面向未知攻击防御的处理系统、方法、装置及相关设备与流程

1.本发明涉及网络空间安全技术领域，更具体地说，涉及一种面向未知攻击防御的处理系统、方法、装置及相关设备。


背景技术：

2.近年来，网络安全防御技术和产品不断完善，其对已知网络攻击的防御效果已经卓有成效，部分防御产品还利用大数据分析和人工智能技术尝试检测未知特征的网络攻击。
3.然而，如何在攻击特征、攻击样本和攻击方法等一无所知的前提下实现对未知网络攻击的有效防御至今仍是一个困扰世界各国的开放难题。


技术实现要素：

4.有鉴于此，为解决上述问题，本发明提供一种面向未知攻击防御的处理系统、方法、装置及相关设备，技术方案如下：
5.一种面向未知攻击防御的处理系统，所述系统包括：中心调度点和多个节点；
6.第一节点，用于获得相应操作指令，并向所述中心调度点发送印证请求；
7.所述中心调度点，用于响应所述印证请求调取已构建的动态交叉印证链，其中，所述动态交叉印证链包含多条并行的互锁链，每条互锁链由一个操作点、以及与该条互锁链中操作点建立安全互锁的至少两个验证点所组成，并且，每条互锁链中作为操作点的节点同时在另外的至少两条互锁链中作为验证点；定位所述动态交叉印证链中所述第一节点作为操作点的目标互锁链，并将作为所述目标互锁链中至少两个验证点的至少两个第二节点的节点信息返回给第一节点；
8.所述第一节点，还用于基于所述节点信息与所述至少两个第二节点进行互锁验证得到所述目标互锁链对应的互锁验证结果；
9.所述中心调度点，还用于捕获所述互锁验证结果，并基于所述互锁验证结果对所述第一节点和所述至少两个第二节点进行异常检测。
10.优选的，用于基于所述节点信息与所述至少两个第二节点进行互锁验证的所述第一节点，具体用于：
11.基于所述节点信息以状态表决的方式与所述至少两个第二节点进行互锁验证；或者，
12.基于所述节点信息以动态权限鉴别的方式与所述至少两个第二节点进行互锁验证；或者，
13.基于所述节点信息以三端异构观测的方式与所述至少两个第二节点进行互锁验证。
14.优选的，用于基于所述互锁验证结果对所述第一节点和所述至少两个第二节点进行异常检测的所述中心调度点，具体用于：
15.在所述互锁验证结果符合预期结果的情况下，确定所述第一节点和所述至少两个第二节点均为正常节点；
16.在所述互锁验证结果不符合预期结果的情况下，激活所述动态交叉印证链中除所述目标互锁链以外的其他互锁链，并进行所述目标互锁链与其它互锁链的交叉印证；根据交叉印证的表决结果确定所述第一节点和所述至少两个第二节点中的异常节点。
17.优选的，所述中心调度点，还用于：
18.在确定所述第一节点和所述至少两个第二节点中的异常节点的情况下，对所述异常节点进行删除并替换。
19.一种面向未知攻击防御的处理方法，所述方法应用于中心调度点，所述方法包括：
20.响应第一节点获得相应操作指令所发送的印证请求调取已构建的动态交叉印证链，其中，所述动态交叉印证链包含多条并行的互锁链，每条互锁链由一个操作点、以及与该条互锁链中操作点建立安全互锁的至少两个验证点所组成，并且，每条互锁链中作为操作点的节点同时在另外的至少两条互锁链中作为验证点；
21.定位所述动态交叉印证链中所述第一节点作为操作点的目标互锁链，并将作为所述目标互锁链中至少两个验证点的至少两个第二节点的节点信息返回给第一节点，以实现所述第一节点基于所述节点信息与所述至少两个第二节点进行互锁验证得到所述目标互锁链对应的互锁验证结果；
22.捕获所述互锁验证结果，并基于所述互锁验证结果对所述第一节点和所述至少两个第二节点进行异常检测。
23.优选的，所述基于所述互锁验证结果对所述第一节点和所述至少两个第二节点进行异常检测，包括：
24.在所述互锁验证结果符合预期结果的情况下，确定所述第一节点和所述至少两个第二节点均为正常节点；
25.在所述互锁验证结果不符合预期结果的情况下，激活所述动态交叉印证链中除所述目标互锁链以外的其他互锁链，并进行所述目标互锁链与其它互锁链的交叉印证；根据交叉印证的表决结果确定所述第一节点和所述至少两个第二节点中的异常节点。
26.优选的，所述方法还包括：
27.在确定所述第一节点和所述至少两个第二节点中的异常节点的情况下，对所述异常节点进行删除并替换。
28.一种面向未知攻击防御的处理装置，所述装置包括：
29.请求响应模块，用于响应第一节点获得相应操作指令所发送的印证请求调取已构建的动态交叉印证链，其中，所述动态交叉印证链包含多条并行的互锁链，每条互锁链由一个操作点、以及与该条互锁链中操作点建立安全互锁的至少两个验证点所组成，并且，每条互锁链中作为操作点的节点同时在另外的至少两条互锁链中作为验证点；定位所述动态交叉印证链中所述第一节点作为操作点的目标互锁链，并将作为所述目标互锁链中至少两个验证点的至少两个第二节点的节点信息返回给第一节点，以实现所述第一节点基于所述节点信息与所述至少两个第二节点进行互锁验证得到所述目标互锁链对应的互锁验证结果；
30.异常检测模块，用于捕获所述互锁验证结果，并基于所述互锁验证结果对所述第一节点和所述至少两个第二节点进行异常检测。
和“资源”，所有资源只接受来自安全网关的访问，所有用户也只能通过安全网关访问资源。零信任安全网关通过对“访问设备+用户”的组合对象进行审查，在企业或组织内部实现了遵从“动态最小权限”原则的持续性访问控制，因此，若企业中某一资源或者设备被感染，并不会威胁到整体的网络环境安全。
45.零信任打破传统边界防护思路，建立了一套以身份为中心，以最小化实时授权为核心，以多维信任算法为基础，认证达末端的动态安全架构。然而当前零信任落地应用面临技术转型、企业管理思维转变、基础设施迁移等难题，且由于链条式的认证和访问控制，建立在其上的服务访问将面临时效性挑战，可能导致并发的服务阻塞，极易引发分布式拒绝服务(ddos)攻击，且零信任系统自身的安全问题也需要重点持续关注。
46.对此，本发明提出的面向未知攻击防御的安全互锁链机制与零信任安全网关工作在不同层次，两者是互补关系。零信任安全网关工作在网络层，聚焦到达一个企业/组织的“确定性身份认证”和“网络准入”，旨在解决“外网到内网”和“内网到内网”的攻击。面向未知攻击防御的安全互锁链机制工作在应用层，它不关心用户的身份，当用户通过零信任安全网关后，就到达了其保护的范畴。本发明通过建立防御方“不可丢失的阵营”，实现交叉印证与攻击者无感知的自动复原，可达到一种对可疑行为高度敏感的安全联动效果。
47.此外，本发明不仅限于对企业或组织内部环境的安全防御，对于诸如公共服务、公有云等的网络环境可同样实现应用。
48.参见图1，图1为本发明实施例提供的面向未知攻击防御的处理系统的系统架构图，该系统包括：中心调度点10和多个节点20，其中，图1中示出n个节点20。
49.本发明实施例中，中心调度点10是一台组织内部、不对外提供服务的机器，外界的攻击者是不可以访问并发动攻击的，对此，图1中中心调度点10与攻击点之间的连接是中断的，其中，攻击点为攻击者所操作的机器，是攻击者发起攻击的源头。
50.第一节点，用于获得相应操作指令，并向中心调度点10发送印证请求；
51.中心调度点10，用于响应印证请求调取已构建的动态交叉印证链，其中，动态交叉印证链包含多条并行的互锁链，每条互锁链由一个操作点、以及与该条互锁链中操作点建立安全互锁的至少两个验证点所组成，并且，每条互锁链中作为操作点的节点20同时在另外的至少两条互锁链中作为验证点；定位动态交叉印证链中第一节点作为操作点的目标互锁链，并将作为目标互锁链中至少两个验证点的至少两个第二节点的节点信息返回给第一节点；
52.第一节点，还用于基于节点信息与至少两个第二节点进行互锁验证得到目标互锁链对应的互锁验证结果；
53.中心调度点10，还用于捕获互锁验证结果，并基于互锁验证结果对第一节点和至少两个第二节点进行异常检测。
54.本发明实施例中，第一节点为当前获得操作指令、并向中心调度点10发送印证请求的节点20，其作为操作点可以执行相应操作指令。参见下表，在操作点上执行的操作指令可以分为两类，其中一类属于安全相关指令、另一类属于安全无关指令，举例来说，“登录系统”的操作指令可以为安全相关指令、而“创建账户”的操作指令则可以为安全无关指令，而对于安全相关指令和安全无关指令的区分可以考虑不同场景下的不同需求来自定义，本发明对此不做限定。
55.对于属于安全相关指令的操作指令，其执行强依赖于互锁链的交叉印证，需要至少两个验证点进行印证，印证通过才被允许执行，否则认为操作点所在的互锁链存在异常，进而检测其中的异常节点；对于属于安全无关指令的操作指令，其执行不依赖于互锁链的印证机制，可以在操作点上独立执行。
[0056][0057]
对此，任意一个节点20获得相应操作指令后，在确定该操作指令属于安全相关指令的情况下，可以向中心调度点10发送印证请求。
[0058]
中心调度点10则可以通过响应其操作者的输入操作构建动态交叉印证链，如果不考虑资源和性能的限制，动态交叉印证链可以包含任意多条并行的互锁链，每条互锁链上至少包含三个互锁印证节点，即一个操作点和与该操作点建立安全互锁的至少两个验证点(验证点与操作点的对应关系是由中心调度点10所动态分配的)，每个互锁印证节点至少出现在三条互锁链上，也就是说，每个互锁链上的操作点都可以作为验证点出现在另外的至少两条互锁链中，即每条互锁链中作为操作点的节点20同时在另外的至少两条互锁链中作为验证点。
[0059]
为方便理解，以5个节点(分别命名为节点a、b、c、d、e)所组成的动态交叉印证链为例进行说明，参见图2，图2为本发明实施例提供的动态交叉印证链的结构示意图。如图2所示，节点a、b、c、d、e构成了5条并行的互锁链，每条互锁链都是一个(操作点，验证点1，验证点2)的三元组，即(a,b,c)、(b,c,d)、(c,d,e)、(d,e,a)、(e,a,b)，即在每条互锁链中都存在三个互锁印证节点，并且节点a、b、c、d、e均存在于三条并行的互锁链中，分别承担不同的角色。
[0060]
举例来说，节点a执行“写文件”的操作指令，该操作指令被视为防御方不可丢失的阵营，即属于安全相关指令。因此，节点a在获得“写文件”的操作指令后，可以向中心调度点10发送印证请求；中心调度点10响应节点a所发送的印证请求调度已构建的动态交叉印证链，并进一步确定节点a在互锁链(a,b,c)中作为操作点，进而确定在该互锁链中与节点a建立安全互锁的至少两个验证点分别为节点b和节点c，从而将节点b和节点c的节点信息返回给节点a。
[0061]
节点a基于中心调度点10所返回的节点信息与节点b和节点c进行互锁验证，得到互锁链(a,b,c)对应的互锁验证结果。具体的，可以以状态表决、动态权限鉴别、以及三端异构观测这三种方式中的任意一种进行互锁验证。以状态表决机制来说明：
[0062]
通过实现对“写文件”的操作指令的hook(钩子/挂钩)操作，可以实现对使用该操作指令的访问者进行状态信息收集，可以收集包括但不限于代表时间、地理位置、软件环境等的状态信息。由节点a本地验证时间信息，并将收集到的地理位置信息传递给节点b、将软件环境信息传递给节点c，由节点a、b、c进行状态互锁验证，由此可以获得互锁链(a,b,c)对应的互锁验证结果。
[0063]
中心调度点10获得互锁链(a,b,c)对应的互锁验证结果；若该互锁验证结果表征验证通过，则允许节点a执行“写文件”的操作指令；若该互锁验证结果表征验证未通过，则对节点a执行“写文件”的操作指令进行拒止或其他反制操作，同时，中心调度点10会进一步以交叉印证的方式检测节点a、b、c中的异常节点。
[0064]
需要说明的是，在实际场景后除上述状态表决机制外，还可以以动态权限鉴别的方式进行互锁验证，其也可以通过对操作指令的hook操作来实现，基于在动态交叉印证链上的预配置来完成对敏感服务的动态权限鉴别，互锁链上的所有互锁印证节点全部鉴权通过，才可以达成安全共识。此外，还可以以三端异构观测的方式进行互锁验证，比如可以基于文件、通信、进程三端的异构观测机制进行一致性表决。
[0065]
在一些实施例，中心调度点10基于互锁验证结果对第一节点和至少两个第二节点进行异常检测，包括：
[0066]
在互锁验证结果符合预期结果的情况下，确定第一节点和至少两个第二节点均为正常节点；
[0067]
在互锁验证结果不符合预期结果的情况下，激活动态交叉印证链中除目标互锁链以外的其他互锁链，并进行目标互锁链与其它互锁链的交叉印证；根据交叉印证的表决结果确定第一节点和至少两个第二节点中的异常节点。
[0068]
为方便理解，继续以图2所示的动态交叉印证链来说明。继续以节点a执行“写文件”的操作指令来举例，中心调度点10获得互锁链(a,b,c)对应的互锁验证结果。
[0069]
若该互锁验证结果符合预期结果，则确定验证通过，进而确定节点a、b、c均为正常节点。
[0070]
若该互锁验证结果不符合预期结果，则确定验证未通过，则激活动态交叉印证链中除互锁链(a,b,c)以外的其他互锁链，即激活互锁链(b,c,d)、(c,d,e)、(d,e,a)、(e,a,b)，进行互锁链(a,b,c)与互锁链(b,c,d)、(c,d,e)、(d,e,a)、(e,a,b)的交叉印证，根据交叉印证的表决结果，采用服从多数判决的方法定位异常节点，这就可以防止互锁链(a,b,c)中多个节点被攻击者恶意控制抹黑良性节点。从安全角度考虑，假设节点a、b被攻击者恶意控制了，那么它们作为操作点和验证点的功能都不可信，在互锁链(a,b,c)的表决结果中节点c将被抹黑为恶意节点，然而如果节点a作为验证点同时出现在互锁链(d,e,a)、(e,a,b)中，被攻击者控制的节点a不会想要提供可信验证和可信操作的，同理节点b也是如此，因此，在互锁链(b,c,d)、(c,d,e)、(d,e,a)中可以直接或间接的佐证节点a、b为恶意节点，虽然互锁链(e,a,b)的表决结果中节点e也会被抹黑为恶意节点，但通过简单的“少数服从多数”的交叉验证就可以以3：2的比例认定节点a、b都是恶意节点、而节点c、e都是良性节点，继而可以确定节点a、b为异常节点。
[0071]
在此基础上，中心调度点10在确定异常节点的情况下，对异常节点进行删除并替换。本发明实施例中，对于互锁链上的异常节点，中心调度点10可以基于预配置的调度策略对其进行删除并替换为其它节点。中心调度点10上集成了一种实时的调度机制，该调度机制建立在实时检查动态交叉印证链中互锁链间交叉印证的表决结果的基础上，通过实时捕获互锁链的互锁验证结果，对于符合预期的互锁验证结果，中心调度点10不做响应，而对于不符合预期的互锁验证结结果，中心调度点10会自动激活其他并行的互锁链进行交叉印证，通过服从多数判决的方法对异常节点进行精准定位和弹性替换，并且，由于异常节点的
删除和替换是由中心调度点10来完成的，这对于请求服务执行的用户来说是无感的，这就可以实现互锁链的自动复原。
[0072]
基于互锁链自动复原机制，预期实现即使攻击者可以攻破其中一个节点，通过中心调度点10合理的调度机制，可以从互锁链上删除该被攻陷的异常节点，使用其他攻击者无感知的节点进行替换，从而实现互锁链的自动复原。
[0073]
对此，交叉印证的互锁表决机制实现了只要一个节点被攻击者攻陷，建立了互锁的其他节点便可以进行感知，从而形成了一种安全联动性效果。由中心调度点10实现的互锁链自动复原可以实现攻击者无感知的、守护“不能丢失的阵营”(敏感服务或敏感资源)的防御效果。
[0074]
需要说明的是，本发明中，对于动态交叉印证链上的互锁链，攻击者可能会攻陷链上的一个节点，极难同时攻陷链上的两个节点，无法同时攻陷链上的三个节点，原因有两个：其一是链上的节点之间相互陌生，攻击者想要同时攻陷需要在大规模的云节点上进行攻击遍历，成本极高；其二是当发现一个异常节点时，中心调度节点会马上对该异常节点进行删除和替换，这种动态调度的实时性也使得链上几乎不可能出现多个节点被同时攻陷的情况。
[0075]
本发明提供的面向未知攻击防御的处理系统，面向普适化的应用场景，构建一套互锁防御机制，与现有的未知攻击防御方法形成互补。现有的未知攻击防御技术缺乏内生的自我防御机制，对此，本发明也关注未知攻击防御系统自身的安全问题，实现基于弹性重组的互锁机制。
[0076]
基于上述实施例提供的面向未知攻击防御的处理系统，本发明实施例则对应提供一种面向未知攻击防御的处理方法，该方法应用于中心调度点，方法流程图如图3所示，包括如下步骤：
[0077]
s10，响应第一节点获得相应操作指令所发送的印证请求调取已构建的动态交叉印证链，其中，动态交叉印证链包含多条并行的互锁链，每条互锁链由一个操作点、以及与该条互锁链中操作点建立安全互锁的至少两个验证点所组成，并且，每条互锁链中作为操作点的节点同时在另外的至少两条互锁链中作为验证点。
[0078]
s20，定位动态交叉印证链中第一节点作为操作点的目标互锁链，并将作为目标互锁链中至少两个验证点的至少两个第二节点的节点信息返回给第一节点，以实现第一节点基于节点信息与至少两个第二节点进行互锁验证得到目标互锁链对应的互锁验证结果。
[0079]
s30，捕获互锁验证结果，并基于互锁验证结果对第一节点和至少两个第二节点进行异常检测。
[0080]
可选的，步骤s30中“基于互锁验证结果对第一节点和至少两个第二节点进行异常检测”，可以采用如下步骤：
[0081]
在互锁验证结果符合预期结果的情况下，确定第一节点和至少两个第二节点均为正常节点；
[0082]
在互锁验证结果不符合预期结果的情况下，激活动态交叉印证链中除目标互锁链以外的其他互锁链，并进行目标互锁链与其它互锁链的交叉印证；根据交叉印证的表决结果确定第一节点和至少两个第二节点中的异常节点。
[0083]
可选的，上述方法还包括如下步骤：
[0084]
在确定第一节点和至少两个第二节点中的异常节点的情况下，对异常节点进行删除并替换。
[0085]
需要说明的是，本发明实施例的处理方法中各步骤的具体实现可以参见上述处理系统的相应公开部分，在此不再赘述。
[0086]
基于上述实施例提供的面向未知攻击防御的处理方法，本发明实施例则对应提供一种面向未知攻击防御的处理装置，该装置的结构示意图如图4所示，包括：
[0087]
请求响应模块101，用于响应第一节点获得相应操作指令所发送的印证请求调取已构建的动态交叉印证链，其中，动态交叉印证链包含多条并行的互锁链，每条互锁链由一个操作点、以及与该条互锁链中操作点建立安全互锁的至少两个验证点所组成，并且，每条互锁链中作为操作点的节点同时在另外的至少两条互锁链中作为验证点；定位动态交叉印证链中第一节点作为操作点的目标互锁链，并将作为目标互锁链中至少两个验证点的至少两个第二节点的节点信息返回给第一节点，以实现第一节点基于节点信息与至少两个第二节点进行互锁验证得到目标互锁链对应的互锁验证结果；
[0088]
异常检测模块102，用于捕获互锁验证结果，并基于互锁验证结果对第一节点和至少两个第二节点进行异常检测。
[0089]
可选的，异常检测模块102基于互锁验证结果对第一节点和至少两个第二节点进行异常检测，包括：
[0090]
在互锁验证结果符合预期结果的情况下，确定第一节点和至少两个第二节点均为正常节点；
[0091]
在互锁验证结果不符合预期结果的情况下，激活动态交叉印证链中除目标互锁链以外的其他互锁链，并进行目标互锁链与其它互锁链的交叉印证；根据交叉印证的表决结果确定第一节点和至少两个第二节点中的异常节点。
[0092]
可选的，异常检测模块102还用于：
[0093]
在确定第一节点和至少两个第二节点中的异常节点的情况下，对异常节点进行删除并替换。
[0094]
需要说明的是，本发明实施例的处理装置中各模块的具体实现可以参见上述处理系统的相应公开部分，在此不再赘述。
[0095]
基于上述实施例提供的面向未知攻击防御的处理方法，本发明实施例则对应提供一种中心调度点，该中心调度点包括：至少一个存储器和至少一个处理器；存储器存储有应用程序，处理器调用存储器存储的应用程序，应用程序用于实现面向未知攻击防御的处理方法。
[0096]
基于上述实施例提供的面向未知攻击防御的处理方法，本发明实施例则对应提供一种存储介质，存储介质中存储有计算机可执行指令，计算机可执行指令用于执行面向未知攻击防御的处理方法。
[0097]
以上对本发明所提供的一种面向未知攻击防御的处理系统、方法、装置及相关设备进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。
[0098]
需要说明的是，本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。
[0099]
还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备所固有的要素，或者是还包括为这些过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
[0100]
对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。