[发明专利]支持强制访问控制的全双工防火墙防护方法

权利要求书

1.一种支持强制访问控制的全双工防火墙方法，其特征在于，所述方法包括以下步骤：

S1、全双工防火墙以分布式节点网络形态存在的入侵检测系统；

S2、全双工防火墙基于差异化角色权限的业务操作流，塑造“请求操作链、服务响应树”形态存在的内生安全机理规则；

S3、全双工防火墙在边界环境和计算环境的层次上，支持全尺度解析下的请求操作检测，完成完整性保护；

S4、面向等级化定义的信息资产和系统服务，开展一致性响应检测，完成机密性保护；其包括如下子步骤：

4-1、身份来源检测，在服务器系统针对用户的请求行为做出响应时，防火墙核对其使用的响应链路与请求链路，并将核对结果提交到检测异常报警模块；

4-2、响应资源匹配，针对用户发起的对某种资源的操作请求，防火墙解析出访问控制列表中的角色权限，并根据当前染色策略表对资源权限进行验证，若该请求资源所对应的操作等级比用户的操作等级低或与用户的操作等级相同，则允许用户对资源执行请求的操作；如果该请求资源所对应的操作等级比用户的操作等级高，则表明用户不具备操作该资源的权限，防火墙将拒绝用户所请求的操作；最后，将匹配结果提交到检测异常报警模块；

4-3、检测异常报警，身份来源检测模块与响应资源匹配模块将检测/匹配结果提交至该模块；若身份来源检测模块检测到请求链路与响应链路比对结果不一致，或是响应资源匹配模块提交的结果显示用户权限低于资源权限，则表明存在异常，从而在该模块触发报警；

S5、通过SDN支持对正常/异常网络流量的调度管控，以及对可疑流量实施诱导引流至蜜网陷阱，并形成工作流痕迹下的业务审计取证；其包括如下子步骤：

5-1、全双工防火墙基于SDN对网络数据流按照预先制定的规则进行检查然后由指定数据流的传输路径以及流的处理策略，通过集中性管控的方式，对请求数据流入和响应数据流出进行控制，保证合法数据流的顺畅流动，并丢弃非法数据；

5-2、全双工防火墙对所有请求响应行为进行检测，完整的记录下全部流量数据和检测结果数据，从而生成业务应用的行为审计内容；并提供安全审计事件分析的功能，对审计数据进行实时分析和阶段性统计分析，从大量数据中发现用户异常行为数据，并且对历史日志进行统计分析，得出网络安全状况数据，发现某时间段潜在的安全威胁；审计分析器采用多种算法相结合，实现对审计日志高效分析；

5-3、搭建支持网络与系统高仿真复现、用户行为复制、资源自动配置与释放、环境安全隔离与受控交换的余度蜜网，诱捕病态行为，将可疑行为侧引至余度蜜网，支持对其进行潜在病态倾向研判、先验黑色特征挖掘，构筑异常行为模式数据库。

2.根据权利要求1所述的支持强制访问控制的全双工防火墙方法，其特征在于，所述步骤S1包含如下子步骤：

1-1、部署在边界域环境中的全双工防火墙既负责业务应用的完整性保护，又负责信息数据的机密性保护；

1-2、部署在边界域环境中的全双工防火墙通过SDN技术对计算环境实施强制访问控制，达到四级等保要求。

3.根据权利要求1所述的支持强制访问控制的全双工防火墙方法，其特征在于，所述步骤S2包含如下子步骤：

2-1、基于安全控制要求对受保护网络系统开展细粒度多维度的安全基线定义，形成业务作业流和作业操作流；

2-2、离线环境下覆盖性测试“净化”的受保护网络系统，生成正常业务模式的表征化数据，以机器学习的方式实施数据驱动的训练建模，智能化构筑“请求操作链、服务响应树”形态存在的正常业务模式库。

4.根据权利要求1所述的支持强制访问控制的全双工防火墙方法，其特征在于步骤S3包含如下子步骤：

3-1、捕获待检测的请求操作行为，面向身份权限、域名端口、报文协议和数据流量要素，开展主被动相结合的一致性请求检测；

3-2、对请求操作链实施流水串行计算，各操作节点间顺序检测，一旦发现异常，立刻停止检测，并锁死此行为，否则继续递交下一节点检测，直至完成整个链式比对，如若属于正常的操作链，需查询该请求行为对应的服务响应模式，并将此服务响应模式作为服务响应链检测模块的匹配基准。