一种基于容器的智能网络安全功能管理方法及系统技术方案

本发明专利技术公开了一种基于容器的智能网络安全功能管理方法及系统，所述方法包括：通过初始配置流程，完成智能网络安全功能管理的冷启动；在面临潜在的安全风险时，通过安全等级提升进行协同防护；在较长时间未发现潜在的安全风险时，进行安全等级解除。本发明专利技术支持安全能力动态更新、快速部署、全局协同、开销可控的设计模式与实现系统，能够实现安全资源在全局系统内的流动和配置，达到安全功能的动态定义和重构，进而实现安全风险与安全感知、安全感知与安全决策、安全决策与安全响应等环节的有效配合和衔接，实现安全软硬件设备能力从单点防御、局部防御到整体防御的跃升，最大化安全资源的效用。

A Container-based Security Function Management Method and System for Intelligent Networks

【技术实现步骤摘要】
一种基于容器的智能网络安全功能管理方法及系统
本专利技术涉及网络安全
，尤其是一种基于容器的智能网络安全功能管理方法及系统。
技术介绍
网络空间已经全方位渗透至国家政治、经济和文化等领域，以及社会、公众的运行和生活之中。由于网络空间包含着巨大的能量和利益，因而也成为新时期攻击者的重点关注目标。攻击者的恶意手段变化多端、更新迅速、破坏力强，对网络、计算机和信息系统构成了极大威胁，基于防火墙、入侵检测、安全审计等传统安全机制已经难以保证网络空间的安全。原因在于：一是网络安全防御的能力静态固化。信息系统的安全防护能力来自于安装在网络、终端等重要部位的安全软硬件。这些软硬件在设计时即具备安全功能并内嵌在系统中，经过部署和调试配置开通使用，实现相应的防护效果。通常情况下部署的安全软硬件由于网络隔离、配置复杂、策略冲突、自我保护等原因无法得到持续的升级与安全策略维护，因而功能一直保持为起初部署时的状态，难以对抗技术手段日益丰富的网络攻击行为。二是局部安全功能与整体安全能力脱节。单个安全设备通常功能单一，往往只能在网络中实现单点防护，不同的软硬件手段分别负责威胁检测、流量过滤、策略判决、行为管理、数据加密等功能，彼此间缺乏联系与协同，难以实现从发现、识别、决策到处置的完整防护流程，在局部安全功能与整体达到的安全能力间存在较大脱节，甚至还会产生“1+1＜2”的防护能力冲突现象。三是检测和响应速度不能满足安全处置要求。在当前的“边缘-中心”式安全架构中，在用户网络中部署的安全软硬件设备由于数据关联分析、攻击深度挖掘能力薄弱，通常以上报方式将安全事件统一交由云端分析，再接收云端的判决和调控完成安全策略的下达的响应，但由于通信和处理存在一定的时延，难以满足高吞吐和实时处理要求条件下的响应速度要求。网络安全功能管理是构建于单一网络安全软硬件之上的安全能力高层管理、分配和协调机制。不同的网络安全功能管理架构在组成、结构、运行上都表现出差异化的特点，其形态、模式和特征决定了网络安全功能管理的有效性，较有代表性的网络安全功能管理模式如早期的单点防御、静态防御，2010年左右出现的纵深防御、协同防御，以及近年来提出的动态防御、弹性防御等。随着网络空间安全风险逐步激化，用户对网络安全功能管理的需求也越来越高，对管理体系的敏捷性，组件的交互性、流程的可配置性、顶层的可管理性提出了迫切的要求。
技术实现思路
本专利技术所要解决的技术问题是：针对上述存在的问题，提供一种基于容器的智能网络安全功能管理方法及系统。本专利技术采用的技术方案如下：一种基于容器的智能网络安全功能管理方法，包括：通过初始配置流程，完成智能网络安全功能管理的冷启动；在面临潜在的安全风险时，通过安全等级提升进行协同防护；在较长时间未发现潜在的安全风险时，进行安全等级解除。进一步地，所述初始配置流程包括以下步骤：a、分别安装安全决策中心、决策规则库、容器镜像库、安全事件库，将决策规则库、容器镜像库、安全事件库中的安全决策中心IP正确配置；b、在安全决策中心内，配置网络环境中相关终端设备的地址、端口和型号；c、初始化镜像库，在线下载防火墙、入侵检测、主机监控和蜜罐四类载荷的最新代码，并使用典型配置封装为源镜像；d、初始化安全事件库，清除所有事件标志；e、初始化决策规则库，配置默认防护规则；f、启动安全决策中心，安全决策中心自动连接至网络环境中的相关终端设备，下发防火墙载荷；g、相关终端设备接收到防火墙载荷，在容器环境中加载并运行，开启安全事件监听；h、相关终端设备将生成的安全事件提交到安全事件库。进一步地，所述安全等级提升包括以下步骤：a、当终端设备遭受网络攻击或执行异常操作，生成可疑安全事件并提交到安全事件库；b、安全事件库接收到可疑安全事件，经过预处理，将其划分为可能涉及攻击的事件类型；c、安全决策中心扫描所有可能涉及攻击的事件类型，调用决策规则库进行疑似攻击行为匹配；d、决策规则库的匹配过程中，命中了若干条攻击规则，决策规则库的规则服务将这些攻击规则发送至安全决策中心；e、安全决策中心提取出攻击规则的后件，将其传输至容器镜像库；f、容器镜像库按照攻击规则的后件的要求，基于源镜像生成新的镜像载荷；g、容器镜像库中的镜像服务将新的镜像载荷发送至安全决策中心；h、安全决策中心将网络环境安全等级上调；i、安全决策中心将新的镜像载荷发送至上报可疑安全事件的终端设备，以及同类型的终端设备；j、新的镜像载荷在终端设备上安装和运行。进一步地，所述安全等级解除包括以下步骤：a、较长时间内未发生新增可疑安全事件，决策规则库中的安全等级解除规则被触发；b、安全决策中心扫描到新触发的安全等级解除规则，提取出安全等级解除规则的后件，将其传输至容器镜像库；c、容器镜像库按照安全等级解除规则的后件的要求，基于源镜像生成新的镜像载荷；d、容器镜像库中的镜像服务将新的镜像载荷发送至安全决策中心；e、安全决策中心将网络环境安全等级下调；f、安全决策中心将新的镜像载荷发送至相关的终端设备；g、新的镜像载荷在终端设备上安装和运行。一种基于容器的智能网络安全功能管理系统，包括：安全决策中心、决策规则库、容器镜像库、安全事件库和终端设备；所述安全决策中心与决策规则库、容器镜像库、安全事件库和终端设备进行通信。进一步地，所述安全决策中心，包括：事件分析组件，用于从安全事件库中读取安全事件，并通过计算完成对网络环境中安全状态和安全风险的分析、解读和量化；规则推理组件，用于从决策规则库中读取决策规则，通过将安全事件分析结果与规则生效条件进行匹配计算，筛选出当前情况下适用并触发的规则实例；镜像生成组件，用于接收规则推理组件筛选得到的规则实例，读取实例中用于指导下一步操作的行为模板，并将模板中的相关参数发送至容器镜像库以生成镜像。交互与转发接口组件负责与决策规则库、容器镜像库、安全事件库以及终端设备之间的格式化通信。进一步地，所述容器镜像库，包括：镜像源组件，用于存储可用于生成组合镜像的基本安全功能代码；镜像生成组件，用于将镜像源组件中存储的基本安全功能代码通过指定配置打包为镜像；镜像管理组件，用于新增、查看、修改、删除当前容器镜像库中的源镜像或生成的镜像；镜像服务组件，用于在安全决策中心的指令下，将指定生成的镜像推送到终端设备。进一步地，所述安全事件库，包括：事件接收组件，用于接收和采集来自终端设备上报的安全事件，并将所有接收到的数据暂存；事件预处理组件，用于按照接收到安全事件的具体格式的内容进行分类和格式化；事件管理组件，用于查看、修改、删除当前安全事件库中的所有安全事件；事件服务组件，用于在安全决策中心的指令下，将特定类型、特定时间段、特定源、特定目标或符合特定组合条件规则的事件发送至安全决策中心，供其分析和决策使用。进一步地，所述决策规则库，包括：规则设置组件，用于通过手工或自动化导入方式新建规则；规则管理组件，用于查看、修改、删除当前决策规则库中的所有规则；规则学习组件，用于从安全事件中自动提取规则；规则服务组件，用于在安全决策中心的指令下，将特定类型、特定前件、特定优先级或符合特定组合条件的规则发送至安全决策中心，供其分析和决策使用。进一步地，所述终端设备可接收从安全决策中心下发的容器镜像，并进行安装和运行本文档来自技高网...

【技术保护点】
1.一种基于容器的智能网络安全功能管理方法，其特征在于，包括：通过初始配置流程，完成智能网络安全功能管理的冷启动；在面临潜在的安全风险时，通过安全等级提升进行协同防护；在较长时间未发现潜在的安全风险时，进行安全等级解除。

【技术特征摘要】
1.一种基于容器的智能网络安全功能管理方法，其特征在于，包括：通过初始配置流程，完成智能网络安全功能管理的冷启动；在面临潜在的安全风险时，通过安全等级提升进行协同防护；在较长时间未发现潜在的安全风险时，进行安全等级解除。2.如权利要求1所述的基于容器的智能网络安全功能管理方法，其特征在于，所述初始配置流程包括以下步骤：a、分别安装安全决策中心、决策规则库、容器镜像库、安全事件库，将决策规则库、容器镜像库、安全事件库中的安全决策中心IP正确配置；b、在安全决策中心内，配置网络环境中相关终端设备的地址、端口和型号；c、初始化镜像库，在线下载防火墙、入侵检测、主机监控和蜜罐四类载荷的最新代码，并使用典型配置封装为源镜像；d、初始化安全事件库，清除所有事件标志；e、初始化决策规则库，配置默认防护规则；f、启动安全决策中心，安全决策中心自动连接至网络环境中的相关终端设备，下发防火墙载荷；g、相关终端设备接收到防火墙载荷，在容器环境中加载并运行，开启安全事件监听；h、相关终端设备将生成的安全事件提交到安全事件库。3.如权利要求1所述的基于容器的智能网络安全功能管理方法，其特征在于，所述安全等级提升包括以下步骤：a、当终端设备遭受网络攻击或执行异常操作，生成可疑安全事件并提交到安全事件库；b、安全事件库接收到可疑安全事件，经过预处理，将其划分为可能涉及攻击的事件类型；c、安全决策中心扫描所有可能涉及攻击的事件类型，调用决策规则库进行疑似攻击行为匹配；d、决策规则库的匹配过程中，命中了若干条攻击规则，决策规则库的规则服务将这些攻击规则发送至安全决策中心；e、安全决策中心提取出攻击规则的后件，将其传输至容器镜像库；f、容器镜像库按照攻击规则的后件的要求，基于源镜像生成新的镜像载荷；g、容器镜像库中的镜像服务将新的镜像载荷发送至安全决策中心；h、安全决策中心将网络环境安全等级上调；i、安全决策中心将新的镜像载荷发送至上报可疑安全事件的终端设备，以及同类型的终端设备；j、新的镜像载荷在终端设备上安装和运行。4.如权利要求1所述的基于容器的智能网络安全功能管理方法，其特征在于，所述安全等级解除包括以下步骤：a、较长时间内未发生新增可疑安全事件，决策规则库中的安全等级解除规则被触发；b、安全决策中心扫描到新触发的安全等级解除规则，提取出安全等级解除规则的后件，将其传输至容器镜像库；c、容器镜像库按照安全等级解除规则的后件的要求，基于源镜像生成新的镜像载荷；d、容器镜像库中的镜像服务将新的镜像载荷发送至安全决策中心；e、安全决策中心将网络环境安全等级下调；f、安全决策中心将新的镜像载...

【专利技术属性】
技术研发人员：陈剑锋，刘杰，孙治，杨慧，饶志宏，和达，
申请(专利权)人：中国电子科技网络信息安全有限公司，
类型：发明
国别省市：四川,51