摘 要:

近年来,伴随着企业的数字化转型快速落地,内部数据泄露和受高级可持续威胁攻击(Advanced Persistent Threat,APT)的风险不断升级,传统的接入管控模式暴露出一系列问题。针对广域网和云计算环境下接入访问的高度动态化特点,设计动态信任度量的接入管控体系,通过信任持续度量实现对接入访问的动态管控,在不断变化的环境下保障用户接入与访问的安全。同时,针对信任度量核心问题,提出了一种基于随机森林的信任度量算法,有效解决模型应用中样本数量不平衡的问题,加快学习收敛。该算法可应用在广域网络和云平台等不同的网络环境。

内容目录:

1 相关研究现状

1.1 传统的访问控制模型研究

1.2 基于零信任的安全架构

1.2.1 零信任安全理念

1.2.2 软件定义边界

2 基于持续信任的接入控制模型

3 接入管控体系设计

3.1 总体架构接入管控体系

3.1.1 接入代理

3.1.2 接入控制

3.1.3 用户管理

3.1.4 终端管理

3.1.5 流量监测

3.1.6 信任评估引擎

3.1.7 授权管理

3.1.8 态势管理

3.2 工作流程

3.2.1 c身份认证

3.2.2 信任建立

3.2.3 信任持续度量

3.2.4 策略动态调整

4 信任度量算法

4.1 信任度量算法研究现状

4.2 改进的随机森林的信任度量算法

4.2.1 随机森林算法

4.2.2 算法改进

4.2.3 算法实现

5 结 语

随着云计算、移动互联网、物联网等新技术的逐渐普及,企业的数字化转型成为近年来的热点,越来越多的企业将业务搬上了云平台和互联网,员工与客户通过远程访问的方式进行办公、运维、客服等活动。新的业务模式改变了企业网络信息基础设施的架构,带来了网络攻击面扩大,接入人员和终端更具多样性,以及业务数据流动复杂性增加等影响,导致企业信息网络已不存在清晰的、固定的安全边界,因此依靠传统的网络接入与边界防护的解决方案已无法应对有组织的高级持续攻击,而需要全新的网络接入安全架构应对企业数字转型中面临的网络安全风险。

相关研究现状

1.1 传统的访问控制模型研究

使用最广泛的访问控制模型包括自主访问控制(Discretionary Access Control,DAC)模型和强制访问控制(Mandatory Access Control,MAC)模型两类。DAC 模型允许合法访问主体或主体组对客体资源进行访问,通过访问控制表(Access Control List,ACL)描述访问主体对访问资源的权限,具有简单、直观、授权灵活等优点,但客体资源的所有者对访问权限进行管理,易造成访问权限被恶意扩大等问题。

MAC 模型访问主体的权限统一通过系统管理员人为设置,或由操作系统自动地按照严格的安全策略与规则进行设置,其优点是具有较强的访问约束机制,安全级别高,但过于强调信息的保密性,对访问关系变化等不敏感,通常被用于军事、党政等对安全级别要求较高的领域。

鉴于 DAC 和 MAC 的不足,研究者提出了基于 角 色 的 访 问 控 制(Role-Based Access control,RBAC)模型。该模型的基本思想就是将用户与访问权限分离开来,通过角色建立间接的联系,系统可通过生成或取消用户角色的方式实现高效的权限管理,有利于系统对授权关系进行统一管理。然而,RBAC 模型仍存在不足,包括不能根据上下文环境动态管理权限,属性体系过于单一,无法实现复杂的访问控制,以及角色作为一种静态属性无法满足系统对动态访问控制的要求。针对 RBAC 模型的不足,研究者提出了多种改进方案,文献 [1] 提出了一种动态自适应访问控制模型,以资源生命周期为中心,使资源访问控制策略能够随着资源生命周期所处阶段的变化而自动变化,并以资源生命周期为节点进行访问控制。文献 [2] 将行为、时态状态和环境状态引入控制模型,提出了基于行为的访问控制模型,并将 RBAC 中权限到角色的映射转化为权限到行为的映射。文献 [3] 提出了一种基于用户行为信任的云平台访问控制模型,引入层次分析法(Analytic Hierarchy Process,AHP)综合评估用户行为信任度,建立基于行为信任等级的用户服务等级动态分配机制。

