一种用于自动改进网络系统(10)的安全的方法包括:从网络系统(10)的网络装置(14)收集安全相关信息(30'),安全相关信息(30')包括网络装置(14)的安全设定(32)和操作信息(34);分析安全相关信息(30'),以便确定网络装置(14)的弱安全设定(32'),弱安全设定(32')对于网络系统(10)的常规操作不是必要的;基于弱安全设定(32')来确定用于网络装置(14)的加固的安全设定(32''),加固的安全设定(32'')限制网络装置(14)的可能操作,但是允许网络系统(10)的常规操作;以及将加固的安全设定(32'')应用于网络装置(14)。
Reinforcement of automatic communication network system
【技术实现步骤摘要】
【国外来华专利技术】自动通信网络系统加固
本专利技术涉及通信网络系统的安全的领域。特别是本专利技术涉及用于自动改进网络系统的安全的方法、计算机程序和网络加固(hardening)系统。另外,本专利技术涉及网络系统。
技术介绍
当今几乎所有工业系统包括以通信方式与彼此互连并且与外部装置互连的许多计算装置。这样的网络系统的每个装置可具有安全设定,所述安全设定控制允许的操作以及与其他装置的允许的通信。然而,在安装之后,安全设定可能是不正确的或者仅被部分地设置。为了改进网络系统的安全,网络系统可被“加固”,这除了别的之外还可意指以下过程:评估安装的软件、运行的应用和进程以及用于外部接入的接入点,并且通过将安装的软件、进程和接入点限制到实行所要求的任务要求的绝对最小量来减少攻击表面。当前,网络系统通常在调试阶段期间被加固,并且对操作中的系统很少或没有执行加固。然而,在调试阶段中的手动加固过程可以是挑战性的和易出错的。此外,即使存在某种程度的自动化,但是被应用的规则可能是不正确的或者仅部分地可适用于给定网络系统,这在建立系统时可能难以检测。此外,可以的是,网络系统的部分能够在其寿命期间改变,例如可添加或更换装置,或者可修改一些装置的配置。初始加固可能不再是有效的,或者对改变的网络系统可能是不完整的。US2013/097706涉及移动装置的安全并且涉及使用仪器化沙箱和机器学习分类来评估移动应用安全的自动化应用分析。US7966659B1涉及用于配置防火墙的分布式学习方法。在学习模式期间从分布式源收集业务信息。该信息被转换为系统上下文,能够从系统上下文创建安全规则,并且能够将安全规则自动应用于防火墙。US2015/135265A1涉及自动网络防火墙策略确定。模板编译器能够从用户已经选取的商业工具来自动确定网络安全策略。防火墙能够监控业务,并且能够通过使网络安全更加严格来基于业务更新安全策略。
技术实现思路
本专利技术的目的是提供一种具有更高安全的网络系统。本专利技术的另外的目的是简化网络系统的加固。这些目的通过独立权利要求的主题来被实现。由从属权利要求和以下描述,另外的示例性实施例是显而易见的。本专利技术的方面涉及一种用于自动改进网络系统的安全的方法。网络系统可以是经由通信网络与彼此互连的计算装置的任何系统。下面可称作网络装置的计算装置可以是诸如路由器、交换机和防火墙之类的只支持网络系统中的通信的装置,和/或可以是诸如PC、服务器、控制器、智能电子装置、智能装置等与彼此通信的装置。在这里以及在下文中,术语“自动地”可描述方法可由计算装置在没有人类的直接干涉的情况下执行。例如,方法可由网络系统的一个或多个装置和/或由与网络系统互连的一个或多个装置执行。根据本专利技术的实施例,该方法包括:从网络系统的网络装置收集安全相关信息,安全相关信息包括网络装置的安全设定和操作信息。安全相关信息可以是与网络系统的安全方面关联的任何数据。例如,安全相关信息可存储在日志文件中,所述日志文件由进程在执行其任务时产生。作为另外的示例,安全相关信息可存储在配置文件中,所述配置文件用于配置一个或多个进程。在这里以及在下文中,进程可以是计算机程序或者计算机程序的部分,诸如在诸如网络装置之类的一个或多个计算装置中执行的功能或过程。