本发明专利技术涉及根据攻击适配信息系统基础设施的安全策略的方法,包括:-将潜在攻击及其相关风险存储到数据储存库中(126);-将响应于潜在攻击的有疗效安全策略存储到数据储存库中(128);-监控(101)代表信息系统数据流的输入内容;-检测(129)信息系统中的至少一个攻击;-评估所检测至少一个攻击的成功概率参数(132)及其相关成本影响参数(136);-响应于所检测至少一个攻击及其相关成本影响参数而评估至少一个有疗效安全策略的激活影响参数;-根据所检测至少一个攻击的成功概率参数、至少一个有疗效安全策略的激活影响参数以及所检测至少一个攻击和至少一个有疗效安全策略二者的成本影响参数,判定激活或去激活(134)有疗效的安全策略。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及信息系统保护领域,并且具体地涉及根据信息系统所经受的或正在经受的攻击来管理安全策略。
技术介绍
信息系统基础设施需要受到保护以免于有害的攻击,该攻击会导致恶意事件,例如数据失窃或蠕虫等等。由于由具有大型信息系统基础设施的现有攻击检测系统所生成的潜在告警数目,操作员实时评估攻击的风险并且判定响应于该攻击而要实施的适当响应变得不可行。因此,在保护电信和信息基础设施方面开始考虑正式定义的操作安全策略的自动部署。图1示出了现有技术中的这种自动保护的例子。第一步骤101对应于检测对受监控的信息系统的攻击,这导致创建基本告警(102)。告警关联因而被处理(103)以定义被发送给策略实例化引擎(105)以激活合适的安全规则(106)的关联告警(104)。这些规则被发送至生成被用来配置策略执行点(109)的配置脚本(108)的策略判决点(107)。所述策略执行点(109)位于信息系统1中并且响应于检测到的攻击而应用安全规则。这种安全策略激活配置存在缺陷。实际上,它只基于关联告警并且关联告警的数目可能达到非常大的数目(在大型系统的情况下在一天内达到几千个),这会导致几千次安全策略激活。此外,在现有技术的配置中没有将所述安全策略的去激活考虑在内以使得安全策略可以保持激活,即使它对信息系统1的用户的影响比攻击的影响更大。
技术实现思路
本专利技术的一个目的因而是克服上述现有技术缺陷并且提供一种通过考虑影响激活判定的多个参数并且通过定义一种允许在必要时去激活安全策略的方法来仅当必要时动态触发安全策略激活的方法。这是通过一种用于根据攻击来适配信息系统基础设施的安全策略的方法来实现的,其中,该方法包括下列步骤:-将潜在攻击及其相关风险存储到数据储存库中;-将响应于所述潜在攻击的有疗效的安全策略存储到数据储存库中;-监控代表所述信息系统的数据流的输入内容;-检测所述信息系统中的至少一个攻击;-评估检测到的所述至少一个攻击的成功概率参数及其相关的成本影响参数;-响应于检测到的所述至少一个攻击及其相关成本影响参数来评估至少一个有疗效的安全策略的激活影响参数;-根据检测到的所述至少一个攻击的成功概率参数、至少一个有疗效的安全策略的激活影响参数以及检测到的所述至少一个攻击和至少一个有疗效的安全策略二者的成本影响参数,来判定有疗效的安全策略的激活或去激活。根据本专利技术的另一个方面,将潜在攻击及其相关风险存储到数据储存库中的步骤包括以下步骤:-定义信息系统拓扑和攻击检测签名;-定义标识了潜在攻击目标的信息系统的风险分析;-指定用于到达所标识的攻击目标的攻击模型;-将所述攻击模型存储到数据储存库中。根据本专利技术的又另一个方面,将响应于潜在攻击的有疗效的安全策略存储到数据储存库中的步骤包括:-指定至少一个攻击上下文;-指定与所指定的至少一个攻击上下文相对应的有疗效的安全策略;-将所述有疗效的安全策略储存到数据储存库中。根据本专利技术的附加的方面,评估检测到的所述至少一个攻击的成功概率参数及其相关成本影响参数的步骤包括:-基于所存储的攻击模型和检测到的所述至少一个攻击而生成攻击策略图;-评估攻击到达其目标的概率;-评估攻击目标对系统安全等级和系统服务质量(QoS)等级的影响;-评估攻击目标的相关成本影响参数。根据本专利技术的另一个方面,响应于检测到的所述至少一个攻击及其相关成本影响参数而评估至少一个有疗效的安全策略的激活影响参数的步骤是基于所存储的有疗效的安全策略和被监控的信息系统的状态的。根据本专利技术的又另一个方面,根据检测到的所述至少一个攻击的成功概率参数、至少一个有疗效的安全策略的激活影响参数以及检测到的所述至少一个攻击和至少一个有疗效的安全策略二者的成本影响参数来判定有疗效的安全策略的激活或去激活的步骤是基于被监控的系统的状态演变而被动态应用的。根据本专利技术的附加的方面,所述成本影响参数包括:-服务质量(QoS)影响,和-安全等级降级影响。本专利技术还涉及一种监控和保护设备,其包括:-至少一个数据储存库,其用于:-存储潜在攻击及其相关风险;-存储响应于所述潜在攻击的有疗效的安全策略;-处理装置,其用于:-监控代表所述信息系统的数据流的输入内容;-检测所述信息系统中的至少一个攻击;-评估检测到的所述至少一个攻击的成功概率参数及其相关成本影响参数;-响应于检测到的所述至少一个攻击及其相关成本影响参数而评估至少一个有疗效的安全策略的至少一个激活影响参数;-根据检测到的所述至少一个攻击的成功概率参数、至少一个有疗效的安全策略的激活影响参数以及检测到的所述至少一个攻击和至少一个有疗效的安全策略二者的成本影响参数来判定有疗效的安全策略的激活;-激活至少一个有疗效的安全策略。本专利技术还涉及一种监控和保护设备,其包括:-至少一个数据储存库,其用于:-存储潜在攻击及其相关风险;-响应于所述潜在攻击而存储有疗效的安全策略;-处理装置,其用于:-监控代表所述信息系统的数据流的输入内容;-检测所述信息系统中的至少一个攻击;-评估检测到的所述至少一个攻击的成功概率参数及其相关成本影响参数;-响应于检测到的所述至少一个攻击及其相关成本影响参数而评估至少一个有疗效的安全策略的至少一个激活影响参数;-根据检测到的所述至少一个攻击的成功概率参数、至少一个有疗效的安全策略的激活影响参数以及检测到的所述至少一个攻击和至少一个有疗效的安全策略二者的成本影响参数来判定有疗效的安全策略的去激活;-去激活至少一个有疗效的安全策略。附图说明图1是根据现有技术的用于对抗信息系统的攻击而发起安全策略的保护性方法的不同步骤的示意图;图2是根据本专利技术的用于对抗攻击而适配信息系统基础设施的安全策略的保护性方法的不同步骤的示意图;图3示出了包括不同攻击步骤和关联于这些攻击的目标的攻击图的一个例子;图4是根据本专利技术的用于对抗攻击而适配信息系统基础设施的安全策略的详细保护性方法的不同步骤的示意图。具体实施方式如这里所使用的,术语“攻击”是指系统中这样的事件:其超越了对系统的正常授权使用并且故意地或无意地利用了系统中的漏洞,例如网络扫描、密码破解、恶意电子邮件(也称为垃圾邮件)的发送、畸形互联网协议(IP)本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】2010.05.07 EP 10290250.91.一种用于根据攻击来适配信息系统基础设施的安全策略的方法,其
中,该方法包括以下步骤:
-将潜在攻击及其相关风险存储到数据储存库中;
-将响应于所述潜在攻击的有疗效的安全策略存储到数据储存库中;
-监控代表所述信息系统的数据流的输入内容;
-检测所述信息系统中的至少一个攻击;
-评估检测到的所述至少一个攻击的成功概率参数及其相关成本影响
参数;
-响应于检测到的所述至少一个攻击及其相关成本影响参数而评估至
少一个有疗效的安全策略的激活影响参数;
-根据检测到的所述至少一个攻击的成功概率参数、至少一个有疗效
的安全策略的激活影响参数以及检测到的所述至少一个攻击和所述至少一
个有疗效的安全策略二者的成本影响参数,来判定激活或去激活有疗效的
安全策略。
2.根据权利要求1所述的用于适配信息系统基础设施的安全策略的方
法,其中,将潜在攻击及其相关风险存储到数据储存库中的步骤包括以下
步骤:
-定义信息系统拓扑和攻击检测签名;
-定义标识了潜在攻击目标的信息系统的风险分析;
-指定用于到达所标识的攻击目标的攻击模型;
-将所述攻击模型存储到数据储存库中。
3.根据权利要求1或2所述的用于适配信息系统基础设施的安全策略
的方法,其中,将响应于潜在攻击的有疗效的安全策略存储到数据储存库
中的步骤包括:
-指定至少一个攻击上下文;
-指定与所指定的至少一个攻击上下文相对应的有疗效的安全策略;
-将所述有疗效的安全策略储存到数据储存库中。
4.根据前述权利要求之一所述的用于适配信息系统基础设施的安全策
略的方法,其中,评估检测到的所述至少一个攻击的成功概率参数及其相
关成本影响参数的步骤包括:
-基于所存储的攻击模型和检测到的所述至少一个攻击而生成攻击策
略图;
-评估攻击到达其目标的概率;
-评估攻击目标对系统安全等级和系统服务质量(QoS)等级的影响;
-评估攻击目标的相关成本影响参数。
5.根据前述权利要求之一所述的用于适配信息系统基础设施的安全策
略的方法,其中,响应于检测到的所述至少一个攻击及其相关成本影响参
数而评估至少一个有疗效的安全策略的激活影响参数的步骤是基于所存储
...
【专利技术属性】
技术研发人员:W·卡努恩,S·迪比,N·库本斯,F·库本斯,
申请(专利权)人:阿尔卡特朗讯公司,国立布列塔尼高等电信学院,
类型:
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。