CN114756866A - 动态安全防护的方法、装置、存储介质及电子设备 - Google Patents
动态安全防护的方法、装置、存储介质及电子设备 Download PDFInfo
- Publication number
- CN114756866A CN114756866A CN202110026307.9A CN202110026307A CN114756866A CN 114756866 A CN114756866 A CN 114756866A CN 202110026307 A CN202110026307 A CN 202110026307A CN 114756866 A CN114756866 A CN 114756866A
- Authority
- CN
- China
- Prior art keywords
- access
- information
- visitor
- evaluation
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了动态安全防护的方法、装置、存储介质及电子设备,上述方法包括响应于第一访问请求,获取访问者信息和访问设备信息;所述第一访问请求用于访问目标资源集;根据所述访问者信息和所述访问设备信息判断是否允许访问者访问所述目标资源集;若允许访问者访问,则根据所述访问者信息和所述访问设备信息生成访问评估信息;所述访问评估信息根据访问者的访问行为动态变动;获取第二访问请求,根据所述访问评估信息对所述第二访问请求进行响应;所述第二访问请求用于访问所述目标资源集中的资源。本发明可以达到主动安全防御的目的。
Description
技术领域
本公开涉及互联网技术领域,尤其涉及动态安全防护的方法、装置、存储介质及电子设备。
背景技术
传统安全是基于规则匹配的,应对方式也很简单,或者允许,或者拒绝,称为安全门式的防护策略。以安全门为分界攻守双方处于一种僵持的状态。黑客不间断挖掘漏洞和可利用弱点企图突破安全门,维护者也只能够不间断修补漏洞加固边界。这种安全门式的防护策略已经难以较好地适用当前的安全环境,尤其是大型云平台。同样,也很难支持当前的安全需求,对于0day、APT、钓鱼邮件等威胁防护能力较弱。
发明内容
为了至少相关技术中过度依赖安全门式的防护策略,难以适应当前的安全环境的技术问题,本公开实施例提供动态安全防护的方法、装置、存储介质及电子设备。
一方面,本公开提供了一种动态安全防护的方法,所述方法包括:
响应于第一访问请求,获取访问者信息和访问设备信息;所述第一访问请求用于访问目标资源集;
根据所述访问者信息和所述访问设备信息判断是否允许访问者访问所述目标资源集;
若允许访问者访问,则根据所述访问者信息和所述访问设备信息生成访问评估信息;所述访问评估信息根据访问者的访问行为动态变动;
获取第二访问请求,根据所述访问评估信息对所述第二访问请求进行响应;所述第二访问请求用于访问所述目标资源集中的资源。
另一方面,本公开提供一种动态安全防护的装置,所述装置包括:
第一访问请求处理模块,用于响应于第一访问请求,获取访问者信息和访问设备信息;所述第一访问请求用于访问目标资源集;
访问判断模块,用于根据所述访问者信息和所述访问设备信息判断是否允许访问者访问所述目标资源集;
访问评估信息处理模块,用于若允许访问者访问,则根据所述访问者信息和所述访问设备信息生成访问评估信息;所述访问评估信息根据访问者的访问行为动态变动;
动态响应模块,用于获取第二访问请求,根据所述访问评估信息对所述第二访问请求进行响应;所述第二访问请求用于访问所述目标资源集中的资源。
另一方面,本公开提供了一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有至少一条指令或至少一段程序,所述至少一条指令或至少一段程序由处理器加载并执行以实现上述的一种动态安全防护的方法。
另一方面,本公开提供了一种电子设备,其特征在于,包括至少一个处理器,以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述至少一个处理器通过执行所述存储器存储的指令实现上述的一种动态安全防护的方法。
本公开提供了动态安全防护的方法、装置、存储介质及电子设备。本公开可以对访问者访问的全过程进行实时动态的安全评估,并且实时根据安全评估的结果动态调整响应策略,从而达到主动安全防御的目的,节省人力成本和设备成本,提供持续性实时动态的安全防护。
附图说明
为了更清楚地说明本公开实施例或相关技术中的技术方案和优点,下面将对实施例或相关技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它附图。
图1是本公开提供的相关技术中动态安全评估示意图;
图2是本公开提供的一种动态安全防护的方法的一种可行的实施框架示意图;
图3是本公开提供的一种动态安全防护的方法的流程示意图;
图4是本公开提供的根据所述访问者的访问行为更新所述访问评估信息的流程图;
图5是本公开提供的构建孤立森林的流程图;
图6是本公开提供的一个孤立树的示意图;
图7是本公开提供的根据对应的访问特征信息和对应的目标孤立树,确定对应的评估信息的流程图;
图8是本公开提供的某个访问行为对应的两个孤立树的示例图;
图9是本公开提供的根据所述访问评估信息对所述第二访问请求进行响应的流程图;
图10是本公开提供的一种动态安全防护的方法的示意图;
图11是本公开提供的一种动态安全防护的框图;
图12是本公开提供的一种用于实现本公开实施例所提供的方法的设备的硬件结构示意图。
具体实施方式
下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本公开一部分实施例,而不是全部的实施例。基于本公开中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或服务器不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
为了使本公开实施例公开的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本公开实施例进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本公开实施例,并不用于限定本公开实施例。
以下,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本实施例的描述中,除非另有说明,“多个”的含义是两个或两个以上。为了便于理解本公开实施例上述的技术方案及其产生的技术效果,本公开实施例首先对于相关专业名词进行解释:
零信任:零信任(Zero Trust,ZT)提供了一系列概念和思想,在假定网络环境已经被攻陷的前提下,当执行信息系统和服务中的每次访问请求时,降低其决策准确度的不确定性。零信任架构(ZTA)则是一种企业网络安全的规划,它基于零信任理念,围绕其组件关系、工作流规划与访问策略构建而成。
可信计算:可信计算(Trusted Computing,TC)是一项由可信计算组(可信计算集群,前称为TCPA)推动和开发的技术。可信计算是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台,以提高系统整体的安全性。
孤立森林(Isolation Forest):也称为iForest,可以识别异常活动,而不是分析典型数据点。iForest适用于连续数据(Continuous Numerical Data)的异常检测,将异常定义为“易被孤立的点”,可以理解为分布稀疏且离高密度群体较远的点。用统计学来解释,在数据空间里面,分布稀疏的区域表示数据发生在此区域的概率很低,因此可以认为落在这些区域里的数据是异常的。通常用于网络安全中的攻击检测和流量异常等分析。对于找出的异常数据,直接清除或深入分析,比如分析攻击,欺诈的行为特征。iForest可以识别异常活动。类似于基于决策树的任意树集成方法。在这些树中,首先通过任意选择一个组件,然后在指定特征集中的最小值和最大值范围内随机选择一个值来生成分区。
iForest属于无参数和无监督的方法,即不用定义数学模型也不需要有标记的训练。确定一个维度的特征,并在最大值和最小值之间随机选择一个值x,然后按照大于x和不大于x把数据分成左右两组,重复上述步骤,直到数据不可再分。直观上,异常数据由于跟其他数据点较为疏离,可能需要较少几次切分就可以将它们单独划分出来,而正常数据恰恰相反。这是孤立森林的核心概念。
如何切割数据空间是孤立森林的设计核心思想,由于切割是随机的,所以需要用组合的方法来得到一个收敛值(蒙特卡洛方法),即反复切割,然后对每次结果取平均值。蒙特卡洛的原理是先大量模拟,然后计算一个事件发生的次数,再通过这个发生次数除以总模拟次数,得到想要的结果。比如投3个骰子,计算3个骰子同时是6的概率,可以模拟投N次(随机样本数),统计同时是6出现的次数C,然后C除以N即是计算结果。孤立森林由多个孤立树(Isolation Tree,iTree)组成,每个孤立树是一个二叉树结构。
APT攻击:高级可持续威胁攻击。
DDoS攻击:分布式拒绝服务攻击。
0day攻击:在软件或者其他计算机产品发布后,在最短时间内对其进行相关破解的攻击。
动态安全评估是一个庞大的体系,其包括大数据、人工智能、机器学习、自动化、行为分析、威胁检测、安全防护、安全评估等方面,集主流技术与一体打造出一个自适应自判断安全防护平台。请参考图1,其示出了动态安全评估示意图,通过融合各种安全情报达到动态进行安全评估的目的。动态安全评估,包括4个主要部分:
风险,是指判定网络中安全风险,包括判定攻击、漏洞、违规、异常等等。持续自适应风险评估是从防护的角度看问题,力图识别出坏人(攻击、漏洞、威胁等)。
可信,是指判定身份,进行访问控制。持续自适应信任评估是从访问控制的角度看问题,力图识别出好人(授权、认证、访问)。
智能,是指我们在判定风险(包括攻击)的时候,不能仅仅依靠阻止措施,我们还要对网络进行细致地监测与响应,这其实就是自适应安全架构的范畴。另一方面,在我们进行身份与访问控制的时候,也不能仅仅依靠简单的凭据,还需要根据访问的相互联系和访问行为进行综合研判,动态赋权、变更权限。
持续,是指这个风险和信任的研判过程是持续不断,反复多次进行的。
有鉴于相关技术中的安全门式的防护策略难以适应日益提升的安全需求,本公开提供一种动态安全防护方法,通过根据访问者的多维度信息以及访问行为实时动态地对访问者的可信程度进行评估,根据评估结果约束访问者的管理行为,达到安全防护的目的。有别于相关技术中的安全门式的防护策略,本公开对用户访问进行更细粒度的访问控制,并且即使允许访问者访问,也可以根据继续实时对访问者进行可信程度的评估,随时对其访问行为进行约束,达到精细防护的目的。
事实上,相关技术中难以实现绝对安全,因此通常是基于使用预定义的黑白名单的进行安全门控制决策。然而,有些攻击(比如0day攻击)没有可以通过安全门控制决策而得到系统(本公开将系统成为目标资源集)的访问权限时,这些攻击就可以轻易访问目标资源集中的资源,系统难以继续这些攻击进行拦截,即一旦攻击突破安全门就难以再对其进行有效控制。因此,基于安全门控制决策的相关技术只能够不断加大安全门的安全能力,通过越来越频繁的反恶意软件扫描、越来越长的密码结合越来越短的密码变更周期来不断提升安全门控制策略的安全强度,与之相应的,也会对用户造成干扰,比如导致突破安全门进入系统的门槛过高,使得大量用户无法访问。
如果在用户访问的全过程都可以有效进行安全防护,而不仅依赖于安全门,就可以不必在用户请求访问系统的开始就进行高强度的安全门控,降低对用户的干扰,并且可以实时根据用户的行为进行安全防护,使得黑客即使突破安全门也难以对系统造成显著打击。因此,本公开提供一种可以在户访问的全过程都可以有效进行安全防护的动态安全防护的方法。
请参阅图2,图2是本公开实施例提供的一种动态安全防护的方法的一种可行的实施框架示意图,如图2所示,该实施框架可以至少包括客户端01和服务器02。
服务器02在本公开实施例中可以包括目标访问资源集,目标访问资源集中可以包括多种资源,每种资源都可以为客户端01提供至少一种服务。服务器02中可以对客户端01访问上述目标访问资源集中任意资源的全过程进行动态防护。
本公开中服务器02可以基于云技术(Cloud technology)构建,云技术是指在广域网或局域网内将硬件、软件、网络等系列资源统一起来,实现数据的计算、储存、处理和共享的一种托管技术。云技术(Cloud technology)基于云计算商业模式应用的网络技术、信息技术、整合技术、管理平台技术、应用技术等的总称,可以组成资源池,按需所用,灵活便利。云计算技术将变成重要支撑。技术网络系统的后台服务需要大量的计算、存储资源,如视频网站、图片类网站和更多的门户网站。伴随着互联网行业的高度发展和应用,将来每个物品都有可能存在自己的识别标志,都需要传输到后台系统进行逻辑处理,不同程度级别的数据将会分开处理,各类行业数据皆需要强大的系统后盾支撑,只能通过云计算来实现。
服务器02依托于云技术可以为客户端01提供云服务,本公开中云服务可以包括但不限于云计算、云存储、医疗云、云物联、云呼叫、云教育、云会议、云社交、云人工智能等服务。
其中,客户端01上可以运行用于访问服务器02的应用程序,上述客户端01可以向服务器02发送第一访问请求,所述第一访问请求用于访问服务器02的目标资源集,以及向服务器02发送第二访问请求,所述第二访问请求用于访问所述目标资源集中的资源。服务器02响应所述第一访问请求,以及第二访问请求,并且对响应第一访问请求和第二访问请求的全过程进行安全防护。
具体地,上述客户端01可以包括智能手机、台式电脑、平板电脑、笔记本电脑、数字助理、智能可穿戴设备等各种可以具备通信能力和显示能力的实体设备,也可以包括运行于实体设备中的软体。
具体地,上述服务器02可以包括一个独立运行的服务器,或者分布式服务器,或者由多个服务器组成的服务器集群。服务器02可以包括有网络通信单元、处理器和存储器等等。
以下介绍本公开的一种动态安全防护的方法,图3示出了本公开实施例提供的一种动态安全防护的方法的流程示意图,本公开提供了如实施例或流程图上述的方法操作步骤,但基于常规或者无创造性的劳动可以包括更多或者更少的操作步骤。实施例中列举的步骤顺序仅仅为众多步骤执行顺序中的一种方式,不代表唯一的执行顺序。在实际中的系统或服务器产品执行时,可以按照实施例或者附图所示的方法顺序执行或者并行执行(例如并行处理器或者多线程处理的环境)。图3所示的方法以服务器为实施主体,上述方法可以包括:
S101.响应于第一访问请求,获取访问者信息和访问设备信息;所述第一访问请求用于访问目标资源集。
本公开中第一访问请求用于访问者进入目标资源集,只有当访问者进入目标资源集,访问者才可以在可以向目标资源集中的某个目标发起进一步地访问请求。
以目标资源集为某个企业的服务系统为例,第一访问请求可以是登录所述服务系统的网站,只有当第一访问请求被成功相应,访问者才能浏览该网站,从而有机会访问该网站中的各项资源。
本公开访问者信息可以包括访问者个人的各种信息,示例性的,可以包括访问者标识、访问者对于各个资源的访问权限,访问者上次登录状态,访问者当前可信任等级,访问者的社会关系等。本公开不限定访问者信息的具体内容。
在一个实施例中,所述访问者信息包括访问者在预设用户数据库的查询结果和访问者在群组数据库的查询结果,通过双库查询结果可以对访问者信息进行更为详细的描述。
本公开访问设备信息可以包括访问设备的各种信息,示例性的,可以包括访问设备标识、访问设备更新状态、访问设备安全状态、访问设备历史访问记录等。本公开不限定访问设备信息的具体内容。
在一个实施例中,访问设备信息可以通过元清单数据库进行查询。本公开中只有受控设备才能访问应用或数据。在设备的全生命周期中,追踪设备的变化得到的信息可能会按照信息的种类不同而被存储在各个数据库中,因此,本公开使用原清单数据库综合查询设备的各种信息,根据元清单数据库的查询结果得到访问设备信息。
在一个实施例中,还可以根据元清单数据库的查询结果为访问设备签发证书,示例性的,若该访问设备在该元清单数据库存在并且状态正常,则可以为该访问设备签发证书。证书存储在硬件或软件形态的可信平台,或可靠的系统证书库中。设备认证过程需要验证证书存储区的有效性,只有被认为足够安全的设备才可以被归类为受控设备,并允许该设备访问目标资源集。
S102.根据所述访问者信息和所述访问设备信息判断是否允许访问者访问所述目标资源集。
本公开中只有当访问者信息和访问设备信息同时满足访问目标资源集的条件时,才允许访问者访问所述目标资源集。本公开并不对上述条件进行限定。
示例性的,只有访问者信息表征访问者在访问者数据库和群组数据库中均状态正常,才判定访问者信息满足访问目标资源集的条件;只有访问设备信息表征访问设备为受控设备,才判定访问设备信息满足访问目标资源集的条件。
S103.若允许访问者访问,则根据所述访问者信息和所述访问设备信息生成访问评估信息;所述访问评估信息根据访问者的访问行为动态变动。
本公开中若允许访问者访问,则响应该第一访问请求。示例性的,以该第一访问请求为登录系统网站为例,响应该第一访问请求后即可以为访问者显示该系统网站的网页,允许系统对网页中的各个资源发出进一步的访问请求。
当允许访问者访问目标资源集后,可以为访问者生成初始的访问评估信息,该访问评估信息在访问者访问目标资源集中任意资源的全过程中一直携带,并且根据用户的访问行为动态变动。
在一个可行的实施例中,访问设备信息可以包括设备更新状态、设备型号和设备访问位置,访问设备信息可以影响访问评估信息。
示例性的,若访问设备在一段时间内没有连接到网络,没有更新到最新状态,缺少几个非关键补丁,其访问评估信息中的信任值可能会下降第一梯度,如果缺少关键补丁,或者防病毒软件报告该设备已感染病毒,其访问评估信息的信任值可能会下降第二梯度;如果该访问设备信息指示该访问设备为被盗设备,则访问评估信息的信任值可能会下降第三梯度。会被拒绝访问所有企业资源。
示例性的,某一类特定设备,比如特定型号的手机或者平板电脑,可能会被导致访问评估信息被赋予固定值。
在一个可行的实施例中,访问者信息也可以用于确定访问者的可信任等级,该可信任等级也可以影响访问评估信息,即本公开中访问评估信息根据访问设备信息和访问者信息唯一确定。
本公开中访问评估信息可以被设定一个初始值,根据访问者信息和访问设备信息对该初始值进行修正,得到修正后的访问评估信息,用户携带该修正后的访问评估信息访问目标资源集中的资源。
示例性的,该访问评估信息可以被表示为风险值/信任值的形式,风险值和信任值的总和为1。初始值为0.5/0.5。若信任值下降第一梯度,可能变成0.6/0.4;信任值下降第二梯度,可能变成0.8/0.2,信任值下降第三梯度,可能变成1/0。
S104.获取第二访问请求,根据所述访问评估信息对所述第二访问请求进行响应;所述第二访问请求用于访问所述目标资源集中的资源。
本公开中第二访问请求可以泛指访问者在目标资源集进行访问的过程中的任意访问请求,本公开不限定第二访问请求的具体内容和访问时机。即访问者在目标资源集范畴进行访问时发出的请求都是第二访问请求,伴随各个第二访问请求的发起和响应,访问评估信息进行动态变动,并且变动后的访问信息将作为下一次第二访问请求的响应依据。
对于任意的第二访问请求的响应全过程,可以根据所述访问者的访问行为更新所述访问评估信息。请参考图4,其示出了根据所述访问者的访问行为更新所述访问评估信息的流程图,包括:
S10.获取所述访问者的访问行为。
S20.确定所述访问行为对应的至少一个访问特征,以及每个访问特征对应的访问特征信息。
本公开中访问行为可以具备至少一个访问特征,通过至少一个访问特征可以对访问行为进行较为全面的描述。示例性的,以访问行为是请求访问某个端口为例,该访问行为的访问特征可以包括访问设备登录地点,访问流量,访问频率。
若访问者发出的第二访问请求是请求访问某个端口,则访问特征即为访问设备登录地点,访问流量,访问频率,而具体地设备登录地点,访问流量,访问频率取值即为其分别对应的访问特征信息。
S30.在孤立森林中确定每个访问特征对应的目标孤立树。
相应的,可以在孤立森林中确定访问设备登录地点,访问流量,访问频率分别对应的孤立树,即为步骤S30中的目标孤立树。
在步骤S30之前,本公开还包括构建孤立森林的步骤,请参考图5,其示出了构建孤立森林的流程图,包括:
S301.确定至少一个访问行为。
S302.对于每个所述访问行为,确定所述访问行为对应的至少一个访问特征。
S303.对于每个所述访问特征,获取对应的样本集;所述样本集用于描述历史访问者的所述访问特征。
S304.根据所述样本集构建所述访问特征对应的孤立树。
在一个实施例中,所述根据所述样本集构建所述访问特征对应的孤立树,包括:
S3041.生成根节点,所述根节点包括所述样本集中的全部样本,将所述根节点确定为当前节点。
S3042.在所述当前节点包括的各个样本中随机确定切分值,所述切分值为所述当前节点包括的各个样本的访问特征的取值构成的集合中的其中一个值。
S3043.根据所述切分值生成所述当前节点的左子节点和右子节点,所述左子节点包括所述当前节点中访问特征的取值小于所述切分值的全部样本,所述右子节点包括所述当前节点中访问特征的取值大于或等于所述切分值的全部样本。
S3044.将所述左子节点和所述右子节点分别作为当前节点,重复执行步骤S3042直至达到预设的停止条件。
本公开中若当前节点只包括一个样本或者当前节点的深度达到预设阈值,则判定达到所述停止条件。示例性的,为了得到孤立树,可以选择256个样本构成样本集,并且上述预设阈值为8。
示例性的,请参考图6,其示出了一个孤立树的示意图。孤立树可以对基于包括四个样本a,b,c,d的样本集构建得到。对于孤立树而言,高度越低的样本的异常可能最高,因此,d的异常可能性最大,b和c的异常可能性最小。
将根据孤立树得到的异常可能映射在[0,1]的概率空间,则越接近1表示是异常的可能性高,越接近0表示是正常的可能性高,如果大部分的样本都接近于0.5,说明整个数据集都没有明显的异常。
S305.根据构建得到的孤立树,生成孤立森林。
本公开可以对需要基于孤立树进行评估的访问行为的各个访问都构建对应的孤立树,从而得到孤立森林。示例性的,若需要对三个访问行为A,B,C进行基于孤立树的行为评估,其中A有三个特征,B有4个特征,C有7个特征,则孤立森林中包括14颗孤立树。
S40.对于每个访问特征,根据对应的访问特征信息和对应的目标孤立树,确定对应的评估信息。
请参考图7,其实示出了根据对应的访问特征信息和对应的目标孤立树,确定对应的评估信息的流程图,包括:
S41.计算所述访问特征信息在所述目标孤立树中命中的叶子节点在所述目标孤立树中的高度。
S42.根据所述高度计算所述访问行为在所述目标孤立树的路径长度,将所述评估长度确定为所述评估信息。
本公开中目标孤立树对应的样本集的样本数被即为N,则路径长度可以根据公式h(x)=e+C(N)计算得到,其中,x表示特征访问信息,e表示所述叶子节点在所述目标孤立树的高度,C(N)是一个修正值,它表示在一棵用N条样本数据构建的二叉树的平均路径长度。
在一个实施例中,修正值C(N)可以根据公式
计算得到,其中H(N)可以根据ln(N)+0.5772156649估算得到。
S50.根据各个评估信息计算评估结果。
所述根据各个评估信息计算评估结果,包括:
S51.根据所述访问行为在每一颗目标孤立树的路径长度,计算所述访问行为的评估值。
在一个实施例中,可以根据公式
其中E(h(x))表征各个特征访问信息的路径长度的均值。
从评估值的公式看,如果评估值越接近1,表明访问行为越异常;如果评估值越接近0,表示访问行为越正常。
请参考图8,其示出了某个访问行为对应的两个孤立树的示例图。这两个孤立树分别从访问行为的动作和流量的维度衡量该访问行为的异常程度。
下边举个简单例子。
若该访问动作行为指的是端口扫描操作,由图8可知,用户E的行为被单独分离出来并且流量也是异常的,其评估值可能会接近1,有较大的可能是恶意行为,其风险值/信任值会变为0.8/0.2,被视为高风险等级。而用户D的行为在第二层被单独分离,但是在流量对应的孤立树中位于最后一层,那么用户D可能是在某个时段执行了一个特殊或错误操作,实际并非恶意行为,其风险值/信任值可能会成为0.55/0.45,风险等级视为普通。对于用户B,在两个孤立树中均为最后一层,说明其是可信用户风险值/信任值不进行变动。
S52.根据所述评估值和各个所述评估信息,得到评估结果。
在一个实施例中,若所述评估值低于预设安全分值,则所述访问评估信息不变;若所述评估值高于或等于所述预设安全分值,则根据各个所述评估信息生成评估信息画像;访问预设更新规则库,得到与所述评估信息画像对应的目标更新规则,根据所述目标评估规则更新所述访问评估信息。
所述预设更新规则库中存储多条更新访问评估信息的规则。示例性的,若所述访问评估信息包括三条,分别为第一信息,第二信息和第三信息,则该评估信息画像由第一信息、第二信息和第三信息构成。示例性的其对应的目标更新规则中可以包括第一阈值、第二阈值和第三阈值,根据第一信息与第一阈值的关系、第二信息与第二阈值的关系,以及第三信息与第三阈值的关系可以对访问评估信息进行更新。
S60.根据所述评估结果更新所述访问评估信息。
在一个实施例中,请参考图9,其示出了根据所述访问评估信息对所述第二访问请求进行响应的流程图,包括:
S1041.根据所述访问评估信息确定访问者信任等级。
S1042.获取响应所述第二访问请求所需的目标信任等级。
S1043.若所述访问者信任等级大于或等于所述目标信任等级,则直接响应所述第二访问请求。
S1044.若所述访问者信任等级小于所述目标信任等级,则获取所述第二访问请求对应的交互调整策略;根据所述交互调整策略响应所述第二访问请求。
本公开中交互调整策略可以是采取步骤增加信任,也可以是采取措施降低风险。示例性的,采取步骤增加信任可以是向访问者发送一个请求,要求进行更强的身份验证,以增强对访问者确认是其声称的用户的保证。或者,访问者可以被限制只能下载到托管设备。采取措施降低风险可以是在下载内容时使用数字权限管理对内容进行隐藏,或者阻止下载。
本公开中随着不断的对第二访问请求进行相应,访问者的访问评估信息也动态产生变动,根据变动的结果可以相应的确定交互调整策略,从而动态对访问者的访问行为进行防护,这个过程贯穿访问者在目标访问集范畴内的资源的访问的过程的始终。本公开假定低风险通常始终存在,因此将相关技术中追求完美和消除所有风险的思路,转移到在动态防护的过程中发现和消除不必要的和过高的风险的思路。
请参考图10,其示出了本公开提供的一种动态安全防护的方法的示意图,假定访问者发出的请求是不可信的,在对访问者访问请求的进行响应的过程中动态对访问者的风险进行安全评估,并且根据安全评估的结果对访问者的访问过程进行干预,并且根据安全评估的结果对新的访问请求进行响应。
本公开示出的一种动态安全防护的方法可以对访问者访问的全过程进行实时动态的安全评估,并且实时根据安全评估的结果动态调整响应策略,从而达到主动安全防御的目的,节省人力成本和设备成本,提供持续性实时动态的安全防护。
本公开实施例还公开了一种动态安全防护的装置,如图11所示,上述装置包括:
第一访问请求处理模块101,用于响应于第一访问请求,获取访问者信息和访问设备信息;所述第一访问请求用于访问目标资源集;
访问判断模块102,用于根据所述访问者信息和所述访问设备信息判断是否允许访问者访问所述目标资源集;
访问评估信息处理模块103,用于若允许访问者访问,则根据所述访问者信息和所述访问设备信息生成访问评估信息;所述访问评估信息根据访问者的访问行为动态变动;
动态响应模块104,用于获取第二访问请求,根据所述访问评估信息对所述第二访问请求进行响应;所述第二访问请求用于访问所述目标资源集中的资源。
具体地,本公开实施例公开一种动态安全防护的装置与上述对应的方法实施例均基于相同发明构思。详情请参见方法实施例,在此不再赘述。
本公开实施例还提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述一种动态安全防护的方法。
本公开实施例还提供了一种计算机可读存储介质,上述计算机可读存储介质可以存储有多条指令。上述指令可以适于由处理器加载并执行本公开实施例上述的一种动态安全防护的方法。
进一步地,图12示出了一种用于实现本公开实施例所提供的方法的设备的硬件结构示意图,上述设备可以参与构成或包含本公开实施例所提供的装置。如图12所示,设备10可以包括一个或多个(图中采用102a、102b,……,102n来示出)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器104、以及用于通信功能的传输装置106。除此以外,还可以包括:显示器、输入/输出接口(I/O接口)、通用串行总线(USB)端口(可以作为I/O接口的端口中的一个端口被包括)、网络接口、电源和/或相机。本领域普通技术人员可以理解,图12所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,设备10还可包括比图12中所示更多或者更少的组件,或者具有与图12所示不同的配置。
应当注意到的是上述一个或多个处理器102和/或其他数据处理电路在本文中通常可以被称为“数据处理电路”。该数据处理电路可以全部或部分的体现为软件、硬件、固件或其他任意组合。此外,数据处理电路可为单个独立的处理模块,或全部或部分的结合到设备10(或移动设备)中的其他元件中的任意一个内。如本公开实施例中所涉及到的,该数据处理电路作为一种处理器控制(例如与接口连接的可变电阻终端路径的选择)。
存储器104可用于存储应用软件的软件程序以及模块,如本公开实施例中上述的方法对应的程序指令/数据存储装置,处理器102通过运行存储在存储器104内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的一种动态安全防护的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至设备10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括设备10的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(NetworkInterfaceController,NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(RadioFrequency,RF)模块,其用于通过无线方式与互联网进行通讯。
显示器可以例如触摸屏式的液晶显示器(LCD),该液晶显示器可使得用户能够与设备10(或移动设备)的用户界面进行交互。
需要说明的是:上述本公开实施例先后顺序仅仅为了描述,不代表实施例的优劣。且上述对本公开特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
本公开中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置和服务器实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,上述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上上述仅为本公开的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种动态安全防护的方法,其特征在于,所述方法包括:
响应于第一访问请求,获取访问者信息和访问设备信息;所述第一访问请求用于访问目标资源集;
根据所述访问者信息和所述访问设备信息判断是否允许访问者访问所述目标资源集;
若允许访问者访问,则根据所述访问者信息和所述访问设备信息生成访问评估信息;所述访问评估信息根据访问者的访问行为动态变动;
获取第二访问请求,根据所述访问评估信息对所述第二访问请求进行响应;所述第二访问请求用于访问所述目标资源集中的资源。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括根据所述访问者的访问行为更新所述访问评估信息,所述根据所述访问者的访问行为更新所述访问评估信息,包括:
获取所述访问者的访问行为;
确定所述访问行为对应的至少一个访问特征,以及每个访问特征对应的访问特征信息;
在孤立森林中确定每个访问特征对应的目标孤立树;
对于每个访问特征,根据对应的访问特征信息和对应的目标孤立树,确定对应的评估信息;
根据各个评估信息计算评估结果;
根据所述评估结果更新所述访问评估信息。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括构建孤立森林,所述构建孤立森林包括:
确定至少一个访问行为;
对于每个所述访问行为,确定所述访问行为对应的至少一个访问特征;
对于每个所述访问特征,获取对应的样本集;所述样本集用于描述历史访问者的所述访问特征;
根据所述样本集构建所述访问特征对应的孤立树;
根据构建得到的孤立树,生成孤立森林。
4.根据权利要求2或3所述的方法,其特征在于,所述根据对应的访问特征信息和对应的目标孤立树,确定对应的评估信息,包括:
计算所述访问特征信息在所述目标孤立树中命中的叶子节点在所述目标孤立树中的高度;
根据所述高度计算所述访问行为在所述目标孤立树的路径长度,将所述评估长度确定为所述评估信息;
所述根据各个评估信息计算评估结果,包括:
根据所述访问行为在每一颗目标孤立树的路径长度,计算所述访问行为的评估值;
根据所述评估值和各个所述评估信息,得到评估结果。
5.根据权利要求4所述的方法,其特征在于,所述根据所述评估结果更新所述访问评估信息,包括:
若所述评估值低于预设安全分值,则所述访问评估信息不变;
若所述评估值高于或等于所述预设安全分值,则根据各个所述评估信息生成评估信息画像;访问预设更新规则库,得到与所述评估信息画像对应的目标更新规则,根据所述目标评估规则更新所述访问评估信息。
6.根据权利要求1-5中任意一项所述的方法,其特征在于,所述根据所述访问评估信息对所述第二访问请求进行响应,包括:
根据所述访问评估信息确定访问者信任等级;
获取响应所述第二访问请求所需的目标信任等级;
若所述访问者信任等级大于或等于所述目标信任等级,则直接响应所述第二访问请求。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
若所述访问者信任等级小于所述目标信任等级,则获取所述第二访问请求对应的交互调整策略;
根据所述交互调整策略响应所述第二访问请求。
8.一种动态安全防护的装置,其特征在于,所述装置包括:
第一访问请求处理模块,用于响应于第一访问请求,获取访问者信息和访问设备信息;所述第一访问请求用于访问目标资源集;
访问判断模块,用于根据所述访问者信息和所述访问设备信息判断是否允许访问者访问所述目标资源集;
访问评估信息处理模块,用于若允许访问者访问,则根据所述访问者信息和所述访问设备信息生成访问评估信息;所述访问评估信息根据访问者的访问行为动态变动;
动态响应模块,用于获取第二访问请求,根据所述访问评估信息对所述第二访问请求进行响应;所述第二访问请求用于访问所述目标资源集中的资源。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有至少一条指令或至少一段程序,所述至少一条指令或至少一段程序由处理器加载并执行以实现如权利要求1至7中任一项所述的一种动态安全防护的方法。
10.一种电子设备,其特征在于,包括至少一个处理器,以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述至少一个处理器通过执行所述存储器存储的指令实现如权利要求1至7中任一项所述的一种动态安全防护的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110026307.9A CN114756866A (zh) | 2021-01-08 | 2021-01-08 | 动态安全防护的方法、装置、存储介质及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110026307.9A CN114756866A (zh) | 2021-01-08 | 2021-01-08 | 动态安全防护的方法、装置、存储介质及电子设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114756866A true CN114756866A (zh) | 2022-07-15 |
Family
ID=82325294
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110026307.9A Pending CN114756866A (zh) | 2021-01-08 | 2021-01-08 | 动态安全防护的方法、装置、存储介质及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114756866A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115221011A (zh) * | 2022-09-21 | 2022-10-21 | 中国电子信息产业集团有限公司 | 一种数据元件流通调用异常监控方法及装置 |
| CN115296926A (zh) * | 2022-09-27 | 2022-11-04 | 杭州安恒信息技术股份有限公司 | 一种网络流量管控方法、装置、设备及介质 |
-
2021
- 2021-01-08 CN CN202110026307.9A patent/CN114756866A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115221011A (zh) * | 2022-09-21 | 2022-10-21 | 中国电子信息产业集团有限公司 | 一种数据元件流通调用异常监控方法及装置 |
| CN115296926A (zh) * | 2022-09-27 | 2022-11-04 | 杭州安恒信息技术股份有限公司 | 一种网络流量管控方法、装置、设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Banerjee et al. | A blockchain future for internet of things security: a position paper | |
| US11868483B2 (en) | Device-based security scoring | |
| US11799900B2 (en) | Detecting and mitigating golden ticket attacks within a domain | |
| US9672348B2 (en) | Risk-based credential management | |
| US8327441B2 (en) | System and method for application attestation | |
| US20220201042A1 (en) | Ai-driven defensive penetration test analysis and recommendation system | |
| US11716326B2 (en) | Protections against security vulnerabilities associated with temporary access tokens | |
| US11818150B2 (en) | System and methods for detecting and mitigating golden SAML attacks against federated services | |
| JP2019511048A (ja) | 検出された脅威イベントに基づく識別情報のセキュリティと封じ込め | |
| CN113536258A (zh) | 终端访问的控制方法及装置、存储介质及电子设备 | |
| CN114756866A (zh) | 动态安全防护的方法、装置、存储介质及电子设备 | |
| US20230155817A1 (en) | Managing secret values using a secrets manager | |
| US20230308459A1 (en) | Authentication attack detection and mitigation with embedded authentication and delegation | |
| US20230362142A1 (en) | Network action classification and analysis using widely distributed and selectively attributed sensor nodes and cloud-based processing | |
| US20230319019A1 (en) | Detecting and mitigating forged authentication attacks using an advanced cyber decision platform | |
| US20230388278A1 (en) | Detecting and mitigating forged authentication object attacks in multi - cloud environments with attestation | |
| CN112115484A (zh) | 应用程序的访问控制方法、装置、系统及介质 | |
| CN115296916A (zh) | 一种基于决策树模型的零信任安全系统 | |
| Ou et al. | Security risk analysis of enterprise networks using attack graphs | |
| Raulerson | Modeling cyber situational awareness through data fusion | |
| Brooks et al. | Secure the edge? Understanding the risk towards wireless grids Edgeware technology | |
| Seymour | Zero Trust Architectures: A Comprehensive Analysis and Implementation Guide | |
| US12003534B2 (en) | Detecting and mitigating forged authentication attacks within a domain | |
| Karakaya et al. | A Survey of Cyber-Threats for the Security of Institutions | |
| Yadav et al. | A Comprehensive Survey of IoT-Based Cloud Computing Cyber Security |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |