一种基于零信任的免疫安全防御方法与流程

1.本发明涉及一种安全防御方法，具体涉及一种基于零信任的免疫安全防御方法。


背景技术：

2.随着云计算、人工智能、大数据、物联网等新一代信息技术的快速发展，全球正加速迈向数字化时代，新技术、新业态、新模式正全面融入人类社会、经济、文化、生态文明建设等各领域和全过程，给人类发展带来了广泛而深刻的影响，数字化成为重组要素资源、重塑竞争格局的重要抓手。在数字化为人类带来便利的同时，安全问题和挑战也日益突出。
3.传统的安全防护策略都是在构建安全系统上，常见是建设企业内网安全体系，通常是以物理位置划分网络的边界，通过在划分后的网络边界处部署安全措施如防火墙、ids/ips、防毒墙、waf等，对来自边界外部的各种攻击进行防范，以此构建企业网络安全体系。但是随着攻击手段工具的发展，传统边界内的网络单一设备沦陷已经不可避免。传统的企业通过网段或者vlan进行内部网络权限的隔离，内部划分多个功能的网络区域，区域之间通过防火墙或者其他网络设备进行网络内部权限的划分隔离。企业内部设备通过网络准入认证后，分配到一个网路区域的ip，区域内部基本没有进一步的细化隔离，一旦一台设备沦陷，通过这台设备就可以访问此网段能够访问到的所有的设备或者服务资源的权限。
4.现有的网络安全防御技术存在的问题：（1）、网络安全风险是与生俱来的，任何一个it系统在设计的时候都不可能穷尽所有的逻辑组合，必定存在大量未经处理的逻辑缺陷，因此利用缺陷弱点挖掘漏洞进行威胁攻击是网络安全风险永远的命题。传统“封堵查杀”难以应对未知恶意攻击。
5.（2）、传统的网络安全机制只在通过边界时进行一次性的安全策略检测，如基于ip地址、端口号或协议的规则等，校验通过之后则按照既定策略分配权限，缺乏在交互过程中周期性地或不定期地不断重复的进行校验，对环境、用户、终端等发生变化后产生的风险没有任何防范，极易被不法分子渗透。
6.（3）、传统的网络安全方案缺乏细粒度的访问控制，无法对网络流量进行精确的控制和管理，用户鉴权之后获得的可访问范围远超实际访问需求。例如，在多租户环境下，可能难以实现对不同用户或不同应用程序的细粒度访问控制，从而导致安全风险。
7.（4）、传统的网络安全的访问策略和规则是固化的，通常采用固定的访问控制策略，如基于ip地址、端口号或协议的规则。这种固定策略在面对复杂的网络环境和不断变化的安全威胁时，可能显得不够灵活和智能，容易出现误报和漏报的情况。
8.（5）、传统的基于边界的安全防御策略，是一种整体策略而非个体策略，缺乏对内部应用的微隔离能力，当一台设备被攻陷时，无法通过已有安全规则有效阻止危险从一台设备向其他设备蔓延的过程，尤其是在勒索病毒和挖矿软件在内网横向散播阶段，只能通过类如全网停服的方式处理，严重影响业务运营。
9.（6）、不具备自我完善和自我恢复能力，基于固化的策略规则，系统简单的执行预定好的规则，基于规则做出是或非的判断，当面临复杂的网络形态和新型攻击手段时无能
为力，一次中招次次中招。
10.为解决以上问题，需要一套能够动态免疫的安全防御方法，用零信任体系强制对网络内部所有用户、设备、应用程序和流量进行全面认证和动态授权，通过主动防御，保障组织的信息安全和运营效率。


技术实现要素：

11.为解决现有技术的不足，本发明的目的在于提供一种基于零信任的免疫安全防御方法。
12.为了实现上述目标，本发明采用如下的技术方案：一种基于零信任的免疫安全防御方法，包括：通过统一端点安全，对所有访问主体进行身份验证，以确定其访问行为对访问对象的访问权限；定义会话边界，通过会话管理结合用户实体行为分析系统管理并分析，识别和警示异常行为和潜在的威胁，并将威胁上报给策略中心以做出实时响应；使用应用安全控制保护应用程序不受恶意行为感染，通过机器学习算法训练模型以识别恶意行为和威胁，并将模型集成到策略中心应用于用户实体行为分析系统。
13.上述管理包括：监控会话活动、检测异常会话活动、中止不安全的会话活动。
14.上述应用安全控制包括隔离网络流量，防止恶意行为从受感染的设备或应用程序传播到其他设备或应用程序。
15.上述应用安全控制还包括应用程序的白名单和黑名单，用于限制可执行文件的运行。
16.上述应用安全控制还包括通过应用安全代理网关将内部网络划分为多个安全区域，用于限制流量，监控活动，隔离容易受到攻击的区域，减少威胁在内部网络中的传播。
17.上述访问主体包括接入的设备和用户；所述访问权限包括基于用户的访问控制和/或基于设备属性的访问控制。
18.进一步的，上述访问权限还基于访问的时间、地点、频率，使对访问行为的授权具有时效性和可撤销性。
19.进一步的，上述的免疫安全防御方法，还包括风险评估系统、安全信息和事件管理系统；所述安全信息和事件管理系统用于监控网络流量和系统日志；通过分析设备和用户的安全性能数据，评估其最新的安全事件和威胁情报，由风险评估系统持续评估访问主体的风险水平，基于风险水平再确定其访问权限。
20.上述统一端点安全为安全控制终端，包括反病毒软件、防火墙软件、对操作系统和应用程序进行检测和更新的软件。
21.本发明的有益之处在于：本发明的一种基于零信任的免疫安全防御方法，以网络安全技术为基础，结合实体行为分析等系统，实现了网络安全系统的自适应免疫安全机制，从而变被动防御为主动防御，提升组织的信息安全和运营效率。其优势在于：
1、更好的安全性。在数据传输过程中采用了强加密和身份认证等多种安全技术，所有流量都必须通过一系列严格的安全检查和认证程序，可以提供更加可靠的数据安全保障，从而有效地降低了安全风险。
22.2、动态信任。可以借助人工智能和机器学习技术实时获取网络的状态，并动态地改变设备、应用程序、用户和数据的访问权限。
23.3、自动化响应、阻止扩散。系统具备自动化响应功能，可提供最佳的安全保障，一旦系统检测到威胁，它可以通过自动化流程完成对该威胁的处置和响应。
24.4、更加灵活、持续完善。摒弃了传统的固定边界和信任范围，采用基于策略的动态访问控制和认证机制，可以根据实际需要进行灵活的安全策略调整。
25.本发明的免疫安全防御方法，可实现实时监控和自动化响应，减少了安全事件的处理时间和成本，提高了安全工作的效率。同时可以实现无缝认证和授权，提供更好的用户体验，也保障了用户的隐私和数据安全。同时大幅降低对管理员的技能要求、减少管理员的工作量，可帮助企业更好地应对日益复杂的安全威胁和挑战。
附图说明
26.图1为本发明的基于零信任的免疫安全防御方法的流程图。
具体实施方式
27.以下结合附图和具体实施例对本发明作具体的介绍。
28.一种基于零信任的免疫安全防御方法，如图1所示，其步骤包括：持续校验、细粒度管控、感染控制、自学习完善。
29.一、对访问主体进行持续安全检测：通过统一端点安全（ues（unified endpoint security））实施统一身份管理。对所有的接入设备和用户进行身份验证和授权，以便确定其访问权限，尤其是否有权限访问敏感资源；可包括使用多因素身份验证、终端准入检测、终端黑白名单和访问控制策略。
30.通过软件定义边界对会话进行管理。一旦用户或设备获得了访问权限，通过会话管理可以确保在访问期间仍然被认为是可信的，管理包括监控会话活动、检测异常会话活动、中止不安全的会话活动。
31.统一端点安全控制终端可以保证设备和应用程序的安全性，并减少恶意软件的风险，统一端点安全包括反病毒软件、防火墙软件，和对操作系统和应用程序进行检测和更新的软件。
32.通过实施这些措施，可以在访问主体访问敏感资源时持续地对其进行安全检测，从而帮助保护组织的敏感信息和资源免受安全威胁。
33.二、对访问行为进行细粒度管控：基于访问控制策略，包括基于角色的访问控制（rbac）或基于属性的访问控制（abac），限制用户或设备可以访问哪些资源，即将访问主体的访问行为控制到每个资源对象的最小粒度。
34.用户实体行为分析系统持续的识别和警示异常行为和潜在的威胁（潜在的恶意行为），并将威胁上报给策略中心以做出实时响应，例如中止会话或通知安全管理员；包括使
用入侵检测和防御系统（ids/ips）或安全信息和事件管理系统（siem）来监控网络流量和系统日志。
35.通过风险评估系统，以及安全信息和事件管理系统，分析设备和用户的安全性能数据，评估其最新的安全事件和威胁情报，由风险评估系统持续评估访问主体的风险水平，基于风险水平再确定其访问权限。
36.通过实施这些措施，可以对访问行为进行细粒度管控，以确保只有经过授权的用户和设备可以访问敏感资源，并识别并防止任何未经授权的访问活动。
37.三、控制风险的传播，保障未被感染的应用正常运营：使用用户实体行为分析系统分析检测不寻常或潜在的恶意行为，快速识别感染并防止其传播；采用应用安全控制保证设备和应用程序的安全性，保护应用程序不受恶意行为感染，减少恶意软件的风险。
38.应用安全控制可通过隔离网络流量，防止恶意软件从受感染的设备或应用程序传播到其他设备或应用程序。
39.应用安全控制还可使用应用程序白名单和黑名单来限制可执行文件的运行，以保护应用程序不受恶意软件感染。
40.通过实施这些措施，可以控制风险的传播，保障未被感染的应用正常运营，并保护组织的敏感信息和资源免受安全威胁。
41.四、使用大数据分析和ai技术，通过历史数据，自我学习完善安全策略：使用大数据分析系统对历史数据进行分析，了解攻击者的行为模式、漏洞的利用方式以及攻击的目标，从而制定更加有效的策略，并识别和减少潜在的安全威胁。
42.即通过监视访问主体的活动，使用机器学习算法训练模型以识别恶意行为和威胁，并将模型集成到策略中心应用于用户实体行为分析系统，以进一步对可疑活动进行实时响应。使用机器学习算法更新和调整组织自动化安全策略。
43.使用威胁情报系统了解当前的威胁环境，并将这些信息用于改进策略，威胁情报包括恶意软件样本、攻击者的行为模式以及其他安全事件的信息。
44.使用自适应安全系统帮助组织自动适应不断变化的安全环境，包括使用自适应访问控制（aac）和自适应认证和授权来识别和验证用户身份，以及自适应安全策略来调整访问控制策略。通过使用大数据分析和人工智能技术，可以帮助组织自我完善的安全策略，并不断提高安全性以应对不断变化的安全威胁。
45.实现上述的免疫安全防御方法，具备以下功能模块：上述的免疫安全防御方法，可通过以下的功能模块实现：1、统一端点安全系统统一端点安全系统是一种综合性的安全解决方案，旨在保护企业网络中的所有设备和应用程序。该系统采用了安全模型，强调所有访问都必须经过验证和授权，并通过实时分析和响应来检测和缓解安全威胁。该系统的核心是对所有终端设备和应用程序进行实时安全评估，以确保只有授权的用户和设备才能访问企业网络和应用程序。该系统通常包括以下组件：（1）、认证和授权服务：该服务用于验证用户身份、检查其权限，并授予访问控制。这可以通过多因素身份验证、单点登录和自适应访问控制等技术来实现。
46.（2、终端安全管理：该服务用于管理和保护终端设备的安全性，包括设备管理、安全策略强制执行、漏洞管理和远程擦除等功能。
47.（3）、应用程序安全管理：该服务用于保护企业应用程序的安全性，包括访问控制、数据保护、应用程序级漏洞管理和应用程序可见性等功能。
48.（4）、网络安全管理：该服务用于保护企业网络的安全性，包括网络防火墙、入侵检测和防御、流量分析和网络可见性等功能。
49.（5）、安全事件响应：该服务用于实时检测和响应安全事件，包括威胁情报收集和分析、事件响应和缓解以及漏洞管理等功能。
50.2、策略管理中心（1）、策略是一种安全框架，它要求对所有访问请求都进行严格的身份验证和授权，无论该请求来自内部还是外部网络。实现细粒度访问控制是策略的核心要素之一，策略管理中心需要实现以下几个功能：（2）、建立身份验证机制：策略要求对所有用户进行身份验证，以确保只有合法用户才能访问企业网络。通常采用多重身份验证方式，如使用用户名、密码、多因素身份验证等。
51.（3）、确定访问策略：在身份验证后，需要根据用户的角色、权限和所在位置等信息来确定访问策略。访问策略可以是基于角色的、基于属性的或基于位置的等，以确保用户只能访问他们被授权访问的资源。
52.（4）、实施细粒度授权：细粒度授权是策略的重要组成部分，它要求对所有访问请求进行精细授权，以确保用户只能访问他们被授权的资源。在实现细粒度授权时，需要考虑访问的时间、地点、频率等因素，以保证对访问请求的授权具有时效性和可撤销性。
53.（5）、监控和记录所有访问请求：为了能够快速响应和缓解安全事件，需要对所有访问请求进行实时监控和记录，以便在必要时能够进行审计和调查。监控和记录访问请求可以帮助企业发现异常行为，及时进行阻止和响应。
54.综上所述，策略的细粒度访问控制需要建立严格的身份验证机制、确定访问策略、实施细粒度授权以及监控和记录所有访问请求。这些步骤可以帮助企业更好地控制访问权限，减少安全风险，并提高企业的安全性。
55.3、应用安全代理网关应用代理网关保护应用程序并阻止威胁在内网的横向传播，包含以下功能：（1）、应用保护：对应用程序进行强制访问控制和加密，以保护敏感数据免受未经授权的访问。通过实施细粒度的访问控制和授权策略，防止非授权用户访问应用程序。
56.（2）、基于行为分析监视应用程序的行为，快速发现异常活动并采取适当的措施，以保障应用程序的安全性。
57.（3）、基于策略对内部网络进行同样的严格的身份验证和授权控制，通过将内部网络划分为多个安全区域，限制流量，监控活动，隔离容易受到攻击的区域，减少威胁在内部网络中的传播，同时使用威胁情报和行为分析等技术快速发现和响应横向传播的攻击。
58.应用代理网关通过实施强制访问控制、加密和行为分析等措施，帮助企业保护应用程序和数据，并通过内部网络的划分、流量限制和威胁情报，阻止威胁在内部网络中的横向传播。
59.4、用户实体行为分析系统用户实体行为分析系统（ueba）是一种利用大数据分析和人工智能技术来识别和分析用户行为，以检测和缓解内部和外部威胁的安全解决方案。ueba 通过监控和分析用户访问、行为模式和操作日志等数据，来识别和警示异常行为和潜在的威胁。一个用户实体行为分析系统需要实现以下功能：（1）、实时监控：用户实体行为分析系统需要能够实时监控用户行为，包括浏览、搜索、点击、购买、评论等，以及对系统的访问和使用。
60.（2）、异常检测：用户实体行为分析系统需要能够检测和识别用户行为中的异常模式和异常事件，例如大规模的恶意攻击、账号被盗用等，以及对这些事件进行实时响应。
61.（3）、数据分析：用户实体行为分析系统需要能够对用户行为数据进行分析，以识别用户行为模式、趋势和偏好，并通过预测和建议来提高业务效益。
62.（4）、事件响应：用户实体行为分析系统需要能够快速响应异常事件和安全威胁，例如自动触发安全警报、自动隔离恶意流量等。
63.（5）、数据保护：用户实体行为分析系统需要能够对收集到的用户数据进行加密和保护，以确保用户隐私和数据安全。
64.总之，一个完善的用户实体行为分析系统需要能够识别、分析和响应用户的行为，包括安全威胁和业务需求，并通过提供预测和建议等功能来支持安全策略的不断完善。
65.以上显示和描述了本发明的基本原理、主要特征和优点。本行业的技术人员应该了解，上述实施例不以任何形式限制本发明，凡采用等同替换或等效变换的方式所获得的技术方案，均落在本发明的保护范围内。

技术特征：
1.一种基于零信任的免疫安全防御方法，其特征在于，包括：通过统一端点安全，对所有访问主体进行身份验证，以确定其访问行为对访问对象的访问权限；定义会话边界，通过会话管理结合用户实体行为分析系统管理并分析获得访问权限的访问行为，识别和警示异常行为和潜在的威胁，并将威胁上报给策略中心以做出实时响应；使用应用安全控制保护应用程序不受恶意行为感染；通过机器学习算法训练模型以识别恶意行为和威胁，并将模型集成到策略中心应用于用户实体行为分析系统。2.根据权利要求1所述的免疫安全防御方法，其特征在于，所述管理包括：监控会话活动、检测异常会话活动、中止不安全的会话活动。3.根据权利要求1所述的免疫安全防御方法，其特征在于，所述应用安全控制包括隔离网络流量，防止恶意行为从受感染的设备或应用程序传播到其他设备或应用程序。4.根据权利要求1所述的免疫安全防御方法，其特征在于，所述应用安全控制还包括应用程序的白名单和黑名单，用于限制可执行文件的运行。5.根据权利要求1所述的免疫安全防御方法，其特征在于，所述应用安全控制还包括通过应用安全代理网关将内部网络划分为多个安全区域，用于限制流量，监控活动，隔离容易受到攻击的区域，减少威胁在内部网络中的传播。6.根据权利要求1所述的免疫安全防御方法，其特征在于，所述访问主体包括接入的设备和用户；所述访问权限包括基于用户的访问控制和/或基于设备属性的访问控制。7.根据权利要求5所述的免疫安全防御方法，其特征在于，所述访问权限还基于访问的时间、地点、频率，使对访问行为的授权具有时效性和可撤销性。8.根据权利要求5所述的免疫安全防御方法，其特征在于，还包括风险评估系统、安全信息和事件管理系统；所述安全信息和事件管理系统用于监控网络流量和系统日志；通过分析设备和用户的安全性能数据，评估其最新的安全事件和威胁情报，由风险评估系统持续评估访问主体的风险水平，基于风险水平再确定其访问权限。9.根据权利要求1所述的免疫安全防御方法，其特征在于，所述统一端点安全为安全控制终端，包括反病毒软件、防火墙软件、对操作系统和应用程序进行检测和更新的软件。

技术总结
本发明的一种基于零信任的免疫安全防御方法，通过对访问主体进行持续安全检测，对访问行为进行细粒度管控，控制风险的传播，保障未被感染的应用正常运营；使用大数据分析和AI技术，通过历史数据，自我完善安全策略。其以网络安全技术为基础，结合实体行为分析等系统，实现了网络安全系统的自适应免疫安全机制，提升组织的信息安全和运营效率。通过实现实时监控和自动化响应，减少了安全事件的处理时间和成本，提高了安全工作的效率。同时可以实现无缝认证和授权，提供更好的用户体验，也保障了用户的隐私和数据安全。大幅降低对管理员的技能要求、减少管理员的工作量，可帮助企业更好地应对日益复杂的安全威胁和挑战。地应对日益复杂的安全威胁和挑战。地应对日益复杂的安全威胁和挑战。


技术研发人员：张英涛 秦益飞 杨正权
受保护的技术使用者：江苏易安联网络技术有限公司
技术研发日：2023.07.07
技术公布日：2023/9/9