抗内部威胁的分布式跨域零信任防护系统及方法

本发明属于计算机网络，具体涉及抗内部威胁的分布式跨域零信任防护系统及方法。

背景技术：

1、随着数字化转型的逐步深入，特别是以移动互联网、大数据、云计算、微服务为代表的新一代信息化建设愈演愈烈，带来了日益开放的企业和行业内网边界。因此，攻击者会通过安全漏洞(0day或nday)、水坑攻击、社会工程、网络钓鱼手段绕过部署严密的企业的防御边界，寻找脆弱的设备进行入侵控制或窃取身份，以披着“合法身份”外衣的失陷设备为跳板实施内部威胁。据ponemon研究所发布的《内部威胁成本全球报告》显示：内部威胁造成的数据泄露成本在2年间增长了44％，达到1500余万美元。然而，现有内部威胁检测方法多关注于恶意内部人员特征及行为，并且被动地检测已经发生的威胁，缺乏主动防御措施。现如今，企业和行业内网规模不断扩大，数量甚至可以达到40万台，给予了攻击者广泛踩点、精准入侵和控制大量失陷设备的机会。伴随着失陷设备在apt攻击、供应链攻击、勒索病毒等主流攻击模式中的充分运用，导致数据泄露事件日益频发。攻击者控制失陷设备，由外及内实施的内部威胁相比单一的恶意人员内部威胁危害性更大。

2、频发的信息安全事件显示，“堡垒最容易从内部攻破”，内网已不是安全的“自留地”。传统以边界模型为基础的网络安全防护策略，虽能有效抑制外部攻击，但难以及时发觉失陷设备造成的数据窃密内部威胁。在这种情况下，零信任能够对来自企业内外的所有访问进行信任评估和动态访问控制，减少来自内部设备的攻击，实现保护资源数据的目的。在零信任安全实施方面，软件定义边界(sdp)被认为是一种有效的零信任安全架构，能够预防、监测和应对那些针对应用程序和基础设施的各种网络攻击及跨域攻击，建立有效性和弹性的安全体系。

3、sdp架构已在实际中得到广泛应用，但是偏向于集中式零信任组件部署，可能导致零信任组件在应对大规模网络时陷入性能瓶颈和处理能力不足的困境。一旦核心组件遭受攻击或单点故障，整个系统可能会面临瘫痪风险。为消除传统零信任安全架构的中心化弱点，有必要研究一种抗内部威胁的分布式跨域零信任防护方法，不仅有助于减轻零信任组件的负担，还能够降低单点故障的风险。

4、当在大型内部网中应用零信任时会遇到一些技术问题，例如:

5、1)偏向于集中式的零信任方案易导致中心化单一部署的零信任组件过载且出现单点失效故障。

6、2)当需要频繁更新或添加信任因素数据时，单链存储将带来存储和访问效率低的问题，也增加了数据安全风险。

7、3)传统关注历史交互行为的静态信任评估模型，计算出的信任值滞后于主体行为变化难以快速响应失陷设备的行为突变，无法及时识别失陷设备。

8、4)攻击者利用失陷设备之间的信任关系，通过域内或域间的网络资源共享等方式实施恶意威胁，甚至移动到高权限的设备上窃取内网敏感数据。

技术实现思路

1、为克服上述现有技术的不足，本发明的目的是提供抗内部威胁的分布式跨域零信任防护系统及方法，具有避免单点故障，提升信任因素的存储和检索速率，实现快速识别失陷设备，突破零信任防护性能瓶颈，预警并隔离失陷设备的特点。

2、为实现上述目的，本发明采用的技术方案是：抗内部威胁的分布式跨域零信任防护系统，其特征在于，包括有设备层、管控层、数据层；

3、所述的设备层：将内网划分为远程办公域、分支机构域、内部管理域、内部生产域的大域；内网中的计算机、移动终端、打印机、路由器、经营管理、安全运维、安保监控、生产控制、生产过程、生产监控等设备分别部署在相应域中；为每个内网设备安装sdp客户端，实时监控其网络活动；当设备发出访问请求，通过sdp客户端建立sdp网关连接，将访问请求提交给sdp控制器；

4、所述的管控层：由h台私有云服务器(pcs)集合φ＝{pcs1,pcs2…,pcsk,…,pcsh}中选出具有sdp控制器和sdp网关功能的主pcs进行持续地动态信任评估，确定是否有权访问所请求的内网数据；此外，采用多链存储的方式，由存储区块链(tfs_chain)集合c＝{tfs_chain a,tfs_chain b,tfs_chain c,tfs_chain d}与索引区块链(tfi_chain)共同实现信任因素的安全存储；

5、所述的数据层：涵盖内网中的员工信息、客户信息、企业管理、经营状况、业务合作、人事财务、生产研发、技术资料的数据，经过零信任的主动式异常监测后，阻断数据窃密内部威胁，在确保安全可行的前提下才能向设备授权访问这些数据。

6、抗内部威胁的分布式跨域零信任防护方法，包括以下步骤：

7、步骤1，分布式跨域零信任组件的部署

8、将内网划分为远程办公域、分支机构域、内部管理域、内部生产域的大域，分散集中式的零信任处理负载，大域按需细分为f个小域；在私有云服务器(pcs)中分离多个具有sdp网关和sdp控制器功能地虚拟机；在云虚拟化基础上，采用三级结构模式进行分布式跨域零信任组件部署；在内网总控模式下，各部署一个总sdp网关和总sdp控制器；在每个大域，各部署一个sdp网关和sdp控制器，以及h-1个备用sdp网关和h-1个备用sdp控制器；在每个小域，各部署一个子sdp网关和子sdp控制器，以及h-1个备用子sdp网关和h-1个备用子sdp控制器；

9、步骤2，信任因素多链存储

10、通过信任因素索引区块链(itf_chain)和信任因素存储区块链(stf_chain)之间的跨链交换实现四个大域内设备信任因素的存储和查询；

11、将sdp客户端安装在设备iti上实时监测设备iti的行为信息并收集信任因素，典型的信任因素如表1所示，s＝{bf,ef,mf}为设备信任因素集合；

12、表1信任因素

13、

14、信任因素索引区块链(tfs_chain)使用私有链作为底层区块链，在继承区块原有参数{前一区块哈希，区块id，时间戳，merkle根}的基础上，新增itseti到tfs_chain区块头上，itseti＝{it1,it2,…,iti,…,itn}表示区块体中所有设备名称的集合；当iti的信任因素变化时，共识节点将s＝{bf,ef,mf}以merkle树的形式封装到区块体中，tfs_chain区块体中的交易集合为stx_set＝{stx1,stx2,…,stxi,…,stxn},交易stxi＝{iti,{bf,ef,mf},{btvi,dtvi,dtvi}}；

15、tfi_chain以联盟链为底层区块链，当信任因素存储在tfs_chain时，相应的位置信息就会被添加到tfi_chain中，新增itseti到tfi_chain区块头上,tfi_chain区块体中的交易集合itx_set＝{itx1,itx2,…,itxi,…,itxn},其中交易itxi＝{iti,tfs_chain_name,block_height,itx_hex,b_hash}，tfs_chain_name指的是信任因素所处tfs_chain区块链的名称，block_height指的是区块高度以定位目标区块，itx_hex指的是交易索引以定位目标交易，b_hash则是相应区块的哈希值；

16、步骤3，跨域零信任主动式异常监测，本步骤又具体包括以下步骤：

17、1)突变信任评估

18、当设备向内网资源发出访问请求时，触发跨域零信任主动式异常监测，基于突变信任评估对设备行为进行度量；

19、2)隔离窗口机制

20、为了增强对失陷设备的隔离能力,定义一个隔离窗口集合i＝{w1,w2,…,wk,…,wp}，设隔离窗口wk的窗口持续时间为stk，将一个隔离窗口wk分为p时间单元，每个时间单元长度为δu＝stk/k，在隔离窗口内断开iti与其他正常设备的网络连接，并进行详细的检查以修复问题，记录iti在每个时间单元内的行为和epvi，实现对设备的持续监控。

21、步骤1所述的分布式跨域零信任组件的运行机制，包括以下步骤：

22、步骤一：sdp客户端具有风险感知机制，当设备向企业内网资源发出访问请求时，sdp客户端首先会将设备信息发送给sdp控制器；

23、步骤二：sdp控制器接收相关设备信息后触发信任评估任务对设备进行异常监测，根据授权策略为其颁发授权凭据并授予设备对内网资源的访问权限信息；

24、步骤三：如果设备被判定为异常，sdp控制器将评估结果发送给sdp网关，拒绝设备的访问请求并发出预警，及时隔离失陷设备，反之，转向步骤四；

25、步骤四：sdp控制器将评估结果以及授权信息发送给sdp网关，分别向sdp网关和设备发送用于建立用户、设备和服务之间双向加密通信所需要的信息，以及向设备提供已授权的网关和服务列表；

26、步骤五：获得授权的设备通过spa技术向sdp网关发送访问请求，sdp网关收到访问请求后首先验证认证结果，解析spa协议请求中包含的目标资源信息和授权凭据中的权限信息，如果两者相匹配，则设备成功建立与sdp网关之间的双向tls加密连接，并成功访问内网资源。

27、信任因素多链存储具体包括以下步骤：

28、1)信任因素上传阶段，本步骤具体包括：

29、步骤一：iti的信任因素随着其行为发生变化，sdp客户端将收集到的信任因素以{iti,{bf,ef,mf},{btvi,dtvi,stvi}}的格式创建交易stxi并广播；

30、步骤二：所有共识节点验证交易stxi并打包到一个新的区块中，将其存储在对应tfs_chain上，以便sdp控制器进行查询及完成后续的信任评估；

31、步骤三：sdp控制器将计算得到的信任值{btti,dtvi,stvi}及相关信任因素{bf,ef,mf}存储到tfs_chain区块链上；

32、步骤四：计算区块哈希b_hash＝hash256(blocki)，将存储位置发送tfi_chain；

33、步骤五：tfi_chain上的索引智能合约(isc)接收信任因素位置信息，共识节点验证交易itxi格式的正确性并将信任因素位置信息存储在tfi_chain上；

34、2)信任因素获取阶段，本步骤具体包括：

35、步骤一：当设备发出访问请求时，sdp控制器向isc发送信任因素查询请求，允许sdp控制器根据iti在tfi_chain中查询位置信息；

36、步骤二：从tfi_chain的各区块头的itseti中确定包含iti的所有区块，根据时间戳找到目标区块，获取具体位置信息；

37、步骤三：isc将访问请求传送到tfs_chain中的信任因素存储智能合约(ssc)，ssc由tfs_chain_name和block_heighti定位到目标区块；

38、步骤四：根据itx_hexi找到目标交易stxi，提取信任因素集合s＝{bf,ef,mf}，lsc将信任因素经过isc传输给sdp控制器。

39、步骤3所述的度量，具体包括以下步骤：

40、步骤一：计算iti的基本信任值btvi：

41、

42、式中：bf1代表访问成功次数，bf2代表访问失败次数；在初始时刻iti的信任值为1，iti的行为信息会使访问成功次数bf1和访问失败次数bf2发生变化，从而导致iti的信任值也发生变化；

43、步骤二：为了使基本信任值btvi具有时效性，引入时间衰减因子t：

44、

45、其中，e为自然对数的底数，γ为时间衰减调节系数，t表示当前信任评估时刻，tn表示最近一次静态信任评估的时刻，根据设备的好坏行为设置不同的奖罚程度，使其具有慢升快降的特性，引入iti的奖励因子frs(i)和惩罚因子fps(i)为：

46、frs(i)＝m(1+e-r)-1     (3)

47、

48、其中,m为frs(i)的权重,n为fps(i)的权重且m<n，r为iti的正常行为次数，nefj为异常信任因素efj出现的次数，e为自然对数的底数；

49、步骤三：引入时间衰减因子和奖罚因子后，进一步计算动态信任值dtvi为：

50、dtvi＝btvi×t×[1+frs(i)-fps(i)]    (5)

51、式中，btvi代表iti的基本信任值，t代表时间衰减因子，frs(i)代表iti的奖励因子和fps(i)代表iti的惩罚因子；

52、步骤四：当iti没有出现恶意行为时，静态信任值在时间衰减因子和奖罚因子的作用下得到动态信任值；当iti出现恶意行为时，为及时反应失陷终端的行为变化，引入一个连续恶意因子epvi作为极速惩罚值：

53、

54、其中动态信任值dtvi∈[0,1]，btvi代表iti的基本信任值。设置初始信任门限值δ＝0.5，nmfj为iti的恶意信任因素mfj的次数，iti的恶意信任因素出现总次数为且ri∈n+，mf(mfj)＝0表示恶意信任因素mfj发生了中断，mf(mfj)＝1表示mfj未中断；

55、步骤五：为了快速识别失陷设备，引入连续恶意因子的突变信任值stvi为：

56、

57、式中，dtvi代表iti的动态信任值，epvi代表极速惩罚值即连续恶意因子，mfj表示恶意信任因素。

58、当btvi、dtvi或者stvi小于阈值δ，判定iti失陷并对其进行隔离，sdp网关拒绝iti发出的访问请求，反之，判定iti正常，sdp网关同意iti的访问请求。

59、所述的隔离窗口机制，按照如下步骤进行：

60、步骤一：当失陷iti发生多次连续恶意行为移至wk时的极速惩罚值为epvi_enter(k)，持续监测iti的行为并加强隔离措施，如果iti在wk内继续发生恶意行为导致epvi_now(k)>epvi_enter(k)就触发信任值计算，如果stvi<δ，iti仍然被视为不可信，将继续维持隔离状态并将其移到wk+1；

61、步骤二：进入wk+1时的极速惩罚值为epvi_enter(k+1)＝epvi_now(k)并重新计时，如果在wk的持续时间结束前，iti恢复正常行为，那么epvi失效导致epvi_now(k)≤epvi_enter(k)，此时计算设备信任值，若stvi≥δ，表示iti表现出了足够的正常行为和信任水平，系统解除隔离状态，转向步骤三；

62、步骤三：在解除窗口隔离状态后，仍然需要持续监测iti的行为和信任值，如果iti再次出现恶意行为或信任值下降，需要重新触发隔离窗口机制。

63、本发明的有益效果是：

64、1)本发明有利于推动大型内网环境中零信任的标准化。

65、在本发明中，结合“设备-管控-数据”的分布式跨域零信任架构适用于大型内部网环境。

66、2)本发明通过跨域分布式多点部署零信任组件来分散集中式零信任处理负载，并避免单点故障。

67、3)本发明采用的多链存储信任因素，减缓了单链存储压力，加强了信任因素存储的安全性，提升了信任因素的存储和检索速率。

68、4)本发明设计的跨域零信任主动式异常监测和隔离窗口机制，实现了快速识别失陷设备，避免泄露内网敏感资源及实施其他内部威胁。

69、5)本发明构建“设备-管控-数据”结合的分布式跨域零信任安全架构，实现对内网数据的安全防护，突破零信任防护性能瓶颈。

70、6)本发明研究不同域划分下的sdp网关和sdp控制器分布式多点部署模式，明确在sdp架构中零信任组件之间的内在联系和运行机制，既能分散零信任处理负载又有效防止单点失效。

71、7)本发明采用多链存储信任因素，实现多链间的跨链交互，提高信任因素存储安全性和整体的存储和检索速率。

72、8)本发明设计跨域零信任主动式异常监测，设计动态信任评估方案迅速衰减失陷设备的信任值并及时识别失陷设备。

73、9)本发明设计隔离窗口机制，预警并隔离失陷设备，防止攻击者以其为跳板横向进入高级权限的敏感设备窃取数据。

74、通过大量的国内外相关文献调研和分析，传统的安全策略已不能适应大规模内网环境。基于零信任理念结合多种安全防护手段来保障内网数据安全，将在未来国内外市场上得到广泛应用。当前企业内网在接入海量设备时，面临零信任中心化部署瓶颈与识别失陷设备滞后性的问题，导致内网敏感数据存在泄露风险。

75、本发明提出一种抗内部威胁的分布式跨域零信任防护方法，为大规模内网环境提供了一个新型安全的零信任模型。围绕数量和种类众多的设备，对企业内网采用区域划分的策略，在三级结构模式中按域分布式多点部署sdp控制器和sdp网关并明确组件之间相互协作以并发处理零信任的信任评估任务，这有助于分散零信任处理负载且有效防止单点失效。其次，sdp客户端实时收集并通过itf_chain和stf_chain多链协同存储信任因素，提高存储安全性和查询效率。最后，通过引入时间衰减因子、奖罚因子和连续恶意因子的动态信任评估能迅速衰减失陷设备的信任值，并设计严格的隔离窗口机制降低失陷设备带来的威胁。

76、综上所述，本发明设计的一种抗内部威胁的分布式跨域零信任防护方法在识别失陷设备和抑制恶意威胁方面效果显著，有助于保护内网资源。