[发明专利]一种零信任网络的构建方法

说明书

一种零信任网络的构建方法，承载软件定义网络的服务器采集用户访问网络内部的资源信息，对采集的信息根据访问请求中携带的用户的唯一标识码对用户的访问行为进行特征化，承载SDN网络控制平面的服务器接收用户的访问请求，根据资源访问请求的信息进行用户访问行为特征化处理，将特征数据预处理后，输入用户画像模型构建模块计算所述用户访问行为的安全特征值，然后将所述安全特征值与被访问资源的安全门限值进行比较，如果高于则建立访问数据层的连接，否则，控制层通过丢包处理来舍弃该连接；可有效预防SDN网络中来自内部或者外部的异常访问攻击行为，避免系统遭受重要损失，具有较高的现实意义。

技术领域

本发明涉及互联网技术领域，更具体地说，本发明涉及一种零信任网络的构建方法。

背景技术

随着越来越多的企业将数据与应用部署在云端，与此同时，以内外网为划分的安全边界变得模糊。将企业应用数据置于虚拟专用网中，并通过防火墙进行保护的模式现已难以为继。采用边界为中心的安全策略所依赖的是内部网络上一切都是可以信任的，然而这种假设已经不再是安全的。零信任安全模型假设攻击者可能出现在企业内部网络，企业内部网络基础设施与其它外部网络一样，面临同样的安全威胁，也容易受到攻击破坏，并不具有更高的可信度。

因此针对来自网络内的用户通过合法途径非法访问网络资源导致的安全问题，需要设计一套方案，区分安全访问行为与异常访问的目的，可有效预防来自内部或者外部的安全攻击行为，最终提升零信任网络或系统的安全性和可靠性，以解决上述提到的安全问题。

发明内容

为了克服现有技术的上述缺陷，本发明的实施例提供一种零信任网络的构建方法，通过需要设计一套方法来避免这些问题，以达到区分安全访问行为与异常访问的目的，可有效预防来自内部或者外部的安全攻击行为，最终提升零信任网络或系统的安全性和可靠性，以解决上述背景技术中提出的问题。

为实现上述目的，本发明提供如下技术方案：承载软件定义网络的服务器采集用户访问网络内部的资源信息，对采集的信息根据访问请求中携带的用户的唯一标识码对用户的访问行为进行特征化，将获得的所述用户访问行为特征数据输入训练好的用户画像模型中进行智能计算，获得该用户访问行为特征的安全特征值，然后根据用户的唯一识别码从用户画像中心提取该用户历史访问安全特征值，与当前安全特征值进行平滑运算，获得加权的安全特征值，并将该加权的安全特征值与被访问资源的安全访问门限进行比较，以获得资源的访问权限；

零信任网络构建装置适用于SDN的控制层，在SDN控制层，零信任网络构建装置主要由用户访问行为采集模块，用户画像模型构建模块，用户画像中心，资源管理模块和控制模块构成，其中用户访问行为采集模块与用户画像模型构建模块相连，用户画像中心分别与用户画像模型构建模块、资源管理模块和控制模块相连，控制模块通过Openflow标准定义接口与SDN网络数据层相连。

在一个优选地实施方式中，其中用户访问行为采集模块采集每一个用户的每一次资源访问请求携带的请求信息，包括但不限于用户的唯一识别码，源IP地址，目的IP地址，访问的终端类型，访问的方式等，从访问请求中获得信息进行特征化，形成特征数据，特征数据中包含了本发明所述系统的全部用户行为，任何不在特征数据范围内的用户行为都将被禁止或有限访问，特征数据集合的大小可根据系统的安全控制能力进行删减，其中特征数据表如下所示；

在一个优选地实施方式中，经过特征化处理后，用户的任何访问行为都可认为来自特征数据中某个特征或某些特征的组合，用户画像模型构建模块，采集的用户访问资源行为特征数据中的不同特征一般具有不同的数据类型，对于不同的数据类型的特征，需对其进行预处理，便于用户画像模型构建模块的处理，对于类别型的特征数据，比如：登录方式，登录设备，IP地址等，采用独热编码方式对其进行量化处理，将不同特征映射至矩阵空间，获得特征对应唯一的向量，对于文本类型的特征数据，采用词袋模型进行处理，获得相应的处理结果，对于值连续分布类型的特征数据，将采用量化的方式获得易于处理的数值。