【技术实现步骤摘要】
一种面向信息网络安全的防御控制方法及系统
本专利技术属于网络安全管理领域,具体涉及一种面向信息网络安全的防御控制方法及系统。
技术介绍
互联网+时代给社会各个方面带来便捷的同时,网络安全威胁也随之而来,各类网络攻击也日益增多。金融、医疗、通信以及电力等重要网络的规模较为庞大,网络结构复杂,网络节点数据维度和数量不断增加.近年来,勒索病毒、DDok攻击、钓鱼邮件、木马、缓存区溢出等攻击依然是当前的主要安全攻击行为。当攻击者利用网络漏洞发动以获取目标主机权限的攻击时,防守者必须依据当前网络状态所暴露出的问题快速选择网络防御策略进行有效阻击,这里所说的网络防御策略是由一系列防御动作构成的集合,常用的方法有阻断连接、删除恶意代码、漏洞加固、权限恢复等.当承载大量应用服务的网络系统遭受入侵时如果仅选择切断互联网接入,那么意味着防守方中断了所有的业务,其业务损失代价会给机构带来严重后果,例如游戏、视频服务,或者云平台、集群服务等.因此,这就需要对于网络攻防过程进行精准的数据分析,并得出防护代价最小、防御效果最好的安全策略[3],使得在有限防御条件下尽量保障业务的连续性和可靠性。网络安全联合防御技术强调的是系统适应安全的能力。结合现有的网络安全技术,对网络安全事件准确响应,动态调整响应策略,确保关键数据的自动保护和恢复,最大可能地降低外来攻击造成的损失。网络系统从单纯的被动防护提升为攻防兼备的联合式防御,这在网络安全攻防的应用中具有实用价值。目前,国内外关注度较高的联合防御技术是入侵防御系统IPS,通过防火墙和入侵检测系统 ...
【技术保护点】
1.一种面向信息网络安全的防御控制方法,其特征在于,所述方法包括:/n采用已知攻击模式对预先采集的安全告警数据进行关联分析和序列挖掘,生成网络拓扑;/n结合网络拓扑,自动确定参与联动防御的网络安全设备;/n向选定的网络安全设备下发防御规则,以实现联动防御。/n
【技术特征摘要】
1.一种面向信息网络安全的防御控制方法,其特征在于,所述方法包括:
采用已知攻击模式对预先采集的安全告警数据进行关联分析和序列挖掘,生成网络拓扑;
结合网络拓扑,自动确定参与联动防御的网络安全设备;
向选定的网络安全设备下发防御规则,以实现联动防御。
2.如权利要求1所述的方法,其特征在于,所述预先采集安全告警数据包括:
在网络安全设备上部署监控装置;其中,
所述网络安全设备,包括防火墙、入侵检测系统、安全交互平台、逻辑强隔离装置和正反向隔离装置;
所述监控装置采用定时或事件触发机制,采用分布式部署方式采集安全设备产生的安全告警数据,并发送至智慧管理平台;
通过智慧管理平台对安全告警数据进行解密和解压缩后,获得明文数据;
对明文数据进行预处理,统一数据格式。
3.如权利要求2所述的方法,其特征在于,所述对明文数据进行预处理具体包括:
从明文数据中抽取源IP地址、源端口、目的IP地址、目的端口、告警时间、事件类别和安全告警数据内容;
根据抽取的安全告警数据内容和事件类别,定义最终规范类别;所述最终规范类别由操作人员预先制定,其方式包括漏洞扫描、未授权远程访问和权限提升;
采用关键字匹配方式,自动确定当前预处理的安全告警数据的时间类别,选择与该安全告警内容和事件类别关键字匹配度最高的类别作为最终规范类别;
将<源IP地址,源端口,目的IP地址,目的端口,告警时间,最终规范类别>作为一条安全告警记录存入数据库。
4.如权利要求1所述的方法,其特征在于,所述采用已知攻击模式对安全告警数据进行关联分析具体包括:
S101,输入已知攻击模式,构建与所述已知攻击模式相关联的规则层次结构;
S102,从数据库中逐条提取待分析的安全告警数据记录,并将记录中的规范类别与攻击步骤相对应,填充所述规则层次结构;
S103,对规则层次结构进行细粒度划分,获取攻击步骤关联集合。
5.权利要求4所述的方法,其特征在于,所述S101中,使用公开的网络攻击模式或者自定义的网络攻击模式作为已知攻击模式,将所述已知攻击模式相关的攻击步骤按照逻辑先后顺序排列,完成规则层次结构的构建;
所述S102包括,提取当前待分析的安全告警数据记录,若记录中的规范类别与攻击步骤类型相同,则将该条安全告警数据记录的<源IP地址,源端口,目的IP地址,目的端口,告警时间>信息加入所述规则的相应节点中;循环执行S102,直至分析完成所有安全告警数据记录。
6.如权利要求1所述的方法,其特征在于,所述采用已知攻击模式对...
【专利技术属性】
技术研发人员:魏长春,
申请(专利权)人:天津嘉恒达科技有限公司,
类型:发明
国别省市:天津;12
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。