基于业务流程约束的安全防护方法、装置及存储介质制造方法及图纸

本发明专利技术公开了基于业务流程约束的安全防护方法、装置及存储介质，所述方法包括，获取信息网络系统至少一个周期所有用户端的网络数据包，将网络数据包解析为源数据；提取对应同一用户的同一操作的源数据构成操作数据；提取对应同一用户的操作数据构成业务流程数据；基于用户角色分类将若干个业务流程数据划分为若干类流程数据集；基于各流程数据集构建对应各用户角色分类的角色业务特征数据，形成信息网络系统的安全基线库；基于安全基线库对信息网络系统进行安全防护。本申请通过对信息网络系统正常源数据进行统计分析确定对应不同用户角色分类的业务流程的角色业务特征数据，基于角色业务特征数据对系统进行安全防护，有效识别系统异常业务流程。识别系统异常业务流程。识别系统异常业务流程。

【技术实现步骤摘要】
基于业务流程约束的安全防护方法、装置及存储介质


[0001]本专利技术涉及访问控制领域，具体是基于业务流程约束的安全防护方法、装置及存储介质。

技术介绍

[0002]信息网络系统是指应用通讯技术、计算机技术，对各种社会业务有关信息进行采集、加工、传递和保存，从而提高社会效率和质量或进行辅助决策的人机信息处理系统，例如政府部门的电子政务系统、工业企业的工控信息系统、销售企业的电子商务系统、交通部门的民航订票系统、铁路客票系统等。随着数字社会、数字经济、数字产业的不断发展与完善，现如今大多数工作、业务都可从线下转变至线上的信息网络系统运行和实现，同时网络空间呈现多样化、复杂化的整体态势，恶意攻击可能从信息网络系统的漏洞侵入系统，破坏、更改系统中的操作及信息。
[0003]防火墙，也有厂商称作防火云、云火墙等，是通过各种访问控制规则对信息网络系统进行攻击防护的安全设备。白名单是一种新兴的防火墙访问控制技术，其基于系统中用户的正常操作数据构建白名单，后续与白名单不匹配的数据均认定为异常操作数据，能对未知攻击起到较好的防护作用。但信息网络系统中各种电子业务是由一系列关联操作实现的，例如铁路客票系统的订票业务，是由用户登录、查询、预订、支付等一系列操作实现的，工控信息系统的操控业务，是由用户登录、参数配置、启动作业等一系列操作实现的。但现有技术中，通常只是基于信息网络系统的正常操作数据集合简单对应确定防火墙白名单，进行防护时仅针对各操作数据分别独立进行检测识别，未考虑各操作之间的正确业务关联性，不能对系统中的异常业务流程进行防护。

技术实现思路

[0004]本专利技术的目的在于解决现有技术的上述问题，提供了基于业务流程约束的安全防护方法、装置及存储介质，通过对信息网络系统正常源数据进行统计分析确定对应不同用户角色分类的角色业务特征数据，基于角色业务特征数据对系统进行安全防护，有效识别系统异常业务流程。
[0005]第一方面，本专利技术提供了基于业务流程约束的安全防护方法，所述方法包括，
[0006]S1，获取信息网络系统设备地址特征、用户角色分类及对应的用户地址特征；
[0007]S2，获取信息网络系统在安全受控环境下至少一个周期的所有用户端的网络数据包，将网络数据包分别解析为包括源地址、目的地址、产生时间、操作执行信息、通讯校验信息的源数据；
[0008]S3，提取对应同一用户的同一操作的源数据构成标识有用户信息的操作数据，单个操作数据包括操作时间、操作地址、操作信息；
[0009]S4，提取对应同一用户的操作数据构成标识有用户信息的业务流程数据，业务流程数据包括具有顺序关系的若干个数据块，单个数据块的实体信息包括流程地址和流程信
息；
[0010]S5，基于用户角色分类及对应的用户地址特征将若干个业务流程数据划分为若干类流程数据集；
[0011]S6，基于各流程数据集构建对应各用户角色分类的角色业务特征数据，形成信息网络系统的安全基线库；
[0012]S7，基于安全基线库对信息网络系统进行安全防护。
[0013]优选地，所述S3包括：
[0014]S31，基于设备地址特征、用户地址特征、源数据的源地址和目的地址，将源数据划分为请求类和响应类；
[0015]S32，对于请求类源数据，提取源地址相同的源数据形成同用户请求集并标识用户信息，对于响应类源数据，提取目的地址相同的源数据形成同用户响应集并标识用户信息；
[0016]S33，将用户信息相同的同用户请求集和同用户响应集进行关联；
[0017]S34，针对同用户请求集内的单个请求类源数据，基于其目的地址、产生时间和通讯校验信息，在关联的同用户响应集中提取对应的响应类源数据，共同构成单个操作数据；
[0018]操作数据的用户信息、操作地址、操作时间分别基于对应请求类源数据的源地址、目的地址和产生时间确定，操作数据的操作信息基于对应两个源数据的操作执行信息确定。
[0019]优选地，所述S4包括：
[0020]S41，将用户信息相同的操作数据归为同用户操作集，将同用户操作集内的操作数据按操作时间先后顺序进行排序；
[0021]S42，针对单个同用户操作集，如果其内存在操作数据的操作地址、操作信息与其内第一个操作数据的操作地址、操作信息相同，则将所述操作数据作为分界点，基于分界点将所述同用户操作集拆分为若干个业务流程集；如果单个同用户集内不存在操作数据的操作地址、操作信息与其内第一个操作数据的操作地址、操作信息相同，则将所述同用户操作集作为业务流程集；
[0022]S43，将业务流程集内的操作数据顺序融合构成业务流程数据；
[0023]业务流程数据的用户信息基于对应业务流程集内操作数据的用户信息确定，业务流程数据具有顺序关系的若干个数据块基于对应业务流程集内排序的若干个操作数据确定，单个数据块的实体信息基于其对应操作数据的操作地址和操作信息确定。
[0024]优选地，所述S4还包括：
[0025]S44，对存在重复的业务流程数据进行删减操作；包括：如果单个业务流程数据存在若干个相邻重复的数据块，则将所述若干个相邻重复的数据块删减至剩余一个，并为该剩余的数据块标识重复信息。
[0026]优选地，所述S44还包括：
[0027]将单个业务流程数据的若干个相邻的数据块看作一个数据段，一个数据段的实体信息为其对应数据块的实体信息的集合，如果单个业务流程数据存在若干个相邻数据段的实体信息相同，则将所述若干个相邻的数据段删减至剩余一个，并为该剩余数据段标识重复信息。
[0028]优选地，所述S6中针对单个流程数据集构建角色业务特征数据的方法包括：
[0029]S61，在所述流程数据集内所有业务流程数据中提取序号相同的数据块，形成对应序号的数据块集；
[0030]S62，针对单个数据块集，如果其内存在实体信息相同的数据块，则将实体信息相同的数据块删减至剩余一个；
[0031]S63，将所有数据块集内各数据块的实体信息分别作为图结构的顶点，并对应数据块的序号为顶点进行层次编号；
[0032]S64，对应所述流程数据集内所有业务流程数据中数据块的重复信息、实体信息、数据块间的顺序关系将图结构的各顶点有向连接，并为图结构第1层次的顶点添加用户地址特征，最终形成呈图结构的角色业务特征数据。
[0033]优选地，在S4与S5之间还包括：为所有业务流程数据的最后1个数据块标识表示可停止的停止信息，为所有业务流程数据的其余数据块标识表示不可停止的停止信息；在步骤S62中，如果实体信息相同的数据块中存在带有表示可停止的停止信息的数据块，则在将实体信息相同的数据块删减至剩余一个时，选择剩余带有表示可停止的停止信息的数据块；在步骤S63中，提取所有数据块集内各数据块的实体信息和停止信息，作为图结构的顶点。
[0034]优选地，所述S7包括：
[0035]用户进入信息网络系统时，先解析本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.基于业务流程约束的安全防护方法，其特征在于，所述方法包括以下步骤：S1，获取信息网络系统设备地址特征、用户角色分类及对应的用户地址特征；S2，获取信息网络系统在安全受控环境下至少一个周期的所有用户端的网络数据包，将网络数据包分别解析为包括源地址、目的地址、产生时间、操作执行信息、通讯校验信息的源数据；S3，提取对应同一用户的同一操作的源数据构成标识有用户信息的操作数据，单个操作数据包括操作时间、操作地址、操作信息；S4，提取对应同一用户的操作数据构成标识有用户信息的业务流程数据，业务流程数据包括具有顺序关系的若干个数据块，单个数据块的实体信息包括流程地址和流程信息；S5，基于用户角色分类及对应的用户地址特征将若干个业务流程数据划分为若干类流程数据集；S6，基于各流程数据集构建对应各用户角色分类的角色业务特征数据，形成信息网络系统的安全基线库；S7，基于安全基线库对信息网络系统进行安全防护。2.根据权利要求1所述的基于业务流程约束的安全防护方法，其特征在于，所述S3包括：S31，基于设备地址特征、用户地址特征、源数据的源地址和目的地址，将源数据划分为请求类和响应类；S32，对于请求类源数据，提取源地址相同的源数据形成同用户请求集并标识用户信息，对于响应类源数据，提取目的地址相同的源数据形成同用户响应集并标识用户信息；S33，将用户信息相同的同用户请求集和同用户响应集进行关联；S34，针对同用户请求集内的单个请求类源数据，基于其目的地址、产生时间和通讯校验信息，在关联的同用户响应集中提取对应的响应类源数据，共同构成单个操作数据；操作数据的用户信息、操作地址、操作时间分别基于对应请求类源数据的源地址、目的地址和产生时间确定，操作数据的操作信息基于对应两个源数据的操作执行信息确定。3.根据权利要求2所述的基于业务流程约束的安全防护方法，其特征在于，所述S4包括：S41，将用户信息相同的操作数据归为同用户操作集，将同用户操作集内的操作数据按操作时间先后顺序进行排序；S42，针对单个同用户操作集，如果其内存在操作数据的操作地址、操作信息与其内第一个操作数据的操作地址、操作信息相同，则将所述操作数据作为分界点，基于分界点将所述同用户操作集拆分为若干个业务流程集；如果单个同用户集内不存在操作数据的操作地址、操作信息与其内第一个操作数据的操作地址、操作信息相同，则将所述同用户操作集作为业务流程集；S43，将业务流程集内的操作数据顺序融合构成业务流程数据；业务流程数据的用户信息基于对应业务流程集内操作数据的用户信息确定，业务流程数据具有顺序关系的若干个数据块基于对应业务流程集内排序的若干个操作数据确定，单个数据块的实体信息基于其对应操作数据的操作地址和操作信息确定。4.根据权利要求3所述的基于业务流程约束的安全防护方法，其特征在于，所述S4还包
括：S44，对存在重复的业务流程数据进行删减操作；包括：如果单个业务流程数据存在若干个相邻重复的数据块，则将所述若干个相邻重复的数据块删减至剩余一个，并为该剩余的数据块标识重复信息。5.根据权利要求4所述的基于业务流程约束的安全防护方法，其特征在于，所述S44还包括：将单个业务流程数据的若干个相邻的数据块看作一个数据段，一个数据段的实体信息为其对应数据块的实体信息的集合，如果单个业务流程数据存在若干个相邻数据段的实...

【专利技术属性】
技术研发人员：戚建淮，周杰，张莉，宋晶，汪暘，王飞，
申请(专利权)人：成都市以太节点科技有限公司，
类型：发明
国别省市：