CN116112226A - 一种基于分布式可信溯源的网络访问监督系统 - Google Patents

一种基于分布式可信溯源的网络访问监督系统 Download PDF

Info

Publication number
CN116112226A
CN116112226A CN202211698336.0A CN202211698336A CN116112226A CN 116112226 A CN116112226 A CN 116112226A CN 202211698336 A CN202211698336 A CN 202211698336A CN 116112226 A CN116112226 A CN 116112226A
Authority
CN
China
Prior art keywords
network access
data
target
information
requester
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202211698336.0A
Other languages
English (en)
Other versions
CN116112226B (zh
Inventor
李超
陈羿铭
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nupt Institute Of Big Data Research At Yancheng
Original Assignee
Nupt Institute Of Big Data Research At Yancheng
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nupt Institute Of Big Data Research At Yancheng filed Critical Nupt Institute Of Big Data Research At Yancheng
Priority to CN202211698336.0A priority Critical patent/CN116112226B/zh
Publication of CN116112226A publication Critical patent/CN116112226A/zh
Application granted granted Critical
Publication of CN116112226B publication Critical patent/CN116112226B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供一种基于分布式可信溯源的网络访问监督系统,包括:第一获取模块,用于获取网络上各个设备接收或发出的网络访问的网络访问数据;解析模块,用于解析网络访问数据,确定网络访问的请求方信息和/或目标方信息;第二获取模块,用于基于请求方信息和/或目标方信息,获取分布式可信溯源信息;验证模块,用于基于分布式可信溯源信息,对网络访问进行验证;拦截模块,用于当验证不通过时,拦截网络访问,生成拦截记录并存储。本发明的基于分布式可信溯源的网络访问监督系统,对网络上各个设备的网络访问进行监督,及时发现威胁,保证网络上的数据安全性,进一步地保护网络上各个设备的数据的安全性。

Description

一种基于分布式可信溯源的网络访问监督系统
技术领域
本发明涉及网络完全技术领域,特别涉及一种基于分布式可信溯源的网络访问监督系统。
背景技术
目前,伴随着计算机技术的飞速发展,网络安全一直都是用户关心的问题;网络上各个设备之间的数据交互往往从网络访问开始,因此,威胁各个设备的数据安全的行为往往都是发生在被访问或在访问网站或服务器时;因此亟需一种网络访问监督系统,对网络上各个设备的网络访问进行监督,保证网络上数据的安全性。
发明内容
本发明目的之一在于提供了一种基于分布式可信溯源的网络访问监督系统,对网络上各个设备的网络访问进行监督,及时发现威胁,保证网络上的数据安全性,进一步地保护网络上各个设备的数据的安全性。
本发明实施例提供的一种基于分布式可信溯源的网络访问监督系统,包括:
第一获取模块,用于获取网络上各个设备接收或发出的网络访问的网络访问数据;
解析模块,用于解析网络访问数据,确定网络访问的请求方信息和/或目标方信息;
第二获取模块,用于基于请求方信息和/或目标方信息,获取分布式可信溯源信息;
验证模块,用于基于分布式可信溯源信息,对网络访问进行验证;
拦截模块,用于当验证不通过时,拦截网络访问,生成拦截记录并存储。
优选的,基于分布式可信溯源的网络访问监督系统,还包括:
第一分析模块,用于基于预设的信任分析库,对分布式存储网络内各个数据节点的历史网络访问数据进行分析,确定历史网络访问数据对应的请求方或目标方的可信度;
溯源信息生成模块,用于基于历史网络访问数据及对应的请求方或目标方的可信度,生成待溯源信息;
分布式存储模块,用于将待溯源信息存储至分布式存储网络中各个历史网络访问数据对应的数据节点。
优选的,第一分析模块基于预设的信任分析库,对分布式存储网络内各个数据节点的历史网络访问数据进行分析,确定历史网络访问数据对应的请求方和/或目标方的可信度,包括:
对历史网络访问数据进行特征提取,提取多个第一特征参数值;
基于提取的多个第一特征参数值,构建第一特征数据集;
将第一特征数据集与信任分析库中的第一标准数据集进行匹配;
获取匹配符合的第一标准数据集对应关联的可信度,作为历史网络访问数据对应的请求方或目标方的可信度。
优选的,第二获取模块基于请求方信息和/或目标方信息,获取分布式可信溯源信息,执行如下操作:
基于请求方信息,生成第一数据获取请求;
将第一数据获取请求发送至分布式存储网络内各个数据节点;
接收数据节点的对应第一数据获取请求的第一反馈数据;
解析第一反馈数据,获取分布式可信溯源信息;
和/或,
基于目标方信息,生成第二数据获取请求;
将第二数据获取请求发送至分布式存储网络内的各个数据节点;
接收数据节点的对应第二数据获取请求的第二反馈数据;
解析第二反馈数据,获取分布式可信溯源信息。
优选的,验证模块基于分布式可信溯源信息,对网络访问进行验证,包括:
解析各个数据节点对应分布式可信溯源信息,确定各个数据节点对于请求方的可信度或目标方的可信度;
获取各个数据节点对应的信任权重;
基于信任权重和可信度,计算请求方的信任度或目标方的信任度;计算公式如下:
Figure BDA0004023058780000031
其中,XD表示网络访问的请求方的信任度或目标方的信任度;βi为第i数据节点对应的信任权重;Ai为第i数据节点对于请求方的可信度或目标方的可信度;
当网络访问的请求方的信任度大于预设的第一信任阈值和/或网络访问的目标方的信任度大于预设的第二信任阈值时,网络访问验证通过。
优选的,基于分布式可信溯源的网络访问监督系统,还包括:
第二分析模块,用于基于预设的威胁分析库,对分布式存储网络内各个数据节点的历史拦截记录对应的数据进行分析,确定对应的网络访问的请求方或目标方的危险度;
溯源信息生成模块,用于基于历史拦截记录及对应的请求方或目标方的危险度,生成待溯源信息;
分布式存储模块,用于将待溯源信息存储至分布式存储网络中各个历史拦截记录对应的数据节点。
优选的,第二分析模块基于预设的威胁分析库,对分布式存储网络内各个数据节点的历史拦截记录对应的数据进行分析,确定对应的网络访问的请求方或目标方的危险度,包括:
对历史拦截记录对应的数据进行特征提取,提取多个第二特征参数值;
基于提取的多个第二特征参数值,构建第二特征数据集;
将第二特征数据集与威胁分析库中的第二标准数据集进行匹配;
获取匹配符合的第二标准数据集对应关联的危险度,作为历史网络访问数据对应的请求方或目标方的危险度。
优选的,验证模块基于分布式可信溯源信息,对网络访问进行验证,包括:
解析各个数据节点对应分布式可信溯源信息,确定各个数据节点对应存储的请求方的危险度或目标方的危险度;
基于各个数据节点对应存储的请求方的危险度或目标方的危险度,确定网络访问的请求方的威胁度或目标方的威胁度;
当网络访问的请求方的威胁度小于预设的第一威胁阈值且网络访问的目标方的威胁度小于预设的第二威胁阈值时,网络访问验证通过。
