CN118041693A - 一种交换机的安全防御方法、系统、设备及介质 - Google Patents

一种交换机的安全防御方法、系统、设备及介质 Download PDF

Info

Publication number
CN118041693A
CN118041693A CN202410430904.1A CN202410430904A CN118041693A CN 118041693 A CN118041693 A CN 118041693A CN 202410430904 A CN202410430904 A CN 202410430904A CN 118041693 A CN118041693 A CN 118041693A
Authority
CN
China
Prior art keywords
switch
security
server
configuration
operation mode
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202410430904.1A
Other languages
English (en)
Inventor
徐立
罗少杰
陈超
赵宗罗
钱锦
周波
李强强
罗俊
李勇军
赵增良
陈元中
何荣
孙雅各
陈佳琪
徐李冰
徐汉麟
景致
柳东辰
周靖淞
王诗琦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Ruishengbo Technology Co ltd
State Grid Zhejiang Electric Power Co Ltd Hangzhou Fuyang District Power Supply Co
Hangzhou Power Supply Co of State Grid Zhejiang Electric Power Co Ltd
Original Assignee
Hangzhou Ruishengbo Technology Co ltd
State Grid Zhejiang Electric Power Co Ltd Hangzhou Fuyang District Power Supply Co
Hangzhou Power Supply Co of State Grid Zhejiang Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Ruishengbo Technology Co ltd, State Grid Zhejiang Electric Power Co Ltd Hangzhou Fuyang District Power Supply Co, Hangzhou Power Supply Co of State Grid Zhejiang Electric Power Co Ltd filed Critical Hangzhou Ruishengbo Technology Co ltd
Priority to CN202410430904.1A priority Critical patent/CN118041693A/zh
Publication of CN118041693A publication Critical patent/CN118041693A/zh
Pending legal-status Critical Current

Links

Landscapes

  • Alarm Systems (AREA)

Abstract

本发明公开一种交换机的安全防御方法、系统、设备及介质,该方法包括:对安全漏洞的威胁级别进行优先级排序,根据优先级排序对安全漏洞部署对应的补丁;服务器分析当前安全配置参数与安全基线配置参数之间的差异,根据差异分析结果评估是否需要切换至安全运行模式;若需要切换至安全运行模式,则向交换机发送启动安全运行模式的指令,从安全策略库中获取对应的防护措施和应急响应预案;交换机在接收到启动安全运行模式的指令后,向交换机传输防护措施和应急响应预案,交换机接收到防护措施和应急响应预案后,执行自动配置;在交换机切换至安全运行模式的过程中,当检测到交换机或服务器运行异常时,自动回滚到预设的稳定配置状态。

Description

一种交换机的安全防御方法、系统、设备及介质
技术领域
本发明涉及信息安全技术领域,尤其涉及一种交换机的安全防御方法、系统、设备及介质。
背景技术
随着网络和服务器在各行各业中的广泛应用,网络信息安全问题日益凸显。传统的网络安全防护方法已经难以应对不断变异的网络攻击和安全威胁。在网络环境中,交换机作为连接网络设备的关键组件,其端口流量的监测与管理对于网络安全至关重要,其安全漏洞的发现和应对也是一个重要的课题。由于网络攻击手法不断变化,新型安全漏洞存在潜在风险,部署补丁仅能解决已发现的安全漏洞,但是无法及时发现潜在的安全漏洞,导致网络安全风险较高。
发明内容
本发明提供一种交换机的安全防御方法、系统、设备及介质,以解决现有技术无法及时发现潜在的安全漏洞,导致网络安全风险较高的技术问题。
为了解决上述技术问题,本发明实施例提供了一种交换机的安全防御方法,所述方法应用于监控系统,所述方法包括:
所述监控系统检测到交换机存在安全漏洞后发出告警,基于所述告警生成告警记录,并将所述安全漏洞和所述告警记录发送给服务器;
所述监控系统监测所述交换机切换至预设的安全运行模式过程中所述交换机和所述服务器的状态变化,当检测到所述交换机或所述服务器运行异常时,向所述服务器发出应急告警,并采集所述交换机当前的配置状态信息。
更进一步地,所述方法还包括:
所述监控系统监测到所述交换机接收到的所述回滚指令后,采集所述交换机回滚后的配置状态信息,并将所述配置状态信息的数据发送给所述服务器;
其中,在采集所述交换机的所述配置状态信息的数据时,若检测到配置状态数据正在变化,则暂停数据采集,待所述配置状态数据变化完成后重新开始采集数据。
更进一步地,所述方法还包括:
所述监控系统监测到所述交换机的内部安全检测程序发现异常,所述监控系统发出异常告警,并生成异常报告;
所述监控系统监测所述交换机的网络隔离和流量重定向的操作完成后进行日志记录,同时对所述防护措施进行实时监控和日志记录,直至所述日志记录中未发现新的安全事件;
所述监控系统对所述交换机执行安全状态审计,监测所述交换机的状态,记录审计结果。
本发明实施例还提供了一种交换机的安全防御方法,所述方法应用于服务器,所述方法包括:
所述服务器接收来自监控系统检测到的安全漏洞和告警记录;
所述服务器对所述安全漏洞的威胁级别进行优先级排序,并根据所述安全漏洞的优先级对所述安全漏洞部署对应的补丁;
获取预设的安全基线配置参数和交换机当前运行模式下的当前安全配置参数,分析得到所述安全基线配置参数与所述当前安全配置参数之间的差异分析结果,根据所述差异分析结果评估所述交换机是否需要切换至预设的安全运行模式;
若所述差异分析结果显示所述交换机需要切换至所述预设的安全运行模式,则
所述服务器向所述交换机发送启动安全运行模式的指令,且结合所述安全漏洞的信息及所述威胁级别进行评估,从安全策略库中获取对应评估结果的防护措施和应急响应预案发送给所述交换机;
在所述交换机切换至所述预设的安全运行模式的过程中,若所述服务器接收到来自所述监控系统的应急告警,则向所述交换机发送回滚指令,以使所述交换机切换至预设的稳定配置状态。
更进一步地,根据所述差异分析结果评估所述交换机是否需要切换至预设的安全运行模式的具体步骤包括:
所述服务器解析所述告警记录中的告警信号以及对应所述告警信号的告警类型和安全漏洞的优先级;
获取预设的所述安全基线配置参数;
根据所述告警类型及所述安全漏洞优先级,访问所述交换机管理接口,提取当前安全配置参数;
对比分析所述当前安全配置参数是否符合所述安全基线配置参数的要求;
若否,则确定所述交换机需要切换至预设的安全运行模式。
更进一步地,在所述服务器对所述安全漏洞部署对应的补丁后,所述服务器对经过所述补丁修复后的所述交换机硬件进行安全性验证,验证所述安全漏洞的闭合状态,若所述安全漏洞成功闭合,则完成修复。
更进一步地,所述服务器向所述交换机发送启动安全运行模式的指令,且结合所述安全漏洞的信息及所述威胁级别进行评估,从安全策略库中获取对应评估结果的防护措施和应急响应预案发送给所述交换机的具体步骤包括:
根据所述安全漏洞的信息和所述威胁级别,分析受影响交换机的重要性、安全漏洞的利用难易程度和影响范围,基于受影响交换机的重要性、安全漏洞的利用难易程度和影响范围的分析结果得到威胁评估结果;
访问所述安全策略库,查询与所述威胁评估结果相匹配的防护措施属性集,其中,所述防护措施属性集包括措施名称、措施描述、实施难度和预期效果;
从所述安全策略库中获取所述应急响应预案的信息,所述应急响应预案的信息包括预案名称、预案执行条件和预案效果评估;
判断所述防护措施和所述应急响应预案的执行条件是否存在执行矛盾或资源冲突;若所述防护措施和所述应急响应预案的执行条件不一致,则
确定所述措施名称的依赖项,根据所述措施描述更新配置项、所需权限和预配置参数,通过自动化工具自动部署所述防护措施,包括配置参数设置、权限分配和补丁的安装;
监控所述防护措施和所述应急响应预案的执行情况,实时采集执行数据并进行效果评估,调整确保所述防护措施和所述应急响应预案的执行条件的一致性。
更进一步地,所述服务器通过通信协议将具有所述防护措施和所述应急响应预案的安全配置文件传输至所述交换机。
更进一步地,在所述交换机切换至所述预设的安全运行模式的过程中,若所述服务器接收到来自所述监控系统的应急告警,则向所述交换机发送回滚指令,以使所述交换机切换至预设的稳定配置状态的具体步骤包括:
接收来自监控系统发送的所述交换机当前的配置状态信息;
采用快照技术对所述配置状态数据进行快照操作;
判断快照是否创建成功;
若快照创建失败,自动触发快照回滚机制,向所述交换机发送回滚指令;
获取所述交换机回滚前后的配置和性能指标;
通过对比所述交换机回滚前后的配置和性能指标,确认回滚后是否恢复正常运行状态。
更进一步地,所述方法还包括:
获取所述交换机回滚前后的所述配置状态信息的文件,分析两份所述配置状态信息文件之间的差异,确定不同的配置变更内容,并触发审计流程;
接收来自请求者的变更申请,通过变更管理系统记录所述交换机的配置的所述变更申请,对比所述变更申请与当前所述交换机和所述服务器配置,识别出所述交换机的配置的变更内容;
审查所述变更内容是否合理安全;
若是,则将经过审查的所述变更内容应用于所述交换机和所述服务器配置;
若否,则拒绝所述变更内容,并触发审计流程。
本发明实施例还提供了一种交换机的安全防御方法,所述方法应用于交换机,所述方法包括:
所述交换机内预设有安全运行模式和稳定配置状态;
所述交换机接收来自服务器的启动安全运行模式的指令、防护措施以及应急响应预案;
所述交换机响应所述启动安全运行模式的指令,所述交换机自动配置所述防护措施和所述应急响应预案,以使所述交换机切换至预设的安全运行模式;
在所述交换机切换至所述预设的安全运行模式的过程中,若所述交换机接收到来自所述服务器的回滚指令,则所述交换机响应所述回滚指令,所述交换机自动回滚到预设的稳定配置状态。
更进一步地,所述交换机响应所述启动安全运行模式的指令,所述交换机自动配置所述防护措施和所述应急响应预案,以使所述交换机切换至预设的安全运行模式的具体步骤包括:
所述交换机接收来自所述服务器的具有所述防护措施和所述应急响应预案的安全配置文件,通过自动化工具自动执行配置操作,配置操作完成后所述交换机执行内部安全检测程序,检查所述交换机各项所述防护措施是否生效;
若所述内部安全检测程序发现异常,触发所述应急响应预案,根据所述应急响应预案执行网络隔离和流量重定向的操作。
本发明实施例还提供了一种交换机的安全防御系统,所述系统应用于监控系统,所述系统包括:
监测安全漏洞单元,用于所述监控系统检测到交换机存在安全漏洞后发出告警,基于所述告警生成告警记录,并将所述安全漏洞和所述告警记录发送给服务器;
采集配置状态信息单元,用于监控系统监测交换机切换至预设的安全运行模式过程中交换机和服务器的状态变化,当检测到交换机或服务器运行异常时,向服务器发出应急告警,并采集交换机当前的配置状态信息。
本发明实施例还提供了一种交换机的安全防御系统,所述系统应用于服务器,所述系统包括:
与监控系统通信单元,用于所述服务器接收来自监控系统检测到的安全漏洞和告警记录;
安全漏洞排序单元,用于所述服务器对所述安全漏洞的威胁级别进行优先级排序,并根据所述安全漏洞的优先级对所述安全漏洞部署对应的补丁;
差异分析单元,用于获取预设的安全基线配置参数和交换机当前运行模式下的当前安全配置参数,分析得到所述安全基线配置参数与所述当前安全配置参数之间的差异分析结果,根据所述差异分析结果评估所述交换机是否需要切换至预设的安全运行模式;若所述差异分析结果显示所述交换机需要切换至所述预设的安全运行模式,则执行安全文件查询单元和回滚指令单元;
安全文件查询单元,用于所述服务器向所述交换机发送启动安全运行模式的指令,且结合所述安全漏洞的信息及所述威胁级别进行评估,从安全策略库中获取对应评估结果的防护措施和应急响应预案发送给所述交换机;
回滚指令单元,用于在所述交换机切换至所述预设的安全运行模式的过程中,若所述服务器接收到来自所述监控系统的应急告警,则向所述交换机发送回滚指令,以使所述交换机切换至预设的稳定配置状态。
本发明实施例还提供了一种交换机的安全防御系统,所述系统应用于交换机,所述系统包括:
存储单元,用于所述交换机内预设有安全运行模式和稳定配置状态;
与服务器通信单元,用于所述交换机接收来自服务器的启动安全运行模式的指令、防护措施以及应急响应预案;
安全运行模式文件配置单元,用于所述交换机响应所述启动安全运行模式的指令,所述交换机自动配置所述防护措施和所述应急响应预案,以使所述交换机切换至预设的安全运行模式;
稳定配置单元,用于在所述交换机切换至所述预设的安全运行模式的过程中,若所述交换机接收到来自所述服务器的启动稳定运行模式的指令,则所述交换机自动回滚到预设的稳定配置状态。
本发明实施例还提供了一种计算机设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现上述的方法。
本发明实施例还提供了一种计算机可读存储介质,其存储有计算机程序,该程序被处理器执行时实现上述的方法。
本发明实施例的有益效果:
本发明的交换机在对检测到的安全漏洞根据威胁级别优先级排序逐一进行部署补丁,并且,在交换机内预设一个安全基线配置参数,在部署补丁后,根据交换机当前安全配置参数与安全基线配置参数的差异评估结果,来判断交换机当前运行模式是否安全,以发现交换机是否还存在潜在安全风险,若差异评估结果不符合安全基线配置参数的要求,交换机则需要切换至安全运行模式,以保证交换机的工作状态能处于安全运行模式,提高网络安全性。本发明还预设定了一个稳定配置状态,为避免在切换过程中出现异常时交换机无法正常切换,在运维人员来处理之前只能处于运行异常的状态,存在安全风险,因此,在切换过程中出现异常时,交换机还可以触发回滚机制切换至稳定配置状态,以保证交换机可以始终保持在安全运行模式。
附图说明
图1是本发明应用于监控系统的安全防御方法的一个实施例的流程图;
图2是本发明应用于服务器的安全防御方法的一个实施例的流程图;
图3是本发明应用于交换机的安全防御方法的一个实施例的流程图;
图4是本发明的交换机的安全防御方法的一个具体实施例的流程图;
图5是本发明应用于监控系统的安全防御方法的另一个实施例的流程图;
图6是本发明应用于监控系统的安全防御方法的又一个实施例的流程图;
图7是本发明的步骤S22中的一个具体实施方式的流程图;
图8是本发明的步骤S23中的一个具体实施方式的流程图;
图9是本发明的步骤S24中的一个具体实施方式的流程图;
图10是本发明的步骤S25中的一个具体实施方式的流程图;
图11是本发明应用于服务器的安全防御方法的另一个实施例的流程图;
图12是本发明的步骤S34中的一个具体实施方式的流程图;
图13是本发明的实施例的示例计算机设备的示意性框图。
其中,说明书附图的附图标记如下:
600、计算机设备;601、计算单元; 602、 ROM;603、RAM; 604、总线; 605、I/O接口;606、输入单元;607、输出单元; 608、存储单元;609、通信单元。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的交换机在对检测到的安全漏洞根据威胁级别优先级排序逐一进行部署补丁,并且,在交换机内预设一个安全基线配置参数,在部署补丁后,根据交换机当前安全配置参数与安全基线配置参数的差异评估结果,来判断交换机当前运行模式是否安全,以发现交换机是否还存在潜在安全风险,若差异评估结果不符合安全基线配置参数的要求,交换机则需要切换至安全运行模式,以保证交换机的工作状态能处于安全运行模式,提高网络安全性。本发明还预设定了一个稳定配置状态,为避免在切换过程中出现异常时交换机无法正常切换,在运维人员来处理之前只能处于运行异常的状态,存在安全风险,因此,在切换过程中出现异常时,交换机还可以触发回滚机制切换至稳定配置状态,以保证交换机可以始终保持在安全运行模式。
实施例一
请参照图1,本发明实施例提供了一种交换机的安全防御方法,该方法应用于监控系统,该方法包括:
步骤S11、监控系统检测到交换机存在安全漏洞后发出告警,基于告警生成告警记录,并将安全漏洞和告警记录发送给服务器。
步骤S12、监控系统监测交换机切换至预设的安全运行模式过程中交换机和服务器的状态变化,当检测到交换机或服务器运行异常时,向服务器发出应急告警,并采集交换机当前的配置状态信息。
请参照图2,本发明实施例还提供了一种交换机的安全防御方法,该方法应用于服务器,该方法包括:
步骤S21、服务器接收来自监控系统检测到的安全漏洞和告警记录;
步骤S22、服务器对安全漏洞的威胁级别进行优先级排序,并根据安全漏洞的优先级对安全漏洞部署对应的补丁;
步骤S23、获取预设的安全基线配置参数和交换机当前运行模式下的当前安全配置参数,分析得到安全基线配置参数与当前安全配置参数之间的差异分析结果,根据差异分析结果评估交换机是否需要切换至预设的安全运行模式;
若差异分析结果显示交换机需要切换至预设的安全运行模式,则执行步骤S24。
步骤S24、服务器向交换机发送启动安全运行模式的指令,且结合安全漏洞的信息及威胁级别进行评估,从安全策略库中获取对应评估结果的防护措施和应急响应预案发送给交换机;
步骤S25、在交换机切换至预设的安全运行模式的过程中,若服务器接收到来自监控系统的应急告警,则向交换机发送回滚指令,以使交换机切换至预设的稳定配置状态。
请参照图3,本发明实施例还提供了一种交换机的安全防御方法,该方法应用于交换机,该方法包括:
步骤S31、交换机内预设有安全运行模式和稳定配置状态;
步骤S32、交换机接收来自服务器的启动安全运行模式的指令、防护措施以及应急响应预案;
步骤S33、交换机响应启动安全运行模式的指令,交换机自动配置防护措施和应急响应预案,以使交换机切换至预设的安全运行模式;
步骤S34、在交换机切换至预设的安全运行模式的过程中,若交换机接收到来自服务器的回滚指令,则交换机响应回滚指令,交换机自动回滚到预设的稳定配置状态。
请参照图1至图4,在本实施例中,本发明实施例的一种交换机的安全防御方法,具体包括:
步骤S11、监控系统检测到交换机存在安全漏洞后发出告警,并生成告警记录,监控系统将告警记录发送给服务器。
步骤S21、服务器接收安全漏洞和告警记录;
步骤S22、服务器对安全漏洞的威胁级别进行优先级排序,根据安全漏洞的优先级对安全漏洞部署对应的补丁;
步骤S23、获取预设的安全基线配置参数和交换机当前运行模式下的当前安全配置参数,分析得到安全基线配置参数与当前安全配置参数之间的差异分析结果,根据差异分析结果评估交换机是否需要切换至预设的安全运行模式;若差异分析结果显示交换机需要切换至预设的安全运行模式,则执行步骤S24。
步骤S24、服务器向交换机发送启动安全运行模式的指令,且结合安全漏洞的信息及威胁级别进行评估,从安全策略库中获取对应评估结果的防护措施和应急响应预案发送给交换机;
步骤S31、交换机内预设有安全运行模式和稳定配置状态;
步骤S32、交换机接收来自服务器的启动安全运行模式的指令、防护措施以及应急响应预案;
步骤S33、交换机响应启动安全运行模式的指令,交换机自动配置防护措施和应急响应预案,以使交换机切换至预设的安全运行模式;
步骤S12、监控系统监测交换机切换至预设的安全运行模式过程中交换机和服务器的状态变化,当检测到交换机或服务器运行异常时,向服务器发出应急告警,并采集交换机当前的配置状态信息;
步骤S25、在交换机切换至预设的安全运行模式的过程中,若服务器接收到来自监控系统的应急告警,则向交换机发送回滚指令;
步骤S34、若交换机接收到来自服务器的回滚指令,则交换机响应回滚指令,交换机自动回滚到预设的稳定配置状态。
在步骤S11中,通过监控系统监测交换机的端口流量与服务器的硬件状态,实时获取端口传输数据及硬件运行信息数据,识别实时数据中的异常流量和非正常硬件状态,判断是否存在空闲网口未关闭或安全漏洞,根据判断结果发出告警并生成告警记录,服务器对告警执行响应措施,响应措施包括关闭空闲网口和限制异常流量的流速。
具体地,在交换机内配置SNMP协议(简单网络管理协议),用来监控网络活动,即交换机通过SNMP协议获取端口速率和传输数据。应用NetFlow分析工具来捕获和记录通过每个端口的传入流量和传出流量。在一个具体的实施例中,监测一个特定的端口,该端口的理论最大速率是1Gbps。通过SNMP协议获取的数据发现,在高峰时段这个端口的实际吞吐量达到了800Mbps,占理论最大速率的80%。
如此,监控系统采用NetFlow分析工具对交换机的每个端口进行持续监控并记录端口传输数据,在端口出现异常流量时,可以评估分析该异常流量来判断是否存在安全漏洞,以此发现交换机的安全漏洞。由于监控系统实时监测传输数据,因此,可以应用在交换机大规模传输数据时,通过分析异常流量,能够及时有效发现安全漏洞。
应用NetFlow分析工具来捕获和记录流量数据。同时,使用远程监控工具RMON对端口利用率进行监控,若端口利用率超出预设阈值,触发告警机制,告警运维人员采取措施。在一个具体的实施例中,设定一个阈值为75%,若端口利用率超过这个阈值,会触发一个报警。
此外,可通过网络分析工具获取错误率和丢包率,结合端口的错误率和丢包率信息,判断网络连接的质量,通过调整网络配置或设备来降低错误率和丢包率。获取交换机上的碰撞和队列长度数据,若碰撞次数或队列长度超出预设阈值,分析网络拥塞问题,优化网络拓扑结构。
通过智能平台管理接口IPMI获取服务器的硬件健康状况信息,硬件健康状况信息包括温度、电压、风扇转速、电源状态。监测服务器的温度信息,若温度超出预设阈值,通过动态调节风扇转速或其他冷却措施来控制硬件温度。在一个具体的实施例中,服务器的正常工作温度范围是35至40摄氏度,若温度传感器显示服务器温度升至45摄氏度,就可能需要通过增加风扇转速或采用其他冷却措施来降温。监控电源状态和硬件故障,若检测到异常,记录事件并通知运维团队进行快速响应。在一个具体的实施例中,若服务器的电源单位(PSU)状态从“正常”变为“故障”,监控系统将自动记录这一事件,并通知运维团队进行故障排除。
如此,全面监测服务器的硬件健康状况信息,在监测到电源状态和硬件发生故障时,服务器发出告警以及时通知运维团队响应措施。
更具体地,通过网络接口状态的实时分析确定网络带宽的瓶颈,根据带宽利用率和错误统计来调整网络流量或改善网络设备配置。在一个具体的实施例中,若某个网络接口的带宽利用率经常达到或超过80%,而且错误统计显示大量的CRC错误,这指示这个接口是网络带宽的瓶颈并且可能存在物理层面的问题,需要调整网络流量或更换线缆以改善状况。
检测分析获取的端口传输数据及硬件运行信息数据。若检测到流量异常峰值,对异常流量进行初步分类。获取异常流量对应的设备信息,包括设备标识和网口信息,若网口处于空闲状态,标记网口为未正确关闭,并对网口进行关闭处理。
根据异常流量的特点,调用数据库中的历史流量数据进行对比分析。获取异常流量对应设备的历史性能数据,判断是否存在硬件异常,若不存在硬件异常,则对异常流量进行标识,对于标识为潜在安全威胁的异常流量,查询安全漏洞数据库,得到相关CVE编号。根据CVE编号系统自动生成告警记录,告警记录包括异常类型、描述和安全漏洞详情。
对告警执行响应措施,响应措施包括关闭空闲网口和限制异常流量的流速,并记录告警状态与责任人信息。
在一个具体的实施例中,若检测到8080网口在异常流量发生时没有进行数据传输,判定为网口未正确关闭。对于响应措施,运维人员接到告警后迅速采取行动,关闭了未正确关闭的8080网口,并对来自该IP地址的流量设置了限速规则,获取最近30天内的历史流量数据,限速规则根据历史流量数据的正常范围进行设限,例如,历史流量数据的正常流量范围为200至400Mbps,可将其限制在200Mbps。此外,还更新了告警状态,记录了处理的时间戳,并将责任人信息标记为网络安全团队的负责人。
在本实施例中,若在交换机上识别到一个安全漏洞,则获取安全漏洞位置、类型和基本描述。在一个具体的实施例中,在交换机A的端口10上识别到一个安全漏洞,漏洞类型为SQL注入,基本描述为“允许远程攻击者通过端口10注入恶意SQL命令”。
具体地,安全数据库存储在交换机的内部存储装置中,根据安全漏洞类型查找对应的安全数据库,从该安全数据库中查询识别出安全漏洞的信息,安全漏洞的信息包括历史威胁数据、修复难度和之前的攻击案例。
根据安全漏洞的信息进行评估威胁级别并对安全漏洞的威胁级别进行优先级排序,优先处理威胁级别排名靠前的安全漏洞。具体地,根据安全漏洞的优先级逐一部署针对安全漏洞的补丁。如此,在识别到安全漏洞后,依照优先级排序有序处理安全漏洞,优先处理安全威胁级别高的安全漏洞可以降低损失。
在步骤S22中,服务器分析告警记录中的信息,得到对应的告警信号,根据告警信号分析得到告警类型及安全漏洞优先级。
在步骤S23中,根据告警类型及安全漏洞优先级访问交换机管理接口,具体地,可以使用命令“showrunning-config”提取当前的安全配置参数。本实施例中,在服务器中提前预设有交换机的安全基线配置参数。
获取预设的安全基线配置参数,对比分析安全基线配置参数与当前安全配置参数之间是否存在差异,得到差异分析结果。
具体地,差异分析结果包括两种情况,一是存在差异且差异不符合安全基线配置参数的要求,二是不存在差异或存在差异而差异符合安全基线配置参数的要求。
本实施例中,若差异分析结果为存在差异且差异不符合安全基线配置参数的要求,交换机则需要切换至预设的安全运行模式。
具体地,若差异分析结果显示当前安全配置参数不符合安全基线配置参数要求,输出结果为交换机需要切换至预设的安全运行模式。服务器通过激活隔离机制以限制威胁的传播,布置安全漏洞补丁,将安全漏洞补丁应用到受影响的交换机上。
更具体地,通过部署自动化脚本,将安全漏洞补丁应用到交换机上。
在一个具体的实施例中,由于差异分析结果,当前配置不符合安全基线要求,通过激活隔离机制启用交换机端口安全功能,用来自动关闭与攻击者可能所在网络段相连的端口,以限制威胁的传播。从厂商网站下载针对CVE编号为CVE-0000-00000的漏洞补丁。部署一个自动化脚本,该脚本首先验证了交换机型号和操作系统版本,之后自动将安全漏洞补丁应用到受影响的交换机上。另外,脚本执行过程中记录了补丁部署的日志,补丁部署的日志中包括开始时间、结束时间、补丁大小和更新状态。
具体地,应用新配置后,启动监控系统用来观察交换机运行状态是否稳定。
启动网络行为监控系统,监控日志显示交换机流量模式回归正常,无不寻常活动发生,即补丁生效。在一个具体的实施例中,入侵检测系统(IDS)的统计报告显示,与上一个小时相比,恶意尝试访问的事件数量下降了80%。通过这一系列的反应和修复措施,有效地处理了一个高优先级的安全漏洞,最小化了其对网络安全的潜在影响。
由于网络攻击手法不断变化,交换机存在以往发现过的安全漏洞能被发现,但是新型安全漏洞无法发现的情况。因此,本实施例在对安全漏洞部署对应的补丁后,还需要对比分析安全基线配置参数与当前安全配置参数之间是否存在差异性,根据差异分析结果判断交换机当前是否存在潜在安全危险,若存在潜在安全危险则需切换至预设的安全运行模式。
在其他实施例中,若不存在差异或存在差异而差异符合安全基线配置参数的要求,即交换机不需要切换至预设的安全运行模式,则备份交换机当前运行模式下的当前安全配置。
在另一个具体的实施例中,通过管理接口使用命令行工具或者网络管理软件读取用户账户信息,包括用户名、密码以及权限设置,并将数据存储在临时存储区域;根据临时存储区域中的用户账户信息,通过命令行或网络管理软件提取当前运行模式下的ACLs配置,并与用户账户信息一同进行存储。
采用网络管理软件扫描交换机端口,记录与接口相关的MAC地址限制、端口状态及错误禁用设置,并添加到已有的备份数据集中;通过命令行或网络管理软件读取并记录VLAN的配置信息,包括VLANID、成员端口以及VLAN间的路由信息,并将其合并到当前的备份数据中;通过管理接口提取SNMP的配置,包括社区字符串、版本、用户、视图、组,确保这些配置与先前的备份数据同步。
采用命令行界面或网络管理软件获取当前SSH密钥和TELNET设置,并将这些信息整合到备份数据集中;通过网络管理工具收集交换机上配置的防火墙规则和安全策略,包括任何与安全相关的策略和规则,并更新备份集;通过命令行或网络管理软件获取日志记录和审计的配置设置,收集当前的配置状态,并添加到备份数据集;如果交换机上有自定义的脚本或配置文件,使用文件传输工具将这些文件下载并存储。
在步骤S24中,差异分析结果显示为需要切换至预设的安全运行模式,服务器响应程序以向交换机发送启动安全运行模式的指令。
具体地,服务器访问安全策略库,查询与威胁级别相匹配的防护措施属性集,防护措施属性集包括措施名称、措施描述、实施难度和预期效果。从安全策略库中提取应急响应预案信息,应急响应预案信息包括预案名称、预案执行条件和预案效果评估。
在步骤S33中,交换机接收防护措施和应急响应预案后并执行自动配置的操作,以使交换机切换至预设的安全运行模式。
监控系统监控交换机接收到服务器发送的启动安全运行模式的指令后的状态,具体地,通过监控系统持续监控交换机状态,一旦检测到交换机接收到启动安全运行模式的指令,记录指令的接收时间,发送给服务器,更新操作日志,评估当前交换机的运行模式。
服务器接收来自监控系统记录的交换机接收到启动安全运行模式的指令的接收时间,基于接收时间更新操作日志,评估当前交换机的运行模式,并将评估结果记录在操作日志中。
服务器通过通信协议将具有防护措施和应急响应预案的安全配置文件传输至交换机。
更具体地,服务器通过SSH协议将相应的防护措施和应急响应预案传输至交换机。
交换机接收到防护措施和应急响应预案后,交换机通过自动化工具自动配置,配置完成即实现完成切换。
如此,在交换机存在潜在安全危险的情况下,交换机配置防护措施和应急响应预案,使交换机切换至安全运行模式,提高了交换机的安全性能。
在步骤S12中,在执行交换机切换操作开始前,监控系统需要先获取交换机当前的配置状态信息。
具体地,配置状态信息包括软件版本、系统设置、网络配置参数,得到配置状态数据。
在一个具体的实施例中,运维人员使用命令“showversion”来查看软件版本,假设显示当前软件版本为01版。
在步骤S34中,在交换机切换至预设的安全运行模式的过程中,监控系统监测交换机的状态变化,当检测到交换机或服务器运行异常时,自动回滚到预设的稳定配置状态。
请参照图5,本实施例应用于监控系统的方法还包括:
步骤S13、监控系统监测到交换机接收到的回滚指令后,采集交换机回滚后的配置状态信息,并将配置状态信息的数据发送给服务器;
其中,在采集交换机的配置状态信息的数据时,若检测到配置状态数据正在变化,则暂停数据采集,待配置状态数据变化完成后重新开始采集数据。具体地,数据变化完成即代表着交换机成功切换至安全运行模式。
具体地,当监控系统检测到交换机或服务器运行异常时,向服务器发出应急告警,并采集交换机当前的配置状态信息。在一个具体的实施例中,运维人员使用命令“showversion”来查看软件版本,假设显示当前软件版本为01版。
在获取配置信息的过程中,系统检测到配置正在进行上一次的变更指令,运维人员必须等待变更完成后才能重新开始采集配置状态数据,在变更完成后采集的数据为02版本。
本实施例中,交换机切换至安全运行模式后,监控系统继续监测交换机或服务器运行状态,在检测到交换机或服务器运行异常时,自动回滚到预设的稳定配置状态。如此,本实施例的交换机将预设的稳定配置状态作为备用的安全运行模式,确保交换机在无法切换至安全运行模式时还能够切换到稳定配置状态,保证交换机的运行安全,进一步提高了交换机的安全性。本实施例可以避免交换机存在处于运行异常的状态工作的情况,从而导致无法存储数据或丢失数据。
本实施例的交换机和服务器通过监控系统实时监测传输数据和硬件健康运行状态,在检测到异常流量时,分析异常流量,判断交换机存在安全漏洞时,根据优先级排序对安全漏洞逐一进行部署补丁,优先处理威胁级别高的安全漏洞,降低损失。同时,在交换机内预设一个安全基线配置参数,在部署补丁后,根据交换机安全基线配置参数与当前安全配置参数的差异评估结果来判断交换机当前运行模式是否安全,以发现交换机是否还存在潜在安全风险,若差异评估结果不符合安全基线配置参数的要求,交换机则需要切换至安全运行模式,以保证交换机的工作状态能处于安全运行模式,提高安全性。
本发明的交换机还预设了一个稳定配置状态,为避免在切换过程中出现异常时交换机无法正常切换,在运维人员来处理之前只能处于运行异常的状态,由于该状态易被攻击,存在安全风险,因此,在切换过程中出现异常时,交换机还可以触发回滚机制切换至稳定配置状态,以保证交换机可以始终保持在安全运行模式,进一步提高安全性。
实施例二
请参照图4和图7,在实施例一的基础上,本发明的步骤S22中服务器对安全漏洞的威胁级别进行优先级排序的具体步骤包括:
步骤S221、识别到安全漏洞后,获取安全漏洞的位置、类型和基本描述。
在步骤S221中,在本实施例中,若在交换机上识别到一个安全漏洞,则获取安全漏洞的位置、类型和基本描述。在一个具体的实施例中,在交换机A的端口10上识别到一个安全漏洞,漏洞类型为SQL注入,基本描述为“允许远程攻击者通过端口10注入恶意SQL命令”。
步骤S222、根据安全漏洞类型匹配对应的安全数据库,从安全数据库中查询识别出安全漏洞的信息。
在步骤S222中,具体地,安全数据库存储在交换机的内部存储装置中,根据安全漏洞类型查找对应的安全数据库,从该安全数据库中查询识别出安全漏洞的信息,安全漏洞的信息包括历史威胁数据、修复难度和之前的攻击案例。
步骤S223、基于安全漏洞的信息,对各个安全漏洞的危害程度进行量化评分,得到安全漏洞严重性评分。
在步骤S223中,安全漏洞严重性评分包括涵盖影响范围、潜在损失和攻击成本。在一个具体的实施例中,查询安全数据库,发现该SQL注入漏洞有历史威胁数据,过去一年内发生了5次利用该漏洞的攻击事件,修复难度为中等。基于影响范围(交换机A的多个服务受影响)、潜在损失(估计为1000元)和攻击成本(高),给该漏洞一个严重性评分为8.5(满分10)。
步骤S224、对各个安全漏洞严重性评分进行排序,生成优先级队列,优先处理威胁级别排名靠前的安全漏洞。
在一个具体的实施例中,将该漏洞与其他识别到的漏洞进行严重性评分排序,假设它排在第二位。
本实施例在生成优先级队列的步骤后,还可以继续优化调整优先级队列,具体步骤包括:
步骤S225、对优先级队列中的安全漏洞进行可利用性分析;
在步骤S225中,可利用性分析用于分析评估安全漏洞是否易于被利用,涉及安全漏洞利用频率和当前环境下的利用难度。
步骤S226、获取安全漏洞的补丁发布信息;
具体地,补丁发布信息包括补丁发布日期、兼容性测试结果和历史补丁效能。
步骤S227、根据可利用性分析结果与补丁发布信息重新调整优先级队列,优先处理易被利用且有有效补丁的安全漏洞。
具体地,有效补丁是指补丁效能高的补丁。
在一个具体的实施例中,可利用性分析结果显示该SQL注入漏洞的利用频率高,当前环境下的利用难度低,因此易于被利用。经过查询得知,针对该漏洞的补丁已于一周前发布,兼容性测试结果良好,历史补丁效能高。由于该漏洞易被利用且有有效补丁,将其优先级调整至队列首位。优先针对该漏洞部署有效补丁,再根据优先级排序逐一部署对应的补丁。
进一步地,在服务器对安全漏洞部署对应的补丁后,监控系统需要持续跟踪补丁部署效果,其具体步骤包括:
步骤S228、服务器对经过补丁修复后的交换机硬件进行安全性验证,验证安全漏洞的闭合状态,若安全漏洞成功闭合,则完成修复。
在一个具体的实施例中,部署补丁X后,对交换机A端口10进行安全性验证,确认漏洞已成功闭合,无法再通过该端口进行SQL注入攻击。
另外,部署补丁后,还会生成告警记录,告警记录包括漏洞基本描述“SQL注入漏洞,允许远程攻击者通过端口10注入恶意SQL命令”,严重性评分8.5,优先级1,建议采用的修复补丁“补丁X”,时间戳,以及受影响的交换机设备信息“交换机A端口10”。
实施例三
请参照图4和图8,在实施例一、实施例二的基础上,本发明的步骤S23的具体步骤包括:
步骤S231、服务器解析告警记录中的告警信号以及对应告警信号的告警类型和安全漏洞的优先级。
具体地,服务器接收告警记录,并解析告警记录中的告警信号以及对应告警信号的告警类型和安全漏洞优先级;
在步骤S231中,根据告警记录分析对应的告警信号,根据告警信号分析出对应的告警类型及安全漏洞优先级。
在一个具体的实施例中,监控系统将发出的各个告警生成告警记录,在一个具体的实施例中,根据告警记录中的其中一个告警的分析显示,某交换机出现了一个高优先级的安全漏洞,CVE编号为CVE-0000-00000,该漏洞被评估为8分,威胁级别为严重。
步骤S232、获取预设的安全基线配置参数;
步骤S233、根据告警类型及安全漏洞优先级,访问交换机管理接口,提取当前安全配置参数。
具体地,运维人员远程登录交换机管理接口,可使用命令“showrunning-config”提取了当前的安全配置参数。在一个具体的实施例中,提取的安全配置参数显示,交换机的访问控制列表(ACL)应当包含以下条目“denyip19160255any”,但实际上这个条目缺失。
步骤S234、对比分析当前安全配置参数是否符合安全基线配置参数的要求;
在步骤S234中,通过对比发现,当前安全配置参数与既定的安全基线配置参数存在差异,在一个具体的实施例中,安全基线配置参数要求所有内网地址都应该通过ACL被明确拒绝访问交换机管理端口。
步骤S235、若否,则确定交换机需要切换至预设的安全运行模式;
具体地,若差异分析结果显示当前安全配置参数不符合安全基线配置参数要求,则输出结果为需要切换至预设的安全运行模式。
实施例四
请参照图4和图9,在实施例一、实施例二、实施例三的基础上,本发明的步骤S24中从安全策略库中获取对应评估结果的防护措施和应急响应预案,其中,形成防护措施和应急响应预案的具体步骤包括:
获取历史安全漏洞数据和交换机的内部软件资产版本记录;
根据历史安全漏洞数据与内部软件资产版本记录信息,采用支持向量机模型SVM结合卷积神经网络算法构建漏洞预测模型,漏洞预测模型用于识别零日漏洞;
根据漏洞预测模型的预测结果,生成针对特定漏洞的虚拟补丁方案,虚拟补丁方案包括防火墙规则更新、入侵检测规则增补和应用程序配置调整的措施;
创建高度仿真的生产环境沙箱,将虚拟补丁应用于其中,模拟测试虚拟补丁是否有效防止零日PWN漏洞的攻击行为;
在沙箱验证结果显示虚拟补丁有效后,将其存储至交换机内的安全策略库中。
具体地,历史安全漏洞数据包括CVE、NVD公开漏洞数据库信息。获取源代码扫描结果,结合内部软件资产版本记录与源代码扫描结果,通过数据清洗、去重和标准化处理,得到整合后的漏洞数据库。
在一个具体的实施例中,若一个内部软件资产包含了200个不同的应用程序,并记录了它们的版本信息。使用自动化工具从NVD(National Vulnerability Database)中获取了最近一年内发布的10,000个漏洞条目,并结合内部软件资产的版本记录对这些条目进行匹配。通过这一过程,可能发现其中有500个漏洞与该内部软件资产有关。在进行数据清洗时,例如,发现一些漏洞条目是重复的,存在于不同的CVE记录中,因此去除了这些重复,最终确定了450个独特的漏洞。为了进行标准化处理,例如,将漏洞严重程度分类为低、中、高和严重四个等级,并按照这一标准对450个独特的漏洞进行了重新分类。在分析软件项目特征时,例如,对一个具体的应用程序进行了代码复杂度分析,发现其中有10个函数的圈复杂度超过了20,这表明这些函数可能过于复杂,容易引入漏洞。在构建数据特征集合时,例如,从依赖关系图谱中提取出了该应用程序使用的所有第三方库,并发现有3个库存在已知的安全漏洞。
具体地,分析漏洞数据库中的软件项目特征,包括代码复杂度指标、依赖关系图谱、编程语言特性和函数调用模式,提取出与软件安全性密切相关的高价值特征数据,构建数据特征集合。基于数据特征集合,进行统计分析与可视化研究,确定安全漏洞出现的时空规律、关联性和频次分布特征。
获取输入数据特征、集合漏洞生命周期规律和历史安全漏洞统计数据,输入数据特征集合、漏洞生命周期规律和历史安全漏洞统计数据训练漏洞预测模型,识别并判断漏洞产生的风险点。通过自然语言处理技术解析源代码结构,定位关键函数调用链路,发现导致漏洞的特定代码片段和设计模式。实时监测系统运行状态,当漏洞预测模型检测到与零日PWN漏洞相关的异常事件时,触发紧急响应机制。
在一个具体的实施例中,在漏洞预测模型训练过程中,例如,输入了450个漏洞的特征数据,并使用了支持向量机(SVM)模型进行训练,模型在测试集上的准确率达到了92%。在通过自然语言处理技术解析源代码结构时,例如,发现一个关键的函数调用链路导致了一个缓冲区溢出漏洞,该漏洞源自一个未经检查的用户输入。
在一个具体的实施例中,在针对特定漏洞生成虚拟补丁方案时,例如,为一个高危SQL注入漏洞设计了一项虚拟补丁,包括对数据库访问函数的参数进行额外的输入验证,以及更新防火墙规则以阻止可疑的SQL查询。最后,在沙箱环境中测试虚拟补丁的有效性时,例如,对沙箱中的应用程序进行了攻击模拟,结果显示虚拟补丁能够成功阻止了100%的攻击尝试。在确认虚拟补丁的有效性后,将其部署到了生产环境,并通知了供应商关于该漏洞的详细信息。
如图9所示,本实施例的步骤S24的具体步骤包括:
步骤S241、根据安全漏洞的信息和威胁级别,分析受影响交换机的重要性、安全漏洞的利用难易程度和影响范围,基于受影响交换机的重要性、安全漏洞的利用难易程度和影响范围的分析结果得到威胁评估结果。
在一个具体的实施例中,发现了一个安全漏洞CVE-0000-00000,根据CVE数据库和NIST的CVSS评分,漏洞的威胁等级被评为8分,分析得出,该交换机为网络核心设备,重要性等级为9(在1到10的评分系统中)。漏洞利用难易程度为中等,需要特定的技能和一定的网络接入权限,但利用此漏洞可导致全网络瘫痪,影响范围评分为10,因此,需要切换至预设的安全运行模式。在对威胁进行评估时,运维人员考虑到该平台用于处理敏感的数据,因此任何影响都会非常严重。
步骤S242、访问安全策略库,查询与威胁评估结果相匹配的防护措施属性集,其中,防护措施属性集包括措施名称、措施描述、实施难度和预期效果。
在一个具体的实施例中,访问交换机内的安全策略库,查询到一组与威胁评估结果相匹配的防护措施属性集,其中一个措施为“强化认证协议”,措施描述为“实施多因素认证并更新至最新安全协议”,实施难度为5,预期效果评分为8。
步骤S243、从安全策略库中获取应急响应预案的信息,应急响应预案的信息包括预案名称、预案执行条件和预案效果评估。
在一个具体的实施例中,应急响应预案信息中能找到一个预案名称为“网络隔离应急计划”,预案执行条件包括威胁等级为高且影响范围广泛,预案效果评估得分为9。
步骤S244、判断防护措施和应急响应预案的执行条件是否存在执行矛盾或资源冲突。若防护措施和应急响应预案的执行条件不一致,则执行步骤S245和步骤S246。
在一个具体的实施例中,在防护措施和应急响应预案的执行条件时,发现“网络隔离应急计划”可能与正常业务运行存在冲突,因为它会限制用户访问。因此,调整预案中的隔离策略,确保关键业务部门在执行隔离预案时保持联网状态,以维护防护措施和应急响应预案的一致性。
步骤S245、确定措施名称的依赖项,根据措施描述更新配置项、所需权限和预配置参数,通过自动化工具自动部署防护措施,包括配置参数设置、权限分配和补丁的安装。
步骤S246、监控防护措施和应急响应预案的执行情况,实时采集执行数据并进行效果评估,调整确保防护措施和应急响应预案的执行条件的一致性。
具体地,在相关的安全补丁安装成功后,通过监控系统监控防护措施和应急响应预案的执行情况,通过日志分析工具实时采集防护措施的执行数据在措施实施后的24小时内,未检测到异常网络活动或未经授权的登录尝试,说明防护措施有效地缓解安全漏洞带来的风险。
在一个具体的实施例中,识别“强化认证协议”措施的依赖项,发现需要更新的配置项包括:启用TLS3协议,所需权限包括网络管理员权限,预配置参数为认证服务器地址和端口。自动化部署防护措施时,系统通过自动化工具设定配置参数,例如设置TLS版本为3,并分配给执行任务的管理员适当的权限。同时,自动化工具会安装必要的认证协议更新补丁。
执行过程监控阶段,收集数据显示在部署24小时内,未检测到异常网络活动或未经授权的登录尝试,表明漏洞被有效缓解,漏洞利用尝试数量从部署前的每小时平均5次降至0次。
实施例五
请参照图6,在实施例一、实施例二、实施例三、实施例四的基础上,本发明应用于监控系统的方法还包括:
步骤S14、监控系统监测到交换机的内部安全检测程序发现异常,监控系统发出异常告警,并生成异常报告;
步骤S15、监控系统监测交换机的网络隔离和流量重定向的操作完成后进行日志记录,同时对防护措施进行实时监控和日志记录,直至日志记录中未发现新的安全事件;
步骤S16、监控系统对交换机执行安全状态审计,监测交换机的状态,记录审计结果。
在步骤S14中,在一个具体的实施例中,若检测到端口23存在未定义流量,自动触发异常报告,报告显示端口23检测到未定义流量,存在安全威胁。
在步骤S15中,具体地,对防护措施进行实时监控和日志记录,还可以评估交换机当前的运行模式状态。
在一个具体的实施例中,通过监控系统持续监控交换机状态,一旦检测到交换机收到启动安全运行模式的指令,操作日志更新为“交换机AX-1234于14:33:10确认接收到安全模式启动指令”。评估当前交换机的运行模式,发现交换机处于正常运行状态,CPU使用率为30%,内存使用率为50%,并未检测到任何异常流量。评估结果记录在操作日志中,评估交换机AX-1234状态:CPU30%,内存50%。
在步骤S16中,具体地,在执行完成防护措施以及应急响应预案后,监控系统对交换机执行安全状态审计,以发现是否还存在新的安全事件。在一个具体的实施例中,安全状态审计结果为交换机AX-1234安全状态稳定,无进一步的异常活动。
请参照图12,本发明的步骤S34的具体步骤包括:
步骤S341、交换机接收来自服务器的具有防护措施和应急响应预案的安全配置文件,通过自动化工具自动执行配置操作,配置操作完成后交换机执行内部安全检测程序,检查交换机各项防护措施是否生效。
在一个具体的实施例中,交换机在接收到安全配置文件后执行自动配置验证,验证成功后,防护措施包括访问控制列表ACL更新、端口安全锁定和非法流量检测。配置完成后,交换机执行内部安全检测程序,检测是否存在未定义流量。
步骤S342、若内部安全检测程序发现异常,触发应急响应预案,根据应急响应预案执行网络隔离和流量重定向的操作。
具体地,触发预定的应急响应预案后,自动执行应急响应预案网络隔离和流量重定向的操作,以隔绝潜在威胁。
在一个具体的实施例中,若检测到端口23存在未定义流量,自动触发异常报告,报告显示端口23检测到未定义流量,存在安全威胁。根据应急响应预案执行网络隔离操作,将受影响端口23关闭,并重定向其流量到监控端口。操作日志显示端口23网络隔离及流量重定向操作完成,在执行应急响应预案的同时,网络管理系统对所有防护措施执行了实时监控,监控日志中未发现新的安全事件,确认安全措施生效。
实施例六
请参照图4和图10,在实施例一、实施例二、实施例三、实施例四、实施例五的基础上,本发明的步骤S25的具体步骤包括:
步骤S251、接收来自监控系统发送的交换机当前的配置状态信息;
步骤S252、采用快照技术对获取的配置状态数据进行快照操作;
具体地,在配置状态数据完成采集后,服务器利用快照技术创建配置状态数据的快照。在创建快照时,采用隔离机制确保快照操作与系统其他操作不互相干扰。获取快照数据后,快照数据保存在内置于交换机的存储模块中,更新维护快照的版本、历史记录和元数据进行。
在一个具体的实施例中,运维人员使用命令“showversion”来查看软件版本,假设显示当前软件版本为01版。在获取配置信息的过程中,系统检测到配置正在进行上一次的变更指令,运维人员必须等待变更完成后才能重新开始采集配置状态数据。
将当前软件版本01版变更为02版,更新的快照版本被命名为02,并且记录了快照创建的时间戳,以及变更前后的网络配置参数对比元数据。
步骤S253、判断快照是否创建成功;
具体地,判断快照是否创建成功,即检测网络设备或服务器运行是否异常。
步骤S254、若快照创建失败,自动触发快照回滚机制,向交换机发送回滚指令。
步骤S255、获取交换机回滚前后的配置和性能指标;
步骤S256、通过对比交换机回滚前后的配置和性能指标,确认回滚后是否恢复正常运行状态。
本实施例中,交换机响应来自服务器的回滚指令,交换机自动回滚到预设的稳定配置状态。具体地,稳定配置状态是提前设置在交换机内。
本实施例中,当监控系统监测到网络设备或服务器运行异常,自动触发快照回滚机制,使交换机恢复到既定的稳定配置状态。构建配置状态的存储库,保存交换机的稳定配置快照,在需要时实现快速回滚。在一个具体的实施例中,若交换机运行异常,CPU使用率异常升高至90%,自动触发快照回滚机制,将配置恢复至既定的稳定版本00,稳定时的CPU使用率为30%。构建的配置状态存储库中,保存了交换机过去一周内每天的稳定配置快照,并且可以完成快速回滚。
具体地,对比交换机回滚前后的配置和性能指标,在一个具体的实施例中,回滚后交换机的吞吐量由异常的200Mbps恢复至正常的1Gbps,确认系统恢复至正常运行状态。
实施例七
请参照图4和图11,在实施例一、实施例二、实施例三、实施例四、实施例五、实施例六的基础上,本发明应用于服务器的方法还包括:
步骤S26、获取交换机和服务器回滚前后的配置状态文件,分析两份配置状态文件之间的差异,确定不同的配置变更内容,并触发审计流程。
步骤S27、接收来自请求者的变更申请,通过变更管理系统记录交换机的配置变更申请,对比变更申请与当前交换机和服务器配置,识别出交换机的配置变更内容;
步骤S28、审查变更内容是否合理安全;
步骤S29、若是,则将经过审查的变更内容应用于交换机和服务器配置;
步骤S210、若否,则拒绝变更内容,并触发审计流程。
具体地,变更申请包括变更请求者信息、预期变更内容和预期实施日期等详细信息。在本实施例中,变更管理系统首先检查申请格式和信息完整性,对记录在变更管理系统中的变更申请进行初步筛选,变更管理系统将自动排除格式错误或信息不完整的申请,将排除的申请返回给请求者,通知请求者补充必要信息。
具体地,获取筛选后的变更申请,对比筛选后的变更申请与当前交换机和服务器配置,识别出配置变更内容。
具体地,对识别出的配置变更内容进行安全风险评估,得到风险评分。根据风险评分,对配置变更内容进行分类,将风险评分高出预设阈值的变更内容标记为需进一步审查的对象,对标记为需进一步审查的变更内容,进行人工详细审查,分析变更的合理性和安全性。
在本实施例中,若审查结果为变更内容合理且安全,通过自动化部署工具将变更内容应用于相应的网络和服务器配置。若审查结果显示变更内容不合理或存在安全风险,拒绝变更申请,并触发生成审计记录。另外,将该审计记录存入审计数据库中,若连续发现多次不合理或有安全风险的变更申请,自动发送警报给网络安全负责团队。
在一个具体的实施例中,假设请求者王某提交的配置变更内容为“在公司核心交换机上增加一个虚拟局域网(VLAN)。”申请表明,变更请求者信息为“王某”,预期配置变更内容为 “增加VLANID200”,预期实施日期为“2023年4月15日”。变更管理系统识别出当前交换机配置中已有VLANID从100到150,因此,VLANID200为新增的内容。
设定预设风险评分阈值为5分。根据安全策略对“增加VLANID200”的变更内容进行审查,发现新增VLAN可能导致网络分段不当,评分机制对词变更内容给出7分的风险评分,满分10分。由于王工提出的变更评分为7分,高于预设风险评分阈值为5分,将这条变更标记为需进一步审查的对象。在人工详细审查阶段,安全分析师评估变更提出的VLAN配置是否符合网络设计原则并确保没有违反公司安全策略。审查期间,分析师发现新的VLAN配置可能导致数据泄露风险,因此变更申请将被拒绝。
更具体地,在面对异构网络架构和多协议环境配置变更内容的审查过程中,识别跨协议依赖关系所引入的潜在安全风险。
根据当前网络安全策略,设定初始风险评分阈值R0。根据网络安全管理经验和历史数据,确定配置变更复杂度C、涉及协议数量P和协议依赖深度D。根据网络安全专家的评估、历史数据分析以及安全标准,分别设定权重、/>和/>。在配置变更发生时,记录变更的详细信息,分析其对网络中协议间依赖关系的潜在影响,评估受影响的协议与不同网络协议间的依赖深度基于协议间依赖关系的潜在影响的评估结果和预设的权重,构建风险评估公式。若R超过阈值R0,表示配置变更引入了高的安全风险。对于风险评分高的配置变更,进行人工审查,确定配置变更内容的安全性。若人工审查不通过,修改或撤销有问题的配置变更,保护网络安全。将每次配置变更内容的审查结果和风险评分记录在审计数据库中。
在一个具体的实施例中,设定初始风险评分阈值R0为5。配置变更复杂度C的量化包括如下几个方面:
计算变更涉及的配置项的数量。如果一个变更涉及到10个不同的配置项,则其变更项数量为10。
评估变更影响的网络范围。可以根据影响的设备数量或网络段数量来量化。如果变更影响了3个网络段,则变更范围为3。
使用加权求和的方法,配置变更复杂度的计算公式为。式中,/>为变更项数量,/>为变更项数量的权重,即配置变更涉及的配置项的数量,/>为变更范围,/>为变更范围的权重,即变更影响的网络范围,可以根据影响的设备数量或网络段数量来量化。假设此时配置变更复杂度C=3。
具体地,协议数量P的量化为计算变更涉及的不同网络协议的数量。如果一个变更影响了TCP和UDP两种协议,则P=2。假设此时协议数量P=2。
具体地,通过构建一个表示网络中协议依赖关系图量化协议依赖深度D,其中节点代表协议,边代表协议间的依赖关系。在依赖关系图中,计算从受影响协议到其他协议的最长路径长度。最长路径长度作为协议依赖深度的量化指标。假设此时协议依赖深度D=4。
根据网络安全管理经验和历史数据,确定配置变更复杂度C=3,涉及协议数量P=2,协议依赖深度D=4。根据网络安全专家的评估、历史数据分析以及安全标准,分别设定权重=0.4,/>=0.3,/>=0.3。在配置变更发生时,记录变更的详细信息。分析发现,此次变更可能会影响到HTTP和FTP协议之间的依赖关系。基于协议间依赖关系的潜在影响的评估结果和预设的权重,构建风险评估公式。计算风险评分的计算公式为,在一个具体的实施例中,此时的计算风险评分/>=0.4×3+0.3×2+0.3×4=3。由于计算风险评分R没有超过初始风险评分阈值R0,所以不需要进一步的人工审查。对于风险评分高的配置变更,进行人工审查,确定配置变更内容的安全性。将每次配置变更内容的审查结果和风险评分记录在审计数据库中。
实施例八
本发明实施例还可以提供一种交换机的安全防御系统,系统应用于监控系统,该系统包括:
监测安全漏洞单元,用于监控系统检测到交换机存在安全漏洞后发出告警,基于告警生成告警记录,并将安全漏洞和告警记录发送给服务;
采集配置状态信息单元,用于监控系统监测交换机切换至预设的安全运行模式过程中交换机和服务器的状态变化,当检测到交换机或服务器运行异常时,向服务器发出应急告警,并采集交换机当前的配置状态信息。
本发明的一种交换机的安全防御系统的有益效果等同于上述一种交换机的安全防御方法的有益效果,在此不做赘述。
该系统还包括:
监测回滚指令单元,用于监控系统监测到交换机接收到的回滚指令后,采集交换机回滚后的配置状态信息,并将配置状态信息的数据发送给服务器;
其中,在采集交换机的配置状态信息的数据时,若检测到配置状态数据正在变化,则暂停数据采集,待配置状态数据变化完成后重新开始采集数据。
监测内部安全检测程序单元,用于监控系统监测到交换机的内部安全检测程序发现异常,监控系统发出异常告警,并生成异常报告;
监控措施和预案单元,用于监控系统监测交换机的网络隔离和流量重定向的操作完成后进行日志记录,同时对防护措施进行实时监控和日志记录,直至日志记录中未发现新的安全事件;
审计单元,用于监控系统对交换机执行安全状态审计,监测交换机的状态,记录审计结果。
本发明实施例还可以提供一种交换机的安全防御系统,该系统应用于服务器,该系统包括:
与监控系统通信单元,用于服务器接收来自监控系统检测到的安全漏洞和告警记录;
安全漏洞排序单元,用于服务器对安全漏洞的威胁级别进行优先级排序,并根据安全漏洞的优先级对安全漏洞部署对应的补丁;
差异分析单元,用于获取预设的安全基线配置参数和交换机当前运行模式下的当前安全配置参数,分析得到安全基线配置参数与当前安全配置参数之间的差异分析结果,根据差异分析结果评估交换机是否需要切换至预设的安全运行模式;若差异分析结果显示交换机需要切换至预设的安全运行模式,则执行安全文件查询单元和回滚指令单元;
安全文件查询单元,用于服务器向交换机发送启动安全运行模式的指令,且结合安全漏洞的信息及威胁级别进行评估,从安全策略库中获取对应评估结果的防护措施和应急响应预案发送给交换机;
回滚指令单元,用于在交换机切换至预设的安全运行模式的过程中,若服务器接收到来自监控系统的应急告警,则向交换机发送回滚指令,以使交换机切换至预设的稳定配置状态。
本发明的一种交换机的安全防御系统的有益效果等同于上述一种交换机的安全防御方法的有益效果,在此不做赘述。
根据差异分析结果评估交换机是否需要切换至预设的安全运行模式的具体步骤包括:
服务器解析告警记录中的告警信号以及对应告警信号的告警类型和安全漏洞的优先级;
获取预设的安全基线配置参数;
根据告警类型及安全漏洞优先级,访问交换机管理接口,提取当前安全配置参数;
对比分析当前安全配置参数是否符合安全基线配置参数的要求;
若否,则确定交换机需要切换至预设的安全运行模式。
在服务器对安全漏洞部署对应的补丁后,服务器对经过补丁修复后的交换机硬件进行安全性验证,验证安全漏洞的闭合状态,若安全漏洞成功闭合,则完成修复。
服务器向交换机发送启动安全运行模式的指令,且结合安全漏洞的信息及威胁级别进行评估,从安全策略库中获取对应评估结果的防护措施和应急响应预案发送给交换机的具体步骤包括:
根据安全漏洞的信息和威胁级别,分析受影响交换机的重要性、安全漏洞的利用难易程度和影响范围,基于受影响交换机的重要性、安全漏洞的利用难易程度和影响范围的分析结果得到威胁评估结果;
访问安全策略库,查询与威胁评估结果相匹配的防护措施属性集,其中,防护措施属性集包括措施名称、措施描述、实施难度和预期效果;
从安全策略库中获取应急响应预案的信息,应急响应预案的信息包括预案名称、预案执行条件和预案效果评估;
判断防护措施和应急响应预案的执行条件是否存在执行矛盾或资源冲突;若防护措施和应急响应预案的执行条件不一致,则
确定措施名称的依赖项,根据措施描述更新配置项、所需权限和预配置参数,通过自动化工具自动部署防护措施,包括配置参数设置、权限分配和补丁的安装;
监控防护措施和应急响应预案的执行情况,实时采集执行数据并进行效果评估,调整确保防护措施和应急响应预案的执行条件的一致性。
服务器通过通信协议将具有防护措施和应急响应预案的安全配置文件传输至交换机。
在交换机切换至预设的安全运行模式的过程中,若服务器接收到来自监控系统的应急告警,则向交换机发送回滚指令,以使交换机切换至预设的稳定配置状态的具体步骤包括:
接收来自监控系统发送的交换机当前的配置状态信息;
采用快照技术对配置状态数据进行快照操作;
判断快照是否创建成功;
若快照创建失败,自动触发快照回滚机制,向交换机发送回滚指令;
获取交换机回滚前后的配置和性能指标;
通过对比交换机回滚前后的配置和性能指标,确认回滚后是否恢复正常运行状态。
该系统还包括:
分析变更内容单元,用于获取交换机和服务器回滚前后的配置状态信息的文件,分析两份配置状态信息文件之间的差异,确定不同的配置变更内容,并触发审计流程;
审查变更内容单元,用于接收来自请求者的变更申请,通过变更管理系统记录交换机的配置的变更申请,对比变更申请与当前交换机和服务器配置,识别出交换机的配置的变更内容,并审查变更内容是否合理安全,若是,则将经过审查的变更内容应用于交换机和服务器配置,若否,则拒绝变更内容,并触发审计流程。
本发明实施例还可以提供一种交换机的安全防御系统,系统应用于交换机,该系统包括:
存储单元,用于交换机内预设有安全运行模式和稳定配置状态;
与服务器通信单元,用于交换机接收来自服务器的启动安全运行模式的指令、防护措施以及应急响应预案;
安全运行模式文件配置单元,用于交换机响应启动安全运行模式的指令,交换机自动配置防护措施和应急响应预案,以使交换机切换至预设的安全运行模式;
稳定配置单元,用于在交换机切换至预设的安全运行模式的过程中,若交换机接收到来自服务器的启动稳定运行模式的指令,则交换机自动回滚到预设的稳定配置状态。
本发明的一种交换机的安全防御系统的有益效果等同于上述一种交换机的安全防御方法的有益效果,在此不做赘述。
具体地,交换机响应启动安全运行模式的指令,交换机自动配置防护措施和应急响应预案,以使交换机切换至预设的安全运行模式的具体步骤包括:
交换机接收来自服务器的具有防护措施和应急响应预案的安全配置文件,通过自动化工具自动执行配置操作,配置操作完成后交换机执行内部安全检测程序,检查交换机各项防护措施是否生效;
若内部安全检测程序发现异常,触发应急响应预案,根据应急响应预案执行网络隔离和流量重定向的操作。
实施例九
请参阅图13,本发明实施例还提供一种计算机设备,其包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
当一个或多个程序被一个或多个处理器执行时,使得一个或多个处理器实现上述交换机的安全防御方法。
本发明实施例的计算机设备的有益效果等同于上述一种交换机的安全防御方法的有益效果,在此不做赘述。
本发明实施例还提供了一种存储介质,存储介质上存储有计算机程序,该程序被处理器时实现上述交换机的安全防御方法。
本发明的存储介质的有益效果等同于上述一种交换机的安全防御方法的有益效果,在此不做赘述。
图13示出了可以用来实施本发明的实施例的示例计算机设备600的示意性框图。计算机设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。计算机设备还可以表示各种形式的移动装置,诸如,个人数字助理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本发明的实现。
如图13所示,计算机设备600包括计算单元601,其可以根据存储在只读存储器(ROM)602中的计算机程序或者从存储单元608加载到随机访问存储器(RAM)603中的计算机程序,来执行各种适当的动作和处理。在RAM 603中,还可存储设备操作所需的各种程序和数据。计算单元601、ROM 602以及RAM 603通过总线604彼此相连。输入/输出(I/O)接口605也连接至总线604。
计算机设备600中的多个部件连接至I/O接口605,包括:输入单元606,例如键盘、鼠标等;输出单元607,例如各种类型的显示器、扬声器等;存储单元608,例如磁盘、光盘等;以及通信单元609,例如网卡、调制解调器、无线通信收发机等。通信单元609允许计算机设备600通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
计算单元601可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元601的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。计算单元601执行上文所描述的各个方法和处理,例如交换机的安全防御方法。例如,在一些实施例中,一种交换机的安全防御方法可被实现为计算机软件程序,其被有形地包含于机器可读介质,例如存储单元608。在一些实施例中,计算机程序的部分或者全部可以经由ROM 602和/或通信单元609而被载入和/或安装到计算机设备600上。当计算机程序加载到RAM 603并由计算单元601执行时,可以执行上文描述的一种交换机的安全防御方法的一个或多个步骤。备选地,在其他实施例中,计算单元601可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行交换机的安全防御方法。
本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
用于实施本发明的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本发明的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在计算机上实施此处描述的系统和技术,该计算机具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入、或者触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)和互联网。
计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,也可以为分布式系统的服务器,或者是结合了区块链的服务器。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发明中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本发明公开的技术方案所期望的结果,本文在此不进行限制。
应该理解的是,虽然附图的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,其可以以其他的顺序执行。
而且,附图的流程图中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,其执行顺序也不必然是依次进行,而是可以与其他步骤或者其他步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步的详细说明,应当理解,以上所述仅为本发明的具体实施例而已,并不用于限定本发明的保护范围。特别指出,对于本领域技术人员来说,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (17)

1.一种交换机的安全防御方法,所述方法应用于监控系统,其特征在于,所述方法包括:
所述监控系统检测到交换机存在安全漏洞后发出告警,基于所述告警生成告警记录,并将所述安全漏洞和所述告警记录发送给服务器;
所述监控系统监测所述交换机切换至预设的安全运行模式过程中所述交换机和所述服务器的状态变化,当检测到所述交换机或所述服务器运行异常时,向所述服务器发出应急告警,并采集所述交换机当前的配置状态信息。
2.如权利要求1所述的一种交换机的安全防御方法,其特征在于,所述方法还包括:
所述监控系统监测到所述交换机接收到的回滚指令后,采集所述交换机回滚后的配置状态信息,并将所述配置状态信息的数据发送给所述服务器;
其中,在采集所述交换机的所述配置状态信息的数据时,若检测到配置状态数据正在变化,则暂停数据采集,待所述配置状态数据变化完成后重新开始采集数据。
3.如权利要求1所述的一种交换机的安全防御方法,其特征在于,所述方法还包括:
所述监控系统监测到所述交换机的内部安全检测程序发现异常,所述监控系统发出异常告警,并生成异常报告;
所述监控系统监测所述交换机的网络隔离和流量重定向的操作完成后进行日志记录,同时对防护措施进行实时监控和日志记录,直至所述日志记录中未发现新的安全事件;
所述监控系统对所述交换机执行安全状态审计,监测所述交换机的状态,记录审计结果。
4.一种交换机的安全防御方法,所述方法应用于服务器,其特征在于,所述方法包括:
所述服务器接收来自监控系统检测到的安全漏洞和告警记录;
所述服务器对所述安全漏洞的威胁级别进行优先级排序,并根据安全漏洞的优先级对所述安全漏洞部署对应的补丁;
获取预设的安全基线配置参数和交换机当前运行模式下的当前安全配置参数,分析得到所述安全基线配置参数与所述当前安全配置参数之间的差异分析结果,根据所述差异分析结果评估交换机是否需要切换至预设的安全运行模式;
若所述差异分析结果显示所述交换机需要切换至所述预设的安全运行模式,则
所述服务器向所述交换机发送启动安全运行模式的指令,且结合所述安全漏洞的信息及所述威胁级别进行评估,从安全策略库中获取对应评估结果的防护措施和应急响应预案发送给所述交换机;
在所述交换机切换至所述预设的安全运行模式的过程中,若所述服务器接收到来自所述监控系统的应急告警,则向所述交换机发送回滚指令,以使所述交换机切换至预设的稳定配置状态。
5.如权利要求4所述的一种交换机的安全防御方法,其特征在于,所述的根据所述差异分析结果评估所述交换机是否需要切换至预设的安全运行模式的具体步骤包括:
所述服务器解析所述告警记录中的告警信号以及对应所述告警信号的告警类型和安全漏洞的优先级;
获取预设的所述安全基线配置参数;
根据所述告警类型及所述安全漏洞优先级,访问所述交换机管理接口,提取当前安全配置参数;
对比分析所述当前安全配置参数是否符合所述安全基线配置参数的要求;
若否,则确定所述交换机需要切换至预设的安全运行模式。
6.如权利要求4所述的一种交换机的安全防御方法,其特征在于,在所述服务器对所述安全漏洞部署对应的补丁后,所述服务器对经过所述补丁修复后的所述交换机硬件进行安全性验证,验证所述安全漏洞的闭合状态,若所述安全漏洞成功闭合,则完成修复。
7.如权利要求4所述的一种交换机的安全防御方法,其特征在于,所述的所述服务器向所述交换机发送启动安全运行模式的指令,且结合所述安全漏洞的信息及所述威胁级别进行评估,从安全策略库中获取对应评估结果的防护措施和应急响应预案发送给所述交换机的具体步骤包括:
根据所述安全漏洞的信息和所述威胁级别,分析受影响交换机的重要性、安全漏洞的利用难易程度和影响范围,基于受影响交换机的重要性、安全漏洞的利用难易程度和影响范围的分析结果得到威胁评估结果;
访问所述安全策略库,查询与所述威胁评估结果相匹配的防护措施属性集,其中,所述防护措施属性集包括措施名称、措施描述、实施难度和预期效果;
从所述安全策略库中获取所述应急响应预案的信息,所述应急响应预案的信息包括预案名称、预案执行条件和预案效果评估;
判断所述防护措施和所述应急响应预案的执行条件是否存在执行矛盾或资源冲突;若所述防护措施和所述应急响应预案的执行条件不一致,则
确定所述措施名称的依赖项,根据所述措施描述更新配置项、所需权限和预配置参数,通过自动化工具自动部署所述防护措施,包括配置参数设置、权限分配和补丁的安装;
监控所述防护措施和所述应急响应预案的执行情况,实时采集执行数据并进行效果评估,调整确保所述防护措施和所述应急响应预案的执行条件的一致性。
8.如权利要求7所述的一种交换机的安全防御方法,其特征在于,所述服务器通过通信协议将具有所述防护措施和所述应急响应预案的安全配置文件传输至所述交换机。
9.如权利要求4所述的一种交换机的安全防御方法,其特征在于,所述的在所述交换机切换至所述预设的安全运行模式的过程中,若所述服务器接收到来自所述监控系统的应急告警,则向所述交换机发送回滚指令,以使所述交换机切换至预设的稳定配置状态的具体步骤包括:
接收来自监控系统发送的所述交换机当前的配置状态信息;
采用快照技术对配置状态数据进行快照操作;
判断快照是否创建成功;
若快照创建失败,自动触发快照回滚机制,向所述交换机发送回滚指令;
获取所述交换机回滚前后的配置和性能指标;
通过对比所述交换机回滚前后的配置和性能指标,确认回滚后是否恢复正常运行状态。
10.如权利要求4所述的一种交换机的安全防御方法,其特征在于,所述方法还包括:
获取所述交换机回滚前后的所述配置状态信息的文件,分析两份所述配置状态信息的文件之间的差异,确定不同的配置变更内容,并触发审计流程;
接收来自请求者的变更申请,通过变更管理系统记录所述交换机的配置的所述变更申请,对比所述变更申请与当前所述交换机和所述服务器配置,识别出所述交换机的配置的变更内容;
审查所述变更内容是否合理安全;
若是,则将经过审查的所述变更内容应用于所述交换机和所述服务器配置;
若否,则拒绝所述变更内容,并触发审计流程。
11.一种交换机的安全防御方法,所述方法应用于交换机,其特征在于,所述方法包括:
所述交换机内预设有安全运行模式和稳定配置状态;
所述交换机接收来自服务器的启动安全运行模式的指令、防护措施以及应急响应预案;
所述交换机响应所述启动安全运行模式的指令,所述交换机自动配置所述防护措施和所述应急响应预案,以使所述交换机切换至预设的安全运行模式;
在所述交换机切换至所述预设的安全运行模式的过程中,若所述交换机接收到来自所述服务器的回滚指令,则所述交换机响应所述回滚指令,所述交换机自动回滚到预设的稳定配置状态。
12.如权利要求11所述的一种交换机的安全防御方法,其特征在于,所述的所述交换机响应所述启动安全运行模式的指令,所述交换机自动配置所述防护措施和所述应急响应预案,以使所述交换机切换至预设的安全运行模式的具体步骤包括:
所述交换机接收来自所述服务器的具有所述防护措施和所述应急响应预案的安全配置文件,通过自动化工具自动执行配置操作,配置操作完成后所述交换机执行内部安全检测程序,检查所述交换机各项所述防护措施是否生效;
若所述内部安全检测程序发现异常,触发所述应急响应预案,根据所述应急响应预案执行网络隔离和流量重定向的操作。
13.一种交换机的安全防御系统,所述系统应用于监控系统,其特征在于,所述系统包括:
监测安全漏洞单元,用于所述监控系统检测到交换机存在安全漏洞后发出告警,基于所述告警生成告警记录,并将所述安全漏洞和所述告警记录发送给服务器;
采集配置状态信息单元,用于所述监控系统监测所述交换机切换至预设的安全运行模式过程中所述交换机和所述服务器的状态变化,当检测到所述交换机或所述服务器运行异常时,向所述服务器发出应急告警,并采集所述交换机当前的配置状态信息。
14.一种交换机的安全防御系统,所述系统应用于服务器,其特征在于,所述系统包括:
与监控系统通信单元,用于所述服务器接收来自监控系统检测到的安全漏洞和告警记录;
安全漏洞排序单元,用于所述服务器对所述安全漏洞的威胁级别进行优先级排序,并根据所述安全漏洞的优先级对所述安全漏洞部署对应的补丁;
差异分析单元,用于获取预设的安全基线配置参数和交换机当前运行模式下的当前安全配置参数,分析得到所述安全基线配置参数与所述当前安全配置参数之间的差异分析结果,根据所述差异分析结果评估所述交换机是否需要切换至预设的安全运行模式;若所述差异分析结果显示所述交换机需要切换至所述预设的安全运行模式,则执行安全文件查询单元和回滚指令单元;
安全文件查询单元,用于所述服务器向所述交换机发送启动安全运行模式的指令,且结合所述安全漏洞的信息及所述威胁级别进行评估,从安全策略库中获取对应评估结果的防护措施和应急响应预案发送给所述交换机;
回滚指令单元,用于在所述交换机切换至所述预设的安全运行模式的过程中,若所述服务器接收到来自所述监控系统的应急告警,则向所述交换机发送回滚指令,以使所述交换机切换至预设的稳定配置状态。
15.一种交换机的安全防御系统,所述系统应用于交换机,其特征在于,所述系统包括:
存储单元,用于所述交换机内预设有安全运行模式和稳定配置状态;
与服务器通信单元,用于所述交换机接收来自服务器的启动安全运行模式的指令、防护措施以及应急响应预案;
安全运行模式文件配置单元,用于所述交换机响应所述启动安全运行模式的指令,所述交换机自动配置所述防护措施和所述应急响应预案,以使所述交换机切换至预设的安全运行模式;
稳定配置单元,用于在所述交换机切换至所述预设的安全运行模式的过程中,若所述交换机接收到来自所述服务器的启动稳定运行模式的指令,则所述交换机自动回滚到预设的稳定配置状态。
16.一种计算机设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如权利要求1至12中任一项所述的方法。
17.一种计算机可读存储介质,其存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1至12中任一项所述的方法。
CN202410430904.1A 2024-04-11 2024-04-11 一种交换机的安全防御方法、系统、设备及介质 Pending CN118041693A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202410430904.1A CN118041693A (zh) 2024-04-11 2024-04-11 一种交换机的安全防御方法、系统、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202410430904.1A CN118041693A (zh) 2024-04-11 2024-04-11 一种交换机的安全防御方法、系统、设备及介质

Publications (1)

Publication Number Publication Date
CN118041693A true CN118041693A (zh) 2024-05-14

Family

ID=90989804

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202410430904.1A Pending CN118041693A (zh) 2024-04-11 2024-04-11 一种交换机的安全防御方法、系统、设备及介质

Country Status (1)

Country Link
CN (1) CN118041693A (zh)

Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005236394A (ja) * 2004-02-17 2005-09-02 Japan Telecom Co Ltd ネットワークシステム及びネットワーク制御方法
US20060282893A1 (en) * 2005-06-10 2006-12-14 D-Link Corporation Network information security zone joint defense system
CN202975775U (zh) * 2012-12-23 2013-06-05 珠海市鸿瑞软件技术有限公司 安全管理平台
CN103200123A (zh) * 2013-03-06 2013-07-10 深圳市新格林耐特通信技术有限公司 一种交换机端口安全控制方法
CN106921666A (zh) * 2017-03-06 2017-07-04 中山大学 一种基于协同理论的DDoS攻击防御系统及方法
CN108900481A (zh) * 2018-06-13 2018-11-27 四川微迪智控科技有限公司 一种交换机安全接入系统和方法
CN110247800A (zh) * 2019-06-18 2019-09-17 国网四川省电力公司内江供电公司 一种智能变电站交换机在线监测系统
CN111092869A (zh) * 2019-12-10 2020-05-01 中盈优创资讯科技有限公司 终端接入办公网络安全管控方法及认证服务器
US20210126927A1 (en) * 2019-10-28 2021-04-29 Cisco Technology, Inc. Virtual switch-based threat defense for networks with multiple virtual network functions
CN114513342A (zh) * 2022-01-24 2022-05-17 国电南瑞科技股份有限公司 一种智能变电站通信数据安全监测方法及系统
CN115811491A (zh) * 2022-11-30 2023-03-17 武汉迈威通信股份有限公司 一种用于交换机测试环境搭建及监控管理的系统及方法
CN117425163A (zh) * 2023-10-19 2024-01-19 北京红山信息科技研究院有限公司 一种无线网络远程管理系统

Patent Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005236394A (ja) * 2004-02-17 2005-09-02 Japan Telecom Co Ltd ネットワークシステム及びネットワーク制御方法
US20060282893A1 (en) * 2005-06-10 2006-12-14 D-Link Corporation Network information security zone joint defense system
CN202975775U (zh) * 2012-12-23 2013-06-05 珠海市鸿瑞软件技术有限公司 安全管理平台
CN103200123A (zh) * 2013-03-06 2013-07-10 深圳市新格林耐特通信技术有限公司 一种交换机端口安全控制方法
CN106921666A (zh) * 2017-03-06 2017-07-04 中山大学 一种基于协同理论的DDoS攻击防御系统及方法
CN108900481A (zh) * 2018-06-13 2018-11-27 四川微迪智控科技有限公司 一种交换机安全接入系统和方法
CN110247800A (zh) * 2019-06-18 2019-09-17 国网四川省电力公司内江供电公司 一种智能变电站交换机在线监测系统
US20210126927A1 (en) * 2019-10-28 2021-04-29 Cisco Technology, Inc. Virtual switch-based threat defense for networks with multiple virtual network functions
CN111092869A (zh) * 2019-12-10 2020-05-01 中盈优创资讯科技有限公司 终端接入办公网络安全管控方法及认证服务器
CN114513342A (zh) * 2022-01-24 2022-05-17 国电南瑞科技股份有限公司 一种智能变电站通信数据安全监测方法及系统
CN115811491A (zh) * 2022-11-30 2023-03-17 武汉迈威通信股份有限公司 一种用于交换机测试环境搭建及监控管理的系统及方法
CN117425163A (zh) * 2023-10-19 2024-01-19 北京红山信息科技研究院有限公司 一种无线网络远程管理系统

Similar Documents

Publication Publication Date Title
US9401924B2 (en) Monitoring operational activities in networks and detecting potential network intrusions and misuses
EP2040435B1 (en) Intrusion detection method and system
US7493659B1 (en) Network intrusion detection and analysis system and method
US7594270B2 (en) Threat scoring system and method for intrusion detection security networks
US20070050777A1 (en) Duration of alerts and scanning of large data stores
Beigh et al. Intrusion Detection and Prevention System: Classification and Quick
EP1894443A2 (en) Duration of alerts and scanning of large data stores
CN113794276A (zh) 一种基于人工智能的配电网终端安全行为监测系统及方法
CN116319061A (zh) 一种智能控制网络系统
CN117527412A (zh) 数据安全监测方法及装置
US20210367958A1 (en) Autonomic incident response system
CN117319032A (zh) 网络安全主动防御方法及系统
Kumar et al. Statistical based intrusion detection framework using six sigma technique
US20220309171A1 (en) Endpoint Security using an Action Prediction Model
CN118041693A (zh) 一种交换机的安全防御方法、系统、设备及介质
Ghaleb et al. A framework architecture for agentless cloud endpoint security monitoring
Alim et al. IDSUDA: An Intrusion Detection System Using Distributed Agents
Allan Intrusion Detection Systems (IDSs): Perspective
CN117879970B (zh) 一种网络安全防护方法及系统
KR20200054495A (ko) 보안관제 서비스 방법 및 그를 위한 장치
Yan et al. Host scurity event track for complex network environments based on the analysis of log
CN114844667B (zh) 一种基于网络设备智能安全分析管理决策系统与方法
US20230403294A1 (en) Cyber security restoration engine
Qing The structure design of a new distributed intrusion detection system
CN118018231A (zh) 隔离区的安全策略管理方法、装置、设备和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination