【技术实现步骤摘要】
基于业务流程约束的安全防护方法、装置及存储介质
[0001]本专利技术涉及访问控制领域,具体是基于业务流程约束的安全防护方法、装置及存储介质。
技术介绍
[0002]信息网络系统是指应用通讯技术、计算机技术,对各种社会业务有关信息进行采集、加工、传递和保存,从而提高社会效率和质量或进行辅助决策的人机信息处理系统,例如政府部门的电子政务系统、工业企业的工控信息系统、销售企业的电子商务系统、交通部门的民航订票系统、铁路客票系统等。随着数字社会、数字经济、数字产业的不断发展与完善,现如今大多数工作、业务都可从线下转变至线上的信息网络系统运行和实现,同时网络空间呈现多样化、复杂化的整体态势,恶意攻击可能从信息网络系统的漏洞侵入系统,破坏、更改系统中的操作及信息。
[0003]防火墙,也有厂商称作防火云、云火墙等,是通过各种访问控制规则对信息网络系统进行攻击防护的安全设备。白名单是一种新兴的防火墙访问控制技术,其基于系统中用户的正常操作数据构建白名单,后续与白名单不匹配的数据均认定为异常操作数据,能对未知攻击起到较好的防护作用。但信息网络系统中各种电子业务是由一系列关联操作实现的,例如铁路客票系统的订票业务,是由用户登录、查询、预订、支付等一系列操作实现的,工控信息系统的操控业务,是由用户登录、参数配置、启动作业等一系列操作实现的。但现有技术中,通常只是基于信息网络系统的正常操作数据集合简单对应确定防火墙白名单,进行防护时仅针对各操作数据分别独立进行检测识别,未考虑各操作之间的正确业务关联性,不能对系统中的异常业务流程 ...
【技术保护点】
【技术特征摘要】
1.基于业务流程约束的安全防护方法,其特征在于,所述方法包括以下步骤:S1,获取信息网络系统设备地址特征、用户角色分类及对应的用户地址特征;S2,获取信息网络系统在安全受控环境下至少一个周期的所有用户端的网络数据包,将网络数据包分别解析为包括源地址、目的地址、产生时间、操作执行信息、通讯校验信息的源数据;S3,提取对应同一用户的同一操作的源数据构成标识有用户信息的操作数据,单个操作数据包括操作时间、操作地址、操作信息;S4,提取对应同一用户的操作数据构成标识有用户信息的业务流程数据,业务流程数据包括具有顺序关系的若干个数据块,单个数据块的实体信息包括流程地址和流程信息;S5,基于用户角色分类及对应的用户地址特征将若干个业务流程数据划分为若干类流程数据集;S6,基于各流程数据集构建对应各用户角色分类的角色业务特征数据,形成信息网络系统的安全基线库;S7,基于安全基线库对信息网络系统进行安全防护。2.根据权利要求1所述的基于业务流程约束的安全防护方法,其特征在于,所述S3包括:S31,基于设备地址特征、用户地址特征、源数据的源地址和目的地址,将源数据划分为请求类和响应类;S32,对于请求类源数据,提取源地址相同的源数据形成同用户请求集并标识用户信息,对于响应类源数据,提取目的地址相同的源数据形成同用户响应集并标识用户信息;S33,将用户信息相同的同用户请求集和同用户响应集进行关联;S34,针对同用户请求集内的单个请求类源数据,基于其目的地址、产生时间和通讯校验信息,在关联的同用户响应集中提取对应的响应类源数据,共同构成单个操作数据;操作数据的用户信息、操作地址、操作时间分别基于对应请求类源数据的源地址、目的地址和产生时间确定,操作数据的操作信息基于对应两个源数据的操作执行信息确定。3.根据权利要求2所述的基于业务流程约束的安全防护方法,其特征在于,所述S4包括:S41,将用户信息相同的操作数据归为同用户操作集,将同用户操作集内的操作数据按操作时间先后顺序进行排序;S42,针对单个同用户操作集,如果其内存在操作数据的操作地址、操作信息与其内第一个操作数据的操作地址、操作信息相同,则将所述操作数据作为分界点,基于分界点将所述同用户操作集拆分为若干个业务流程集;如果单个同用户集内不存在操作数据的操作地址、操作信息与其内第一个操作数据的操作地址、操作信息相同,则将所述同用户操作集作为业务流程集;S43,将业务流程集内的操作数据顺序融合构成业务流程数据;业务流程数据的用户信息基于对应业务流程集内操作数据的用户信息确定,业务流程数据具有顺序关系的若干个数据块基于对应业务流程集内排序的若干个操作数据确定,单个数据块的实体信息基于其对应操作数据的操作地址和操作信息确定。4.根据权利要求3所述的基于业务流程约束的安全防护方法,其特征在于,所述S4还包
括:S44,对存在重复的业务流程数据进行删减操作;包括:如果单个业务流程数据存在若干个相邻重复的数据块,则将所述若干个相邻重复的数据块删减至剩余一个,并为该剩余的数据块标识重复信息。5.根据权利要求4所述的基于业务流程约束的安全防护方法,其特征在于,所述S44还包括:将单个业务流程数据的若干个相邻的数据块看作一个数据段,一个数据段的实体信息为其对应数据块的实体信息的集合,如果单个业务流程数据存在若干个相邻数据段的实...
【专利技术属性】
技术研发人员:戚建淮,周杰,张莉,宋晶,汪暘,王飞,
申请(专利权)人:成都市以太节点科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。