【技术实现步骤摘要】
本专利技术涉及安全运营,具体来说是一种安全策略影响面和效果评估方法及其系统。
技术介绍
1、日常安全运营过程中安全运营人员会通过安全防护系统上编写安全防护策略,以对安全攻击行为进行识别和拦截。但是在策略部署到线上防护系统前,无法知道该策略的影响范围、命中策略的请求是否存在意外等情况。同时缺乏对应的安全策略评估数据来有效支撑策略上线。现有的方式是通过将安全策略(只做监控告警,不进行真实拦截)推到线上系统或者测试环境,通过运行一段时间后,在命中结果里面分析是否存异常后再将策略调整为触发策略后进行拦截。
2、现有的方式存在如下缺点:1.当安全策略在测试环境进行测试时,存在测试环境的访问流量与真实环境流程异常导致测试样例覆盖不全的情况,导致策略效果评估不理想;2.当将安全策略(只做监控告警,不进行真实拦截)推到线上系统进行观察安全策略效果时,只有命中策略的结果数据,缺少针对策略命中覆盖多少请求源ip占比、命中用户量等影响面的综合分析;3.由于一线策略运营人员知识范围、系统理解等因素,存在新建安全策略的实际影响范围比预期的影响范围要大或者小的情况,此时将新建安全策略上线后会导致误拦截或漏拦截情况。
技术实现思路
1、本专利技术要解决的技术问题是克服现有技术的不足,提供一种可以根据各命中安全策略数据,分别计算得到各安全策略防护效果的基础指标的指标值,根据安全策略防护效果的基础指标的指标值,计算安全策略防护效果评价值的安全策略影响面和效果评估方法及其系统。
2、为了实现上
3、s1.输入安全策略,所述安全策略包括策略类型、对象请求源ip地址、请求载荷特征;
4、s2.对所述来源于步骤s1的安全策略进行标准化和格式化解析,以产生策略数据;
5、s3-1.根据步骤s2解析得到的策略数据,挑选对应的历史访问行为数据,将策略数据中的特征与所挑选的历史访问流量数据进行匹配;
6、s3-2.根据步骤s2解析得到的策略数据,挑选对应的实时访问行为数据,将策略数据中的特征与所挑选的实时访问流量数据进行匹配;
7、s4.综合步骤s3-1和步骤s3-2的匹配结果,将所得结果录入系统数据库,并通过图表界面展示,同时提供一个查询接口,用于依据设定的条件如时间区间、策略特征值、策略特征id和匹配结果来查询策略的命中效果。
8、本专利技术还具有如下优选的技术方案:
9、1.所述策略类型包括:web安全策略、流量安全策略和主机安全策略。
10、2.所述步骤s2具体如下:使用grok切分安全策略文件,对web安全策略、流量安全策略、主机安全策略中不同的安全策略在策略解析中心中用grok语法编写和配置解析规则。
11、3.所述历史访问行为数据包括来自应用访问日志、流量数据还原后的日志数据、终端edr上的行为数据。
12、4.所述策略数据中的特征具体为:安全策略转换提取为匹配字段key:字段值values的形式。
13、5.所述实时访问行为数据包括来自应用访问日志、流量数据还原后的日志数据、终端edr上的行为数据,这些数据会存储在大数据平台,大数据平台提供接口供本专利装置进行调用匹配。
14、6.所述步骤s3-1和步骤s3-2中实时访问行为数据、历史访问行为数据都是以匹配字段key:字段值values的形式存储在大数据平台,根据安全策略中的特征在实时的访问行为数据、历史访问行为数据里面进行检索比对,就能完成匹配过程。
15、7.所述步骤s4具体如下:根据安全策略中的特征在实时的访问行为数据、历史访问行为数据里面进行检索比对,命中策略则将命中数据写入结果库中,在库里面记录原始访问数据,原始访问数据包含访问时间、访问源地址、源端口、访问方式、目的地址、目的端口字段信息;选取时间区间或字段的匹配逻辑在原始数据库里面进行检索数据,检索出来的结果数据存入检索结果表,检索结果表作为数据来源,使用前端页面可视化图形库将搜索出来的结果数据根据需求进行不同样式的展现,展现方式有饼图、柱状图、时间轴线图。
16、还设计一种采用所述安全策略影响面和效果评估方法的系统,所述系统包括安全策略输入与编辑模块,用于运营人员根据安全策略的要求进行策略匹配和输入,所述策略匹配包括诸如web安全策略、流量安全策略、主机安全策略,并可输入与安全策略相关的对象请求源ip和请求载荷特征;策略解析模块,对上述安全策略输入与编辑模块提供的安全策略进行标准化和格式化解析,并具备处理策略解析规则,包括其增加、删除、修改和查找;策略匹配分析模块,用于接收策略解析模块提供的结构化安全策略数据,并据此对历史访问数据和实时访问数据进行安全策略匹配分析,以识别符合安全策略条件的数据流;结果存储展示与查询模块,负责存储上述策略匹配分析模块的匹配结果,并根据业务要求对结果进行展示和查询,该模块支持生成和呈现以下统计分析指标:命中特定安全策略的ip地址比率、所匹配策略所涉及终端类型及其在总终端数中的占比、按照特定策略命中的请求行为量在总访问量中的比率,以及符合安全策略的用户数在所有用户总数中的比例。
17、本专利技术同现有技术相比,其优点在于:
18、1.通过历史和实时数据比对来对安全策略的影响面和效果用数据进行体现,作为安全策略部署到生产线的可信支撑;
19、2.测试样本量更加全面,历史数据和实时数据的结合,安全策略测试样本量覆盖更加全面,能有效帮助安全运营人员对安全策略的配置与优化。
本文档来自技高网...【技术保护点】
1.一种安全策略影响面和效果评估方法,其特征在于所述方法如下:
2.如权利要求1所述的一种安全策略影响面和效果评估方法,其特征在于所述策略类型包括:web安全策略、流量安全策略和主机安全策略。
3.如权利要求1所述的一种安全策略影响面和效果评估方法,其特征在于所述步骤S2具体如下:使用Grok切分安全策略文件,对web安全策略、流量安全策略、主机安全策略中不同的安全策略在策略解析中心中用grok语法编写和配置解析规则。
4.如权利要求1所述的一种安全策略影响面和效果评估方法,其特征在于所述历史访问行为数据包括来自应用访问日志、流量数据还原后的日志数据、终端EDR上的行为数据。
5.如权利要求1所述的一种安全策略影响面和效果评估方法,其特征在于所述策略数据中的特征具体为:安全策略转换提取为匹配字段key:字段值values的形式。
6.如权利要求1所述的一种安全策略影响面和效果评估方法,其特征在于所述实时访问行为数据包括来自应用访问日志、流量数据还原后的日志数据、终端EDR上的行为数据,这些数据会存储在大数据平台,大数据平
7.如权利要求1所述的一种安全策略影响面和效果评估方法,其特征在于所述步骤S3-1和步骤S3-2中实时访问行为数据、历史访问行为数据都是以匹配字段key:字段值values的形式存储在大数据平台,根据安全策略中的特征在实时的访问行为数据、历史访问行为数据里面进行检索比对,就能完成匹配过程。
8.如权利要求1所述的一种安全策略影响面和效果评估方法,其特征在于所述步骤S4具体如下:根据安全策略中的特征在实时的访问行为数据、历史访问行为数据里面进行检索比对,命中策略则将命中数据写入结果库中,在库里面记录原始访问数据,原始访问数据包含访问时间、访问源地址、源端口、访问方式、目的地址、目的端口字段信息;选取时间区间或字段的匹配逻辑在原始数据库里面进行检索数据,检索出来的结果数据存入检索结果表,检索结果表作为数据来源,使用前端页面可视化图形库将搜索出来的结果数据根据需求进行不同样式的展现,展现方式有饼图、柱状图、时间轴线图。
9.一种采用如权利要求1-8任一所述安全策略影响面和效果评估方法的系统,其特征在于所述系统包括
...【技术特征摘要】
1.一种安全策略影响面和效果评估方法,其特征在于所述方法如下:
2.如权利要求1所述的一种安全策略影响面和效果评估方法,其特征在于所述策略类型包括:web安全策略、流量安全策略和主机安全策略。
3.如权利要求1所述的一种安全策略影响面和效果评估方法,其特征在于所述步骤s2具体如下:使用grok切分安全策略文件,对web安全策略、流量安全策略、主机安全策略中不同的安全策略在策略解析中心中用grok语法编写和配置解析规则。
4.如权利要求1所述的一种安全策略影响面和效果评估方法,其特征在于所述历史访问行为数据包括来自应用访问日志、流量数据还原后的日志数据、终端edr上的行为数据。
5.如权利要求1所述的一种安全策略影响面和效果评估方法,其特征在于所述策略数据中的特征具体为:安全策略转换提取为匹配字段key:字段值values的形式。
6.如权利要求1所述的一种安全策略影响面和效果评估方法,其特征在于所述实时访问行为数据包括来自应用访问日志、流量数据还原后的日志数据、终端edr上的行为数据,这些数据会存储在大数据平台,大数据平...
【专利技术属性】
技术研发人员:叶莹,张涛,道晟,王泊,
申请(专利权)人:上交所技术有限责任公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。