CN109150853A - 基于角色访问控制的入侵检测系统及方法 - Google Patents
基于角色访问控制的入侵检测系统及方法 Download PDFInfo
- Publication number
- CN109150853A CN109150853A CN201810859974.3A CN201810859974A CN109150853A CN 109150853 A CN109150853 A CN 109150853A CN 201810859974 A CN201810859974 A CN 201810859974A CN 109150853 A CN109150853 A CN 109150853A
- Authority
- CN
- China
- Prior art keywords
- user
- role
- module
- detection
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种基于角色访问控制的入侵检测系统及方法,包括网络环境检测模块,用于对用户的访问进行入侵安全检测,和/或对用户的申请信息进行过滤和净化;角色管理模块,用于判定用户的操作是否超过分配至用户的角色所赋予的权限;系统资源分配模块,用于根据用户的角色,向用户分配系统资源;以及监视模块,用于根据网络环境检测模块、角色管理模块和/或系统资源分配模块中的异常活动,判定系统内的工作是否正常。本发明基于角色访问控制的入侵检测系统是对入侵检测系统功能的进一步完善,减少发生错误的概率,保证系统的安全性。
Description
【技术领域】
本发明涉及网络安全领域,特别是一种基于角色访问控制的入侵检测系统及其工作方法。
【背景技术】
计算机结构趋于简便,易于携带,技术革新推动网络的快速发展,网络安全逐渐成为新兴学科,网络安全已深入生活各个层面,是集计算机科学,网络技术,通信技术,信息安全技术为一体,向网络大规模化,复杂程度高的发展转变,通过对网络的监测,查处,应用,降低网络入侵发生的机率,减少财产信息泄露的危险。目前,网络入侵的主要方式包括黑客入侵,系统后门入侵,使用计算机病毒入侵,拒绝服务攻击,内部泄密,逻辑炸弹,信息丢失及口令破解等多种方式,传统的网络防护是以防火墙技术为主体,其余网络技术加以运用,已不能满足日常生活的需求。
【发明内容】
本发明要解决的技术问题是提供一种安全可靠的基于角色访问控制的入侵检测系统及其工作方法。
为实现上述目的,本发明采用的一种技术方案是:一种基于角色访问控制的入侵检测系统,包括:网络环境检测模块,用于对用户的访问进行入侵安全检测,和/或对用户的申请信息进行过滤和净化;角色管理模块,用于判定用户的操作是否超过分配至用户的角色所赋予的权限;系统资源分配模块,用于根据用户的角色,向所用户分配系统资源;以及监视模块,用于根据网络环境检测模块、角色管理模块和/或系统资源分配模块中的异常活动,判定系统内的工作是否正常。
进一步地,入侵检测系统还包括自我修复模块,用于在入侵检测系统受到攻击的情况下,对所述入侵检测系统进行修复。
进一步地,角色管理模块还包括激活单元,用于对用户角色赋值,激活用户角色权限。
进一步地,角色管理模块还包括控制单元,根据对用户角色赋值,控制用户访问系统资源的权限。
进一步地,系统资源分配模块包括分配单元,用于根据角色获取不同的访问权限,对用户的角色进行分配。
为实现上述目的,本发明采用的另一种技术方案是:一种基于角色访问控制的入侵检测方法,包括:对用户的访问进行入侵安全检测,和/或对用户的申请信息进行过滤和净化;判定所述用户的操作是否超过分配至所述用户的角色所赋予的权限;根据所述用户的角色,向所述用户分配系统资源;监控上述操作中的异常活动,判定系统内的工作是否正常。
进一步地,入侵检测方法还包括以下步骤:在系统受到攻击的情况下,对系统进行修复。
进一步地,入侵检测方法还包括以下步骤:对用户角色赋值,激活用户角色权限。
进一步地,入侵检测方法还包括如下步骤:根据对用户角色赋值,控制用户访问系统资源的权限。
进一步地,向所述用户分配系统资源,还包括:根据角色获取不同的访问权限,对用户的角色进行分配
与现有技术相比,本发明的有益效果在于:基于角色访问控制的入侵检测系统是对入侵检测系统功能的进一步完善,减少发生错误的概率,保证系统的安全性。同时,基于角色管理模块对所访问的用户赋予不同的角色,控制用户访问系统资源的权限,保证系统内部资源的保密性。进一步的。基于角色访问控制的入侵检测系统,可对病毒攻击的程序代码进行有效恢复,保证系统的完整性。
