一种基于零信任模型的主机的安全检测方法、系统技术方案

本发明专利技术提出了一种基于零信任模型的主机安全检测方法，包括：模型构建步骤，获取主机的基础数据，对该基础数据进行数据分析，构建该主机的安全特征模型；数据比对步骤，获取该主机执行当前业务的运营数据，提取该运营数据的运营特征，并通过该安全特征模型对该运营特征进行识别，以获取该主机的安全状态。本发明专利技术基于零信任模型，通过将运营数据与安全特征模型进行比对，以对主机的安全状态进行监测。以对主机的安全状态进行监测。以对主机的安全状态进行监测。

【技术实现步骤摘要】
一种基于零信任模型的主机的安全检测方法、系统


[0001]本专利技术涉及网络安全领域，特别是涉及一种基于零信任模型的主机的安全 检测方法和系统。

技术介绍

[0002]传统的互联网企业将网络划分为内网和外网，认为内网大都是安全的。然 而越来越多安全事件的爆发指出，内网安全同样不可忽视。黑客在攻击之前或 者攻击之后，都有可能潜伏在企业内网，利用内部系统漏洞控制员工账号或者 越权获得管理账号。另外，内部员工的安全意识淡薄导致安全问题无中生有、 员工误操作或者恶意泄露数据信息等，此类安全问题也需要得到重视。
[0003]零信任模型的基础概念最早由约翰.金德维格(JohnKindervag)在2010 年提出，2017年谷歌第一次实现了零信任网络。零信任模型的原则是默认情况 下不应该信任网络内部和外部的任何人/设备/系统，需要基于认证和授权重构 访问控制的信任基础。而本方案提取其基础概念，将其运用在主机安全检测上。 主机上的所有数据默认都是不可信的，需要基于授权和认证。
[0004]中国国家专利技术“一种基于信任度的差异化入侵防御方法”(申请号： CN109347807A)，提出一种基于信任度的差异化入侵防御方法，通过对角色的 遍历匹配，建立信任度对照机制；以信任度分级为基础，对数据流量进行分流； 通过采取不同级别匹配不同规则下的过滤器的方式，对流量进行差异化检测， 达到对大流量情况下的分化安全检测和平时的常规安全检测的目的。由于本发 明的方法减少了对高、中信任度角色的过滤器检测数量，对零信任度角色采取 可以数据包抛弃方法，因此可以认为本方法有效减少了非必要检测的时间消 耗，达到增加入侵防御设备性能的目的。
[0005]中国国家专利技术“一种零信任模型实现系统”(申请号：CN108494729A)， 公开了一种零信任模型实现系统，包括零信节点安全卡、物理机和安全管理端， 通过使用在每个物理机上都配置零信节点安全卡，并在每个零信节点安全卡上 都设置具有实时流量监测功能、防火墙功能、白名单管理功能和集中管理及视 图展现功能的板载CPU计算模块，以及具有通信功能的网络接口，并通过安全 管理端对零信节点安全卡进行统一配置和管理安全策略及规则，实现了以物理 机为单元的、基于零信节点安全卡的硬件和软件结合的双重防护，而且本实施 例中，由于零信节点安全卡中设置有板载CPU计算模块，其防护功能和数据计 算处理过程与物理机的资源是相互独立的，所以零信节点安全卡不会依赖物理 机的运算，也不会受到物理机被恶意程序破坏造成的影响。

技术实现思路

[0006]本专利技术提出一种基于零信任模型的主机安全检测方法，包括：模型构建步 骤，获取主机的基础数据，对该基础数据进行数据分析，构建该主机的安全特 征模型；数据比对步骤，获取该主机执行当前业务的运营数据，提取该运营数 据的运营特征，并通过该安全
特征模型对该运营特征进行识别，以获取该主机 的安全状态。
[0007]本专利技术所述的主机安全检测方法，其中该基础数据包括第一数据和第二数 据，该第一数据为该主机的属性数据，包括该主机的正常用户、特权用户、系 统版本、内核版本、预执行的正常业务、日常I/O；该第二数据为该主机执行 该正常业务时的运营数据。
[0008]本专利技术所述的主机安全检测方法，其中该模型构建步骤具体包括：对该第 一数据构成的第一数据集进行数据分析，以构建第一特征模型；对该第二数据 构成的第二数据集进行数据分析，以构建第二特征模型。
[0009]本专利技术所述的主机安全检测方法，其中该数据比对步骤具体包括：通过该 第一特征模型对该运营特征进行识别，以获取该主机的第一状态；若该第一状 态为安全，则确认该主机的安全状态为真；若该第一状态为危险，则通过该第 二特征模型对该运营特征进行识别，以获取该主机的第二状态；若该第二状态 为安全，则确认该主机的安全状态为真，若该第二状态为危险，则对该主机进 行安全处理。
[0010]本专利技术所述的主机安全检测方法，其中将该第二数据集根据该正常业务的 业务类型划分为多个第二子数据集，对该第二子数据集进行数据分析，以构建 对应的该第二特征模型的第二子特征模型。
[0011]本专利技术所述的主机安全检测方法，其中该数据比对步骤具体包括：通过该 第一特征模型对该运营特征进行识别，以获取该主机的第一状态；若该第一状 态为安全，则确认该主机的安全状态为真；若该第一状态为危险，则判断该当 前业务的业务类型，若该当前业务的业务类型属于该正常业务的业务类型，则 通过对应的第二子特征模型对该运营特征进行识别，以获取该主机的第二状 态；若该第二状态为安全，则确认该主机的安全状态为真，若该第二状态为危 险，则对该主机进行安全处理；若该当前业务的业务类型不属于该正常业务的 业务类型，则对该主机进行安全处理。
[0012]本专利技术所述的主机安全检测方法，其中该安全处理包括：发出告警信息和 /或对该当前业务进行主动拦截。
[0013]本专利技术所述的主机安全检测方法，其中该模型构建步骤还包括：第一模型 更新步骤，当该第一数据增加新数据时，判断该新数据的是否为安全数据，若 是，则更新该第一数据，反之则发出告警信息。
[0014]本专利技术所述的主机安全检测方法，其中通过人工判读或与预设数据比较， 以判断该新数据的是否为安全数据。
[0015]本专利技术所述的主机安全检测方法，其中若该新数据为该主机增加的正常业 务，则获取该主机执行该增加的正常业务时的运营数据，以更新该第二数据。
[0016]本专利技术还提出一种基于零信任模型的主机安全检测系统，包括：模型构建 模块，用于获取主机的基础数据，对该基础数据进行数据分析，构建该主机的 安全特征模型；数据比对模块，用于获取该主机执行当前业务的运营数据，提 取该运营数据的运营特征，并通过该安全特征模型对该运营特征进行识别，以 获取该主机的安全状态。
[0017]本专利技术所述的主机安全检测系统，其中该基础数据包括第一数据和第二数 据，该第一数据为该主机的属性数据，包括该主机的正常用户、特权用户、系 统版本、内核版本、预执行的正常业务、日常I/O；该安全特征模型包括第一 特征模型；该第二数据为该主机执行该正常业务时的运营数据；该安全特征模 型还包括第二特征模型。
[0018]本专利技术所述的主机安全检测系统，其中该模型构建模块包括：第一模型构 建模块，用于对该第一数据构成的第一数据集进行数据分析，以构建该第一特 征模型；第二模型构建模块，用于对该第二数据构成的第二数据集进行数据分 析，以构建该第二特征模型。
[0019]本专利技术所述的主机安全检测系统，其中该数据比对模块具体包括：用于通 过该第一特征模型对该运营特征进行识别，以获取该主机的第一状态；若该第 一状态为安全，则确认该主机的安全状态为真；若当该第一状态为危险，则通 过该第二特征模型对该运营特征进行识别，以获取该主机的第二状态；若该第 二状态为安全，则确认该主机的安全状态为真，若该第二状态为危险，则对该 主机进行安全处理。
[00本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于零信任模型的主机安全检测方法，其特征在于，包括：模型构建步骤，获取主机的基础数据，对该基础数据进行数据分析，构建该主机的安全特征模型；数据比对步骤，获取该主机执行当前业务的运营数据，提取该运营数据的运营特征，并通过该安全特征模型对该运营特征进行识别，以获取该主机的安全状态。2.如权利要求1所述的主机安全检测方法，其特征在于，该基础数据包括第一数据和第二数据，该第一数据为该主机的属性数据，包括该主机的正常用户、特权用户、系统版本、内核版本、预执行的正常业务、日常I/O；该第二数据为该主机执行该正常业务时的运营数据。3.如权利要求2所述的主机安全检测方法，其特征在于，该模型构建步骤具体包括：对该第一数据构成的第一数据集进行数据分析，以构建第一特征模型；对该第二数据构成的第二数据集进行数据分析，以构建第二特征模型。4.如权利要求3所述的主机安全检测方法，其特征在于，该数据比对步骤具体包括：通过该第一特征模型对该运营特征进行识别，以获取该主机的第一状态；若该第一状态为安全，则确认该主机的安全状态为真；若该第一状态为危险，则通过该第二特征模型对该运营特征进行识别，以获取该主机的第二状态；若该第二状态为安全，则确认该主机的安全状态为真，若该第二状态为危险，则对该主机进行安全处理。5.一种基于零信任模型的主机安全检测系统，其特征在于，包括：模型构建模块，用于获取主机的基础数据，对该基础数据进行数据分析，构建该主机的安全特征模型；数据比对模块，用于获取该主机执行当前业务的运营数据，提取该运营数据的运营特征，并通过该安全特征模型对该运营特征进行识别，以获取该主机的安全状态。6.如权利要求5所述的主机安全检测系统，其特征在于，该基础数据包括第一...

【专利技术属性】
技术研发人员：李洁，李春威，刘方舟，张森，
申请(专利权)人：北京奇虎鸿腾科技有限公司，
类型：发明
国别省市：