CN117850868A - 安全防护组件自动编排方法和安全防护系统 - Google Patents

Abstract

本发明提供了一种安全防护组件自动编排方法和安全防护系统，该方法通过构建共用的关键词典和以标准化描述的数据集对安全防护方案的描述进行约束的方式，提高了安全管理系统对安全防护方案理解的正确性，消除对方案理解的偏差；通过在安全管理中心内建立安全防护规则库，并将安全防护规则和安全防护方案中的安全防护需求进行快速匹配的方式，实现了对安全防护组件的快速编排；通过构建包含大量历史记录的数据库，并利用Apriori算法获取历史数据库中频繁集的无监督学习方式，提升了安全防护组件自动编排过程中的效率和正确性。应用该方法的安全防护系统主要包括软件定义安全防护平台，安全监测预警子系统、安全防护决策子系统和安全管理子系统。

Description

安全防护组件自动编排方法和安全防护系统

技术领域

本发明涉及网络安全防护技术领域，具体而言，涉及一种安全防护组件自动编排方法和安全防护系统。

背景技术

随着网络攻击技术快速发展，网络攻击的手段变化日益频繁，网络攻击行为呈现出“源头多、分布广、程度深、时间短、变化快、破坏大”的新特点。而传统网络安全防护机制是一种静态的叠加式安全防护技术体系。安全防护设备(例如：防火墙、入侵检测设备、接入控制设备等)内部的软件系统与硬件平台通常采用“紧耦合”的设计模式，导致安全防护设备的设备形态和功能固化，一旦部署后其安全防护的目标对象、防护范围也相对固定，无法快速调整，必须人工升级才能防御新的网络攻击。这种安全防护资源“静态化、固定化”的部署方式只能应对已知的、可预测的网络攻击行为，而难以应对未知的、突发且不断变化的网络安全威胁。因此，为了应对当前网络空间中瞬息万变的安全威胁，要求网络安全防护体系能够根据网络安全态势的变化情况，快速调整全网的安全防护策略和防护资源，构建包含“威胁监测-攻击预警-方案制定-防御执行”全生命周期的动态网络安全防护体系。

随着软件定义网络(SDN)和网络功能虚拟化(NFV)等新兴网络技术的发展，在网络安全防护技术领域提出了软件定义安全(SDS)的新技术。该技术的基本内涵是在通用硬件计算平台(例如X86架构的计算平台)上利用虚拟化技术构建可共享的虚拟软件运行环境，在虚拟环境中部署(运行)各类具有特定功能的安全防护软件，从而使硬件平台具备多种安全防护功能。由于安全防护软件的运行只依赖虚拟化环境，实现了软件与硬件平台的“解耦合”，因此可以根据不同的需求，在同一个硬件计算平台上动态地部署多种不同功能的安全防护软件的组合，从而实现安全防护设备功能的“动态可重构”，具有这一特性的安全设备称为“软件定义安全防护平台”。在由多个此类“软件定义安全防护平台”构建的网络安全防护系统中，能够据网络中安全威胁的变化情况，在指定的“软件定义安全防护平台”上动态地部署多种安全防护能力，并进行实时调整，从而实现整个网络安全防护系统快速“捷变”，构建动态的安全防护体系。

如图1所示，在一个动态可变的安全防护体系中，需要设立一个安全管理中心(安全管理系统)来管理整个网络中所有的安全防护设平台。在这个安全管理中心内，将构建并维护一个安全防护资源池，用于存储所有能够被安装部署到安全防护设平台上的各种安全防护软件。安全管理中心需要根据网络安全态势的变化情况和接收到的安全威胁预警，制定对应的安全防护方案，之后根据该安全防护方案，正确选择安全防护资源池中的安全防护软件，并将它们进行有效的组合，最后将其打包成一个个完备的“软件包”，这一过程被称为“安全防护资源编排”。完成“安全资源编排”后，这些“软件包”将被发送到指定的安全防护平台上，在安装了这些“软件包”后，安全防护平台就能够动态的调整自身的安全防护功能，从而针对特定的网络攻击进行安全防护，进而实现整个网络安全防护系统的动态“捷变”。

由于当前的网络攻击行为具有“时间短、变化快、破坏大”的特点，因此要求安全管理系统能够根据“安全防护方案”实施自动化的“安全防护资源编排”，从而在最短的时间内将有效的“安全防护资源”发送到指定的安全防护平台上，确保安全防护平台及时进行安全防护功能的“捷变”，以应对快速变化网络攻击行为。但是目前此类“软件可定义、动态可重构、软硬件松耦合”的安全防护平台，以及相关的“动态可捷变”的网络安全防护技术体系还是一项新兴的技术概念，在这一体系中还没有成熟有效的“安全资源自动化编排”的方法。

在上述的动态可捷变的网络安全防护系统中，为了应对快速变化的网络安全威胁和网络攻击行为，需要安全管理中心(安全管理系统)能够快速实施“安全防护资源自动化编排”，从而在最短时间内根据“安全防护方案”自动准备适合且有效的安全防护资源。但是由于安全管理中心内的“安全防护资源池”中存储的安全防护资源(软件)的种类众多，各类安全防护资源(软件)的功能可能存在交叉重复，而且在整个动态安全防护流程中，“安全威胁监测预警”、“安全防护方案制定”、“安全资源自动编排”三个行为并非同一个功能模块来实施，因此，安全管理中心(安全管理系统)在进行“安全防护资源自动编排”时会存在一定的困难，包括但不限于：(1)对“安全防护方案”的理解存在偏差；(2)在自动选择“安全防护资源池”内的安全防护资源(软件)时会存在错误；(3)“安全资源编排”过程将消耗大量的时间，导出整个流程耗时过长等。这些问题将导致所编排的“安全防护资源”不能正确及时地送达到网络中指定的“软件定义安全防护平台”，从而造成整个网络安全防护系统应对网络安全威胁和网络攻击行为的“迟滞”和错误。

发明内容

本发明旨在至少解决现有技术中存在的技术问题之一。

为此，本发明第一方面提供了一种安全防护组件自动编排方法。

本发明第二方面提供了一种安全防护系统。

本发明提供了一种安全防护组件自动编排方法，包括以下步骤：

安全防护方案解析：对安全防护方案进行解析，提取安全防护方案中的安全防护需求，将整个安全防护方案分解为多项安全防护需求的集合，其中，每项安全防护需求描述为<行为主体，行为目标对象，行为类型，行为参数>；

安全防护规则匹配：建立安全防护规则库，所述安全防护规则库中记录了多条安全防护规则；为每项安全防护需求匹配一组安全防护规则的集合；其中，在集合中的每一条安全防护规则均描述了一种对网络数据进行处理的具体方式，从而将安全防护方案中描述的一项安全防护需求对应到一组具体的对网络数据流的处理方式；

安全防护组件提取：根据每项安全防护需求所匹配到的安全防护规则集合，针对集合中每一条安全防护规则，在安全防护规则库中找到对应的规则描述，从而获取该条安全防护规则包含的安全防护组件，并在安全防护组件库中提取出对应的安全防护组件；

安全防护组件参数配置：为安全防护组件集合配置参数，并将配置好的安全防护组件打包成安全防护组件包，其中，根据安全防护规则集合中每一条安全防护规则对应的安全规则参数信息，与该条安全防护规则对应的安全防护组件集合中每一个安全防护组件的每一项可配置参数进行匹配；如果匹配成功，则将该项参数配置为安全规则参数中对应的数据；如果匹配失败，则使用安全防护组件中参数的默认值。

根据本发明上述技术方案的安全防护组件自动编排方法，还可以具有以下附加技术特征：

在上述技术方案中，所述提取安全防护方案中的安全防护需求的方法包括：

将XML本文格式的安全防护方案解析为基于XML的树状结构，树状结构的根节点代表整个安全防护方案，根节点的下级子节点表示安全防护需求，子节点的下级子节点表示对安全防护需求的具体要素的描述；其中，每个节点具有对应的描述关键词；

采用深度优先搜索的方式，以前序遍历算法对该XML树状结构进行遍历，以完成对安全防护需求中信息的提取。

在上述技术方案中，所述对安全防护需求中信息的提取的方法包括：

从代表平台ID的子节点中，读取安全防护方案要求进行部署安全防护措施的安全防护平台的ID，从而对应到安全防护需求中的行为主体；

从代表目标对象的子节点中，读取安全防护方案要求处理的网络攻击对象的特征，并逐一读取其下级子节点的信息，从而获取网络数据流特征，对应到安全防护需求中的行为目标对象；

从代表防护要求的子节点中，读取安全防护方案要求进行的安全处理类型的相关描述，对应到安全防护需求中的行为类型；

从代表防护参数的子节点中，读取方案要求进行的安全处理行为的相关参数，并逐一读取其所有的下级子节点的信息，将这些信息对应到安全防护需求中的行为参数；

重复以上步骤，直至完成对XML文档中所有根节点的遍历，将读取的信息记录为完全防护需求集合。

在上述技术方案中，每条所述安全防护规则包括规则名称、规则适用范围、规则参数和规则对应组件集合；

其中，规则名称用于描述该条安全防护规则的名称，是规则的标识，规则名称要求在规则库中可以不唯一且重复；

规则适用范围用于描述该条安全防护规则能够适用于哪些安全防护行为，一条安全防护规则可以同时适用于多种类型的安全防护行为；

规则参数用于描述该条安全防护规则可配置的参数，规则参数决定了该条安全防护规则执行时的具体实施方式和运行性能要求；

规则对应组件集合用于描述该条安全防护规则是由哪些安全防护组件组合形成的。

在上述技术方案中，在安全防护规则匹配中，根据匹配到的安全防护规则从安全防护组件库中提取出满足安全防护需求的安全防护组件的集合。

在上述技术方案中，所述为每项安全防护需求匹配一组安全防护规则的集合的方法包括：

设计关键词典，对安全防护方案和安全防护规则库中的信息描述进行规范和约束；

利用关联分析算法，针对历史数据获取频繁集，形成常用匹配数据库，在常用匹配数据库中查找与安全防护需求相匹配的常用的安全防护规则；

通过关键词在安全防护规则库中查找能够匹配的安全防护规则，并根据查找结果的匹配度选择最优的匹配关系。

在上述技术方案中，所述关键词典记录了整个动态安全防护流程中可能使用的所有关键词，关键词典中关键词的数量不作限制，可以定期增加或者修改；

通过关键词典对安全防护方案中的信息描述进行规范和约束的方法包括：使用关键词典中定义的关键词来描述每一项安全防护需求中对应的行为类型和行为参数属性；

通过关键词词典对安全防护规则库中的信息描述进行规范和约束的方法包括：使用关键词典中定义的关键词来描述安全防护规则库中的每一条安全防护规则的规则适用范围属性和规则参数属性。

在上述技术方案中，所述利用关联分析算法，针对历史数据获取频繁集，形成常用匹配数据库，在常用匹配数据库中查找与安全防护需求相匹配的常用的安全防护规则，包括：

建立历史数据库，记录安全防护需求与安全防护规则之间曾经的匹配结果；

设置最小支持度作为频繁集认定的标准，其中，支持度表示历史数据库中包含一个数据集的记录所占的比例；当一个数据集的支持度大于设定的最小支持度，则认为该数据集是全局对象中的频繁集；

遍历历史数据库，获取历史数据库中所包含的所有数据的最大不重复集和E作为频繁集的候选项集；

将候选项集中的每个数据作为一个子集，共得到K个子集，K＝候选项集中数据的数量；遍历一次历史数据库，单独统计每个子集的支持度，如果该子集的支持度小于最小支持度，则该子集以及该子集的超集均为非频繁集，从候选项集中将该子集删除，此时候选项集中剩下的子集均为频繁集；

将候选项集中的数据进行合并，得到n个新子集，并存储在候选项集中，遍历一次历史数据库，单独统计每个新子集的支持度，如果该子集的支持度小于最小支持度，则该子集以及该子集的超集均为非频繁集，从候选项集中将该子集删除，此时集合E中剩下的子集均为频繁集；重复当前步骤，直至候选项集中不能再合并出新的子集为止，输出最终的频繁集；

在频繁集中，遍历每一个子集，如果子集内记录的数据同时包含行为类型和安全防护规则的信息，则将该子集内记录的信息存储到常用匹配数据库中；

当接收到一个具体的安全防护需求时，获取其中的行为类型和行为参数信息，优先在常用匹配数据库中查找与安全防护需求相匹配的常用的安全防护规则。

在上述技术方案中，所述通过关键词在安全防护规则库中查找能够匹配的安全防护规则，并根据查找结果的匹配度选择最优的匹配关系，包括：

针对安全防护需求，读取其中的行为类型和行为参数，将其记录为集合X：{x1,x2}；其中，x1，x2是数据数量不固定的数据子集；

遍历安全防护规则库中记录的每一条安全防护规则，读取其中的规则适用范围、规则参数、规则对应组件集合，分别将其记录为集合Y(i):{y1,y2,y3}，其中，y1表示规则适用范围，y2表示规则参数，y3表示规则对应组件集合中组件的数量；

将集合X：{x1,x2}与集合Y(i):{y1,y2,y3}中每一条记录进行匹配，并将匹配结果保存为数值型的匹配度数据，记录在集合M(i):{m1,m2,m3}中，其中，若x1＝y1，则m1＝1；若x1∈y1，m1＝y1中数据的数量；若则m1＝0；若x2＝y2，则m2＝1；x2∈y2，则m2＝y2中数据的数量；若/>则m2＝0；m3＝y3；

遍历所有的匹配度记录集合M(i):{m1,m2,m3}，其中：

若所有集合M(i)中，所有的m1均等于0，则匹配失败，无法找到与安全防护需求相对应的安全防护规则；

若所有集合M(i)中，有且仅有一条记录的m1＝1，则选出该条记录所对应的安全防护规则为匹配结果；

若所有集合M(i)中，有多条记录的m1＝1，则选择其中m2＝1的记录所对应的安全防护规则为匹配结果；若存在多条记录的m1＝1且m2＝1，则选择其中m3值最小的记录所对应安全防护规则为匹配结果；

若所有集合M(i)中，有多条记录的m1>＝2，选择其中m2＝1的记录所对应的安全防护规则为匹配结果；若存在多条记录的m1>＝2且m2＝1，则选择其中m3值最小的记录所对应安全防护规则为匹配结果；

若所有集合M(i)中，有多条记录的m1>＝2且m2>＝2，则选择其中m3值最小的记录所对应安全防护规则为匹配结果；

若所有集合M(i)中，有多条记录的m1>＝2，且m2＝0，则选择其中m3值最小的记录所对应安全防护规则为匹配结果。

本发明还提供了一种安全防护系统，采用如上述技术方案中任一项所述的基于安全规则匹配的安全防护组件自动编排方法，包括：

软件定义安全防护平台，作为实施安全防护行为的主体，部署在网络中的关键节点上，负责对应对各类网络安全攻击行为；

安全监测预警子系统，对网络中各个安全防护平台上报的安全态势数据进行收集和融合处理，分析网络攻击行为，预测全网络安全态势变化趋势，针对网络攻击行为做出快速准确的安全预警；

安全防护决策子系统，对接收到的安全威胁预警进行分析评估，并生成应对网络攻击的网络安全防护方案；

安全管理子系统，管理整个网络中部署的所有安全防护平台，根据接收到的安全防护方案，自动编排方案中需要各类安全防护资源，并向方案中指定的安全防护平台推送安全防护资源，同时下达平台捷变指令。

综上所述，由于采用了上述技术特征，本发明的有益效果是：

本发明提出的方法能够根据输入的“安全防护方案”自动化的生成对应的可部署到软件定义安全防护平台上的“安全防护组件集合”。该方法弥补了在构建动态可捷变的网络安全防护体系时，安全防护资源自动化编排能力的缺失，确保针对安全威胁和网络攻击行为快速高效的自动化生成对应的安全防护资源，从而实现了根据网络安全态势的变化情况对网络安全防护能力进行动态捷变。

本发明的附加方面和优点将在下面的描述部分中变得明显，或通过本发明的实践了解到。

附图说明

本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解，其中：

图1是传统基于软件定义安全防护平台的动态安全防护体系的系统示意图；

图2是本发明一个实施例的安全防护系统的示意图；

图3是本发明一个实施例中基于“威胁监测-安全预警-方案生成-资源编排-平台捷变”的动态安全防护流程示意图；

图4是本发明一个实施例的安全防护组件自动编排方法的基本流程图；

图5是本发明一个实施例的安全防护组件自动编排方法中XML树状结构的示意图。

具体实施方式

为了能够更清楚地理解本发明的上述目的、特征和优点，下面结合附图和具体实施方式对本发明进行进一步的详细描述。需要说明的是，在不冲突的情况下，本申请的实施例及实施例中的特征可以相互组合。

在下面的描述中阐述了很多具体细节以便于充分理解本发明，但是，本发明还可以采用其它不同于在此描述的方式来实施，因此，本发明的保护范围并不受下面公开的具体实施例的限制。

下面参照图2至图5来描述根据本发明一些实施例提供的安全防护组件自动编排方法和安全防护系统。

本发明第一个实施例提出了一种安全防护组件自动编排方法，本实施例所描述的基于安全规则匹配的安全防护组件自动编排方法，应用于由软件定义安全防护平台所构建的动态可捷变的网络安全防护系统中，如图2所示，在一些实施例中，该类安全防护系统包括软件定义安全防护平台，安全监测预警子系统、安全防护决策子系统和安全管理子系统。

其中，软件定义安全防护平台，作为实施安全防护行为的主体，部署在网络中的关键节点上，例如：网络出口、重要路由节点等，负责对应对各类网络安全攻击行为；在一个具体实施例中，该平台内部采用软件与硬件松耦合的设计方式，使平台在运行过程中能够动态地卸载和安装不同的功能组件，从而实现平台安全防护功能的软件可定义和动态可重构。

安全监测预警子系统，对网络中各个安全防护平台上报的安全态势数据进行收集和融合处理，分析网络攻击行为，预测全网络安全态势变化趋势，针对网络攻击行为做出快速准确的安全预警。

安全防护决策子系统，对接收到的安全威胁预警进行分析评估，并通过自动、半自动、人工等方式生成应对网络攻击的网络安全防护方案。

安全管理子系统，管理整个网络中部署的所有安全防护平台，根据接收到的安全防护方案，自动编排方案中需要各类安全防护资源，并向方案中指定的安全防护平台推送安全防护资源，同时下达平台捷变指令。

在这类动态可捷变的网络安全防护系统运行过程中，一套完整的基于“威胁监测-安全预警-方案生成-资源编排-平台捷变”的动态安全防护流程如图3所示。

本实施例所描述的安全防护组件自动编排方法应用在安全防护平台管理子系统中，是该子系统在根据网络安全防护方案进行对应的安全防护资源自动编排时所采用的一种方法。图4示出了本公开一个实施例中安全防护组件自动编排方法的基本流程图，包括步骤S1-S4。

S1、安全防护方案解析：在接收到输入的安全防护方案后，对安全防护方案进行解析，提取安全防护方案中的安全防护需求，将整个安全防护方案分解为多项安全防护需求的集合，其中，每项安全防护需求描述为<行为主体，行为目标对象，行为类型，行为参数>。

其中，行为主体表示安全防护方案中指定的实施安全防护行为的软件定义安全防护平台的ID。

行为目标对象表示安全防护方案中描述的安全防护平台针对的目标对象，由于目标对象通常为网络数据流，因此以目标对象的网络特征“五元组”(源IP地址、目的IP地址、源端口号、目的端口号、协议类型)来进行描述。

行为类型表示安全防护方案中描述的要求安全防护平台针对目标对象进行安全处理的行为类型，例如：抵御DDos攻击、病毒查杀等。

行为参数表示安全防护方案中描述的对一项安全处理行为的具体要求，例如：处理速率大于20Gbps。

具体地，安全防护方案解析的目的是对输入的安全防护方案进行自动化读取和解析，自动提取其中包含的关键信息，最终将整个方案解析为一组安全防护需求的集合。在安全防护方案解析的过程中，输入的安全防护方案通常为本文形式，在本实施例中，主要通过以标准化描述的数据集的形式对安全防护方案的描述形式进行约束。要求输入的安全防护方案，以标准的XML本文的格式进行描述，并且在其中的以约定好的关键词来描述一个XML文档的节点。由于利用XML文档来描述安全防护方案时，通过对XML文档进行解析，可以比较容易的将一个安全防护方案解析成基于XML的树状结构，如图5所示。

则所述提取安全防护方案中的安全防护需求的方法包括：

将XML本文格式的安全防护方案解析为基于XML的树状结构，树状结构的根节点代表整个安全防护方案，根节点的每个下级子节点表示一项安全防护需求，子节点的每个下级子节点表示对安全防护需求的具体要素的描述；其中，每个节点具有对应的描述关键词。

在对安全防护方案进行解析时，首先完成对XML文档的解析，此时采用深度优先搜索的方式，以前序遍历算法对该XML树状结构进行遍历，首先找到XML文档的根节点，然后以从左到右的顺序，依次访问根节点下面的每一个子节点，完成对一项安全防护需求中信息的提取。

具体地，所述对安全防护需求中信息的提取的方法包括：

S11、从名称为平台ID的子节点中，读取安全防护方案要求进行部署安全防护措施的安全防护平台的ID，从而对应到安全防护需求中的行为主体；

S12、从名称为目标对象的子节点中，读取安全防护方案要求处理的网络攻击对象的特征，并逐一读取其五个下级子节点的信息，从而获取以“五元组”(源IP地址、目的IP地址、源端口号、目的端口号、协议类型)方式进行描述的网络数据流特征，对应到安全防护需求中的行为目标对象；

S13、从名称为防护要求的子节点中，读取安全防护方案要求进行的安全处理类型的相关描述，对应到安全防护需求中的行为类型；

S14、从名称为防护参数的子节点中，读取方案要求进行的安全处理行为的相关参数，并逐一读取其所有的下级子节点的信息，将这些信息对应到安全防护需求中的行为参数；

S15、重复步骤S11-S14，直至完成对XML文档中所有根节点的遍历，将读取的信息记录为完全防护需求集合。

S2、安全防护规则匹配：在安全防护平台管理子系统中，建立安全防护规则库，所述安全防护规则库中记录了多条安全防护规则；为每项安全防护需求匹配一组安全防护规则的集合；其中，在集合中的每一条安全防护规则均描述了一种对网络数据进行处理的具体方式，例如：丢弃数据流，修改数据流中某个字节、检查数据流中的特定字段，将数据流从特定的端口转发等。

其中，每条所述安全防护规则包括规则名称、规则适用范围、规则参数和规则对应组件集合。

具体地，规则名称用于描述该条安全防护规则的名称，是规则的标识，规则名称要求在规则库中可以不唯一且重复。

规则适用范围用于描述该条安全防护规则能够适用于哪些安全防护行为，即该条“安全防护规则”有什么作用，一条安全防护规则可以同时适用于多种类型的安全防护行为。

规则参数用于描述该条安全防护规则可配置的参数，规则参数决定了该条安全防护规则执行时的具体实施方式和运行性能要求。

规则对应组件集合用于描述该条安全防护规则是由哪些安全防护组件组合形成的。

通过本步骤将安全防护方案中描述的一项安全防护需求对应到一组具体的对网络数据流的处理方式，其中对网络数据流的处理方式包括网络数据流特征、防护策略、安全防护规则和安全规则参数。

网络数据流特征描述了安全防护规则要处理的网络数据流的具体特征，与S1中安全防护集合内的行为目标对象对应，以网络数据流的“五元组”(源IP地址、目的IP地址、源端口号、目的端口号、协议类型)来进行描述。

防护策略描述了针对具体的网络数据流的安全防护策略，与S1中安全防护集合内的行为类型对应。

安全防护规则描述针对具体的网络数据流采用的安全防护规则，由本步骤进行确定。

安全规则参数描述所采用的安全防护规则中，所需配置的具体参数，根据S1中安全防护集合内“行为参数”，经过本步骤进行确定。

具体地，安全防护规则匹配的目的是根据一个具体的安全防护需求，在安全防护规则库中寻找出一条或者多条满足该需求的安全防护规则。由于在安全防护规则中描述了实现该安全防护规则的安全防护组件集合，因此可根据匹配到的安全防护规则从安全防护组件库中自动化的提取出满足安全防护需求的安全防护组件的集合。

在一些实施例中，在进行安全防护需求与安全防护规则的匹配时，将采用历史数据学习与关键词匹配度查找相结合的方式，则所述为每项安全防护需求匹配一组安全防护规则的集合的方法包括步骤S21-S23。

S21、设计关键词典，对安全防护方案和安全防护规则库中的信息描述进行规范和约束；便于二者中的信息能够相互匹配。

关键词典本质上是一个数据库，关键词典记录了整个动态安全防护流程中可能使用的所有关键词，从而对整个流程的描述用语进行了规范和约束，关键词典中关键词的数量不作限制，可以定期增加或者修改；

在制定安全防护方案时，要求方案的制定者(人或者智能化/自动化机器)必须使用关键词典中定义的关键词来描述每一项安全防护需求中对应的行为类”和行为参数属性，从而对安全防护需求中描述的安全防护行为类型的范围进行规范和约束。

针对在安全管理子系统内所建立的安全防护规则库中记录的每一条安全防护规则，要求该条安全防护规则设计者也必须引用关键词典中定义的关键词来描述该条安全防护规则中的规则适用范围属性和规则参数属性。

S22、利用关联分析算法Apriori，针对历史数据获取频繁集，形成常用匹配数据库，在常用匹配数据库中查找与安全防护需求相匹配的常用的安全防护规则。

在安全管理子系统中建立一个历史数据库，记录过往时间内每一次安全防护需求与安全防护规则之间曾经的匹配结果。随着该系统在运行过程中不断记录安全防护需求与安全防护规则的匹配结果，其历史数据库将累积大量的历史数据。通过定期对历史数据进行分析，能够获取可靠性较高的常用安全防护需求与安全防护规则之间的匹配关系，将其记录在常用匹配数据库中，从而实现将安全防护需求与安全防护规则进行快速匹配。在本发明中，主要通过Apriori算法来快速计算历史数据库中的频繁集的方式，来寻找安全防护需求与安全防护规则之间的匹配结果，在一个具体实施例中，其主要步骤如下：

S221、建立历史数据库，记录安全防护需求与安全防护规则之间曾经的匹配结果，在历史数据库中每一条记录都是一个集合D(i)：{x1,x2,x3,x4}。x1表示安全防护需求中的行为类型，x2表示安全防护需求中的行为参数，x3表示与安全防护需求匹配的安全防护规则，x4表示安全防护规则对应的安全规则参数。

S222、为了从历史数据库中获取频繁出现的安全防护需求与安全防护规则之间匹配结果(也称为“频繁集”)，需要设置一个最小支持度作为一个数据集是否为频繁集的判决标准。一个数据集的支持度被定义为历史数据库中包含该数据集的记录所占的比例。在求一个数据集的支持度时，需要遍历历史数据库中的每一条记录，如果一条记录中包含了数据集中的所有项，那么就增加总计数值，在遍历完所有记录后，使用统计得到的总数除以总的记录数，就可以得到一个数据集支持度。如果一个数据集的支持度大于设定的最小支持度，则认为该数据集是全局对象中的频繁集。

S223、遍历一次历史数据库，获取数据库中所包含的所有数据的最大不重复集和E，即该数据库中包含了多少类数据，并将集合E作为频繁集的候选项集。

S224、从集合E(候选项集)中，将每个数据作为一子集，共得到K个子集，K＝集合E中数据的数量。遍历一次历史数据库，单独统计每个子集的支持度，如果该子集的支持度小于步骤S222中所设定的最小支持度，则该子集以及该子集的超集均为非频繁集，从候选项集E中将该子集删除，此时集合E中剩下的子集均为频繁集。

S225、将候选项集E中的数据进行合并，得到n个新子集，并存储在候选项集E中，遍历一次历史数据库，单独统计每个新子集的支持度，如果该子集的支持度小于步骤S222中所设定的最小支持度，则该子集以及该子集的超集均为非频繁集，从候选项集E中将该子集删除，此时集合E中剩下的子集均为频繁集。

S226、不断重复步骤S225，再次合并候选项集E中的数据，遍历历史数据库统计每一个新子集的支持度，删除非频繁的子集，直到候选项集E中不能再合并出新的子集为止。此时输出最终的频繁集F。

S227、在频繁集F中，遍历每一个子集，如果子集内记录的数据同时包含行为类型和安全防护规则的信息，则将该子集内记录的信息存储到常用匹配数据库中。

S228、当接收到一个具体的安全防护需求时，获取其中的行为类型和行为参数信息，优先在常用匹配数据库中查找与安全防护需求相匹配的常用的安全防护规则。

S23、通过关键词在安全防护规则库中查找能够匹配的安全防护规则，并根据查找结果的匹配度选择最优的匹配关系。

当无法在常用匹配数据库中查询到一个安全防护需求对应的安全防护规则时，则在安全防护规则库中通过关键词进行查找，并根据查找结果的匹配度选择最优的匹配关系，具体步骤如下：

S231、针对安全防护需求，读取其中的行为类型和行为参数，将其记录为集合X：{x1,x2}；其中，x1，x2是数据数量不固定的数据子集；

S232、遍历安全防护规则库中记录的每一条安全防护规则，读取其中的规则适用范围、规则参数、规则对应组件集合，分别将其记录为集合Y(i):{y1,y2,y3}，其中，y1表示规则适用范围，y2表示规则参数，y1、y2是数据数量不固定的数据子集，y3表示规则对应组件集合中组件的数量；

S233、将集合X：{x1,x2}与集合Y(i):{y1,y2,y3}中每一条记录进行匹配，并将匹配结果保存为数值型的匹配度数据，记录在集合M(i):{m1,m2,m3}中，其中：

若x1＝y1，则m1＝1；若x1∈y1，m1＝y1中数据的数量；若则m1＝0；

若x2＝y2，则m2＝1；x2∈y2，则m2＝y2中数据的数量；若则m2＝0；

m3＝y3；

S234、遍历所有的匹配度记录集合M(i):{m1,m2,m3}，其中：

若所有集合M(i)中，所有的m1均等于0，则匹配失败，无法找到与安全防护需求相对应的安全防护规则；

若所有集合M(i)中，有且仅有一条记录的m1＝1，则选出该条记录所对应的安全防护规则为匹配结果；

若所有集合M(i)中，有多条记录的m1＝1，则选择其中m2＝1的记录所对应的安全防护规则为匹配结果；若存在多条记录的m1＝1且m2＝1，则选择其中m3值最小的记录所对应安全防护规则为匹配结果；

若所有集合M(i)中，有多条记录的m1>＝2，选择其中m2＝1的记录所对应的安全防护规则为匹配结果；若存在多条记录的m1>＝2且m2＝1，则选择其中m3值最小的记录所对应安全防护规则为匹配结果；

若所有集合M(i)中，有多条记录的m1>＝2且m2>＝2，则选择其中m3值最小的记录所对应安全防护规则为匹配结果；

若所有集合M(i)中，有多条记录的m1>＝2，且m2＝0，则选择其中m3值最小的记录所对应安全防护规则为匹配结果。

S3、安全防护组件提取：根据S2中为每项安全防护需求所匹配到的安全防护规则集合，针对集合中每一条安全防护规则，在安全防护规则库中找到对应的规则描述，从而在对应的规则对应组件集合属性中获取该条安全防护规则包含了哪些安全防护组件，之后在安全防护平台管理子系统所建立的安全防护组件库中，提取出对应的安全防护组件。通过该步骤，可以将安全防护方案中描述的一项安全防护要求对应到一组具体的安全防护组件的集合，即：安全防护方案—><安全防护需求>—><安全防护规则>—><安全防护组件>。

S4、安全防护组件参数配置：针对S3中形成的安全防护组件集合，为其配置相应的参数，并这些配置好的安全防护组件打包成可以向安全防平台推送的安全防护组件包。该步骤的基本方法是根据安全防护规则集合中每一条安全防护规则对应的安全规则参数信息，与该条安全防护规则对应的安全防护组件集合中每一个安全防护组件的每一项可配置参数进行匹配。如果匹配成功，则将该项参数配置为安全规则参数中对应的数据；如果没有匹配成功，则使用“全防护组件中参数的默认值。通过该步骤，最终实现了根据输入安全防护方案，自动化的生成对应的安全防护组件的集合。

本实施例提出的一种基于安全规则匹配的安全防护组件自动编排方法，能够在安全管理系统中根据安全防护方案快速有效地进行安全防护资源的自动化编排。在本实施例描述的方法中，通过构建共用的关键词典和以标准化描述的数据集对安全防护方案的描述进行约束的方式，提高了安全管理系统在进行安全防护组件自动编排的过程中对安全防护方案理解的正确性，消除对方案理解的偏差；通过在安全管理中心内建立安全防护规则库，并将安全防护规则和安全防护方案中的安全防护需求进行快速匹配的方式，实现了对安全防护组件的快速编排；通过构建包含大量历史记录的数据库，并利用Apriori算法获取历史数据库中频繁集的无监督学习方式，提升了安全防护组件自动编排过程中的效率和正确性。采用本发明中所描述的安全防护组件自动编排方法，能够有效解决在动态可捷变的网络安全防护系统中，安全防护资源自动化编排效率低下，正确性不高的技术问题，实现网络安全防护系统针对各类安全威胁实施全网安全防护能力的动态捷变和重构。

在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或实例。而且，描述的具体特征、结构、材料或特点可以在任何的一个或多个实施例或示例中以合适的方式结合。

凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (10)

1.一种安全防护组件自动编排方法，其特征在于，包括以下步骤：

安全防护方案解析：对安全防护方案进行解析，提取安全防护方案中的安全防护需求，将整个安全防护方案分解为多项安全防护需求的集合，其中，每项安全防护需求描述为<行为主体，行为目标对象，行为类型，行为参数>；

安全防护规则匹配：建立安全防护规则库，所述安全防护规则库中记录了多条安全防护规则；为每项安全防护需求匹配一组安全防护规则的集合；其中，在集合中的每一条安全防护规则均描述了一种对网络数据进行处理的具体方式，从而将安全防护方案中描述的一项安全防护需求对应到一组具体的对网络数据流的处理方式；

安全防护组件提取：根据每项安全防护需求所匹配到的安全防护规则集合，针对集合中每一条安全防护规则，在安全防护规则库中找到对应的规则描述，从而获取该条安全防护规则包含的安全防护组件，并在安全防护组件库中提取出对应的安全防护组件；

安全防护组件参数配置：为安全防护组件集合配置参数，并将配置好的安全防护组件打包成安全防护组件包，其中，根据安全防护规则集合中每一条安全防护规则对应的安全规则参数信息，与该条安全防护规则对应的安全防护组件集合中每一个安全防护组件的每一项可配置参数进行匹配；如果匹配成功，则将该项参数配置为安全规则参数中对应的数据；如果匹配失败，则使用安全防护组件中参数的默认值。

2.根据权利要求1所述的安全防护组件自动编排方法，其特征在于，所述提取安全防护方案中的安全防护需求的方法包括：

将XML本文格式的安全防护方案解析为基于XML的树状结构，树状结构的根节点代表整个安全防护方案，根节点的下级子节点表示安全防护需求，子节点的下级子节点表示对安全防护需求的具体要素的描述；其中，每个节点具有对应的描述关键词；

采用深度优先搜索的方式，以前序遍历算法对该XML树状结构进行遍历，以完成对安全防护需求中信息的提取。

3.根据权利要求2所述的安全防护组件自动编排方法，其特征在于，所述对安全防护需求中信息的提取的方法包括：

从代表平台ID的子节点中，读取安全防护方案要求进行部署安全防护措施的安全防护平台的ID，从而对应到安全防护需求中的行为主体；

从代表目标对象的子节点中，读取安全防护方案要求处理的网络攻击对象的特征，并逐一读取其下级子节点的信息，从而获取网络数据流特征，对应到安全防护需求中的行为目标对象；

从代表防护要求的子节点中，读取安全防护方案要求进行的安全处理类型的相关描述，对应到安全防护需求中的行为类型；

从代表防护参数的子节点中，读取方案要求进行的安全处理行为的相关参数，并逐一读取其所有的下级子节点的信息，将这些信息对应到安全防护需求中的行为参数；

重复以上步骤，直至完成对XML文档中所有根节点的遍历，将读取的信息记录为完全防护需求集合。

4.根据权利要求1所述的安全防护组件自动编排方法，其特征在于，每条所述安全防护规则包括规则名称、规则适用范围、规则参数和规则对应组件集合；

其中，规则名称用于描述该条安全防护规则的名称，是规则的标识，规则名称要求在规则库中可以不唯一且重复；

规则适用范围用于描述该条安全防护规则能够适用于哪些安全防护行为，一条安全防护规则可以同时适用于多种类型的安全防护行为；

规则参数用于描述该条安全防护规则可配置的参数，规则参数决定了该条安全防护规则执行时的具体实施方式和运行性能要求；

规则对应组件集合用于描述该条安全防护规则是由哪些安全防护组件组合形成的。

5.根据权利要求4所述的安全防护组件自动编排方法，其特征在于，在安全防护规则匹配中，根据匹配到的安全防护规则从安全防护组件库中提取出满足安全防护需求的安全防护组件的集合。

6.根据权利要求5所述的安全防护组件自动编排方法，其特征在于，所述为每项安全防护需求匹配一组安全防护规则的集合的方法包括：

设计关键词典，对安全防护方案和安全防护规则库中的信息描述进行规范和约束；

利用关联分析算法，针对历史数据获取频繁集，形成常用匹配数据库，在常用匹配数据库中查找与安全防护需求相匹配的常用的安全防护规则；

通过关键词在安全防护规则库中查找能够匹配的安全防护规则，并根据查找结果的匹配度选择最优的匹配关系。

7.根据权利要求6所述的安全防护组件自动编排方法，其特征在于，所述关键词典记录了整个动态安全防护流程中可能使用的所有关键词，关键词典中关键词的数量不作限制，可以定期增加或者修改；

通过关键词典对安全防护方案中的信息描述进行规范和约束的方法包括：使用关键词典中定义的关键词来描述每一项安全防护需求中对应的行为类型和行为参数属性；

通过关键词词典对安全防护规则库中的信息描述进行规范和约束的方法包括：使用关键词典中定义的关键词来描述安全防护规则库中的每一条安全防护规则的规则适用范围属性和规则参数属性。

8.根据权利要求6所述的安全防护组件自动编排方法，其特征在于，所述利用关联分析算法，针对历史数据获取频繁集，形成常用匹配数据库，在常用匹配数据库中查找与安全防护需求相匹配的常用的安全防护规则，包括：

建立历史数据库，记录安全防护需求与安全防护规则之间曾经的匹配结果；

设置最小支持度作为频繁集认定的标准，其中，支持度表示历史数据库中包含一个数据集的记录所占的比例；当一个数据集的支持度大于设定的最小支持度，则认为该数据集是全局对象中的频繁集；

遍历历史数据库，获取历史数据库中所包含的所有数据的最大不重复集和E作为频繁集的候选项集；

将候选项集中的每个数据作为一个子集，共得到K个子集，K＝候选项集中数据的数量；遍历一次历史数据库，单独统计每个子集的支持度，如果该子集的支持度小于最小支持度，则该子集以及该子集的超集均为非频繁集，从候选项集中将该子集删除，此时候选项集中剩下的子集均为频繁集；

将候选项集中的数据进行合并，得到n个新子集，并存储在候选项集中，遍历一次历史数据库，单独统计每个新子集的支持度，如果该子集的支持度小于最小支持度，则该子集以及该子集的超集均为非频繁集，从候选项集中将该子集删除，此时集合E中剩下的子集均为频繁集；重复当前步骤，直至候选项集中不能再合并出新的子集为止，输出最终的频繁集；

在频繁集中，遍历每一个子集，如果子集内记录的数据同时包含行为类型和安全防护规则的信息，则将该子集内记录的信息存储到常用匹配数据库中；

当接收到一个具体的安全防护需求时，获取其中的行为类型和行为参数信息，优先在常用匹配数据库中查找与安全防护需求相匹配的常用的安全防护规则。

9.根据权利要求6所述的安全防护组件自动编排方法，其特征在于，所述通过关键词在安全防护规则库中查找能够匹配的安全防护规则，并根据查找结果的匹配度选择最优的匹配关系，包括：

针对安全防护需求，读取其中的行为类型和行为参数，将其记录为集合X：{x1,x2}；其中，x1，x2是数据数量不固定的数据子集；

遍历安全防护规则库中记录的每一条安全防护规则，读取其中的规则适用范围、规则参数、规则对应组件集合，分别将其记录为集合Y(i):{y1,y2,y3}，其中，y1表示规则适用范围，y2表示规则参数，y3表示规则对应组件集合中组件的数量；

将集合X：{x1,x2}与集合Y(i):{y1,y2,y3}中每一条记录进行匹配，并将匹配结果保存为数值型的匹配度数据，记录在集合M(i):{m1,m2,m3}中，其中，若x1＝y1，则m1＝1；若x1∈y1，m1＝y1中数据的数量；若则m1＝0；若x2＝y2，则m2＝1；x2∈y2，则m2＝y2中数据的数量；若/>则m2＝0；m3＝y3；

遍历所有的匹配度记录集合M(i):{m1,m2,m3}，其中：

若所有集合M(i)中，所有的m1均等于0，则匹配失败，无法找到与安全防护需求相对应的安全防护规则；

若所有集合M(i)中，有且仅有一条记录的m1＝1，则选出该条记录所对应的安全防护规则为匹配结果；

若所有集合M(i)中，有多条记录的m1＝1，则选择其中m2＝1的记录所对应的安全防护规则为匹配结果；若存在多条记录的m1＝1且m2＝1，则选择其中m3值最小的记录所对应安全防护规则为匹配结果；

若所有集合M(i)中，有多条记录的m1>＝2，选择其中m2＝1的记录所对应的安全防护规则为匹配结果；若存在多条记录的m1>＝2且m2＝1，则选择其中m3值最小的记录所对应安全防护规则为匹配结果；

若所有集合M(i)中，有多条记录的m1>＝2且m2>＝2，则选择其中m3值最小的记录所对应安全防护规则为匹配结果；

若所有集合M(i)中，有多条记录的m1>＝2，且m2＝0，则选择其中m3值最小的记录所对应安全防护规则为匹配结果。

10.一种安全防护系统，其特征在于，采用如权利要求1至9中任一项所述的安全防护组件自动编排方法，包括：

软件定义安全防护平台，作为实施安全防护行为的主体，部署在网络中的关键节点上，负责对应对各类网络安全攻击行为；

安全监测预警子系统，对网络中各个安全防护平台上报的安全态势数据进行收集和融合处理，分析网络攻击行为，预测全网络安全态势变化趋势，针对网络攻击行为做出快速准确的安全预警；

安全防护决策子系统，对接收到的安全威胁预警进行分析评估，并生成应对网络攻击的网络安全防护方案；

安全管理子系统，管理整个网络中部署的所有安全防护平台，根据接收到的安全防护方案，自动编排方案中需要各类安全防护资源，并向方案中指定的安全防护平台推送安全防护资源，同时下达平台捷变指令。