[发明专利]一种积极防御系统中的智能自学习白名单方法和系统

说明书

本发明涉及一种积极防御系统中的智能自学习白名单方法和系统。该智能自学习白名单方法包括：获取用户发出的用于访问业务系统的业务数据；获取正常业务数据特征库；根据所述正常数据特征库中的正常业务数据特征生成智能自学习白名单，依据所述智能自学习白名单确定所述业务数据是否属于正常数据。本发明提供的积极防御系统中的智能自学习白名单方法和系统，通过学习用户对被保护业务系统的正常业务流量的数据信息，生成智能自学习白名单，不但解决了复杂业务系统和大数据量的误报问题，而且能够极大提升被保护业务系统的访问安全性，将本发明方便快捷应用于各个领域，使得安全防御技术得到巨大提升。

技术领域

本发明涉及网络安全技术领域，特别是涉及一种积极防御系统中的智能自学习白名单方法和系统。

背景技术

业务系统可能遭受的安全威胁主要有：恶意扫描、黑客攻击、恶意代码攻击、中间人攻击、僵尸网络等。另外，很多业务系统上线运行很长时间后，业务系统自身存在逻辑问题、代码问题、BUG等系列缺陷，造成业务系统的缺陷容易被恶意利用。

据统计，大部分的网络攻击行为都来自于应用层面，大部分企业部署了入侵检测系统、网络防火墙、网络防病毒等网络安全防护系统。其中，防火墙技术多采用黑名单机制对有安全威胁的访问进行限制，但是黑名单的数据量较大，并且白名单中的客户端发生任何危险行为都会被列入黑名单，导致黑名单机制不可控，拦截不够准确。

随着对安全等级要求的提升，对于受保护业务系统，白名单检测技术能起到更好的防御效果。白名单通常是预先存储，判断客户端和被保护业务系统之间的连接是否符合白名单，符合则通过，不符合则阻断并报警。

现有安全防护技术存在如下几个问题：

1、实际应用中，在复杂业务系统和大数据量时精度和效率都难以满足需求，误报严重。

2、传统的网络安全技术大多采用一次安全认证，认证通过后即长期授予权限。攻击者可以通过冒用合法用户身份的方式侵入系统，从而导致安全等级降低或安全机制失效。

3、若将客户端访问被保护业务系统的所有业务数据进行多重安全检测，会大量占用防御系统的资源。

发明内容

为解决现有技术中存在的上述问题，本发明提供了一种积极防御系统中的智能自学习白名单方法和系统。

为实现上述目的，本发明提供了如下方案：

一种积极防御系统中的智能自学习白名单方法，包括：

获取用户发出的用于访问业务系统的访问请求，生成所述用户的身份信息；所述身份信息为访问客户端的多元组特征值；所述多元组特征值包括：源IP地址、源端口、目的IP地址、协议号和目的端口；

获取正常业务数据特征库；所述正常业务数据特征库为基于白名单学习模型构建的数据库；

根据所述正常数据特征库中的正常业务数据特征生成智能自学习白名单，依据所述智能自学习白名单确定所述业务数据是否属于正常数据；所述正常业务数据是指对被保护业务系统进行正常流量的数据信息。

优选地，所述正常业务数据特征库的构建过程为：

获取用户历史访问业务系统的正常业务数据；

根据多元组特征值对所述正常业务数据创建会话，并对所述会话处理得到处理后的会话；所述处理包括筛选和分类；

获取白样本学习模型；

将所述处理后的会话输入所述白样本学习模型中得到正常业务数据特征，并将所述正常业务数据特征进行存储，得到正常数据特征库。

优选地，对所述会话处理得到处理后的会话，具体包括：

对所述会话进行筛选得到正常业务数据；