[发明专利]一种零信任网络的构建方法

权利要求书

1.本发明提供了一种零信任网络的构建方法，其特征在于：承载软件定义网络的服务器采集用户访问网络内部的资源信息，对采集的信息根据访问请求中携带的用户的唯一标识码对用户的访问行为进行特征化，将获得的所述用户访问行为特征数据输入训练好的用户画像模型中进行智能计算，获得该用户访问行为特征的安全特征值，然后根据用户的唯一识别码从用户画像中心提取该用户历史访问安全特征值，与当前安全特征值进行平滑运算，获得加权的安全特征值，并将该加权的安全特征值与被访问资源的安全访问门限进行比较，以获得资源的访问权限；

零信任网络构建装置适用于SDN的控制层，在SDN控制层，零信任网络构建装置主要由用户访问行为采集模块，用户画像模型构建模块，用户画像中心，资源管理模块和控制模块构成，其中用户访问行为采集模块与用户画像模型构建模块相连，用户画像中心分别与用户画像模型构建模块、资源管理模块和控制模块相连，控制模块通过Openflow标准定义接口与SDN网络数据层相连。

2.根据权利要求1所述的一种零信任网络的构建方法，其特征在于：其中用户访问行为采集模块采集每一个用户的每一次资源访问请求携带的请求信息，包括但不限于用户的唯一识别码，源IP地址，目的IP地址，访问的终端类型，访问的方式等，从访问请求中获得信息进行特征化，形成特征数据，特征数据中包含了本发明所述系统的全部用户行为，任何不在特征数据范围内的用户行为都将被禁止或有限访问，特征数据集合的大小可根据系统的安全控制能力进行删减，其中特征数据表如下所示；

3.根据权利要求2所述的一种零信任网络的构建方法，其特征在于：经过特征化处理后，用户的任何访问行为都可认为来自特征数据中某个特征或某些特征的组合，用户画像模型构建模块，采集的用户访问资源行为特征数据中的不同特征一般具有不同的数据类型，对于不同的数据类型的特征，需对其进行预处理，便于用户画像模型构建模块的处理，对于类别型的特征数据，比如：登录方式，登录设备，IP地址等，采用独热编码方式对其进行量化处理，将不同特征映射至矩阵空间，获得特征对应唯一的向量，对于文本类型的特征数据，采用词袋模型进行处理，获得相应的处理结果，对于值连续分布类型的特征数据，将采用量化的方式获得易于处理的数值。

4.根据权利要求3所述的一种零信任网络的构建方法，其特征在于：用户资源访问行为一般是某种或某几种特征的组合，在构建用户画像模型时，首先根据一般系统安全的需求进行预定义用户安全访问行为特征组合以及所述安全行为特征组合的安全特征值，比如：L+S预设为安全访问行为特征组合，特征值为0.9；同时预定义用户的非法访问行为特征组合以及所述该用户的非法访问特征组合的安全特征值，比如：I+P+R预设为非法访问行为特征组合，特征值为0.1,预设特征组合越多，本系统经过深度学习后，对安全及非法访问的分类越精确。

5.根据权利要求4所述的一种零信任网络的构建方法，其特征在于：以上述预设访问行为特征数据为基础，对用户画像模型构建模块中的核心XGBoost方法模型进行训练，XGBoost方法模型训练完成后，用于对新用户访问行为进行安全特征值的智能计算，获得最近的所述用户访问行为的安全特征值在训练量不是很大的情况下，计算的特征值可能会存在不理想的情况，故需要对其根据历史记录的安全特征值进行平滑运算，以获得更可靠的计算结果，

其中，是用户u_i第j次访问行为的平滑后的安全特征值，α为平滑因子，根据系统经验进行预先设定，是用户u_i第j-1次访问行为的安全特征值；用户的第j-1次访问行为的安全特征值在用户画像中心中进行根据用户的唯一识别码进行搜索，若用户画像中心中存在所述用户的访问行为的安全特征值，则按上述公式计算平滑的安全特征值，否则，认为用户的访问行为为初次访问，在计算时，可将设置为0。