一种安全机制动态管理方法及装置制造方法及图纸

本发明专利技术公开了一种安全机制动态管理方法及装置，该方法包括：提取访问数据流的主体属性和客体属性；根据预设的三元关系、所述访问数据流的主体属性和客体属性，确定所述访问数据流所需的安全机制构件；所述三元关系为主体属性、客体属性和安全机制属性之间的关系；将确定出的各个安全机制构件重组，生成安全防护体系。这样，实现了对互联网业务的动态防护，从而使得互联网业务及基于互联网的信息系统的安全防护机制更加的具有针对性、也提高互联网业务或者基于互联网的信息系统的安全防护能力。

A dynamic management method and device for security mechanism

The invention discloses a dynamic management method and device for security mechanism. The method includes: extracting the subject property and object attribute of the access data stream, determining the security mechanism components required for the access data flow according to the preset three element relation, the subject attribute and the object attribute of the access data stream, and the three yuan relationship. For the relationship between the main attributes, the object attributes and the security mechanism attributes, the components of the security mechanisms are reorganized to create a security protection system. Thus, the dynamic protection of Internet services is realized, which makes the security protection mechanism of the Internet service and the information system based on the Internet more pertinent, and also improves the security and protection capability of the Internet service or the Internet based information system.

【技术实现步骤摘要】
一种安全机制动态管理方法及装置
本专利技术涉及信息安全领域，尤其涉及一种安全机制动态管理方法及装置。
技术介绍
互联网是全球性关键信息基础设备，基于互联网的重要信息系统关乎国计民生。其中，重要信息系统是指，不涉及国家秘密，且对国家安全，经济具有重要作用的信息系统，例如：税务、公安、消防等。重要信息系统包含重要信息或者提供重要政务服务，若重要信息系统遭到破坏会对机构财产、政府职能都会受到很大的负面影响，因此，需要一些防护机制对基于互联网的重要信息系统进行安全防护。现有技术中，通常是使用静态、单一的防护机制，例如：为针对某种信息系统预先设置好防护机制，无论何时、何人访问均采用预先设置的安全机制。这种静态、单一的防护手段当面对不同的访问对象或者不同的访问客体时，防护手段没有针对性，安全防护性能较差。
技术实现思路
有鉴于此，本专利技术实施例提供了一种安全机制动态管理方法及装置，解决了现有技术中，静态、单一的防护手段不具备针对性防护能力，安全防护性能较差的问题。本专利技术实施例提供的一种安全机制动态管理方法，包括：提取访问数据流的主体属性和客体属性；根据预设的三元关系、所述访问数据流的主体属性和客体属性，确定所述访问数据流所需的安全机制构件；所述三元关系为主体属性、客体属性和安全机制属性之间的关系；将确定出的各个安全机制构件进行组合，生成安全防护体系。可选的，所述三元关系的构建方法包括：采用决策树方法，根据预设的样本集中的主体属性集、客体属性集和安全机制属性集，分别建立主体属性决策树、客体属性决策树和安全机制属性决策树；依据预设的安全防护日志、所述主体属性决策树、客体属性决策树和安全机制决策树，构建三元关系；所述三元关系为主体属性、客体属性和安全机制属性之间的关系。可选的，所述采用决策树方法，根据预设的样本集中的主体属性集、客体属性集和安全机制属性集，分别建立主体属性决策树、客体属性决策树和安全机制属性决策树，包括：针对预设属性集中的每一个参数，提取出该参数包括的各个属性的属性值，得到各个属性和属性值的指派关系；所述预设属性集为主体属性集、客体属性集和安全机制属性集中的任意一个属性集；根据所述预设属性集中的每个参数包括的各个属性和属性值的指派关系以及预设的安全管理知识库，将所述预设属性集中的各个参数进行聚类，得到每个参数的类别；计算所述每个参数包括的各个属性的信息增益率；根据每个参数的类别和所述每个参数包括的各个属性的信息增益率，构建预设属性集的属性决策树；所述属性决策树中各个分支节点为属性，叶节点为聚类结果的各个类别。可选的，所述依据预设的安全防护日志、所述主体属性决策树、客体属性决策树和安全机制决策树，构建三元关系，包括：根据预设的安全防护日志，选取出主体属性决策树中每个主体属性和客体属性决策树中每个客体属性对应的安全机制；根据所述安全机制属性决策树，确定选取出的各个安全机制的各个属性；计算选取出的安全机制的各个属性的信息增益率；依据主体属性决策树、客体属性决策树和其对应的安全机制、以及各个安全机制的各个属性的信息增益率，构建三元关系。可选的，所述根据预设的三元关系，分别确定所述主体属性和客体属性对应的安全机制构件，包括：根据预设的三元关系，分别确定访问数据流的主体属性和所述客体属性对应的安全需求防护模板；所述安全需求防护模板为至少一个所述安全属性的集合；采用松弛度匹配算法，为所述安全机制需求防护模板匹配出多个安全机制构件。可选的，所述将确定出的各个安全机制进行组合，生成安全防护体系，包括：将各个安全机制构件抽象为索引状态机；利用所述索引状态机建立安全机制流程；按照所述安全机制流程，配置相应的安全设备和/或安全系统，以生成安全防护体系。本专利技术实施例还提供了一种安全机制动态管理装置，包括：提取单元，用于提取访问数据流的主体属性和客体属性；匹配单元，用于根据预设的三元关系、所述访问数据流的主体属性和客体属性，确定所述访问数据流所需的安全机制构件；所述三元关系为主体属性、客体属性和安全机制属性之间的关系；组合单元，用于将确定出的各个安全机制构件进行组合，生成安全防护体系。可选的，还包括：属性决策树建立单元，用于采用决策树方法，根据预设的样本集中的主体属性集、客体属性集和安全机制属性集，分别建立主体属性决策树、客体属性决策树和安全机制属性决策树；三元关系构建单元，用于依据预设的安全防护日志、所述主体属性决策树、客体属性决策树和安全机制决策树，构建三元关系；所述三元关系为主体属性、客体属性和安全机制属性之间的关系。可选的，所述匹配单元，包括：确定子单元，用于根据预设的三元关系，分别确定访问数据流的主体属性和所述客体属性对应的安全需求防护模板；所述安全需求防护模板为至少一个所述安全属性的集合；匹配子单元，用于采用松弛度匹配算法，为所述安全机制需求防护模板匹配出多个安全机制构件。可选的，所述组合单元，包括：抽象子单元，用于将各个安全机制构件抽象为索引状态机；建立子单元，用于利用所述索引状态机建立安全机制流程；生成子单元，用于按照所述安全机制流程，配置相应的安全设备和/或安全系统，以生成安全防护体系。本专利技术实施例提供的一种安全机制动态管理方法，包括：提取访问数据流的主体属性和客体属性；根据预设的三元关系、所述访问数据流的主体属性和客体属性，确定所述访问数据流所需的安全机制构件；所述三元关系为主体属性、客体属性和安全机制属性之间的关系；将确定出的各个安全机制重组，生成安全防护体系。这样，实现了对互联网业务的动态防护，从而使得互联网业务及基于互联网的信息系统的安全防护机制更加的具有针对性、也提高互联网业务或者基于互联网的信息系统的安全防护能力。除此之外，本专利技术实施例采用决策树的方法，该方法提高了指派关系优化、降噪处理、语义处理、冲突检测与消解等方面的效果；并且，在得到安全需求防护模板后，采用松弛度匹配算法为安全机制防护模板匹配相应的安全机制，这样，在保证匹配的准确度的同时降低匹配的复杂度；在安全机制重组时采用索引状态机的方法，克服了现有安全机制重组技术在形式化建模方面的不足，解决了从逻辑层面到实例层面过渡的功能映射和路径映射问题，为安全机制的重组提供了理论和技术支撑，同时也优化了算法效率。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。图1示出了本专利技术实施例提供的一种安全机制动态管理方法的流程示意图；图2示出了互联网业务主体、客体和安全机制的示意图；图3示出了本专利技术实施例提供的一种三元关系的构建方法的流程示意图；图4示出了三元关系的示意图；图5示出了本专利技术实施例提供了一种安全机制动态管理装置结构示意图。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。参考图1，示出了本专利技术实施例提供的一种安全机制动本文档来自技高网...

