本發(fā)明涉及一種零信任網(wǎng)絡(luò)中的智能身份分析方法，其中，包括：定義零信任網(wǎng)絡(luò)中身份的含義，為網(wǎng)絡(luò)中的各種實(shí)體都賦予邏輯身份，進(jìn)行實(shí)體的行為分析；定義身份分析的基準(zhǔn)，賦予各種實(shí)體邏輯身份后進(jìn)行身份的分析；對(duì)于歷史基線，用戶訪問服務(wù)器的歷史上數(shù)天的數(shù)據(jù)向量用作基線數(shù)據(jù)X，同一用戶訪問服務(wù)器在測(cè)試日的數(shù)據(jù)用作測(cè)試數(shù)據(jù)向量x，對(duì)于同伴基線，在某一天訪問服務(wù)器的所有用戶的數(shù)據(jù)向量被用作該某一天的基線數(shù)據(jù)，該某一天的基線數(shù)據(jù)內(nèi)的每個(gè)向量都將根據(jù)該基線進(jìn)行評(píng)分；設(shè)計(jì)異常檢測(cè)算法進(jìn)行智能身份分析，獲取測(cè)試數(shù)據(jù)向量x，設(shè)測(cè)試數(shù)據(jù)向量x具有正態(tài)分布，以比較具有不同分布的測(cè)試數(shù)據(jù)向量x中的異常。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)，特別涉及一種零信任網(wǎng)絡(luò)中的智能身份分析方法。

背景技術(shù)

零信任安全核心思想是默認(rèn)情況下不應(yīng)該信任網(wǎng)絡(luò)內(nèi)部和外部的任何人/設(shè)備/系統(tǒng)，需要基于認(rèn)證和授權(quán)機(jī)制，重構(gòu)網(wǎng)絡(luò)安全的信任基礎(chǔ)。零信任安全摒棄了傳統(tǒng)網(wǎng)絡(luò)安全的防護(hù)架構(gòu)：默認(rèn)內(nèi)網(wǎng)是安全的，安全就是構(gòu)筑企業(yè)的數(shù)字護(hù)城河，通過防火墻、WAF、IPS等邊界安全產(chǎn)品對(duì)企業(yè)網(wǎng)絡(luò)出口進(jìn)行重重防護(hù)，而忽略企業(yè)內(nèi)網(wǎng)的安全。零信任架構(gòu)重新評(píng)估和審視了傳統(tǒng)的邊界安全架構(gòu)，并給出了新思路:應(yīng)該假設(shè)網(wǎng)絡(luò)自始至終充滿外部和內(nèi)部威脅，不能僅憑網(wǎng)絡(luò)位置來評(píng)估信任；默認(rèn)情況下不應(yīng)該信任網(wǎng)絡(luò)內(nèi)部或外部的任何人、設(shè)備、系統(tǒng)，需要基于認(rèn)證和授權(quán)重構(gòu)訪問控制的信任基礎(chǔ)；并且訪問控制策略應(yīng)該是動(dòng)態(tài)的，基于設(shè)備和用戶的多源環(huán)境數(shù)據(jù)計(jì)算得來。零信任對(duì)訪問控制進(jìn)行了范式上的顛覆，引導(dǎo)網(wǎng)絡(luò)安全架構(gòu)從網(wǎng)絡(luò)中心化走向身份中心化。

零信任架構(gòu)提倡的持續(xù)認(rèn)證、動(dòng)態(tài)訪問控制等特性會(huì)顯著增加管理開銷，只有引入智能身份分析，提升管理的自動(dòng)化水平，才能更好的實(shí)現(xiàn)零信任架構(gòu)的落地。智能身份分析可以幫助我們實(shí)現(xiàn)自適應(yīng)的訪問控制，還能夠?qū)Ξ?dāng)前系統(tǒng)的權(quán)限、策略、角色進(jìn)行分析，發(fā)現(xiàn)潛在的策略違規(guī)并觸發(fā)工作流引擎進(jìn)行自動(dòng)或人工干預(yù)的策略調(diào)整，實(shí)現(xiàn)治理的閉環(huán)。

實(shí)現(xiàn)智能身份分析的關(guān)鍵問題就是檢測(cè)出受損的用戶帳戶和公司內(nèi)部可能有惡意的內(nèi)部人員(流氓用戶)。假設(shè)一個(gè)被破壞的或流氓用戶的行為與他的日常工作職責(zé)本質(zhì)上是不同的，那么這個(gè)問題就更容易解決了。如果每個(gè)用戶的行為都是隨著時(shí)間的推移而被跟蹤的，并且針對(duì)其他類似用戶的行為，那么就可以建立一個(gè)用戶行為的基線配置文件，而與此行為的任何偏差都可以標(biāo)記為潛在的異常情況，以便進(jìn)一步調(diào)查。

發(fā)明內(nèi)容

本發(fā)明的目的在于提供一種零信任網(wǎng)絡(luò)中的智能身份分析方法，用于解決上述現(xiàn)有技術(shù)的問題。

本發(fā)明一種零信任網(wǎng)絡(luò)中的智能身份分析方法，其中，包括：定義零信任網(wǎng)絡(luò)中身份的含義，為網(wǎng)絡(luò)中的各種實(shí)體都賦予邏輯身份，進(jìn)行實(shí)體的行為分析，監(jiān)視日常用戶日常訪問行為，并確定一組特性，以描述每個(gè)用戶在每個(gè)時(shí)間段內(nèi)的訪問模式；定義身份分析的基準(zhǔn)，賦予各種實(shí)體邏輯身份后進(jìn)行身份的分析，歷史基線為根據(jù)用戶過去一段時(shí)間內(nèi)的行為來評(píng)估用戶的行為；同伴基線為根據(jù)所有同伴的行為來評(píng)估用戶的行為；對(duì)于歷史基線，用戶訪問服務(wù)器的歷史上數(shù)天的數(shù)據(jù)向量用作基線數(shù)據(jù)X，同一用戶訪問服務(wù)器在測(cè)試日的數(shù)據(jù)用作測(cè)試數(shù)據(jù)向量x，對(duì)于同伴基線，在某一天訪問服務(wù)器的所有用戶的數(shù)據(jù)向量被用作該某一天的基線數(shù)據(jù)，該某一天的基線數(shù)據(jù)內(nèi)的每個(gè)向量都將根據(jù)該基線進(jìn)行評(píng)分；設(shè)計(jì)異常檢測(cè)算法進(jìn)行智能身份分析，獲取測(cè)試數(shù)據(jù)向量x，設(shè)測(cè)試數(shù)據(jù)向量x具有正態(tài)分布，以比較具有不同分布的測(cè)試數(shù)據(jù)向量x中的異常。

根據(jù)本發(fā)明所述的零信任網(wǎng)絡(luò)中的智能身份分析方法的一實(shí)施例，其中，各種實(shí)體為網(wǎng)絡(luò)中的人、設(shè)備以及應(yīng)用。

根據(jù)本發(fā)明所述的零信任網(wǎng)絡(luò)中的智能身份分析方法的一實(shí)施例，其中，分析的時(shí)間粒度為每小時(shí)、每天或每周。