一种基于零信任模型的终端威胁识别和处置方法

本发明属于终端网络安全接入方法领域，特别涉及一种基于零信任模型的终端威胁识别和处置方法。

背景技术：

1、在当今的信息化时代，终端设备如雨后春笋般涌现，其中包括从传统的个人电脑、移动设备到智能家居和工业物联网设备等。这些设备的广泛使用为人们的工作和生活带来了巨大的便利。然而，终端安全的问题也随之日益凸显，成为不容忽视的挑战。由于终端设备种类繁多，其安全性质也各不相同，这使得统一的安全策略和管理变得困难。高级持续性威胁、恶意软件以及多种针对终端的攻击策略层出不穷，对个人和企业数据安全构成了威胁。尤其是远程工作的模式政策，使得终端设备经常在外部、不受保护的网络环境下操作，从而进一步加剧了安全风险。

2、传统的终端安全策略通常采用防火墙、入侵检测系统和杀毒软件等方法来保护设备。这些方法在很大程度上依赖于已知的威胁签名和预定义的安全策略。然而，这样的策略在面对日益复杂和多变的威胁时，往往显得力不从心。传统的方法对于未知威胁的检测能力较弱，而且由于其主要基于反应式策略，当威胁被发现时，损害往往已经发生。此外，随着云计算和移动技术的普及，网络边界变得模糊，传统的基于边界的安全策略难以应对这种变化。

3、零信任模型的思想是“永远不信任，始终验证”。这是一种彻底颠覆传统安全思维的策略，它不再简单地依赖于网络的内部和外部之分，而是要求每一次资源访问都经过严格的验证。在这种模型下，不论是内部员工、合作伙伴还是外部访客，其身份和权限都必须经过详尽的检验。这种方法的优势是显而易见的：

4、深度安全防护：它提供了一种层次更深、更为细致的安全防护机制。不仅仅是在入口处设置防护，而是在每一次数据交互中都实施。

5、对抗先进威胁：它能够有效地识别和对抗高级持续性威胁、内部恶意行为和其他复杂攻击。

6、减少攻击面：由于对每一次访问都进行验证，攻击者很难找到可利用的弱点，大大缩小了潜在的攻击面。

7、动态适应：与传统的静态安全策略不同，零信任模型可以根据实时情境动态调整安全策略，使其更加适应当前的威胁环境，特别是引入智能化的控制策略，有利于应对多变的网络攻击行为。

8、数据隐私保护：所有的数据交互都采用高强度加密，保证数据在传输和存储过程中的隐私性和完整性。

9、综上所述，基于零信任模型的方法为终端安全带来了全新的视角和策略，有望为我们在这个复杂的数字世界中提供更加坚固的安全保障，零信任安全领域需要一种高效的终端威胁识别和处置方法。

技术实现思路

1、本发明旨在推出一种基于零信任模型的终端威胁识别和处置方法。在这个体系内，我们采用了终端的零信任客户端代理，以及服务端的零信任代理模块、策略管理模块、日志审查模块和二次认证模块，融入了逻辑交互及终端的安全策略设计。这种设置使得用户访问模式自动化，无需手动更改或更新规则，从而更高效地识别并抵御攻击。通过这一零信任机制，关键的业务细节得以隐藏，从而显著增强了企业终端对业务系统的安全访问。

2、本发明的技术方案：

3、一种基于零信任模型的终端威胁识别和处置方法，在零信任模型下，基于图图神经网络、时间序列和聚类算法，对终端威胁进行识别和处置，包含以下步骤：

4、步骤一，在终端中构建零信任客户端，后台服务器部署零信任代理模块、策略控制模块、二次认证模块和日志分析模块；

5、步骤二，零信任代理客户端，通过用户名和密码，基于单包授权技术访问零信任代理模块，零信任代理模块、策略控制模块和二次认证模块进行交互，建立零信任代理客户端到零信任代理模块的可信连接通道；

6、零信任代理客户端，通过单包授权方式，使用用户名密码访问零信任代理模块，零信任代理模块转发认证请求到策略控制模块进行用户登录，策略控制模块进行用户名和密码校验，查询用户或设备异常信息；用户名和密码正确，且用户和设备无异常信息，则反馈零信任代理模块登录成功，建立终端到零信任代理模块的信息通道；用户名或密码错误则反馈零信任代理模登录错误。用户和设备异常，则策略控制模块与二次认证模块进行交互，通过零信任代理模块下发二次认证请求到零信任代理客户端，二次认证通过则反馈零信任代理模块登录成功，建立终端到零信任代理模块的信息通道，二次认证失败则反馈零信任代理模登录错误。

7、步骤三，策略控制模块通过零信任代理模块，发送用户或设备的应用访问权限给零信任代理模块；

8、策略控制模块校验用户名和密码成功、以及识别用户和设备无异常后，判断为合法用户和设备，发送应用授权指令到零信任代理模块，通过零信任代理模块下发所有访问权限至终端零信任代理客户端，终端允许具有业务访问权限。

9、步骤四，零信任代理模块将用户和设备的应用访问的日志信息传递给策略控制模块，策略控制模块将日志信息传递给日志分析模块；

10、用户或者设备触发的应用访问请求，通过终端到零信任代理模块的信息通道与后台应用服务器进行交互，零信任代理模块记录用户和设备的应用访问日志信息，包括访问时间、用户名、设备名、设备ip地址、应用名、请求数据包大小、返回数据包大小和http响应状态码。零信任代理模块将用户和设备的应用访问的日志信息传递给策略控制模块，策略控制模块将日志信息传递给日志分析模块。

11、步骤五，日志分析模块对日志数据进行训练分析，对数据进行训练，如图2所示，具体数据训练步骤包含数据处理、设置数据加载器、超参数优化、训练最佳模型、测试并预测异常。日志分析模块对日志进行分析，识别以下异常情况包括：

12、基于图神经网络时间点快照和动态图演变相关：新用户或新终端ip地址的出现；用户与终端ip之间的新关系或失去的关系；用户行为的变化，访问次数、访问时间等；

13、图数神经网络相关：用户和终端访问应用的次数异常；用户和终端访问应用的时间异常；明显不符合用户特征，用户访问行为异常；用户的访问流量异常；

14、时间序列相关：用户和终端访问应用的顺序异常；

15、聚类相关：用户首次访问应用的时间不符合群组特征；用户每天访问应用的次数不符合群组特征；用户访问应用的数据包大小不符合群组特征；用户访问应用的频率不符合群组特征；

16、步骤六，日志分析模块将用户和设备的异常进行标记，并发送相关信息给策略控制模块；

17、日志分析模块将用户和设备的异常进行标记，通过接口传递信息给策略控制模块，信息内容包括用户名、设备ip、异常类别以及识别到的异常点和时间。

18、步骤七，策略控制模块根据用户和设备的异常信息，生成安全指令到零信任代理模块，零信任代理模块生成安全指令到零信任客户端；

19、策略控制模块将用户和设备的异常信息插入策略控制模块数据库，通过查询数据库信息，对于命中异常的用户和设备信息，通知零信任代理模块对于异常的用户触发二次认证，策略控制模块与二次认证模块进行交互，通过零信任代理模块发送二次认证请求到零信任代理客户端。二次认证通过则更新策略控制模块数据库，将异常用户或设备的值重置为正常。二次认证不通过则通过零信任代理模块关闭代理通道。

20、本发明的有益效果：本发明经过不断探索以及试验，提出在终端中构建零信任客户端，后台部署零信任代理模块、策略控制模块、二次认证模块和日志分析模块。当用户使用用户名和密码登录终端时，策略控制模块会校验用户和设备的状态。零信任代理模块持续将用户和设备的应用访问信息报告给策略控制模块。日志分析模块利用图神经网络、时间序列和聚类技术对用户和终端的访问行为进行识别，并联动策略控制模块对异常行为进行实时阻断，从而实现从被动防御到主动防护的转变。这种方式特别适用于企业网络，能够在设备连接网络前减少对外暴露，确保企业核心数据的安全。

21、更进一步，本发明构建了以零信任体系为核心的终端威胁识别和处置方法，并生成了安全指令来监控终端设备。这确保了在出现异常情况时，系统能够及时、高效地响应。例如，如果终端设备在企业网络中受到攻击，产生异常的访问行为，系统可以迅速发出安全指令，立即阻止其进一步访问业务数据，有效避免安全事件的扩大。