一种基于零信任模型的终端威胁识别和处置方法技术

本发明专利技术属于终端网络安全接入方法领域，提出一种基于零信任模型的终端威胁识别和处置方法

【技术实现步骤摘要】
一种基于零信任模型的终端威胁识别和处置方法


[0001]本专利技术属于终端网络安全接入方法领域，特别涉及一种基于零信任模型的终端威胁识别和处置方法
。

技术介绍

[0002]在当今的信息化时代，终端设备如雨后春笋般涌现，其中包括从传统的个人电脑
、
移动设备到智能家居和工业物联网设备等
。
这些设备的广泛使用为人们的工作和生活带来了巨大的便利
。
然而，终端安全的问题也随之日益凸显，成为不容忽视的挑战
。
由于终端设备种类繁多，其安全性质也各不相同，这使得统一的安全策略和管理变得困难
。
高级持续性威胁
、
恶意软件以及多种针对终端的攻击策略层出不穷，对个人和企业数据安全构成了威胁
。
尤其是远程工作的模式政策，使得终端设备经常在外部
、
不受保护的网络环境下操作，从而进一步加剧了安全风险
。
[0003]传统的终端安全策略通常采用防火墙
、
入侵检测系统和杀毒软件等方法来保护设备
。
这些方法在很大程度上依赖于已知的威胁签名和预定义的安全策略
。
然而，这样的策略在面对日益复杂和多变的威胁时，往往显得力不从心
。
传统的方法对于未知威胁的检测能力较弱，而且由于其主要基于反应式策略，当威胁被发现时，损害往往已经发生
。
此外，随着云计算和移动技术的普及，网络边界变得模糊，传统的基于边界的安全策略难以应对这种变化
。
[0004]零信任模型的思想是“永远不信任，始终验证”。
这是一种彻底颠覆传统安全思维的策略，它不再简单地依赖于网络的内部和外部之分，而是要求每一次资源访问都经过严格的验证
。
在这种模型下，不论是内部员工
、
合作伙伴还是外部访客，其身份和权限都必须经过详尽的检验
。
这种方法的优势是显而易见的：
[0005]深度安全防护：它提供了一种层次更深
、
更为细致的安全防护机制
。
不仅仅是在入口处设置防护，而是在每一次数据交互中都实施
。
[0006]对抗先进威胁：它能够有效地识别和对抗高级持续性威胁
、
内部恶意行为和其他复杂攻击
。
[0007]减少攻击面：由于对每一次访问都进行验证，攻击者很难找到可利用的弱点，大大缩小了潜在的攻击面
。
[0008]动态适应：与传统的静态安全策略不同，零信任模型可以根据实时情境动态调整安全策略，使其更加适应当前的威胁环境，特别是引入智能化的控制策略，有利于应对多变的网络攻击行为
。
[0009]数据隐私保护：所有的数据交互都采用高强度加密，保证数据在传输和存储过程中的隐私性和完整性
。
[0010]综上所述，基于零信任模型的方法为终端安全带来了全新的视角和策略，有望为我们在这个复杂的数字世界中提供更加坚固的安全保障，零信任安全领域需要一种高效的终端威胁识别和处置方法
。

技术实现思路

[0011]本专利技术旨在推出一种基于零信任模型的终端威胁识别和处置方法
。
在这个体系内，我们采用了终端的零信任客户端代理，以及服务端的零信任代理模块
、
策略管理模块
、
日志审查模块和二次认证模块，融入了逻辑交互及终端的安全策略设计
。
这种设置使得用户访问模式自动化，无需手动更改或更新规则，从而更高效地识别并抵御攻击
。
通过这一零信任机制，关键的业务细节得以隐藏，从而显著增强了企业终端对业务系统的安全访问
。
[0012]本专利技术的技术方案：
[0013]一种基于零信任模型的终端威胁识别和处置方法，在零信任模型下，基于图图神经网络
、
时间序列和聚类算法，对终端威胁进行识别和处置，包含以下步骤：
[0014]步骤一，在终端中构建零信任客户端，后台服务器部署零信任代理模块
、
策略控制模块
、
二次认证模块和日志分析模块；
[0015]步骤二，零信任代理客户端，通过用户名和密码，基于单包授权技术访问零信任代理模块，零信任代理模块
、
策略控制模块和二次认证模块进行交互，建立零信任代理客户端到零信任代理模块的可信连接通道；
[0016]零信任代理客户端，通过单包授权方式，使用用户名密码访问零信任代理模块，零信任代理模块转发认证请求到策略控制模块进行用户登录，策略控制模块进行用户名和密码校验，查询用户或设备异常信息；用户名和密码正确，且用户和设备无异常信息，则反馈零信任代理模块登录成功，建立终端到零信任代理模块的信息通道；用户名或密码错误则反馈零信任代理模登录错误
。
用户和设备异常，则策略控制模块与二次认证模块进行交互，通过零信任代理模块下发二次认证请求到零信任代理客户端，二次认证通过则反馈零信任代理模块登录成功，建立终端到零信任代理模块的信息通道，二次认证失败则反馈零信任代理模登录错误
。
[0017]步骤三，策略控制模块通过零信任代理模块，发送用户或设备的应用访问权限给零信任代理模块；
[0018]策略控制模块校验用户名和密码成功
、
以及识别用户和设备无异常后，判断为合法用户和设备，发送应用授权指令到零信任代理模块，通过零信任代理模块下发所有访问权限至终端零信任代理客户端，终端允许具有业务访问权限
。
[0019]步骤四，零信任代理模块将用户和设备的应用访问的日志信息传递给策略控制模块，策略控制模块将日志信息传递给日志分析模块；
[0020]用户或者设备触发的应用访问请求，通过终端到零信任代理模块的信息通道与后台应用服务器进行交互，零信任代理模块记录用户和设备的应用访问日志信息，包括访问时间
、
用户名
、
设备名
、
设备
IP
地址
、
应用名
、
请求数据包大小
、
返回数据包大小和
HTTP
响应状态码
。
零信任代理模块将用户和设备的应用访问的日志信息传递给策略控制模块，策略控制模块将日志信息传递给日志分析模块
。
[0021]步骤五，日志分析模块对日志数据进行训练分析，对数据进行训练，如图2所示，具体数据训练步骤包含数据处理
、
设置数据加载器
、
超参数优化
、
训练最佳模型
、
测试并预测异常
。
日志分析模块对日志进行分析，识别以下异常情况包括：
[0022]基于图神经网络时间点快照和动态图演变相关：新用户或新终端
IP...

【技术保护点】

【技术特征摘要】
1.
一种基于零信任模型的终端威胁识别和处置方法，其特征在于，在零信任模型下，基于图神经网络
、
时间序列和聚类算法，对终端威胁进行识别和处置，包含以下步骤：步骤一，在终端中构建零信任代理客户端，后台服务器部署零信任代理模块
、
策略控制模块
、
二次认证模块和日志分析模块；步骤二，零信任代理客户端，通过用户名和密码，基于单包授权方式访问零信任代理模块，零信任代理模块
、
策略控制模块和二次认证模块进行交互，建立零信任代理客户端到零信任代理模块的可信连接通道；具体如下：零信任代理客户端通过单包授权方式，使用用户名和密码访问零信任代理模块，零信任代理模块转发认证请求到策略控制模块进行用户登录，策略控制模块进行用户名和密码校验，查询用户或设备异常信息；用户名和密码正确，且用户和设备无异常信息，则反馈零信任代理模块登录成功，建立终端到零信任代理模块的信息通道；用户名或密码错误则反馈零信任代理模登录错误；用户和设备异常，策略控制模块与二次认证模块进行交互，通过零信任代理模块下发二次认证请求到零信任代理客户端，二次认证通过则反馈零信任代理模块登录成功，建立终端到零信任代理模块的信息通道，二次认证失败则反馈零信任代理模登录错误；步骤三，策略控制模块通过零信任代理模块，发送用户或设备的应用访问权限给零信任代理模块；策略控制模块校验用户名和密码成功
、
以及识别用户和设备无异常后，判断为合法用户和设备，发送应用授权指令到零信任代理模块，通过零信任代理模块下发所有访问权限至终端零信任代理客户端，终端允许具有业务访问权限；步骤四，零信任代理模块将用户和设备的应用访问的日志信息传递给策略控制模块，策略控制模块将日志信息传递给日志分析模块；用户或设备触发的应用访问请求，通过终端到零信任代理模块的信息通道与后台服务器进行交互，零信任代理模块记录用户和设备的应用访问日志信息，包括访问时间
、
用户名
、
设备名
、
设备
IP
地址
、
应用名
、
请求数据包大小
、
返回数据包大小和<...

【专利技术属性】
技术研发人员：申彦明，沈全，
申请(专利权)人：大连理工大学，
类型：发明
国别省市：