安全相关信息可分为安全设定和操作信息。安全设定可对允许装置和/或进程做什么以及不允许装置和/或进程做什么进行编码。操作信息可对装置和/或进程实际做什么进行编码。例如,安全设定可对装置和/或进程可经由特定网络端口建立通信进行编码。对应的操作信息可以是装置和/或进程实际使用哪些端口。可连续和/或定期执行安全相关信息的收集。特别是,收集可在网络系统的操作期间被执行。还可以的是,通过网络系统的硬件改变和/或安装改变来触发该方法和/或安全相关信息的收集。在装置与网络系统互连或断开的任何时间,可触发该方法。此外,当网络装置中的软件安装改变时,可触发该方法。安全相关信息的收集可由一个或多个监控进程执行,所述监控进程可负责从网络系统的全部网络装置的当前系统信息的周期性收集。一个或多个监控进程可在一个或多个连网装置中被运行,例如一个或多个监控进程还可监控它们自身,和/或可在连接到网络系统的外部装置中被运行。根据本专利技术的实施例,该方法还包括:分析安全相关信息,以便从网络装置的所收集的安全设定确定弱安全设定。弱安全设定可以是对于网络系统的常规操作不必要的设定。弱安全设定可以是允许可以不是常规操作所需要的网络装置的操作的安全设定。例如,弱安全设定可允许不需要被运行的进程,和/或可允许不是系统的常规操作所需要的装置之间的通信。弱安全设定可被看作不是最优的和/或不是最大安全的安全设定。例如,可确定分析的结果是:连网装置仅经由特定端口的集合进行发送,但是全部端口被允许进行通信。因此,安全设定“全部端口”被允许可被看作是弱安全设定。作为另外的示例,分析可已经确定只有特定职能对于运行由连网装置执行的全部进程是必要的,但是更多职能被指配给连网装置。在这种情况下,对于运行进程不必要的职能可被看作是弱安全设定。可从所收集的操作信息确定网络系统的常规操作,即,用于确定弱安全设定的常规操作可以是根据操作信息的。例如,当操作信息指示端口在诸如一天或一周之类的特定时间段期间从未被使用时,可假定常规操作将从不使用这个端口。因此,允许经由这个端口进行通信的安全设定可被看作是弱的。安全相关信息的分析可由一个或多个分析进程执行,所述一个或多个分析进程可由协调进程来协调。例如,一旦已经收集新的安全相关信息和/或在已经经过了某段时间之后,一个或多个监控进程可指示协调器进程分析新的安全相关信息。例如,协调器进程可在计算装置中被执行,所述计算装置还存储用来确定弱安全设定的一个或多个分析进程。协调器进程可触发分析进程的执行,所述分析进程例如可在与协调器进程相同的计算装置或者一个或多个其他计算装置中被执行,所述一个或多个其他计算装置可以是网络系统的部分和/或可以是不需要与连网系统直接互连的外部装置。根据本专利技术的实施例,该方法还包括:基于弱安全设定来确定用于网络装置的加固的安全设定,加固的安全设定限制网络装置的可能操作,但是允许根据操作信息的网络系统的常规操作,其中加固的安全设定通过限制弱安全设定来被确定。加固的安全设定可被看作是受限制的安全设定和/或更安全的安全设定。可通过移除允许特定操作的安全设定和/或通过添加禁止特定操作的安全设定来限制安全设定。例如,网络装置的加固的安全设定可以是改进的安全设定(例如对初始是弱的设定的改进)以及使系统更安全的附加设定。继续上面的示例,加固的安全设定可以是其中网络端口被限制到只有用于发送数据的那些端口的安全设定。此外,加固的安全设定可以是限制到职能的安全设定,所述安全设定允许网络装置中已经执行过的全部进程而不是没有执行过的进程的执行。加固的安全设定的生成可由一个或多个生成器进程来执行,生成器进程可由协调器进程在对应分析进程结束时触发。还可以的是,生成器进程是对应分析进程的部分。一个或多个生成器进程可在与协调器进程相同的计算装置或者一个或多个其他计算装置中被执行,所述一个或多个其他计算装置可以是网络系统的部分和/或可以是不需要与连网系统直接互连的外部装置。根据本专利技术的实施例,该方法还包括:对网本文档来自技高网...
【技术保护点】
1.一种用于自动改进网络系统(10)的安全的方法,所述方法包括:从所述网络系统(10)的网络装置(14)收集安全相关信息(30'),所述安全相关信息(30')包括所述网络装置(14)的安全设定(32)和操作信息(34);分析所述安全相关信息(30'),以便从网络装置(14)的收集的安全设定(32)确定弱安全设定(32'),所述弱安全设定(32')根据所述操作信息(34)对于所述网络系统(10)的常规操作不是必要的;基于所述弱安全设定(32')来确定用于所述网络装置(14)的加固的安全设定(32''),所述加固的安全设定(32'')限制所述网络装置(14)的可能操作,但是允许根据所述操作信息(34)的所述网络系统(10)的常规操作,其中通过限制弱安全设定(32')来确定所述加固的安全设定(32'');将所述加固的安全设定(32'')应用于所述网络装置(14)。
【技术特征摘要】
【国外来华专利技术】2017.03.07 EP 17159599.41.一种用于自动改进网络系统(10)的安全的方法,所述方法包括:从所述网络系统(10)的网络装置(14)收集安全相关信息(30'),所述安全相关信息(30')包括所述网络装置(14)的安全设定(32)和操作信息(34);分析所述安全相关信息(30'),以便从网络装置(14)的收集的安全设定(32)确定弱安全设定(32'),所述弱安全设定(32')根据所述操作信息(34)对于所述网络系统(10)的常规操作不是必要的;基于所述弱安全设定(32')来确定用于所述网络装置(14)的加固的安全设定(32''),所述加固的安全设定(32'')限制所述网络装置(14)的可能操作,但是允许根据所述操作信息(34)的所述网络系统(10)的常规操作,其中通过限制弱安全设定(32')来确定所述加固的安全设定(32'');将所述加固的安全设定(32'')应用于所述网络装置(14)。2.如权利要求1所述的方法,进一步包括:将所述安全相关信息(30')永久地存储在至少一个存储装置(26)中,以便生成所述网络系统(10)的安全相关信息的历史。3.如权利要求2所述的方法,进一步包括:从先前存储的安全相关信息(30')确定所述网络系统(10)的常规行为(38);从所述常规行为(38)确定所述弱安全设定(32')。4.如权利要求2和3中的一项所述的方法,进一步包括:通过将实际收集的安全信息(30)与所述网络系统(10)的常规行为(38)和先前存储的安全相关信息(32')中的至少一个进行比较来确定所述网络系统(10)的非常规行为(40);通过将改变的安全设定(32'')应用于与所述非常规行为(40)关联的网络装置(14)来停止网络系统(10)的非常规行为(40)。5.如以上权利要求中的一项所述的方法,其中所述安全设定(32,32')包括下列中的至少一个:指配给用户和/或网络装置(14)的职能,职能的权限,防火墙规则,网络装置(14)的开启的/关闭的端口,网络装置(14)上的安装的和/或运行的进程。6.如以上权利要求中的一项所述的方法,其中所述操作信息(34)包括下列中的至少一个:网络装置(14)上的运行的进程,网络装置(14)上的进程的运行时间,网络装置(14)之间的网络业务。7.如以上权利要...
【专利技术属性】
技术研发人员:T西万蒂,T洛赫尔,
申请(专利权)人:ABB瑞士股份有限公司,
类型:发明
国别省市:瑞士,CH
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。