配置网络安全策略的评估方法、装置、设备及存储介质与流程

1.本公开涉及互联网安全技术领域，具体涉及一种配置网络安全策略的评估方法、装置、设备及存储介质。


背景技术：

2.随着互联网的发展，网络攻击的门槛变得越来越低，攻击手段也越发多样化。并且随着tcp/ip协议的日益完善，网络攻击范围逐渐由简单的网络层向复杂多变的应用层转变。根据相关报告，目前75％以上的攻击来自应用层。目前的应用层安全防护设备具有应用识别能力，可以深入检测病毒、木马以及包含web攻击代码的网络数据包，但是在加入这些设备之后，是否能够有效地进行应用层安全防护不得而知。


技术实现要素：

3.为了解决相关技术中的问题，本公开实施例提供一种配置网络安全策略的评估方法、装置、设备及存储介质。
4.第一方面，本公开实施例中提供了一种配置网络安全策略的评估方法。
5.具体地，所述配置网络安全策略的评估方法，包括：
6.确定攻击脚本；其中，所述攻击脚本包括针对网络应用层的攻击脚本；
7.利用所述攻击脚本对当前安全策略配置更新前后的网络进行攻击，获取基于所述攻击的反馈数据；
8.根据所述反馈数据确定所述当前安全策略配置的有效性。
9.结合第一方面，本公开在第一方面的第一种实现方式中，所述确定攻击脚本，包括：
10.基于所述当前安全策略确定攻击脚本；或者
11.基于所述当前安全策略更新后的策略确定攻击脚本。
12.结合第一方面，本公开在第一方面的第二种实现方式中，所述利用所述攻击脚本对当前安全策略配置更新前后的网络进行攻击，获取基于所述攻击的反馈数据，包括：
13.根据预先配置的至少一种更新规则更新所述当前安全策略配置；
14.利用所述攻击脚本对当前安全策略配置更新前后的网络进行攻击；
15.获取基于所述攻击的反馈数据。
16.结合第一方面，本公开在第一方面的第三种实现方式中，根据所述反馈数据确定所述当前安全策略配置的有效性，包括：
17.根据所述反馈数据确定网络对攻击的拦截率变化值；
18.若所述拦截率变化值在阈值区间，则表明所述当前安全策略配置有效。
19.结合第一方面的第三种实现方式，本公开在第一方面的第四种实现方式中，所述根据所述反馈数据确定网络对攻击的拦截率变化，包括：
20.根据所述反馈数据确定所述当前安全策略配置更新前后的拦截率；
21.根据更新前后的所述拦截率计算拦截率变化值。
22.结合第一方面、第一方面的第一种实现方式、第一方面的第二种实现方式、第一方面的第三种实现方式、第一方面的第四种实现方式，本公开在第一方面的第五种实现方式中，所述方法还包括：
23.确定所述当前安全策略配置的更新规则。
24.第二方面，本公开实施例中提供了一种配置网络安全策略的评估装置。
25.具体地，所述配置网络安全策略的评估装置，包括：
26.第一确定模块，被配置为确定攻击脚本；其中，所述攻击脚本包括针对网络应用层的攻击脚本；
27.获取模块，被配置为利用所述攻击脚本对当前安全策略配置更新前后的网络进行攻击，获取基于所述攻击的反馈数据；
28.第二确定模块，被配置为根据所述反馈数据确定所述当前安全策略配置的有效性。
29.结合第二方面，本公开在第二方面的第一种实现方式中，所述第一确定模块包括：
30.第一确定单元，被配置为基于所述当前安全策略确定攻击脚本；或者
31.第二确定单元，被配置为基于所述当前安全策略更新后的策略确定攻击脚本。
32.结合第二方面，本公开在第二方面的第二种实现方式中，所述获取模块包括：
33.更新单元，被配置为根据预先配置的至少一种更新规则更新所述当前安全策略配置；
34.攻击单元，被配置为利用所述攻击脚本对当前安全策略配置更新前后的网络进行攻击；
35.获取单元，被配置为获取基于所述攻击的反馈数据。
36.结合第二方面，本公开在第二方面的第三种实现方式中，根据第二确定模块包括：
37.第三确定单元，被配置为根据所述反馈数据确定网络对攻击的拦截率变化值；以及若所述拦截率变化值在阈值区间，则表明所述当前安全策略配置有效。
38.结合第二方面的第三种实现方式，本公开在第二方面的第四种实现方式中，所述第三确定单元中根据所述反馈数据确定网络对攻击的拦截率变化的部分被配置为：
39.根据所述反馈数据确定所述当前安全策略配置更新前后的拦截率；
40.根据更新前后的所述拦截率计算拦截率变化值。
41.结合第二方面、第二方面的第一种实现方式、第二方面的第二种实现方式、第二方面的第三种实现方式、第二方面的第四种实现方式，本公开在第二方面的第五种实现方式中，所述装置还包括：
42.第三确定模块，被配置为确定所述当前安全策略配置的更新规则。
43.第三方面，本公开实施例提供了一种电子设备，包括存储器和处理器，其中，所述存储器用于存储一条或多条计算机指令，其中，所述一条或多条计算机指令被所述处理器执行以实现如第一方面任一项所述的方法。
44.第四方面，本公开实施例中提供了一种可读存储介质，其上存储有计算机指令，该计算机指令被处理器执行时实现如第一方面任一项所述的方法。
45.第五方面，本公开实施例中提供了一种计算机程序产品，包括计算机指令，该计算
机指令被处理器执行时实现如第一方面任一项所述的方法步骤。
46.根据本公开实施例提供的技术方案，确定攻击脚本；其中，所述攻击脚本包括针对网络应用层的攻击脚本；利用所述攻击脚本对当前安全策略配置更新前后的网络进行攻击，获取基于所述攻击的反馈数据；根据所述反馈数据确定所述当前安全策略配置的有效性。上述技术方案在确定针对网络应用层的攻击脚本后，利用该攻击脚本分别对配置当前安全策略的网络以及配置更新后的新策略的同一网络进行攻击获取反馈数据，进而从反馈数据中分析得到采用当前安全策略配置是否能够有效防护应用层网络安全，实现了对当前安全策略配置的有效评估，同时也为应用层安全策略的配置提供了参考，使得管理者能够根据当前安全策略配置更新前后的反馈数据，更好地确定网络的安全策略配置，以实现对应用层的安全防护。
47.应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。
附图说明
48.结合附图，通过以下非限制性实施方式的详细描述，本公开的其它特征、目的和优点将变得更加明显。在附图中：
49.图1示出根据本公开实施例的配置网络安全策略的评估方法的流程图；
50.图2示出根据本公开实施例的配置网络安全策略的评估方法的流程图；
51.图3示出根据本公开实施例的配置网络安全策略的评估装置的结构框图；
52.图4示出适于用来实现根据本公开实施例的分布式存储系统数据处理方法的计算机系统的结构示意图。
具体实施方式
53.下文中，将参考附图详细描述本公开的示例性实施例，以使本领域技术人员可容易地实现它们。此外，为了清楚起见，在附图中省略了与描述示例性实施例无关的部分。
54.在本公开中，应理解，诸如“包括”或“具有”等的术语旨在指示本说明书中所公开的特征、数字、步骤、行为、部件、部分或其组合的存在，并且不欲排除一个或多个其他特征、数字、步骤、行为、部件、部分或其组合存在或被添加的可能性。
55.另外还需要说明的是，在不冲突的情况下，本公开中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本公开。
56.在本公开中，对用户信息或用户数据的获取均为经用户授权、确认，或由用户主动选择的操作。
57.随着互联网的发展，网络攻击的门槛变得越来越低，攻击手段也越发多样化。并且随着tcp/ip协议的日益完善，网络攻击范围逐渐由简单的网络层向复杂多变的应用层转变。根据相关报告，目前75％以上的攻击来自应用层。目前的应用层安全防护设备具有应用识别能力，可以深入检测病毒、木马以及包含web攻击代码的网络数据包，但是在加入这些设备之后，是否能够有效地进行应用层安全防护不得而知。
58.考虑到上述问题，本公开实施例的配置网络安全策略的评估方法，确定攻击脚本；其中，所述攻击脚本包括针对网络应用层的攻击脚本；利用所述攻击脚本对当前安全策略
配置更新前后的网络进行攻击，获取基于所述攻击的反馈数据；根据所述反馈数据确定所述当前安全策略配置的有效性。上述技术方案在确定针对网络应用层的攻击脚本后，利用该攻击脚本分别对配置当前安全策略的网络以及配置更新后的新策略的同一网络进行攻击获取反馈数据，进而从反馈数据中分析得到采用当前安全策略配置是否能够有效防护应用层网络安全，实现了对当前安全策略配置的评估，同时也为应用层安全策略的配置提供了参考，使得管理者能够根据当前安全策略配置更新前后的反馈数据，更好地确定网络的安全策略配置，以实现对应用层的安全防护。
59.图1示出根据本公开实施例的配置网络安全策略的评估方法的流程图。如图1所示，所述配置网络安全策略的评估方法包括步骤s101-s103：
60.在步骤s101中，确定攻击脚本；其中，所述攻击脚本包括针对网络应用层的攻击脚本；
61.在步骤s102中，利用所述攻击脚本对当前安全策略配置更新前后的网络进行攻击，获取基于所述攻击的反馈数据；
62.在步骤s103中，根据所述反馈数据确定所述当前安全策略配置的有效性。
63.在本公开一实施方式中，攻击脚本是预先编制的针对网络应用层的攻击脚本，可以根据应用层存在的网络安全威胁来生成，例如协议缺陷、操作系统漏洞、应用软件或服务漏洞、web漏洞等，攻击脚本则不限于sql注入脚本、xss攻击脚本、ddos攻击脚本等。
64.在本公开一实施方式中，可以采取的网络安全防范有漏洞扫描、加密认证、攻击防护、入侵检测以及安全审计。采用网络安全防范来应对网络攻击，可以根据网络环境以及对网络安全的要求来选择以上任意一种或几种网络安全防范，本公开对此不做限制。
65.下面简要说明上述网络安全防范的内容。
66.漏洞扫描的作用在于发现网络漏洞，并根据结果及时修补存在的安全隐患，常见的漏洞扫描的设备有系统漏洞扫描、端口扫描等设备，通常直接部署在企业内网环境中。
67.加密认证的作用在于对用户的身份进行认证，只允许合法的用户访问和使用网络资源，常见的安全认证协议和技术有pki结束、ssh协议等。
68.攻击防护设备的作用在于深度分析应用层数据，识别包含攻击代码、病毒、蠕虫的网络数据时，可以阻断并报警，常见的应用层安全防护设备有应用层防火墙、ips(intrusion prevention system，即入侵防御系统)、waf(web application firewall，即web应用防火墙)，通常部署在被保护网络和外界网络的交界处。
69.入侵检测的作用在于对网络数据流进行实时监控，在不影响网络延迟的情况下，深入检测应用层的攻击行为，并实时发出告警信息，常见的应用层入侵检测设备有ids(intrusion detection systems，即入侵检测系统)，通常采用旁路部署的方式，避免影响网络速度。
70.安全审计的作用在于通过分析网络中的系统日志，根据分析结果进行风险评估，常见的安全审计工具有web日志分析工具、数据库日志审计工具等，通常直接部署在企业内网环境中。
71.本公开方式中的当前安全策略配置指的是配置在上述一种或几种网络安全防范相应设备中的规则，例如可以是漏洞修补规则、身份认证规则或者包过滤规则等等，具体根据选取的设备来确定，本公开对此不予赘述。
72.本公开实施例提供的配置网络安全策略的评估方法，在确定针对网络应用层的攻击脚本后，利用该攻击脚本分别对配置当前安全策略的网络以及配置更新后的新策略的同一网络进行攻击获取反馈数据，进而从反馈数据中分析得到采用当前安全策略配置是否能够有效防护应用层网络安全，实现了对当前安全策略配置的有效评估，同时也为应用层安全策略的配置提供了参考，使得管理者能够根据当前安全策略配置更新前后的反馈数据，更好地确定网络的安全策略配置，以实现对应用层的安全防护。
73.在本公开一实施方式中，步骤s101中确定攻击脚本，包括：
74.基于所述当前安全策略确定攻击脚本；或者
75.基于所述当前安全策略更新后的策略确定攻击脚本。
76.在本公开方式中，考虑到不同网络采取的网络安全防范不同，为了更加有针对性地评估当前安全策略的有效性，可以根据网络中网络安全设备配置的当前安全策略来确定攻击脚本，确定在该攻击脚本的攻击下网络是否出现异常。当然也可以当前安全策略更新后的策略确定攻击脚本，由于采用了更新后的策略，通常情况下网络漏洞的数量会减少，此时攻击脚本攻击的网络漏洞更加集中，以便更好地评估得到当前安全策略是否有效。一些情况下，也可以根据网络中被攻击的的应用程序来确定攻击脚本，例如若应用程序具有查询功能，考虑存在sql注入漏洞，因此生成的攻击脚本可以为sql注入脚本。
77.在本公开方式中，为了便于生成攻击脚本，还可以收集已受到攻击的网络对应的攻击特征，以分析得到生成针对该网络的攻击脚本的规则和逻辑。或者也可以分析该收集的攻击特征，得到攻击脚本中包括的攻击向量，并综合所有攻击向量得到特征库。此种情况下，在生成对网络进行攻击的攻击脚本之前，还应包括构建该特征库的操作。
78.在本公开一实施方式中，步骤s102中利用所述攻击脚本对当前安全策略配置更新前后的网络进行攻击，获取基于所述攻击的反馈数据，包括：
79.根据预先配置的至少一种更新规则更新所述当前安全策略配置；
80.利用所述攻击脚本对当前安全策略配置更新前后的网络进行攻击；
81.获取基于所述攻击的反馈数据。
82.在本公开方式中，预先配置的更新规则可以根据定期更新的系统漏洞、分析攻击流量得到的应用程序或服务漏洞等来确定，并以此更新当前安全策略配置，其中更新周期可以设置为周、月等，本公开对此不做限制。通过更新当前安全策略配置，并比较当前安全策略配置更新前后的网络在攻击脚本的攻击下的反馈数据，根据比较结果确定当前安全策略配置是否可以有效地防护网络安全，实现对当前安全策略配置的评估。
83.在本公开一实施方式中，步骤s103中根据所述反馈数据确定所述当前安全策略配置的有效性，包括：
84.根据所述反馈数据确定网络对攻击的拦截率变化值；
85.若所述拦截率变化值在阈值区间，则表明所述当前安全策略配置有效。
86.在本公开方式中，所述根据所述反馈数据确定网络对攻击的拦截率变化，包括：
87.根据所述反馈数据确定所述当前安全策略配置更新前后的拦截率；
88.根据更新前后的所述拦截率计算拦截率变化值。
89.在本公开方式中，所述拦截率为网络安全的次数与检测次数的比。其中一种确定网络安全的方式可以根据网络反馈网络请求的响应速度、响应时长确定。若响应速度、响应
时长均在平均响应时长的合理范围内波动，则认为在一次攻击下网络安全防范对该攻击实现了有效的防护，确定为一次网络安全。通过分别确定当前安全策略配置更新前后的拦截率，并将更新前后的拦截率相减得到拦截率变化值，若拦截率变化值在阈值区间内，则表明所述当前安全策略配置有效，否则表明当前安全策略配置失效。阈值区间可以根据经验设置，或者经过多次测试来确定合理的区间范围，本公开对此不予赘述。
90.图2示出根据本公开实施例的配置网络安全策略的评估方法的流程图。如图2所示，所述配置网络安全策略的评估方法包括步骤s201-s204：
91.在步骤s201中，确定攻击脚本；其中，所述攻击脚本包括针对网络应用层的攻击脚本；
92.在步骤s202中，利用所述攻击脚本对当前安全策略配置更新前后的网络进行攻击，获取基于所述攻击的反馈数据；
93.在步骤s203中，根据所述反馈数据确定所述当前安全策略配置的有效性；
94.在步骤s204中，确定所述当前安全策略配置的更新规则。
95.本公开实施例的步骤s201-s203的具体技术内容可以参见图1，在此不予赘述，与图1所示实施例不同的是，本公开实施例还包括步骤s204，即在根据所述反馈数据确定所述当前安全策略配置的有效性后，若当前安全策略配置失效，则需要确定所述当前安全策略配置的更新规则，以实现对应用层的安全防护。
96.具体地，可以步骤s102中更新当前安全策略配置的规则更新当前安全策略配置，将更新后的当前安全策略配置作为新的当前安全策略，并重复执行步骤s101-s103，通过迭代直到确定新的当前安全策略配置有效，依据原先的当前安全策略配置以及新的当前安全策略确定当前安全策略配置的更新规则。
97.图3示出根据本公开实施例的配置网络安全策略的评估装置的结构框图。其中，该装置可以通过软件、硬件或者两者的结合实现成为电子设备的部分或者全部。
98.如图3所示，所述配置网络安全策略的评估装置300包括：第一确定模块310、获取模块320和第二确定模块330。
99.所述第一确定模块310被配置为确定攻击脚本；其中，所述攻击脚本包括针对网络应用层的攻击脚本；
100.所述获取模块320被配置为利用所述攻击脚本对当前安全策略配置更新前后的网络进行攻击，获取基于所述攻击的反馈数据；
101.所述第二确定模块330被配置为根据所述反馈数据确定所述当前安全策略配置的有效性。
102.本公开实施例提供的配置网络安全策略的评估装置，在确定针对网络应用层的攻击脚本后，利用该攻击脚本分别对配置当前安全策略的网络以及配置更新后的新策略的同一网络进行攻击获取反馈数据，进而从反馈数据中分析得到采用当前安全策略配置是否能够有效防护应用层网络安全，实现了对当前安全策略配置的有效评估，同时也为应用层安全策略的配置提供了参考，使得管理者能够根据当前安全策略配置更新前后的反馈数据，更好地确定网络的安全策略配置，以实现对应用层的安全防护。
103.在本公开一实施方式中，所述第一确定模块310包括：
104.第一确定单元，被配置为基于所述当前安全策略确定攻击脚本；或者
105.第二确定单元，被配置为基于所述当前安全策略更新后的策略确定攻击脚本。
106.在本公开一实施方式中，所述获取模块320包括：
107.更新单元，被配置为根据预先配置的至少一种更新规则更新所述当前安全策略配置；
108.攻击单元，被配置为利用所述攻击脚本对当前安全策略配置更新前后的网络进行攻击；
109.获取单元，被配置为获取基于所述攻击的反馈数据。
110.在本公开一实施方式中，根据第二确定模块330包括：
111.第三确定单元，被配置为根据所述反馈数据确定网络对攻击的拦截率变化值；以及若所述拦截率变化值在阈值区间，则表明所述当前安全策略配置有效。
112.在本公开一实施方式中，所述第三确定单元中根据所述反馈数据确定网络对攻击的拦截率变化的部分被配置为：
113.根据所述反馈数据确定所述当前安全策略配置更新前后的拦截率；
114.根据更新前后的所述拦截率计算拦截率变化值。
115.在本公开一实施方式中，所述装置还包括：
116.第三确定模块，被配置为确定所述当前安全策略配置的更新规则。
117.图4示出适于用来实现根据本公开实施例的分布式存储系统数据处理方法的计算机系统的结构示意图。
118.如图4所示，计算机系统400包括处理单元401，其可以根据存储在只读存储器(rom)402中的程序或者从存储部分408加载到随机访问存储器(ram)403中的程序而执行上述实施例中的各种处理。在ram403中，还存储有系统400操作所需的各种程序和数据。cpu401、rom402以及ram403通过总线404彼此相连。输入/输出(i/o)接口405也连接至总线404。
119.以下部件连接至i/o接口405：包括键盘、鼠标等的输入部分406；包括诸如阴极射线管(crt)、液晶显示器(lcd)等以及扬声器等的输出部分407；包括硬盘等的存储部分408；以及包括诸如lan卡、调制解调器等的网络接口卡的通信部分409。通信部分409经由诸如因特网的网络执行通信处理。驱动器410也根据需要连接至i/o接口405。可拆卸介质411，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器410上，以便于从其上读出的计算机程序根据需要被安装入存储部分408。其中，所述处理单元401可实现为cpu、gpu、tpu、fpga、npu等处理单元。
120.特别地，根据本公开的实施例，上文描述的方法可以被实现为计算机软件程序。例如，本公开的实施例包括一种计算机程序产品，其包括计算机指令，该计算机指令被处理器执行时实现上文所述的方法步骤。在这样的实施例中，该计算机程序产品可以通过通信部分409从网络上被下载和安装，和/或从可拆卸介质411被安装。
121.附图中的流程图和框图，图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上
可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
122.描述于本公开实施例中所涉及到的单元或模块可以通过软件的方式实现，也可以通过可编程硬件的方式来实现。所描述的单元或模块也可以设置在处理器中，这些单元或模块的名称在某种情况下并不构成对该单元或模块本身的限定。
123.作为另一方面，本公开还提供了一种计算机可读存储介质，该计算机可读存储介质可以是上述实施例中电子设备或计算机系统中所包含的计算机可读存储介质；也可以是单独存在，未装配入设备中的计算机可读存储介质。计算机可读存储介质存储有一个或者一个以上程序，所述程序被一个或者一个以上的处理器用来执行描述于本公开的方法。
124.以上描述仅为本公开的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解，本公开中所涉及的发明范围，并不限于上述技术特征的特定组合而成的技术方案，同时也应涵盖在不脱离所述发明构思的情况下，由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本公开中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。