一种网络安全特征自动化部署方法及系统的制作方法
【技术领域】
[0001] 本发明涉及网络安全领域,尤其涉及一种网络安全特征自动化部署方法及系统。
【背景技术】
[0002] 随着网络与信息技术的发展,网络正逐步改变人类的生活和工作方式。并对社会 的各行各业产生了巨大深远的影响。如何在新旧技术交叠应用的变革过程中更有效地保证 网络的信息安全,已成为各方关注的重点。
[0003] 在网络安全的监测和防御中,安全特征是对设备安全漏洞的补偿性应对措施。对 于很多用户的网络设备,由于其敏感性和软硬件的局限性,例如不允许修改设备的软件系 统,软件版本过低,硬件设备过时,用户往往不能直接在设备上部署相应的补丁。为了保护 网络安全,在复杂的用户环境下,常常需要为用户网络配置多个安全保护设备。在保护设备 上部署实施安全特征是一种保证网络安全的重要手段。针对不同漏洞的攻击手段,网络保 护设备通过使用安全特征,对攻击数据包进行匹配,以达到发现和阻止攻击的目的。特别是 在工控网络安全领域,虽然越来越多的工控网络安全漏洞被发现和公布,但工控系统自身 的设计缺陷导致仍有很多潜在且未被发现的漏洞,加上恶意攻击者的攻击手段和技术不断 更新和变化,工控网络严峻的安全状况一直在不断加剧。
[0004] 传统的安全解决方案常常需要对每个保护设备分别设置安全特征。由于漏洞特征 库的内容庞大加之没有考虑到设备、安全特征之间的联系,人工部署非常复杂,并易于产生 人为引起的错误。当发布了用户设备新漏洞的特征或已知漏洞新特征时,由于系统的复杂 性,很难为每个保护设备及时地准确地更新安全特征。
【发明内容】
[0005] 为了解决现有技术中存在的问题,本发明提出了一种网络安全特征自动化部署方 法及系统,目的是为了解决大型用户网络中,针对用户设备安全漏洞攻击而需要采取的安 全特征部署问题提供解决方案。
[0006] 为达到上述目的,本发明采取以下的技术方案:
[0007] -种网络安全特征自动化部署方法,包括以下步骤:步骤一,基于网络系统的 网络拓扑结构,分析网络拓扑结构的连通性,确定各个保护设备的监控和保护区域;步骤 二,通过将网络系统中每一个用户设备的详细信息与漏洞特征库进行比较,生成用户设备 和漏洞特征的映射表;步骤三,根据所述映射表,确定每个用户设备所需要的安全特征, 然后参照所述保护设备监测和/或保护的区域,为所述保护设备生成定制化的安全特征列 表;步骤四,使用漏洞特征库取得所需特征列表中的所有安全特征,将定制化的安全特征 自动部署到每个保护设备上。
[0008] 进一步地,步骤一中对网络拓扑结构的连通性进行分析并确定所述保护设备的监 控和保护区域所使用的方法为图论法。
[0009] 进一步地,步骤二中用户设备的详细信息包括设备类型、设备出厂日期或软件版 本。
[0010] 进一步地,步骤二中漏洞特征库包括漏洞名称、漏洞介绍、攻击手段、漏洞适用设 备以及应对措施。
[0011] 进一步地,步骤三中定制化的安全特征列表为针对保护设备定制的安全特征集 合。
[0012] 进一步地,步骤四中通过设置保护设备配置的方式向所述每个保护设备部署定制 化的安全特征。
[0013] 本发明还提供了一种网络安全特征自动化部署系统,包括中央管理系统、漏洞特 征库、保护设备、用户设备以及通讯网络,所述中央管理系统与漏洞特征库连通,同时还与 每个保护设备连通,所述每个保护设备与用户设备连通。
[0014] 进一步地,中央管理系统收集用户设备信息、网络拓扑结构信息以及查询漏洞特 征库的信息,并进行定制化网络安全特征的自动化部署。
[0015] 进一步地,保护设备从中央管理系统接收定制化的安全特征作为配置文件,并依 据所述配置文件针对用户设备漏洞的攻击数据包进行报警和/或阻断。
[0016] 进一步地,用户设备包括交换机、工作站、服务器、可编程逻辑控制器中的一种或 几种。
[0017] 进一步地,保护设备包括网关、IDS、IPS中的一种或几种。
[0018] 本发明所产生的有益效果为:
[0019] 提供了自动部署定制化的网络安全特征的方法和系统,解决了现有技术中存在的 漏洞特征库内容庞大,人工部署过于复杂并容易发生人为引起的错误的问题。针对安全特 征与用户设备之间的关系以及用户网络拓扑结构,自动把相关的定制化安全特征部署到相 应的保护设备上,实时、高效的保证了网络安全入侵监测和防御的效果。
【附图说明】
[0020] 图1为使用本发明的网络安全特征自动部署方法及系统的通信网络拓扑图;
[0021] 图2为通信网路中保护设备A所监测和保护区域的网络拓扑图;
[0022] 图3为通信网路中保护设备B所监测和保护区域的网络拓扑图;
[0023] 图4为通信网路中保护设备C所监测和保护区域的网络拓扑图;
[0024] 图5为通信网路中保护设备D所监测和保护区域的网络拓扑图;
[0025] 图6为生成定制化安全特征并部署的流程图。
[0026] 附图标记:1-8用户设备
【具体实施方式】
[0027] 以下以工业控制网络安全特征自动部署方法和系统为例对本发明进行详细阐述, 应当注意的是,下列实施例仅用于对本发明进行说明而非作为对本发明的限制。本发明的 网络安全特征自动部署方法和系统除了可以应用在工业控制网络中,还可以用于任何其他 的分布式网络。
[0028] 如图1所示的通信网络拓扑图,中央管理系统与漏洞特征库连通,同时与保护设 备A-D连通,保护设备A与用户设备3、5连通,其中用户设备3与用户设备1连通,保护设 备B与用户设备2、7、8连通,其中用户设备7与用户设备6连通,保护设备C与用户设备4、 7连通,保护设备D与用户设备5、7连通。用户设备可以为交换机、工作站、服务器以及可编 程逻辑控制器等,保护设备可以为网关、IDS、IPS等。
[0029] 按照图6所示的步骤,基于图1的网络拓扑结构,利用智能图论法分析系统的连通 性,确定如图2-5所示的保护设备A-D所监测和保护的区域,即保护设备A-D的负责区域。 其中,保护设备A的负责区域包括用户设备1、3、5,保护设备B的负责区域包括用户设备2、 6、7、8,保护设备C的负责区域包括用户设备4、6、7,保护设备D的负责区域包括用户设备 5、6、7。
[0030] 在确定了保护设备A-D所负责的区域后,由中央管理系统将由用户输入或自动发 现取得的每个用户设备的详细信息与漏洞特征库进行比较,生成如表1所示的用户设备和 漏洞特征的映射表。所述的详细信息包括但不限于用户设备的类型、出厂日期、软件版本 等,所述的漏洞特征库包括但不限于漏洞名称、漏洞介绍、攻击手段、漏洞适用设备以及应 对措施等。
[0031] 表1用户设备及漏洞特征映射表
[0032]
[0033] 根据每个用户设备所需要的安全特征同时参照保护设备A-D各自负责监测和/或 保护的区域,为保护设备A-D生成定制化的安全特征列表,如表2所示:
[0034] 表2保护设备定制化安全特征表
[0035]
[0036] 中央管理系统自动地将所生成的定制化的安全特征以配置文件的形式部署到保 护设备A-D中,保护设备A-D从中央管理系统接收定制化的安全特征作为配置文件,并依据 配置文件对用户设备漏洞的攻击数据包进行报警和/或阻断。
[0037] 以上所述实施例仅表达了本发明的实施方式,其描述较为具体和详细,但并不能 因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说, 在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范 围。因此,本发明专利的保护范围应以所附权利要求为准。
【主权项】
1. 一种网络安全特征自动化部署方法,其特征在于,包括以下步骤: 步骤一:基于网络系统的网络拓扑结构,分析网络拓扑结构的连通性,确定各个保护 设备的监控和保护区域; 步骤二:通过将网络系统中每一个用户设备的详细信息与漏洞特征库进行比较,生成 用户设备和漏洞特征的映射表; 步骤三:根据所述映射表,确定每个用户设备所需要的安全特征,然后参照所述保护 设备监测和/或保护的区域,为所述保护设备生成定制化的安全特征列表; 步骤四:使用漏洞特征库取得所需特征列表中的所有安全特征,将定制化的安全特征 自动部署到每个保护设备上。2. 如权利要求1所述的网络安全特征自动化部署方法,其特征在于,所述步骤一中对 网络拓扑结构的连通性进行分析并确定所述保护设备的监控和保护区域使用的方法为图 论法。3. 如权利要求1所述的网络安全特征自动化部署方法,其特征在于,所述步骤二中用 户设备的详细信息包括设备类型、设备出厂日期或软件版本。4. 如权利要求1所述的网络安全特征自动化部署方法,其特征在于,所述步骤二中漏 洞特征库包括漏洞名称、漏洞介绍、攻击手段、漏洞适用设备以及应对措施。5. 如权利要求1所述的网络安全特征自动化部署方法,其特征在于,所述步骤三中定 制化的安全特征列表为针对保护设备定制的安全特征集合。6. 如权利要求1所述的网络安全特征自动化部署方法,其特征在于,所述步骤四中通 过设置保护设备配置的方式向所述每个保护设备部署定制化的安全特征。7. -种使用权利要求1到6的任意一项所述方法的网络安全特征自动化部署系统,其 特征在于,包括中央管理系统、漏洞特征库、保护设备、用户设备以及通讯网络,所述中央管 理系统与漏洞特征库连通,同时还与每个保护设备连通,所述每个保护设备与用户设备连 通。8. 如权利要求7所述的网络安全特征自动化部署系统,其特征在于,所述中央管理系 统收集用户设备信息、网络拓扑结构信息以及查询漏洞特征库的信息,并进行定制化网络 安全特征的自动化部署。9. 如权利要求7所述的网络安全特征自动化部署系统,其特征在于,所述保护设备从 中央管理系统接收定制化的安全特征作为配置文件,并依据所述配置文件针对用户设备漏 洞的攻击数据包进行报警和/或阻断。10. 如权利要求7所述的网络安全特征自动化部署系统,其特征在于,所述用户设备包 括交换机、工作站、服务器、可编程逻辑控制器中的一种或几种。11. 如权利要求7所述的网络安全特征自动化部署系统,其特征在于,所述保护设备包 括网关、IDS、IPS中的一种或几种。
【专利摘要】本发明公开了一种网络安全特征自动化部署方法及系统,其基于用户通信系统的网络拓扑结构,利用图论技术,由中央管理系统确定保护设备监控和保护的区域并将网络系统中每一个用户设备的详细信息与漏洞特征库进行比较,生成用户设备和漏洞特征的映射表。根据映射表,确定每个用户设备所需要的安全特征,然后参照保护设备监测和/或保护的区域,为保护设备生成定制化的安全特征列表并由中央管理系统将定制化的安全特征通过通讯网络自动部署到每个保护设备上。
【IPC分类】H04L29/06
【公开号】CN104883345
【申请号】CN201410507450
【发明人】孙一桉, 徐林
【申请人】宁波匡恩网络科技有限公司
【公开日】2015年9月2日
【申请日】2014年9月28日