CN117424766A - 一种基于可信度量的威胁行为检测系统及方法 - Google Patents
一种基于可信度量的威胁行为检测系统及方法 Download PDFInfo
- Publication number
- CN117424766A CN117424766A CN202311744985.4A CN202311744985A CN117424766A CN 117424766 A CN117424766 A CN 117424766A CN 202311744985 A CN202311744985 A CN 202311744985A CN 117424766 A CN117424766 A CN 117424766A
- Authority
- CN
- China
- Prior art keywords
- trusted
- access
- behavior
- threat
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 42
- 238000000034 method Methods 0.000 title claims abstract description 27
- 238000005259 measurement Methods 0.000 title claims abstract description 10
- 230000006399 behavior Effects 0.000 claims abstract description 121
- 238000013475 authorization Methods 0.000 claims abstract description 10
- 230000000007 visual effect Effects 0.000 claims abstract description 8
- 238000009960 carding Methods 0.000 claims abstract description 5
- 238000004458 analytical method Methods 0.000 claims description 42
- 238000005516 engineering process Methods 0.000 claims description 40
- 238000007726 management method Methods 0.000 claims description 33
- 238000012795 verification Methods 0.000 claims description 28
- 238000011217 control strategy Methods 0.000 claims description 18
- 230000007123 defense Effects 0.000 claims description 17
- 230000007246 mechanism Effects 0.000 claims description 9
- 230000007124 immune defense Effects 0.000 claims description 8
- 230000000903 blocking effect Effects 0.000 claims description 4
- 230000003068 static effect Effects 0.000 claims description 4
- 230000009977 dual effect Effects 0.000 claims 2
- 238000012550 audit Methods 0.000 description 9
- 238000011156 evaluation Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 238000010276 construction Methods 0.000 description 4
- 230000004044 response Effects 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 3
- 230000005856 abnormality Effects 0.000 description 3
- 230000007547 defect Effects 0.000 description 3
- 238000012423 maintenance Methods 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 230000008447 perception Effects 0.000 description 3
- 206010000117 Abnormal behaviour Diseases 0.000 description 2
- 108091026890 Coding region Proteins 0.000 description 2
