基于微隔离和环境感知的动态防护方法、系统技术方案

本公开实施例公开了一种基于微隔离和环境感知的动态防护方法、系统，其中方法包括：采集终端的初始全方位信息；基于该信息对终端进行风险评估，获得对应的独立风险评估结果；对终端进行多层级分组，获得其多层级分组信息；基于该独立风险评估结果、多层级分组信息获取终端的综合风险评估结果，对终端实时进行内网流量的动态管控、信息采集资源的动态调整；通过本申请，可实时进行各终端、多个联动终端的风险评估，实现实时的单终端资源占用变更和相关多终端策略联动，实时监控终端异常的设置，可及时触发执行管控以及内网流量的精准管控，实现网络安全的高效动态防护，提高网络安全等级。级。级。

【技术实现步骤摘要】
基于微隔离和环境感知的动态防护方法、系统


[0001]本公开涉及网络安全维护
，尤其涉及一种基于微隔离和环境感知的动态防护方法、系统。

技术介绍

[0002]由于云计算存储等虚拟化技术的出现，企业级网络安全相关领域出现了新的安全问题；大量流通的数据在虚拟化网络环境中通过虚拟交换机转发，网络安全边界的愈发模糊；数量庞大的网络资产和复杂的网络通讯也为企业安全即时管控带来了巨大压力。
[0003]一方面，传统的基于网络固定边界的指定防护方案在完善内外网络环境管控上还能起到一定的作用，但是在内部网络互相传输数据的管理上，难以实现应有的作用。现有微隔离技术中，主要依赖对网络数据的监控及反馈，如僵木蠕毒等威胁情报及其衍生的相关情报，但忽略了内部终端本身的威胁情况，没有实现完整的内部流量的管控。同时，由于威胁情报等信息的滞后性，当发现新的威胁信息时，该威胁对应的主体可能已经在内部网络扩散开，而该种隐性威胁一般不会被纳入考量。
[0004]另一方面，通过环境感知等终端信息搜集及管控系统，在理论上可以实现对所有种类的终端的管控，同时监控所有终端的全部详细信息，但是对单台终端的底层进行全面监控是对终端或虚拟资源的极大浪费。

技术实现思路

[0005]有鉴于此，本公开实施例提供了一种基于微隔离和环境感知的动态防护方法、系统，能够实时进行各终端、多个联动终端的风险评估，实现实时的单终端资源占用变更和相关多终端策略联动，实时监控终端异常的设置，可及时触发执行管控以及内网流量的精准管控，实现网络安全的高效动态防护，提高网络安全等级。
[0006]第一方面，本公开实施例提供了一种基于微隔离和环境感知的动态防护方法，具体包括如下步骤：
[0007]采集终端的初始全方位信息；
[0008]基于所述初始全方位信息对所述终端进行风险评估，获得对应的独立风险评估结果；
[0009]对所述终端进行多层级分组，获得所述终端的多层级分组信息；
[0010]基于所述独立风险评估结果以及所述多层级分组信息获取终端的综合风险评估结果；
[0011]基于所述综合风险评估结果下发动态管控指令、动态采集指令，以对终端进行内网流量的动态管控、信息采集资源的动态调整。
[0012]可选地，所述初始全方位信息包括物理信息、硬件信息、恶意信息、安全配置信息、漏洞信息、系统关键对象信息、浏览器信息、行为信息、网络信息、系统账户信息和系统环境信息。
[0013]可选地，所述独立风险评估结果包括物理信息评估结果Q
i1
、硬件信息评估结果Q
i2
、恶意信息评估结果Q
i3
、安全配置信息评估结果Q
i4
、漏洞信息评估结果Q
i5
、系统对象信息评估结果Q
i6
、浏览器信息评估结果Q
i7
、行为信息评估结果Q
i8
、网络信息评估结果Q
i9
、系统账户信息评估结果Q
i10
、系统环境信息评估结果Q
i11
和初始总评估结果Q
i
；
[0014]Q
i
＝Q
i1
+Q
i2
+Q
i3
+Q
i4
+Q
i5
+Q
i6
+Q
i7
+Q
i8
+Q
i9
+Q
i10
+Q
i11
；
[0015]i∈[1，n]，n为终端数量。
[0016]可选地，所述多层级分组具体包括以下步骤：
[0017]采用聚类算法对底层中的n个终端进行分组，获得第一层级，所述第一层级包括A1个一级终端，每个所述一级终端包括a1个终端，1＜a1＜A；
[0018]判断所述第一层级中的A1个一级终端之间是否存在内网连接，若存在，则继续分组；若不存在，则结束分组；
[0019]当第M+1层级中的A
M+1
个M+1级终端之间不存在内网连接时，停止分组；其中，单个所述M+1级终端包括a
M+1
个M级终端；
[0020]0＜a
M+1
＜M；1≤M。
[0021]可选地，所述综合风险评估结果为M
i
：
[0022][0023]D
ji
为第j个终端与第i个终端之间的距离，0＜D
ji
＜1；
[0024]1≤j≤n；j<i<n。
[0025]可选地，所述动态管控指令包括第一管控指令、第二管控指令以及第三管控指令；
[0026]所述第二管控指令的管控等级高于所述第一管控指令的管控等级；所述第三管控指令的管控等级高于所述第二管控指令的管控等级。
[0027]可选地，所述动态管控为触发执行模块；
[0028]所述执行模块包括第一管控模块、第二管控模块和第三管控模块；
[0029]当M
i
∈[0.3M0,0.5M0]时，触发所述第一管控模块执行第一管控指令；
[0030]当M
i
∈(0.5M0,0.8M0)时，触发所述第二管控模块执行第二管控指令；
[0031]当M
i
∈[0.8M0,∞)时，触发所述第三管控模块执行第三管控指令；
[0032]其中，M0为预设评估阈值。
[0033]可选地，当M
i
∈(0.5M0+nk,0.5M0+(n+1)k)，断绝该终端第m
‑
n层级与同层级的其它分组中终端的内网连接；
[0034]n∈[0,m
‑
1]；
[0035]k＝0.3M0/m，m是多层级分组的层级数。
[0036]可选地，所述第一管控指令为设备报警；
[0037]所述第二管控指令为网络隔离；
[0038]所述第三管控指令为系统锁定。
[0039]可选地，所述动态采集指令为触发信息采集模块组进行对应信息的采集；
[0040]所述信息采集模块组包括物理信息模块、硬件信息模块、恶意信息模块、安全配置信息模块、漏洞信息模块、系统关键对象信息模块、浏览器信息模块、行为信息模块、网络信息模块、系统账户信息模块和系统环境信息模块。
[0041]可选地，所述信息采集资源的动态调整包括资源占比P
i
的动态调整和数据采集倾斜度St
i
的动态调整；
[0042]所述资源占比P
i
的动态调整具体为：
[0043]当M
i
∈[0.3M0,0.5M0]时，P
i
＝1.5P0；
[0044]当M
i
∈(0.5M0,0.8M0)时本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于微隔离和环境感知的动态防护方法，其特征在于，该方法包括以下步骤：采集终端的初始全方位信息；基于所述初始全方位信息对所述终端进行风险评估，获得对应的独立风险评估结果；对所述终端进行多层级分组，获得所述终端的多层级分组信息；基于所述独立风险评估结果以及所述多层级分组信息获取所述终端的综合风险评估结果；基于所述综合风险评估结果下发动态管控指令、动态采集指令，以对所述终端进行内网流量的动态管控、信息采集资源的动态调整。2.根据权利要求1所述的基于微隔离和环境感知的动态防护方法，其特征在于，所述初始全方位信息包括物理信息、硬件信息、恶意信息、安全配置信息、漏洞信息、系统关键对象信息、浏览器信息、行为信息、网络信息、系统账户信息和系统环境信息中的一项或者多项。3.根据权利要求2所述的基于微隔离和环境感知的动态防护方法，其特征在于，所述独立风险评估结果包括物理信息评估结果Q
i1
、硬件信息评估结果Q
i2
、恶意信息评估结果Q
i3
、安全配置信息评估结果Q
i4
、漏洞信息评估结果Q
i5
、系统对象信息评估结果Q
i6
、浏览器信息评估结果Q
i7
、行为信息评估结果Q
i8
、网络信息评估结果Q
i9
、系统账户信息评估结果Q
i10
、系统环境信息评估结果Q
i11
和初始总评估结果Q
i
；Q
i
＝Q
i1
+Q
i2
+Q
i3
+Q
i4
+Q
i5
+Q
i6
+Q
i7
+Q
i8
+Q
i9
+Q
i10
+Q
i11
；i∈[1，n]，n为终端数量。4.根据权利要求3所述的基于微隔离和环境感知的动态防护方法，其特征在于，所述多层级分组具体包括以下步骤：采用聚类算法对底层中的n个所述终端进行分组，获得第一层级；所述第一层级包括A1个一级终端，每个所述一级终端包括a1个终端，1＜a1＜A；判断所述第一层级中的A1个一级终端之间是否存在内网连接，若存在，则继续分组；若不存在，则结束分组；当第M+1层级中的A
M+1
个M+1级终端之间不存在内网连接时，停止分组；其中，单个所述M+1级终端包括a
M+1
个M级终端；0＜a
M+1
＜M；1≤M。5.根据权利要求4所述的基于微隔离和环境感知的动态防护方法，其特征在于，所述综合风险评估结果为M
i
：D
ji
为第j个终端与第i个终端之间的距离，0＜D
ji
＜1；1≤j≤n；j＜i＜n。6.根据权利要求5所述的基于微隔离和环境感知的动态防护方法，其特征在于，所述动态管控指令包括第一管控指令、第二管控指令以及第三管控指令；所述第二管控指令的管控等级高于所述第一管控指令的管控等级；所述第三管控指令的管控等级高于所述第二管控指令的管控等级；所述动态采集指令为触发信息采集模块组进行对应信息的采集，所述信息采集模块组包括物理信息模块、硬件信息模块、恶意信息模块、安全配置信息模块、漏洞信息模块、系统
关键对象信息模块、浏览器信息模块、行为信息模块、网络信息模块、系统账户信息模块和系统环境信息模块；所述动态管控为触发执行模块；所述执行模块包括第一管控模块、第二管控模块和第三管控模块；当M
i
∈[0.3M0，0.5M0]时，触发所述第一管控模块执行第一管控指令；当M
i
∈(0.5M0，0.8M0)时，触发所述第二管控模块执行第二管控指令；当M
i
∈[0.8M0，∞)时，触发所述第三管控模块执行第三管控指令；其中，M0为预设评估阈值；所述第一管控指令为设备报警；所述第二管控指令为网络隔离；所述第三管控指令为系统锁定。7.根据权利要求6所述的基于微隔离和环境感知的动态防护方法，其特征在于，所...

【专利技术属性】
技术研发人员：林皓，阚佳男，
申请(专利权)人：北京北信源软件股份有限公司，
类型：发明
国别省市：