CN1556613A - 可信任主动式策略联动方法 - Google Patents
可信任主动式策略联动方法 Download PDFInfo
- Publication number
- CN1556613A CN1556613A CNA2003101098403A CN200310109840A CN1556613A CN 1556613 A CN1556613 A CN 1556613A CN A2003101098403 A CNA2003101098403 A CN A2003101098403A CN 200310109840 A CN200310109840 A CN 200310109840A CN 1556613 A CN1556613 A CN 1556613A
- Authority
- CN
- China
- Prior art keywords
- policy
- rule
- policing rule
- tactic
- strategy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种可信任主动式联动策略方法。属于信息安全领域。通过策略管理器进行策略规则的部署流程进行策略规则部署,利用事件适配器进行安全事件告警信息的检测,进行告警信息的可信任度分析流程得到事件的信任度参数,向策略引擎发信息通知,同时等待策略引擎的响应,事件适配器向策略规则定位器传递告警事件,策略规则定位器查找事件索引表,规则定位器找到并激活已经部署好了的策略规则,策略引擎调用策略规则执行器进根据策略条件和响应适配器进行策略条件匹配和策略响应的执行,实现策略规则的联动。本发明通过确认安全事件的可信任度,只有可信任度大于某一个阀值才能触发相应的联动规则,降低了该联动的风险,也提高了策略联动的准确度。
Description
技术领域
本发明涉及一种基于策略的联动方法,具体地说,是一种可信任主动式联动策略方法。属于信息安全领域。
背景技术
目前大多大型网络都配有各种安全设备如防火墙、入侵检测、病毒防护等,这些安全产品的开发都是随着人们对网络安全的逐步认识过程中开发出来的,也就是开发安全产品是为了满足当时网络安全的需要。而且当初考虑安全一般也是从单一角度,比如应付病毒就开发防病毒产品,而不是从整个网络系统和网络安全风险来考虑,因而带有片面性。根据“木桶理论”,这种各种不同时期单一角度开发出来的网络安全产品的简单堆彻和线性组合存在一些安全产品的“缝间”安全漏洞,并不能最大程度的实现网络安全。而且这些安全设备的安全功能实现都要依赖一定的安全策略。
联动策略也叫安全设备的协同的策略,安全防护体系由各个模块组成,可以较好地形成资源整合组成网络安全体系,避免了木桶效应的产生。同时,它可以在最大程度上保障用户利益,根据用户需要建设安全的网络系统。当网络改造时,可以通过模块的增减完成安全功能的升级,避免了一体化结构可能造成的功能浪费。经文献检索发现,根据一个系统中的不同安全机制,科学出版社2003年出版的由张世永主编的“网络安全原理与应用”一书,该书第26章413页指出目前有两种策略方式实现联动:(1)利用设备之间的互动功能,实现设备之间的直接联动,如防火墙和IDS之间的联动。(2)集中采集各种安全事件,触发策略引擎,匹配执行安全策略规则,实现对网络设备的设置和操控,实现间接联动。对于直接联动,实现功能比较简单,而且联动规则只是针对单个设备指定的,没有综合考虑整个网络的状态,因而实现比较简单,功能有限。对于间接联动,它是一种集中式的管理方式,通过收集网络事件,动态监视网络的安全状况,因而具有一定的宏观调控能力。可是目前入侵监测系统的虚警率和误警率比较高,安全事件的告警信息不可靠,因此策略规则的实施具有一定的风险性。
发明内容
本发明针对以上两种联动存在的问题,提出一种可信任主动式策略联动方法,使其实现对安全事件包括复杂的安全事件的定购和监控,对接收的告警事件进行关联合并,通过贝叶斯网络并结合安全事件的先验和后验概率,评估该告警信息的可信任度,具有较高信任度的安全事件可以触发和执行相应的联动策略规则,进而协调网络设备使网络进入新的安全状态,因此该方法降低了联动的风险。
本发明是通过以下技术方案实现的,本发明方法如下:为了实现策略规则的联动,首先通过策略管理器进行策略规则的部署流程进行策略规则部署,部署完毕后,利用事件适配器进行安全事件告警信息的检测,如果有设备的告警信息到达,则事件适配器监测并接收该设备的告警信息,然后进行告警信息的可信任度分析流程得到事件的信任度参数,如果信任度高于事先规定的门限值,则向策略引擎发信息通知,同时将该信息进行封装成一个告警事件保存等待策略引擎的响应,如果接收到了策略引擎的响应,则事件适配器向策略规则定位器传递告警事件;策略规则定位器则根据告警事件的信息查找事件索引表,得到一组与该事件匹配的策略规则信息;规则定位器根据策略当前存储位置信息找到并激活已经部署好了的策略规则,如果策略规则不在内存中,就通知调度器将其从策略库中调入内存;然后策略引擎调用策略规则执行器进根据策略条件和响应适配器进行策略条件匹配和策略响应的执行,实现策略规则的联动。
以下对本发明作进一步的说明,具体内容如下:
所述的策略引擎,由策略规则定位器、策略规则调度器、策略规则执行器、事件、条件、响应适配器组成。其中策略规则定位器、策略规则调度器、策略规则执行器三个子模块组成了策略引擎的中央控制单元,策略驱动的主要是由它们完成,事件、条件和响应适配器是策略模块与被管理对象之间的接口。
所述的策略库负责策略的存储,除了一部分策略对象被保存在内存之中,其它所有的策略对象都存放在策略仓库。策略仓库可以是关系数据库,但由于策略是静态信息,提高查寻效率的最佳选择是LDAP。
所述的事件适配器是策略模块与被管对象之间的接口。
所述的策略管理器由三部分组成:策略编辑器、策略编译器、策略控制器,用于策略规则的定制、编译和部署以及可视化管理。策略规则的部署主要通过策略管理器实现。
本发明方法涉及到了两个具体的流程,即策略规则部署流程和可信任分析流程,具体如下:
策略规则的部署流程:根据用户需求在策略编辑器中编辑策略规则;在策略编译器中首先对新的策略规则进行基于颜色Petri net(CPN)冲突检测(冲突检测过程:首先采用CPN表示各种策略规则,然后,计算出该策略规则CPN的关联矩阵和状态方程,根据状态方程可以获得各个库所得状态,如果某个库所出现颜色相反的token,则说明有可能存在冲突,丢弃存在冲突的策略),如果不存在冲突则可确保新的策略规则与已有的策略规则集是一致的。如果策略规则不冲突则策略编译器编译新的策略规则为Java策略对象,然后部署到策略仓库中。
可信任分析工作流程:首先要分析该攻击事件的特征,根据这些特征构建该攻击事件的贝叶斯网模型。其次,根据该攻击事件历史数据库得出该攻击事件的各种特征出现的先验概率,通过攻击训练或是攻击历史库计算出该攻击事件的各种特征造成真实攻击的条件概率。最后,根据已经建立的该攻击事件的贝叶斯网模型以及各种特征的先验和条件概率,计算出各种攻击特征的后验概率,后验概率大的攻击特征作为真实攻击原因。如果该安全事件的可信任度大于某个门限,则说明可以相信真的发生了该安全事件,然后把它放入安全事件队列,等待策略引擎处理来触发策略规则,根据策略规则进行对网络设备和资源的控制。
本发明基于贝叶斯网安全事件可信任增强方法,在确认安全事件的可信任度的基础上,只有可信任度大于某一个阀值才能触发相应的联动规则,因此大大的降低了该联动的风险,而且基于CPN的冲突检测确保了策略规则的一致性,也提高了策略联动的准确度。
附图说明
图1是可信任主动式策略联动方法策略规则部署流程。
图2是可信任主动式策略联动方法工作流程。
具体实施方式
结合本发明方法的内容提供以下实施例:
联动策略引擎布置在一台PC机上,该PC可位于网络的任一位置上,但必须能够使策略管理器通过存在的物理网络如公用数据网访问到并发布联动策略。同时,联动策略引擎必须能够通过存在的物理网络访问到LDAP策略库;策略管理器部署在网络的任一位置上,但必须能够通过存在的物理网络访问到策略引擎。针对用户的策略联动需求构建安全事件的贝叶斯网并依据该贝叶斯网开发安全事件适配器,然后将安全事件适配器布署在联动策略引擎底层。针对不同的安全事件开发相应的条件适配器和相应适配器,然后部署在策略引擎底层。
可信任主动式策略联动方法中策略规则的部署流程如图1:
1、根据用户需求在策略编辑器中编辑策略规则;
2、策略编译器编译策略规则,包括基于颜色Petri Net的策略规则冲突检测。
3、发布策略规则到策略仓库中。
可信任主动式策略联动方法工作流程如图2:
1.事件件适配器轮循探测安全事件告警信息。
2.根据该事件的贝叶斯网判断该事件的可信任度。大于用户定制阀值的事件为可信任安全事件。并向策略规则定位器传递;
3.策略规则定位器查找事件索引表,得到一组与该事件匹配的策略规则信息;
4.规则定位器根据策略当前存储位置信息找到并激活策略规则,如果策略规则不在内存中,就通知调度器将其从策略仓库中调入内存;
5.被激活的策略规则被传递给策略规则执行器,策略规则执行器匹配条件,如果策略条件满足则执行策略响应。
本发明提高了策略联动的准确度。
Claims (7)
1、一种可信任主动式联动策略方法,其特征在于,首先通过策略管理器进行策略规则的部署流程进行策略规则部署,部署完毕后,利用事件适配器进行安全事件告警信息的检测,如果有设备的告警信息到达,则事件适配器监测并接收该设备的告警信息,然后进行告警信息的可信任度分析流程得到事件的信任度参数,如果信任度高于事先规定的门限值,则向策略引擎发信息通知,同时将该信息进行封装成一个告警事件保存等待策略引擎的响应,如果接收到了策略引擎的响应,则事件适配器向策略规则定位器传递告警事件,策略规则定位器则根据告警事件的信息查找事件索引表,得到一组与该事件匹配的策略规则信息,规则定位器根据策略当前存储位置信息找到并激活已经部署好了的策略规则,如果策略规则不在内存中,就通知调度器将其从策略库中调入内存,然后策略引擎调用策略规则执行器进根据策略条件和响应适配器进行策略条件匹配和策略响应的执行,实现策略规则的联动。
2、根据权利要求1所述的可信任主动式联动策略方法,其特征是,所述的策略引擎,由策略规则定位器、策略规则调度器、策略规则执行器、事件、条件、响应适配器组成,其中策略规则定位器、策略规则调度器、策略规则执行器三个子模块组成了策略引擎的中央控制单元,策略驱动的主要是由它们完成,事件、条件和响应适配器是策略模块与被管理对象之间的接口。
3、根据权利要求1所述的可信任主动式联动策略方法,其特征是,所述的策略库负责策略的存储,除了一部分策略对象被保存在内存之中,其它所有的策略对象都存放在策略仓库,策略仓库是关系数据库,由于策略是静态信息,提高查寻效率的最佳选择是LDAP。
4、根据权利要求1所述的可信任主动式联动策略方法,其特征是,所述的事件适配器是策略模块与被管对象之间的接口。
5、根据权利要求1所述的可信任主动式联动策略方法,其特征是,所述的策略管理器由三部分组成:策略编辑器、策略编译器、策略控制器,用于策略规则的定制、编译和部署以及可视化管理,策略规则的部署主要通过策略管理器实现。
6、根据权利要求1所述的可信任主动式联动策略方法,其特征是,所述的策略规则的部署流程具体如下:
根据用户需求在策略编辑器中编辑策略规则,在策略编译器中首先对新的策略规则进行CPN冲突检测,CPN冲突检测过程:首先采用CPN表示各种策略规则,
然后,计算出该策略规则CPN的关联矩阵和状态方程,根据状态方程获得各个库所得状态,如果某个库所出现颜色相反的token,则认为有可能存在冲突,丢弃存在冲突的策略,确保策略规则集是一致的,如果策略规则与已有的规则集是一致的,则策略编译器编译新的策略规则为Java策略对象,然后部署到策略仓库中。
7、根据权利要求1所述的可信任主动式联动策略方法,其特征是,所述的可信任分析工作流程具体如下:
首先分析该攻击事件的特征,根据这些特征构建该攻击事件的贝叶斯网模型,其次,根据该攻击事件历史数据库得出该攻击事件的各种特征出现的先验概率,通过攻击训练或是攻击历史库计算出该攻击事件的各种特征造成真实攻击的条件概率,最后,根据已经建立的该攻击事件的贝叶斯网模型以及各种特征的先验和条件概率,计算出各种攻击特征的后验概率,后验概率大的攻击特征作为真实攻击原因,如果该安全事件的可信任度大于某个门限,则认为真的发生了该安全事件,然后把它放入安全事件队列,等待策略引擎处理来触发策略规则,根据策略规则进行对网络设备和资源的控制。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2003101098403A CN1556613A (zh) | 2003-12-30 | 2003-12-30 | 可信任主动式策略联动方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2003101098403A CN1556613A (zh) | 2003-12-30 | 2003-12-30 | 可信任主动式策略联动方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1556613A true CN1556613A (zh) | 2004-12-22 |
Family
ID=34335399
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2003101098403A Pending CN1556613A (zh) | 2003-12-30 | 2003-12-30 | 可信任主动式策略联动方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1556613A (zh) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100592315C (zh) * | 2008-08-29 | 2010-02-24 | 中国科学院软件研究所 | 一种xacml策略规则检测方法 |
| CN101917295A (zh) * | 2010-08-26 | 2010-12-15 | 北京天融信科技有限公司 | 一种基于对象的事件响应方法和系统 |
| CN101252487B (zh) * | 2008-04-11 | 2010-12-22 | 杭州华三通信技术有限公司 | 一种处理安全告警的方法及安全策略设备 |
| CN101141307B (zh) * | 2007-09-29 | 2011-08-31 | 北京邮电大学 | 一种应用于通信系统的基于策略管理的方法及系统 |
| CN101431430B (zh) * | 2007-11-07 | 2011-09-21 | 中兴通讯股份有限公司 | 策略执行系统及其执行方法 |
| CN101876994B (zh) * | 2009-12-22 | 2012-02-15 | 中国科学院软件研究所 | 一种多层次优化的策略评估引擎的建立方法及其实施方法 |
| CN102752384A (zh) * | 2012-06-29 | 2012-10-24 | 安科智慧城市技术(中国)有限公司 | 一种设备信息联动处理方法及装置 |
| CN104836807A (zh) * | 2015-05-11 | 2015-08-12 | 中国电力科学研究院 | 一种xacml安全策略的评估优化方法 |
| CN106911673A (zh) * | 2017-01-23 | 2017-06-30 | 全球能源互联网研究院 | 一种电力广域互联网安全协同防护系统及其防护方法 |
| CN107111700A (zh) * | 2014-10-24 | 2017-08-29 | 开利公司 | 对物理访问控制的静态权限的基于策略的审核 |
| CN108303901A (zh) * | 2018-01-08 | 2018-07-20 | 杭州古北电子科技有限公司 | 一种智能设备自动控制系统 |
| CN109361690A (zh) * | 2018-11-19 | 2019-02-19 | 中国科学院信息工程研究所 | 一种网络中的威胁处置策略生成方法及系统 |
| CN110971439A (zh) * | 2018-09-30 | 2020-04-07 | 中兴通讯股份有限公司 | 策略决策方法及装置、系统、存储介质、策略决策单元及集群 |
| CN111177214A (zh) * | 2019-12-19 | 2020-05-19 | 腾讯云计算(北京)有限责任公司 | 事件联动处理方法、装置、系统、电子设备及存储介质 |
-
2003
- 2003-12-30 CN CNA2003101098403A patent/CN1556613A/zh active Pending
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101141307B (zh) * | 2007-09-29 | 2011-08-31 | 北京邮电大学 | 一种应用于通信系统的基于策略管理的方法及系统 |
| CN101431430B (zh) * | 2007-11-07 | 2011-09-21 | 中兴通讯股份有限公司 | 策略执行系统及其执行方法 |
| CN101252487B (zh) * | 2008-04-11 | 2010-12-22 | 杭州华三通信技术有限公司 | 一种处理安全告警的方法及安全策略设备 |
| CN100592315C (zh) * | 2008-08-29 | 2010-02-24 | 中国科学院软件研究所 | 一种xacml策略规则检测方法 |
| CN101876994B (zh) * | 2009-12-22 | 2012-02-15 | 中国科学院软件研究所 | 一种多层次优化的策略评估引擎的建立方法及其实施方法 |
| CN101917295B (zh) * | 2010-08-26 | 2013-08-21 | 北京天融信科技有限公司 | 一种基于对象的事件响应方法和系统 |
| CN101917295A (zh) * | 2010-08-26 | 2010-12-15 | 北京天融信科技有限公司 | 一种基于对象的事件响应方法和系统 |
| CN102752384A (zh) * | 2012-06-29 | 2012-10-24 | 安科智慧城市技术(中国)有限公司 | 一种设备信息联动处理方法及装置 |
| CN102752384B (zh) * | 2012-06-29 | 2015-03-04 | 安科智慧城市技术(中国)有限公司 | 一种设备信息联动处理方法及装置 |
| CN107111700A (zh) * | 2014-10-24 | 2017-08-29 | 开利公司 | 对物理访问控制的静态权限的基于策略的审核 |
| CN107111700B (zh) * | 2014-10-24 | 2021-08-31 | 开利公司 | 对物理访问控制的静态权限的基于策略的审核 |
| CN104836807A (zh) * | 2015-05-11 | 2015-08-12 | 中国电力科学研究院 | 一种xacml安全策略的评估优化方法 |
| CN104836807B (zh) * | 2015-05-11 | 2018-12-18 | 中国电力科学研究院 | 一种xacml安全策略的评估优化方法 |
| CN106911673A (zh) * | 2017-01-23 | 2017-06-30 | 全球能源互联网研究院 | 一种电力广域互联网安全协同防护系统及其防护方法 |
| CN108303901A (zh) * | 2018-01-08 | 2018-07-20 | 杭州古北电子科技有限公司 | 一种智能设备自动控制系统 |
| CN110971439A (zh) * | 2018-09-30 | 2020-04-07 | 中兴通讯股份有限公司 | 策略决策方法及装置、系统、存储介质、策略决策单元及集群 |
| CN109361690A (zh) * | 2018-11-19 | 2019-02-19 | 中国科学院信息工程研究所 | 一种网络中的威胁处置策略生成方法及系统 |
| CN109361690B (zh) * | 2018-11-19 | 2020-07-07 | 中国科学院信息工程研究所 | 一种网络中的威胁处置策略生成方法及系统 |
| CN111177214A (zh) * | 2019-12-19 | 2020-05-19 | 腾讯云计算(北京)有限责任公司 | 事件联动处理方法、装置、系统、电子设备及存储介质 |
| CN111177214B (zh) * | 2019-12-19 | 2024-02-09 | 腾讯云计算(北京)有限责任公司 | 事件联动处理方法、装置、系统、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Axelsson | Research in intrusion-detection systems: A survey | |
| CN1556613A (zh) | 可信任主动式策略联动方法 | |
| CN100401224C (zh) | 计算机反病毒防护系统和方法 | |
| Schultz et al. | Data mining methods for detection of new malicious executables | |
| US7203962B1 (en) | System and method for using timestamps to detect attacks | |
| US6647400B1 (en) | System and method for analyzing filesystems to detect intrusions | |
| Cuppens et al. | Correlation in an intrusion detection process | |
| US20220174080A1 (en) | Cyber defense system | |
| CN100547513C (zh) | 基于程序行为分析的计算机防护方法 | |
| US20060161982A1 (en) | Intrusion detection system | |
| US8510467B2 (en) | Monitoring a message associated with an action | |
| WO2001016708A9 (en) | System and method for detecting buffer overflow attacks | |
| CN1961272A (zh) | 通过沙箱技术改进计算机安全性的方法 | |
| CN101075917A (zh) | 一种预测网络攻击行为的方法及装置 | |
| CN101587521B (zh) | 获取远程计算机信息的方法及装置 | |
| CN116938600A (zh) | 威胁事件的分析方法、电子设备及存储介质 | |
| CN103473353B (zh) | 面向Web安全的数据库安全防护方法和系统 | |
| CN111787001A (zh) | 网络安全信息的处理方法、装置、电子设备和存储介质 | |
| KR20230162836A (ko) | 컨테이너 가상화 환경에서의 보안 이벤트 처리 방법 및 장치 | |
| CN111245788A (zh) | 基于URL自学习的Web防护方法 | |
| CN115587357A (zh) | 一种基于大数据的威胁场景分析方法及系统 | |
| Asmitha et al. | Linux malware detection using non-parametric statistical methods | |
| CN114006713A (zh) | 一种针对节点多样性的信任架构 | |
| CN106789929A (zh) | 一种面向云控制平台的工业机器人信息安全管理方法 | |
| Trivedi et al. | Survey Analysis on Immunological Approach to Intrusion Detection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |