零信任网络的访问请求处理方法、装置及电子设备制造方法及图纸

本申请提供了一种零信任网络的访问请求处理方法、装置、电子设备及计算机可读存储介质；涉及云技术领域中的安全技术，方法包括：接收合规检查数据，其中，所述合规检查数据是基于针对零信任网络的数据访问请求生成的；将所述合规检查数据与所述零信任网络的动态合规检测策略进行匹配处理，得到所述动态合规检测策略中表征异常数据访问请求的异常动态评估因子；当所述异常动态评估因子满足动态验证条件时，发起对应所述动态合规检测策略的动态验证；根据所述动态验证的结果，针对所述数据访问请求执行符合所述动态合规检测策略的操作。通过本申请，能够通过动态合规检测策略提高响应数据访问请求的安全性。应数据访问请求的安全性。应数据访问请求的安全性。

【技术实现步骤摘要】
零信任网络的访问请求处理方法、装置及电子设备


[0001]本申请涉及云
中的安全技术，尤其涉及一种零信任网络的访问请求处理方法、装置、电子设备及计算机可读存储介质。

技术介绍

[0002]零信任网络中授权用户可通过任何一个可信应用访问到任一个可达区域，为了保证零信任网络中的数据访问请求的安全性以及可信任，相关技术中采取基于客户端周期性上报信息的静态合规检测方案对零信任网络进行安全防护。
[0003]然而，相关技术提供的静态合规检测方案中，仅依赖于客户端的周期性检测进行被动的安全防护，无法有效防御复杂多样的网络攻击。

