CN117640263A - 一种针对全维度攻击的网络安全防护系统、方法及介质 - Google Patents
一种针对全维度攻击的网络安全防护系统、方法及介质 Download PDFInfo
- Publication number
- CN117640263A CN117640263A CN202410112094.5A CN202410112094A CN117640263A CN 117640263 A CN117640263 A CN 117640263A CN 202410112094 A CN202410112094 A CN 202410112094A CN 117640263 A CN117640263 A CN 117640263A
- Authority
- CN
- China
- Prior art keywords
- data
- security
- network
- target network
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 27
- 238000012216 screening Methods 0.000 claims abstract description 56
- 238000004458 analytical method Methods 0.000 claims abstract description 36
- 238000012545 processing Methods 0.000 claims abstract description 18
- 238000010276 construction Methods 0.000 claims abstract description 14
- 238000010586 diagram Methods 0.000 claims abstract description 11
- 238000012549 training Methods 0.000 claims description 46
- 231100000279 safety data Toxicity 0.000 claims description 39
- 238000004891 communication Methods 0.000 claims description 13
- 238000012550 audit Methods 0.000 claims description 10
- 206010000117 Abnormal behaviour Diseases 0.000 claims description 8
- 238000013145 classification model Methods 0.000 claims description 8
- 230000001174 ascending effect Effects 0.000 claims description 7
- 238000004590 computer program Methods 0.000 claims description 5
- 230000008569 process Effects 0.000 claims description 4
- 230000002159 abnormal effect Effects 0.000 description 6
- 238000011156 evaluation Methods 0.000 description 6
- 230000007246 mechanism Effects 0.000 description 4
- 230000004044 response Effects 0.000 description 4
- 238000013473 artificial intelligence Methods 0.000 description 3
- 238000001514 detection method Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 230000008439 repair process Effects 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Abstract
本发明涉及网络安全技术领域,揭露了一种针对全维度攻击的网络安全防护系统、方法及介质,该系统中包括安全数据处理模块、数据关联模块、拓扑图构建模块、安全画像生成模块、节点安全分析模块及安全防护模块,可利用对获取目标网络的安全数据进行界限观测值筛选和数据分类,得到分类数据;构建所述目标网络的网络拓扑图;根据所述网络拓扑图和所述分类数据生成所述目标网络的全维度安全画像;根据所述全维度安全画像生成所述目标网络的防护方案,从而进行目标网络的安全防护,提高了网络安全防护的防护效率。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种针对全维度攻击的网络安全防护系统、方法及介质。
背景技术
传统的网络安全防护方法通常侧重于针对特定的攻击方式或特定的威胁进行防御,采用的是局部化的防御策略,这种方法无法全面考虑网络中各个环节的相互关系和潜在风险,容易忽略整体安全风险的存在,从而导致网络安全防护有限,无法满足大规模网络和复杂攻击环境下的实时防护需求,因此,如何提高网络安全防护的防护效率成了亟待解决的问题。
发明内容
本发明提供一种针对全维度攻击的网络安全防护系统、方法及介质,其主要目的在于解决网络安全防护的防护效率较低的问题。
为实现上述目的,本发明提供的一种针对全维度攻击的网络安全防护系统,其特征在于,所述系统包括安全数据处理模块、数据关联模块、拓扑图构建模块、安全画像生成模块、节点安全分析模块及安全防护模块,其中:
所述安全数据处理模块,用于获取目标网络的安全数据,利用预设的观测值算法对所述安全数据进行界限观测值筛选,得到所述安全数据的筛选数据,其中,所述预设的观测值算法为:其中,/>是界限观测值中的最小观测值,/>是界限观测值中的最大观测值,/>是根据所述安全数据确定的上四分位数,/>是所述安全数据确定根据下四分位数;
所述数据关联模块,用于对所述筛选数据进行数据分类,得到所述筛选数据的分类数据;
所述拓扑图构建模块,用于构建所述目标网络的网络拓扑图;
所述安全画像生成模块,用于根据所述网络拓扑图和所述分类数据生成所述目标网络的全维度安全画像;
所述节点安全分析模块,用于根据所述全维度安全画像对所述目标网络进行节点安全分析,得到所述目标网络的节点数据;
所述安全防护模块,用于根据所述节点数据生成所述目标网络的防护方案,利用所述防护方案对所述目标网络进行安全防护。
可选地,所述安全数据处理模块在获取目标网络的安全数据时,具体用于:
利用目标网络配置的日志服务器获取所述目标网络的网络日志;
生成所述目标网络的网络流量数据;
采集所述目标网络的审计日志,汇集所述网络日志、所述网络流量数据和所述审计日志为所述目标网络的安全数据。
可选地,所述安全数据处理模块在利用预设的观测值算法对所述安全数据进行界限观测值筛选,得到所述安全数据的筛选数据时,具体用于:
生成所述安全数据的升序数据,根据所述升序数据确定所述安全数据的标志点,其中,所述标志点包括:上四分位数、中位数和下四分位数;
利用预设的观测值算法生成所述安全数据的界限观测值;
根据所述界限观测值和所述标志点对所述安全数据进行数据筛选,得到所述安全数据的筛选数据。
可选地,所述数据关联模块在对所述筛选数据进行数据分类,得到所述筛选数据的分类数据时,具体用于:
提取所述筛选数据的数据特征;
对所述数据特征进行特征编码,得到所述数据特征的编码特征;
对所述编码特征进行特征分类,得到所述编码特征的分类特征,根据所述分类特征确定所述筛选数据的分类数据。
可选地,所述数据关联模块在对所述编码特征进行特征分类,得到所述编码特征的分类特征之前,还包括:
S21、根据预设的信息增益算法生成预设训练集的信息增益,其中,所述预设的信息增益算法为:详细地,/>是选择特征/>对预设训练集/>进行划分后的信息增益,/>是预设训练集,/>是选择特征,/>是使用选择特征/>划分预设训练集/>后的第/>个训练子集,/>是训练子集的总数,/>是训练子集的标识,/>表示第/>个训练子集中属于类别标签/>的样本数量,/>是类别标签的标识,/>是类别标签的总数,/>是第/>个类别标签,/>是训练子集的样本数量,/>是预设训练集的样本数量;
S22、根据所述信息增益生成待训练的分类模型的节点特征;
S23、根据所述节点特征对所述预设训练集进行数据划分,得到所述预设训练集的训练子集,返回步骤S21,直至所述训练子集中数据类别等于预设的类别阈值,根据所述节点特征生成对所述编码特征进行特征分类的分类模型。
可选地,所述拓扑图构建模块在构建所述目标网络的网络拓扑图时,具体用于:
对所述目标网络进行扫描,得到所述目标网络的节点扫描信息;
对所述节点扫描信息进行信息解析,得到所述节点扫描信息的解析信息;
根据所述解析信息生成所述目标网络的网络拓扑图。
可选地,所述拓扑图构建模块在根据所述解析信息生成所述目标网络的网络拓扑图时,具体用于:
根据所述解析信息建立所述目标网络的网络节点的依赖关系;
对所述网络节点进行属性配置,得到所述网络节点的配置节点;
根据所述依赖关系和所述配置节点生成所述目标网络的网络拓扑图。
可选地,所述安全画像生成模块在根据所述网络拓扑图和所述分类数据生成所述目标网络的全维度安全画像时,具体用于:
生成所述分类数据的数据标签,其中,所述数据标签包括:设备漏洞评估标签、主机安全配置标签及通信异常行为标签;
根据所述网络拓扑图和所述数据标签生成所述目标网络的全维度安全画像。
为了解决上述问题,本发明还提供一种针对全维度攻击的网络安全防护方法,其特征在于,所述方法包括:
获取目标网络的安全数据,利用预设的观测值算法对所述安全数据进行界限观测值筛选,得到所述安全数据的筛选数据,其中,所述预设的观测值算法为:其中,/>是界限观测值中的最小观测值,/>是界限观测值中的最大观测值,/>是根据所述安全数据确定的上四分位数,/>是所述安全数据确定根据下四分位数;
对所述筛选数据进行数据分类,得到所述筛选数据的分类数据;
构建所述目标网络的网络拓扑图;
根据所述网络拓扑图和所述分类数据生成所述目标网络的全维度安全画像;
根据所述全维度安全画像对所述目标网络进行节点安全分析,得到所述目标网络的节点数据;
根据所述节点数据生成所述目标网络的防护方案,利用所述防护方案对所述目标网络进行安全防护。
为了解决上述问题,本发明还提供一种存储介质,所述存储介质中存储有至少一个计算机程序,所述至少一个计算机程序被电子设备中的处理器执行以实现上述所述的针对全维度攻击的网络安全防护方法。
本发明通过对获取的目标网络的网络数据进行界限观测值筛选,有效地过滤掉无关的数据,对筛选数据进行分类,并根据目标网络的拓扑结构构建网络拓扑图,可以更好地理解网络的结构和关联性,有助于发现潜在的安全风险和漏洞,并帮助确定防护方案的优先级和重点,通过结合网络拓扑图和分类数据,生成目标网络的全维度安全画像。这个画像可以提供更全面、全局的安全视图,帮助识别和分析网络中的安全问题,通过对目标网络的节点数据进行安全分析,根据分析结果,生成相应的防护方案,针对性地加强对脆弱节点和可能的攻击路径的防护措施,这样可以提高网络故障的解决效率,减少安全漏洞被利用的可能性,因此本发明提出的针对全维度攻击的网络安全防护系统、方法及介质,可以提高网络安全防护的防护效率。
附图说明
图1为本发明一实施例提供的针对全维度攻击的网络安全防护系统的系统架构图;
图2为本发明一实施例提供的针对全维度攻击的网络安全防护方法的流程示意图;
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明实施例中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义,“多种”一般包含至少两种。