【技术保护点】
一种安全机制动态管理方法，其特征在于，包括：提取访问数据流的主体属性和客体属性；根据预设的三元关系、所述访问数据流的主体属性和客体属性，确定所述访问数据流所需的安全机制构件；所述三元关系为主体属性、客体属性和安全机制属性之间的关系；将确定出的各个安全机制构件进行组合，生成安全防护体系。

【技术特征摘要】
1.一种安全机制动态管理方法，其特征在于，包括：提取访问数据流的主体属性和客体属性；根据预设的三元关系、所述访问数据流的主体属性和客体属性，确定所述访问数据流所需的安全机制构件；所述三元关系为主体属性、客体属性和安全机制属性之间的关系；将确定出的各个安全机制构件进行组合，生成安全防护体系。2.根据权利要求1所述的方法，其特征在于，所述三元关系的构建方法包括：采用决策树方法，根据预设的样本集中的主体属性集、客体属性集和安全机制属性集，分别建立主体属性决策树、客体属性决策树和安全机制属性决策树；依据预设的安全防护日志、所述主体属性决策树、客体属性决策树和安全机制决策树，构建三元关系；所述三元关系为主体属性、客体属性和安全机制属性之间的关系。3.根据权利要求2所述的方法，其特征在于，所述采用决策树方法，根据预设的样本集中的主体属性集、客体属性集和安全机制属性集，分别建立主体属性决策树、客体属性决策树和安全机制属性决策树，包括：针对预设属性集中的每一个参数，提取出该参数包括的各个属性的属性值，得到各个属性和属性值的指派关系；所述预设属性集为主体属性集、客体属性集和安全机制属性集中的任意一个属性集；根据所述预设属性集中的每个参数包括的各个属性和属性值的指派关系以及预设的安全管理知识库，将所述预设属性集中的各个参数进行聚类，得到每个参数的类别；计算所述每个参数包括的各个属性的信息增益率；根据每个参数的类别和所述每个参数包括的各个属性的信息增益率，构建预设属性集的属性决策树；所述属性决策树中各个分支节点为属性，叶节点为聚类结果的各个类别。4.根据权利要求2所述的方法，其特征在于，所述依据预设的安全防护日志、所述主体属性决策树、客体属性决策树和安全机制决策树，构建三元关系，包括：根据预设的安全防护日志，选取出主体属性决策树中每个主体属性和客体属性决策树中每个客体属性对应的安全机制；根据所述安全机制属性决策树，确定选取出的各个安全机制的各个属性；计算选取出的安全机制的各个属性的信息增益率；依据主体属性决策树、客体属性决策树和其对应的安全机制、以及各个安全机制的各个属性的信息增益率，构建三元关系。5.根据权利要求1所...

【专利技术属性】
技术研发人员：陈性元，杜学绘，任志宇，周超，曹利峰，孙奕，杨智，韩冰，赵建成，
申请(专利权)人：中国人民解放军信息工程大学，
类型：发明
国别省市：河南,41