基于服务链的状态机完整性验证系统及方法技术方案

本发明专利技术公开了一种基于服务链的状态机完整性验证系统及方法，该技术方案包括：服务链生成模块对接入的请求数据包进行特征模板提取，根据得到特征及请求数据包的业务行为，生成对应的服务链；然后防火云访问检测与过滤模块构建服务链对应的状态机，根据状态机对服务链进行实时检测，以及，对请求数据包的请求访问进行过滤；其中，通过类脑计算模块为服务链生成及防火云访问检测与过滤提供算力支持。本发明专利技术的有益效果为：将用户操作行为转化为服务链状态机来进行完整性检测，可以实现双向检测，全面检测，能够对海量用户复杂行为级操作进行完整性验证。进行完整性验证。进行完整性验证。

【技术实现步骤摘要】
基于服务链的状态机完整性验证系统及方法


[0001]本专利技术涉及计算机安全领域，特别涉及一种基于服务链的状态机完整性验证系统及方法。

技术介绍

[0002]随着计算机与网络技术的不断发展，国内外信息化进程迅速发展，电子商务、电子商务、大中型企业信息系统的应用已经逐渐广泛化和复杂化。伴随着信息化网络系统应用带来的信息方便快捷的同时，信息的安全问题成为应用发展面临的主要问题。
[0003]目前市面的网关型安全产品例如防火墙、隔离网闸、安全网关等产品主要根据数据包的源目的的MAC地址、IP地址、端口、协议等进行链路层、传输层、网络层的过滤，在应用层方面基本是使用代理的方式过滤黑名单。然而这些数据包信息容易被不法分子通过伪装数据包的方式绕过，以此达到攻击的目的。现有方法能够起到一定的安全访问控制效果，但仍然面临合法用户的抵赖行为，不具有抗否认性，无法阻止内部主动发起连接的攻击，以及可能的绕过防护机制的入侵。而用户的行为，特别是用户复杂行为级操作的安全管理与控制在业务量大，业务数据机密性高、业务流量大和实时性要求高的系统中具有重要作用，如银行系统、公安出入境系统等。
[0004]但是，现有防火墙不能抵抗最新的未设置策略的攻击漏洞，防火墙的并发连接数限制容易导致拥塞或者溢出，无法从用户身份、角色权限、应用类型、传输内容等多维度对网络行为开展正常业务模式库的符合性计算识别。并且，现有防火墙对服务器合法开放的端口的攻击大多无法阻止。再者，现有防火墙对待内部主动发起连接的攻击一般无法阻止。此外，现有防火墙本身也会出现问题和受到攻击，依然有着漏洞，且基于本机承载的传统防火墙无法在大规模连接的情况下提供足够的算力及存储空间支持。
[0005]因此，有需要设计一种能够对海量用户复杂行为级操作进行完整性验证，保证保证业务系统在海量用户并行访问时的安全性、稳定性和高效性。

技术实现思路

[0006]本专利技术旨在至少解决现有技术中存在的技术问题之一。为此，本专利技术提出一种基于服务链的状态机完整性验证系统及方法，实现了对海量用户复杂行为级操作进行完整性验证。
[0007]本专利技术的技术方案包括一种基于服务链的状态机完整性验证系统，其特征在于，包括：服务链生成模块，对接入的请求数据包进行特征模板提取，根据得到特征及所述请求数据包的业务行为，生成对应的服务链；防火云访问检测与过滤模块，构建所述服务链对应的状态机，根据所述状态机对所述服务链进行实时检测，以及，对所述请求数据包的请求访问进行过滤；所述防火云为基于类脑计算平台的支撑，集成了恶意代码、入侵等双向检测的智能型应用防火墙云平台。类脑计算模块，为所述服务链生成模块及所述防火云访问检测与过滤模块提供算力支持。
[0008]根据所述的基于服务链的状态机完整性验证系统，其中的所述服务链生成模块包括：对包括有单个行为的请求数据包进行特征模版提取，使用正则表达式匹配，通过会话确认业务行为之间的顺序，并组成对应的所述服务链。
[0009]根据所述的基于服务链的状态机完整性验证系统，其中的防火云访问检测与过滤模块包括特征生成单元及特征对比单元，所述特征生成单元用于对业务系统的多个用户行为进行归类抽象，并生成特征，进而对经过的数据包与抽象特征进行比对，对符合所述抽象特征的数据包放行，对不符合所述抽象特征的数据包进行禁止或牵引处理；所述特征对比单元用于读取数据包的报文间最长公共子序列，对报文进行分组，划分出不同部分，不同部分分别构造正则表达式生成局部特征，再按顺序合并相同部分和局部特征，得到报文特征。
[0010]根据所述的基于服务链的状态机完整性验证系统，其中的防火云访问检测与过滤模块还用于：根据所述业务系统的业务属性配置，筛选出放行的业务数据包，进而根据所述业务数据包对应的业务链及用户操作服务链的关联关系，同步检测所述业务数据包与数据流特征，只对满足条件的请求行为的对应业务数据包进行放行。
[0011]根据所述的基于服务链的状态机完整性验证系统，其中，所述特征生成单元具体用于：对数据包括进行检测，将所述数据包及其行为大数据平台进行分析，根据分析结果进行阻断或放行。
[0012]根据所述的基于服务链的状态机完整性验证系统，其中的防火云访问检测与过滤模块还包括基础状态机生成单元及实时状态机生成单元，所述基础状态机生成单元用于对所述业务系统的操作流程、工作逻辑过程、权限角色表及业务服务链的状态机进行生成，根据状态机及转换关系，生成行为状态转换序列，将所述行为状态转换序列作为行为安全基线；所述实时状态机单元用于根据登录的用户行为，得到对应所述用户行为的服务链，进而生成实时服务链，根据实时服务链生成状态转换序列；其中，服务链的每个状态及其转换条件构成一个状态机。
[0013]根据所述的基于服务链的状态机完整性验证系统，其中的防火云访问检测与过滤模块还用于：通过所述状态转换序列，与对应的用户行为的状态机与所述行为安全基线进行匹配，匹配通过则放行，否则拦截上报。
[0014]根据所述的基于服务链的状态机完整性验证系统，其中，所述防火云访问检测与过滤模块具体还用于：通过服务链状态机来构建所述服务链对应的状态机。
[0015]根据所述的基于服务链的状态机完整性验证系统，其中的类脑计算模块包括多个类脑神经计算单元、SDN全交换网络及弹性存储网络，用于为多个操作序列状态记录跟踪经过分析匹配构建成服务链提供计算力。
[0016]本专利技术的技术方案还包括一种基于服务链的状态机完整性验证方法，其特征在于，该方法包括：服务链生成，对接入的请求数据包进行特征模板提取，根据得到特征及所述请求数据包的业务行为，生成对应的服务链；防火云访问检测与过滤，构建所述服务链对应的状态机，根据所述状态机对所述服务链进行实时检测，以及，对所述请求数据包的请求访问进行过滤；其中，所述服务链生成模块及所述防火云访问检测与过滤通过类脑计算平台提供算力支持。
[0017]本专利技术的有益效果为：通过构建一种基于服务链的状态机完整性验证系统，将用户操作行为转化为服务链状态机来进行完整性检测，可以实现双向、全面检测，能够对海量
用户复杂行为级操作进行完整性验证。
附图说明
[0018]本专利技术的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解，其中：
[0019]图1所示为根据本专利技术实施方式的系统框图；
[0020]图2所示为根据本专利技术实施方式的状态机完整性验证示意图；
[0021]图3所示为根据本专利技术实施方式的基础状态机生成流程图；
[0022]图4所示为根据本专利技术实施方式的实时状态机生成流程图；
[0023]图5所示为根据本专利技术实施方式的类脑计算平台示意图。
具体实施方式
[0024]本专利技术的技术方案适用于以应用于电子交易系统如铁路客票系统，航空票务系统，电子政务与电子商务系统等大中型企业系统的用户操作进行安全访问控制。
[0025]下面详细描述本专利技术的实施例，所述实施例的示例本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于服务链的状态机完整性验证系统，其特征在于，包括：服务链生成模块，对接入的请求数据包进行特征提取，根据得到所述特征及所述请求数据包的业务行为，生成对应的服务链；防火云访问检测与过滤模块，构建所述服务链对应的状态机，根据所述状态机对所述服务链进行实时检测，以及，对所述请求数据包的请求访问进行过滤；所述防火云为基于类脑计算平台的支撑，集成了恶意代码、入侵等双向检测的智能型应用防火墙云平台。类脑计算模块，为所述服务链生成模块及所述防火云访问检测与过滤模块提供算力支持。2.根据权利要求1所述的基于服务链的状态机完整性验证系统，其特征在于，所述服务链生成模块用于：对包括有单个行为的请求数据包进行特征模版提取，使用正则表达式匹配，通过会话确认业务行为之间的顺序，并组成对应的所述服务链。3.根据权利要求1所述的基于服务链的状态机完整性验证系统，其特征在于，所述防火云访问检测与过滤模块包括特征生成单元及特征对比单元；所述特征生成单元用于对业务系统的多个用户行为进行归类抽象，并生成特征，进而对经过的数据包与抽象特征进行比对，对符合所述抽象特征的数据包放行，对不符合所述抽象特征的数据包进行禁止或牵引处理；所述特征对比单元用于读取数据包的报文间最长公共子序列，对报文进行分组，划分出不同部分，不同部分分别构造正则表达式生成局部特征，再按顺序合并相同部分和局部特征，得到报文特征。4.根据权利要求3所述的基于服务链的状态机完整性验证系统，其特征在于，所述防火云访问检测与过滤模块还用于：根据所述业务系统的业务属性配置，筛选出放行的业务数据包，进而根据所述业务数据包对应的业务链及用户操作服务链的关联关系，同步检测所述业务数据包与数据流特征，只对满足条件的请求行为的对应业务数据包进行放行。5.根据权利要求3所述的基于服务链的状态机完整性验证系统，其特征在于，所述特征生成单元具体用...

【专利技术属性】
技术研发人员：戚建淮，郑伟范，刘建辉，唐娟，宋晶，彭华，
申请(专利权)人：深圳市永达电子信息股份有限公司，
类型：发明
国别省市：