八月瓜首页 > 专利查询 > H04电通信技术 >正文

一种基于外部威胁的采集策略生成方法及系统

基本信息

  • 申请号 CN201811377152.8 
  • 公开号 CN109714312B 
  • 申请日 2018/11/19 
  • 公开日 2020/04/24 
  • 申请人 中国科学院信息工程研究所  
  • 优先权日期  
  • 发明人 李凤华 王竹 李子孚 耿魁 李莉  
  • 主分类号 H04L29/06 
  • 申请人地址 100093 北京市海淀区闵庄路甲89号 
  • 分类号 H04L29/06;G06F16/35 
  • 专利代理机构 北京路浩知识产权代理有限公司 11002 
  • 当前专利状态 发明专利授权公告 
  • 代理人 王莹 
  • 有效性 有效专利 
  • 法律状态
  •  

摘要

本发明实施例提供一种基于外部威胁的采集策略生成方法及系统。
方法包括:若接收到外部威胁预警信息,则基于外部威胁预警信息和预先存储的信息库,确定网络中需激活的采集代理集合,并从采集代理集合中选取任意一个或多个采集代理,组成目标采集代理集合;确定目标采集代理集合中采集代理对应的分项信息;基于目标采集代理集合中采集代理及对应的分项信息,生成网络中的采集策略集合。
本发明实施例提供的方法及系统,通过外部威胁预警信息和预先存储的信息库,制定协同采集策略,能够根据采集能力进行差异化采集,保证了采集得到的数据的有效性,使得网络中计算、存储和带宽等资源的浪费率降低,也能同时保证对网络威胁的有效检测。
展开

权利要求书


1.一种基于外部威胁的采集策略生成方法,其特征在于,包括:若接收到外部威胁预警信息,则基于所述外部威胁预警信息和预先存储的信息库,确定网络中需激活的采集代理集合,并从所述采集代理集合中选取任意一个或多个采集代理,组成目标采集代理集合;其中,所述信息库包括:采集代理信息子库、采集对象信息子库和威胁特征信息子库中的任意一种或多种;确定所述目标采集代理集合中采集代理对应的分项信息;其中,所述分项信息包括:采集层次、采集项、采集频率和采集优先级中的任意一种或多种;基于所述目标采集代理集合中采集代理及对应的分项信息,生成网络中的采集策略集合;基于所述外部威胁预警信息和预先存储的信息库,确定网络中需激活的采集代理集合,进一步包括:对所述外部威胁预警信息进行解析,得到解析结果,其中,所述解析结果包括:威胁对象、威胁类型和威胁级别中的任意一种或多种;所述外部威胁预警信息由人工,和/或,具有威胁检测、分析功能的设备和/或系统生成;在所述威胁特征信息子库中,查找所述威胁类型对应的威胁传播特征,或,根据所述威胁对象、所述威胁类型和所述威胁级别中的任意一种或多种,确定威胁传播特征;基于所述威胁对象,和/或,所述威胁传播特征,确定网络中需激活的采集代理集合。
2.根据权利要求1所述的方法,其特征在于,基于所述威胁对象,和/或,所述威胁传播特征,确定网络中需激活的采集代理集合,进一步包括:基于所述威胁对象,和/或,所述威胁传播特征,确定网络中受威胁区域以及受威胁区域中的关键节点,并将关键节点部分或全部作为协同采集对象集合;对于所述协同采集对象集合中采集对象,根据采集代理信息子库,选择有能力采集所述采集对象的采集代理,并将所述采集代理作为需激活的采集代理;将需激活的采集代理组成需激活的采集代理集合。
3.根据权利要求1所述的方法,其特征在于,确定所述目标采集代理集合中采集代理对应的分项信息,进一步包括:根据所述威胁类型,在所述威胁特征信息子库中查找所述威胁类型对应的对象受攻击后特征;对于所述目标采集代理集合中的采集代理,根据优化决策方法,和/或,根据所述采集代理的采集能力与所述对象受攻击后特征,确定所述采集代理的协同采集层次集合以及所述采集代理在采集层次的采集项。
4.根据权利要求3所述的方法,其特征在于,根据所述采集代理的采集能力与所述对象受攻击后特征,确定所述采集代理的协同采集层次集合以及所述采集代理在采集层次的采集项,进一步包括:在所述威胁特征信息子库中,查找所述对象受攻击后特征对应的目标采集项集合;在所述采集代理信息子库中,查找所述采集代理的采集能力;将所述目标采集项集合与所述采集能力求取交集或进行模糊匹配,根据交集或模糊匹配结果,确定所述采集代理的协同采集层次集合以及所述采集代理在采集层次的采集项。
5.根据权利要求1所述的方法,其特征在于,确定所述目标采集代理集合中采集代理对应的分项信息,进一步包括:对于所述目标采集代理集合中的采集代理,确定所述采集代理所部署的采集对象;根据所述威胁级别、所述采集对象的资产价值、所述采集对象的运行状态、所述采集代理的运行状态、链路状态、所述采集对象受攻击后特征以及所述采集对象受攻击的后果中的任意一种或多种,确定所述采集代理的采集频率。
6.根据权利要求5所述的方法,其特征在于,根据所述威胁级别、所述采集对象的资产价值、所述采集对象的运行状态、所述采集代理的运行状态、链路状态、所述采集对象受攻击后特征以及所述采集对象受攻击的后果中的任意一种或多种,确定所述采集代理的采集频率,进一步包括:在采集对象信息子库中查找所述采集对象的资产价值,并将资产价值数值化,得到数值化后的资产价值;在采集对象信息子库中查找所述采集对象的运行状态,并将所述采集对象的运行状态数值化,得到数值化后的采集对象运行状态;在采集代理信息子库中查找所述采集代理的运行状态,并将所述采集代理的运行状态数值化,得到数值化后的采集代理运行状态;在采集代理信息子库中查找所述采集代理的部署信息;基于所述采集对象当前的采集项和所述部署信息,获取链路状态,并将链路状态数值化,得到数值化后的链路状态;根据所述威胁级别、所述数值化后的资产价值、所述数值化后的采集对象运行状态、所述数值化后的采集代理运行状态和所述数值化的链路状态中的任意一种或多种,确定所述采集代理的采集频率。
7.根据权利要求6所述的方法,其特征在于,根据所述威胁级别、所述采集对象的资产价值、所述采集对象的运行状态、所述采集代理的运行状态、链路状态、所述采集对象受攻击后特征以及所述采集对象受攻击的后果中的任意一种或多种,确定所述采集代理的采集频率,进一步包括:根据所述采集对象受攻击后特征,和/或,所述采集对象受攻击的后果的权重,调整所述采集代理的采集频率。
8.根据权利要求1所述的方法,其特征在于,确定所述目标采集代理集合中采集代理对应的分项信息,进一步包括:对于所述目标采集代理集合中的采集代理,确定所述采集代理所部署于的采集对象;在所述采集对象信息子库中查找所述采集对象的资产价值;基于所述威胁级别和/或所述资产价值,确定所述采集代理的采集优先级。
9.根据权利要求1所述的方法,其特征在于,基于所述目标采集代理集合中采集代理及对应的分项信息,生成网络中的采集策略集合,进一步包括:对于所述目标采集代理集合中的采集代理,将所述采集代理及对应的分项信息进行封装,生成所述采集代理对应的一个或多个采集策略;将所述目标采集代理集合中采集代理对应的一个或多个采集策略进行封装,生成网络中的采集策略集合。
10.根据权利要求1所述的方法,其特征在于,若接收到外部威胁预警信息,则基于所述外部威胁预警信息和预先存储的信息库,确定网络中需激活的采集代理集合,并从所述采集代理集合中选取任意一个或多个采集代理,组成目标采集代理集合,之前还包括:对于网络中每一对象,根据所述对象的类型、所受到的威胁类型和设备的重要程度中的任意一种或多种,确定部署于所述对象中的采集代理,并将所述采集代理部署于所述对象中。
11.根据权利要求1所述的方法,其特征在于,基于所述目标采集代理集合中采集代理及对应的分项信息,生成网络中的采集策略集合,之后还包括:将所述采集策略下发至所述目标采集代理集合中的采集代理,以使得采集代理执行所述采集策略,实现多点协同采集。
12.根据权利要求1所述的方法,其特征在于,基于所述目标采集代理集合中采集代理及对应的分项信息,生成网络中的采集策略集合,之后还包括:若接收到新的外部威胁预警信息,则重新生成网络中的新的采集策略,以对采集策略进行调整。
13.一种基于外部威胁的采集策略生成系统,其特征在于,包括:目标采集代理集合确定模块,用于若接收到外部威胁预警信息,则基于所述外部威胁预警信息和预先存储的信息库,确定网络中需激活的采集代理集合,并从所述采集代理集合中选取任意一个或多个采集代理,组成目标采集代理集合;其中,所述信息库包括:采集代理信息子库、采集对象信息子库和威胁特征信息子库中的任意一种或多种;分项信息确定模块,用于确定所述目标采集代理集合中采集代理对应的分项信息;其中,所述分项信息包括:采集层次、采集项、采集频率和采集优先级中的任意一种或多种;采集策略生成模块,用于基于所述目标采集代理集合中采集代理及对应的分项信息,生成网络中的采集策略集合;基于所述外部威胁预警信息和预先存储的信息库,确定网络中需激活的采集代理集合,进一步包括:对所述外部威胁预警信息进行解析,得到解析结果,其中,所述解析结果包括:威胁对象、威胁类型和威胁级别中的任意一种或多种;所述外部威胁预警信息由人工,和/或,具有威胁检测、分析功能的设备和/或系统生成;在所述威胁特征信息子库中,查找所述威胁类型对应的威胁传播特征,或,根据所述威胁对象、所述威胁类型和所述威胁级别中的任意一种或多种,确定威胁传播特征;基于所述威胁对象,和/或,所述威胁传播特征,确定网络中需激活的采集代理集合。
14.一种电子设备,其特征在于,包括存储器和处理器,所述处理器和所述存储器通过总线完成相互间的通信;所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如权利要求1至12任一所述的方法。
15.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机程序,所述计算机程序使所述计算机执行如权利要求1至12任一所述的方法。
展开

说明书

技术领域
本发明实施例涉及网络安全技术领域,尤其涉及一种基于外部威胁的采集策略生成方法及系统。
背景技术
随着通信技术、网络技术和信息技术的持续快速发展和应用的广泛普及,形成了包含天地一体化网络、物联网、专用网络和各类服务系统(如:电子凭据服务系统、电子商务系统、电子政务系统)所在网络等的大规模异构互联网络。
大规模异构互联网络具有异构互联、动态接入、移动通信、多域并存等特性,承载了大量业务价值重要、内容敏感的应用与数据。
为了确保大规模异构互联网络安全运行,实现攻击源隔离、防止故障扩散和威胁蔓延等安全目标,需要对网络状态进行监视,采集网络中设备与系统的运行状态等数据,以判定是否遭受到网络威胁。
通常通过采集代理对网络中的数据进行采集,其中,采集代理为采集器和采集组件的统称。
现有技术中通常根据采集代理的性能数据进行采集任务的生成与动态调配,没有考虑采集代理的部署位置和采集能力的差异性,但这种方法存在的缺陷为:尚未实现协同采集,也无法保证采集得到的数据的有效性,即存在多采或少采的可能性,当多采时,会造成网络中计算、存储和带宽等资源的浪费,当少采时,无法检测到网络中的威胁。
发明内容
针对现有技术中存在的技术问题,本发明实施例提供一种基于外部威胁的采集策略生成方法及系统。
第一方面,本发明实施例提供一种基于外部威胁的采集策略生成方法,包括:若接收到外部威胁预警信息,则基于所述外部威胁预警信息和预先存储的信息库,确定网络中需激活的采集代理集合,并从所述采集代理集合中选取任意一个或多个采集代理,组成目标采集代理集合;其中,所述信息库包括:采集代理信息子库、采集对象信息子库和威胁特征信息子库中的任意一种或多种;确定所述目标采集代理集合中采集代理对应的分项信息;其中,所述分项信息包括:采集层次、采集项、采集频率和采集优先级中的任意一种或多种;基于所述目标采集代理集合中采集代理及对应的分项信息,生成网络中的采集策略集合。
第二方面,本发明实施例提供一种基于外部威胁的采集策略生成系统,包括:目标采集代理集合确定模块,用于若接收到外部威胁预警信息,则基于所述外部威胁预警信息和预先存储的信息库,确定网络中需激活的采集代理集合,并从所述采集代理集合中选取任意一个或多个采集代理,组成目标采集代理集合;其中,所述信息库包括:采集代理信息子库、采集对象信息子库和威胁特征信息子库中的任意一种或多种;分项信息确定模块,用于确定所述目标采集代理集合中采集代理对应的分项信息;其中,所述分项信息包括:采集层次、采集项、采集频率和采集优先级中的任意一种或多种;采集策略生成模块,用于基于所述目标采集代理集合中采集代理及对应的分项信息,生成网络中的采集策略集合。
第三方面,本发明实施例提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如第一方面所提供的方法的步骤。
第四方面,本发明实施例提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如第一方面所提供的方法的步骤。
本发明实施例提供的一种基于外部威胁的采集策略生成方法及系统,通过抽象不同的采集代理的共性要素,对不同采集对象的采集信息按照语义进行分层、分类,实现采集能力的语义归一化描述。
实现对任何一种软硬件形式的采集代理的差异化采集能力描述,为应对不同类型威胁、不同类型采集对象、不同运行状态的采集代理的策略动态调整和协同采集等提供基础。
通过外部威胁预警信息和预先存储的信息库,制定协同采集策略,能够根据采集能力进行差异化采集,保证了采集得到的数据的有效性,使得网络中计算、存储和带宽等资源的浪费率大大降低,也能同时保证对网络威胁的有效检测。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种基于外部威胁的采集策略生成方法流程图;图2为本发明实施例提供的一种采集代理信息存储格式示意图;图3为本发明实施例提供的一种采集管理中心分层部署示意图;图4为本发明实施例提供的另一种采集管理中心分层部署示意图;图5为本发明实施例提供的一种基于外部威胁的采集策略生成系统的结构示意图;图6为本发明实施例提供的另一种基于外部威胁的采集策略生成系统的结构示意图;图7为本发明实施例提供的一种电子设备的实体结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。
基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了更好地理解本发明实施例,在此,将本发明实施例提供的方法应用在大规模异构网络中进行说明。
所述大规模异构网络包括但不限于:天地一体化网络、物联网、各类服务系统(如:电子凭据服务系统、电子商务系统、电子政务系统)所在网络和专用网络,本发明实施例中的目标网络指上述网络中的任意一种或多种。
首先,对目标网络中的对象(设备和系统)进行简要说明:在天地一体化网络中,设备和系统包括但不限于:各类卫星,高速航天器终端、天基骨干网地面终端、Ka大容量宽带便携/固定终端、高轨卫星移动军用手持/民用车载终端、低轨星座手持/车载终端、Ku(FDMA)便携/固定终端、Ku(TDMA)便携/固定终端等安全终端,天基骨干卫星安全接入网关、宽带卫星安全接入网关、卫星移动安全接入网关、异构网间安全互联网关、地面网间安全互联网关等网关,以及身份认证管理系统、接入鉴权系统、网间互联安全控制系统、密码资源管理系统、威胁融合分析与态势预警系统、全网安全设备统一管理系统等系统。
在物联网中,设备和系统包括但不限于:物联网防火墙、物联网综合安全接入网关、网间互联网关、异构数据汇集网关、单向/双向数据隔离设备等设备,数据交换应用代理软件、数据流转监测系统、可编排应用防护系统、物联网拓扑测绘系统、安全服务需求与资源管理系统、数据存储调度管理系统、物联网安全管控中心管理系统、设备发现与识别系统等系统。
在各类服务系统(如:电子凭据服务系统、电子商务系统、电子政务系统)所在网络中,设备和系统包括但不限于:电子凭据高速核准服务设备、统一认证服务设备等设备,电子凭据核准服务管理系统、电子凭据状态管理与控制系统、统一认证服务管理系统、电子凭据查验服务系统、多业务电子凭据协同开具系统、海量电子凭据数据存储系统、身份鉴别系统、密码服务支撑系统、数据存储系统等系统。
在专用网络中,设备和系统还包括一些非通用类设备,包括但不限于:工控网关、流量过滤监测设备、流转管控设备、存储系统、办公系统、文件交换系统、监管系统。
为了描述方便,将设备或系统均称为对象。
对于目标网络中的任一对象,其上可能部署有一个或多个采集代理,将目标网络中部署有采集代理的对象称为采集对象。
对于任一采集对象,其上部署的采集代理用于采集该采集对象的运行状态数据。
图1为本发明实施例提供的一种基于外部威胁的采集策略生成方法流程图,如图1所示,该方法包括:步骤101,若接收到外部威胁预警信息,则基于所述外部威胁预警信息和预先存储的信息库,确定网络中需激活的采集代理集合,并从所述采集代理集合中选取任意一个或多个采集代理,组成目标采集代理集合;其中,所述信息库包括但不限于:采集代理信息子库、采集对象信息子库和威胁特征信息子库中的任意一种或多种。
将本发明实施例提供的方法的执行主体称为采集管理中心,采集管理中心可以位于目标网络外,也可以位于目标网络内,但不管采集管理中心位于何处,其都具有如下功能:接收到外部威胁预警信息,并基于外部威胁预警信息和预先存储的信息库生成采集策略,并将采集策略分发给相应的采集代理进行执行,以使得采集代理采集相应的运行状态数据,供后续的对于网络威胁的分析。
其中,采集策略,即确定由哪些采集代理在什么时间段采集哪些对象中的哪些数据。
需要说明的是,外部威胁预警信息由人工或其他具有威胁检测、分析功能的设备或系统获取,并发送至采集管理中心,是确定的威胁报警或者是潜在的威胁线索。
需要说明的是,信息库已预先存储在采集管理中心中。
信息库包括但不限于:采集代理信息子库、采集对象信息子库和威胁特征信息子库中的任意一种或多种。
其中,采集代理信息子库中存储的采集代理信息包括但不限于:基本属性、采集能力、工作配置信息、部署信息和运行状态信息中的任意一种或多种;威胁特征信息子库存储威胁特征信息。
以下对采集代理信息子库的创建进行说明。
具体地,创建采集代理信息子库包括人工创建和自动创建两种方式:人工创建指采集代理在入网时,通过人工录入方式将采集代理的基本属性、采集能力、工作配置信息、部署信息中的任意一种或多种存储至采集管理中心。
人工录入方式包括但不限于:手动录入、光盘导入和二维码扫描录入。
自动创建指通过自动读取存储在采集代理中的采集代理的基本属性、采集能力、工作配置信息、部署信息和运行状态中的任意一种或多种,并存储至采集管理中心。
自动创建包括主动创建和被动创建两种方式。
主动创建是指采集管理中心主动查询并获得存储在采集代理中的采集代理的基本属性、采集能力、工作配置信息、部署信息和运行状态信息中的任意一种或多种。
被动创建指采集代理以定期或者非定期地方式,主动将采集代理信息(包括但不限于:采集代理的基本属性、采集能力、工作配置信息、部署信息和运行状态信息中的任意一种或多种)发送给采集管理中心。
以下对信息库中的采集代理信息子库、采集对象信息子库和威胁特征信息子库中存储的内容进行说明。
采集代理信息子库存储的采集代理信息包括但不限于:基本属性、采集能力、工作配置信息、部署信息和运行状态信息中的任意一种或多种,可选地,其存储格式如图2所示。
图2为本发明实施例提供的一种采集代理信息存储格式示意图,其中,采集代理的基本属性包括但不限于:支持的硬件对象类型、支持的操作系统类型,可选地,还包括但不限于:代理名称、代理简称、厂商型号、代理版本号。
采集代理可分为采集器和采集组件两种,可选地,若采集代理为采集器,则基本属性包括但不限于:出厂时间、硬件模块描述、联系人信息;若采集代理为采集组件,则基本属性包括但不限于:采集组件版本更新时间。
其中,硬件模块描述包括但不限于:CPU型号、内存大小、MAC地址、模块名称、硬件模块制造商、无线电固件版本号、机器型号、硬件供应商版本、硬件供应商名称、硬件供应商编码。
采集代理的采集能力描述采集代理有能力采集哪些数据项,其采集能力可从物理层、网络层、内核层和应用层等方面来描述,其录入格式包括但不限于:JSON、XML、XLSX。
特别地,在大规模异构互联网络中,设备和系统种类繁多且功能各异,部署在不同类型设备和系统上的采集代理的采集能力差异大,目前没有方案对差异化的采集能力进行统一描述,难以满足全网环境中信息采集统一管理的需求。
本发明实施例提出普适性采集能力统一描述语言,通过抽象不同的采集代理的共性要素,对采集代理进行画像,对不同采集对象的采集信息按照语义进行分层、分类,实现采集能力的语义归一化描述。
实现对任何一种软硬件形式的采集代理的差异化采集能力描述,为应对不同类型威胁、不同类型采集对象、不同运行状态的采集代理的策略动态调整和协同采集等提供基础。
采集代理在物理层的采集能力包括但不限于以下内容:硬件设备不可变信息采集能力、硬件模块不可变信息采集能力、硬件设备可变信息采集能力和硬件模块可变信息采集能力。
其中,硬件设备不可变信息采集能力包括但不限于:硬件设备ID、硬件设备名称、硬件设备制造商名称、硬件设备供应商名称、硬件设备型号、硬件设备版本号、硬件设备类型,除此之外,对每类硬件设备,需要采集与类型相匹配的信息,如在天地一体化网络中,其可选采集项包括但不限于:卫星编号、卫星类型、卫星硬件模块、卫星端口数目、卫星覆盖范围(包括但不限于:卫星应用范围起始经度、卫星应用范围终点经度、卫星应用范围起始纬度和卫星应用范围终点纬度)。
对于物联网设备可选采集项包括但不限于:电磁耦合、电磁回波、电磁散射、信号衰落、多径效应、信号散射、信号频移。
对于手机,其采集项包括但不限于:手机型号版本、IMEI。
硬件模块不可变信息采集能力包括但不限于:硬件模块ID、硬件模块类型、硬件模块制造商、硬件模块型号、硬件模块版本号。
对每类硬件模块需要设置特定的采集信息,如对CPU,可选采集CPU主频、CPU外频、CPU倍频、CPU接口、CPU缓存等信息,对网卡,可选采集带宽、接口类型等信息,对存储设备,可选采集存储容量、介质类型等信息,对于传感器设备,可选采集代理传感器功率、所支持的数据采集类型、数据采集范围等,对于电池,可选采集电池分类、电池容量、能量密度、电流、开路电压、记忆效应、自放电率等。
硬件设备可变信息采集能力依据采集对象类型不同而不同。
在天地一体化网络中,采集项包括但不限于:卫星轨道数据,所述卫星轨道数据包括但不限于:卫星轨道半长轴、卫星轨道偏心率、卫星轨道倾角、卫星轨道真近点角、卫星轨道近地点辐角、卫星轨道升交点赤经。
硬件模块可变信息采集能力依据模块类型不同而不同。
如对于电池,采集项包括但不限于:剩余电量、充电状态、电池温度、电池电压、电池健康信息,对于CPU,采集项包括但不限于:操作系统占用CPU百分比、应用程序占用CPU百分比、CPU温度。
采集代理在网络层的采集能力包括但不限于以下内容:网络流量信息,如,原始网络流量、经过深度报文检测的应用层载荷信息等。
网络接口信息,如,本地端口、本地地址、远程端口、远程地址、inode节点数、连接类型、连接状态、发送队列、接收队列等。
网络接口配置信息,如,网卡名称、网络类型、硬件地址、网络地址、网络掩码、广播地址、最大传输单元、距离,跳数、网卡描述信息等。
网络接口状态信息,如,网卡名称、源/目的地址、无线收发信号强度(传输速率、带宽)、接入点、接入波束、频点、接收包数、接收字节数、接收错误包数、丢包数、fifo缓冲区错误、分组帧错误数、发送包数、发送字节数、发送错误包数、网络是否可用、WiFi是否可用、WiFi的SSID、WiFi的BSSID、连接速度等。
通信协议,如,2G、3G、4G、WiFi/WiFiMax等。
网络路由信息,如,目的地址、网关、掩码、被查询的次数、距离、跳数、最大传输单元、窗口值、RTT值、网络接口名称等。
网络状态信息,如,TCPESTABLISHED状态数、TCP SYN SENT状态数、TCP SYN RECV状态数、TCPFIN WAIT 1状态数、TCPFIN WAIT 2状态数、TCPTIME WAIT状态数、TCPCLOSED状态数、TCPCLOSE WAIT状态数、TCPLAST ACK状态数、TCPLISTEN状态数、TCPCLOSING状态数、TCPIDLE状态数、入境TCP连接数、出境TCP连接数等。
TCP连接信息,如,主动建立的TCP连接数、被动建立的TCP连接数、尝试建立连接失败次数、重置连接数、当前连接数、进入实体的TCP报文段、离开实体的TCP报文段、重传次数、接收错误数、发送重传数等。
链路状态信息,如,链路起始处、链路终点处、链路带宽、链路利用率、链路连通性、链路传播时延、链路保持时间等。
其他采集能力依据设备类型不同而不同,如在天地一体化网络中,采集项包括但不限于:卫星节点端口数目、卫星节点端口信息、管理域卫星节点信息。
所述卫星节点端口信息,如,卫星节点端口索引、卫星节点端口类型、卫星节点端口最大速率、卫星节点端口所对应的天线、卫星节点端口收到的字节数、卫星节点端口发送的字节数、卫星节点端口丢弃的输入字节数、卫星节点端口丢弃的输出字节数等。
所述管理域卫星节点信息,如,管理域卫星节点编号、管理域卫星节点索引、管理域链路索引、管理域链路类型等。
采集代理在内核层的采集能力包括但不限于以下内容:操作系统层采集能力和文件系统层采集能力,其中操作系统层采集项包括但不限于:操作系统名称、操作系统版本号、系统供应商、补丁升级时间、补丁号、系统用户数、系统现进程数、系统日志、上电时间、进程信息、统计信息。
其中,进程信息采集项包括但不限于:进程ID、进程名、进程状态、父进程ID、进程优先级、进程nice值、进程CPU利用率、进程下的线程数、文件描述符总数、进程的执行目录、进程的当前工作目录、进程的根目录、用户ID、用户组ID、有效用户ID、有效用户组ID、用户名、用户组名、驻留内存大小、进程起始时间、CPU占比。
统计信息采集项包括但不限于:进程总数、Sleeping进程数、Running进程数、Zombie进程数、Stopped进程数、Idle进程数、线程总数。
其他采集项依据操作类型不同而不同,如对于安卓系统,采集项包括但不限于:设备当前的系统开发代号、系统源代码控制值、系统的API级别、获取安卓修订版本列表、安卓系统代号、安卓系统版本、设备驱动名称、设备基板名称、设备引导程序版本号、安卓系统是否已越狱、安卓设备主机地址、安卓build的时间、系统版本字符串。
文件系统层的采集项包括但不限于:文件系统名、文件系统设备名、文件系统大小、文件系统已使用比例、inode节点数、可用inode节点数、静态文件系统信息(硬盘设备名、路径、总共空间)、动态文件系统信息(使用空间、可用空间、使用百分比)。
采集代理在应用层的采集能力包括但不限于以下内容:数据库信息、应用软件信息、OA系统信息、邮件系统、公文流转系统,以及各类应用服务日志,比如Mail服务日志、FTP服务日志、MySQL日志、SSH日志、HTTP日志、Web日志、DNS日志。
应用层的采集能力依据采集代理的应用领域的不同而不同,在天地一体化网络中,采集代理还可采集异常卫星终端入网信息、密码资源异常使用信息、联动控制效果反馈信息。
在电子凭据服务系统中,采集代理还可采集电子凭据异常行为信息,所述电子凭据异常行为信息包括但不限于:超限额/种类开具、重复/假发票报销、假系统连接、多次尝试口令。
在专用网络中,采集代理在办公系统中还可采集设备和系统的违规文件操作、违规流转、违规发布、异常通信、违规存储、违规介质接入操作、审计日志;在用户终端上还可采集日志信息、管理员审计日志等。
采集代理的工作配置信息是采集代理服从采集管理中心统一管理、维持基本运行所需的配置集合。
工作配置信息包括但不限于:配置ID、配置者ID、配置时间、配置有效期、配置参数名与参数值列表。
所述配置参数名包括但不限于:采集代理IP地址、通信端口、数字证书、所允许的配置者。
所述采集代理IP地址和通信端口用于与采集管理中心的通信;所述数字证书为采集代理的身份标识,为与采集管理中心通信的机密性和完整性提供支撑;所述允许的配置者,用于验证采集代理配置和采集策略配置的合法性,防止未授权用户对采集代理的非法配置,提高了采集代理管理的安全性。
采集代理的部署信息描述采集代理与采集对象的对应关系,每个采集对象可安装至少一个采集代理。
部署信息包括但不限于:采集对象ID、部署方式、采集对象类型,可选地,包括但不限于:采集对象操作系统、所在逻辑位置、所在物理位置、执行采集的约束条件。
其中,采集对象ID为全网唯一ID;部署方式有内嵌式和旁路式等,内嵌式部署是采集代理串联接入网络,或者嵌入硬件设备内部执行采集,例如PCIE板卡形态的采集器嵌入安全网关,旁路式部署是采集代理外挂在安全设备/系统外,通过镜像流量等方式执行采集;采集对象类型包括但不限于:接入网关、互联网关、防火墙、IDS、IPS、服务器、终端;采集对象操作系统为待采集设备/系统的操作系统类型,需与采集代理的基本属性中的所支持的操作系统类型相匹配;所在逻辑位置包括但不限于:组织结构、拓扑结构、对象类型、安全级别、管理职责中的一种或几种的组合;所在物理位置包括但不限于:网络接入标识、经纬度中的一种或几种的组合;执行采集的约束条件包括但不限于:采集代理资源约束、时间约束中的一种或几种的组合,例如CPU利用率小于90%,并且时间在8:00到17:00间执行采集。
采集代理的运行状态包括但不限于:基本运行状态、负荷大小。
采集代理可以定期主动上报运行状态,或者采集管理中心接收到威胁预警/探测到系统异常时发起采集代理运行状态请求,具体的触发方式本发明实施例不做限定。
所述基本运行状态包括但不限于:关闭、静默、异常、正常,采集代理初始化时将其预置为静默状态,即已启动,但未执行采集任务的状态。
所述负荷大小包括但不限于:CPU、存储和网络带宽,负荷大小作为采集策略生成与调整的考虑因素之一,根据负荷大小判断采集代理运行状态是否异常,或者超负荷运行,如果异常,将减少采集项,降低采集频率,同时上报给采集管理中心。
通过负荷大小使得采集策略可以随采集代理运行状态、网络环境而自适应变化,减少因采集引起的计算资源、存储资源和网络资源的消耗。
采集项与采集代理采集能力相匹配,即采集代理只能采集其采集能力集合内的采集项,采集代理初始化时,可选地设置为等频率全采集,作为后续威胁分析、系统异常发现的数据基础。
采集对象信息子库存储采集对象基本信息和运行状态信息,采集对象基本信息指描述待采集设备所需要的基本信息,包括但不限于:资产价值、设备类型、设备ID、设备名称(官方名称)、设备简称(管理员分配的管理名称)、厂商、设备型号、设备出厂时间、设备硬件模块描述(包括但不限于:CPU型号、内存大小、MAC地址、无线电固件版本号、机器型号、硬件供应商版本、硬件供应商名称、硬件供应商编码等)、联系人信息。
采集对象运行状态信息指采集代理采集的、与采集对象运行状态相关的信息,包括但不限于:操作系统占用CPU百分比、应用程序占用CPU百分比、CPU温度、内存利用率、磁盘利用率、网络状态信息。
采集对象包括但不限于:移动终端、应用系统服务器、路由器、网关、防火墙、IDS、IPS中的任意一种或多种。
采集对象依据不同应用领域而不同,在天地一体化网络中,采集对象包括但不限于:各类卫星,高速航天器终端、天基骨干网地面终端、Ka大容量宽带便携/固定终端、高轨卫星移动军用手持/民用车载终端、低轨星座手持/车载终端、Ku(FDMA)便携/固定终端、Ku(TDMA)便携/固定终端等安全终端,天基骨干卫星安全接入网关、宽带卫星安全接入网关、卫星移动安全接入网关、异构网间安全互联网关、地面网间安全互联网关等网关,以及身份认证管理系统、接入鉴权系统、网间互联安全控制系统、密码资源管理系统、威胁融合分析与态势预警系统、全网安全设备统一管理系统等系统。
在物联网中,采集对象包括但不限于:物联网防火墙、物联网综合安全接入网关、网间互联网关、异构数据汇集网关、单向/双向数据隔离设备等设备,数据交换应用代理软件、数据流转监测系统、可编排应用防护系统、物联网拓扑测绘系统、安全服务需求与资源管理系统、数据存储调度管理系统、物联网安全管控中心管理系统、设备发现与识别系统等系统。
在电子凭据服务系统中,采集对象包括但不限于:电子凭据高速核准服务设备和统一认证服务设备等设备,电子凭据核准服务管理系统、电子凭据状态管理与控制系统、统一认证服务管理系统、电子凭据查验服务系统、多业务电子凭据协同开具系统、海量电子凭据数据存储系统、身份鉴别系统、密码服务支撑系统和数据存储系统等系统。
在专用网络中,还包括一些非通用类设备,包括但不限于:工控网关、流量过滤监测设备、流转管控设备、存储系统、办公系统、文件交换系统、监管系统。
威胁特征信息子库存储威胁特征信息,威胁特征信息包括但不限于:威胁编号、威胁对象、威胁类型、受攻击后系统特征、威胁级别、威胁传播特征,在系统初始化时,通过预置的方式在采集管理中心存储上述威胁特征,使得出现威胁预警时,采集管理中心可以在威胁特征信息子库中找到需要重点采集的采集项,并且调整其采集频率,进行针对性采集,减少冗余数据和资源消耗。
步骤102,确定所述目标采集代理集合中采集代理对应的分项信息;其中,所述分项信息包括但不限于:采集层次、采集项、采集频率和采集优先级中的任意一种或多种。
具体地,采集层次指采集代理有能力采集的采集项的层次聚类,可以分为物理层、网络层、内核层和应用层等。
采集项指采集代理有能力采集的最小数据项单元,比如CPU利用率、CPU温度、TCPESTABLISHED状态数等系统状态信息,各类系统日志信息,流量信息等。
采集频率指采集代理进行一项或多项采集的时间间隔。
采集优先级指采集代理进行本次采集的优先级,用于与采集代理已有的采集策略进行冲突检测和消解,若存在采集项和/或采集频率相关的冲突,则按照优先级关系进行消解。
步骤103,基于所述目标采集代理集合中采集代理及对应的分项信息,生成网络中的采集策略集合。
本发明实施例提供的方法,若接收到外部威胁预警信息,通过外部威胁预警信息和预先存储的信息库,制定协同采集策略,能够根据采集能力进行差异化数据采集,保证了采集得到的数据的有效性,使得网络中计算、存储和带宽等资源的浪费率大大降低,也能同时保证对网络威胁的有效检测。
在上述各实施例的基础上,基于所述外部威胁预警信息和预先存储的信息库,确定网络中需激活的采集代理集合,进一步包括:对所述外部威胁预警信息进行解析,得到解析结果,其中,所述解析结果包括但不限于:威胁对象、威胁类型和威胁级别;所述外部威胁预警信息由人工,和/或,具有威胁检测、分析功能的设备和/或系统生成;在所述威胁特征信息子库中,查找所述威胁类型对应的威胁传播特征,或,根据所述威胁对象、所述威胁类型和所述威胁级别中的任意一种或多种,确定威胁传播特征;基于所述威胁对象,和/或,所述威胁传播特征,确定网络中需激活的采集代理集合。
具体地,在本发明实施例中,采用lex/yacc对外部威胁预警信息进行语法或词法解析,获得解析结果。
解析结果包括但不限于:威胁对象、威胁类型和威胁级别,可选地,还可包括威胁起止时间。
需激活的采集代理集合指的是初步选择出的可能需要执行本次采集任务的采集代理的集合。
其中,威胁类型包括但不限于:拒接服务攻击、非法访问、流量异常、FTP木马、震荡波蠕虫、漏洞攻击、后门攻击、域名劫持、扫描探测、木马/病毒、中间人攻击。
威胁对象是网络中受攻击影响的对象集合,包括但不限于:具有潜在威胁的设备或设备类型、操作系统类型。
设备或设备类型包括但不限于:卫星、移动终端、应用系统服务器、路由器、网关、防火墙、IDS、IPS。
操作系统类型包括但不限于:Windows、Linux、Android、iOS。
威胁级别,用于标识威胁的严重程度。
比如,可用离散值表示,从0到10的整数,数字越大,表示威胁越严重。
威胁传播特征包括但不限于:威胁针对的漏洞编号、操作系统、设备类型、服务类型、网络类型,是否自主传播中的任意一种或多种。
威胁起止时间,用于标识与威胁相关联的最早发生事件的时间和威胁预计消除的时间。
在上述实施例的基础上,基于所述威胁对象,和/或,所述威胁传播特征,确定网络中需激活的采集代理集合,进一步包括:基于所述威胁对象,和/或,所述威胁传播特征,确定网络中受威胁区域以及受威胁区域中的关键节点,并将关键节点部分或全部作为协同采集对象集合;对于所述协同采集对象集合中采集对象,根据采集代理信息子库,选择有能力采集所述采集对象的采集代理,并将所述采集代理作为需激活的采集代理;将需激活的采集代理组成需激活的采集代理集合。
确定协同采集对象集合的方法之一是基于威胁对象直接定位采集对象。
具体地,由于威胁对象是网络中受攻击影响的对象集合,因此,可直接根据解析得到的威胁对象,将具有潜在威胁的设备或设备类型、操作系统类型的对象作为协同采集对象集合。
确定协同采集对象集合的另一方法是基于威胁传播特征确定采集对象。
具体地,根据威胁传播特性,针对具体的网络拓扑,对威胁区域进行分割与判定,确定潜在威胁范围。
例如,当收到拒绝服务攻击的报警,通过查找威胁特征库,分析该次拒绝服务攻击的易感染网络为某一子网,受攻击的设备、系统受到威胁影响后,仅使对外提供的服务受阻,但是威胁不会传播到其他网络,不会使其他网络也受到拒绝服务攻击,所以将威胁范围限定为该子网。
进一步地,在威胁范围内选择关键节点,所述关键节点的选择方式包括但不限于:选择威胁传播路径上传播概率大,且连接多个不同易受威胁对象的节点,例如,边界网关,对该类关键节点的采集可达到对网络威胁低成本且高准确率检测的目的;选择具有特定漏洞信息、操作系统、应用服务的节点,例如,选择部署重要服务的业务系统服务器,对该类关键节点的采集可提高网络可用性。
下面举例说明选择关键节点的一种实现方法。
在上述实施例的基础上,确定拒绝服务攻击的威胁范围为该子网后,针对拒绝服务攻击的流量异常的威胁特征,对该子网中的安全网关、路由器、防火墙等网络边界设备,需要进行流量检测;针对拒绝服务攻击的计算资源消耗量大的特征,对该子网中FTP服务器、Web服务器、数据库服务器等提供重要服务的服务器,进行CPU利用率和内存利用率监视。
因此,关键节点为子网中的安全网关、路由器、防火墙、FTP服务器、Web服务器、数据库服务器,并且初步确定,安全网关、路由器、防火墙上采集代理需要采集的层次为网络层,FTP服务器、Web服务器、数据库服务器上采集代理需要采集的层次为操作系统层。
在采集代理信息子库中选择有能力采集所述采集对象的采集代理,作为网络中需激活的采集代理集合。
具体地,在确定采集对象后,通过查找采集代理信息子库中的采集代理部署信息,找到采集范围覆盖所述采集对象的采集代理,进而查找采集代理的运行状态信息和采集能力信息,确定针对本次威胁的需激活的采集代理集合。
在上述实施例的基础上,确定所述目标采集代理集合中采集代理对应的分项信息,进一步包括:根据所述威胁类型,在所述威胁特征信息子库中查找所述威胁类型对应的对象受攻击后特征;对于所述目标采集代理集合中的采集代理,根据优化决策方法,和/或,根据所述采集代理的采集能力与所述对象受攻击后特征,确定所述采集代理的协同采集层次集合以及所述采集代理在采集层次的采集项。
具体地,优化决策方法指在系统计算资源、存储资源和网络资源存在一定限制的条件下,决定某些可选择的采集层次、采集项,使采集到的信息可最大程度地检测威胁,执行采集任务消耗最少系统资源。
下面说明根据优化决策方法确定采集代理的协同采集层次集合以及所述采集代理在采集层次的采集项的实现方式。
首先将多个采集项的不同组合作为不同的采集方案,例如,有n个采集项,每个采集项都可以选择采集或不采集,所以共有2n种采集方案。
其次,定义协同采集的优化目标,一种可选的优化目标是采集方案对威胁检测的贡献率尽可能高,例如,CPU占用率对拒绝服务攻击检测的贡献率是0.4,CPU占用率对病毒检测的贡献率是0.5,网络流量对拒绝服务攻击检测的贡献率是0.8,网络流量对病毒检测的贡献率是0.4,其他采集项的贡献率不再赘述,另外,在检测多个威胁时,需要考虑采集项对检测不同威胁的贡献率的覆盖问题,需要选择一种采集项的组合,使得对威胁检测的整体的贡献率尽可能高;另一种可选的优化目标是采集消耗的采集对象系统资源尽可能少,例如,CPU占用率监视对系统的资源消耗较低,网络流量监视对系统资源的消耗较高,需要选择一种采集方案,使得对系统资源消耗尽可能少。
可以利用多目标决策方法,针对威胁检测的贡献率高和系统资源消耗低这两个目标,对2n个采集方案进行排序,选择出最优的方案,作为采集代理的协同采集层次集合以及所述采集代理在采集层次的采集项。
下面说明根据所述采集代理的采集能力与所述对象受攻击后特征,确定所述采集代理的协同的采集层次、采集项的实现方式。
根据对外部威胁预警信息进行解析得到的威胁类型,在威胁特征信息子库中查找与该威胁类型对应的对象受攻击后特征,并且,对于采集代理,在采集代理信息子库中查找其采集能力,以根据对象受攻击后特征和采集能力,确定采集代理的采集层次和采集项。
在上述各实施例的基础上,根据所述采集代理的采集能力与所述对象受攻击后特征,确定所述采集代理的协同采集层次集合以及所述采集代理在采集层次的采集项,进一步包括:在所述威胁特征信息子库中,查找所述对象受攻击后特征对应的目标采集项集合;在所述采集代理信息子库中,查找所述采集代理的采集能力;将所述目标采集项集合与所述采集能力求取交集或进行模糊匹配,根据交集或模糊匹配结果,确定所述采集代理的协同采集层次集合以及所述采集代理在采集层次的采集项。
其中,模糊匹配是指:若采集代理没有能力采集某些目标采集项(如项A),但有能力采集其他项A1...An,若通过A1...An能够推断A的近似值,则可通过采集A1...An来获得数据。
表1为部分威胁类型与对象受攻击后特征的对应关系表。
表1部分威胁类型与对象受攻击后特征的对应关系表 在上述实施例的基础上,确定所述目标采集代理集合中采集代理对应的分项信息,进一步包括:对于所述目标采集代理集合中的采集代理,确定所述采集代理所部署于的采集对象;根据所述威胁级别、所述采集对象的资产价值、所述采集对象的运行状态、所述采集代理的运行状态、链路状态、所述对象受攻击后特征以及所述对象受攻击的后果中的任意一种或多种,确定所述采集代理的采集频率,采集代理中的所有采集项可以有相同的采集频率,也可以不同采集项具有不同的采集频率。
在上述实施例的基础上,根据所述威胁级别、所述采集对象的资产价值、所述采集对象的运行状态、所述采集代理的运行状态、链路状态、所述对象受攻击后特征以及所述对象受攻击的后果中的任意一种或多种,确定所述采集代理的采集频率,进一步包括:在采集对象信息子库中查找所述采集对象的资产价值,并将资产价值数值化,得到数值化后的资产价值;在采集对象信息子库中查找所述采集对象的运行状态,并将所述采集对象的运行状态数值化,得到数值化后的采集对象运行状态;在采集代理信息子库中查找所述采集代理的运行状态,并将所述采集代理的运行状态数值化,得到数值化后的采集代理运行状态;在采集代理信息子库中查找所述采集代理的部署信息;基于所述采集对象当前的采集项和所述部署信息,获取链路状态,并将链路状态数值化,得到数值化后的链路状态;根据所述威胁级别、所述数值化后的资产价值、所述数值化后的采集对象运行状态、所述数值化后的采集代理运行状态和所述数值化的链路状态中的任意一种或多种,确定所述采集代理的采集频率。
在上述实施例的基础上,根据所述威胁级别、所述采集对象的资产价值、所述采集对象的运行状态、所述采集代理的运行状态、链路状态、所述对象受攻击后特征以及所述对象受攻击的后果中的任意一种或多种,确定所述采集代理的采集频率,进一步包括:根据所述对象受攻击后特征,和/或,所述对象受攻击的后果的权重,调整所述采集代理的采集频率。
具体地,采集对象信息子库中存储有采集对象的资产价值,因此,对于协同采集对象集合中采集对象,均可在对象信息子库中查找对应的资产价值。
采集对象的资产价值标识采集对象的重要性,可以由管理员根据系统或设备的类型、运行服务的重要情况确定。
数值化的目的在于方便数值计算,例如,可将资产价值定义为[0,1]之间,资产价值越高,数值越大。
采集对象信息子库中存储有采集对象的运行状态信息,采集对象运行状态可通过加权平均方式计算得出,使用的运行状态信息包括但不限于:操作系统占用CPU百分比、应用程序占用CPU百分比、CPU温度、内存利用率、磁盘利用率、网络状态信息。
采集代理信息子库中存储有采集代理的运行状态,包括但不限于:基本运行状态和负荷大小,采集代理运行状态可通过加权平均方式计算得出。
采集代理信息子库中还存储有采集对象的采集代理部署信息,基于采集代理部署信息和采集对象当前(即实时)的采集项,获取链路状态,并将链路状态数值化。
实时的采集项包括但不限于:可用链路带宽、网络接口接收包数、链路利用率、链路连通性、链路传播时延、链路保持时间。
根据威胁级别、数值化后的采集对象的资产价值、数值化后的采集对象运行状态、数值化后的采集代理运行状态、数值化后的链路状态,综合计算采集代理中采集项的采集频率。
采集频率调整算法举例如下,对于采集项的采集频率上限为hfreq,下限为lfreq,采集频率计算方法可以为加权平均,ts,av,cos,cas,ls分别表示数值化后的威胁级别、资产价值、采集对象运行状态、采集代理运行状态、链路状态,并满足以下条件ts∈[0,1],av∈[0,1],cos∈[0,1],cas∈[0,1],ls∈[0,1];w1,w2,w3,w4,w5分别表示威胁级别、资产价值、采集对象运行状态、采集代理运行状态、链路状态的计算权重,并满足以下条件:w1≥0,w2≥0,w3≥0,w4≥0,w5≥0,w1+w2+w3+w4+w5=1,则采集频率freg=lfreq+(hfreq-lfreq)×(w1×ts+w2×av+w3×cos+w4×cas+w5×ls)。
可选地,各采集项在对象受攻击后的特征的表现权重,计算对于每个采集项差异化的采集频率。
例如,对于表现权重高的采集项采集频率可选地调高。
表现权重为威胁发生的情况下,对应特征出现的必要性或可能性的量化,必要特征或一定会出现的特征赋值为1,无关特征赋值为0,相关性未知的特征赋值为0.5,例如若威胁A必须基于操作系统的漏洞N,则特征漏洞N为威胁A的必要特征,特征的权重为1,若受威胁A影响的设备80%会表现出异常状态M,则特征M的权重为0.8。
所述的可能性为根据威胁发生的历史数据或实验数据统计得出的结果,或者,专家估值。
表2为采集对象受攻击后特征的表现权重表。
表2采集对象受攻击后特征的表现权重表 可选地,结合受攻击的后果,计算对于每个采集项差异化的采集频率,例如,对于受攻击的后果影响大的采集项采集频率可选地调高。
在上述各实施例的基础上,确定所述目标采集代理集合中采集代理对应的分项信息,进一步包括:对于所述目标采集代理集合中的采集代理,确定所述采集代理所部署于的采集对象;在所述采集对象信息子库中查找所述采集对象的资产价值;基于所述威胁级别和/或所述资产价值,确定所述采集代理的采集优先级。
具体地,本发明实施例可根据单调递增函数计算采集策略优先级,即,资产价值越高,威胁级别越高,采集优先级越高。
在上述各实施例的基础上,基于所述目标采集代理集合中采集代理及对应的分项信息,生成网络中的采集策略集合,进一步包括:对于所述目标采集代理集合中的采集代理,将所述采集代理及对应的分项信息进行封装,生成所述采集代理对应的一个或多个子采集策略;将所述目标采集代理集合中采集代理对应的一个或多个子采集策略进行封装,生成网络中的采集策略集合。
需要说明的是,采集策略包括但不限于如下元素:采集策略ID、采集代理ID、采集项与约束、数据接收者、策略生成者、策略目标、生成时间、策略有效期、策略执行条件。
采集策略ID在整个网络中具有唯一的序号,例如,使用生成时间、策略目标中的任意一种或多种,拼接后调动UUID方式计算获得。
采集代理ID为采集代理在网络中的唯一标识。
采集项与约束包括但不限于:采集项、采集频率、采集有效期和采集优先级。
其中,所述采集项、所述采集频率、所述采集优先级分别从上述实施例中获得。
采集有效期可以根据威胁持续时间、系统异常时间持续时间、用户制定的配置获得。
数据接收者,是根据网络拓扑,得出的接收采集数据的汇集系统地址,汇集系统相关内容不属于本发明实施例范围。
生成该策略的采集管理中心的ID用策略生成者表示。
策略目标可以是保护机密性、完整性和可用性中的一种或几种,也可以细化为保证网络或应用系统的服务质量,保证操作系统正常运行等。
生成时间是根据威胁报警生成采集策略的时间。
策略有效期是采集代理执行采集动作的时间范围,依赖于威胁类型、威胁级别、威胁起止时间。
策略执行条件包括但不限于:采集代理资源约束、时间约束中的一种或几种的组合,例如CPU利用率小于90%,并且时间在8:00到17:00间执行采集。
在上述各实施例的基础上,若接收到外部威胁预警信息,则基于所述外部威胁预警信息和预先存储的信息库,确定网络中需激活的采集代理集合,并从所述采集代理集合中选取任意一个或多个采集代理,组成目标采集代理集合,之前还包括:对于网络中每一对象,根据所述对象的类型、所受到的威胁类型和重要程度中的任意一种或多种,确定部署于所述对象中的采集代理,并将所述采集代理部署于所述对象中。
具体地,采集代理按需部署:依据采集需求和采集能力,按需部署采集代理。
其中,所述按需部署发生在采集代理初始化入网时,根据宿主机类型、威胁类型、设备重要性等实际需求进行针对性优化部署,例如,对于易受到拒绝服务攻击的网络边界位置的网关,部署硬件类型、操作系统均匹配的采集代理,着重对流量进行采集;对于内部网络,易受到扫描探测、非法访问等威胁,着重采集操作系统层、应用层的数据。
所述采集代理按需部署,还可能发生在采集代理运行期间,采集管理中心根据接收到的外部威胁预警,或者,感知到的内部异常状态,或者,用户制定的采集目标确定采集需求。
所述采集需求与采集能力的模糊匹配,可得到采集代理上需要进一步采集的采集项,作为动态在线扩展采集能力的依据。
在采集代理上通过调用采集插件,实现某些采集功能。
在运行时,通过加载采集插件的动态链接库,调用预定义的函数指针,扩展采集能力。
采用按需在线扩展采集单元可减少采集代理在初始运行时占用的计算资源和内存存储资源,适合天地一体化网络等大规模异构网络环境下的资源受限条件的数据采集。
在上述各实施例的基础上,基于所述目标采集代理集合中采集代理及对应的分项信息,生成网络中的采集策略集合,之后还包括:将所述采集策略下发至所述目标采集代理集合中的采集代理,以使得采集代理执行所述采集策略,实现多点协同采集。
在上述各实施例的基础上,基于所述目标采集代理集合中采集代理及对应的分项信息,生成网络中的采集策略集合,之后还包括:若接收到新的外部威胁预警信息,则重新生成网络中的新的采集策略,以对采集策略进行调整。
图3为本发明实施例提供的一种采集管理中心分层部署示意图,适用于大规模异构互联网络的数据采集。
采集管理中心可分层部署,管理层次可以为任意层,每一层可以有任意个采集管理中心。
采集管理中心可生成和调整各采集代理的采集策略,并逐层或跨层下发至下层采集管理中心。
采集代理采集到的数据可逐层或跨层上传给上层的采集管理中心。
图4为本发明实施例提供的另一种采集管理中心分层部署示意图,适用于大规模异构互联网络的数据采集。
采集管理中心可管理任意个采集管理中心和任意个采集代理。
采集管理中心可生成和调整采集代理的采集策略,对于隶属于本采集管理中心的采集代理的采集策略可直接下发至本层的采集代理,对于隶属于下层的采集代理的采集策略可下发至下层采集管理中心,达到间接管理采集代理的目的。
采集代理采集到的数据直接上传给本层采集管理中心,由本层管理中心将其转发至上层采集管理中心。
图5为本发明实施例提供的一种基于外部威胁的采集策略生成系统的结构示意图,采集管理系统可分为采集管理中心和采集代理两个部分,采集管理中心用于对采集代理进行管理,包括采集代理与采集策略管理单元、存储单元、采集策略生成与调整单元。
其中:(1)采集代理与采集策略管理单元,用于与存储单元交互,对管理信息进行包括但不限于:增、删、改、查中的任意一种或多种操作,所述管理信息包括但不限于以下内容:采集代理的基本属性、采集能力、工作配置信息、部署信息、运行状态信息,采集对象基本信息,以及威胁特征信息中的任意一种或多种。
采集代理与采集策略管理单元还用于接收外部威胁预警信息,生成采集策略生成/调整请求,并发送至采集策略生成与调整单元。
采集代理与采集策略管理单元还用于以主动或被动方式将工作配置信息发送给采集代理,接收来自采集代理的配置结果,并将配置结果发送到存储单元。
采集代理与采集策略管理单元还用于以主动或被动方式将采集策略发送给采集代理的配置/策略接收与查询单元,并将采集代理接收该策略的配置结果发送到存储单元,其中,主动方式是指当采集代理与采集策略管理单元接收到来自于采集策略生成与调整单元的采集策略或向存储单元查询并获得采集策略后,主动将采集策略推送给采集代理的配置/策略接收与查询单元;被动方式是指采集代理与采集策略管理单元在接收到来自采集代理的采集策略查询请求后,从存储单元查询适合于该采集代理并满足查询请求的策略,并将查询到的采集策略发送给采集代理的配置/策略接收与查询单元。
采集代理与采集策略管理单元还用于接收采集代理发送的采集代理运行状态信息,并将其发送到存储单元。
(2)存储单元用于存储来自采集代理与采集策略管理单元的管理信息,所述管理信息包括但不限于以下内容:采集代理的基本属性、采集能力、工作配置信息、部署信息、运行状态信息,采集对象的基本信息,威胁特征信息,以及采集策略/工作配置信息配置结果中的任意一种或多种。
存储单元还用于响应采集策略生成与调整单元的包括但不限于以下信息的查询:采集代理的采集能力、部署信息、运行状态,采集对象的资产价值,威胁特征信息中的任意一种或多种。
存储单元还用于存储采集策略生成与调整单元发送的采集策略。
存储单元还用于存储采集代理发送的采集数据。
(3)采集策略生成与调整单元用于接收来自采集代理与采集策略管理单元的采集策略生成/调整请求,依据外部威胁预警信息和存储单元存储的信息生成或调整采集策略,并将生成的采集策略发送到存储单元、采集代理与采集策略管理单元,采集策略生成或调整过程在上述实施例中已详细描述,在此不再赘述。
采集代理用于接受采集管理中心的管理和数据采集,包括配置/策略接收与查询单元、数据采集单元和运行状态监测单元。
其中,配置/策略接收与查询单元用于以主动或被动方式从采集管理中心的采集代理与采集策略管理单元获取采集代理工作配置信息和采集策略。
数据采集单元用于接收来自配置/策略接收与查询单元的采集指令,按照采集指令中所指定的频率采集指定的采集项,并将采集数据发送给采集管理中心的存储单元。
运行状态监测单元用于对采集代理本身的运行状态进行监视,并向采集管理中心的采集代理与采集策略管理单元反馈采集代理的运行状态。
图6为本发明实施例提供的另一种基于外部威胁的采集策略生成系统的结构示意图,如图6所示,该系统包括:目标采集代理集合确定模块601,用于若接收到外部威胁预警信息,则基于所述外部威胁预警信息和预先存储的信息库,确定网络中需激活的采集代理集合,并从所述采集代理集合中选取任意一个或多个采集代理,组成目标采集代理集合;其中,所述信息库包括但不限于:采集代理信息子库、采集对象信息子库和威胁特征信息子库中的任意一种或多种;分项信息确定模块602,用于确定所述目标采集代理集合中采集代理对应的分项信息;其中,所述分项信息包括但不限于:采集层次、采集项、采集频率和采集优先级中的任意一种或多种;采集策略生成模块603,用于基于所述目标采集代理集合中采集代理及对应的分项信息,生成网络中的采集策略集合。
本发明实施例提供的系统,具体执行上述各方法实施例流程,具体请详见上述各方法实施例的内容,此处不再赘述。
本发明实施例提供的系统,若接收到外部威胁预警信息,通过外部威胁预警信息和预先存储的信息库,制定协同采集策略,能够根据采集能力进行差异化数据采集,保证了采集得到的数据的有效性,使得网络中计算、存储和带宽等资源的浪费率大大降低,也能同时保证对网络威胁的有效检测。
图7为本发明实施例提供的一种电子设备的实体结构示意图,如图7所示,该电子设备可以包括:处理器(processor)701、通信接口(Communications Interface)702、存储器(memory)703和通信总线704,其中,处理器701,通信接口702,存储器703通过通信总线704完成相互间的通信。
处理器701可以调用存储在存储器703上并可在处理器701上运行的计算机程序,以执行上述各实施例提供的方法,例如包括:若接收到外部威胁预警信息,则基于所述外部威胁预警信息和预先存储的信息库,确定网络中需激活的采集代理集合,并从所述采集代理集合中选取任意一个或多个采集代理,组成目标采集代理集合;其中,所述信息库包括但不限于:采集代理信息子库、采集对象信息子库和威胁特征信息子库中的任意一种或多种;确定所述目标采集代理集合中采集代理对应的分项信息;其中,所述分项信息包括但不限于:采集层次、采集项、采集频率和采集优先级中的任意一种或多种;基于所述目标采集代理集合中采集代理及对应的分项信息,生成网络中的采集策略集合。
本发明实施例还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各实施例提供的传输方法,例如包括:若接收到外部威胁预警信息,则基于所述外部威胁预警信息和预先存储的信息库,确定网络中需激活的采集代理集合,并从所述采集代理集合中选取任意一个或多个采集代理,组成目标采集代理集合;其中,所述信息库包括但不限于:采集代理信息子库、采集对象信息子库和威胁特征信息子库中的任意一种或多种;确定所述目标采集代理集合中采集代理对应的分项信息;其中,所述分项信息包括但不限于:采集层次、采集项、采集频率和采集优先级中的任意一种或多种;基于所述目标采集代理集合中采集代理及对应的分项信息,生成网络中的采集策略集合。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。
可以根据实际的需要选择其中的部分或者全部模块来实现本发明实施例方案的目的。
本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。
基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
展开

查看更多专利详情信息请先登录或注册会员

相关专利类别推荐

获取手机验证码,即可注册成为会员

专利详情咨询

咨询内容

姓名

手机

验证码

用户登录

手机号

手机验证码

提示

不能再减了!!!

提交成功

八月瓜客服中心已经收到您的信息,正在为您派遣知识产权顾问。知识产权顾问会携带贴心的服务以闪电搬的速度与您联系。

扫一扫关注八月瓜微信 创业一手掌握