本發明涉及一種積極防御系統中的智能自學習白名單方法和系統。該智能自學習白名單方法包括：獲取用戶發出的用于訪問業務系統的業務數據；獲取正常業務數據特征庫；根據所述正常數據特征庫中的正常業務數據特征生成智能自學習白名單，依據所述智能自學習白名單確定所述業務數據是否屬于正常數據。本發明提供的積極防御系統中的智能自學習白名單方法和系統，通過學習用戶對被保護業務系統的正常業務流量的數據信息，生成智能自學習白名單，不但解決了復雜業務系統和大數據量的誤報問題，而且能夠極大提升被保護業務系統的訪問安全性，將本發明方便快捷應用于各個領域，使得安全防御技術得到巨大提升。

技術領域

本發明涉及網絡安全技術領域，特別是涉及一種積極防御系統中的智能自學習白名單方法和系統。

背景技術

業務系統可能遭受的安全威脅主要有：惡意掃描、黑客攻擊、惡意代碼攻擊、中間人攻擊、僵尸網絡等。另外，很多業務系統上線運行很長時間后，業務系統自身存在邏輯問題、代碼問題、BUG等系列缺陷，造成業務系統的缺陷容易被惡意利用。

據統計，大部分的網絡攻擊行為都來自于應用層面，大部分企業部署了入侵檢測系統、網絡防火墻、網絡防病毒等網絡安全防護系統。其中，防火墻技術多采用黑名單機制對有安全威脅的訪問進行限制，但是黑名單的數據量較大，并且白名單中的客戶端發生任何危險行為都會被列入黑名單，導致黑名單機制不可控，攔截不夠準確。

隨著對安全等級要求的提升，對于受保護業務系統，白名單檢測技術能起到更好的防御效果。白名單通常是預先存儲，判斷客戶端和被保護業務系統之間的連接是否符合白名單，符合則通過，不符合則阻斷并報警。

現有安全防護技術存在如下幾個問題：

1、實際應用中，在復雜業務系統和大數據量時精度和效率都難以滿足需求，誤報嚴重。

2、傳統的網絡安全技術大多采用一次安全認證，認證通過后即長期授予權限。攻擊者可以通過冒用合法用戶身份的方式侵入系統，從而導致安全等級降低或安全機制失效。

3、若將客戶端訪問被保護業務系統的所有業務數據進行多重安全檢測，會大量占用防御系統的資源。

發明內容

為解決現有技術中存在的上述問題，本發明提供了一種積極防御系統中的智能自學習白名單方法和系統。

為實現上述目的，本發明提供了如下方案：

一種積極防御系統中的智能自學習白名單方法，包括：

獲取用戶發出的用于訪問業務系統的訪問請求，生成所述用戶的身份信息；所述身份信息為訪問客戶端的多元組特征值；所述多元組特征值包括：源IP地址、源端口、目的IP地址、協議號和目的端口；

獲取正常業務數據特征庫；所述正常業務數據特征庫為基于白名單學習模型構建的數據庫；

根據所述正常數據特征庫中的正常業務數據特征生成智能自學習白名單，依據所述智能自學習白名單確定所述業務數據是否屬于正常數據；所述正常業務數據是指對被保護業務系統進行正常流量的數據信息。

優選地，所述正常業務數據特征庫的構建過程為：

獲取用戶歷史訪問業務系統的正常業務數據；

根據多元組特征值對所述正常業務數據創建會話，并對所述會話處理得到處理后的會話；所述處理包括篩選和分類；

獲取白樣本學習模型；

將所述處理后的會話輸入所述白樣本學習模型中得到正常業務數據特征，并將所述正常業務數據特征進行存儲，得到正常數據特征庫。

優選地，對所述會話處理得到處理后的會話，具體包括：

對所述會話進行篩選得到正常業務數據；