申请/专利权人：华北电力科学研究院有限责任公司;国网冀北电力有限公司电力科学研究院;国家电网公司

申请日：2018-02-09

公开（公告）日：2021-02-23

公开（公告）号：CN108200095B

主分类号：H04L29/06(20060101)

分类号：H04L29/06(20060101);H04L12/24(20060101)

优先权：

专利状态码：有效-授权

法律状态：2021.02.23#授权;2018.07.17#实质审查的生效;2018.06.22#公开

摘要：本发明提供了一种互联网边界安全策略脆弱性确定方法及装置，包括：获取目标互联网边界处的已开启的安全防护策略；根据已开启的安全防护策略和预先建立的安全防护策略库确定未开启的安全防护策略；根据未开启的安全防护策略和预先建立的攻击库建立目标互联网的攻击图模型；根据攻击图模型计算攻击成功实施的概率进而确定互联网边界安全策略脆弱性。本发明可以发现网络边界的残余风险，从而评估网络边界的安全态势，尽可能的保证网络的安全，降低攻击带来的损失。解决了现有的安全设备检测或配置核查工具只考虑单一的设备，无法对多种安全设备进行检测或核查，这使得对网络边界的安全评估不全面的问题。

主权项：1.一种互联网边界安全策略脆弱性确定方法，其特征在于，所述的方法包括：获取目标互联网边界处的已开启的安全防护策略；根据已开启的安全防护策略和预先建立的安全防护策略库确定未开启的安全防护策略；根据所述未开启的安全防护策略和预先建立的攻击库建立所述目标互联网的攻击图模型；根据所述攻击图模型计算攻击成功实施的概率进而确定互联网边界安全策略脆弱性；其中，所述的根据已开启的安全防护策略和预先建立的安全防护策略库确定未开启的安全防护策略包括：获取已开启的安全防护策略的特征信息；根据已开启的安全防护策略的特征信息和安全防护策略库中的安全防护策略的特征信息确定未开启的安全防护策略。

全文数据：互联网边界安全策略脆弱性确定方法及装置技术领域[0001]本发明涉及网络安全技术，具体的讲是一种互联网边界安全策略脆弱性确定方法及装置。背景技术[0002]互联网边界作为企业信息外网与互联网之间的横向边界，其安全防护要求侧重点为准入认证、访问控制、恶意代码防护等，同时加强网络通道和终端安全措施。为了保障企业内部网络的安全，企业会在互联网边界处采取安全措施，最常见的方式是在网络边界处部署网络安全防护设备，如防火墙、入侵检测系统（IDS、防病毒、Web应用防火墙WAF等，但是上线的安全防护设备的策略配置的合理性需要验证，若安全防护设备的策略没有开启或配置错误则无法起到应有的防护作用。因此，有必要确认网络安全防护设备配置策略的有效性，即是否真正降低了网络边界的脆弱性，抵御了威胁。根据网络边界安全性检测结果对有效的安全措施继续保持，对确认为不适当的安全措施应核实是否应被取消或对其进行修正。[0003]目前现有技术的网络边界安全检测方案中主要有网络安全设备配置核查和网络边界安全态势检测预测等。网络安全设备配置核查关注单个设备的脆弱性，如，某个安全扫描器，能够检测防火墙的配置策略，然后根据扫描结果给予风险描述和相应的修复建议，但无法检测如入侵检测系统等其他安全设备的有效性。网络边界安全态势检测预测则是根据网络设备、安全设备日志信息或流经边界的代码安全性进行数学建模从而对边界安全状况进行检测或预测。[0004]现有的安全配置核查工具只针对某一个单独的安全设备或者网络设备，无法对边界所部署的全部安全设备进行配置核查，或者对互联网边界所启用的所有安全策略进行分析，从而综合评估网络边界的整体安全。现有的网络边界安全态势检测预测方案中，未全面考虑到企业网络边界安全防护的实际情况，没有考虑企业已经采取的安全防护措施或开启的防护策略，进而不能根据已有的安全防护分析网络边界的脆弱点，发现网络边界的残余风险。并且，现有的网络边界安全态势检测预测方案中，未考虑到脆弱点之间的关联性和动态性，以及不同脆弱点相互关联有可能产生更大的安全威胁。发明内容[0005]为了对部署在互联网边界处的安全防护设备有效性进行检测，综合评估互联网边界的安全态势。本发明提供一种互联网边界安全策略脆弱性确定方法，包括：[0006]获取目标互联网边界处的己开启的安全防护策略；[0007]根据已开启的安全防护策略和预先建立的安全防护策略库确定未开启的安全防护策略；[0008]根据所述未开启的安全防护策略和预先建立的攻击库建立所述目标互联网的攻击图模型；[0009]根据所述攻击图模型计算攻击成功实施的概率进而确定互联网边界安全策略脆弱性。[0010]本发明实施例中，所述的方法还包括：[0011]根据网络边界安全防护要求预先建立安全策略库。[0012]本发明实施例中，所述的根据已开启的安全防护策略和预先建立的安全防护策略库确定未开启的安全防护策略包括：[0013]获取已开启的安全防护策略的特征信息；[0014]根据已开启的安全防护策略的特征信息和安全防护策略库中的安全防护策略的特征信息确定未开启的安全防护策略。[0015]本发明实施例中，所述的特征信息包括:安全防护策略的名称、种类以及功能描述。[0016]同时，本发明还提供一种互联网边界安全策略脆弱性确定装置，包括：[0017]获取模块，用于获取目标互联网边界处的已开启的安全防护策略；[0018]未开启策略确定模块，用于根据已开启的安全防护策略和预先建立的安全防护策略库确定未开启的安全防护策略；[0019]攻击图模型建立模块，用于根据所述未开启的安全防护策略和预先建立的攻击库建立所述目标互联网的攻击图模型；[0020]脆弱性确定模块，用于根据所述攻击图模型计算攻击成功实施的概率进而确定互联网边界安全策略脆弱性。[0021]本发明实施例中，所述的装置还包括：[0022]安全策略库建立模块，根据网络边界安全防护要求预先建立安全策略库。[0023]本发明实施例中，所述的未开启策略确定模块包括：[0024]特征信息获取单元，获取已开启的安全防护策略的特征信息；[0025]匹配单元，根据已开启的安全防护策略的特征信息和安全防护策略库中的安全防护策略的特征信息确定未开启的安全防护策略。[0026]本发明可以在互联网边界处，实现对安全设备配置策略的有效性进行检测，发现网络边界的残余风险，从而评估网络边界的安全态势，尽可能的保证网络的安全，降低攻击带来的损失。解决了现有的安全设备检测或配置核查工具只考虑单一的设备，无法对多种安全设备进行检测或核查，这使得对网络边界的安全评估不全面的问题。[0027]为让本发明的上述和其他目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附图式，作详细说明如下。附图说明[0028]为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。[0029]图1为本发明公开的互联网边界安全策略脆弱性确定方法的流程图；[0030]图2为本发明实施例中互联网边界安全策略脆弱性确定装置的框图；L〇〇31」图3为本发明买施例中互联网边界安全策略脆弱性确定装置的框图。具体实施方式[0032]下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。[0033]本发明提供一种互联网边界安全策略脆弱性确定方法，如图i所示，该方法包括：[0034]步骤S101，获取目标互联网边界处的已开启的安全防护策略；[0035]步骤si〇2,根据已开启的安全防护策略和预先建立的安全防护策略库确定未开启的安全防护策略；[0036]本发明实施例中，根据网络边界安全防护要求预先建立安全策略库；[0037]步骤S103,根据未开启的安全防护策略和预先建立的攻击库建立目标互联网的攻击图模型；[0038]步骤S104,根据攻击图模型计算攻击成功实施的概率进而确定互联网边界安全策略脆弱性。[0039]本发明一实施方式中，步骤S102中，根据已开启的安全防护策略和预先建立的安全防护策略库确定未开启的安全防护策略包括：[0040]获取已开启的安全防护策略的特征信息;其中，特征信息包括:安全防护策略的名称、种类以及功能描述。[0041]根据已开启的安全防护策略的特征信息和安全防护策略库中的安全防护策略的特征信息确定未开启的安全防护策略。[0042]本发明一实施例中，其具体步骤包括：[0043]第一步:确认已有的安全措施;确定信息外网与互联网边界部署的安全防护设备，确认安全防护设备已开启的防护策略，如防火墙、防病毒已开启的安全策略。确认的信息包括己有安全措施名称、类型、功能描述及实施效果等，由于安全防护设备类别不同，这些数据的格式存在差异，故此需要对安全防护设备策略数据进行解析和处理，使数据更加直观，便于分析、归类和使用。[0044]第二步:建立攻击库;根据常见的网络攻击，包括sql注入攻击、跨站脚本攻击、Dos攻击等，识别威胁属性，提取成功发起网络攻击的要素点，建立网络攻击库。攻击库包括威胁名称、种类、来源、成功实施要素等信息。[0045]第三步:建立安全策略库;根据网络边界安全防护要求，梳理出互联网边界应启用的具体安全防护策略，根据安全防护策略集预先建立安全防护策略库。安全防护策略库包括策略名称、种类、功能描述等信息。[0046]第四步：匹配特征;将提取到的互联网边界处所部署的安全防护设备中开启的安全策略数据与安全策略库中的策略进行信息匹配，从而明确互联网边界己具有的安全防护策略以及未开启的安全防护策略。本发明实施例中，策略库在建立的时候，会提取每一条安全防护策略的特征信息，包括策略名称，种类，功能描述等信息。同样，在提取已开启的防护策略时也会使用同样的方法提取这些策略的特征值。当策略的特征值完全相同，则代表匹配成功。[0047]第五步:模拟攻击;模拟发起攻击，根据上述步骤中攻击信息、未开启的安全防护策略，分析各种攻击是否能够实施。本发明采用贝叶斯网算法构造互联网边界攻击图模型。攻击图模型可模拟攻击者利用现有的网络边界脆弱点或各个脆弱点之间的联系可实施的各种攻击并计算其成功实施的概率，进而识别整个互联网边界的脆弱点以及脆弱点之间相互关联产生的潜在威胁。[0048]网络边界防护缺少的安全防护策略即存在安全防护漏洞，查找攻击库信息得到利用以上安全漏洞可能发起的攻击行为。然后通过建立的攻击图模型计算这些攻击可能成功实施的概率，当概率值高于一定阈值时则代表该攻击可以实施。[0049]第六步:脆弱性评估。根据模拟攻击测试结果，评估互联网边界安全性，并根据脆弱点给予相应的安全防护建议。一种网络攻击的成功概率越大，则表明互联网边界此点的安全威胁越大，需要加强此方面的安全防护。[0050]以下通过更加具体的实施例说明本发明提供的互联网边界安全防护脆弱性分析方法的具体实施。[0051]常见的攻击手段里，拒绝服务攻击Dos是最主要也是最常见的，在拒绝服务攻击中，又以SYNFlood洪水攻击最为有名。SYNFlood利用TCP协议在设计上的缺陷，通过特定方式发送大量的TCP请求，从而导致受攻击方服务器的系统崩溃。以互联网边界防范SYNFlood攻击能力举例说明。[0052]首先，根据常见的网络攻击类型建立攻击库，根据安全防护要求建立安全策略库。假设检测到互联网边界处部署了防火墙、IPS设备。提取以上安全防护设备启用策略并将策略数据进行加工处理，与安全策略库中防范SYNFlood攻击对应策略进行匹配，假设未检测到防火墙配置拒绝外界客户端不断发送SYN+ACK报文类策略，检测到IPS已启用TCP泛洪攻击过滤规则如ttl-check、同一源IP的SYN报文数等）、隔离入侵IP、禁用被攻击对象的特定端口和服务、隔离被攻击对象，告警被攻击者、断开危险连接策略。由此，根据防火墙和IPS配置的策略，建立攻击图模型计算SYNFlood攻击成功入侵到企业信息外网的概率，当概率值高于一定阈值时表明网络边界对防护SYNFlood攻击能力较差，需要加强此处的安全防范措施。当概率值低于一定阈值时则表明当前网络边界安全防护措施基本可以防范SYNFlood攻击。[0053]同时，本发明还公开一种互联网边界安全策略脆弱性确定装置，如图2所示，为本发明公开的互联网边界安全策略脆弱性确定装置的框图，包括：[00M]获取模块201，用于获取目标互联网边界处的已开启的安全防护策略；[0055]未开启策略确定模块202,用于根据已开启的安全防护策略和预先建立的安全防护策略库确定未开启的安全防护策略；[0056]攻击图模型建立模块203,用于根据未开启的安全防护策略和预先建立的攻击库建立目标互联网的攻击图模型；[0057]脆弱性确定模块204,用于根据攻击图模型计算攻击成功实施的概率进而确定互联网边界安全策略脆弱性。[0058]本发明实施例中，如图3所示，装置还包括：[0059]安全策略库建立模块205,根据网络边界安全防护要求预先建立安全策略库。[0060]本发明实施例中，未开启策略确定模块202包括：[0061]特征信息获取单元，获取已开启的安全防护策略的特征信息；[0062]匹配单元，根据已开启的安全防护策略的特征信息和安全防护策略库中的安全防护策略的特征信息确定未开启的安全防护策略。[0063]同时，本发明还公开一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行所述计算机程序时实现本发明前述的互联网边界安全策略脆弱性确定方法。[0064]另外，本发明还公开一种计算机可读存储介质，计算机可读存储介质存储有执行前述的互联网边界安全策略脆弱性确定方法的计算机程序。[0065]本发明的方案通过本方法检测企业互联网边界处安全防护设备配置策略的有效性来评估网络边界的安全性，发现网络边界的脆弱点，提出改进意见，从而提高互联网与信息外网边界处的安全性。本发明采用模拟攻击，考虑到脆弱点之间的关联性和动态性，因此网络边界安全评估结果更加准确。[0066]本发明在计算评估互联网边界安全时，根据网络边界处已部署的安全防护设备以及各设备未开启的安全策略检测网络边界整体脆弱点。分析在现有安全防护策略下模拟攻击者能实施的攻击，建立攻击图模型，计算各攻击成功的概率。[0067]本发明计算评估互联网边界安全时，将网络边界处已部署的安全防护设备以及各设备开启的安全策略有效性考虑进去。计算在现有安全防护策略下各攻击成功实施的概率，发现网络边界安全防护的脆弱点。[0068]以下通过实施例说明本发明提供的互联网边界安全防护脆弱性分析方法的具体实施。常见的攻击手段里，拒绝服务攻击Dos是最主要也是最常见的，在拒绝服务攻击中，又以SYNFlood洪水攻击最为有名。SYNFlood利用TCP协议在设计上的缺陷，通过特定方式发送大量的TCP请求，从而导致受攻击方服务器的系统崩溃。以互联网边界防范SYNFlood攻击能力举例说明。首先，根据常见的网络攻击类型建立攻击库，根据安全防护要求建立安全策略库。假设检测到互联网边界处部署了防火墙、IPS设备。提取以上安全防护设备启用策略并将策略数据进行加工处理，与安全策略库中防范SYNFlood攻击对应策略进行匹配，假设未检测到防火墙配置拒绝外界客户端不断发送SYN+ACK报文类策略，检测到IPS已启用TCP泛洪攻击过滤规则如ttl-check、同一源IP的SYN报文数等）、隔离入侵IP、禁用被攻击对象的特定端口和服务、隔离被攻击对象，告警被攻击者、断开危险连接策略。由此，根据防火墙和IPS配置的策略，建立攻击图模型计算SYNFlood攻击成功入侵到企业信息外网的概率，当概率值高于一定阈值时表明网络边界对防护SYNFlood攻击能力较差，需要加强此处的安全防范措施。当概率值低于一定阈值时则表明当前网络边界安全防护措施基本可以防范SYNFlood攻击。[0069]本发明的方案通过本方法检测企业互联网边界处安全防护设备配置策略的有效性来评估网络边界的安全性，发现网络边界的脆弱点，提出改进意见，从而提高互联网与信息外网边界处的安全性。并且，本发明采用模拟攻击，考虑到脆弱点之间的关联性和动态性，因此网络边界安全评估结果更加准确。[0070]本发明在计算评估互联网边界安全时，根据网络边界处已部署的安全防护设备以及各设备未开启的安全策略检测网络边界整体脆弱点。分析在现有安全防护策略下模拟攻击者能实施的攻击，建立攻击图模型，计算在现有安全防护策略下各攻击成功实施的概率，发现网络边界安全防护的脆弱点。[0071]本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质包括但不限于磁盘存储器、CD-ROM、光学存储器等）上实施的计算机程序产品的形式。[0072]本发明是参照根据本发明实施例的方法、设备（系统）、和计算机程序产品的流程图和或方框图来描述的。应理解可由计算机程序指令实现流程图和或方框图中的每一流程和或方框、以及流程图和或方框图中的流程和或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和或方框图一个方框或多个方框中指定的功能的装置。[0073]这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和或方框图一个方框或多个方框中指定的功能。[0074]这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和或方框图一个方框或多个方框中指定的功能的步骤。[0075]本发明中应用了具体实施例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

权利要求：1.一种互联网边界安全策略脆弱性确定方法，其特征在于，所述的方法包括：获取目标互联网边界处的已开启的安全防护策略；根据己开启的安全防护策略和预先建立的安全防护策略库确定未开启的安全防护策略；根据所述未开启的安全防护策略和预先建立的攻击库建立所述目标互联网的攻击图模型；根据所述攻击图模型计算攻击成功实施的概率进而确定互联网边界安全策略脆弱性。2.如权利要求1所述的互联网边界安全策略脆弱性确定方法，其特征在于，所述的方法还包括：根据网络边界安全防护要求预先建立安全策略库。3.如权利要求1所述的互联网边界安全策略脆弱性确定方法，其特征在于，所述的根据已开启的安全防护策略和预先建立的安全防护策略库确定未开启的安全防护策略包括：获取已开启的安全防护策略的特征信息；根据已开启的安全防护策略的特征信息和安全防护策略库中的安全防护策略的特征信息确定未开启的安全防护策略。4.如权利要求3所述的互联网边界安全策略脆弱性确定方法，其特征在于，所述的特征信息包括:安全防护策略的名称、种类以及功能描述。5.—种互联网边界安全策略脆弱性确定装置，其特征在于，所述的装置包括：获取模块，用于获取目标互联网边界处的己开启的安全防护策略；未开启策略确定模块，用于根据已开启的安全防护策略和预先建立的安全防护策略库确定未开启的安全防护策略；攻击图模型建立模块，用于根据所述未开启的安全防护策略和预先建立的攻击库建立所述目标互联网的攻击图模型；脆弱性确定模块，用于根据所述攻击图模型计算攻击成功实施的概率进而确定互联网边界安全策略脆弱性。6.如权利要求5所述的互联网边界安全策略脆弱性确定装置，其特征在于，所述的装置还包括：安全策略库建立模块，根据网络边界安全防护要求预先建立安全策略库。7.如权利要求5所述的互联网边界安全策略脆弱性确定装置，其特征在于，所述的未开启策略确定模块包括：特征信息获取单元，获取已开启的安全防护策略的特征信息；匹配单元，根据已开启的安全防护策略的特征信息和安全防护策略库中的安全防护策略的特征信息确定未开启的安全防护策略。8.如权利要求7所述的互联网边界安全策略脆弱性确定装置，其特征在于，所述的特征信息包括:安全防护策略的名称、种类以及功能描述。9.一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1至4任一所述方法。10.—种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有执行权利要求1至4任一所述方法的计算机程序。

百度查询： 华北电力科学研究院有限责任公司;国网冀北电力有限公司电力科学研究院;国家电网公司 互联网边界安全策略脆弱性确定方法及装置

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD