【技术实现步骤摘要】
本专利技术属于网络安全领域,具体涉及一种基于edr的零信任认证系统。
技术介绍
1、零信任技术针对现有用户行为提取主要为用户行为序列特征的粗粒度提取,缺乏考虑用户行为的时空状态从而导致系统对用户行为进行异常检测是出现大量漏检的现象,需要将大范围时空状态信息和行为类型进行关联映射;其次,需要将用户行为进行聚类分析,从多主机时空的角度上识别行为并将行为信息归纳汇聚,实现更广范围的信息解析。为解决零信任技术存在的获取粒度不足问题及提高用户行为的信息广度问题,使用终端检测响应技术与之结合,补足零信任技术的问题。
2、终端检测响应技术简称edr,是威胁情报驱动的新一代终端安全产品,具备精准检测、快速溯源、高效运维的特点,在攻击发现方面,edr具有态势感知、溯源分析于一体的细粒度动态行为识别,主动发现apt持续攻击行为,全面应对网络威胁。终端检测响应技术通过edr终端及分析引擎处理并分析用户行为结果,持续不断的采集用户行为信息,为零信任的信任评估提供数据基础,同时零信任技术的信任评估结果及访问控制结果也可以作为策略下发给edr终端。本专利技术提出了一种基于edr的零信任认证系统,继承传统edr的优点,解决了零信任体系在获取信息过程中所出现的问题,解决资源管理问题并构建信任体系。
技术实现思路
1、(一)要解决的技术问题
2、本专利技术要解决的技术问题是如何提供一种基于edr的零信任认证系统,以解决零信任技术获取信息粒度不足的问题和构建信任认证与资源获取的回环问题。>
3、(二)技术方案
4、为了解决上述技术问题,本专利技术提出一种基于edr的零信任认证系统,该系统包括三个层级,自底向上分别为:数据采集层、数据解析层和信任认证层;
5、数据采集层,由edr终端组成,edr终端部署于各个服务器及主机上,提供对不同类型的终端数据详细信息的采集,部分可以在edr终端上确定的恶意行为,直接生成告警信息上报给edr分析引擎,并给出溯源数据;
6、数据解析层,由edr分析引擎组成,实现对数据的归类与聚合,实现数据治理与行为分析,通过构建攻击链,在用户的一系列行为中提取关键信息并将其汇聚为行为链条,分析用户恶意行为;数据解析层直接与采集数据交互,实现对数据采集层中各类数据的统一解析与行为构建;
7、信任认证层,对数据解析层的结果进行进一步的分析,以身份与行为作为主体,通过对采集数据的解析判断,构建对各个终端节点的安全状态评估,基于零信任体系特征对所有用户和设备认证与授权,并将edr分析结果作为采信依据之一;通过零信任体系对各个设备进行分析,找出全网的薄弱点。
8、(三)有益效果
9、本专利技术提出一种基于edr的零信任认证系统,与现有技术相比,本专利技术具有以下优点:
10、1.数据采集层提供采集数据涵盖安全信息资源较广,内容多且易扩展,实现软硬件安全功能结合使用的应用场景。
11、2.数据解析层提供基于微服务的增量更新,使得配置与依赖库进行更新时的资源开销更少。
12、3.信任评估层提供零信任体系的行为认证与授权,结合数据解析层结论进一步加强对信任认证的可靠性。
13、4.信任评估层按照基于零信任认证对整体终端进行信任评估,提供对网络内问题的分析与验证,动态调整策略,实现网络安全优化。
本文档来自技高网...【技术保护点】
1.一种基于EDR的零信任认证系统,其特征在于,该系统包括三个层级,自底向上分别为:数据采集层、数据解析层和信任认证层;
2.如权利要求1所述的基于EDR的零信任认证系统,其特征在于,不同类型的终端数据详细信息包括:终端登录信息、进程、服务、开机启动项、注册表、网络连接信息、文件、软件、系统日志、移动存储介质使用信息和告警信息。
3.如权利要求2所述的基于EDR的零信任认证系统,其特征在于,数据采集层全方面采集各类字段,将轻量级虚拟化容器、虚拟机、外设也纳入数据采集的统筹范围内。
4.如权利要求1所述的基于EDR的零信任认证系统,其特征在于,数据解析层以采集数据为基础,对照类型进一步拆分行为信息,构建行为链条,将行为的各类准备步骤、操作、权限设置、链接、访问的文件信息作为依据汇聚为一个攻击链,并分析其是否为恶意行为。
5.如权利要求4所述的基于EDR的零信任认证系统,其特征在于,所述EDR分析引擎对EDR终端收集得到的不同类型的终端数据进行分类,并进行关联分析,得到进程与网络套接字、进程与文件、进程与系统调用、进程与用户关联线索,从
6.如权利要求4所述的基于EDR的零信任认证系统,其特征在于,数据解析层基于微服务增量更新配置与依赖库。
7.如权利要求1-6任一项所述的基于EDR的零信任认证系统,其特征在于,信任认证层根据EDR分析结果对用户行为进行判定,检测用户各个操作行为是否处于零信任体系下,是否通过零信任校验,并对用户行为分析进行信任评估;根据信任评估结果,通过零信任体系对各个终端进行分析计算,判断终端行为是否可信并对其进行安全策略动态调整;根据对全部EDR终端的信任状态进行评估发现网络内薄弱环节,加强网络的体系建设,进一步增强认证系统发现问题的能力。
8.如权利要求7所述的基于EDR的零信任认证系统,其特征在于,根据EDR分析结果对用户行为进行判定,检测用户各个操作行为是否处于零信任体系下,是否通过零信任校验,并对用户行为分析进行信任评估包括如下步骤:
9.如权利要求7所述的基于EDR的零信任认证系统,其特征在于,根据信任评估结果,通过零信任体系对各个终端进行分析计算,判断终端行为是否可信并对其进行安全策略动态调整包括如下步骤:
10.如权利要求7所述的基于EDR的零信任认证系统,其特征在于,根据对全部EDR终端的信任状态进行评估发现网络内薄弱环节包括如下步骤:
...【技术特征摘要】
1.一种基于edr的零信任认证系统,其特征在于,该系统包括三个层级,自底向上分别为:数据采集层、数据解析层和信任认证层;
2.如权利要求1所述的基于edr的零信任认证系统,其特征在于,不同类型的终端数据详细信息包括:终端登录信息、进程、服务、开机启动项、注册表、网络连接信息、文件、软件、系统日志、移动存储介质使用信息和告警信息。
3.如权利要求2所述的基于edr的零信任认证系统,其特征在于,数据采集层全方面采集各类字段,将轻量级虚拟化容器、虚拟机、外设也纳入数据采集的统筹范围内。
4.如权利要求1所述的基于edr的零信任认证系统,其特征在于,数据解析层以采集数据为基础,对照类型进一步拆分行为信息,构建行为链条,将行为的各类准备步骤、操作、权限设置、链接、访问的文件信息作为依据汇聚为一个攻击链,并分析其是否为恶意行为。
5.如权利要求4所述的基于edr的零信任认证系统,其特征在于,所述edr分析引擎对edr终端收集得到的不同类型的终端数据进行分类,并进行关联分析,得到进程与网络套接字、进程与文件、进程与系统调用、进程与用户关联线索,从多终端的角度分析其关联性,进而获取终端与终端之间的攻击行为关联,并将一系列可疑行为进行定性与定义分析,将其进行聚类,梳理行为链条并展示完整...
【专利技术属性】
技术研发人员:陈刚,穆源,赵月,杨茂深,陈月月,黄星河,于越,
申请(专利权)人:中国人民解放军六一六六零部队,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。