技术实现思路

[0004]本申请实施例提供一种零信任网络的访问请求处理方法、装置、电子设备及计算机可读存储介质，能够通过动态合规检测策略提高响应数据访问请求的安全性。
[0005]本申请实施例的技术方案是这样实现的：
[0006]本申请实施例提供一种零信任网络的访问请求处理方法，包括：
[0007]接收合规检查数据，其中，所述合规检查数据是基于针对零信任网络的数据访问请求生成的；
[0008]将所述合规检查数据与所述零信任网络的动态合规检测策略进行匹配处理，得到所述动态合规检测策略中表征异常数据访问请求的异常动态评估因子；
[0009]当所述异常动态评估因子满足动态验证条件时，发起对应所述动态合规检测策略的动态验证；
[0010]根据所述动态验证的结果，针对所述数据访问请求执行符合所述动态合规检测策略的操作。
[0011]本申请实施例提供一种零信任网络的访问请求处理装置，包括：
[0012]接收模块，用于接收合规检查数据，其中，所述合规检查数据是基于针对零信任网络的数据访问请求生成的；
[0013]匹配模块，用于将所述合规检查数据与所述零信任网络的动态合规检测策略进行匹配处理，得到所述动态合规检测策略中表征异常数据访问请求的异常动态评估因子；
[0014]验证模块，用于当所述异常动态评估因子满足动态验证条件时，发起对应所述动态合规检测策略的动态验证；
[0015]响应模块，用于根据所述动态验证的结果，针对所述数据访问请求执行符合所述动态合规检测策略的操作。
[0016]在上述方案中，所述匹配模块，还用于将所述合规检查数据与所述零信任网络的动态合规检测策略进行匹配处理，得到所述动态合规检测策略中表征异常数据访问请求的异常动态评估因子之前，响应于针对至少一个动态评估因子的配置操作，获取每个所述动
态评估因子的优先级以及异常条件；将至少一个所述动态评估因子的优先级以及异常条件确定为所述动态合规检测策略。
[0017]在上述方案中，所述验证模块，还用于发起对应所述动态合规检测策略的动态验证之前，响应于针对所述动态验证的配置操作，获取对应所述动态验证的固定动态验证规则以及非固定动态验证规则；将对应所述动态验证的固定动态验证规则以及非固定动态验证规则封装至所述动态合规检测策略，并将所述动态合规检测策略下发至接收所述数据访问请求的零信任网络客户端；获取与所述固定动态验证规则匹配的基准数据，其中，所述基准数据用于在所述动态验证的过程中作为验证依据。
[0018]在上述方案中，所述验证模块，还用于当所述固定的动态验证规则为安装有所述零信任网络客户端的终端的硬件属性时，获取以下基准数据至少之一：所述终端的设备标识、所述终端的资产编号、所述终端的系统盘序列号、所述终端的基本输入输出系统的版本；当所述固定的动态验证规则为对应所述零信任网络客户端的软件属性时，获取以下基准数据至少之一：所述零信任网络客户端的二进制文件的签名信息、所述零信任网络客户端的二进制文件的哈希信息、所述零信任网络客户端的二进制文件的内存信息、所述零信任网络客户端的二进制文件的版本信息；当所述固定的动态验证规则为所述零信任网络客户端的关键服务时，获取以下基准数据中至少之一：所述关键服务的运行状态，所述关键服务的活跃度、所述关键服务对应的可执行文件、所述关键服务的加载组件；当所述固定的动态验证规则为所述零信任网络客户端的关键线程时，获取以下基准数据中至少之一：所述关键线程的线程起始函数，所述关键线程的组件、所述关键线程的堆栈信息；当所述固定的动态验证规则为所述零信任网络客户端的终端的真实性数据时，获取以下所述基准数据中至少之一：所述零信任网络客户端以及对应的零信任网络服务器配置的协议数据、所述零信任网络客户端向所述零信任网络服务器发送的历史心跳数据。
[0019]在上述方案中，所述接收模块，还用于：当所述数据访问请求是针对零信任网络客户端的登录请求时，接收安装有所述零信任网络客户端的终端的硬件属性，并作为所述合规检查数据；当所述数据访问请求是针对目标业务地址的访问请求时，接收零信任网络客户端的登录信息、用户位置、硬件属性、对应所述访问请求的票据信息以及所述目标业务地址对应的应用信息，并作为所述合规检查数据。
[0020]在上述方案中，所述动态合规检测策略中配置的动态评估因子为用户位置因子，所述匹配模块，还用于：获取所述数据访问请求的用户位置；将所述用户位置与所述用户位置因子的异常位置条件进行匹配处理；当所述匹配结果表征所述用户位置满足所述用户位置因子的异常位置条件时，将所述用户位置因子确定为表征异常数据访问请求的异常动态评估因子；其中，所述异常位置条件包括以下至少之一：查询到与所述数据访问请求对应的多个所述用户位置；对应所述数据访问请求的用户位置与历史基准位置之间的距离大于距离阈值。
[0021]在上述方案中，所述动态合规检测策略中配置的动态评估因子为应用因子，所述匹配模块，还用于：获取所述数据访问请求对应的进程数据；将所述进程数据与所述应用因子的异常进程条件进行匹配处理；当所述匹配结果表征所述进程数据满足所述应用因子的异常进程条件时，将所述应用因子确定为表征异常数据访问请求的异常动态评估因子；其中，所述异常进程条件包括以下至少之一：对应所述数据访问请求的业务应用客户端的应
用进程经检测存在异常；对应所述数据访问请求的零信任网络客户端的组件进程经检测存在异常。
[0022]在上述方案中，所述动态合规检测策略中配置的动态评估因子为访问行为因子，所述匹配模块，还用于：获取所述数据访问请求的访问行为数据；将所述访问行为数据与所述访问行为因子的异常行为条件进行匹配处理；当所述匹配结果表征所述访问行为数据满足所述访问行为因子的异常行为条件时，将所述访问行为因子确定为表征异常数据访问请求的异常动态评估因子；其中，所述异常行为条件包括以下至少之一：所述数据访问请求的时间与历史基准时间的第一时间间隔大于第一时间间隔阈值；对应所述数据访问请求的网络地址与历史网络地址不同；针对所述数据访问请求的用户账号，确定所述数据访问请求与所述用户账号针对所述网络地址的最近历史数据访问请求的第二时间间隔，所述第二时间间隔小于第二时间间隔阈值。
[0023]在上述方案中，所述动态合规检测策略中配置的动态评估因子为终端因子，所述匹配模块本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种零信任网络的访问请求处理方法，其特征在于，包括：接收合规检查数据，其中，所述合规检查数据是基于针对零信任网络的数据访问请求生成的；将所述合规检查数据与所述零信任网络的动态合规检测策略进行匹配处理，得到所述动态合规检测策略中表征异常数据访问请求的异常动态评估因子；当所述异常动态评估因子满足动态验证条件时，发起对应所述动态合规检测策略的动态验证；根据所述动态验证的结果，针对所述数据访问请求执行符合所述动态合规检测策略的操作。2.根据权利要求1所述的方法，其特征在于，将所述合规检查数据与所述零信任网络的动态合规检测策略进行匹配处理，得到所述动态合规检测策略中表征异常数据访问请求的异常动态评估因子之前，所述方法还包括：响应于针对至少一个动态评估因子的配置操作，获取每个所述动态评估因子的优先级以及异常条件；将至少一个所述动态评估因子的优先级以及异常条件确定为所述动态合规检测策略。3.根据权利要求1所述的方法，其特征在于，发起对应所述动态合规检测策略的动态验证之前，所述方法还包括：响应于针对所述动态验证的配置操作，获取对应所述动态验证的固定动态验证规则以及非固定动态验证规则；将对应所述动态验证的固定动态验证规则以及非固定动态验证规则封装至所述动态合规检测策略，并将所述动态合规检测策略下发至接收所述数据访问请求的零信任网络客户端；获取与所述固定动态验证规则匹配的基准数据，其中，所述基准数据用于在所述动态验证的过程中作为验证依据。4.根据权利要求1所述的方法，其特征在于，所述接收合规检查数据，包括：当所述数据访问请求是针对零信任网络客户端的登录请求时，接收安装有所述零信任网络客户端的终端的硬件属性，并作为所述合规检查数据；当所述数据访问请求是针对目标业务地址的访问请求时，接收零信任网络客户端的登录信息、用户位置、硬件属性、对应所述访问请求的票据信息以及所述目标业务地址对应的应用信息，并作为所述合规检查数据。5.根据权利要求1所述的方法，其特征在于，所述动态合规检测策略中配置的动态评估因子为用户位置因子，所述将所述合规检查数据与所述零信任网络的动态合规检测策略进行匹配处理，得到所述动态合规检测策略中表征异常数据访问请求的异常动态评估因子，包括：获取所述数据访问请求的用户位置；将所述用户位置与所述用户位置因子的异常位置条件进行匹配处理；当所述匹配结果表征所述用户位置满足所述用户位置因子的异常位置条件时，将所述用户位置因子确定为表征异常数据访问请求的异常动态评估因子；其中，所述异常位置条件包括以下至少之一：
查询到与所述数据访问请求对应的多个所述用户位置；对应所述数据访问请求的用户位置与历史基准位置之间的距离大于距离阈值。6.根据权利要求1所述的方法，其特征在于，所述动态合规检测策略中配置的动态评估因子为应用因子，所述将所述合规检查数据与所述零信任网络的动态合规检测策略进行匹配处理，得到所述动态合规检测策略中表征异常数据访问请求的异常动态评估因子，包括：获取所述数据访问请求对应的进程数据；将所述进程数据与所述应用因子的异常进程条件进行匹配处理；当所述匹配结果表征所述进程数据满足所述应用因子的异常进程条件时，将所述应用因子确定为表征异常数据访问请求的异常动态评估因子；其中，所述异常进程条件包括以下至少之一：对应所述数据访问请求的业务应用客户端的应用进程经检测存在异常；对应所述数据访问请求的零信任网络客户端的组件进程经检测存在异常。7.根据权利要求1所述的方法，其特征在于，所述动态合规检测策略中配置的动态评估因子为访问行为因子，所述将所述合规检查数据与所述零信任网络的动态合规检测策略进行匹配处理，得到所述动态合规检测策略中表征异常数据访问请求的异常动态评估因子，包括：获取所述数据访问请求的访问行为数据；将所述访问行为数据与所述访问行为因子的异常行为条件进行匹配处理；当所述匹配结果表征所述访问行为数据满足所述访问行为因子的异常行为条件时，将所述访问行为因子确定为表征异常数据访问请求的异常动态评估因子；其中，所述异常行为条件包括以下至少之一：所述数据访问请求的时间与历史基准时间的第一时间间隔大于第一时间间隔阈值；对应所述数据访问请求的网络地址与历史网络地址不同；针对所述数据访问请求的用户账号，确定所述数据访问请求与所述用户账号针对所述网络地址的最近历史数据访问请求的第二时间间隔，所述第二时间间隔小于第二时间间隔阈值。8.根据权利要求1所述的方法，其特征在于，所述动态合规检测策略中配置的动态评估因子为终端因子，所述将所述合规检查数据与所述零信任网络的动态合规检测策略进行匹配处理，得到所述动态合规检测策略中表征异常数据访问请求的异常动态评估因子，包括：获取所述数据访问请求的终端数据；将所述终端数据与所述终端因子的异常终端条件进行匹配处理；当所述匹配结果表征所述终端数据满足所述终端因子的异常终端条件时，将所述终端因子确定为表征异常数据访问请求的异常动态评估因子；其中，所述异常终端条件包括以下至少之一：发起所述数据访问请求的用户账号在多个终端同时登录；对应所述数据访问请求的终端信息与活跃终端信息不匹配。9.根据权利要求1所述的方法，其特...

【专利技术属性】
技术研发人员：吴岳廷，
申请(专利权)人：腾讯科技深圳有限公司，
类型：发明
国别省市：