一种网络中的威胁处置管理方法及系统转让专利
申请号 : CN201811377187.1
文献号 : CN109698819B
文献日 : 2020-07-24
发明人 : 李凤华 , 耿魁 , 李勇俊
申请人 : 中国科学院信息工程研究所
摘要 :
本发明实施例提供一种网络中的威胁处置管理方法及系统。其中,方法包括:根据报警信息和/或安全保障目标库,生成威胁处置策略;根据网络拓扑结构、威胁特征、处置对象能力、安全保障目标分解映射关系、目标优先级、目标实现成本、可用资源中的任意一种或多种,对威胁处置策略进行分解,得到威胁处置子策略。本发明实施例提供的方法及系统,通过在接收到威胁报警信息后,基于归一化描述的威胁处置策略实现对威胁处置策略的自动生成,完成威胁处置策略的自动分解与分发,使得不同处置区域围绕同一安全目标执行不同操作,实现各区域之间的协同,从而实现设备跨区域、跨管理级、跨类型的统一管控和全网威胁的统一、联动处置。
权利要求 :
1.一种网络中的威胁处置管理方法,其特征在于,包括:S1,根据报警信息和/或安全保障目标库,生成威胁处置策略;
S2,根据网络拓扑结构、威胁特征、处置对象能力、安全保障目标分解映射关系、目标优先级、目标实现成本、可用资源中的任意一种或多种,对威胁处置策略进行分解,得到威胁处置子策略;
所述S1,具体包括:
S11,根据接收到的报警信息,确定网络中受到威胁的对象;
S12,基于预先创建的安全保障目标库,确定所述对象的安全保障目标;
S13,根据所述报警信息和/或所述安全保障目标,在处置策略模板库中,获取目标处置策略模板;
S14,根据所述报警信息和所述目标处置策略模板,生成威胁处置策略,以对威胁进行处置;
其中,所述处置策略模板库中的处置策略模板包括:威胁特征、安全保障效果、处置命令类型、处置命令、处置区域、分解类型和分解层次中的任意一种或多种;
分解类型包括:处置命令分解和/或处置区域分解;
分解层次包括:本地分解、本级分解和下级分解中的任意一种或多种;
所述S2,具体包括:
S21,根据所述威胁处置策略、网络拓扑结构、威胁特征、资产特征中的任意一种或多种,确定威胁处置区域;
S22,根据威胁特征、处置对象能力、第一联动关系集合中的任意一种或多种,确定所述威胁处置区域的候选处置对象及其第二联动关系集合;
S23,根据安全保障目标分解映射关系、目标优先级、目标达成度、目标实现成本、可用资源中的任意一种或多种,对安全保障目标进行分解,得到所述威胁处置区域的安全保障子目标;
S24,根据所述候选处置对象及其第二联动关系集合、所述安全保障子目标、处置对象能力、威胁特征、处置成本、处置效果中的任意一种或多种,对所述威胁处置策略中的处置命令进行分解;
其中,所述威胁处置策略包括:
威胁处置策略ID、安全保障目标、处置命令类型、处置命令、处置区域、约束信息、分解类型、分解层次、分解条件中的任意一种或多种。
2.根据权利要求1所述的方法,其特征在于,还包括:S3,确定威胁处置效果。
3.根据权利要求1所述的方法,其特征在于,
所述处置命令类型包括:命令集、命令、指令和动作中的任意一种或多种。
4.根据权利要求1所述的方法,其特征在于,S11,具体包括:对接收到的报警信息进行解析,获取所述报警信息中携带的威胁特征和攻击目的;
将所述攻击目的指向的对象作为网络中受到威胁的对象;
或者,
获取与所述攻击目的具有直接拓扑连接关系的第一对象集合;
在第一对象集合中,获取与所述攻击目的具有对象间可访问关系的第二对象集合,以及与所述攻击目的具有服务依赖关系的第三对象集合;
将第二对象集合,或第三对象集合,或第二对象集合和第三对象集合的交集,或第二对象集合和第三对象集合的并集作为网络中受到威胁的对象。
5.根据权利要求1所述的方法,其特征在于,S12,具体包括:将安全保障目标库中所述对象的安全保障目标,作为所述对象的安全保障目标;
或者,
根据安全保障目标的优先级对所述对象的安全保障目标进行排序,选取满足安全保障目标选取条件的安全保障目标作为所述对象的安全保障目标。
6.根据权利要求1所述的方法,其特征在于,S13,具体包括:将所述威胁特征的描述字段与所述处置策略模板库中的处置策略模板的威胁特征相应描述字段进行匹配;
若匹配,则将匹配成功的处置策略模板作为目标处置策略模板。
7.根据权利要求1所述的方法,其特征在于,S13,具体包括:将所述威胁特征的描述字段与所述处置策略模板库中处置策略模板的威胁特征相应描述字段进行匹配;
将相匹配的描述字段满足第一描述字段匹配条件的处置策略模板,作为第一处置策略模板集;
在所述第一处置策略模板集中,确定目标处置策略模板。
8.根据权利要求1所述的方法,其特征在于,S13,具体包括:将所述威胁特征的描述字段与所述处置策略模板库中处置策略模板的威胁特征相应描述字段进行匹配;
将相匹配的描述字段满足第二描述字段匹配条件的处置策略模板,作为第一处置策略模板集;
将所述安全保障目标与所述处置策略模板库中处置策略模板的安全保障效果进行匹配,获取包含匹配成功的安全保障效果的第二处置策略模板集;
根据所述第一处置策略模板集和/或所述第二处置策略模板集,确定目标处置策略模板。
9.根据权利要求1所述的方法,其特征在于,S21,具体包括:判定本区域下辖各区域是否存在攻击源和/或潜在攻击源,将存在攻击源和/或潜在攻击源的区域称为攻击区域;
判定本区域下辖各区域是否存在受攻击对象和/或潜在受攻击对象,将存在受攻击对象和/或潜在受攻击对象的区域称为受攻击区域;
判断本区域下辖各区域中是否存在联动处置对象和/或潜在联动处置对象,将包含所述联动处置对象和/或潜在联动对象的区域称为联动区域;
将攻击区域、受攻击区域、联动区域中的任意一个,或者,任意多个的交集,或者,任意多个的并集作为威胁处置区域。
10.根据权利要求1所述的方法,其特征在于,S22,具体包括:获取所述威胁处置区域的处置对象,根据威胁特征和/或处置对象能力,判断所述处置对象是否可抵抗具有所述威胁特征的威胁;
若所述处置对象可以抵抗具有所述威胁特征的威胁,则将所述处置对象作为候选处置对象,生成候选处置对象集合;
从所述候选处置对象集合对应的第一联动关系集合中,选取任意一个或多个候选处置对象对应的一种或多种满足第一预设条件的联动关系,作为第二联动关系集合。
11.根据权利要求1所述的方法,其特征在于,S23,具体包括:根据安全保障目标分解映射关系和/或目标优先级类型,对安全保障目标进行分解,得到满足第二预设条件或第三预设条件的子目标,将所述子目标作为所述安全保障目标分解后的安全保障子目标。
12.根据权利要求1所述的方法,其特征在于,S24,具体包括:判定处置命令类型,若为命令集,则将命令集分解为命令,构造威胁处置子策略;若为命令,则将命令分解为指令,构造威胁处置子策略;若为指令,则确定处置对象,按照指令格式对指令的各部分内容进行填充,和/或,对指令中的动作列表的各字段进行指定,构造威胁处置子策略。
13.根据权利要求2所述的方法,其特征在于,S3,具体包括:S31,对于网络中的任一个被攻击对象,从所述被攻击对象的执行威胁处置策略的对象中,选取若干个对象以组成所述被攻击对象的处置结果验证对象集合;
S32,若所述被攻击对象的处置结果验证对象集合中至少存在一个对象的处置结果为成功,则基于所述被攻击对象的指标贡献度表,确定贡献度满足指标选取条件的指标,以组成所述被攻击对象的目标指标集合;其中,对象的处置结果为成功指对象成功执行威胁处置策略;其中,所述指标贡献度表指指标与该指标对某一被攻击对象的处置结果成功验证的贡献度的映射关系;
S33,根据所述网络中被攻击对象的目标指标集合,确定所述威胁处置策略的威胁处置效果。
14.根据权利要求13所述的方法,其特征在于,S31,具体包括:确定所述被攻击对象到攻击者和/或外部网络的路径,以组成路径集合;
判定所述路径集合中各路径所经由的对象中是否包含用于执行威胁处置策略的对象,并将不包含用于执行威胁处置策略的对象的路径从所述路径集合中剔除后,生成目标路径集合;
对于所述目标路径集合中的路径,从所述路径所经由的用于执行威胁处置策略的对象中选取若干个对象作为所述路径的处置结果验证对象;
将所述目标路径集合中各路径的处置结果验证对象进行组合,生成所述被攻击对象的处置结果验证对象集合。
15.根据权利要求13所述的方法,其特征在于,S32,具体包括:对于所述被攻击对象的处置结果验证对象集合中的对象,确定对所述对象的处置结果的目标验证方式;
根据所述目标验证方式对所述对象的处置结果进行验证,以确定所述对象的处置结果为成功或失败。
16.根据权利要求13所述的方法,其特征在于,S33,具体包括:对于所述网络中的任一个被攻击对象,从候选效果计算方法集合中,选取一个候选效果计算方法,作为所述被攻击对象的目标效果计算方法;
基于所述目标效果计算方法,根据所述被攻击对象的目标指标集合,确定所述威胁处置策略对所述被攻击对象的威胁处置效果;
根据所述威胁处置策略对所述网络中被攻击对象的威胁处置效果和重要程度,确定所述威胁处置策略的威胁处置效果。
17.一种网络中的威胁处置管理系统,其特征在于,包括:威胁处置策略生成模块,用于根据报警信息和/或安全保障目标库,生成威胁处置策略;
威胁处置策略分解模块,用于根据网络拓扑结构、威胁特征、处置对象能力、安全保障目标分解映射关系、目标优先级、目标实现成本、可用资源中的任意一种或多种,对威胁处置策略进行分解,得到威胁处置子策略;
所述威胁处置策略生成模块,具体包括:
根据接收到的报警信息,确定网络中受到威胁的对象;
基于预先创建的安全保障目标库,确定所述对象的安全保障目标;
根据所述报警信息和/或所述安全保障目标,在处置策略模板库中,获取目标处置策略模板;
根据所述报警信息和所述目标处置策略模板,生成威胁处置策略,以对威胁进行处置;
其中,所述处置策略模板库中的处置策略模板包括:威胁特征、安全保障效果、处置命令类型、处置命令、处置区域、分解类型和分解层次中的任意一种或多种;
分解类型包括:处置命令分解和/或处置区域分解;
分解层次包括:本地分解、本级分解和下级分解中的任意一种或多种;
所述威胁处置策略分解模块,具体包括:
根据所述威胁处置策略、网络拓扑结构、威胁特征、资产特征中的任意一种或多种,确定威胁处置区域;
根据威胁特征、处置对象能力、第一联动关系集合中的任意一种或多种,确定所述威胁处置区域的候选处置对象及其第二联动关系集合;
根据安全保障目标分解映射关系、目标优先级、目标达成度、目标实现成本、可用资源中的任意一种或多种,对安全保障目标进行分解,得到所述威胁处置区域的安全保障子目标;
根据所述候选处置对象及其第二联动关系集合、所述安全保障子目标、处置对象能力、威胁特征、处置成本、处置效果中的任意一种或多种,对所述威胁处置策略中的处置命令进行分解;
其中,所述威胁处置策略包括:
威胁处置策略ID、安全保障目标、处置命令类型、处置命令、处置区域、约束信息、分解类型、分解层次、分解条件中的任意一种或多种。
18.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至16任一项所述方法的步骤。
19.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至16任一项所述方法的步骤。
说明书 :
一种网络中的威胁处置管理方法及系统
技术领域
[0001] 本发明实施例涉及网络安全技术领域,尤其涉及一种网络中的威胁处置管理方法及系统。
背景技术
[0002] 移动通信技术、网络技术、信息技术快速发展,业务跨域频繁交互,促使大规模复杂异构网络跨单位、跨地域、跨管理域广泛互联互通。然而,大规模互联网络为用户提供便利的同时,网络威胁日益严重。在威胁处置过程中,由于网络中安全设备类型众多、同类安全设备厂商不同,不同安全设备的功能不同、指挥方式差异,不同网络的技术体制不同、安全防护能力差异,因此针对单一网络、单一防御点的单一防护难以应对日益严重的网络威胁,需要威胁处置指挥中心围绕某一安全目标,根据威胁情况、安全设备防护能力等生成相应威胁处置策略,经分解后分发到其他处置指挥中心或相应多类、多个处置对象,并在策略执行后对处置效果进行确定,从而优化威胁处置策略,最终实现不同网络、不同对象间的协同合作,实现对威胁的有效处置。
[0003] 现有方案仅针对单一类型系统/网络生成威胁处置策略,造成各网络之间“各自为政”,缺乏协同,且只针对单级或特定层级网络架构,无法扩展,无法实现大规模异构互联网络环境下面向威胁事件的全网统一、联动处置指挥,难以保证威胁的最佳应对。不仅如此,由于现有方案未实现威胁联动处置,因此在确定威胁处置效果时,未综合考虑各联动处置对象的威胁处置效果,未从全局角度对威胁处置效果进行综合评估,难以准确评估大规模网络的安全状态。
发明内容
[0004] 针对现有技术中存在的技术问题,本发明实施例提供一种网络中的威胁处置管理方法及系统。
[0005] 第一方面,本发明实施例提供一种网络中的威胁处置管理方法,包括:
[0006] S1,根据报警信息和/或安全保障目标库,生成威胁处置策略;
[0007] S2,根据网络拓扑结构、威胁特征、处置对象能力、安全保障目标分解映射关系、目标优先级、目标实现成本、可用资源中的任意一种或多种,对威胁处置策略进行分解,得到威胁处置子策略。
[0008] 第二方面,本发明实施例提供一种网络中的威胁处置管理系统,包括:
[0009] 威胁处置策略生成模块,用于根据报警信息和/或安全保障目标库,生成威胁处置策略;
[0010] 威胁处置策略分解模块,用于根据网络拓扑结构、威胁特征、处置对象能力、安全保障目标分解映射关系、目标优先级、目标实现成本、可用资源中的任意一种或多种,对威胁处置策略进行分解,得到威胁处置子策略。
[0011] 第三方面,本发明实施例提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如第一方面所提供的方法的步骤。
[0012] 第四方面,本发明实施例提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如第一方面所提供的方法的步骤。
[0013] 本发明实施例提供的一种网络中的威胁处置管理方法及系统,通过在接收到威胁报警信息后,基于归一化描述的威胁处置策略实现对威胁处置策略的自动生成,完成威胁处置策略的自动分解与分发,使得不同处置区域围绕同一安全目标执行不同操作,实现各区域之间的协同,从而实现设备跨区域、跨管理级、跨类型的统一管控和全网威胁的统一、联动处置。
附图说明
[0014] 为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0015] 图1为本发明实施例提供的一种网络中的威胁处置管理方法流程图;
[0016] 图2为本发明实施例提供的一种网络结构拓扑图;
[0017] 图3本发明实施例提供的一种网络中的威胁处置管理系统的结构示意图;
[0018] 图4本发明实施例提供的一种电子设备的实体结构示意图;
[0019] 图5为本发明实施例提供的一种处置指挥中心与处置对象之间的交互示意图;
[0020] 图6为本发明实施例提供的一种处置指挥中心分层部署示意图。
具体实施方式
[0021] 为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0022] 图1为本发明实施例提供的一种网络中的威胁处置管理方法流程图,如图1所示,该方法包括:
[0023] S1,根据报警信息和/或安全保障目标库,生成威胁处置策略;
[0024] S2,根据网络拓扑结构、威胁特征、处置对象能力、安全保障目标分解映射关系、目标优先级、目标实现成本、可用资源中的任意一种或多种,对威胁处置策略进行分解,得到威胁处置子策略。
[0025] 具体地,将本发明实施例提供的方法的执行主体称作处置指挥中心。处置指挥中心可位于网络外,也可位于网络中。需要说明的是,对于一个网络来说,可以有一个处置指挥中心,也可有多个处置指挥中心,当有多个处置指挥中心时,处置指挥中心可分层部署,部署层次可以为任意层,每一层次可以有任意个处置指挥中心,每一处置指挥中心均管理各自所辖区域,某一处置指挥中心也可接受其他与其具有管理关系的处置指挥中心的管理,不同处置指挥中心之间具体的管理关系可根据行政管理的隶属关系等确定。为便于描述,根据管理关系将处置指挥中心按需求分别描述为本地处置指挥中心、上级处置指挥中心、本级处置指挥中心、下级处置指挥中心。
[0026] 处置指挥中心可以根据接收到的报警信息,和/或,安全保障目标库,生成威胁处置策略,其中,报警信息可以由人工分析得出,也可以由IDS等其他具有威胁检测、分析功能的设备和/或系统得出。报警信息可以是已经确定的威胁报警,也可以是潜在的威胁线索。报警信息可以包括但不限于:威胁类型、严重程度、置信度、攻击频度、攻击路径、攻击源、攻击目的中的任意一种或多种。安全保障目标库用于存储网络中每一对象的安全保障目标。
安全保障目标通常由管理员自定义,可以是保护机密性、保护完整性或保护可用性等宏观性需求,也可根据实际需要进行扩展,细化为:保证系统的服务质量,保证系统正常运行,保证系统文件不被篡改等具体需求。一个对象可以同时有多个安全保障目标,不同的安全保障目标之间可以有优先级差异。
安全保障目标通常由管理员自定义,可以是保护机密性、保护完整性或保护可用性等宏观性需求,也可根据实际需要进行扩展,细化为:保证系统的服务质量,保证系统正常运行,保证系统文件不被篡改等具体需求。一个对象可以同时有多个安全保障目标,不同的安全保障目标之间可以有优先级差异。
[0027] 本发明实施例提供的方法,通过在接收到威胁报警信息后,基于归一化描述的威胁处置策略实现对威胁处置策略的自动生成,完成威胁处置策略的自动分解与分发,使得不同处置区域围绕同一安全目标执行不同操作,实现各区域之间的协同,从而实现设备跨区域、跨管理级、跨类型的统一管控和全网威胁的统一、联动处置。
[0028] 在上述各实施例的基础上,该方法还包括:
[0029] S3,确定威胁处置效果。
[0030] 本发明实施例提供的方法,通过确定威胁联动处置效果,准确评估大规模网络的实际安全状态,提升了管理者对大规模异构网络下的威胁处置管理能力
[0031] 在上述各实施例的基础上,S1,具体包括:
[0032] S11,根据接收到的报警信息,确定网络中受到威胁的对象;
[0033] S12,基于预先创建的安全保障目标库,确定所述对象的安全保障目标;
[0034] S13,根据所述报警信息和/或所述安全保障目标,在处置策略模板库中,获取目标处置策略模板;
[0035] S14,根据所述报警信息和所述目标处置策略模板,生成威胁处置策略,以对威胁进行处置;
[0036] 其中,所述处置策略模板库中的处置策略模板包括但不限于:威胁特征、安全保障效果、处置命令类型、处置命令、处置区域、分解类型和分解层次中的任意一种或多种;
[0037] 其中,处置命令类型包括:命令集、命令、指令和动作中的任意一种或多种;
[0038] 分解类型包括:处置命令分解和/或处置区域分解;
[0039] 分解层次包括:本地分解、本级分解和下级分解中的任意一种或多种。
[0040] 具体地,对于S11,处置指挥中心根据接收到的报警信息,确定网络中受到威胁的对象。其中,报警信息可以由人工分析得出,也可以由IDS等其他具有威胁检测、分析功能的设备和/或系统得出。报警信息可以是已经确定的威胁报警,也可以是潜在的威胁线索。报警信息可以包括但不限于:威胁类型、严重程度、置信度、攻击频度、攻击路径、攻击源、攻击目的中的任意一种或多种。
[0041] 对于S12,处置指挥中心基于预先创建的安全保障目标库,确定所述对象的安全保障目标。其中,安全保障目标库用于存储网络中每一对象的安全保障目标。安全保障目标通常由管理员自定义,可以是保护机密性、保护完整性或保护可用性等宏观性需求,也可根据实际需要进行扩展,细化为:保证系统的服务质量,保证系统正常运行,保证系统文件不被篡改等具体需求。一个对象可以同时有多个安全保障目标,不同的安全保障目标之间可以有优先级差异。
[0042] 对于S13,处置指挥中心根据所述报警信息和/或所述安全保障目标,在处置策略模板库中,获取目标处置策略模板。其中,处置策略模板库用于存储处置威胁的处置策略模板,可预先创建,也可根据威胁处置历史信息等动态更新和调整,其中,处置策略模板为:在达到特定安全保障效果的情况下为应对特定威胁,对特定威胁进行处置的策略模板。从报警信息中可提取网络中受威胁的对象,根据报警信息和/或受威胁的对象的安全保障目标,即可在处置策略模板库中,获取目标处置策略模板。需要说明的是,处置策略模板包括但不限于:威胁特征、安全保障效果、处置命令类型、处置命令、处置区域、分解类型和分解层次中的任意一种或多种。
[0043] 对处置策略模板所包括的威胁特征、安全保障效果、处置命令类型、处置命令、处置区域、分解类型和分解层次,进行进一步说明:
[0044] 威胁特征指对威胁的描述,可以包括但不限于:威胁类型、严重程度、置信度、攻击频度、传播方式中的一种或多种。
[0045] 安全保障效果指该条处置策略模板实例化为威胁处置策略并被执行后,可以满足的安全保障目标,一个处置策略模板可以实现多种安全保障效果。需注意的是,这里指的可以满足并非百分之百满足,可以是一定程度上满足。
[0046] 处置命令类型包括但不限于:命令集、命令、指令和动作中的任意一种或多种。其中,命令集中包含了多种类型的命令,命令包含了多种类型的指令,指令包含了多种类型的动作。
[0047] 处置命令根据处置命令类型的不同而不同,当处置命令类型为命令集时,处置命令中的内容为命令集模板;当处置命令类型为命令时,处置命令中的内容为命令模板;当处置命令类型为指令时,处置命令中的内容为指令模板;当处置命令类型为动作时,处置命令中的内容为动作模板。其中:
[0048] 命令集模板指一条或多条命令模板所组成的集合。命令集模板的处置命令的描述字段包括但不限于:命令集模板ID、命令数量、命令、命令选项中的任意一种或多种。命令选项标明以该命令集模板作为处置命令的处置策略模板实例化为威胁处置策略时,该命令是否为必选项。
[0049] 命令模板指包含一条或多条指令,且指令之间具有特定时序关系的指令组合。命令模板的处置命令的描述字段包括但不限于:命令模板ID、指令数量、指令、执行时序、时序要求中的任意一种或多种,不同指令的执行时序可以相同。
[0050] 指令模板指对某一指令的具体描述,包含一个或多个动作,指令模板的处置命令的描述字段包括但不限于:指令模板ID、指令类型、指令执行主体类型、指令执行客体类型、动作列表、指令参数信息、结果验证方式中的任意一种或多种。指令一系列动作的排列组合,通过执行一系列动作可达到特定目的,例如:对于关机指令,在Juniper MX5路由器上,需要先输入动作1:request system halt,系统提示是否确认关机后,再输入动作2:yes。
[0051] 所述动作指设备或系统可识别并执行的操作。所述动作的描述字段包括但不限于:动作类型、动作的内容、动作的执行顺序、动作的选项。
[0052] 所述处置区域为执行威胁处置策略的对象所在范围或空间的限定,可以以逻辑方式标注,也可以以物理方式标准。例如:以特定IP段地址标识,以唯一编号标识或以经纬度标识。根据分级网络特点,可对处置区域进行分级,定义一级区域、二级区域、三级区域,以此类推,不作赘述。具体的几级目标区域可根据实际需求划分。例如在专用网络中,可以根据国家级、省级、地市级、区/县级等行政级别进行区域划分,各区域由相应的专用网络管理中心进行管理;例如在天地一体化网络中,可以将全国范围内所有关口站及对应设备作为一级目标区域,二级目标区域是某个具体的关口站,三级目标区域可以是关口站内的某个具体区域或者根据房间信息划分的物理片区,四级目标区域可以是大终端覆盖的区域;例如在物联网中,可以按照应用层、传输层和感知层等层次结构进行区域划分,各区域内可根据设备规模、类型等进一步细分,各区域由相应的安全管理中心进行管理;例如在电子凭据服务系统所在的网络中,可以根据国家级、省级、地市级、区/县级等行政级别进行区域划分,各区域由相应的电子凭据监管中心进行管理。
[0053] 分解类型用于:确定仅对处置命令进行分解,仅对处置区域进行分解,还是同时对处置命令和处置区域进行分解。
[0054] 分解层次用于:确定由何级在何处对威胁处置策略进行分解。即,确定在对处置命令进行分解时的具体分解层次,可以是本地分解、本级分解、下级分解或其中的任意二者以上的自由组合。其中:
[0055] 本地分解指本地处置指挥中心生成威胁处置策略之后,直接将威胁处置策略分解,若威胁处置策略为命令集类策略,则将命令集分解为命令;若威胁处置策略为命令类策略,则将命令分解为指令;若威胁处置策略为指令类策略,则确定指令中所有内容并填充,和/或,将指令分解为动作;若威胁处置策略为动作类策略,则对动作中的所有内容进行填充。威胁处置策略为命令集类策略指的是:基于处置命令类型为命令集的处置策略模板生成的威胁处置策略。同理,命令类策略、指令类策略和动作类策略的含义不再赘述。
[0056] 本级分解指由与本地处置指挥中心位于同一等级的处置指挥中心对该威胁处置策略进行分解,若威胁处置策略为命令集类策略,则将命令集分解为命令;若威胁处置策略为命令类策略,则将命令分解为指令;若威胁处置策略为指令类策略,则确定指令中所有内容并填充,和/或,将指令分解为动作;若威胁处置策略为动作类策略,则对动作中的所有内容进行填充。
[0057] 下级分解指由本地处置指挥中心下辖的处置指挥中心对该威胁处置策略进行分解,若威胁处置策略为命令集类策略,则将命令集分解为命令;若威胁处置策略为命令类策略,则将命令分解为指令;若威胁处置策略为指令类策略,则确定指令中所有内容并填充,和/或,将指令分解为动作;若威胁处置策略为动作类策略,则对动作中的所有内容进行填充。
[0058] 由于处置策略模板库中的处置策略模板均至少由威胁特征、安全保障效果、处置命令类型、处置命令、处置区域、分解类型和分解层次中的任意一种或多种所构成,而这种构成方式相当于对处置策略模板进行了归一化描述,进而也相当于对威胁处置策略进行了归一化描述,从而实现在威胁处置时,不同处置指挥中心对威胁处置策略的统一发布,降低了对象差异性对处置指挥中心的影响,为多级、多域、多类、多台对象联动响应和威胁处置的统一管理提供基础。
[0059] 对于S14,中心根据所述报警信息和所述目标处置策略模板,生成威胁处置策略,以对威胁进行处置。
[0060] 其中,在所述生成威胁处置策略之前,还可以获取拓扑连接关系信息。
[0061] 需要说明的是,目标处置策略模板和威胁处置策略的区别在于:目标处置策略模板是存储于处置策略模板库中的,而威胁处置策略是基于目标处置策略模板生成的,也即,前者为后者提供了一种策略描述模板,后者在前者的基础上对前者进行了实例化。
[0062] 例如,目标处置策略模板为:在网络入口防火墙中添加一条包过滤规则,禁止攻击者访问受攻击对象中的HTTP服务,而威胁处置策略为:在编号为3333的网络入口防火墙中添加一条包过滤规则,该包过滤规则中,源IP地址填写为攻击者IP(例如:113.53.21.222),目的端口号为80,流量方向为入流量,操作为拒绝。
[0063] 本发明实施例提供的方法,通过报警信息获取网络中受到威胁的对象,并根据报警信息和受到威胁的对象的安全保障目标,从基于统一描述格式的处置策略模板库中,获取目标处置策略模板,从而基于目标处置策略模板生成对威胁进行处置的威胁处置策略,进而对威胁进行处置。由于所设计的统一处置策略格式支持多种类型命令及其组合,且处置策略模板库基于所设计的统一处置策略格式创建,因此,接收到报警信息后,可根据威胁情况和所述目标处置策略模板按需生成威胁处置策略,提高了处置效率和处置效果,最大程度上降低了网络被威胁所影响的程度以确保网络的安全。并且,基于统一描述格式的处置策略格式,实现在威胁处置时,不同处置指挥中心对威胁处置策略的统一发布,降低了对象差异性对处置指挥中心的影响,为多级、多域、多类、多台对象的差异化联动响应和威胁处置的统一管理提供基础。
[0064] 在上述各实施例的基础上,S11,具体包括:
[0065] 对接收到的报警信息进行解析,获取所述报警信息中携带的威胁特征和攻击目的;
[0066] 将所述攻击目的指向的对象作为网络中受到威胁的对象;
[0067] 或者,
[0068] 获取与所述攻击目的具有直接拓扑连接关系的第一对象集合;
[0069] 在第一对象集合中,获取与所述攻击目的具有对象间可访问关系的第二对象集合,以及与所述攻击目的具有服务依赖关系的第三对象集合;
[0070] 将第二对象集合,或第三对象集合,或第二对象集合和第三对象集合的交集,或第二对象集合和第三对象集合的并集作为网络中受到威胁的对象。
[0071] 具体地,直接拓扑连接关系指网络中的两个实体在物理通路上具有直接可达关系(即:仅一跳)。对象间可访问关系指具有拓扑连接关系的两个实体相互之间可以进行通信。服务依赖关系指若某一服务的运行依赖于其他服务,则两个服务之间具有服务依赖关系,例如:Web服务的运行一般情况下都依赖于数据库服务。其中,拓扑连接关系指网络中的两个实体在物理通路上具有可达关系,包括但不限于:有线连接、无线连接方式中的任意一种或多种。
[0072] 在本发明实施例中,基于直接拓扑连接关系、对象间可访问关系、服务依赖关系确定网络中受到威胁的对象可具体化为:首先获取与攻击目的之间具有直接拓扑连接关系的对象集合A,在对象集合A中,获取与攻击目的具有对象间可访问关系的对象集合B,在对象集合A中,获取与攻击目的具有服务依赖关系的对象集合C,将对象集合B和对象C的并集作为网络中受到威胁的对象。
[0073] 举个例子,报警信息中携带的攻击目的指的是网络中受到威胁的对象的地址,例如,攻击目的为134.268.27.155,与该攻击目的具有服务依赖关系的对象的IP地址为134.268.26.120,那么将IP地址为134.268.27.155和IP地址为134.268.26.120的对象作为网络中受到威胁的对象。
[0074] 在上述各实施例的基础上,S12,具体包括:
[0075] 将安全保障目标库中所述对象的安全保障目标,作为所述对象的安全保障目标;
[0076] 或者,
[0077] 根据安全保障目标的优先级对所述对象的安全保障目标进行排序,选取满足安全保障目标选取条件的安全保障目标作为所述对象的安全保障目标。
[0078] 具体地,本发明实施例具体对基于预先创建的安全保障目标库,确定所述对象的安全保障目标的过程进行说明。需要说明的是,基于预先创建的安全保障目标库,确定所述对象的安全保障目标可以采用静态匹配方式或优先匹配方式。即,基于预先创建的安全保障目标库,确定所述对象的安全保障目标,进一步包括:静态匹配,即将安全保障目标库中所述对象的安全保障目标,作为所述对象的安全保障目标;或者,优先匹配,即根据安全保障目标的优先级对所述对象的安全保障目标进行排序,选取满足安全保障目标选取条件的安全保障目标作为所述对象的安全保障目标。其中,所述满足安全保障目标选取条件包括但不限于:排序靠前的特定数量,和优先级高于某一等级中的任意一种或多种。
[0079] 需要说明的是,特定数量可预先静态设定,也可根据用户安全保障程度的需求动态计算。
[0080] 在上述各实施例的基础上,S13,具体包括:
[0081] 将所述威胁特征的描述字段与所述处置策略模板库中的处置策略模板的威胁特征相应描述字段进行匹配;
[0082] 若匹配,则将匹配成功的处置策略模板作为目标处置策略模板。
[0083] 需要说明的是,描述字段指的是:威胁类型、严重程度、报警置信度、攻击频度、传播特征中的一个或多个,所述传播特征包括但不限于:攻击/威胁采取的传播模型、传播途径中的任意一种或多种的组合。
[0084] 在上述各实施例的基础上,S13,具体包括:
[0085] 将所述威胁特征的描述字段与所述处置策略模板库中处置策略模板的威胁特征相应描述字段进行匹配;
[0086] 将相匹配的描述字段满足第一描述字段匹配条件的处置策略模板,作为第一处置策略模板集;
[0087] 在所述第一处置策略模板集中,确定目标处置策略模板。
[0088] 具体地,在所述第一处置策略模板集中,确定目标处置策略模板,进一步包括:
[0089] 若所述第一处置策略模板集中包含一个处置策略模板,则将所述处置策略模板作为目标处置策略模板;
[0090] 若所述第一处置策略模板集中包含多个处置策略模板,则从所述多个处置策略模板中随机选取一个处置策略模板作为目标处置策略模板,或者利用相似度计算算法选取相似度最高的一个处置策略模板作为目标处置策略模板,或者利用模糊综合评价算法选取评价值最高的一个处置策略模板作为目标处置策略模板。
[0091] 在上述各实施例的基础上,S13,具体包括:
[0092] 将所述威胁特征的描述字段与所述处置策略模板库中处置策略模板的威胁特征相应描述字段进行匹配;
[0093] 将相匹配的描述字段满足第二描述字段匹配条件的处置策略模板,作为第一处置策略模板集;
[0094] 将所述安全保障目标与所述处置策略模板库中处置策略模板的安全保障效果进行匹配,获取包含匹配成功的安全保障效果的第二处置策略模板集;
[0095] 根据所述第一处置策略模板集和/或所述第二处置策略模板集,确定目标处置策略模板。
[0096] 具体地,根据所述第一处置策略模板集和/或所述第二处置策略模板集,确定目标处置策略模板,进一步包括:
[0097] 将所述第一处置策略模板集和所述第二处置策略模板集求取交集,根据所述交集确定目标处置策略模板。
[0098] 进一步地,根据所述交集确定目标处置策略模板,包括:
[0099] 若所述交集中包含一个处置策略模板,则将所述处置策略模板作为目标处置策略模板;
[0100] 若所述交集中包含多个处置策略模板,则从所述多个处置策略模板中随机选取一个处置策略模板作为目标处置策略模板,或者利用相似度计算算法选取相似度最高的一个处置策略模板作为目标处置策略模板,或者利用模糊综合评价算法选取评价值最高的一个处置策略模板作为目标处置策略模板。
[0101] 在上述各实施例的基础上,本发明实施例对根据所述报警信息和所述目标处置策略模板,生成处置策略的过程进行进一步说明:
[0102] 根据所述报警信息,将所述目标处置策略模板实例化为处置策略。
[0103] 举个例子,报警信息为:DoS攻击(SYNflood),严重程度5级,置信度80%,攻击频度无,攻击路径无,攻击源:213.15.57.46,攻击目的:134.268.27.155。IP地址为134.268.27.155的对象的安全保障目标为:保护可用性。根据“DoS攻击(SYNflood),严重程度5级,置信度80%,攻击频度无,攻击路径无”和“保护可用性”,从处置策略模板库中找到对应的目标处置策略模板如表1所示,表1为目标处置策略模板的构成表。
[0104] 表1 目标处置策略模板的构成表
[0105]
[0106] 根据报警信息,将攻击源的地址和攻击目的的地址分别填入源IP地址和目的IP地址中,以将目标处置策略模板实例化为处置策略,最终,得到的处置策略为:在HTTP服务器的自带防火墙中增加一条包过滤规则,规则中源IP地址为213.15.57.46、操作类型为丢弃,结果验证方式为:判断返回包结果,处置区域为被攻击设备,有效性为80%。
[0107] 可选地,在上述步骤之后,还可以执行以下步骤:
[0108] 将所述威胁处置策略分发到威胁处置策略的接收方;
[0109] 和/或,
[0110] 威胁处置策略的接收方执行所述威胁处置策略。
[0111] 所述威胁处置策略的接收方包括但不限于:本地处置指挥中心、本级处置指挥中心、下级处置指挥中心、处置对象。
[0112] 所述处置对象包括但不限于:设备和/或系统。
[0113] 所述设备包括但不限于:终端(固定终端、移动终端、卫星终端)、服务器、路由器、接入网关、互联网关、内容过滤设备、防火墙、密码设备、认证设备、VPN、蜜罐、交换机、调制解调器、集线器和桥接器中的任意一种或多种;所述系统包括但不限于:入侵防御系统、入侵检测系统、入侵响应系统、认证系统、鉴权系统、设备管理系统、威胁分析系统中的任意一种或多种。需要说明的是,此处的设备可以是物理设备,也可以是利用虚拟化技术得到的虚拟设备。处置对象的具体指代依据不同应用领域而不同。
[0114] 例如,在专用网络中,设备包括但不限于:工控网关、流量过滤监测设备、流转管控设备等设备中的任意一种或多种;系统包括但不限于:存储系统、办公系统、文件交换系统、监管系统等系统中的任意一种或多种。
[0115] 在天地一体化网络中,设备包括但不限于:各类卫星,高速航天器终端、天基骨干网地面终端、Ka大容量宽带便携/固定终端、高轨卫星移动军用手持/民用车载终端、低轨星座手持/车载终端、Ku(FDMA)便携/固定终端、Ku(TDMA)便携/固定终端等安全终端,天基骨干卫星安全接入网关、宽带卫星安全接入网关、卫星移动安全接入网关、异构网间安全互联网关、地面网间安全互联网关等网关中的任意一种或多种;系统包括但不限于:身份认证管理系统、接入鉴权系统、网间互联安全控制系统、密码资源管理系统、威胁融合分析与态势预警系统、全网安全设备统一管理系统等系统中的任意一种或多种。
[0116] 在物联网中,设备包括但不限于:物联网防火墙、物联网综合安全接入网关、网间互联网关、异构数据汇集网关、单向/双向数据隔离设备等设备中的任意一种或多种;系统包括但不限于:数据交换应用代理软件、数据流转监测系统、可编排应用防护系统、物联网拓扑测绘系统、安全服务需求与资源管理系统、数据存储调度管理系统、物联网安全管控中心管理系统、设备发现与识别系统等系统中的任意一种或多种。
[0117] 在各类服务系统所在的网络中,设备包括但不限于:电子凭据高速核准服务设备、统一认证服务设备等设备中的任意一种或多种;系统包括但不限于:电子凭据核准服务管理系统、电子凭据状态管理与控制系统、统一认证服务管理系统、电子凭据查验服务系统、多业务电子凭据协同开具系统、海量电子凭据数据存储系统、身份鉴别系统、密码服务支撑系统、数据存储系统等系统中的任意一种或多种。
[0118] 可选地,在上述步骤之后,还可以执行以下步骤:
[0119] 威胁处置策略的接收方将所述威胁处置策略的执行结果(即处置结果)反馈给处置指挥中心。
[0120] 在上述各实施例的基础上,S2,具体包括:
[0121] S21,根据所述威胁处置策略、网络拓扑结构、威胁特征、资产特征中的任意一种或多种,确定威胁处置区域;
[0122] S22,根据威胁特征、处置对象能力、第一联动关系集合中的任意一种或多种,确定所述威胁处置区域的候选处置对象及其第二联动关系集合;
[0123] S23,根据安全保障目标分解映射关系、目标优先级、目标达成度、目标实现成本、可用资源中的任意一种或多种,对安全保障目标进行分解,得到所述威胁处置区域的安全保障子目标;
[0124] S24,根据所述候选处置对象及其第二联动关系集合、所述安全保障子目标、处置对象能力、威胁特征、处置成本、处置效果中的任意一种或多种,对所述威胁处置策略中的处置命令进行分解;
[0125] 其中,所述威胁处置策略包括:
[0126] 威胁处置策略ID、安全保障目标、处置命令类型、处置命令、处置区域、约束信息、分解类型、分解层次、分解条件中的任意一种或多种。
[0127] 所述约束信息包括但不限于:策略生成时间、策略分发时间、策略执行时间、策略有效期、策略的持续时间、策略的安全等级、策略的知悉范围中的任意一种或多种的组合。
[0128] 所述分解条件为对处置策略进行分解时所需满足的外部条件,可以从时间、空间等多个维度进行限定。例如:接收到指令后直接进行分解,或者在特定时间后才可以进行分解。
[0129] 在上述各实施例的基础上,S21,具体包括:
[0130] 判定本区域下辖各区域是否存在攻击源和/或潜在攻击源,将存在攻击源和/或潜在攻击源的区域称为攻击区域;
[0131] 判定本区域下辖各区域是否存在受攻击对象和/或潜在受攻击对象,将存在受攻击对象和/或潜在受攻击对象的区域称为受攻击区域;
[0132] 判断本区域下辖各区域中是否存在联动处置对象和/或潜在联动处置对象,将包含所述联动处置对象和/或潜在联动对象的区域称为联动区域;
[0133] 将攻击区域、受攻击区域、联动区域中的任意一个,或者,任意多个的交集,或者,任意多个的并集作为威胁处置区域。
[0134] 所述的判定本区域下辖各区域是否存在攻击源和/或潜在攻击源,将存在攻击源和/或潜在攻击源的区域称为攻击区域,可以通过以下方法实现:
[0135] 第一种可实现的方式是根据下辖区域中的各设备发出数据包的地址和端口信息进行判断是否为可疑攻击包,从而判定发出该可疑攻击包的设备是否为攻击源。
[0136] 所述的第一种可实现的方式包括以下步骤:
[0137] 判断某一设备发出的数据包中目的IP地址和/或目的端口与受攻击对象的IP地址和/或端口信息是否匹配,若匹配,则判断数据包中的源IP地址是否为该设备的IP,若不是,则将该数据包判断为可疑攻击包,反之该数据包为正常数据包;
[0138] 判断可疑攻击包数与正常数据包数的比例,若该比例超过特定阈值,则认为发出这些数据包的相应设备为攻击源;
[0139] 所述受攻击对象的IP地址和/或端口信息可根据接收到的上级处置策略或接收到的威胁报警信息得到;
[0140] 所述的判断可以是对所有数据包进行判断,也可以是以一定概率对数据包进行判断;
[0141] 所述的特定阈值可预先静态设定,也可动态调整。
[0142] 第二种可实现的方式是检查下辖区域中的各设备的主机日志,判断是否有访问受攻击对象的记录,若在攻击时间段内访问频率超过特定阈值,则认为相应设备为攻击源;
[0143] 所述的访问频率指在在攻击时间段内的访问记录数量除以攻击时间段,所述的攻击时间段可根据接收到的上级处置策略或接收到的威胁报警信息得到。
[0144] 所述的特定阈值可预先静态设定,也可动态调整。
[0145] 第三种可实现的方式是对设备在攻击时间段内发出数据包数和收到数据包数的比例进行判断,若该比例低于特定阈值,则认为相应设备为攻击源。所述的特定阈值可预先静态设定,也可动态调整。
[0146] 除了上述提到的方法外,还可以采用已有的在数据包中打标记记录数据包路径的方式来实现。
[0147] 所述下辖各区域可以是直接下辖区域,也可以是间接下辖区域(即下辖区域的下辖区域)。
[0148] 若所述攻击源和/或潜在攻击源是本区域的直属设备,则直接将本区域作为处置区域,不再分解。所述直属设备是本区域的管理者可直接进行管理操作,或,通过直接下发指令或动作的形式让设备执行特定操作。
[0149] 判定本区域下辖各区域是否存在受攻击对象和/或潜在受攻击对象,将存在受攻击对象和/或潜在受攻击对象的区域称为受攻击区域。
[0150] 所述的攻击对象和/或潜在受攻击对象可以是服务、系统、节点、设备,或由服务、系统、节点、设备组成的网络;
[0151] 若所述受攻击对象和/或潜在受攻击对象是本区域的直属设备,则直接将本区域作为处置区域,不再分解。
[0152] 所述的判定本区域下辖各区域是否存在受攻击对象和/或潜在受攻击对象,将存在受攻击对象和/或潜在受攻击对象的区域称为受攻击区域,可以通过以下方法实现:
[0153] 第一种可实现的方式通过以下步骤实现:
[0154] 获取上级处置策略或接收到的威胁报警信息中携带的受攻击对象信息;
[0155] 判断所述受攻击对象是否在本区域或下辖区域内,若在,则将相应区域作为处置区域;反之,判断本区域内的对象是否与该受攻击对象具有服务依赖关系、或对象间可访问关系中的一种或多种,若有,则将该对象判断为潜在受攻击对象,并将潜在受攻击对象所在区域作为处置区域。
[0156] 所述的对象间可访问关系指具有拓扑连接关系的两个实体相互之间可以进行通信;
[0157] 所述的服务依赖关系指服务的运行依赖于其他服务,则两个服务之间具有服务依赖关系;
[0158] 所述的拓扑连接关系指网络中的两个实体在物理通路上具有可达关系,包括有线连接、无线连接等方式;
[0159] 第二种可实现的方式通过以下步骤实现:
[0160] 获取上级处置策略或接收到的威胁报警信息中携带的受攻击对象信息;
[0161] 判断所述受攻击对象是否在本区域或下辖区域内,若在,则将相应区域作为处置区域。若所述受攻击对象所在的区域为本区域的下辖区域,则基于相似性度量思想,判断本区域的其他下辖区域受攻击可能性。
[0162] 所述具体做法为:
[0163] 根据上级处置策略或接收到的威胁报警信息判断受攻击对象遭受的攻击类型,获取威胁特征;
[0164] 所述威胁特征包括:威胁类型、攻击目标类型、攻击属性特征、攻击行为特征、传播特征中的一个或多个。
[0165] 判断受攻击对象所在范围的范围特征,包括判断区域中的拓扑结构特征、设备类型特征、设备数量特征、资产特征、业务特征,安全需求特征、脆弱性特征等;所述拓扑结构特征指区域的拓扑类型,包括但不限于:总线型拓扑、环型拓扑、树形拓扑结构、星形拓扑结构、网状拓扑、混合型拓扑结构、蜂窝拓扑结构、卫星通信拓扑结构;所述设备类型特征指区域中包含的设备类型;所述设备数量特征指区域中包含的各种类型的设备的数量;所述资产特征指区域中各资产的重要性分布情况;所述业务特征指区域中设备所提供的服务类型、用户规模等;所述安全需求特征指该区域中各设备的安全保障目标,包括但不限于:保护机密性、保护完整性、保护可用性等;所述脆弱性特征指该区域中所包含的漏洞类型。
[0166] 根据提取出的威胁特征和/或区域特征,对其他区域进行相似性判定,被判定为受威胁区域的相似区域,则将该区域作为潜在受威胁区域,并将所述潜在受威胁区域作为威胁处置区域。
[0167] 所述相似度判定算法包括但不限于:余弦相似度计算算法、欧氏距离计算算法、皮尔逊相关性计算算法、斯皮尔曼等级相关性计算算法、平均平方差异(MSD)、Jaccard距离计算算法、曼哈顿距离计算算法、明可夫斯基距离计算算法中的任意一种或多种。
[0168] 所述的用于计算基于区域特征的区域之间相似度的特征包括但不限于:拓扑结构特征,设备类型特征,设备数量特征、资产特征、业务特征,安全需求特征、脆弱性特征、网络管理模式特征中的任意一种或多种。
[0169] 所述的用于计算基于威胁特征的区域之间相似度的特征包括但不限于:攻击类型、攻击目标类型、攻击属性特征、攻击行为特征、传播特征中的任意一种或多种。
[0170] 判定两个区域是否为相似区域的方式可以采用相似度高于某一阈值的方法实现,阈值可提前静态设定,也可动态修改。
[0171] 判断本区域下辖各区域中是否存在联动处置对象和/或潜在联动处置对象,将包含所述联动处置对象和/或潜在联动对象的区域称为联动区域。
[0172] 所述的判断本区域下辖各区域中是否存在联动处置对象和/或潜在联动处置对象,将包含所述联动处置对象和/或潜在联动对象的区域称为联动区域,可以采用以下方式实现:
[0173] 获取从攻击源到受攻击对象的攻击路径和/潜在攻击路径,将攻击路径和/潜在攻击路径上除源、目的节点及源和目的节点所在区域的出入口设备外的其他一个或多个节点作为可以配合威胁处置的对象,从而得到联动区域,将属于本区域下辖区域的联动区域作为威胁处置区域。
[0174] 将攻击区域、受攻击区域、联动区域中的任意一个,或者,任意多个的交集,或者,任意多个的并集作为威胁处置区域。
[0175] 在上述各实施例的基础上,S22,具体包括:
[0176] 获取所述威胁处置区域的处置对象,根据威胁特征和/或处置对象能力,判断所述处置对象是否可抵抗具有所述威胁特征的威胁;
[0177] 若所述处置对象可以抵抗具有所述威胁特征的威胁,则将所述处置对象作为候选处置对象,生成候选处置对象集合;
[0178] 从所述候选处置对象集合对应的第一联动关系集合中,选取任意一个或多个候选处置对象对应的一种或多种满足第一预设条件的联动关系,作为第二联动关系集合。
[0179] 具体地,所述第一预设条件包括但不限于:联动成本最低、交互时间最短、交互内容最少、交互内容最多、涉及的联动对象最少、涉及的联动对象最多中的任意一种或多种的组合。
[0180] 在上述各实施例的基础上,S23,具体包括:
[0181] 根据安全保障目标分解映射关系和/或目标优先级类型,对安全保障目标进行分解,得到满足第二预设条件或第三预设条件的子目标,将所述子目标作为所述安全保障目标分解后的安全保障子目标。
[0182] 具体地,所述第二预设条件包括但不限于:将与所述安全保障目标有映射关系的子目标中某类优先级高于特定等级的子目标作为所述安全保障目标的分解结果,和/或,将与所述安全保障目标有映射关系的子目标中按照特定类型优先级排序靠前的特定数量的子目标作为所述安全保障目标的分解结果。
[0183] 所述第三预设条件为:在分解得到的子目标实现后可达到的目标达成度大于所述安全保障目标的预期目标达成度,目标实现成本小于可用资源的前提下,将使得各子目标所需的目标实现成本之和尽可能小,目标达成度尽可能高的子目标构成的集合作为分解后的子目标。具体计算方式包括但不限于:多目标规划算法、投资回报比算法。
[0184] 所述多目标规划算法中,目标包括但不限于:总实现成本尽可能小,目标达成度尽可能高;约束条件包括但不限于:目标达成度大于父目标的预期目标达成度,目标实现成本小于可用资源;不同目标的权重可预先静态赋予,或动态计算。
[0185] 所述投资回报比算法指选取分解后的子目标实现后可达到的父目标达成度比上子目标所需的总达成成本的值尽可能高的分解方案。
[0186] 安全保障目标分解之后得到的不同子目标可以针对相同的区域,也可以分别针对不同的区域。
[0187] 在上述各实施例的基础上,S24,具体包括:
[0188] 判定处置命令类型,若为命令集,则将命令集分解为命令,构造威胁处置子策略;若为命令,则将命令分解为指令,构造威胁处置子策略;若为指令,则确定处置对象,按照指令格式对指令的各部分内容进行填充,和/或,对指令中的动作列表的各字段进行指定,构造威胁处置子策略。
[0189] 可选地,在步骤S24之后,还可以执行以下步骤:
[0190] 将所述威胁处置子策略分发到威胁处置子策略的接收方;
[0191] 和/或,
[0192] 威胁处置子策略的接收方执行所述威胁处置子策略。
[0193] 所述威胁处置子策略的接收方包括但不限于:本地处置指挥中心、本级处置指挥中心、下级处置指挥中心、处置对象。
[0194] 可选地,在上述步骤之后,还可以执行以下步骤:
[0195] 威胁处置子策略的接收方将所述威胁处置子策略的执行结果(即处置结果)反馈给处置指挥中心。
[0196] 在上述各实施例的基础上,S3,具体包括:
[0197] S31,对于网络中的任一个被攻击对象,从所述被攻击对象的执行威胁处置策略的对象中,选取若干个对象以组成所述被攻击对象的处置结果验证对象集合;
[0198] S32,若所述被攻击对象的处置结果验证对象集合中至少存在一个对象的处置结果为成功,则基于所述被攻击对象的指标贡献度表,确定贡献度满足指标选取条件的指标,以组成所述被攻击对象的目标指标集合;其中,对象的处置结果为成功指对象成功执行威胁处置策略;
[0199] S33,根据所述网络中被攻击对象的目标指标集合,确定所述威胁处置策略的威胁处置效果。
[0200] 具体地,对于S31,对于攻击者向目标网络发起攻击通常会使目标网络中的一个或若干个对象遭受攻击,将遭受攻击的对象称为被攻击对象。对于目标网络中的被攻击对象,可通过处置指挥中心生成和/或分解得到的威胁处置策略得知该被攻击对象的执行威胁处置策略的对象,从这些对象中选取若干个对象以组成被攻击对象的处置结果验证对象集合。
[0201] 对于S32,所述指标贡献度表指指标与该指标对某一被攻击对象的处置结果成功验证的贡献度的映射关系。
[0202] 所述指标贡献度表中指标的贡献度可预先静态设定,也可动态赋予和调整,本发明实施例对此不作具体限定。
[0203] 所述指标包括但不限于:网络接口状态相关指标、网络状态相关指标、TCP连接相关指标、卫星节点端口相关指标、卫星节点端口相关指标、操作系统相关指标、文件系统相关指标、进程信息相关指标中的任意一种或多种。其中,
[0204] 网络接口状态相关指标,如,无线收发信号强度(传输速率、带宽)、接入点、接入波束、频点、接收包数、接收字节数、接收错误包数、丢包数、fifo缓冲区错误、分组帧错误数、发送包数、发送字节数、发送错误包数、网络是否可用、WiFi是否可用、WiFi感知是否可用、连接速度;
[0205] 网络状态相关指标,如,TCP ESTABLISHED状态数、TCP SYN SENT状态数、TCP SYN RECV状态数、TCP FIN WAIT 1状态数、TCP FIN WAIT 2状态数、TCP TIME WAIT状态数、TCP CLOSED状态数、TCP CLOSE WAIT状态数、TCP LAST ACK状态数、TCP LISTEN状态数、TCP CLOSING状态数、TCP IDLE状态数、入境TCP连接数、出境TCP连接数;
[0206] TCP连接相关指标,如,主动建立的TCP连接数、被动建立的TCP连接数、尝试建立连接失败次数、重置连接数、当前连接数、进入实体的TCP报文段、离开实体的TCP报文段、重传次数、接收错误数、发送重传数;
[0207] 链路状态相关指标,如,链路起始处、链路终点处、链路带宽、链路利用率、链路连通性、链路传播时延、链路保持时间;
[0208] 卫星节点端口相关指标,如,卫星节点端口索引、卫星节点端口类型、卫星节点端口最大速率、卫星节点端口所对应的天线、卫星节点端口收到的字节数、卫星节点端口发送的字节数、卫星节点端口丢弃的输入字节数、卫星节点端口丢弃的输出字节数;
[0209] 操作系统相关指标,如,系统用户数、系统现进程数、上电时间、进程信息、统计信息等。其中,进程信息采集项包括但不限于:进程ID、进程名、进程状态、父进程ID、进程优先级、进程nice值、进程CPU利用率、进程下的线程数、文件描述符总数、驻留内存大小、进程起始时间、CPU占比。
[0210] 文件系统相关指标,如,文件系统已使用比例、inode节点数、可用inode节点数、静态文件系统信息(硬盘设备名、路径、总共空间)、动态文件系统信息(使用空间、可用空间、使用百分比);
[0211] 进程信息相关指标,如,进程总数、Sleeping进程数、Running进程数、Zombie进程数、Stopped进程数、Idle进程数、线程总数等。
[0212] 此外,部分评估指标根据应用领域的不同而不同。例如,在专用网络中,指标还可包括但不限于相关设备和系统的违规文件操作、违规流转、违规发布、异常通信、违规存储、违规介质接入操作、审计日志;在天地一体化网络中,指标还可包括但不限于异常卫星终端入网信息、密码资源异常使用信息、联动控制效果反馈信息;在电子凭据服务系统中,指标还可包括但不限于电子凭据异常行为信息相关指标,所述电子凭据异常行为信息相关指标包括但不限于超限额/种类开具、重复/假发票报销、假系统连接、多次尝试口令。
[0213] 具体地,处置结果验证对象集合中的对象用于执行威胁处置策略,但对于每一个对象,可能存在执行成功或执行失败两种执行结果。可以理解的是,若处置结果验证对象集合中的所有对象对威胁处置策略均执行失败,即可判定该威胁处置策略未能用于对该威胁进行处置,因此,无需继续后续的操作;若处置结果验证对象集合中至少存在一个对威胁处置策略执行成功的对象,则可判定该威胁处置策略已被用于对该威胁进行处置,因此,继续后续的操作,以确定该威胁处置策略的威胁处置效果。
[0214] 例如,若处置结果验证对象集合中仅包括防火墙FW1和防火墙FW2,且,仅防火墙FW1对威胁处置策略执行成功,或者仅防火墙FW2对威胁处置策略执行成功,或者防火墙FW1和防火墙FW2均对威胁处置策略执行成功,则判定处置结果验证对象集合中至少存在一个对象的处置结果为成功,并继续后续的操作,以确定该威胁处置策略的威胁处置效果。
[0215] 进一步地,若处置结果验证对象集合中至少存在一个对象的处置结果为成功,则基于所述被攻击对象的指标贡献度表,确定贡献度满足指标选取条件的指标,以组成目标指标集合。其中,指标贡献度表用于记录可以判定对象是否异常的指标以及该指标对于对象异常性判定的贡献度,需要说明的是,若某一指标的贡献度越高,则该指标被选择用来判定对象的异常性的可能性也越高。
[0216] 进一步地,基于指标贡献度表,确定贡献度满足指标选取条件的指标,以组成目标指标集合。其中,指标选取条件包括但不限于:贡献度由高到低排名前几、贡献度为特定值、贡献度高于特定值等,本发明实施例对此不作具体限定。
[0217] 对于S33,具体地,威胁处置效果指的是威胁处置策略对于处置网络威胁的有效程度,反映了威胁处置策略被执行完毕前后,网络的安全状态的变化。当网络的安全状态越好时,相应地,威胁处置效果越好,反之,威胁处置效果越差。
[0218] 本发明实施例提供的方法,通过在安全设备执行威胁处置策略后,根据威胁情况、处置对象、处置策略的不同,动态选取不同的验证手段,从全局角度对联动对象的处置效果进行综合确定,从而确定威胁联动处置效果,可实现对威胁处置效果的有效确定,准确评估大规模网络的实际安全状态。
[0219] 在上述各实施例的基础上,S31,具体包括:
[0220] 确定所述被攻击对象到攻击者和/或外部网络的路径,以组成路径集合。
[0221] 具体地,攻击者指的是向目标网络发起攻击的攻击方,被攻击对象指的是目标网络中遭受攻击的受攻击方,被攻击对象对应有一个可信区,将可信区以外的网络称为该被攻击对象的外部网络。
[0222] 对于目标网络中的被攻击对象,确定该被攻击对象到攻击者和/或外部网络的路径,以组成路径集合。举个例子,图2为本发明实施例提供的一种网络结构拓扑图,如图2所示,网络中包括目标网络(域1与DMZ区)、攻击者和外部网络(域2)。目标网络中的被攻击对象为Web服务1与数据库服务器,Web服务1到攻击者只有一条路径:Web服务1经由Web服务1所在服务器、防火墙FW2、网关到达攻击者,为了方便描述,将其称为路径1;Web服务1到外部网络只有一条路径:Web服务1经由Web服务1所在服务器、防火墙FW1、交换机、隔离设备2到达域2,为了方便描述,将其称为路径2;数据库服务到攻击者只有一条路径:数据库服务所在服务器、隔离设备1、防火墙FW1、防火墙FW2、网关到达攻击者,为了方便描述,将其称为路径3;数据库服务到外部网络只有一条路径:数据库服务所在服务器、隔离设备1、防火墙FW1、隔离设备2到达域2,为了方便描述,将其称为路径4。因此,路径集合为{路径1,路径2,路径3,路径4}。
[0223] 判定所述路径集合中各路径所经由的对象中是否包含用于执行威胁处置策略的对象,并将不包含用于执行威胁处置策略的对象的路径从所述路径集合中剔除后,生成目标路径集合。
[0224] 具体地,对于目标网络中的被攻击对象,可通过处置指挥中心生成的威胁处置策略得知该被攻击对象的执行威胁处置策略的对象。因此,可判定路径集合中的各路径所经由的对象中是否包含用于执行威胁处置策略的对象。
[0225] 举个例子,如图2所示,若Web服务1和数据库服务遭两类拒绝服务攻击:SYN Flood和CC(Challenge Collapsar)攻击,威胁处置策略是:
[0226] 防火墙TCP连接数/SYN片段阈值设定:在防火墙FW2上设置在早8点到晚12点之间Web服务1的TCP连接上限,并设定每秒通过指定对象(在本例中即为Web服务1所在服务器)的SYN片段数的阈值;
[0227] 服务定时关闭:设定Web服务1在晚12点到次日早8点之间停止对外服务;
[0228] 服务定时禁止访问:在防火墙FW1上设定在晚12点到次日早8点之间禁止Web服务1访问数据库服务。
[0229] 因此,根据威胁处置策略可以得知,执行威胁处置策略的对象为:Web服务1所在的服务器、防火墙FW1和防火墙FW2。
[0230] 对于路径集合中的路径1,其经由的对象为Web服务1所在服务器、防火墙FW2、网关;对于路径2,其经由的对象为Web服务1所在服务器、防火墙FW1、隔离设备2;对于路径3,其经由的对象为防火墙FW1、交换机、防火墙FW2、网关;对于路径4,其经由的对象为数据库服务所在服务器、隔离设备1、防火墙FW1、防火墙FW2、网关。其中,路径1经由了用于执行威胁处置策略的Web服务1所在服务器和防火墙FW1;路径2经由了执行威胁处置策略的Web服务1所在的服务器;路径3经由了用于执行威胁处置策略的防火墙FW1;路径4经由了用于执行威胁处置策略的防火墙FW1;但是,由于在路径2和路径4中,执行威胁处置策略的设备的策略与相应路径上的其他设备无关,因此将该两条路径剔除,因此得到目标路径集合为{路径1,路径3},被剔除路径集合为{路径2,路径4}。
[0231] 对于所述目标路径集合中的路径,从所述路径所经由的用于执行威胁处置策略的对象中选取若干个对象作为所述路径的处置结果验证对象。
[0232] 具体地,对于路径1,将路径1所经由的Web服务1所在的服务器和防火墙FW2中的若干个作为路径1的处置结果验证对象;对于路径3,将路径3所经由的防火墙FW1和防火墙FW2中的若干个作为路径3的处置结果验证对象。
[0233] 将所述目标路径集合中各路径的处置结果验证对象进行组合,生成所述被攻击对象的处置结果验证对象集合。
[0234] 具体地,假如将路径1所经由的防火墙FW2作为路径1的处置结果验证对象;假如将路径3所经由的防火墙FW1作为路径3的处置结果验证对象,那么,处置结果验证对象集合为{FW1,FW2}。
[0235] 在上述各实施例的基础上,本发明实施例对处置结果验证对象的选取进行说明。即,从所述路径所经由的用于执行威胁处置策略的对象中选取若干个对象作为所述路径的处置结果验证对象,进一步包括:
[0236] 对于所述路径所经由的用于执行威胁处置策略的对象,根据对象的运行状态及对应的第一权重、负载情况及对应的第二权重、可信度及对应的第三权重中的任意一个或多个,选取若干个对象作为处置结果验证对象。
[0237] 具体地,对象的运行状态包括但不限于关闭、静默、异常和正常;对象的负载情况包括但不限于CPU、存储和网络带宽资源的使用情况,可以使用百分比表示;对象的可信度指候选对象的可信程度,可以用离散型的数据表示,可根据设备是否曾经遭受入侵等进行赋值。
[0238] 进一步地,根据对象的运行状态及对应的第一权重、负载情况及对应的第二权重、可信度及对应的第三权重中的任意一个或多个,选取若干个对象作为处置结果验证对象的方法包括但不限于以下方法:
[0239] 对于目标路径集合中的路径所经由的用于执行威胁处置策略的对象,将对象的运行状态、负载情况和可信度进行数值化。其中,将对象的运行状态、负载情况和可信度进行数值化是指:根据对象的运行状态的好坏,将对象的运行状态的数值化为0~1之间的数值;根据对象的负载情况的好坏,将对象的负载情况的数值化为0~1之间的数值;根据对象的可信度的好坏,将对象的可信度的数值化为0~1之间的数值。
[0240] 对于任一个对象,将该对象的数值化后的运行状态与对应的第一权重进行相乘,得到第一结果,将该对象的数值化后的负载情况与对应的第二权重进行相乘,得到第二结果,将该对象的数值化后的可信度与对应的第三权重进行相乘,得到第三结果。根据第一结果、第二结果和第三结果进行计算,得到该对象的计算结果值。
[0241] 获取所有对象中对象的计算结果值,将对象的计算结果值进行比较,将满足对象选取条件的对象作为处置结果验证对象。需要说明的是,对象选取条件包括但不限于:计算结果值最大、计算结果值次大、计算结果值为特定值、计算结果值高于特定值等。
[0242] 举个例子,以从路径3所经由的用于执行威胁处置策略的对象中选取若干个对象作为处置结果验证对象进行说明。路径3所经由的用于执行威胁处置策略的对象为Web服务1所在的服务器、防火墙FW1和防火墙FW2,其中:
[0243] Web服务1所在的服务器的运行状态、负载情况和可信度分别为:
[0244] 运行状态:正常运行,数值化后的运行状态均为1;
[0245] 负载情况:70%负荷运行,数值化后的负载情况为70%;
[0246] 可信度:70%可信,数值化后的可信度为70%;
[0247] 运行状态所占权重为0.2,负载情况所占权重为0.2,可信度所占权重为0.6。
[0248] 防火墙FW1所在的服务器的运行状态、负载情况和可信度分别为:
[0249] 运行状态:正常运行,数值化后的运行状态均为1;
[0250] 负载情况:75%负荷运行,数值化后的负载情况为75%;
[0251] 可信度:90%可信,数值化后的可信度为90%;
[0252] 运行状态所占权重为0.2,负载情况所占权重为0.2,可信度所占权重为0.6。
[0253] 防火墙FW2所在的服务器的运行状态、负载情况和可信度分别为:
[0254] 运行状态:正常运行,数值化后的运行状态均为1;
[0255] 负载情况:100%负荷运行,数值化后的负载情况为100%;
[0256] 可信度:99%可信,数值化后的可信度为99%;
[0257] 运行状态所占权重为0.2,负载情况所占权重为0.2,可信度所占权重为0.6。
[0258] 那么,路径3所经由的用于执行威胁处置策略的对象中对象的加权平均值为:
[0259] Web服务1所在服务器的加权平均值A(Web1)=1*0.2+(-70%)*0.2+(70%)*0.6=0.48;
[0260] FW1的加权平均值A(FW1)=1*0.2+(-75%)*0.2+(90%)*0.6=0.49;
[0261] FW2的加权平均值A(FW3)=1*0.2+(-100%)*0.2+(-99%)*0.6=0.594。
[0262] 若对象选取条件是加权平均值最大,那么,将防火墙FW2作为路径3的处置结果验证对象。
[0263] 在上述各实施例的基础上,若所述被攻击对象的处置结果验证对象集合中至少存在一个对象的处置结果为成功,则基于所述被攻击对象的指标贡献度表,确定贡献度满足指标选取条件的指标,之前还包括:
[0264] 对于所述被攻击对象的处置结果验证对象集合中的对象,确定对所述对象的处置结果的目标验证方式。
[0265] 具体地,若路径1的处置结果验证对象为防火墙FW2,路径3的处置结果验证对象为防火墙FW1,则处置结果验证对象集合为{FW1,FW2},对于处置结果验证对象集合中的对象,确定对该对象的处置结果的目标验证方式。
[0266] 需要说明的是,验证方式有多种,例如直接验证方式和间接验证方式,本实施例需要从多种验证方式中选取一种作为对象的处置结果的目标验证方式。其中,直接验证方式指验证方对攻击进行重现,但攻击强度低于真实攻击,持续时间短于真实攻击,并根据被攻击对象或执行威胁处置策略的对象对重现攻击的反馈情况进行结果判定的方式。间接验证方式指通过验证方发送常规类型但具验证能力的数据包(例如:验证网络可达性时,发送ping包),并根据被攻击对象或执行威胁处置策略的对象对验证数据包的反馈情况进行结果判定的方式。本发明实施例可从直接验证方式和间接验证方式中选择一种,作为对对象的处置结果的目标验证方式。所述攻击强度内容包括但不限于:攻击频率、攻击源数量、攻击流量大小中的任意一种或多种。
[0267] 根据所述目标验证方式对所述对象的处置结果进行验证,以确定所述对象的处置结果为成功或失败。
[0268] 具体地,对象的处置结果为成功指对象成功执行威胁处置策略,对象的处置结果为失败指对象执行威胁处置策略失败。
[0269] 在上述各实施例的基础上,S32,具体包括:
[0270] 对于所述路径所经由的用于执行威胁处置策略的对象,根据对象的运行状态及对应的第一权重、负载情况及对应的第二权重、可信度及对应的第三权重中的任意一个或多个,选取若干个对象作为处置结果验证对象。
[0271] 具体地,对象的运行状态包括但不限于关闭、静默、异常和正常;对象的负载情况包括但不限于CPU、存储和网络带宽资源的使用情况,可以使用百分比表示;对象的可信度指候选对象的可信程度,可以用离散型的数据表示,可根据设备是否曾经遭受入侵等进行赋值。
[0272] 进一步地,根据对象的运行状态及对应的第一权重、负载情况及对应的第二权重、可信度及对应的第三权重中的任意一个或多个,选取若干个对象作为处置结果验证对象的方法包括但不限于以下方法:
[0273] 对于目标路径集合中的路径所经由的用于执行威胁处置策略的对象,将对象的运行状态、负载情况和可信度进行数值化。其中,将对象的运行状态、负载情况和可信度进行数值化是指:根据对象的运行状态的好坏,将对象的运行状态数值化为0~1之间的数值;根据对象的负载情况的好坏,将对象的负载情况数值化为0~1之间的数值;根据对象的可信度的好坏,将对象的可信度数值化为0~1之间的数值。
[0274] 对于任一个对象,将该对象的数值化后的运行状态与对应的第一权重进行相乘,得到第一结果,将该对象的数值化后的负载情况与对应的第二权重进行相乘,得到第二结果,将该对象的数值化后的可信度与对应的第三权重进行相乘,得到第三结果。根据第一结果、第二结果和第三结果进行计算,得到该对象的计算结果值。
[0275] 获取所有对象中对象的计算结果值,将对象的计算结果值进行比较,将满足对象选取条件的对象作为处置结果验证对象。需要说明的是,对象选取条件包括但不限于:计算结果值最大、计算结果值次大、计算结果值为特定值、计算结果值高于特定值等。
[0276] 举个例子,以从路径3所经由的用于执行威胁处置策略的对象中选取若干个对象作为处置结果验证对象进行说明。路径3所经由的用于执行威胁处置策略的对象为Web服务1所在的服务器、防火墙FW1和防火墙FW2,其中:
[0277] Web服务1所在的服务器的运行状态、负载情况和可信度分别为:
[0278] 运行状态:正常运行,数值化后的运行状态均为1;
[0279] 负载情况:70%负荷运行,数值化后的负载情况为70%;
[0280] 可信度:70%可信,数值化后的可信度为70%;
[0281] 运行状态所占权重为0.2,负载情况所占权重为0.2,可信度所占权重为0.6。
[0282] 防火墙FW1所在的服务器的运行状态、负载情况和可信度分别为:
[0283] 运行状态:正常运行,数值化后的运行状态均为1;
[0284] 负载情况:75%负荷运行,数值化后的负载情况为75%;
[0285] 可信度:90%可信,数值化后的可信度为90%;
[0286] 运行状态所占权重为0.2,负载情况所占权重为0.2,可信度所占权重为0.6。
[0287] 防火墙FW2所在的服务器的运行状态、负载情况和可信度分别为:
[0288] 运行状态:正常运行,数值化后的运行状态均为1;
[0289] 负载情况:100%负荷运行,数值化后的负载情况为100%;
[0290] 可信度:99%可信,数值化后的可信度为99%;
[0291] 运行状态所占权重为0.2,负载情况所占权重为0.2,可信度所占权重为0.6。
[0292] 那么,路径3所经由的用于执行威胁处置策略的对象中对象的加权平均值为:
[0293] Web服务1所在服务器的加权平均值A(Web1)=1*0.2+(-70%)*0.2+(70%)*0.6=0.48;
[0294] FW1的加权平均值A(FW1)=1*0.2+(-75%)*0.2+(90%)*0.6=0.49;
[0295] FW2的加权平均值A(FW3)=1*0.2+(-100%)*0.2+(-99%)*0.6=0.594。
[0296] 若对象选取条件是加权平均值最大,那么,将防火墙FW2作为路径3的处置结果验证对象。
[0297] 在上述各实施例的基础上,S33,具体包括:
[0298] 确定对所述对象的处置结果进行验证的候选验证方式集合。
[0299] 具体地,对象的候选验证方式集合通常为{直接验证方式,间接验证方式},两种候选验证方式在上述实施例中已作详细说明,此处不再赘述。
[0300] 对于所述候选验证方式集合中的候选验证方式,根据用户验证需求、所述候选验证方式对所述对象的处置结果进行验证时对网络所造成的潜在损失、所述候选验证方式的验证成本和所述候选验证方式的历史有效性中的任意一个或多个,确定所述候选验证方式的评分。
[0301] 具体地,用户验证需求包括但不限于:验证成功的可能性。
[0302] 候选验证方式对象的处置结果进行验证时对网络所造成的潜在损失为:指若处置失败,采取该验证方式进行验证时给网络中对象所造成的损失(例如:当被攻击对象遭受SYN Flood攻击,但威胁处置策略无效,而验证方式为重现SYN Flood攻击使得被攻击对象“受损”)。
[0303] 候选验证方式的验证成本包括但不限于利用该验证方式进行验证时所需要的计算、存储和/或网络带宽资源开销,直接验证方式验证成本的影响因素包括:重现攻击的类型、强度和持续时间;间接验证方式验证成本的影响因素为验证方式的具体类型。
[0304] 候选验证方式的历史有效性为:在历史验证中,利用该验证方式对处置结果进行成功验证的次数与使用该验证方式进行验证的总验证次数的比例。
[0305] 当候选验证方式有多种时,可以采取成本权衡的方式,即同时考虑采取某一候选验证方式所带来的正向收益(用户需求满足度)和负向收益(同时考虑处置失败带来的潜在损失、采取某一候选验证方式所带来的验证成本),选取正向收益高于负向收益的候选验证方式,当有多种候选验证方式的正向收益都高于负向收益时,选取正向收益减去负向收益的差值最大的一个。不同候选验证方式的正向收益和负向收益可以预先静态赋予,也可根据对象的资源负载情况、验证方式的资源消耗等动态计算,对此不作限定。
[0306] 举个例子,以处置结果验证对象集合{FW1,FW2}中的防火墙FW1进行举例说明。对于防火墙FW1:
[0307] 用户验证需求为:80%;
[0308] 直接验证方式中:造成的潜在损失为0.9,验证成本为0.7,历史有效性为85%;
[0309] 间接验证方式中:造成的潜在损失为0.2,验证成本为0.1,历史有效性为90%。
[0310] 那么,对于防火墙FW1:
[0311] 直接验证方式的正向收益=历史有效性÷验证需求=85%÷80%=1.0625;
[0312] 直接验证方式的负向收益为=0.8*造成的潜在损失+0.2*验证成本=0.8*0.9+0.2*0.7=0.86;
[0313] 直接验证方式的正向收益和负向收益的差值=1.0625-0.86=0.2025;
[0314] 间接验证方式的正向收益=历史有效性÷验证需求=90%÷80%=1.125;
[0315] 间接验证方式的负向收益为=0.8*造成的潜在损失+0.2*验证成本=0.8*0.2+0.2*0.1=0.18;
[0316] 间接验证方式的正向收益和负向收益的差值=1.125-0.18=0.945;
[0317] 因此,将0.2025作为直接验证方式的评分,将0.945作为间接验证方式的评分。
[0318] 将所述选验证方式集合中候选验证方式的评分进行比较,将满足评分选取条件的候选验证方式,作为对所述对象的处置结果的目标验证方式。所述目标验证方式可以是直接验证方式,可以是间接验证方式,也可以是直接验证方式与间接验证方式的结合。
[0319] 具体地,评分选取条件可以为评分最大的、评分次大等,本发明实施例对此不作具体限定。若评分选取条件为评分最大,则将候选验证方式集合中的候选验证方式的评分进行比较,将最大的评分对应的候选验证方式作为对防火墙FW1的处置结果的目标验证方式。
[0320] 具体地,由于0.945大于0.2025,因此,将间接验证方式作为对防火墙FW1进行验证的目标验证方式。
[0321] 进一步地,通过目标验证方式对防火墙FW1的处置结果进行验证,以确定所述对象的处置结果为成功或失败。具体过程如下:
[0322] 通过目标验证方式对防火墙FW1进行判定,得到一个实际结果,将实际结果与预期结果进行对比,若实际结果与预期结果一致,则确定处置结果为成功,反之为处置失败。比如说发ping包的时候,预期结果是“ping的返回结果为目的主机不可达”,就看实际结果是不是真的返回了不可达的信息,还是可以ping通。如果ping不通(即返回目标主机不可达信息),说明处置结果为成功,继续后续的操作;若可以ping通,就说明处置失败。
[0323] 在上述各实施例的基础上,本发明实施例说明如何根据所述网络中被攻击对象的目标指标集合,确定所述威胁处置策略的威胁处置效果:
[0324] 对于所述网络中的被攻击对象,从候选效果计算方法集合中,选取一个候选效果计算方法,作为所述被攻击对象的目标效果计算方法。
[0325] 具体地,候选效果计算方法集合可以包括:加权平均法、层次分析法、模糊综合评价法、模糊层次分析法、贝叶斯网络、马尔可夫过程、Petri网、攻击图、D-S证据理论、灰关联分析、粗集理论、聚类分析等。
[0326] 基于所述目标效果计算方法,根据所述被攻击对象的目标指标集合,确定所述威胁处置策略对所述被攻击对象的威胁处置效果。
[0327] 举个例子,若目标效果计算方法为加权平均法,被攻击对象的目标指标集合包括:CPU利用率、网络带宽占用率、TCP连接数、服务响应时间和响应成功率,则确定目标指标的取值。
[0328] 若CPU利用率的取值为40%、网络带宽占用率的取值为35%、TCP连接数的取值为1300、服务响应时间的取值为0.1s、响应成功率的取值为95%,且CPU利用率取值为40%的评分为3,网络带宽占用率取值为35%的评分为3,TCP连接数的取值1300的评分为2,服务响应时间的取值0.1s的评分为4,响应成功率的取值的评分为4,各目标指标的权重均为0.2,则威胁处置效果值=0.2*(3+3+2+4+4)=3.2。根据评分,确定该威胁处置策略对该被攻击对象的威胁处置效果。
[0329] 根据所述威胁处置策略对所述网络中被攻击对象的威胁处置效果和/或重要程度,确定所述威胁处置策略的威胁处置效果。
[0330] 在上述各实施例的基础上,本发明实施例说明如何从候选效果计算方法集合中,选取一个候选效果计算方法,作为所述被攻击对象的目标效果计算方法:
[0331] 根据所述候选效果计算方法集合中候选效果计算方法的时间复杂度、空间复杂度、有效性中的任意一种或多种,选取满足效果计算方法选取条件的效果计算方法,作为所述被攻击对象的目标效果计算方法。
[0332] 具体地,效果计算方法选取条件可以为:时间复杂度最小、时间复杂度小于第一预设阈值、空间复杂度最小、空间复杂度小于第二预设阈值、有效性最高、有效性高于第三预设阈值、时间复杂度/空间复杂度/有效性三者中的任意多个的加权平均和最小或最大、在满足有效性预设值的前提下时间复杂度和/或空间复杂度尽可能小等。具体的选取方法可以通过直接比较法、多目标规划法等方式实现,对此不作限定。
[0333] 在上述各实施例的基础上,根据所述威胁处置策略对所述网络中被攻击对象的威胁处置效果和/或重要程度,确定所述威胁处置策略的威胁处置效果,进一步包括:
[0334] 对于网络中的任一个被攻击对象,将所述被攻击对象的威胁处置效果数值化,并将所述被攻击对象的重要程度数值化;
[0335] 根据数值化后的威胁处置效果和/或数值化后的重要程度,得到所述被攻击对象的相对处置效果值;所述得到所述被攻击对象处置效果值的方式包括但不限于:直接将所述数值化后的威胁处置效果作为被攻击对象的相对处置效果值、将所述数值化后的威胁处置效果与所述数值化后的重要程度相乘得到所述被攻击对象的相对处置效果值等。
[0336] 根据所述网络中被攻击对象的相对处置效果值,得到所述威胁处置策略的威胁处置效果值;所述得到威胁处置策略的威胁处置效果值的方式包括但不限于:将所述网络中被攻击对象的相对处置效果值相加。
[0337] 将所述威胁处置效果值与预设效果值等级进行匹配,以得到所述威胁处置策略的威胁处置效果。
[0338] 在上述各实施例的基础上,将所述威胁处置效果值与预设效果值等级进行匹配,以得到所述威胁处置策略的威胁处置效果,进一步包括:
[0339] 根据匹配结果,对威胁处置策略进行调整;
[0340] 和/或,
[0341] 在调整后的处置策略执行结束后,再次对威胁处置效果进行确定。
[0342] 具体地,若所述威胁处置效果满足预设条件,则保持威胁处置策略不变;若所述威胁处置效果不满足预设条件,则判断所述被剔除路径集合是否为空;若所述被剔除路径集合为空,则认为威胁处置策略未发挥作用,对威胁处置策略进行调整,和/或,更换或升级路径上的安全设备或系统;若所述被剔除路径集合非空,则认为未部署足够的威胁处置策略,在所述被剔除路径集合的路径上进一步部署威胁处置策略。所述预设条件包括但不限于:不低于预设效果值、高于预设效果值。
[0343] 可选地,在调整后的处置策略执行结束后,再次对威胁处置效果进行确定。
[0344] 可选地,在上述步骤之后,还可以执行以下步骤:
[0345] 将所述威胁处置效果反馈给威胁处置效果的接收方。
[0346] 所述威胁处置效果的接收方包括但不限于:本地处置指挥中心、上级处置指挥中心、本级处置指挥中心。
[0347] 图3本发明实施例提供的一种网络中的威胁处置管理系统的结构示意图,如图3示,该系统包括:
[0348] 威胁处置策略生成模块301根据报警信息和/或安全保障目标库,生成威胁处置策略;
[0349] 威胁处置策略分解模块302,根据网络拓扑结构、威胁特征、处置对象能力、安全保障目标分解映射关系、目标优先级、目标实现成本、可用资源中的任意一种或多种,对威胁处置策略进行分解,得到威胁处置子策略。
[0350] 本发明实施例提供的系统,具体执行上述各方法实施例流程,具体请详见上述各方法实施例的内容,此处不再赘述。本发明实施例提供的系统,通过在接收到威胁报警信息后,基于归一化描述的威胁处置策略实现对威胁处置策略的自动生成,完成威胁处置策略的自动分解与分发,使得不同处置区域围绕同一安全目标执行不同操作,实现各区域之间的协同,从而实现设备跨区域、跨管理级、跨类型的统一管控和全网威胁的统一、联动处置。
[0351] 图4本发明实施例提供的一种电子设备的实体结构示意图,如图4所示,该电子设备可以包括:处理器(processor)401、通信接口(Communications Interface)402、存储器(memory)403和通信总线404,其中,处理器401,通信接口402,存储器403通过通信总线404完成相互间的通信。处理器401可以调用存储在存储器403上并可在处理器401上运行的计算机程序,以执行上述各实施例提供的方法,例如包括:根据报警信息和/或安全保障目标库,生成威胁处置策略;根据网络拓扑结构、威胁特征、处置对象能力、安全保障目标分解映射关系、目标优先级、目标实现成本、可用资源中的任意一种或多种,对威胁处置策略进行分解,得到威胁处置子策略。
[0352] 此外,上述的存储器403中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
[0353] 本发明实施例还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各实施例提供的传输方法,例如包括:根据报警信息和/或安全保障目标库,生成威胁处置策略;根据网络拓扑结构、威胁特征、处置对象能力、安全保障目标分解映射关系、目标优先级、目标实现成本、可用资源中的任意一种或多种,对威胁处置策略进行分解,得到威胁处置子策略。
[0354] 以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
[0355] 通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
[0356] 图5为本发明实施例提供的一种处置指挥中心与处置对象之间的交互示意图,本图以单层为例对处置指挥中心与处置对象之间的交互过程进行说明。处置指挥中心将生成得到的威胁处置策略和/或分解得到的威胁处置子策略分发给处置对象,处置对象执行完威胁处置策略和/或威胁处置子策略后,向所述处置指挥中心反馈处置结果,处置指挥中心接收到所述处置结果后对威胁处置效果进行确定。
[0357] 图6为本发明实施例提供的一种处置指挥中心分层部署示意图。处置指挥中心可分层部署,部署层次可以为任意层,每一层可以有任意个处置指挥中心。处置指挥中心可以将生成得到的威胁处置策略和/或分解得到的威胁处置子策略同级/逐级/跨级分发给其他处置指挥中心,并接收其他处置指挥中心同级/逐级/跨级反馈的处置效果。适用于大规模异构互联网络的威胁处置。
[0358] 最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。