[发明专利]内网用户行为度量方法及基于零信任的网络访问控制方法

说明书

本发明属于网络安全技术领域，特别涉及一种内网用户行为度量方法及基于零信任的网络访问控制方法，度量过程中：对用户信任值度量指标划分若干等级区间，并设置相应数目的标准正态信任云；设定滑动窗口和滑动窗口时间周期，依据用户行为数据采集滑动窗口内数个时间周期度量指标实际值；将每一个度量指标进行分级并标准化；设置多个度量指标正态信任子云，结合度量指标正态信任子云获取度量指标实际正态信任云；依据实际正态信任云与标准正态信任云的相似度，得到所度量用户行为的信任等级。本发明引入零信任对用户在网络中的行为周期性持续监测，提升网络主动防护性能，便于实际场景应用，具有较好的应用前景。

技术领域

本发明属于网络安全技术领域，特别涉及一种网络用户行为信任值度量方法及基于零信任的网络访问控制方法。

背景技术

随着计算机网络的高速发展，网络攻击行为能够不受地域、边界以及国家管辖权的限制迅速地在全球蔓延，局部、本地、区域性的网络访问控制体系不具备应对和处置全球化、规模化的网络攻击的能力。信息系统在企业内部的使用越来越广泛和普遍，内部攻击行为具有很强的伪装性，这使得检测结果具有不确定性，对内网用户行为的度量具有较大难度。来自内部恶意人员的网络威胁成为很多政府、企业和组织面临的重要难题，内部威胁带来的损失往往比普通外部攻击更大，传统内网访问控制面临网络逐渐僵化、发展受到瓶颈、控制分布等问题，使互联网可持续发展问题日益严峻。单纯依赖带宽的扩容已经难以满足传统网络技术面临的难题，需对未来网络创新性网络体系结构的研究探索。近年来提出了一种新兴的网络架构软件定义网络(Software Defined Network，SDN)，SDN作为未来网络结构的创新性项目代表，引起了业界的广泛讨论与关注，并得到了高度的认可。SDN网络技术框架由数据转发、网络控制和服务应用等三层构成，其中负责三层间通信的南向接口、北向接口、东/西向接口。东/西接口实现不同SDN控制器的通信。南向接口负责控制器与底层数据处理层的通信，北向接口实现网络应用与控制器的通信。对于顶层应用程序开发者而言，SDN通过应用程序接口真正实现网络可编程。在该层可以使用基于REST的编程接口实现应用开发；这样的技术架构相对传统网络向公众开放了网络控制转发功能，从而使得网络控制变为可编程的模式，为SDN网络实施灵活、细粒度的网络存取控制提供了条件。

SDN作为新型网络结构，相比于传统网络，SDN网络将控制功能与数据转发功能分离，能更为灵活的控制网络流量。SDN网络体系结构主要由应用层、控制层、基础设施层组成。其中控制层是SDN网络最为核心的部分，主要由软件或硬件形式组成的控制器构成，控制器通过南向接口获取底层物理转发设备的信息，并指挥底层设备完成各种数据转发任务，同时向上通过北向接口为应用提供开放的编程接口。控制器的重要性使得其成为DDoS攻击的重点目标，若控制器受到攻击，极易造成单点失效，将导致SDN网络无法正常执行数据传输、策略更新等功能。因此，针对SDN网络控制层DDoS攻击防御的研究具有重大意义。目前针对SDN网络控制层面的DDoS攻击防御主要集中于利用路由动态更新策略实现对攻击流的负载均衡，以减少对网络的不良影响，存在整体防御效果不佳等问题。SDN的网络安全是其大范围应用推广的前提，而网络访问控制机制是当今保护网络安全的一个重要手段，利用SDN集中控制的优势，通过网络切片划分方法，基于针对不同应用场景服务质量需求的网络资源弹性控制机制、基于角色和切片等技术虽然为SDN网络资源存取控制提供了支撑，但避免不了已认证用户实施的隐蔽攻击行为。

发明内容

为此，本发明提供一种网络用户行为信任值度量方法及基于零信任的网络访问控制方法，引入零信任概念并采取“从不信任并始终验证”的访问控制策略，对用户在网络中的行为周期性持续监测，以提升SDN网络主动防护性能。

按照本发明所提供的设计方案，一种网络用户行为信任值度量方法，包含如下内容：