本申請涉及網(wǎng)絡安全的，尤其是涉及一種基于業(yè)務線的安全防護方法、系統(tǒng)、設備及存儲介質(zhì)。

背景技術：

1、網(wǎng)絡安全在當今社會中已經(jīng)變得越來越重要。隨著網(wǎng)絡攻擊手段的不斷變化，傳統(tǒng)的人工護網(wǎng)面臨著“動態(tài)”安全風險與“靜態(tài)”防御體系之間的差異矛盾。依靠傳統(tǒng)安全產(chǎn)品(如waf、ips)的會話攔截不能從根本上有效控制風險來源，而依靠人工值守ip封堵方式面對自動化的攻擊腳本與全時段、隨機性的突發(fā)攻擊，很難保證安全防護能力與封堵效率。

2、由于網(wǎng)絡安全威脅手段日益復雜多樣，依靠傳統(tǒng)的防護手段無法滿足網(wǎng)絡安全的需求。例如，目前的網(wǎng)絡威脅會使用代理，偽裝成正常的訪問。如何提高網(wǎng)絡安全的防護能力是當前需要解決的問題。

技術實現(xiàn)思路

1、為了提高網(wǎng)絡安全的防護能力，本申請?zhí)峁┝艘环N基于業(yè)務線的安全防護方法、系統(tǒng)、設備及存儲介質(zhì)。

2、在本申請的第一方面，提供了一種基于業(yè)務線的安全防護方法。該方法包括：

3、在監(jiān)測點獲取訪問信息，訪問信息表示訪問被監(jiān)測設備需要的信息；

4、分析訪問信息對應的訪問行為，確定訪問行為的基礎風險；

5、根據(jù)基礎風險和訪問信息對訪問行為進行溯源，確定訪問行為的訪問線路，訪問線路中包括在進行訪問行為過程中產(chǎn)生的進程和線程的關系，進程和線程的關系通過部署在被監(jiān)測設備上的控制寄存器確定；

6、根據(jù)訪問行為的訪問線路，確定訪問信息的風險源和風險源對應的防護指令。

7、由以上技術方案可知，通過在終端設備上布設監(jiān)測點得到訪問信息，根據(jù)訪問信息對應的訪問行為，確定訪問行為的基礎風險，根據(jù)基礎風險對訪問行為進行溯源，得到訪問線路，訪問線路中的各個節(jié)點從控制寄存器中得到，數(shù)據(jù)的真實性高，為對風險源的判斷奠定基礎，繼而得到訪問線路中的風險源，并生成風險源對應的防護指令，以實現(xiàn)對終端設備的防護，提高防護能力。

8、在一種可能的實現(xiàn)方式中，分析訪問信息對應的訪問行為，確定訪問行為的基礎風險，包括：

9、獲取訪問行為的訪問對象和訪問風險表，訪問風險表用于反映不同的訪問對象的風險性；

10、根據(jù)訪問對象和訪問風險表，確定訪問行為的基礎風險，基礎風險用于反映訪問對象的重要性。

11、在一種可能的實現(xiàn)方式中，在根據(jù)基礎風險和訪問信息對訪問行為進行溯源，確定訪問行為的訪問線路之前，方法還包括：

12、當基礎風險為低風險時，執(zhí)行訪問行為；

13、當基礎風險為中風險或高風險時，對訪問行為進行溯源，確定訪問行為的訪問線路。

14、在一種可能的實現(xiàn)方式中，根據(jù)基礎風險和訪問信息對訪問行為進行溯源，確定訪問行為的訪問線路，包括：

15、逐級獲取訪問行為的發(fā)起對象和發(fā)起對象的歷史行為，發(fā)起對象表示進程或線程；

16、判斷發(fā)起對象的歷史行為中是否存在訪問行為；

17、若否，則對發(fā)起對象做風險標記；

18、根據(jù)發(fā)起對象和訪問行為的對應關系以及風險標記，確定訪問線路。

19、在一種可能的實現(xiàn)方式中，根據(jù)訪問行為的訪問線路，確定訪問信息的風險源和風險源對應的防護指令，包括：

20、當訪問線路中存在風險標記時，將風險標記對應的發(fā)起對象作為風險源；

21、生成與風險源對應的防護指令，防護指令用于攔截訪問行為和/或輸出告警信息。

22、在一種可能的實現(xiàn)方式中，監(jiān)測點部署在被監(jiān)測設備上的ebpf程序中。

23、在一種可能的實現(xiàn)方式中，控制寄存器為cr3寄存器。

24、在本申請的第二方面，提供了一種基于業(yè)務線的安全防護系統(tǒng)。該系統(tǒng)包括：

25、數(shù)據(jù)獲取模塊，用于在監(jiān)測點獲取訪問信息，訪問信息表示訪問被監(jiān)測設備需要的信息；

26、風險判斷模塊，用于分析訪問信息對應的訪問行為，確定訪問行為的基礎風險；

27、訪問線路溯源模塊，用于根據(jù)基礎風險和訪問信息對訪問行為進行溯源，確定訪問行為的訪問線路，訪問線路中包括在進行訪問行為過程中產(chǎn)生的進程和線程的關系，進程和線程的關系通過部署在被監(jiān)測設備上的控制寄存器確定；

28、風險確定模塊，用于根據(jù)訪問行為的訪問線路，確定訪問信息的風險源和風險源對應的防護指令。

29、在本申請的第三方面，提供了一種電子設備。該電子設備包括：存儲器和處理器，所述存儲器上存儲有計算機程序，所述處理器執(zhí)行所述程序時實現(xiàn)如以上所述的方法。

30、在本申請的第四方面，提供了一種計算機可讀存儲介質(zhì)，其上存儲有計算機程序，所述程序被處理器執(zhí)行時實現(xiàn)如根據(jù)本申請的第一方面的方法。

31、綜上所述，本申請包括至少一種有益技術效果：

32、通過在終端設備上布設監(jiān)測點得到訪問信息，根據(jù)訪問信息對應的訪問行為，確定訪問行為的基礎風險，根據(jù)基礎風險對訪問行為進行溯源，得到訪問線路，訪問線路中的各個節(jié)點從控制寄存器中得到，數(shù)據(jù)的真實性高，為對風險源的判斷奠定基礎，繼而得到訪問線路中的風險源，并生成風險源對應的防護指令，以實現(xiàn)對終端設備的防護，提高防護能力。

技術特征：

1.一種基于業(yè)務線的安全防護方法，其特征在于，包括：

2.根據(jù)權(quán)利要求1所述的基于業(yè)務線的安全防護方法，其特征在于，所述分析所述訪問信息對應的訪問行為，確定所述訪問行為的基礎風險，包括：

3.根據(jù)權(quán)利要求1所述的基于業(yè)務線的安全防護方法，其特征在于，在所述根據(jù)所述基礎風險和所述訪問信息對所述訪問行為進行溯源，確定所述訪問行為的訪問線路之前，所述方法還包括：

4.根據(jù)權(quán)利要求3所述的基于業(yè)務線的安全防護方法，其特征在于，所述根據(jù)所述基礎風險和所述訪問信息對所述訪問行為進行溯源，確定所述訪問行為的訪問線路，包括：

5.根據(jù)權(quán)利要求4所述的基于業(yè)務線的安全防護方法，其特征在于，所述根據(jù)所述訪問行為的訪問線路，確定所述訪問信息的風險源和所述風險源對應的防護指令，包括：

6.根據(jù)權(quán)利要求1所述的基于業(yè)務線的安全防護方法，其特征在于，所述監(jiān)測點部署在所述被監(jiān)測設備上的ebpf程序中。

7.根據(jù)權(quán)利要求1所述的基于業(yè)務線的安全防護方法，其特征在于，所述控制寄存器為cr3寄存器。

8.一種基于業(yè)務線的安全防護系統(tǒng)，其特征在于，包括：

9.一種電子設備，其特征在于，包括存儲器和處理器，所述存儲器上存儲有能夠被處理器加載并執(zhí)行如權(quán)利要求1至7中任一種所述方法的計算機程序。

10.一種計算機可讀存儲介質(zhì)，其特征在于，存儲有能夠被處理器加載并執(zhí)行如權(quán)利要求1至7中任一種所述方法的計算機程序。

技術總結(jié)
本申請涉及一種基于業(yè)務線的安全防護方法、系統(tǒng)、設備及存儲介質(zhì)，屬于網(wǎng)絡安全的技術領域，方法包括在監(jiān)測點獲取訪問信息，訪問信息表示訪問被監(jiān)測設備需要的信息；分析訪問信息對應的訪問行為，確定訪問行為的基礎風險；根據(jù)基礎風險和訪問信息對訪問行為進行溯源，確定訪問行為的訪問線路，訪問線路中包括在進行訪問行為過程中產(chǎn)生的進程和線程的關系，進程和線程的關系通過部署在被監(jiān)測設備上的控制寄存器確定；根據(jù)訪問行為的訪問線路，確定訪問信息的風險源和風險源對應的防護指令。本申請具有提高終端設備的網(wǎng)絡安全防護能力的效果。

技術研發(fā)人員：王連慶,王英梅,周曉宇,楊林,劉宸
受保護的技術使用者：中國海洋石油集團有限公司
技術研發(fā)日：
技術公布日：2024/12/12