[发明专利]基于服务链的状态机完整性验证系统及方法

说明书

本发明公开了一种基于服务链的状态机完整性验证系统及方法，该技术方案包括：服务链生成模块对接入的请求数据包进行特征模板提取，根据得到特征及请求数据包的业务行为，生成对应的服务链；然后防火云访问检测与过滤模块构建服务链对应的状态机，根据状态机对服务链进行实时检测，以及，对请求数据包的请求访问进行过滤；其中，通过类脑计算模块为服务链生成及防火云访问检测与过滤提供算力支持。本发明的有益效果为：将用户操作行为转化为服务链状态机来进行完整性检测，可以实现双向检测，全面检测，能够对海量用户复杂行为级操作进行完整性验证。

技术领域

本发明涉及计算机安全领域，特别涉及一种基于服务链的状态机完整性验证系统及方法。

背景技术

随着计算机与网络技术的不断发展，国内外信息化进程迅速发展，电子商务、电子商务、大中型企业信息系统的应用已经逐渐广泛化和复杂化。伴随着信息化网络系统应用带来的信息方便快捷的同时，信息的安全问题成为应用发展面临的主要问题。

目前市面的网关型安全产品例如防火墙、隔离网闸、安全网关等产品主要根据数据包的源目的的MAC地址、IP地址、端口、协议等进行链路层、传输层、网络层的过滤，在应用层方面基本是使用代理的方式过滤黑名单。然而这些数据包信息容易被不法分子通过伪装数据包的方式绕过，以此达到攻击的目的。现有方法能够起到一定的安全访问控制效果，但仍然面临合法用户的抵赖行为，不具有抗否认性，无法阻止内部主动发起连接的攻击，以及可能的绕过防护机制的入侵。而用户的行为，特别是用户复杂行为级操作的安全管理与控制在业务量大，业务数据机密性高、业务流量大和实时性要求高的系统中具有重要作用，如银行系统、公安出入境系统等。

但是，现有防火墙不能抵抗最新的未设置策略的攻击漏洞，防火墙的并发连接数限制容易导致拥塞或者溢出，无法从用户身份、角色权限、应用类型、传输内容等多维度对网络行为开展正常业务模式库的符合性计算识别。并且，现有防火墙对服务器合法开放的端口的攻击大多无法阻止。再者，现有防火墙对待内部主动发起连接的攻击一般无法阻止。此外，现有防火墙本身也会出现问题和受到攻击，依然有着漏洞，且基于本机承载的传统防火墙无法在大规模连接的情况下提供足够的算力及存储空间支持。

因此，有需要设计一种能够对海量用户复杂行为级操作进行完整性验证，保证保证业务系统在海量用户并行访问时的安全性、稳定性和高效性。

发明内容

本发明旨在至少解决现有技术中存在的技术问题之一。为此，本发明提出一种基于服务链的状态机完整性验证系统及方法，实现了对海量用户复杂行为级操作进行完整性验证。

本发明的技术方案包括一种基于服务链的状态机完整性验证系统，其特征在于，包括：服务链生成模块，对接入的请求数据包进行特征模板提取，根据得到特征及所述请求数据包的业务行为，生成对应的服务链；防火云访问检测与过滤模块，构建所述服务链对应的状态机，根据所述状态机对所述服务链进行实时检测，以及，对所述请求数据包的请求访问进行过滤；所述防火云为基于类脑计算平台的支撑，集成了恶意代码、入侵等双向检测的智能型应用防火墙云平台。类脑计算模块，为所述服务链生成模块及所述防火云访问检测与过滤模块提供算力支持。

根据所述的基于服务链的状态机完整性验证系统，其中的所述服务链生成模块包括：对包括有单个行为的请求数据包进行特征模版提取，使用正则表达式匹配，通过会话确认业务行为之间的顺序，并组成对应的所述服务链。

根据所述的基于服务链的状态机完整性验证系统，其中的防火云访问检测与过滤模块包括特征生成单元及特征对比单元，所述特征生成单元用于对业务系统的多个用户行为进行归类抽象，并生成特征，进而对经过的数据包与抽象特征进行比对，对符合所述抽象特征的数据包放行，对不符合所述抽象特征的数据包进行禁止或牵引处理；所述特征对比单元用于读取数据包的报文间最长公共子序列，对报文进行分组，划分出不同部分，不同部分分别构造正则表达式生成局部特征，再按顺序合并相同部分和局部特征，得到报文特征。