1.2 基于零信任的安全架构

1.2.1 零信任安全理念

2010 年 Google 公司首次提出了零信任网络,2020 年 美 国 国 家 标 准 与 技 术 研 究 院(National Institute of Standards and Technology,NIST)发布了零信任架构标准第二版。目前,零信任构建的新型网络安全架构被认为是数字时代下提升信息化系统和网络整体安全性的有效方式,逐渐得到关注和应用。零信任更多的是一种安全理念,其核心原则简单地说就是“永远不要相信”和“始终验证”[4]。零信任假设传统内网并不信任任何访问行为,而均需接受评估才能放行,并且安全管理者需不断分析和评估其内部资产和业务功能的风险,然后制定保护措施以降低安全风险。零信任有许多实现技术,包括软件定义边界(Software Defined Perimeter,SDP)、身份与访问控制 管 理(Identity and Access Management,IAM)、微隔离等。其中,影响最为广泛的是 SDP 技术。

1.2.2 软件定义边界

SDP 是 由 国 际 云 安 全 联 盟(Cloud Security Alliance,CSA)在 2013 年提出的一个安全模型。SDP作为零信任的最佳实践落地技术架构,通过网络隐身保护技术,为企业构建起一个虚拟边界,结合信任评估机制和动态访问控制机制,对网络访问业务活动进行持续监控,不断更新网络访问实体的信任评分,动态地调整控制策略和访问权限来应对网络攻击,有效保护企业的数据资产安全。SDP 安全模型由 SDP 连接发起主机、SDP 连接接受主机和 SDP 控制器 3 部分组成 [5]。SDP 控制器是整个架构的大脑,主要进行主机认证和策略下发,还可以用于认证和授权 SDP客户端和配置到 SDP 网关的连接。SDP 模型的主要特征包括最小特权原则、细粒度的上下文访问控制、以用户为中心、单包授权和传输层保护,以及只允许合法用户在合适的时间访问允许的资源。

基于持续信任的接入控制模型

基于持续信任的接入控制模型是一个动态的接入控制模型,与传统的接入控制模型有两点不同之处:一是引入环境上下文作为接入控制判决的重要因素,并以访问行为的信任度作为判决的依据;二是对信任度的度量是持续活跃在整个访问过程的,并且接入控制策略随着行为和环境的变化而动态调整。基于信任的访问控制模型如图 1 所示。

图 1 基于信任的访问控制模型

在图 1 所示的模型中,用户身份和用户访问行为映射为用户上下文,终端状态映射为终端上下文,网络状态包括网络流量、安全事件等信息,映射为网络上下文。另外,这些访问行为和环境状态在时间窗口映射为历史上下文。利用所有上下文通过信任度量计算出当前信任度,结合预设的安全策略生成接入控制策略并执行,然后将执行状态等信息反馈到历史上下文,作为下一次信任度量的输入,形成持续的信任度量。

 接入管控体系设计

3.1 总体架构接入管控体系

架构对业务提供接入认证、持续信任度量和动态访问控制等关键能力。基于对用户的身份认证、对终端的基线核查和对网络流量的采集分析,汇集各种当前数据和历史数据,进行当前状态的信任度量,并根据信任度对访问策略进行动态调整。总体架构如图 2 所示。

图 2 接入管控体系架构

3.1.1 接入代理

接入代理一般部署在业务访问的终端上,是业务安全访问的起点,提供终端安全防护、身份认证代理、安全隧道封装等功能。

3.1.2 接入控制

网关接入控制网关一般部署在局域网络入口或骨干网络边缘处,是用户接入和业务访问的第一道关卡,用于验证用户身份,并根据管控平台的信任度量结果,对用户访问进行相应的控制。

3.1.3 用户管理

对全网用户身份进行统一管理,可提供身份认证服务,并对用户认证策略和认证状态进行管理。用户管理将用户认证状态信息上报给信任评估引擎。

3.1.4 终端管理

对全网终端进行统一管理,可对主机防护策略、入网主机等进行管理,并可制定终端基线核查策略和入网策略。终端管理将终端入网状态和基线核查状态等信息上报给信任评估引擎。

3.1.5 流量监测

对接入用户的网络流量进行安全监测,分析用户访问行为,发现异常网络行为。流量监测将分析后的流量信息和访问行为等信息上报给信任评估引擎。

3.1.6 信任评估引擎

对用户访问行为进行信任度评估,采集用户、终端、流量等上下文数据,通过信任度量算法评估当前用户访问的信任度,作为动态访问控制的依据。

3.1.7 授权管理

生成动态访问控制策略。基于用户访问权限,根据用户访问信任度进行动态调整,产生访问控制策略,下发到接入控制网关。

3.1.8 态势管理

对全网接入状态进行管理,生成接入态势,并进行总体风险评估。

3.2 工作流程

整个系统主要的工作流程包含 4 步。

3.2.1 c身份认证

用户发起访问时,首先需要进行身份认证,接入代理基于数字证书、生物特征、用户名或口令等方式,向接入控制网关发起认证请求。接入控制网关接收到认证请求后,将相应的认证信息发送到用户管理,对用户身份进行鉴别。如果认证失败,则拒绝用户接入,并记录异常信息。

3.2.2 信任建立

基于信任的接入控制理念表明,仅对用户进行身份鉴别是远远不够的,还需要依据多维上下文信息进行信任度量,才能够建立信任关系。多维上下文信息包括身份认证信息、终端状态信息、网络环境信息,这些信息分别通过不同处理模块收集和产生,并传送到信任评估引擎。信任评估引擎采用智能化的信任度量算法,对身份、终端、网络信息进行综合评估,计算当前用户访问业务的信任度,最后参照业务资源的安全等级,建立用户与访问业务数据之间的信任关系。

3.2.3 信任持续度量

信任建立后需要进行持续的信任度量。持续信任度量的流程和信任建立阶段类似,不同之处在于,用户访问过程中不断产生的数据作为访问历史上下文数据,参与持续度量的计算,得出当前的信任度。

3.2.4 策略动态调整

当信任度发生变化时,授权管理模块需要比对信任度与访问业务数据的授权策略,如果与当前策略不一致,则进行策略动态调整。

信任度量算法

对用户访问行为的信任度量涉及许多因素,包括用户身份、终端环境、网络环境、业务环境、安全策略等,因此,可信度具有多维属性。研究适用于网络接入环境的信任度量方法,是动态信任接入管控的核心问题。

4.1 信任度量算法研究现状

文献 [6] 基于云服务商相关属性计算直接信任度,并根据第三方用户的推荐计算间接信任度,最后通过权重计算得到实体综合信任值。文献 [7] 将灰色系统理论和粗糙集理论与属性权重结合,建立适用于复杂网络环境的动态信任评价模型。文献 [8]提出了一种基于 Hopfield 神经网络的信任模型以及网络可信度的评估方法,但未提出具体的算法描述。文献 [9] 提出了一种基于遗传神经网络的算法用于计算机网络安全评估,但没有给出具体的指标体系。文献 [10] 提出了一种多层次分析框架,采用随机森林算法构建网络安全评估模型。借鉴以上研究,考虑到接入控制环境的实际情况,本文提出一种改进的随机森林算法,对用户接入和访问行为进行信任度量。

4.2 改进的随机森林的信任度量算法

4.2.1 随机森林算法

随机森林是在集成学习理论 的基础上结合随机子空 间 方 法(Random Subspace method, RSM)提出的基于决策树的一种集成学习算法。构造随机森林的具体步骤如下文所述。(1)样本选取。假如有样本库 D,则有放回地随机选取 N 个样本。选取好的样本用来训练一棵决策树。(2)每个样本有 M 个属性,决策树在每个节点需要分裂时,随机从这 M 个属性中选取 m 个属性,然后从这 m 个属性中采用某种策略选择其中一个属性。常见的决策树算法有 ID3 决策树算法、C4.5 决策树算法和分类回归树(Classification And Regression Tree,CART)算法。其中,ID3 决策树算法以香农信息论的信息增益率为衡量标准,C4.5决策树算法通过信息增益率来选择属性,而 CART决策树算法以基尼不纯度为划分准则。(3)每一棵决策树的形成过程都按照步骤 2来分裂,直至所有叶子节点形成,整个决策树形成过程中没有剪枝步骤。(4)按照步骤(1)~(3),建立包含 S 棵树的随机森林。当对一个新的样本数据进行分类时,随机森林中的 S 棵决策树都需要对样本数据进行分类判断。随机森林将每一棵决策树的分类结果进行汇总,最终的分类结果由随机森林汇总的结果决定,一般采用“多数优先”的投票方式或者判断是否超过某一个阈值,来决定数据是否被划为这一类。随机森林建立的整个过程如图 3 所示。

图 3 随机森林建立过程

4.2.2 算法改进

考虑到网络接入控制系统的实际应用环境,在使用随机森林算法时需要注意两个方面的问题:一是在实际环境中,有安全风险的接入行为和访问行为是少数,大多数是可信任的行为,采集的样本是不平衡的;二是实际环境应用时,需要尽可能快地训练出可用的模型用于信任度量,但信任度量面临大量样本和复杂的多维数据,需要加快模型训练速度。因此,可以从以下两个方面进行改进。

(1)对训练样本进行处理

可采用改进的合成少数过采样技术(Synthetic Minority Oversampling Technique,SMOTE) 对 样本数据进行处理,减少不平衡样本带来的影响。SMOTE 本质上是一个过采样(oversampling)算法。该算法对劣势类别的样本,选取 k ∈ [1,n],其中 n为劣势类别的数量,直接对于 k 个数据取平均,得到新的数据样本,

这样得到的新数据是对原数据的轻微扰动,并且能够保证新数据在原有的数据簇中。

(2)加快学习收敛时间

随机森林的学习时间与样本数量、决策树数量、决策树选取的样本属性数量密切相关。可结合 AHP方法,首先对样本属性的权重进行计算、排序,其次根据权重值选取前1/2的属性作为样本基础属性,既降低样本属性数量,又同时保留对训练结果有影响的重要属性。

4.2.3 算法实现

(1)信任度分类

随机森林是一种有监督的分类算法,而在基于信任度量的接入控制中是通过计算信任度的高低来决定是否允许接入。因此,本文在运用随机森林算法时,首先将信任度根据取值区间划分为 5 类:信任度在 [0,40] 范围为极不信任,在 [41,60] 范围为不信任,在 [61,80] 范围为基本信任,在 [81,90] 范围为信任,在 [91,100] 范围为非常信任。接入控制策略可依据不同的信任值类型来制定。

(2)信任度量指标体系

对用户接入与访问的信任度量,应综合考虑用户行为与所处环境的多种因素。因此,借鉴网络安全等级保护 2.0 等标准要求,接入控制系统的信任度量指标体系应包括用户、终端、网络、应用、安全、策略等方面,具体如下文所述。

①用户认证与行为(U1~U16)

包括用户类型等级、角色等级、认证方式、历史信任度、接入频率、接入时间、平均接入时间、选择接入方式的概率、接入失败频率、访问业务频率、时间频率、时长、访问资源频率、时间频率、时长、用户与 IP 关联情况等。

②终端防护(H1~H7)

包括终端防护软件、高 / 中漏洞数量、常见危险端口、杀毒软件、病毒库版本、操作系统用户类型、安全基线评分等。

③网络环境(N1~N12)

总体流量情况包括网络层流量大小、五元组会话数量、包长分布、新建连接数量、上行 / 下行流量比值、syn 数量比值等。用户流量情况包括终端发起的新建连接数量、五元组数量、包长分布、流量大小、上行 / 下行流量比值、syn 数量比值等

④应用防护(S1~S5)

根 据 每 种 协 议 制 定, 例 如 超 文 本 传 输 协 议(Hyper Text Transfer Protocol,HTTP),包括访问时间、访问资源频率、HTTP 应用类型、请求方法、上行和下行流量比值等。

⑤网络攻击(NA1~NA5)

包括攻击数量、攻击类型、攻击威胁程度、与终端 IP 相关的攻击数量、与目的 IP 相关的攻击数量等。

⑥安全装备与策略(P1~P6)

包括终端防护功能、局域网边界防护功能、骨干网边界防护功能、业务网络边界防护功能、过滤策略开启情况、传输保护策略开启情况等。

(3)样本数据处理

包括数据归一化处理和样本平衡梳理。很多采集的数据不是数值类型,可转化为数值类型数据,并进行归一化处理。例如终端防护功能的开启,将它分为登陆控制、外设监控、软件监控、网络外联控制、终端可信加固 5 个功能,每开启 1 个功能,加 0.2,那么终端防护功能的取值分布在 [0,1] 之间。其他类型数据采用类似的方式处理。样本数据的平衡处理参照前述的 SMOTE 方法进行处理。

(4)样本数据属性的优选

采用 AHP 方法对以上指标进行权重计算,选择权重大的 1/2 指标用于后续的随机森林构建。在计算权重时,可按照指标体系的大类分别计算,例如安全装备与策略一类,根据专家系统初步判断其重要性比重依次为 1,2,3,4,5,6,构造判断矩阵 A,并根据判断矩阵得到归一化矩阵 A-,两个矩阵如下:

得出这几种安全事件的一致性向量,经过一致性检查后,可得出权重向量为。计算得到各指标的权重后,按照降序排列,选取前 1/2 的指标作为构建决策树的属性。

(5)随机森林生成参数的选择

①树的数目

森林中树的棵数一般的取值范围为(0,1 000),由于接入控制系统需要更快的收敛,本文默认情况下为 100 棵树,后期可根据实际情况调优。②随机属性个数单棵树在生成时,随机选择的属性个数,本文设定为 M/3,其中 M 为优选后的属性总数。

(6)算法步骤

有训练数据集,属性集,训练步骤如图 4 所示。其中,在产生叶子节点时,确定叶子的特征采用基尼指数算法,算法流程如下:假定当前训练数据集 T,属性集合 A,其中 T的第 k 类样本所占的比例为,基尼值为:

假定属性 a 有 v 个可能的取值,若使用a对训练集T进行划分,则会产生v个分支节点。对于第 v 个分支节点包含了 T 中所有在属性 a 上取值为的样本,记为。可计算属性 a 的基尼指数为:

选择候选属性集合 A 中基尼指数最小的属性作为最优划分属性,即:

图 4 基于随机森林的信任度量算法步骤

 结 语

本文提出了基于持续信任度量的接入控制模型,并基于此模型设计了动态信任的接入管控体系和工作流程,同时,提出了一种基于随机森林的信任度量方法,结合 SMOTE 和 AHP 对多维样本属性进行处理和优选,解决了样本数不平衡和加快训练收敛的问题。基于动态信任度量的接入管控体系实现了从静态认证到动态信任模式的转变,在广域网络和云平台等环境中有广泛的应用前景。

引用本文:廖竣锴 , 程永新 , 张建辉 . 基于动态信任的接入管控体系构建 [J]. 通信技术 ,2022,55(4):473-479.

作者简介 >>>

廖竣锴,男,硕士,高级工程师,主要研究方向为信息安全;

程永新,男,硕士,高级工程师,主要研究方向为信息安全;

张建辉,男,学士,工程师,主要研究方向为信息安全。

选自《通信技术》2022年第4期(为便于排版,已省去参考文献)

商务合作 | 开白转载 | 媒体交流 | 理事服务 

请联系:15710013727(微信同号)

《信息安全与通信保密》杂志投稿

联系电话:13391516229(微信同号)

邮箱:xxaqtgxt@163.com  

《通信技术》杂志投稿

联系电话:15198220331(微信同号)

邮箱:txjstgyx@163.com


谢谢您的「分享|点赞|在看 」一键三连