本申请实施例提供了一种网络安全防护方法,该方法可以周期性获取目标网络的网络信息,根据目标网络的网络信息预测攻击者可能采取的攻击手段,并动态部署安全防护策略。由于在不同的采集时间点,所采集的目标网络的状态信息可能不同,相应的所得到目标攻击手段也不同,进一步地,部署的安全防护策略也不同。换言之,利用本方案,可以动态的基于目标网络的网络信息,部署安全防护策略,例如动态蜜罐,从而有效保护网络安全。有效保护网络安全。有效保护网络安全。
【技术实现步骤摘要】
一种网络安全防护方法及装置
[0001]本申请涉及网络安全领域,尤其涉及一种网络安全防护方法及装置。
技术介绍
[0002]随着网络技术的发展,互联网(internet)实现了全球范围内数以亿计的主机(host)的互联互通,网络服务也已经渗透到生产和生活的方方面面。但是,随之而来的网络安全问题也日益突出,攻击者例如网络黑客可以通过对网络进行攻击,来影响网络服务的正常运行。
[0003]因此,如何保证网络安全,是目前亟待解决的问题。
技术实现思路
[0004]本申请实施例提供了一种网络安全防护方法及装置,可以有效提升网络安全。
[0005]第一方面,本申请实施例提供了一种网络安全防护方法,该方法可以由控制管理实体执行。在一个示例中,为了提升目标网络的网络安全,控制管理实体可以周期性获取目标网络的网络信息,并根据获取到的所述网络信息确定所述目标网络在当前状态下的目标攻击路径。此处提及的目标攻击路径,用于实现攻击目标。也就是说,所述目标攻击路径是达到攻击目标攻击者有可能采取的攻击路径。控制管理实体确定所述目标攻击路径之后,可以根据所述目标攻击路径动态部署安全防护策略。由此可见,利用本申请实施例的方法,控制管理实体可以根据目标网络的网络信息,预测攻击者可能对目标网络采取的攻击手段,并动态部署对应的安全防护策略,从而有效防止网络攻击,以提升目标网络的网络安全。作为一个示例,控制管理实体可以在目标网络内动态调整蜜罐的安全防护策略,从而引导攻击者攻击蜜罐,从而减少攻击者对目标网络中的通信装置的攻击,以提升目标网络的网络安全。由于在不同的采集时间点,所采集的目标网络的状态信息可能不同,相应的所得到目标攻击手段也不同,进一步地,部署的安全防护策略也不同。因此,利用本方案,可以动态的基于目标网络的网络信息,部署安全防护策略,从而有效保护网络安全。
[0006]在一种可能的实现方式中,考虑到攻击者一般会利用该网络的漏洞和/或该网络开放的端口信息对网络进行攻击。因此,所述目标网络的网络信息,可以包括目标网络的漏洞信息和/或目标网络开放的端口信息。控制管理实体获取到所述漏洞信息和开放的端口信息之后,可以根据所获取到的漏洞信息和开放的端口信息,确定目标攻击路径。
[0007]在一种可能的实现方式中,考虑到对于攻击者而言,其能够获得的与目标网络相关的信息越多,越有利于其对目标网络进行分析,从而确定攻击行为。因此,所述目标网络的网络信息,除了包括签署漏洞信息和/或开放的端口信息之外,还可以包括其它信息。一方面,目标网络的告警信息在一定程度上也能暴露目标网络的脆弱点,攻击者可以利用告警信息来确定攻击行为,因此,所述目标网络的网络信息,还可以包括告警信息。另一个方面,对于目标网络而言,若攻击者获得了目标网络的拓扑信息以及目标网络的设备配置信息,则攻击者也可以利用所述拓扑信息和设备配置信息,针对性的对所述目标网络进行精
准攻击,因此,所述目标网络的网络信息,还可以包括所述目标网络的设备配置信息和/或拓扑信息。
[0008]在一种可能的实现方式中,由于对于当前状态下的目标网络而言,若要实现攻击目标,攻击者所能采取的攻击路径可能不止一个。因此,控制管理设备获取目标网络的网络信息之后,可以根据获取到的网络信息,确定第一攻击路径集合,第一攻击路径集合是能够实现所述攻击目标的多个攻击路径的集合。确定所述第一攻击路径集合之后,可以从所述第一攻击路径集合中选择所述目标攻击路径。在一个示例中,可以根据所述网络信息对攻击者能够实施的攻击路径进行遍历,以得到所述第一攻击路径集合。在又一个示例中,可以根据目标网络的网络信息,得到目标网络的第一攻击图,并进一步根据第一攻击图得到所述第一攻击路径集合。
[0009]在一种可能的实现方式中,可以从所述第一攻击路径集合中随机选择一个或者多个攻击路径作为所述目标攻击路径。
[0010]在一种可能的实现方式中,考虑到虽然所述第一攻击路径集合中的所有攻击路径均能够实现所述攻击目标,但是各个攻击路径对应的攻击代价可能并不相同。而攻击者在对网络进行攻击时,往往更加倾向于采用较小的攻击代价实现攻击目标。因此,可以从所述第一攻击路径集合中选择出一个或者多个攻击代价较小的攻击路径作为所述目标攻击路径。可以理解的是,对于所述第一攻击路径集合中的攻击路径而言,攻击者采用攻击代价最小的攻击路径对目标网络进行攻击的可能性最大,因此,在一个示例中,所述目标攻击路径可以是所述第一攻击路径集合中对应攻击代价最小的攻击路径。其中,所述第一攻击路径集合中对应攻击代价最小的攻击路径,也可以被称为最优攻击路径。
[0011]在一种可能的实现方式中,根据所述目标攻击路径动态部署安全防护策略在具体实现时,可以根据所述目标攻击路径,在目标网络内动态调整蜜罐的安全防护策略,从而使得蜜罐能够引诱更多的攻击流量,从而达到保护目标网络的目的。
[0012]在一种可能的实现方式中,若所述目标网络中已经部署有蜜罐,则可以对该已有蜜罐的安全防护策略进行调整。在另一些实施例中,还可以在所述目标网络中新增蜜罐。例如,目标网络中原本没有部署蜜罐,则可以新增蜜罐以引诱攻击流量;又如,目标网络中原本虽然已经部署蜜罐,但是已有蜜罐的安全防护策略不适合进行调整,故而可以新增蜜罐以引诱攻击流量。
[0013]在一种可能的实现方式中,控制管理实体根据获取到的网络信息确定目标攻击路径在具体实现时,可以首先根据获取到的所述网络信息,得到目标网络的第一攻击图。所述第一攻击图可以体现目标网络的各个漏洞之间的关联关系、以及能够达到攻击目标的攻击路径。因此,得到所述第一攻击图之后,可以利用所述第一攻击图得到所述目标攻击路径。
[0014]在一种可能的实现方式中,考虑到若计算目标攻击路径的攻击图中存在的信息可能会比较多,则会导致根据该攻击图计算所述目标攻击路径的计算量较大。为了降低计算所述目标攻击路径的计算量。可以首先根据所述获取到的所述网络信息,得到目标网络的第二攻击图,而后,去除所述第二攻击图中的冗余信息,得到第一攻击图。可以理解的是,所述第一攻击图与第二攻击图相比,数据量更少,但是却保留了第二攻击图中的有效信息。采用这种方式,可以有效减少计算所述目标攻击路径的计算量。
[0015]在一种可能的实现方式中,所述目标攻击路径可以为前述第一攻击路径集合中对
应攻击代价较小的一个或者多个攻击路径。在一个示例中,为确定所述目标攻击路径,可以结合特定的算法或者模型和所述第一攻击图,得到所述目标攻击路径。其中,前述特点的算法可以确定第一攻击路径集合中各攻击路径的攻击代价。
[0016]在一种可能的实现方式中,可以利用多臂赌博机模型和所述第一攻击图得到所述目标攻击路径。其中,多臂赌博机模型对应的是强化学习中的单步强化学习任务,基于多臂赌博机模型能够确定对应攻击代价较小的攻击路径。在一个示例中,根据多臂赌博机模型和所述第一攻击图,确定目标网络的目标攻击路径在具体实现时,可以根据目标网络的当前状态(即:第一状态)、达成攻击目标时目标网本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种网络安全防护方法,其特征在于,由控制管理实体执行,所述方法包括:周期性的获取目标网络的网络信息;根据获取到的所述网络信息确定所述目标网络在当前状态下的目标攻击路径,所述目标攻击路径用于实现攻击目标;根据所述目标攻击路径动态部署安全防护策略。2.根据权利要求1所述的方法,其特征在于,所述目标网络的网络信息,包括以下一项或者多项:漏洞信息和开放的端口信息。3.根据权利要求2所述的方法,其特征在于,所述目标网络的网络信息,还包括以下任意一项或者多项:告警信息、设备配置信息和拓扑信息。4.根据权利要求1
‑
3任意一项所述的方法,其特征在于,所述目标攻击路径为实现攻击目标的最优攻击路径。5.根据权利要求1
‑
4任意一项所述的方法,其特征在于,所述根据所述目标攻击路径动态部署安全防护策略,包括:根据所述目标攻击路径,在目标网络内动态调整蜜罐的安全防护策略。6.根据权利要求5所述的方法,其特征在于,所述在目标网络内动态调整蜜罐的安全防护策略,包括:在所述目标网络中新增蜜罐,或者,对所述目标网络中已有的蜜罐的安全防护策略进行调整。7.根据权利要求1
‑
4任意一项所述的方法,其特征在于,根据所述目标攻击路径动态部署安全防护策略,包括:在防火墙上部署针对所述目标攻击路径对应的攻击流量的防护策略。8.根据权利要求1
‑
7任意一项所述的方法,其特征在于,所述根据获取到的所述网络信息确定所述目标网络在当前状态下的目标攻击路径,包括:根据所述网络信息,确定第一攻击路径集合,所述第一攻击路径集合中的所有攻击路径均能达到所述攻击目标;从所述第一攻击路径集合中选择所述目标攻击路径。9.根据权利要求1
‑
7任意一项所述的方法,其特征在于,根据获取到的所述网络信息确定所述目标网络在当前状态下的目标攻击路径,包...
【专利技术属性】
技术研发人员:杨冰涛,莫楠,桂照斌,白琳,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。