CN117650922A - 安全防护方法、装置及存储介质 - Google Patents
安全防护方法、装置及存储介质 Download PDFInfo
- Publication number
- CN117650922A CN117650922A CN202311616338.5A CN202311616338A CN117650922A CN 117650922 A CN117650922 A CN 117650922A CN 202311616338 A CN202311616338 A CN 202311616338A CN 117650922 A CN117650922 A CN 117650922A
- Authority
- CN
- China
- Prior art keywords
- risk
- terminal
- risk group
- level
- group
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 99
- 230000008569 process Effects 0.000 claims description 48
- 238000004422 calculation algorithm Methods 0.000 claims description 9
- 238000004891 communication Methods 0.000 abstract description 29
- 238000009792 diffusion process Methods 0.000 abstract description 2
- 230000006870 function Effects 0.000 description 16
- 238000010586 diagram Methods 0.000 description 12
- 239000000243 solution Substances 0.000 description 7
- 230000009286 beneficial effect Effects 0.000 description 6
- 238000012545 processing Methods 0.000 description 5
- 238000004590 computer program Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000013461 design Methods 0.000 description 3
- 238000011161 development Methods 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 230000007123 defense Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- 238000007429 general method Methods 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 230000006386 memory function Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000003449 preventive effect Effects 0.000 description 1
- 238000012502 risk assessment Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000009385 viral infection Effects 0.000 description 1
Landscapes
- Storage Device Security (AREA)
Abstract
本申请公开了一种安全防护方法、装置及存储介质,涉及通信技术领域,用于解决一个终端被攻击后,攻击扩散导致其他终端受到损失的问题。该方法包括:基于每个终端的至少一个特征,确定每个终端的多个风险分组以及风险分组等级;基于风险分组等级,以及每个终端的使用场景,确定每个终端的终端风险等级;在检测到一个终端的任一特征被攻击的情况下,确定任一特征对应的风险分组中的至少一个第一终端;基于每个第一终端的终端风险等级,确定每个第一终端的安全防护策略。本申请可以在一个终端被攻击时,确定其他有可能被影响的终端的安全防护策略,避免其他终端产生损失。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种安全防护方法、装置及存储介质。
背景技术
病毒在进入网络后会迅速传播,造成网络终端、主机的大面积病毒感染,产生巨大的损失。
目前,传统的网络安全防御手段通常是系统遭受了攻击后,根据攻击情况采取行动,包括且不限于:传统杀毒软件、基于特征库入侵检测、防御等手段,但是系统攻击通常会扩散到其他终端,上述手段无法预防攻击的发生,无法减小其他终端受到的损失。
发明内容
本申请提供一种安全防护方法、装置及存储介质,用于解决通用方法中一个终端被攻击后,攻击扩散导致其他终端受到损失的问题。
为达到上述目的,本申请采用如下技术方案:
第一方面,提供一种安全防护方法,包括:基于多个终端中每个终端的至少一个特征,确定每个终端的多个风险分组以及风险分组等级;其中,一个特征对应一个或多个风险分组,一个风险分组对应一个风险等级;特征包括终端安装的应用、启动的进程、配置的基线中的至少一个;基于每个终端对应的风险分组的风险分组等级,以及每个终端的使用场景,确定每个终端的终端风险等级;在检测到多个终端中的一个终端的任一特征被攻击的情况下,确定任一特征对应的风险分组中的至少一个第一终端;基于至少一个第一终端中的每个第一终端的终端风险等级,确定每个第一终端的安全防护策略;安全防护策略与每个终端的终端风险等级一一对应。
可选的,基于多个终端中每个终端的至少一个特征,确定每个终端的多个风险分组以及风险分组等级的方法,包括:针对多个终端中的每个终端执行以下目标操作,以确定每个终端的多个风险分组以及风险分组等级;目标操作包括:获取目标终端的至少一个特征;目标终端为多个终端中的任一个终端;将目标终端的至少一个特征输入预先配置的终端分组模型中,确定每个终端的多个风险分组以及风险分组等级。
可选的,基于每个终端对应的风险分组的风险分组等级,以及每个终端的使用场景,确定每个终端的终端风险等级的方法,包括:基于多个风险分组的风险分组等级,确定多个风险分组中每个风险分组的风险分值;基于每个终端对应的风险分组的风险分值,确定每个终端的风险分值;基于每个终端的使用场景,确定每个终端的使用场景的场景分值;基于每个终端的风险分值和场景分值,确定每个终端的风险等级分值;将每个终端的风险等级分值与预先设置的风险等级评分表进行对比,确定每个终端的终端风险等级。
可选的,基于每个终端的风险分值和场景分值,确定每个终端的风险等级分值的方法,包括:为每个终端的风险分值赋予权重;为每个终端的场景分值赋予权重;通过加权平均算法,确定每个终端的风险等级分值。
可选的,一个风险分组对应一个或多个特征,方法还包括:基于每个风险分组对应的特征的风险判断规则,确定每个风险分组对应的风险分组等级。
可选的,应用包括:OFFICE、VPN、TOMCAT中的至少一个;进程包括:JAVA、MYSQLD中的至少一个;基线包括:密码策略;OFFICE对应的风险分组为OFFICE风险组;VPN对应的风险分组为VPN风险组;TOMCAT对应的风险分组为Log4j风险组、JMS进程风险组;JAVA对应的风险分组为JMS进程风险组;MYSQLD对应的风险分组为密码安全风险组;密码策略对应的风险分组为密码安全风险组。
可选的,OFFICE风险组对应的风险等级为中;Log4j风险组对应的风险等级为高;VPN风险组对应的风险等级为低;JMS进程风险组对应的风险等级为低;密码安全风险组对应的风险等级为很低。
第二方面,提供一种安全防护装置,包括:确定单元;确定单元,用于基于多个终端中每个终端的至少一个特征,确定每个终端的多个风险分组以及风险分组等级;其中,一个特征对应一个或多个风险分组,一个风险分组对应一个风险等级;特征包括终端安装的应用、启动的进程、配置的基线中的至少一个;确定单元,还用于基于每个终端对应的风险分组的风险分组等级,以及每个终端的使用场景,确定每个终端的终端风险等级;确定单元,还用于在检测到多个终端中的一个终端的任一特征被攻击的情况下,确定任一特征对应的风险分组中的至少一个第一终端;确定单元,还用于基于至少一个第一终端中的每个第一终端的终端风险等级,确定每个第一终端的安全防护策略;安全防护策略与每个终端的终端风险等级一一对应。
可选的,确定单元,具体用于:针对多个终端中的每个终端执行以下目标操作,以确定每个终端的多个风险分组以及风险分组等级;目标操作包括:获取目标终端的至少一个特征;目标终端为多个终端中的任一个终端;将目标终端的至少一个特征输入预先配置的终端分组模型中,确定每个终端的多个风险分组以及风险分组等级。
可选的,确定单元,具体用于:基于多个风险分组的风险分组等级,确定多个风险分组中每个风险分组的风险分值;基于每个终端对应的风险分组的风险分值,确定每个终端的风险分值;基于每个终端的使用场景,确定每个终端的使用场景的场景分值;基于每个终端的风险分值和场景分值,确定每个终端的风险等级分值;将每个终端的风险等级分值与预先设置的风险等级评分表进行对比,确定每个终端的终端风险等级。
可选的,确定单元,具体用于:为每个终端的风险分值赋予权重;为每个终端的场景分值赋予权重;通过加权平均算法,确定每个终端的风险等级分值。
可选的,一个风险分组对应一个或多个特征;确定单元,还用于:基于每个风险分组对应的特征的风险判断规则,确定每个风险分组对应的风险分组等级。
可选的,应用包括:OFFICE、VPN、TOMCAT中的至少一个;进程包括:JAVA、MYSQLD中的至少一个;基线包括:密码策略;OFFICE对应的风险分组为OFFICE风险组;VPN对应的风险分组为VPN风险组;TOMCAT对应的风险分组为Log4j风险组、JMS进程风险组;JAVA对应的风险分组为JMS进程风险组;MYSQLD对应的风险分组为密码安全风险组;密码策略对应的风险分组为密码安全风险组。
可选的,OFFICE风险组对应的风险等级为中;Log4j风险组对应的风险等级为高;VPN风险组对应的风险等级为低;JMS进程风险组对应的风险等级为低;密码安全风险组对应的风险等级为很低。
第三方面,提供一种安全防护装置,包括存储器和处理器;存储器用于存储计算机执行指令,处理器与存储器通过总线连接;当安全防护装置运行时,处理器执行存储器存储的计算机执行指令,以使安全防护装置执行第一方面或其任一实现方式的安全防护方法。
该安全防护装置可以是网络设备,也可以是网络设备中的一部分装置,例如网络设备中的芯片系统。该芯片系统用于支持网络设备实现第一方面及其任意一种可能的实现方式中所涉及的功能,例如,获取、确定、发送上述安全防护方法中所涉及的数据和/或信息。该芯片系统包括芯片,也可以包括其他分立器件或电路结构。
第四方面,提供一种计算机可读存储介质,计算机可读存储介质包括计算机执行指令,当计算机执行指令在计算机上运行时,使得该计算机执行第一方面或其任一实现方式的安全防护方法。
第五方面,还提供一种计算机程序产品,该计算机程序产品包括计算机指令,当计算机指令在安全防护装置上运行时,使得安全防护装置执行如上述第一方面或其任一实现方式的安全防护方法。
需要说明的是,上述计算机指令可以全部或者部分存储在计算机可读存储介质上。其中,计算机可读存储介质可以与安全防护装置的处理器封装在一起的,也可以与安全防护装置的处理器单独封装,本申请对此不作限定。
本申请中第二方面、第三方面、第四方面以及第五方面的描述,可以参考第一方面的详细描述;并且,第二方面、第三方面、第四方面以及第五方面的有益效果,可以参考第一方面的有益效果分析,此处不再赘述。
在本申请中,上述安全防护装置的名字对设备或功能模块本身不构成限定,在实际实现中,这些设备或功能模块可以以其他名称出现。只要各个设备或功能模块的功能和本申请类似,属于本申请权利要求及其等同技术的范围之内。
本申请的这些方面或其他方面在以下的描述中会更加简明易懂。
本申请提供的技术方案至少带来以下有益效果:
基于上述任一方面,本申请提供了一种安全防护方法,本申请可以基于每个终端的特征,确定每个终端的多个风险分组,进而确定风险分组等级和终端风险等级,从而可以在检测到一个终端中的任一特征被攻击的情况下,确定存在该特征的风险分组中的每个终端的安全防护策略,进而可以在其他终端产生损失之前启动安全防护策略,避免其他终端产生损失。
附图说明
图1为本申请实施例提供的一种安全防护系统的结构示意图;
图2为本申请实施例提供的一种通信装置的硬件结构示意图一;
图3为本申请实施例提供的一种通信装置的硬件结构示意图二;
图4为本申请实施例提供的一种安全防护方法的流程示意图一;
图5为本申请实施例提供的一种安全防护方法的流程示意图二;
图6为本申请实施例提供的一种安全防护方法的流程示意图三;
图7为本申请实施例提供的一种安全防护方法的流程示意图四;
图8为本申请实施例提供的一种安全防护方法的流程示意图五;
图9为本申请实施例提供的一种安全防护方法的终端分组示意图一;
图10为本申请实施例提供的一种安全防护方法的终端分组示意图二;
图11为本申请实施例提供的一种安全防护装置的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,本申请实施例中,“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言,使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。
为了便于清楚描述本申请实施例的技术方案,在本申请实施例中,采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分,本领域技术人员可以理解“第一”、“第二”等字样并不是在对数量和执行次序进行限定。
为了便于理解,首先对本申请涉及到的名词进行解释。
1、终端安全知识库是一个包含终端安全的信息和指南的资源库。其中,包含了系统漏洞信息、应用漏洞信息、终端基线配置、恶意代码特征、终端分类信息、进程脆弱性信息、终端等级、终端用途等信息。终端安全知识库可以为终端分组提供依据。
2、终端范围是通过终端的分组和分级来圈定的具有相同特征的终端的集合。
以上,为本申请实施例涉及到的名词进行了详细的解释。
如背景技术所示,随着数字化城市的发展,保证数字城市的网络安全成为一个关键的问题。目前大部分的终端安全管理系统的分组逻辑是按照资产的归属进行分组,在终端出现问题后迅速定位到终端的位置,根据攻击情况采取行动,但是这样只能减少终端后续的损失,无法避免攻击已经造成的损失和影响。
针对以上技术问题,本申请实施例提供了一种安全防护方法,本申请可以基于每个终端的特征,确定每个终端的多个风险分组,进而确定风险分组等级和终端风险等级,从而可以在检测到一个终端中的任一特征被攻击的情况下,确定存在该特征的风险分组中的每个终端的安全防护策略,进而可以在其他终端产生损失之前启动安全防护策略,避免其他终端产生损失。
该安全防护方法适用于安全防护系统。图1示出了一种安全防护系统100的结构示意图。如图1所示,该安全防护系统100包括:安全防护装置101、多个终端(图1以“多个终端包括终端102和终端103”为例进行说明)。
可选的,安全防护装置101和多个终端之间可以通过有线或者无线的方式连接。
可选的,安全防护装置101可以是具有防火墙、杀毒软件、入侵检测系统等的设备。
可选的,终端102和终端103可以是键盘、鼠标、触摸屏等输入设备,可以是显示器等输出设备,可以是电子邮件客户端、浏览器、文本编辑器等软件设备,也可以是个人电脑、手机、打印机等硬件设备。为了便于理解,本申请中以终端为硬件设备为例进行说明。
结合图1,安全防护系统中的安全防护装置101、多个终端均包括图2或图3所示通信装置所包括的元件。下面以图2和图3所示的通信装置为例,介绍安全防护装置101、多个终端的硬件结构。
如图2所示,为本申请实施例提供的通信装置的一种硬件结构示意图。该通信装置包括处理器21,存储器22、通信接口23、总线24。处理器21,存储器22以及通信接口23之间可以通过总线24连接。
处理器21是通信装置的控制中心,可以是一个处理器,也可以是多个处理元件的统称。例如,处理器21可以是一个通用中央处理单元(central processing unit,CPU),也可以是其他通用处理器等。其中,通用处理器可以是微处理器或者是任何常规的处理器等。
作为一种实施例,处理器21可以包括一个或多个CPU,例如图2中所示的CPU 0和CPU 1。
存储器22可以是只读存储器(read-only memory,ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器(random access memory,RAM)或者可存储信息和指令的其他类型的动态存储设备,也可以是电可擦可编程只读存储器(electricallyerasable programmable read-only memory,EEPROM)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。
一种可能的实现方式中,存储器22可以独立于处理器21存在,存储器22可以通过总线24与处理器21相连接,用于存储指令或者程序代码。处理器21调用并执行存储器22中存储的指令或程序代码时,能够实现本发明下述实施例提供的安全防护方法。
另一种可能的实现方式中,存储器22也可以和处理器21集成在一起。
通信接口23,用于通信装置与其他设备通过通信网络连接,通信网络可以是以太网,无线接入网,无线局域网(wireless local area networks,WLAN)等。通信接口23可以包括用于接收数据的接收单元,以及用于发送数据的发送单元。
总线24,可以是工业标准体系结构(industry standard architecture,ISA)总线、外部设备互连(peripheral component interconnect,PCI)总线或扩展工业标准体系结构(extended industry standard architecture,EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。为便于表示,图2中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
图3示出了本发明实施例中通信装置的另一种硬件结构。如图3所示,通信装置可以包括处理器31以及通信接口32。处理器31与通信接口32耦合。
处理器31的功能可以参考上述处理器21的描述。此外,处理器31还具备存储功能,可以起上述存储器22的功能。
通信接口32用于为处理器31提供数据。该通信接口32可以是通信装置的内部接口,也可以是通信装置对外的接口(相当于通信接口23)。
需要指出的是,图2(或图3)中示出的结构并不构成对通信装置的限定,除图2(或图3)所示部件之外,该通信装置可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
下面结合附图对本申请实施例提供的安全防护方法进行详细介绍。
本申请实施例提供的安全防护方法可以应用于前述图1所示的应用场景中的安全防护装置101。如图4所示,该安全防护方法包括:
S401、安全防护装置基于多个终端中每个终端的至少一个特征,确定每个终端的多个风险分组以及风险分组等级。
其中,一个特征对应一个或多个风险分组,一个风险分组对应一个风险等级。
可选的,特征可以包括终端安装的应用、启动的进程、配置的基线中的至少一个。
在一种可能的实现方式中,安全防护装置可以基于每个终端内部安装的应用、启动的进程、配置的基线等方面对终端进行细粒度的风险分析,并将具有相同特征的终端纳入相关的分组进行统一的管理,再对风险分组进行风险等级的评定,依据终端的特征对终端进行统一管理,可以避免风险的扩大情况。
在一种可能的实现方式中,终端对应多个风险分组,每个风险分组的风险分组等级有可能不同,从不同的风险分组的角度来看终端时,终端的风险分组等级也不一样。
S402、安全防护装置基于每个终端对应的风险分组的风险分组等级,以及每个终端的使用场景,确定每个终端的终端风险等级。
可选的,终端风险等级可以是很高、高、中、低、很低。
S403、安全防护装置在检测到多个终端中的一个终端的任一特征被攻击的情况下,确定任一特征对应的风险分组中的至少一个第一终端。
示例性的,安全防护装置在终端a上检测到了JMS的未授权攻击,安全防护装置通过JMS事件的特征从终端a的风险分组中找到与该特征对应的至少一个风险分组,并得到至少一个风险分组内的至少一个终端。安全防护装置得到的至少一个终端是本次事件有可能影响到的终端范围。
S404、安全防护装置基于至少一个第一终端中的每个第一终端的终端风险等级,确定每个第一终端的安全防护策略。
其中,安全防护策略与每个终端的终端风险等级一一对应。
在一种可能的实现方式中,在找到本次攻击事件有可能影响到的终端范围之后,安全防护装置可以基于终端范围内每个终端的终端风险等级,确定每个终端对应的安全防护策略,并为每个终端启动对应的安全防护策略,进行攻击事件的预防性处置,避免攻击事件为更多终端造成更大的损失。
在一种可能的实现方式中,安全防护装置基于多个终端的特征,确定终端A的风险分组为分组1、分组2,终端B的风险分组为分组1,分组3,终端C的风险分组为分组1,终端D的风险分组为分组4,终端E的风险分组为分组3、分组4。
安全防护装置确定终端A的终端风险等级为低、终端B的终端风险等级为很低、终端C的终端风险等级为中、终端D的终端风险等级为低、终端E的终端风险等级为中。
当安全防护装置在终端A上检测到了特征攻击,安全防护装置从终端A的所有分组中找到与该特征对应的风险分组为分组1,那么,安全防护装置找到分组1内的终端B、终端C。安全防护装置基于终端B的终端风险等级为很低,确定终端B的安全防护策略,基于终端C的终端风险等级为中,确定终端C的安全防护策略。
上述实施例提供的技术方案至少带来以下有益效果:由S401-S404可知,本申请提供了一种安全防护方法,本申请可以基于每个终端的特征,确定每个终端的多个风险分组,进而确定风险分组等级和终端风险等级,从而可以在检测到一个终端中的任一特征被攻击的情况下,确定存在该特征的风险分组中的每个终端的安全防护策略,进而可以在其他终端产生损失之前启动安全防护策略,避免其他终端产生损失。
在一种可选的实施例中,结合图4,如图5所示,上述S401中基于多个终端中每个终端的至少一个特征,确定每个终端的多个风险分组以及风险分组等级的过程具体可以通过以下S501-S503实现:
S501、安全防护装置针对多个终端中的每个终端执行以下目标操作,以确定每个终端的多个风险分组以及风险分组等级,目标操作包括:
S502、安全防护装置获取目标终端的至少一个特征。
其中,目标终端为多个终端中的任一个终端。
S503、安全防护装置将目标终端的至少一个特征输入预先配置的终端分组模型中,确定每个终端的多个风险分组以及风险分组等级。
在一种可能的实现方式中,终端a中安装了TOMCAT,安装了JAVA,并配置了相关的基线设定,安全防护装置将终端a的应用TOMCAT,进程JAVA,输入到预先配置的终端分组模型中,依据终端安全知识库的规则对终端特征进行分析,确定TOMCAT、JAVA属于JMS进程风险组,即终端a的一个风险分组是JMS进程风险组,且JMS进程风险组的风险等级为低。
在一种可能的实现方式中,终端分组模型在确定终端a的风险分组,以及风险分组等级时,首先由于TOMCAT和JAVA都是最新版本,因此无已知的漏洞风险。其次,通过终端a的进程可知终端a具有JMS进程的风险,可能出现未授权访问、拒绝服务攻击、代码注入等风险,但是JMS进程的风险黑客利用率低,且攻击成功率较低。然后,终端a是开发人员的开发终端,且无法访问内网的关键应用,产生真实的数据,终端a的终端基线也满足安全要求,其他软件的版本也为最新版本,因此,终端a的一个风险分组为JMS进程风险组,且JMS进程风险组的风险等级为低。
上述实施例提供的技术方案至少带来以下有益效果:由S501-S503可知,本申请可以将目标终端的特征输入到预先配置的终端分组模型,进而确定终端的多个风险分组以及风险分组等级,通过对特征进行细粒度的分析实现终端分组,可以更精确地选择后续可能被攻击到的终端。
在一种可选的实施例中,结合图4,如图6所示,上述S402基于每个终端对应的风险分组的风险分组等级,以及每个终端的使用场景,确定每个终端的终端风险等级的过程具体可以通过以下S601-S605实现:
S601、安全防护装置基于多个风险分组的风险分组等级,确定多个风险分组中每个风险分组的风险分值。
在一种可能的实现方式中,安全防护装置在终端安全知识库中,基于每个风险分组的风险分组等级,和每个风险分组的扩散度、应用难度、危害性等方面,确定每个风险分组的风险分值。
示例性的,安全防护装置设置风险等级为低的风险分组的风险分值的范围为11~30,由于JMS进程风险组的风险等级为低,又由于JMS风险不易扩散、应用难度低、危害性较低,故而确定JMS进程风险组的风险分值为15。
示例性的,安全防护装置设置风险等级为高的风险分组的风险分值的范围为51~70,由于Log4j风险组的分线等级为高,又由于终端a上安装的Log4j的版本为Log4j2 2.0-2.15.0-rc1(CNVD-2021-95914),Log4j2的版本存在一些已知的漏洞和风险、易扩散、危害性高,攻击者可以通过漏洞执行恶意代码并窃取数据,因此可以确定Log4j风险组的风险分值为60。
S602、安全防护装置基于每个终端对应的风险分组的风险分值,确定每个终端的风险分值。
在一种可能的实现方式中,每个终端对应多个风险分组,安全防护装置可以通过计算多个风险分组的风险分值的平均数来确定每个终端的风险分值。
示例性的,终端a中JMS进程风险组的风险分值为15,Log4j风险组的风险分值为60,安全防护装置确定每个终端的风险分值37.5。
S603、安全防护装置基于每个终端的使用场景,确定每个终端的使用场景的场景分值。
可选的,使用场景可以包括:使用目的、使用范围、使用人员、用户行为等中的至少一种。
在一种可能的实现方式中,安全防护装置在终端安全知识库中,基于每个终端的使用目的、使用范围、使用人员、用户行为等方面,确定终端的场景分值。
示例性的,终端a是开发人员的终端,主要应用于开发、测试和调试,通常是在开发人员的公司被使用,且只有开发人员能访问终端a,安全防护装置确定终端a的场景分值为10。
S604、安全防护装置基于每个终端的风险分值和场景分值,确定每个终端的风险等级分值。
在一种可能的实现方式中,安全防护装置可以通过计算每个终端的风险分值和场景分值的平均值,来确定每个终端的风险等级分值。
S605、安全防护装置将每个终端的风险等级分值与预先设置的风险等级评分表进行对比,确定每个终端的终端风险等级。
在一种可能的实现方式中,安全防护装置可以预先设置风险等级评分表,安全防护装置可以参考GBT 31722-2015信息技术安全技术信息安全风险管理来制定风险等级评分表。其中,不同的终端风险等级可以对应不同的风险等级分值范围。
在一种可以实现的方式中,结合表1,当终端a的风险等级分值的范围为0~10时,终端a的终端风险等级为很低,当终端a的风险等级分值的范围为11~30时,终端a的终端风险等级为低,当终端a的风险等级分值的范围为31~50时,终端a的终端风险等级为中,当终端a的风险等级分值的范围为51~70时,终端a的终端风险等级为高,当终端a的风险等级分值的范围为71~90时,终端a的终端风险等级为很高。
表1风险等级评分表
序号 | 终端风险等级 | 风险等级分值 |
1 | 很高 | 71-90 |
2 | 高 | 51-70 |
3 | 中 | 31-50 |
4 | 低 | 11-30 |
5 | 很低 | 0-10 |
示例性的,终端a的风险分值为37.5,终端a的场景分值为10,安全防护装置通过计算风险分值与场景分值的平均数,确定安全防护装置的风险等级分值为23.75,通过对比风险等级评分表确定终端a对应的终端风险等级为低。
上述实施例提供的技术方案至少带来以下有益效果:由S601-S605可知,本申请可以结合终端对应的风险分组的风险分值和终端的使用场景的场景分值,来确定终端的风险等级分值,进而确定终端的终端风险等级,从多方面确定终端风险等级,可以更精准地为终端确定安全防护策略,保证终端的安全。
在一种可选的实施例中,结合图6,如图7所示,上述S604中基于每个终端的风险分值和场景分值,确定每个终端的风险等级分值的过程具体可以通过以下S701-S703实现:
S701、安全防护装置为每个终端的风险分值赋予权重。
在一种可能的实现方式中,安全防护装置可以使用加权平均算法计算每个终端的风险分值。
示例性的,终端a中JMS进程风险组的风险分值为15,Log4j风险组的风险分值为60,安全防护装置为JMS进程风险组赋予20%的权重,为Log4j风险组赋予80%的权重,通过计算可得终端a的风险分值为51。
S702、安全防护装置为每个终端的场景分值赋予权重。
S703、安全防护装置通过加权平均算法,确定每个终端的风险等级分值。
在一种可能的实现方式中,安全防护装置可以为每个终端的风险分值赋予对应的权重,再为每个终端的场景分值赋予对应的权重,然后用风险分值和场景分值乘以对应的权重,再将它们相加,最后除以权重的总和,最后得到每个终端的风险等级分值。
示例性的,终端a的风险分值为51,终端a的场景分值为10,安全防护装置设置风险分值的权重为80%,场景分值对应的权重为20%,那么通过计算可得,终端a的风险等级分值为42.8,后续还可以确定终端a的终端风险等级为中。
上述实施例提供的技术方案至少带来以下有益效果:由S701-S703可知,本申请通过加权平均算法来确定终端的风险等级分值,加权平均算法的计算过程简单,公正性高,可以依据风险分值和场景分值不同的重要性,更准确地计算出终端的风险等级分值。
在一种可选的实施例中,结合图4,如图8所示,上述安全防护方法还包括:
S801、安全防护装置基于每个风险分组对应的特征的风险判断规则,确定每个风险分组对应的风险分组等级。
在一种可能的实现方式中,安全防护装置基于每个风险分组对应的特征的风险判断规则建立机器学习模型,并不断获取更多的终端信息完善终端安全知识库。安全防护装置可以周期性地采集终端信息,并将采集到的终端信息作为数据源,利用风险判断规则通过终端的特性,依据终端安全知识库的预设权重设定来确定每个风险分组的风险等级。
上述实施例提供的技术方案至少带来以下有益效果:由S801可知,本申请通过对每个风险分组中的特征进行分析,可以更准确地评估每个风险分组的风险分组等级,从而提高风险管理的准确度,提高安全防护的效果。
图9是安全防护装置基于终端0中的多个特征对终端0进行分组的一种终端分组示意图,以下结合图9,对本申请实施例提供的安全防护方法进行示例性的说明。
假设终端0中安装的应用有OFFICE、VPN、TOMCAT,启动的进程有JAVA、MYSQLD,配置的基线有密码策略。安全防护装置基于终端安全知识库的规则确定OFFICE对应的风险分组为OFFICE风险组,VPN对应的风险分组为VPN风险组,TOMCAT对应的风险分组为Log4j风险组、JMS进程风险组,JAVA对应的风险分组为JMS进程风险组,MYSQLD对应的风险分组为密码安全风险组,密码策略对应的风险分组为密码安全风险组。
安全防护装置确定OFFICE风险组对应的风险分组等级为中,Log4j风险组对应的风险分组等级为高,VPN风险组对应的风险分组等级为低,JMS进程风险组对应的风险分组等级为低,密码安全风险组对应的风险分组等级为很低。
图10是安全防护装置对多个终端进行分组的一种终端分组示意图,以下结合图10,对本申请实施例提供的安全防护方法进行示例性的说明。
安全防护装置基于每个终端的特征对多个终端进行分组,并确定多个风险分组的风险分组等级。
安全防护装置确定终端1对应的风险分组是OFFICE风险组、Log4j风险组,终端2对应的风险分组是OFFICE风险组、VPN风险组,终端3对应的风险组是OFFICE风险组,终端4对应的风险组是JMS进程风险组,终端5对应的是Log4j风险组,终端6对应的是VPN风险组,终端7对应的是JMS进程风险组。
安全防护装置还确定OFFICE风险组对应的风险分组等级为中,Log4j风险组对应的风险分组等级为高,VPN风险组对应的风险分组等级为低,JMS进程风险组对应的风险分组等级为低。
对于终端来说,以不同的风险分组的角度看待终端,终端的风险分组等级不同,对于风险分组来说,不同终端的同一个风险分组的风险分组等级相同。
上述主要从方法的角度对本申请实施例提供的方案进行了介绍。为了实现上述功能,其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
本申请实施例可以根据上述方法示例对安全防护装置进行功能模块的划分,例如,可以对应各个功能划分各个功能模块,也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。可选的,本申请实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
如图11所示,为本申请实施例提供的一种安全防护装置的结构示意图。该安全防护装置可以用于执行图4至图8所示的安全防护的方法。图11所示安全防护装置包括:确定单元1101。
确定单元1101,用于基于多个终端中每个终端的至少一个特征,确定每个终端的多个风险分组以及风险分组等级;其中,一个特征对应一个或多个风险分组,一个风险分组对应一个风险等级;特征包括终端安装的应用、启动的进程、配置的基线中的至少一个。
确定单元1101,还用于基于每个终端对应的风险分组的风险分组等级,以及每个终端的使用场景,确定每个终端的终端风险等级。
确定单元1101,还用于在检测到多个终端中的一个终端的任一特征被攻击的情况下,确定任一特征对应的风险分组中的至少一个第一终端。
确定单元1101,还用于基于至少一个第一终端中的每个第一终端的终端风险等级,确定每个第一终端的安全防护策略;安全防护策略与每个终端的终端风险等级一一对应。
可选的,确定单元1101,具体用于:针对多个终端中的每个终端执行以下目标操作,以确定每个终端的多个风险分组以及风险分组等级;目标操作包括:获取目标终端的至少一个特征;目标终端为多个终端中的任一个终端;将目标终端的至少一个特征输入预先配置的终端分组模型中,确定每个终端的多个风险分组以及风险分组等级。
可选的,确定单元1101,具体用于:基于多个风险分组的风险分组等级,确定多个风险分组中每个风险分组的风险分值;基于每个终端对应的风险分组的风险分值,确定每个终端的风险分值;基于每个终端的使用场景,确定每个终端的使用场景的场景分值;基于每个终端的风险分值和场景分值,确定每个终端的风险等级分值;将每个终端的风险等级分值与预先设置的风险等级评分表进行对比,确定每个终端的终端风险等级。
可选的,确定单元1101,具体用于:为每个终端的风险分值赋予权重;为每个终端的场景分值赋予权重;通过加权平均算法,确定每个终端的风险等级分值。
可选的,一个风险分组对应一个或多个特征;确定单元1101,还用于:基于每个风险分组对应的特征的风险判断规则,确定每个风险分组对应的风险分组等级。
可选的,应用包括:OFFICE、VPN、TOMCAT中的至少一个;进程包括:JAVA、MYSQLD中的至少一个;基线包括:密码策略;OFFICE对应的风险分组为OFFICE风险组;VPN对应的风险分组为VPN风险组;TOMCAT对应的风险分组为Log4j风险组、JMS进程风险组;JAVA对应的风险分组为JMS进程风险组;MYSQLD对应的风险分组为密码安全风险组;密码策略对应的风险分组为密码安全风险组。
可选的,OFFICE风险组对应的风险等级为中;Log4j风险组对应的风险等级为高;VPN风险组对应的风险等级为低;JMS进程风险组对应的风险等级为低;密码安全风险组对应的风险等级为很低。
本申请实施例还提供一种计算机可读存储介质,计算机可读存储介质包括计算机执行指令,当计算机执行指令在计算机上运行时,使得计算机执行如上述实施例提供的安全防护方法。
本申请实施例还提供一种计算机程序,该计算机程序可直接加载到存储器中,并含有软件代码,该计算机程序经由计算机载入并执行后能够实现上述实施例提供的安全防护方法。
本领域技术人员应该可以意识到,在上述一个或多个示例中,本发明所描述的功能可以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时,可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机可读存储介质和通信介质,其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。例如多个单元或组件可以结合或者可以集成到另一个装置,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是一个物理单元或多个物理单元,即可以位于一个地方,或者也可以分布到多个不同地方。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对通常技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该软件产品存储在一个存储介质中,包括若干指令用以使得一个设备(可以是单片机,芯片等)或处理器(processor)执行本发明各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种安全防护方法,其特征在于,包括:
基于多个终端中每个终端的至少一个特征,确定所述每个终端的多个风险分组以及风险分组等级;其中,一个特征对应一个或多个风险分组,一个风险分组对应一个风险等级;所述特征包括所述终端安装的应用、启动的进程、配置的基线中的至少一个;
基于所述每个终端对应的风险分组的风险分组等级,以及所述每个终端的使用场景,确定所述每个终端的终端风险等级;
在检测到所述多个终端中的一个终端的任一特征被攻击的情况下,确定所述任一特征对应的风险分组中的至少一个第一终端;
基于所述至少一个第一终端中的每个第一终端的终端风险等级,确定所述每个第一终端的安全防护策略;所述安全防护策略与所述每个终端的终端风险等级一一对应。
2.根据权利要求1所述的方法,其特征在于,所述基于多个终端中每个终端的至少一个特征,确定所述每个终端的多个风险分组以及风险分组等级,包括:
针对所述多个终端中的每个终端执行以下目标操作,以确定所述每个终端的多个风险分组以及风险分组等级;所述目标操作包括:
获取目标终端的至少一个特征;目标终端为所述多个终端中的任一个终端;
将所述目标终端的至少一个特征输入预先配置的终端分组模型中,确定所述每个终端的多个风险分组以及风险分组等级。
3.根据权利要求1所述的方法,其特征在于,所述基于所述每个终端对应的风险分组的风险分组等级,以及所述每个终端的使用场景,确定所述每个终端的终端风险等级,包括:
基于所述多个风险分组的风险分组等级,确定所述多个风险分组中每个风险分组的风险分值;
基于所述每个终端对应的风险分组的风险分值,确定所述每个终端的风险分值;
基于所述每个终端的使用场景,确定所述每个终端的使用场景的场景分值;
基于所述每个终端的风险分值和场景分值,确定所述每个终端的风险等级分值;
将所述每个终端的风险等级分值与预先设置的风险等级评分表进行对比,确定所述每个终端的终端风险等级。
4.根据权利要求3所述的方法,其特征在于,所述基于所述每个终端的风险分值和场景分值,确定所述每个终端的风险等级分值,包括:
为所述每个终端的风险分值赋予权重;
为所述每个终端的场景分值赋予权重;
通过加权平均算法,确定所述每个终端的风险等级分值。
5.根据权利要求1所述的方法,其特征在于,一个风险分组对应一个或多个特征;所述方法还包括:
基于每个风险分组对应的特征的风险判断规则,确定所述每个风险分组对应的风险分组等级。
6.根据权利要求1-5任一项所述的方法,其特征在于,所述应用包括:OFFICE、VPN、TOMCAT中的至少一个;所述进程包括:JAVA、MYSQLD中的至少一个;所述基线包括:密码策略;所述OFFICE对应的风险分组为OFFICE风险组;所述VPN对应的风险分组为VPN风险组;所述TOMCAT对应的风险分组为Log4j风险组、JMS进程风险组;所述JAVA对应的风险分组为JMS进程风险组;所述MYSQLD对应的风险分组为密码安全风险组;所述密码策略对应的风险分组为密码安全风险组。
7.根据权利要求6所述的方法,其特征在于,所述OFFICE风险组对应的风险等级为中;所述Log4j风险组对应的风险等级为高;所述VPN风险组对应的风险等级为低;所述JMS进程风险组对应的风险等级为低;所述密码安全风险组对应的风险等级为很低。
8.一种安全防护装置,其特征在于,包括:确定单元;
所述确定单元,用于基于多个终端中每个终端的至少一个特征,确定所述每个终端的多个风险分组以及风险分组等级;其中,一个特征对应一个或多个风险分组,一个风险分组对应一个风险等级;所述特征包括所述终端安装的应用、启动的进程、配置的基线中的至少一个;
所述确定单元,还用于基于所述每个终端对应的风险分组的风险分组等级,以及所述每个终端的使用场景,确定所述每个终端的终端风险等级;
所述确定单元,还用于在检测到所述多个终端中的一个终端的任一特征被攻击的情况下,确定所述任一特征对应的风险分组中的至少一个第一终端;
所述确定单元,还用于基于所述至少一个第一终端中的每个第一终端的终端风险等级,确定所述每个第一终端的安全防护策略;所述安全防护策略与所述每个终端的终端风险等级一一对应。
9.一种安全防护装置,其特征在于,包括存储器和处理器;所述存储器用于存储计算机执行指令,所述处理器与所述存储器通过总线连接;当所述安全防护装置运行时,所述处理器执行所述存储器存储的所述计算机执行指令,以使所述安全防护装置执行如权利要求1-7任一项所述的安全防护方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质包括计算机执行指令,当所述计算机执行指令在计算机上运行时,使得所述计算机执行如权利要求1-7任一项所述的安全防护方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311616338.5A CN117650922A (zh) | 2023-11-29 | 2023-11-29 | 安全防护方法、装置及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311616338.5A CN117650922A (zh) | 2023-11-29 | 2023-11-29 | 安全防护方法、装置及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117650922A true CN117650922A (zh) | 2024-03-05 |
Family
ID=90047200
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311616338.5A Pending CN117650922A (zh) | 2023-11-29 | 2023-11-29 | 安全防护方法、装置及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117650922A (zh) |
-
2023
- 2023-11-29 CN CN202311616338.5A patent/CN117650922A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10657251B1 (en) | Multistage system and method for analyzing obfuscated content for malware | |
US10587640B2 (en) | System and method for attribution of actors to indicators of threats to a computer system and prediction of future threat actions | |
Arora et al. | Minimizing network traffic features for android mobile malware detection | |
EP3313045B1 (en) | Limiting the efficacy of a denial of service attack by increasing client resource demands | |
US10708290B2 (en) | System and method for prediction of future threat actions | |
US7877795B2 (en) | Methods, systems, and computer program products for automatically configuring firewalls | |
Shawahna et al. | EDoS-ADS: An enhanced mitigation technique against economic denial of sustainability (EDoS) attacks | |
US20150304350A1 (en) | Detection of malware beaconing activities | |
EP2843904A2 (en) | Identifying malicious devices within a computer network | |
EP2750072A1 (en) | System and method for protecting cloud services from unauthorized access and malware attacks | |
US10972490B2 (en) | Specifying system, specifying device, and specifying method | |
JP2019220126A (ja) | ユーザのコンピュータ装置への攻撃に対抗するシステムおよび方法 | |
RU2584506C1 (ru) | Система и способ защиты операций с электронными деньгами | |
CN109194684B (zh) | 一种模拟拒绝服务攻击的方法、装置及计算设备 | |
WO2016191232A1 (en) | Mitigation of computer network attacks | |
Aoki et al. | Controlling malware http communications in dynamic analysis system using search engine | |
CN108369541B (zh) | 用于安全威胁的威胁风险评分的系统和方法 | |
US11019494B2 (en) | System and method for determining dangerousness of devices for a banking service | |
CN114944961B (zh) | 网络安全防护方法、装置、系统和电子设备 | |
CN111291372B (zh) | 一种基于软件基因技术对终端设备文件检测的方法及装置 | |
JPWO2017217247A1 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
US20230344861A1 (en) | Combination rule mining for malware signature generation | |
US9769187B2 (en) | Analyzing network traffic based on a quantity of times a credential was used for transactions originating from multiple source devices | |
CN117650922A (zh) | 安全防护方法、装置及存储介质 | |
CN114189865B (zh) | 通信网络中的网络攻击防护方法、计算机装置和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |