互联网边界安全策略脆弱性确定方法及装置
阅读:692发布:2020-05-12
专利汇可以提供互联网边界安全策略脆弱性确定方法及装置专利检索,专利查询,专利分析的服务。并且本 发明 提供了一种互联网边界安全策略脆弱性确定方法及装置,包括:获取目标互联网边界处的已开启的安全防护策略;根据已开启的安全防护策略和预先建立的安全防护策略库确定未开启的安全防护策略;根据未开启的安全防护策略和预先建立的攻击库建立目标互联网的攻击图模型;根据攻击图模型计算攻击成功实施的概率进而确定互联网边界安全策略脆弱性。本发明可以发现网络边界的残余 风 险,从而评估网络边界的安全态势,尽可能的保证网络的安全,降低攻击带来的损失。解决了现有的安全设备检测或配置核查工具只考虑单一的设备,无法对多种安全设备进行检测或核查,这使得对网络边界的安全评估不全面的问题。,下面是互联网边界安全策略脆弱性确定方法及装置专利的具体信息内容。
1.一种互联网边界安全策略脆弱性确定方法,其特征在于,所述的方法包括:
获取目标互联网边界处的已开启的安全防护策略;
根据已开启的安全防护策略和预先建立的安全防护策略库确定未开启的安全防护策略;
根据所述未开启的安全防护策略和预先建立的攻击库建立所述目标互联网的攻击图模型;
根据所述攻击图模型计算攻击成功实施的概率进而确定互联网边界安全策略脆弱性。
2.如权利要求1所述的互联网边界安全策略脆弱性确定方法,其特征在于,所述的方法还包括:
根据网络边界安全防护要求预先建立安全策略库。
3.如权利要求1所述的互联网边界安全策略脆弱性确定方法,其特征在于,所述的根据已开启的安全防护策略和预先建立的安全防护策略库确定未开启的安全防护策略包括:
获取已开启的安全防护策略的特征信息;
根据已开启的安全防护策略的特征信息和安全防护策略库中的安全防护策略的特征信息确定未开启的安全防护策略。
4.如权利要求3所述的互联网边界安全策略脆弱性确定方法,其特征在于,所述的特征信息包括:安全防护策略的名称、种类以及功能描述。
5.一种互联网边界安全策略脆弱性确定装置,其特征在于,所述的装置包括:
获取模块,用于获取目标互联网边界处的已开启的安全防护策略;
未开启策略确定模块,用于根据已开启的安全防护策略和预先建立的安全防护策略库确定未开启的安全防护策略;
攻击图模型建立模块,用于根据所述未开启的安全防护策略和预先建立的攻击库建立所述目标互联网的攻击图模型;
脆弱性确定模块,用于根据所述攻击图模型计算攻击成功实施的概率进而确定互联网边界安全策略脆弱性。
6.如权利要求5所述的互联网边界安全策略脆弱性确定装置,其特征在于,所述的装置还包括:
安全策略库建立模块,根据网络边界安全防护要求预先建立安全策略库。
7.如权利要求5所述的互联网边界安全策略脆弱性确定装置,其特征在于,所述的未开启策略确定模块包括:
特征信息获取单元,获取已开启的安全防护策略的特征信息;
匹配单元,根据已开启的安全防护策略的特征信息和安全防护策略库中的安全防护策略的特征信息确定未开启的安全防护策略。
8.如权利要求7所述的互联网边界安全策略脆弱性确定装置,其特征在于,所述的特征信息包括:安全防护策略的名称、种类以及功能描述。
9.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至4任一所述方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有执行权利要求1至4任一所述方法的计算机程序。
互联网边界安全策略脆弱性确定方法及装置
技术领域
[0001] 本发明涉及网络安全技术,具体的讲是一种互联网边界安全策略脆弱性确定方法及装置。
背景技术
[0002] 互联网边界作为企业信息外网与互联网之间的横向边界,其安全防护要求侧重点为准入认证、访问控制、恶意代码防护等,同时加强网络通道和终端安全措施。为了保障企业内部网络的安全,企业会在互联网边界处采取安全措施,最常见的方式是在网络边界处部署网络安全防护设备,如防火墙、入侵检测系统(IDS)、防病毒、Web应用防火墙(WAF)等,但是上线的安全防护设备的策略配置的合理性需要验证,若安全防护设备的策略没有开启或配置错误则无法起到应有的防护作用。因此,有必要确认网络安全防护设备配置策略的有效性,即是否真正降低了网络边界的脆弱性,抵御了威胁。根据网络边界安全性检测结果对有效的安全措施继续保持,对确认为不适当的安全措施应核实是否应被取消或对其进行修正。
[0003] 目前现有技术的网络边界安全检测方案中主要有网络安全设备配置核查和网络边界安全态势检测(预测)等。网络安全设备配置核查关注单个设备的脆弱性,如,某个安全扫描器,能够检测防火墙的配置策略,然后根据扫描结果给予风险描述和相应的修复建议,但无法检测如入侵检测系统等其他安全设备的有效性。网络边界安全态势检测(预测)则是根据网络设备、安全设备日志信息或流经边界的代码安全性进行数学建模从而对边界安全状况进行检测或预测。
[0004] 现有的安全配置核查工具只针对某一个单独的安全设备或者网络设备,无法对边界所部署的全部安全设备进行配置核查,或者对互联网边界所启用的所有安全策略进行分析,从而综合评估网络边界的整体安全。现有的网络边界安全态势检测(预测)方案中,未全面考虑到企业网络边界安全防护的实际情况,没有考虑企业已经采取的安全防护措施或开启的防护策略,进而不能根据已有的安全防护分析网络边界的脆弱点,发现网络边界的残余风险。并且,现有的网络边界安全态势检测(预测)方案中,未考虑到脆弱点之间的关联性和动态性,以及不同脆弱点相互关联有可能产生更大的安全威胁。
发明内容
[0005] 为了对部署在互联网边界处的安全防护设备有效性进行检测,综合评估互联网边界的安全态势。本发明提供一种互联网边界安全策略脆弱性确定方法,包括:
[0006] 获取目标互联网边界处的已开启的安全防护策略;
[0007] 根据已开启的安全防护策略和预先建立的安全防护策略库确定未开启的安全防护策略;
[0008] 根据所述未开启的安全防护策略和预先建立的攻击库建立所述目标互联网的攻击图模型;
[0009] 根据所述攻击图模型计算攻击成功实施的概率进而确定互联网边界安全策略脆弱性。
[0010] 本发明实施例中,所述的方法还包括:
[0011] 根据网络边界安全防护要求预先建立安全策略库。
[0012] 本发明实施例中,所述的根据已开启的安全防护策略和预先建立的安全防护策略库确定未开启的安全防护策略包括:
[0013] 获取已开启的安全防护策略的特征信息;
[0014] 根据已开启的安全防护策略的特征信息和安全防护策略库中的安全防护策略的特征信息确定未开启的安全防护策略。
[0015] 本发明实施例中,所述的特征信息包括:安全防护策略的名称、种类以及功能描述。
[0016] 同时,本发明还提供一种互联网边界安全策略脆弱性确定装置,包括:
[0017] 获取模块,用于获取目标互联网边界处的已开启的安全防护策略;
[0018] 未开启策略确定模块,用于根据已开启的安全防护策略和预先建立的安全防护策略库确定未开启的安全防护策略;
[0019] 攻击图模型建立模块,用于根据所述未开启的安全防护策略和预先建立的攻击库建立所述目标互联网的攻击图模型;
[0020] 脆弱性确定模块,用于根据所述攻击图模型计算攻击成功实施的概率进而确定互联网边界安全策略脆弱性。
[0021] 本发明实施例中,所述的装置还包括:
[0022] 安全策略库建立模块,根据网络边界安全防护要求预先建立安全策略库。
[0023] 本发明实施例中,所述的未开启策略确定模块包括:
[0024] 特征信息获取单元,获取已开启的安全防护策略的特征信息;
[0025] 匹配单元,根据已开启的安全防护策略的特征信息和安全防护策略库中的安全防护策略的特征信息确定未开启的安全防护策略。
[0026] 本发明可以在互联网边界处,实现对安全设备配置策略的有效性进行检测,发现网络边界的残余风险,从而评估网络边界的安全态势,尽可能的保证网络的安全,降低攻击带来的损失。解决了现有的安全设备检测或配置核查工具只考虑单一的设备,无法对多种安全设备进行检测或核查,这使得对网络边界的安全评估不全面的问题。
附图说明
[0028] 为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0029] 图1为本发明公开的互联网边界安全策略脆弱性确定方法的流程图;
[0030] 图2为本发明实施例中互联网边界安全策略脆弱性确定装置的框图;
[0031] 图3为本发明实施例中互联网边界安全策略脆弱性确定装置的框图。
具体实施方式
[0032] 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0033] 本发明提供一种互联网边界安全策略脆弱性确定方法,如图1所示,该方法包括:
[0034] 步骤S101,获取目标互联网边界处的已开启的安全防护策略;
[0035] 步骤S102,根据已开启的安全防护策略和预先建立的安全防护策略库确定未开启的安全防护策略;
[0036] 本发明实施例中,根据网络边界安全防护要求预先建立安全策略库;
[0037] 步骤S103,根据未开启的安全防护策略和预先建立的攻击库建立目标互联网的攻击图模型;
[0038] 步骤S104,根据攻击图模型计算攻击成功实施的概率进而确定互联网边界安全策略脆弱性。
[0039] 本发明一实施方式中,步骤S102中,根据已开启的安全防护策略和预先建立的安全防护策略库确定未开启的安全防护策略包括:
[0040] 获取已开启的安全防护策略的特征信息;其中,特征信息包括:安全防护策略的名称、种类以及功能描述。
[0041] 根据已开启的安全防护策略的特征信息和安全防护策略库中的安全防护策略的特征信息确定未开启的安全防护策略。
[0042] 本发明一实施例中,其具体步骤包括:
[0043] 第一步:确认已有的安全措施;确定信息外网与互联网边界部署的安全防护设备,确认安全防护设备已开启的防护策略,如防火墙、防病毒已开启的安全策略。确认的信息包括已有安全措施名称、类型、功能描述及实施效果等,由于安全防护设备类别不同,这些数据的格式存在差异,故此需要对安全防护设备策略数据进行解析和处理,使数据更加直观,便于分析、归类和使用。
[0044] 第二步:建立攻击库;根据常见的网络攻击,包括sql注入攻击、跨站脚本攻击、Dos攻击等,识别威胁属性,提取成功发起网络攻击的要素点,建立网络攻击库。攻击库包括威胁名称、种类、来源、成功实施要素等信息。
[0045] 第三步:建立安全策略库;根据网络边界安全防护要求,梳理出互联网边界应启用的具体安全防护策略,根据安全防护策略集预先建立安全防护策略库。安全防护策略库包括策略名称、种类、功能描述等信息。
[0046] 第四步:匹配特征;将提取到的互联网边界处所部署的安全防护设备中开启的安全策略数据与安全策略库中的策略进行信息匹配,从而明确互联网边界已具有的安全防护策略以及未开启的安全防护策略。本发明实施例中,策略库在建立的时候,会提取每一条安全防护策略的特征信息,包括策略名称,种类,功能描述等信息。同样,在提取已开启的防护策略时也会使用同样的方法提取这些策略的特征值。当策略的特征值完全相同,则代表匹配成功。
[0047] 第五步:模拟攻击;模拟发起攻击,根据上述步骤中攻击信息、未开启的安全防护策略,分析各种攻击是否能够实施。本发明采用贝叶斯网算法构造互联网边界攻击图模型。攻击图模型可模拟攻击者利用现有的网络边界脆弱点或各个脆弱点之间的联系可实施的各种攻击并计算其成功实施的概率,进而识别整个互联网边界的脆弱点以及脆弱点之间相互关联产生的潜在威胁。
[0048] 网络边界防护缺少的安全防护策略即存在安全防护漏洞,查找攻击库信息得到利用以上安全漏洞可能发起的攻击行为。然后通过建立的攻击图模型计算这些攻击可能成功实施的概率,当概率值高于一定阈值时则代表该攻击可以实施。
[0049] 第六步:脆弱性评估。根据模拟攻击测试结果,评估互联网边界安全性,并根据脆弱点给予相应的安全防护建议。一种网络攻击的成功概率越大,则表明互联网边界此点的安全威胁越大,需要加强此方面的安全防护。
[0050] 以下通过更加具体的实施例说明本发明提供的互联网边界安全防护脆弱性分析方法的具体实施。
[0051] 常见的攻击手段里,拒绝服务攻击(Dos)是最主要也是最常见的,在拒绝服务攻击中,又以SYN Flood(洪水攻击)最为有名。SYN Flood利用TCP协议在设计上的缺陷,通过特定方式发送大量的TCP请求,从而导致受攻击方服务器的系统崩溃。以互联网边界防范SYN Flood攻击能力举例说明。
[0052] 首先,根据常见的网络攻击类型建立攻击库,根据安全防护要求建立安全策略库。假设检测到互联网边界处部署了防火墙、IPS设备。提取以上安全防护设备启用策略并将策略数据进行加工处理,与安全策略库中防范SYN Flood攻击对应策略进行匹配,假设未检测到防火墙配置拒绝外界客户端不断发送SYN+ACK报文类策略,检测到IPS已启用TCP泛洪攻击过滤规则(如ttl-check、同一源IP的SYN报文数等)、隔离入侵IP、禁用被攻击对象的特定端口和服务、隔离被攻击对象,告警被攻击者、断开危险连接策略。由此,根据防火墙和IPS配置的策略,建立攻击图模型计算SYN Flood攻击成功入侵到企业信息外网的概率,当概率值高于一定阈值时表明网络边界对防护SYN Flood攻击能力较差,需要加强此处的安全防范措施。当概率值低于一定阈值时则表明当前网络边界安全防护措施基本可以防范SYN Flood攻击。
[0053] 同时,本发明还公开一种互联网边界安全策略脆弱性确定装置,如图2所示,为本发明公开的互联网边界安全策略脆弱性确定装置的框图,包括:
[0054] 获取模块201,用于获取目标互联网边界处的已开启的安全防护策略;
[0055] 未开启策略确定模块202,用于根据已开启的安全防护策略和预先建立的安全防护策略库确定未开启的安全防护策略;
[0056] 攻击图模型建立模块203,用于根据未开启的安全防护策略和预先建立的攻击库建立目标互联网的攻击图模型;
[0057] 脆弱性确定模块204,用于根据攻击图模型计算攻击成功实施的概率进而确定互联网边界安全策略脆弱性。
[0058] 本发明实施例中,如图3所示,装置还包括:
[0059] 安全策略库建立模块205,根据网络边界安全防护要求预先建立安全策略库。
[0060] 本发明实施例中,未开启策略确定模块202包括:
[0061] 特征信息获取单元,获取已开启的安全防护策略的特征信息;
[0062] 匹配单元,根据已开启的安全防护策略的特征信息和安全防护策略库中的安全防护策略的特征信息确定未开启的安全防护策略。
[0064] 另外,本发明还公开一种计算机可读存储介质,计算机可读存储介质存储有执行前述的互联网边界安全策略脆弱性确定方法的计算机程序。
[0065] 本发明的方案通过本方法检测企业互联网边界处安全防护设备配置策略的有效性来评估网络边界的安全性,发现网络边界的脆弱点,提出改进意见,从而提高互联网与信息外网边界处的安全性。本发明采用模拟攻击,考虑到脆弱点之间的关联性和动态性,因此网络边界安全评估结果更加准确。
[0066] 本发明在计算评估互联网边界安全时,根据网络边界处已部署的安全防护设备以及各设备未开启的安全策略检测网络边界整体脆弱点。分析在现有安全防护策略下模拟攻击者能实施的攻击,建立攻击图模型,计算各攻击成功的概率。
[0067] 本发明计算评估互联网边界安全时,将网络边界处已部署的安全防护设备以及各设备开启的安全策略有效性考虑进去。计算在现有安全防护策略下各攻击成功实施的概率,发现网络边界安全防护的脆弱点。
[0068] 以下通过实施例说明本发明提供的互联网边界安全防护脆弱性分析方法的具体实施。常见的攻击手段里,拒绝服务攻击(Dos)是最主要也是最常见的,在拒绝服务攻击中,又以SYN Flood(洪水攻击)最为有名。SYN Flood利用TCP协议在设计上的缺陷,通过特定方式发送大量的TCP请求,从而导致受攻击方服务器的系统崩溃。以互联网边界防范SYN Flood攻击能力举例说明。首先,根据常见的网络攻击类型建立攻击库,根据安全防护要求建立安全策略库。假设检测到互联网边界处部署了防火墙、IPS设备。提取以上安全防护设备启用策略并将策略数据进行加工处理,与安全策略库中防范SYN Flood攻击对应策略进行匹配,假设未检测到防火墙配置拒绝外界客户端不断发送SYN+ACK报文类策略,检测到IPS已启用TCP泛洪攻击过滤规则(如ttl-check、同一源IP的SYN报文数等)、隔离入侵IP、禁用被攻击对象的特定端口和服务、隔离被攻击对象,告警被攻击者、断开危险连接策略。由此,根据防火墙和IPS配置的策略,建立攻击图模型计算SYN Flood攻击成功入侵到企业信息外网的概率,当概率值高于一定阈值时表明网络边界对防护SYN Flood攻击能力较差,需要加强此处的安全防范措施。当概率值低于一定阈值时则表明当前网络边界安全防护措施基本可以防范SYN Flood攻击。
[0069] 本发明的方案通过本方法检测企业互联网边界处安全防护设备配置策略的有效性来评估网络边界的安全性,发现网络边界的脆弱点,提出改进意见,从而提高互联网与信息外网边界处的安全性。并且,本发明采用模拟攻击,考虑到脆弱点之间的关联性和动态性,因此网络边界安全评估结果更加准确。
[0070] 本发明在计算评估互联网边界安全时,根据网络边界处已部署的安全防护设备以及各设备未开启的安全策略检测网络边界整体脆弱点。分析在现有安全防护策略下模拟攻击者能实施的攻击,建立攻击图模型,计算在现有安全防护策略下各攻击成功实施的概率,发现网络边界安全防护的脆弱点。
[0071] 本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
[0072] 本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
[0073] 这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
[0074] 这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
[0075] 本发明中应用了具体实施例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
| 标题 | 发布/更新时间 | 阅读量 |
|---|---|---|
| 标识计算设备上的安全边界 | 2020-05-11 | 535 |
| 一种获取纸币安全线边界的方法及装置 | 2020-05-13 | 157 |
| 一种组播安全管理方法及组播边界控制设备 | 2020-05-13 | 369 |
| 电力系统静态电压安全域边界的快速搜索方法 | 2020-05-12 | 307 |
| 一种配电网安全边界数量快速确定方法 | 2020-05-13 | 361 |
| 安全边界管理系统及其管理方法 | 2020-05-12 | 860 |
| 一种具有安全边界检测功能的防走失体感手环 | 2020-05-13 | 405 |
| 一种获取纸币安全线边界的方法及装置 | 2020-05-13 | 636 |
| 不中断服务地横跨安全边界移动主体 | 2020-05-11 | 563 |
| 不中断服务地横跨安全边界移动主体 | 2020-05-11 | 277 |
高效检索全球专利专利汇是专利免费检索,专利查询,专利分析-国家发明专利查询检索分析平台,是提供专利分析,专利查询,专利检索等数据服务功能的知识产权数据服务商。
我们的产品包含105个国家的1.26亿组数据,免费查、免费专利分析。
分析报告
专利汇分析报告产品可以对行业情报数据进行梳理分析,涉及维度包括行业专利基本状况分析、地域分析、技术分析、发明人分析、申请人分析、专利权人分析、失效分析、核心专利分析、法律分析、研发重点分析、企业专利处境分析、技术处境分析、专利寿命分析、企业定位分析、引证分析等超过60个分析角度,系统通过AI智能系统对图表进行解读,只需1分钟,一键生成行业专利分析报告。
QQ群二维码
意见反馈
意见反馈