CN109729089A - 一种基于容器的智能网络安全功能管理方法及*** - Google Patents
一种基于容器的智能网络安全功能管理方法及*** Download PDFInfo
- Publication number
- CN109729089A CN109729089A CN201910001284.9A CN201910001284A CN109729089A CN 109729089 A CN109729089 A CN 109729089A CN 201910001284 A CN201910001284 A CN 201910001284A CN 109729089 A CN109729089 A CN 109729089A
- Authority
- CN
- China
- Prior art keywords
- security
- rule
- decision
- container
- library
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于容器的智能网络安全功能管理方法及***,所述方法包括:通过初始配置流程,完成智能网络安全功能管理的冷启动;在面临潜在的安全风险时,通过安全等级提升进行协同防护;在较长时间未发现潜在的安全风险时,进行安全等级解除。本发明支持安全能力动态更新、快速部署、全局协同、开销可控的设计模式与实现***,能够实现安全资源在全局***内的流动和配置,达到安全功能的动态定义和重构,进而实现安全风险与安全感知、安全感知与安全决策、安全决策与安全响应等环节的有效配合和衔接,实现安全软硬件设备能力从单点防御、局部防御到整体防御的跃升,最大化安全资源的效用。
Description
技术领域
本发明涉及网络安全技术领域,尤其是一种基于容器的智能网络安全功能管理方法及***。
背景技术
网络空间已经全方位渗透至国家政治、经济和文化等领域,以及社会、公众的运行和生活之中。由于网络空间包含着巨大的能量和利益,因而也成为新时期攻击者的重点关注目标。攻击者的恶意手段变化多端、更新迅速、破坏力强,对网络、计算机和信息***构成了极大威胁,基于防火墙、入侵检测、安全审计等传统安全机制已经难以保证网络空间的安全。原因在于:
一是网络安全防御的能力静态固化。信息***的安全防护能力来自于安装在网络、终端等重要部位的安全软硬件。这些软硬件在设计时即具备安全功能并内嵌在***中,经过部署和调试配置开通使用,实现相应的防护效果。通常情况下部署的安全软硬件由于网络隔离、配置复杂、策略冲突、自我保护等原因无法得到持续的升级与安全策略维护,因而功能一直保持为起初部署时的状态,难以对抗技术手段日益丰富的网络攻击行为。
二是局部安全功能与整体安全能力脱节。单个安全设备通常功能单一,往往只能在网络中实现单点防护,不同的软硬件手段分别负责威胁检测、流量过滤、策略判决、行为管理、数据加密等功能,彼此间缺乏联系与协同,难以实现从发现、识别、决策到处置的完整防护流程,在局部安全功能与整体达到的安全能力间存在较大脱节,甚至还会产生“1+1<2”的防护能力冲突现象。
三是检测和响应速度不能满足安全处置要求。在当前的“边缘-中心”式安全架构中,在用户网络中部署的安全软硬件设备由于数据关联分析、攻击深度挖掘能力薄弱,通常以上报方式将安全事件统一交由云端分析,再接收云端的判决和调控完成安全策略的下达的响应,但由于通信和处理存在一定的时延,难以满足高吞吐和实时处理要求条件下的响应速度要求。
网络安全功能管理是构建于单一网络安全软硬件之上的安全能力高层管理、分配和协调机制。不同的网络安全功能管理架构在组成、结构、运行上都表现出差异化的特点,其形态、模式和特征决定了网络安全功能管理的有效性,较有代表性的网络安全功能管理模式如早期的单点防御、静态防御,2010年左右出现的纵深防御、协同防御,以及近年来提出的动态防御、弹性防御等。随着网络空间安全风险逐步激化,用户对网络安全功能管理的需求也越来越高,对管理体系的敏捷性,组件的交互性、流程的可配置性、顶层的可管理性提出了迫切的要求。
发明内容
本发明所要解决的技术问题是:针对上述存在的问题,提供一种基于容器的智能网络安全功能管理方法及***。
本发明采用的技术方案如下:
一种基于容器的智能网络安全功能管理方法,包括:
通过初始配置流程,完成智能网络安全功能管理的冷启动;
在面临潜在的安全风险时,通过安全等级提升进行协同防护;
在较长时间未发现潜在的安全风险时,进行安全等级解除。
进一步地,所述初始配置流程包括以下步骤:
a、分别安装安全决策中心、决策规则库、容器镜像库、安全事件库,将决策规则库、容器镜像库、安全事件库中的安全决策中心IP正确配置;
b、在安全决策中心内,配置网络环境中相关终端设备的地址、端口和型号;
c、初始化镜像库,在线下载防火墙、入侵检测、主机监控和蜜罐四类载荷的最新代码,并使用典型配置封装为源镜像;
d、初始化安全事件库,清除所有事件标志;
e、初始化决策规则库,配置默认防护规则;
f、启动安全决策中心,安全决策中心自动连接至网络环境中的相关终端设备,下发防火墙载荷;
g、相关终端设备接收到防火墙载荷,在容器环境中加载并运行,开启安全事件监听;
h、相关终端设备将生成的安全事件提交到安全事件库。
进一步地,所述安全等级提升包括以下步骤:
a、当终端设备遭受网络攻击或执行异常操作,生成可疑安全事件并提交到安全事件库;
b、安全事件库接收到可疑安全事件,经过预处理,将其划分为可能涉及攻击的事件类型;
c、安全决策中心扫描所有可能涉及攻击的事件类型,调用决策规则库进行疑似攻击行为匹配;
d、决策规则库的匹配过程中,命中了若干条攻击规则,决策规则库的规则服务将这些攻击规则发送至安全决策中心;
e、安全决策中心提取出攻击规则的后件,将其传输至容器镜像库;
f、容器镜像库按照攻击规则的后件的要求,基于源镜像生成新的镜像载荷;
g、容器镜像库中的镜像服务将新的镜像载荷发送至安全决策中心;
h、安全决策中心将网络环境安全等级上调;
i、安全决策中心将新的镜像载荷发送至上报可疑安全事件的终端设备,以及同类型的终端设备;
j、新的镜像载荷在终端设备上安装和运行。
进一步地,所述安全等级解除包括以下步骤:
a、较长时间内未发生新增可疑安全事件,决策规则库中的安全等级解除规则被触发;
b、安全决策中心扫描到新触发的安全等级解除规则,提取出安全等级解除规则的后件,将其传输至容器镜像库;
c、容器镜像库按照安全等级解除规则的后件的要求,基于源镜像生成新的镜像载荷;
d、容器镜像库中的镜像服务将新的镜像载荷发送至安全决策中心;
e、安全决策中心将网络环境安全等级下调;
f、安全决策中心将新的镜像载荷发送至相关的终端设备;
g、新的镜像载荷在终端设备上安装和运行。
一种基于容器的智能网络安全功能管理***,包括:安全决策中心、决策规则库、容器镜像库、安全事件库和终端设备;所述安全决策中心与决策规则库、容器镜像库、安全事件库和终端设备进行通信。
进一步地,所述安全决策中心,包括:
事件分析组件,用于从安全事件库中读取安全事件,并通过计算完成对网络环境中安全状态和安全风险的分析、解读和量化;
规则推理组件,用于从决策规则库中读取决策规则,通过将安全事件分析结果与规则生效条件进行匹配计算,筛选出当前情况下适用并触发的规则实例;
镜像生成组件,用于接收规则推理组件筛选得到的规则实例,读取实例中用于指导下一步操作的行为模板,并将模板中的相关参数发送至容器镜像库以生成镜像。
交互与转发接口组件负责与决策规则库、容器镜像库、安全事件库以及终端设备之间的格式化通信。
进一步地,所述容器镜像库,包括:
镜像源组件,用于存储可用于生成组合镜像的基本安全功能代码;
镜像生成组件,用于将镜像源组件中存储的基本安全功能代码通过指定配置打包为镜像;
镜像管理组件,用于新增、查看、修改、删除当前容器镜像库中的源镜像或生成的镜像;
镜像服务组件,用于在安全决策中心的指令下,将指定生成的镜像推送到终端设备。
进一步地,所述安全事件库,包括:
事件接收组件,用于接收和采集来自终端设备上报的安全事件,并将所有接收到的数据暂存;
事件预处理组件,用于按照接收到安全事件的具体格式的内容进行分类和格式化;
事件管理组件,用于查看、修改、删除当前安全事件库中的所有安全事件;
事件服务组件,用于在安全决策中心的指令下,将特定类型、特定时间段、特定源、特定目标或符合特定组合条件规则的事件发送至安全决策中心,供其分析和决策使用。
进一步地,所述决策规则库,包括:
规则设置组件,用于通过手工或自动化导入方式新建规则;
规则管理组件,用于查看、修改、删除当前决策规则库中的所有规则;
规则学习组件,用于从安全事件中自动提取规则;
规则服务组件,用于在安全决策中心的指令下,将特定类型、特定前件、特定优先级或符合特定组合条件的规则发送至安全决策中心,供其分析和决策使用。
进一步地,所述终端设备可接收从安全决策中心下发的容器镜像,并进行安装和运行。
综上所述,由于采用了上述技术方案,本发明的有益效果是:
1、支持安全功能在网络环境中的动态加载。当前诡异多变的零日漏洞攻击、APT攻击等攻击样式都对信息***的防护能力构成了严峻挑战。本发明能够以动态、实时方式进行规则升级与安全策略维护,其提供的安全功能效用随着时间而逐渐增加,实现与攻击者水平相对应的、具有抵抗一定程度风险的预期安全防护能力。
2、支持全局视角下安全功能的协调和针对性配置。为使单一安全软硬件设备的功能不至于成为整个***的短板,本发明从全局角度去感知和分析安全威胁,针对每个安全软硬件设备的特点进行针对性配置,实现整体安全能力的均衡。
3、支持威胁检测速度与精度的均衡化。针对每一类网络安全软硬件设备在运行过程中都会产生固定的运行开销问题,本发明能够实时判断当前面临的安全风险等级,在安全风险较高时上调全局安全防护功能强度,重点保障网络与业务环境安全;在安全风险较低时降低安全等级,解除安全资源的高占用,为网络和业务的运行提供充足的资源保障。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本发明基于容器的智能网络安全功能管理***结构图。
图2为本发明基于容器的智能网络安全功能管理方法的初始配置流程图。
图3为本发明基于容器的智能网络安全功能管理方法的安全等级提升流程图。
图4为本发明基于容器的智能网络安全功能管理方法的安全等级解除流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明,即所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
以下结合实施例对本发明的特征和性能作进一步的详细描述。
实施例1
本实施例提供的一种基于容器的智能网络安全功能管理***,支持安全能力动态更新、快速部署、全局协同、开销可控的设计模式与实现***,能够实现安全资源在全局***内的流动和配置,达到安全功能的动态定义和重构,进而实现安全风险与安全感知、安全感知与安全决策、安全决策与安全响应等环节的有效配合和衔接,实现安全软硬件设备能力从单点防御、局部防御到整体防御的跃升,最大化安全资源的效用。具体地:如图1所示,包括:安全决策中心、决策规则库、容器镜像库、安全事件库和终端设备。
(1)所述安全决策中心,是统筹智能网络安全功能管理的主控中枢,部署于网络环境中较高安全等级的区域,与决策规则库、容器镜像库、安全事件库以及终端设备进行通信;具体包括:事件分析组件、规则推理组件、镜像生成组件和交互与转发接口组件,各个组件之间通过协作共同完成决策制订及下达功能。具体地,
事件分析组件,用于从安全事件库中读取安全事件,并通过计算完成对网络环境中安全状态和安全风险的分析、解读和量化;
规则推理组件,用于从决策规则库中读取决策规则,通过将安全事件分析结果与规则生效条件进行匹配计算,筛选出当前情况下适用并触发的规则实例;
镜像生成组件,用于接收规则推理组件筛选得到的规则实例,读取实例中用于指导下一步操作的行为模板,并将模板中的相关参数发送至容器镜像库以生成镜像。
交互与转发接口组件负责与决策规则库、容器镜像库、安全事件库以及终端设备之间的格式化通信。其中与决策规则库何安全事件库的通信为JSON格式,与容器镜像库和终端设备之间的通信采用JSON或二进制专用协议格式。
(2)所述容器镜像库,用于完成网络安全功能的软件化、载荷化生成、封装、发布和管理等能力,部署于网络环境中较高安全等级的区域,与安全决策中心保持联通。具体包括:镜像源组件、镜像生成组件、镜像管理组件、镜像服务组件,各个组件之间通过操作共享的存储空间来完成镜像生命周期的配置活动。具体地,
镜像源组件,用于存储可用于生成组合镜像的基本安全功能代码,包括但不限于防火墙、入侵检测、主机监控和蜜罐等四类。其中防火墙使用Github托管的GPL许可证开源代码Modsecurity,入侵检测使用Github托管的GPL许可证开源代码Snort,主机监控使用Github托管的GPL许可证开源代码Metricbeat,蜜罐使用Github托管的GPL许可证开源代码Conpot。
镜像生成组件,用于将镜像源组件中存储的基本安全功能代码通过指定配置打包为镜像;具体可以通过Dockerfile命令行工具,将镜像源组件中存储的基本安全功能代码通过指定配置打包为Docker镜像。指定配置包括加载的规则文件、开放的端口、允许并发访问的数量和镜像的自定义名称等。
镜像管理组件,允许用户或安全决策中心新增、查看、修改、删除当前容器镜像库中的镜像,包括源镜像或生成的镜像;在用户对镜像进行管理时,提供Web功能界面,在安全决策中心对镜像进行管理时,提供以Restful方式实现的远程调用接口。
镜像服务组件,用于在安全决策中心的指令下,将指定生成的镜像推送到终端设备,实现镜像的远程交付。
(3)所述安全事件库,用于完成网络环境中安全事件的汇聚、存储、分类和预处理。安全事件库部署于网络环境中较高安全等级的区域,与安全决策中心和终端设备进行通信。具体包括:
事件接收组件,负责提供接口,用于接收和采集来自终端设备上报的安全事件,并将所有接收到的数据暂存;接口的实现方式为JSON。
事件预处理组件,用于按照接收到安全事件的具体格式的内容进行分类和格式化;分类的依据包括安全事件的报告者、报告时间、事件类型、事件时间、源IP、源端口、目的IP、目的端口、协议名、紧急程度、持续时间、发生次数、附加信息等。格式化方式包括时间标准统一化、按报告者分类、按事件类型分类、按目的IP分类、按紧急程度分类等,格式化后的事件使用国标GBT28517-2012《网络安全事件描述和交换格式》存储。
事件管理组件,允许用户或安全决策中心查看、修改、删除当前安全事件库中的所有安全事件;在用户对事件进行管理时,提供Web功能界面,在安全决策中心对事件进行管理时,提供以Restful方式实现的远程访问接口。
事件服务组件,用于在安全决策中心的指令下,将特定类型、特定时间段、特定源、特定目标或符合特定组合条件规则的事件发送至安全决策中心,供其分析和决策使用。
(4)所述决策规则库,用于完成智能网络安全功能管理中将安全事件与威胁响应映射和联系功能,决策规则库部署于网络环境中较高安全等级的区域,与安全决策中心和安全事件库进行通信,包括:
规则设置组件,用于通过手工或自动化导入方式新建规则;在用户选择以手工方式设置规则情况下,提供Web界面风格的表单辅助用户进行输入;在自动化导入规则情况下,提供CSV/XLS/JSON/XML格式规则文件的导入能力,并在导入前具备预览功能。
规则管理组件,允许用户或安全决策中心查看、修改、删除当前决策规则库中的所有规则;在用户对规则进行管理时,提供Web功能界面,在安全决策中心对规则进行管理时,提供以Restful方式实现的远程访问接口。
规则学习组件,用于从安全事件中自动提取规则;自动提取规则的类型包括时间范围规则、端口频度规则、访问路径规则和流量规律规则等。
规则服务组件,用于在安全决策中心的指令下,将特定类型、特定前件、特定优先级或符合特定组合条件的规则发送至安全决策中心,供其分析和决策使用。
规则在决策规则库中以JSON格式存储,每一条规则包括“IF-THEN”风格的前件(必填)、配置(可选)和后件(可选)三个部分。规则前件为触发规则所必须的满足的条件,为变量表达式或正则表达式形式;规则配置为规则本身设定的类型、优先级、使用限制、环境要求等信息,用于辅助规则匹配过程;规则后件为规则触发后建议执行的响应操作。
所述终端设备是智能网络安全功能管理的边缘节点,除完成自身的计算、存储、网络功能之外,还可接收从安全决策中心下发的容器镜像,并进行安装和运行。
所述终端设备包括计算机终端和网络设备。具体地,
对于计算机终端,要求在其操作***平台中能够运行Docker Community或DockerEnterprise 17.00及之后的版本,具有独立的IP地址,能够与安全决策中心联通,并且能够以远程方式登录管理员权限帐号,且剩余存储空间大于对应的镜像容器及运行时所需的临时文件总尺寸。
对于网络设备,要求在其硬件操作***中能够运行Docker Community或DockerEnterprise 17.00及之后的版本,可不具备独立的IP地址,但能够与安全决策中心联通,具有IP地址的设备要求能够以远程方式登录管理员权限帐号,且剩余存储空间大于对应的镜像容器及运行时所需的临时文件总尺寸。
基于上述的基于容器的智能网络安全功能管理***,本实施例还提供一种基于容器的智能网络安全功能管理方法,包括:
通过初始配置流程,完成智能网络安全功能管理的冷启动;
在面临潜在的安全风险时,通过安全等级提升进行协同防护;
在较长时间未发现潜在的安全风险时,进行安全等级解除。
如图2所示,所述初始配置流程包括以下步骤:
a、分别安装安全决策中心、决策规则库、容器镜像库、安全事件库,将决策规则库、容器镜像库、安全事件库中的安全决策中心IP正确配置;
b、在安全决策中心内,配置网络环境中相关终端设备的地址、端口和型号等信息;
c、初始化镜像库,在线下载防火墙、入侵检测、主机监控和蜜罐四类载荷的最新代码,并使用典型配置封装为源镜像;
d、初始化安全事件库,清除所有事件标志;
e、初始化决策规则库,配置默认防护规则;
f、启动安全决策中心,安全决策中心自动连接至网络环境中的相关终端设备,下发防火墙载荷;
g、相关终端设备接收到防火墙载荷,在容器环境中加载并运行,开启安全事件监听;
h、相关终端设备将生成的安全事件提交到安全事件库。
如图3所示,所述安全等级提升包括以下步骤:
a、当终端设备遭受网络攻击或执行异常操作,生成可疑安全事件并提交到安全事件库;
b、安全事件库接收到可疑安全事件,经过预处理,将其划分为可能涉及攻击的事件类型;
c、安全决策中心扫描所有可能涉及攻击的事件类型,调用决策规则库进行疑似攻击行为匹配;
d、决策规则库的匹配过程中,命中了若干条攻击规则,决策规则库的规则服务将这些攻击规则发送至安全决策中心;
e、安全决策中心提取出攻击规则的后件,将其传输至容器镜像库;
f、容器镜像库按照攻击规则的后件的要求,基于源镜像生成新的镜像载荷;
g、容器镜像库中的镜像服务将新的镜像载荷发送至安全决策中心;
h、安全决策中心将网络环境安全等级上调;
i、安全决策中心将新的镜像载荷发送至上报可疑安全事件的终端设备,以及同类型的终端设备;
j、新的镜像载荷在终端设备上安装和运行。
如图4所示,所述安全等级解除包括以下步骤:
a、较长时间内未发生新增可疑安全事件,决策规则库中的安全等级解除规则被触发;
b、安全决策中心扫描到新触发的安全等级解除规则,提取出安全等级解除规则的后件,将其传输至容器镜像库;
c、容器镜像库按照安全等级解除规则的后件的要求,基于源镜像生成新的镜像载荷;
d、容器镜像库中的镜像服务将新的镜像载荷发送至安全决策中心;
e、安全决策中心将网络环境安全等级下调;
f、安全决策中心将新的镜像载荷发送至相关的终端设备;
g、新的镜像载荷在终端设备上安装和运行。
采用本发明的基于容器化的智能网络安全功能管理方法及***,具有如下有益效果:
(1)支持安全功能在网络环境中的动态加载。当前诡异多变的零日漏洞攻击、APT攻击等攻击样式都对信息***的防护能力构成了严峻挑战。本发明能够以动态、实时方式进行规则升级与安全策略维护,其提供的安全功能效用随着时间而逐渐增加,实现与攻击者水平相对应的、具有抵抗一定程度风险的预期安全防护能力。
(2)支持全局视角下安全功能的协调和针对性配置。为使单一安全软硬件设备的功能不至于成为整个***的短板,本发明从全局角度去感知和分析安全威胁,针对每个安全软硬件设备的特点进行针对性配置,实现整体安全能力的均衡。
(3)支持威胁检测速度与精度的均衡化。针对每一类网络安全软硬件设备在运行过程中都会产生固定的运行开销问题,本发明能够实时判断当前面临的安全风险等级,在安全风险较高时上调全局安全防护功能强度,重点保障网络与业务环境安全;在安全风险较低时降低安全等级,解除安全资源的高占用,为网络和业务的运行提供充足的资源保障。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种基于容器的智能网络安全功能管理方法,其特征在于,包括:
通过初始配置流程,完成智能网络安全功能管理的冷启动;
在面临潜在的安全风险时,通过安全等级提升进行协同防护;
在较长时间未发现潜在的安全风险时,进行安全等级解除。
2.如权利要求1所述的基于容器的智能网络安全功能管理方法,其特征在于,所述初始配置流程包括以下步骤:
a、分别安装安全决策中心、决策规则库、容器镜像库、安全事件库,将决策规则库、容器镜像库、安全事件库中的安全决策中心IP正确配置;
b、在安全决策中心内,配置网络环境中相关终端设备的地址、端口和型号;
c、初始化镜像库,在线下载防火墙、入侵检测、主机监控和蜜罐四类载荷的最新代码,并使用典型配置封装为源镜像;
d、初始化安全事件库,清除所有事件标志;
e、初始化决策规则库,配置默认防护规则;
f、启动安全决策中心,安全决策中心自动连接至网络环境中的相关终端设备,下发防火墙载荷;
g、相关终端设备接收到防火墙载荷,在容器环境中加载并运行,开启安全事件监听;
h、相关终端设备将生成的安全事件提交到安全事件库。
3.如权利要求1所述的基于容器的智能网络安全功能管理方法,其特征在于,所述安全等级提升包括以下步骤:
a、当终端设备遭受网络攻击或执行异常操作,生成可疑安全事件并提交到安全事件库;
b、安全事件库接收到可疑安全事件,经过预处理,将其划分为可能涉及攻击的事件类型;
c、安全决策中心扫描所有可能涉及攻击的事件类型,调用决策规则库进行疑似攻击行为匹配;
d、决策规则库的匹配过程中,命中了若干条攻击规则,决策规则库的规则服务将这些攻击规则发送至安全决策中心;
e、安全决策中心提取出攻击规则的后件,将其传输至容器镜像库;
f、容器镜像库按照攻击规则的后件的要求,基于源镜像生成新的镜像载荷;
g、容器镜像库中的镜像服务将新的镜像载荷发送至安全决策中心;
h、安全决策中心将网络环境安全等级上调;
i、安全决策中心将新的镜像载荷发送至上报可疑安全事件的终端设备,以及同类型的终端设备;
j、新的镜像载荷在终端设备上安装和运行。
4.如权利要求1所述的基于容器的智能网络安全功能管理方法,其特征在于,所述安全等级解除包括以下步骤:
a、较长时间内未发生新增可疑安全事件,决策规则库中的安全等级解除规则被触发;
b、安全决策中心扫描到新触发的安全等级解除规则,提取出安全等级解除规则的后件,将其传输至容器镜像库;
c、容器镜像库按照安全等级解除规则的后件的要求,基于源镜像生成新的镜像载荷;
d、容器镜像库中的镜像服务将新的镜像载荷发送至安全决策中心;
e、安全决策中心将网络环境安全等级下调;
f、安全决策中心将新的镜像载荷发送至相关的终端设备;
g、新的镜像载荷在终端设备上安装和运行。
5.一种基于容器的智能网络安全功能管理***,其特征在于,包括:安全决策中心、决策规则库、容器镜像库、安全事件库和终端设备;所述安全决策中心与决策规则库、容器镜像库、安全事件库和终端设备进行通信。
6.如权利要求5所述的基于容器的智能网络安全功能管理***,其特征在于,所述安全决策中心,包括:
事件分析组件,用于从安全事件库中读取安全事件,并通过计算完成对网络环境中安全状态和安全风险的分析、解读和量化;
规则推理组件,用于从决策规则库中读取决策规则,通过将安全事件分析结果与规则生效条件进行匹配计算,筛选出当前情况下适用并触发的规则实例;
镜像生成组件,用于接收规则推理组件筛选得到的规则实例,读取实例中用于指导下一步操作的行为模板,并将模板中的相关参数发送至容器镜像库以生成镜像。
交互与转发接口组件负责与决策规则库、容器镜像库、安全事件库以及终端设备之间的格式化通信。
7.如权利要求5所述的基于容器的智能网络安全功能管理***,其特征在于,所述容器镜像库,包括:
镜像源组件,用于存储可用于生成组合镜像的基本安全功能代码;
镜像生成组件,用于将镜像源组件中存储的基本安全功能代码通过指定配置打包为镜像;
镜像管理组件,用于新增、查看、修改、删除当前容器镜像库中的源镜像或生成的镜像;
镜像服务组件,用于在安全决策中心的指令下,将指定生成的镜像推送到终端设备。
8.如权利要求5所述的基于容器的智能网络安全功能管理***,其特征在于,所述安全事件库,包括:
事件接收组件,用于接收和采集来自终端设备上报的安全事件,并将所有接收到的数据暂存;
事件预处理组件,用于按照接收到安全事件的具体格式的内容进行分类和格式化;
事件管理组件,用于查看、修改、删除当前安全事件库中的所有安全事件;
事件服务组件,用于在安全决策中心的指令下,将特定类型、特定时间段、特定源、特定目标或符合特定组合条件规则的事件发送至安全决策中心,供其分析和决策使用。
9.如权利要求5所述的基于容器的智能网络安全功能管理***,其特征在于,所述决策规则库,包括:
规则设置组件,用于通过手工或自动化导入方式新建规则;
规则管理组件,用于查看、修改、删除当前决策规则库中的所有规则;
规则学习组件,用于从安全事件中自动提取规则;
规则服务组件,用于在安全决策中心的指令下,将特定类型、特定前件、特定优先级或符合特定组合条件的规则发送至安全决策中心,供其分析和决策使用。
10.如权利要求5所述的基于容器的智能网络安全功能管理***,其特征在于,所述终端设备可接收从安全决策中心下发的容器镜像,并进行安装和运行。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910001284.9A CN109729089B (zh) | 2019-01-02 | 2019-01-02 | 一种基于容器的智能网络安全功能管理方法及*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910001284.9A CN109729089B (zh) | 2019-01-02 | 2019-01-02 | 一种基于容器的智能网络安全功能管理方法及*** |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109729089A true CN109729089A (zh) | 2019-05-07 |
CN109729089B CN109729089B (zh) | 2021-04-27 |
Family
ID=66298730
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910001284.9A Active CN109729089B (zh) | 2019-01-02 | 2019-01-02 | 一种基于容器的智能网络安全功能管理方法及*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109729089B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114050967A (zh) * | 2021-08-16 | 2022-02-15 | 湖州学院 | 一种基于容器的智能网络安全功能管理方法及*** |
CN114780168A (zh) * | 2022-03-30 | 2022-07-22 | 全球能源互联网研究院有限公司南京分公司 | 智能终端容器安全策略动态变更的方法、装置及电子设备 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2007066412A1 (ja) * | 2005-12-09 | 2007-06-14 | Matsushita Electric Industrial Co., Ltd. | 情報通信端末装置およびこの装置を含む自動バックアップシステム |
CN104767876A (zh) * | 2015-03-03 | 2015-07-08 | 中国联合网络通信集团有限公司 | 基于软件的安全处理方法和用户终端 |
CN106572120A (zh) * | 2016-11-11 | 2017-04-19 | 中国南方电网有限责任公司 | 一种基于混合云的访问控制方法及*** |
CN107733877A (zh) * | 2017-09-27 | 2018-02-23 | 中科鼎慧(天津)物联网技术有限公司 | 一种物联网无线通讯架构的管理方法及*** |
-
2019
- 2019-01-02 CN CN201910001284.9A patent/CN109729089B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2007066412A1 (ja) * | 2005-12-09 | 2007-06-14 | Matsushita Electric Industrial Co., Ltd. | 情報通信端末装置およびこの装置を含む自動バックアップシステム |
CN104767876A (zh) * | 2015-03-03 | 2015-07-08 | 中国联合网络通信集团有限公司 | 基于软件的安全处理方法和用户终端 |
CN106572120A (zh) * | 2016-11-11 | 2017-04-19 | 中国南方电网有限责任公司 | 一种基于混合云的访问控制方法及*** |
CN107733877A (zh) * | 2017-09-27 | 2018-02-23 | 中科鼎慧(天津)物联网技术有限公司 | 一种物联网无线通讯架构的管理方法及*** |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114050967A (zh) * | 2021-08-16 | 2022-02-15 | 湖州学院 | 一种基于容器的智能网络安全功能管理方法及*** |
CN114780168A (zh) * | 2022-03-30 | 2022-07-22 | 全球能源互联网研究院有限公司南京分公司 | 智能终端容器安全策略动态变更的方法、装置及电子设备 |
CN114780168B (zh) * | 2022-03-30 | 2023-04-28 | 全球能源互联网研究院有限公司南京分公司 | 智能终端容器安全策略动态变更的方法、装置及电子设备 |
Also Published As
Publication number | Publication date |
---|---|
CN109729089B (zh) | 2021-04-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10671723B2 (en) | Intrusion detection system enrichment based on system lifecycle | |
CN101951384B (zh) | 一种分布式安全域逻辑边界保护方法 | |
CN107659543A (zh) | 面向云平台apt攻击的防护方法 | |
CN114372286A (zh) | 数据安全管理方法、装置、计算机设备及存储介质 | |
Backman | Conceptualizing cyber crises | |
CN113422779B (zh) | 一种基于集中管控的积极的安全防御的*** | |
Du | Application of information communication network security management and control based on big data technology | |
CN113645213A (zh) | 一种基于vpn技术的多终端网络管理监控*** | |
Eastman et al. | Big data and predictive analytics: on the cybersecurity front line | |
Bellini et al. | Cyber Resilience in IoT network: Methodology and example of assessment through epidemic spreading approach | |
Klement et al. | Open or not open: Are conventional radio access networks more secure and trustworthy than Open-RAN? | |
CN109729089A (zh) | 一种基于容器的智能网络安全功能管理方法及*** | |
CN115361186A (zh) | 一种面向工业互联网平台的零信任网络架构 | |
Toker et al. | Mitre ics attack simulation and detection on ethercat based drinking water system | |
CN103312693A (zh) | 音视频访问控制网关设备 | |
Rajaboevich et al. | Methods and intelligent mechanisms for constructing cyberattack detection components on distance-learning systems | |
CN106534223B (zh) | 基于密钥算法和日志审计的Openstack访问控制方法 | |
CN113971288A (zh) | 一种基于大数据技术智慧校园安全管控平台 | |
CN110378120A (zh) | 应用程序接口攻击检测方法、装置以及可读存储介质 | |
CN110213301A (zh) | 一种转移网络攻击面的方法、服务器和*** | |
Lakka et al. | Incident handling for healthcare organizations and supply-chains | |
[Retracted] Design of a Network Security Audit System Based on Log Data Mining | ||
Rawal et al. | Cybersecurity and Identity Access Management | |
CN114189355A (zh) | 一种分层网络安全防护一体化联动防御方法 | |
Li et al. | Defense-in-depth framework for microgrid secure operations against cyberattacks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |