一種零信任網絡的構建方法，承載軟件定義網絡的服務器采集用戶訪問網絡內部的資源信息，對采集的信息根據訪問請求中攜帶的用戶的唯一標識碼對用戶的訪問行為進行特征化，承載SDN網絡控制平面的服務器接收用戶的訪問請求，根據資源訪問請求的信息進行用戶訪問行為特征化處理，將特征數據預處理后，輸入用戶畫像模型構建模塊計算所述用戶訪問行為的安全特征值，然后將所述安全特征值與被訪問資源的安全門限值進行比較，如果高于則建立訪問數據層的連接，否則，控制層通過丟包處理來舍棄該連接；可有效預防SDN網絡中來自內部或者外部的異常訪問攻擊行為，避免系統遭受重要損失，具有較高的現實意義。

技術領域

本發明涉及互聯網技術領域，更具體地說，本發明涉及一種零信任網絡的構建方法。

背景技術

隨著越來越多的企業將數據與應用部署在云端，與此同時，以內外網為劃分的安全邊界變得模糊。將企業應用數據置于虛擬專用網中，并通過防火墻進行保護的模式現已難以為繼。采用邊界為中心的安全策略所依賴的是內部網絡上一切都是可以信任的，然而這種假設已經不再是安全的。零信任安全模型假設攻擊者可能出現在企業內部網絡，企業內部網絡基礎設施與其它外部網絡一樣，面臨同樣的安全威脅，也容易受到攻擊破壞，并不具有更高的可信度。

因此針對來自網絡內的用戶通過合法途徑非法訪問網絡資源導致的安全問題，需要設計一套方案，區分安全訪問行為與異常訪問的目的，可有效預防來自內部或者外部的安全攻擊行為，最終提升零信任網絡或系統的安全性和可靠性，以解決上述提到的安全問題。

發明內容

為了克服現有技術的上述缺陷，本發明的實施例提供一種零信任網絡的構建方法，通過需要設計一套方法來避免這些問題，以達到區分安全訪問行為與異常訪問的目的，可有效預防來自內部或者外部的安全攻擊行為，最終提升零信任網絡或系統的安全性和可靠性，以解決上述背景技術中提出的問題。

為實現上述目的，本發明提供如下技術方案：承載軟件定義網絡的服務器采集用戶訪問網絡內部的資源信息，對采集的信息根據訪問請求中攜帶的用戶的唯一標識碼對用戶的訪問行為進行特征化，將獲得的所述用戶訪問行為特征數據輸入訓練好的用戶畫像模型中進行智能計算，獲得該用戶訪問行為特征的安全特征值，然后根據用戶的唯一識別碼從用戶畫像中心提取該用戶歷史訪問安全特征值，與當前安全特征值進行平滑運算，獲得加權的安全特征值，并將該加權的安全特征值與被訪問資源的安全訪問門限進行比較，以獲得資源的訪問權限；

零信任網絡構建裝置適用于SDN的控制層，在SDN控制層，零信任網絡構建裝置主要由用戶訪問行為采集模塊，用戶畫像模型構建模塊，用戶畫像中心，資源管理模塊和控制模塊構成，其中用戶訪問行為采集模塊與用戶畫像模型構建模塊相連，用戶畫像中心分別與用戶畫像模型構建模塊、資源管理模塊和控制模塊相連，控制模塊通過Openflow標準定義接口與SDN網絡數據層相連。

在一個優選地實施方式中，其中用戶訪問行為采集模塊采集每一個用戶的每一次資源訪問請求攜帶的請求信息，包括但不限于用戶的唯一識別碼，源IP地址，目的IP地址，訪問的終端類型，訪問的方式等，從訪問請求中獲得信息進行特征化，形成特征數據，特征數據中包含了本發明所述系統的全部用戶行為，任何不在特征數據范圍內的用戶行為都將被禁止或有限訪問，特征數據集合的大小可根據系統的安全控制能力進行刪減，其中特征數據表如下所示；

在一個優選地實施方式中，經過特征化處理后，用戶的任何訪問行為都可認為來自特征數據中某個特征或某些特征的組合，用戶畫像模型構建模塊，采集的用戶訪問資源行為特征數據中的不同特征一般具有不同的數據類型，對于不同的數據類型的特征，需對其進行預處理，便于用戶畫像模型構建模塊的處理，對于類別型的特征數據，比如：登錄方式，登錄設備，IP地址等，采用獨熱編碼方式對其進行量化處理，將不同特征映射至矩陣空間，獲得特征對應唯一的向量，對于文本類型的特征數據，采用詞袋模型進行處理，獲得相應的處理結果，對于值連續分布類型的特征數據，將采用量化的方式獲得易于處理的數值。