面向异常行为发现的边界访问控制策略的控制方法及设备

摘要

本发明公开了一种面向异常行为发现的边界访问控制策略的控制方法及设备，获取访问控制请求数据；利用预先确定的进行访问控制策略分区并排序的模型，对访问控制请求数据进行处理，确定与该访问控制请求数据相对应的分区访问控制策略，根据对应的分区访问控制策略对该访问控制请求数据进行记录；预先进行访问控制策略分区并排序的模型的确定过程包括：获取边界访问控制策略；对边界访问控制策略依据访问安全等级进行划分并排序，确定每个分区对应的分区访问策略。优点：解决了策略多、粗、乱等问题，也可针对单独的策略匹配对不同类型的日志进行记录，大大提升了运维和审计效率，同时对异常行为的早发现、早预防打下了良好的基础。

说明书

技术领域

本发明涉及一种面向异常行为发现的边界访问控制策略的控制方法及设备，属于边界访问控制技术领域。

背景技术

随着企业信息化程度的日益加深，网络安全已经成为保障信息系统安全可靠运行的重要前提。边界访问控制软硬件设备可以根据策略对进出的流量进行管控，从而达到保证网络安全的目的。现阶段可结合各安全要求对访问控制策略进行定义，以满足不同区域间的防护需求。

边界访问控制技术已经比较成熟并且广泛应用，不同厂商、不同接口的设备，以及经年日久积累的数千条策略，与其产生的大量日志，给运维和审计造成巨大的挑战。在初始部署阶段，为了让业务尽快上线，避免业务故障，容易忽视互访原则的精确规划问题，大多采用配置宽松策略保证业务需求。在应用后期，随着安全要求逐步落实，边界设备访问控制策略已精确至端口级，但新型攻击手段不乏存在植入木马后从服务器对外发起反向连接等行为，虽然行为也能被防护设备拦截，但没有单独记录该类行为的日志，这些危险信号往往会被淹没在海量的无用日志中，这都对设备的可靠性和可用性造成了巨大的影响。

发明内容

本发明所要解决的技术问题是克服现有技术的缺陷，提供一种面向异常行为发现的边界访问控制策略的控制方法及设备，实现过期策略易清除、重复策略好发现、宽松策略易细化、高危策略好管理，极大提升运维效率。

为解决上述技术问题，本发明提供一种面向异常行为发现的边界访问控制策略的控制方法，获取访问控制请求数据；

利用预先确定的进行访问控制策略分区并排序的模型，对访问控制请求数据进行处理，确定与该访问控制请求数据相对应的分区访问控制策略，根据对应的分区访问控制策略对该访问控制请求数据进行记录；

所述预先进行访问控制策略分区并排序的模型的确定过程包括：

获取边界访问控制策略；

对边界访问控制策略依据访问安全等级进行划分并排序，确定每个分区对应的分区访问策略。

进一步的，所述划分后的分区访问控制策略包括：

特殊访问策略，用于对有特殊、临时需求或是经过评估可开放的高危访问请求进行放行；

高危服务阻断策略，用于对已知漏洞的利用端口、常见蠕虫病毒传播的非常规业务端口进行阻断；

常规访问策略，用于对包含所有常规业务允许跨边界访问请求进行放行；

A区服务器访问B区服务器全IP阻断策略，用于预先标记所有A区服务器IP，阻断A区服务器对B区服务器IP发起的非业务类型的主动请求；A区服务器和B区服务器表示访问控制设备两侧的服务器；

A区服务器全IP访问B区服务器阻断策略，用于预先标记所有B区服务器IP，阻断所有A区服务器IP访问B区服务器的非备案请求；

B区服务器访问A区全IP阻断策略，用于预先标记所有B区服务器IP，阻断B区服务器对A区服务器IP发起的非业务类型的主动请求；

B区服务器全IP访问A区服务器阻断策略，用于预先标记所有A区服务器IP，阻断所有B区服务器IP访问A区服务器的非备案请求；

全阻断策略，用于为满足安全管理要求禁止所有请求；

未生效策略，用于对使用后的临时策略进行观察，达到一定时间后删除临时策略，所述临时策略为由于突发需求，在一定时间内产生的访问需要，完成需要后，策略不在有存在必要的策略。

进一步的，所述根据对应的分区访问控制策略对该访问控制请求数据进行记录的过程包括：

日志等级按涉及内容的安全程度划分为高级、中级、低级三个等级，其中高级的内容包括：异常行为的触发，恶意攻击的拦截；中级的内容包括：特殊需求的访问审计；低级的内容包括：被访问控制设备拦截的剩余访问请求；

若对应的分区控制策略为：

特殊访问策略，记录日志，日志内容包括：安全程度中级、特殊策略命中的次数、特殊策略命中的时段、特殊策略保持链接的时长等信息，根据分析的结果判断此分区内的特殊需求策略是否被正当使用；

高危服务阻断策略，记录日志，日志内容包括：安全程度高级、命中被阻断策略的源IP、命中被阻断策略的目的IP、命中被阻断策略的目的端口等信息，根据分析的结果可发现外部对内发起恶意攻击的主机或内部存在异常行为的主机，对应进行IP封禁或者溯源修复；

业务常规访问策略，则不记录日志；

A区服务器访问B区服务器全IP阻断策略，则记录日志，安全程度高级，根据记录的结果确定阻断原因；

B区服务器访问A区服务器全IP阻断策略，则记录日志，安全程度高级，根据记录的结果确定阻断原因；

B区服务器全IP访问A区服务器阻断策略，则记录日志，安全程度低级，根据记录的结果判断该请求是合法的请求还是攻击行为；

A区服务器全IP访问B区服务器阻断策略，则记录日志，安全程度低级，根据记录的结果判断该请求是合法的请求还是攻击行为；

全阻断策略，则不记录日志；

未生效策略，则不记录日志。

进一步的，每个分区内的访问控制策略按照先一对一再一对多的形式排序，具体过程包括：

获取分区内的访问控制源区域组，源区域组是指源IP的所属区域，明确有哪些IP及对应区域有访问需求；

依据分区内的企业自身业务特性，以地域、单位或从属关系方式对涉及访问控制源区域组进行排序，将排序结果映射至不同分区的访问控制策略顺序上；

每个访问控制源区域组内包括所有涉及该区域组所辖源IP的访问控制策略，每个区域组内的访问控制策略按先一个源IP对一个目的IP的访问控制策略，再一个源IP对多个目的IP的访问控制策略的形式进行排序。

进一步的，访问控制策略的创建包括：

以业务地址的某个或某几个端口为目标对象创建所述访问控制策略。

一种存储一个或多个程序的计算机可读存储介质，所述一个或多个程序包括指令，所述指令当由计算设备执行时，使得所述计算设备执行所述的方法中的任一方法。

一种计算设备，包括，

一个或多个处理器、存储器以及一个或多个程序，其中一个或多个程序存储在所述存储器中并被配置为由所述一个或多个处理器执行，所述一个或多个程序包括用于执行所述的方法中的任一方法的指令。

本发明所达到的有益效果：

本发明结合各类攻击手段及异常行为的网络动作对访问控制策略的配置方法和日志的记录进行了设计，解决了策略多、粗、乱等问题，也可针对单独的策略匹配对不同类型的日志进行记录，大大提升了运维和审计效率，同时对异常行为的早发现、早预防打下了良好的基础。

具体实施方式

下面结合实施例对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案，而不能以此来限制本发明的保护范围。

一种面向异常行为发现的边界访问控制策略的控制方法，

获取访问控制请求数据；

利用预先进行访问控制策略分区并排序的模型，对访问控制请求数据进行处理，确定与该访问控制请求数据相对应的分区，根据对应的分区控制策略记录该访问控制求取的数据进行记录；

所述预先进行访问控制策略分区并排序的模型的确定过程包括：

获取边界访问控制策略；

对边界访问控制策略依据访问安全等级进行划分并排序，确定每个分区对应的分区访问策略。

通过对访问控制策略进行逻辑分区，明确策略的创建逻辑与资源对象的管理方式以实现过期策略易清除、重复策略好发现、宽松策略易细化、高危策略好管理，极大提升了运维效率。通过对访问控制策略日志的分区，减少大量无用日志，极大的提升了日志安全审计效率。这都对异常行为的阻拦和发现起到了不可或缺的作用。

访问控制分区方法：

访问控制分区是指将策略分为几个逻辑或物理区域，按一定的顺序对其进行排列。实现规范管理，大大增加运维人员和管理人员对访问控制策略“增、删、改、查”的效率，同时也为后期日志审计打下良好的基础。可分为9个区域，根据实际情况可以做适应性调整，结合实际情况对区域划分区域安全等级，详细分区如下所示。

日志等级按涉及内容的安全程度划分为高级、中级、低级三个等级，其中高级的内容包括异常行为的触发，恶意攻击的拦截等，有效关注可避免安全风险；中级的内容包括特殊需求的访问审计，有效审计可发现内部人员利用合理访问的异常行为；低级的内容包括被访问控制设备拦截的剩余访问请求，可结合机器学习技术设立业务或风险基线对其匹配内容进行深度分析。

1.特殊访问策略：记录日志。日志内容应包含安全程度中级、特殊策略命中的次数、特殊策略命中的时段、特殊策略保持链接的时长等信息，根据分析的结果判断此分区内的特殊需求策略是否被正当使用（如远程控制、传输、登录等非常规业务）。

2.高危服务阻断策略：记录日志。日志内容应包含安全程度高级、命中被阻断策略的源IP、命中被阻断策略的目的IP、命中被阻断策略的目的端口等信息，根据分析的结果可发现外部对内发起恶意攻击的主机或内部存在异常行为的主机，对应进行IP封禁或者溯源修复；为阻断策略区，对已知漏洞的利用端口、常见蠕虫病毒传播的端口、远程控制、远程登录、远程传输等服务的非常规业务端口进行阻断的策略（如：TCP_23、TCP_135、TCP_139、TCP_445、TCP_3306、TCP_3389等）。

3.常规访问策略：此为放行策略区，包含所有常规业务允许跨边界访问的控制策略。

4.A区服务器访问B区全IP阻断策略：此为阻断策略，标记所有A区服务器ip，阻断A区服务器对B区ip发起的非业务类型的主动请求。

5.A区全IP访问B区服务器阻断策略：此为阻断策略，标记所有B区服务器ip，阻断所有A区ip访问B区服务器的非备案请求。

6.B区服务器访问A区全IP阻断策略：此为阻断策略，标记所有B区服务器ip，阻断B区服务器对A区ip发起的非业务类型的主动请求。

7.B区全IP访问A区服务器阻断策略：此为阻断策略，标记所有A区服务器ip，阻断所有B区ip访问A区服务器的非备案请求。

8.全阻断策略：为满足安全管理要求的全禁止策略。

9.未生效策略：临时策略使用后过期的策略，此区策略观察一定时间（三个月）后删除。

日志记录方法：

访问控制日志是命中访问控制策略后记录的日志，通过合理的日志记录策略可过滤大量无用日志，同时也可以根据实际情况对不同区域设立不同风险等级的字段，通过匹配不同等级的区域定义日志风险的高中低等级，为后续日志深度分析和异常行为的发现打下坚实的基础。

1. 特殊访问策略：记录日志，字段中级，登录，控制，传输等端口，需要对其策略命中的次数、时段、时长等信息进行分析，可由此判断此区策略是否被正当使用。

2.高危服务阻断策略：记录日志，字段高级，高危端口阻断策略多为蠕虫病毒传播或漏洞利用的常规服务端口，且为非业务端口，需要对匹配到的策略进行分析，可发现已感染、沦陷的主机或存在不正当行为的主机，后续可对其进行IP封禁或者溯源。

3.业务常规访问策略：不记录日志。

4.A区服务器访问B区全IP阻断策略：记录日志，字段高级，可以通过匹配日志查看服务器被拦截主动对外发起的请求。原则上极少有服务器主动对外发起连接，往往当服务器感染木马或其他病毒后，才会对其他主机进行扩散或对外发送反向连接的控制的请求。

5.B区服务器访问A区全IP阻断策略：记录日志，字段高级，可以通过匹配日志发现服务器被拦截的主动对外发起的请求。原则上极少有服务器主动对外发起连接，往往当服务器感染木马或其他病毒后，才会对其他主机进行扩散或对外发送反向连接的控制的请求。

6.B区全IP访问A区服务器阻断策略：记录日志，字段低级，可以通过匹配日志发现非法访问服务器被拦截的请求。可人为或结合机器学习根据访问的端口，源ip，访问的时间，访问的频次等多元素进行深度判断该请求是合法的请求还是攻击行为。

7.A区全IP访问B区服务器阻断策略：记录日志，字段低级，可以通过匹配日志发现非法访问服务器被拦截的请求。可人为或结合机器学习根据访问的端口，源ip，访问的时间，访问的频次等多元素进行深度判断该请求是合法的请求还是攻击行为。

8.全阻断策略：不记录日志。

9.未生效策略：不记录日志。

访问控制策略排序和创建方法：

每个分区内的策略应按照先一对一再一对多的形式排序；策略创建应以业务地址的某个或某几个端口为目标对象（如1.1.1.1:80），目的有二，一是便于运维的增删改查，如不会添加重复的策略或进行漏删除。二是便于应急响应，如某一单位全部沦陷，方便对放行策略进行统一操作；策略的排序应以访问同一目标对象的源地址按一定规则（北京、天津……西藏）进行排序。

对于失效和已删除的策略，对其占用的资源（IP地址资源、自定义端口资源）进行一并删除。

对每个分区内的策略应按照先一对一再一对多的形式排序进一步就那些说明：访问控制策略原理上限制的是哪个区域的谁允许/不允许访问另个区域的谁，访问控制策略涉及对象包含：源IP、目的IP、目的端口、策略有效期、是否记录日志、所属分区等信息，为有效优化应急响应效率，同时减小运维的工作量，应对策略须进行合理的的归并与排序。

按源IP的所属区域组（以下简称源区域组）进行排序可实现归并效率最大化，首先应梳理有哪些访问控制源区域组，应由企业根据自身业务特性，以地域、单位或从属关系等方式对涉及访问控制源区域组进行排序，将排序结果映射至不同分区的访问控制策略顺序上。

每个源区域组内应包含所有涉及该区域所辖源IP的访问控制策略，每个组内的访问控制策略应按先“一对一”再“一对多”（即先一个源IP对一个目的IP的访问控制策略，再一个源IP对多个目的IP的访问控制策略）的形式排序。

相应的本发明还提供一种存储一个或多个程序的计算机可读存储介质，所述一个或多个程序包括指令，所述指令当由计算设备执行时，使得所述计算设备执行所述的方法中的任一方法。

相应的本发明还提供一种计算设备，包括，一个或多个处理器、存储器以及一个或多个程序，其中一个或多个程序存储在所述存储器中并被配置为由所述一个或多个处理器执行，所述一个或多个程序包括用于执行所述的方法中的任一方法的指令。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变形，这些改进和变形也应视为本发明的保护范围。