一种针对内外网络的安全威胁防御方法及系统与流程

本发明涉及网络安全领域，尤其涉及一种针对内外网络的安全威胁防御方法及系统。

背景技术：

1、随着计算机网络技术的不断发展，内外网之间的数据交互日益频繁。然而，内网所存储和传输的通常是核心数据资源，一旦遭到来自外部网络的入侵和攻击，将会造成难以估量的损失。目前，针对内外网访问请求的安全性校验主要采用身份验证的方式。通过对请求源进行身份验证，并根据请求源的历史访问状态进行判断，如果身份验证不通过或历史访问状态具有攻击记录，则拒绝该访问请求。然而，这种方式存在较大的局限性。对于未曾出现过的访问请求，通常只有较为简单的身份验证环节。攻击源可能通过盗取或欺骗等手段通过身份验证，从而绕过安全防线，入侵内网，给内网安全造成严重威胁。此外，若对每个访问请求都进行复杂的安全性分析，则会消耗大量的计算资源，影响安全防御性能和响应速度。

技术实现思路

1、本发明针对现有技术中内外网访问请求安全性校验不足，容易被攻击源通过身份验证盗取、欺骗从而入侵内网的技术问题，提供一种针对内外网络的安全威胁防御方法及系统来解决。

2、本发明解决上述技术问题的技术方案如下：

3、第一方面，本发明提供了一种针对内外网络的安全威胁防御方法，包括：响应于外部网络发送的内网访问请求，获得请求源ip地址、请求源域名、请求程序哈希值、访问指令序列；通过威胁情报样本，基于所述请求源ip地址、所述请求源域名、所述请求程序哈希值和所述访问指令序列对所述内网访问请求进行访问风险评估，获得第一访问风险系数；当所述第一访问风险系数小于或等于第一访问风险系数阈值，通过访问日志样本，基于所述访问指令序列对所述内网访问请求进行访问风险评估，获得第二访问风险系数；当所述第二访问风险系数小于或等于第二访问风险系数阈值，接入所述外部网络执行所述内网访问请求。

4、第二方面，本发明提供了一种针对内外网络的安全威胁防御系统，包括：访问请求获取模块，用于响应于外部网络发送的内网访问请求，获得请求源ip地址、请求源域名、请求程序哈希值、访问指令序列；威胁情报评估模块，用于通过威胁情报样本，基于所述请求源ip地址、所述请求源域名、所述请求程序哈希值和所述访问指令序列对所述内网访问请求进行访问风险评估，获得第一访问风险系数；访问日志评估模块，用于当所述第一访问风险系数小于或等于第一访问风险系数阈值，通过访问日志样本，基于所述访问指令序列对所述内网访问请求进行访问风险评估，获得第二访问风险系数；网络接入执行模块，用于当所述第二访问风险系数小于或等于第二访问风险系数阈值，接入所述外部网络执行所述内网访问请求。

5、第三方面，本申请提供了一种电子设备，该设备包括：处理器；用于存储所述处理器可执行指令的存储器；其中，所述处理器用于执行本申请提供的一种针对内外网络的安全威胁防御方法。

6、第四方面，本申请提供了一种计算机可读存储介质，存储有计算机程序，计算机程序用于执行本申请提供的一种针对内外网络的安全威胁防御方法。

7、本发明的有益效果是：

8、响应于外部网络发送的内网访问请求，获得请求源ip地址、请求源域名、请求程序哈希值、访问指令序列，为后续的访问风险评估提供了依据；通过威胁情报样本，基于请求源ip地址、请求源域名、请求程序哈希值和访问指令序列对内网访问请求进行访问风险评估，获得第一访问风险系数，采用威胁情报样本进行快速评估，高效识别已知的恶意请求特征，从而初步判断该请求的风险程度；当第一访问风险系数小于或等于第一访问风险系数阈值时，通过访问日志样本，基于访问指令序列对内网访问请求进行访问风险评估，获得第二访问风险系数，在第一阶段评估未发现高风险的情况下，进一步采用大样本访问日志进行深入分析，通过对访问行为模式的匹配，来综合判断该请求的风险水平，提高风险判断的准确性；当第二访问风险系数小于或等于第二访问风险系数阈值时，接入外部网络执行内网访问请求，只有在两个阶段的风险评估都未超过设定的阈值时，才允许该请求访问内网，确保了内网访问的安全可靠。

9、通过威胁情报样本和访问日志样本的分阶段综合分析，构建了多层次的访问风险评估机制；采用阈值比对的方式，实现对访问请求风险的量化控制；同时，通过小样本快速评估与大样本深度分析相结合，在保证内外网访问控制安全性和可靠性的同时，兼顾了计算资源的节约。该方法有效解决了现有技术中存在的内外网访问请求安全性校验不足的问题，提高了内外网访问控制的安全性和智能化水平。

技术特征：

1.一种针对内外网络的安全威胁防御方法，其特征在于，包括：

2.如权利要求1所述的方法，其特征在于，通过威胁情报样本，基于所述请求源ip地址、所述请求源域名、所述请求程序哈希值和所述访问指令序列对所述内网访问请求进行访问风险评估，获得第一访问风险系数，包括：

3.如权利要求2所述的方法，其特征在于，根据所述攻击源ip地址、所述攻击源域名、所述攻击程序哈希值，对所述请求源ip地址、所述请求源域名、所述请求程序哈希值进行访问风险评估，获得一级访问风险系数，包括：

4.如权利要求2所述的方法，其特征在于，根据所述攻击指令序列对所述访问指令序列进行访问风险评估，添加进初始访问风险系数，包括：

5.如权利要求1所述的方法，其特征在于，当所述第一访问风险系数小于或等于第一访问风险系数阈值，通过访问日志样本，基于所述访问指令序列对所述内网访问请求进行访问风险评估，获得第二访问风险系数，包括：

6.如权利要求5所述的方法，其特征在于，根据所述访问日志样本，对所述访问指令序列进行k项频繁性分析，获得k项非频繁性访问指令数量占比，包括：

7.如权利要求1所述的方法，其特征在于，还包括：

8.一种针对内外网络的安全威胁防御系统，其特征在于，用于实施权利要求1-7任意一项所述的一种针对内外网络的安全威胁防御方法，包括：

9.一种电子设备，其特征在于，包括：

10.一种非暂态计算机可读存储介质，其特征在于，所述存储介质中存储有计算机软件程序，所述计算机软件程序被处理器执行时实现如权利要求1-7任意一项所述的一种针对内外网络的安全威胁防御方法。

技术总结
本发明涉及一种针对内外网络的安全威胁防御方法及系统，涉及网络安全领域，包括：响应于外部网络发送的内网访问请求；通过威胁情报样本，进行访问风险评估，获得第一访问风险系数；当第一访问风险系数小于或等于第一访问风险系数阈值，通过访问日志样本，进行访问风险评估，获得第二访问风险系数；当第二访问风险系数小于或等于第二访问风险系数阈值，接入外部网络执行内网访问请求。本申请解决了现有技术中内外网访问请求安全性校验不足，容易被攻击源通过身份验证盗取、欺骗从而入侵内网的技术问题，达到了通过小样本威胁情报和大样本访问日志的分阶段综合分析来提高内外网访问控制的安全可靠性，并兼顾计算资源节约的技术效果。

技术研发人员：郭义,庄严,赵振动,肖健,冯志文,吴华超
受保护的技术使用者：深圳市常行科技有限公司
技术研发日：
技术公布日：2024/12/19