一种基于横向微隔离的主动防御方法及插件与流程

1.本发明涉及电网攻击防御的

技术领域

：
：，尤其涉及一种基于横向微隔离的主动防御方法及插件。

背景技术

：
：：2.近年来当下网络安全形式呈现出4大变化：攻击者组织越来越庞大，攻击者诉求越来越高，攻击技术越来越复杂，攻击周期越来越频繁。作为我国关键基础设施，电力系统遭受的攻击愈发严重，尤其在横向流量井喷式增长的情况下，原来安全隔离策略已不能满足主机的灵活策略需求。3.一方面，当前电力行业基于虚拟防火墙的主机隔离技术已出现计算量过大，部署点成本过高，无法适应放弃业务灵活扩展的需求。另一方面，随着云网技术的发展，当前主机环境愈发复杂，如何做好跨域跨平台迁移的主机隔离管理成为了迫切的需求。与此同时，随着网络攻防对抗的升级，传统的静态特征检测手段已不能适应当前的网络新形势，进而会出现主机主动防御能力不足的问题。此外，电力行业网络中有多种型号，多种操作系统的主机设备，现有技术无法通过统一的策略管理来提高运维效率。技术实现要素：4.本部分的目的在于概述本发明的实施例的一些方面以及简要介绍一些较佳实施例。在本部分以及本技术的说明书摘要和发明名称中可能会做些简化或省略以避免使本部分、说明书摘要和发明名称的目的模糊，而这种简化或省略不能用于限制本发明的范围。5.鉴于上述现有存在的问题，提出了本发明。6.因此，本发明解决的技术问题是：现有技术无法实现跨平台、跨系统的主机分组管理；如何实现出站、入站的灵活访问控制以及如何对网络访问进程进行检测，并对异常进程实施阻断或限制。7.为解决上述技术问题，本发明提供如下技术方案：一种基于横向微隔离的主动防御方法，包括：8.通过监听模块采集主机信息并周期性地将信息上传至控制中心平台，基于所述信息进行分组管理；9.基于所述分组管理进行机器横向学习，捕获异常进程；10.基于所述异常进程的特征和机器自学习设计异常进程分析决策算法，并结合基于流量基线设计的异常流量分析决策算法，获取分析结果；11.基于所述分析结果和访问行为制定相应的微隔离策略，通知守护模块执行所述微隔离策略并进行策略同步。12.作为本发明所述的基于横向微隔离的主动防御方法的一种优选方案，其中：所述采集主机信息，包括：13.获取主机的mac、用户、cpu、内存、硬盘、网卡、操作系统、网络配置、安装软件、账户状态、创建时间、该账户最新登陆时间、登陆ip信息，写入信息文件。14.作为本发明所述的基于横向微隔离的主动防御方法的一种优选方案，其中：所述分组管理，包括：15.控制中心平台可基于所述主机信息进行自定义主机名称或标签并依据配置的分组策略自动对主机进行归类分组，将主机信息与主机的名称或标签深度绑定；控制中心平台还可以对主机进行删除和撤销的操作。16.作为本发明所述的基于横向微隔离的主动防御方法的一种优选方案，其中：所述机器横向学习，包括：17.基于所述分组管理所实现的主机信息绑定，可对全网主机或同一工作站、同一生产线的主机进行横向比较，通过分析主机间的差异化，第一时间发现异常入侵点，进而捕获异常进程。18.作为本发明所述的基于横向微隔离的主动防御方法的一种优选方案，其中：所述基于特征获取进程判定结果，包括：19.提取所述异常进程的技术特征，在已有的特征数据库中进行特征匹配，若所述特征已存在于特征数据库中，则依据特征的匹配关系判定所述进程是否为恶意进程；若所述特征不存在于特征数据库中，则基于流量基线分析判定所述进程是否为恶意进程，进而获取进程判定结果。20.作为本发明所述的基于横向微隔离的主动防御方法的一种优选方案，其中：所述流量基线分析，包括：21.建立流量异常检测模型，该模型分为预测和检测两个阶段，预测阶段需要克服流量波动的影响，对流量进行精准预测，检测阶段需要计算真实值与预测值之间的差异，当差异显著大于通常情况时，则判定当前实际流量出现了异常，进而判定为恶意进程。22.作为本发明所述的基于横向微隔离的主动防御方法的一种优选方案，其中：所述机器自学习，包括：23.若所述技术特征不存在于特征数据库中时，将特征添加至特征数据库中并建立特征索引。24.作为本发明所述的基于横向微隔离的主动防御方法的一种优选方案，其中：所述制定微隔离策略，包括：25.基于主机网络运行的特征，控制中心支持基于主机或者业务角度的双向网络访问控制，基于协议、ip/资产名称、端口等制定入站、出站策略；26.出入站策略包括允许、阻止和仅记录三种模式，在允许和阻止策略的同时也会记录相关日志信息。27.作为本发明所述的基于横向微隔离的主动防御方法的一种优选方案，其中：所述执行微隔离策略，包括：28.监听主机操作信息，经过解析后匹配策略组，若匹配阻断策略则识别该主机的操作系统信息，根据不同的操作系统下发处置流程；其中，windows系统的微隔离功能由filter模组驱动实现，隔离策略高于windows本地防火墙，linux系统的微隔离功能使用系统自带的iptables实现，其它系统的微隔离功能根据系统提供的组件实现。29.本发明解决的另一个技术问题是：提出一种基于横向微隔离的主动防御插件，上述方法能够依托于本插件实现。30.为解决上述技术问题，本发明提供如下技术方案：一种基于横向微隔离的主动防御插件，其特征在于，包括：31.设置于插件上的监听模块与守护模块；32.所述监听模块能够采集主机信息并周期性地上传至控制中心平台；33.所述守护模块能够执行微隔离策略并进行策略同步。34.本发明的有益效果：本发明通过分析决策算法以及机器自学习算法，实现对主机风险的快速判断；通过微隔离功能实现对主机隔离策略的灵活管控和快速隔离响应；本装置具备更灵活的策略配置，更智能的威胁检测分析，更快速的隔离响应。附图说明35.为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其它的附图。其中：36.图1为本发明第一个实施例提供的一种基于横向微隔离的主动防御方法及插件的主要框架图；37.图2为本发明一个实施例提供的一种基于横向微隔离的主动防御方法及插件的主机信息采集、策略更新和注册流程图；38.图3为本发明一个实施例提供的一种基于横向微隔离的主动防御方法及插件的机器横向学习流程图；39.图4为本发明一个实施例提供的一种基于横向微隔离的主动防御方法及插件的基于机器自学习的异常进程分析决策算法流程图；40.图5为本发明一个实施例提供的一种基于横向微隔离的主动防御方法及插件的基于流量基线预测的异常流量分析决策算法流程图；41.图6为本发明一个实施例提供的一种基于横向微隔离的主动防御方法及插件的基于双向访问控制的横向微隔离策略下发流程图；42.图7为本发明一个实施例提供的一种基于横向微隔离的主动防御方法及插件的多模组调用阻断机制流程图；43.图8为本发明一个实施例提供的主机安全域配置图；44.图9为本发明一个实施例提供的入站规则协议配置图；45.图10为本发明一个实施例提供的出站规则协议配置图；46.图11为本发明一个实施例提供的记录阻止主机进出站的微隔离日志显示界面。具体实施方式47.为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合说明书附图对本发明的具体实施方式做详细的说明，显然所描述的实施例是本发明的一部分实施例，而不是全部实施例。基于本发明中的实施例，本领域普通人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明的保护的范围。48.在下面的描述中阐述了很多具体细节以便于充分理解本发明，但是本发明还可以采用其他不同于在此描述的其它方式来实施，本领域技术人员可以在不违背本发明内涵的情况下做类似推广，因此本发明不受下面公开的具体实施例的限制。49.其次，此处所称的“一个实施例”或“实施例”是指可包含于本发明至少一个实现方式中的特定特征、结构或特性。在本说明书中不同地方出现的“在一个实施例中”并非均指同一个实施例，也不是单独的或选择性的与其他实施例互相排斥的实施例。50.本发明结合示意图进行详细描述，在详述本发明实施例时，为便于说明，表示器件结构的剖面图会不依一般比例作局部放大，而且所述示意图只是示例，其在此不应限制本发明保护的范围。此外，在实际制作中应包含长度、宽度及深度的三维空间尺寸。51.同时在本发明的描述中，需要说明的是，术语中的“上、下、内和外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一、第二或第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。52.本发明中除非另有明确的规定和限定，术语“安装、相连、连接”应做广义理解，例如：可以是固定连接、可拆卸连接或一体式连接；同样可以是机械连接、电连接或直接连接，也可以通过中间媒介间接相连，也可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。53.实施例154.参照图1～7，为本发明的一个实施例，该实施例提供了一种基于横向微隔离的主动防御方法及插件，包括：55.s1:通过监听模块采集主机信息并周期性地将信息上传至控制中心平台，基于所述信息进行分组管理；56.进一步的，监听模块采集主机的mac、用户等关联信息生成注册信息文件，同步至控制中心平台，完成主机的注册；57.应说明的是，将主机的基本信息写入注册文件中，生成注册信息文件后，通过固定端口发送给控制中心平台，控制中心通过主机模块完成文件信息同步记录，进而实现主机注册。58.更进一步的，监听模块周期性的获取主机信息，并将所述信息写入信息文件中；59.应说明的是，监听模块采集的主机信息包括主机cpu、内存、硬盘、网卡、操作系统、网络配置、安装软件、账户状态、创建时间、该账户最新登陆时间、登陆ip等信息。60.更进一步的，控制中心平台的存储模组周期性地同步信息文件内容，完成对控制中心平台内的信息更新和存储。61.更进一步的，控制中心平台接受到监听模块上报的主机信息后，可自定义主机名称和标签，并根据配置的分组策略，自动对资产进行归类分组；同时控制中心可以选择删除和注销主机，并同步配置至监听模块的注册文件中。62.应说明的是，主机的名称或标签和主机信息实现深度绑定后，在dhcp、多租户和主机迁移等主机信息变更的场景下可灵活调整和记录，进而满足跨系统或跨平台的主机分组管理。63.s2:基于所述分组管理进行机器横向学习，捕获异常进程；64.进一步的，监测操作系统的行为或进程；65.应说明的是，监测操作系统关键入口点，包括：系统网络传输、注册表修改、文件拷贝、内存数据输入输出、磁盘读写、配置文件修改、系统提权等异常行为。66.更进一步的，根据主机的分类和分组信息，控制中心会对同一个工作组下的多台主机进行横向的行为或进程分析，通过分析主机间的差异化，第一时间发现异常入侵点，进而捕获异常进程。67.应说明的是，通过机器横向学习第一时间发现异常入侵点，能够为后续响应提供宝贵时间和参考数据，在网络安全事件发生的初期进行遏制。68.s3:基于所述异常进程的特征和机器自学习设计异常进程分析决策算法，并结合基于流量基线设计的异常流量分析决策算法，获取分析结果；69.进一步的，将捕获的进程送至控制中心平台中进行分析，控制中心提取进程文件中代码段数据标记为特征索引，并验证其是否存在于特征库或白名单中；70.应说明的是，特征库具体指用于记录恶意进程特征索引的数据库，白名单具体指将部分核心业务进程加入白名单中，在进行恶意进程检测时不检测加白的进程，进而保证核心业务不受影响。71.更进一步的，当提取的特征索引存在于特征库中时，提取存储的特征值与当前文件的特征值进行比较确定，如果为恶意则下发阻断策略；当提取的特征索引不存在于特征库中时，控制中心将该进程样本送至分类器进行流量基线预测判断，如果为恶意则下发阻断策略；72.应说明的是，流量基线预测判断具体指利用异常流量分析决策算法判断此进程是否为异常进程。73.更进一步的，异常流量分析决策算法包括流量异常检测模型，该模型分为预测和检测两个阶段；预测阶段需要克服流量波动的影响，对流量进行精准预测；检测阶段需要计算真实值与预测值之间的差异，当差异显著大于通常情况时，即可判定当前实际流量出现了异常；74.应说明的是，在主机运行的过程中，插件会根据控制中心的策略将tcp/udp/icmp流量引流至控制中心进行基线分析。75.更进一步的，通过机器自学习算法，控制中心将判定为恶意进程的进程特征添加至特征库中并建立索引；76.应说明的是，通过机器自学习算法可实现特征库的实时更新，为后续恶意进程特征匹配提供了便利。77.s4:基于所述分析结果和访问行为制定相应的微隔离策略，通知守护模块执行所述微隔离策略并进行策略同步；78.进一步的，基于主机网络运行的特征，控制中心支持基于主机或者业务角度的双向网络访问控制，基于协议、ip/资产名称、端口等制定入站、出站策略；出入站策略包括允许、阻止和仅记录三种模式，在允许和阻止策略的同时也会记录相关日志信息。79.应说明的是，通过划分逻辑安全域、定义访问对象等方式灵活组合具体为入站或出站策略，包括协议、通信对象(从主机管理模块获取)，端口对象和允许或阻断或仅记录的操作。80.更进一步的，策略组中的主机装置监听到策略配置文件的变更，同步获取并更新本地策略配置；81.应说明的是，配置好的策略会写入装置监听模块的策略配置文件中。82.更进一步的，插件读取该文件并生效该策略，通知守护模块执行；83.更进一步的，守护模块监听主机端口流量信息，经过解析后匹配策略组，若匹配为阻断策略则识别该主机的操作系统，根据不同的操作系统下发处置流程；84.应说明的是，当操作系统为windows系统时，微隔离功能由filter模组驱动实现，其隔离策略高于windows本地防火墙；当操作系统为linux系统时，微隔离功能使用系统自带的iptables实现；当操作系统为其它系统时，微隔离功能根据系统提供的组件实现。85.实施例286.参照图8～11，为本发明的一个实施例，提供了一种基于横向微隔离的主动防御方法及插件，为了验证本发明的有益效果，通过经济效益计算和仿真实验进行科学论证。87.首先，配置微隔离策略安全域，并在安全域中加入ip地址为192.168.119.132的主机，如图8所示；88.其次，在主机上配置阻止ip地址为10.88.8.184和ip地址为10.88.8.73的通信对象的所有协议的入站阻止规则，如图9所示；89.接下来，在主机上配置ip地址为10.88.8.184和ip地址为180.101.49.11的通信对象的所有协议的出站阻止规则，如图10所示；90.最后，运行主机执行微隔离策略。91.通过查看如图11所示的微隔离日志可知主机阻止相关通信对象的记录以及阻止的总次数，如表1所示。92.表1阻止通信对象次数汇总表93.主机ip方向源ip目的ip次数192.168.119.132出站192.168.119.132180.101.49.1129192.168.119.132入站10.88.8.73192.168.119.13217192.168.119.132出站192.168.119.13210.88.8.184494.由此可知，通过微隔离策略的配置能够快速判断主机风险，并通过执行微隔离策略快速对恶意进程或非法ip进行操作拦截，有效的保证了主机的安全。95.应说明的是，以上实施例仅用以说明本发明的技术方案而非限制，尽管参照较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明技术方案的精神和范围，其均应涵盖在本发明的权利要求范围当中。当前第1页12当前第1页12

技术特征：

1.一种基于横向微隔离的主动防御方法，其特征在于，包括：通过监听模块采集主机信息并周期性地将信息上传至控制中心平台，基于所述信息进行分组管理；基于所述分组管理进行机器横向学习，捕获异常进程；基于所述异常进程的特征和机器自学习设计异常进程分析决策算法，并结合基于流量基线设计的异常流量分析决策算法，获取分析结果；基于所述分析结果和访问行为制定相应的微隔离策略，通知守护模块执行所述微隔离策略并进行策略同步。2.如权利要求1所述的基于横向微隔离的主动防御方法，其特征在于：所述采集主机信息，包括：获取主机的mac、用户、cpu、内存、硬盘、网卡、操作系统、网络配置、安装软件、账户状态、创建时间、该账户最新登陆时间、登陆ip信息，写入信息文件。3.如权利要求2所述的基于横向微隔离的主动防御方法，其特征在于：所述分组管理，包括：控制中心平台可基于所述主机信息进行自定义主机名称或标签并依据配置的分组策略自动对主机进行归类分组，将主机信息与主机的名称或标签深度绑定；控制中心平台还可以对主机进行删除和撤销的操作。4.如权利要求3所述的基于横向微隔离的主动防御方法，其特征在于：所述机器横向学习，包括：基于所述分组管理所实现的主机信息绑定，可对全网主机或同一工作站、同一生产线的主机进行横向比较，通过分析主机间的差异化，第一时间发现异常入侵点，进而捕获异常进程。5.如权利要求4所述的基于横向微隔离的主动防御方法，其特征在于：所述异常进程分析决策算法，包括：提取所述异常进程的技术特征，在已有的特征数据库中进行特征匹配，若所述特征已存在于特征数据库，则依据特征的匹配关系判定所述进程是否为恶意进程；若所述特征不存在于特征数据库，则基于异常流量分析决策算法判定所述进程是否为恶意进程，进而获取进程判定结果。6.如权利要求5所述的基于横向微隔离的主动防御方法，其特征在于：所述异常流量分析决策算法，包括：预测和检测两个阶段，预测阶段需要克服流量波动的影响，对流量进行精准预测，检测阶段需要计算真实值与预测值之间的差异，当差异显著大于通常情况时，则判定当前实际流量出现了异常，进而判定为恶意进程。7.如权利要求5或6所述的基于横向微隔离的主动防御方法，其特征在于：所述机器自学习，包括：若所述技术特征不存在于特征数据库中时，通过机器自学习算法将特征添加至特征数据库中并建立特征索引。8.如权利要求7所述的基于横向微隔离的主动防御方法，其特征在于：所述制定微隔离策略，包括：
基于主机网络运行的特征，控制中心支持基于主机或者业务角度的双向网络访问控制，基于协议、ip/资产名称、端口等制定入站、出站策略；出入站策略包括允许、阻止和仅记录三种模式，在允许和阻止策略的同时也会记录相关日志信息。9.如权利要求8所述的基于横向微隔离的主动防御方法，其特征在于：所述执行微隔离策略，包括：监听主机操作信息，经过解析后匹配策略组，若匹配阻断策略则识别该主机的操作系统信息，根据不同的操作系统下发处置流程；其中，windows系统的微隔离功能由filter模组驱动实现，隔离策略高于windows本地防火墙，linux系统的微隔离功能使用系统自带的iptables实现，其它系统的微隔离功能根据系统提供的组件实现。10.一种基于横向微隔离的主动防御插件，其特征在于，包括：设置于插件上的监听模块与守护模块；所述监听模块能够采集主机信息并周期性地上传至控制中心平台；所述守护模块能够执行微隔离策略并进行策略同步。

技术总结

本发明公开了一种基于横向微隔离的主动防御方法及插件，其特征在于，包括：通过监听模块采集主机信息并周期性地将信息上传至控制中心平台，基于信息进行分组管理；基于分组管理进行机器横向学习，捕获异常进程；基于异常进程的特征和机器自学习设计异常进程分析决策算法，并结合基于流量基线设计的异常流量分析决策算法，获取分析结果；基于分析结果和访问行为制定相应的微隔离策略，通知守护模块执行微隔离策略并进行策略同步。本发明通过分析决策算法以及机器自学习算法，实现对主机风险的快速判断；通过微隔离功能实现对主机隔离策略的灵活管控和快速隔离响应；本装置具备更灵活的策略配置，更智能的威胁检测分析，更快速的隔离响应。的隔离响应。的隔离响应。