- 241000700605 Viruses Species 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 230000008602 contraction Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000012800 visualization Methods 0.000 description 2
- 206010063385 Intellectualisation Diseases 0.000 description 1
- 238000012098 association analyses Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 210000000987 immune system Anatomy 0.000 description 1
- 238000002649 immunization Methods 0.000 description 1
- 230000003053 immunization Effects 0.000 description 1
- 210000001503 joint Anatomy 0.000 description 1
- 238000005065 mining Methods 0.000 description 1
- 239000002071 nanotube Substances 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于可信度量的威胁行为检测系统及方法,涉及网络安全技术领域。该系统包括:可信访问代理网关,用于下发和执行可信访问控制中心的策略;可信访问控制中心,用于梳理管控区域内的业务访问关系,进行安全风险分析,并进行对应的行为轨迹跟踪溯源,并进行全网端到端的可视化展示;结合各策略执行点,进行统一认证、授权、策略管理与下发;威胁情报检测模块,用于实时检测互联网侧的危险终端行为,判定失陷终端,并将终端信息同步至可信访问控制中心,实现对危险终端的封堵。本发明基于可信访问和可信计算结合威胁情报,实现有效的网络威胁行为检测,动态调整安全访问控制基线,实时阻断安全威胁访问,大大提升网络安全防护能力。
Description
技术领域
本发明涉及网络安全技术领域,具体而言,涉及一种基于可信度量的威胁行为检测系统及方法。
背景技术
随着能源互联网技术的发展,网络边界不再像传统结构那样清晰,并且设备本身的安全漏洞也会导致电力系统运行出现重大网络安全风险,因此传统的网络安全边界防御手段逐渐失效。传统网络安全架构失效背后的根源是信任机制的不完善;传统基于边界的网络安全架构在某种程度上假设或默认企业内网的人和设备是值得信任的,因此将安全防护的重点放在了防火墙、WAF、IPS等边界安全产品或方案,对企业网络边界进行重重防护,但这种防护方式在能力上依然会面临以下挑战:
1、安全设备本身的硬件和软件环境是否可信;
2、已进入内网的业务访问行为是否全程可信;
3、海量异常行为告警是否被快速精准检测出来;
为了应对上述挑战,虽然现有技术中也构建了具备一定安全防护能力的网络安全体系,但随着当前网络安全形势日益严峻,传统网络边界逐渐模糊,越来越多的信息需要与外网进行交互,如何保障访问控制设备本身的安全可信,如何对外网的访问行为开展分析和持续信任评估,确认访问的可信安全,同时海量告警日志也对目前的网络安全体系带来了新的挑战。
发明内容
为了克服上述问题或者至少部分地解决上述问题,本发明提供一种基于可信度量的威胁行为检测系统及方法,基于可信访问和可信计算结合威胁情报技术,实现有效的网络威胁行为检测,动态调整安全访问控制基线,实时阻断安全威胁访问,大大提升网络安全防护能力。
为解决上述技术问题,本发明采用的技术方案为:
第一方面,本发明提供一种基于可信度量的威胁行为检测系统,包括可信访问代理网关、可信访问控制中心以及部署在云端的威胁情报检测模块,其中:
可信访问代理网关,用于实现可信访问控制中心的策略的下发和执行;
可信访问控制中心,用于梳理管控区域内的业务访问关系,进行安全风险分析,并根据分析结果进行对应的行为轨迹跟踪溯源,并进行全网端到端的可视化展示;还用于结合各策略执行点,进行认证、授权、策略管理与下发;
威胁情报检测模块,用于结合威胁情报,实时检测互联网侧的危险终端行为,判定失陷终端,并将对应的终端信息同步至可信访问控制中心,实现对危险终端的封堵。
本系统构建了一套基于设备可信、身份可信、终端可信、访问可信(含连接可信、持续评估、动态访问控制等)全流程的可信安全能力平台。基于可信计算结合威胁情报技术,实现网络安全管理需求,通过可信计算技术、可信访问技术和威胁情报赋能分别解决安全平台信任问题、用户或者应用凭证自身可信问题和检测识别以业务和数据为核心的威胁访问行为问题,通过结合威胁情报能力,精准识别安全威胁访问,动态调整安全访问控制基线,实时阻断安全威胁访问。
基于第一方面,进一步地,上述可信访问代理网关和可信访问控制中心均采用可信计算3.0主动免疫防御技术。
基于第一方面,进一步地,上述可信访问控制中心包括分析模块和控制模块,其中:
分析模块,用于通过AI技术,基于采集到的现场数据,对用户身份、主机访问关系、工作环境、访问行为及威胁情报进行交叉分析,鉴别风险,并进行全网端到端的可视化展示;还用于生成控制策略;
控制模块,用于通过对多种类型的策略执行点下发策略,管理用户与应用、应用与应用、物联网设备与物联网应用多种场景下的访问关系;还用于利用分析结果,结合控制策略动态的对内网用户进行相应的增强验证、联动处置及用户注销。
基于第一方面,进一步地,上述可信访问控制中心包括可信控制中心总平台和本地可信控制中心,在本地数据中心前端部署可信访问代理网关;通过可信控制中心总平台制定并下发策略给本地可信控制中心,本地可信控制中心根据策略对终端行为进行监测,并向可信访问代理网关下发行为控制策略。
基于第一方面,进一步地,通过可信控制中心总平台制定终端访问行为基线标准策略,并将终端访问行为基线标准策略下发给本地可信控制中心,本地可信控制中心根据终端访问行为基线标准策略和本地特定访问行为控制策略对终端行为进行监测,判别终端是否有危险行为,生成并根据行为分析结果向可信访问代理网关下发行为控制策略,允许或阻止终端进行业务系统访问。
基于第一方面,进一步地,基于威胁情报检测模块,通过威胁情报赋能,识别用户在外网业务访问行为和内部业务访问行为。
基于第一方面,进一步地,包括基于计算与安全防护并行的主动免疫双体系防御架构,该双体系防御架构包括防御部件和计算部件;防御部件优先于计算部件启动,对计算部件资源和总线进行初始化配置,并通过直接总线共享机制访问主机所有资源,进行静态和动态可信验证,通过验证方能启动或继续执行,否则进行报警和控制。
第二方面,本发明提供一种基于可信度量的威胁行为检测方法,包括以下步骤:
基于可信访问控制中心梳理管控区域内的业务访问关系,对用户身份、主机访问关系、工作环境、访问行为及威胁情报进行交叉分析,并根据分析结果进行对应的行为轨迹跟踪溯源;
基于可信访问控制中心进行身份认证、授权、策略管理与下发;
结合威胁情报,实时检测互联网侧的危险终端行为,判定失陷终端,并将对应的终端信息同步至可信访问控制中心,实现对危险终端的封堵;
基于可信访问代理网关下发并执行可信访问控制中心的策略,允许或阻止终端进行业务系统访问。
本方法基于上述第一方面中的系统实现,基于可信计算结合威胁情报技术,实现网络安全管理需求,通过可信计算技术、可信访问技术和威胁情报赋能分别解决安全平台信任问题、用户或者应用凭证自身可信问题和检测识别以业务和数据为核心的威胁访问行为问题,通过结合威胁情报能力,精准识别安全威胁访问,动态调整安全访问控制基线,实时阻断安全威胁访问。
本发明至少具有如下优点或有益效果:
本发明提供一种基于可信度量的威胁行为检测系统及方法,基于可信计算结合威胁情报技术,实现网络安全管理需求,通过可信计算技术、可信访问技术和威胁情报赋能分别解决安全平台信任问题、用户或者应用凭证自身可信问题和检测识别以业务和数据为核心的威胁访问行为问题,通过结合威胁情报能力,精准识别安全威胁访问,动态调整安全访问控制基线,实时阻断安全威胁访问。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本发明实施例可信访问安全体系的架构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
实施例
第一方面,本发明提供一种基于可信度量的威胁行为检测系统,包括可信访问代理网关、可信访问控制中心以及部署在云端的威胁情报检测模块,上述可信访问代理网关和可信访问控制中心均采用可信计算3.0主动免疫防御技术;其中:
可信访问代理网关,用于实现可信访问控制中心的策略的下发和执行;
可信访问控制中心,用于梳理管控区域内的业务访问关系,进行安全风险分析,并根据分析结果进行对应的行为轨迹跟踪溯源,并进行全网端到端的可视化展示;还用于结合各策略执行点,进行认证、授权、策略管理与下发;上述进行可视化展示是展示基于业务访问相关的风险预警,包括安全风险风过程的发展链条。
威胁情报检测模块,用于结合威胁情报,实时检测互联网侧的危险终端行为,判定失陷终端,并将对应的终端信息同步至可信访问控制中心,实现对危险终端的封堵。通过威胁情报赋能,识别用户在外网业务访问行为和内部业务访问行为。
本系统构建了一套基于设备可信、身份可信、终端可信、访问可信(含连接可信、持续评估、动态访问控制等)全流程的可信安全能力平台(可信访问安全体系),如图1所示,基于可信计算3.0设备自身安全能力,实现用户可信(实现用户身份管理、多因素身份验证、动态自适应认证)、终端可信(终端环境检测、终端接入管控、终端持续安全)、应用可信(应用安全验证、恶意应用拦截、应用策略更新)、连接可信(业务拓扑隐藏、加密网络通道、连接服务安全保障)、访问可信(细粒度权限管理、多维度持续评估、动态访问控制策略)以及威胁情报感知(云端赋能、持续监测、全面提升检出率)。本系统主要由可信访问代理网关、可信访问控制中心、威胁情报三大组件组成,其中可信访问代理网关和可信访问控制中心是基于可信计算技术的软硬一体化设备,威胁情报是云端安全检测能力。
本发明基于可信计算结合威胁情报技术,实现网络安全管理需求,通过可信计算技术、可信访问技术和威胁情报赋能分别解决安全平台信任问题、用户或者应用凭证自身可信问题和检测识别以业务和数据为核心的威胁访问行为问题,通过结合威胁情报能力,精准识别安全威胁访问,动态调整安全访问控制基线,实时阻断安全威胁访问。
本发明通过可信计算技术实现设备安全可信:
为了解决利用硬件和系统底层逻辑缺陷进行攻击的问题,本方案采用以可信计算为核心的可信访问网关设备、行为访问网关及可信访问控制中心。通过在国产软、硬件平台上融入可信计算3.0主动免疫防御技术,将整个检测访问构建在可信度量基础上,通过将本方案涉及的软、硬件规划为可信计算环境、可信边界、可信通信网络三层,从技术和管理两个方面进行安全设计,构建基于安全可信管理中心支持下的主动免疫三重防护框架,从而解决安全体系中硬件和系统底层逻辑缺陷而导致的攻击问题。可信计算3.0主动免疫防御技术的特征包括:公钥、对称双密码主动系统免疫;终端、服务器、存储系统体系可信;宿主+可信双节点平行架构;基于网络可信服务验证;动态度量实时感知。
等级保护标准可信计算要求主要分四个等级:
一级是所有计算节点都应基于可信根实现开机到操作系统启动的可信验证;
二级是所有计算节点都应基于可信根实现开机到操作系统启动,再到应用程序启动的可信验证,并将验证结果形成审计纪录;
三级是所有计算节点都应基于可信根实现开机到操作系统启动,再到应用程序启动的可信验证,并在应用程序的关键执行环节对其执行环境进行可信验证,并在应用程序的关键之行环节对其执行环境进行可信验证,主动抵御入侵行为,并将验证结果形成审计纪录,送到管理中心;
四级是所有计算节点都应基于可信计算技术实现开机到操作系统启动,再到应用程序启动的可信验证,并在应用程序的所有执行环节对其执行环境进行可信验证,主动抵御入侵行为。并将验证结果形成审计纪录,送到管理中心。进行动态关联感知,形成实时的态势。
基于双体系架构保障计算环境可信:基于计算与安全防护并行的主动免疫双体系防御架构,防御部件和计算部件只能通过专用的安全通道进行交互。双体系防御架构里包含可信技术带来的可信安全免疫体系,采用的核心技术是可信计算3.0,相关产品包括可信访问代理网关、可信访问控制中心。可信访问代理网关主要负责流向分析,但网关的硬件是具备可信技术的。防御部件优先于计算部件启动,对计算部件资源和总线进行初始化配置,并通过直接总线共享机制访问主机所有资源,进行静态和动态可信验证,通过验证方能启动或继续执行,否则进行报警和控制,从而主动抵御入侵行为。
基于可信计算3.0的恶意代码主动免疫防御:本方案采用业内最新的可信计算3.0主动免疫防御机制,它能够主动度量系统中的执行程序、执行代码、计算环境等,依据策略基于白名单保护业务程序,阻止非授权及非预期的执行程序运行,免补丁升级,免病毒、木马查杀,同时实现对已知和未知恶意代码的主动防御。
根据访问行为定制多场景的精准安全防护:结合对应公司用户业务访问场景,本方案采用策略语言主动描述安全场景表达安全需求,形成系统安全防护的编码序列,由可信软件基管理、解释和执行,进行可信保障和可信验证,实现动态度量和智能感知,可有效降低用户安全配置难度、根据用户需求智能选择相应场景的控制策略,使策略落地更快捷,安全防护更有效。
本发明通过可信访问技术实现访问安全可信:
为了解决公司内部区域的过度信任、威胁检测和防护不足、本方案通过部署可信访问安全网关和可信安全访问控制中心,实现服务隐身、业务暴露面收缩、终端设备与应用程序检测、精细化权限管理、动态访问控制、异常行为分析等核心能力,帮助对应公司实现流量身份化、权限智能化、访问控制动态化、运维管理简单化,通过“事前白防护”和“持续风险监测”的持续闭环,助力对应公司的安全体系从过去的“救火”向“监管治理”转型。
基于策略执行点实现事前防护:本方案的可信访问体系主要包括统一认证、授权、策略管理与下发,通过对多种类型的策略执行点下发策略,管理用户与应用、应用与应用、物联网设备与物联网应用等多种场景下的访问关系,包括是否允许访问、是否增强认证、是否断开连接等。同时利用行为检测的分析结果,结合控制策略动态的对内网用户进行相应的增强验证、联动处置、用户注销等操作,实现对公司网络环境的“事前”、“可信”防护。
基于交叉分析精准识别行为风险:可信访问体系通过梳理管控区域内的业务访问关系,挖掘潜在安全风险,并做相应的行为轨迹跟踪溯源,实现全网端到端的安全可视。同时基于采集到的现场数据,对用户身份、主机访问关系、工作环境、访问行为、威胁情报等第三方安全信息等进行综合交叉分析,准确鉴别风险。并将风险实时传递给可信访问控制中心与安全运维团队,结合威胁情报实现对高风险事件的及时、快速处理和响应。
转控分离精准控制风险行为:系统会建立用户到应用之间的虚拟网络边界,为精细的访问控制提供支点。功能包括统一认证、统一鉴权、动态访问控制、持续信任评估、暴露面隐藏等,通过进行控制面和数据面的分离,使之具备统一认证鉴权、动态访问控制、持续信任评估、暴露面收缩、服务隐身等功能。可信访问体系将用户、应用程序、IOT设备等视为访问主体,业务服务器为客体。平台通过各种场景化的安全组件,对访问主体进行身份识别、权限鉴定、动态增强认证等操作,确保访问主体身份合法;通过暴露面收缩、服务隐藏、动态访问控制等手段对客体进行防护;通过建立和跟踪主客体访问基线、访问行为智能分析等手段,确保主体以合法的行为访问客体,进一步保护客体上的业务资源。
本发明还通过威胁情报赋能实现威胁精准识别:
为了解决安全日志告警太多,降低漏报误报的问题,通过威胁情报赋能,识别用户在外网业务访问行为、内部业务访问行为,实现智能精准地掌握网络安全事件、重大漏洞、攻击手段等信息,系统能在第一时间采取预警、响应、处置工作,实现安全体系的精准感知、态势可观、智能分析和自动化处置等能力。
通过威胁情报的建设与基于场景的访问深度融合,能够实现基于场景与行为的精细化威胁感知、态势可观、智能分析和自动化处置。在安全技防设备方面,本方案能将现有安全体系串联成系统协同应战。在安全运营管理方面,基于威胁情报为核心,为现有安全体系智能化分析提供准确的数据支撑,实现系统处置分析自动化,大幅度提升网络安全运营效率。
本发明通过可信3.0技术构建从终端到业务区的可信边界,实现全流程的可信访问安全能力,具体流程如下:
1.设备可信:通过可信计算3.0主动免疫防御机制打造可信边界,它能够主动度量系统中的执行程序、执行代码、计算环境等,依据策略基于白名单保护业务程序,阻止非授权及非预期的执行程序运行,免补丁升级,免病毒、木马查杀,同时实现对已知和未知恶意代码的主动防御。
2.身份可信:为可信访问平台打造身份统一的基础,实现流量的全面身份化。为后续的关联分析和精细化访问控制做好准备。平台可以与IAM对接,实现身份统一管理、多因子认证和单点登录,可以在保障在认证可信的前提下,提升用户体验。负责网络连接层面的访问控制,通过在网络连接层面进行访问控制,实现应用接入无改造。无法改造的应用也有机会被可信访问平台纳管。
3.终端可信:在保障终端的安全的基础上提升用户访问体验,终端能力能够覆盖:防御、监测与响应等能力,并支持按需开启能力,通过这些能力,保障了只有安全合规的终端才能访问业务,降低业务和数据被威胁的风险,同时能够具备采集调用链上的相关信息,可以帮助分析中心进行行为评估,分析本次访问是否由正常进程发起,通过动态库的签名判断动态库是否是非法的。在兼容性上,能够广泛的兼容传统的PC、笔记本、手机、平板等型的终端;对国产化环境也有较好的适配,例如:适配UOS、麒麟等国产化操作系统上,兼容X86、ARM、MIPS芯片架构。
4.连接可信:收缩暴露面,构建的“端到端”的可信连接。将原有“先连接在认证”的机制改为“先认证在连接”,实现对业务的隐藏,可以有效避免恶意扫描和攻击。通过SPA的预授权机制,来保障平台自身安全,不被未授权的终端连接。
5.持续评估:持续评估的建设目标是:基于多数据源对访问主体的身份、终端、行为进行持续信任评估。除基于规则的分析能力外,还要具备用户实体行为分析的能力,能够分别以“黑白”两个视角对实体行为进行分析,实现对未知威胁的发现。
6.动态访问控制:动态访问控制的建设目标是:能够与多组件进行联动,实现细粒度的访问控制能力;能够在保障安全的前提下,进行不中断用户业务。
7.内容审计:在行为审计方向,能够做到内容级别的审计,通过内容审计我们能够更容易发现员工是否存在数据外发的行为,避免更大的损失。
8.检测能力升级:为了解决安全日志告警太多,降低漏报误报的问题,通过威胁情报赋能,识别用户在外网业务访问行为、内部业务访问行为,实现智能精准地掌握网络安全事件、重大漏洞、攻击手段等信息,精准控制业务访问安全。
基于第一方面,进一步地,上述可信访问控制中心包括分析模块和控制模块,其中:
分析模块,用于通过AI技术,基于采集到的现场数据,对用户身份、主机访问关系、工作环境、访问行为及威胁情报进行交叉分析,鉴别风险,并进行全网端到端的可视化展示;还用于生成控制策略;
控制模块,用于通过对多种类型的策略执行点下发策略,管理用户与应用、应用与应用、物联网设备与物联网应用多种场景下的访问关系;还用于利用分析结果,结合控制策略动态的对内网用户进行相应的增强验证、联动处置及用户注销。
可信访问控制中心主要包括分析能力和控制能力,威胁情报可以全面提升可信控制网关的分析能力,具体如下:
1.分析能力作为可信访问控制中心的重要能力,主要负责梳理管控区域内的业务访问关系,挖掘潜在安全风险,并做相应的行为轨迹跟踪溯源,实现全网端到端安全可视。通过AI技术,基于采集到的现场数据,对用户身份、主机访问关系、工作环境、访问行为、威胁情报等第三方安全信息等进行综合交叉分析,准确鉴别风险。并将风险实时传递给可信访问控制中心与安全运维团队,结合威胁情报实现对高风险事件的及时、快速处理和响应。
2.控制能力主要任务是结合各策略执行点,实现对网络环境的“事前”防护,主要功能包括统一认证、授权、策略管理与下发。它是整体的调度与管理中心,通过对多种类型的策略执行点下发策略,管理用户与应用、应用与应用、物联网设备与物联网应用等多种场景下的访问关系,包括是否允许访问、是否增强认证、是否断开连接等。同时利用行为检测的分析结果,结合控制策略动态的对内网用户进行相应的增强验证、联动处置、用户注销等操作,实现对对应公司网络环境的“事前”、“可信”防护。
基于第一方面,进一步地,上述可信访问控制中心包括可信控制中心总平台和本地可信控制中心,在本地数据中心前端部署可信访问代理网关;通过可信控制中心总平台制定并下发策略给本地可信控制中心,本地可信控制中心根据策略对终端行为进行监测,并向可信访问代理网关下发行为控制策略。
进一步地,通过可信控制中心总平台制定终端访问行为基线标准策略,并将终端访问行为基线标准策略下发给本地可信控制中心,本地可信控制中心根据终端访问行为基线标准策略和本地特定访问行为控制策略对终端行为进行监测,判别终端是否有危险行为,生成并根据行为分析结果向可信访问代理网关下发行为控制策略,允许或阻止终端进行业务系统访问。
在本发明的一些实施例中,采用集团--分公司—流域单位—终端用户的多层级架构,构建一套有效的威胁行为检测访问体系,实现网络安全访问。在集团总部署集团可信控制中心总平台,由集团制定集团体系终端访问行为基线标准策略,将基线策略下发至对应公司部署的本地可信控制中心,本地数据中心前端增加部署可信代理网关,本地控制中心根据集团下发的终端访问行为基线策略及本地特定访问行为控制策略对终端行为进行监测,判别终端是否有危险行为,并根据行为分析结果向可信代理网关下发行为控制策略,允许或阻止终端进行业务系统访问。由可信控制中心和可信代理网关组成的可信边界,包括底层硬件设备和系统的可信能计算能力,既可以在行为上阻止失陷终端进行业务系统访问,也可以阻止失陷终端通过利用设备本身的漏洞进行攻击,充分保证业务系统边界的安全性,同时引入后端威胁情报能力,威胁情报可以实时更新对于终端访问互联网行为的安全检测,威胁情报一旦发生异常,会将异常终端信息发给控制中心,精准识别异常终端并进行访问控制。
本发明通过安全设备本身的安全可信计算能力建设,实现以信任链的方式保障设备的安全,大大增强了设备在数据安全存储、平台真实性、完整性证明等方面的能力。可信访问代理网关和可信访问控制中心采用可信计算3.0技术,从逻辑正确验证、计算体系结构和计算模式等科学技术创新去解决逻辑缺陷不被攻击者所利用的问题,实现了设备硬件和操作系统逻辑组合不被篡改和破坏的效果,有效抵御网络攻击,从被动防御向主动防御转变。
通过可信访问技术,实现访问行为分析和持续信任评估等能力,包括身份异常、环境异常、行为异常等,并且实现统一的身份认证、统一用户管理、统一权限管理、统一资产梳理、动态访问控制策略、组件联动等能力,以可信访问为基本认证原则,增加用户访问威胁感知与处置能力,并同步提升终端资产梳理、行为管理等能力,保证公司安全访问控制技术策略可以根据网络架构的变化演进做出实时调整,保持访问控制技术前沿性和创新能力。
通过威胁情报技术提升访问威胁识别的能力,威胁情报技术作为网络安全的核心能力,可以为网络中现有各个产品进行赋能,提升安全能力。威胁情报技术能够从恶意文件的HASH、主机特征、网络特征、事件特征、组织、人员情报等六个维度为安全设备提供数据,可以在基于可信度量的威胁行为检测体系中大幅提升可信访问控制中心检出效率,提升威胁行为检测体系的安全访问控制能力。
基于第一方面,进一步地,基于计算与安全防护并行的主动免疫双体系防御架构,包括防御部件和计算部件;防御部件优先于计算部件启动,对计算部件资源和总线进行初始化配置,并通过直接总线共享机制访问主机所有资源,进行静态和动态可信验证,通过验证方能启动或继续执行,否则进行报警和控制。
第二方面,本发明提供一种基于可信度量的威胁行为检测方法,包括以下步骤:
基于可信访问控制中心梳理管控区域内的业务访问关系,对用户身份、主机访问关系、工作环境、访问行为及威胁情报进行交叉分析,并根据分析结果进行对应的行为轨迹跟踪溯源;
基于可信访问控制中心进行身份认证、授权、策略管理与下发;
结合威胁情报,实时检测互联网侧的危险终端行为,判定失陷终端,并将对应的终端信息同步至可信访问控制中心,实现对危险终端的封堵;
基于可信访问代理网关下发并执行可信访问控制中心的策略,允许或阻止终端进行业务系统访问。
本方法基于上述第一方面中的系统实现,基于可信计算结合威胁情报技术,实现网络安全管理需求,通过可信计算技术、可信访问技术和威胁情报赋能分别解决安全平台信任问题、用户或者应用凭证自身可信问题和检测识别以业务和数据为核心的威胁访问行为问题,通过结合威胁情报能力,精准识别安全威胁访问,动态调整安全访问控制基线,实时阻断安全威胁访问。
在本申请所提供的实施例中,应该理解到,所揭露的方法及系统,也可以通过其它的方式实现。以上所描述的方法及系统实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的方法及系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
以上仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
对于本领域技术人员而言,显然本申请不限于上述示范性实施例的细节,而且在不背离本申请的精神或基本特征的情况下,能够以其它的具体形式实现本申请。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本申请的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本申请内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
Claims (8)
1.一种基于可信度量的威胁行为检测系统,其特征在于,包括可信访问代理网关、可信访问控制中心以及部署在云端的威胁情报检测模块,其中:
可信访问代理网关,用于实现可信访问控制中心的策略的下发和执行;
可信访问控制中心,用于梳理管控区域内的业务访问关系,进行安全风险分析,并根据分析结果进行对应的行为轨迹跟踪溯源,并进行全网端到端的可视化展示;还用于结合各策略执行点,进行认证、授权、策略管理与下发;
威胁情报检测模块,用于结合威胁情报,实时检测互联网侧的危险终端行为,判定失陷终端,并将对应的终端信息同步至可信访问控制中心,实现对危险终端的封堵。
2.根据权利要求1所述的一种基于可信度量的威胁行为检测系统,其特征在于,所述可信访问代理网关和可信访问控制中心均采用可信计算3.0主动免疫防御技术。
3.根据权利要求1所述的一种基于可信度量的威胁行为检测系统,其特征在于,所述可信访问控制中心包括分析模块和控制模块,其中:
分析模块,用于通过AI技术,基于采集到的现场数据,对用户身份、主机访问关系、工作环境、访问行为及威胁情报进行交叉分析,鉴别风险,并进行全网端到端的可视化展示;还用于生成控制策略;
控制模块,用于通过对多种类型的策略执行点下发策略,管理用户与应用、应用与应用、物联网设备与物联网应用多种场景下的访问关系;还用于利用分析结果,结合控制策略动态的对内网用户进行相应的增强验证、联动处置及用户注销。
4.根据权利要求1所述的一种基于可信度量的威胁行为检测系统,其特征在于,所述可信访问控制中心包括可信控制中心总平台和本地可信控制中心,在本地数据中心前端部署可信访问代理网关;通过可信控制中心总平台制定并下发策略给本地可信控制中心,本地可信控制中心根据策略对终端行为进行监测,并向可信访问代理网关下发行为控制策略。
5.根据权利要求4所述的一种基于可信度量的威胁行为检测系统,其特征在于,通过可信控制中心总平台制定终端访问行为基线标准策略,并将终端访问行为基线标准策略下发给本地可信控制中心,本地可信控制中心根据终端访问行为基线标准策略和本地特定访问行为控制策略对终端行为进行监测,判别终端是否有危险行为,生成并根据行为分析结果向可信访问代理网关下发行为控制策略,允许或阻止终端进行业务系统访问。
6.根据权利要求1所述的一种基于可信度量的威胁行为检测系统,其特征在于,基于威胁情报检测模块,通过威胁情报赋能,识别用户在外网业务访问行为和内部业务访问行为。
7.根据权利要求1所述的一种基于可信度量的威胁行为检测系统,其特征在于,包括基于计算与安全防护并行的主动免疫双体系防御架构,该双体系防御架构包括防御部件和计算部件;防御部件优先于计算部件启动,对计算部件资源和总线进行初始化配置,并通过直接总线共享机制访问主机所有资源,进行静态和动态可信验证,通过验证方能启动或继续执行,否则进行报警和控制。
8.一种基于可信度量的威胁行为检测方法,其特征在于,包括以下步骤:
基于可信访问控制中心梳理管控区域内的业务访问关系,对用户身份、主机访问关系、工作环境、访问行为及威胁情报进行交叉分析,并根据分析结果进行对应的行为轨迹跟踪溯源;
基于可信访问控制中心进行身份认证、授权、策略管理与下发;
结合威胁情报,实时检测互联网侧的危险终端行为,判定失陷终端,并将对应的终端信息同步至可信访问控制中心,实现对危险终端的封堵;
基于可信访问代理网关下发并执行可信访问控制中心的策略,允许或阻止终端进行业务系统访问。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311744985.4A CN117424766A (zh) | 2023-12-19 | 2023-12-19 | 一种基于可信度量的威胁行为检测系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311744985.4A CN117424766A (zh) | 2023-12-19 | 2023-12-19 | 一种基于可信度量的威胁行为检测系统及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117424766A true CN117424766A (zh) | 2024-01-19 |
Family
ID=89531115
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311744985.4A Pending CN117424766A (zh) | 2023-12-19 | 2023-12-19 | 一种基于可信度量的威胁行为检测系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117424766A (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113660224A (zh) * | 2021-07-28 | 2021-11-16 | 上海纽盾科技股份有限公司 | 基于网络漏洞扫描的态势感知防御方法、装置及系统 |
| CN115118465A (zh) * | 2022-06-13 | 2022-09-27 | 北京寰宇天穹信息技术有限公司 | 一种基于可信标签的云边端协同零信任访问控制方法及系统 |
| CN115643096A (zh) * | 2022-10-28 | 2023-01-24 | 天津能源投资集团科技有限公司 | 一种可进行态势感知安全威胁预警的联动分析系统及方法 |
| CN116781380A (zh) * | 2023-07-11 | 2023-09-19 | 河南中医药大学 | 一种校园网安全风险终端拦截溯源系统 |
| CN117118703A (zh) * | 2023-08-24 | 2023-11-24 | 北京计算机技术及应用研究所 | 一种基于互联网的移动办公安全架构 |
-
2023
- 2023-12-19 CN CN202311744985.4A patent/CN117424766A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113660224A (zh) * | 2021-07-28 | 2021-11-16 | 上海纽盾科技股份有限公司 | 基于网络漏洞扫描的态势感知防御方法、装置及系统 |
| CN115118465A (zh) * | 2022-06-13 | 2022-09-27 | 北京寰宇天穹信息技术有限公司 | 一种基于可信标签的云边端协同零信任访问控制方法及系统 |
| CN115643096A (zh) * | 2022-10-28 | 2023-01-24 | 天津能源投资集团科技有限公司 | 一种可进行态势感知安全威胁预警的联动分析系统及方法 |
| CN116781380A (zh) * | 2023-07-11 | 2023-09-19 | 河南中医药大学 | 一种校园网安全风险终端拦截溯源系统 |
| CN117118703A (zh) * | 2023-08-24 | 2023-11-24 | 北京计算机技术及应用研究所 | 一种基于互联网的移动办公安全架构 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Miller et al. | Looking back to look forward: Lessons learnt from cyber-attacks on industrial control systems | |
| US11526610B2 (en) | Peer-to-peer network for blockchain security | |
| US20210273957A1 (en) | Cyber security for software-as-a-service factoring risk | |
| WO2023216641A1 (zh) | 一种电力终端安全防护方法及系统 | |
| CN114978584A (zh) | 基于单位单元的网络安全防护安全方法及系统 | |
| CN112653655B (zh) | 汽车安全通信控制方法、装置、计算机设备及存储介质 | |
| CN114003943B (zh) | 一种用于机房托管管理的安全双控管理平台 | |
| CN109995794A (zh) | 一种安全防护系统、方法、设备及存储介质 | |
| CN110033174A (zh) | 一种工业信息安全保障体系建设方法 | |
| CN113407949A (zh) | 一种信息安全监控系统、方法、设备及存储介质 | |
| CN113132318A (zh) | 面向配电自动化系统主站信息安全的主动防御方法及系统 | |
| Xu et al. | Network security | |
| CN113411295A (zh) | 基于角色的访问控制态势感知防御方法及系统 | |
| CN113411297A (zh) | 基于属性访问控制的态势感知防御方法及系统 | |
| CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
| CN116723048A (zh) | 一种局域网内的通信系统及方法 | |
| Ghadge | Enhancing threat detection in Identity and Access Management (IAM) systems | |
| KR20130033161A (ko) | 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템 | |
| CN117424766A (zh) | 一种基于可信度量的威胁行为检测系统及方法 | |
| Whyte | Using a systems-theoretic approach to analyze cyber attacks on cyber-physical systems | |
| ENE et al. | Cybersecurity–A Permanent Challenge for the Energy Sector | |
| Sandhu et al. | A study of the novel approaches used in intrusion detection and prevention systems | |
| Liu | Risk and preventive strategy of network security in university digital library | |
| Kant | How Cyber Threat Intelligence (CTI) Ensures Cyber Resilience Using Artificial Intelligence and Machine Learning | |
| Trad | Entity Transformation Projects: Security Management Concept (SMC) |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |