一種網(wǎng)絡(luò)安全特征自動(dòng)化部署方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域,尤其涉及一種網(wǎng)絡(luò)安全特征自動(dòng)化部署方法及系統(tǒng)����。
【背景技術(shù)】
[0002] 隨著網(wǎng)絡(luò)與信息技術(shù)的發(fā)展,網(wǎng)絡(luò)正逐步改變?nèi)祟惖纳詈凸ぷ鞣绞?�。并?duì)社會(huì) 的各行各業(yè)產(chǎn)生了巨大深遠(yuǎn)的影響����。如何在新舊技術(shù)交疊應(yīng)用的變革過(guò)程中更有效地保證 網(wǎng)絡(luò)的信息安全,已成為各方關(guān)注的重點(diǎn)。
[0003] 在網(wǎng)絡(luò)安全的監(jiān)測(cè)和防御中���,安全特征是對(duì)設(shè)備安全漏洞的補(bǔ)償性應(yīng)對(duì)措施。對(duì) 于很多用戶的網(wǎng)絡(luò)設(shè)備��,由于其敏感性和軟硬件的局限性����,例如不允許修改設(shè)備的軟件系 統(tǒng),軟件版本過(guò)低�����,硬件設(shè)備過(guò)時(shí)�����,用戶往往不能直接在設(shè)備上部署相應(yīng)的補(bǔ)丁��。為了保護(hù) 網(wǎng)絡(luò)安全��,在復(fù)雜的用戶環(huán)境下�����,常常需要為用戶網(wǎng)絡(luò)配置多個(gè)安全保護(hù)設(shè)備。在保護(hù)設(shè)備 上部署實(shí)施安全特征是一種保證網(wǎng)絡(luò)安全的重要手段��。針對(duì)不同漏洞的攻擊手段�����,網(wǎng)絡(luò)保 護(hù)設(shè)備通過(guò)使用安全特征����,對(duì)攻擊數(shù)據(jù)包進(jìn)行匹配,以達(dá)到發(fā)現(xiàn)和阻止攻擊的目的���。特別是 在工控網(wǎng)絡(luò)安全領(lǐng)域����,雖然越來(lái)越多的工控網(wǎng)絡(luò)安全漏洞被發(fā)現(xiàn)和公布�,但工控系統(tǒng)自身 的設(shè)計(jì)缺陷導(dǎo)致仍有很多潛在且未被發(fā)現(xiàn)的漏洞,加上惡意攻擊者的攻擊手段和技術(shù)不斷 更新和變化��,工控網(wǎng)絡(luò)嚴(yán)峻的安全狀況一直在不斷加劇����。
[0004] 傳統(tǒng)的安全解決方案常常需要對(duì)每個(gè)保護(hù)設(shè)備分別設(shè)置安全特征。由于漏洞特征 庫(kù)的內(nèi)容龐大加之沒(méi)有考慮到設(shè)備��、安全特征之間的聯(lián)系,人工部署非常復(fù)雜����,并易于產(chǎn)生 人為引起的錯(cuò)誤。當(dāng)發(fā)布了用戶設(shè)備新漏洞的特征或已知漏洞新特征時(shí)����,由于系統(tǒng)的復(fù)雜 性�,很難為每個(gè)保護(hù)設(shè)備及時(shí)地準(zhǔn)確地更新安全特征。
【發(fā)明內(nèi)容】
[0005] 為了解決現(xiàn)有技術(shù)中存在的問(wèn)題����,本發(fā)明提出了一種網(wǎng)絡(luò)安全特征自動(dòng)化部署方 法及系統(tǒng),目的是為了解決大型用戶網(wǎng)絡(luò)中����,針對(duì)用戶設(shè)備安全漏洞攻擊而需要采取的安 全特征部署問(wèn)題提供解決方案。
[0006] 為達(dá)到上述目的�,本發(fā)明采取以下的技術(shù)方案:
[0007] -種網(wǎng)絡(luò)安全特征自動(dòng)化部署方法,包括以下步驟:步驟一����,基于網(wǎng)絡(luò)系統(tǒng)的 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),分析網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的連通性�,確定各個(gè)保護(hù)設(shè)備的監(jiān)控和保護(hù)區(qū)域;步驟 二,通過(guò)將網(wǎng)絡(luò)系統(tǒng)中每一個(gè)用戶設(shè)備的詳細(xì)信息與漏洞特征庫(kù)進(jìn)行比較�����,生成用戶設(shè)備 和漏洞特征的映射表�����;步驟三�����,根據(jù)所述映射表���,確定每個(gè)用戶設(shè)備所需要的安全特征��, 然后參照所述保護(hù)設(shè)備監(jiān)測(cè)和/或保護(hù)的區(qū)域���,為所述保護(hù)設(shè)備生成定制化的安全特征列 表;步驟四����,使用漏洞特征庫(kù)取得所需特征列表中的所有安全特征,將定制化的安全特征 自動(dòng)部署到每個(gè)保護(hù)設(shè)備上���。
[0008] 進(jìn)一步地���,步驟一中對(duì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的連通性進(jìn)行分析并確定所述保護(hù)設(shè)備的監(jiān) 控和保護(hù)區(qū)域所使用的方法為圖論法�。
[0009] 進(jìn)一步地�����,步驟二中用戶設(shè)備的詳細(xì)信息包括設(shè)備類型�、設(shè)備出廠日期或軟件版 本。
[0010] 進(jìn)一步地����,步驟二中漏洞特征庫(kù)包括漏洞名稱�、漏洞介紹、攻擊手段��、漏洞適用設(shè) 備以及應(yīng)對(duì)措施�。
[0011] 進(jìn)一步地,步驟三中定制化的安全特征列表為針對(duì)保護(hù)設(shè)備定制的安全特征集 合���。
[0012] 進(jìn)一步地���,步驟四中通過(guò)設(shè)置保護(hù)設(shè)備配置的方式向所述每個(gè)保護(hù)設(shè)備部署定制 化的安全特征�。
[0013] 本發(fā)明還提供了一種網(wǎng)絡(luò)安全特征自動(dòng)化部署系統(tǒng)��,包括中央管理系統(tǒng)�����、漏洞特 征庫(kù)����、保護(hù)設(shè)備、用戶設(shè)備以及通訊網(wǎng)絡(luò)���,所述中央管理系統(tǒng)與漏洞特征庫(kù)連通����,同時(shí)還與 每個(gè)保護(hù)設(shè)備連通�����,所述每個(gè)保護(hù)設(shè)備與用戶設(shè)備連通����。
[0014] 進(jìn)一步地,中央管理系統(tǒng)收集用戶設(shè)備信息�����、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)信息以及查詢漏洞特 征庫(kù)的信息,并進(jìn)行定制化網(wǎng)絡(luò)安全特征的自動(dòng)化部署��。
[0015] 進(jìn)一步地�����,保護(hù)設(shè)備從中央管理系統(tǒng)接收定制化的安全特征作為配置文件�����,并依 據(jù)所述配置文件針對(duì)用戶設(shè)備漏洞的攻擊數(shù)據(jù)包進(jìn)行報(bào)警和/或阻斷�����。
[0016] 進(jìn)一步地���,用戶設(shè)備包括交換機(jī)、工作站����、服務(wù)器、可編程邏輯控制器中的一種或 幾種�。
[0017] 進(jìn)一步地��,保護(hù)設(shè)備包括網(wǎng)關(guān)���、IDS、IPS中的一種或幾種����。
[0018] 本發(fā)明所產(chǎn)生的有益效果為:
[0019] 提供了自動(dòng)部署定制化的網(wǎng)絡(luò)安全特征的方法和系統(tǒng),解決了現(xiàn)有技術(shù)中存在的 漏洞特征庫(kù)內(nèi)容龐大���,人工部署過(guò)于復(fù)雜并容易發(fā)生人為引起的錯(cuò)誤的問(wèn)題�����。針對(duì)安全特 征與用戶設(shè)備之間的關(guān)系以及用戶網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)�����,自動(dòng)把相關(guān)的定制化安全特征部署到相 應(yīng)的保護(hù)設(shè)備上�����,實(shí)時(shí)��、高效的保證了網(wǎng)絡(luò)安全入侵監(jiān)測(cè)和防御的效果�。
【附圖說(shuō)明】
[0020] 圖1為使用本發(fā)明的網(wǎng)絡(luò)安全特征自動(dòng)部署方法及系統(tǒng)的通信網(wǎng)絡(luò)拓?fù)鋱D;
[0021] 圖2為通信網(wǎng)路中保護(hù)設(shè)備A所監(jiān)測(cè)和保護(hù)區(qū)域的網(wǎng)絡(luò)拓?fù)鋱D�����;
[0022] 圖3為通信網(wǎng)路中保護(hù)設(shè)備B所監(jiān)測(cè)和保護(hù)區(qū)域的網(wǎng)絡(luò)拓?fù)鋱D����;
[0023] 圖4為通信網(wǎng)路中保護(hù)設(shè)備C所監(jiān)測(cè)和保護(hù)區(qū)域的網(wǎng)絡(luò)拓?fù)鋱D;
[0024] 圖5為通信網(wǎng)路中保護(hù)設(shè)備D所監(jiān)測(cè)和保護(hù)區(qū)域的網(wǎng)絡(luò)拓?fù)鋱D��;
[0025] 圖6為生成定制化安全特征并部署的流程圖����。
[0026] 附圖標(biāo)記:1-8用戶設(shè)備
【具體實(shí)施方式】
[0027] 以下以工業(yè)控制網(wǎng)絡(luò)安全特征自動(dòng)部署方法和系統(tǒng)為例對(duì)本發(fā)明進(jìn)行詳細(xì)闡述, 應(yīng)當(dāng)注意的是��,下列實(shí)施例僅用于對(duì)本發(fā)明進(jìn)行說(shuō)明而非作為對(duì)本發(fā)明的限制�。本發(fā)明的 網(wǎng)絡(luò)安全特征自動(dòng)部署方法和系統(tǒng)除了可以應(yīng)用在工業(yè)控制網(wǎng)絡(luò)中,還可以用于任何其他 的分布式網(wǎng)絡(luò)�。
[0028] 如圖1所示的通信網(wǎng)絡(luò)拓?fù)鋱D���,中央管理系統(tǒng)與漏洞特征庫(kù)連通����,同時(shí)與保護(hù)設(shè) 備A-D連通,保護(hù)設(shè)備A與用戶設(shè)備3�、5連通,其中用戶設(shè)備3與用戶設(shè)備1連通�,保護(hù)設(shè) 備B與用戶設(shè)備2、7��、8連通�,其中用戶設(shè)備7與用戶設(shè)備6連通,保護(hù)設(shè)備C與用戶設(shè)備4��、 7連通�,保護(hù)設(shè)備D與用戶設(shè)備5、7連通����。用戶設(shè)備可以為交換機(jī)、工作站�����、服務(wù)器以及可編 程邏輯控制器等�����,保護(hù)設(shè)備可以為網(wǎng)關(guān)、IDS����、IPS等。
[0029] 按照?qǐng)D6所示的步驟����,基于圖1的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),利用智能圖論法分析系統(tǒng)的連通 性��,確定如圖2-5所示的保護(hù)設(shè)備A-D所監(jiān)測(cè)和保護(hù)的區(qū)域��,即保護(hù)設(shè)備A-D的負(fù)責(zé)區(qū)域�����。 其中���,保護(hù)設(shè)備A的負(fù)責(zé)區(qū)域包括用戶設(shè)備1���、3、5,保護(hù)設(shè)備B的負(fù)責(zé)區(qū)域包括用戶設(shè)備2����、 6、7����、8,保護(hù)設(shè)備C的負(fù)責(zé)區(qū)域包括用戶設(shè)備4、6�、7,保護(hù)設(shè)備D的負(fù)責(zé)區(qū)域包括用戶設(shè)備 5、6�����、7��。
[0030] 在確定了保護(hù)設(shè)備A-D所負(fù)責(zé)的區(qū)域后�,由中央管理系統(tǒng)將由用戶輸入或自動(dòng)發(fā) 現(xiàn)取得的每個(gè)用戶設(shè)備的詳細(xì)信息與漏洞特征庫(kù)進(jìn)行比較,生成如表1所示的用戶設(shè)備和 漏洞特征的映射表����。所述的詳細(xì)信息包括但不限于用戶設(shè)備的類型、出廠日期��、軟件版本 等�,所述的漏洞特征庫(kù)包括但不限于漏洞名稱、漏洞介紹�、攻擊手段、漏洞適用設(shè)備以及應(yīng) 對(duì)措施等��。
[0031] 表1用戶設(shè)備及漏洞特征映射表
[0032]
[0033] 根據(jù)每個(gè)用戶設(shè)備所需要的安全特征同時(shí)參照保護(hù)設(shè)備A-D各自負(fù)責(zé)監(jiān)測(cè)和/或 保護(hù)的區(qū)域,為保護(hù)設(shè)備A-D生成定制化的安全特征列表����,如表2所示:
[0034] 表2保護(hù)設(shè)備定制化安全特征表
[0035]
[0036] 中央管理系統(tǒng)自動(dòng)地將所生成的定制化的安全特征以配置文件的形式部署到保 護(hù)設(shè)備A-D中,保護(hù)設(shè)備A-D從中央管理系統(tǒng)接收定制化的安全特征作為配置文件����,并依據(jù) 配置文件對(duì)用戶設(shè)備漏洞的攻擊數(shù)據(jù)包進(jìn)行報(bào)警和/或阻斷。
[0037] 以上所述實(shí)施例僅表達(dá)了本發(fā)明的實(shí)施方式�,其描述較為具體和詳細(xì),但并不能 因此而理解為對(duì)本發(fā)明專利范圍的限制�。應(yīng)當(dāng)指出的是,對(duì)于本領(lǐng)域的普通技術(shù)人員來(lái)說(shuō)�����, 在不脫離本發(fā)明構(gòu)思的前提下�����,還可以做出若干變形和改進(jìn)�,這些都屬于本發(fā)明的保護(hù)范 圍。因此���,本發(fā)明專利的保護(hù)范圍應(yīng)以所附權(quán)利要求為準(zhǔn)���。
【主權(quán)項(xiàng)】
1. 一種網(wǎng)絡(luò)安全特征自動(dòng)化部署方法�,其特征在于�����,包括以下步驟: 步驟一:基于網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)����,分析網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的連通性�,確定各個(gè)保護(hù) 設(shè)備的監(jiān)控和保護(hù)區(qū)域; 步驟二:通過(guò)將網(wǎng)絡(luò)系統(tǒng)中每一個(gè)用戶設(shè)備的詳細(xì)信息與漏洞特征庫(kù)進(jìn)行比較�,生成 用戶設(shè)備和漏洞特征的映射表; 步驟三:根據(jù)所述映射表����,確定每個(gè)用戶設(shè)備所需要的安全特征,然后參照所述保護(hù) 設(shè)備監(jiān)測(cè)和/或保護(hù)的區(qū)域���,為所述保護(hù)設(shè)備生成定制化的安全特征列表����; 步驟四:使用漏洞特征庫(kù)取得所需特征列表中的所有安全特征����,將定制化的安全特征 自動(dòng)部署到每個(gè)保護(hù)設(shè)備上����。2. 如權(quán)利要求1所述的網(wǎng)絡(luò)安全特征自動(dòng)化部署方法�����,其特征在于�,所述步驟一中對(duì) 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的連通性進(jìn)行分析并確定所述保護(hù)設(shè)備的監(jiān)控和保護(hù)區(qū)域使用的方法為圖 論法。3. 如權(quán)利要求1所述的網(wǎng)絡(luò)安全特征自動(dòng)化部署方法��,其特征在于����,所述步驟二中用 戶設(shè)備的詳細(xì)信息包括設(shè)備類型、設(shè)備出廠日期或軟件版本����。4. 如權(quán)利要求1所述的網(wǎng)絡(luò)安全特征自動(dòng)化部署方法,其特征在于��,所述步驟二中漏 洞特征庫(kù)包括漏洞名稱���、漏洞介紹�、攻擊手段、漏洞適用設(shè)備以及應(yīng)對(duì)措施����。5. 如權(quán)利要求1所述的網(wǎng)絡(luò)安全特征自動(dòng)化部署方法,其特征在于�����,所述步驟三中定 制化的安全特征列表為針對(duì)保護(hù)設(shè)備定制的安全特征集合�����。6. 如權(quán)利要求1所述的網(wǎng)絡(luò)安全特征自動(dòng)化部署方法���,其特征在于,所述步驟四中通 過(guò)設(shè)置保護(hù)設(shè)備配置的方式向所述每個(gè)保護(hù)設(shè)備部署定制化的安全特征����。7. -種使用權(quán)利要求1到6的任意一項(xiàng)所述方法的網(wǎng)絡(luò)安全特征自動(dòng)化部署系統(tǒng),其 特征在于�,包括中央管理系統(tǒng)、漏洞特征庫(kù)�、保護(hù)設(shè)備、用戶設(shè)備以及通訊網(wǎng)絡(luò)��,所述中央管 理系統(tǒng)與漏洞特征庫(kù)連通,同時(shí)還與每個(gè)保護(hù)設(shè)備連通��,所述每個(gè)保護(hù)設(shè)備與用戶設(shè)備連 通����。8. 如權(quán)利要求7所述的網(wǎng)絡(luò)安全特征自動(dòng)化部署系統(tǒng),其特征在于�,所述中央管理系 統(tǒng)收集用戶設(shè)備信息、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)信息以及查詢漏洞特征庫(kù)的信息�,并進(jìn)行定制化網(wǎng)絡(luò) 安全特征的自動(dòng)化部署。9. 如權(quán)利要求7所述的網(wǎng)絡(luò)安全特征自動(dòng)化部署系統(tǒng)�����,其特征在于����,所述保護(hù)設(shè)備從 中央管理系統(tǒng)接收定制化的安全特征作為配置文件,并依據(jù)所述配置文件針對(duì)用戶設(shè)備漏 洞的攻擊數(shù)據(jù)包進(jìn)行報(bào)警和/或阻斷����。10. 如權(quán)利要求7所述的網(wǎng)絡(luò)安全特征自動(dòng)化部署系統(tǒng),其特征在于�����,所述用戶設(shè)備包 括交換機(jī)、工作站���、服務(wù)器��、可編程邏輯控制器中的一種或幾種�����。11. 如權(quán)利要求7所述的網(wǎng)絡(luò)安全特征自動(dòng)化部署系統(tǒng)����,其特征在于�,所述保護(hù)設(shè)備包 括網(wǎng)關(guān)����、IDS、IPS中的一種或幾種��。
【專利摘要】本發(fā)明公開(kāi)了一種網(wǎng)絡(luò)安全特征自動(dòng)化部署方法及系統(tǒng)����,其基于用戶通信系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),利用圖論技術(shù)����,由中央管理系統(tǒng)確定保護(hù)設(shè)備監(jiān)控和保護(hù)的區(qū)域并將網(wǎng)絡(luò)系統(tǒng)中每一個(gè)用戶設(shè)備的詳細(xì)信息與漏洞特征庫(kù)進(jìn)行比較,生成用戶設(shè)備和漏洞特征的映射表�����。根據(jù)映射表,確定每個(gè)用戶設(shè)備所需要的安全特征,然后參照保護(hù)設(shè)備監(jiān)測(cè)和/或保護(hù)的區(qū)域��,為保護(hù)設(shè)備生成定制化的安全特征列表并由中央管理系統(tǒng)將定制化的安全特征通過(guò)通訊網(wǎng)絡(luò)自動(dòng)部署到每個(gè)保護(hù)設(shè)備上���。
【IPC分類】H04L29/06
【公開(kāi)號(hào)】CN104883345
【申請(qǐng)?zhí)枴緾N201410507450
【發(fā)明人】孫一桉, 徐林
【申請(qǐng)人】寧波匡恩網(wǎng)絡(luò)科技有限公司
【公開(kāi)日】2015年9月2日
【申請(qǐng)日】2014年9月28日