本發明公開了一種基于操作生成樹狀態機完整性驗證計算系統和方法，包括操作樹生成步驟：接收業務請求，生成操作樹，根據所述操作樹的每個狀態及其轉換條件構成一個狀態機；防火云檢測過濾步驟：對所述操作樹的狀態機進行完整性檢測，根據檢測結果對操作行為進行過濾；類腦計算步驟：為所述操作樹生成步驟、所述防火云檢測過濾步驟提供計算力。本發明通過將用戶操作行為轉化為操作樹狀態機來進行完整性檢測，可以實現雙向檢測，全面檢測，降低業務系統被攻擊的風險，使合法用戶的行為具有安全性和不可抵賴性，并基于類腦計算提供的強大計算力能夠保證業務系統在海量用戶并行訪問時計算的安全性、穩定性和高效性。

技術領域

本發明涉及計算機信息安全領域，特別涉及一種基于操作生成樹狀態機完整性驗證計算方法及系統。

背景技術

隨著計算機與網絡技術的不斷發展，國內外信息化進程迅速發展，電子商務、大中型企業信息系統的應用已經逐漸廣泛化和復雜化。伴隨著信息化網絡系統應用帶來的訊息方便快捷的同時，信息的安全問題成為應用發展面臨的主要問題。

目前市面的網關型安全產品例如防火墻、隔離網閘、安全網關等產品主要根據數據包的源目的MAC地址、IP地址、端口、協議等進行鏈路層、傳輸層、網絡層的過濾，在應用層方面基本是使用代理的方式過濾黑名單，然而這些數據包信息容易被不法分子通過偽裝的方式繞過，以此達到攻擊的目的。現有方法能夠起到一定的安全訪問控制效果，但仍然面臨合法用戶的抵賴行為，不具有抗否認性。而用戶的行為，特別是用戶復雜行為級操作的安全管理與控制在業務量大、業務數據機密性高、業務流量大和實時性要求高的系統中具有重要作用，如銀行系統、公安出入境系統等。

現有普通防火墻不能抵抗最新的未設置策略的攻擊漏洞，防火墻的并發連接數限制容易導致擁塞或者溢出，無法從用戶身份、角色權限、應用類型、傳輸內容等多維度對網絡行為開展完整性的計算識別，并且基于本機承載的傳統防火墻無法在大規模連接的情況下提供足夠的算力及存儲空間支持。

因此，有需要設計一種能夠對海量用戶請求操作進行完整性驗證，保證用戶訪問的安全性與不可否認性的訪問控制方法，從而保證業務系統在海量用戶并行訪問時的安全性、穩定性和高效性。

發明內容

本發明旨在至少解決現有技術中存在的技術問題之一。為此，本發明提出一種基于操作生成樹狀態機完整性驗證計算方法及系統，能夠從用戶身份、角色權限、應用類型、傳輸內容等多維度對網絡行為開展完整性的計算，從而保證業務系統在海量用戶并行訪問時的安全性和可用性，降低業務系統被攻擊的風險。

根據本發明實施例第一方面提供的一種基于操作生成樹狀態機完整性驗證計算方法，包括以下步驟：操作樹生成步驟：接收業務請求，生成操作樹，根據所述操作樹的每個狀態及其轉換條件構成一個狀態機，每個所述狀態機確定對應的業務應用；防火云檢測過濾步驟：對所述操作樹的狀態機進行完整性檢測，根據檢測結果對操作行為進行過濾；所述防火云為基于類腦計算平臺的支撐，集成了惡意代碼、入侵等雙向檢測的智能型應用防火墻云平臺。類腦計算步驟：為所述操作樹生成步驟、所述防火云檢測過濾步驟提供計算力。根據本發明的一些實施例，所述操作樹生成步驟包括以下子步驟：接收用戶登陸系統的操作；將所述操作根據生成樹協議生成操作樹。

根據本發明的一些實施例，所述操作樹生成步驟還包括維護所述操作樹的拓撲結構。

根據本發明的一些實施例，在所述操作樹生成步驟之后，在所述防火云檢測過濾步驟之前，還包括操作樹狀態轉換步驟：基于所述操作樹生成所述操作樹的實時狀態機，根據所述實時狀態機生成實時狀態轉換序列。

根據本發明的一些實施例，所述防火云檢測過濾步驟包括如下步驟：特征生成步驟，生成行為安全基線；特征對比步驟，將所述實時狀態轉換序列與所述行為安全基線對比，對比結果匹配則放行。

根據本發明的一些實施例，所述防火云檢測過濾步驟包括如下步驟：特征生成步驟，生成行為安全基線；特征對比步驟，將所述實時狀態轉換序列與所述行為安全基線對比，對比結果不匹配則攔截并上報。