基于微隔离的安全预警系统及方法与流程

1.本发明实施例涉及网络安全技术领域，特别涉及一种基于微隔离的安全预警系统及方法。


背景技术：

2.apt攻击目前已经成为取代传统黑客攻击的一种非常重要的攻击手段，而且呈现出愈演愈烈的形势。在传统网络安全模型逐渐失效的情形下，零信任安全日益成为新时代下的网络安全的新架构。
3.在零信任架构中，所有资产都必须先经过身份验证和授权，才能启动与另一资产的通信。软件定义边界(software defined perimeter，sdp)是一种零信任实现框架，通过使用微隔离在资产之间创建信任关系，将零信任安全性概念应用于网络中。sdp可以作为有效的网络安全控制措施，使组织更能抵御传统的网络安全攻击。
4.目前的微隔离架构对apt攻击进行检测时，依然存在检测准确性低的问题。


技术实现要素：

5.本发明实施例提供了一种基于微隔离的安全预警系统及方法，能够提高威胁检测的准确性。
6.第一方面，本发明实施例提供了一种基于微隔离的安全预警系统，包括：策略控制中心以及安装在宿主机上的策略执行点和多个影子执行点；所述影子执行点是基于所述策略执行点虚拟得出的；
7.所述策略执行点和每一个所述影子执行点，分别用于基于访问主体对资源的访问请求，采集所述访问主体的身份验证因素和所述宿主机的安全等级，并将各自的采集结果发送给所述策略控制中心；不同执行点发送的采集结果不完全相同；
8.所述策略控制中心，用于接收各执行点分别发送的采集结果，并对各采集结果进行综合判定得到用于表征所述访问主体的综合验证因素和所述宿主机的真实安全等级；根据所述宿主机的真实安全等级调整安全策略，基于调整的安全策略对所述综合验证因素进行信任评估，以决定是否授予所述访问主体对资源的访问权限，将决定结果发送至所述策略执行点，由所述策略执行点根据所述决定结果确定是否建立所述访问主体对资源的访问连接。
9.优选地，各执行点的状态不同；执行点的状态由形成执行点的架构层中所包括组件单元的内容来表征；形成执行点的架构层包括数据层、软件层、资源层和网络层；每一个架构层包括多个组建单元。
10.优选地，各影子执行点的状态是利用随机矩阵与由所述策略执行点生成的状态矩阵相乘之后得出的；
11.所述状态矩阵包括：4
×
n个元素，第(i,j)位置上的元素用于表征第i个架构层中第j个组建单元的内容，i取值为[1,4]中的整数，j取值为[1,n]中的整数；n为各架构层中包
括组建单元的数量中的最大数量；若第i个架构层所对应组建单元的数量小于n，则以空元素进行扩充。
[0012]
优选地，所述身份验证因素包括：知识因素、占有因素、固有因素和隐形属性中的至少两个。
[0013]
优选地，所述策略控制中心，具体用于对各执行点采集所述访问主体的身份验证因素进行合并，将合并后的身份验证因素确定为所述综合验证因素。
[0014]
优选地，所述策略执行点接收所述访问主体对资源的访问请求，并将所述访问请求发送至每一个所述影子执行点。
[0015]
优选地，所述策略执行点和每一个所述影子执行点分别接收所述访问主体对资源的访问请求。
[0016]
优选地，所述执行点为agent插件。
[0017]
第二方面，本发明实施例提供了一种基于微隔离的安全预警方法，应用于安全预警系统中的策略控制中心，所述系统还包括：安装在宿主机上的策略执行点和多个影子执行点；所述影子执行点是基于所述策略执行点虚拟得出的；所述方法包括：
[0018]
接收各执行点分别发送的采集结果；所述采集结果包括：所述访问主体的身份验证因素和所述宿主机的安全等级；不同执行点发送的采集结果不完全相同；
[0019]
对各采集结果进行综合判定得到用于表征所述访问主体的综合验证因素和所述宿主机的真实安全等级；
[0020]
根据所述宿主机的真实安全等级调整安全策略，基于调整的安全策略对所述综合验证因素进行信任评估，以决定是否授予所述访问主体对资源的访问权限；将决定结果发送至所述策略执行点，由所述策略执行点根据所述决定结果确定是否建立所述访问主体对资源的访问连接。
[0021]
第三方面，本发明实施例提供了一种策略控制中心，包括：存储器和处理器，所述存储器中存储有计算机程序，所述处理器执行所述计算机程序时，实现如前所述的方法。
[0022]
本发明实施例提供了一种基于微隔离的安全预警系统及方法，策略执行点是安装在宿主机上的，通过在宿主机上对策略执行点进行虚拟可以得出多个影子执行点，当访问主体对微隔离架构中的其它资源发起访问时，策略执行点和影子执行点分别进行信息采集，可以得到不完全相同的采集结果，将这些采集结果均发送至策略控制中心，策略控制中心可以对各采集结果进行综合判定，以此可以得出用于表征访问主体的综合验证因素和宿主机的真实安全等级，进而进行信任评估。可见，本方案中，由不同执行点独立的进行信息采集，采集结果不完全相同，使得采集结果更加完善，更能够表征真实结果，从而能够提高威胁检测的准确性。
附图说明
[0023]
为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0024]
图1是本发明一实施例提供的一种基于微隔离的安全预警系统结构图；
[0025]
图2是本发明一实施例提供的一种基于微隔离的安全预警方法流程图。
具体实施方式
[0026]
为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例，基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0027]
不同架构的主机在进行信息采集时的采集结果是不同的，这与主机的业务能力是有关的。比如，不同操作系统的主机所采集的信息是不完全相同的。在微隔离架构中，虽然采用零信任方式能够对访问主体进行身份验证进而实现预警，但是采集访问主体的身份验证因素是由单独的一个客户端执行的，因此在采集过程中存在采集信息不完善的问题，进而会影响身份验证结果。基于此，可以考虑实用多个客户端分别进行信息采集，以完善信息采集结果。
[0028]
下面描述以上构思的具体实现方式。
[0029]
请参考图1，本发明实施例提供了一种基于微隔离的安全预警系统，包括：策略控制中心10以及安装在宿主机上的策略执行点11和多个影子执行点12；所述影子执行点12是基于所述策略执行点11虚拟得出的；
[0030]
所述策略执行点11和每一个所述影子执行点12，分别用于基于访问主体对资源的访问请求，采集所述访问主体的身份验证因素和所述宿主机的安全等级，并将各自的采集结果发送给所述策略控制中心10；不同执行点发送的采集结果不完全相同；
[0031]
所述策略控制中心10，用于接收各执行点分别发送的采集结果，并对各采集结果进行综合判定得到用于表征所述访问主体的综合验证因素和所述宿主机的真实安全等级；根据所述宿主机的真实安全等级调整安全策略，基于调整的安全策略对所述综合验证因素进行信任评估，以决定是否授予所述访问主体对资源的访问权限，将决定结果发送至所述策略执行点11，由所述策略执行点11根据所述决定结果确定是否建立所述访问主体对资源的访问连接。
[0032]
本发明实施例中，宿主机可以是服务器主机、虚拟机或其它类似节点，该其它类似节点可以是docker、虚拟服务节点等。本发明实施例中，以宿主机为一台服务器的角度对方案进行描述。
[0033]
在宿主机上可以安装策略执行点(policy enforcement point,pep)，该策略执行点可以是安装在服务器上的agent插件。相应地，基于策略执行点虚拟得出的各影子执行点也是安装在服务器上的agent插件。
[0034]
策略执行点、多个影子执行点和策略控制中心构成新的微隔离架构。所谓微隔离，是一种更细粒度的网络隔离技术，主要面向虚拟化的数据中心，重点用于阻止攻击在进入企业数据中心网络内部后的横向(东西向)平移。在访问主体攻破内网某台服务器并向内网中其它服务器(资源)进行攻击时，通过微隔离架构采用零信任方式对访问主体进行身份验证，以决定是否授予访问主体对资源的访问权限。
[0035]
其中，策略控制中心可以包括：策略引擎(policy engine,pe)和策略管理器(policy administrator,pa)。由策略引擎和策略管理器共同实现策略控制中心的功能。策
略引擎和策略管理器可以部署在同一台设备上，也可以单独部署。
[0036]
为了保证不同执行点的采集结果不完全相同，本发明一个实施例中，各执行点的状态不同；执行点的状态由形成执行点的架构层中所包括组件单元的内容来表征；形成执行点的架构层包括数据层、软件层、资源层和网络层；每一个架构层包括多个组建单元。
[0037]
由于执行点的作用需要采集访问主体的身份验证因素和和宿主机的安全等级，这些采集信息影响最终的评估结果，而评估结果关乎资源安全，因此，执行点的状态通过数据层、软件层、资源层和网络层的内容来表征。其中，数据层可以包括数据库管理系统、数据库和数据中的至少一个组建单元；软件层包括软件程序指令序列、指令格式和内部数据结构布局中的至少一个组建单元；资源层包括操作系统、存储系统和虚拟机实例中的至少一个组建单元；网络层包括协议、地址和端口中的至少一个组建单元。各组建单元的内容形成执行点的状态。
[0038]
本发明实施例中，各执行点的状态不同，则其进行信息采集时的业务能力也就不同，从而采集得到不同的采集结果，使得采集结果更加完善，更能够表征真实状态，在提高信任评估结果的基础上，进而提高威胁检测的准确性。
[0039]
进一步地，当执行点之间的状态异构性越大时，采集结果的异构性也就会越大。本发明一个实施例中，各影子执行点的状态是利用随机矩阵与由所述策略执行点生成的状态矩阵相乘之后得出的；所述状态矩阵包括：4
×
n个元素，第(i,j)位置上的元素用于表征第i个架构层中第j个组建单元的内容，i取值为[1,4]中的整数，j取值为[1,n]中的整数；n为各架构层中包括组建单元的数量中的最大数量；若第i个架构层所对应组建单元的数量小于n，则以空元素进行扩充。其中，随机矩阵包括1
×
m个元素，m为影子执行点的数量；且随机矩阵中的元素值互不相同。
[0040]
状态矩阵t可以表征为如下内容：
[0041][0042]
其中，x
mn
为第m个架构层的第n个组建单元的内容。
[0043]
本发明实施例中，影子执行点可以与策略执行点一同对外暴漏，也可以是影子执行点不对外暴漏。
[0044]
当影子执行点与策略执行点一同对外暴漏时，影子执行点与策略执行点分别对应不同的ip地址，访问主体对资源发起访问请求，策略执行点和每一个所述影子执行点分别接收所述访问主体对资源的访问请求。
[0045]
当影子执行点不对外暴漏时，访问主体对资源发起访问请求，策略执行点接收所述访问主体对资源的访问请求，并将所述访问请求发送至每一个所述影子执行点。
[0046]
执行点在对外暴漏时，容易被攻击，使得执行点无法采集到有效信息。而影子执行点和策略执行点的功能相同，因此被全部击破的概率较小，从而可以保证采集结果的有效性。另外，当影子执行点不对外暴漏时，可以更容易避开攻击，从而保证策略控制中心接收到的采集结果的有效性。
[0047]
本发明一个实施例中，在执行点采集访问主体的身份验证因素时，该身份验证因
素可以包括：知识因素、占有因素、固有因素和隐形属性中的至少两个。其中，知识因素为访问主体所知道的因素，包括但不限于密码、pin、收尸。占有因素为访问主体所拥有的因素，包括但不限于证书、软件、硬件口令。固有因素为访问主体的特征，包括但不限于生物因素(比如指纹、五官、声音)、行为因素(比如打字速度、使用鼠标的习惯)。隐形属性可以包括但不限于地理位置、设备特征等。
[0048]
其中，固有因素和隐形属性在信息采集时基于不同状态的执行点可以采集到不完全相同的采集结果。
[0049]
需要说明的是，访问主体是用户、设备、应用程序的组合。
[0050]
相应地，策略控制中心在对各采集结果进行综合判定得到用于表征所述访问主体的综合验证因素时，具体包括：对各执行点采集所述访问主体的身份验证因素进行合并，将合并后的身份验证因素确定为所述综合验证因素。
[0051]
合并方式可以为取并集，将取并集后的身份验证因素作为综合验证因素；该合并方式也可以是利用被采集的重复次数，将重复次数最多的设定数量的身份验证因素，确定为综合验证因素。
[0052]
进一步地，执行点除采集访问主体的身份验证因素以外，还需要采集宿主机的安全等级。由于访问主体已经是在攻入宿主机之后，将宿主机作为跳板，对与宿主机同属内部网络的东西向资源发起访问，因此，需要基于宿主机的安全等级来确定宿主机是否被访问主体击破，或者确定宿主机的安全程度，来综合判定访问主体对资源进行访问是否安全。
[0053]
同理，执行点在采集宿主机的安全等级时，由于状态不同，采集的用于判定宿主机安全等级的安全数据也不同，因此，可能会得到不同的安全级别。
[0054]
相应地，策略控制中心在对各采集结果进行综合判定得到宿主机的真实安全等级时，具体包括：将统计各采集结果中的安全等级，将最多数量的安全等级确定为宿主机的真实安全等级。
[0055]
宿主机对应不同真实安全等级时，需要使用不同的安全策略进行信任评估，以保证信任评估结果的准确性和资源的安全性。可见，策略控制中心可以主动的动态调整安全策略，提高检测准确性。
[0056]
相应于上述系统实施例，请参考图2，本发明实施例还提供了一种基于微隔离的安全预警方法，应用于上述安全预警系统中的策略控制中心，所述系统还包括：安装在宿主机上的策略执行点和多个影子执行点；所述影子执行点是基于所述策略执行点虚拟得出的；所述方法包括：
[0057]
步骤200，接收各执行点分别发送的采集结果；所述采集结果包括：所述访问主体的身份验证因素和所述宿主机的安全等级；不同执行点发送的采集结果不完全相同；
[0058]
步骤202，对各采集结果进行综合判定得到用于表征所述访问主体的综合验证因素和所述宿主机的真实安全等级；
[0059]
步骤204，根据所述宿主机的真实安全等级调整安全策略，基于调整的安全策略对所述综合验证因素进行信任评估，以决定是否授予所述访问主体对资源的访问权限；将决定结果发送至所述策略执行点，由所述策略执行点根据所述决定结果确定是否建立所述访问主体对资源的访问连接。
[0060]
本实施例中的方案与上述系统可以相互对应参照。
[0061]
相应于上述方法实施例，本发明实施例还提供了一种策略控制中心，包括：存储器和处理器，所述存储器中存储有计算机程序，所述处理器执行所述计算机程序时，实现如前所述的方法。
[0062]
相应于上述方法实施例，本发明实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序在被处理器执行时，使所述处理器执行本发明任一实施例中的一种拟态数量调整方法。
[0063]
具体地，可以提供配有存储介质的系统或者装置，在该存储介质上存储着实现上述实施例中任一实施例的功能的软件程序代码，且使该系统或者装置的计算机(或cpu或mpu)读出并执行存储在存储介质中的程序代码。
[0064]
在这种情况下，从存储介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能，因此程序代码和存储程序代码的存储介质构成了本发明的一部分。
[0065]
用于提供程序代码的存储介质实施例包括软盘、硬盘、磁光盘、光盘(如cd-rom、cd-r、cd-rw、dvd-rom、dvd-ram、dvd-rw、dvd rw)、磁带、非易失性存储卡和rom。可选择地，可以由通信网络从服务器计算机上下载程序代码。
[0066]
此外，应该清楚的是，不仅可以通过执行计算机所读出的程序代码，而且可以通过基于程序代码的指令使计算机上操作的操作系统等来完成部分或者全部的实际操作，从而实现上述实施例中任意一项实施例的功能。
[0067]
此外，可以理解的是，将由存储介质读出的程序代码写到插入计算机内的扩展板中所设置的存储器中或者写到与计算机相连接的扩展模块中设置的存储器中，随后基于程序代码的指令使安装在扩展板或者扩展模块上的cpu等来执行部分和全部实际操作，从而实现上述实施例中任一实施例的功能。
[0068]
需要说明的是，在本文中，诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
…”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。
[0069]
本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储在计算机可读取的存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：rom、ram、磁碟或者光盘等各种可以存储程序代码的介质中。
[0070]
最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。