一种自适应调整访问权限的Probing攻击阻断方法技术

技术编号：40167059 阅读：6 留言：0更新日期：2024-01-26 23:38

本发明专利技术涉及网络安全领域，具体涉及一种自适应调整访问权限的Probing攻击阻断方法。阻断方法包括下列步骤：构建用户访问阻断函数；用户访问信息采集与计算；用户访问危险指数计算；基于得到的访问阻断阈值、得到的危险指数，判断是否满足危险指数大于访问阻断阈值，满足中断对方的访问，否则允许持续访问并不断重复以上步骤。本发明专利技术通过定义被访问资源敏感权限及暴露风险并细化访问操作深度实现了最小化访问单元，解决了权限浪费并避免了可能出现的越权行为。

全部详细技术资料下载

【技术实现步骤摘要】

本专利技术涉及网络安全领域，具体涉及一种自适应调整访问权限的probing攻击阻断方法。

技术介绍

1、probing扫描攻击是通过正常的网络线路连接，通过扫描网络信息的方式发现漏洞，以非法形式取得权限。主要包括四种攻击方式：

2、ipsweep攻击:攻击者通过发送icmpecho-request回应请求数据包到某一网段，然后根据这一网段内所有节点的回应判断网络结构。

3、nmap攻击:namp能识别更多传输层协议包括fin、tcp、udp、icmp等，其攻击原理与ipsweep 相似。

4、satan攻击主要用于扫描远程计算机或服务器的开放端口和端口漏洞，使用过的是tcp/udp 扫描技术。

5、portsweep和satan攻击类似，不同的是portsweep是利用合法icmp封包来对网络中的服务器进行侦测，从而了解服务器是否在线。

6、传统防火墙在客户端取得权限之后，将保持权限直到访问结束，允许访问服务器所有资源。存在安全隐患。

技术实现思路

1、本专利技术中采用了一种动态访问控制模式：当客户端访问服务器的某一资源时，在服务器评估客户端的危险指数后，如果其低于所访问资源的访问阻断阈值，即允许本次访问。服务器的每个资源基于其重要程度，都有不同的访问阻断阈值。而当客户端想要访问其他资源时，服务器会再次评估危险指数，以判断能否对客户端授予本次访问权限。即核心思想为持续验证，永不信任。提高系统的安全性。具体技术方案如下：p>

2、一种自适应调整访问权限的probing攻击阻断方法，包括下列步骤：

3、步骤1：构建用户访问阻断函数；基于信息安全风险评估经验函数评估资源隐私暴露风险值，结合被访问资源敏感权限值及访问安全指数，构建以隐私暴露风险值、被访问资源的敏感权限值及访问安全指数为变量的多维度复合阻断函数；

4、，

5、所述资源隐私暴露风险函数的计算方法如下：

6、，

7、其中 t为时间窗口序列值，其取值最大为10，若当前访问超过10个时间窗口，则取最大值；h为ip熵，客户端数据包源的ip熵越大，隐私暴露风险越高；

8、所述被访问资源敏感权限的计算方法如下：

9、，

10、其中， g为被访问资源的原始敏感权限值，可随不同系统的安全特征变化； r为端口连接失败率， r的值越大，表示权限越低；当端口连接失败率达到百分百，权限降低至0，即不授予访问权限；

11、所述访问安全指数，对应的是不同操作的访问安全指数，具体如下：

12、；

13、步骤2：用户访问信息采集与计算；计算当前时间的资源隐私暴露风险值及被访问资源敏感权限值、记录访问安全指数；在当前时间窗口内，将所得到的三个值输入到步骤1所得的多维度复合阻断函数中，计算得到资源访问阻断阈值；