取决于语境,如在此所使用的词语“如果”、“若”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于检测”。类似地,取决于语境,短语“如果确定”或“如果检测(陈述的条件或事件)”可以被解释成为“当确定时”或“响应于确定”或“当检测(陈述的条件或事件)时”或“响应于检测(陈述的条件或事件)”。
另外,下述各方法实施例中的步骤时序仅为一种举例,而非严格限定。
实际上,针对全维度攻击的网络安全防护系统所部署的服务端设备可能是由一台或多台设备构成的。上述针对全维度攻击的网络安全防护系统可以实现为:业务实例、虚拟机、硬件设备。比如,该针对全维度攻击的网络安全防护系统可以实现为部署在云节点中的一个或多个设备上的一种业务实例。简单来说,该针对全维度攻击的网络安全防护系统可以理解为是部署在云节点上的一种软件,用于为各用户端提供针对全维度攻击的网络安全防护系统。或者,该针对全维度攻击的网络安全防护系统也可以实现为部署在云节点中的一个或多个设备上的一种虚拟机。该虚拟机中安装有用于管理各用户端的应用软件。或者,该针对全维度攻击的网络安全防护系统还可以实现为由众多相同或不同类型的硬件设备构成的服务端,设置一个或多个硬件设备用于为各用户端提供针对全维度攻击的网络安全防护系统。
在实现形式上,针对全维度攻击的网络安全防护系统和用户端相互适应。即,针对全维度攻击的网络安全防护系统作为安装于云服务平台的应用,则用户端作为与该应用建立通信连接的客户端;或实现针对全维度攻击的网络安全防护系统作为网站实现,则用户端作为网页实现;再或实现针对全维度攻击的网络安全防护系统作为云服务平台实现,则用户端作为即时通信应用中的小程序实现。
如图1所示,是本发明一实施例提供的针对全维度攻击的网络安全防护系统的系统架构图。
本发明所述针对全维度攻击的网络安全防护系统100可以设置于云端服务器中,在实现形式上,可以作为一个或多个服务设备,也可以作为一应用安装于云端(例如移动服务运营方的服务器、服务器集群等)上,或者也可以开发为网站。根据实现的功能,所述针对全维度攻击的网络安全防护系统100可以包括安全数据处理模块101、数据关联模块102、拓扑图构建模块103、安全画像生成模块104、节点安全分析模块105及安全防护模块106。本发明所述模块也可以称之为单元,是指一种能够被电子设备处理器所执行,并且能够完成固定功能的一系列计算机程序段,其存储在电子设备的存储器中。
本发明实施例中,针对全维度攻击的网络安全防护系统中,上述各个模块均可独立实现,且与其他模块调用。这里的调用可以理解为,某一模块可以连接另一类型的多个模块,并为其连接的多个模块提供相应服务。比如,分享评测模块可以调用同一信息采集模块,以获取该信息采集模块采集的信息基于上述特性,本发明实施例提供的针对全维度攻击的网络安全防护系统中,无需修改程序代码,即可通过增加模块、并直接调用的形式来调整针对全维度攻击的网络安全防护系统架构的适用范围,实现集群式水平拓展,以便达到快捷灵活拓展针对全维度攻击的网络安全防护系统的目的。实际应用中,上述模块可以设置在同一设备或不同设备中,也可以是设置在虚拟设备中,例如云端服务器中的服务实例。
下面结合具体实施例,分别针对全维度攻击的网络安全防护系统的各个组成部分以及具体工作流程进行说明:
所述安全数据处理模块101,用于获取目标网络的安全数据,利用预设的观测值算法对所述安全数据进行界限观测值筛选,得到所述安全数据的筛选数据。
在本发明实施例中,所述安全数据处理模块101在获取目标网络的安全数据时,具体用于:
利用目标网络配置的日志服务器获取所述目标网络的网络日志;
生成所述目标网络的网络流量数据;
采集所述目标网络的审计日志,汇集所述网络日志、所述网络流量数据和所述审计日志为所述目标网络的安全数据。
详细地,利用目标网络配置的日志服务器获取所述目标网络的网络日志是指利用日志服务器收集目标网络中各个设备(如防火墙、路由器、交换机、服务器等)生成的日志信息,这些日志信息包含了网络活动、访问记录、异常事件等安全相关数据。
详细地,可以利用预设的流量分析器生成所述目标网络的网络流量数据,其中,预设的流量分析器对目标网络的数据流进行实时监测和分析,获取网络流量的相关信息。
详细地,审计日志可以利用数据库审计工具进行采集,亦即,利用据库审计工具监测数据库的访问和操作,并记录这些操作行为,包括查询、插入、更新、删除等。
在本发明实施例中,所述安全数据处理模块101在利用预设的观测值算法对所述安全数据进行界限观测值筛选,得到所述安全数据的筛选数据时,具体用于:
生成所述安全数据的升序数据,根据所述升序数据确定所述安全数据的标志点,其中,所述标志点包括:上四分位数、中位数和下四分位数;
利用预设的观测值算法生成所述安全数据的界限观测值;
根据所述界限观测值和所述标志点对所述安全数据进行数据筛选,得到所述安全数据的筛选数据。
详细地,生成所述安全数据的升序数据是指将安全数据按照从小到大的顺序排列。
详细地,上四分位数表示将数据分成四等份后,位于第三份的数值;中位数表示将数据分成两等份后,位于中间的数值;下四分位数表示将数据分成四等份后,位于第一份的数值。
详细地,通过比较每个安全数据与界限观测值和标志点的大小关系,将符合条件的安全数据筛选出来作为筛选数据。
详细地,所述预设的观测值算法为:其中,/>是所述界限观测值中的最小观测值,/>是所述界限观测值中的最大观测值,/>是上四分位数,是下四分位数。
详细地,所述预设的观测值算法,通过计算上四分位数和下四分位数的差值,并乘以1.5进行调整,得到界限观测值的范围,其中,最小观测值是上四分位数减去调整后的差值,最大观测值是上四分位数加上调整后的差值,这样定义的界限观测值范围可用于筛选安全数据,将不在该范围内的数据排除,从而得到筛选数据。
详细地,所述预设的观测值算法通过设定观测值的上下限,可以排除异常值和噪声数据,提高了数据的准确性和可信度,这样可以有效地过滤掉无关的数据,从而减少了对后续处理的影响。
所述数据关联模块102,用于对所述筛选数据进行数据分类,得到所述筛选数据的分类数据。
在本发明实施例中,所述数据关联模块102在对所述筛选数据进行数据分类,得到所述筛选数据的分类数据时,具体用于:
提取所述筛选数据的数据特征;
对所述数据特征进行特征编码,得到所述数据特征的编码特征;
对所述编码特征进行特征分类,得到所述编码特征的分类特征,根据所述分类特征确定所述筛选数据的分类数据。
详细地,可利用预先训练的分类模型对所述编码特征进行特征分类。
详细地,对数据特征进行编码,将其转换为数值或离散化的类别变量,这可以通过各种技术实现,例如one-hot编码、标签编码、二进制编码等等。
详细地,所述数据关联模块102在对所述编码特征进行特征分类,得到所述编码特征的分类特征之前,还包括:
S21、根据预设的信息增益算法生成预设训练集的信息增益,其中,所述预设的信息增益算法为:详细地,/>是选择特征/>对预设训练集/>进行划分后的信息增益,/>是预设训练集,/>是选择特征,/>是使用选择特征/>划分预设训练集/>后的第/>个训练子集,/>是训练子集的总数,/>是训练子集的标识,/>表示第/>个训练子集中属于类别标签/>的样本数量,/>是类别标签的标识,/>是类别标签的总数,/>是第/>个类别标签,/>是训练子集的样本数量,/>是预设训练集的样本数量;
S22、根据所述信息增益生成待训练的分类模型的节点特征;
S23、根据所述节点特征对所述预设训练集进行数据划分,得到所述预设训练集的训练子集,返回步骤S21,直至所述训练子集中数据类别等于预设的类别阈值,根据所述节点特征生成对所述编码特征进行特征分类的分类模型。
详细地,信息增益用于衡量使用选择特征进行划分相对于未划分时带来的信息增益。
详细地,通过计算信息增益,可以评估使用不同选择特征进行数据划分的效果,选择能够最大程度上提高纯度的特征作为最优的节点特征,这意味着该特征能够在整个训练过程中起到最大的区分作用,提高数据的纯度。
详细地,使用选定的节点特征对预设训练集进行数据划分,将数据划分为不同的训练子集,每个训练子集包含根据节点特征所属的类别进行划分的样本,然后返回到步骤S21,继续进行下一轮的特征选择和数据划分。
进一步地,这个过程会反复进行,直到满足停止条件,即训练子集中的数据类别等于预设的类别阈值,最后,根据选定的节点特征生成用于对编码特征进行特征分类的分类模型,以实现对编码特征的分类。
所述拓扑图构建模块103,用于构建所述目标网络的网络拓扑图。
在本发明实施例中,所述拓扑图构建模块103在构建所述目标网络的网络拓扑图时,具体用于:
对所述目标网络进行扫描,得到所述目标网络的节点扫描信息;
对所述节点扫描信息进行信息解析,得到所述节点扫描信息的解析信息;
根据所述解析信息生成所述目标网络的网络拓扑图。
详细地,网络拓扑图是描述目标网络的结构和连接关系的图形表示。在全维度安全画像中,构建网络拓扑图可帮助了解网络设备、主机和服务之间的关系,以及它们之间的通信模式。通过分析网络拓扑图,可以发现网络的弱点、潜在的攻击路径和可能的攻击来源。这有助于制定更有效的安全策略和对网络进行合理的安全调整。
详细地,可以利用预设的网络扫描工具对所述目标网络进行扫描,得到所述目标网络的扫描信息。
另外,所述对所述目标网络进行扫描可以是本领域习知的网络扫描工具工具(例如,可以是nmap工具),所述nmap工具仅仅是为了说明方案的可实施性而进行的示例性举例,并不限定本方案必须采用所述nmap工具。
详细地,所述节点扫描信息包括但不限于:目标网络的网络节点的IP地址和开放端口信息。
详细地,对所述节点扫描信息进行信息解析,得到所述节点扫描信息的解析信息是为了根据解析信息,识别每个节点的类型(如路由器、交换机、服务器、终端设备)和操作系统。
详细地,所述拓扑图构建模块103在根据所述解析信息生成所述目标网络的网络拓扑图时,具体用于:
根据所述解析信息建立所述目标网络的网络节点的依赖关系;
对所述网络节点进行属性配置,得到所述网络节点的配置节点;
根据所述依赖关系和所述配置节点生成所述目标网络的网络拓扑图。
详细地,所述依赖关系是指根据解析信息建立起的网络节点间的连接关系以及确定所述网络节点中目标节点的邻居节点。
详细地,所述对所述网络节点进行属性配置,包括但不限于:对所述网络节点进行设备名称、MAC地址、设备厂商、设备状态、服务和协议信息等的属性配置。
详细地,根据根据所述依赖关系和所述配置节点选择合适的数据结构来表示拓扑图,例如:可以选用邻接矩阵、邻接列表或图数据库来表示拓扑图。
所述安全画像生成模块104,用于根据所述网络拓扑图和所述分类数据生成所述目标网络的全维度安全画像。
在本发明实施例中,所述安全画像生成模块104在根据所述网络拓扑图和所述分类数据生成所述目标网络的全维度安全画像时,具体用于:
生成所述分类数据的数据标签,其中,所述数据标签包括:设备漏洞评估标签、主机安全配置标签及通信异常行为标签;
根据所述网络拓扑图和所述数据标签生成所述目标网络的全维度安全画像。
详细地,所述全维度安全画像是由网络拓扑图、设备漏洞评估、主机安全配置、通信模式的异常行为等信息组成的。
详细地,设备漏洞评估标签是指通过对设备进行漏洞扫描和评估,识别设备存在的漏洞,并为每个设备生成相应的漏洞评估标签,以指示设备的漏洞状况。
详细地,主机安全配置标签是指分析每个主机的安全配置信息,包括操作系统补丁情况、防火墙设置、权限控制等,生成主机安全配置标签,以反映主机的安全状态。
详细地,通信异常行为标签是指通过监测网络流量和通信模式,检测异常行为,如异常的数据传输、频繁的连接尝试等,生成通信异常行为标签,用于标识潜在的安全风险。
详细地,所述全维度安全画像是对目标网络的整体安全状况进行全面分析和呈现的结果,它包括了多个方面的信息,全维度安全画像通过对这些信息的分析和整合,以可视化的方式展示出目标网络的安全状态、潜在威胁和问题。
所述节点安全分析模块105,用于根据所述全维度安全画像对所述目标网络进行节点安全分析,得到所述目标网络的节点数据。
在本发明实施例中,所述节点数据可以是每个节点的设备类型,如:路由器、交换机、防火墙、服务器等。
在本发明实施例中,所述节点数据可以是每个节点的配置信息,包括:操作系统版本、补丁情况、访问控制列表(ACL)配置等。
在本发明实施例中,所述节点数据可以是每个节点存在的已知漏洞和安全风险,包括:漏洞名称、CVE编号、严重程度等。
在本发明实施例中,所述节点数据可以是每个节点的运行状态,如在线、离线、活跃、异常等。
在本发明实施例中,所述节点数据可以是每个节点的通信模式,包括:与其他节点之间的通信频率、流量大小、通信协议等。
在本发明实施例中,所述节点数据可以是每个节点发生的安全事件,如入侵尝试、恶意软件感染、异常行为等。
在本发明实施例中,所述节点数据可以是每个节点的安全评估结果,包括风险分级、建议措施等。
进一步地,所述节点数据也可以是上述节点数据的集合,例如:由运行状态和安全事件组成节点数据,也可以是由运行状态和安全评估结果组成节点数据,也可以是由运行状态、通信模式、安全事件和安全评估结果组成节点数据。
所述安全防护模块106,用于根据所述节点数据生成所述目标网络的防护方案,利用所述防护方案对所述目标网络进行安全防护。
在本发明实施例中,所述安全防护模块106在根据所述节点数据生成所述目标网络的防护方案时,具体用于:
对所述节点数据进行加权处理,得到所述节点数据的加权值;
根据所述加权值生成所述目标网络的风险等级;
根据所述风险等级和预设的漏洞修复规则生成所述目标网络的防护方案。
详细地,可以利用加权平均算法对所述节点数据进行加权处理,其中所述节点数据所对应的权值可以是预设的,也可以是根据节点数据生成的,例如:可以运用注意力机制生成所述节点数据的数据权值,也可以用信息权重法生成所述节点数据的数据权值。
详细地,根据所述加权值生成所述目标网络的风险等级是指根据加权值的大小确定风险的级别,亦即对评估得到的风险进行分类,并确定每个风险的优先级,例如:根据风险的严重程度和潜在影响,将其分为高、中、低三个级别,以便后续制定修复方案时有针对性地处理。
详细地,根据所述风险等级和预设的漏洞修复规则生成所述目标网络的防护方案是指根据风险的分类和优先级,制定相应的修复方案。
进一步地,对于高优先级的风险,需要采取紧急措施进行修复,如及时安装补丁、更新配置、关闭不必要的服务等,对于中、低优先级的风险,可以制定相应的计划,在合适的时间段内进行修复。
进一步地,所述预设的漏洞修复规则中包括:假设节点数据中存在设备漏洞信息,需要对存在漏洞的节点进行修复,例如:及时安装相关补丁、更新操作系统和软件版本,以消除已知漏洞;假设节点数据中的设备配置和访问控制列表(ACL)信息,需要设置合理的访问控制策略,可限制不必要的访问权限,只允许授权用户或IP地址访问敏感资源;假设需要对节点进行强化的认证和授权机制,确保只有经过认证的用户才能访问和操作节点,可以使用复杂的密码策略、启用双因素认证等。
在本发明实施例中,利用所述防护方案对所述目标网络进行安全防护可以是配置防火墙以控制进出目标网络的流量,过滤恶意流量和未经授权的访问,可以设置规则来限制特定IP地址或端口的访问,以及监测和阻止异常的网络连接。
在本发明实施例中,利用所述防护方案对所述目标网络进行安全防护可以是入侵检测系统(IDS)和入侵防御系统(IPS),其中,部署IDS/IPS来监测和识别潜在的入侵行为,并采取主动防御措施来阻止或减轻攻击,IDS可以及时发现异常流量、恶意代码和攻击行为,而IPS可以主动阻断攻击并加强目标网络的安全性。
在本发明实施例中,利用所述防护方案对所述目标网络进行安全防护可以是建立完整的日志记录和审计机制,对目标网络中的活动进行监控和记录,这样可以帮助发现潜在的安全事件,并进行后续的调查和分析。
在本发明实施例中,利用所述防护方案对所述目标网络进行安全防护可以是加强身份验证机制,例如使用复杂的密码策略、多因素认证等,以确保只有授权用户能够访问目标网络,同时,限制敏感数据和资源的访问权限,根据用户角色和需求进行适当的权限管理。
在本发明实施例中,利用所述防护方案对所述目标网络进行安全防护可以是定期进行漏洞扫描和评估,及时修复发现的漏洞,这包括更新系统和应用程序、安装补丁、关闭不必要的服务等操作,以减少潜在攻击面。
参照图2所示,为本发明一实施例提供的针对全维度攻击的网络安全防护方法的流程示意图。在本实施例中,所述针对全维度攻击的网络安全防护方法包括:
S1、获取目标网络的安全数据,利用预设的观测值算法对所述安全数据进行界限观测值筛选,得到所述安全数据的筛选数据,其中,所述预设的观测值算法为:其中,/>是界限观测值中的最小观测值,/>是界限观测值中的最大观测值,/>是根据所述安全数据确定的上四分位数,/>是所述安全数据确定根据下四分位数;
S2、对所述筛选数据进行数据分类,得到所述筛选数据的分类数据;
S3、构建所述目标网络的网络拓扑图;
S4、根据所述网络拓扑图和所述分类数据生成所述目标网络的全维度安全画像;
S5、根据所述全维度安全画像对所述目标网络进行节点安全分析,得到所述目标网络的节点数据;
S6、根据所述节点数据生成所述目标网络的防护方案,利用所述防护方案对所述目标网络进行安全防护。
本发明通过对获取的目标网络的网络数据进行界限观测值筛选,有效地过滤掉无关的数据,对筛选数据进行分类,并根据目标网络的拓扑结构构建网络拓扑图,可以更好地理解网络的结构和关联性,有助于发现潜在的安全风险和漏洞,并帮助确定防护方案的优先级和重点,通过结合网络拓扑图和分类数据,生成目标网络的全维度安全画像。这个画像可以提供更全面、全局的安全视图,帮助识别和分析网络中的安全问题,通过对目标网络的节点数据进行安全分析,根据分析结果,生成相应的防护方案,针对性地加强对脆弱节点和可能的攻击路径的防护措施,这样可以提高网络故障的解决效率,减少安全漏洞被利用的可能性,因此本发明提出的针对全维度攻击的网络安全防护方法,可以提高网络安全防护的防护效率。
本发明还提供一种存储介质,所述存储介质存储有计算机程序,所述计算机程序在被电子设备的处理器所执行时,可以实现:
获取目标网络的安全数据,利用预设的观测值算法对所述安全数据进行界限观测值筛选,得到所述安全数据的筛选数据,其中,所述预设的观测值算法为:其中,/>是界限观测值中的最小观测值,/>是界限观测值中的最大观测值,/>是根据所述安全数据确定的上四分位数,/>是所述安全数据确定根据下四分位数;
对所述筛选数据进行数据分类,得到所述筛选数据的分类数据;
构建所述目标网络的网络拓扑图;
根据所述网络拓扑图和所述分类数据生成所述目标网络的全维度安全画像;
根据所述全维度安全画像对所述目标网络进行节点安全分析,得到所述目标网络的节点数据;
根据所述节点数据生成所述目标网络的防护方案,利用所述防护方案对所述目标网络进行安全防护。
在本发明所提供的几个实施例中,应该理解到,所揭露的电子设备,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能模块的形式实现。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。
本申请实施例可以基于人工智能技术对相关的数据进行获取和处理。其中,人工智能(Artificial Intelligence,AI)是利用数字计算机或者数字计算机控制的机器模拟、延伸和扩展人的智能,感知环境、获取知识并使用知识获得最佳结果的理论、方法、技术及应用系统。
最后应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或等同替换,而不脱离本发明技术方案的精神和范围。
Claims (10)
1.一种针对全维度攻击的网络安全防护系统,其特征在于,所述系统包括安全数据处理模块、数据关联模块、拓扑图构建模块、安全画像生成模块、节点安全分析模块及安全防护模块,其中:
所述安全数据处理模块,用于获取目标网络的安全数据,利用预设的观测值算法对所述安全数据进行界限观测值筛选,得到所述安全数据的筛选数据,其中,所述预设的观测值算法为:其中,/>是界限观测值中的最小观测值,/>是界限观测值中的最大观测值,/>是根据所述安全数据确定的上四分位数,/>是所述安全数据确定根据下四分位数;
所述数据关联模块,用于对所述筛选数据进行数据分类,得到所述筛选数据的分类数据;
所述拓扑图构建模块,用于构建所述目标网络的网络拓扑图;
所述安全画像生成模块,用于根据所述网络拓扑图和所述分类数据生成所述目标网络的全维度安全画像;
所述节点安全分析模块,用于根据所述全维度安全画像对所述目标网络进行节点安全分析,得到所述目标网络的节点数据;
所述安全防护模块,用于根据所述节点数据生成所述目标网络的防护方案,利用所述防护方案对所述目标网络进行安全防护。
2.如权利要求1所述的针对全维度攻击的网络安全防护系统,其特征在于,所述安全数据处理模块在获取目标网络的安全数据时,具体用于:
利用目标网络配置的日志服务器获取所述目标网络的网络日志;
生成所述目标网络的网络流量数据;
采集所述目标网络的审计日志,汇集所述网络日志、所述网络流量数据和所述审计日志为所述目标网络的安全数据。
3.如权利要求1所述的针对全维度攻击的网络安全防护系统,其特征在于,所述安全数据处理模块在利用预设的观测值算法对所述安全数据进行界限观测值筛选,得到所述安全数据的筛选数据时,具体用于:
生成所述安全数据的升序数据,根据所述升序数据确定所述安全数据的标志点,其中,所述标志点包括:上四分位数、中位数和下四分位数;
利用预设的观测值算法生成所述安全数据的界限观测值;
根据所述界限观测值和所述标志点对所述安全数据进行数据筛选,得到所述安全数据的筛选数据。
4.如权利要求1所述的针对全维度攻击的网络安全防护系统,其特征在于,所述数据关联模块在对所述筛选数据进行数据分类,得到所述筛选数据的分类数据时,具体用于:
提取所述筛选数据的数据特征;
对所述数据特征进行特征编码,得到所述数据特征的编码特征;
对所述编码特征进行特征分类,得到所述编码特征的分类特征,根据所述分类特征确定所述筛选数据的分类数据。
5.如权利要求4所述的针对全维度攻击的网络安全防护系统,其特征在于,所述数据关联模块在对所述编码特征进行特征分类,得到所述编码特征的分类特征之前,还包括:
S21、根据预设的信息增益算法生成预设训练集的信息增益,其中,所述预设的信息增益算法为:详细地,/>是选择特征/>对预设训练集/>进行划分后的信息增益,/>是预设训练集,/>是选择特征,/>是使用选择特征/>划分预设训练集/>后的第/>个训练子集,/>是训练子集的总数,/>是训练子集的标识,表示第/>个训练子集中属于类别标签/>的样本数量,/>是类别标签的标识,/>是类别标签的总数,/>是第/>个类别标签,/>是训练子集的样本数量,/>是预设训练集的样本数量;
S22、根据所述信息增益生成待训练的分类模型的节点特征;
S23、根据所述节点特征对所述预设训练集进行数据划分,得到所述预设训练集的训练子集,返回步骤S21,直至所述训练子集中数据类别等于预设的类别阈值,根据所述节点特征生成对所述编码特征进行特征分类的分类模型。
6.如权利要求1所述的针对全维度攻击的网络安全防护系统,其特征在于,所述拓扑图构建模块在构建所述目标网络的网络拓扑图时,具体用于:
对所述目标网络进行扫描,得到所述目标网络的节点扫描信息;
对所述节点扫描信息进行信息解析,得到所述节点扫描信息的解析信息;
根据所述解析信息生成所述目标网络的网络拓扑图。
7.如权利要求6所述的针对全维度攻击的网络安全防护系统,其特征在于,所述拓扑图构建模块在根据所述解析信息生成所述目标网络的网络拓扑图时,具体用于:
根据所述解析信息建立所述目标网络的网络节点的依赖关系;
对所述网络节点进行属性配置,得到所述网络节点的配置节点;
根据所述依赖关系和所述配置节点生成所述目标网络的网络拓扑图。
8.如权利要求1所述的针对全维度攻击的网络安全防护系统,其特征在于,所述安全画像生成模块在根据所述网络拓扑图和所述分类数据生成所述目标网络的全维度安全画像时,具体用于:
生成所述分类数据的数据标签,其中,所述数据标签包括:设备漏洞评估标签、主机安全配置标签及通信异常行为标签;
根据所述网络拓扑图和所述数据标签生成所述目标网络的全维度安全画像。
9.一种针对全维度攻击的网络安全防护方法,其特征在于,所述方法包括:
获取目标网络的安全数据,利用预设的观测值算法对所述安全数据进行界限观测值筛选,得到所述安全数据的筛选数据,其中,所述预设的观测值算法为:其中,/>是界限观测值中的最小观测值,/>是界限观测值中的最大观测值,/>是根据所述安全数据确定的上四分位数,/>是所述安全数据确定根据下四分位数;
对所述筛选数据进行数据分类,得到所述筛选数据的分类数据;
构建所述目标网络的网络拓扑图;
根据所述网络拓扑图和所述分类数据生成所述目标网络的全维度安全画像;
根据所述全维度安全画像对所述目标网络进行节点安全分析,得到所述目标网络的节点数据;
根据所述节点数据生成所述目标网络的防护方案,利用所述防护方案对所述目标网络进行安全防护。
10.一种计算机可读存储介质,存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求9所述的针对全维度攻击的网络安全防护方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410112094.5A CN117640263A (zh) | 2024-01-26 | 2024-01-26 | 一种针对全维度攻击的网络安全防护系统、方法及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410112094.5A CN117640263A (zh) | 2024-01-26 | 2024-01-26 | 一种针对全维度攻击的网络安全防护系统、方法及介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117640263A true CN117640263A (zh) | 2024-03-01 |
Family
ID=90030804
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202410112094.5A Pending CN117640263A (zh) | 2024-01-26 | 2024-01-26 | 一种针对全维度攻击的网络安全防护系统、方法及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117640263A (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107196910A (zh) * | 2017-04-18 | 2017-09-22 | 国网山东省电力公司电力科学研究院 | 基于大数据分析的威胁预警监测系统、方法及部署架构 |
CN107480533A (zh) * | 2017-08-08 | 2017-12-15 | 深圳市腾讯计算机系统有限公司 | 一种漏洞修复的方法、装置及装置 |
CN109977680A (zh) * | 2019-03-13 | 2019-07-05 | 北京国舜科技股份有限公司 | 一种业务数据安全风险识别方法及系统 |
CN111565390A (zh) * | 2020-07-16 | 2020-08-21 | 深圳市云盾科技有限公司 | 一种基于设备画像的物联网设备风险控制方法及系统 |
US20200412757A1 (en) * | 2019-06-26 | 2020-12-31 | Saudi Arabian Oil Company | Network security system and method for preemptively identifying or remediating security vulnerabilities |
US20210334386A1 (en) * | 2020-04-27 | 2021-10-28 | Saudi Arabian Oil Company | Method and system for assessing effectiveness of cybersecurity controls in an ot environment |
CN117240594A (zh) * | 2023-10-31 | 2023-12-15 | 深圳市常行科技有限公司 | 一种多维度网络安全运维防护管理系统及方法 |
-
2024
- 2024-01-26 CN CN202410112094.5A patent/CN117640263A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107196910A (zh) * | 2017-04-18 | 2017-09-22 | 国网山东省电力公司电力科学研究院 | 基于大数据分析的威胁预警监测系统、方法及部署架构 |
CN107480533A (zh) * | 2017-08-08 | 2017-12-15 | 深圳市腾讯计算机系统有限公司 | 一种漏洞修复的方法、装置及装置 |
CN109977680A (zh) * | 2019-03-13 | 2019-07-05 | 北京国舜科技股份有限公司 | 一种业务数据安全风险识别方法及系统 |
US20200412757A1 (en) * | 2019-06-26 | 2020-12-31 | Saudi Arabian Oil Company | Network security system and method for preemptively identifying or remediating security vulnerabilities |
US20210334386A1 (en) * | 2020-04-27 | 2021-10-28 | Saudi Arabian Oil Company | Method and system for assessing effectiveness of cybersecurity controls in an ot environment |
CN111565390A (zh) * | 2020-07-16 | 2020-08-21 | 深圳市云盾科技有限公司 | 一种基于设备画像的物联网设备风险控制方法及系统 |
CN117240594A (zh) * | 2023-10-31 | 2023-12-15 | 深圳市常行科技有限公司 | 一种多维度网络安全运维防护管理系统及方法 |
Non-Patent Citations (4)
Title |
---|
"决策树模型(二)", pages 1, Retrieved from the Internet <URL:https://blog.csdn.net/u011703187/article/details/101083294> * |
东方草堂的数据: "箱形图为什么能检测异常值,原理是什么?", pages 1, Retrieved from the Internet <URL:blog.csdn.net/kevin1993best/article/details/107565560> * |
刘文甫 等: "基于期望收益率攻击图的网络风险评估研究", 网络与信息安全学报, vol. 8, no. 4, 15 August 2022 (2022-08-15) * |
杨丽丽 等: "基于动态系统画像的漏洞风险遏制方案研究", 邮电设计技术, 20 September 2022 (2022-09-20) * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Ghorbani et al. | Network intrusion detection and prevention: concepts and techniques | |
Li | Using genetic algorithm for network intrusion detection | |
WO2009037333A2 (en) | Intrusion detection method and system | |
Rout et al. | A hybrid approach for network intrusion detection | |
CN117081868B (zh) | 一种基于安全策略的网络安全运营方法 | |
CN116319061A (zh) | 一种智能控制网络系统 | |
Badajena et al. | Incorporating hidden Markov model into anomaly detection technique for network intrusion detection | |
Labib | Computer security and intrusion detection | |
Naidu et al. | An effective approach to network intrusion detection system using genetic algorithm | |
Potteti et al. | Intrusion detection system using hybrid Fuzzy Genetic algorithm | |
Saini et al. | Vulnerability and Attack Detection Techniques: Intrusion Detection System | |
Leghris et al. | Improved security intrusion detection using intelligent techniques | |
CN117640263A (zh) | 一种针对全维度攻击的网络安全防护系统、方法及介质 | |
AT&T | ||
Cerotti et al. | Analysis and detection of cyber attack processes targeting smart grids | |
Marinova-Boncheva | Applying a data mining method for intrusion detection | |
Al Maskari et al. | Security and vulnerability issues in university networks | |
CN117040871B (zh) | 一种网络安全运营服务方法 | |
Li et al. | Research on Intrusion Detection Technology of Electric Control System Based on Machine Learning | |
CN118018231A (zh) | 隔离区的安全策略管理方法、装置、设备和存储介质 | |
Mejia-Ricart | Data-Driven Adversarial Behavior Models for Cybersecurity | |
Syrjälä | Exploring network detection and response technologies: understanding the role of network detection and response and comparing features of available products | |
Karie et al. | Cybersecurity Incident Response in the Enterprise | |
Gong | Intrusion detection model based on security knowledge in online network courses | |
Siyez | A New Method terms of Cyber Security: Fight, Flight, Freeze Effect |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |