本发明涉及信息安全,特别涉及一种针对用户访问的控制决策自适应确定方法。
背景技术:
1、近年来,数据访问控制成为保障信息安全的重要组成部分。随着数据量的爆炸性增长和数据类型的多样化,传统的访问控制方法已难以满足复杂的业务需求。在金融、医疗、物联网等领域,数据的实时性和敏感性要求更高,延伸控制决策逐渐成为关键,确保在动态环境下对数据访问的有效管理和防护。此外,面对不断演变的网络威胁和合规要求,企业亟需更加灵活和智能的访问控制机制来保护其核心数据资产。
2、传统的访问控制方法通常依赖于静态规则和预定义的策略,例如访问控制列表(access control lists,acls)、基于角色的访问控制(role-basedaccess control,rbac)和基于属性的访问控制(attribute basedaccess control,abac)。这些方法在特定环境下有效,但随着业务需求和网络环境的变化,其局限性逐渐显现。静态规则无法动态调整,难以适应实时变化的访问请求和安全威胁。此外,rbac和abac等方法虽然引入了角色和属性的概念,但仍然依赖于预先定义的规则,缺乏对实时上下文信息的响应能力。这些方法在应对复杂、多变的业务场景时,往往显得力不从心,难以提供灵活、精准的访问控制。
3、为了应对传统访问控制方法的局限性,近年来,基于上下文的动态访问控制方法逐渐成为研究热点。目前基于上下文的动态访问控制方法通常通过收集和分析访问请求中的上下文信息,动态调整访问控制决策。一些研究工作提出了结合机器学习和数据挖掘技术,从大量历史访问记录中提取模式和规则,提升访问控制的智能化程度。
4、然而,现有动态访问控制方法无法动态适应多变的访问环境,缺乏对多源异构的上下文信息的综合处理能力,难以在复杂、多变的环境中提供全面、精确的访问控制。
技术实现思路
1、基于此,有必要针对上述技术问题,提供一种针对用户访问的控制决策自适应确定方法。
2、本发明采用下述技术方案:
3、本发明提供了一种针对用户访问的控制决策自适应确定方法,包括:
4、接收包括用户访问上下文信息的访问请求;所述用户访问上下文信息包括用户的访问行为、用户的网络环境和用户的设备状态中的至少一种信息类别;
5、对访问请求中的用户访问上下文信息按照信息类别进行分类;获取每种信息类别对应的初步规则簇,且每个所述初步规则簇中包括多个预设的访问控制规则;
6、针对每个初步规则簇,采用归纳逻辑程序设计算法从该初步规则簇中进行访问控制规则提取,并将提取得到的访问控制规则进行组合得到该初步规则簇对应的最终规则簇;
7、确定用户访问的多个控制决策;针对每个最终规则簇,采用dempster-shafer证据理论,根据该最终规则簇和该最终规则簇对应信息类别的用户访问上下文信息为各控制决策分配支持度,并根据各最终规则簇为不同控制决策分配的支持度确定最终控制决策以进行数据访问控制。
8、可选地,所述访问行为包括访问频率、操作类型、访问资源类型和访问时间中的至少一种,所述网络环境包括网络流量、ip地址来源和连接安全性中的至少一种,所述设备状态包括硬件配置、应用软件版本和安全补丁状态中的至少一种。
9、可选地,所述针对每个初步规则簇,采用归纳逻辑程序设计算法从该初步规则簇中进行访问控制规则提取,具体包括:
10、针对每个初步规则簇,初始化该初步规则簇对应的假设集;
11、通过下式采用归纳逻辑程序设计算法从该初步规则簇中进行多轮访问控制规则提取:
12、将提取得到的访问控制规则置入每轮迭代对应的假设集,直至假设集中的规则能够完全解释预设的访问正例集和访问反例集时停止访问控制规则提取;
13、其中,表示n次迭代后第k个初步规则簇对应的假设集,refine()表示访问控制规则细化函数,表示n-1次迭代后第k个初步规则簇对应的假设集,r(k)表示第k个初步规则簇,e+表示访问正例集,e-表示访问反例集。
14、可选地,所述控制决策包括:允许查看、允许下载、允许修改、允许删除和拒绝访问。
15、可选地,所述采用dempster-shafer证据理论,根据该最终规则簇和该最终规则簇对应信息类别的用户访问上下文信息为各控制决策分配支持度,具体包括:
16、通过下式采用dempster-shafer证据理论,根据该最终规则簇和该最终规则簇对应信息类别的用户访问上下文信息为各控制决策分配支持度:
17、mk(a)=s(hk,ei),
18、
19、其中,a表示任一控制决策,θ表示控制决策集合,mk(a)表示第k个最终规则簇对控制决策a的支持度,s()表示支持度分配函数,hk表示第k个最终规则簇,ei表示第i种信息类别的用户访问上下文信息。
20、可选地,所述根据各最终规则簇为不同控制决策分配的支持度确定最终控制决策,具体包括:
21、通过下式根据各最终规则簇为不同控制决策分配的支持度确定最终控制决策:
22、
23、
24、其中,m(a)表示融合各最终规则簇后对控制决策a的支持度,k表示规则簇冲突度量因子,b和c表示不同于a且互相不同的控制决策,mk(b)表示第k个最终规则簇为控制决策b分配的支持度,mj(c)表示第j个最终规则簇为控制决策c分配的支持度,x表示最终控制决策,表示支持度取最大值时对应的控制决策。
25、可选地,所述访问频率为用户登录服务器的次数;操作类型包括用户对所访问数据进行上传、下载、编辑和删除操作;访问资源类型包括文本、图片和敏感数据;访问时间包括工作日和非工作日。
26、本发明采用的上述技术方案能够达到以下有益效果:
27、本发明先接收携带用户访问上下文信息的访问请求,该用户访问上下文信息包括用户的访问行为、用户的网络环境和用户的设备状态中的至少一种信息类别,再对用户访问上下文信息进行分类,获取每种信息类别对应的初步规则簇,每个初步规则簇中包括多个预设的访问控制规则。针对每个初步规则簇,采用归纳逻辑程序设计算法从该初步规则簇中进行访问控制规则提取,得到对应的最终规则簇,最后,应用dempster-shafer证据理论,针对不同信息类别的用户访问上下文信息,确定对应最终规则簇对各控制决策的支持度并整合,从而确定最终的控制决策。
28、本发明根据实时的用户访问上下文信息进行不同类型的访问控制规则提炼,得到适用于实时上下文信息的自适应访问控制规则,避免了预定义的静态规则的死板,提高了访问控制规则的灵活性;同时通过dempster-shafer证据理论对不同类型下的自适应访问控制规则为不同信息类别的用户访问上下文信息对于不同控制决策分配支持度并融合,得到兼顾不同方面的自适应控制决策,提高了针对用户访问的控制决策的灵活性和准确性,增强了服务安全性。
1.一种针对用户访问的控制决策自适应确定方法,其特征在于,包括:
2.如权利要求1所述的针对用户访问的控制决策自适应确定方法,其特征在于,所述访问行为包括访问频率、操作类型、访问资源类型和访问时间中的至少一种,所述网络环境包括网络流量、ip地址来源和连接安全性中的至少一种,所述设备状态包括硬件配置、应用软件版本和安全补丁状态中的至少一种。
3.如权利要求1所述的针对用户访问的控制决策自适应确定方法,其特征在于,所述针对每个初步规则簇,采用归纳逻辑程序设计算法从该初步规则簇中进行访问控制规则提取,具体包括:
4.如权利要求1所述的针对用户访问的控制决策自适应确定方法,其特征在于,所述控制决策包括:允许查看、允许下载、允许修改、允许删除和拒绝访问。
5.如权利要求1所述的针对用户访问的控制决策自适应确定方法,其特征在于,所述采用dempster-shafer证据理论,根据该最终规则簇和该最终规则簇对应信息类别的用户访问上下文信息为各控制决策分配支持度,具体包括:
6.如权利要求1所述的针对用户访问的控制决策自适应确定方法,其特征在于,所述根据各最终规则簇为不同控制决策分配的支持度确定最终控制决策,具体包括:
7.如权利要求2所述的针对用户访问的控制决策自适应确定方法,其特征在于,所述访问频率为用户登录服务器的次数;操作类型包括用户对所访问数据进行上传、下载、编辑和删除操作;访问资源类型包括文本、图片和敏感数据;访问时间包括工作日和非工作日。
