本發(fā)明提出一種面向信息網(wǎng)絡(luò)安全的防御控制方法及系統(tǒng)，包括采用已知攻擊模式對(duì)預(yù)先采集的安全告警數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析和序列挖掘，生成網(wǎng)絡(luò)拓?fù)洌唤Y(jié)合網(wǎng)絡(luò)拓?fù)洌詣?dòng)確定參與聯(lián)合防御的網(wǎng)絡(luò)安全設(shè)備；向選定的網(wǎng)絡(luò)安全設(shè)備下發(fā)防御規(guī)則，以實(shí)現(xiàn)聯(lián)合防御。上述方案具有很好的抗攻擊效果，對(duì)于高強(qiáng)度對(duì)抗要求的網(wǎng)絡(luò)防護(hù)應(yīng)用具有重要意義，解決了信息網(wǎng)絡(luò)難以抵御復(fù)雜網(wǎng)絡(luò)攻擊的難題。

技術(shù)領(lǐng)域

本發(fā)明屬于網(wǎng)絡(luò)安全管理領(lǐng)域，具體涉及一種面向信息網(wǎng)絡(luò)安全的防御控制方法及系統(tǒng)。

背景技術(shù)

互聯(lián)網(wǎng)+時(shí)代給社會(huì)各個(gè)方面帶來便捷的同時(shí)，網(wǎng)絡(luò)安全威脅也隨之而來，各類網(wǎng)絡(luò)攻擊也日益增多。金融、醫(yī)療、通信以及電力等重要網(wǎng)絡(luò)的規(guī)模較為龐大，網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)據(jù)維度和數(shù)量不斷增加.近年來，勒索病毒、DDok攻擊、釣魚郵件、木馬、緩存區(qū)溢出等攻擊依然是當(dāng)前的主要安全攻擊行為。當(dāng)攻擊者利用網(wǎng)絡(luò)漏洞發(fā)動(dòng)以獲取目標(biāo)主機(jī)權(quán)限的攻擊時(shí)，防守者必須依據(jù)當(dāng)前網(wǎng)絡(luò)狀態(tài)所暴露出的問題快速選擇網(wǎng)絡(luò)防御策略進(jìn)行有效阻擊，這里所說的網(wǎng)絡(luò)防御策略是由一系列防御動(dòng)作構(gòu)成的集合，常用的方法有阻斷連接、刪除惡意代碼、漏洞加固、權(quán)限恢復(fù)等.當(dāng)承載大量應(yīng)用服務(wù)的網(wǎng)絡(luò)系統(tǒng)遭受入侵時(shí)如果僅選擇切斷互聯(lián)網(wǎng)接入，那么意味著防守方中斷了所有的業(yè)務(wù)，其業(yè)務(wù)損失代價(jià)會(huì)給機(jī)構(gòu)帶來嚴(yán)重后果，例如游戲、視頻服務(wù)，或者云平臺(tái)、集群服務(wù)等.因此，這就需要對(duì)于網(wǎng)絡(luò)攻防過程進(jìn)行精準(zhǔn)的數(shù)據(jù)分析，并得出防護(hù)代價(jià)最小、防御效果最好的安全策略[3]，使得在有限防御條件下盡量保障業(yè)務(wù)的連續(xù)性和可靠性。

網(wǎng)絡(luò)安全聯(lián)合防御技術(shù)強(qiáng)調(diào)的是系統(tǒng)適應(yīng)安全的能力。結(jié)合現(xiàn)有的網(wǎng)絡(luò)安全技術(shù)，對(duì)網(wǎng)絡(luò)安全事件準(zhǔn)確響應(yīng)，動(dòng)態(tài)調(diào)整響應(yīng)策略，確保關(guān)鍵數(shù)據(jù)的自動(dòng)保護(hù)和恢復(fù)，最大可能地降低外來攻擊造成的損失。網(wǎng)絡(luò)系統(tǒng)從單純的被動(dòng)防護(hù)提升為攻防兼?zhèn)涞穆?lián)合式防御，這在網(wǎng)絡(luò)安全攻防的應(yīng)用中具有實(shí)用價(jià)值。目前，國內(nèi)外關(guān)注度較高的聯(lián)合防御技術(shù)是入侵防御系統(tǒng)IPS，通過防火墻和入侵檢測系統(tǒng)IDS之間的聯(lián)合，以達(dá)到保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)，阻斷網(wǎng)絡(luò)入侵攻擊的目的。

