CN115017509A - 一种用户账号的风险度量方法及相关装置 - Google Patents

一种用户账号的风险度量方法及相关装置 Download PDF

Info

Publication number
CN115017509A
CN115017509A CN202110246454.7A CN202110246454A CN115017509A CN 115017509 A CN115017509 A CN 115017509A CN 202110246454 A CN202110246454 A CN 202110246454A CN 115017509 A CN115017509 A CN 115017509A
Authority
CN
China
Prior art keywords
behavior
user
risk
category
coefficient
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110246454.7A
Other languages
English (en)
Inventor
崔婧
吴华佳
李乐
芮青荣
李智华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN202110246454.7A priority Critical patent/CN115017509A/zh
Priority to EP21928903.0A priority patent/EP4293551A4/en
Priority to PCT/CN2021/143330 priority patent/WO2022183832A1/zh
Publication of CN115017509A publication Critical patent/CN115017509A/zh
Priority to US18/459,556 priority patent/US20230412636A1/en
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/316User authentication by observing the pattern of computer usage, e.g. typical user behaviour
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Social Psychology (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本申请实施例公开了一种用户账号的风险度量方法及相关装置,应用于零信任架构,用于提高零信任架构的安全性。本申请实施例方法包括:获取终端设备的用户行为日志,并确定用户行为日志中记录的用户行为所属的第一行为类别的行为特征,根据第一行为类别的行为特征确定用户账号的第一危险程度值。本申请实施例中,能够直接基于用户行为日志中反映的行为特征及时地对用户账号的危险程度进行评估,不需要等到产生威胁事件后才进行评估。从而能够及时地调整用户账号的访问权限,进而阻止危险的用户账号访问应用服务器的数据资源,以提高零信任系统的安全性。本申请实施例中还提供了一种用户账号的风险度量装置及电子设备。

Description

一种用户账号的风险度量方法及相关装置
技术领域
本申请涉及网络安全技术领域,尤其涉及零信任安全网络架构中用户账号的风险度量方法及相关装置。
背景技术
随着移动互联网、大数据、云计算等信息化技术的发展,伴随而来的网络风险及威胁也日益加剧,传统的基于网络边界建立信任体系的安全防护模式逐渐失效,零信任网络安全技术应运而生。在零信任架构中,所有访问数据资源的终端设备都是不可信的。零信任架构网络系统需要对终端设备进行动态的信任评估,进而确定终端设备是否有访问数据资源的权限。
通常情况下,零信任架构包括终端设备,环境感知服务装置和策略控制装置。首先环境感知服务装置获取终端设备的用户行为日志,并基于该用户行为日志检测出威胁事件(如暴力破解),然后再根据检测出的威胁事件对终端进行安全风险进行评估,得到评估结果。最后,策略控制装置根据该评估结果对终端设备的访问权限进行调整。从而实现动态调整终端设备对数据资源的访问权限。
传统方法中,环境感知服务装置先基于用户行为日志检测出威胁事件,再对威胁事件进行评估,产生评估结果。由于产生评估结果比较滞后,导致策略控制装置无法及时对终端设备的访问权限进行限制,从而给恶意攻击者足够的攻击时间,使得零信任系统处于危险之中。
发明内容
本申请实施例提供了一种用户账号的风险度量方法及相关装置,该方法应用于零信任架构,用于提高零信任架构的安全性。零信任架构包括终端设备、认证服务装置、环境感知服务装置、策略控制装置和策略执行装置。终端设备用于接收用户的至少一种操作及至少一种操作对应的验证信息。认证服务装置用于从终端设备接收验证信息,并对该验证信息进行验证,生成终端设备的用户行为日志,并向环境感知服务装置发送用户行为日志,用户行为日志用于记录用户账号发生的用户行为。环境感知服务装置获取用户行为日志后,根据用户行为日志对用户账号进行风险评估,并向策略控制装置发送风险评估结果。策略控制装置根据风险评估结果调整用户账号的访问数据资源的访问权限,策略执行装置用于根据策略控制装置下发的用户账号的访问权限,根据访问权限对用户账号访问应用服务器进行控制(阻断或放行)。
第一方面,本申请实施例提供了一种用户账号的风险度量方法,该方法应用于零信任架构中的环境感知服务装置,环境感知服务装置获取终端设备的第一时间段内的用户行为日志,用户行为日志中记录有一个用户账号在第一时间段内发生的至少一次用户行为及与该用户行为的相关信息,其中,至少一次用户行为属于至少一种行为类别,行为类别包括登录类行为、APP鉴权类行为、API鉴权类行为;然后,环境感知服务装置根据用户行为日志确定第一行为类别的行为特征,第一行为类别是至少一种行为类别中的一种行为类别;例如,第一行为类别为登录类行为、APP鉴权类行为,或API鉴权类行为;环境感知服务装置针对第一行为类别的行为特征,确定用户账号的第一危险程度值,第一危险程度值是第一行为类别的危险程度值。本申请实施例中,环境感知服务装置能够直接基于用户行为日志中反映的行为特征对用户账号的危险程度进行评估,不需要等到产生威胁事件后才进行评估。危险程度评估的时间与用户行为的发生时间基本上同步,环境感知服务装置及时地对用户账号的危险程度评估,从而使得策略控制装置能够及时地调整用户账号的访问权限,进而阻止危险的用户账号访问应用服务器的数据资源,以提高零信任系统的安全性。
在一种可能的实现方式中,至少一次用户行为中包括多次用户行为,多次用户行为属于至少两个或两个以上的行为类别,例如,多个用户行为包括一次登录行为和一次APP鉴权行为,其中,一次登录行为属于登录类行为,一次APP鉴权行为属于APP鉴权类行为,即每种行为类别包括至少一次用户行为;即环境感知服务装置中预先配置有计算第一危险程度值的模型,该模型中包括多个行为类别,在模型中两个或两个以上的行为类别是按照预定顺序排列的,例如,该多个行为类别以登录类行为、APP鉴权类行为和API鉴权类行为这3个行为类别为例,且上述3个行为类别的顺序是,登录类行为-APP鉴权类行为-API鉴权类行为,即“登录类行为”在预定顺序中的位置是第一位,“APP鉴权类行为”在预定顺序中的位置是第二位,“API鉴权类行为”在预定顺序中的位置是第三位。不同位置上的行为类别对应的危险系数不同。本实施例中为了提高零信任系统的安全性,通过两个维度的信息来计算第一行为类别的第一危险程度值,即环境感知服务装置能够根据第一行为类别在预定顺序中的位置和第一行为类别的行为特征,确定用户账号的第一危险程度值,环境感知服务装置能够更准确的评估第一行为类别的第一危险程度值。
在一种可能的实现方式中,行为特征包括行为结果和用户行为的连续发生次数,行为结果包括成功或失败,多次用户行为包括第一用户行为;环境感知服务装置根据第一行为类别在预定顺序中的位置和第一行为类别的行为特征,确定用户账号的第一危险程度值具体包括:首先,环境感知服务装置根据第一行为类别在预定顺序中的位置确定第一危险系数;当第一用户行为的行为结果是失败时,截至第一用户行为的发生时刻,环境感知服务装置确定第一行为类别包括的行为结果是失败的用户行为的连续发生次数;然后,环境感知服务装置根据行为结果是失败的用户行为的连续发生次数确定第二危险系数;最后,环境感知服务装置根据第一危险系数和第二危险系数确定第一行为类别的危险程度值。本实施例中,模型中多个行为类别的预定顺序是根据实际业务中用户行为可能发生的顺序预先设置的。例如,在实际业务中,用户需要首先进行登录类操作(如系统登录),登录操作后,可能进行APP鉴权类操作,然后再进行API鉴权类操作等。由此,环境感知服务装置根据行为类别在实际业务过程中的发生顺序为每个行为类别设置第一危险系数。例如,登录类行为的危险系数小于APP鉴权的危险系数,也就是说,APP鉴权的攻击对网络安全的威胁是大于登录攻击对网络完全的威胁的,通过行为类别在预定顺序中的位置和行为类别的行为特征计算得到的用户账号的危险程度值,更能体现实际业务中用户行为所带来风险。
在一种可能的实现方式中,至少两个或两个以上的行为类别包括第一行为类别和第二行为类别,在预定顺序中,若第一行为类别的位置在第二行为类别的位置之前,则第一行为类别对应的危险系数低于第二行为类别对应的危险系数。位置在前的第一行为类别对应的危险系数小于位置在后的第二行为类别对应的危险系数,更能体现实际业务中用户行为所带来的风险。
在一种可能的实现方式中,多次用户行为还包括第二用户行为,当第二用户行为的行为结果是成功时,该方法还包括:截至第二用户行为的发生时刻,环境感知服务装置确定第一行为类别包括的行为结果是成功的用户行为的连续发生次数,其中,第二用户行为的发生时刻位于第一用户行为的发生时刻之后;然后,环境感知服务装置根据行为结果是成功的用户行为的连续发生次数确定第一恢复系数;进一步的,环境感知服务装置根据第一危险系数、第二危险系数及第一恢复系数确定第一行为类别的危险程度值。本实施例中,第一恢复系数用于对第一行为类别的信用评分进行恢复,或者说,第一恢复系数用于降低第一行为类别的危险程度值,随着行为结果是成功的用户行为的连续发生次数的增加,环境感知服务装置能够恢复用户账号的信用评分。从而解决了在实际业务中由于并非攻击行为导致的降低用户账号信用分值,而带来的降低用户账号的访问权限的问题。环境感知服务装置能够动态的恢复用户账号的访问权限,减少由于用户的失误操作而给用户带来的不便。
在一种可能的实现方式中,该方法还包括:环境感知服务装置确定第二用户行为的发生时刻距离上一次用户行为的发生时刻之间的间隔时长,然后,根据间隔时长确定第二恢复系数,第二恢复系数用于对第一行为类别的信用评分进行恢复;环境感知服务装置比较第一恢复系数和第二恢复系数的大小;当第一恢复系数小于第二恢复系数时,环境感知服务装置根据第一危险系数、第二危险系数及第一恢复系数确定第一行为类别的危险程度值。环境感知服务装置比较第一恢复系数和第二危险恢复的大小,确定第一恢复系数和第二恢复系数中的较小值,根据较小的危险恢复系数计算第一行为类别的危险程度值(或信用分值),从而能够较快的对信用分值进行恢复,当由于用户误操作导致信用评分降低时,降低由于用户的失误操作而给用户带来的不便。
在一种可能的实现方式中,当第一恢复系数大于第二恢复系数时,该方法还包括:环境感知服务装置根据第一危险系数、第二危险系数及第二恢复系数确定第一行为类别的危险程度值。
在一种可能的实现方式中,该方法还包括:环境感知服务装置接收来自终端设备的风险事件,其中,风险事件包括终端风险事件和/或流量威胁事件;然后,环境感知服务装置确定风险事件的第二危险程度值;环境感知服务装置根据用户账号的第一危险程度值和风险事件的第二危险程度值确定终端设备的第三风险程度值;最后,环境感知服务装置输出第三风险程度值。本实施例中,环境感知服务装置确定终端设备的危险程度值和用户账号的危险程度值,然后根据终端设备的危险程度值和用户账号的危险程度值计算综合的危险程度值。环境感知服务装置对访问主体(包括终端设备和用户账号)进行多维度的评估,能够更准确的评估第一行为类别的第一危险程度值,从而提高零信任系统的安全性。
第二方面,本申请实施例中提供了一种用户账号的风险度量装置,包括:
接收模块,用于获取终端设备的第一时间段内的用户行为日志,用户行为日志中记录有一个用户账号在第一时间段内发生的至少一次用户行为,至少一次用户行为属于至少一种行为类别,行为类别包括登录类行为、应用程序APP鉴权类行为、或应用程序编程接口API鉴权类行为;
处理模块,用于根据接收模块接收的用户行为日志确定第一行为类别的行为特征,第一行为类别是至少一种行为类别中的一种行为类别;
处理模块,还用于针对第一行为类别所描述的行为特征,确定用户账号的第一危险程度值,第一危险程度值是第一行为类别的危险程度值。
在一种可能的实现方式中,至少一次用户行为中包括多次用户行为,多次用户行为属于至少两个或两个以上的行为类别,在计算第一危险程度值的模型中两个或两个以上的行为类别是按照预定顺序排列的;
处理模块,还用于根据第一行为类别在预定顺序中的位置和第一行为类别的行为特征,确定用户账号的第一危险程度值。
在一种可能的实现方式中,行为特征包括行为结果和用户行为的连续发生次数,行为结果包括成功或失败,多次用户行为包括第一用户行为,
处理模块还具体用于:
根据第一行为类别在预定顺序中的位置确定第一危险系数;
当第一用户行为的行为结果是失败时,截至第一用户行为的发生时刻,确定第一行为类别包括的行为结果是失败的用户行为的连续发生次数;
根据行为结果是失败的用户行为的连续发生次数确定第二危险系数;
根据第一危险系数和第二危险系数确定第一行为类别的危险程度值。
在一种可能的实现方式中,至少两个或两个以上的行为类别包括第一行为类别和第二行为类别,在预定顺序中,若第一行为类别的位置在第二行为类别的位置之前,则第一行为类别对应的危险系数低于第二行为类别对应的危险系数。
在一种可能的实现方式中,多次用户行为还包括第二用户行为,当第二用户行为的行为结果是成功时,处理模块还具体用于:
截至第二用户行为的发生时刻,确定第一行为类别包括的行为结果是成功的用户行为的连续发生次数,第二用户行为的发生时刻位于第一用户行为的发生时刻之后;
根据行为结果是成功的用户行为的连续发生次数确定第一恢复系数;
根据第一危险系数、第二危险系数及第一恢复系数确定第一行为类别的危险程度值。
在一种可能的实现方式中,处理模块还用于:
确定第二用户行为的发生时刻距离上一次用户行为的发生时刻之间的间隔时长,根据间隔时长确定第二恢复系数;
比较第一恢复系数和第二恢复系数的大小;
当第一恢复系数小于第二恢复系数时,根据第一危险系数、第二危险系数及第一恢复系数确定第一行为类别的危险程度值。
在一种可能的实现方式中,当第一恢复系数大于第二恢复系数时,处理模块还用于:
根据第一危险系数、第二危险系数及第二恢复系数确定第一行为类别的危险程度值。
在一种可能的实现方式中,装置还包括输出模块;
接收模块,还用于接收来自终端设备的风险事件;
处理模块,还用于确定风险事件的第二危险程度值;根据用户账号的第一危险程度值和风险事件的第二危险程度值确定终端设备的第三风险程度值;
输出模块,还用于输出第三风险程度值。
第三方面,本申请实施例提供了一种电子设备,包括:处理器,处理器与至少一个存储器耦合,处理器用于读取至少一个存储器所存储的计算机程序,使得电子设备执行上述第一方面任一项的方法。
第四方面,本申请实施例提供了一种计算机可读介质,计算机可读存储介质用于存储计算机程序,当计算机程序在计算机上运行时,使得计算机执行上述第一方面任一项所述的方法。
第五方面,本申请实施例提供了一种芯片,包括处理器和通信接口,处理器用于读取指令以执行上述第一方面任一项所述的方法。
第六方面,本申请实施例提供了一种计算机程序产品,所述计算机程序产品中包括计算机程序代码,所述计算机程序代码被计算机执行时,使得计算机实现上述第一方面任一项所述的方法。
附图说明
图1A和图1B为本申请实施例中两种零信任架构的应用场景示意图;
图2为本申请实施例中一种用户账号的风险度量方法的一个实施例的步骤流程示意图;
图3为本申请实施例中环境感知服务装置确定危险行为的连续发生次数的步骤流程示意图;
图4为本申请实施例中随着危险行为连续发生的次数增加,第二危险系数变化的示意图;
图5为本申请实施例中环境感知服务装置根据第一危险系数和第二危险系数确定第一行为类别的危险程度值的步骤流程示意图;
图6为本申请实施例中环境感知服务装置根据安全行为的连续发生次数确定第一危险恢复系数的步骤流程示意图;
图7A为本申请实施例中随着安全行为连续发生的次数的增加,第一恢复系数变化的示意图;
图7B为本申请实施例中随着相邻两次用户行为发生时刻的间隔时长的增加,第二恢复系数变化的示意图;
图8为本申请实施例中一种用户账号的风险度量装置的一个实施例的结构示意图;
图9为本申请实施例一种电子设备的一个实施例的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。本申请的说明书和权利要求书及附图中的术语“第一”、“第二”等是用于区别对象,而不必然用于描述特定的顺序或先后次序。应该理解这样使用的术语在适当情况下可以互换。
在零信任架构中,传统方法是对终端设备的安全性进行评估的。环境感知服务装置需要先基于用户行为日志检测出威胁事件。由于用户行为日志是在终端设备的访问行为发生之后生成的,并且检测威胁事件的过程需要一定时间才能完成,评估结果的产生相对滞后。例如,环境感知服务装置在预设时间段(如20分钟)内检测出预置次数的“登陆失败”(用户行为),环境感知服务装置确定产生了威胁事件(如暴力破解),再对威胁事件进行评估,产生评估结果。由此评估结果的产生相对于用户行为真实发生的时间是滞后的。导致策略控制装置无法及时对终端设备的访问权限进行限制,从而给恶意攻击者足够的攻击时间,使得零信任系统处于危险之中。
基于上述问题,本申请提供了一种用户账号的风险度量方法,该方法应用于零信任网络安全架构(也简称为“零信任架构”或“零信任系统”)。图1A和图1B是本申请实施例中零信任架构的应用场景示意图。请参阅图1A和图1B所示,零信任架构包括终端设备101、认证服务装置102,环境感知服务装置103,策略控制装置104和策略执行装置105。其中,终端设备101与认证服务装置102通信连接。终端设备101和认证服务装置102均与环境感知服务装置103通信连接。环境感知服务装置103和策略执行装置105均与策略控制装置104通信连接。终端设备101通过策略执行装置105与应用服务器通信连接。其中,终端设备101包括但不限于手机(mobile phone)、平板电脑(Pad)、电脑、个人计算机(personal computer,PC)、物联网(internet of things,IoT)系统中的终端等。策略执行装置105是网络转发设备,或者,该策略执行装置105是部署于网络转发设备中的功能模块。网络转发设备包括但不限定于防火墙、交换机、路由器、网关和网桥等。
可选地,环境感知服务装置103、认证服务装置102和策略控制装置104是各自单独部署的计算机设备,或者,环境感知服务装置103、认证服务装置102和策略控制装置104为计算机集群设备,或者,环境感知服务装置103、认证服务装置102和策略控制装置104是部署于计算机集群设备中的功能模块。本申请中环境感知服务装置103、认证服务装置102和策略控制装置104为服务器进行举例说明。可选地,如图1A所示,环境感知服务装置103、认证服务装置102和策略控制装置104单独部署。或者,如图1B所示,环境感知服务装置103、认证服务装置102和策略控制装置104和应用服务器集中部署于服务器集群。
进一步,对本申请中零信任架构中所涉及装置的作用进行说明。
终端设备,用于接收用户的至少一种操作(如登录操作、应用程序(application,APP)鉴权操作、或应用程序接口(application programming interface,API)鉴权操作),及至少一种操作对应的验证信息(如账号名和密码)。
认证服务装置,用于从终端设备接收验证信息,根据验证信息查询数据库,比对接收到的验证信息和数据库中存储的验证信息是否一致,从而对用户账号进行身份验证,得到验证结果,生成终端设备的用户行为日志,并向环境感知服务装置发送用户行为日志。其中,用户行为日志中记录有在一个时间段内发生的至少一次用户行为(即用户的操作),至少一次用户行为属于至少一种行为类别。行为类别包括但不限于登录类行为、APP鉴权类行为、或API鉴权类行为。
环境感知服务装置,用于从认证服务装置接收用户行为日志,确定用户行为日志中描述的用户行为所属的第一行为类别的行为特征,针对第一行为类别的行为特征,确定用户账号的第一危险程度值。其中,第一行为类别是至少一种行为类别中的一种。例如,第一行为类别是登录类行、APP鉴权类行为、或API鉴权类行为。
策略控制装置,用于根据用户账号的第一危险程度值调整该用户账号访问应用服务器的数据资源的访问权限。例如,当第一危险程度值较高(如60分)时,策略控制装置将用户账号的访问权限从第一权限调整至第二权限。其中,第一权限高于第二权限,例如,第一权限是能够访问“高密”数据资源的权限,第二权限是仅能够访问“普通”数据资源的权限。
策略执行装置,用于根据策略控制装置下发的用户账号的访问权限,根据访问权限对用户账号访问应用服务器进行控制(阻断或放行)。
本申请实施例中,环境感知服务装置获取终端设备的用户行为日志,并确定用户行为日志中记录的用户行为所属的第一行为类别的行为特征,环境感知服务装置根据第一行为类别的行为特征确定用户账号的第一危险程度值。环境感知服务装置能够直接基于用户行为日志中反映的行为特征对用户账号的危险程度进行评估,不需要等到产生威胁事件后才进行评估。危险程度评估的时间与用户行为的发生时间基本上同步,环境感知服务装置及时地对用户账号的危险程度评估,从而使得策略控制装置能够及时地调整用户账号的访问权限,进而阻止危险的用户账号访问应用服务器的数据资源,以提高零信任系统的安全性。另外,在传统方法中,如果恶意攻击者在一个终端设备(记做“终端设备A”)上进行暴力破解,如果破解了该用户名和密码,虽然环境感知服务装置对该终端设备A的评估结果为危险程度值高,但是如果攻击者通过破解后的账号名和密码在另一个终端设备(记做“终端设备B”)上登录,环境感知服务装置对终端设备B没有检测出危险事件,那么环境感知服务装置会确定终端设备B是安全的,攻击者在终端设备B上登录破解的账号,这种情况下,零信任系统还是处于危险之中。相对于传统方法,本申请实施例中将零信任架构中的访问主体延伸至用户账号,当攻击者通过更换终端设备轮番对用户账号和密码进行破解时,环境感知服务装置是基于用户行为对用户账号的危险程度进行评估,即使攻击者更换了终端设备,由于评估结果是针对用户账号的,策略控制装置已经调整了用户账号的访问权限,攻击者还是不能通过破解后的账号访问数据资源,避免了由于攻击者更换终端设备导致的风险。
为了更好的理解本申请,下面首先对本申请中涉及的词语进行说明。
用户行为日志,用于记录用户账号在第一时间段内发生的至少一次用户行为,及与该用户行为的相关信息。用户行为的相关信息如用户行为发生的时间,用户行为所属的行为类别,用户行为的行为结果(成功或失败),用户账号所登录的终端设备的IP地址等。示例性的,用户行为日志如下所示。
{身份验证时间(auth date):2020-12-18 16:24:05,身份验证类别(auth type):登录(login),身份验证类别详细信息(auth type detail):用户通行证(userpass),用户账号名(user name):bbcadmin,结果(result):失败(fail),访问IP地址(visitor IP):X.X.X.X,访客浏览器(visitor browser):Chrome}。
上述用户行为日志的例子中,身份验证日期(auth date)用于描述用户行为发生的时间。身份验证类别(auth type)用于描述行为类别。用户账号名(user name)用于描述用户账号。结果(result)用于描述用户行为的结果。用户行为日志中,一个身份验证时间对应一次用户行为,在上述用户行为日志中仅包含一个身份验证时间,即用户行为日志A中记录了一次用户行为。
用户行为,包括但不限于登录行为,APP鉴权行为、API鉴权行为等。
行为类别,包括但不限于登录类行为,APP鉴权类行为、API鉴权类行为等。每种行为类别包括至少一次用户行为。例如,登录类行为包括3次登录行为。
请参阅图2所示,下面通过实施例对本申请提供了一种用户账号的风险度量方法进行说明。本申请实施例中提供的方法的执行主体是环境感知服务装置。或者,该方法的执行主体是环境感知服务装置中的处理器。或者,该方法的执行主体是环境感知服务装置中的芯片系统。本申请实施例中该方法的执行主体以环境感知服务装置为例进行说明。
步骤201.环境感知服务装置获取终端设备的第一时间段内的用户行为日志,用户行为日志中记录有用户账号在第一时间段内发生的至少一次用户行为,至少一次用户行为属于至少一种行为类别。
环境感知服务装置每间隔一个时间段会接收到认证服务装置发送的用户行为日志。时间段的时长是根据实际需要预先设定的。时间段的时长理解为时间窗的长度,时间窗用于约束认证服务装置向环境感知服务装置发送用户行为日志的时间。该时间窗的长度设置的依据是,正常情况下(没有被恶意攻击者攻击),产生一次正常的用户行为的时长。例如,根据经验值,正常情况下,产生一次用户行为的时长的平均值是5秒,那么时间窗的长度设置为5秒。本申请实施例中该时间段的时长以5秒为例进行说明,并非限定,可选地,一个时间段的时长是4秒或6秒等。在一个示例性的场景中,多个时间单元在时间轴上的先后顺序是t0、t1、t2、t3等。其中,t0、t1、t2、和t3中每两个相邻的时间单元的间隔时长是5秒(即一个时间段)。环境感知服务装置在t1时刻接收到认证服务装置发送的用户行为日志A,用户行为日志A记录的是用户账号在t0至t1这个时间段内发生的至少一次用户行为。环境感知服务装置在t2时刻接收到认证服务装置发送的用户行为日志B,用户行为日志B记录的是用户账号在t1至t2这个时间段内发生的至少一次用户行为。环境感知服务装置在t3时刻接收到认证服务装置发送的用户行为日志C,用户行为日志C记录的是用户账号在t2至t3这个时间段内发生的至少一次用户行为等。其中,t0至t1的时长,t1至t2的时长,t2至t3的时长都是5秒。例如,若当前时间是t1时刻,则第一时间段是t0至t1的时间段。若当前时间是t2时刻,则第一时间段是t1至t2。若当前时间是t3时刻,则第一时间段是t2至t3
用户行为日志的举例说明如下所示。
用户行为日志A,{身份验证时间(auth date):2020-12-18 16:24:05,身份验证类别(auth type):登录(login),身份验证类别详细信息(auth type detail):用户通行证(userpass),用户账号名(user name):bbcadmin,结果(result):失败(fail),访问IP地址(visitor IP):X.X.X.X,访客浏览器(visitor browser):Chrome}。
用户行为日志B,{身份验证时间(auth date):2020-12-18 16:24:10,身份验证类别(auth type):登录(login),身份验证类别详细信息(auth type detail):用户通行证(userpass),用户账号名(user name):bbcadmin,结果(result):失败(fail),访问IP地址(visitor IP):X.X.X.X,访客浏览器(visitor browser):Chrome;
身份验证时间(auth date):2020-12-18 16:24:11,身份验证类别(auth type):登录(login),身份验证类别详细信息(auth type detail):用户通行证(userpass),用户账号名(user name):bbcadmin,结果(result):失败(fail),访问IP地址(visitor IP):X.X.X.X,访客浏览器(visitor browser):Chrome;
身份验证时间(auth date):2020-12-18 16:24:12,身份验证类别(auth type):登录(login),身份验证类别详细信息(auth type detail):用户通行证(userpass),用户账号名(user name):bbcadmin,结果(result):失败(fail),访问IP地址(visitor IP):X.X.X.X,访客浏览器(visitor browser):Chrome}。
在上述用户行为日志B中包含三个身份验证时间,即用户行为日志B中记录了3次用户行为,本示例中用户行为日志B中仅是以3次用户行为为例进行示例性说明,而在实际应用中,由于攻击者可能利用破解工具快速频繁的尝试验证,在5秒中内可能发生更多次的用户行为,例如,10次,20次等。通过上述用户行为日志A和用户行为日志B的举例说明,用户行为日志中包括一次或两次及两次以上的用户行为。
步骤202.环境感知服务装置根据用户行为日志确定第一行为类别的行为特征,第一行为类别是至少一种行为类别中的一种行为类别。示例性的,第一行为类别是登录类行为,APP鉴权类行为、或API鉴权类行为。可选地,行为类别的行为特征包括用户行为的行为结果和用户行为的连续发生次数,行为结果包括成功或失败。行为结果为“成功”的用户行为也称为“安全行为”,行为结果为“失败”的用户行为也称为“危险行为”。请参阅图3所示,下面对环境感知服务装置根据用户行为日志确定第一行为类别的行为特征进行示例性说明。当环境感知服务装置每次接收到用户行为日志后,会存储接收到用户行为日志,形成历史用户行为记录数据(下文中简称“历史数据”)。在时间轴上时间单元的先后顺序是t0,t1,t2等。若当前时刻是t2时刻,当环境感知服务装置接收到t1至t2时间段的用户行为日志时,环境感知服务装置已经存储了t0至t1的用户行为日志(历史用户行为记录)。示例性的,t0至t1的用户行为日志以上述用户行为日志B为例进行说明。
S10、环境感知服务装置基于当前时刻接收到的用户行为日志识别用户行为日志中描述的用户行为。例如,用户行为日志以上述用户行为日志A为例,用户行为日志A中描述的行为类别是“登录类行为”,且用户行为的次数是一次,行为结果是“失败”。在本示例中,为了区别当前时刻接收到的用户行为日志和历史数据中的用户行为日志,当前时刻以t2时刻为例,在t2时刻接收到的用户行为日志称为“第一用户行为日志”。将第一用户行为日志中所描述的用户行为称为“第一用户行为”。
S11、环境感知服务装置根据第一用户行为日志判定第一用户行为是否是危险行为。当第一用户行为是危险行为时,执行步骤S13。可选地,当第一用户行为是安全行为(行为结果是“成功”的用户行为)时,执行其他步骤。
S13、当第一用户行为是危险行为时,环境感知服务装置查看历史数据中记录的上次用户行为,上次用户行为是指在第一用户行为的发生时刻之前,距离第一用户行为的发生时刻最近的一次用户行为。
S14、环境感知服务装置判断第一用户行为是否是与上次用户行为是相同行为类别的危险行为,若第一用户行为A与上次用户行为是相同行为类别的危险行为,则执行步骤S15;可选地,若第一用户行为B与上次用户行为不是相同行为类别的危险行为,则执行步骤S16。
S15、环境感知服务装置增加第一用户行为A所属的第一行为类别(如登录类行为)的用户行为发生次数(当前时刻接收到的用户行为日志中描述了连续m次用户行为,这里对第一行为类别的用户行为发生次数增加m次)。
S16、环境感知服务装置将第一用户行为B所属的行为类别(如APP鉴权类行为)的用户行为发生次数的初始值设置为1次。
通过上述步骤S13,S14和S15(或S16),环境感知服务装置确定危险行为连续发生的次数。
步骤203.环境感知服务装置针对第一行为类别的行为特征,确定用户账号的第一危险程度值,第一危险程度值是第一行为类别的危险程度值。
在一种可选的实现方式中,示例性的,请参阅图4所示,图4为危险系数随着危险行为连续发生的次数的增加的变化的示意图。图4中横轴表示危险行为连续发生的次数,纵轴表示危险系数(本文中也称为“第二危险系数”),危险系数是大于或等于0,且小于或等于1的数值。将横轴上的数值分成多个段,本示例中以将横轴上的数值分成3段为例进行说明。在第一分段,随着危险行为连续发生的次数的增加,危险系数近似不变,且危险系数近似一个很小的常数(如0)。在第二分段,随着危险行为连续发生的次数的增加危险系数增加。在第三分段,随着危险行为连续发生的次数的增加危险系数近似不变,且危险系数近似另一个较大常数(如1)。其中,第三分段中连续发生的次数所对应的危险系数大于第二分段中连续发生的次数所对应的危险系数,第二分段中连续发生的次数所对应的危险系数大于第一分段中连续发生的次数所对应的危险系数。示例性的,环境感知服务装置根据下式(1)确定第二危险系数。
Figure BDA0002964265170000101
其中,第一分段中,a是大于0且小于或者等于m1的常数,其中,x1和m1是根据实际需要预先设置的。例如,x1=5,m1=0.01。第二分段,b为大于或者等于m2且小于或者等于m3的常数,x2、m2和m3是根据实际需要预先设置的。例如,x2=14,m2=0.02,m3=0.08。第三分段,c是大于m4,且小于或者等于1的常数。例如m4=0.95。图4中,以a=0,b=0.07,c=1为例进行示例性说明。
本示例中,在连续发生的次数不同的分段范围内,环境感知服务装置确定危险系数的方式不同。在第一个分段中,连续发生的次数较少(例如5次以内)时,可能是由于用户忘记了密码,用户尝试多次验证,并不一定是攻击者的暴力破解攻击行为,由此在第一分段内,危险系数近似一个常数,并且危险系数很小(如0)。在第二个分段中,随着危险行为连续发生的次数的增多,攻击者在进行暴力破解的概率越来越高,由此随着连续发生的次数的增多危险系数随之增大。在第三个分段中,当危险行为连续发生的次数达到一定次数后,就表明非常大的概率是攻击者在进行暴力破解,危险系数就基本上达到最大值(如1),在随着连续发生的次数的增大,危险系数也不会发生变化了,这种对不同分段上的危险系数采用不同的确定方式更符合实际场景中的危险发生情况。
环境感知服务装置根据下述式(2)计算第一行为类别的危险程度值S1
S1=100分×危险系数,式(2)。需要说明的是,本申请实施例中“危险程度值”与“信用分值”(或称为“安全程度值”)是等效的。以100分制为例,危险程度值和信用分值能够相互转换,危险程度值=100-信用分值。本申请实施例中虽然描述的是确定“危险程度值”,根据等效原则,本申请实施例中所描述的方法等效于确定“信用分值”(或安全程度值)。
本申请实施例中,环境感知服务装置获取用户行为日志,用户行为日志中记录有用户账号在第一时间段内发生的至少一次用户行为。环境感知服务装置能够根据用户行为日志确定该用户行为所属的第一行为类别的行为特征,环境感知服务装置根据第一行为类别的行为特征确定出第一行为类别的危险程度值,第一危险程度值能够描述用户账号的第一危险程度值。环境感知服务装置直接基于行为类别的行为特征对用户账号的危险程度进行评估,也即根据用户行为日志预先分析出可能发生危险的用户行为,不需要等到产生威胁事件后才进行评估。危险程度评估的时间与用户行为的发生时间基本上同步(例如,危险程度评估的时间与用户行为的发生时间仅相差5秒)。环境感知服务装置接收到用户行为日志就会计算一次用户账号的危险程度值,环境感知服务装置对于用户账号的危险程度评估及时,从而使得策略控制装置能够及时的根据环境感知服务装置评估结果对用户账号的访问权限进行调整。
可选地,为了提高零信任系统的安全性,能够更准确的评估第一行为类别的第一危险程度值,在图2对应的实施例的步骤203中,增加了另一个维度的信息,通过两个维度的信息来计算第一行为类别的第一危险程度值。即环境感知服务装置根据第一行为类别在预定顺序中的位置和第一行为类别的行为特征,确定用户账号的第一危险程度值。
下面对“预定顺序中的位置”进行说明。环境感知服务装置中预先配置有计算第一危险程度值的模型,该模型中包括多个(两个或两个以上)行为类别,并且多个行为类别是按照预定顺序排列的。例如,该多个行为类别以登录类行为、APP鉴权类行为和API鉴权类行为这3个行为类别为例,且上述3个行为类别的顺序是:登录类行为-APP鉴权类行为-API鉴权类行为,即“登录类行为”在预定顺序中的位置是第一位,“APP鉴权类行为”在预定顺序中的位置是第二位,“API鉴权类行为”在预定顺序中的位置是第三位。不同位置上的行为类别对应的危险系数不同。
可选地,环境感知服务装置根据第一行为类别在预定顺序中的位置和第一行为类别的行为特征,确定用户账号的第一危险程度值的具体方法如下。
首先,请参阅图5所示,在上述图3对应的示例中,在步骤S11之后,步骤S13之前,还包括步骤S12。S12、环境感知服务装置根据第一行为类别在预定顺序中的位置确定第一危险系数。在步骤S16之后还包括步骤S17和S18。
下面首先对行为类别所对应的危险系数的大小进行说明。多个行为类别包括第一行为类别和第二行为类别,在预定顺序中,若第一行为类别的位置在第二行为类别的位置之前,则第一行为类别对应的危险系数低于第二行为类别对应的危险系数。第一行为类别和第二行为类别是模型中包括的所有行为类别中的任意两个行为类别。在一种实现方式中,环境感知服务装置按照每个行为类别在预定顺序中的位置,为每个位置上的行为类别配置一个第一危险系数(用“k”表示)。位于第j位的行为类别的第一危险系数用“kj”表示。例如,位于第一位的行为类别的第一危险系数k1=0,位于第二位的行为类别的第一危险系数k2=0.1,位于第三位的行为类别的第一危险系数k3=0.2等。第一危险系数的具体数值仅是示例性说明,能够根据实际需要进行设置。第二种实现方式中,环境感知服务装置根据下述式(3)确定第一危险系数kj
Figure BDA0002964265170000121
其中,n为行为类别的数量,j为行为类别在预定顺序中的位置。
然后,当第一用户行为的行为结果是失败时,截至第一用户行为的发生时刻,环境感知服务装置确定第一行为类别包括的行为结果是失败的用户行为(危险行为)的连续发生次数。本步骤请参阅图3对应的示例中的步骤S10,S11,S13-S16的说明,此处不赘述。
S17、环境感知服务装置根据危险行为的连续发生次数确定第二危险系数。本步骤请参阅图4对应的示例中对应的危险系数fi的说明,此处不赘述。为了区分第一危险系数kj,本实施例中也将fi称为“第二危险系数”。
S18、环境感知服务装置根据第一危险系数和第二危险系数确定第一行为类别的危险程度值。环境感知服务装置根据下式(4)确定第一行为类别的危险程度值S2
S2=100×fi×(1+kj),式(4)。其中,fi为第二危险系数,kj为第一危险系数。
本实施例中,模型中多个行为类别的预定顺序是根据实际业务中用户行为可能发生的顺序预先设置的。例如,在实际业务中,用户需要首先进行登录类操作(如系统登录),登录操作后,可能进行APP鉴权类操作,然后再进行API鉴权类操作等。由此,环境感知服务装置根据行为类别在实际业务过程中的发生顺序为每个行为类别设置第一危险系数。例如,登录类行为的危险系数小于APP鉴权的危险系数,也就是说,APP鉴权的攻击对网络安全的威胁是大于登录攻击对网络完全的威胁的,本实施例中通过行为类别在预定顺序中的位置和行为类别的行为特征计算得到的用户账号的危险程度值,更能体现实际业务中用户行为所带来风险。
可选地,为了能够对用户账号的访问权限进行动态调整,环境感知服务装置能够降低第一行为类别的危险程度值,即对第一行为类别的信用评分进行恢复。本实施例中环境感知服务装置确定第一行为类别的第一恢复系数,第一恢复系数用于对第一行为类别的信用评分进行恢复。例如,在一个应用场景中,第一行为类别是登录类行为,假设用户忘记密码,用户反复尝试登陆用户账号A。环境感知服务装置将用户账号A的信用分值从100分降到60分,策略控制装置根据信用分值(60分)将用户账号A的访问权限从第一权限调整至第二权限,用户账号A将不能访问“高密”的数据资源。此时,若用户想起密码后,用户账号A登录成功,随着用户账号A登录成功的连续发生次数的增加,环境感知服务装置能够恢复用户账号A的信用评分(或者说降低用户账号A的危险程度值)。从而使得策略控制装置将用户账号A的访问权限从第二权限调整至第一权限,用户账号A就能够访问“高密”数据资源了。从而解决了在实际业务中由于并非攻击行为导致的降低用户账号信用分值,而带来的降低用户账号的访问权限的问题。本实施例中,能够动态的恢复用户账号的访问权限,减少由于用户的失误操作而给用户带来的不便。
第一种实现方式中,请参阅图6所示,以下对环境感知服务装置确定第一恢复系数的步骤进行示例性说明。
S20、环境感知服务装置基于当前时刻接收到的用户行为日志识别用户行为日志中描述的用户行为。例如,用户行为日志中描述的行为类别是登录类行为,且用户行为的次数是一次,行为结果是“成功”(也称为“安全行为”)。在本实施例中,为了区别当前时刻接收到的用户行为日志和历史数据中的用户行为日志,当前时刻以t3时刻为例,在t3时刻接收到的用户行为日志称为“第二用户行为日志”。将第二用户行为日志中所描述的用户行为称为“第二用户行为”。第二用户行为发生在上述图3对应的例子中示出的第一用户行为之后,t3时刻在t2时刻之后。
S21、环境感知服务装置根据第二用户行为日志判定第二用户行为是否是危险行为。当第二用户行为不是危险行为(即是安全行为)时,执行步骤S22。可选地,当第二用户行为是危险行为(行为结果是“失败”的用户行为)时,执行其他步骤。
S22、当第二用户行为是安全行为时,环境感知服务装置查看历史用行为记录数据(也称为历史数据)中记录的上次用户行为。第二用户行为的上次用户行为是在第二用户行为的发生时刻之前,距离第二用户行为的发生时刻最近的一次用户行为。
S23、环境感知服务装置判断第二用户行为是否与上次用户行为是相同行为类别的安全行为,若第二用户行为A与上次用户行为是相同行为类别的安全行为,则执行步骤S24;可选地,若第二用户行为B与上次用户行为不是相同行为类别的安全行为,则执行步骤S25。
S24、环境感知服务装置增加第二用户行为A所属的第一行为类别的用户行为发生次数(当前时刻接收到的用户行为日志中描述了连续m次用户行为,这里对第一行为类别的用户行为发生次数增加m次)。例如,历史数据中记录“登录类行为”的安全行为的连续发生次数是2次,那么将“登录类行为”的安全行为的连续发生次数在2次的基础上增加m次。“登录类行为”的安全行为的连续发生次数是(2+m)次。
S25、环境感知服务装置将第二用户行为B所属的第一行为类别的用户行为发生次数的初始值设置为1次。
根据上述步骤S20-S25的步骤流程,截至第二用户行为的发生时刻,环境感知服务装置确定第一行为类别包括的安全行为(行为结果是成功的用户行为)的连续发生次数。例如,第二用户行为的上次用户行为是安全行为,截至到第二用户行为的发生时刻,第一行为类别包括的安全行为的连续发生次数是2次。再如,第二用户行为的上次用户行为是危险行为,截至到第二用户行为的发生时刻,第一行为类别包括的安全行为的连续发生次数是1次。
S26、环境感知服务装置根据安全行为的连续发生次数确定第一恢复系数。
环境感知服务装置根据下述式(5)计算第一恢复系数(也称为“次数恢复系数”)。
Figure BDA0002964265170000141
其中,dΓ是第一恢复系数,Z为恢复次数,Z的含义是,安全行为连续发生的次数达到Z次后,用户账号的信用评分恢复到100分。Z是根据实际需要预先设置的。例如,Z设置为90次。z表示安全行为连续发生的次数。请参阅图7A所示,图7A为随着安全行为连续发生的次数的增加,第一恢复系数变化的示意图。图7A中横轴表示安全行为连续发生的次数,纵轴表示第一恢复系数。
可选地,在步骤S18中,环境感知服务装置根据所述第一危险系数、所述第二危险系数及所述第一恢复系数确定第一行为类别的危险程度值。环境感知服务装置根据下述式(6)计算第一行为类别的信用分值。
Figure BDA0002964265170000142
其中,kj为第一危险系数,fi为第二危险系数,dΓ为第一恢复系数,Spre为S3的上一次计算得到的用户账号的信用评分。第一行为类别的危险程度值=100-S3
第二种可选的实现方式中,第二种实现方式与第一种实现方式的相同之处在于,环境感知服务装置也需要确定第一恢复系数。第二种实现方式与第一种实现方式的不同之处在于,环境感知服务装置还需要确定第二恢复系数(也称为“时间恢复系数”),然后比较第一恢复系数和第二恢复系数的大小,根据第一恢复系数和第二恢复系数中的较小值、第一危险系数和第二危险系数计算第一行为类别的危险程度值。
首先,对环境感知服务装置确定第二恢复系数进行示例性说明。环境感知服务装置确定第二用户行为的发生时刻距离上一次用户行为的发生时刻之间的间隔时长,根据间隔时长确定第二恢复系数。环境感知服务装置根据下述公式(7)确定第二恢复系数。
Figure BDA0002964265170000143
其中,dt是第二恢复系数;T为恢复时间,T的含义是,两次相邻的用户行为的发生时刻之间的间隔时长达到T后,用户账号的信用评分能够恢复到100分。Z是根据实际需要预先设置的。例如,Z设置为90天。t表示第二用户行为的发生时刻距离上一次用户行为的发生时刻之间的间隔时长。请参阅图7B所示,图7B为随着安全行为连续发生的次数的增加,第二恢复系数变化的示意图。图7B横轴表示第二用户行为的发生时刻距离上一次用户行为的发生时刻之间的间隔时长,纵轴表示第二恢复系数。
然后,环境感知服务装置比较通过上述式(5)得到的第一恢复系数和通过上述式(7)得到的第二恢复系数的大小。环境感知服务装置根据下述式(8)计算第一行为类别的危险程度值。
Figure BDA0002964265170000144
其中,kj为第一危险系数;fi为第二危险系数;dΓ为第一恢复系数;dt是第二恢复系数;min(dt,dΓ)表示取dt和dΓ中的较小值;Spre为S4的上一次计算得到的用户账号的信用评分。第一行为类别的危险程度值=100-S4。应理解,当第一恢复系数小于第二恢复系数时,环境感知服务装置根据第一危险系数、第二危险系数及所述第一恢复系数确定所述第一行为类别的危险程度值。当所述第一恢复系数大于所述第二恢复系数时,环境感知服务装置根据第一危险系数、第二危险系数及第二恢复系数确定所述第一行为类别的危险程度值。
在第二种实现方式中,环境感知服务装置比较第一恢复系数和第二危险恢复的大小,确定第一恢复系数和第二恢复系数中的较小值,根据较小的危险恢复系数计算第一行为类别的危险程度值(或信用分值),从而能够较快的对信用分值进行恢复,当由于用户误操作导致信用评分降低时,降低由于用户的失误操作而给用户带来的不便。
可选地,为了提高零信任系统的安全性,能够更准确的评估第一行为类别的第一危险程度值,环境感知服务装置对访问主体进行多维度的评估,访问主体包括终端设备及在终端设备上登录的用户账号。环境感知服务装置确定终端设备的危险程度值和用户账号的危险程度值,然后根据终端设备的危险程度值和用户账号的危险程度值计算综合的危险程度值。
首先,环境感知服务装置接收来自终端设备的风险事件。风险事件包括终端风险事件和流量威胁事件。其中,终端风险事件包括但不限于高危端口、违规外联、僵木蠕毒等事件。流量威胁事件包括但不限于命令注入攻击、结构化查询语言(structured querylanguage,SQL)注入攻击、恶意加密C&C流、DGA(domain generation algorithm)域名请求等。
然后,环境感知服务装置根据风险事件确定终端设备的第二危险程度值。在一种可选的实现方式中,终端设备检测到终端风险事件,计算终端风险事件的危险程度值。并且将流量威胁事件上报至环境感知服务装置,环境感知服务装置根据每种流量威胁事件对应的预置分数和流量威胁事件的数量确定流量风险事件的危险程度值。环境感知服务装置根据风险事件的危险程度值和流量风险事件的危险程度值确定第二危险程度值。第二种可选的实现方式中,终端设备不计算终端风险事件的危险程度值,而是将检测到的风险事件(终端风险事件和/或流量威胁事件)上报至环境感知服务装置。环境感知服务装置接收到终端设备上报的风险事件后,根据每种风险事件的数量和每种风险事件对应的预置分数确定风险事件的第二危险程度值。
再后,环境感知服务装置根据用户账号的第一危险程度值和终端设备的第二危险程度值确定访问主体(终端设备和用户账号)的第三风险程度值。第一危险程度值和第二危险程度值具有对应的权重。环境感知服务装置根据下式(9)计算第三风险程度值。
第三风险程度值=第一危险程度值×w1+第二危险程度值×w2,式(9)。其中,w1是第一危险程度值的权重,w1是第而危险程度值的权重。
最后,环境感知服务装置向策略控制装置输出第三风险程度值(或第三信用分值)。第三信用分值=100-第三风险程度值。
相应于本申请实施例提供的一种用户账号的风险度量方法,下面对该方法应用的装置进行说明。请参阅图8所示,本申请提供了一种用户账号的风险度量装置的一个实施例,该用户账号的风险度量装置800包括接收模块801和处理模块802,可选地,用户账号的风险度量装置还包括输出模块803。用户账号的风险度量装置用于执行上述方法实施例中环境感知服务装置所执行的步骤。本实施例中,用户账号的风险度量装置是环境感知服务装置为例进行说明。
接收模块801,用于获取终端设备的第一时间段内的用户行为日志,用户行为日志中记录有一个用户账号在第一时间段内发生的至少一次用户行为,至少一次用户行为属于至少一种行为类别,行为类别包括登录类行为、应用程序APP鉴权类行为、或应用程序编程接口API鉴权类行为;
处理模块802,用于根据接收模块801接收的用户行为日志确定第一行为类别的行为特征,第一行为类别是至少一种行为类别中的一种行为类别;
处理模块802,还用于针对第一行为类别所描述的行为特征,确定用户账号的第一危险程度值,第一危险程度值是第一行为类别的危险程度值。
可选地,接收模块801由收发模块代替。可选地,收发模块为收发器。其中,收发器具有发送和/或接收的功能。可选地,收发器由接收器和/或发射器代替。
可选地,收发模块为通信接口。可选地,通信接口是输入输出接口或者收发电路。输入输出接口包括输入接口和输出接口。收发电路包括输入接口电路和输出接口电路。
可选地,处理模块802为处理器,处理器是通用处理器或者专用处理器等。可选地,处理器包括用于实现接收和发送功能的收发单元。例如该收发单元是收发电路,或者是接口,或者是接口电路。用于实现接收和发送功能的收发电路、接口或接口电路是分开的部署的,可选地,是集成在一起部署的。上述收发电路、接口或接口电路用于代码或数据的读写,或者,上述收发电路、接口或接口电路用于信号的传输或传递。
进一步的,接收模块801用于执行图2对应的实施例中的步骤201。处理模块802用于执行图2对应的实施例中的步骤202和步骤203。处理模块802还用于执行图3对应的示例中的步骤S10-步骤S16,及图5对应的示例中的步骤S10-步骤S18,处理模块802还用于执行图6对应的示例中的步骤S20-步骤S26。
可选地,在一种可能实现的方式中,接收模块801,还用于接收来自终端设备的风险事件;处理模块802,还用于确定风险事件的第二危险程度值;根据用户账号的第一危险程度值和风险事件的第二危险程度值确定终端设备的第三风险程度值;
输出模块803,还用于输出处理模块802得到的第三风险程度值。
可选地,输出模块803由收发模块代替。可选地,收发模块为收发器。其中,收发器具有发送和/或接收的功能。可选地,收发器由接收器和/或发射器代替。
可选地,收发模块为通信接口。可选地,通信接口是输入输出接口或者收发电路。输入输出接口包括输入接口和输出接口。收发电路包括输入接口电路和输出接口电路。
请参阅图9所示,本申请提供了一种电子设备900,电子设备900是上述方法实施例中的环境感知服务装置,用于执行上述方法实施例中环境感知服务装置的功能。本实施例中电子设备900以服务器为例进行说明。
服务器包括一个或一个以上中央处理器(central processing units,CPU)922(例如,一个或一个以上处理器)和存储器932,一个或一个以上存储应用程序942或数据944的存储介质930(例如一个或一个以上海量存储设备)。其中,存储器932和存储介质930是短暂存储或持久存储。存储在存储介质930的程序包括一个或一个以上模块(图示没标出),每个模块包括对装置中的一系列指令操作。更进一步地,中央处理器922设置为与存储介质930通信,在服务器上执行存储介质930中的一系列指令操作。
可选地,服务器还包括一个或一个以上电源926,一个或一个以上有线或无线网络接口950,一个或一个以上输入输出接口958,和/或,一个或一个以上操作系统941。
可选地,服务器还包括一个或一个以上电源926,一个或一个以上有线或无线网络接口950,一个或一个以上输入输出接口958,和/或,一个或一个以上操作系统941。
另外,在一个可选的设计中,图8中的接收模块801的功能由图9中的网络接口950执行。图8中的处理模块802的功能由图9中的中央处理器922执行。图8中的输出模块803的功能由图9中的网络接口950或输入输出接口958执行。
本申请实施例提供了一种计算机可读介质,计算机可读存储介质用于存储计算机程序,当计算机程序在计算机上运行时,使得计算机执行上述方法实施例中环境感知服务装置所执行的方法。
本申请实施例提供了一种芯片,芯片包括处理器和通信接口,通信接口例如是输入/输出接口、管脚或电路等。处理器用于读取指令以执行上述方法实施例中环境感知服务装置所执行的方法。
本申请实施例提供了一种计算机程序产品,该计算机程序产品被计算机执行时实现上述方法实施例中环境感知服务装置所执行的方法。
其中,可选地,上述任一处提到的处理器,是一个通用中央处理器(CPU),微处理器,特定应用集成电路(application-specific integrated circuit,ASIC)。
所属领域的技术人员能够清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
以上所述,以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然能够对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。

Claims (19)

1.一种用户账号的风险度量方法,其特征在于,包括:
获取终端设备的第一时间段内的用户行为日志,所述用户行为日志中记录有一个用户账号在所述第一时间段内发生的至少一次用户行为,所述至少一次用户行为属于至少一种行为类别,所述行为类别包括登录类行为、应用程序APP鉴权类行为、或应用程序编程接口API鉴权类行为;
根据所述用户行为日志确定第一行为类别的行为特征,所述第一行为类别是所述至少一种行为类别中的一种行为类别;
针对所述第一行为类别所描述的行为特征,确定所述用户账号的第一危险程度值,所述第一危险程度值是所述第一行为类别的危险程度值。
2.根据权利要求1所述的方法,其特征在于,所述至少一次用户行为中包括多次用户行为,所述多次用户行为属于至少两个或两个以上的行为类别,在计算所述第一危险程度值的模型中所述两个或两个以上的行为类别是按照预定顺序排列的;所述针对所述第一行为类别的行为特征,确定所述用户账号的第一危险程度值,包括:
根据所述第一行为类别在所述预定顺序中的位置和所述第一行为类别的行为特征,确定所述用户账号的第一危险程度值。
3.根据权利要求2所述的方法,其特征在于,所述行为特征包括行为结果和用户行为的连续发生次数,所述行为结果包括成功或失败,所述多次用户行为包括第一用户行为,所述根据所述第一行为类别在所述预定顺序中的位置和所述第一行为类别的行为特征,确定所述用户账号的第一危险程度值,包括:
根据所述第一行为类别在所述预定顺序中的位置确定第一危险系数;
当所述第一用户行为的行为结果是失败时,截至所述第一用户行为的发生时刻,确定所述第一行为类别包括的行为结果是失败的用户行为的连续发生次数;
根据所述行为结果是失败的用户行为的连续发生次数确定第二危险系数;
根据所述第一危险系数和所述第二危险系数确定所述第一行为类别的危险程度值。
4.根据权利要求2或3所述的方法,其特征在于,所述至少两个或两个以上的行为类别包括所述第一行为类别和第二行为类别,在所述预定顺序中,若所述第一行为类别的位置在所述第二行为类别的位置之前,则所述第一行为类别对应的危险系数低于所述第二行为类别对应的危险系数。
5.根据权利要求3所述的方法,其特征在于,所述多次用户行为还包括第二用户行为,当所述第二用户行为的行为结果是成功时,所述方法还包括:
截至所述第二用户行为的发生时刻,确定所述第一行为类别包括的行为结果是成功的用户行为的连续发生次数,所述第二用户行为的发生时刻位于所述第一用户行为的发生时刻之后;
根据所述行为结果是成功的用户行为的连续发生次数确定第一恢复系数;
所述根据所述第一危险系数和所述第二危险系数确定所述第一行为类别的危险程度值,包括:
根据所述第一危险系数、所述第二危险系数及所述第一恢复系数确定所述第一行为类别的危险程度值。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
确定所述第二用户行为的发生时刻距离上一次用户行为的发生时刻之间的间隔时长,根据所述间隔时长确定第二恢复系数;
比较所述第一恢复系数和所述第二恢复系数的大小;
当所述第一恢复系数小于所述第二恢复系数时,执行所述根据所述第一危险系数、所述第二危险系数及所述第一恢复系数确定所述第一行为类别的危险程度值的步骤。
7.根据权利要求6所述的方法,其特征在于,当所述第一恢复系数大于所述第二恢复系数时,所述方法还包括:
根据所述第一危险系数、所述第二危险系数及所述第二恢复系数确定所述第一行为类别的危险程度值。
8.根据权利要求1-7中任一项所述的方法,其特征在于,所述方法还包括:
接收来自所述终端设备的风险事件;
确定所述风险事件的第二危险程度值;
根据所述用户账号的第一危险程度值和所述风险事件的第二危险程度值确定所述终端设备的第三风险程度值;
输出所述第三风险程度值。
9.一种用户账号的风险度量装置,其特征在于,包括:
接收模块,用于获取终端设备的第一时间段内的用户行为日志,所述用户行为日志中记录有一个用户账号在所述第一时间段内发生的至少一次用户行为,所述至少一次用户行为属于至少一种行为类别,所述行为类别包括登录类行为、应用程序APP鉴权类行为、或应用程序编程接口API鉴权类行为;
处理模块,用于根据所述接收模块接收的所述用户行为日志确定第一行为类别的行为特征,所述第一行为类别是所述至少一种行为类别中的一种行为类别;
所述处理模块,还用于针对所述第一行为类别所描述的行为特征,确定所述用户账号的第一危险程度值,所述第一危险程度值是所述第一行为类别的危险程度值。
10.根据权利要求9所述的装置,其特征在于,所述至少一次用户行为中包括多次用户行为,所述多次用户行为属于至少两个或两个以上的行为类别,在计算所述第一危险程度值的模型中所述两个或两个以上的行为类别是按照预定顺序排列的;
所述处理模块,还用于根据所述第一行为类别在所述预定顺序中的位置和所述第一行为类别的行为特征,确定所述用户账号的第一危险程度值。
11.根据权利要求10所述的装置,其特征在于,所述行为特征包括行为结果和用户行为的连续发生次数,所述行为结果包括成功或失败,所述多次用户行为包括第一用户行为,
所述处理模块还具体用于:
根据所述第一行为类别在所述预定顺序中的位置确定第一危险系数;
当所述第一用户行为的行为结果是失败时,截至所述第一用户行为的发生时刻,确定所述第一行为类别包括的行为结果是失败的用户行为的连续发生次数;
根据所述行为结果是失败的用户行为的连续发生次数确定第二危险系数;
根据所述第一危险系数和所述第二危险系数确定所述第一行为类别的危险程度值。
12.根据权利要求10或11所述的装置,其特征在于,所述至少两个或两个以上的行为类别包括所述第一行为类别和第二行为类别,在所述预定顺序中,若所述第一行为类别的位置在所述第二行为类别的位置之前,则所述第一行为类别对应的危险系数低于所述第二行为类别对应的危险系数。
13.根据权利要求11所述的装置,其特征在于,所述多次用户行为还包括第二用户行为,当所述第二用户行为的行为结果是成功时,所述处理模块还具体用于:
截至所述第二用户行为的发生时刻,确定所述第一行为类别包括的行为结果是成功的用户行为的连续发生次数,所述第二用户行为的发生时刻位于所述第一用户行为的发生时刻之后;
根据所述行为结果是成功的用户行为的连续发生次数确定第一恢复系数;
根据所述第一危险系数、所述第二危险系数及所述第一恢复系数确定所述第一行为类别的危险程度值。
14.根据权利要求13所述的装置,其特征在于,所述处理模块还用于:
确定所述第二用户行为的发生时刻距离上一次用户行为的发生时刻之间的间隔时长,根据所述间隔时长确定第二恢复系数;
比较所述第一恢复系数和所述第二恢复系数的大小;
当所述第一恢复系数小于所述第二恢复系数时,根据所述第一危险系数、所述第二危险系数及所述第一恢复系数确定所述第一行为类别的危险程度值。
15.根据权利要求14所述的装置,其特征在于,当所述第一恢复系数大于所述第二恢复系数时,所述处理模块还用于:
根据所述第一危险系数、所述第二危险系数及所述第二恢复系数确定所述第一行为类别的危险程度值。
16.根据权利要求9-15中任一项所述的装置,其特征在于,所述装置还包括输出模块;
所述接收模块,还用于接收来自所述终端设备的风险事件;
所述处理模块,还用于确定所述风险事件的第二危险程度值;根据所述用户账号的第一危险程度值和所述风险事件的第二危险程度值确定所述终端设备的第三风险程度值;
所述输出模块,还用于输出所述第三风险程度值。
17.一种电子设备,其特征在于,包括:处理器,所述处理器与至少一个存储器耦合,所述处理器用于读取所述至少一个存储器所存储的计算机程序,使得所述电子设备执行如权利要求1至8中任一项所述的方法。
18.一种计算机可读介质,其特征在于,所述计算机可读存储介质用于存储计算机程序,当所述计算机程序在计算机上运行时,使得所述计算机执行如权利要求1至8中任一项所述的方法。
19.一种芯片,其特征在于,包括处理器和通信接口,所述处理器用于读取指令以执行如权利要求1至8中任一项所述的方法。
CN202110246454.7A 2021-03-05 2021-03-05 一种用户账号的风险度量方法及相关装置 Pending CN115017509A (zh)

Priority Applications (4)

Application Number Priority Date Filing Date Title
CN202110246454.7A CN115017509A (zh) 2021-03-05 2021-03-05 一种用户账号的风险度量方法及相关装置
EP21928903.0A EP4293551A4 (en) 2021-03-05 2021-12-30 USER ACCOUNT RISK MEASUREMENT METHOD AND ASSOCIATED DEVICE
PCT/CN2021/143330 WO2022183832A1 (zh) 2021-03-05 2021-12-30 一种用户账号的风险度量方法及相关装置
US18/459,556 US20230412636A1 (en) 2021-03-05 2023-09-01 Risk measurement method for user account and related apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110246454.7A CN115017509A (zh) 2021-03-05 2021-03-05 一种用户账号的风险度量方法及相关装置

Publications (1)

Publication Number Publication Date
CN115017509A true CN115017509A (zh) 2022-09-06

Family

ID=83064477

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110246454.7A Pending CN115017509A (zh) 2021-03-05 2021-03-05 一种用户账号的风险度量方法及相关装置

Country Status (4)

Country Link
US (1) US20230412636A1 (zh)
EP (1) EP4293551A4 (zh)
CN (1) CN115017509A (zh)
WO (1) WO2022183832A1 (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117407843A (zh) * 2023-10-13 2024-01-16 成都安美勤信息技术股份有限公司 一种隐私信息访问检测管理方法
CN118504011A (zh) * 2024-07-22 2024-08-16 博浩科技有限公司 基于人工智能的数据信息安全控制方法及系统

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117574362B (zh) * 2024-01-15 2024-04-30 广东茉莉数字科技集团股份有限公司 一种达人账号数据异常分辨方法及系统

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2498529A1 (en) * 2011-03-08 2012-09-12 Trusted Logic Mobility SAS User authentication method for accessing an online service
CN104426847A (zh) * 2013-08-22 2015-03-18 腾讯科技(深圳)有限公司 互联网服务安全访问和验证的方法、系统和服务器
US9800605B2 (en) * 2015-01-30 2017-10-24 Securonix, Inc. Risk scoring for threat assessment
US10503906B2 (en) * 2015-12-02 2019-12-10 Quest Software Inc. Determining a risk indicator based on classifying documents using a classifier
CN108076018A (zh) * 2016-11-16 2018-05-25 阿里巴巴集团控股有限公司 身份认证系统、方法、装置及账号认证方法
US10878102B2 (en) * 2017-05-16 2020-12-29 Micro Focus Llc Risk scores for entities
CN110677430B (zh) * 2019-10-14 2020-09-08 西安交通大学 基于网络安全设备日志数据的用户风险度评估方法和系统
CN111901347B (zh) * 2020-07-29 2022-12-06 南方电网科学研究院有限责任公司 一种零信任下的动态身份认证方法和装置
CN112231692A (zh) * 2020-10-13 2021-01-15 中移(杭州)信息技术有限公司 安全认证方法、装置、设备及存储介质

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117407843A (zh) * 2023-10-13 2024-01-16 成都安美勤信息技术股份有限公司 一种隐私信息访问检测管理方法
CN117407843B (zh) * 2023-10-13 2024-04-19 成都安美勤信息技术股份有限公司 一种隐私信息访问检测管理方法
CN118504011A (zh) * 2024-07-22 2024-08-16 博浩科技有限公司 基于人工智能的数据信息安全控制方法及系统

Also Published As

Publication number Publication date
EP4293551A1 (en) 2023-12-20
EP4293551A4 (en) 2024-08-07
WO2022183832A1 (zh) 2022-09-09
US20230412636A1 (en) 2023-12-21

Similar Documents

Publication Publication Date Title
US11785040B2 (en) Systems and methods for cyber security alert triage
CN115017509A (zh) 一种用户账号的风险度量方法及相关装置
CN107211016B (zh) 会话安全划分和应用程序剖析器
CN108268354B (zh) 数据安全监控方法、后台服务器、终端及系统
US10284580B2 (en) Multiple detector methods and systems for defeating low and slow application DDoS attacks
EP2769325B1 (en) User behavioral risk assessment
WO2019095911A1 (zh) 一种抵御拒绝服务攻击的方法及设备
US8819769B1 (en) Managing user access with mobile device posture
CN111245793A (zh) 网络数据的异常分析方法及装置
CN111193719A (zh) 一种网络入侵防护系统
US11902307B2 (en) Method and apparatus for network fraud detection and remediation through analytics
US20070006305A1 (en) Preventing phishing attacks
US20200412717A1 (en) Systems and methods for real-time detection of compromised authentication credentials
US10560364B1 (en) Detecting network anomalies using node scoring
KR101964148B1 (ko) 기계 학습 기반으로 이상 행위를 분석하는 유무선 공유기 및 그 방법
RU2634174C1 (ru) Система и способ выполнения банковской транзакции
CN111683157A (zh) 一种物联网设备的网络安全防护方法
US10885162B2 (en) Automated determination of device identifiers for risk-based access control in a computer network
US11082442B1 (en) Automated setting of risk score aggregation weights for detection of access anomalies in a computer network
US9800596B1 (en) Automated detection of time-based access anomalies in a computer network through processing of login data
CN111510339B (zh) 一种工业互联网数据监测方法和装置
WO2018100718A1 (ja) 評価装置、セキュリティ製品の評価方法および評価プログラム
CN117201147A (zh) 一种基于零信任模型的终端威胁识别和处置方法
US11637862B1 (en) System and method for surfacing cyber-security threats with a self-learning recommendation engine
KR101576993B1 (ko) 캡차를 이용한 아이디도용 차단방법 및 차단 시스템

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination