安全策略生成方法及設(shè)備的制造方法
【專利摘要】本發(fā)明的目的是提供一種安全策略生成方法及設(shè)備����,本申請?zhí)岢鲆环N自動(dòng)建模方法����,在實(shí)施初期����,通過對實(shí)際業(yè)務(wù)操作的學(xué)習(xí)和分析,自動(dòng)生成安全策略���,然后本實(shí)施例還可以不斷重復(fù)進(jìn)行����,即在業(yè)務(wù)系統(tǒng)運(yùn)行過程中繼續(xù)不斷的學(xué)習(xí)和分析��,自動(dòng)識別出業(yè)務(wù)變化�,動(dòng)態(tài)更新安全策略。本申請可以適用于大多數(shù)基于安全策略機(jī)制的安全防護(hù)系統(tǒng)��,從而精準(zhǔn)的實(shí)現(xiàn)安全策略自動(dòng)生成和自動(dòng)演進(jìn)�,提升安全防護(hù)能力,減少維護(hù)成本���,降低實(shí)施難度����。
【專利說明】
安全策略生成方法及設(shè)備
技術(shù)領(lǐng)域
[0001]本發(fā)明涉及計(jì)算機(jī)領(lǐng)域,尤其涉及一種安全策略生成方法及設(shè)備�����。
【背景技術(shù)】
[0002]隨著計(jì)算機(jī)系統(tǒng)應(yīng)用越來越廣泛�����,大量的關(guān)鍵數(shù)據(jù)及關(guān)鍵業(yè)務(wù)采用計(jì)算機(jī)系統(tǒng)進(jìn)行管理和支撐���,計(jì)算機(jī)系統(tǒng)安全問題日益嚴(yán)重和復(fù)雜化�����。
[0003]現(xiàn)有的計(jì)算機(jī)安全系統(tǒng)保護(hù)機(jī)制�,一般都是由管理員人工定義安全策略�,人工判定哪些業(yè)務(wù)操作是合法的,予以放行�����,哪些是不合法的����,予以阻斷或告警。然后隨著計(jì)算機(jī)系統(tǒng)本身以及其所支撐的業(yè)務(wù)系統(tǒng)日趨復(fù)雜���,完全依靠人工判定的方法建立安全策略已經(jīng)越來越困難��,體現(xiàn)在:
[0004]1.業(yè)務(wù)量巨大�,管理員難以判斷業(yè)務(wù)合法性�����,難以建立準(zhǔn)確和細(xì)粒度的安全策略����;
[0005]2.業(yè)務(wù)系統(tǒng)在不斷演進(jìn),舊的業(yè)務(wù)不斷廢棄����,新的業(yè)務(wù)不斷增加,原有安全策略會(huì)很快失效��;
[0006]3.大量的安全策略需要維護(hù)導(dǎo)致實(shí)施困難���。
【發(fā)明內(nèi)容】
[0007]本發(fā)明的一個(gè)目的是提供一種安全策略生成方法及設(shè)備����,能夠解決現(xiàn)有的人工判定的方法建立安全策略困難的問題。
[0008]根據(jù)本發(fā)明的一個(gè)方面�����,提供了一種安全策略生成方法�����,該方法包括:
[0009]抓取業(yè)務(wù)系統(tǒng)中的數(shù)據(jù)形成原始業(yè)務(wù)數(shù)據(jù)����;
[0010]對所述原始業(yè)務(wù)數(shù)據(jù)進(jìn)行預(yù)處理,形成規(guī)范化業(yè)務(wù)數(shù)據(jù)�;
[0011]對所述規(guī)范化業(yè)務(wù)數(shù)據(jù)進(jìn)行分析和學(xué)習(xí),以抽取出有效要素值����,并將所述有效要素值匯集成安全策略。
[0012]進(jìn)一步的����,上述方法中,抓取業(yè)務(wù)系統(tǒng)中的數(shù)據(jù)的方式包括:直接讀取���、旁路監(jiān)聽�、串行截取����、模塊注入的方式中的一種或任意組合。
[0013]進(jìn)一步的��,上述方法中�����,對所述原始業(yè)務(wù)數(shù)據(jù)進(jìn)行預(yù)處理的步驟之前����,還包括:
[0014]為每一個(gè)安全主體創(chuàng)建一個(gè)安全模型,在每個(gè)安全模型中為每一個(gè)安全要素創(chuàng)建一張統(tǒng)計(jì)表����,表中每一行表示某個(gè)安全要素的某個(gè)實(shí)際取值及該實(shí)際取值實(shí)際發(fā)生的統(tǒng)計(jì)次數(shù),統(tǒng)計(jì)次數(shù)初始化為零����。
[0015]進(jìn)一步的,上述方法中�����,對所述原始業(yè)務(wù)數(shù)據(jù)進(jìn)行預(yù)處理,形成規(guī)范化業(yè)務(wù)數(shù)據(jù)�,包括:
[0016]根據(jù)所述安全模型抽取出所述原始業(yè)務(wù)數(shù)據(jù)中所涉及到的安全主體的安全要素及安全要素的實(shí)際取值,形成規(guī)范化業(yè)務(wù)數(shù)據(jù)����。
[0017]進(jìn)一步的,上述方法中���,對所述規(guī)范化業(yè)務(wù)數(shù)據(jù)進(jìn)行分析和學(xué)習(xí)�,包括:
[0018]根據(jù)所述規(guī)范化業(yè)務(wù)數(shù)據(jù)中的安全主體的安全要素及安全要素的實(shí)際取值�,更新安全模型中相應(yīng)的實(shí)際取值的統(tǒng)計(jì)次數(shù),每個(gè)安全主體的安全要素的實(shí)際取值發(fā)生一次���,則該安全主體的安全要素的實(shí)際取值的統(tǒng)計(jì)次數(shù)加一��。
[0019]進(jìn)一步的�,上述方法中�����,抽取出有效要素值��,并將所述有效要素值匯集成安全策略,包括:
[0020]掃描每個(gè)安全主體的安全模型��,按照每個(gè)實(shí)際取值的統(tǒng)計(jì)次數(shù)從高到低進(jìn)行排序����,其中統(tǒng)計(jì)次數(shù)較高的實(shí)際取值標(biāo)記為安全�,將標(biāo)記為安全的實(shí)際取值添加為安全策略,將統(tǒng)計(jì)次數(shù)的較低的實(shí)際取值標(biāo)記為可疑����。
[0021]根據(jù)本發(fā)明的另一方面,還提供了一種安全策略生成設(shè)備��,該設(shè)備包括:
[0022]數(shù)據(jù)抓取模塊�,用于抓取業(yè)務(wù)系統(tǒng)中的數(shù)據(jù)形成原始業(yè)務(wù)數(shù)據(jù);
[0023]數(shù)據(jù)預(yù)處理模塊��,對所述原始業(yè)務(wù)數(shù)據(jù)進(jìn)行預(yù)處理�,形成規(guī)范化業(yè)務(wù)數(shù)據(jù);
[0024]學(xué)習(xí)和分析模塊��,對所述規(guī)范化業(yè)務(wù)數(shù)據(jù)進(jìn)行分析和學(xué)習(xí)��,以抽取出有效要素值�,并將所述有效要素值匯集成安全策略。
[0025]進(jìn)一步的,上述設(shè)備中����,所述數(shù)據(jù)抓取模塊抓取業(yè)務(wù)系統(tǒng)中的數(shù)據(jù)的方式包括:直接讀取、旁路監(jiān)聽�����、串行截取����、模塊注入的方式中的一種或任意組合。
[0026]進(jìn)一步的�����,上述設(shè)備中����,所述設(shè)備還包括:
[0027]創(chuàng)建模塊,用于為每一個(gè)安全主體創(chuàng)建一個(gè)安全模型��,在每個(gè)安全模型中為每一個(gè)安全要素創(chuàng)建一張統(tǒng)計(jì)表��,表中每一行表示某個(gè)安全要素的某個(gè)實(shí)際取值及該實(shí)際取值實(shí)際發(fā)生的統(tǒng)計(jì)次數(shù)�����,統(tǒng)計(jì)次數(shù)初始化為零。
[0028]進(jìn)一步的�����,上述設(shè)備中��,所述數(shù)據(jù)預(yù)處理模塊包括:
[0029]根據(jù)所述安全模型抽取出所述原始業(yè)務(wù)數(shù)據(jù)中所涉及到的安全主體的安全要素及安全要素的實(shí)際取值���,形成規(guī)范化業(yè)務(wù)數(shù)據(jù)。
[0030]進(jìn)一步的�,上述設(shè)備中,所述學(xué)習(xí)和分析模塊��,用于根據(jù)所述規(guī)范化業(yè)務(wù)數(shù)據(jù)中的安全主體的安全要素及安全要素的實(shí)際取值�����,更新安全模型中相應(yīng)的實(shí)際取值的統(tǒng)計(jì)次數(shù)���,每個(gè)安全主體的安全要素的實(shí)際取值發(fā)生一次����,則該安全主體的安全要素的實(shí)際取值的統(tǒng)計(jì)次數(shù)加一。
[0031]進(jìn)一步的����,上述設(shè)備中,所述學(xué)習(xí)和分析模塊��,用于掃描每個(gè)安全主體的安全模型�,按照每個(gè)實(shí)際取值的統(tǒng)計(jì)次數(shù)從高到低進(jìn)行排序,其中統(tǒng)計(jì)次數(shù)較高的實(shí)際取值標(biāo)記為安全�����,將標(biāo)記為安全的實(shí)際取值添加為安全策略����,將統(tǒng)計(jì)次數(shù)的較低的實(shí)際取值標(biāo)記為可疑��。
[0032]與現(xiàn)有技術(shù)相比�����,本申請?zhí)岢鲆环N自動(dòng)建模方法����,在實(shí)施初期��,通過對實(shí)際業(yè)務(wù)操作的學(xué)習(xí)和分析�,自動(dòng)生成安全策略���,然后本實(shí)施例還可以不斷重復(fù)進(jìn)行�,即在業(yè)務(wù)系統(tǒng)運(yùn)行過程中繼續(xù)不斷的學(xué)習(xí)和分析�����,自動(dòng)識別出業(yè)務(wù)變化���,動(dòng)態(tài)更新安全策略����。本申請可以適用于大多數(shù)基于安全策略機(jī)制的安全防護(hù)系統(tǒng),從而精準(zhǔn)的實(shí)現(xiàn)安全策略自動(dòng)生成和自動(dòng)演進(jìn)�,提升安全防護(hù)能力,減少維護(hù)成本���,降低實(shí)施難度。
【附圖說明】
[0033]通過閱讀參照以下附圖所作的對非限制性實(shí)施例所作的詳細(xì)描述��,本發(fā)明的其它特征、目的和優(yōu)點(diǎn)將會(huì)變得更明顯:
[0034]圖1示出本發(fā)明一實(shí)施例的安全模型示意圖�;
[0035 ]圖2示出本發(fā)明一具體的應(yīng)用實(shí)例的流程圖。
[0036]附圖中相同或相似的附圖標(biāo)記代表相同或相似的部件�����。
【具體實(shí)施方式】
[0037]下面結(jié)合附圖對本發(fā)明作進(jìn)一步詳細(xì)描述����。
[0038]在本申請一個(gè)典型的配置中���,終端、服務(wù)網(wǎng)絡(luò)的設(shè)備和可信方均包括一個(gè)或多個(gè)處理器(CPU)�����、輸入/輸出接口����、網(wǎng)絡(luò)接口和內(nèi)存。
[0039]內(nèi)存可能包括計(jì)算機(jī)可讀介質(zhì)中的非永久性存儲(chǔ)器���,隨機(jī)存取存儲(chǔ)器(RAM)和/或非易失性內(nèi)存等形式�����,如只讀存儲(chǔ)器(ROM)或閃存(flash RAM)�����。內(nèi)存是計(jì)算機(jī)可讀介質(zhì)的示例。
[0040]計(jì)算機(jī)可讀介質(zhì)包括永久性和非永久性����、可移動(dòng)和非可移動(dòng)媒體可以由任何方法或技術(shù)來實(shí)現(xiàn)信息存儲(chǔ)。信息可以是計(jì)算機(jī)可讀指令����、數(shù)據(jù)結(jié)構(gòu)��、程序的模塊或其他數(shù)據(jù)���。計(jì)算機(jī)的存儲(chǔ)介質(zhì)的例子包括,但不限于相變內(nèi)存(PRAM)�、靜態(tài)隨機(jī)存取存儲(chǔ)器(SRAM)、動(dòng)態(tài)隨機(jī)存取存儲(chǔ)器(DRAM)�、其他類型的隨機(jī)存取存儲(chǔ)器(RAM)�����、只讀存儲(chǔ)器(ROM)�����、電可擦除可編程只讀存儲(chǔ)器(EEPROM)、快閃記憶體或其他內(nèi)存技術(shù)�����、只讀光盤只讀存儲(chǔ)器(CD-ROM)���、數(shù)字多功能光盤(DVD)或其他光學(xué)存儲(chǔ)����、磁盒式磁帶���,磁帶磁盤存儲(chǔ)或其他磁性存儲(chǔ)設(shè)備或任何其他非傳輸介質(zhì)���,可用于存儲(chǔ)可以被計(jì)算設(shè)備訪問的信息。按照本文中的界定,計(jì)算機(jī)可讀介質(zhì)不包括非暫存電腦可讀媒體(transitory media)���,如調(diào)制的數(shù)據(jù)信號和載波�����。[0041 ]本申請?zhí)峁┮环N安全策略生成方法���,該方法包括:
[0042]抓取業(yè)務(wù)系統(tǒng)中的數(shù)據(jù)形成原始業(yè)務(wù)數(shù)據(jù);在此,原始業(yè)務(wù)數(shù)據(jù)記為RAW_BIZ;
[0043]對所述原始業(yè)務(wù)數(shù)據(jù)進(jìn)行預(yù)處理�����,形成規(guī)范化業(yè)務(wù)數(shù)據(jù)�;
[0044]對所述規(guī)范化業(yè)務(wù)數(shù)據(jù)進(jìn)行分析和學(xué)習(xí),以抽取出有效要素值��,并將所述有效要素值匯集成安全策略�����。本實(shí)施例提出一種自動(dòng)建模方法���,在實(shí)施初期,通過對實(shí)際業(yè)務(wù)操作的學(xué)習(xí)和分析,自動(dòng)生成安全策略����,然后本實(shí)施例還可以不斷重復(fù)進(jìn)行,即在業(yè)務(wù)系統(tǒng)運(yùn)行過程中繼續(xù)不斷的學(xué)習(xí)和分析�,自動(dòng)識別出業(yè)務(wù)變化,動(dòng)態(tài)更新安全策略����。本申請可以適用于大多數(shù)基于安全策略機(jī)制的安全防護(hù)系統(tǒng),從而精準(zhǔn)的實(shí)現(xiàn)安全策略自動(dòng)生成和自動(dòng)演進(jìn)���,提升安全防護(hù)能力���,減少維護(hù)成本,降低實(shí)施難度�。
[0045]本申請的安全策略生成方法一優(yōu)選的實(shí)施例中,抓取業(yè)務(wù)系統(tǒng)中的數(shù)據(jù)的方式包括:直接讀取�����、旁路監(jiān)聽�����、串行截取、模塊注入的方式中的一種或任意組合����。具體的,通過合適的方式�����,如接讀取���、旁路監(jiān)聽��、串行截取���、模塊注入的方式中的一種或任意組合,可以更高效地抓取業(yè)務(wù)系統(tǒng)中的數(shù)據(jù)�,得到原始業(yè)務(wù)數(shù)據(jù)RAW_BIZ。
[0046]本申請的安全策略生成方法一優(yōu)選的實(shí)施例中���,對所述原始業(yè)務(wù)數(shù)據(jù)進(jìn)行預(yù)處理的步驟之前�,還包括:
[0047]為每一個(gè)安全主體創(chuàng)建一個(gè)安全模型����,在每個(gè)安全模型中為每一個(gè)安全要素創(chuàng)建一張統(tǒng)計(jì)表��,表中每一行表示某個(gè)安全要素的某個(gè)實(shí)際取值及該實(shí)際取值實(shí)際發(fā)生的統(tǒng)計(jì)次數(shù),統(tǒng)計(jì)次數(shù)初始化為零�����。具體的��,如圖1所示�,假設(shè)安全主體集合為USERS= {安全主體I,安全主體2};假設(shè)安全策略中需要控制的安全要素集合為SECURITY_POINT= {安全要素A��,安全要素B�,安全要素C},三個(gè)安全要素的可能取值為:安全要素A= {0,1,2},安全要素B ={1,2},安全要素C = {3,5}��;假設(shè)對于每一個(gè)安全主體���,上述安全要素的可能取值僅有部分為許可����,其他則視為風(fēng)險(xiǎn)����;用戶選擇一個(gè)合適的學(xué)習(xí)時(shí)間段或環(huán)境�����,這個(gè)時(shí)間段或環(huán)境內(nèi)要求盡可能沒有風(fēng)險(xiǎn)操作����,以確保學(xué)習(xí)結(jié)果的準(zhǔn)確性�。本實(shí)施例通過先建立安全模型,便于后續(xù)根據(jù)所述安全模型準(zhǔn)確地抽取出所述原始業(yè)務(wù)數(shù)據(jù)中所涉及到的安全主體的安全要素及安全要素的實(shí)際取值��,高效地形成規(guī)范化業(yè)務(wù)數(shù)據(jù)���。
[0048]本申請的安全策略生成方法一優(yōu)選的實(shí)施例中�,對所述原始業(yè)務(wù)數(shù)據(jù)進(jìn)行預(yù)處理�,形成規(guī)范化業(yè)務(wù)數(shù)據(jù),包括:
[0049]根據(jù)所述安全模型抽取出所述原始業(yè)務(wù)數(shù)據(jù)中所涉及到的安全主體的安全要素及安全要素的實(shí)際取值����,形成規(guī)范化業(yè)務(wù)數(shù)據(jù)。在此�����,讀入RAW_BIZ��,然后按照其具體的業(yè)務(wù)領(lǐng)域知識將RAW_BIZ進(jìn)行分解處理,抽取出業(yè)務(wù)數(shù)據(jù)所涉及到的安全要素��,得到規(guī)范化業(yè)務(wù)數(shù)據(jù)N0R_BIZ�����。根據(jù)所述安全模型準(zhǔn)確地抽取出所述原始業(yè)務(wù)數(shù)據(jù)中所涉及到的安全主體的安全要素及安全要素的實(shí)際取值�����,高效地形成規(guī)范化業(yè)務(wù)數(shù)據(jù)�。
[0050]本申請的安全策略生成方法一優(yōu)選的實(shí)施例中����,對所述規(guī)范化業(yè)務(wù)數(shù)據(jù)進(jìn)行分析和學(xué)習(xí),包括:
[0051]根據(jù)所述規(guī)范化業(yè)務(wù)數(shù)據(jù)中的安全主體的安全要素及安全要素的實(shí)際取值���,更新安全模型中相應(yīng)的實(shí)際取值的統(tǒng)計(jì)次數(shù)�,每個(gè)安全主體的安全要素的實(shí)際取值發(fā)生一次��,則該安全主體的安全要素的實(shí)際取值的統(tǒng)計(jì)次數(shù)加一���。具體的���,學(xué)習(xí)和分析模塊讀入N0R_BIZ��,提取其中的安全主體�、安全要素及安全要素的實(shí)際取值��,根據(jù)安全主體和安全要素更新安全模型中相應(yīng)的安全要求的實(shí)際取值的統(tǒng)計(jì)次數(shù)�,每發(fā)生一次統(tǒng)計(jì)次數(shù)加一。在此����,通過記錄實(shí)際取值地統(tǒng)計(jì)次數(shù),便于后續(xù)生成精確的安全策略���。
[0052]本申請的安全策略生成方法一優(yōu)選的實(shí)施例中����,抽取出有效要素值�,并將所述有效要素值匯集成安全策略,包括:
[0053]掃描每個(gè)安全主體的安全模型�����,按照每個(gè)實(shí)際取值的統(tǒng)計(jì)次數(shù)從高到低進(jìn)行排序,其中統(tǒng)計(jì)次數(shù)較高的實(shí)際取值標(biāo)記為安全�����,將標(biāo)記為安全的實(shí)際取值添加為安全策略���,將統(tǒng)計(jì)次數(shù)的較低的實(shí)際取值標(biāo)記為可疑��。具體的����,學(xué)習(xí)期結(jié)束后���,掃描每個(gè)安全主體的模型,按照每個(gè)實(shí)際取值的統(tǒng)計(jì)次數(shù)從高到低進(jìn)行排序���,其中統(tǒng)計(jì)次數(shù)較高的標(biāo)記為安全��,自動(dòng)或由用戶確認(rèn)后添加為安全策略�����,較低的標(biāo)記為可疑�����。在此����,通過將統(tǒng)計(jì)次數(shù)較高的實(shí)際取值作為安全策略,保證了安全策略的可靠性��。
[0054]根據(jù)本申請的另一面還提供一種安全策略生成設(shè)備�����,該設(shè)備包括:
[0055]數(shù)據(jù)抓取模塊�,用于抓取業(yè)務(wù)系統(tǒng)中的數(shù)據(jù)形成原始業(yè)務(wù)數(shù)據(jù);
[0056]數(shù)據(jù)預(yù)處理模塊��,對所述原始業(yè)務(wù)數(shù)據(jù)進(jìn)行預(yù)處理���,形成規(guī)范化業(yè)務(wù)數(shù)據(jù)���;
[0057]學(xué)習(xí)和分析模塊,對所述規(guī)范化業(yè)務(wù)數(shù)據(jù)進(jìn)行分析和學(xué)習(xí)���,以抽取出有效要素值�����,并將所述有效要素值匯集成安全策略�����。本實(shí)施例提出一種自動(dòng)建模方法�����,在實(shí)施初期��,通過對實(shí)際業(yè)務(wù)操作的學(xué)習(xí)和分析�����,自動(dòng)生成安全策略�����,然后本實(shí)施例還可以不斷重復(fù)進(jìn)行�,即在業(yè)務(wù)系統(tǒng)運(yùn)行過程中繼續(xù)不斷的學(xué)習(xí)和分析����,自動(dòng)識別出業(yè)務(wù)變化,動(dòng)態(tài)更新安全策略。本申請可以適用于大多數(shù)基于安全策略機(jī)制的安全防護(hù)系統(tǒng)����,從而精準(zhǔn)的實(shí)現(xiàn)安全策略自動(dòng)生成和自動(dòng)演進(jìn),提升安全防護(hù)能力��,減少維護(hù)成本���,降低實(shí)施難度�����。
[0058]本申請的安全策略生成設(shè)備一優(yōu)選的實(shí)施例中�,所述數(shù)據(jù)抓取模塊抓取業(yè)務(wù)系統(tǒng)中的數(shù)據(jù)的方式包括:直接讀取�����、旁路監(jiān)聽��、串行截取����、模塊注入的方式中的一種或任意組合。具體的���,通過合適的方式����,如接讀取、旁路監(jiān)聽���、串行截取�����、模塊注入的方式中的一種或任意組合����,可以更高效地抓取業(yè)務(wù)系統(tǒng)中的數(shù)據(jù)���,得到原始業(yè)務(wù)數(shù)據(jù)RAW_BIZ���。
[0059]本申請的安全策略生成方法一優(yōu)選的實(shí)施例中����,所述設(shè)備還包括:
[0000]創(chuàng)建模塊,用于為每一個(gè)安全主體創(chuàng)建一個(gè)安全模型�,在每個(gè)安全模型中為每一個(gè)安全要素創(chuàng)建一張統(tǒng)計(jì)表�����,表中每一行表示某個(gè)安全要素的某個(gè)實(shí)際取值及該實(shí)際取值實(shí)際發(fā)生的統(tǒng)計(jì)次數(shù)�,統(tǒng)計(jì)次數(shù)初始化為零��。具體的���,如圖1所示���,假設(shè)安全主體集合為USERS = {安全主體I,安全主體2};假設(shè)安全策略中需要控制的安全要素集合為SE⑶RITY_POINT= {安全要素A����,安全要素B,安全要素C}��,三個(gè)安全要素的可能取值為:安全要素A ={0�����,1�����,2},安全要素B={1�,2},安全要素C= {3��,5};假設(shè)對于每一個(gè)安全主體�,上述安全要素的可能取值僅有部分為許可,其他則視為風(fēng)險(xiǎn)��;用戶選擇一個(gè)合適的學(xué)習(xí)時(shí)間段或環(huán)境�����,這個(gè)時(shí)間段或環(huán)境內(nèi)要求盡可能沒有風(fēng)險(xiǎn)操作��,以確保學(xué)習(xí)結(jié)果的準(zhǔn)確性��。本實(shí)施例通過先建立安全模型���,便于后續(xù)根據(jù)所述安全模型準(zhǔn)確地抽取出所述原始業(yè)務(wù)數(shù)據(jù)中所涉及到的安全主體的安全要素及安全要素的實(shí)際取值����,高效地形成規(guī)范化業(yè)務(wù)數(shù)據(jù)�。
[0061]本申請的安全策略生成方法一優(yōu)選的實(shí)施例中,所述數(shù)據(jù)預(yù)處理模塊包括:
[0062]根據(jù)所述安全模型抽取出所述原始業(yè)務(wù)數(shù)據(jù)中所涉及到的安全主體的安全要素及安全要素的實(shí)際取值�,形成規(guī)范化業(yè)務(wù)數(shù)據(jù)。在此��,讀入RAW_BIZ���,然后按照其具體的業(yè)務(wù)領(lǐng)域知識將RAW_BIZ進(jìn)行分解處理���,抽取出業(yè)務(wù)數(shù)據(jù)所涉及到的安全要素,得到規(guī)范化業(yè)務(wù)數(shù)據(jù)N0R_BIZ�。根據(jù)所述安全模型準(zhǔn)確地抽取出所述原始業(yè)務(wù)數(shù)據(jù)中所涉及到的安全主體的安全要素及安全要素的實(shí)際取值,高效地形成規(guī)范化業(yè)務(wù)數(shù)據(jù)��。
[0063]本申請的安全策略生成方法一優(yōu)選的實(shí)施例中�,所述學(xué)習(xí)和分析模塊,用于根據(jù)所述規(guī)范化業(yè)務(wù)數(shù)據(jù)中的安全主體的安全要素及安全要素的實(shí)際取值���,更新安全模型中相應(yīng)的實(shí)際取值的統(tǒng)計(jì)次數(shù)�����,每個(gè)安全主體的安全要素的實(shí)際取值發(fā)生一次����,則該安全主體的安全要素的實(shí)際取值的統(tǒng)計(jì)次數(shù)加一��。具體的,學(xué)習(xí)和分析模塊讀入N0R_BIZ��,提取其中的安全主體��、安全要素及安全要素的實(shí)際取值�����,根據(jù)安全主體和安全要素更新安全模型中相應(yīng)的安全要求的實(shí)際取值的統(tǒng)計(jì)次數(shù)�����,每發(fā)生一次統(tǒng)計(jì)次數(shù)加一���。在此��,通過記錄實(shí)際取值地統(tǒng)計(jì)次數(shù)�����,便于后續(xù)生成精確的安全策略��。
[0064]本申請的安全策略生成方法一優(yōu)選的實(shí)施例中�,所述學(xué)習(xí)和分析模塊,用于掃描每個(gè)安全主體的安全模型�,按照每個(gè)實(shí)際取值的統(tǒng)計(jì)次數(shù)從高到低進(jìn)行排序,其中統(tǒng)計(jì)次數(shù)較高的實(shí)際取值標(biāo)記為安全��,將標(biāo)記為安全的實(shí)際取值添加為安全策略����,將統(tǒng)計(jì)次數(shù)的較低的實(shí)際取值標(biāo)記為可疑�。具體的,學(xué)習(xí)期結(jié)束后��,掃描每個(gè)安全主體的模型���,按照每個(gè)實(shí)際取值的統(tǒng)計(jì)次數(shù)從高到低進(jìn)行排序��,其中統(tǒng)計(jì)次數(shù)較高的標(biāo)記為安全�����,自動(dòng)或由用戶確認(rèn)后添加為安全策略�����,較低的標(biāo)記為可疑�。在此,通過將統(tǒng)計(jì)次數(shù)較高的實(shí)際取值作為安全策略��,保證了安全策略的可靠性���。
[0065]詳細(xì)的���,如圖2所示,本申請一具體的應(yīng)用實(shí)例包括如下步驟:
[0066]步驟SI�����,為每一個(gè)安全主體創(chuàng)建一個(gè)安全模型�����,在模型中為每一個(gè)安全要素創(chuàng)建一張統(tǒng)計(jì)表�,表中每一行表示一個(gè)可能取值及其實(shí)際發(fā)生的統(tǒng)計(jì)次數(shù),統(tǒng)計(jì)次數(shù)初始化為零�����;
[0067]步驟S2�����,用戶按照正常的操作規(guī)程及日常的使用習(xí)慣使用業(yè)務(wù)系統(tǒng);
[0068]步驟S3�,數(shù)據(jù)抓取模塊通過合適的方式(包括但不限于直接讀取、旁路監(jiān)聽�����、串行截取����、模塊注入等)抓取業(yè)務(wù)數(shù)據(jù)���,得到原始業(yè)務(wù)數(shù)據(jù)RAW_BIZ�。
[0069]步驟S4��,數(shù)據(jù)預(yù)處理模塊讀入RAW_BIZ�����,然后按照其具體的業(yè)務(wù)領(lǐng)域知識將RAW_BIZ進(jìn)行分解處理���,抽取出業(yè)務(wù)所涉及到的安全要素��,得到規(guī)范化業(yè)務(wù)數(shù)據(jù)NOR_BIZ�。
[0070]步驟S5,學(xué)習(xí)和分析模塊讀入N0R_BIZ����,提取其中的安全主體、安全要素及其實(shí)際值��,根據(jù)安全主體和安全要素更新安全模型中相應(yīng)的要素值的統(tǒng)計(jì)次數(shù)��,每發(fā)生一次統(tǒng)計(jì)次數(shù)加一��;
[0071 ] 步驟S6�����,重復(fù)步驟S3?步驟S5����,直到學(xué)習(xí)結(jié)束;
[0072]步驟S7�����,學(xué)習(xí)期結(jié)束后�����,學(xué)習(xí)和分析模塊掃描每個(gè)安全主體的模型,按照每個(gè)安全要素的每個(gè)實(shí)際取值的統(tǒng)計(jì)次數(shù)從高到低進(jìn)行排序����,其中統(tǒng)計(jì)次數(shù)較高的標(biāo)記為安全,自動(dòng)或由用戶確認(rèn)后添加為安全策略�����,較低的標(biāo)記為可疑����;
[0073]步驟S8,經(jīng)過初期學(xué)習(xí)之后形成的安全模型�,隨著時(shí)間的推移需要不斷的演進(jìn)���,可以通過不斷的重復(fù)步驟SI?步驟S7����,生成新的安全策略�。
[0074]綜上所述,本申請?zhí)岢鲆环N自動(dòng)建模方法���,在實(shí)施初期�����,通過對實(shí)際業(yè)務(wù)操作的學(xué)習(xí)和分析�����,自動(dòng)生成安全策略���,然后本實(shí)施例還可以不斷重復(fù)進(jìn)行��,即在業(yè)務(wù)系統(tǒng)運(yùn)行過程中繼續(xù)不斷的學(xué)習(xí)和分析����,自動(dòng)識別出業(yè)務(wù)變化��,動(dòng)態(tài)更新安全策略�����。本申請可以適用于大多數(shù)基于安全策略機(jī)制的安全防護(hù)系統(tǒng)��,從而精準(zhǔn)的實(shí)現(xiàn)安全策略自動(dòng)生成和自動(dòng)演進(jìn)����,提升安全防護(hù)能力�,減少維護(hù)成本�,降低實(shí)施難度。
[0075]顯然���,本領(lǐng)域的技術(shù)人員可以對本申請進(jìn)行各種改動(dòng)和變型而不脫離本申請的精神和范圍���。這樣,倘若本申請的這些修改和變型屬于本申請權(quán)利要求及其等同技術(shù)的范圍之內(nèi)�����,則本申請也意圖包含這些改動(dòng)和變型在內(nèi)���。
[0076]需要注意的是�,本發(fā)明可在軟件和/或軟件與硬件的組合體中被實(shí)施����,例如����,可采用專用集成電路(ASIC)、通用目的計(jì)算機(jī)或任何其他類似硬件設(shè)備來實(shí)現(xiàn)�。在一個(gè)實(shí)施例中��,本發(fā)明的軟件程序可以通過處理器執(zhí)行以實(shí)現(xiàn)上文所述步驟或功能��。同樣地���,本發(fā)明的軟件程序(包括相關(guān)的數(shù)據(jù)結(jié)構(gòu))可以被存儲(chǔ)到計(jì)算機(jī)可讀記錄介質(zhì)中,例如����,RAM存儲(chǔ)器,磁或光驅(qū)動(dòng)器或軟磁盤及類似設(shè)備����。另外,本發(fā)明的一些步驟或功能可采用硬件來實(shí)現(xiàn)���,例如���,作為與處理器配合從而執(zhí)行各個(gè)步驟或功能的電路。
[0077]另外�����,本發(fā)明的一部分可被應(yīng)用為計(jì)算機(jī)程序產(chǎn)品�����,例如計(jì)算機(jī)程序指令,當(dāng)其被計(jì)算機(jī)執(zhí)行時(shí)�����,通過該計(jì)算機(jī)的操作��,可以調(diào)用或提供根據(jù)本發(fā)明的方法和/或技術(shù)方案�����。而調(diào)用本發(fā)明的方法的程序指令�����,可能被存儲(chǔ)在固定的或可移動(dòng)的記錄介質(zhì)中��,和/或通過廣播或其他信號承載媒體中的數(shù)據(jù)流而被傳輸���,和/或被存儲(chǔ)在根據(jù)所述程序指令運(yùn)行的計(jì)算機(jī)設(shè)備的工作存儲(chǔ)器中。在此�,根據(jù)本發(fā)明的一個(gè)實(shí)施例包括一個(gè)裝置,該裝置包括用于存儲(chǔ)計(jì)算機(jī)程序指令的存儲(chǔ)器和用于執(zhí)行程序指令的處理器�,其中�,當(dāng)該計(jì)算機(jī)程序指令被該處理器執(zhí)行時(shí)���,觸發(fā)該裝置運(yùn)行基于前述根據(jù)本發(fā)明的多個(gè)實(shí)施例的方法和/或技術(shù)方案���。
[0078]對于本領(lǐng)域技術(shù)人員而言,顯然本發(fā)明不限于上述示范性實(shí)施例的細(xì)節(jié)���,而且在不背離本發(fā)明的精神或基本特征的情況下�,能夠以其他的具體形式實(shí)現(xiàn)本發(fā)明�����。因此����,無論從哪一點(diǎn)來看,均應(yīng)將實(shí)施例看作是示范性的�����,而且是非限制性的�,本發(fā)明的范圍由所附權(quán)利要求而不是上述說明限定,因此旨在將落在權(quán)利要求的等同要件的含義和范圍內(nèi)的所有變化涵括在本發(fā)明內(nèi)。不應(yīng)將權(quán)利要求中的任何附圖標(biāo)記視為限制所涉及的權(quán)利要求�����。此夕卜����,顯然“包括”一詞不排除其他單元或步驟,單數(shù)不排除復(fù)數(shù)���。裝置權(quán)利要求中陳述的多個(gè)單元或裝置也可以由一個(gè)單元或裝置通過軟件或者硬件來實(shí)現(xiàn)��。第一��,第二等詞語用來表示名稱����,而并不表示任何特定的順序��。
【主權(quán)項(xiàng)】
1.一種安全策略生成方法����,其中,該方法包括: 抓取業(yè)務(wù)系統(tǒng)中的數(shù)據(jù)形成原始業(yè)務(wù)數(shù)據(jù)����; 對所述原始業(yè)務(wù)數(shù)據(jù)進(jìn)行預(yù)處理,形成規(guī)范化業(yè)務(wù)數(shù)據(jù)����; 對所述規(guī)范化業(yè)務(wù)數(shù)據(jù)進(jìn)行分析和學(xué)習(xí),以抽取出有效要素值����,并將所述有效要素值匯集成安全策略。2.根據(jù)權(quán)利要求1所述的方法���,其中�,抓取業(yè)務(wù)系統(tǒng)中的數(shù)據(jù)的方式包括:直接讀取���、旁路監(jiān)聽�、串行截取���、模塊注入的方式中的一種或任意組合��。3.根據(jù)權(quán)利要求1所述的方法�,其中���,對所述原始業(yè)務(wù)數(shù)據(jù)進(jìn)行預(yù)處理的步驟之前����,還包括: 為每一個(gè)安全主體創(chuàng)建一個(gè)安全模型,在每個(gè)安全模型中為每一個(gè)安全要素創(chuàng)建一張統(tǒng)計(jì)表�����,表中每一行表示某個(gè)安全要素的某個(gè)實(shí)際取值及該實(shí)際取值實(shí)際發(fā)生的統(tǒng)計(jì)次數(shù)��,統(tǒng)計(jì)次數(shù)初始化為零�。4.根據(jù)權(quán)利要求3所述的方法,其中�,對所述原始業(yè)務(wù)數(shù)據(jù)進(jìn)行預(yù)處理,形成規(guī)范化業(yè)務(wù)數(shù)據(jù)�����,包括: 根據(jù)所述安全模型抽取出所述原始業(yè)務(wù)數(shù)據(jù)中所涉及到的安全主體的安全要素及安全要素的實(shí)際取值�����,形成規(guī)范化業(yè)務(wù)數(shù)據(jù)����。5.根據(jù)權(quán)利要求4所述的方法����,其中���,對所述規(guī)范化業(yè)務(wù)數(shù)據(jù)進(jìn)行分析和學(xué)習(xí),包括: 根據(jù)所述規(guī)范化業(yè)務(wù)數(shù)據(jù)中的安全主體的安全要素及安全要素的實(shí)際取值����,更新安全模型中相應(yīng)的實(shí)際取值的統(tǒng)計(jì)次數(shù),每個(gè)安全主體的安全要素的實(shí)際取值發(fā)生一次�����,則該安全主體的安全要素的實(shí)際取值的統(tǒng)計(jì)次數(shù)加一�。6.根據(jù)權(quán)利要求5所述的方法,其中�����,抽取出有效要素值�����,并將所述有效要素值匯集成安全策略����,包括: 掃描每個(gè)安全主體的安全模型���,按照每個(gè)實(shí)際取值的統(tǒng)計(jì)次數(shù)從高到低進(jìn)行排序,其中統(tǒng)計(jì)次數(shù)較高的實(shí)際取值標(biāo)記為安全����,將標(biāo)記為安全的實(shí)際取值添加為安全策略,將統(tǒng)計(jì)次數(shù)的較低的實(shí)際取值標(biāo)記為可疑��。7.一種安全策略生成設(shè)備����,其中,該設(shè)備包括: 數(shù)據(jù)抓取模塊��,用于抓取業(yè)務(wù)系統(tǒng)中的數(shù)據(jù)形成原始業(yè)務(wù)數(shù)據(jù)�����; 數(shù)據(jù)預(yù)處理模塊�,對所述原始業(yè)務(wù)數(shù)據(jù)進(jìn)行預(yù)處理,形成規(guī)范化業(yè)務(wù)數(shù)據(jù)���; 學(xué)習(xí)和分析模塊�,對所述規(guī)范化業(yè)務(wù)數(shù)據(jù)進(jìn)行分析和學(xué)習(xí),以抽取出有效要素值����,并將所述有效要素值匯集成安全策略。8.根據(jù)權(quán)利要求7所述的設(shè)備����,其中,所述數(shù)據(jù)抓取模塊抓取業(yè)務(wù)系統(tǒng)中的數(shù)據(jù)的方式包括:直接讀取��、旁路監(jiān)聽���、串行截取、模塊注入的方式中的一種或任意組合����。9.根據(jù)權(quán)利要求7所述的設(shè)備,其中�����,所述設(shè)備還包括: 創(chuàng)建模塊��,用于為每一個(gè)安全主體創(chuàng)建一個(gè)安全模型�����,在每個(gè)安全模型中為每一個(gè)安全要素創(chuàng)建一張統(tǒng)計(jì)表,表中每一行表示某個(gè)安全要素的某個(gè)實(shí)際取值及該實(shí)際取值實(shí)際發(fā)生的統(tǒng)計(jì)次數(shù)��,統(tǒng)計(jì)次數(shù)初始化為零����。10.根據(jù)權(quán)利要求9所述的設(shè)備,其中��,所述數(shù)據(jù)預(yù)處理模塊包括: 根據(jù)所述安全模型抽取出所述原始業(yè)務(wù)數(shù)據(jù)中所涉及到的安全主體的安全要素及安全要素的實(shí)際取值��,形成規(guī)范化業(yè)務(wù)數(shù)據(jù)���。11.根據(jù)權(quán)利要求10所述的設(shè)備�,其中�����,所述學(xué)習(xí)和分析模塊��,用于根據(jù)所述規(guī)范化業(yè)務(wù)數(shù)據(jù)中的安全主體的安全要素及安全要素的實(shí)際取值�����,更新安全模型中相應(yīng)的實(shí)際取值的統(tǒng)計(jì)次數(shù),每個(gè)安全主體的安全要素的實(shí)際取值發(fā)生一次���,則該安全主體的安全要素的實(shí)際取值的統(tǒng)計(jì)次數(shù)加一����。12.根據(jù)權(quán)利要求11所述的設(shè)備���,其中��,所述學(xué)習(xí)和分析模塊�,用于掃描每個(gè)安全主體的安全模型���,按照每個(gè)實(shí)際取值的統(tǒng)計(jì)次數(shù)從高到低進(jìn)行排序,其中統(tǒng)計(jì)次數(shù)較高的實(shí)際取值標(biāo)記為安全�����,將標(biāo)記為安全的實(shí)際取值添加為安全策略��,將統(tǒng)計(jì)次數(shù)的較低的實(shí)際取值標(biāo)記為可疑�。
【文檔編號】G06F21/71GK105844176SQ201610168507
【公開日】2016年8月10日
【申請日】2016年3月23日
【發(fā)明人】王洪濤, 劉軍濤, 戰(zhàn)立岸
【申請人】上海上訊信息技術(shù)股份有限公司