但現(xiàn)有聯(lián)合防御技術(shù)存在以下三點(diǎn)不足：(1)基于防火墻和入侵檢測系統(tǒng)間的聯(lián)合防御僅考慮防火墻和入侵檢測系統(tǒng)等兩項(xiàng)網(wǎng)絡(luò)安全防護(hù)設(shè)備，未能包括其它安全防護(hù)設(shè)備，如身份認(rèn)證、蜜罐等，聯(lián)合的范圍有限，因而防御的效果較差。(2)聯(lián)合防御僅針對(duì)單一安全告警事件，沒有采用安全告警事件關(guān)聯(lián)分析，因而存在較高誤報(bào)，限制了聯(lián)合防御技術(shù)的實(shí)用化。(3)事先設(shè)定參與聯(lián)合防御的網(wǎng)絡(luò)安全設(shè)備，不能根據(jù)實(shí)際的網(wǎng)絡(luò)環(huán)境和攻擊情況動(dòng)態(tài)選擇，缺乏部署靈活性。

發(fā)明內(nèi)容

為了克服上述不足，本發(fā)明提供一種面向信息網(wǎng)絡(luò)安全的防御控制方法及系統(tǒng)，通過集中采集和分析網(wǎng)絡(luò)告警數(shù)據(jù)，生成相互關(guān)聯(lián)的攻擊步驟，消除誤報(bào)警。聯(lián)合防火墻、入侵檢測系統(tǒng)、安全交互平臺(tái)、邏輯強(qiáng)隔離裝置以及正反向隔離裝置等信息網(wǎng)絡(luò)安全設(shè)備，結(jié)合信息網(wǎng)絡(luò)拓?fù)洌詣?dòng)確定參與聯(lián)合防御的具體網(wǎng)絡(luò)安全設(shè)備，實(shí)現(xiàn)信息網(wǎng)絡(luò)安全聯(lián)合防御。

本發(fā)明的目的是采用下述技術(shù)方案實(shí)現(xiàn)的：

一種面向信息網(wǎng)絡(luò)安全的防御控制方法，所述方法包括：

采用已知攻擊模式對(duì)預(yù)先采集的安全告警數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析和序列挖掘，生成網(wǎng)絡(luò)拓?fù)洌?/p>

結(jié)合網(wǎng)絡(luò)拓?fù)洌詣?dòng)確定參與聯(lián)合防御的網(wǎng)絡(luò)安全設(shè)備；

向選定的網(wǎng)絡(luò)安全設(shè)備下發(fā)防御規(guī)則，以實(shí)現(xiàn)聯(lián)合防御。

優(yōu)選的，所述預(yù)先采集安全告警數(shù)據(jù)包括：

在網(wǎng)絡(luò)安全設(shè)備上部署監(jiān)控裝置；其中，

所述網(wǎng)絡(luò)安全設(shè)備，包括防火墻、入侵檢測系統(tǒng)、安全交互平臺(tái)、邏輯強(qiáng)隔離裝置和正反向隔離裝置；

所述監(jiān)控裝置采用事件觸發(fā)機(jī)制，以分布式部署方式采集安全設(shè)備產(chǎn)生的安全告警數(shù)據(jù)，并發(fā)送至智慧管理平臺(tái)；

通過智慧管理平臺(tái)對(duì)安全告警數(shù)據(jù)進(jìn)行解密和解壓縮后，獲得明文數(shù)據(jù)；