从而,通过引入角色访问控制,达到了减少系统授权管理复杂性的目的,实现了基于角色管理模块对所访问的用户赋予不同的角色,控制用户访问系统资源的权限,保证系统内部资源的保密性的技术效果,解决了系统内部资源信息在遭受陌生不明用户的入侵时出现的内部系统资源丢失和检测系统失效的技术问题。
【附图说明】
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1是根据本公开实施例1所述的入侵检测系统的结构示意图;
图2是根据本公开实施例1所述的现有典型网络入侵的流程图;以及
图3是根据本公开实施例1所述的基于角色访问控制的入侵检索系统的工作流程示意图。
【具体实施方式】
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
实施例1
图1示出了根据本公开实施例1所述的入侵检测系统的结构示意图。
参考图1,本公开实施例1介绍了一种基于角色访问控制的入侵检测系统,包括:网络环境检测模块101,用于对用户的访问进行入侵安全检测,和/或对用户的申请信息进行过滤和净化;角色管理模块102,用于判定所述用户的操作是否超过分配至所述用户的角色所赋予的权限;系统资源分配模块103,用于根据用户的角色,向用户分配系统资源;以及监视模块104,用于根据网络环境检测模块101、角色管理模块102和/或系统资源分配模块103中的异常活动,判定系统内的工作是否正常。
需要说明的是,角色管理模块102用于接收监视模块104和/或自我修复模块105反馈的相关信息,并向监视模块104和自我修复模块105发送控制信息。
需要说明的是,监视模块104用于根据网络环境检测模块101、角色管理模块102和/或系统资源分配模块103中的异常活动,判定系统内的工作是否正常,具体表现如下:
(1)监视模块104由一个或者多个入侵检测服务器组成,对于所在网络中的各个服务器和主机进行监视活动,若发现异常活动,及时在网络中通知各个服务器,查询的一般方式是对各个服务器的日志,内存,流量进行监控和查看,便于及时发现网络中的可疑点,在处理信息方面,可和其他监视模块104进行时时信息交换,即可以对自身原始数据审计,同时又可对本地检测系统报警结果统计。
(2)监视模块104可对检测网络环境模块101、角色管理模块102和系统资源分配模块103发送简单报文,用于检测系统内的工作是否正常,提高安全性;同时对系统中有关的安全活动进行时时记录、跟踪和审核,其主要目的是检测和阻击非法用户篡夺角色或者滥用权限,导致危害系统资源信息的行为。
需要说明的是,系统资源分配模块103用于根据用户的角色,向用户分配系统资源。具体的说,用户经合法检测认证后,可根据角色获取不同的访问权限,系统资源分配模块103对用户的角色进行分配,可允许多个角色同时访问,系统资源分配模块103可由多个系统服务器构成,满足大量用户进入的需求,方便统一管理,但当其中某台服务器出现异常,根据路由协议,其中最近的一台服务器负责识别和查询,并在路由列表中删除出现异常的服务器路由列表,立即在信道上广播处理。当自我修复模块105收到信息,开始对异常服务器进行修复行为满足用户的访问需求。
需要说明的是,网络环境检测模块101,用于对用户的访问进行入侵安全检测,和/或对用户的申请信息进行过滤和净化。具体的说,当用户通过防火墙进入内网时,必需使用网络环境检测模块101,保障正常的网络登陆环境,并可提前对用户进行入侵安全检测,充分确保可信赖的角色分配给用户实体,减少信息泄露的风险。网络环境检测模块101可对申请的信息进行过滤和净化,保持内部网络的通畅,针对不同的可疑用户请求的行为,采取不同的应对策略。当某一时间节点突然出现大量用户访问时,并立即把反馈信息递交给监视系统,做好防护工作。
需要说明的是,角色管理模块102用于判定用户的操作是否超过分配至用户的角色所赋予的权限。本实施例中,角色管理模块102由两台服务器构成,其中一个为主服务器,当其中主服务器进行工作时,另一台辅助服务器负责对主服务器的行为进行监视,防止主服务器为傀儡主机,一旦发现数据库异常,用户访问权超过所角色赋予的权利之外,即判定主服务器发生异常,辅助服务器自动取代主服务器独立工作,同时在信道上发布广播数据包,告知所有连接点,对主服务器的申请信息进行屏蔽。
从而,通过引入角色访问控制,达到了减少系统授权管理复杂性的目的,实现了基于角色管理模块对所访问的用户赋予不同的角色,控制用户访问系统资源的权限,保证系统内部资源的保密性的技术效果,解决了系统内部资源信息在遭受陌生不明用户的入侵时出现的内部系统资源丢失和检测系统失效的技术问题。
进一步地,入侵检测系统还包括自我修复模块105,用于在所述入侵检测系统受到攻击的情况下,对所述入侵检测系统进行修复。
需要说明的是,自我修复模块105,用于在入侵检测系统受到攻击的情况下,对入侵检测系统进行修复。在本实施例中,自我修复模块105用于检测环境器、角色管理模块102和系统资源分配模块103等其中任何一方受到的不同程度的攻击,并对以上服务器进行修复。即:由监视模块104发送反馈信息,其中反馈信息包含网络位置、产品信息等数据,自我修复模块105负责对其进行修复工作。
从而,通过自我修复模块105对入侵检测系统进行修复,以保证入侵检测系统及时修复其所受到的攻击。
进一步地,角色管理模块102还包括激活单元1021,用于对用户角色赋值,激活用户角色权限。
需要说明的是,用户申请访问时,需要使用激活单元1021对用户所赋予的角色进行激活,使用户能够完成正常的访问活动。角色之间可进行相互限制,用户所访问的权限范围,在对角色激活的结果中,不能超过角色的最大使用个数,以免造成系统管理的混乱,对系统安全性构成威胁。
从而,针对有效的用户访问,角色管理模块102对用户角色赋值,并通过激活单元1021激活用户角色权限,进而便于对系统资源的访问.
进一步地,角色管理模块102还包括控制单元1022,根据对用户角色赋值,控制用户访问系统资源的权限。
从而,针对有效的用户访问,通过控制单元1022对用户角色赋值,进而便于对系统资源进行访问。
此外,需要说明的是,基于角色的访问控制使角色、访问权、用户和系统资源四者关系紧密联合,用户若访问系统资源,得到内部存储信息记录必须由系统赋予用户一个角色,以便于认证处理,角色不同,则访问权限不同。此外,一个用户可以被分配多个角色,并且多个角色同时可以被分配一个角色,角色的复杂性越高,所访问系统资源越多,从而便于减少系统授权管理的复杂性。
本公开实施例1通过以下形式对角色进行定义:
定义1——用户(user)
用户是访问系统资源的直接访问者通过对用户分配不同的角色,用户访问系统的权限不同,可为用户定义为一个五元组<user,role,ID,time,where>,user为用户所访问时的用户名,便于统一管理存在于访问控制矩阵,便于下一次用户方便的进入,减少系统资源的开销,实现用户基本信息的对比,记录,为系统用户身份检测做准备。若同一个用户都以相同的角色访问系统资源,假使其中一次与多次与累积用户角色信息不符,可启动快速反应机制,对异样数据处理。ID为每一个用户都有的必须身份证明,系统授权每个用户的ID各不相同,保障系统认证安全,防止陌生用户盗取ID,欺骗系统实现获取系统资源的目的。time是为方便记忆用户每次登录访问系统的时间,便于查询用户正常的工作机制。where为标注用户所访问的地点,可以自动获取用户访问的网络端口号及ip地址。
定义2——角色(role)
机构中控制计算机系统的命名工作职责,为每一个访问系统的用户定一个角色,角色可定义为三元组<role,accessright,duty>表示所定义角色的访问权限及访问系统的资源的程度,但涉及核心系统资源的问题,系统可拒绝服务,减少信息泄露的风险.duty为角色访问的职责,有利于对系统的维护管理。
定义3——会话(session)
会话为用户与为其分配的角色集的激活子集之间的映射,定义会话为三元组<user,session,relation>,relation为用户与角色之间的对应关系。
定义4——约束(restrict)
约束提供另一种RBAC适应机构中的管理与安全策略的手段,便于对角色进行有效的管理。可定义约束为四元组<restruction,ruser,role,max>restrict为访问用户所分配的角色,通过互斥角色,指定前提条件,可使系统管理用户的能力提高,对角色的层次划分,上层角色可使用下层角色的权利,下层角色所访问的区域,上层角色都可以进行有效访问,max为定义最多的角色个数,最大范围内所行使的角色能力,为最大上限个数,所分配的角色不能越权进行系统资源的访问,各种访问角色之间有相同抑制的结果。
为便于对上述思想描述的更为具体清晰,故转化为集合表示,利用集合形式进行有效展示:
规则1:把角色role授予用户user,即是把角色添加用户user指定目录index中:
表示为:User.index=User.index+{role}
规则2:删除用户(user)的角色(role),即是把角色从用户(user)的指定目录index删去:
表示为:User.index=User.index-{role}
规则3:把权限Power许可给角色Role,即把权限Power放到role的index中:
表示为:Role.index=Role.index+{Power}
规则4:把权限收回,即不再许可角色给Role,即把权限从角色role的index中撤出power:
Role.index-{Power}
规则5:用户申请访问时,对用户所赋予的角色进行激活,使用户能够完成正常的访问活动。
若Role是User的子集,则表示为User.index=User.index+{role},否则User.index=User.index
角色之间可进行相互限制,用户所访问的权限范围,在对角色激活的结果中,不能超过角色的最大使用个数,以免造成系统管理的混乱,对系统安全性构成威胁。
图2示出了根据本公开实施例1所述的现有典型网络入侵的流程图。
参见图2,以下详细介绍本公开实施例1所述的基于角色的访问控制的入侵检测系统及其工作方法。本发明基于角色的访问控制的入侵检测系统主要包括:网络环境检测模块101,在本实施例中体现为检测网络环境器(Check the network environment);角色管理模块102,在本实施例中体现为角色管理器(role-assign);系统资源分配模块103,在本实施例中体现为系统资源分配器(System resource distributor);监视模块104,在本实施例中体现为监视系统(Monitoring System)。可选的,入侵检测系统还包括:自我修复模块105,在本实施例中体现为自我修复系统(Self repair system)。通常情形下,入侵检测系统还包括角色管理模块102,在本实施例中体现为管理员操作端,简称“管理员”。上述各具体器件的功能及作用详细描述如下。
1.检测网络环境器(Check the network envirobment):
网络环境检测器,用于对用户的访问进行入侵安全检测,和/或对用户的申请信息进行过滤和净化。具体的说,当用户通过防火墙进入内网时,必需要使用检测网络环境器,保障正常的网络登陆环境,并可提前对用户进行入侵安全检测,充分确保可信赖的角色分配给用户实体,减少信息泄露的风险。检测网络环境器可对申请的信息进行过滤和净化,保持内部网络的通畅,针对不同的可疑用户请求的行为,采取不同的应对策略。当某一时间节点突然出现大量用户访问时,并立即把反馈信息递交给监视系统,做好防护工作。
2.角色管理器(role-assign)
角色管理器用于判定所述用户的操作是否超过分配至所述用户的角色所赋予的权限。本实施例中,角色管理器由二台服务器构成,其中一个为主服务器,当其中主服务器进行工作时,另一台辅助服务器负责对主服务器的行为进行监视,防止主服务器为傀儡主机,一旦发现数据库异常,用户访问权超过所角色赋予的权利之外,即判定主服务器发生异常,辅助服务器自动取代主服务器独立工作,同时在信道上发布广播数据包,告知所有连接点,对主服务器的申请信息进行屏蔽。
3.系统资源分配器(System resource distributor)
系统资源分配器用于根据所述用户的角色,向所述用户分配系统资源。具体的说,用户经合法检测认证后,可根据角色获取不同的访问权限,系统资源分配器对用户的角色进行分配,可允许多个角色同时访问,系统资源分配器可由多个系统服务器构成,满足大量用户进入的需求,方便统一管理,但当其中某台服务器出现异常,根据路由协议,其中最近的一台服务器负责识别,查询,并在路由列表中删除出现异常的服务器路由列表,立即在信道上广播处理。当自我修复系统收到信息,开始对异常服务器进行修复行为满足用户的访问需求。
4.监视系统(Monitoring System)
监视模块,用于根据所述网络环境检测模块、所述角色管理模块和/或所述系统资源分配模块中的异常活动,判定系统内的工作是否正常,具体表现如下:
(1)监视系统由一个或者多个入侵检测服务器组成,对于所在网络中的各个服务器,主机,一一进行监视活动,若发现异常活动,及时在网络中通知各个服务器,查询的一般方式是对各个服务器的日志,内存,流量进行监控和查看,便于及时发现网络中的可疑点,在处理信息方面,可和其他监视系统进行时时信息交换,即可以对自身原始数据审计,同时又可对本地检测系统报警结果统计。
(2)监视服务器可对检测网络环境器,角色管理器,系统资源分配器发送简单报文,用于检测系统内的工作是否正常,提高安全性。同时对系统中有关的安全活动进行时时记录,跟踪,审核,其主要目的是检测和阻击非法用户篡夺角色或者滥用权限,导致危害系统资源信息的行为。
5.自我修复系统(Self repair system)
自我修复系统,用于在所述入侵检测系统受到攻击的情况下,对所述入侵检测系统进行修复。在本实施例中,自我修复系统应用于检测环境器,角色管理器,系统资源分配器等任何一方受到不同程度的攻击,用于以上服务器的修复工作。由监视系统发送反馈信息,自我修复系统负责对其修复工作,反馈的信息中涉及网络位置,产品信息等。已达到对其准确修复的目的。
6.管理员
管理员模块用于接收监视模块和/或自我修复系统反馈的相关信息,并向所述监视模块和自我修复模块发送控制信息。
参照图2,可以得到目前典型的网络入侵流程通常包括以下步骤:
第一步,确定目标;
第二步,信息收集,信息收集的目的是确认目标的防卫状况;
第三步,泄露挖掘,泄露挖掘的目的是寻找目标的薄弱点;
第四步,攻击网络和/或攻击系统。
网络入侵的的攻击方向主要涉及网络本身和系统两部分。目前大部分情形下,网络入侵对网络和系统两部分都会进行攻击,使目标遭到最大程度的损害。特别的,在攻击系统的情形下,还会留下后门,其目的是方便以后可以轻易的再次攻击该目标。在结束攻击之前,入侵者还会清除相应的日志,使系统无法识别攻击者的特征。
入侵检测系统能协助系统管理员的工作,为管理员的系统信息管理提供更加便捷性的服务,入侵检测系统的基本模型包括通用入侵检测模型(Denning模型),层次化入侵检测模型,管理式入侵检测模型(SNMP-IDSM),入侵检测的原理是从信息源中收集信息,包括计算机运行状态,内存存储,并对所接收的信息进行处理分析,能实现更好的应用效果,并对入侵用户产生进程攻击,破坏其非法入侵。
基于传统网络布局的设计,入侵检测系统是网络安全保护的关键环节,系统内部资源信息在遭受陌生不明用户的入侵很大部分会造成内部系统资源的丢失。入侵检测系统的工作流程同时会造成影响破坏,无法起到对内部人员的监视,或者不能够实时监视模块104的正常工作及定时扫描侵入系统的错误代码,从而造成检测系统的瘫痪。
入侵检测系统的工作模式主要包括:
(1)管理器(Manager):用于对用户提供收集到的各种数据及相应的分析结果。用户通过对管理器进行不同的参数设置完成用户目的期望,实现产品的检测功能的完善,使结果数据更加突出,更好的协助用户对计算机内部资源信息的管理。
(2)感应器(Sensor):负责收集信息,所收集的信息来源于系统主机的日志记录,网络数据包,或者来自于其他入侵检测系统的数据信息,利用感应器对所收到的信息,进行综合性的处理,以便于快速的到检测结果。
(3)分析器(Analyzer):用于判断所收集到的信息是否发生入侵行为,若检测到发生入侵行为,及时对入侵行为进行处理,拒绝为其继续提供服务,并将信息及时反馈给管理员。
(4)常用算法:入侵检测系统应保持快速处理机制,使用改进的并行化K-Means算法CPK-Means和并行化FT-Growth算法LBPEP。
图3是根据本公开实施例1所述的基于角色访问控制的入侵检索系统的工作流程示意图。参考图3,通过以下操作详细说明本公开实施例1所述的基于角色访问控制的入侵检测系统的工作过程:
(1)用户通过网络进入,申请系统资源访问,防火墙对用户访问机制进行控制,防止黑客的攻击。检测网络环境器对用户所处网络环境进行安全检测,和/或对用户的申请信息进行过滤和净化,并把信息反馈给监视系统。
(2)针对有效的用户访问,角色管理器对用户角色赋值,激活用户角色权限,便于对系统资源的访问。
(3)用户角色的信息传递给系统资源分配器,并对用户角色身份再次识别,确保用户身份安全并未出现数据异常的情况,开始授权用户的正常访问行为。
(4)用户进入内网,一直处于监视系统的监视范围之内,监视系统对于内网的服务器,主机,全面处理内存占用比率。
(5)若监视系统监控到到有入侵的情形,自我修复系统对所述入侵进行自我修复。
(6)若监视系统监控到系统内的工作异常,可对用户进行隔离处理,或者拒绝为用户提供服务,把用户信息反馈给管理员。
(5)监视系统若在特定时间内未收到管理员允许用户继续访问的信息,则把结果反馈给用户,同时收回用户的角色授权。
从而,通过引入角色访问控制,达到了减少系统授权管理复杂性的目的,实现了基于角色管理模块对所访问的用户赋予不同的角色,控制用户访问系统资源的权限,保证系统内部资源的保密性的技术效果,解决了系统内部资源信息在遭受陌生不明用户的入侵时出现的内部系统资源丢失和检测系统失效的技术问题。
实施例2
本公开实施例2介绍了一种基于角色访问控制的入侵检测方法,包括:对用户的访问进行入侵安全检测,和/或对用户的申请信息进行过滤和净化;判定所述用户的操作是否超过分配至所述用户的角色所赋予的权限;根据所述用户的角色,向所述用户分配系统资源;监控上述操作中的异常活动,判定系统内的工作是否正常。
从而,通过实施本实施例2所述的基于角色访问控制的入侵检测方法,达到了保障系统安全的目的,实现了对用户的身份认证、对系统内部资源的监控和检测以及及时对遭受攻击的系统进行恢复的技术效果,解决了系统内部资源信息在遭受陌生不明用户的入侵时出现的内部系统资源丢失和检测系统失效的技术问题。
进一步地,基于角色访问控制的入侵检测方法还包括以下步骤:在系统受到攻击的情况下,对系统进行修复。
从而,通过对入侵检测系统进行修复,以保证入侵检测系统及时修复其所受到的攻击。
进一步地,基于角色访问控制的入侵检测方法还包括以下步骤:对用户角色赋值,激活用户角色权限。
从而,针对有效的用户访问,通过对用户角色赋值,激活用户角色权限,进而便于对系统资源进行访问。
进一步地,基于角色访问控制的入侵检测方法还包括如下步骤:根据对用户角色赋值,控制用户访问系统资源的权限。
从而,通过对用户访问系统资源权限的控制,进而便于系统对用户的认证处理。。
进一步地,向用户分配系统资源,还包括:根据角色获取不同的访问权限,对用户的角色进行分配。
从而,对用户的角色进行分配,可允许多个角色同时访问,系统资源分配器可由多个系统服务器构成,满足大量用户进入的需求,方便统一管理。
本公开实施例所述的基于角色访问控制的入侵检测的系统和方法,具有以下性能:
(1)保证系统的安全性。用户躲避过防火墙的阻拦,进入入侵检测系统,入侵检测系统开始对用户的身份认证,扫描,减少非法用户入侵的机率。基于角色访问控制的入侵检测系统便是对入侵检测系统功能的更加完善,保持检测的准确性,减少发生错误的概率。
(2)保证系统内部资源的保密性。基于角色管理器对所访问的用户赋予不同的角色,控制用户访问系统资源的权限,用户只有通过角色管理器获去角色的分配。用户在访问服务之前与客体无直接联系,当一旦检测用户状态异常,便收回角色,即用户立即无法对系统资源进行有效的访问,无法获取系统资源,监视系统对检测网络环境器,角色管理器,系统资源分配器全程实行网络监控,监视系统监视系统可对网络定期测试,保证系统的安全性。以便在最短的时间内,结合现代的入侵检测技术消除网络安全的隐患,在此过程中,可以使用适当的维护软件对部分内部重要的软件进行补丁更新,必要时管理员可对入侵检测系统的配置进行修改,以满足客户的需求,提高检测的效率。
(3)保证系统的完整性。当非法用户对系统内部资源访问时,有可能对内部配置修改,插入后门,便于逃避入侵检测系统的检测,实现下次进入的便捷性。但基于角色访问控制的入侵检测系统,可对病毒攻击的程序代码进行有效恢复。由监视系统反馈的信息快速查找出错的位置,完成对机密文件的快速反应机制。
基于上述信息,与现有技术相比,本发明的有益效果在于:基于角色访问控制的入侵检测系统是对入侵检测系统功能的进一步完善,减少发生错误的概率,保证系统的安全性。同时,基于角色管理模块对所访问的用户赋予不同的角色,控制用户访问系统资源的权限,保证系统内部资源的保密性。此外,本发明所述的基于角色访问控制的入侵检测系统,还可对病毒攻击的程序代码进行有效恢复,保证系统的完整性。
从而,通过引入角色访问控制,达到了减少系统授权管理复杂性的目的,实现了基于角色管理模块对所访问的用户赋予不同的角色,控制用户访问系统资源的权限,保证系统内部资源的保密性的技术效果,解决了系统内部资源信息在遭受陌生不明用户的入侵时出现的内部系统资源丢失和检测系统失效的技术问题。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种基于角色访问控制的入侵检测系统,其特征在于,包括:
网络环境检测模块(101),用于对用户的访问进行入侵安全检测,和/或对用户的申请信息进行过滤和净化;
角色管理模块(102),用于判定所述用户的操作是否超过分配至所述用户的角色所赋予的权限;
系统资源分配模块(103),用于根据所述用户的角色,向所述用户分配系统资源;以及
监视模块(104),用于根据所述网络环境检测模块(101)、所述角色管理模块(102)和/或所述系统资源分配模块(103)中的异常活动,判定系统内的工作是否正常。
2.根据权利要求1所述的一种基于角色访问控制的入侵检测系统,其特征在于:还包括
自我修复模块(105),用于在所述入侵检测系统受到攻击的情况下,对所述入侵检测系统进行修复。
3.根据权利要求2所述的一种基于角色访问控制的入侵检测系统,其特征在于:所述角色管理模块(102)还包括激活单元(1021),用于对用户角色赋值,激活用户角色权限。
4.根据权利要求3所述的一种基于角色访问控制的入侵检测系统,其特征在于:所述角色管理模块(102)还包括控制单元(1022),根据对用户角色赋值,控制用户访问系统资源的权限。
5.根据权利要求1所述的一种基于角色访问控制的入侵检测系统,其特征在于:所述系统资源分配模块(103)包括分配单元(1031),用于根据角色获取不同的访问权限,对用户的角色进行分配。
6.一种基于角色访问控制的入侵检测方法,其特征在于,包括:
对用户的访问进行入侵安全检测,和/或对用户的申请信息进行过滤和净化;
判定所述用户的操作是否超过分配至所述用户的角色所赋予的权限;
根据所述用户的角色,向所述用户分配系统资源;
监控上述操作中的异常活动,判定系统内的工作是否正常。
7.根据权利要求6所述的方法,其特征在于:还包括以下步骤:在所述系统受到攻击的情况下,对所述系统进行修复。
8.根据权利要求7所述的方法,其特征在于:还包括以下步骤:对用户角色赋值,激活用户角色权限。
9.根据权利要求8所述的方法,其特征在于,还包括如下步骤:根据对用户角色赋值,控制用户访问系统资源的权限。
10.根据权利要求6所述的方法,其特征在于,向所述用户分配系统资源,还包括:根据角色获取不同的访问权限,对用户的角色进行分配。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810859974.3A CN109150853B (zh) | 2018-08-01 | 2018-08-01 | 基于角色访问控制的入侵检测系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810859974.3A CN109150853B (zh) | 2018-08-01 | 2018-08-01 | 基于角色访问控制的入侵检测系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109150853A true CN109150853A (zh) | 2019-01-04 |
| CN109150853B CN109150853B (zh) | 2021-06-08 |
Family
ID=64798915
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810859974.3A Active CN109150853B (zh) | 2018-08-01 | 2018-08-01 | 基于角色访问控制的入侵检测系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109150853B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110188015A (zh) * | 2019-04-04 | 2019-08-30 | 北京升鑫网络科技有限公司 | 一种主机访问关系异常行为自适应检测装置及其监测方法 |
| CN110298188A (zh) * | 2019-02-02 | 2019-10-01 | 奇安信科技集团股份有限公司 | 动态访问权限的控制方法及系统 |
| CN111726364A (zh) * | 2020-06-29 | 2020-09-29 | 浙江军盾信息科技有限公司 | 一种主机入侵防范方法、系统及相关装置 |
| CN113411295A (zh) * | 2021-05-07 | 2021-09-17 | 上海纽盾科技股份有限公司 | 基于角色的访问控制态势感知防御方法及系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102932340A (zh) * | 2012-10-25 | 2013-02-13 | 上海电机学院 | 基于角色的访问控制系统及方法 |
| CN105430000A (zh) * | 2015-12-17 | 2016-03-23 | 北京华油信通科技有限公司 | 云计算安全管理系统 |
-
2018
- 2018-08-01 CN CN201810859974.3A patent/CN109150853B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102932340A (zh) * | 2012-10-25 | 2013-02-13 | 上海电机学院 | 基于角色的访问控制系统及方法 |
| CN105430000A (zh) * | 2015-12-17 | 2016-03-23 | 北京华油信通科技有限公司 | 云计算安全管理系统 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110298188A (zh) * | 2019-02-02 | 2019-10-01 | 奇安信科技集团股份有限公司 | 动态访问权限的控制方法及系统 |
| CN110188015A (zh) * | 2019-04-04 | 2019-08-30 | 北京升鑫网络科技有限公司 | 一种主机访问关系异常行为自适应检测装置及其监测方法 |
| CN110188015B (zh) * | 2019-04-04 | 2021-09-07 | 北京升鑫网络科技有限公司 | 一种主机访问关系异常行为自适应检测装置及其监测方法 |
| CN111726364A (zh) * | 2020-06-29 | 2020-09-29 | 浙江军盾信息科技有限公司 | 一种主机入侵防范方法、系统及相关装置 |
| CN111726364B (zh) * | 2020-06-29 | 2023-04-07 | 杭州安恒信息安全技术有限公司 | 一种主机入侵防范方法、系统及相关装置 |
| CN113411295A (zh) * | 2021-05-07 | 2021-09-17 | 上海纽盾科技股份有限公司 | 基于角色的访问控制态势感知防御方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109150853B (zh) | 2021-06-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114978584A (zh) | 基于单位单元的网络安全防护安全方法及系统 | |
| US6775657B1 (en) | Multilayered intrusion detection system and method | |
| US7398389B2 (en) | Kernel-based network security infrastructure | |
| KR100351306B1 (ko) | 다양한 침입탐지모델을 사용하는 침입탐지시스템 및 그 방법 | |
| CN109587174B (zh) | 用于网络防护的协同防御方法和系统 | |
| CN109150853A (zh) | 基于角色访问控制的入侵检测系统及方法 | |
| US11792008B2 (en) | Actively monitoring encrypted traffic by inspecting logs | |
| CN117081868B (zh) | 一种基于安全策略的网络安全运营方法 | |
| CN105430000A (zh) | 云计算安全管理系统 | |
| CN116192497B (zh) | 一种基于零信任体系的网络准入和用户认证的安全交互方法 | |
| CN113407949A (zh) | 一种信息安全监控系统、方法、设备及存储介质 | |
| Xu et al. | Network security | |
| CN117370953A (zh) | 一种erp系统接入控制方法及平台 | |
| CN116527299A (zh) | 一种基于网络安全防护方法及动态防御系统 | |
| CN113411295A (zh) | 基于角色的访问控制态势感知防御方法及系统 | |
| CN114915477A (zh) | 一种计算机网络的信息安全防护系统 | |
| Shulman et al. | Top ten database security threats | |
| KR20020075319A (ko) | 지능형 보안 엔진과 이를 포함하는 지능형 통합 보안 시스템 | |
| JP4843546B2 (ja) | 情報漏洩監視システムおよび情報漏洩監視方法 | |
| CN110086812B (zh) | 一种安全可控的内网安全巡警系统及方法 | |
| CN116668166A (zh) | 一种软硬件协同的数据安全监控系统 | |
| CN115118465B (zh) | 一种基于可信标签的云边端协同零信任访问控制方法及系统 | |
| KR101025029B1 (ko) | 인증서 기반의 데이터베이스 통합 보안시스템 구축방법 | |
| CN113194088B (zh) | 访问拦截方法、装置、日志服务器和计算机可读存储介质 | |
| KR101662530B1 (ko) | 호스트의 악성 도메인 접근 탐지와 차단 시스템, 및 그 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |