【技术实现步骤摘要】
一种微隔离云环境下的动态信任度评估方法和装置
[0001]本专利技术涉及云计算环境的网络安全防护
,特别是涉及一种微隔离云环境下的动态信任度评估方法和装置。
技术介绍
[0002]云计算环境是一种开放的、面向服务的动态计算范式,具有很强的开放性,任何人都可以通过合理的手段访问云服务。云环境下海量终端设备和用户的广泛接入增加了网络的暴露性,对传统以边界隔离为特征的防护系统提出了严峻的挑战。
[0003]“微隔离”是一种网络安全技术,其核心能力聚焦在东西向流量的隔离上,通过将资源部署在容器的方式,把无边界网络分割为逻辑上的微小网段,对资源进行了最大程度的划分和隔离,以实现对云上虚拟化资源的保护。“微隔离”是在数据中心和云部署中创建了一种安全区域,让网络安全更具粒度化。但是,云系统的接入对象是数量庞大的终端或用户,传统的认证和访问控制多采用“一次认证、一次授权、长期有效”的方式,保证合法用户和云服务的正常交互,但是这种安全防御体系和技术仍然不能有效地防止来自内部的威胁,也就是来自授权用户层面的恶意行为的危险。这些恶意...
【技术保护点】
【技术特征摘要】
1.一种微隔离云环境下的动态信任度评估方法,其特征在于,包括以下步骤:接收用户发送的访问请求,并将所述访问请求转换为由信任属性构成的访问行为序列;根据所述用户的行为数据库构建FP树的频繁n项集,并结合所述访问行为序列计算置信度,得到当前访问序列的历史信任分数;根据信任计算函数对所述访问行为序列中的信任属性进行打分,并赋予动态信任权重,得到实时访问行为的信任分数;根据用户登录间隔、以及请求访问的资源的类型和重要程度计算修正分数;根据所述历史信任分数、实时访问行为的信任分数以及修正分数计算综合信任分数;将所述综合信任分数与阈值进行比较,当综合信任分数超过阈值时允许用户访问资源。2.根据权利要求1所述的微隔离云环境下的动态信任度评估方法,其特征在于,所述访问行为序列为用户单次访问周期内信任属性构成的集合,表示为I
n
=<P1,P2,...,P
n
,...,P
m
>,其中,I
n
表示访问行为序列,m为访问行为序列中信任属性的数量,P为用户本次访问的信任属性,前n
‑
1个信任属性是用户的行为信任属性,第n个至第m个信任属性是云环境上的虚拟资源属性。3.根据权利要求1所述的微隔离云环境下的动态信任度评估方法,其特征在于,所述信任属性包括主体信息、访问请求、资源状态、资源访问要求和风险威胁状况;所述主体信息包括用户的基本信息、权限、历史行为、活动信息、以及设备使用信息;所述访问请求包含有关请求主体的信息和要请求的信息;所述资源状态记录资源的访问结果;所述资源访问要求包括资源敏感级别、访问者级别、以及IP黑白名单;所述风险威胁状况包括当前系统中可能存在的威胁和恶意软件的信息。4.根据权利要求1所述的微隔离云环境下的动态信任度评估方法,其特征在于,所述根据所述用户的行为数据库构建FP树的频繁n项集,并结合所述访问行为序列计算置信度,得到当前访问序列的历史信任分数,具体包括:扫描用户的行为数据库得到用户的所有行为序列,计算所有行为序列中所有信任属性的支持度,并去掉支持度低于阈值的信任属性所在的行为序列,按照剩余行为序列中的第一个信任属性构建项头表;扫描访问控制请求的数据库,创建FP树的根节点作为第0项,在遍历数据集的过程中,每个行为序列都是从树根依次插入,过程中完成父节点、孩子列表、项头表的创建或更新,完成FP树的构建;依赖条件模式基,构建以某个项为后缀的FP树的频繁n项集;对所述访问行为序列与频繁n项集进行关联匹配,并统计与该资源所处叶子节点同一子树的其他节点的值,并根据计算置信度,并将得到的置信度作为当前访问序列的历史信任分数,其中,G
Historical
为历史信任分数,behavior表示用户本次访问的行为序列,resource表示用户本次访问的具体资源,P(behavior∪resource)为用户访问行为序列和访问该资源同时出现的联合概率,P(resource)为用户访问该资源
的概率,P(behavior)为该行为序列在历史行为数据库中出现的概率。5.根据权利要求1所述的根据权利要求1所述的微隔离云环境下的动态信任度评估方法,其特征在于,所述实时访问行为的信任分数通过G
Instant
=∑(w
critic
+w
AHP
)
×
f
n
(x)计算得到,其中,G
Instant
为实时访问行为的信任分数,f
n
(x)为访问行为序列中的信任属性x的得分,α和β是影响信任分数增长速率的超参数;w
critic
表示客观权重,w
AHP
表示主观权重。6.根据权利要求5所述的根据权利要求1所述的微隔离云环境下的动态信任度评估方法,其特征在于,所述主观权重使用规范列平均法进行分配,具体包括以下步骤:对于一个两两比较判断的矩阵A=(A
ij
)
n
×
n
,将矩阵A的每一列向量进行归一化,则第i行j列的元素其中,a
ij
表示矩阵中第i个和第j个属性的相对重要性;对按行进行求和,并进行归一化处理,得到主观权重其中,表示每第i行元素的和。7.根据权利要求5所述的根据权利要求1所述的微隔离云环境下的动态信任度评估方法,其特征在于,所述客观权重使用CRITIC进行分配,具体包括以下步骤:将行为序列I
k
中的行为属性进行归一化处理,得到其中,为归一化处理后行为序列I
k
的第i个行为属性,为行为序列I
k
的第i个行为属性,和为行为序列I
k
的最大行为属性和最小行为属性;基于归一化后的结果,使用标准差来表示行为属性的对比度其中,m为访问行为序列中信任属性的数量,为行为序列I
k
中行为属性的平均值;计算行为序列I
k
中第i个行为属性与行为序列I
j
中第i个行为属性之间的相关性根据相关性r
j,k
计算单一行为属性与其他行为属性的冲突性根据冲突性R
k
和对比度S
k
计算信息量C
k
,并基于信息量得到客观权重8.根据权利要求1所述的根据权利要求1所述的微隔离云环境下的动态信任度评估方法,其特征在于,所述修正分数通过θ3=γ
×
e
δt
计算得到,其中,θ3为修正分数,γ是根据资
源类型和重要程度的修正系数,取值范围是[0,1],t是用户两次登录的时间差,δ是超参数...
【专利技术属性】
技术研发人员:亢超群,李二霞,李玉凌,朱克琪,刘海涛,吕广宪,张波,许保平,樊勇华,韩子龙,刘芸杉,孙国齐,杜金陵,
申请(专利权)人:国网山东省电力公司国网山东省电力公司电力科学研究院国家电网有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。