CN113411295A - 基于角色的访问控制态势感知防御方法及系统 - Google Patents
基于角色的访问控制态势感知防御方法及系统 Download PDFInfo
- Publication number
- CN113411295A CN113411295A CN202110492983.5A CN202110492983A CN113411295A CN 113411295 A CN113411295 A CN 113411295A CN 202110492983 A CN202110492983 A CN 202110492983A CN 113411295 A CN113411295 A CN 113411295A
- Authority
- CN
- China
- Prior art keywords
- role
- information
- user
- access
- network node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 34
- 230000007123 defense Effects 0.000 title claims abstract description 27
- 230000008447 perception Effects 0.000 claims abstract description 8
- 230000006399 behavior Effects 0.000 claims description 40
- 238000004891 communication Methods 0.000 claims description 16
- 238000004458 analytical method Methods 0.000 claims description 11
- 239000002131 composite material Substances 0.000 claims description 8
- 238000012545 processing Methods 0.000 claims description 7
- 238000012163 sequencing technique Methods 0.000 claims description 3
- 230000002159 abnormal effect Effects 0.000 description 19
- 238000001514 detection method Methods 0.000 description 10
- 230000008569 process Effects 0.000 description 8
- 230000006870 function Effects 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 5
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 4
- 241000700605 Viruses Species 0.000 description 3
- 230000009471 action Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 3
- 238000000605 extraction Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000001960 triggered effect Effects 0.000 description 3
- 206010000117 Abnormal behaviour Diseases 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 2
- 238000012550 audit Methods 0.000 description 2
- 238000013475 authorization Methods 0.000 description 2
- 230000003247 decreasing effect Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 230000000737 periodic effect Effects 0.000 description 2
- 238000013024 troubleshooting Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 238000012098 association analyses Methods 0.000 description 1
- 238000009412 basement excavation Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004140 cleaning Methods 0.000 description 1
- 238000010219 correlation analysis Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000012854 evaluation process Methods 0.000 description 1
- 238000005242 forging Methods 0.000 description 1
- 238000007499 fusion processing Methods 0.000 description 1
- 238000002513 implantation Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000005065 mining Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000008092 positive effect Effects 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 238000012502 risk assessment Methods 0.000 description 1
