用于:
算力资源包括第一子算力资源与第二子算力资源;
其中,所述第一子算力资源用于创建执行所述防护策略所需要的安全组件,所述第二子算力资源用于支持所述安全组件执行所述防护策略。
在本申请的另外一种实施方式中,选取模块202,用于:
所述第一子算力资源能够支持创建预设数量的安全组件,其中所述预设数量由所述防护策略而确定。
在本申请的另外一种实施方式中,第二检测模块203,用于:
在对所述待检测应用执行所述安全检测的时间达到预设时长后,获取所述待检测应用的稳定性指标;
在检测到所述稳定性指标满足更换条件时,从所述应用模板数据库中选取与所述稳定性指标相匹配的其它应用模板;
基于所述其它应用模板所制定的其它防护策略,对所述待检测应用进行安全检测。
在本申请的另外一种实施方式中,第二检测模块203,用于:
获取所述稳定性指标所反映的,所述待检测应用在预设时间段内受到的攻击频率;
若检测到所述攻击频率超过预设频率值,确定所述稳定性指标满足所述更换条件。
本申请实施方式还提供一种电子设备,以执行上述应用安全检测方法。请参考图5,其示出了本申请的一些实施方式所提供的一种电子设备的示意图。如图5所示,电子设备3包括:处理器300,存储器301,总线302和通信接口303,所述处理器300、通信接口303和存储器301通过总线302连接;所述存储器301中存储有可在所述处理器300上运行的计算机程序,所述处理器300运行所述计算机程序时执行本申请前述任一实施方式所提供的应用安全检测方法。
其中,存储器301可能包含高速随机存取存储器(RAM:Random Access Memory),也可能还包括非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个通信接口303(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接,可以使用互联网、广域网、本地网、城域网等。
总线302可以是ISA总线、PCI总线或EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。其中,存储器301用于存储程序,所述处理器300在接收到执行指令后,执行所述程序,前述本申请实施例任一实施方式揭示的所述视频传输方法可以应用于处理器300中,或者由处理器300实现。
处理器300可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器300中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器300可以是通用处理器,包括处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器301,处理器300读取存储器301中的信息,结合其硬件完成上述方法的步骤。
本申请实施例提供的电子设备与本申请实施例提供的应用安全检测方法出于相同的发明构思,具有与其采用、运行或实现的方法相同的有益效果。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求来限制。
Claims (13)
1.一种应用安全检测系统,其特征在于,包含算力中心与安全中心,其中包括:
所述安全中心,用于在接收到待检测应用的应用参数时,从应用模板数据库中选取与所述应用参数相匹配的应用模板;基于所述应用模板为所述待检测应用制定对应的防护策略,并向所述算力中心发送用于执行所述防护策略的资源获取请求,其中所述应用参数用于反映所述待检测应用的防护需求;
所述算力中心,用于在接收到所述安全中心发送的资源获取请求时,调取能够执行所述防护策略的算力资源并发送给所述安全中心;
所述安全中心,用于按照所述防护策略,利用所述算力资源对所述待检测应用进行安全检测。
2.如权利要求1所述的系统,其特征在于,
所述安全中心,具体用于基于所述应用参数中包括的应用类型参数,从所述应用模板数据库中选取与所述应用类型参数相匹配的所述应用模板;基于所述应用参数中包括的运行参数,利用所述应用模板为所述待检测应用制定对应的防护策略。
3.如权利要求2所述的系统,其特征在于,
所述安全中心,具体用于将所述运行参数中指向的应用开源组件创建为安全组件,其中所述安全组件为部署在所述安全中心中,用于执行所述防护策略;
所述安全中心,还用于基于所述运行参数中包括的应用安全需求与应用运行区域,利用所述应用模板为所述待检测应用制定对应的检测方式,其中所述检测方式用于表征所述应用模板配置的所述安全组件的预设数量、预设防护路径以及预设防护周期;
所述安全中心,还用于将由所述预设数量的安全组件,以所述检测方式对所述待检测应用执行安全检测的策略作为所述防护策略。
4.如权利要求1所述的系统,其特征在于,
所述算力中心,用于获取所述防护策略中所述安全组件对应的预设数量,并调取能够支持创建所述预设数量的安全组件的第一子算力资源;以及,调取能够支持所述安全组件执行所述防护策略的第二子算力资源;
所述算力中心,还用于将所述第一子算力资源与所述第二子算力资源作为所述算力资源,并将所述算力资源发送给所述安全中心。
5.如权利要求1所述的系统,其特征在于,
所述安全中心,还用于在对所述待检测应用执行所述安全检测的时间达到预设时长后,获取所述待检测应用的稳定性指标;
所述安全中心,还用于在检测到所述稳定性指标满足更换条件时,从所述应用模板数据库中选取与所述稳定性指标相匹配的其它应用模板;
所述安全中心,还用于基于所述其它应用模板所制定的其它防护策略,对所述待检测应用进行安全检测。
6.如权利要求5所述的系统,其特征在于,
所述安全中心,具体用于获取所述稳定性指标所反映的、所述待检测应用在预设时间段内受到的攻击频率;
所述安全中心,还用于若检测到所述攻击频率超过预设频率值,确定所述稳定性指标满足所述更换条件。
7.一种应用安全检测方法,其特征在于,应用于与算力中心相关联的安全中心,包括:
获取用于反映待检测应用的防护需求的应用参数,从应用模板库中选取与所述应用参数相匹配的应用模板,并基于所述应用模板为所述待检测应用制定对应的防护策略;
向所述算力中心发送用于执行所述防护策略的资源获取请求,并接收所述算力中心返回的算力资源,其中所述算力资源为能够执行所述防护策略的算力资源;
按照所述防护策略,利用所述算力资源对所述待检测应用进行安全检测。
8.如权利要求7所述的方法,其特征在于,所述从应用模板库中选取与所述应用参数相匹配的应用模板,并基于所述应用模板为所述待检测应用制定对应的防护策略,包括:
基于所述应用参数中包括的应用类型参数,从所述应用模板数据库中选取与所述应用类型参数相匹配的所述应用模板;
基于所述应用参数中包括的运行参数,利用所述应用模板为所述待检测应用制定对应的防护策略。
9.如权利要求8所述的方法,其特征在于,所述基于所述应用参数中包括的运行参数,利用所述应用模板为所述待检测应用制定对应的防护策略,包括:
将所述运行参数中指向的应用开源组件创建为安全组件,其中所述安全组件为部署在所述安全中心中,用于执行所述防护策略的组件;以及,
基于所述运行参数中包括的应用安全需求与应用运行区域,利用所述应用模板为所述待检测应用制定对应的检测方式,其中所述检测方式用于表征所述应用模板配置的所述安全组件的预设数量、预设防护路径以及预设防护周期;
将由所述预设数量的安全组件,以所述检测方式对所述待检测应用执行安全检测的策略作为所述防护策略。
10.如权利要求7所述的方法,其特征在于,所述算力资源包括第一子算力资源与第二子算力资源;
其中,所述第一子算力资源用于创建执行所述防护策略所需要的安全组件,所述第二子算力资源用于支持所述安全组件执行所述防护策略。
11.如权利要求10述的方法,其特征在于,所述方法还包括:所述第一子算力资源能够支持创建预设数量的安全组件,其中所述预设数量由所述防护策略确定。
12.如权利要求7所述的方法,其特征在于,所述方法,还包括:
在对所述待检测应用执行所述安全检测的时间达到预设时长后,获取所述待检测应用的稳定性指标;
在检测到所述稳定性指标满足更换条件时,从所述应用模板数据库中选取与所述稳定性指标相匹配的其它应用模板;
基于所述其它应用模板所制定的其它防护策略,对所述待检测应用进行安全检测。
13.如权利要求12所述的方法,其特征在于,所述检测到所述稳定性指标满足更换条件,包括:
获取所述稳定性指标所反映的,所述待检测应用在预设时间段内受到的攻击频率;
若检测到所述攻击频率超过预设频率值,确定所述稳定性指标满足所述更换条件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311473932.3A CN117216758B (zh) | 2023-11-08 | 2023-11-08 | 应用安全检测系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311473932.3A CN117216758B (zh) | 2023-11-08 | 2023-11-08 | 应用安全检测系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN117216758A true CN117216758A (zh) | 2023-12-12 |
| CN117216758B CN117216758B (zh) | 2024-02-23 |
Family
ID=89044759
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311473932.3A Active CN117216758B (zh) | 2023-11-08 | 2023-11-08 | 应用安全检测系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117216758B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117455751A (zh) * | 2023-12-22 | 2024-01-26 | 新华三网络信息安全软件有限公司 | 路段图像的处理系统及方法 |
Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103605920A (zh) * | 2013-11-10 | 2014-02-26 | 电子科技大学 | 一种基于SEAndroid平台的应用程序动态安全管理方法及系统 |
| CN106161378A (zh) * | 2015-04-13 | 2016-11-23 | 中国移动通信集团公司 | 安全服务装置、方法以及业务处理装置、方法和系统 |
| CN110198313A (zh) * | 2019-05-23 | 2019-09-03 | 新华三信息安全技术有限公司 | 一种策略生成的方法及装置 |
| WO2021190482A1 (zh) * | 2020-03-27 | 2021-09-30 | 中国移动通信有限公司研究院 | 算力处理的网络系统及算力处理方法 |
| CN113961245A (zh) * | 2021-10-28 | 2022-01-21 | 绿盟科技集团股份有限公司 | 一种基于微服务应用的安全防护系统、方法及介质 |
| CN114491524A (zh) * | 2021-12-16 | 2022-05-13 | 中国通信建设第三工程局有限公司 | 一种应用于智慧网络安全的大数据通讯系统 |
| CN115033887A (zh) * | 2022-06-17 | 2022-09-09 | 中国平安人寿保险股份有限公司 | 开源组件安全治理方法、系统、电子设备及存储介质 |
| CN115378826A (zh) * | 2022-10-26 | 2022-11-22 | 北京网藤科技有限公司 | 针对多工作流的网络漏洞识别方法及系统 |
| CN115455430A (zh) * | 2022-09-20 | 2022-12-09 | 中国建设银行股份有限公司 | 一种基于Kyverno安全策略的安全防护方法及系统 |
| CN115964701A (zh) * | 2022-12-13 | 2023-04-14 | 中国电信股份有限公司 | 应用安全检测方法、装置、存储介质及电子设备 |
| CN116094801A (zh) * | 2023-01-09 | 2023-05-09 | 深圳开源互联网安全技术有限公司 | 一种安全攻击防护方法、装置、设备及可读存储介质 |
| CN116305155A (zh) * | 2023-03-10 | 2023-06-23 | 北京边界无限科技有限公司 | 一种程序安全检测防护方法、装置、介质及电子设备 |
| CN116451234A (zh) * | 2023-03-23 | 2023-07-18 | 南方电网数字电网集团信息通信科技有限公司 | 一种操作系统终端动态信任评估算法 |
| CN116708033A (zh) * | 2023-08-04 | 2023-09-05 | 腾讯科技(深圳)有限公司 | 终端安全检测方法、装置、电子设备及存储介质 |
| WO2023186002A1 (zh) * | 2022-04-01 | 2023-10-05 | 中国移动通信有限公司研究院 | 一种资源调度方法、装置及设备 |
-
2023
- 2023-11-08 CN CN202311473932.3A patent/CN117216758B/zh active Active
Patent Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103605920A (zh) * | 2013-11-10 | 2014-02-26 | 电子科技大学 | 一种基于SEAndroid平台的应用程序动态安全管理方法及系统 |
| CN106161378A (zh) * | 2015-04-13 | 2016-11-23 | 中国移动通信集团公司 | 安全服务装置、方法以及业务处理装置、方法和系统 |
| CN110198313A (zh) * | 2019-05-23 | 2019-09-03 | 新华三信息安全技术有限公司 | 一种策略生成的方法及装置 |
| WO2021190482A1 (zh) * | 2020-03-27 | 2021-09-30 | 中国移动通信有限公司研究院 | 算力处理的网络系统及算力处理方法 |
| CN113961245A (zh) * | 2021-10-28 | 2022-01-21 | 绿盟科技集团股份有限公司 | 一种基于微服务应用的安全防护系统、方法及介质 |
| CN114491524A (zh) * | 2021-12-16 | 2022-05-13 | 中国通信建设第三工程局有限公司 | 一种应用于智慧网络安全的大数据通讯系统 |
| WO2023186002A1 (zh) * | 2022-04-01 | 2023-10-05 | 中国移动通信有限公司研究院 | 一种资源调度方法、装置及设备 |
| CN115033887A (zh) * | 2022-06-17 | 2022-09-09 | 中国平安人寿保险股份有限公司 | 开源组件安全治理方法、系统、电子设备及存储介质 |
| CN115455430A (zh) * | 2022-09-20 | 2022-12-09 | 中国建设银行股份有限公司 | 一种基于Kyverno安全策略的安全防护方法及系统 |
| CN115378826A (zh) * | 2022-10-26 | 2022-11-22 | 北京网藤科技有限公司 | 针对多工作流的网络漏洞识别方法及系统 |
| CN115964701A (zh) * | 2022-12-13 | 2023-04-14 | 中国电信股份有限公司 | 应用安全检测方法、装置、存储介质及电子设备 |
| CN116094801A (zh) * | 2023-01-09 | 2023-05-09 | 深圳开源互联网安全技术有限公司 | 一种安全攻击防护方法、装置、设备及可读存储介质 |
| CN116305155A (zh) * | 2023-03-10 | 2023-06-23 | 北京边界无限科技有限公司 | 一种程序安全检测防护方法、装置、介质及电子设备 |
| CN116451234A (zh) * | 2023-03-23 | 2023-07-18 | 南方电网数字电网集团信息通信科技有限公司 | 一种操作系统终端动态信任评估算法 |
| CN116708033A (zh) * | 2023-08-04 | 2023-09-05 | 腾讯科技(深圳)有限公司 | 终端安全检测方法、装置、电子设备及存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 刘慰文: "基于软件安全策略的Android应用程序检测研究与实现", 《中南大学》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117455751A (zh) * | 2023-12-22 | 2024-01-26 | 新华三网络信息安全软件有限公司 | 路段图像的处理系统及方法 |
| CN117455751B (zh) * | 2023-12-22 | 2024-03-26 | 新华三网络信息安全软件有限公司 | 路段图像的处理系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN117216758B (zh) | 2024-02-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108595157B (zh) | 区块链数据的处理方法、装置、设备和存储介质 | |
| CN117216758B (zh) | 应用安全检测系统及方法 | |
| CN110851207B (zh) | 状态转换管理方法、装置、电子设备和存储介质 | |
| CN113591068B (zh) | 一种在线登录设备管理方法、装置及电子设备 | |
| CN111694639B (zh) | 进程容器地址的更新方法、装置和电子设备 | |
| CN112035344A (zh) | 多场景测试方法、装置、设备和计算机可读存储介质 | |
| CN111177703B (zh) | 操作系统数据完整性的确定方法及装置 | |
| CN115033317B (zh) | 弹框处理方法、装置、电子设备和可读存储介质 | |
| CN114139161A (zh) | 一种批量检测漏洞的方法、装置、电子设备及介质 | |
| CN111008873B (zh) | 一种用户确定方法、装置、电子设备及存储介质 | |
| CN116933886A (zh) | 一种量子计算执行方法、系统、电子设备及存储介质 | |
| CN115190010B (zh) | 基于软件服务依赖关系的分布推荐方法和装置 | |
| CN113158177A (zh) | 一种动态度量方法、装置、设备及存储介质 | |
| CN111506784B (zh) | 资产债权匹配方法、装置、计算机设备及存储介质 | |
| US10783020B2 (en) | Method for invoking component, and terminal | |
| CN114139079A (zh) | 一种api请求的处理方法、装置、设备及存储介质 | |
| CN114780807A (zh) | 业务检测方法、装置、计算机系统及可读存储介质 | |
| CN112907198A (zh) | 业务状态流转维护方法、装置及电子设备 | |
| CN111405000B (zh) | 一种p2p网络资源共享方法和系统 | |
| CN110286913B (zh) | 核对代码包部署方法及装置 | |
| CN117034210B (zh) | 一种事件画像的生成方法、装置、存储介质及电子设备 | |
| CN113590579B (zh) | 一种基于数据仓库的根因分析方法、装置及系统 | |
| CN115396280B (zh) | 告警数据的处理方法、装置、设备及存储介质 | |
| CN116257825A (zh) | 对象权限配置方法及装置、电子设备和可读存储介质 | |
| CN116896587A (zh) | 重复网络请求的处理方法、装置、计算机设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |