本发明专利技术的目的是提供一种安全策略生成方法及设备,本申请提出一种自动建模方法,在实施初期,通过对实际业务操作的学习和分析,自动生成安全策略,然后本实施例还可以不断重复进行,即在业务系统运行过程中继续不断的学习和分析,自动识别出业务变化,动态更新安全策略。本申请可以适用于大多数基于安全策略机制的安全防护系统,从而精准的实现安全策略自动生成和自动演进,提升安全防护能力,减少维护成本,降低实施难度。
【技术实现步骤摘要】
本专利技术涉及计算机领域,尤其涉及一种安全策略生成方法及设备。
技术介绍
随着计算机系统应用越来越广泛,大量的关键数据及关键业务采用计算机系统进行管理和支撑,计算机系统安全问题日益严重和复杂化。现有的计算机安全系统保护机制,一般都是由管理员人工定义安全策略,人工判定哪些业务操作是合法的,予以放行,哪些是不合法的,予以阻断或告警。然后随着计算机系统本身以及其所支撑的业务系统日趋复杂,完全依靠人工判定的方法建立安全策略已经越来越困难,体现在:1.业务量巨大,管理员难以判断业务合法性,难以建立准确和细粒度的安全策略;2.业务系统在不断演进,旧的业务不断废弃,新的业务不断增加,原有安全策略会很快失效;3.大量的安全策略需要维护导致实施困难。
技术实现思路
本专利技术的一个目的是提供一种安全策略生成方法及设备,能够解决现有的人工判定的方法建立安全策略困难的问题。根据本专利技术的一个方面,提供了一种安全策略生成方法,该方法包括:抓取业务系统中的数据形成原始业务数据;对所述原始业务数据进行预处理,形成规范化业务数据;对所述规范化业务数据进行分析和学习,以抽取出有效要素值,并将所述有效要素值汇集成安全策略。进一步的,上述方法中,抓取业务系统中的数据的方式包括:直接读取、旁路监听、串行截取、模块注入的方式中的一种或任意组合。进一步的,上述方法中,对所述原始业务数据进行预处理的步骤之前,还包括:为每一个安全主体创建一个安全模型,在每个安全模型中为每一个安全要素创建一张统计表,表中每一行表示某个安全要素的某个实际取值及该实际取值实际发生的统计次数,统计次数初始化为零。进一步的,上述方法中,对所述原始业务数据进行预处理,形成规范化业务数据,包括:根据所述安全模型抽取出所述原始业务数据中所涉及到的安全主体的安全要素及安全要素的实际取值,形成规范化业务数据。进一步的,上述方法中,对所述规范化业务数据进行分析和学习,包括:根据所述规范化业务数据中的安全主体的安全要素及安全要素的实际取值,更新安全模型中相应的实际取值的统计次数,每个安全主体的安全要素的实际取值发生一次,则该安全主体的安全要素的实际取值的统计次数加一。进一步的,上述方法中,抽取出有效要素值,并将所述有效要素值汇集成安全策略,包括:扫描每个安全主体的安全模型,按照每个实际取值的统计次数从高到低进行排序,其中统计次数较高的实际取值标记为安全,将标记为安全的实际取值添加为安全策略,将统计次数的较低的实际取值标记为可疑。根据本专利技术的另一方面,还提供了一种安全策略生成设备,该设备包括:数据抓取模块,用于抓取业务系统中的数据形成原始业务数据;数据预处理模块,对所述原始业务数据进行预处理,形成规范化业务数据;学习和分析模块,对所述规范化业务数据进行分析和学习,以抽取出有效要素值,并将所述有效要素值汇集成安全策略。进一步的,上述设备中,所述数据抓取模块抓取业务系统中的数据的方式包括:直接读取、旁路监听、串行截取、模块注入的方式中的一种或任意组合。进一步的,上述设备中,所述设备还包括:创建模块,用于为每一个安全主体创建一个安全模型,在每个安全模型中为每一个安全要素创建一张统计表,表中每一行表示某个安全要素的某个实际取值及该实际取值实际发生的统计次数,统计次数初始化为零。进一步的,上述设备中,所述数据预处理模块包括:根据所述安全模型抽取出所述原始业务数据中所涉及到的安全主体的安全要素及安全要素的实际取值,形成规范化业务数据。进一步的,上述设备中,所述学习和分析模块,用于根据所述规范化业务数据中的安全主体的安全要素及安全要素的实际取值,更新安全模型中相应的实际取值的统计次数,每个安全主体的安全要素的实际取值发生一次,则该安全主体的安全要素的实际取值的统计次数加一。进一步的,上述设备中,所述学习和分析模块,用于扫描每个安全主体的安全模型,按照每个实际取值的统计次数从高到低进行排序,其中统计次数较高的实际取值标记为安全,将标记为安全的实际取值添加为安全策略,将统计次数的较低的实际取值标记为可疑。与现有技术相比,本申请提出一种自动建模方法,在实施初期,通过对实际业务操作的学习和分析,自动生成安全策略,然后本实施例还可以不断重复进行,即在业务系统运行过程中继续不断的学习和分析,自动识别出业务变化,动态更新安全策略。本申请可以适用于大多数基于安全策略机制的安全防护系统,从而精准的实现安全策略自动生成和自动演进,提升安全防护能力,减少维护成本,降低实施难度。附图说明通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本专利技术的其它特征、目的和优点将会变得更明显:图1示出本专利技术一实施例的安全模型示意图;图2示出本专利技术一具体的应用实例的流程图。附图中相同或相似的附图标记代表相同或相似的部件。具体实施方式下面结合附图对本专利技术作进一步详细描述。在本申请一个典型的配置中,终端、服务网络的设备和可信方均包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flashRAM)。内存是计算机可读介质的示例。计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括非暂存电脑可读媒体(transitory media),如调制的数据信号和载波。本申请提供一种安全策略生成方法,该方法包括:抓取业务系统中的数据形成原始业务数据;在此,原始业务数据记为RAW_BIZ;对所述原始业务数据进行预处理,形成规范化业务数据;对所述规范化业务数据进行分析和学习,以抽取出有效要素值,并将所述有效要素值汇集成安全策略。本实施例提出一种自动建模方法,在实
施初期,通过对实际业务操作的学习和分析,自动生成安全策略,然后本实施例还可以不断重复进行,即在业务系统运行过程中继续不断的学习和分析,自动识别出业务变化,动态更新安全策略。本申请可以适用于大多数基于安全策略机制的安全防护系统,从而精准的实现安全策略自动生成和自动演进,提升安全防护能力,减少维护成本,降低实施难度。本申请的安全策略生成方法一优选的实施例中,抓取业务系统中的数据的方式包括:直接读取、旁路监听、串行截取、模块注入的方式中的一种或任意组合。具体的,通过合适的方式,如接读取、旁路监听、串行截取、模块注入的方式中的一种或任意组合,可以更高效地抓取业务系统中的数据,得到原始业务数据RAW_BIZ。本申请的安全策略生成方法一优选的实施例中,对所述原始业务数据进行预处理的步骤之前,还包括:为每一个本文档来自技高网...
【技术保护点】
一种安全策略生成方法,其中,该方法包括:抓取业务系统中的数据形成原始业务数据;对所述原始业务数据进行预处理,形成规范化业务数据;对所述规范化业务数据进行分析和学习,以抽取出有效要素值,并将所述有效要素值汇集成安全策略。
【技术特征摘要】
1.一种安全策略生成方法,其中,该方法包括:抓取业务系统中的数据形成原始业务数据;对所述原始业务数据进行预处理,形成规范化业务数据;对所述规范化业务数据进行分析和学习,以抽取出有效要素值,并将所述有效要素值汇集成安全策略。2.根据权利要求1所述的方法,其中,抓取业务系统中的数据的方式包括:直接读取、旁路监听、串行截取、模块注入的方式中的一种或任意组合。3.根据权利要求1所述的方法,其中,对所述原始业务数据进行预处理的步骤之前,还包括:为每一个安全主体创建一个安全模型,在每个安全模型中为每一个安全要素创建一张统计表,表中每一行表示某个安全要素的某个实际取值及该实际取值实际发生的统计次数,统计次数初始化为零。4.根据权利要求3所述的方法,其中,对所述原始业务数据进行预处理,形成规范化业务数据,包括:根据所述安全模型抽取出所述原始业务数据中所涉及到的安全主体的安全要素及安全要素的实际取值,形成规范化业务数据。5.根据权利要求4所述的方法,其中,对所述规范化业务数据进行分析和学习,包括:根据所述规范化业务数据中的安全主体的安全要素及安全要素的实际取值,更新安全模型中相应的实际取值的统计次数,每个安全主体的安全要素的实际取值发生一次,则该安全主体的安全要素的实际取值的统计次数加一。6.根据权利要求5所述的方法,其中,抽取出有效要素值,并将所述有效要素值汇集成安全策略,包括:扫描每个安全主体的安全模型,按照每个实际取值的统计次数从高到低进行排序,其中统计次数较高的实际取值标记为安全,将标记为安全的实际取值添加为安全策略,将统计次数的较低的实际取...
【专利技术属性】
技术研发人员:王洪涛,刘军涛,战立岸,
申请(专利权)人:上海上讯信息技术股份有限公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。