CN110933048A - 一种基于报文识别异常应用操作的方法和设备 - Google Patents

一种基于报文识别异常应用操作的方法和设备 Download PDF

Info

Publication number
CN110933048A
CN110933048A CN201911110324.XA CN201911110324A CN110933048A CN 110933048 A CN110933048 A CN 110933048A CN 201911110324 A CN201911110324 A CN 201911110324A CN 110933048 A CN110933048 A CN 110933048A
Authority
CN
China
Prior art keywords
attribute
message
mark
application
tag
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201911110324.XA
Other languages
English (en)
Other versions
CN110933048B (zh
Inventor
郑一友
雷奕康
刘学毅
包康伶
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Zhuo Xxx Technology Co Ltd
Original Assignee
Beijing Zhuo Xxx Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Zhuo Xxx Technology Co Ltd filed Critical Beijing Zhuo Xxx Technology Co Ltd
Priority to CN201911110324.XA priority Critical patent/CN110933048B/zh
Publication of CN110933048A publication Critical patent/CN110933048A/zh
Application granted granted Critical
Publication of CN110933048B publication Critical patent/CN110933048B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于报文识别异常应用操作的方法和设备,该方法包括:接收基于对应用的操作所产生的报文,所述应用具体为操作系统中的主体或客体;判断所述报文中是否携带与所述操作的属性对应的标记,并将携带了所述标记的报文确定为标记报文;根据所述标记确定所述标记报文的敏感性级别;当所述属性超出所述敏感性级别时,将所述操作识别为所述异常应用操作。从而清晰地定义了标记内容以及所保护的核心资产,对于主客体能够进行明确的界定,通过报文中的标记就可识别出异常应用操作。

