一种基于流量分析的资产优化方法及装置与流程

1.本技术涉及网络资产安全技术领域，具体而言，涉及一种基于流量分析的资产优化方法及装置。


背景技术：

2.随着网络犯罪集团的增加和隐蔽网络活动的激增，网络攻击数量急剧增加，复杂性也在增长。网络攻击技术不断升级，网络犯罪分子也在不断提升专业攻击技术，意图突破安全防线。面对日益复杂的网络环境及随着业务扩展带来的日益增多的网络资产，现有的方法，仅对异常的资产产生告警信息，没有起到提前防御的作用，还需要工作人员去干预，未减少工作量。


技术实现要素：

3.本技术实施例的目的在于提供一种基于流量分析的资产优化方法及装置，自动配置相应防御的安全策略，实现提前防御，降低被攻击风险，解决现有方法功能生效时间太长和没有起到提前防御作用的问题。
4.本技术实施例提供了一种基于流量分析的资产优化方法，所述方法包括：
5.基于预先配置的资产行为分析功能对经过防火墙的流量进行收集；
6.对收集到的所述流量进行统计分析和自学习，以生成警戒值；
7.利用所述警戒值对资产风险预警，以生成告警信息；
8.对产生告警的资产生成安全事件的访问控制策略。
9.在上述实现过程中，通过对接入防火墙的资产的流量分析，形成最新网络访问学习模型，根据特定资产的访问习惯形成一个异常警戒值，通过实时监控及时发现异常，给出资产风险预警以及其可能遭遇的威胁类型，并针对该资产自动生成对应访问控制策略，自动配置相应防御的安全策略，实现提前防御，降低被攻击风险，解决现有方法功能生效时间太长和没有起到提前防御作用的问题。
10.进一步地，所述基于预先配置的资产行为分析功能对经过防火墙的流量进行收集，包括：
11.预先配置资产学习周期、异常细粒度和警戒值浮动比；
12.收集经过或访问防火墙的流量的资产信息，以生成资产行为数据表，所述资产信息包括流量的ip、交互协议、访问时间、访问频率和流量大小。
13.在上述实现过程中，通过流量收集，生成资产行为数据表，为生成学习模型提供数据基础。
14.进一步地，所述对收集到的所述流量进行统计分析和自学习，以生成警戒值，包括：
15.将流量进行归类并分析访问时间和访问频率，以生成访问习惯的学习模型；
16.分析新收集的流量并对所述学习模型进行更新，以生成警戒值。
17.在上述实现过程中，在资产学习周期内，不断的对学习模型进行更新，动态生成警戒值，使得在资产学习周期内，学习模型能够使用，并在此期间内不断更新学习模型，生成最优警戒值。
18.进一步地，所述利用所述警戒值对资产风险预警，以生成告警信息，包括：
19.利用所述警戒值监控资产流量行为，当所述资产流量行为超过警戒值且达到浮动比时，生成告警信息，所述告警信息包括威胁攻击类型信息。
20.在上述实现过程中，通过警戒值，对产生异常的资产给出资产风险预警以及其可能遭遇的威胁类型。
21.进一步地，所述对产生告警的资产生成安全事件的访问控制策略，包括：
22.对所述资产下发包含所述威胁攻击类型信息的安全引擎的访问控制策略；
23.当所述资产流量行为符合预设基线时，删除所述访问控制策略。
24.在上述实现过程中，改进管理策略，利用用户画像对具有特定访问规律的资产自动进行访问控制策略的优化，对无访问需求的资产的对应的配置及时删除。
25.本技术实施例还通过一种基于流量分析的资产优化装置，所述装置包括：
26.收集模块，用于基于预先配置的资产行为分析功能对经过防火墙的流量进行收集；
27.自学习模块，用于对收集到的所述流量进行统计分析和自学习，以生成警戒值；
28.预警模块，用于利用所述警戒值对资产风险预警，以生成告警信息；
29.策略生成模块，用于对产生告警的资产生成安全事件的访问控制策略。
30.在上述实现过程中，通过对接入防火墙的资产的流量分析，形成最新网络访问学习模型，根据特定资产的访问习惯形成一个异常警戒值，通过实时监控及时发现异常，给出资产风险预警以及其可能遭遇的威胁类型，并针对该资产自动生成对应访问控制策略，自动配置相应防御的安全策略，实现提前防御，降低被攻击风险，解决现有方法功能生效时间太长和没有起到提前防御作用的问题。
31.进一步地，所述收集模块包括：
32.预置模块，用于预先配置资产学习周期、异常细粒度和警戒值浮动比；
33.数据表生成模块，用于收集经过或访问防火墙的流量的资产信息，以生成资产行为数据表，所述资产信息包括流量的ip、交互协议、访问时间、访问频率和流量大小。
34.在上述实现过程中，通过流量收集，生成资产行为数据表，为生成学习模型提供数据基础。
35.进一步地，所述自学习模块包括：
36.模型生成模块，用于将流量进行归类并分析访问时间和访问频率，以生成访问习惯的学习模型；
37.警戒值生成模块，用于分析新收集的流量并对所述学习模型进行更新，以生成警戒值。
38.在上述实现过程中，在资产学习周期内，不断的对学习模型进行更新，动态生成警戒值，使得在资产学习周期内，学习模型能够使用，并在此期间内不断更新学习模型，生成最优警戒值。
39.本技术实施例还提供一种电子设备，所述电子设备包括存储器以及处理器，所述
存储器用于存储计算机程序，所述处理器运行所述计算机程序以使所述电子设备执行上述中任一项所述的基于流量分析的资产优化方法。
40.本技术实施例还提供一种可读存储介质，所述可读存储介质中存储有计算机程序指令，所述计算机程序指令被一处理器读取并运行时，执行上述中任一项所述的基于流量分析的资产优化方法。
附图说明
41.为了更清楚地说明本技术实施例的技术方案，下面将对本技术实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本技术的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
42.图1为本技术实施例提供的一种基于流量分析的资产优化方法的流程图；
43.图2为本技术实施例提供的流量收集流程图；
44.图3为本技术实施例提供的实现风险预警及配置优化的流程图；
45.图4为本技术实施例提供的警戒值生成流程图；
46.图5为本技术实施例提供的访问控制策略的生成流程图；
47.图6为本技术实施例提供的一种基于流量分析的资产优化装置的结构框图；
48.图7为本技术实施例提供的另一种基于流量分析的资产优化装置的结构框图。
49.图标：
50.100-收集模块；101-预置模块；102-数据表生成模块；200-自学习模块；201-模型生成模块；202-警戒值生成模块；300-预警模块；400-策略生成模块；401-下发模块；402-删除模块。
具体实施方式
51.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行描述。
52.应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本技术的描述中，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。
53.实施例1
54.请参看图1，图1为本技术实施例提供的一种基于流量分析的资产优化方法的流程图。该方法通过开启资产行为分析功能、流量收集、资产行为自学习、资产风险预警和用户画像(配置优化)实现资产风险预警和配置优化。
55.该方法具体包括以下步骤：
56.步骤s100：基于预先配置的资产行为分析功能对经过防火墙的流量进行收集；
57.如图2所示，为流量收集流程图，该步骤具体可以包括：
58.步骤s101：预先配置资产学习周期、异常细粒度和警戒值浮动比；
59.步骤s102：收集经过或访问防火墙的流量的资产信息，以生成资产行为数据表，所述资产信息包括流量的ip、交互协议、访问时间、访问频率和流量大小。
60.如图3所示，为实现风险预警及配置优化的流程图。首先在防火墙上开启资产行为
分析功能，预先配置资产学习周期、异常细粒度、警戒值浮动比，其中，资产学习周期是指自学习行为的周期长度，如一周、一个月等；异常细粒度是指以多长时间为标准判断行为异常，如按天、按月等；警戒值浮动比是指设置一个警戒范围，以增大容错性。
61.流量收集，即防火墙被动的收集经过防火墙的流量或访问防火墙的流量，对流量的ip、端口、交互协议、访问时间、访问频率和流量大小等资产信息进行收集，在获得网站访问量基本数据(资产信息)的情况下，通过防火墙对收集到的资产信息进行分析，记录其ip地址、端口、操作系统、所属服务及应用、访问时间及流量大小，并对该记录信息进行入库，形成资产行为数据表。
62.步骤s200：对收集到的所述流量进行统计分析和自学习，以生成警戒值；
63.如图4所示，为警戒值生成流程图，该步骤具体包括：
64.步骤s201：将流量进行归类并分析访问时间和访问频率，以生成访问习惯的学习模型；
65.步骤s202：分析新收集的流量并对所述学习模型进行更新，以生成警戒值。
66.具体地，资产行为自学习即对资产行为数据表进行分析，防火墙对记录到的流量进行对比分析，将相同ip、相同端口、相同协议的流量进行归类，并对其访问时间、访问频率进行分析，对每个资产分别以每个小时及每天两个异常细粒度通过均值方差进行计算，从中发现特定资产访问网络的规律，对该资产的访问习惯形成一个初步的学习模型，并根据之后收集的流量对初步学习结果进行更新，形成新的学习模型，并循环往复，通过一段时间的学习按照资产的网络访问行为规律生成一个警戒值，完成对资产行为的自学习。
67.其中，学习模型为针对资产行为生成对应的数据库，通过对资产行为的累计，计算出资产的访问时间、访问频率、访问时长、流量等习惯和规律。
68.对资产的行为习惯进行记录，以资产学习周期作为滑动时间基准，获得新的资产行为，更新旧的资产行为，再根据资产访问频率或者流量计算均值方差，动态生成警戒值。
69.在资产学习周期内，利用流量分析对通过防火墙访问内网的资产自动学习，并通过不断获得新的资产行为，改进资产学习方法，形成最优警戒值，对产生异常的资产给出资产风险预警以及其可能遭遇的威胁类型；同时考虑到了对资产行为的自学习以及在资产学习周期(采样周期)内的使用情况，即使在采样周期内，也可正常使用，即在初步形成自学习模型以后，将会根据学习结果自动下发或修改精准策略，避免了现有技术中的在未到达采样周期的时间内，处于收集数据阶段，功能不能生效的问题；可通过采样周期选项对采样周期进行灵活设置，可利用数据累加的方式逐步达到设置的采样周期，并在此过程中实现对警戒值的优化，使得防火墙可以及时监测到资产行为的异常情况。
70.步骤s300：利用所述警戒值对资产风险预警，以生成告警信息；
71.利用所述警戒值监控资产流量行为，当所述资产流量行为超过警戒值且达到浮动比时，生成告警信息，所述告警信息包括威胁攻击类型信息。
72.资产风险预警，即通过上述步骤中的资产行为自学习生成的异常警戒值，监控资产流量行为，当资产流量行为超过警戒值且达到浮动比时则认为该资产存在风险，产生风险预警，并初步分析资产可能遭受哪种威胁类型的攻击。
73.步骤s400：对产生告警的资产生成安全事件的访问控制策略。
74.在不断的更新自学习模型的过程中，利用生成的警戒值判断是否达到临界条件，
若是，则自动下发访问控制策略对该资产进行处理，若否，则对异常情况进行记录。
75.如图5所示，为访问控制策略的生成流程图，该步骤具体可以包括：
76.步骤s401：对所述资产下发包含所述威胁攻击类型信息的安全引擎的访问控制策略；
77.步骤s402：当所述资产流量行为符合预设基线时，删除所述访问控制策略。
78.用户画像(配置优化)，即对产生告警的资产自动生成对应安全事件的访问控制策略，当监控到资产行为符合预置基线后，则可以自动删除该访问控制策略，起到提前防御功能，降低被攻击的风险，并且整个访问控制策略的执行过程和删除过程，无需工作人员干预，减少了工作人员的工作量。
79.对资产面临的威胁做一个初步的分析，此时会在检测到资产存在威胁时自动下发包含该威胁攻击类型对应的安全引擎的访问控制策略，例如若认为资产存在waf威胁，那么便会下发一条ip为该资产的ip，安全引擎为waf防护的访问控制策略。
80.防火墙利用警戒值及时监测到资产行为的异常情况，并能够根据资产异常行为进行威胁类型的分析并自动配置相应的防御安全策略，实现提前防御，降低被攻击的风险。
81.示例地，假设资产192.168.96.75需要通过vpn访问某企业资源。那么具体的基于流量分析的资产风险预警和配置优化过程如下：
82.步骤s11：开启资产行为分析功能，配置资产学习周期为7天，异常细粒度为1小时。
83.步骤s12：防火墙会启动资产行为分析功能，开始对经过防火墙或到防火墙的资产ip、访问端口、协议、访问时间、访问频率、流量大小等资产信息进行记录。
84.步骤s13：防火墙通过对记录的资产行为数据进行分析，发现资产192.168.96.75一周内每天上午8:00
‑‑
9:00这个时间段内都会通过vpn访问一次该公司的crm系统，通过数据分析生成8:00
‑‑
9:00针对该资产行为的警戒值。
85.步骤s14：防火墙每天监控该资产8:00
‑‑
9:00时间段的流量并对其流量进行分析，并与生成的警戒值进行对比，发现有一天该时间段该资产的访问次数和流量都超过警戒值并达到浮动比，防火墙针对其行为进行资产风险预警并判断资产可能遭受的威胁类型。
86.步骤s15：防火墙根据预测的威胁类型，自动生成对应安全事件的访问控制策略，当监控到资产行为符合预置基线后，则可以自动删除访问控制策略。
87.该方法通过对接入防火墙的资产进行流量分析，形成最新网络访问学习模型，根据特定资产的访问习惯形成一个异常警戒值，通过实时监控及时发现异常，给出资产风险预警以及其可能遭遇的威胁类型，并针对该资产自动生成/删除对应访问控制策略。
88.实施例2
89.本技术实施例提供一种基于流量分析的资产优化装置，如图6所示，为基于流量分析的资产优化装置的结构框图。该装置具体可以包括但不限于：
90.收集模块100，用于基于预先配置的资产行为分析功能对经过防火墙的流量进行收集；
91.自学习模块200，用于对收集到的所述流量进行统计分析和自学习，以生成警戒值；
92.预警模块300，用于利用所述警戒值对资产风险预警，以生成告警信息；
93.策略生成模块400，用于对产生告警的资产生成安全事件的访问控制策略。
94.示例地，如图7所示，为本技术实施例提供的另一种基于流量分析的资产优化装置的结构框图，其中，收集模块100包括：
95.预置模块101，用于预先配置资产学习周期、异常细粒度和警戒值浮动比；
96.数据表生成模块102，用于收集经过或访问防火墙的流量的资产信息，以生成资产行为数据表，所述资产信息包括流量的ip、交互协议、访问时间、访问频率和流量大小。
97.自学习模块200包括：
98.模型生成模块201，用于将流量进行归类并分析访问时间和访问频率，以生成访问习惯的学习模型；
99.警戒值生成模块202，用于分析新收集的流量并对所述学习模型进行更新，以生成警戒值。
100.策略生成模块400包括：
101.下发模块401，用于对所述资产下发包含所述威胁攻击类型信息的安全引擎的访问控制策略；
102.删除模块402，用于当所述资产流量行为符合预设基线时，删除所述访问控制策略。
103.本技术实施例还提供一种电子设备，所述电子设备包括存储器以及处理器，所述存储器用于存储计算机程序，所述处理器运行所述计算机程序以使所述电子设备执行实施例1所述的基于流量分析的资产优化方法。
104.本技术实施例还提供一种可读存储介质，所述可读存储介质中存储有计算机程序指令，所述计算机程序指令被一处理器读取并运行时，执行实施例1所述的基于流量分析的资产优化方法。
105.在本技术所提供的几个实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本技术的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
106.另外，在本技术各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。
107.所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本技术各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-only memory)、随机存取存
储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
108.以上所述仅为本技术的实施例而已，并不用于限制本技术的保护范围，对于本领域的技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本技术的保护范围之内。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。
109.以上所述，仅为本技术的具体实施方式，但本技术的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本技术揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应所述以权利要求的保护范围为准。
110.需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。