CN117155605A - 网络安全架构、网络安全实现方法、系统及介质 - Google Patents

网络安全架构、网络安全实现方法、系统及介质 Download PDF

Info

Publication number
CN117155605A
CN117155605A CN202310949878.9A CN202310949878A CN117155605A CN 117155605 A CN117155605 A CN 117155605A CN 202310949878 A CN202310949878 A CN 202310949878A CN 117155605 A CN117155605 A CN 117155605A
Authority
CN
China
Prior art keywords
access
module
security
network
network security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310949878.9A
Other languages
English (en)
Inventor
阎森明
李颖
于全
任婧
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Peng Cheng Laboratory
Original Assignee
Peng Cheng Laboratory
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Peng Cheng Laboratory filed Critical Peng Cheng Laboratory
Priority to CN202310949878.9A priority Critical patent/CN117155605A/zh
Publication of CN117155605A publication Critical patent/CN117155605A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种网络安全架构、网络安全实现方法、系统及介质,涉及网络安全技术领域,通过设计一种网络安全架构,该网络安全架构包括安全代理系统和网络服务系统,安全代理系统用于将接收到的访问请求发送至控制平面进行身份认证操作和访问授权操作,还用于在触发远程访问时,将访问请求发送至网络服务系统,使网络服务系统在接收到访问请求时,在控制平面对访问请求进行身份认证操作和访问授权操作,基于部署在边缘云和核心云上的网络安全架构,以保护数据为核心,打破了常规的依赖网络位置的网络安全防护架构,对访问请求做持续认证和动态授权,实现细粒度、自适应的访问控制,使得网络安全保护更加全面,减低了互联网的暴露风险。

Description

网络安全架构、网络安全实现方法、系统及介质
技术领域
本发明涉及网络安全技术领域,尤其涉及一种网络安全架构、网络安全实现方法、系统及介质。
背景技术
近年来,随着信息技术快速发展,人工智能、大数据、云计算、物联网等技术广泛应用,数字化、智能化、万物互联已经成为发展趋势。然而,信息技术的发展也带来了更多的网络安全问题,信息共享和网络安全矛盾突出,大量存在漏洞、自身防护能力薄弱的软硬件设备接入互联网,成为网络攻击的重点目标,引入了新的攻击面。
为了抵御网络攻击,基于零信任技术的网络安全防护架构被广泛部署。边界安全模型把网络划分为不同的区域,设定内部网络和外部网络具有不可信度,认为所有网络都不可信,网络攻击无处不在,用户在请求内部网络的访问资源和外部网络的访问资源时,都需要进行访问验证,以此建立网络位置之间的信任。
然而,上述网络安全防护架构依赖网络位置间的信任,当网络攻击以某种手段躲过内部网络和外部网络的访问验证时,则网络攻击会绕过该网络安全防护架构,使得网络中的核心数据暴露在攻击风险中。
发明内容
本发明的主要目地在于提供一种网络安全架构、网络安全实现方法、系统及介质,旨在解决常规的网络安全防护架构依赖网络位置间的信任而存在的暴露风险高的技术问题。
为实现上述目地,本发明提供一种网络安全架构,所述网络安全架构包括部署在边缘云上的安全代理系统和部署在核心云上的网络服务系统,所述安全代理系统通过信息传输通道与所述网络服务系统相接;
所述安全代理系统,用于将接收到的访问请求发送至控制平面进行身份认证操作和访问授权操作,还用于在触发远程访问时,通过所述信息传输通道将所述访问请求发送至所述网络服务系统;
所述网络服务系统,用于在接收到所述访问请求时,在所述控制平面对所述访问请求进行身份认证操作和访问授权操作。
可选地,所述安全代理系统的控制平面包括:
第一访问控制模块,用于接收所述请求方发送的所述访问请求;
第一安全策略模块,用于接收所述第一访问控制模块转发的所述访问请求;
第一身份认证模块,用于根据所述第一安全策略模块基于所述访问请求发送的身份认证方式,对所述请求方的身份认证信息进行验证,生成第一验证结果;
第一行为分析模块,用于处理网络安全系统的日志数据,得到第一分析结果;
第一信任评估模块,用于根据所述第一安全策略模块基于所述访问请求发送的访问授权规则和所述第一行为分析模块发送的所述第一分析结果进行计算,生成第一授权决策;
所述第一访问控制模块,还用于接收所述第一身份认证模块发送的所述第一验证结果和所述第一信任评估模块发送的所述第一授权决策,进行访问判断。
可选地,所述网络服务系统设置有与所述安全代理系统作用相同的模块,所述网络服务系统的控制平面包括:
第二访问控制模块,用于在所述第一访问控制模块触发远程访问时,接收所述第一访问控制模块通过所述信息传输通道转发的所述访问请求;
第二安全策略模块,用于接收所述第二访问控制模块转发的所述访问请求;
第二身份认证模块,用于根据所述第二安全策略模块基于所述访问请求发送的身份认证方式,对所述请求方的身份认证信息进行验证,生成第二验证结果;
第二行为分析模块,用于处理网络安全系统的日志数据,得到第二分析结果;
第二信任评估模块,用于根据所述第二安全策略模块基于所述访问请求发送的访问授权规则和所述第二行为分析模块发送的所述第二分析结果进行计算,生成第二授权决策;
所述第二访问控制模块,还用于接收所述第二身份认证模块发送的所述第二验证结果和所述第二信任评估模块发送的所述第二授权决策,进行访问判断。
可选地,所述第一身份认证模块包括第一信息采集单元,所述第一信息采集单元用于采集所述请求方的身份特征数据、设备特征数据和应用程序特征数据,并基于所述身份特征数据、所述设备特征数据和所述应用程序特征数据构建用户、设备、应用特征库;
所述第二身份认证模块包括第二信息采集单元,所述第二信息采集单元用于采集所述安全代理系统的系统信息,并基于所述安全代理系统的系统信息构建安全代理特征库。
可选地,所述第一行为分析模块和所述第二行为分析模块分别包括数据获取单元和算法模型单元;
所述数据获取单元,用于获取所述网络安全系统的内部指标和外部指标,基于所述内部指标和外部指标进行行为模拟,生成所述日志数据;
所述算法模型单元,用于对所述日志数据进行评分,得到异常分数,若所述异常分数超过预设阈值,则输出包括告警信息的分析结果。
可选地,所述安全代理系统还包括有第一资源存储模块,用于在所述第一访问控制模块的访问判断为访问通过时,将所述第一访问控制模块作为所述第一资源存储模块的接口,通过所述第一访问控制模块向所述请求方发送第一资源数据;
所述网络服务系统还包括有第二资源存储模块,用于在所述第二访问控制模块的访问判断为访问通过时,将所述第二访问控制模块作为所述第二资源存储模块的接口,通过所述第二访问控制模块向所述第一访问控制模块发送第二资源数据,以经由所述第一访问控制模块将所述第二资源数据发送至所述请求方;
所述第一资源存储模块和所述第二资源存储模块位于数据平面。
本发明还提供一种网络安全实现方法,所述网络安全实现方法包括以下步骤:
基于安全代理系统的控制平面对接收到的访问请求进行身份认证操作和访问授权操作的访问判断,得到第一访问判断结果;
在所述第一访问判断结果为访问通过且所述访问请求的请求资源为内部资源的情形下,在所述安全代理系统的数据平面中获取发送至请求方的第一资源数据;
在所述第一访问判断结果为访问通过且所述访问请求的请求资源为远程资源的情形下,触发远程访问,基于网络服务系统的控制平面对所述安全代理系统转发的访问请求进行身份认证操作和访问授权操作的访问判断,得到第二访问判断结果;
在所述第二访问判断结果为访问通过的情形下,在所述网络服务系统的数据平面中获取经由所述安全代理系统转发至所述请求方的第二资源数据。
可选地,在所述得到第一访问判断结果的步骤之后,所述网络安全实现方法的步骤还包括:
在所述第一访问判断结果为访问不通过的情形下,向所述请求方返回表征访问失败的信息;
在所述得到第二访问判断结果的步骤之后,所述网络安全实现方法的步骤还包括:
在所述第二访问判断结果为访问不通过的情形下,经由所述安全代理系统向所述请求方返回表征访问失败的信息。
此外,为实现上述目地,本发明该提供一种网络安全系统,所述网络安全系统包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网络安全程序,所述网络安全程序被所述处理器执行时实现如上所述的网络安全实现方法的步骤。
此外,为实现上述目地,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有网络安全程序,所述网络安全程序被处理器执行时实现如上所述的网络安全实现方法的步骤。
本发明提出一种网络安全架构、网络安全实现方法、系统及介质,通过设计一种网络安全架构,该网络安全架构包括有安全代理系统和网络服务系统,安全代理系统通过信息传输通道与网络服务系统相接,安全代理系统,用于将接收到的访问请求发送至控制平面进行身份认证操作和访问授权操作,将安全代理系统部署在边缘云上,作为请求方接入互联网的唯一入口,对请求方向互联网请求存储的访问资源时,对请求方进行访问验证,以对存储在边缘云上的数据资源进行保护,还用于在触发远程访问时,通过信息传输通道将访问请求发送至网络服务系统,使网络服务系统在接收到访问请求时,在控制平面对访问请求进行身份认证操作和访问授权操作,将网络服务系统部署在核心云上,作为请求方请求路由转发资源的唯一入口,对请求方向互联网请求路由转发资源时,对请求方进行访问验证,以保护核心云上的数据中心和云计算环境,打破了常规的依赖网络位置的网络安全防护架构,对访问请求做持续认证和动态授权,实现细粒度、自适应的访问控制,使得网络安全保护更加全面,减低了互联网的暴露风险。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的终端结构示意图;
图2为本发明网络安全架构的结构示意图;
图3为本发明第一访问控制模块的流程时序图;
图4为本发明第一安全策略模块的流程时序图;
图5为本发明第一身份认证模块的流程时序图;
图6为本发明第一行为分析模块的流程时序图;
图7为本发明第一信任评估模块的流程时序图;
图8为本发明网络安全实现方法实施例的流程示意图。
本发明目地的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
如图1所示,图1是本发明实施例方案涉及的硬件运行环境的终端结构示意图。
本发明实施终端为网络安全系统,如图1所示,该网络安全系统可以包括:处理器1001,例如CPU,网络接口1004,用户接口1003,存储器1005,通信总线1002。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
可选地,网络安全系统还可以包括RF(Radio Frequency,射频)电路,传感器、WiFi模块等等。其中,传感器比如光传感器、运动传感器以及其他传感器,在此不再赘述。
本领域技术人员可以理解,图1中示出的网络安全系统结构并不构成对网络安全系统的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及网络安全程序。
在图1所示的网络安全系统中,网络接口1004主要用于连接后台服务器,与后台服务器进行数据通信;用户接口1003主要用于连接客户端(用户端),与客户端进行数据通信;而处理器1001可以用于调用存储器1005中存储的网络安全程序,并执行以下操作:
基于安全代理系统的控制平面对接收到的访问请求进行身份认证操作和访问授权操作的访问判断,得到第一访问判断结果;
在所述第一访问判断结果为访问通过且所述访问请求的请求资源为内部资源的情形下,在所述安全代理系统的数据平面中获取发送至请求方的第一资源数据;
在所述第一访问判断结果为访问通过且所述访问请求的请求资源为远程资源的情形下,触发远程访问,基于网络服务系统的控制平面对所述安全代理系统转发的访问请求进行身份认证操作和访问授权操作的访问判断,得到第二访问判断结果;
在所述第二访问判断结果为访问通过的情形下,在所述网络服务系统的数据平面中获取经由所述安全代理系统转发至所述请求方的第二资源数据。
进一步地,处理器1001可以调用存储器1005中存储的网络安全程序,还执行以下操作:
在所述得到第一访问判断结果的步骤之后,在所述第一访问判断结果为访问不通过的情形下,向所述请求方返回表征访问失败的信息;
在所述得到第二访问判断结果的步骤之后,在所述第二访问判断结果为访问不通过的情形下,经由所述安全代理系统向所述请求方返回表征访问失败的信息。
参照图2,图2为本发明的网络安全架构的结构示意图,所述网络安全架构包括部署在边缘云上的安全代理系统和部署在核心云上的网络服务系统,所述安全代理系统通过信息传输通道与所述网络服务系统相接;
所述安全代理系统,用于将接收到的访问请求发送至控制平面进行身份认证操作和访问授权操作,还用于在触发远程访问时,通过所述信息传输通道将所述访问请求发送至所述网络服务系统。
所述网络服务系统,用于在接收到所述访问请求时,在所述控制平面对所述访问请求进行身份认证操作和访问授权操作。
需要说明的是,互联网有边缘云和核心云两大部分组成,边缘云是指连接在互联网上的各种终端设备,包括个人电脑、智能手机、平板电脑等,边缘云是互联网的接入层,它们通过各种网络协议将数据包发送到互联网的核心云,实现信息的交流和传输。核心云是指互联网的基础设施和各种网络设备,包括路由器、交换机、服务器、光缆等,核心云是互联网的传输层,它们通过互联网协议将数据包从源头传输到目的地,实现信息的路由和转发。
相对于传统的将网络安全防护架构部署在整个网络上,不论数据资源的重要程度,只对互联网络做一层访问验证而存在的安全风险高的情况,本实施例以数据资源为中心进行网络安全架构的部署,将网络安全架构中的安全代理系统部署在边缘云上,对交流传输资源做一层保护,将网络安全架构中的网络服务系统部署在核心云上,对路由转发资源做两层保护,减小核心云中的数据资源的暴露风险,通过安全代理系统和网络服务系统对访问请求实现分布式的认证和授权,安全代理系统具备访问代理的功能,即本实施例中的安全代理系统和网络服务系统可直接部署在云原生网络环境中,实现云原生网络环境下的分布式认证和授权。
具体地说,请求方发起的访问请求首先发送至请求方自身对应的安全代理系统中,通过安全代理系统对访问请求做身份认证操作和访问授权操作,未通过身份认证操作和访问授权操作的访问请求被直接拒绝;对于通过的访问请求,如果访问请求对应的请求资源在安全代理系统内部,则安全代理系统直接向请求方返回请求资源;如果请求资源在远程,则此时的安全代理系统的远程访问被触发,访问请求被安全代理系统通过信息传输通道转发到对应的网络服务系统上,网络服务系统重新该访问请求对安全代理做身份认证操作和访问授权操作,如果通过,则网络服务系统将访问请求对应的请求资源返回给安全代理系统,通过安全代理协调将请求资源转发回请求方。
本实施例以数据资源的安全为中心,构建对应的网络安全架构,显著减小敏感数据资源的暴露风险。
需要说明的是,根据图2所示的结构图可知,网络安全架构被划分为控制平面和数据平面,控制平面用于对访问请求进行身份认证操作和访问授权操作,而数据平面用于存储数据资源。
进一步地,所述安全代理系统的控制平面包括:
第一访问控制模块,用于接收所述请求方发送的所述访问请求。
所述第一访问控制模块,还用于接收所述第一身份认证模块发送的所述第一验证结果和所述第一信任评估模块发送的所述第一授权决策,进行访问判断。
具体地,参照图3所示,第一访问控制模块是访问控制策略的实际执行点,用于接收来自请求方的访问请求,并将该访问请求转发至第一安全策略模块上完成身份认证操作和访问授权操作,通过身份认证操作和访问授权操作的访问请求可以访问被保护在安全代理系统的数据平面上的数据资源,或触发远程访问,向网络服务系统转发该访问请求,向被保护在网络服务系统的数据平面上的数据资源进行访问请求,其中,第一访问控制模块可以用负载均衡器或虚拟防火墙实现。
具体为,第一访问控制模块持续监听请求方的访问请求,在接收在访问请求的情形下,将接收到的访问请求转发至第一安全策略模块,接收来自第一身份认证模块的第一验证结果,若该第一验证结果为身份验证通过,则接收来自第一信任评估模块的第一授权决策,如果该第一授权决策为授权通过,则开始对访问请求所要请求的请求资源进行分析,分析得到请求资源为本地资源时,则第一访问控制模块直接作为数据平台的接口,将数据平台中对应的数据资源发送至的请求方;若分析得到请求资源为远程资源,则触发远程访问,第一访问控制模块作为转发点,将访问请求转发给到网络服务系统中。
第一安全策略模块,用于接收所述第一访问控制模块转发的所述访问请求。
具体地,参照图4所示,第一安全策略模块是安全需求的决策点,根据访问请求所请求的请求资源所对应的安全需求,确定对请求方的身份认证信息进行验证的身份认证方式,和确定对请求方的风险评估进行计算的访问授权规则。
具体为,第一安全策略模块接收第一访问控制模块转发的访问请求,对该访问请求所请求的请求资源进行分析,根据请求资源的敏感程度查询对应的安全需求,根据确认的安全需求,查询认证规则库和授权规则库,确定身份认证方式和访问授权规则后,分别向第一身份认证模块发送身份认证方式和向第一信任评估模块发送访问授权规则。
需要说明的是,对于不同类型的请求资源,根据其敏感程度定义不同的安全需求,根据安全需求,建立认证规则库和授权规则库。
第一身份认证模块,用于根据所述第一安全策略模块基于所述访问请求发送的身份认证方式,对所述请求方的身份认证信息进行验证,生成第一验证结果。
具体地,参照图5所示,第一身份认证模块用于鉴别发送该访问请求的请求方的真实身份,根据第一安全策略模块提供的身份认证方式,将实时采集的请求方的身份认证信息和请求方存储在数据库中的身份认证信息进行对比,以对请求方的身份进行验证,得到第一验证结果,其中,需要对比的身份认证信息包括请求方的身份特征、设备特征和应用程序特征。
具体为,第一身份认证模块接收来自第一安全策略模块的认证指令和身份认证方式,根据认证指令,对发送该访问请求的请求方的身份认证信息进行实时采集,通过在数据库中提取该请求方的身份认证信息,根据数据库中提取的身份认证信息和身份认证方式,对实时采集的身份认证信息进行对比,生成第一验证结果后,将该生成的第一验证结果返回给到第一访问控制模块中。
第一行为分析模块,用于处理网络安全系统的日志数据,得到第一分析结果。
具体地,参照图6所示,第一行为分析模块用于评估安全态势,以实时采集的网络安全系统的运行日志作为日志数据,从日志数据中提取和分析多维特征(包括但不限于时间特征、空间特征、行为特征等),基于日志数据发现异常行为的存在,生成第一分析结果并发送至第一信任评估模块,对第一信任评估模块进行告警。
具体为,第一行为分析模块实时监控网络安全系统,采集相应的运行日志,将运行日志转化为日志数据存入日志数据库中,从日志数据库中抽取对应的日志数据,输入到训练好的日志异常检测模型中,通过日志异常检测模型输出相应的异常评分,如果该异常评分超过预设阈值,则判定该请求方存在行为异常,生成具有告警信息的第一分析结果并发送至第一信任评估模块中。
第一信任评估模块,用于根据所述第一安全策略模块基于所述访问请求发送的访问授权规则和所述第一行为分析模块发送的所述第一分析结果进行计算,生成第一授权决策。
具体地,参照图7所示,第一信任评估模块用于对访问请求的访问授权进行决策,根据第一安全策略模块提供的访问授权规则和第一行为分析模块提供的第一分析结果,进行综合计算,生成第一授权决策,并将第一授权决策返回至第一访问控制模块中。
具体为,第一信任评估模块接收来自第一安全策略模块的授权指令和访问授权规则,同时接收来自第一行为分析模块的第一分析结果,基于授权指令调用信任评分算法,将访问授权规则和第一分析结果作为输入,综合计算得到请求方的信任评分,根据信任评分和访问请求所请求的请求资源所对应的安全需求,确定最终的第一授权决策,并将第一授权决策反馈到第一访问控制模块中,采用动态授权指令和访问授权规则,使得信任评分具有模糊性,以此提升抵御未知攻击的抵御能力。
需要说明的是,第一信任评估模块持续接收并存储来自第一行为分析模块的第一分析结果。
进一步地,所述网络服务系统设置有与所述安全代理系统作用相同的模块,所述网络服务系统的控制平面包括:
第二访问控制模块,用于在所述第一访问控制模块触发远程访问时,接收所述第一访问控制模块通过所述信息传输通道转发的所述访问请求,第二安全策略模块,用于接收所述第二访问控制模块转发的所述访问请求,第二身份认证模块,用于根据所述第二安全策略模块基于所述访问请求发送的身份认证方式,对所述请求方的身份认证信息进行验证,生成第二验证结果,第二行为分析模块,用于处理网络安全系统的日志数据,得到第二分析结果,第二信任评估模块,用于根据所述第二安全策略模块基于所述访问请求发送的访问授权规则和所述第二行为分析模块发送的所述第二分析结果进行计算,生成第二授权决策,所述第二访问控制模块,还用于接收所述第二身份认证模块发送的所述第二验证结果和所述第二信任评估模块发送的所述第二授权决策,进行访问判断。
因为网络服务系统中设置的模块与安全代理系统中设置的模块的作用相同,因此不对网络服务系统中所设置的第二访问控制模块、第二安全策略模块、第二身份认证模块、第二行为分析模块和第二信任评估模块的作用和运行流程进行重复的赘述。
其区别仅在于运行的模块不一样、第二访问控制模块所接收的访问请求是第一访问控制模块所转发的、以及第二访问控制模块接收到的第二授权决策为授权通过时,将访问请求所请求的请求资源经由第一访问控制模块发送至请求方中。
进一步地,所述第一身份认证模块包括第一信息采集单元,所述第一信息采集单元用于采集所述请求方的身份特征数据、设备特征数据和应用程序特征数据,并基于所述身份特征数据、所述设备特征数据和所述应用程序特征数据构建用户、设备、应用特征库,所述第二身份认证模块包括第二信息采集单元,所述第二信息采集单元用于采集所述安全代理系统的系统信息,并基于所述安全代理系统的系统信息构建安全代理特征库。
对于安全代理系统中的第一身份认证模块,通过第一身份认证模块中的第一信息采集单元对请求方的身份特征数据、设备特征数据和应用程序特征数据进行采集,构建用户、设备、应用特征库(即数据库)。而对于网络服务系统中的第二身份认证模块,通过第二身份认证模块中的第二信息采集单元,对与该网络服务系统相接的安全代理系统的系统信息进行采集,构建安全代理特征库。
需要说明的是,对于身份特征数据,需要采集的身份特征数据包括但不限于请求方清单、权威身份信息、口令、安全令牌、请求方的生物特征等。对于设备特征数据,需要采集的设备特征数据包括但不限于设备清单、设备类型、设备位置、操作系统信息等。对于应用程序特征数据,需要采集应用程序特征数据包括但不限于应用程序类型、版本、证书等。对于安全代理系统的系统信息,需要采集的系统信息包括但不限于安全代理系统的标识、证书等。
进一步地,所述第一行为分析模块和所述第二行为分析模块分别包括数据获取单元和算法模型单元,所述数据获取单元,用于获取所述网络安全系统的内部指标和外部指标,基于所述内部指标和外部指标进行行为模拟,生成所述日志数据,所述算法模型单元,用于对所述日志数据进行评分,得到异常分数,若所述异常分数超过预设阈值,则输出包括告警信息的分析结果,以此实现动态的异常态势评估和实时的安全告警。
在第一行为分析模块和第二行为分析模块分别所包括的数据获取单元中部署有黑盒和白盒两类探针,探针实时采集网络安全架构所处的互联网系统的运行状态,并将运行状态以日志条目的形式存储在日志数据库中,其中,黑盒探针用于记录互联网系统外部测量的指标,如吞吐量、网络延迟等。白盒英语记录互联网系统内部检测的指标,如进程行为、网络行为、运行状态等。
在通过黑盒探针和白盒探针获取到外部指标(即外部测量的指标)和内部指标(即内部检测的指标)后,在网络安全系统中模拟正常请求方行为和黑客攻击行为,并分别记录两类行为产生的日志数据,构建带标签的日志数据库。在日志数据库上训练日志异常检测模型,该日志异常检测模型以结构化日志数据作为输入,输出该日志数据的异常评分,而训练日志异常检测模型的目的在于,提高对日志数据分类为正常和异常的准确性。
另外,还可通过将网络安全系统的开源日志数据集作为日志数据,或者,通过网络安全攻防竞赛,将被保护数据资源作为赛题环境,采集参赛选手攻防动作产生的日志数据。
需要说明的是,日志异常检测模型存储在算法模型单元中,而可选择的待训练的日志异常检测模块包括但不限于专家系统、传统的机器学习算法(例如SVM(SupportVector Machine,支持向量机)、LR(Logistic Regression,逻辑回归)、决策树等)、深度学习算法(例如DNN(Deep Neural Network,深度神经网络)、CNN(Convolutional NeuralNetworks,卷积神经网络)、LSTM(Long Short Term Memory,长短期记忆网络)、GRU(GateRecurrent Unit,门控循环单元)、GAN(Generative Adversarial Networt,生成对抗网络)、Transformer模型等)。
进一步地,所述安全代理系统还包括有第一资源存储模块,用于在所述第一访问控制模块的访问判断为访问通过时,将所述第一访问控制模块作为所述第一资源存储模块的接口,通过所述第一访问控制模块向所述请求方发送第一资源数据;
所述网络服务系统还包括有第二资源存储模块,用于在所述第二访问控制模块的访问判断为访问通过时,将所述第二访问控制模块作为所述第二资源存储模块的接口,通过所述第二访问控制模块向所述第一访问控制模块发送第二资源数据,以经由所述第一访问控制模块将所述第二资源数据发送至所述请求方,所述第一资源存储模块和所述第二资源存储模块位于数据平面。
参照图2所示的网络安全架构可知,本实施例对将用于对访问请求进行身份认证操作和访问授权操作的控制平面,和存储数据资源的数据平面进行了划分,避免了接入的访问请求存在黑客攻击时数据资源被泄露、被篡改等安全风险。
具体为,安全代理系统将被保护的数据资源存储在第一资源存储模块中,并将第一资源存储模块设置在数据平面上,同时将第一访问控制模块作为判断接入口,在第一访问控制模块接收到的第一授权决策为访问通过且访问请求所请求的请求资源为内部资源时,此时的第一访问控制模块直接作为第一资源存储模块的接入口,根据访问请求所请求的请求资源,在第一资源存储模块中获取该请求资源所对应的数据资源后,将该数据资源通过第一访问控制模块直接发送至请求方中。而在第一访问控制模块接收到的第一授权决策为访问通过且访问请求所请求的请求资源为远程资源时,此时的第一访问控制模块作为数据的转发点,基于第一访问控制模块将访问请求转发到第二访问控制模块,以及将第二访问控制模块发送的数据资源转发到请求方上。
网络服务系统将被保护的数据资源存储在第二资源存储模块中,并将第二资源存储模块设置在其对应的数据平面上,同时将第二访问控制模块作为判断接入口,在第二访问控制模块接收到的第二授权决策为访问时,此时的第二访问控制模块作为第二资源存储模块的接入口,根据访问请求所请求的请求资源,在第二资源存储模块中获取该请求资源所对应的数据资源后,将该数据资源通过第二访问控制模块发送至第一访问控制模块中,经由第一访问控制模块将该数据资源反馈至请求方上。
参照图8,在本发明网络安全实现方法的实施例中,所述网络安全实现方法包括以下步骤:
步骤S10,基于安全代理系统的控制平面对接收到的访问请求进行身份认证操作和访问授权操作的访问判断,得到第一访问判断结果。
具体为,基于安全代理吸引的控制平面中的第一访问控制模块持续监听请求方的访问请求,在接收在访问请求的情形下,将接收到的访问请求转发至第一安全策略模块,通过第一安全策略模块对该访问请求所请求的请求资源进行分析,根据请求资源的敏感程度查询对应的安全需求,根据确认的安全需求,查询认证规则库和授权规则库,确定身份认证方式和访问授权规则后,分别向第一身份认证模块发送身份认证方式和向第一信任评估模块发送访问授权规则。
第一身份认证模块接收到第一安全策略模块的认证指令和身份认证方式后,根据认证指令,对发送该访问请求的请求方的身份认证信息进行实时采集,通过在数据库中提取该请求方的身份认证信息,根据数据库中提取的身份认证信息和身份认证方式,对实时采集的身份认证信息进行对比,生成第一验证结果后,将该生成的第一验证结果返回给到第一访问控制模块中。
第一信任评估模块接收到第一安全策略模块的授权指令和访问授权规则,同时接收到第一行为分析模块的第一分析结果后,基于授权指令调用信任评分算法,将访问授权规则和第一分析结果作为输入,综合计算得到请求方的信任评分,根据信任评分和访问请求所请求的请求资源所对应的安全需求,确定最终的第一授权决策,并将第一授权决策反馈到第一访问控制模块中。
在第一访问控制模块接收的第一验证结果为身份验证通过,则接收来自第一信任评估模块的第一授权决策,如果该第一授权决策为授权通过,则开始对访问请求所要请求的请求资源进行访问判断。
通过访问控制模块、安全策略模块、身份认证模块、行为分析模块和信任评估模块之间的相互协作,实现了网络安全架构的动态认证和动态授权的功能。
步骤S20,在所述第一访问判断结果为访问通过且所述访问请求的请求资源为内部资源的情形下,在所述安全代理系统的数据平面中获取发送至请求方的第一资源数据。
在判断得到第一访问判断结果为访问通过且对应的请求资源为内部资源时,则第一访问控制模块直接作为数据平台的接口,将数据平台中对应的数据资源发送至的请求方。
可选地,在步骤S10中得到第一访问判断结果的步骤之后,所述网络安全实现方法的步骤还包括:
步骤S101,在所述第一访问判断结果为访问不通过的情形下,向所述请求方返回表征访问失败的信息。
在判断得到第一访问判断结果为访问不通过的情形下,说明请求方存在攻击风险,此时对该访问请求进行拒绝,同时向请求方返回表征访问失败的信息,其中,该表征访问失败的信息可为不发送任何信息、表征访问失败的文字、图像等。
步骤S30,在所述第一访问判断结果为访问通过且所述访问请求的请求资源为远程资源的情形下,触发远程访问,基于网络服务系统的控制平面对所述安全代理系统转发的访问请求进行身份认证操作和访问授权操作的访问判断,得到第二访问判断结果。
若判断得到的第一访问判断结果为访问通过且对应的请求资源为远程资源,则触发远程访问,将第一访问控制模块作为转发点,将访问请求转发给到网络服务系统的第二访问控制模块中,第二访问控制模块将接收到的访问请求转发至第二安全策略模块,通过第二安全策略模块对该访问请求所请求的请求资源进行分析,根据请求资源的敏感程度查询对应的安全需求,根据确认的安全需求,查询认证规则库和授权规则库,确定身份认证方式和访问授权规则后,分别向第二身份认证模块发送身份认证方式和向第二信任评估模块发送访问授权规则。
第二身份认证模块接收到第二安全策略模块的认证指令和身份认证方式后,根据认证指令,对发送该访问请求的请求方的身份认证信息进行实时采集,通过在数据库中提取该请求方的身份认证信息,根据数据库中提取的身份认证信息和身份认证方式,对实时采集的身份认证信息进行对比,生成第二验证结果后,将该生成的第二验证结果返回给到第二访问控制模块中。
第二信任评估模块接收到第二安全策略模块的授权指令和访问授权规则,同时接收到第二行为分析模块的第二分析结果后,基于授权指令调用信任评分算法,将访问授权规则和第二分析结果作为输入,综合计算得到请求方的信任评分,根据信任评分和访问请求所请求的请求资源所对应的安全需求,确定最终的第二授权决策,并将第二授权决策反馈到第二访问控制模块中。
在第二访问控制模块接收的第二验证结果为身份验证通过,则接收来自第二信任评估模块的第二授权决策,如果该第二授权决策为授权通过,则开始对访问请求所要请求的请求资源进行访问判断。
步骤S40,在所述第二访问判断结果为访问通过的情形下,在所述网络服务系统的数据平面中获取经由所述安全代理系统转发至所述请求方的第二资源数据。
在判断得到第二访问判断结果为访问通过时,则第二访问控制模块直接作为数据平台的接口,将数据平台中对应的数据资源发送至第一访问控制模块中,经由第一访问控制模块将数据资源反馈至请求方上。
可选地,在步骤S30中得到第二访问判断结果的步骤之后,所述网络安全实现方法的步骤还包括:
步骤S301,在所述第二访问判断结果为访问不通过的情形下,经由所述安全代理系统向所述请求方返回表征访问失败的信息。
在判断得到第二访问判断结果为访问不通过的情形下,说明请求方存在攻击风险,此时对该访问请求进行拒绝,同时经由第一访问控制模块向请求方返回表征访问失败的信息,其中,该表征访问失败的信息可为不发送任何信息、表征访问失败的文字、图像等。
在本实施例中,基于安全代理系统的控制平面对接收到的访问请求进行身份认证操作和访问授权操作的访问判断,得到第一访问判断结果,在第一访问判断结果为访问通过且访问请求的请求资源为内部资源的情形下,在安全代理系统的数据平面中获取发送至请求方的第一资源数据,在第一访问判断结果为访问通过且访问请求的请求资源为远程资源的情形下,触发远程访问,基于网络服务系统的控制平面对安全代理系统转发的访问请求进行身份认证操作和访问授权操作的访问判断,得到第二访问判断结果,在第二访问判断结果为访问通过的情形下,在网络服务系统的数据平面中获取经由安全代理系统转发至请求方的第二资源数据,通过安全代理系统和网络服务系统中分别设置的访问控制模块、安全策略模块、身份认证模块、行为分析模块和信任评估模块之间的相互协作,实现了网络安全架构的动态认证和动态授权的功能,使得网络安全保护更加全面,减低了互联网的暴露风险。
此外,本发明还提出一种网络安全系统,所述网络安全系统包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网络安全程序,所述网络安全程序被所述处理器执行时实现如上所述的网络安全实现方法的步骤。
此外,本发明还提出一种计算机可读存储介质,所述计算机可读存储介质上存储有网络安全程序,所述网络安全程序被处理器执行时实现如上所述的网络安全实现方法的步骤。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。

Claims (10)

1.一种网络安全架构,其特征在于,所述网络安全架构包括部署在边缘云上的安全代理系统和部署在核心云上的网络服务系统,所述安全代理系统通过信息传输通道与所述网络服务系统相接;
所述安全代理系统,用于将接收到的访问请求发送至控制平面进行身份认证操作和访问授权操作,还用于在触发远程访问时,通过所述信息传输通道将所述访问请求发送至所述网络服务系统;
所述网络服务系统,用于在接收到所述访问请求时,在所述控制平面对所述访问请求进行身份认证操作和访问授权操作。
2.如权利要求1所述的网络安全架构,其特征在于,所述安全代理系统的控制平面包括:
第一访问控制模块,用于接收所述请求方发送的所述访问请求;
第一安全策略模块,用于接收所述第一访问控制模块转发的所述访问请求;
第一身份认证模块,用于根据所述第一安全策略模块基于所述访问请求发送的身份认证方式,对所述请求方的身份认证信息进行验证,生成第一验证结果;
第一行为分析模块,用于处理网络安全系统的日志数据,得到第一分析结果;
第一信任评估模块,用于根据所述第一安全策略模块基于所述访问请求发送的访问授权规则和所述第一行为分析模块发送的所述第一分析结果进行计算,生成第一授权决策;
所述第一访问控制模块,还用于接收所述第一身份认证模块发送的所述第一验证结果和所述第一信任评估模块发送的所述第一授权决策,进行访问判断。
3.如权利要求2所述的网络安全架构,其特征在于,所述网络服务系统设置有与所述安全代理系统作用相同的模块,所述网络服务系统的控制平面包括:
第二访问控制模块,用于在所述第一访问控制模块触发远程访问时,接收所述第一访问控制模块通过所述信息传输通道转发的所述访问请求;
第二安全策略模块,用于接收所述第二访问控制模块转发的所述访问请求;
第二身份认证模块,用于根据所述第二安全策略模块基于所述访问请求发送的身份认证方式,对所述请求方的身份认证信息进行验证,生成第二验证结果;
第二行为分析模块,用于处理网络安全系统的日志数据,得到第二分析结果;
第二信任评估模块,用于根据所述第二安全策略模块基于所述访问请求发送的访问授权规则和所述第二行为分析模块发送的所述第二分析结果进行计算,生成第二授权决策;
所述第二访问控制模块,还用于接收所述第二身份认证模块发送的所述第二验证结果和所述第二信任评估模块发送的所述第二授权决策,进行访问判断。
4.如权利要求3所述的网络安全架构,其特征在于,所述第一身份认证模块包括第一信息采集单元,所述第一信息采集单元用于采集所述请求方的身份特征数据、设备特征数据和应用程序特征数据,并基于所述身份特征数据、所述设备特征数据和所述应用程序特征数据构建用户、设备、应用特征库;
所述第二身份认证模块包括第二信息采集单元,所述第二信息采集单元用于采集所述安全代理系统的系统信息,并基于所述安全代理系统的系统信息构建安全代理特征库。
5.如权利要求3所述的网络安全架构,其特征在于,所述第一行为分析模块和所述第二行为分析模块分别包括数据获取单元和算法模型单元;
所述数据获取单元,用于获取所述网络安全系统的内部指标和外部指标,基于所述内部指标和外部指标进行行为模拟,生成所述日志数据;
所述算法模型单元,用于对所述日志数据进行评分,得到异常分数,若所述异常分数超过预设阈值,则输出包括告警信息的分析结果。
6.如权利要求3所述的网络安全架构,其特征在于,所述安全代理系统还包括有第一资源存储模块,用于在所述第一访问控制模块的访问判断为访问通过时,将所述第一访问控制模块作为所述第一资源存储模块的接口,通过所述第一访问控制模块向所述请求方发送第一资源数据;
所述网络服务系统还包括有第二资源存储模块,用于在所述第二访问控制模块的访问判断为访问通过时,将所述第二访问控制模块作为所述第二资源存储模块的接口,通过所述第二访问控制模块向所述第一访问控制模块发送第二资源数据,以经由所述第一访问控制模块将所述第二资源数据发送至所述请求方;
所述第一资源存储模块和所述第二资源存储模块位于数据平面。
7.一种网络安全实现方法,其特征在于,所述网络安全实现方法包括以下步骤:
基于安全代理系统的控制平面对接收到的访问请求进行身份认证操作和访问授权操作的访问判断,得到第一访问判断结果;
在所述第一访问判断结果为访问通过且所述访问请求的请求资源为内部资源的情形下,在所述安全代理系统的数据平面中获取发送至请求方的第一资源数据;
在所述第一访问判断结果为访问通过且所述访问请求的请求资源为远程资源的情形下,触发远程访问,基于网络服务系统的控制平面对所述安全代理系统转发的访问请求进行身份认证操作和访问授权操作的访问判断,得到第二访问判断结果;
在所述第二访问判断结果为访问通过的情形下,在所述网络服务系统的数据平面中获取经由所述安全代理系统转发至所述请求方的第二资源数据。
8.如权利要求7所述的网络安全实现方法,其特征在于,在所述得到第一访问判断结果的步骤之后,所述网络安全实现方法的步骤还包括:
在所述第一访问判断结果为访问不通过的情形下,向所述请求方返回表征访问失败的信息;
在所述得到第二访问判断结果的步骤之后,所述网络安全实现方法的步骤还包括:
在所述第二访问判断结果为访问不通过的情形下,经由所述安全代理系统向所述请求方返回表征访问失败的信息。
9.一种网络安全系统,其特征在于,所述网络安全系统包括如权利要求1至6所述的网络安全架构、存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网络安全程序,所述网络安全程序被所述处理器执行时实现如权利要求7-8中任一项所述的网络安全实现方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有网络安全程序,所述网络安全程序被处理器执行时实现权利要求7-8中任一项所述的网络安全实现方法的步骤。
CN202310949878.9A 2023-07-28 2023-07-28 网络安全架构、网络安全实现方法、系统及介质 Pending CN117155605A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310949878.9A CN117155605A (zh) 2023-07-28 2023-07-28 网络安全架构、网络安全实现方法、系统及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310949878.9A CN117155605A (zh) 2023-07-28 2023-07-28 网络安全架构、网络安全实现方法、系统及介质

Publications (1)

Publication Number Publication Date
CN117155605A true CN117155605A (zh) 2023-12-01

Family

ID=88908974

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310949878.9A Pending CN117155605A (zh) 2023-07-28 2023-07-28 网络安全架构、网络安全实现方法、系统及介质

Country Status (1)

Country Link
CN (1) CN117155605A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117834304A (zh) * 2024-03-05 2024-04-05 东方电气风电股份有限公司 自主可控的主控网络安全防护系统

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117834304A (zh) * 2024-03-05 2024-04-05 东方电气风电股份有限公司 自主可控的主控网络安全防护系统
CN117834304B (zh) * 2024-03-05 2024-05-03 东方电气风电股份有限公司 自主可控的主控网络安全防护系统

Similar Documents

Publication Publication Date Title
Kumar et al. TP2SF: A Trustworthy Privacy-Preserving Secured Framework for sustainable smart cities by leveraging blockchain and machine learning
Rahman et al. Tik-tok: The utility of packet timing in website fingerprinting attacks
Balamurugan et al. Enhanced intrusion detection and prevention system on cloud environment using hybrid classification and OTS generation
Banerjee et al. A blockchain future for internet of things security: a position paper
US10033746B2 (en) Detecting unauthorised changes to website content
CN107465648B (zh) 异常设备的识别方法及装置
Aborujilah et al. Cloud‐Based DDoS HTTP Attack Detection Using Covariance Matrix Approach
Cui et al. Efficient verification of edge data integrity in edge computing environment
Rath et al. Advanced-level security in network and real-time applications using machine learning approaches
CN111786966A (zh) 浏览网页的方法和装置
US11861472B2 (en) Machine learning model abstraction layer for runtime efficiency
CN107925663B (zh) 用于匿名上下文证明和威胁分析的技术
Modi et al. A feasible approach to intrusion detection in virtual network layer of Cloud computing
Fallah et al. Android malware detection using network traffic based on sequential deep learning models
US20230376592A1 (en) Utilizing Machine Learning for smart quarantining of potentially malicious files
CN117155605A (zh) 网络安全架构、网络安全实现方法、系统及介质
Kavallieratos et al. Threat analysis in dynamic environments: The case of the smart home
CN113765846B (zh) 一种网络异常行为智能检测与响应方法、装置及电子设备
Bhardwaj et al. Network intrusion detection in software defined networking with self-organized constraint-based intelligent learning framework
Andriamilanto et al. FPSelect: low-cost browser fingerprints for mitigating dictionary attacks against web authentication mechanisms
Feng et al. Cj-sniffer: Measurement and content-agnostic detection of cryptojacking traffic
US10860730B1 (en) Backend data classifier for facilitating data loss prevention in storage devices of a computer network
Ghanshala et al. BNID: a behavior-based network intrusion detection at network-layer in cloud environment
Alavizadeh et al. A survey on threat situation awareness systems: framework, techniques, and insights
Alanazi et al. Detection techniques for DDoS attacks in cloud environment

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination