一种基于智能评分机制的安全处置数字孪生方法及系统

摘要

本发明涉及一种基于智能评分机制的安全处置数字孪生方法及系统。本发明包括应急处置设备模块、处置验证模块和算法智能评分模块，其中的方法是：首先建立应急处置设备模块与数字孪生模型之间的虚实映射关系。然后在数字孪生模型的处置验证模块中，对处置脚本进行原子化编排设计，构建封堵、解封堵、验证、取证流程，并提取处置效果数据，将处置效果数据上传至数字孪生模型中的算法智能评分模块，通过处置效果评分算法对安全事件的处置方案进行排序。最后将排序后的处置方案下发至处置流程，最佳处置方案将被优先选择，通过数据传输通道将指令下达至相应设备，对安全事件进行处置。本发明可实现对安全事件的动态联动处置。

说明书

技术领域

本发明涉及一种基于智能评分机制的安全处置数字孪生方法及系统，属于数字孪生、机器学习、安全事件处置等技术领域。

背景技术

随着大IT建设日趋成熟，云化、服务化成为主流业务承载方式，安全风险愈加集中，传统针对单网络、单部门的应急响应已无法满足日益复杂的网络安全威胁处置需求，发生安全事件时，如何快速、智能响应成为网络安全领域亟待解决的问题。

中国专利CN201610817357公开了一种网络安全策略的处理系统及处理方法，该处理系统包括：IP地址发送模块，在服务器上线或网络发生改变时，发送IP地址；流量学习模块，接收IP地址，将对应的网络安全策略设置为全部放行策略，并收集IP地址的所有流量信息；提取模块，根据收集的每条流量信息提取源IP地址、目的IP地址、目的端口及协议以生成基础安全策略；第一合并模块，将基础安全策略进行源IP地址合并，生成初始安全策略；第二合并模块，将初始安全策略进行目的IP地址合并，生成最终安全策略；处理模块，将最终安全策略发送至网络安全设备中，并删除全部放行策略。该本发明通过流量学习的方式自动生成网络安全策略，实现了全自动的配置。

中国专利CN201510791949公开了网络安全处理方法及装置，其中方法包括：接收终端上传的数据包；根据本地网络的安全策略，对接收到的数据包进行解析，获得数据包的至少一个协议层携带的数据；针对每一协议层的数据，提取URL及其对应的目的IP，并将所述URL与目的IP关联形成与该协议层对应的特征值组；根据各协议层对应的特征值组，判断在预设周期内，同一URL出现的次数是否大于预设阈值；若是，则将所述同一URL所在的特征值组标记为可疑特征值组；判断所述可疑特征值组中的URL是否在URL黑名单中；若是，则将与所述URL关联的目的IP添加到IP黑名单中。该本发明提供的网络安全处理方法及装置，能够有效阻止病毒感染网络中的终端。

发明内容

本发明针对现有技术的不足，提供了一种基于智能评分机制的安全处置数字孪生方法及系统。

本发明解决技术问题所采取的技术方案为：

一种基于智能评分机制的安全处置数字孪生方法，包括以下步骤：

S1构建安全事件处置数字孪生模型，建立应急处置设备模块与数字孪生模型之间的虚实映射关系。

S2在数字孪生模型的处置验证模块中，对处置脚本进行原子化编排设计，构建封堵、解封堵、验证、取证流程，并提取处置效果数据。

S3处置效果数据上传至数字孪生模型中的算法智能评分模块，通过处置效果评分算法对安全事件的处置方案进行排序。

S4将排序后的处置方案下发至处置流程，最佳处置方案将被优先选择。

S5通过数据传输通道将指令下达至相应设备，对安全事件进行处置。

进一步说，所述的应急处置设备模块主要包括路由器、防火墙、交换机、DNS和负载均衡器，应急处置设备模块通过telnet、ssh、api或者4A接口实现指令下发和数据传输。

进一步说，所述的处置设备根据不同的设备用途分布在不同的网络域，针对不同的安全事件在不同的网络层面以及相应的设备上进行处置，并将处置流程与安全事件进行虚实映射。

进一步说，在所述的处置验证模块中引入处置脚本原子化设计，将封堵脚本、解封堵脚本、验证脚本、取证脚本封装成原子能力集并进行统一编排。

进一步说，所述的提取处置效果数据，包括封堵成功率、业务影响力、封堵覆盖范围和封堵时长。

进一步说，所述的处置效果评分算法具体是：

S31:对历史发生的每个安全事件的多个处置方案的封堵成功率、业务影响力、封堵覆盖范围、封堵时长分别进行量化，得到四个维度的特征集；

S32:利用K-means聚类算法求出每个特征集中的四个聚类点，分别对应四个值，并对其进行排序；

S33:将最近一次的处置效果特征指标数值减去离它最近聚类点数值得到一个数值，为实际特征值到聚类点的距离T；

S34:利用sigmoid函数将距离转化为一定范围内的分数S；

S35:对每一类安全事件的每一种处置方案的最近一次的四个特征指标数值进行平均，得到每一种处置方案的得分。

其中所述的分数S采用如下公式计算：

其中S₀为聚类点对应的分数，T为距离值差，R为取值范围，r是一个常量约束参数。

一种基于智能评分机制的安全处置数字孪生系统，包括应急处置设备模块、处置验证模块和算法智能评分模块，其中所述处置验证模块和算法智能评分模块构成安全事件处置数字孪生模型；所述安全事件处置数字孪生模型与应急处置设备模块形成虚实映射关系。

在所述的处置验证模块中包括采用原子化设计的封堵脚本、解封堵脚本、验证脚本和取证脚本。

在所述的算法智能评分模块中包括能够给出安全事件的处置方案排序的处置效果评分算法，所述的处置效果评分算法数据来源于处置验证模块中的处置效果数据。

所述的算法智能评分模块的输出处置方案并下发至处置验证模块，其中的最佳处置方案将被优先选择，并通过数据传输通道将指令下达至相应设备，对安全事件进行处置。

进一步说，所述的处置验证模块向算法智能评分模块传输了每个安全事件的多个处置方案的封堵成功率、业务影响力、封堵覆盖范围和封堵时长，构成四个维度的特征集，每个特征集中存在四个聚类点。

进一步说，所述的聚类点用于判断当前处置方案的得分。

本发明的有益效果：本发明通过构建数字孪生模型，针对安全事件进行预分类定义、算法优选处置方案、处置能力解耦编排实现对安全事件的动态联动处置。

附图说明

图1：本发明方法流程图。

图2：处置脚本原子化编排示意图。

具体的实施方式

以下结合附图对本发明作进一步说明，如图1所示，该系统包括应急处置设备模块、处置验证模块和算法智能评分模块，具体流程如下：

S1构建安全事件处置数字孪生模型(由处置验证模块和算法智能评分模块组成)，建立应急处置设备模块与数字孪生模型之间的虚实映射关系。

其中应急处置设备模块主要包括路由器、防火墙、交换机、DNS、负载均衡器等，应急处置设备模块通过telnet、ssh、api或者4A等接口实现指令下发和数据传输，处置设备根据不同的设备用途分布在不同的网络域，针对不同的安全事件可在不同的网络层面以及相应的设备上进行处置，并将处置流程与安全事件进行虚实映射。

S2在数字孪生模型的处置验证模块中，对处置脚本进行原子化编排设计，构建封堵、解封堵、验证、取证流程，并提取处置效果数据。

S3处置效果数据上传至数字孪生模型中的算法智能评分模块，通过处置效果评分算法对安全事件的处置方案进行排序。

S4将排序后的处置方案下发至处置流程，最佳处置方案将被优先选择。

S5通过数据传输通道将指令下达至相应设备，对安全事件进行处置。

进一步，步骤S2实施方案如下：

S21:在处置验证模块中引入处置脚本原子化设计方法，将常用的封堵脚本、解封堵脚本、验证脚本封装成原子能力并进行统一编排，用户在配置处置规则时无需关注脚本实现，应用层在调用时只需要在原子池中寻找能力编号即可完成处理，因而可为自动化处置提供强有力的技术支撑，可有效提升整体处置成功率并缩短处置时长，见图2。

S22:提取处置效果数据，包括但不限于：封堵成功率、业务影响力、封堵覆盖范围、封堵时长。

由于每一类安全事件都涉及多种处置方案，为了得到最佳的处置方案，进一步，步骤S3制定了处置效果评分算法，具体实施方案如下：

S31:对历史发生的每个安全事件的多个处置方案的封堵成功率、业务影响力、封堵覆盖范围、封堵时长分别进行量化，得到4个维度的特征集；

表1处置效果指标

评估指标指标含义举例封堵成功率封堵成功次数/封堵总次数90％业务影响率影响次数/封堵总次数1％封堵覆盖范围防护资产数/资产总数90％封堵时长封堵时间1s

S32:利用K-means聚类求出每个特征集中的4个聚类点分别对应4个值，并对其进行排序。

S33:将最近一次的处置效果特征指标数值减去离它最近聚类点数值得到一个数值，为实际特征值到聚类点的距离T。

S34:利用sigmoid函数将距离转化为一定范围内的分数S：

其中S₀为聚类点对应的分数，T为距离值差，R为取值范围，r是一个常量约束参数。

例如：某一个安全事件的所有处置方案的封堵成功率聚类点为[0.3,0.5,0.75,0.9]分别对应的分数为[60,70,80,90]，r为0.01，R为5，针对该安全事件的其中一种处置方案的最近一次封堵成功率为100％即为1，离1最近的聚类点是0.9。可以得到具体的分数为：

S35:对每一类安全事件的每一种处置方案的最近一次的4个特征指标数值进行平均，得到每一种处置方案的得分。

本发明还提供了一种基于智能评分机制的安全处置数字孪生系统，包括应急处置设备模块、处置验证模块和算法智能评分模块，所述处置验证模块和算法智能评分模块构成安全事件处置数字孪生模型；所述安全事件处置数字孪生模型与应急处置设备模块形成虚实映射关系。

在所述的处置验证模块中包括采用原子化设计的封堵脚本、解封堵脚本、验证脚本和取证脚本。

在所述的算法智能评分模块中包括能够给出安全事件的处置方案排序的处置效果评分算法，所述的处置效果评分算法数据来源于处置验证模块中的处置效果数据。

所述的算法智能评分模块的输出处置方案并下发至处置验证模块，其中的最佳处置方案将被优先选择，并通过数据传输通道将指令下达至相应设备，对安全事件进行处置。

所述的处置验证模块向算法智能评分模块传输了每个安全事件的多个处置方案的封堵成功率、业务影响力、封堵覆盖范围和封堵时长，构成四个维度的特征集，每个特征集中存在四个聚类点。

所述的聚类点用于判断当前处置方案的得分。

实施例：

某网站遭受黑客sql注入等攻击事件，使得该网站的网页被篡改，处置验证模块接收到该类事件后，自动关联不同的处置方案：

方案1：可在核心公网路由器进行黑洞路由封堵；

方案2：可在业务前置防火墙上进行目的地址封堵；

方案3：可在业务前置负载均衡器进行停止应用操作；

方案4：可针对篡改网站域名进行强制解析操作。

处置验证模块将历史处置数据上传至算法智能评分模块，通过算法评分得到方案1即在核心公网路由器进行黑洞路由封堵的效果最佳，处置验证模块将自动开启该方案对应的处置流程，并最终在应急处置设备模块中的路由器上下发黑洞路由处置指令，完成本次安全事件应急处置操作。