Description

一种基于报文识别异常应用操作的方法和设备
技术领域
本申请涉及网络安全领域,更具体地,涉及一种基于报文识别异常应用操作的方法和设备。
背景技术
基于CIPSO(Common Internet Protocol Security Option,统一互联网协议安全选项)(RFC 1108)的网络标记技术,于2006年以前便引入Linux内核系统,操作系统储备相当成熟,有些数据厂家如Oracle也已经支持了基于CIPSO的安全数据层,IPv6上也已经有了相关标注(RFC 5570)。
存在的问题:
1、CIPSO作为安全扩展协议,可以承载的具体安全扩展内容定义很不清晰,各厂家实现不一致,作为安全标记,标记本身代表的主客体定义不清晰,代表核心信息资产标识不明确,作为可信计算在网络传输的载体,应该承载的功能和关键应用长期没有发展;
2、传统的防火墙,作为安全设备需要通过五元组来进行配置,操作繁复,且无法识别上层应用,对于攻击事件异常报文,难以分析出攻击目的和威胁程度;
3、传统的安全网关,以IP(Internet Protocol,网络协议)或者五元组组合作为快速的策略索引,在虚拟化时代和云时代遇到了极大的挑战,资源池化和弹性计算都使得IP和策略的关系不再稳定,特别需要能与IP解耦的安全属性来作为快速策略索引。
发明内容
本发明提供一种基于报文识别异常应用操作的方法,用以解决现有技术中现有技术中CIPSO作为安全扩展协议,当前核心资产标识不明确、主客体模糊,IP和策略的关系不稳定,基于IP的策略难以控制每个应用的网络空间的技术问题,该方法包括:
接收基于对应用的操作所产生的报文,所述应用具体为操作系统中的主体或客体;
判断所述报文中是否携带与所述操作的属性对应的标记,并将携带了所述标记的报文确定为标记报文;
根据所述标记确定所述标记报文的敏感性级别;
当所述属性超出所述敏感性级别时,将所述操作识别为所述异常应用操作。
优选的,所述属性具体包括请求业务类别、和或时间属性、和或空间属性、和或容量属性、和或角色属性、和或请求次数属性,在判断所述报文中是否携带与所述操作的属性对应的标记之后,还包括:
将未携带所述标记的报文确定为非标记报文;
判断所述非标记报文对应的所述请求业务类别是否为向非标记用户提供的类别;
若是,根据所述非标记报文对应的所述请求次数属性和或所述容量属性识别所述异常应用操作;
若否,将所述操作识别为所述异常应用操作。
优选的,在判断所述报文中是否携带与所述操作的属性对应的标记之前,还包括:
确定各所述属性的预设安全区间;
将所述预设安全区间映射为所述标记中的具体字段;
基于所述具体字段建立所述属性与所述标记的对应关系。
优选的,基于统一互联网协议安全选项CIPSO标准中的标记域确定所述具体字段,所述具体字段包括标记类型、标记长度和标记内容三个字段。
优选的,在接收基于对应用的操作所产生的报文之前,还包括:
分别对所述主体和客体分配一个标记,并当所述主体的标记值大于所述客体的标记值时,所述主体对所述客体具有支配权。
相应的,本发明还提出了一种基于报文识别异常应用操作的设备,包括:
接收模块,用于接收基于对应用的操作所产生的报文,所述应用具体为操作系统中的主体或客体;
第一判断模块,用于判断所述报文中是否携带与所述操作的属性对应的标记,并将携带了所述标记的报文确定为标记报文;
第一确定模块,用于根据所述标记确定所述标记报文的敏感性级别;
识别模块,用于当所述属性超出所述敏感性级别时,将所述操作识别为所述异常应用操作。
优选的,所述属性具体包括请求业务类别、和或时间属性、和或空间属性、和或容量属性、和或角色属性、和或请求次数属性,还包括:
第二确定模块,用于将未携带所述标记的报文确定为非标记报文;
第二判断模块,用于判断所述非标记报文对应的所述请求业务类别是否为向非标记用户提供的类别;
若是,根据所述非标记报文对应的所述请求次数属性和或所述容量属性识别所述异常应用操作;
若否,将所述操作识别为所述异常应用操作。
优选的,还包括:
第三确定模块,用于确定各所述属性的预设安全区间;
映射模块,用于将所述预设安全区间映射为所述标记中的具体字段;
建立模块,用于基于所述具体字段建立所述属性与所述标记的对应关系。
优选的,基于统一互联网协议安全选项CIPSO标准中的标记域确定所述具体字段,所述具体字段包括标记类型、标记长度和标记内容三个字段。
优选的,还包括:
分配模块,用于分别对所述主体和客体分配一个标记,并当所述主体的标记值大于所述客体的标记值时,所述主体对所述客体具有支配权。
本申请具有以下技术效果:
本申请提出了一种基于报文识别异常应用操作的方法和设备,该方法通过对应用分配相关标记,并将所述标记与所述操作属性建立对应关系,对所述应用产生的报文中的标记进行判断,当所述标记对应的属性超出所述敏感性级别时,判定所述操作为异常应用操作,通过上述方法,清晰地定义了标记内容以及所保护的核心资产,对于主客体能够进行明确的界定,通过标记就可以判断报文的来源、目的以及是否在属性允许的安全区域,不再需要IP地址来作为判断依据,解决了虚拟化时代和云时代,资源池化和弹性计算带来的IP和策略的关系不再稳定的问题,配置也更加简单轻量,更易分析攻击目标和威胁程度,从而高效地识别异常应用操作。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了本发明实施例提出的一种基于报文识别异常应用操作的方法的流程示意图;
图2示出了本发明实施例中对原CIPSO协议的结构进行改造的效果示意图;
图3示出了本发明实施例中标记内容格式的效果示意图;
图4示出了本发明实施例中基于标记实现强访机制的微隔离的效果示意图;
图5示出了本发明实施例中基于标记实现设备跨域微隔离的效果示意图;
图6示出了本发明实施例中基于标记实现空间隔离的效果示意图;
图7示出了本发明具体应用场景实施例中基于标记实现应用的围栏效果示意图;
图8示出了本发明具体应用场景实施例中基于标记实现应用空间属性的围栏效果示意图;
图9示出了本发明具体应用场景实施例中基于标记实现应用次数属性的围栏效果示意图;
图10示出了本发明具体应用场景实施例中基于标记实现容量属性的围栏效果示意图;
图11示出了本发明实施例中基于标记配置ACL策略的示意图;
图12示出了本发明具体应用场景一实施例中一种基于报文识别异常应用操作流程示意图;
图13示出了本发明具体应用场景另一实施例中一种基于报文识别异常应用操作流程示意图;
图14示出了本发明实施例中主体的报文处理流程示意图;
图15示出了本发明实施例中客体的报文处理流程示意图;
图16示出了本发明实施例中一种基于报文识别异常应用操作的设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
如背景技术所述,现有技术中CIPSO作为安全扩展协议,当前核心资产标识不明确、主客体模糊,IP和策略的关系不稳定,基于IP的策略难以控制每个应用的网络空间。
为解决上述问题,本申请实施例提出了一种基于报文识别异常应用操作的方法,通过对应用分配相关标记,并将所述标记与所述操作属性建立对应关系,对所述应用产生的报文中的标记进行判断,当所述标记对应的属性超出所述敏感性级别时,判定所述操作为异常应用操作。
如图1所示为本发明实施例提出的一种基于报文识别异常应用操作的方法的流程示意图,包括以下步骤:
S101,接收基于对应用的操作所产生的报文,所述应用具体为操作系统中的主体或客体。
具体的,所述应用为操作系统中的主体或客体,例如软件进程、I/O设备、文件或者目录,当用户对所述应用进行操作时,所述应用会产生相对应的报文,并且该报文被操作系统所接收,需要说明的是,所述操作可以是查阅文件、修改数据等。
为了达到基于报文来识别异常应用操作,在本申请的优选实施例中,在接收基于对应用的操作所产生的报文之前,还包括:
分别对所述主体和客体分配一个标记,并当所述主体的标记值大于所述客体的标记值时,所述主体对所述客体具有支配权。
具体的,在一个网络里面,需要通过手动配置对主、客体进行标记配置,当配置完成后,系统会为所述主体和客体分配一个标记,需要说明的是,主体和客体被分配标记后,其对应产生的报文会携带有所述标记,另外,所述标记的具体格式如图3所示,标记由级别和范畴组成,标记最小2个字节,一般8个字节,标记取值为整数型,当所述主体的标记值大于所述客体的标记值时,所述主体对所述客体具备支配权,例如所述主体可以对所述客体进行访问、上传下载等,反之,若所述主体对所述客体不具备支配权,则所述主体无法对所述客体进行访问。此外,标记内容可以标记内容可根据特定部门的特殊需求进行修改和扩充,不一定仅代表级别和范畴,具体所述特殊需求可以是区域隔离,应用服务隔离,访问级别划分,特殊访问控制等。
S102,判断所述报文中是否携带与所述操作的属性对应的标记,并将携带了所述标记的报文确定为标记报文。
具体的,接收到上述应用产生的报文后,操作系统会判断所述报文是否携带标记,所述标记具体是与用户对上述应用进行的所述操作的属性相对应的标记,并且所述属性具体包括请求业务类别、和或时间属性、和或空间属性、和或容量属性、和或角色属性、和或请求次数属性,该属性与所述用户进行的操作是对应的。
为了准确判断所述报文所携带的标记,在本申请的优选实施例中,在判断所述报文中是否携带与所述操作的属性对应的标记之后,还包括:
将未携带所述标记的报文确定为非标记报文;
判断所述非标记报文对应的所述请求业务类别是否为向非标记用户提供的类别;
若是,根据所述非标记报文对应的所述请求次数属性和或所述容量属性识别所述异常应用操作;
若否,将所述操作识别为所述异常应用操作。
具体的,若所述报文为携带所述标记,则所述报文被判定为非标记报文,进而操作系统会对所述非标记报文对应的所述请求业务类别进行判断,若所述请求业务类别为向非标记用户提供的类别,则操作系统会判断所述非标记报文对应的所述请求次数和或所述容量是否在预设的安全区间内,若在安全区间内,则判定为正常应用操作,否则判定为异常应用操作,若所述请求业务类别不是向非标记用户提供的类别,则判定所述操作为异常应用操作。
为了准确判断所述非标记报文对应的操作是否为异常应用操作,在本申请的优选实施例中,在判断所述报文中是否携带与所述操作的属性对应的标记之前,还包括:
确定各所述属性的预设安全区间;
将所述预设安全区间映射为所述标记中的具体字段;
基于所述具体字段建立所述属性与所述标记的对应关系。
具体的,根据所述属性确定预设安全区间,例如可以设置所述请求次数的安全区间为3次,当所述请求次数超过3次,则根据上述步骤判定所述操作为异常操作请求,此外将所述的安全区间对应到标记的某一个或几个字段上,并根据所述字段将所述属性与所述标记建立对应关系。通过预设安全区间,使得操作系统对所述应用操作的判断更加准确。
为了信息安全的通用性,在本申请的优选实施例中,基于统一互联网协议安全选项CIPSO标准中的标记域确定所述具体字段,所述具体字段包括标记类型、标记长度和标记内容三个字段。
具体的,改造后的标识在整体上依然符合CIPSO的标准,前三个字段与CIPSO相同,第四个字段为自定义标记字段,具体结构如图2所示,此外考虑到信息安全的通用性,同时为了便于封装和解析,所述具体字段包含标记类型、标记长度、标记内容三个字段。
S103,根据所述标记确定所述标记报文的敏感性级别。
具体的,基于上述标记预设的安全区间可以确定所述标记报文的敏感性级别,所述预设的安全区间的范围越大,则安全级别越低,反之则安全级别越高。
S104,当所述属性超出所述敏感性级别时,将所述操作识别为所述异常应用操作。
具体的,根据上述敏感性级别对所述属性进行判断,若所述属性超出所述敏感性级别,则所述操作为异常应用操作。
通过应用以上技术方案,对应用分配相关标记,并将所述标记与所述操作属性建立对应关系,对所述应用产生的报文中的标记进行判断,当所述标记对应的属性超出所述敏感性级别时,判定所述操作为异常应用操作,通过上述方法,清晰地定义了标记内容以及所保护的核心资产,对于主客体能够进行明确的界定,通过标记就可以判断报文的来源、目的以及是否在属性允许的安全区域,不再需要IP地址来作为判断依据,解决了虚拟化时代和云时代,资源池化和弹性计算带来的IP和策略的关系不再稳定的问题,配置也更加简单轻量,更易分析攻击目标和威胁程度,从而高效地识别异常应用操作。
为了进一步阐述本发明的技术思想,现结合具体的应用场景,对本发明的技术方案进行说明。
本发明实施例提出了一种基于报文识别异常应用操作的方法,对于一个网络系统来说,通过标记可以区分出多个功能和特性不同的虚拟空间。在每个虚拟空间里,对于一个应用能够进行的操作是可预期和评估的。通过标记可以定义到一个应用某一个操作的不同属性所具备的安全敏感性,当标记系统感知到该操作在该虚拟空间超过了事先定义的敏感级别,则被识别为异常操作。从而,通过对不同应用不同操作属性的定义、标记和识别,可以规划出对应的活动空间。
如图2所示为本发明实施例中对原CIPSO协议的结构进行改造的效果示意图,CIPSO协议是对IP Option字段的定义,包括:
(1)类型:该字段为CIPSO的类型字段,用1字节表示,对于CIPSO而言,其值为固定值134;
(2)CIPSO长度:该字段为CIPSO的长度字段,用1字节表示,由于CIPSO作为IP选项存在,所以其长度最大值为20,最小值为3;
(3)解释域:该字段由多个安全选项的具体值组成,标识安全域的唯一身份,用4字节表示,域的标识又被称为DOI(Digital Object Unique Identifier,数字对象唯一标识符)标识,解释域由SDRC(Security Domain Registered Center,安全域注册中心)统一管理;
(4)标记域:该字段表示数据包的安全标记信息,包括范畴信息、机密级信息等,用0到14字节表示,可以定义不同的标记类型,用于表示多种安全标记信息。
为了根据应用的属性进行标识,本申请实施例的对CIPSO协议结构进行了改造,改造后的标识的在整体上依然符合CIPSO的标准,前三个字段与CIPSO相同,第四个字段为自定义标记字段。本实施例是对第四字段进行改造,在标准CIPSO中,考虑到信息安全的通用性,同时为了便于封装和解析,如图2所示,改造后的标记域结构包含标记类型、标记长度、标记内容三个字段;
1、标记类型:该字段使用1字节表示,其中0到127的定义是标准的标记格式,具体格式可以在相应的RFC文档中找到,大于127的标记类型则由DOI官方管理和定义,目前DOI对标记的定义只有类型1、类型2和类型5三种类型;
2、标记长度:该字段也使用1字节表示,长度的值是标记内容的长度,以字节为单位;
3、标记内容:在DOI官方定义中,对标记的具体内容格式进行了规定,仅包含机密级别和范畴等字段。专用协议的提出即建立在对标记内容字段的具体含义的改造,标记内容可根据用户的特殊需求进行修改和扩充,不一定仅代表机密级别和范畴,如用户可能有区域隔离,应用服务隔离,访问级别划分,特殊访问控制等需求。
标记是可信的操作系统对主客体进行标识和访问控制的依据,标记内容格式如图3所示。本实施例改造后的标记内容格式按如下规则配置,
(1)标记由级别和范畴组成,标记最小2个字节,一般8个字节;
(2)操作系统中,主客体都分配一个标记,标记取值为整数型;
(3)级别取整数值,范畴取值可以是整数值或二进制值(位示图);
(4)若主体标记值大于客体标记值,则主体对客体具有支配权,例如,具有支配权时可访问,可上传下载,不具有支配权即无法访问或上传下载。
网络隔离虽然能通过VLAN(Virtual Local Area Network,虚拟局域网)的方式实现,这种方式无法区分单台设备不同应用之间的安全级别。在基于应用数据打上相关标记后,标记网关便能根据标记等级判断各种应用操作的安全性,从而实现更有效的微隔离。如图4所示为本发明实施例中基于标记强访机制的微隔离的效果示意图,在未进行标记前,通过单个防火墙FW对各虚拟机VM进行强制访问控制,在基于标记强访机制的微隔离后,不同应用服务的虚拟机VM分别打上标记Label 1、Label 2、Label 3、Label N,通过防火墙FW及多个分布式防火墙dFW对不同标记的虚拟机进行访问控制,实现了更有效的微隔离。如图5所示为本发明实施例中基于标记实现设备跨域微隔离的效果示意图,图中包括隔离区DMZ域,应用App域和数据库DB域,通过防火墙firewall对不同域的虚拟机VM设备进行强制访问控制,通过基于同一应用服务将不同域的虚拟机打上标记Label 1、Label 2、Label 3,实现了基于标记设备跨域微隔离。如图6所示为本发明实施例中基于标记实现空间隔离的效果示意图,图中包括基础网络服务,应用服务和管理服务处于三个不同的网络空间,基于同一服务将各网络空间打上标记,实现了基于标记的空间隔离效果。
通过多种角度的微隔离方式,可以划分出不同的虚拟空间,这些虚拟空间为内部服务和外部请求划分出基本的边界围栏。
在虚拟空间内,一个应用服务可以通过多种角度去定义不同属性,比如时间属性、空间属性、容量属性、角色属性、请求次数属性等等,每个属性都能够定义出自己的安全区间,不同的安全区间可以用不同的标记匹配。比如空间属性,假设理论上只有某个区域的用户才会访问该服务,当有其他区域的用户流量访问时,标记系统能够感知并将流量阻挡。比如角色属性,通常某个用户的权限是一定的,当有攻击者利用该用户登录又想要做其他操作时,权限的变化会通过不同标记体现出来,被系统感知。
网络系统内的所有服务,都可以通过上述方式去定义对应的操作属性和安全区间,将这些安全区间映射到标记空间,并通过标记来识别安全区间以外的操作,从而在基于虚拟空间的边界围栏之上,定义出应用的信息围栏。
如图7所示为本发明具体应用场景实施例中基于标记实现应用的围栏效果示意图,图中的车站网络系统包括运维管理网、外部服务网、内部服务网、安全生产网和安全生产网车站域,不同功能的网络之间设置有边间防护系统如防火墙,以进行强制访问控制,外部服务网通过边界防护系统与外部的因特网Internet以及外部云连接,其中安全生产网和内部管理网基于本网络应用服务的标记产生了应用的围栏。图中所示的流量的正常路径为:先从安全生产网车站域自动售票检票系统AFC到安全生产网中的日志,再从该日志到运维管理网的态势感知系统。当流量试图从AFC直接进入外部服务网或从日志进入内部管理网会产生相应的报文,基于报文中标记判断该操作的属性超出了标记规定的敏感性级别,也即流量超出了规定区域,由于通过标记对不同业务进行识别,相应的流量只允许到达相应业务的规定区域,不允许超出规定区域的边界范围,因此将该操作识别为异常操作,并将对应的流量进行阻断。
如图8所示为本发明具体应用场景实施例中基于标记实现应用空间属性的围栏效果示意图,图中同样为如图7所示的车站网络系统,当攻击者攻陷内部管理网后,试图通过伪装获取进入安全生产网,该进入操作产生了报文,判断报文中的标记属于内部管理网的空间,而非安全生产网的空间,因此确定操作的空间属性超出了对应的敏感性级别,将此进入操作识别为异常应用操作,并拒绝响应。
如图9所示为本发明具体应用场景实施例中基于标记实现应用次数属性的围栏效果示意图,图中同样为如图7所示的车站网络系统,正常用户重复登录一般为1-2次,而当攻击者多次试图登录内部管理网的数据库时,基于该登录操作产生了报文,判断报文中登录次数超过了数据库服务标记的规定次数,也即次数属性超出了标记对应的敏感性级别,将该操作识别为异常应用操作,并对该报文拒绝响应。
如图10所示为本发明具体应用场景实施例中基于标记实现容量属性的围栏效果示意图,图中同样为如图7所示的车站网络系统,正常请求容量一般为1k,攻击者试图偷取保密资料时,其获取数据超出正常请求的20倍,判断该获取操作对应的报文中的容量属性超出了标记对应的敏感性级别,将该操作识别为异常应用操作,并对该报文拒绝响应,阻断流量。
如图12所示为本发明具体应用场景一实施例中一种基于报文识别异常应用操作流程示意图,包括以下步骤:
S201,判断报文是否带标记,若否,执行步骤S202,若是,执行步骤S203。当接收到对应用的操作产生的报文后,判断该报文是否带标记。
S202,非标记报文处理流程。当报文不带标记时,按非标记报文处理流程处理。
S203,根据标记判断请求业务类别。具体的,由于报文中带了标记,可根据标记判断出报文中请求业务的类别。
S204,判断请求业务类别是否在本空间提供安全区间,若是,执行步骤S205,若否,执行步骤S210。
本空间指接收报文的网络空间,网络空间通过标记规定了请求业务类别的安全区间,判断该安全区间。
S205,判断请求内容是否在该用户角色属性安全区间,若是,执行步骤S206,若否,执行步骤S210。
由于不同用户有不同的权限,通过标记规定了用户角色属性的安全区间,判断请求内容中的用户角色属性是否在该安全区间。
S206,判断请求次数是否超过该业务次数属性安全区间,若是,执行步骤S207,若否,执行步骤S210。
通过标记规定了次数属性的安全区间,判断请求次数是否超过相应的安全区间。
S207,判断响应数据量是否超过该业务容量属性安全区间,若是,执行步骤S208,若否,执行步骤S210。
通过标记规定了业务容量属性安全区间,判断响应数据量是否超过相应的安全区间。
S208,判断连接时长是否在该业务时间属性的安全区间,若是,执行步骤S209,若否,执行步骤S210.
通过标记规定了时间属性的安全区间,判断连接时长是否超过相应的安全区间。
S209,响应并记录请求次数、响应容量、连接时常。
S210,阻断。将报文对应的操作识别为异常应用操作,并进行阻断。
需要说明的是,以上实施例只是本申请的一种实现方案,本领域技术人员可以根据实际需要对步骤S204至S208的实施顺序进行灵活调整,并可灵活选择步骤S204至S208中的一步或几步进行对异常应用操作的识别。
通过应用以上技术方案,通过标记可以定义到一个应用某一个操作的不同属性所具备的安全敏感性,当标记系统感知到该操作在该虚拟空间超过了事先定义的敏感性级别,则被识别为异常操作。
相应的,本发明实施例还提出了另一种基于报文识别异常应用操作的方法,如图13所示,包括以下步骤:
S301,判断报文是否带标记,若是,执行步骤S302,若否,执行步骤S303。当接收到对应用的操作产生的报文后,判断该报文是否带标记。
S302,标记报文处理流程。当报文带标记时,按标记报文处理流程处理。
S303,判断请求业务类别是否为向非标记用户提供的类别,若是,执行步骤S304,若否,执行步骤S307。
报文中的请求业务分为不同的类型,判断请求业务类别是否为向非标记用户提供的类别。
S304,判断请求次数是否在安全区间,若是,执行步骤S305,若否,执行步骤S307。
次数属性有相应的安全区间,判断请求次数是否在安全区间。
S305,判断响应数据量是否在容量属性安全区间,若是,执行步骤S306,若否,执行步骤S307。
容量属性有相应的安全区间,判断响应数据量是否在容量属性安全区间。
S306,响应并记录应答次数、响应数据量。
S307,阻断。将报文对应的操作识别为异常应用操作,并进行阻断。
需要说明的是,以上实施例只是本申请的一种实现方案,本领域技术人员可以根据实际需要对步骤S304至S305的实施顺序进行灵活调整,并可灵活选择步骤S304至S305中的某一步或两步进行识别异常应用操作,还可选择其他属性的安全区间进行判断,如时间属性、空间属性、角色属性等。
应用可以为操作系统中的主体或客体,客体可以向主体发送包含业务请求的报文,如图14所示为本发明实施例中主体的报文处理流程示意图,主体的报文处理流程可以包括以下步骤:
S401,判断报文是否带标记,若是,执行步骤S402,若否,执行步骤S404。当接收到主体发送的报文后,判断该报文是否带标记。
S402,判断请求是否符合权限模型,若是,执行步骤S403,若否,执行步骤S404。权限模型规定了报文的各项权限安全区间,如请求业务类别,请求时长、请求的空间范围,请求的数据量,请求的用户角色以及请求的次数等,判断请求是否符合权限模型。
S403,应答。
S404,阻断并丢弃。将报文对应的操作识别为异常应用操作,将其阻断并丢弃。
如图15所示为本发明实施例中客体的报文处理流程示意图,客体的报文处理流程可以包括以下步骤:
S501,判断是否需要打标记,若否,执行步骤S502,若是,执行步骤S503。
S502,直接发送。
S503,打标记并发送。
如图11所示为本发明实施例中基于标记配置ACL策略的示意图,目前的ACL(Access Control Lists,访问控制列表)策略大多和IP密切相关,配置复杂。当使用标记空间来体现应用属性时,可以不再需要通过IP来识别报文来源属性,从而实现标记和IP的解耦,而只和物理位置有关系。当标记和IP解耦后,策略可以只和标记相关,映射到应用操作的安全区间,从而更容易分析出攻击目标,简化了运维操作。在一个网络里面,可通过手动配置对主体和客体进行标记配置,由操作系统根据配置自动进行对报文打标记、去标记、标记感知和判断等过程。
为了达到以上技术目的,本申请实施例还提出了一种基于报文识别异常应用操作的设备,如图16所示,所述设备包括:
接收模块601,用于接收基于对应用的操作所产生的报文,所述应用具体为操作系统中的主体或客体;
第一判断模块602,用于判断所述报文中是否携带与所述操作的属性对应的标记,并将携带了所述标记的报文确定为标记报文;
第一确定模块603,用于根据所述标记确定所述标记报文的敏感性级别;
识别模块604,用于当所述属性超出所述敏感性级别时,将所述操作识别为所述异常应用操作。
在具体的应用场景中,所述属性具体包括请求业务类别、和或时间属性、和或空间属性、和或容量属性、和或角色属性、和或请求次数属性,还包括:
第二确定模块,用于将未携带所述标记的报文确定为非标记报文;
第二判断模块,用于判断所述非标记报文对应的所述请求业务类别是否为向非标记用户提供的类别;
若是,根据所述非标记报文对应的所述请求次数属性和或所述容量属性识别所述异常应用操作;
若否,将所述操作识别为所述异常应用操作。
在具体的应用场景中,还包括:
第三确定模块,用于确定各所述属性的预设安全区间;
映射模块,用于将所述预设安全区间映射为所述标记中的具体字段;
建立模块,用于基于所述具体字段建立所述属性与所述标记的对应关系。
在具体的应用场景中,基于统一互联网协议安全选项CIPSO标准中的标记域确定所述具体字段,所述具体字段包括标记类型、标记长度和标记内容三个字段。
在具体的应用场景中,还包括:
分配模块,用于分别对所述主体和客体分配一个标记,并当所述主体的标记值大于所述客体的标记值时,所述主体对所述客体具有支配权。
最后应说明的是:以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不驱使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。

Claims (10)

1.一种基于报文识别异常应用操作的方法,其特征在于,所述方法包括:
接收基于对应用的操作所产生的报文,所述应用具体为操作系统中的主体或客体;
判断所述报文中是否携带与所述操作的属性对应的标记,并将携带了所述标记的报文确定为标记报文;
根据所述标记确定所述标记报文的敏感性级别;
当所述属性超出所述敏感性级别时,将所述操作识别为所述异常应用操作。
2.如权利要求1所述的方法,其特征在于,所述属性具体包括请求业务类别、和或时间属性、和或空间属性、和或容量属性、和或角色属性、和或请求次数属性,在判断所述报文中是否携带与所述操作的属性对应的标记之后,还包括:
将未携带所述标记的报文确定为非标记报文;
判断所述非标记报文对应的所述请求业务类别是否为向非标记用户提供的类别;
若是,根据所述非标记报文对应的所述请求次数属性和或所述容量属性识别所述异常应用操作;
若否,将所述操作识别为所述异常应用操作。
3.如权利要求1所述的方法,其特征在于,在判断所述报文中是否携带与所述操作的属性对应的标记之前,还包括:
确定各所述属性的预设安全区间;
将所述预设安全区间映射为所述标记中的具体字段;
基于所述具体字段建立所述属性与所述标记的对应关系。
4.如权利要求3所述的方法,其特征在于,基于统一互联网协议安全选项CIPSO标准中的标记域确定所述具体字段,所述具体字段包括标记类型、标记长度和标记内容三个字段。
5.如权利要求1所述的方法,其特征在于,在接收基于对应用的操作所产生的报文之前,还包括:
分别对所述主体和客体分配一个标记,并当所述主体的标记值大于所述客体的标记值时,所述主体对所述客体具有支配权。
6.一种基于报文识别异常应用操作的设备,其特征在于,所述设备包括:
接收模块,用于接收基于对应用的操作所产生的报文,所述应用具体为操作系统中的主体或客体;
第一判断模块,用于判断所述报文中是否携带与所述操作的属性对应的标记,并将携带了所述标记的报文确定为标记报文;
第一确定模块,用于根据所述标记确定所述标记报文的敏感性级别;
识别模块,用于当所述属性超出所述敏感性级别时,将所述操作识别为所述异常应用操作。
7.如权利要求6所述的设备,其特征在于,所述属性具体包括请求业务类别、和或时间属性、和或空间属性、和或容量属性、和或角色属性、和或请求次数属性,还包括:
第二确定模块,用于将未携带所述标记的报文确定为非标记报文;
第二判断模块,用于判断所述非标记报文对应的所述请求业务类别是否为向非标记用户提供的类别;
若是,根据所述非标记报文对应的所述请求次数属性和或所述容量属性识别所述异常应用操作;
若否,将所述操作识别为所述异常应用操作。
8.如权利要求6所述的设备,其特征在于,还包括:
第三确定模块,用于确定各所述属性的预设安全区间;
映射模块,用于将所述预设安全区间映射为所述标记中的具体字段;
建立模块,用于基于所述具体字段建立所述属性与所述标记的对应关系。
9.如权利要求8所述的设备,其特征在于,基于统一互联网协议安全选项CIPSO标准中的标记域确定所述具体字段,所述具体字段包括标记类型、标记长度和标记内容三个字段。
10.如权利要求6所述的设备,其特征在于,还包括:
分配模块,用于分别对所述主体和客体分配一个标记,并当所述主体的标记值大于所述客体的标记值时,所述主体对所述客体具有支配权。
CN201911110324.XA 2019-11-14 2019-11-14 一种基于报文识别异常应用操作的方法和设备 Active CN110933048B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911110324.XA CN110933048B (zh) 2019-11-14 2019-11-14 一种基于报文识别异常应用操作的方法和设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911110324.XA CN110933048B (zh) 2019-11-14 2019-11-14 一种基于报文识别异常应用操作的方法和设备

Publications (2)

Publication Number Publication Date
CN110933048A true CN110933048A (zh) 2020-03-27
CN110933048B CN110933048B (zh) 2022-03-22

Family

ID=69854003

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911110324.XA Active CN110933048B (zh) 2019-11-14 2019-11-14 一种基于报文识别异常应用操作的方法和设备

Country Status (1)

Country Link
CN (1) CN110933048B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113438216A (zh) * 2021-06-15 2021-09-24 中国国家铁路集团有限公司 一种基于安全标记的访问控制方法
CN113965584A (zh) * 2021-12-21 2022-01-21 北京达佳互联信息技术有限公司 报文处理方法、设备、装置及存储介质
CN115639968A (zh) * 2022-11-16 2023-01-24 苏州浪潮智能科技有限公司 一种对raid的容量空间的分配方法、装置、设备及介质
CN116561752A (zh) * 2023-07-07 2023-08-08 华测国软技术服务南京有限公司 一种应用软件的安全性测试方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6289462B1 (en) * 1998-09-28 2001-09-11 Argus Systems Group, Inc. Trusted compartmentalized computer operating system
US7062780B2 (en) * 1999-10-14 2006-06-13 Hewlett-Packard Development Company, L.P. Granular access control of inter-process communications in a compartment mode workstation labeled environment
CN103581156A (zh) * 2012-08-09 2014-02-12 中铁信息计算机工程有限责任公司 一种可信网络和可信网络的工作方法
CN110427759A (zh) * 2019-06-20 2019-11-08 中国科学院信息工程研究所 一种支持业务安全标记的网络资源浏览控制方法及系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6289462B1 (en) * 1998-09-28 2001-09-11 Argus Systems Group, Inc. Trusted compartmentalized computer operating system
US7062780B2 (en) * 1999-10-14 2006-06-13 Hewlett-Packard Development Company, L.P. Granular access control of inter-process communications in a compartment mode workstation labeled environment
CN103581156A (zh) * 2012-08-09 2014-02-12 中铁信息计算机工程有限责任公司 一种可信网络和可信网络的工作方法
CN110427759A (zh) * 2019-06-20 2019-11-08 中国科学院信息工程研究所 一种支持业务安全标记的网络资源浏览控制方法及系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
马新强等: "基于安全标签的访问控制研究与设计", 《计算机工程与设计》 *

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113438216A (zh) * 2021-06-15 2021-09-24 中国国家铁路集团有限公司 一种基于安全标记的访问控制方法
CN113438216B (zh) * 2021-06-15 2023-02-28 中国国家铁路集团有限公司 一种基于安全标记的访问控制方法
CN113965584A (zh) * 2021-12-21 2022-01-21 北京达佳互联信息技术有限公司 报文处理方法、设备、装置及存储介质
CN115639968A (zh) * 2022-11-16 2023-01-24 苏州浪潮智能科技有限公司 一种对raid的容量空间的分配方法、装置、设备及介质
CN115639968B (zh) * 2022-11-16 2023-02-28 苏州浪潮智能科技有限公司 一种对raid的容量空间的分配方法、装置、设备及介质
CN116561752A (zh) * 2023-07-07 2023-08-08 华测国软技术服务南京有限公司 一种应用软件的安全性测试方法
CN116561752B (zh) * 2023-07-07 2023-09-15 华测国软技术服务南京有限公司 一种应用软件的安全性测试方法

Also Published As

Publication number Publication date
CN110933048B (zh) 2022-03-22

Similar Documents

Publication Publication Date Title
CN110933048B (zh) 一种基于报文识别异常应用操作的方法和设备
US10498803B1 (en) Identifying communicating network nodes in the same local network
Kumar et al. Fog computing: Common security issues and proposed countermeasures
CN103607385B (zh) 基于浏览器进行安全检测的方法和装置
CN100425025C (zh) 应用服务器安全法与网络安全法的安全系统与方法
US20190253385A1 (en) Dynamic firewall configuration
CN101309272B (zh) 认证服务器及虚拟专用网的移动通信终端接入控制方法
US11223643B2 (en) Managing a segmentation policy based on attack pattern detection
CN112469044B (zh) 一种异构终端的边缘接入管控方法及控制器
US11558353B2 (en) Method, apparatus, and computer readable medium for providing security service for data center
CN107528712A (zh) 访问权限的确定、页面的访问方法及装置
CN100438427C (zh) 网络控制方法和设备
CN111181955B (zh) 一种基于标记的会话控制方法、设备和存储介质
CN111885031B (zh) 一种基于会话过程的细粒度访问控制方法及系统
US20080104233A1 (en) Network communication method and apparatus
US10785147B2 (en) Device and method for controlling route of traffic flow
CN113872933B (zh) 隐藏源站的方法、系统、装置、设备及存储介质
CN111212027A (zh) 一种基于企业浏览器实现的网络安全验证方法和装置
US10277713B2 (en) Role-based access to shared resources
CN112291204B (zh) 访问请求的处理方法、装置及可读存储介质
CN114584558B (zh) 云边协同分布式api网关系统及api调用方法
CN104618469B (zh) 一种基于代理网络架构的局域网访问控制方法及管理机
JP2014155095A (ja) 通信制御装置、プログラム及び通信制御方法
KR101160903B1 (ko) 네트워크 식별자 분류 시스템 및 그 방법
CN107508739B (zh) 一种通过vpn隧道传输数据的鉴权方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
PE01 Entry into force of the registration of the contract for pledge of patent right
PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: A Method and Equipment for Abnormal Application Operation Based on Message Identification

Effective date of registration: 20221011

Granted publication date: 20220322

Pledgee: Beijing first financing Company limited by guarantee

Pledgor: BEIJING JUSONTECH CO.,LTD.

Registration number: Y2022110000264