一种基于网络安全的访问权限鉴别方法、系统及装置与流程

本发明涉及网络安全认证，具体涉及一种基于网络安全的访问权限鉴别方法、系统及装置。

背景技术：

1、互联网技术在国民经济领域内具有重要的地位，伴随着互联网技术的快速发展，网络恶意行为逐渐增多，恶意行为不限于恶意软件，网络病毒，黑客攻击等等，网络恶意行为对网络安全环境造成了威胁，影响个人隐私安全，互联网金融信息安全，网络基础设施安全运行等方面。网络服务端需要准确识别存在恶意行为的网络节点并进行访问权限限制以拦截恶意行为。但恶意行为者会窃取正常权限的网络用户伪装进行攻击，因此需要对网络用户的权限进行鉴别。网络恶意行为通过网络中的恶意流量掺杂在网络站点的流量中对网络服务商以及网络用户进行影响，而大量的网络恶意行为都需要成功被网络节点响应才能够产生影响网络节点，因此网络节点均配备有恶意流量过滤系统，用以对入站的网络流量进行安全鉴别过滤，将疑似有攻击风险的用户站点入站权限进行限制。

2、现有方法通常使用动态安全负载系数方式进行流量熔断（即达到流量阈值后，强制断开节点与公网的网络连接），虽然部署实施简单，但是安全负载系数对于恶意节点突发攻击的情况识别准确性不高，攻击识别触发不灵敏，容易造成严重的网络拥塞，需要进行优化。

技术实现思路

1、为了解决恶意网络用户访问网络权限的准确鉴别与及时更新的技术问题，本发明的目的在于提供一种基于网络安全的访问权限鉴别方法、系统及装置，所采用的技术方案具体如下：

2、第一方面，本发明的实施例提供了一种基于网络安全的访问权限鉴别方法，包括以下步骤：

3、接收预设监测时段内多个用户节点的多个访问请求，多个所述访问请求中的每个访问请求均包括：用户节点的标识信息、访问数据包及其大小、访问请求的发送时间；所述预设监测时段内包括多个遵循时间先后顺序的监测时刻；

4、根据在所述预设监测时段内的每个监测时刻监测的多个用户节点中每个用户节点的访问请求数量及每个访问请求的发送时间，确定在所述预设监测时段内的每个监测时刻对应的多个用户组，其中，每个用户组中包括至少一个用户节点；

5、根据所述预设监测时段内的每个监测时刻对应的多个用户组的访问数据包的外溢指数，确定所述预设监测时段内的目标监测时刻；

6、根据所述目标监测时刻对应的多个用户组中每个用户组的访问数据包的流动倾向值，确定异常用户组。

7、优选的，根据在所述预设监测时段内的每个监测时刻监测的多个用户节点中每个用户节点的访问请求数量及每个访问请求的发送时间，确定在所述预设监测时段内的每个监测时刻对应的多个用户组，包括：

8、根据在所述预设监测时段内的每个监测时刻监测的多个用户节点中每个用户节点的访问请求数量及每个访问请求的发送时间，确定在所述预设监测时段内的每个监测时刻对应的用户节点二维样本空间，所述用户节点二维样本空间中包括在当前监测时刻每个用户节点的访问频次归一化值及访问数据包传输时延；

9、对所述二维样本空间进行聚类处理，得到每个监测时刻对应的多个用户组。

10、优选的，根据在所述预设监测时段内的每个监测时刻监测的多个用户节点中每个用户节点的访问请求数量及每个访问请求的发送时间，确定在所述预设监测时段内的每个监测时刻对应的用户节点二维样本空间，包括：

11、根据每个监测时刻监测的每个用户节点的访问请求数量，确定每个监测时刻每个用户节点的访问频次归一化值；

12、根据每个监测时刻监测的每个用户节点的每个访问请求的发送时间，确定每个监测时刻监测的每个用户节点对应的访问请求中的访问数据包传输时延；

13、以传输时延为横坐标、访问频次归一化值为纵坐标，并根据每个监测时刻监测的每个用户节点的所述访问频次归一化值与所述传输时延，确定每个监测时刻对应的用户节点二维样本空间。

14、优选的，根据所述预设监测时段内的每个监测时刻对应的多个用户组的访问数据包的外溢指数，确定所述预设监测时段内的目标监测时刻，包括：

15、根据每个监测时刻监测的每个用户组的访问数据包流动数量，确定每个监测时刻对应的多个用户组的访问数据包的外溢指数；

16、根据所述外溢指数以及每个监测时刻的时间顺序，确定在所述预设监测时段内监测的多个用户组对应的访问请求的至少一个状态区间；

17、根据每个监测时刻监测得到的多个用户组对应的访问数据包的外溢指数以及至少一个所述状态区间，确定所述目标监测时刻。

18、优选的，根据每个监测时刻监测的每个用户组的访问数据包流动数量，确定每个监测时刻对应的多个用户组的访问数据包的外溢指数，包括：

19、根据每个监测时刻监测的每个用户组的访问数据包流动数量，确定每个监测时刻监测的每个用户组的访问数据包的流动倾向值；所述访问数据包流动数量包括：流入当前用户组的访问数据包数量、流出当前用户组的访问数据包数量；

20、根据每个用户组的访问数据包的流动倾向值，确定每个监测时刻对应的多个用户组的访问数据包的外溢指数。

21、优选的，根据所述外溢指数以及每个监测时刻的时间顺序，确定在所述预设监测时段内监测的多个用户组对应的访问请求的至少一个状态区间，包括：

22、按照每个监测时刻的时间顺序将所述外溢指数进行排列，得到外溢指数序列；

23、确定所述外溢指数序列的至少一个评价区间，至少一个所述评价区间中每个评价区间均包括至少一个外溢指数；

24、根据至少一个所述评价区间中每个评价区间所有外溢指数的均值，确定在所述预设监测时段内监测的多个用户组对应的访问请求的至少一个状态区间，至少一个所述状态区间中每个状态区间均包括至少一个评价区间。

25、优选的，根据每个监测时刻监测得到的多个用户组对应的访问数据包的外溢指数以及至少一个所述状态区间，确定所述目标监测时刻，包括：

26、确定所述预设监测时段内每个监测时刻与至少一个所述状态区间中最后一个状态区间的评价值；

27、根据所述评价值，确定所述预设监测时段内的目标监测时刻。

28、优选的，所述的基于网络安全的访问权限鉴别方法，还包括：

29、断开所述异常用户组与网络服务端的连接，并更新所述异常用户组中的所有用户节点的权限。

30、第二方面，本发明的实施例还提供一种基于网络安全的访问权限鉴别系统，包括：多个用户端以及通过核心网与多个所述客户端通信连接的网络服务端；

31、其中，所述网络服务端包括核心网包括：部署于所述网络服务端边界的防火墙模块以及部署于所述防火墙模块之后并与所述防火墙模块通信连接的堡垒主机模块；所述防火墙模块用于接收多个用户端在预设监测时段内多个用户节点的多个访问请求，多个所述访问请求中的每个访问请求均包括：用户节点的标识信息、访问数据包及其大小、访问请求的发送时间；所述预设监测时段内包括多个遵循时间先后顺序的监测时刻；

32、所述堡垒主机模块用于根据在所述预设监测时段内的每个监测时刻监测的多个用户节点中每个用户节点的访问请求数量及每个访问请求的发送时间，确定在所述预设监测时段内的每个监测时刻对应的多个用户组，其中，每个用户组中包括至少一个用户节点；根据所述预设监测时段内的每个监测时刻对应的多个用户组的访问数据包的外溢指数，确定所述预设监测时段内的目标监测时刻；根据所述目标监测时刻对应的多个用户组中每个用户组的访问数据包的流动倾向值，确定异常用户组。

33、第三方面，本发明的实施例还提供一种基于网络安全的访问权限鉴别装置，包括：存储器和处理器，所述存储器用于存储可执行程序代码，所述处理器用于从存储器中调用并运行该可执行程序代码，使得该装置执行上述任一项所述的基于网络安全的访问权限鉴别方法。

34、本发明具有如下有益效果：

35、通过在预设监测时段内对接收的多个用户节点中每个用户节点的访问请求数量及每个访问请求的发送时间，确定在预设监测时段内的每个监测时刻对应的多个用户组，以实现用户节点的网络拓扑结构划分，每个用户组形成的局部拓扑范围，在该范围中可以降低由于网络时延因素造成异常用户节点的概率；进一步的，根据预设监测时段内的每个监测时刻对应的多个用户组的访问数据包的外溢指数，确定预设监测时段内的目标监测时刻；并根据目标监测时刻对应的多个用户组中每个用户组的访问数据包的流动倾向值，确定异常用户组，以便于后续异常用户组中异常用户节点访问权限的更新；通过分析被攻击后的异常用户节点流量行为的变化，并综合异常用户节点继续渗透网络中其他正常用户节点所产生的群体性流量行为的异常特点进行异常用户的智能鉴权，提高了异常用户节点识别的准确性与访问权限更新的及时性。