CN109495485A - 支持强制访问控制的全双工防火墙防护方法 - Google Patents

Abstract

本发明实施例公开一种支持强制访问控制的全双工防火墙防护方法。该方法包括：S1、全双工防火墙是以分布式节点网络形态存在的入侵检测系统；S2、全双工防火墙基于差异化角色权限的业务操作流，塑造“请求操作链、服务响应树”形态存在的内生安全机理规则；S3、全双工防火墙在边界环境和计算环境的层次上，支持全尺度解析下的请求操作检测，完成完整性保护；S4、面向等级化定义的信息资产和系统服务，开展一致性响应检测，完成机密性保护；S5、通过SDN支持对正常/异常网络流量的调度管控，以及对可疑流量实施诱导引流至蜜网陷阱，并形成工作流痕迹下的业务审计取证。

Description

支持强制访问控制的全双工防火墙防护方法

技术领域

本发明涉及本发明属于网络安全领域，特别是涉及一种支持强制访问控制的全双工防火墙防护方法。

背景技术

在交通、政务、能源、金融、通信等重要行业和领域，关键信息基础设施融入其中、控制其内，直接关系到国家命脉，一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生和公共利益。针对关键信息基础设施中复杂网络拓扑、开放融合环境、多元接入终端、海量业务应用和未知漏洞后门等带来的严峻挑战，提出和构建扭转“封堵查杀”被动局面、坚持“可管可控”纵深防御的安全体系，建立风险可控“天网恢恢、疏而不漏”式主动安全的方法和技术，是提升网络、平台、运行环境、软件和数据防御能力的迫切要求。

尤其是在面临以下问题时，安全产品“老三样”中的防火墙更是首当其冲。

1、业务应用纷繁复杂：

受保护网络系统中规模庞大的用户实体、日益繁多的业务类型、渐进复杂的协议流程、愈加隐蔽的攻击方式和不可避免的漏洞隐患，使得过滤判断规则在设置难度与种类数目等方面均呈现出几何级的增长趋势，由此带来的代价开销是传统防火墙无法承受的。

2、防御模式被动受限：

网络行为流量检测，依赖于协议内容解析和公开缺陷特征等先验信息，难以有效应对潜藏威胁行为带来的严峻挑战。网络区域边界防护，局限于应对外网攻击，无法以网络节点为保护对象，最大限度地消除存于内部网络环境中的安全隐患。

3、割裂耦合离散安全：

粗放化方式集成VPN、PKI 、IPSec、防病毒、入侵防御等多种附加功能的防火墙，处于割裂业务耦合关系下的离散安全形态，面对动态性且复合性强的网络攻击，无法根据具体的网络应用环境实施自适应且集约化的联动防御。

发明内容

有鉴于此，本发明解决的技术问题是，提供一种支持强制访问控制的全双工防火墙防护方法，用以解决现有技术中防火墙防御能力薄弱的技术问题。

本发明提出的一种支持强制访问控制的全双工防火墙防护方法，主要包括如下步骤：

S1、全双工防火墙是以分布式节点网络形态存在的入侵检测系统。

S2、全双工防火墙基于差异化角色权限的业务操作流，塑造“请求操作链、服务响应树”形态存在的内生安全机理规则。

S3、全双工防火墙在边界环境和计算环境的层次上，支持全尺度解析下的请求操作检测，完成完整性保护。

S4、面向等级化定义的信息资产和系统服务，开展一致性响应检测，完成机密性保护

S5、通过SDN支持对正常/异常网络流量的调度管控，以及对可疑流量实施诱导引流至蜜网陷阱，并形成工作流痕迹下的业务审计取证。

优选地，步骤S1包含如下子步骤：

1-1、部署在边界域环境中的全双工防火墙既负责业务应用的完整性保护，又负责信息数据的机密性保护。

1-2、部署在边界域环境中的全双工防火墙通过SDN技术对计算环境实施强制访问控制，达到四级等保要求。

优选地，步骤S2包含如下子步骤：

2-1、基于安全控制要求对受保护网络系统开展细粒度多维度的安全基线定义，形成业务作业流和作业操作流。

2-2、离线环境下覆盖性测试“净化”的受保护网络系统，生成正常业务模式的表征化数据，以机器学习的方式实施数据驱动的训练建模，智能化构筑“请求操作链、服务响应树”形态存在的正常业务模式库。

优选地，步骤S3包含如下子步骤：

3-1、捕获待检测的请求操作行为，面向身份权限、域名端口、报文协议和数据流量等要素，开展主被动相结合的一致性请求检测。

3-2、对请求操作链实施流水串行计算，各操作节点间顺序检测，一旦发现异常，立刻停止检测，并锁死此行为，否则继续递交下一节点检测，直至完成整个链式比对，如若属于正常的操作链，需查询该请求行为对应的服务响应模式，并将此服务响应模式作为服务响应链检测模块的匹配基准。

优选地，步骤S4包含如下子步骤：

4-1、身份来源检测。在服务器系统针对用户的请求行为做出响应时，防火墙核对其使用的响应链路与请求链路，并将核对结果提交到检测异常报警模块。若检测结果显示不一致，报警模块会执行相应的报警操作。

4-2、响应资源匹配。针对用户发起的对某种资源的操作请求，防火墙解析出访问控制列表中的角色权限，并根据当前染色策略表对资源权限进行验证。若该请求资源所对应的操作等级比用户的操作等级低或与用户的操作等级相同，则允许用户对资源执行请求的操作。如果该请求资源所对应的操作等级比用户的操作等级高，则表明用户不具备操作该资源的权限，防火墙将拒绝用户所请求的操作。最后，将匹配结果提交到检测异常报警模块。

4-3、检测异常报警。身份来源检测模块与响应资源匹配模块将检测/匹配结果提交至该模块。若身份来源检测模块检测到请求链路与响应链路比对结果不一致，或是响应资源匹配模块提交的结果显示用户权限低于资源权限，则表明存在异常，从而在该模块触发报警。

优选地，步骤S5包含如下子步骤：

5-1、全双工防火墙基于SDN对网络数据流按照预先制定的规则进行检查然后由指定数据流的传输路径以及流的处理策略，通过集中性管控的方式，对请求数据流入和响应数据流出进行控制，保证合法数据流的顺畅流动，并丢弃非法数据。

5-2、全双工防火墙对所有请求响应行为进行检测，完整的记录下全部流量数据和检测结果数据，从而生成业务应用的行为审计内容。并提供安全审计事件分析的功能，对审计数据进行实时分析和阶段性统计分析，从大量数据中发现用户异常行为数据，并且对历史日志进行统计分析，得出网络安全状况数据，发现某时间段潜在的安全威胁。审计分析器可以采用多种算法相结合，实现对审计日志高效分析。

5-3、搭建支持网络与系统高仿真复现、用户行为复制、资源自动配置与释放、环境安全隔离与受控交换的余度蜜网，诱捕病态行为，将可疑行为侧引至余度蜜网，支持对其进行潜在病态倾向研判、先验黑色特征挖掘，构筑异常行为模式数据库。

本发明提出一种支持强制访问控制的全双工防火墙防护方法，基于角色权限细分的正常业务模式库，对网络流量实现全面内容透析，正确执行与操作请求模式保持强一致性的网络行为，提供数据完整性保护功能，以服务响应的过滤机制染色锁定访问控制列表，提供数据机密性保护功能，形成基于业务流的痕迹审计体系，真正实现“天网恢恢疏而不漏”。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对本发明实施例中所需要使用的附图作简单地介绍，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1示出了本发明实施例的支持强制访问控制的全双工防火墙防护方法的流程示意图。

具体实施方式

下面将详细描述本发明的各个方面的特征和示例性实施例，为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细描述。应理解，此处所描述的具体实施例仅被配置为解释本发明，并不被配置为限定本发明。对于本领域技术人员来说，本发明可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本发明的示例来提供对本发明更好的理解。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本发明提出一种支持强制访问控制的全双工防火墙防护方法，其本质是在分布式网络计算架构的支撑下，基于角色权限细分的正常业务模式库，对网络流量实现全面内容透析，正确执行与操作请求模式保持强一致性的网络行为，提供数据完整性保护功能，以服务响应的过滤机制染色锁定访问控制列表，提供数据机密性保护功能，形成基于业务流的痕迹审计体系，真正实现“天网恢恢疏而不漏”。

请参见图1，主要包括如下步骤：

S1、全双工防火墙是以分布式节点网络形态存在的入侵检测系统。

S2、全双工防火墙基于差异化角色权限的业务操作流，塑造“请求操作链、服务响应树”形态存在的内生安全机理规则。

S3、全双工防火墙在边界环境和计算环境的层次上，支持全尺度解析下的请求操作检测，完成完整性保护。

S4、面向等级化定义的信息资产和系统服务，开展一致性响应检测，完成机密性保护

S5、通过SDN支持对正常/异常网络流量的调度管控，以及对可疑流量实施诱导引流至蜜网陷阱，并形成工作流痕迹下的业务审计取证。

优选地，步骤S1包含如下子步骤：

1-1、部署在边界域环境中的全双工防火墙既负责业务应用的完整性保护，又负责信息数据的机密性保护。

1-2、部署在边界域环境中的全双工防火墙通过SDN技术对计算环境实施强制访问控制，达到四级等保要求。

优选地，步骤S2包含如下子步骤：

2-1、基于安全控制要求对受保护网络系统开展细粒度多维度的安全基线定义，形成业务作业流和作业操作流。

2-2、离线环境下覆盖性测试“净化”的受保护网络系统，生成正常业务模式的表征化数据，以机器学习的方式实施数据驱动的训练建模，智能化构筑“请求操作链、服务响应树”形态存在的正常业务模式库。

优选地，步骤S3包含如下子步骤：

3-1、捕获待检测的请求操作行为，面向身份权限、域名端口、报文协议和数据流量等要素，开展主被动相结合的一致性请求检测。

3-2、对请求操作链实施流水串行计算，各操作节点间顺序检测，一旦发现异常，立刻停止检测，并锁死此行为，否则继续递交下一节点检测，直至完成整个链式比对，如若属于正常的操作链，需查询该请求行为对应的服务响应模式，并将此服务响应模式作为服务响应链检测模块的匹配基准。

优选地，步骤S4包含如下子步骤：

4-1、身份来源检测。在服务器系统针对用户的请求行为做出响应时，防火墙核对其使用的响应链路与请求链路，并将核对结果提交到检测异常报警模块。若检测结果显示不一致，报警模块会执行相应的报警操作。

4-2、响应资源匹配。针对用户发起的对某种资源的操作请求，防火墙解析出访问控制列表中的角色权限，并根据当前染色策略表对资源权限进行验证。若该请求资源所对应的操作等级比用户的操作等级低或与用户的操作等级相同，则允许用户对资源执行请求的操作。如果该请求资源所对应的操作等级比用户的操作等级高，则表明用户不具备操作该资源的权限，防火墙将拒绝用户所请求的操作。最后，将匹配结果提交到检测异常报警模块。

4-3、检测异常报警。身份来源检测模块与响应资源匹配模块将检测/匹配结果提交至该模块。若身份来源检测模块检测到请求链路与响应链路比对结果不一致，或是响应资源匹配模块提交的结果显示用户权限低于资源权限，则表明存在异常，从而在该模块触发报警。

优选地，步骤S5包含如下子步骤：

5-1、全双工防火墙基于SDN对网络数据流按照预先制定的规则进行检查然后由指定数据流的传输路径以及流的处理策略，通过集中性管控的方式，对请求数据流入和响应数据流出进行控制，保证合法数据流的顺畅流动，并丢弃非法数据。

5-2、全双工防火墙对所有请求响应行为进行检测，完整的记录下全部流量数据和检测结果数据，从而生成业务应用的行为审计内容。并提供安全审计事件分析的功能，对审计数据进行实时分析和阶段性统计分析，从大量数据中发现用户异常行为数据，并且对历史日志进行统计分析，得出网络安全状况数据，发现某时间段潜在的安全威胁。审计分析器可以采用多种算法相结合，实现对审计日志高效分析。

5-3、搭建支持网络与系统高仿真复现、用户行为复制、资源自动配置与释放、环境安全隔离与受控交换的余度蜜网，诱捕病态行为，将可疑行为侧引至余度蜜网，支持对其进行潜在病态倾向研判、先验黑色特征挖掘，构筑异常行为模式数据库。

需要明确的是，本发明并不局限于上文所描述并在图中示出的特定配置和处理。为了简明起见，这里省略了对已知方法的详细描述。在上述实施例中，描述和示出了若干具体的步骤作为示例。但是，本发明的方法过程并不限于所描述和示出的具体步骤，本领域的技术人员可以在领会本发明的精神后，作出各种改变、修改和添加，或者改变步骤之间的顺序。

以上所述的结构框图中所示的功能块可以实现为硬件、软件、固件或者它们的组合。当以硬件方式实现时，其可以例如是电子电路、专用集成电路（ASIC）、适当的固件、插件、功能卡等等。当以软件方式实现时，本发明的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中，或者通过载波中携带的数据信号在传输介质或者通信链路上传送。“机器可读介质”可以包括能够存储或传输信息的任何介质。机器可读介质的例子包括电子电路、半导体存储器设备、ROM、闪存、可擦除ROM（EROM）、软盘、CD-ROM、光盘、硬盘、光纤介质、射频（RF）链路，等等。代码段可以经由诸如因特网、内联网等的计算机网络被下载。

还需要说明的是，本发明中提及的示例性实施例，基于一系列的步骤或者装置描述一些方法或系统。但是，本发明不局限于上述步骤的顺序，也就是说，可以按照实施例中提及的顺序执行步骤，也可以不同于实施例中的顺序，或者若干步骤同时执行。

以上所述，仅为本发明的具体实施方式，所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，上述描述的系统、模块和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。应理解，本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本发明的保护范围之内。

Claims (6)

1.一种支持强制访问控制的全双工防火墙方法，其特征在于，所述方法包括以下步骤：

S1、全双工防火墙以分布式节点网络形态存在的入侵检测系统；

S2、全双工防火墙基于差异化角色权限的业务操作流，塑造“请求操作链、服务响应树”形态存在的内生安全机理规则；

S3、全双工防火墙在边界环境和计算环境的层次上，支持全尺度解析下的请求操作检测，完成完整性保护；

S4、面向等级化定义的信息资产和系统服务，开展一致性响应检测，完成机密性保护；

S5、通过SDN支持对正常/异常网络流量的调度管控，以及对可疑流量实施诱导引流至蜜网陷阱，并形成工作流痕迹下的业务审计取证。

2.根据权利要求1所述的支持强制访问控制的全双工防火墙方法，其特征在于，所述步骤S1包含如下子步骤：

1-1、部署在边界域环境中的全双工防火墙既负责业务应用的完整性保护，又负责信息数据的机密性保护。

1-2、部署在边界域环境中的全双工防火墙通过SDN技术对计算环境实施强制访问控制，达到四级等保要求。

3.根据权利要求1所述的支持强制访问控制的全双工防火墙方法，其特征在于，所述步骤S2包含如下子步骤：

2-1、基于安全控制要求对受保护网络系统开展细粒度多维度的安全基线定义，形成业务作业流和作业操作流。

2-2、离线环境下覆盖性测试“净化”的受保护网络系统，生成正常业务模式的表征化数据，以机器学习的方式实施数据驱动的训练建模，智能化构筑“请求操作链、服务响应树”形态存在的正常业务模式库。

4.根据权利要求1所述的支持强制访问控制的全双工防火墙方法，其特征在于步骤S3包含如下子步骤：

3-1、捕获待检测的请求操作行为，面向身份权限、域名端口、报文协议和数据流量等要素，开展主被动相结合的一致性请求检测。

3-2、对请求操作链实施流水串行计算，各操作节点间顺序检测，一旦发现异常，立刻停止检测，并锁死此行为，否则继续递交下一节点检测，直至完成整个链式比对，如若属于正常的操作链，需查询该请求行为对应的服务响应模式，并将此服务响应模式作为服务响应链检测模块的匹配基准。

5.根据权利要求1所述的支持强制访问控制的全双工防火墙方法，其特征在于，所述步骤S4包含如下子步骤：

4-1、身份来源检测。在服务器系统针对用户的请求行为做出响应时，防火墙核对其使用的响应链路与请求链路，并将核对结果提交到检测异常报警模块。若检测结果显示不一致，报警模块会执行相应的报警操作。

4-2、响应资源匹配。针对用户发起的对某种资源的操作请求，防火墙解析出访问控制列表中的角色权限，并根据当前染色策略表对资源权限进行验证。若该请求资源所对应的操作等级比用户的操作等级低或与用户的操作等级相同，则允许用户对资源执行请求的操作。如果该请求资源所对应的操作等级比用户的操作等级高，则表明用户不具备操作该资源的权限，防火墙将拒绝用户所请求的操作。最后，将匹配结果提交到检测异常报警模块。

4-3、检测异常报警。身份来源检测模块与响应资源匹配模块将检测/匹配结果提交至该模块。若身份来源检测模块检测到请求链路与响应链路比对结果不一致，或是响应资源匹配模块提交的结果显示用户权限低于资源权限，则表明存在异常，从而在该模块触发报警。

6.根据权利要求1所述的支持强制访问控制的全双工防火墙方法，其特征在于，所述步骤S5包含如下子步骤：

5-1、全双工防火墙基于SDN对网络数据流按照预先制定的规则进行检查然后由指定数据流的传输路径以及流的处理策略，通过集中性管控的方式，对请求数据流入和响应数据流出进行控制，保证合法数据流的顺畅流动，并丢弃非法数据。

5-2、全双工防火墙对所有请求响应行为进行检测，完整的记录下全部流量数据和检测结果数据，从而生成业务应用的行为审计内容。并提供安全审计事件分析的功能，对审计数据进行实时分析和阶段性统计分析，从大量数据中发现用户异常行为数据，并且对历史日志进行统计分析，得出网络安全状况数据，发现某时间段潜在的安全威胁。审计分析器可以采用多种算法相结合，实现对审计日志高效分析。

5-3、搭建支持网络与系统高仿真复现、用户行为复制、资源自动配置与释放、环境安全隔离与受控交换的余度蜜网，诱捕病态行为，将可疑行为侧引至余度蜜网，支持对其进行潜在病态倾向研判、先验黑色特征挖掘，构筑异常行为模式数据库。