14、步骤3：用户访问危险指数计算；具体包括：

15、步骤3.1：记录当前时间窗口ip熵、连接失败率、访问安全指数；

16、步骤3.2：基于三种当前时间窗口指标，得到它们各自的历史值；

17、定义ip熵历史值为，的计算方法如下：

18、，其中，表示各时间窗口内的ip熵；

19、定义连接失败率历史值为，的计算方法如下：

20、，

21、其中，表示各时间窗口内的连接失败率；

22、定义访问安全指数历史值为，的计算方法如下：

23、，

24、其中，表示各时间窗口内的访问安全指数；

25、步骤3.3：分别构建前n-1个时间窗口内ip熵、访问安全指数、连接失败率的历史集合；

26、ip熵历史集合记为，

27、访问安全指数集合记为，

28、连接失败率历史集合记为，

29、步骤3.4：将各指标进行归一化处理，

30、ip熵归一化公式：，

31、式中，表示各时间窗口内的ip熵归一化后的结果；表示各时间窗口内的ip熵；表示ip熵在所有时间窗口内结果的最小值；表示ip熵在所有时间窗口内结果的最大值；

32、连接失败率归一化公式，

33、，

34、式中，表示各时间窗口内的连接失败率归一化后的结果；表示各时间窗口内的连接失败率；表示连接失败率在所有时间窗口内结果的最小值；表示连接失败率在所有时间窗口内结果的最大值；

35、访问安全指数归一化公式，

36、，

37、式中，表示各时间窗口内的访问安全指数归一化后的结果；表示各时间窗口内的访问安全指数；表示访问安全指数在所有时间窗口内结果的最小值；表示访问安全指数在所有时间窗口内结果的最大值；

38、步骤3.5：使用土壤搬运距离算法计算当前指标与历史集合两个序列的各个维度对应的差异值，计算出危险指数；

39、步骤4：基于步骤2得到的访问阻断阈值、步骤3得到的危险指数，判断是否满足危险指数大于访问阻断阈值，满足转步骤6，否则转步骤5；

40、步骤5：允许持续访问并不断重复步骤2至步骤4；

41、步骤6：中断对方的访问。

42、传统权限分配方案统一为所有用户分配相同权限，难以避免恶意用户在访问持续期间的越权问题。本专利技术通过定义被访问资源敏感权限及暴露风险并细化访问操作深度实现了最小化访问单元，解决了权限浪费并避免了可能出现的越权行为。进一步，本专利技术在定义被访问资源敏感权限及暴露风险时并未简单地使用传统的等级式定义方案，而是考虑到了probing攻击一般作为一种探测行为从而为其他能够造成更为严重破坏的攻击奠定攻击基础，将probing攻击纳入考虑范围。本专利技术提取了probing攻击中的两个代表性特征，即ip熵、端口连接失败率，来构建能够有效反映probing攻击现实画像的被访问资源敏感权限及暴露风险定义方法。需要注意的是，被访问资源敏感权限及暴露风险定义方法中一些权重值的确定均有效考量了现实情况中probing攻击的相关参数，这类权重值经过多次测试平衡后得到了可长期使用的经验值并在本专利技术中予以公布。再进一步而言，本专利技术并非采集当前访问的相关信息后使用一次即抛弃，而是有效利用了所记录的相关信息在一定时间窗口内的历史值，运用emd算法计算当前指标与历史集合两个序列的各个维度对应的差异值从而计算出危险指数并与访问阻断阈值进行比较，最大化了信息利用率。最后，本专利技术利用所提出的访问阻断阈值计算方法不断动态调整当前门限值，利用所提出的危险指数计算方法根据用户的历史访问行为动态评估用户危险指数，实现了对用户访问行为不断评估的动态访问控制机制，同时将极为常见的probing攻击创新地纳入考量，能够有效本文档来自技高网...

【技术保护点】

1.一种自适应调整访问权限的Probing攻击阻断方法，其特征在于，包括下列步骤：

2.根据权利要求1所述的一种自适应调整访问权限的Probing攻击阻断方法，其特征在于，所述步骤1中H的计算如下：

3.根据权利要求1所述的一种自适应调整访问权限的Probing攻击阻断方法，其特征在于，所述端口连接失败率R的计算公式如下：

4.根据权利要求1所述的一种自适应调整访问权限的Probing攻击阻断方法，其特征在于，所述多维度复合阻断函数如下：

5.根据权利要求1所述的一种自适应调整访问权限的Probing攻击阻断方法，其特征在于，所述步骤3.5具体如下：

【技术特征摘要】

1.一种自适应调整访问权限的probing攻击阻断方法，其特征在于，包括下列步骤：

2.根据权利要求1所述的一种自适应调整访问权限的probing攻击阻断方法，其特征在于，所述步骤1中h的计算如下：

3.根据权利要求1所述的一种自适应调整访问权限的probing攻击阻断方法，其...

【专利技术属性】
技术研发人员：杜文勇，王晨飞，徐李阳，郝景昌，赵文华，马建勋，
申请(专利权)人：国家电网有限公司客户服务中心，
类型：发明
国别省市：

全部详细技术资料下载我是这个专利的主人