[发明专利]一种基于目标感知的安全策略智能配置方法

权利要求书

1.一种基于目标感知的安全策略智能配置方法，其特征在于，所述安全策略智能配置方法至少包括：

目标感知步骤，通过主动探测和/或被动监听方式，获取目标网络的节点信息、流量信息、拓扑信息和威胁信息，并分析感知目标网络的状态；

所述目标感知步骤中的节点信息包括主机终端、服务器和安全设备的状态和配置信息；

且节点信息的获取为，通过主动发包探测结合终端探针获取：在线状态、进程及服务启动情况、硬件和操作系统指纹特征、资源使用情况和安全策略配置信息；

所述目标感知步骤中的流量信息获取为：基于交换机获取的镜像流量或者网络探针采集的流量数据，分析梳理得到节点间的会话关系；

所述目标感知步骤中的拓扑信息获取为：基于主动发包扫描结合网络设备联动获取物理连接数据，并分析得到目标网络的物理拓扑；

所述目标感知步骤中的威胁信息获取为：通过采集终端和/或设备的告警数据，获取终端节点、设备节点的异常事件、非法终端接入、网络违规访问和业务越权访问信息；

策略生成步骤，基于目标感知步骤获得的感知数据，得到目标网络的资产、会话、链路和威胁信息，并通过目标环境学习、处置预案匹配、端到端互通需求和安全防护意图识别完成防护策略生成；

所述目标环境自学习的方法包括：通过匹配目标感知阶段获取的网络流量会话关系生成网络访问控制白名单策略；通过匹配终端节点进程运行情况自动生成软件白名单策略，通过匹配节点业务访问情况自动生成业务权限策略；

所述处置预案匹配的方法包括，将目标感知阶段发现的事件告警与预案库中的处置规则进行关联分析，并在满足处置规则触发条件时，根据预案库生成相应的应急处置策略；

所述端到端互通需求的方法包括：由系统根据目标感知步骤发现的网络拓扑，自动将地址及服务对象互通要求分解为链路上各设备需要配置的访问控制策略，然后逐个下发至链路上的所有设备；

所述安全防护意图识别的方法包括：

将安全防护需求通过形式化描述方法转换为标准化的安全防护意图描述，然后通过特征识别将安全防护意图转换分解为具体的策略配置命令，最后结合策略知识库生成设备可识别的具体安全策略模板，实现从需求到具体策略的智能化配置；

分析检测步骤，针对各安全防护设备的策略对象和策略内容，对各安全防护设备的安全防护策略之间存在的冲突、覆盖、交叉、冗余情况进行检测，并进行修正；

验证优化步骤，基于实时的采集的目标感知数据，验证安全防护策略是否正确配置和生效，并基于策略配置有效性验证结果，完成各设备的安全防护策略的优化；

所述安全防护策略的优化的过程包括协助安全运维管理员对空策略、未引用策略、隐藏策略、冗余策略、可合并策略和过期策略进行精简和调整。