JP7480322B2 - デバイス保護方法及びデバイス - Google Patents

デバイス保護方法及びデバイス Download PDF

Info

Publication number
JP7480322B2
JP7480322B2 JP2022549302A JP2022549302A JP7480322B2 JP 7480322 B2 JP7480322 B2 JP 7480322B2 JP 2022549302 A JP2022549302 A JP 2022549302A JP 2022549302 A JP2022549302 A JP 2022549302A JP 7480322 B2 JP7480322 B2 JP 7480322B2
Authority
JP
Japan
Prior art keywords
security device
statistical analysis
security
internet
edge
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2022549302A
Other languages
English (en)
Other versions
JP2023513387A (ja
Inventor
鳳賢 黄
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Technologies Co Ltd
Original Assignee
New H3C Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by New H3C Technologies Co Ltd filed Critical New H3C Technologies Co Ltd
Publication of JP2023513387A publication Critical patent/JP2023513387A/ja
Application granted granted Critical
Publication of JP7480322B2 publication Critical patent/JP7480322B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/34Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters 
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は通信技術の分野に関し、特にデバイス保護方法及びデバイスに関する。
モノのインターネット(The Internet of Things、IOT)は、あらゆるものがつながるインターネットであり、インターネットに基づいて拡大及び拡張されたネットワークである。様々なモノのインターネットデバイスをインターネットと組み合わせることにより、巨大なネットワークが形成され、いつでもどこでも人・マシン・モノの相互接続を実現することができる。
モノのインターネットの普及に伴って、ますます多くのモノのインターネットデバイス(すなわち、カメラ、スマートフォン、スマートテレビ等の様々なタイプのモノのインターネット端末)はモノのインターネットに接続され、モノのインターネットデバイスへの攻撃は多発するようになっている。攻撃者はユーザーのプライバシーデータをモノのインターネットデバイスから取得する恐れがあり、すなわち、モノのインターネットデバイスに記憶されているデータ(例えば、ユーザーが自分使用するカメラの場合、カメラに収集・記憶されているデータはユーザーのプライバシーデータ)は不正取得、不正漏洩及び無断使用等のリスクに直面している。
モノのインターネットデバイスのプライバシーデータを保護するために、関連技術では、中央セキュリティデバイスは、モノのインターネットデバイスの位置する環境に対してセキュリティ分析を行い、分析結果に基づいてモノのインターネットデバイスを保護する。しかしながら、セキュリティ分析には大量のコンピューティングリソースの消費が必要であるため、モノのインターネットデバイスの大幅な増加に伴って、中央セキュリティデバイスのコンピューティングリソースは大量のモノのインターネットデバイスの保護ニーズを満たすことができなくなる。
本発明は、エッジセキュリティデバイス又はモノのインターネットデバイスを保護し、中央セキュリティデバイスのコンピューティングリソースを節約し、大量のデバイスの保護ニーズを満たすことができるデバイス保護方法及びデバイスを提供する。
第1態様によれば、本発明は、エッジセキュリティデバイスに適用されるデバイス保護方法を提供し、
前記エッジセキュリティデバイスが動作中に生成した複数の第1セキュリティイベント情報を取得するステップと、
前記複数の第1セキュリティイベント情報に対して統計分析を行い、第1統計分析情報を得るステップと、
中央セキュリティデバイスに前記第1統計分析情報に基づいて第1ターゲット保護テンプレートを生成させるように、前記中央セキュリティデバイスに前記第1統計分析情報を送信するステップであって、前記第1ターゲット保護テンプレートは前記第1統計分析情報に基づいて生成されたセキュリティ保護ポリシーを含む、ステップと、
前記中央セキュリティデバイスから送信された前記第1ターゲット保護テンプレートを受信するステップと、
前記第1ターゲット保護テンプレートにおけるセキュリティ保護ポリシーに基づいてエッジセキュリティデバイスを保護するステップとを含む。
第2態様によれば、本発明は、モノのインターネットデバイスに適用されるデバイス保護方法を提供し、
前記モノのインターネットデバイスが動作中に生成した複数の第2セキュリティイベント情報を取得するステップと、
前記複数の第2セキュリティイベント情報に対して統計分析を行い、第3統計分析情報を得るステップと、
エッジセキュリティデバイスが中央セキュリティデバイスに前記第3統計分析情報を送信することによって、前記中央セキュリティデバイスに前記第3統計分析情報に基づいて第2ターゲット保護テンプレートを生成させるように、前記エッジセキュリティデバイスに前記第3統計分析情報を送信するステップであって、前記第2ターゲット保護テンプレートは前記第3統計分析情報に基づいて生成されたセキュリティ保護ポリシーを含む、ステップと、
前記エッジセキュリティデバイスから送信された前記第2ターゲット保護テンプレートを受信するステップと、
前記第2ターゲット保護テンプレートにおけるセキュリティ保護ポリシーに基づいてモノのインターネットデバイスを保護するステップとを含む。
第3態様によれば、本発明はエッジセキュリティデバイスを提供し、プロセッサと、前記プロセッサによって実行できる機械実行可能命令が記憶されている機械可読記憶媒体とを含み、前記プロセッサは、機械実行可能命令を実行するときに、
前記エッジセキュリティデバイスが動作中に生成した複数の第1セキュリティイベント情報を取得するステップと、
前記複数の第1セキュリティイベント情報に対して統計分析を行い、第1統計分析情報を得るステップと、
中央セキュリティデバイスに前記第1統計分析情報に基づいて第1ターゲット保護テンプレートを生成させるように、前記中央セキュリティデバイスに前記第1統計分析情報を送信するステップであって、前記第1ターゲット保護テンプレートは前記第1統計分析情報に基づいて生成されたセキュリティ保護ポリシーを含む、ステップと、
前記中央セキュリティデバイスから送信された前記第1ターゲット保護テンプレートを受信するステップと、
前記第1ターゲット保護テンプレートにおけるセキュリティ保護ポリシーに基づいてエッジセキュリティデバイスを保護するステップと、を実施することに用いられる。
第4態様によれば、本発明はモノのインターネットデバイスを提供し、プロセッサと、前記プロセッサによって実行できる機械実行可能命令が記憶されている機械可読記憶媒体とを含み、
前記プロセッサは、機械実行可能命令を実行するときに、
前記モノのインターネットデバイスが動作中に生成した複数の第2セキュリティイベント情報を取得するステップと、
前記複数の第2セキュリティイベント情報に対して統計分析を行い、第3統計分析情報を得るステップと、
エッジセキュリティデバイスは中央セキュリティデバイスに前記第3統計分析情報を送信することによって、前記中央セキュリティデバイスに前記第3統計分析情報に基づいて第2ターゲット保護テンプレートを生成させるように、前記エッジセキュリティデバイスに前記第3統計分析情報を送信するステップであって、前記第2ターゲット保護テンプレートは前記第3統計分析情報に基づいて生成されたセキュリティ保護ポリシーを含む、ステップと、
前記エッジセキュリティデバイスから送信された前記第2ターゲット保護テンプレートを受信するステップと、
前記第2ターゲット保護テンプレートにおけるセキュリティ保護ポリシーに基づいてモノのインターネットデバイスを保護するステップと、を実施することに用いられる。
上記の技術的解決手段から分かるように、本発明では、エッジセキュリティデバイスが第1ターゲット保護テンプレートによって保護されるため、エッジセキュリティデバイスのデータセキュリティを保護し、攻撃者がエッジセキュリティデバイスからユーザーのプライバシーデータを取得することを回避する。モノのインターネットデバイスが第2ターゲット保護テンプレートによって保護されるため、モノのインターネットデバイスのデータセキュリティを保護し、攻撃者がモノのインターネットデバイスからユーザーのプライバシーデータを取得することを回避する。セキュリティイベント情報の統計分析がエッジセキュリティデバイス及びモノのインターネットデバイスによって行われるため、中央セキュリティデバイスのコンピューティングリソースの代わりにエッジセキュリティデバイス及びモノのインターネットデバイスのコンピューティングリソースを使用して統計分析を行い、中央セキュリティデバイスのコンピューティングリソースを節約する。
本発明の1つの実施形態におけるシステムの構造模式図である。 本発明の1つの実施形態におけるデバイス保護方法のフローチャートである。 本発明の別の1つの実施形態におけるデバイス保護方法のフローチャートである。 本発明の1つの実施形態におけるタスク処理方法のフローチャートである。 本発明の1つの実施形態における登録プロセスの模式図である。 本発明の1つの実施形態における初期保護テンプレートの伝送模式図である。 本発明の1つの実施形態におけるターゲット保護テンプレートの伝送模式図である。 本発明の1つの実施形態におけるリソースプールの模式図である。 本発明の1つの実施形態におけるリソースプールの模式図である。 本発明の1つの実施形態における電子デバイスのハードウェア構造図である。
図1に示すように、モノのインターネットのシステム構造模式図であり、該システム構造は、中央セキュリティデバイス11と、エッジセキュリティデバイス12と、モノのインターネットデバイス13とを含む。エッジセキュリティデバイス12は複数であってもよく、図1は2つのエッジセキュリティデバイス12を示している。各エッジセキュリティデバイス12は複数のモノのインターネットデバイス13に接続でき、図1はエッジセキュリティデバイス12に接続される3つのモノのインターネットデバイス13を示している。
中央セキュリティデバイス11は、クラウドセキュリティセンターと呼ばれ、セキュリティの脅威をリアルタイムで識別、分析、警告するセキュリティ管理システムであり、ランサムウェア対策、ウイルス対策、改ざん防止、コンプライアンス検査等のセキュリティ能力により、エッジセキュリティデバイス12及びモノのインターネットデバイス13を保護し、例えば、データセキュリティを保護する。
エッジセキュリティデバイス12又はモノのインターネットデバイス13を保護するために、中央セキュリティデバイス11は、エッジセキュリティデバイス12又はモノのインターネットデバイス13の実行環境に対してセキュリティ分析を行い、且つ分析結果に基づいてエッジセキュリティデバイス12又はモノのインターネットデバイス13を保護する必要がある。しかし、上記方法では、中央セキュリティデバイス11は、大量のコンピューティングリソースの消費が必要であるセキュリティ分析を行う。
上記に鑑み、本発明の実施例では、エッジセキュリティデバイス12と複数のモノのインターネットデバイス13はエッジセキュリティ領域を形成することができ、エッジセキュリティ領域内のエッジセキュリティデバイス12及びモノのインターネットデバイス13はセキュリティ分析作業を行う。つまり、エッジセキュリティデバイス12及びモノのインターネットデバイス13のコンピューティングリソースに基づいてセキュリティ分析作業を行うことにより、中央セキュリティデバイス11のコンピューティングリソースを節約することができる。
明らかなように、上記方法はクラウドセキュリティセンターの機能を各エッジセキュリティ領域に配置し、これらのエッジセキュリティ領域は必要に応じてネットワークのエッジに分布し、エッジセキュリティ領域のコンピューティングリソースを十分に利用し、分析操作をクラウドセキュリティセンターからエッジセキュリティ領域に移動することができる。それにより、エッジセキュリティ領域のコンピューティングリソースを共有して使用する。
エッジセキュリティ領域はES(Edge security、エッジセキュリティ)領域、すなわちES-regionと呼ばれてもよく、エッジセキュリティ領域はエッジセキュリティデバイス12及び複数のモノのインターネットデバイス13を含んでもよい。エッジセキュリティデバイス12は、エッジセキュリティコア(ES-core、すなわちESコア)と呼ばれてもよく、ネットワークのエッジに位置するゲートウェイ、アクセスノード、又はエッジサーバ等である。モノのインターネットデバイス13はエッジセキュリティノード(ES-node、すなわちESノード)と呼ばれてもよく、様々なタイプのセンサ、カメラ、スマートフォン、スマートテレビ、スマートエアコン、スマート冷蔵庫、モノのインターネット自動車等のセキュリティ保護を行う必要があるデバイスである。
以下、具体的な実施例を組み合わせて、本発明の実施例の技術的解決手段を説明する。
実施例1:本発明の実施例はデバイス保護方法を提案し、図2に示すように、デバイス保護方法のフローチャートであり、該方法はエッジセキュリティデバイスに適用され、該方法はステップ201~ステップ205を含む。
ステップ201では、エッジセキュリティデバイスが動作中に生成した複数の第1セキュリティイベント情報を取得する。
ステップ202では、複数の第1セキュリティイベント情報に対して統計分析を行い、第1統計分析情報を得る。
例示的に、エッジセキュリティデバイス12の動作中に、エッジセキュリティデバイス12で発生するセキュリティイベントの全部又は一部を監視し、且つこれらのセキュリティイベントの情報を収集することができる。区別を容易にするために、これらのセキュリティイベントの情報を第1セキュリティイベント情報と呼ぶ。例えば、エッジセキュリティデバイス12でポート脆弱性攻撃イベントが発生した場合、ポート脆弱性攻撃イベントに関連する情報を収集し、エッジセキュリティデバイス12でウイルス攻撃イベントが発生した場合、ウイルス攻撃イベントに関連する情報を収集する。
複数の第1セキュリティイベント情報を得た後、エッジセキュリティデバイス12は複数の第1セキュリティイベント情報に対して統計分析を行い、ここでは、この統計分析過程は限定されない。例示的に、セキュリティイベントの発生の数を統計し、例えば、10回のポート脆弱性攻撃イベント、20回のウイルス攻撃イベント、10回のタイプAのウイルス攻撃イベント等が発生した。また、例えば、重大なレベルのセキュリティイベントの数を統計し、通常レベルのセキュリティイベントの数を統計する等が挙げられる。また例えば、エッジセキュリティデバイス12のセキュリティレベルを分析し、エッジセキュリティデバイス12が大量の攻撃にさらされた場合、セキュリティレベルが低い。勿論、上記内容がいくつかの例示的なものに過ぎず、これらに限定されるものではなく、第1セキュリティイベント情報に基づいて行われるすべての統計及び分析操作は、本発明の範囲内に属する。
ステップ203では、第1統計分析情報を得た後、中央セキュリティデバイスに該第1統計分析情報に基づいて第1ターゲット保護テンプレート(第1ターゲット保護テンプレートは第1ターゲットセキュリティテンプレート又は第1ターゲット防御テンプレートと呼ばれてもよい)を生成させるように、中央セキュリティデバイスに第1統計分析情報を送信し、第1ターゲット保護テンプレートは該第1統計分析情報に基づいて生成されたセキュリティ保護ポリシーを含む。
中央セキュリティデバイス11は、第1統計分析情報を受信した後、該第1統計分析情報に基づいてセキュリティ保護ポリシーを生成することができる。例えば、該第1統計分析情報がエッジセキュリティデバイス12で大量のタイプAのウイルス攻撃イベントが発生したことを示すと、タイプAのウイルス攻撃イベントに対して防御を行うためのセキュリティ保護ポリシーを生成し、タイプAのウイルス攻撃を回避する。また例えば、該第1統計分析情報がエッジセキュリティデバイス12で大量のポート脆弱性攻撃イベントが発生したことを示すと、ポート脆弱性攻撃イベントに対して防御を行うためのセキュリティ保護ポリシーを生成し、ポート脆弱性攻撃イベントを回避する。
セキュリティ保護ポリシー(1つ又は複数のセキュリティ保護ポリシーであってもよい)を得た後、中央セキュリティデバイス11はセキュリティ保護ポリシーを保護テンプレートに追加することができ、セキュリティ保護ポリシーを追加した後の保護テンプレートは、第1ターゲット保護テンプレートであってもよい。セキュリティ保護ポリシーを追加するための保護テンプレートは、第1初期保護テンプレート(後続の実施例で説明する)であってもよく、デフォルトの保護テンプレート(実際の経験に応じて設定され、予め設定されたデフォルトの保護テンプレートである)であってもよく、空の保護テンプレート(空の保護テンプレートにはコンテンツがない)であってもよく、前回配布された第1ターゲット保護テンプレートであってもよいが、これに限定されない。
例示的に、モノのインターネットには大量のエッジセキュリティデバイス12が存在するため、中央セキュリティデバイス11は大量のエッジセキュリティデバイス12の第1統計分析情報を得ることができる。中央セキュリティデバイス11は、これらの第1統計分析情報をまとめて、複数のエッジセキュリティデバイス12に適用される第1ターゲット保護テンプレートを生成することができる。つまり、同一の第1ターゲット保護テンプレートは複数のエッジセキュリティデバイス12に配布される。
例えば、同じカテゴリ(例えば、同じデバイスタイプ、同じプロセッサタイプ、同じオペレーティングシステムタイプ等、以下、カテゴリ1と記す)の複数のエッジセキュリティデバイス12の第1統計分析情報に基づいて、中央セキュリティデバイス11は、これら全てのエッジセキュリティデバイス12でタイプAのウイルス攻撃イベントが発生したことを知る。これは、カテゴリ1のエッジセキュリティデバイスがタイプAのウイルス攻撃を受けやすいことを示す。従って、カテゴリ1のために第1ターゲット保護テンプレートを生成し、カテゴリ1のすべてのエッジセキュリティデバイス12に第1ターゲット保護テンプレートを送信する。
上記過程は中央セキュリティデバイス11が第1ターゲット保護テンプレートを生成する方法の一例に過ぎず、生成方法および第1ターゲット保護テンプレートのコンテンツについては限定されない。第1ターゲット保護テンプレートを得た後、中央セキュリティデバイス11はエッジセキュリティデバイス12に第1ターゲット保護テンプレートを送信することができる。
ステップ204では、中央セキュリティデバイスから送信された第1ターゲット保護テンプレートを受信する。
ステップ205では、第1ターゲット保護テンプレートにおけるセキュリティ保護ポリシーに基づいてエッジセキュリティデバイスを保護する。エッジセキュリティデバイス12は、第1ターゲット保護テンプレートを得た後、本デバイスに第1ターゲット保護テンプレートを実行することができ、それにより、第1ターゲット保護テンプレートにおけるセキュリティ保護ポリシーに基づいて本デバイスを保護する。
エッジセキュリティデバイス12は、第1ターゲット保護テンプレートにおけるセキュリティ保護ポリシーに基づいて当該デバイスを保護する過程で、ステップ201~205を実行し続け、即ち、新しい第1ターゲット保護テンプレートを得、既存の第1ターゲット保護テンプレートを新しい第1ターゲット保護テンプレートで置き換え、且つ新しい第1ターゲット保護テンプレートに基づいて、エッジセキュリティデバイス12を保護する。このように、第1ターゲット保護テンプレートを更新し続ける。
上記方法は、エッジセキュリティデバイスが第1ターゲット保護テンプレートによって保護されるため、エッジセキュリティデバイスのデータセキュリティを保護し、攻撃者がエッジセキュリティデバイスからユーザーのプライバシーデータを取得することを回避する。複数の第1セキュリティイベント情報の統計分析がエッジセキュリティデバイスによって行われるため、中央セキュリティデバイスのコンピューティングリソースの代わりにエッジセキュリティデバイスのコンピューティングリソースを使用して統計分析を行い、それにより、大量の統計分析操作をエッジセキュリティデバイスに分散し、中央セキュリティデバイスのコンピューティングリソースを節約する。
選択可能に、1つの可能な実施形態では、ステップ201の前に、エッジセキュリティデバイス12に第1ターゲット保護テンプレートが設定されていない場合、エッジセキュリティデバイス12のセキュリティを保護するために、以下のステップを実行してもいい。エッジセキュリティデバイス12がエッジセキュリティデバイス12の第1カテゴリを含む第1テンプレート要求を中央セキュリティデバイス11に送信する。中央セキュリティデバイス11は、第1カテゴリに対応する第1初期保護テンプレート(第1初期保護テンプレートは第1初期セキュリティテンプレート又は第1初期防御テンプレートと呼ばれてもよい)を決定し、エッジセキュリティデバイス12に第1初期保護テンプレートを送信する。エッジセキュリティデバイス12は、第1初期保護テンプレートを受信した後、第1初期保護テンプレートに基づいて、エッジセキュリティデバイス12を保護する。
第1カテゴリは、デバイスタイプ(例えば、メーカー情報、デバイスの機種等)、プロセッサタイプ、オペレーティングシステムタイプ等の少なくとも1つを含むが、これらに限定されない。ここでは、第1カテゴリは限定されない。
中央セキュリティデバイス11は、表1に示されるように、カテゴリと初期保護テンプレートとのマッピング関係表を維持することができる。表1において、カテゴリは、デバイスタイプ+プロセッサタイプ+オペレーティングシステムタイプを表す。中央セキュリティデバイス11は、エッジセキュリティデバイス12の第1カテゴリを得た後、マッピング関係表に該第1カテゴリが存在すると、第1カテゴリに対応する第1初期保護テンプレートをマッピング関係表から問い合わせる。マッピング関係表に該第1カテゴリが存在しないと、デフォルトの保護テンプレート(実際の経験に応じて設定され、予め設定されたデフォルトの保護テンプレートである)を第1カテゴリに対応する第1初期保護テンプレートとする。
Figure 0007480322000001
エッジセキュリティデバイス12は、第1初期保護テンプレートを受信した後、本デバイスで第1初期保護テンプレートを実行する。第1初期保護テンプレートがエッジセキュリティデバイス12を保護するためのセキュリティ保護ポリシーを含むため、エッジセキュリティデバイス12は第1初期保護テンプレートに基づいて、当該デバイスを保護することができる。
第1初期保護テンプレートに基づいて当該デバイスを保護する過程で、ステップ201~205を実行し、第1ターゲット保護テンプレートを得て、既存の第1初期保護テンプレートを第1ターゲット保護テンプレートで置き換える。
以上のように、第1ターゲット保護テンプレートに基づいて、エッジセキュリティデバイス12を保護する前に、まず第1初期保護テンプレートに基づいて、エッジセキュリティデバイス12を保護することができ、エッジセキュリティデバイス12が特定の期間内に保護されないことを回避し、エッジセキュリティデバイス12のセキュリティリスクを回避する。
選択可能に、1つの可能な実施形態では、エッジセキュリティデバイスはさらに、エッジセキュリティデバイスが動作中に生成した複数の第1トラフィック情報を取得し、複数の第1トラフィック情報に対して統計分析を行い、第2統計分析情報を得て、且つ中央セキュリティデバイスに該第2統計分析情報に基づいてトラフィック制御ポリシーを生成させるように、中央セキュリティデバイスに該第2統計分析情報を送信する。
例示的に、エッジセキュリティデバイス12の実行中に、エッジセキュリティデバイス12のトラフィックの全部又は一部(例えばエッジセキュリティデバイス12によって送信されるトラフィック、エッジセキュリティデバイス12によって受信されるトラフィック等)を監視し、且つこれらのトラフィックの情報を収集することができ、区別を容易にするために、これらのトラフィックの情報を第1トラフィック情報と呼ぶ。例えば、第1トラフィック情報は送信元IPアドレス、宛先IPアドレス、アプリケーションタイプ、1分あたりのデータパケット数、プロトコルタイプ等のコンテンツを含み、ここでは、第1トラフィック情報は限定されない。
複数の第1トラフィック情報を得た後、エッジセキュリティデバイス12は複数の第1トラフィック情報に対して統計分析を行い、第2統計分析情報を得て、ここではこの統計分析過程が限定されない。例えば、あるアプリケーションタイプに対応するトラフィックの大きさを統計し、あるIPアドレスに対応するトラフィックの大きさを統計する。例えば、アプリケーションタイプに対応するトラフィックの大きさに基づいて、該アプリケーションタイプにアプリケーション異常が存在するか否かを分析し、IPアドレスに対応するトラフィックの大きさに基づいて、該IPアドレスが攻撃者であるか否かを分析する。勿論、上記内容がいくつかの例示的なものに過ぎず、これに限定されるものではなく、第1トラフィック情報に基づいて行われるすべての統計及び分析操作は、いずれも本発明の範囲内に属す。
中央セキュリティデバイス11は、第2統計分析情報を受信した後、第2統計分析情報に基づいて、トラフィック制御ポリシーを生成する。例えば、第2統計分析情報がアプリケーションタイプAにアプリケーション異常が存在することを示すと、例えば、短い時間で大量のトラフィックを送信する場合、アプリケーションタイプAに対して速度制限処理を行うためのトラフィック制御ポリシーを生成し、且つトラフィック制御ポリシーをエッジセキュリティデバイス12に送信する。それにより、エッジセキュリティデバイス12はトラフィック制御ポリシーに基づいてアプリケーションタイプAに対して速度制限処理を行い、アプリケーションタイプAが大量の帯域幅を占有することを回避する。
また例えば、第2統計分析情報が、IPアドレスAが攻撃者であることを示すと、トラフィック制御ポリシーを生成する。該トラフィック制御ポリシーは、送信元IPアドレスがIPアドレスAであるパケットに対してフィルタリング処理を行うために使用される。トラフィック制御ポリシーを、IPアドレスAがアクセスするモノのインターネットの第1エッジセキュリティデバイス等のエッジセキュリティデバイスに送信する。このエッジセキュリティデバイスは、送信元IPアドレスがIPアドレスAであるパケットを受信するとき、トラフィック制御ポリシーに基づいて該パケットに対してフィルタリング処理を行い、該パケットがモノのインターネットに送信されることを回避する。
例示的に、モノのインターネットに大量のエッジセキュリティデバイス12が存在するため、中央セキュリティデバイス11は大量のエッジセキュリティデバイス12の第2統計分析情報を得ることができる。中央セキュリティデバイス11は、これらの第2統計分析情報をまとめて、複数の第2統計分析情報に基づいてトラフィック制御ポリシーを生成することができる。
例えば、あるエッジセキュリティデバイス12の第2統計分析情報に基づいて、アプリケーションタイプAに異常がないことを知るが、複数のエッジセキュリティデバイス12の第2統計分析情報に基づいて、アプリケーションタイプAに異常があることを知る場合、アプリケーションタイプAに対して速度制限処理を行うためのトラフィック制御ポリシーを生成する。また例えば、特定のエッジセキュリティデバイス12の第2統計分析情報に基づいて、IPアドレスAが攻撃者ではないことを知るが、複数のエッジセキュリティデバイス12の第2統計分析情報に基づいて、IPアドレスAが攻撃者であることを知る場合、パケット(送信元IPアドレスがIPアドレスAである)に対してフィルタリング処理を行うためのトラフィック制御ポリシーを生成する。
実施例2:本発明の実施例はデバイス保護方法を提案し、図3に示すように、デバイス保護方法のフローチャートであり、該方法はモノのインターネットデバイスに適用され、ステップ301~ステップ305を含む。
ステップ301では、モノのインターネットデバイスが動作中に生成した複数の第2セキュリティイベント情報を取得する。
ステップ302では、複数の第2セキュリティイベント情報に対して統計分析を行い、第3統計分析情報を得る。
例示的に、モノのインターネットデバイス13の動作中に、モノのインターネットデバイス13で発生するセキュリティイベントの全部又は一部を監視し、且つこれらのセキュリティイベントの情報を収集し、これらのセキュリティイベントの情報を第2セキュリティイベント情報と記すことができる。複数の第2セキュリティイベント情報を得た後、モノのインターネットデバイス13は複数の第2セキュリティイベント情報に対して統計分析を行い、第3統計分析情報を得る。
ステップ303では、エッジセキュリティデバイスが中央セキュリティデバイスに第3統計分析情報を送信することによって中央セキュリティデバイスに第3統計分析情報に基づいて第2ターゲット保護テンプレート(第2ターゲットセキュリティテンプレート又は第2ターゲット防御テンプレートと呼ばれてもよい)を生成させるように、エッジセキュリティデバイスに第3統計分析情報を送信する。第2ターゲット保護テンプレートは第3統計分析情報に基づいて生成されたセキュリティ保護ポリシーを含む。
エッジセキュリティデバイス12はモノのインターネットデバイス13の第3統計分析情報を取得し、且つ中央セキュリティデバイス11に第3統計分析情報を送信することができる。例示的に、エッジセキュリティデバイス12が複数のモノのインターネットデバイス13の第3統計分析情報を取得できるため、エッジセキュリティデバイス12は、中央セキュリティデバイス11に各第3統計分析情報を送信し、又は、複数の第3統計分析情報をまとめ、且つまとめられた後の1つの第3統計分析情報を中央セキュリティデバイス11に送信することができる。
複数の第3統計分析情報をまとめるとき、データのまとめ、重複コンテンツの除去、無効なコンテンツのフィルタリング、非重複コンテンツのマージ等を行うことができるが、これに限定されない。例えば、1つの第3統計分析情報が10回のポート脆弱性攻撃イベントの発生を含み、別の1つの第3統計分析情報が15回のポート脆弱性攻撃イベントの発生を含むと、まとめられた後の第3統計分析情報は25回のポート脆弱性攻撃イベントの発生を含む。例えば、1つの第3統計分析情報がs1及びs2を含み、別の1つの第3統計分析情報がs2及びs3を含むと、まとめられた後の第3統計分析情報はs1、s2及びs3を含む。勿論、上記内容は情報のまとめの例示的なものに過ぎず、これに限定されるものではない。
中央セキュリティデバイス11は、第3統計分析情報を受信した後、第3統計分析情報に基づいてセキュリティ保護ポリシーを生成し、セキュリティ保護ポリシーを保護テンプレート(例えば第2初期保護テンプレート、又はデフォルトの保護テンプレート、又は前回配布された第2ターゲット保護テンプレート等)に追加し、第2ターゲット保護テンプレートを得る。
例示的に、モノのインターネットに大量なモノのインターネットデバイス13が存在するため、中央セキュリティデバイス11は、複数のエッジセキュリティデバイス12から第3統計分析情報を受信し、且つこれらの第3統計分析情報をまとめ、複数のモノのインターネットデバイス13に適用される第2ターゲット保護テンプレートを生成することができる。つまり、同一の第2ターゲット保護テンプレートが複数のエッジセキュリティデバイス12に配布される。各エッジセキュリティデバイス12に対して、第2ターゲット保護テンプレートを複数のモノのインターネットデバイス13に送信することができる。
ステップ304では、エッジセキュリティデバイスから送信された第2ターゲット保護テンプレートを受信する。
ステップ305では、第2ターゲット保護テンプレートにおけるセキュリティ保護ポリシーに基づいて本デバイスを保護する。
中央セキュリティデバイス11は、第2ターゲット保護テンプレートを得た後、エッジセキュリティデバイス12に第2ターゲット保護テンプレートを送信し、エッジセキュリティデバイス12は、第2ターゲット保護テンプレートを受信した後、モノのインターネットデバイス13に第2ターゲット保護テンプレートを送信する。モノのインターネットデバイス13は、第2ターゲット保護テンプレートを得た後、第2ターゲット保護テンプレートを実行し、第2ターゲット保護テンプレートにおけるセキュリティ保護ポリシーに基づいて当該デバイスを保護する。
モノのインターネットデバイス13が第2ターゲット保護テンプレートにおけるセキュリティ保護ポリシーに基づいて本デバイスを保護する過程で、ステップ301~305を実行し続け、即ち、新しい第2ターゲット保護テンプレートを得、既存の第2ターゲット保護テンプレートを新しい第2ターゲット保護テンプレートで置き換え、且つ新しい第2ターゲット保護テンプレートに基づいて、モノのインターネットデバイス13を保護する。このように、第2ターゲット保護テンプレートを更新し続ける。
上記方法は、モノのインターネットデバイスが第2ターゲット保護テンプレートによって保護されるため、モノのインターネットデバイスのデータセキュリティを保護し、攻撃者がモノのインターネットデバイスからユーザーのプライバシーデータを取得することを回避する。複数の第2セキュリティイベント情報の統計分析がモノのインターネットデバイスによって行われるため、中央セキュリティデバイスのコンピューティングリソースの代わりにモノのインターネットデバイスのコンピューティングリソースを使用して統計分析を行い、それにより、大量の統計分析操作をモノのインターネットデバイスに分散し、中央セキュリティデバイスのコンピューティングリソースを節約する。
選択可能に、1つの可能な実施形態では、ステップ301の前に、モノのインターネットデバイス13に第2ターゲット保護テンプレートが設定されていないと、モノのインターネットデバイス13のセキュリティを保護するために、以下のステップを実行してもいい。モノのインターネットデバイス13がモノのインターネットデバイス13の第2カテゴリを含む第2テンプレート要求をエッジセキュリティデバイス12に送信する。エッジセキュリティデバイス12は、該第2カテゴリに対応する第2初期保護テンプレートを取得し、且つモノのインターネットデバイス13に第2初期保護テンプレートを送信する。モノのインターネットデバイス13は、第2初期保護テンプレートを受信した後、該第2初期保護テンプレートに基づいてモノのインターネットデバイス13を保護する。
第2カテゴリは、モノのインターネットデバイス13のデバイスタイプ(例えば、メーカー情報、デバイスの機種等)、プロセッサタイプ、オペレーティングシステムタイプ等の少なくとも1つを含むがこれらに限定されない。ここでは、これに限定されない。
エッジセキュリティデバイス12は、モノのインターネットデバイス13から送信された第2テンプレート要求を受信したとき、本エッジセキュリティデバイス12に該第2カテゴリに対応する第2初期保護テンプレートが存在するか否かを判断することができる。
存在する場合、エッジセキュリティデバイス12は、中央セキュリティデバイス11に第2テンプレート要求を送信せずに、モノのインターネットデバイス13に第2初期保護テンプレートを直接送信する。つまり、各種の第2カテゴリに対して、エッジセキュリティデバイス12は中央セキュリティデバイス11に第2初期保護テンプレートを一度だけ要求する必要がある。
存在しない場合、エッジセキュリティデバイス12は中央セキュリティデバイス11に第2テンプレート要求を送信し、中央セキュリティデバイス11は、該第2テンプレート要求を受信したとき、第2カテゴリに対応する第2初期保護テンプレートを決定し、且つエッジセキュリティデバイス12に第2初期保護テンプレートを送信する。エッジセキュリティデバイス12は中央セキュリティデバイス11から送信された第2初期保護テンプレートを受信し、且つ第2カテゴリと第2初期保護テンプレートとの対応関係を本デバイスに記憶し、モノのインターネットデバイス13に第2初期保護テンプレートを送信する。
中央セキュリティデバイス11が第2初期保護テンプレートを決定する過程は、中央セキュリティデバイス11が第1初期保護テンプレートを決定する過程と類似であり、ここで繰り返し説明しない。
以上のように、モノのインターネットデバイス13は第2初期保護テンプレートを得て、本デバイスで第2初期保護テンプレートを実行し、第2初期保護テンプレートに基づいて本デバイスを保護することができる。第2初期保護テンプレートに基づいて本デバイスを保護する過程で、ステップ301~305を実行し、第2ターゲット保護テンプレートを得て、既存の第2初期保護テンプレートを第2ターゲット保護テンプレートで置き換える。
以上のように、第2ターゲット保護テンプレートに基づいて本デバイスを保護する前に、まず第2初期保護テンプレートに基づいて本デバイスを保護することができ、本デバイスのセキュリティリスクを回避する。
選択可能に、1つの可能な実施形態では、モノのインターネットデバイスはさらに、モノのインターネットデバイスが動作中に生成した複数の第2トラフィック情報を取得し、複数の第2トラフィック情報に対して統計分析を行い、第4統計分析情報を得て、且つエッジセキュリティデバイスに第4統計分析情報を送信することができる。エッジセキュリティデバイスはモノのインターネットデバイスの第4統計分析情報を取得し、且つ中央セキュリティデバイスに第4統計分析情報に基づいてトラフィック制御ポリシーを生成させるように、中央セキュリティデバイスに第4統計分析情報を送信する。
例示的に、モノのインターネットデバイス13の動作中に、モノのインターネットデバイス13のトラフィックの全部又は一部を監視し、且つこれらのトラフィックの情報、すなわち第2トラフィック情報を収集することができる。複数の第2トラフィック情報を得た後、複数の第2トラフィック情報に対して統計分析を行い、第4統計分析情報を得る。
エッジセキュリティデバイス12は、複数のモノのインターネットデバイス13の第4統計分析情報を取得し、中央セキュリティデバイス11に各第4統計分析情報を送信し、又は、複数の第4統計分析情報をまとめ、且つまとめられた後の1つの第4統計分析情報を中央セキュリティデバイス11に送信することができる。
中央セキュリティデバイス11は第4統計分析情報を受信した後、第4統計分析情報に基づいてトラフィック制御ポリシーを生成し、具体的な生成方法は上記実施例を参照でき、ここで繰り返し説明しない。
実施例3:エッジセキュリティデバイス12とモノのインターネットデバイス13の両方がコンピューティングリソースを有するため、これらのコンピューティングリソースを十分に利用するために、セキュリティ分析タスクをエッジセキュリティデバイス12及び/又はモノのインターネットデバイス13に割り当てて処理させることができる。これに基づいて、本発明の実施例はタスク処理方法を提案し、図4に示すように、タスク処理方法のフローチャートであり、エッジセキュリティデバイスに適用され、該方法は、ステップ401~ステップ403を含む。
ステップ401では、複数のサブタスクを含む処理すべきセキュリティ分析タスクを取得する。
例えば、中央セキュリティデバイス11はセキュリティ分析タスクをエッジセキュリティデバイス12に割り当てて処理させ、それにより、エッジセキュリティデバイス12は処理すべきセキュリティ分析タスクを取得する。ユーザーはセキュリティ分析タスクをエッジセキュリティデバイス12に割り当てて処理させ、それにより、エッジセキュリティデバイス12は処理すべきセキュリティ分析タスクを取得する。
セキュリティ分析タスクについては、IPS(Intrusion Prevention System、侵入防止システム)タイプのタスク、AV(Antivirus、ウイルス対策)タイプのタスク、DDoS攻撃(Distributed denial of Service attack、分散型サービス拒否攻撃)防止タイプのタスクであってもよく、ここでは、これに限定されない。
セキュリティ分析タスクに対して、セキュリティ分析タスクが一連のサブタスクの集合であってもよく、従って、セキュリティ分析タスクを複数のサブタスクに分割することができる。各サブタスクは最小の実行ユニットであり、各サブタスクを独立して実行できる。異なるサブタスクは異なるタスク処理ノードによって実行されてもよく、又は同じタスク処理ノードによって実行されてもよい。複数のサブタスクを実行することにより、セキュリティ分析タスクを完了することができる。
セキュリティ分析タスクは全体的なタスクであってもよく、セキュリティ分析タスクは1つのタスク処理ノード、例えばエッジセキュリティデバイス12によって実行され、この過程は詳しく説明されない。
ステップ402では、各サブタスクに対して、サブタスクを完了するハードウェアリソースの使用量及び複数のタスク処理ノードのハードウェアリソースの残量に基づいて、複数のタスク処理ノードからターゲットタスク処理ノードを選択する。
例示的に、複数のタスク処理ノードからターゲットタスク処理ノードを選択するとき、サブタスクを完了するハードウェアリソースの使用量はターゲットタスク処理ノードのハードウェアリソースの残量よりも小さい必要がある。ハードウェアリソースはプロセッサリソース、メモリリソース、ディスクストレージスペース、ネットワーク帯域幅等であってもよく、ここでは、これに限定されない。プロセッサリソースを例にとると、サブタスク1を完了するハードウェアリソースの使用量が500Mであり、タスク処理ノード1のハードウェアリソースの残量が600Mであり、タスク処理ノード2のハードウェアリソースの残量が400Mであると仮定する場合、タスク処理ノード1をサブタスク1のターゲットタスク処理ノードにする。
エッジセキュリティデバイス12は各タスク処理ノードのハードウェアリソースの残量を取得することができ、この取得方法は限定されず、例えば、タスク処理ノードは自体のハードウェアリソースの残量をエッジセキュリティデバイス12に提供する。エッジセキュリティデバイス12は、各サブタスクを完了するハードウェアリソースの使用量を推定することができ、この推定方法は限定されず、例えば、サブタスクの計算量に基づいて該サブタスクを完了するハードウェアリソースの使用量を推定する。
ステップ403では、ターゲットタスク処理ノードにサブタスクを処理させるように、サブタスクをターゲットタスク処理ノードに割り当てる。例えば、サブタスク1のために選択されるターゲットタスク処理ノードがタスク処理ノード1である場合、サブタスク1をタスク処理ノード1に割り当て、タスク処理ノード1はサブタスク1を処理する。
1つの可能な実施形態では、複数のタスク処理ノードは、本エッジセキュリティデバイス12と、本エッジセキュリティデバイス12によって管理される少なくとも1つのモノのインターネットデバイス13、すなわち本エッジセキュリティデバイス12と同じエッジセキュリティ領域に属するモノのインターネットデバイス13とを含んでもよい。又は、複数のタスク処理ノードは、本エッジセキュリティデバイス12と、本エッジセキュリティデバイス12によって管理される少なくとも1つのモノのインターネットデバイス13と、本エッジセキュリティデバイス12以外の他のエッジセキュリティデバイスによって管理される少なくとも1つのモノのインターネットデバイス、すなわち本エッジセキュリティデバイス12と異なるエッジセキュリティ領域に属するモノのインターネットデバイス13とを含んでもよい。
あるサブタスク1について、サブタスク1のターゲットタスク処理ノードがエッジセキュリティデバイス12である場合、本エッジセキュリティデバイス12に利用可能なコンピューティングリソースが存在すると、利用可能なコンピューティングリソースでサブタスク1を処理し(この処理過程は限定されない)、サブタスク1のタスク処理結果を得る。
サブタスク1のターゲットタスク処理ノードが本エッジセキュリティデバイス12によって管理されるモノのインターネットデバイス13である場合、本エッジセキュリティデバイス12はサブタスク1を該モノのインターネットデバイス13に割り当て、該モノのインターネットデバイス13は、エッジセキュリティデバイス23が配布したサブタスク1を受信し、モノのインターネットデバイス13に利用可能なコンピューティングリソースが存在すると、利用可能なコンピューティングリソースでサブタスク1を処理し、サブタスク1に対応するタスク処理結果を得て、且つエッジセキュリティデバイス12にサブタスク1のタスク処理結果を送信する。
サブタスク1のターゲットタスク処理ノードが本エッジセキュリティデバイス12以外の他のエッジセキュリティデバイスによって管理されるモノのインターネットデバイス13である場合、該モノのインターネットデバイス13に利用可能なコンピューティングリソースでサブタスク1を処理させるように、当該エッジセキュリティデバイス12はサブタスク1を該モノのインターネットデバイス13に割り当てる。
各サブタスクを上記のように処理した後、エッジセキュリティデバイス12は、各サブタスクのタスク処理結果を得て、且つすべてのサブタスクのタスク処理結果をまとめ、セキュリティ分析タスクのタスク処理結果を得ることができ、セキュリティ分析タスクのタスク処理結果を中央セキュリティデバイス11に送信する。
他のエッジセキュリティデバイスによって管理されるモノのインターネットデバイス13の情報を知るために、以下の方法を採用することができる。本エッジセキュリティデバイス12は、本エッジセキュリティデバイス12以外の他のエッジセキュリティデバイスにリソース要求を送信し、且つ該リソース要求に対して他のエッジセキュリティデバイスから返された、他のエッジセキュリティデバイスによって管理されるモノのインターネットデバイスのアドレス情報を含み得るリソース応答を受信する。該リソース応答を受信した後、本エッジセキュリティデバイス12は該アドレス情報に対応するモノのインターネットデバイスをタスク処理ノードとして決定し、つまり、本エッジセキュリティデバイス12はサブタスクを該モノのインターネットデバイスに割り当てて処理させることができる。
例示的に、本エッジセキュリティデバイス12のコンピューティングリソース及び本エッジセキュリティ領域のモノのインターネットデバイス13のコンピューティングリソースが、すべてのサブタスクの処理ニーズを満たすことができない場合、本エッジセキュリティデバイス12は中央セキュリティデバイス11に要求メッセージを送信することができ、中央セキュリティデバイス11は他のエッジセキュリティデバイスの情報(例えばアドレス情報)を本エッジセキュリティデバイス12に送信することができる。他のエッジセキュリティデバイスの情報に基づいて、当該エッジセキュリティデバイス12は他のエッジセキュリティデバイスに上記リソース要求を送信することができる。
実施例4:図5Aは、エッジセキュリティデバイス12及びモノのインターネットデバイス13の登録過程である。
ステップ511~512、エッジセキュリティデバイス12は中央セキュリティデバイス11から第1のSDKをダウンロードする。
例示的に、エッジセキュリティデバイス12がそれ自体のコンピューティングリソースを共有することが可能である場合、エッジセキュリティデバイス12は中央セキュリティデバイス11から第1のSDK(Software Development Kit、ソフトウェア開発キット)をダウンロードし、第1のSDKをインストールすることができ、エッジセキュリティデバイス12は第1のSDKに基づいて上記の統計分析作業を実現し、すなわち第1のSDKは統計分析作業を如何に実現するかを表す。
ステップ513~514、モノのインターネットデバイス13は中央セキュリティデバイス11から第2のSDKをダウンロードする。
例示的に、モノのインターネットデバイス13がそれ自体のコンピューティングリソースを共有することが可能である場合、モノのインターネットデバイス13は中央セキュリティデバイス11から第2のSDKをダウンロードし、第2のSDKをインストールすることができる。
ステップ515~516、モノのインターネットデバイス13はエッジセキュリティデバイス12に登録要求を送信し、エッジセキュリティデバイス12はモノのインターネットデバイス13に登録成功応答を送信し、モノのインターネットデバイス13がエッジセキュリティ領域に参加することを許可する。
例示的に、モノのインターネットデバイス13(例えば第2のSDK)はエッジセキュリティデバイス12に登録要求を送信することができ、該登録要求は、モノのインターネットデバイス13のIPアドレス、MACアドレス、オペレーティングシステムタイプ、セキュリティ管理に適用できる最大のコンピューティング能力(ハードウェアリソースの残量)、セキュリティ構成情報等を含んでもよい。
エッジセキュリティデバイス12は登録要求を受信した後、モノのインターネットデバイス13がエッジセキュリティ領域に参加することを許可し、登録要求に付加される情報を記録し、且つモノのインターネットデバイス13に登録成功応答を送信する。
モノのインターネットデバイス13は登録成功応答を受信した後、自体がエッジセキュリティ領域に参加したことを知り、このように、モノのインターネットデバイス13は統計分析作業をサポートし、セキュリティイベント、トラフィックの統計分析作業を行う。
ステップ517~518、エッジセキュリティデバイス12は中央セキュリティデバイス11に登録要求を送信し、中央セキュリティデバイス11はエッジセキュリティデバイス12に登録成功応答を送信し、エッジセキュリティデバイス12がエッジセキュリティ領域を作成することを許可する。
例示的に、エッジセキュリティデバイス12(例えば第1のSDK)は中央セキュリティデバイス11に登録要求を送信することができ、該登録要求は、エッジセキュリティデバイス12のIPアドレス、MACアドレス、オペレーティングシステムタイプ、セキュリティ管理に適用できる最大のコンピューティング能力(すなわちエッジセキュリティデバイス12のハードウェアリソースの残量とすべてのモノのインターネットデバイス13のハードウェアリソースの残量の合計)、セキュリティ構成情報等を含んでもよい。
中央セキュリティデバイス11は登録要求を受信した後、エッジセキュリティデバイス12がエッジセキュリティ領域を作成することを許可する場合、中央セキュリティデバイス11に登録要求に付加される情報を記録し、且つエッジセキュリティデバイス12に登録成功応答を送信する。エッジセキュリティデバイス12は登録成功応答を受信した後、エッジセキュリティ領域を作成することができ、且つエッジセキュリティデバイス12はエッジセキュリティ領域のマネージャとして機能できる。このように、エッジセキュリティデバイス12は統計分析作業をサポートし、セキュリティイベント、トラフィックの統計分析作業を行うことができる。
例示的に、中央セキュリティデバイス11はエッジセキュリティデバイス12が位置する領域(都市に応じて分割され、又は他の方策に応じて分割されてもよい)のマネージャの数を統計することができ、マネージャの数が予め設定された数の閾値(経験に応じて設定される)よりも大きい場合、エッジセキュリティデバイス12がエッジセキュリティ領域を作成することを許可しなく、マネージャの数が予め設定された数の閾値以下である場合、エッジセキュリティデバイス12のスコアを決定する。スコアが予め設定されたスコアの閾値(経験に応じて設定される)よりも大きい場合、エッジセキュリティデバイス12がエッジセキュリティ領域を作成することを許可する。スコアが予め設定されたスコアの閾値以下である場合、エッジセキュリティデバイス12がエッジセキュリティ領域を作成することを許可しない。
中央セキュリティデバイス11は、エッジセキュリティデバイス12のセキュリティ管理に適用できる最大のコンピューティング能力、エッジセキュリティデバイス12のセキュリティ構成情報等のコンテンツに基づいて、エッジセキュリティデバイス12のスコアを決定することができる。例えば、スコアは該最大のコンピューティング能力*70%+セキュリティ評価レベル*30%であってもよく、セキュリティ評価レベルはセキュリティ構成情報に基づいて決定され、勿論、上記内容が例示的なものに過ぎず、ここでは、これに限定されない。
実施例5:図5Bに示すように、エッジセキュリティデバイス12及びモノのインターネットデバイス13のセキュリティ初期化過程で、エッジセキュリティデバイス12及びモノのインターネットデバイス13に初期保護テンプレートを配布する必要がある。
ステップ521~523、エッジセキュリティデバイス12は、エッジセキュリティデバイス12の第1カテゴリを含む第1テンプレート要求を中央セキュリティデバイス11に送信する。中央セキュリティデバイス11は第1カテゴリに対応する第1初期保護テンプレートを決定し、エッジセキュリティデバイス12に第1初期保護テンプレートを送信する。
ステップ524~525、モノのインターネットデバイス13は、モノのインターネットデバイス13の第2カテゴリを含む第2テンプレート要求をエッジセキュリティデバイス12に送信する。エッジセキュリティデバイス12に第2カテゴリに対応する第2初期保護テンプレートが存在すると、エッジセキュリティデバイス12はモノのインターネットデバイス13に第2初期保護テンプレートを送信する。
ステップ526~529、エッジセキュリティデバイス12に第2カテゴリに対応する第2初期保護テンプレートが存在しないと、エッジセキュリティデバイス12は中央セキュリティデバイス11に第2テンプレート要求を送信する。中央セキュリティデバイス11は第2カテゴリに対応する第2初期保護テンプレートを決定し、エッジセキュリティデバイス12に第2初期保護テンプレートを送信する。エッジセキュリティデバイス12はモノのインターネットデバイス13に第2初期保護テンプレートを送信する。
実施例6:図5Cに示すように、エッジセキュリティデバイス12及びモノのインターネットデバイス13の動作中に、エッジセキュリティデバイス12及びモノのインターネットデバイス13にターゲット保護テンプレートを配布することができる。
ステップ531~533、エッジセキュリティデバイス12は自体の動作中に生成された第1セキュリティイベント情報に対して統計分析を行い、第1統計分析情報を得て、中央セキュリティデバイス11に第1統計分析情報を送信する。中央セキュリティデバイス11は第1統計分析情報に基づいて第1ターゲット保護テンプレートを生成し、エッジセキュリティデバイス12に第1ターゲット保護テンプレートを送信する。
ステップ534~538、モノのインターネットデバイス13は自体の動作中に生成された第2セキュリティイベント情報に対して統計分析を行い、第3統計分析情報を得て、エッジセキュリティデバイス12に第3統計分析情報を送信する。エッジセキュリティデバイス12は中央セキュリティデバイス11に第3統計分析情報を送信する。中央セキュリティデバイス11は第3統計分析情報に基づいて第2ターゲット保護テンプレートを生成し、エッジセキュリティデバイス12に第2ターゲット保護テンプレートを送信し、エッジセキュリティデバイス12はモノのインターネットデバイス13に第2ターゲット保護テンプレートを送信する。
実施例7:図5Dに示すように、エッジセキュリティデバイス12及び本エッジセキュリティ領域のモノのインターネットデバイス13は、分散型のコンピューティングリソースプールを形成することができ、このコンピューティングリソースプールはセキュリティ分析サービスを処理することができる。エッジセキュリティデバイス12はリソース管理及びタスク割り当てを担当する。モノのインターネットデバイス13は、コンピューティングリソースプロバイダであり、その自体の空のコンピューティングリソースを共有し、コンピューティングリソースプールのメンバーになり、コンピューティング及び分析タスクを担当する。例えば、エッジセキュリティデバイス12は処理すべきセキュリティ分析タスクを取得し、セキュリティ分析タスクを複数のサブタスクに分割する。各サブタスクに対して、サブタスクをエッジセキュリティデバイス12又はモノのインターネットデバイス13に割り当てて処理する。各サブタスクの処理を完了した後、エッジセキュリティデバイス12は、各サブタスクのタスク処理結果を得て、すべてのサブタスクのタスク処理結果をまとめ、セキュリティ分析タスクのタスク処理結果を得ることができ、セキュリティ分析タスクのタスク処理結果を中央セキュリティデバイス11に送信する。
例示的に、エッジセキュリティデバイス12はさらに、中央セキュリティデバイス11が該セキュリティ分析タスクを処理するように、処理できないセキュリティ分析タスクを中央セキュリティデバイス11に送信することができる。
実施例8:図5Eに示すように、エッジセキュリティデバイス12、本エッジセキュリティ領域のモノのインターネットデバイス13、本エッジセキュリティ領域以外のモノのインターネットデバイス13は、分散型のコンピューティングリソースプールを形成することができる。
例示的に、特定のエッジセキュリティ領域(ES領域1)の利用可能なリソースが不十分である場合、ES領域1のエッジセキュリティデバイス12は中央セキュリティデバイス11に要求メッセージを送信する。中央セキュリティデバイス11は各ES領域の利用可能なリソース情報を知ることができ(各ES領域は自体の利用可能なリソース情報を中央セキュリティデバイス11に定期的に送信する)、従って、要求メッセージを受信した後、利用可能なリソースが多いES領域(例えばES領域2)を選択し、ES領域2のエッジセキュリティデバイスの情報をES領域1のエッジセキュリティデバイス12に送信する。
ES領域2のエッジセキュリティデバイスの情報に基づいて、ES領域1のエッジセキュリティデバイス12はES領域2のエッジセキュリティデバイスにリソース要求を送信する。リソースが十分である場合に、ES領域2のエッジセキュリティデバイスは、いくつかのモノのインターネットデバイス13のアドレス情報をES領域1のエッジセキュリティデバイス12に返し、それにより、これらのモノのインターネットデバイス13のコンピューティングリソースがES領域1のコンピューティングリソースになり、すなわち、これらのモノのインターネットデバイス13のコンピューティングリソースがES領域1のコンピューティングリソースプールに追加され、コンピューティングリソースプールに基づいてセキュリティ分析サービスが処理される。
例示的に、ES領域1の利用可能なリソースが予め設定された閾値よりも小さい場合、ES領域1のエッジセキュリティデバイス12は中央セキュリティデバイス11に要求メッセージを送信して、上記プロセスを実行する。ES領域1の利用可能なリソースが予め設定された閾値以上である場合、ES領域1はES領域2のモノのインターネットデバイス13のコンピューティングリソースを解放することができ、それにより、ES領域2のモノのインターネットデバイス13のコンピューティングリソースはES領域2のコンピューティングリソースに戻される。
本発明の実施例は、上記方法と同じ発明概念に基づいて、エッジセキュリティデバイスに適用されるデバイス保護装置をさらに提案し、前記デバイス保護装置は、前記エッジセキュリティデバイスが動作中に生成した複数の第1セキュリティイベント情報を取得するための取得モジュールと、前記複数の第1セキュリティイベント情報に対して統計分析を行い、第1統計分析情報を得るための分析モジュールと、中央セキュリティデバイスに前記第1統計分析情報に基づいて第1ターゲット保護テンプレートを生成させるように、前記中央セキュリティデバイスに前記第1統計分析情報を送信するための送信モジュールであって、前記第1ターゲット保護テンプレートは前記第1統計分析情報に基づいて生成されたセキュリティ保護ポリシーを含む、送信モジュールと、前記中央セキュリティデバイスから送信された前記第1ターゲット保護テンプレートを受信するための受信モジュールと、前記第1ターゲット保護テンプレートにおけるセキュリティ保護ポリシーに基づいてエッジセキュリティデバイスを保護するための保護モジュールとを含む。
選択可能に、1つの可能な実施形態では、前記送信モジュールはさらに、中央セキュリティデバイスに前記第1カテゴリに対応する第1初期保護テンプレートを決定させるように、エッジセキュリティデバイスの第1カテゴリを含む第1テンプレート要求を中央セキュリティデバイスに送信することに用いられ、前記受信モジュールはさらに、前記中央セキュリティデバイスから送信された前記第1初期保護テンプレートを受信することに用いられ、前記保護モジュールはさらに、前記第1初期保護テンプレートに基づいて前記エッジセキュリティデバイスを保護することに用いられる。
選択可能に、1つの可能な実施形態では、前記取得モジュールはさらに、前記エッジセキュリティデバイスが動作中に生成した複数の第1トラフィック情報を取得することに用いられ、前記分析モジュールはさらに、前記複数の第1トラフィック情報に対して統計分析を行い、第2統計分析情報を得ることに用いられ、前記送信モジュールはさらに、中央セキュリティデバイスに前記第2統計分析情報に基づいてトラフィック制御ポリシーを生成させるように、前記中央セキュリティデバイスに前記第2統計分析情報を送信することに用いられる。
選択可能に、1つの可能な実施形態では、前記取得モジュールはさらに、複数のサブタスクを含む処理すべきセキュリティ分析タスクを取得することに用いられ、各サブタスクに対して、前記サブタスクを完了するハードウェアリソースの使用量及び複数のタスク処理ノードのハードウェアリソースの残量に基づいて、複数のタスク処理ノードからターゲットタスク処理ノードを選択し、ターゲットタスク処理ノードに前記サブタスクを処理させるように、前記サブタスクをターゲットタスク処理ノードに割り当て、そのうち、複数のタスク処理ノードは、前記エッジセキュリティデバイス、前記エッジセキュリティデバイスによって管理される少なくとも1つのモノのインターネットデバイス、又は、前記エッジセキュリティデバイス、前記エッジセキュリティデバイスによって管理される少なくとも1つのモノのインターネットデバイス、前記エッジセキュリティデバイス以外の他のエッジセキュリティデバイスによって管理される少なくとも1つのモノのインターネットデバイスを含む。
本発明の実施例は、上記方法と同じ発明概念に基づいて、モノのインターネットデバイスに適用されるデバイス保護装置をさらに提案し、前記デバイス保護装置は、
前記モノのインターネットデバイスが動作中に生成した複数の第2セキュリティイベント情報を取得するための取得モジュールと、前記複数の第2セキュリティイベント情報に対して統計分析を行い、第3統計分析情報を得るための分析モジュールと、エッジセキュリティデバイスが中央セキュリティデバイスに前記第3統計分析情報を送信することによって、前記中央セキュリティデバイスに前記第3統計分析情報に基づいて第2ターゲット保護テンプレートを生成させるように、前記エッジセキュリティデバイスに前記第3統計分析情報を送信する送信モジュールであって、前記第2ターゲット保護テンプレートは前記第3統計分析情報に基づいて生成されたセキュリティ保護ポリシーを含む、送信モジュールと、前記エッジセキュリティデバイスから送信された前記第2ターゲット保護テンプレートを受信するための受信モジュールと、前記第2ターゲット保護テンプレートにおけるセキュリティ保護ポリシーに基づいてモノのインターネットデバイスを保護するための保護モジュールとを含む。
選択可能に、1つの可能な実施形態では、前記送信モジュールはさらに、エッジセキュリティデバイスに前記第2カテゴリに対応する第2初期保護テンプレートを取得させるように、モノのインターネットデバイスの第2カテゴリを含む第2テンプレート要求を前記エッジセキュリティデバイスに送信することに用いられ、前記受信モジュールはさらに、前記エッジセキュリティデバイスから送信された前記第2初期保護テンプレートを受信することに用いられ、前記保護モジュールはさらに、前記第2初期保護テンプレートに基づいて前記モノのインターネットデバイスを保護することに用いられる。
選択可能に、1つの可能な実施形態では、前記取得モジュールはさらに、前記モノのインターネットデバイスが動作中に生成した複数の第2トラフィック情報を取得することに用いられ、前記分析モジュールはさらに、前記複数の第2トラフィック情報に対して統計分析を行い、第4統計分析情報を得ることに用いられ、前記送信モジュールはさらに、前記エッジセキュリティデバイスが前記中央セキュリティデバイスに前記第4統計分析情報を送信することによって、前記中央セキュリティデバイスに前記第4統計分析情報に基づいてトラフィック制御ポリシーを生成させるように、前記エッジセキュリティデバイスに前記第4統計分析情報を送信することに用いられる。
本発明の実施例は、上記方法と同じ発明概念に基づいて、電子デバイス(例えばエッジセキュリティデバイス又はモノのインターネットデバイス)をさらに提案し、本発明の実施例により提供された電子デバイスは、ハードウェアから言えば、電子デバイスのハードウェア構造模式図が図6に示される。
電子デバイスは、プロセッサ61と、前記プロセッサ61によって実行できる機械実行可能命令が記憶されている機械可読記憶媒体62とを含んでもよく、前記プロセッサ61は、機械実行可能命令を実行して、本発明の上記各実施例に開示されている方法を実施することに用いられる。
例えば、電子デバイスがエッジセキュリティデバイスである場合、プロセッサ61は、機械実行可能命令を実行して、エッジセキュリティデバイスが動作中に生成した複数の第1セキュリティイベント情報を取得するステップと、複数の第1セキュリティイベント情報に対して統計分析を行い、第1統計分析情報を得るステップと、中央セキュリティデバイスに前記第1統計分析情報に基づいて第1ターゲット保護テンプレートを生成させるように、中央セキュリティデバイスに第1統計分析情報を送信するステップであって、前記第1ターゲット保護テンプレートは前記第1統計分析情報に基づいて生成されたセキュリティ保護ポリシーを含む、ステップと、中央セキュリティデバイスから送信された前記第1ターゲット保護テンプレートを受信するステップと、前記第1ターゲット保護テンプレートにおけるセキュリティ保護ポリシーに基づいてエッジセキュリティデバイスを保護するステップと、を実施することに用いられる。
例えば、電子デバイスがモノのインターネットデバイスである場合、プロセッサ61は、機械実行可能命令を実行して、モノのインターネットデバイスが動作中に生成した複数の第2セキュリティイベント情報を取得するステップと、前記複数の第2セキュリティイベント情報に対して統計分析を行い、第3統計分析情報を得るステップと、エッジセキュリティデバイスに前記第3統計分析情報を送信し、それによりエッジセキュリティデバイスが中央セキュリティデバイスに前記第3統計分析情報を送信し、中央セキュリティデバイスが前記第3統計分析情報に基づいて第2ターゲット保護テンプレートを生成するステップであって、前記第2ターゲット保護テンプレートは前記第3統計分析情報に基づいて生成されたセキュリティ保護ポリシーを含む、ステップと、前記エッジセキュリティデバイスから送信された前記第2ターゲット保護テンプレートを受信するステップと、前記第2ターゲット保護テンプレートにおけるセキュリティ保護ポリシーに基づいてモノのインターネットデバイスを保護するステップと、を実現することに用いられる。
本発明の実施例は、上記方法と同じ発明概念に基づいて、機械可読記憶媒体をさらに提供し、前記機械可読記憶媒体には、プロセッサによって実行されると本発明の上記例に開示されている方法を実現できるいくつかのコンピュータ命令が記憶されている。
例示的には、上記機械可読記憶媒体は、任意の電子、磁気、光学又は他の物理記憶装置であってもよく、情報、例えば、実行可能命令、データなどを含むか又は記憶することができる。たとえば、機械可読記憶媒体は、RAM(Radom Access Memory、ランダムアクセスメモリ)、揮発性メモリ、非揮発性メモリ、フラッシュ、記憶ドライバ(例えばハードディスクドライバ)、ソリッドステートハードディスク、任意のタイプの記憶ディスク(例えば光ディスク、dvdなど)、又は類似の記憶媒体、又はこれらの組み合わせであってもよい。
上記実施例で記述されたシステム、装置、モジュール又はユニットは、具体的には、コンピュータチップ又はエンティティによって実現されてもよく、又は、何らかの機能を有する製品によって実現されてもよい。従来の実現機器は、コンピュータであり、コンピュータの具体的な形式は、パーソナルコンピュータ、ラップトップコンピュータ、セルラーホン、カメラ電話、スマート電話、パーソナルデジタルアシスタント、メディアプレーヤー、ナビゲーション装置、電子メール送受信機器、ゲームコンソール、タブレットコンピュータ、ウェアラブルデバイス又はこれらの機器のうちのいずれかの機器の組み合わせであってもよい。
説明の便宜上、以上装置を説明する際には、機能を様々なユニットに分けてそれぞれ説明する。もちろん、本発明を実施する際には、各ユニットの機能を同じ又は複数のソフトウェア及び/又はハードウェアで実現することができる。
当業者であれば、本発明の実施例は、方法、システム、又はコンピュータプログラム製品として提供できることを理解するであろう。そのため、本発明は、完全なハードウェア実施例、完全なソフトウェア実施例、又はソフトウェアとハードウェアの態様を組み合わせた実施例の形態を採用することができる。そして、本発明の実施例は、コンピュータ使用可能なプログラムコードを含む1つ又は複数のコンピュータ使用可能な記憶媒体(磁気ディスクメモリ、CD-ROM、光学メモリなどを含むが、それらに限らない)で実施されるコンピュータプログラム製品の形式を採用することができる。
本発明は、本発明の実施例による方法、機器(システム)、及びコンピュータプログラム製品のフローチャート及び/又はブロック図を参照して説明される。コンピュータプログラム命令によって、フローチャート及び/又はブロック図における各フロー及び/又はブロック、及びフローチャート及び/又はブロック図におけるフロー及び/又はブロックの組み合わせを実現できることが理解されるべきである。これらのコンピュータプログラム命令を汎用コンピュータ、専用コンピュータ、組み込みプロセッサ、又は他のプログラマブルデータ処理機器のプロセッサに提供して、1つの機械を生成して、コンピュータ又は他のプログラマブルデータ処理機器のプロセッサにより実行された命令は、フローチャートの1つのフロー又は複数のフロー及び/又はブロック図の1つのブロック又は複数のブロックで指定された機能を実現するための装置を生成する。
そして、これらのコンピュータプログラム命令は、コンピュータ又は他のプログラマブルデータ処理機器が特定の方式で動作するように案内できるコンピュータ可読メモリに記憶されてもよく、このコンピュータ可読メモリに記憶された命令は、命令装置を含む製品を生成し、この命令装置は、フローチャートの1つのフロー又は複数のフロー及び/又はブロック図の1つのブロック又は複数のブロックで指定される機能を実現する。
以上は、本発明の実施例に過ぎず、本発明を限定するものではない。当業者にとって、本発明は、様々な修正及び変更を有することができる。本発明の精神及び原理内に行われたいかなる修正、同等置換や改善などは、いずれも本発明の特許請求の範囲内に含まれるべきである。

Claims (9)

  1. デバイス保護方法であって、エッジセキュリティデバイスに適用され、
    前記エッジセキュリティデバイスが動作中に生成した複数の第1セキュリティイベント情報を取得するステップと、
    前記複数の第1セキュリティイベント情報に対して統計分析を行い、第1統計分析情報を得るステップと、
    中央セキュリティデバイスに前記第1統計分析情報に基づいて第1ターゲット保護テンプレートを生成させるように、前記中央セキュリティデバイスに前記第1統計分析情報を送信するステップであって、前記第1ターゲット保護テンプレートは前記第1統計分析情報に基づいて生成されたセキュリティ保護ポリシーを含む、ステップと、
    前記中央セキュリティデバイスから送信された前記第1ターゲット保護テンプレートを受信するステップと、
    前記第1ターゲット保護テンプレートにおけるセキュリティ保護ポリシーに基づいてエッジセキュリティデバイスを保護するステップと、
    モノのインターネットデバイスの第3統計分析情報を取得するステップであって、前記第3統計分析情報は前記モノのインターネットデバイスが自体の動作中に生成した複数の第2セキュリティイベント情報に対して統計分析を行うことによって得られる、ステップと、
    中央セキュリティデバイスに前記第3統計分析情報に基づいて第2ターゲット保護テンプレートを生成させるように、前記中央セキュリティデバイスに前記第3統計分析情報を送信するステップであって、前記第2ターゲット保護テンプレートは前記第3統計分析情報に基づいて生成されたセキュリティ保護ポリシーを含む、ステップと、
    前記中央セキュリティデバイスから送信された前記第2ターゲット保護テンプレートを受信するステップと、
    前記モノのインターネットデバイスに前記第2ターゲット保護テンプレートにおけるセキュリティ保護ポリシーに基づいて前記モノのインターネットデバイスを保護させるように、前記モノのインターネットデバイスに前記第2ターゲット保護テンプレートを送信するステップと、
    を含むことを特徴とするデバイス保護方法。
  2. 前記エッジセキュリティデバイスが動作中に生成した複数の第1セキュリティイベント情報を取得する前に、前記デバイス保護方法は、
    中央セキュリティデバイスに第1カテゴリに対応する第1初期保護テンプレートを決定させるように、エッジセキュリティデバイスの第1カテゴリを含む第1テンプレート要求を前記中央セキュリティデバイスに送信するステップと、
    前記中央セキュリティデバイスから送信された前記第1初期保護テンプレートを受信するステップと、
    前記第1初期保護テンプレートに基づいて前記エッジセキュリティデバイスを保護するステップと、をさらに含むことを特徴とする請求項1に記載の方法。
  3. 前記デバイス保護方法は、
    前記エッジセキュリティデバイスが動作中に生成した複数の第1トラフィック情報を取得するステップと、
    前記複数の第1トラフィック情報に対して統計分析を行い、第2統計分析情報を得るステップと、
    中央セキュリティデバイスに前記第2統計分析情報に基づいてトラフィック制御ポリシーを生成させるように、前記中央セキュリティデバイスに前記第2統計分析情報を送信するステップと、をさらに含むことを特徴とする請求項1に記載の方法。
  4. モノのインターネットデバイスの第3統計分析情報を取得する前に、前記デバイス保護方法は、
    モノのインターネットデバイスから送信されたモノのインターネットデバイスの第2カテゴリを含む第2テンプレート要求を受信し、本デバイスに前記第2カテゴリに対応する第2初期保護テンプレートが存在するか否かを判断するステップと、
    存在する場合、前記モノのインターネットデバイスに前記第2初期保護テンプレートを送信するステップと、
    存在しない場合、中央セキュリティデバイスに前記第2カテゴリに対応する第2初期保護テンプレートを決定させるように、前記中央セキュリティデバイスに前記第2テンプレート要求を送信し、前記中央セキュリティデバイスから送信された前記第2初期保護テンプレートを受信し、前記第2カテゴリと前記第2初期保護テンプレートとの対応関係を本デバイスに記憶し、且つ前記モノのインターネットデバイスに前記第2初期保護テンプレートを送信するステップとをさらに含む、ことを特徴とする請求項1に記載の方法。
  5. 前記デバイス保護方法は、
    モノのインターネットデバイスの第4統計分析情報を取得するステップであって、前記第4統計分析情報は前記モノのインターネットデバイスが自体の動作中に生成した複数の第2トラフィック情報に対して統計分析を行うことによって得られる、ステップと、
    中央セキュリティデバイスに前記第4統計分析情報に基づいてトラフィック制御ポリシーを生成させるように、前記中央セキュリティデバイスに前記第4統計分析情報を送信するステップと、をさらに含むことを特徴とする請求項1に記載の方法。
  6. 前記デバイス保護方法は、
    複数のサブタスクを含む処理すべきセキュリティ分析タスクを取得するステップと、
    各サブタスクに対して、前記サブタスクを完了するハードウェアリソースの使用量、及び複数のタスク処理ノードのハードウェアリソースの残量に基づいて、複数のタスク処理ノードからターゲットタスク処理ノードを選択するステップと、
    ターゲットタスク処理ノードに前記サブタスクを処理させるように、前記サブタスクをターゲットタスク処理ノードに割り当てるステップと、をさらに含み、
    複数のタスク処理ノードは、前記エッジセキュリティデバイスと、前記エッジセキュリティデバイスによって管理される少なくとも1つのモノのインターネットデバイスとを含み、又は、
    前記エッジセキュリティデバイスと、前記エッジセキュリティデバイスによって管理される少なくとも1つのモノのインターネットデバイスと、前記エッジセキュリティデバイス以外の他のエッジセキュリティデバイスによって管理される少なくとも1つのモノのインターネットデバイスとを含む、ことを特徴とする請求項1~5のいずれか1項に記載の方法。
  7. 前記サブタスクを完了するハードウェアリソースの使用量、及び複数のタスク処理ノードのハードウェアリソースの残量に基づいて、複数のタスク処理ノードからターゲットタスク処理ノードを選択する前に、前記デバイス保護方法は、
    前記エッジセキュリティデバイス以外の他のエッジセキュリティデバイスにリソース要求を送信し、且つ前記リソース要求に対して前記他のエッジセキュリティデバイスから返された、前記他のエッジセキュリティデバイスによって管理されるモノのインターネットデバイスのアドレス情報を含むリソース応答を受信するステップと、
    前記アドレス情報に対応するモノのインターネットデバイスをタスク処理ノードとして決定するステップと、をさらに含むことを特徴とする請求項6に記載の方法。
  8. エッジセキュリティデバイスであって、プロセッサと、前記プロセッサによって実行できる機械実行可能命令が記憶されている機械可読記憶媒体とを含み、
    前記プロセッサは、機械実行可能命令を実行するときに、
    前記エッジセキュリティデバイスが動作中に生成した複数の第1セキュリティイベント情報を取得するステップと、
    前記複数の第1セキュリティイベント情報に対して統計分析を行い、第1統計分析情報を得るステップと、
    中央セキュリティデバイスに前記第1統計分析情報に基づいて第1ターゲット保護テンプレートを生成させるように、前記中央セキュリティデバイスに前記第1統計分析情報を送信するステップであって、前記第1ターゲット保護テンプレートは前記第1統計分析情報に基づいて生成されたセキュリティ保護ポリシーを含む、ステップと、
    前記中央セキュリティデバイスから送信された前記第1ターゲット保護テンプレートを受信するステップと、
    前記第1ターゲット保護テンプレートにおけるセキュリティ保護ポリシーに基づいてエッジセキュリティデバイスを保護するステップと、
    モノのインターネットデバイスの第3統計分析情報を取得するステップであって、前記第3統計分析情報は前記モノのインターネットデバイスが自体の動作中に生成した複数の第2セキュリティイベント情報に対して統計分析を行うことによって得られる、ステップと、
    中央セキュリティデバイスに前記第3統計分析情報に基づいて第2ターゲット保護テンプレートを生成させるように、前記中央セキュリティデバイスに前記第3統計分析情報を送信するステップであって、前記第2ターゲット保護テンプレートは前記第3統計分析情報に基づいて生成されたセキュリティ保護ポリシーを含む、ステップと、
    前記中央セキュリティデバイスから送信された前記第2ターゲット保護テンプレートを受信するステップと、
    前記モノのインターネットデバイスに前記第2ターゲット保護テンプレートにおけるセキュリティ保護ポリシーに基づいて前記モノのインターネットデバイスを保護させるように、前記モノのインターネットデバイスに前記第2ターゲット保護テンプレートを送信するステップと、を実施することを特徴とするエッジセキュリティデバイス。
  9. モノのインターネットデバイス、エッジセキュリティデバイス及び中央セキュリティデバイスを含む通信システムであって、
    前記エッジセキュリティデバイスが動作中に生成した複数の第1セキュリティイベント情報を取得するステップと、
    前記エッジセキュリティデバイスが前記複数の第1セキュリティイベント情報に対して統計分析を行い、第1統計分析情報を得るステップと、
    前記エッジセキュリティデバイスが前記中央セキュリティデバイスに前記第1統計分析情報を送信するステップと、
    前記中央セキュリティデバイスが前記第1統計分析情報に基づいて第1ターゲット保護テンプレートを生成させ、前記第1ターゲット保護テンプレートは前記第1統計分析情報に基づいて生成されたセキュリティ保護ポリシーを含むステップと、
    前記中央セキュリティデバイスが生成した前記第1ターゲット保護テンプレートを前記エッジセキュリティデバイスに送信するステップと、
    前記エッジセキュリティデバイスが前記中央セキュリティデバイスから送信された前記第1ターゲット保護テンプレートを受信するステップと、
    前記エッジセキュリティデバイスが前記第1ターゲット保護テンプレートにおけるセキュリティ保護ポリシーに基づいて前記エッジセキュリティデバイスを保護するステップと、
    前記モノのインターネットデバイスが動作中に生成した複数の第2セキュリティイベント情報を取得するステップと、
    前記モノのインターネットデバイスが前記複数の第2セキュリティイベント情報に対して統計分析を行い、第3統計分析情報を得るステップと、
    前記モノのインターネットデバイスが前記エッジセキュリティデバイスに前記第3統計分析情報を送信するステップ、と、
    前記エッジセキュリティデバイスが前記中央セキュリティデバイスに前記第3統計分析情報を送信するステップと、
    前記中央セキュリティデバイスが前記第3統計分析情報に基づいて第2ターゲット保護テンプレートを生成させ、前記第2ターゲット保護テンプレートは前記第3統計分析情報に基づいて生成されたセキュリティ保護ポリシーを含むステップと、
    前記中央セキュリティデバイスが生成した前記第2ターゲット保護テンプレートを前記エッジセキュリティデバイスに送信し、
    前記エッジセキュリティデバイスが受信した前記第2ターゲット保護テンプレートを前記モノのインターネットデバイスに送信し、
    前記モノのインターネットデバイスが前記エッジセキュリティデバイスから送信された前記第2ターゲット保護テンプレートを受信するステップと、
    前記モノのインターネットデバイスが前記第2ターゲット保護テンプレートにおけるセキュリティ保護ポリシーに基づいて前記モノのインターネットデバイスを保護するステップと、を実施することを特徴とする通信システム。
JP2022549302A 2020-04-30 2020-04-30 デバイス保護方法及びデバイス Active JP7480322B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2020/088413 WO2021217616A1 (zh) 2020-04-30 2020-04-30 设备保护方法及设备

Publications (2)

Publication Number Publication Date
JP2023513387A JP2023513387A (ja) 2023-03-30
JP7480322B2 true JP7480322B2 (ja) 2024-05-09

Family

ID=78331682

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022549302A Active JP7480322B2 (ja) 2020-04-30 2020-04-30 デバイス保護方法及びデバイス

Country Status (5)

Country Link
US (1) US20230177153A1 (ja)
EP (1) EP4145785A4 (ja)
JP (1) JP7480322B2 (ja)
CN (1) CN113748658B (ja)
WO (1) WO2021217616A1 (ja)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017111796A (ja) 2015-12-16 2017-06-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America セキュリティ処理方法及びサーバ
JP2019502212A (ja) 2016-01-14 2019-01-24 株式会社Preferred Networks 時系列データ適合およびセンサ融合のシステム、方法、および装置
JP2020046781A (ja) 2018-09-14 2020-03-26 株式会社東芝 情報処理装置、情報処理システム及び情報処理方法

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105376246B (zh) * 2015-11-30 2018-08-03 中国电子科技网络信息安全有限公司 一种基于sdn的安全策略自适应生成管理***及方法
CN107220542A (zh) * 2017-05-31 2017-09-29 郑州云海信息技术有限公司 一种基于强制访问控制的Windows***进程防护方法
US20180375826A1 (en) * 2017-06-23 2018-12-27 Sheng-Hsiung Chang Active network backup device
EP3643040A4 (en) * 2017-08-08 2021-06-09 SentinelOne, Inc. METHODS, SYSTEMS AND DEVICES FOR DYNAMIC MODELING AND GROUPING OF END POINTS FOR EDGE NETWORKING
CN207369068U (zh) * 2017-08-08 2018-05-15 浙江锐讯网络科技有限公司 一种网络安全的监测***
CN110209716A (zh) * 2018-02-11 2019-09-06 北京华航能信科技有限公司 智能物联网水务大数据处理方法和***
US11315024B2 (en) * 2018-06-25 2022-04-26 Kyndryl, Inc. Cognitive computing systems and services utilizing internet of things environment
CN109302380B (zh) * 2018-08-15 2022-10-25 全球能源互联网研究院有限公司 一种安全防护设备联动防御策略智能决策方法及***
CN108965477B (zh) * 2018-08-30 2019-07-09 河北一森园林绿化工程股份有限公司 林业物联网***
CN109617865B (zh) * 2018-11-29 2021-04-13 中国电子科技集团公司第三十研究所 一种基于移动边缘计算的网络安全监测与防御方法
CN109889575B (zh) * 2019-01-15 2020-08-25 北京航空航天大学 一种边缘环境下的协同计算平台***及方法
CN109714431A (zh) * 2019-01-16 2019-05-03 西安中星测控有限公司 一种物联网智能传感器的边缘计算方法和装置
CN109639840A (zh) * 2019-02-25 2019-04-16 网宿科技股份有限公司 一种基于边缘计算的数据处理方法和边缘计算***
CN110401262B (zh) * 2019-06-17 2021-03-30 北京许继电气有限公司 基于边缘计算技术的gis设备状态智能监控***及方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017111796A (ja) 2015-12-16 2017-06-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America セキュリティ処理方法及びサーバ
JP2019502212A (ja) 2016-01-14 2019-01-24 株式会社Preferred Networks 時系列データ適合およびセンサ融合のシステム、方法、および装置
JP2020046781A (ja) 2018-09-14 2020-03-26 株式会社東芝 情報処理装置、情報処理システム及び情報処理方法

Also Published As

Publication number Publication date
CN113748658B (zh) 2024-01-23
EP4145785A4 (en) 2023-04-05
WO2021217616A1 (zh) 2021-11-04
CN113748658A (zh) 2021-12-03
JP2023513387A (ja) 2023-03-30
EP4145785A1 (en) 2023-03-08
US20230177153A1 (en) 2023-06-08

Similar Documents

Publication Publication Date Title
Parikh et al. Security and privacy issues in cloud, fog and edge computing
EP3226508B1 (en) Attack packet processing method, apparatus, and system
CN108632074B (zh) 一种业务配置文件下发方法和装置
CN107750362B (zh) 自动预防和修复网络滥用
CN110784361A (zh) 虚拟化云蜜网部署方法、装置、***及计算机可读存储介质
TW201703485A (zh) 編排實體與虛擬交換器以執行安全邊界之系統及方法
US10785226B2 (en) Method for controlling permission of application program and controller
WO2019237813A1 (zh) 一种服务资源的调度方法及装置
US10419457B2 (en) Selecting from computing nodes for correlating events
CN112134891B (zh) 一种基于linux***的单主机产生多个蜜罐节点的配置方法、***、监测方法
US9621512B2 (en) Dynamic network action based on DHCP notification
CN111585887A (zh) 基于多个网络的通信方法、装置、电子设备及存储介质
CN109743357B (zh) 一种业务访问连续性的实现方法及装置
CN107249038A (zh) 业务数据转发方法及***
JP7480322B2 (ja) デバイス保護方法及びデバイス
CN110932998B (zh) 报文处理方法和装置
US10897471B2 (en) Indicating malicious entities based on multicast communication patterns
KR102382317B1 (ko) 사이버 훈련 도구 다운로드 시스템 및 방법
US10057210B2 (en) Transaction-based network layer address rotation
CN111654452B (zh) 一种报文处理的方法及装置
CN111988446A (zh) 一种报文处理方法、装置、电子设备及存储介质
CN111866005A (zh) 基于区块链的arp欺骗攻击防御方法、***及装置
CN111083173A (zh) 基于openflow协议的网络通信中的动态防御方法
EP4319094A1 (en) Control method and apparatus, and computing device
Belguith et al. SMART: Shared memory based SDN architecture to resist DDoS ATtacks

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220816

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230822

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230823

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20231106

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20231219

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240308

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20240321

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240416

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240424

R150 Certificate of patent or registration of utility model

Ref document number: 7480322

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150