(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210962443.3 (22)申请日 2022.08.11 (71)申请人 云南电网有限责任公司 地址 650200 云南省昆明市拓东路73号 (72)发明人 蒋亚坤　陶文伟　王彬筌　曹扬　 苏扬　韩校　李晓耕　刘问宇　 赵明　刘宇明　林旭　蒋渊　何馨　 李伟琦　陈文　 (74)专利代理 机构 南京禹为知识产权代理事务 所(特殊普通 合伙) 32272 专利代理师 褚晓英 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/06(2022.01) H04L 67/1095(2022.01) (54)发明名称 一种基于横向微隔离的主动防御方法及插 件 (57)摘要 本发明公开了一种基于横向微隔离的主动 防御方法及插件， 其特征在于， 包括： 通过监听模 块采集主机信息并周期性地将信息上传至控制 中心平台， 基于信息进行分组管理； 基于分组管 理进行机器横向学习， 捕获异常进程； 基于异常 进程的特征和机器自学习设计异常进程分析决 策算法， 并结合基于流量基线设计的异常流量分 析决策算法， 获取分析结果； 基于分析结果和访 问行为制定相应的微隔离策略， 通知守护模块执 行微隔离 策略并进行策略同步。 本发 明通过分析 决策算法以及机器自学习算法， 实现对主机风险 的快速判断； 通过微隔离功能实现对主机隔离策 略的灵活管控和快速隔离 响应； 本装置具备更灵 活的策略配置， 更智能的威胁检测分析， 更快速 的隔离响应 。 权利要求书2页 说明书6页 附图6页 CN 115514519 A 2022.12.23 CN 115514519 A 1.一种基于横向微隔离的主动防御方法， 其特 征在于， 包括： 通过监听模块采集主机信 息并周期性地将信 息上传至控制中心平台， 基于所述信 息进 行分组管理； 基于所述分组管理进行机器横向学习， 捕获异常进程； 基于所述异常进程的特征和机器自学习设计异常进程分析 决策算法， 并结合基于流量 基线设计的异常流 量分析决策算法， 获取分析 结果； 基于所述分析结果和访问行为制定相应的微隔离策略， 通知守护模块执行所述微隔离 策略并进行 策略同步。 2.如权利要求1所述的基于横向微隔离的主动防御方法， 其特征在于： 所述采集主机信 息， 包括： 获取主机的Mac、 用户、 CPU、 内存、 硬盘、 网卡、 操作系统、 网络配置、 安装软件、 账户状 态、 创建时间、 该 账户最新登陆时间、 登陆IP信息， 写入信息文件。 3.如权利要求2所述的基于横向微隔离的主动防御方法， 其特征在于： 所述分组管理， 包括： 控制中心平台可基于所述主机信息进行自定义主机名称或标签并依据配置的分组策 略自动对主机进行归类分组， 将主机信息与主机的名称或标签深度绑定； 控制中心平台还 可以对主机进行删除和撤销的操作。 4.如权利要求3所述的基于横向微隔离的主动防御方法， 其特征在于： 所述机器横向学 习， 包括： 基于所述分组管理所实现的主机信息绑定， 可对全网主机或同一工作站、 同一生产线 的主机进 行横向比较， 通过分析主机间的差异 化， 第一时间发现异常入侵点， 进而捕获异常 进程。 5.如权利要求4所述的基于横向微隔离的主动防御方法， 其特征在于： 所述异常进程分 析决策算法， 包括： 提取所述异常进程的技术特征， 在已有的特征数据库中进行特征匹配， 若所述特征已 存在于特征数据库， 则依据特征 的匹配关系判定所述进程是否为恶意进程； 若所述特征不 存在于特征数据库， 则基于异常流量分析决策算法判定所述进程是否为恶意进程， 进而获 取进程判定结果。 6.如权利要求5所述的基于横向微隔离的主动防御方法， 其特征在于： 所述异常流量分 析决策算法， 包括： 预测和检测两个阶段， 预测阶段需要克服流量波动的影响， 对流量进行精准预测， 检测 阶段需要计算真实值与预测 值之间的差异， 当差异显著大于通常情况时， 则判定当前实际 流量出现了异常， 进 而判定为恶意进程。 7.如权利要求5或6所述的基于横向微隔离的主动防御方法， 其特征在于： 所述机器自 学习， 包括： 若所述技术特征不存在于特征数据库中时， 通过机器自学习算法将特征添加至特征数 据库中并建立特 征索引。 8.如权利要求7所述的基于横向微隔离的主动防御方法， 其特征在于： 所述制定微隔离 策略， 包括：权　利　要　求　书 1/2 页 2 CN 115514519 A 2基于主机网络运行的特征， 控制中心支持基于主机或者业务角度的双向网络访问控 制， 基于协议、 IP/资产名称、 端口等制定入站、 出站策略； 出入站策略包括允许、 阻止和仅记录三种模式， 在允许和阻止策略的同时也会记录相 关日志信息 。 9.如权利要求8所述的基于横向微隔离的主动防御方法， 其特征在于： 所述执行微隔离 策略， 包括： 监听主机操作信息， 经过解析后匹配策略组， 若匹配阻断策略则识别该主机的操作系 统信息， 根据不同的操作系统下发处置流程； 其中， Windows系统的微隔离功能由filter模 组驱动实现， 隔离策略高于windows本地防火墙， Linux系统的微隔离功能使用系统自带的 iptables实现， 其它 系统的微隔离功能根据系统提供的组件实现。 10.一种基于横向微隔离的主动防御插 件， 其特征在于， 包括： 设置于插件上的监听模块与守护模块； 所述监听模块能够采集主机信息并周期性 地上传至控制中心 平台； 所述守护模块能够执 行微隔离策略并进行 策略同步。权　利　要　求　书 2/2 页 3 CN 115514519 A 3