- 238000010079 rubber tapping Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Abstract
本发明提供了一种基于角色的访问控制态势感知路防御方法及系统,涉及网络安全技术领域。所述防御方法包括步骤:基于预设的角色访问控制规则,设置用户基于角色的访问权限和操作权限以及网络节点的数据信息的信息安全等级,并进行匹配;采集前述用户基于角色访问前述网络节点的信息,判断前述用户是否符合基于角色的访问权限,判定符合的情况下,获取用户的操作信息和前述操作的操作对象信息后,发送到态势感知系统;获取前述操作对象的信息安全等级,判断前述操作对象的信息安全等级是否匹配前述用户基于角色的操作权限;判定不匹配的情况下,触发告警。本发明保障网络的安全稳定运行,以及网络节点受到网络攻击时网络资源的损失最小。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及基于角色的访问控制态势感知防御。
背景技术
网络态势感知旨在大规模网络环境中对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及最近发展趋势的顺延性预测,进而进行决策与行动。
目前,态势感知技术主要通过采集网络原始数据与系统运行生成的动态安全数据等信息,再通过对数据进行实时分析实现。这种方法适用于一般信息系统,而我国等级保护要求高安全级别系统需要以访问控制机制为核心。因此,对高安全级别信息系统而言,进行态势感知应当以利用访问控制相关信息为主。
所述访问控制包括基于角色的访问控制,所述基于角色的访问控制是指基于授权规则的集中管理的基于角色的访问控制技术,将权限与角色相关联,把对用户的访问权限授予角色,然后为用户分配角色,用户通过角色获得访问权限,以此来简化权限的管理。
考虑到现有的网络攻击会对通过用户身份进行窃取资料和盗用用户身份信息的情况,以获得重要的网络资源,基于此,对现有的访问控制技术要结合态势感知系统实现网络节点数据信息的安全保护迫在眉睫。
综上,对如何提供一种基于角色的访问控制态势感知防御方法及系统,以实现用户在访问网络节点时,保障网络节点数据信息的安全,是当前亟需解决的技术问题。
发明内容
本发明的目的在于:克服现有技术的不足,提供一种基于角色的访问控制态势感知防御方法及系统,设置与用户基于角色的访问权限、操作权限以及网络节点的数据信息的信息安全等级相匹配的角色访问控制规则,应用于态势感知系统检测网络环境,在网络节点受到网络攻击时进行网络的安全防御。
为解决现有的技术问题,本发明提供了如下技术方案:
一种基于角色的访问控制态势感知防御方法,所述方法步骤为:
基于预设的角色访问控制规则,设置用户基于角色的访问权限和操作权限以及网络节点的数据信息的信息安全等级,所述用户基于角色的访问权限和操作权限与前述网络节点的数据信息的信息安全等级匹配;所述操作权限包括前述角色能够操作的数据信息的信息安全等级;
采集前述用户基于角色访问前述网络节点的信息,判断前述用户是否符合基于角色的访问权限,判定符合的情况下,获取用户的操作信息和前述操作的操作对象信息后,发送到态势感知系统;
通过态势感知系统,获取前述操作对象的信息安全等级,判断前述操作对象的信息安全等级是否匹配前述用户基于角色的操作权限;
判定不匹配的情况下,触发告警。
进一步,在触发告警后,还包括步骤:所述告警包括紧急告警和非紧急告警,判定为紧急告警时,对对应的网络节点进行安全防御,断开前述网络节点的网络访问,对网络节点所在的网络环境进行故障处理;和/或,定期检测出现过告警的网络节点,将前述网络节点的日志信息发送至态势感知系统进行安全分析。
进一步,所述角色访问控制规则包括基于角色的访问控制列表;所述访问控制列表包括基于角色的访问权限信息和基于角色的操作权限信息;所述基于角色的访问权限信息用于在用户基于角色访问网络节点时,判断前述角色是否匹配预设的标准身份信息;所述基于角色的操作权限信息用于检测前述用户在所访问的网络节点中的操作信息,判断前述操作是否匹配角色对应的操作权限。
进一步,所述访问控制列表还包括角色优先级信息,所述角色优先级信息用于设置不同角色对应的访问优先级和操作优先级;在多个用户访问和/或操作同一网络节点的同一数据信息时,获取所有用户的角色对应的优先级进行排序,优先处理高优先级的角色对应的用户的访问和/或操作。
进一步,所述访问控制列表包括单向访问控制列表和复合访问控制列表;所述单向访问控制列表根据单个访问权限和操作权限来分别设置能够进行的访问行为和操作行为;所述复合访问控制列表由多个访问权限和操作权限来一起设置能够进行的访问行为和操作行为。
进一步,在采集到用户通过IP地址提出接入前述网络节点的访问请求时,触发获取用户的操作信息;对于不符合前述角色访问控制规则的用户访问和用户操作,检测用户基于角色的访问请求中的前述IP地址,获取该IP地址的访问和操作记录信息,并进行轨迹追溯和/或轨迹安全分析。
进一步,在用户通过IP地址提出接入网络节点的访问请求之后,判断该访问请求是否符合所述角色访问控制规则,判断符合时,建立该网络节点与前述用户基于角色的通信连接。
进一步,还包括步骤,在用户访问网络节点前,对该网络节点所在网络环境中的与该网络节点相关的通信链路进行链路加密,在满足密文访问要求且前述用户的角色符合权限时,准许接入网络。
进一步,所述角色访问控制规则包括基于密码方案攻击模型的防御策略,对选择密文攻击或适应性选择密文攻击中的一种攻击模型进行防御。
一种基于角色的访问控制态势感知防御系统,其特征在于包括:
网络节点,用于收发数据;
态势感知系统,定期检测出现过告警的网络节点,将前述网络节点的日志信息进行安全分析;
系统服务器,所述系统服务器连接网络节点和态势感知系统。
所述的系统服务器被配置为:基于预设的角色访问控制规则,设置用户基于角色的访问权限和操作权限以及网络节点的数据信息的信息安全等级,所述用户基于角色的访问权限和操作权限与前述网络节点的数据信息的信息安全等级匹配;所述操作权限包括前述角色能够操作的数据信息的信息安全等级;采集前述用户基于角色访问前述网络节点的信息,判断前述用户是否符合基于角色的访问权限,判定符合的情况下,获取用户的操作信息和前述操作的操作对象信息后,发送到态势感知系统;通过态势感知系统,获取前述操作对象的信息安全等级,判断前述操作对象的信息安全等级是否匹配前述用户基于角色的操作权限;判定不匹配的情况下,触发告警。
本发明由于采用以上技术方案,与现有技术相比,作为举例,具有以下的优点和积极效果:所述基于用户的访问控制态势感知防御方法及系统设置与用户基于角色的访问权限、操作权限以及网络节点的数据信息的信息安全等级相匹配的角色访问控制规则,应用于态势感知系统检测网络环境,在网络节点受到网络攻击时进行网络安全防御,一方面保障网络的安全稳定运行,另一方面确保网络节点受到网络攻击时网络资源的损失最小。
附图说明
图1为本发明实施例提供的一个流程图。
图2为本发明实施例提供的系统的结构示意图。
附图标记说明:
系统S200,网络节点S201,态势感知系统S202,系统服务器S203。
具体实施方式
以下结合附图和具体实施例对本发明公开的一种基于角色的访问控制态势感知防御方法及系统作进一步详细说明。应当注意的是,下述实施例中描述的技术特征或者技术特征的组合不应当被认为是孤立的,它们可以被相互组合从而达到更好的技术效果。在下述实施例的附图中,各附图所出现的相同标号代表相同的特征或者部件,可应用于不同实施例中。因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
需说明的是,本说明书所附图中所绘示的结构、比例、大小等,均仅用以配合说明书所揭示的内容,以供熟悉此技术的人士了解与阅读,并非用以限定发明可实施的限定条件,任何结构的修饰、比例关系的改变或大小的调整,在不影响发明所能产生的功效及所能达成的目的下,均应落在发明所揭示的技术内容所能涵盖的范围内。本发明的优选实施方式的范围包括另外的实现,其中可以不按所述的或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
实施例
参见图1所示,为本发明提供的一个流程图S100。所述方法的实施步骤如下:
S101,基于预设的角色访问控制规则,设置用户基于角色的访问权限和操作权限以及网络节点的数据信息的信息安全等级,所述用户基于角色的访问权限和操作权限与前述网络节点的数据信息的信息安全等级匹配;所述操作权限包括前述角色能够操作的数据信息的信息安全等级。
所述角色访问控制规则包括用户基于角色的访问权限、用户基于角色的操作权限、网络节点的数据信息的信息安全等级,对前述信息进行整合后,形成用户基于角色进行网络访问的控制规则;所述控制规则以用户基于角色的形式对用户访问网络时的访问权限和操作权限匹配网络节点的数据信息的信息安全等级。
优选的,所述访问权限可以根据在各种预定义的组中用户的身份标识及其成员身份来限制访问某些信息项或某些控制,也可以由系统管理员用来控制用户访问网络资源的访问,所述资源包括但不限于服务器、目录和文件等,并且能够对用户和/或组授予访问特定对象的权限。
所述访问权限根据用户的角色进行设置,所述的访问操作权限与网络节点的信息安全等级匹配,以方便用户对网络节点提出访问申请时检测网络环境的安全性和稳定性。
所述操作权限包括但不限于访问、存储、编辑等操作行为,态势感知系统会记录每一次用户访问网络节点的操作行为,便于追踪用户的访问路径。
所述网络节点,是指处于网络环境中具有独立网络地址和数据处理功能的终端,所述的数据处理功能包括但不限于传送数据、接收数据和/或分析数据的功能。网络节点可以是工作站、客户、网络用户或个人计算机,也可以是服务器、打印机和其他网络连接的设备。整个网络环境中包括多个网络节点,这些网络节点通过通信线路连接,形成网络拓扑结构。所述通信线路可以是有线通信方式,也可以是无线通信方式。
所述信息安全等级可以是国家质量技术监督局标准规定的计算机信息系统安全保护能力的五个等级:用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级,也可以是基于用户自定义划分的网络数据信息安全保护等级。
作为举例而非限制,所述信息安全等级可以划分为五级,将信息根据安全等级划分为一级信息、二级信息、三级信息、四级信息和五级信息,其中一级信息为最重要的数据信息,各等级的数据信息的重要程度依次递减,五级信息为最不重要的数据信息;同样的,所述用户基于角色也可以设置为一级用户角色、二级用户角色、三级用户角色、四级用户角色和五级用户角色。例如,一级用户角色可以是最重要的用户,所述角色可以具有管理员的身份去管理其他等级的用户角色的访问操作权限和/或访问操作行为,各等级的用户角色对应的访问操作权限和/或访问操作行为的范围依次递减,五级用户角色的访问操作权限和/或访问操作行为覆盖的范围最小。
同样的,作为本实施例的一个优选实施方式,也可以对信息安全等级和用户基于角色的等级进行匹配,一级用户角色可以访问一级信息、二级信息、三级信息、四级信息和五级信息在内的所有的数据信息,同时可以设置其具备编辑、读写等访问操作行为;二级用户角色可以访问二级信息、三级信息、四级信息和五级信息在内的所有的数据信息,同时可以设置相应的具备编辑、读写等访问操作行为,依次类推,等级越低,所具备的访问操作权限和访问操作行为的允许范围就越小。
S102,采集前述用户基于角色访问前述网络节点的信息,判断前述用户是否符合基于角色的访问权限,判定符合的情况下,获取用户的操作信息和前述操作的操作对象信息后,发送到态势感知系统。
在本实施例中,所述用户基于角色访问前述网络节点的信息包括但不限于时间、地点、用户、交互、交互的内容等,对所述用户基于角色的访问请求涉及的信息进行实时的关联分析和路径追踪,能够实现网络安全的动态分析。
所述态势感知系统可以是整合防病毒软件、防火墙、入侵监测系统、安全审计系统等多个数据信息系统,以实现目前网络环境情况的评估,以及,前述网络环境未来变化趋势的预测。
优选的,所述态势感知系统可以包括但不限于数据采集、特征提取、态势评估、安全预警。
优选的,所述数据采集可以是对当前整个网络状态进行数据提取,包括但不限于网站安全日志、漏洞数据库、恶意代码数据库等多个数据进行统筹整理,也可以建立自己的信息数据库,根据数据属性进行数据采集。
优选的,所述特征提取可以对前述数据采集过程中收集的数据进行提取,进一步,对前述数据进行数据清洗,以保障数据的完整性和可操作性,完成数据预处理操作。
优选的,所述态势评估可以通过关联事件进行数据融合处理,包括但不限于从时间、空间、协议等多个方面进行关联识别,进一步,结合数据信息、对当前的时间进行危险评估、判断事件危险等级。
优选的,所述安全预警可以是前述数据采集、特征提取、态势评估过程之后,对网络环境根据指定的标准进行评估和预测,进一步,给出安全状态预警处理。
S103,通过态势感知系统,获取前述操作对象的信息安全等级,判断前述操作对象的信息安全等级是否匹配前述用户基于角色的操作权限。
S104,判定不匹配的情况下,触发告警。
即在判定不匹配的情况下,视为前述网络节点受到网络攻击,触发告警。
所述网络攻击是利用网络信息系统存在的漏洞和安全缺陷对系统和资源进行攻击,可以是针对计算机信息系统、基础设施、计算机网络或个人计算机设备的,任何类型的进攻动作。对于网络环境来说,所述网络攻击可以是破坏、揭露、修改、使软件或服务失去功能、在没有得到授权的情况下偷取或访问任何一计算机的数据,以达到破坏、欺骗和窃取数据信息等目的。
优选的,所述网络攻击包括但不限于篡改数据流,生成虚假数据流,篡改、伪造消息数据和终端拒绝服务,窃听,流量分析,破解弱加密的数据流,口令入侵,特洛伊木马,黑客软件,安全漏洞等攻击方式。
作为本实施例的优选实施方式,在触发告警后,还包括步骤:所述告警包括紧急告警和非紧急告警,判定为紧急告警时,对对应的网络节点进行安全防御,断开前述网络节点的网络访问,对网络节点所在的网络环境进行故障处理;和/或,定期检测出现过告警的网络节点,将前述网络节点的日志信息发送至态势感知系统进行安全分析。
所述紧急告警能够对告警中突然发生的异常数据进行报警,所述异常数据可以是异常操作、异常行为、异常数值等;优选的,所产生的紧急告警可以在态势感知系统基于告警数据进行分析后得出,并能够提供显示异常数据的指针;所述非紧急告警是指除紧急告警之外的其它告警情形。
所述故障处理针对网络环境中出现的故障进行排查,包括步骤:观察、描述故障现象,收集可能产生故障原因的信息;分析故障的原因,并制定解决方案;逐一实施解决方案,记录故障排查过程,直至网络恢复正常。
在本实施例中,所述网络节点的日志信息是指网络设备、系统及服务程序等,在运作时产生的事件记录,其中,每一行日志都记载着日期、时间、使用者及动作等相关操作的描述。所述网络节点的日志信息包括但不限于下述信息:
连接持续的时间,其数值以秒为单位,例如,其数值范围可以是:[0,58329];
协议类型,包括但不限于TCP、UDP、ICMP;
目标主机的网络服务类型;
连接正常或错误的状态;
从源主机到目标主机的数据字节数,例如,其数值范围可以是:[0,1379963888];
从目标主机到源主机的数据字节数,例如,其数值范围可以是:
[0,1309937401];
连接是否来自同一个主机,是否有相同的端口;
错误分段的数量,例如,其数值范围可以是:[0,3];
加急包的个数,例如,其数值范围可以是:[0,14]。
所述的定期检测可以设置检测时间或是检测时间周期,所述的定期检测可以是下述项目,包括但不限于:
网页防篡改,用以实时监控网站目录并通过备份恢复被篡改的文件或目录,保障重要系统的网站信息不被恶意篡改,防止出现挂马、黑链、非法植入恐怖威胁等内容。
进程异常行为,用以检测资产中是否存在超出正常执行流程的行为。
异常登录,用以检测服务器上的异常登录行为。所述异常登录可以是ECS非合法IP登录、ECS在非常用地登录、ECS登录后执行异常指令序列等。
敏感文件篡改,用以检测是否存在对服务器中的敏感文件进行恶意修改。
恶意进程,用以实时检测服务器,并对检测到的病毒文件提供实时告警。可检测子项包括访问恶意IP、挖矿程序、自变异木马、恶意程序、木马程序等。
异常网络连接,检测网络显示断开或不正常的网络连接状态。所述异常网络连接可以是主动连接恶意下载源、访问恶意域名、矿池通信行为、可疑网络外连、反弹Shell网络外连、Windows异常网络连接、疑似内网横向攻击、疑似敏感端口扫描行为等。
异常账号,用以检测非合法的登录账号。
应用入侵事件,用以检测通过系统的应用组件入侵服务器的行为。
病毒检测,可用以对主流勒索病毒、DDoS木马、挖矿和木马程序、恶意程序、后门程序和蠕虫病毒等类型进行主动防御。
Web应用威胁检测,用以检测通过Web应用入侵服务器的行为。
恶意脚本,用以检测资产的系统功能是否受到恶意脚本的攻击或篡改,对可能的恶意脚本攻击行为进行告警提示。
威胁情报用以利用威胁情报库对访问流量、日志进行关联分析,识别出可能已经发生的威胁事件,主要包括恶意域名访问、恶意下载源访问、恶意IP访问等不易直接发现的入侵行为。
恶意网络行为通过流量内容、服务器行为等日志综合判断的异常网络行为,包括攻击者通过开放的网络服务入侵主机、或主机沦陷后对外发起的异常网络行为。
优选的,所述角色访问控制规则包括基于角色的访问控制列表;所述访问控制列表包括基于角色的访问权限信息和基于角色的操作权限信息。
所述基于角色的访问权限信息用于在用户基于角色访问网络节点时,判断前述角色是否匹配预设的标准身份信息;对符合准入网络访问请求的,准许用户接入网络进行访问,前述操作属于权限验证,也可称为鉴权。
所述基于角色的操作权限信息用于检测前述用户在所访问的网络节点中的操作信息,判断前述操作是否匹配角色对应的操作权限。前述操作属于行为分析,可以采集所述操作信息,生成基于操作的日志信息,发送至态势感知系统。
作为举例而非限制,所述基于角色的访问控制列表可以是围绕角色展开的访问控制列表,所述的访问控制列表可以对每个角色都配有一个列表,并在所述列表中记录用户对应角色的访问权限和操作权限;也可以在用户对网络进行访问前,先从访问控制列表中检查该用户基于角色的访问权限和操作权限。
需要说明的是,在一个完整的网络环境中,当用户访问某一网络节点时,系统服务器首先会基于角色的访问控制列表辨识用户基于角色的访问权限和操作权限,并对用户的访问路径和操作以网络节点日志信息的形式进行记录;对于不符合前述情形的操作,态势感知系统可以对网络中的告警信息进行处理,对前述网络节点可以采取断开访问的措施对网络中的故障进行排查并处理,直至解决故障后再恢复该网络节点的数据传输,也可以实时检测网络环境是否是安全稳定的,在保障网络结构的正常数据传输的基础上给出针对网络节点受到网络攻击的防御策略。在防御阶段应当考虑最小损失原则,以减轻网络中数据信息受到篡改、窃取、加密、无法访问等操作所造成的资源损失。
优选的,所述访问控制列表还包括角色优先级信息,所述角色优先级信息用于设置不同角色对应的访问优先级和操作优先级;在多个用户访问和/或操作同一网络节点的同一数据信息时,获取所有用户的角色对应的优先级进行排序,优先处理高优先级的角色对应的用户的访问和/或操作。
作为举例而非限制,在一个网络结构中,如果同时有两个以上的用户基于角色对同一个网络节点提出了访问请求,此时,系统服务器会对这些访问请求进行处理,对具有相同访问操作权限和相同访问操作行为的访问请求,设置同一优先级,以实现多个用户对所述网络节点数据信息的访问操作,包括但不限于编辑、读取、写入等;对于其他的用户基于角色所提出的访问请求,则对不同访问操作权限或不同访问控制行为,都可以根据用户基于角色提出访问请求的时间、访问操作权限、访问操作行为设置不同的优先级,以完成网络中网络节点数据信息的相应操作,所述操作包括但不限于编辑、读取、写入等。
需要说明的是,在用户访问网络的过程中,对所述用户的网络环境,和接入的网络节点进行安全检查,包括但不限于各种防病毒软件版本,终端补丁漏洞,应用软件的黑、白、红名单检测,异常流量,敏感操作行为检测等,以确保整个网络的安全稳定。
优选的,所述访问控制列表包括单向访问控制列表和复合访问控制列表;所述单向访问控制列表根据单个访问权限和操作权限来分别设置能够进行的访问行为和操作行为;所述复合访问控制列表由多个访问权限和操作权限来一起设置能够进行的访问行为和操作行为。
具体的,所述单向访问控制列表由访问权限一一对应的访问行为或操作权限一一对应的操作行为来设置,即用户基于角色的访问控制可以只依据用户基于角色的访问权限对应的访问行为判断用户能否访问网络,也可以只依据用户基于角色的操作权限对应的操作行为判断用户能否访问网络;所述复合访问控制列表由多个访问权限和操作权限来一起设置,即在所述复合访问控制列表中,用户基于角色的访问控制有多个访问权限,所述访问权限下有多个操作权限,当用户基于角色的访问控制的情形符合其中一个访问权限下的某一操作权限时,用户就可以访问网络并进行相应操作。
作为优选的实施例,进一步,还可以,在采集到用户通过IP地址提出接入前述网络节点的访问请求时,触发获取用户的操作信息;对于不符合前述角色访问控制规则的用户访问和用户操作,检测用户基于角色的访问请求中的前述IP地址,获取该IP地址的访问和操作记录信息,并进行轨迹追溯和/或轨迹安全分析。
所述IP地址可以是根据用户遵守的IP协议所提供的统一的地址格式,所述IP地址可以为处于网络环境中的每一个网络节点和用户提出访问申请的终端设备分配一个逻辑地址,以便于态势感知系统对用户的访问路径进行跟踪,以及网络节点受到网络攻击时的追踪溯源。
作为优选的实施例,在用户通过IP地址提出接入网络节点的访问请求之后,判断该访问请求是否符合所述角色访问控制规则,判断符合时,建立该网络节点与前述用户基于角色的通信连接。
所述的通信连接是建立前述网络节点与前述用户访问请求的通信链路,所述通信链路通过前述网络节点与前述用户访问之间建立的通信协议得以实现,通信双方对数据传送控制。
在本实施例中,所述方法还可以包括步骤:在用户访问网络节点前,对同一信息安全等级的网络节点数据信息进行安全检测;在用户访问网络节点前,可以根据用户的访问操作权限、访问操作行为以及网络节点数据信息的重要程度划分信息安全等级;对同一信息安全等级的网络节点设置同一信息安全等级的数据信息安全检测,以检测网络节点的数据信息是否安全。
作为本实施例的一个优选实施方式,在用户访问网络节点前,对该网络节点所在网络环境中的与该网络节点相关的通信链路进行链路加密,在满足密文访问要求且前述用户的角色符合权限时,准许接入网络。
优选的,所述角色访问控制规则包括基于密码方案攻击模型的防御策略,对选择密文攻击或适应性选择密文攻击中的一种攻击模型进行防御。
所述基于密码方案攻击模型的防御策略是基于现有技术中的密码技术所实施的保障网络环境中各网络节点数据信息安全的防御方法,以实现网络环境的安全稳定。
上述技术方案尤其适用于基于角色的访问控制态势感知系统针对网络节点受到网络攻击时的防御。
其它技术特征参考在前实施例,在此不再赘述。
参见图2所示,本发明还给出了一个实施例,提供了一种基于角色的访问控制态势感知防御系统S200,所述系统包括:
网络节点S201,用于收发数据;
态势感知系统S202,定期检测出现过告警的网络节点,将前述网络节点的日志信息进行安全分析;
系统服务器S203,所述系统服务器连接网络节点和态势感知系统。
所述的系统服务器被配置为:基于预设的角色访问控制规则,设置用户基于角色的访问权限和操作权限以及网络节点的数据信息的信息安全等级,所述用户基于角色的访问权限和操作权限与前述网络节点的数据信息的信息安全等级匹配;所述操作权限包括前述角色能够操作的数据信息的信息安全等级;采集前述用户基于角色访问前述网络节点的信息,判断前述用户是否符合基于角色的访问权限,判定符合的情况下,获取用户的操作信息和前述操作的操作对象信息后,发送到态势感知系统;通过态势感知系统,获取前述操作对象的信息安全等级,判断前述操作对象的信息安全等级是否匹配前述用户基于角色的操作权限;判定不匹配的情况下,触发告警。
其它技术特征参见在前实施例,在此不再赘述。
在上面的描述中,在本公开内容的目标保护范围内,各组件可以以任意数目选择性地且操作性地进行合并。另外,像“包括”、“囊括”以及“具有”的术语应当默认被解释为包括性的或开放性的,而不是排他性的或封闭性,除非其被明确限定为相反的含义。所有技术、科技或其他方面的术语都符合本领域技术人员所理解的含义,除非其被限定为相反的含义。在词典里找到的公共术语应当在相关技术文档的背景下不被太理想化或太不实际地解释,除非本公开内容明确将其限定成那样。
虽然已出于说明的目的描述了本公开内容的示例方面,但是本领域技术人员应当意识到,上述描述仅是对本发明较佳实施例的描述,并非对本发明范围的任何限定,本发明的优选实施方式的范围包括另外的实现,其中可以不按所述出现或讨论的顺序来执行功能。本发明领域的普通技术人员根据上述揭示内容做的任何变更、修饰,均属于权利要求书的保护范围。
Claims (10)
1.一种基于角色的访问控制态势感知防御方法,所述方法步骤为:
基于预设的角色访问控制规则,设置用户基于角色的访问权限和操作权限以及网络节点的数据信息的信息安全等级,所述用户基于角色的访问权限和操作权限与前述网络节点的数据信息的信息安全等级匹配;所述操作权限包括前述角色能够操作的数据信息的信息安全等级;
采集前述用户基于角色访问前述网络节点的信息,判断前述用户是否符合基于角色的访问权限,判定符合的情况下,获取用户的操作信息和前述操作的操作对象信息后,发送到态势感知系统;
通过态势感知系统,获取前述操作对象的信息安全等级,判断前述操作对象的信息安全等级是否匹配前述用户基于角色的操作权限;
判定不匹配的情况下,触发告警。
2.根据权利要求1所述的方法,其特征在于,在触发告警后,还包括步骤:所述告警包括紧急告警和非紧急告警,判定为紧急告警时,对对应的网络节点进行安全防御,断开前述网络节点的网络访问,对网络节点所在的网络环境进行故障处理;
和/或,定期检测出现过告警的网络节点,将前述网络节点的日志信息发送至态势感知系统进行安全分析。
3.根据权利要求1所述的方法,其特征在于,所述角色访问控制规则包括基于角色的访问控制列表;所述访问控制列表包括基于角色的访问权限信息和基于角色的操作权限信息;
所述基于角色的访问权限信息用于在用户基于角色访问网络节点时,判断前述角色是否匹配预设的标准身份信息;
所述基于角色的操作权限信息用于检测前述用户在所访问的网络节点中的操作信息,判断前述操作是否匹配角色对应的操作权限。
4.根据权利要求3所述的方法,其特征在于,所述访问控制列表还包括角色优先级信息,所述角色优先级信息用于设置不同角色对应的访问优先级和操作优先级;
在多个用户访问和/或操作同一网络节点的同一数据信息时,获取所有用户的角色对应的优先级进行排序,优先处理高优先级的角色对应的用户的访问和/或操作。
5.根据权利要求3所述的方法,其特征在于,所述访问控制列表包括单向访问控制列表和复合访问控制列表;
所述单向访问控制列表根据单个访问权限和操作权限来分别设置能够进行的访问行为和操作行为;
所述复合访问控制列表由多个访问权限和操作权限来一起设置能够进行的访问行为和操作行为。
6.根据权利要求1中所述的方法,其特征在于,在采集到用户通过IP地址提出接入前述网络节点的访问请求时,触发获取用户的操作信息;
对于不符合前述角色访问控制规则的用户访问和用户操作,检测用户基于角色的访问请求中的前述IP地址,获取该IP地址的访问和操作记录信息,并进行轨迹追溯和/或轨迹安全分析。
7.根据权利要求6所述的方法,其特征在于,在用户通过IP地址提出接入网络节点的访问请求之后,判断该访问请求是否符合所述角色访问控制规则,判断符合时,建立该网络节点与前述用户基于角色的通信连接。
8.根据权利要求1中所述的方法,其特征在于还包括步骤,在用户访问网络节点前,对该网络节点所在网络环境中的与该网络节点相关的通信链路进行链路加密,在满足密文访问要求且前述用户的角色符合权限时,准许接入网络。
9.根据权利要求1中所述的方法,其特征在于,所述角色访问控制规则包括基于密码方案攻击模型的防御策略,对选择密文攻击或适应性选择密文攻击中的一种攻击模型进行防御。
10.一种基于角色的访问控制态势感知防御系统,其特征在于包括:
网络节点,用于收发数据;
态势感知系统,定期检测出现过告警的网络节点,将前述网络节点的日志信息进行安全分析;
系统服务器,所述系统服务器连接网络节点和态势感知系统;
所述的系统服务器被配置为:基于预设的角色访问控制规则,设置用户基于角色的访问权限和操作权限以及网络节点的数据信息的信息安全等级,所述用户基于角色的访问权限和操作权限与前述网络节点的数据信息的信息安全等级匹配;所述操作权限包括前述角色能够操作的数据信息的信息安全等级;
采集前述用户基于角色访问前述网络节点的信息,判断前述用户是否符合基于角色的访问权限,判定符合的情况下,获取用户的操作信息和前述操作的操作对象信息后,发送到态势感知系统;
通过态势感知系统,获取前述操作对象的信息安全等级,判断前述操作对象的信息安全等级是否匹配前述用户基于角色的操作权限;
判定不匹配的情况下,触发告警。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110492983.5A CN113411295A (zh) | 2021-05-07 | 2021-05-07 | 基于角色的访问控制态势感知防御方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110492983.5A CN113411295A (zh) | 2021-05-07 | 2021-05-07 | 基于角色的访问控制态势感知防御方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113411295A true CN113411295A (zh) | 2021-09-17 |
Family
ID=77678027
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110492983.5A Pending CN113411295A (zh) | 2021-05-07 | 2021-05-07 | 基于角色的访问控制态势感知防御方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113411295A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115001856A (zh) * | 2022-07-18 | 2022-09-02 | 国网浙江省电力有限公司杭州供电公司 | 基于数据处理的网络安全画像及攻击预测方法 |
| CN117235797A (zh) * | 2023-09-28 | 2023-12-15 | 广州工程技术职业学院 | 大数据资源访问智能管理方法及装置、设备、系统 |
| CN117459763A (zh) * | 2023-12-22 | 2024-01-26 | 杭州海康威视数字技术股份有限公司 | 基于动态编排的音视频安全保护方法、设备和系统 |
Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101064609A (zh) * | 2007-05-25 | 2007-10-31 | 上海众恒信息产业有限公司 | 一种信息系统的访问控制方法及装置 |
| CN101621518A (zh) * | 2009-07-20 | 2010-01-06 | 厦门敏讯信息技术股份有限公司 | 一种权限管理方法 |
| CN103685463A (zh) * | 2013-11-08 | 2014-03-26 | 浪潮(北京)电子信息产业有限公司 | 云计算系统中访问控制的方法和系统 |
| CN104484617A (zh) * | 2014-12-05 | 2015-04-01 | 中国航空工业集团公司第六三一研究所 | 一种基于多策略融合的数据库访问控制方法 |
| CN105827645A (zh) * | 2016-05-17 | 2016-08-03 | 北京优炫软件股份有限公司 | 一种用于访问控制的方法、设备与系统 |
| CN106657147A (zh) * | 2017-01-24 | 2017-05-10 | 柳州得实科技有限公司 | 一种基于rbac的权限管理系统 |
| CN108200045A (zh) * | 2017-12-28 | 2018-06-22 | 山东渔翁信息技术股份有限公司 | 安全态势感知系统和方法 |
| CN108768719A (zh) * | 2018-05-23 | 2018-11-06 | 郑州信大天瑞信息技术有限公司 | 一种应用操作日志审计系统 |
| CN109150853A (zh) * | 2018-08-01 | 2019-01-04 | 喻伟 | 基于角色访问控制的入侵检测系统及方法 |
| CN110445807A (zh) * | 2019-08-23 | 2019-11-12 | 瑞森网安(福建)信息科技有限公司 | 网络安全态势感知系统及方法 |
| CN111740983A (zh) * | 2020-06-17 | 2020-10-02 | 郑州云智信安安全技术有限公司 | 一种计算机网络安全态势感知系统及方法 |
| CN112118102A (zh) * | 2020-10-21 | 2020-12-22 | 国网天津市电力公司 | 一种电力专用的零信任网络系统 |
| CN112532605A (zh) * | 2020-11-23 | 2021-03-19 | 中信银行股份有限公司 | 一种网络攻击溯源方法及系统、存储介质、电子设备 |
| CN112702348A (zh) * | 2020-12-23 | 2021-04-23 | 绿瘦健康产业集团有限公司 | 一种系统权限管理方法及装置 |
| CN112953975A (zh) * | 2021-05-12 | 2021-06-11 | 南京恒先伟网络工程有限公司 | 一种网络安全态势感知系统及方法 |
-
2021
- 2021-05-07 CN CN202110492983.5A patent/CN113411295A/zh active Pending
Patent Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101064609A (zh) * | 2007-05-25 | 2007-10-31 | 上海众恒信息产业有限公司 | 一种信息系统的访问控制方法及装置 |
| CN101621518A (zh) * | 2009-07-20 | 2010-01-06 | 厦门敏讯信息技术股份有限公司 | 一种权限管理方法 |
| CN103685463A (zh) * | 2013-11-08 | 2014-03-26 | 浪潮(北京)电子信息产业有限公司 | 云计算系统中访问控制的方法和系统 |
| CN104484617A (zh) * | 2014-12-05 | 2015-04-01 | 中国航空工业集团公司第六三一研究所 | 一种基于多策略融合的数据库访问控制方法 |
| CN105827645A (zh) * | 2016-05-17 | 2016-08-03 | 北京优炫软件股份有限公司 | 一种用于访问控制的方法、设备与系统 |
| CN106657147A (zh) * | 2017-01-24 | 2017-05-10 | 柳州得实科技有限公司 | 一种基于rbac的权限管理系统 |
| CN108200045A (zh) * | 2017-12-28 | 2018-06-22 | 山东渔翁信息技术股份有限公司 | 安全态势感知系统和方法 |
| CN108768719A (zh) * | 2018-05-23 | 2018-11-06 | 郑州信大天瑞信息技术有限公司 | 一种应用操作日志审计系统 |
| CN109150853A (zh) * | 2018-08-01 | 2019-01-04 | 喻伟 | 基于角色访问控制的入侵检测系统及方法 |
| CN110445807A (zh) * | 2019-08-23 | 2019-11-12 | 瑞森网安(福建)信息科技有限公司 | 网络安全态势感知系统及方法 |
| CN111740983A (zh) * | 2020-06-17 | 2020-10-02 | 郑州云智信安安全技术有限公司 | 一种计算机网络安全态势感知系统及方法 |
| CN112118102A (zh) * | 2020-10-21 | 2020-12-22 | 国网天津市电力公司 | 一种电力专用的零信任网络系统 |
| CN112532605A (zh) * | 2020-11-23 | 2021-03-19 | 中信银行股份有限公司 | 一种网络攻击溯源方法及系统、存储介质、电子设备 |
| CN112702348A (zh) * | 2020-12-23 | 2021-04-23 | 绿瘦健康产业集团有限公司 | 一种系统权限管理方法及装置 |
| CN112953975A (zh) * | 2021-05-12 | 2021-06-11 | 南京恒先伟网络工程有限公司 | 一种网络安全态势感知系统及方法 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115001856A (zh) * | 2022-07-18 | 2022-09-02 | 国网浙江省电力有限公司杭州供电公司 | 基于数据处理的网络安全画像及攻击预测方法 |
| CN115001856B (zh) * | 2022-07-18 | 2022-10-21 | 国网浙江省电力有限公司杭州供电公司 | 基于数据处理的网络安全画像及攻击预测方法 |
| CN117235797A (zh) * | 2023-09-28 | 2023-12-15 | 广州工程技术职业学院 | 大数据资源访问智能管理方法及装置、设备、系统 |
| CN117459763A (zh) * | 2023-12-22 | 2024-01-26 | 杭州海康威视数字技术股份有限公司 | 基于动态编排的音视频安全保护方法、设备和系统 |
| CN117459763B (zh) * | 2023-12-22 | 2024-03-01 | 杭州海康威视数字技术股份有限公司 | 基于动态编排的音视频安全保护方法、设备和系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101737726B1 (ko) | 네트워크 트래픽에서의 불일치들을 검출하기 위한 하드웨어 자원들의 사용에 의한 루트킷 검출 | |
| Cazorla et al. | Cyber stealth attacks in critical information infrastructures | |
| CN106411562B (zh) | 一种电力信息网络安全联动防御方法及系统 | |
| CN113660224B (zh) | 基于网络漏洞扫描的态势感知防御方法、装置及系统 | |
| US10142343B2 (en) | Unauthorized access detecting system and unauthorized access detecting method | |
| CN113839935B (zh) | 网络态势感知方法、装置及系统 | |
| CN113411295A (zh) | 基于角色的访问控制态势感知防御方法及系统 | |
| Pradhan et al. | Intrusion detection system (IDS) and their types | |
| CN113411297A (zh) | 基于属性访问控制的态势感知防御方法及系统 | |
| CN114006723A (zh) | 基于威胁情报的网络安全预测方法、装置及系统 | |
| CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
| KR20170091989A (ko) | 산업 제어 네트워크에서의 보안 관제 평가 시스템 및 방법 | |
| CN113794590B (zh) | 处理网络安全态势感知信息的方法、装置及系统 | |
| CN114006722B (zh) | 发现威胁的态势感知验证方法、装置及系统 | |
| Aljurayban et al. | Framework for cloud intrusion detection system service | |
| KR20130085473A (ko) | 클라우드 컴퓨팅 서비스 침입 탐지 시스템의 암호화 시스템 | |
| Al Makdi et al. | Trusted security model for IDS using deep learning | |
| KR20130033161A (ko) | 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템 | |
| Zhao et al. | Network security model based on active defense and passive defense hybrid strategy | |
| CN115694928A (zh) | 全舰计算环境云端蜜罐、攻击事件感知和行为分析方法 | |
| Alim et al. | IDSUDA: An Intrusion Detection System Using Distributed Agents | |
| Wu et al. | A novel approach to trojan horse detection by process tracing | |
| Kishore et al. | Intrusion Detection System a Need | |
| Rajaallah et al. | Intrusion Detection Systems: To an Optimal Hybrid Intrusion Detection System | |
| CN112637217B (zh) | 基于诱饵生成的云计算系统的主动防御方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 200441 11th floor, No.2, Lane 99, Changjiang South Road, Baoshan District, Shanghai Applicant after: SHANGHAI NIUDUN TECHNOLOGY Co.,Ltd. Address before: Floor 11, building A5, Lane 1688, Guoquan North Road, Yangpu District, Shanghai, 200433 Applicant before: SHANGHAI NIUDUN TECHNOLOGY Co.,Ltd. |
|
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210917 |