优选的,验证模块基于分布式可信溯源信息,对网络访问进行验证,包括:
解析分布式可信溯源信息,确定请求方或目标方的网络访问次数;
当网络访问次数小于预设的次数阈值时,将请求方信息和/或目标方信息发送至大数据平台;
接收连接到大数据平台的各个服务商对于请求方的评价数据和/或目标方的评价数据;
解析评价数据,确定各个服务商对于请求方的评价值或目标方的评价值;
获取各个服务商对应的置信系数;
基于各个服务商对应的置信系数和各个服务商对于请求方的评价值,计算网络访问的请求方的置信值;计算公式如下:
Figure BDA0004023058780000041
其中,ZXQ为网络访问的请求方的置信值,Pj为对网络访问的请求方评价的第j个服务商的评价值;γj为对网络访问的请求方评价的第j个服务商的置信系数;
基于各个服务商对应的置信系数和各个服务商对于目标方的评价值,计算网络访问的目标方的置信值,计算公式如下:
Figure BDA0004023058780000051
其中,ZXM为网络访问的目标方的置信值;pk为对网络访问的目标方评价的第k个服务商的评价值;μk为对网络访问的目标方评价的第k个服务商的置信系数;
当请求方的置信值大于预设的第一置信阈值且目标方的置信值大于预设的第二置信阈值时,验证通过。
优选的,基于分布式可信溯源的网络访问监督系统,还包括:
计数模块,用于对预设时间内同一请求方或同一目标方的网络访问的拦截记录进行计数;
第三分析模块,用于当计数模块的计数数值大于预设的触发阈值时,基于信任分析库和威胁分析库,对拦截记录对应的网络访问数据进行分析,确定历史网络访问数据对应的请求方或目标方的可信度、历史网络访问数据对应的请求方或目标方的危险度;
重连模块,用于执行危险度小于预设的重连危险阈值且可信度大于预设的重连可信阈值时,重连网络访问。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1为本发明实施例中一种基于分布式可信溯源的网络访问监督系统的示意图;
图2为本发明实施例中一种基于分布式可信溯源的网络访问监督系统的溯源信息生成的示意图;
图3为本发明实施例中又一种基于分布式可信溯源的网络访问监督系统的溯源信息生成的示意图。
具体实施方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
本发明实施例提供了一种基于分布式可信溯源的网络访问监督系统,如图1所示,包括:
第一获取模块1,用于获取网络上各个设备接收或发出的网络访问的网络访问数据;
解析模块2,用于解析网络访问数据,确定网络访问的请求方信息和/或目标方信息;
第二获取模块3,用于基于请求方信息和/或目标方信息,获取分布式可信溯源信息;
验证模块4,用于基于分布式可信溯源信息,对网络访问进行验证;
拦截模块5,用于当验证不通过时,拦截网络访问,生成拦截记录并存储。
上述技术方案的工作原理及有益效果为:
当网络上各个设备接收或发出网络访问时,通过对网络访问对应的请求方、目标方进行风险验证,当验证通过时,说明风险低或无风险,无需进行处理;当验证没通过时,说明风险较高,需要进行拦截;通过拦截模块5进行拦截并生成拦截记录;拦截方式主要包括:确定网络访问数据的链路,通过链路上的数据节点进行拦截,通过向设备发送预警信息,通过设备进行风险的网络访问的拦截;其中,请求方信息包括:网络访问发起者的IP地址、ID等;目标方信息包括:网络访问的目标对象的IP地址、ID等。网络访问数据包括:上行数据和下行数据,上行数据即设备向外发出的数据;下行数据为设备接收外部的数据。
本发明的基于分布式可信溯源的网络访问监督系统,对网络上各个设备的网络访问进行监督,及时发现威胁,保证网络上的数据安全性,进一步地保护网络上各个设备的数据的安全性。
在一个实施例中,基于分布式可信溯源的网络访问监督系统,如图2所示,还包括:
第一分析模块10,用于基于预设的信任分析库,对分布式存储网络内各个数据节点的历史网络访问数据进行分析,确定历史网络访问数据对应的请求方或目标方的可信度;
溯源信息生成模块12,用于基于历史网络访问数据及对应的请求方或目标方的可信度,生成待溯源信息;
分布式存储模块13,用于将待溯源信息存储至分布式存储网络中各个历史网络访问数据对应的数据节点。
上述技术方案的工作原理及有益效果为:
通过信任分析库,对分布式存储网络内各个数据节点的历史网络访问数据进行分析,进而生成待溯源信息,为网络访问的实时监督提供验证的数据基础,以提高网络访问的验证效率及准确率。其中,信任分析库是事先基于大量的网络访问数据经过人工或计算机软件分析,确定网络访问对应的可信度;当网络访问为外界网络设备访问数据节点的,及外界网络设备为请求方,将网络访问数据确定的可信度就为请求方的可信度;当网络访问为数据节点访问外界网络设备时,即外界网络设备为目标方,根据网络访问数据确定的可信度就为目标方的可信度。
在一个实施例中,第一分析模块10基于预设的信任分析库,对分布式存储网络内各个数据节点的历史网络访问数据进行分析,确定历史网络访问数据对应的请求方和/或目标方的可信度,包括:
对历史网络访问数据进行特征提取,提取多个第一特征参数值;第一特征参数值包括:通过关键词提取关键词,通过关键词-特征参数值对照表,确定的特征参数值;是否具有权限访问重要位置;访问重要位置的频率等;
基于提取的多个第一特征参数值,构建第一特征数据集;
将第一特征数据集与信任分析库中的第一标准数据集进行匹配;匹配可以采用计算第一特征数据集和第一标准数据集的相似度的方式实现;相似度计算公式如下:
Figure BDA0004023058780000081
其中,X1为第一特征数据集和第一标准数据集的相似度;Cd为第一特征数据集中第d个第一特征参数值;cd为第一标准数据集中第d个数据值;D为第一特征数据集中的第一特征参数值的总数或第一标准数据集中数据值的总数;
获取匹配符合的第一标准数据集对应关联的可信度,作为历史网络访问数据对应的请求方或目标方的可信度。当第一特征数据集与信任分析库中的各个第一标准数据集的相似度计算完成后,比较相似度的大小,确定最大的相似度对应的第一标准数据集与第一特征数据集匹配。
在一个实施例中,第二获取模块3基于请求方信息和/或目标方信息,获取分布式可信溯源信息,执行如下操作:
基于请求方信息,生成第一数据获取请求;
将第一数据获取请求发送至分布式存储网络内各个数据节点;
接收数据节点的对应第一数据获取请求的第一反馈数据;
解析第一反馈数据,获取分布式可信溯源信息;
和/或,
基于目标方信息,生成第二数据获取请求;
将第二数据获取请求发送至分布式存储网络内的各个数据节点;
接收数据节点的对应第二数据获取请求的第二反馈数据;
解析第二反馈数据,获取分布式可信溯源信息。
上述技术方案的工作原理及有益效果为:
在进行分布是可信溯源信息的获取时,不仅要获取请求方对应的待溯源信息,还应获取目标方对应的待溯源信息,以保证可以对网络访问的请求方及目标方都进行验证,保证能有效发现异常的网络访问。
在一个实施例中,验证模块4基于分布式可信溯源信息,对网络访问进行验证,包括:
解析各个数据节点对应分布式可信溯源信息,确定各个数据节点对于请求方的可信度或目标方的可信度;
获取各个数据节点对应的信任权重;信任权重可以根据数据节点在分布式存储网络中的权限和预设的权限-信任权重对照表确定;
基于信任权重和可信度,计算请求方的信任度或目标方的信任度;计算公式如下:
Figure BDA0004023058780000091
其中,XD表示网络访问的请求方的信任度或目标方的信任度;βi为第i数据节点对应的信任权重;Ai为第i数据节点对于请求方的可信度或目标方的可信度;
当网络访问的请求方的信任度大于预设的第一信任阈值和/或网络访问的目标方的信任度大于预设的第二信任阈值时,网络访问验证通过。
上述技术方案的工作原理及有益效果为:
对各个数据节点提供了分布式可信溯源信息进行分析,确定各个数据节点对于当前的网络访问中的请求方的可信度或目标方的可信度;在此基础上确定网络访问中的请求方的信任度或目标方的信任度;通过信任度确定请求方或者目标方是否值得信任,以表示请求方或者目标方是否安全,通过设置第一信任阈值和第二信任阈值作为划分是否值得信任的标准,进而实现网络访问的验证。其中,在基于各个数据节点对于当前的网络访问中的请求方的可信度或目标方的可信度,确定网络访问中的请求方的信任度或目标方的信任度时,引入信任权重,将单一数据节点对请求方或目标方的可信度转变为对于整个网络的信任度,实现基于单一数据节点的认知确定整个网络的认知,保证对网络中网络访问的监督的准确性。
在一个实施例中,基于分布式可信溯源的网络访问监督系统,如图3所示,还包括:
第二分析模块11,用于基于预设的威胁分析库,对分布式存储网络内各个数据节点的历史拦截记录对应的数据进行分析,确定对应的网络访问的请求方或目标方的危险度;
溯源信息生成模块12,用于基于历史拦截记录及对应的请求方或目标方的危险度,生成待溯源信息;
分布式存储模块13,用于将待溯源信息存储至分布式存储网络中各个历史拦截记录对应的数据节点。
上述技术方案的工作原理及有益效果为:
通过威胁分析库,对分布式存储网络内各个数据节点的历史拦截记录进行分析,进而生成待溯源信息,为网络访问的实时监督提供验证的数据基础,以提高网络访问的验证效率及准确率。其中,威胁分析库是事先基于大量的网络访问数据经过人工或计算机软件分析,确定网络访问对应的危险度;当网络访问为外界网络设备访问数据节点的,及外界网络设备为请求方,历史拦截记录确定的危险度就为请求方的危险度;当网络访问为数据节点访问外界网络设备时,即外界网络设备为目标方,历史拦截记录确定的危险度就为目标方的危险度。
在一个实施例中,第二分析模块11基于预设的威胁分析库,对分布式存储网络内各个数据节点的历史拦截记录对应的数据进行分析,确定对应的网络访问的请求方或目标方的危险度,包括:
对历史拦截记录对应的数据进行特征提取,提取多个第二特征参数值;第二特征参数值包括:通过关键词提取关键词,通过关键词-特征参数值对照表,确定的特征参数值;是否具有权限访问重要位置;访问重要位置的频率等;
基于提取的多个第二特征参数值,构建第二特征数据集;
将第二特征数据集与威胁分析库中的第二标准数据集进行匹配;也可以采用相似度的方式进行匹配;
获取匹配符合的第二标准数据集对应关联的危险度,作为历史网络访问数据对应的请求方或目标方的危险度。
在一个实施例中,验证模块4基于分布式可信溯源信息,对网络访问进行验证,包括:
解析各个数据节点对应分布式可信溯源信息,确定各个数据节点对应存储的请求方的危险度或目标方的危险度;
基于各个数据节点对应存储的请求方的危险度或目标方的危险度,确定网络访问的请求方的威胁度或目标方的威胁度;将各个数据节点对应存储的请求方的危险度或目标方的危险度中的最大值作为当前的网络访问的请求方的威胁度或目标方的威胁度,最大限度地对请求方或目标方的恶意进行预测,保证网络访问的安全性;
当网络访问的请求方的威胁度小于预设的第一威胁阈值且网络访问的目标方的威胁度小于预设的第二威胁阈值时,网络访问验证通过。只有当请求方和目标方的威胁度都在界限以下时,才能保证网络访问的安全。
在一个实施例中,验证模块4基于分布式可信溯源信息,对网络访问进行验证,包括:
解析分布式可信溯源信息,确定请求方或目标方的网络访问次数;
当网络访问次数小于预设的次数阈值时,将请求方信息和/或目标方信息发送至大数据平台;
接收连接到大数据平台的各个服务商对于请求方的评价数据和/或目标方的评价数据;
解析评价数据,确定各个服务商对于请求方的评价值或目标方的评价值;
获取各个服务商对应的置信系数;
基于各个服务商对应的置信系数和各个服务商对于请求方的评价值,计算网络访问的请求方的置信值;计算公式如下:
Figure BDA0004023058780000121
其中,ZXQ为网络访问的请求方的置信值,Pj为对网络访问的请求方评价的第j个服务商的评价值;γj为对网络访问的请求方评价的第j个服务商的置信系数;
基于各个服务商对应的置信系数和各个服务商对于目标方的评价值,计算网络访问的目标方的置信值,计算公式如下:
Figure BDA0004023058780000122
其中,ZXM为网络访问的目标方的置信值;pk为对网络访问的目标方评价的第k个服务商的评价值;μk为对网络访问的目标方评价的第k个服务商的置信系数;
当请求方的置信值大于预设的第一置信阈值且目标方的置信值大于预设的第二置信阈值时,验证通过。
上述技术方案的工作原理及有益效果为:
当网络访问中请求方或目标方作为分布式存储网络的历史网络访问的请求方或目标方的次数未达到预设的次数时,不足以形成具有验证效用的待溯源信息,因此采用大数据平台上的各个服务商对目标方或请求方进行评价,进而确定置信值,通过置信值对请求方和目标方的可靠程度进行判断,进而实现对网络访问的验证。
在一个实施例中,基于分布式可信溯源的网络访问监督系统,还包括:
计数模块,用于对预设时间内同一请求方或同一目标方的网络访问的拦截记录进行计数;
第三分析模块,用于当计数模块的计数数值大于预设的触发阈值时,基于信任分析库和威胁分析库,对拦截记录对应的网络访问数据进行分析,确定历史网络访问数据对应的请求方或目标方的可信度、历史网络访问数据对应的请求方或目标方的危险度;
重连模块,用于执行危险度小于预设的重连危险阈值且可信度大于预设的重连可信阈值时,重连网络访问。
上述技术方案的工作原理及有益效果为:
当请求方或目标方的网络访问被多次拦截后,触发重连机制,通过对网络访问的数据进行具体分析,进而实现避免误拦截事件的发生。
在一个实施例中,可以综合采用信任度和威胁度的验证方式;即当网络访问的请求方的信任度大于预设的第一信任阈值、网络访问的目标方的信任度大于预设的第二信任阈值、网络访问的请求方的威胁度小于预设的第一威胁阈值且网络访问的目标方的威胁度小于预设的第二威胁阈值时,网络访问验证通过,采用双重验证,进一步提高了网络访问的安全性;
在验证通过后,基于请求方的信任度和威胁度、目标方的信任度和威胁度,构建调取向量;
获取预设的监督模式库;监督模式库中模式向量与监督工作模式对应关联;
获取监督模式库中与调取向量相匹配的模式向量对应关联的监督工作模式并执行;
上述技术方案的工作原理及有益效果为:
根据网络访问的实际情况,实现监督工作模式的调取并运行,保证监督的准确及效率;其中,监督工作模块包括:监督数据采用时间间隔、是否稽查数据的传输路径等;例如:当信任度越大、威胁度越小,监督采样的时间间隔越大;信任度越小、威胁度越大,监督采样的时间间隔越小;监督可以采用采样的数据进行病毒检测等异常检测的方式进行。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (10)

1.一种基于分布式可信溯源的网络访问监督系统,其特征在于,包括:
第一获取模块,用于获取网络上各个设备接收或发出的网络访问的网络访问数据;
解析模块,用于解析所述网络访问数据,确定网络访问的请求方信息和/或目标方信息;
第二获取模块,用于基于所述请求方信息和/或所述目标方信息,获取分布式可信溯源信息;
验证模块,用于基于所述分布式可信溯源信息,对所述网络访问进行验证;
拦截模块,用于当验证不通过时,拦截所述网络访问,生成拦截记录并存储。
2.如权利要求1所述的基于分布式可信溯源的网络访问监督系统,其特征在于,还包括:
第一分析模块,用于基于预设的信任分析库,对分布式存储网络内各个数据节点的历史网络访问数据进行分析,确定所述历史网络访问数据对应的请求方或目标方的可信度;
溯源信息生成模块,用于基于所述历史网络访问数据及对应的请求方或目标方的可信度,生成待溯源信息;
分布式存储模块,用于将所述待溯源信息存储至分布式存储网络中各个所述历史网络访问数据对应的所述数据节点。
3.如权利要求2所述的基于分布式可信溯源的网络访问监督系统,其特征在于,所述第一分析模块基于预设的信任分析库,对分布式存储网络内各个数据节点的历史网络访问数据进行分析,确定所述历史网络访问数据对应的请求方和/或目标方的可信度,包括:
对所述历史网络访问数据进行特征提取,提取多个第一特征参数值;
基于提取的多个所述第一特征参数值,构建第一特征数据集;
将所述第一特征数据集与所述信任分析库中的第一标准数据集进行匹配;
获取匹配符合的所述第一标准数据集对应关联的可信度,作为所述历史网络访问数据对应的请求方或目标方的可信度。
4.如权利要求3所述的基于分布式可信溯源的网络访问监督系统,其特征在于,所述第二获取模块基于所述请求方信息和/或所述目标方信息,获取分布式可信溯源信息,执行如下操作:
基于所述请求方信息,生成第一数据获取请求;
将所述第一数据获取请求发送至分布式存储网络内各个数据节点;
接收所述数据节点的对应所述第一数据获取请求的第一反馈数据;
解析所述第一反馈数据,获取所述分布式可信溯源信息;
和/或,
基于所述目标方信息,生成第二数据获取请求;
将所述第二数据获取请求发送至所述分布式存储网络内的各个所述数据节点;
接收所述数据节点的对应所述第二数据获取请求的第二反馈数据;
解析所述第二反馈数据,获取所述分布式可信溯源信息。
5.如权利要求4所述的基于分布式可信溯源的网络访问监督系统,其特征在于,所述验证模块基于所述分布式可信溯源信息,对所述网络访问进行验证,包括:
解析各个所述数据节点对应所述分布式可信溯源信息,确定各个所述数据节点对于请求方的可信度或目标方的可信度;
获取各个所述数据节点对应的信任权重;
基于所述信任权重和所述可信度,计算所述请求方的信任度或所述目标方的信任度;计算公式如下:
Figure FDA0004023058770000021
其中,XD表示所述网络访问的所述请求方的信任度或所述目标方的信任度;βi为第i数据节点对应的所述信任权重;Ai为第i数据节点对于请求方的可信度或目标方的可信度;
当所述网络访问的所述请求方的信任度大于预设的第一信任阈值和/或所述网络访问的所述目标方的信任度大于预设的第二信任阈值时,所述网络访问验证通过。
6.如权利要求1所述的基于分布式可信溯源的网络访问监督系统,其特征在于,还包括:
第二分析模块,用于基于预设的威胁分析库,对分布式存储网络内各个数据节点的历史拦截记录对应的数据进行分析,确定对应的网络访问的请求方或目标方的危险度;
溯源信息生成模块,用于基于所述历史拦截记录及对应的请求方或目标方的危险度,生成待溯源信息;
分布式存储模块,用于将所述待溯源信息存储至分布式存储网络中各个所述历史拦截记录对应的所述数据节点。
7.如权利要求6所述的基于分布式可信溯源的网络访问监督系统,其特征在于,所述第二分析模块基于预设的威胁分析库,对分布式存储网络内各个数据节点的历史拦截记录对应的数据进行分析,确定对应的网络访问的请求方或目标方的危险度,包括:
对所述历史拦截记录对应的数据进行特征提取,提取多个第二特征参数值;
基于提取的多个所述第二特征参数值,构建第二特征数据集;
将所述第二特征数据集与所述威胁分析库中的第二标准数据集进行匹配;
获取匹配符合的所述第二标准数据集对应关联的危险度,作为所述历史网络访问数据对应的请求方或目标方的危险度。
8.如权利要求7所述的基于分布式可信溯源的网络访问监督系统,其特征在于,所述验证模块基于所述分布式可信溯源信息,对所述网络访问进行验证,包括:
解析各个所述数据节点对应所述分布式可信溯源信息,确定各个所述数据节点对应存储的请求方的危险度或目标方的危险度;
基于各个所述数据节点对应存储的请求方的危险度或目标方的危险度,确定所述网络访问的所述请求方的威胁度或所述目标方的威胁度;
当所述网络访问的所述请求方的威胁度小于预设的第一威胁阈值且所述网络访问的所述目标方的威胁度小于预设的第二威胁阈值时,所述网络访问验证通过。
9.如权利要求1所述的基于分布式可信溯源的网络访问监督系统,其特征在于,所述验证模块基于所述分布式可信溯源信息,对所述网络访问进行验证,包括:
解析所述分布式可信溯源信息,确定请求方或目标方的网络访问次数;
当所述网络访问次数小于预设的次数阈值时,将所述请求方信息和/或所述目标方信息发送至大数据平台;
接收连接到所述大数据平台的各个服务商对于所述请求方的评价数据和/或所述目标方的评价数据;
解析所述评价数据,确定各个所述服务商对于所述请求方的评价值或所述目标方的评价值;
获取各个所述服务商对应的置信系数;
基于各个所述服务商对应的所述置信系数和各个所述服务商对于所述请求方的评价值,计算所述网络访问的所述请求方的置信值;计算公式如下:
Figure FDA0004023058770000041
其中,ZXQ为所述网络访问的所述请求方的置信值,Pj为对所述网络访问的所述请求方评价的第j个所述服务商的评价值;γj为对所述网络访问的所述请求方评价的第j个所述服务商的置信系数;
基于各个所述服务商对应的所述置信系数和各个所述服务商对于所述目标方的评价值,计算所述网络访问的目标方的置信值,计算公式如下:
Figure FDA0004023058770000051
其中,ZXM为所述网络访问的目标方的置信值;pk为对所述网络访问的所述目标方评价的第k个所述服务商的评价值;μk为对所述网络访问的所述目标方评价的第k个所述服务商的置信系数;
当所述请求方的置信值大于预设的第一置信阈值且所述目标方的置信值大于预设的第二置信阈值时,验证通过。
10.如权利要求9所述的基于分布式可信溯源的网络访问监督系统,其特征在于,还包括:
计数模块,用于对预设时间内同一请求方或同一目标方的所述网络访问的拦截记录进行计数;
第三分析模块,用于当所述计数模块的计数数值大于预设的触发阈值时,基于信任分析库和威胁分析库,对所述拦截记录对应的网络访问数据进行分析,确定所述历史网络访问数据对应的请求方或目标方的可信度、所述历史网络访问数据对应的请求方或目标方的危险度;
重连模块,用于执行所述危险度小于预设的重连危险阈值且所述可信度大于预设的重连可信阈值时,重连所述网络访问。
CN202211698336.0A 2022-12-28 2022-12-28 一种基于分布式可信溯源的网络访问监督系统 Active CN116112226B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211698336.0A CN116112226B (zh) 2022-12-28 2022-12-28 一种基于分布式可信溯源的网络访问监督系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211698336.0A CN116112226B (zh) 2022-12-28 2022-12-28 一种基于分布式可信溯源的网络访问监督系统

Publications (2)

Publication Number Publication Date
CN116112226A true CN116112226A (zh) 2023-05-12
CN116112226B CN116112226B (zh) 2024-01-26

Family

ID=86259035

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211698336.0A Active CN116112226B (zh) 2022-12-28 2022-12-28 一种基于分布式可信溯源的网络访问监督系统

Country Status (1)

Country Link
CN (1) CN116112226B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105119943A (zh) * 2015-09-21 2015-12-02 上海斐讯数据通信技术有限公司 一种网络病毒防护方法、网络病毒防护路由器及系统
CN110336805A (zh) * 2019-06-27 2019-10-15 维沃移动通信有限公司 网络访问管理方法和移动终端
JP2019185673A (ja) * 2018-04-17 2019-10-24 株式会社Nttドコモ 認証装置
CN114513786A (zh) * 2022-04-19 2022-05-17 国网天津市电力公司电力科学研究院 基于零信任的5g馈线自动化访问控制方法、装置及介质
CN114553518A (zh) * 2022-02-16 2022-05-27 深圳互信互通科技有限公司 一种基于动态巡检的网络安全检测系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105119943A (zh) * 2015-09-21 2015-12-02 上海斐讯数据通信技术有限公司 一种网络病毒防护方法、网络病毒防护路由器及系统
JP2019185673A (ja) * 2018-04-17 2019-10-24 株式会社Nttドコモ 認証装置
CN110336805A (zh) * 2019-06-27 2019-10-15 维沃移动通信有限公司 网络访问管理方法和移动终端
CN114553518A (zh) * 2022-02-16 2022-05-27 深圳互信互通科技有限公司 一种基于动态巡检的网络安全检测系统
CN114513786A (zh) * 2022-04-19 2022-05-17 国网天津市电力公司电力科学研究院 基于零信任的5g馈线自动化访问控制方法、装置及介质

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
吴云坤;姜博;潘瑞萱;刘玉岭;: "一种基于零信任的SDN网络访问控制方法", 信息网络安全, no. 08 *
李伟伟;张涛;林为民;邓松;时坚;汪晨;: "基于动态网络行为可信度量的安全审计", 计算机技术与发展, no. 05 *

Also Published As

Publication number Publication date
CN116112226B (zh) 2024-01-26

Similar Documents

Publication Publication Date Title
CN107454109B (zh) 一种基于http流量分析的网络窃密行为检测方法
CN110620759B (zh) 基于多维关联的网络安全事件危害指数评估方法及其系统
US10063574B2 (en) Apparatus method and medium for tracing the origin of network transmissions using N-gram distribution of data
US9154516B1 (en) Detecting risky network communications based on evaluation using normal and abnormal behavior profiles
US10944784B2 (en) Identifying a potential DDOS attack using statistical analysis
CN108664793B (zh) 一种检测漏洞的方法和装置
WO2016133662A1 (en) Systems and methods for determining trustworthiness of the signaling and data exchange between network systems
US20200106790A1 (en) Intelligent system for mitigating cybersecurity risk by analyzing domain name system traffic
CN114615016B (zh) 一种企业网络安全评估方法、装置、移动终端及存储介质
CN103701794A (zh) 拒绝服务攻击的识别方法和装置
CN110460481B (zh) 一种网络关键资产的识别方法
KR20080044145A (ko) 웹 로그 상호연관분석을 이용한 웹 애플리케이션 공격의침입 탐지 시스템 및 방법
CN109428857B (zh) 一种恶意探测行为的检测方法和装置
CN102546641A (zh) 一种在应用安全系统中进行精确风险检测的方法及系统
CN107733699A (zh) 互联网资产安全管理方法、系统、设备及可读存储介质
CN111625821A (zh) 一种基于云平台的应用攻击检测系统
CN114301700B (zh) 调整网络安全防御方案的方法、装置、系统及存储介质
CN115580448A (zh) 工控网络恶意代码检测方法、系统、设备及存储介质
CN114553518A (zh) 一种基于动态巡检的网络安全检测系统
CN116112226B (zh) 一种基于分布式可信溯源的网络访问监督系统
CN107612946B (zh) Ip地址的检测方法、检测装置和电子设备
CN114500122B (zh) 一种基于多源数据融合的特定网络行为分析方法和系统
CN114499917A (zh) Cc攻击检测方法及cc攻击检测装置
KR101478227B1 (ko) 상이한 타입들의 이벤트 로그들을 처리하는 통합 관리 장치 및 그것의 동작 방법
CN115001759B (zh) 一种访问信息处理方法、装置、电子设备和可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant