一種安全威脅管理方法和系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域�,尤其涉及一種安全威脅管理方法和系統(tǒng)。
【背景技術(shù)】
[0002] 安全領(lǐng)域中�����,安全漏洞是理論上的缺陷或問(wèn)題��,由外部組織發(fā)布����,而安全威 脅代表潛在的安全風(fēng)險(xiǎn)。例如安全漏洞的標(biāo)識(shí)一般采用公共漏洞和暴露(Common Vulnerabilities&Exposures�,CVE)來(lái)統(tǒng)一描述和分類,以便于對(duì)具體資產(chǎn)(即評(píng)估對(duì)象或 目標(biāo))的風(fēng)險(xiǎn)定量評(píng)估�,CVE就好像是一個(gè)字典表,為廣泛認(rèn)同的信息安全漏洞或者已經(jīng)暴 露出來(lái)的弱點(diǎn)給出一個(gè)公共的名稱�����。在現(xiàn)實(shí)中由于掃描目標(biāo)的實(shí)現(xiàn)方式�����、組網(wǎng)��、防護(hù)部署 (如Web應(yīng)用防護(hù)系統(tǒng)(Web Application Firewall,WAF))等情況復(fù)雜����,安全類產(chǎn)品在對(duì) 于安全威脅(如CVE漏洞問(wèn)題)的檢測(cè)或識(shí)別過(guò)程中,需要使用一定的檢測(cè)方法���,每個(gè)方法 可能具有若干可配置項(xiàng)參數(shù)���,通過(guò)指定算法,調(diào)整算法的參數(shù)�,可以指定檢測(cè)的威脅(或集 合)。被指定的威脅可以作為安全產(chǎn)品的一次具體配置��,例如某次掃描的配置��、或某次防護(hù) 的過(guò)濾配置�����。例如:網(wǎng)頁(yè)篡改可以通過(guò)靜態(tài)比對(duì)檢測(cè)算法��,通過(guò)配置基準(zhǔn)頁(yè)面參數(shù)��、相似度 參數(shù)���、結(jié)構(gòu)變更檢測(cè)開(kāi)關(guān)���、內(nèi)容變更檢測(cè)開(kāi)關(guān)參數(shù)來(lái)描述一個(gè)具體的篡改威脅事件。
[0003] 由此可知���,現(xiàn)有技術(shù)對(duì)于安全威脅的管理上��,多數(shù)是使用標(biāo)準(zhǔn)的理論安全漏洞定 義��,或不明確指定使用某種算法�����,隱含使用默認(rèn)檢測(cè)識(shí)別算法�,通過(guò)直接配置任務(wù)參數(shù)的方 式保存和重復(fù)使用���,由于使用標(biāo)準(zhǔn)的理論安全漏洞定義����,不適應(yīng)變化的外部環(huán)境����,由于未明 確算法與參數(shù)的配套關(guān)系��,不利于算法擴(kuò)展��,而且����,對(duì)于檢測(cè)算法參數(shù)的管理上���,沒(méi)有組織 層次�����,對(duì)于威脅事件的描述不夠準(zhǔn)確和快捷��。
[0004] 其次�����,現(xiàn)有技術(shù)未明確安全漏洞與檢測(cè)事件的對(duì)應(yīng)關(guān)系��,默認(rèn)使用檢測(cè)事件來(lái)代 表安全漏洞���,采用原始請(qǐng)求應(yīng)答或者未指定算法的不全面參數(shù)來(lái)代表檢測(cè)事件,對(duì)于采用 何種檢測(cè)方式來(lái)發(fā)現(xiàn)安全漏洞不明確,易造成檢測(cè)結(jié)果的不準(zhǔn)確和前后不一致����。
【發(fā)明內(nèi)容】
[0005] 本發(fā)明的目的是提供一種安全威脅管理方法和系統(tǒng)���,以解決現(xiàn)有的對(duì)威脅事件的 檢測(cè)不準(zhǔn)確的問(wèn)題�����。
[0006] 本發(fā)明的目的是通過(guò)以下技術(shù)方案實(shí)現(xiàn)的:
[0007] 一種安全威脅管理方法�,包括:
[0008] 根據(jù)用戶的配置策略獲取待監(jiān)測(cè)對(duì)象的風(fēng)險(xiǎn)標(biāo)識(shí)��,通過(guò)檢索預(yù)存的安全威脅模板 庫(kù)���,獲取對(duì)應(yīng)所述風(fēng)險(xiǎn)標(biāo)識(shí)設(shè)置的單一威脅模板標(biāo)識(shí)集合�、以及對(duì)應(yīng)所述單一威脅模板標(biāo) 識(shí)集合中每一個(gè)威脅模板標(biāo)識(shí)設(shè)置的威脅事件標(biāo)識(shí)集合�����,其中����,威脅事件用于描述針對(duì)安 全威脅的檢測(cè)算法及固化參數(shù),單一威脅模板用于描述針對(duì)特定類型安全威脅的檢測(cè)算法 及參數(shù)取值集合;
[0009] 根據(jù)預(yù)設(shè)的威脅事件檢測(cè)策略����,通過(guò)檢索預(yù)存的威脅事件庫(kù),獲取對(duì)應(yīng)所述威脅 事件標(biāo)識(shí)集合中的每一個(gè)威脅事件標(biāo)識(shí)設(shè)置的威脅事件檢測(cè)算法標(biāo)識(shí)和相應(yīng)的固化參數(shù) 值�;
[0010] 基于每一個(gè)威脅事件標(biāo)識(shí)對(duì)應(yīng)的威脅事件檢測(cè)算法標(biāo)識(shí),在預(yù)存的安全威脅算法 庫(kù)中調(diào)用對(duì)應(yīng)的威脅事件檢測(cè)算法�����,并基于所述威脅事件檢測(cè)算法和所述相應(yīng)的固化參數(shù) 值執(zhí)行對(duì)應(yīng)的威脅事件檢測(cè)���,所述安全威脅算法庫(kù)中記錄有各種威脅事件算法的實(shí)現(xiàn)方 式���。
[0011] 這樣,通過(guò)層次化的威脅組織�,將算法和參數(shù)從中分離,設(shè)計(jì)了一套量化的威脅描 述方法�����,從識(shí)別角度量化威脅事件����,有利于區(qū)分理論漏洞和檢測(cè)漏洞����,不僅使威脅的檢測(cè)更 加準(zhǔn)確�����,而且便于威脅的量化管理和產(chǎn)品威脅事件及檢測(cè)規(guī)則的擴(kuò)展和定制��,從而快速滿 足市場(chǎng)需求���,并且支持建立威脅管理庫(kù)。并在架構(gòu)上支持威脅識(shí)別的擴(kuò)展��,能夠快速響應(yīng)市 場(chǎng)和客戶需求���。
[0012] 可選的�,所述風(fēng)險(xiǎn)標(biāo)識(shí)為復(fù)合威脅模板標(biāo)識(shí)或安全漏洞標(biāo)識(shí)���,其中��,復(fù)合威脅模板 為至少一個(gè)單一威脅模板的組合����。
[0013] 可選的,根據(jù)預(yù)設(shè)的威脅事件檢測(cè)策略���,通過(guò)檢索預(yù)存的威脅事件庫(kù)���,獲取對(duì)應(yīng)所 述威脅事件標(biāo)識(shí)集合中的每一個(gè)威脅事件標(biāo)識(shí)設(shè)置的威脅事件檢測(cè)算法標(biāo)識(shí)和相應(yīng)的固 化參數(shù)值,具體包括:
[0014] 若所述威脅事件檢測(cè)策略為按照系統(tǒng)默認(rèn)的順序檢測(cè)���,則按照威脅事件標(biāo)識(shí)在威 脅事件庫(kù)中從先到后的存儲(chǔ)順序���,依次獲取對(duì)應(yīng)每一個(gè)威脅事件標(biāo)識(shí)設(shè)置的威脅事件檢測(cè) 算法標(biāo)識(shí)和相應(yīng)的固化參數(shù)值;或�����,
[0015] 若所述威脅事件檢測(cè)策略為按照指定的優(yōu)先級(jí)順序檢測(cè)��,則按照預(yù)設(shè)的威脅事件 的優(yōu)先級(jí)排列順序���,依次獲取對(duì)應(yīng)每一個(gè)威脅事件標(biāo)識(shí)設(shè)置的威脅事件檢測(cè)算法標(biāo)識(shí)和相 應(yīng)的固化參數(shù)值���。
[0016] 可選的,通過(guò)檢索預(yù)存的威脅事件庫(kù)��,獲取對(duì)應(yīng)所述威脅事件標(biāo)識(shí)集合中的每一 個(gè)威脅事件標(biāo)識(shí)設(shè)置的威脅事件檢測(cè)算法標(biāo)識(shí)和相應(yīng)的固化參數(shù)值,具體包括:
[0017] 通過(guò)檢索預(yù)存的威脅事件庫(kù)�,直接依次獲取對(duì)應(yīng)每一個(gè)威脅事件標(biāo)識(shí)設(shè)置的威脅 事件檢測(cè)算法標(biāo)識(shí)和相應(yīng)的固化參數(shù)值;或�,
[0018] 通過(guò)檢索預(yù)存的威脅事件庫(kù),依次獲取對(duì)應(yīng)每一個(gè)威脅事件標(biāo)識(shí)設(shè)置的威脅事件 類型�,以及基于每一個(gè)威脅事件類型檢索預(yù)存的安全威脅算法庫(kù),獲取對(duì)應(yīng)每一個(gè)威脅事 件類型設(shè)置的威脅事件檢測(cè)算法標(biāo)識(shí)和相應(yīng)的固化參數(shù)值�。
[0019] 可選的,基于每一個(gè)威脅事件標(biāo)識(shí)對(duì)應(yīng)的威脅事件檢測(cè)算法標(biāo)識(shí)���,在預(yù)存的安全 威脅算法庫(kù)中調(diào)用對(duì)應(yīng)的威脅事件檢測(cè)算法,并基于所述威脅事件檢測(cè)算法和所述相應(yīng)的 固化參數(shù)值執(zhí)行對(duì)應(yīng)的威脅事件檢測(cè)之后����,進(jìn)一步包括:
[0020] 獲取每一個(gè)威脅事件的檢測(cè)結(jié)果,并進(jìn)行輸出�;
[0021] 若所述風(fēng)險(xiǎn)標(biāo)識(shí)為復(fù)合威脅模板標(biāo)識(shí),則根據(jù)每一個(gè)威脅事件的檢測(cè)結(jié)果和安 全威脅模板庫(kù)中記錄的威脅模板和威脅事件的映射關(guān)系��,獲取各威脅模板的檢測(cè)結(jié)果����,并 進(jìn)行輸出,其中威脅模板包括單一威脅模板和復(fù)合威脅模板����;
[0022] 若所述風(fēng)險(xiǎn)標(biāo)識(shí)為安全漏洞標(biāo)識(shí)���,則根據(jù)每一個(gè)威脅事件的檢測(cè)結(jié)果和威脅事件 庫(kù)中記錄的安全漏洞和威脅事件的映射關(guān)系,獲取各安全漏洞的檢測(cè)結(jié)果�����,并進(jìn)行輸出�。
[0023] -種安全威脅管理系統(tǒng),包括:
[0024] 威脅模板管理單元����,用于根據(jù)用戶的配置策略獲取待監(jiān)測(cè)對(duì)象的風(fēng)險(xiǎn)標(biāo)識(shí),通過(guò) 檢索預(yù)存的安全威脅模板庫(kù)�,獲取對(duì)應(yīng)所述風(fēng)險(xiǎn)標(biāo)識(shí)設(shè)置的單一威脅模板標(biāo)識(shí)集合、以及 對(duì)應(yīng)所述單一威脅模板標(biāo)識(shí)集合中每一個(gè)威脅模板標(biāo)識(shí)設(shè)置的威脅事件標(biāo)識(shí)集合�,其中, 威脅事件用于描述針對(duì)安全威脅的檢測(cè)算法及固化參數(shù)��,單一威脅模板用于描述針對(duì)特定 類型安全威脅的檢測(cè)算法及參數(shù)取值集合����;
[0025] 威脅事件管理單元,用于根據(jù)預(yù)設(shè)的威脅事件檢測(cè)策略����,通過(guò)檢索預(yù)存的威脅事 件庫(kù)��,獲取對(duì)應(yīng)所述威脅事件標(biāo)識(shí)集合中的每一個(gè)威脅事件標(biāo)識(shí)設(shè)置的威脅事件檢測(cè)算法 標(biāo)識(shí)和相應(yīng)的固化參數(shù)值�;
[0026] 威脅算法管理單元����,用于基于每一個(gè)威脅事件標(biāo)識(shí)對(duì)應(yīng)的威脅事件檢測(cè)算法標(biāo) 識(shí),在預(yù)存的安全威脅算法庫(kù)中調(diào)用對(duì)應(yīng)的威脅事件檢測(cè)算法����,并基于所述威脅事件檢測(cè) 算法和所述相應(yīng)的固化參數(shù)值執(zhí)行對(duì)應(yīng)的威脅事件檢測(cè),所述安全威脅算法庫(kù)中記錄有各 種威脅事件算法的實(shí)現(xiàn)方式����。
[0027] 這樣���,通過(guò)層次化的威脅組織����,將算法和參數(shù)從中分離����,設(shè)計(jì)了一套量化的威脅描 述方法����,從識(shí)別角度量化威脅事件���,有利于區(qū)分理論漏洞和檢測(cè)漏洞����,不僅使威脅的檢測(cè)更 加準(zhǔn)確��,而且便于威脅的量化管理和產(chǎn)品威脅事件及檢測(cè)規(guī)則的擴(kuò)展和定制�,從而快速滿 足市場(chǎng)需求,并且支持建立威脅管理庫(kù)�����。并在架構(gòu)上支持威脅識(shí)別的擴(kuò)展�,能夠快速響應(yīng)市 場(chǎng)和客戶需求。
[0028] 可選的�,所述風(fēng)險(xiǎn)標(biāo)識(shí)為復(fù)合威脅模板標(biāo)識(shí)或安全漏洞標(biāo)識(shí),其中����,復(fù)合威脅模板 為至少一個(gè)單一威脅模板的組合。
[0029] 可選的,根據(jù)預(yù)設(shè)的威脅事件檢測(cè)策略���,通過(guò)檢索預(yù)存的威脅事件庫(kù)���,獲取對(duì)應(yīng)所 述威脅事件標(biāo)識(shí)集合中的每一個(gè)威脅事件標(biāo)識(shí)設(shè)置的威脅事件檢測(cè)算法標(biāo)識(shí)和相應(yīng)的固 化參數(shù)值時(shí),所述威脅事件管理單元具體用于:
[0030] 若所述威脅事件檢測(cè)策略為按照系統(tǒng)默認(rèn)的順序檢測(cè)����,則按照威脅事件標(biāo)識(shí)在威 脅事件庫(kù)中從先到后的存儲(chǔ)順序,依次獲取對(duì)應(yīng)每一個(gè)威脅事件標(biāo)識(shí)設(shè)置的威脅事件檢測(cè) 算法標(biāo)識(shí)和相應(yīng)的固化參數(shù)值����;或,
[0031] 若所述威脅事件檢測(cè)