一种访问控制初始化智能推荐方法技术

本发明专利技术公开了一种访问控制初始化智能推荐方法。本方法包括：1)将访问控制系统中的属性特征按照特征类型划分为连续型特征和离散型特征；2)对系统中同一条交互记录中的属性特征进行处理，生成对应交互记录的最终特征向量；其中针对每一个连续型特征，将其归一化后作为最终特征向量中的一维；针对每一个离散型特征，将其编码索引标识添加到最终特征向量中；3)利用各最终特征向量训练模型；4)当用户U登录该访问控制系统时，获取用户U的初始属性；5)将该初始属性和该访问控制系统的每一资源属性组合成一序列，生成该序列对应的最终特征向量并将其输入训练后的模型进行预测，得到n个候选资源并对其进行筛选，推荐给用户U。推荐给用户U。推荐给用户U。

【技术实现步骤摘要】
一种访问控制初始化智能推荐方法


[0001]本专利技术属于网络空间安全与访问控制领域，尤其涉及一种实时性高的访问控制初始化智能化推荐方法。

技术介绍

[0002]随着互联网技术和大数据技术的飞速发展，计算机系统日益庞大，海量数据涌现。对于一些庞大的企业网络系统而言，保障数据安全十分重要。应用访问控制技术来限制用户访问具体资源的权限得到广泛应用。访问控制即制定一套策略及方法，根据用户的身份或者属性来限制其访问资源的权限。访问控制的目标是防止未授权用户访问请求，以及防止合法用户通过非授权的方式访问资源。
[0003]目前较为成熟的访问控制的方法主要有基于角色的访问控制(Role
‑
based Access Control，RBAC)和基于属性的访问控制(Attribute
‑
Based Access Control，ABAC)。
[0004]RBAC从控制主体的角度出发，首先将访问控制的权限分配给一些设定好的角色，再通过用户扮演不同角色的方式来获取相应的访问许可权。在RBAC访问控制策略中，角色充当了用户和受访资源间的媒介。RBAC模型的缺点是没有提供操作顺序控制机制，以订餐系统为例，用户需要下单付款后，才能去窗口取餐。RBAC需要在模型之外额外增加这种控制机制。
[0005]ABAC打破了传统的包括RBAC在内的访问控制的建立用户和权限关联的实现模式，它通过计算访问主题的一个或者一组属性是否满足相应的条件来对访问权限进行授权。ABAC模型被誉为访问控制的未来。属性通常来说分为四类：主体属性(如性别、年龄)，环境属性(如登录时间、地点)，操作属性(如读取)和资源属性(要访问的资源类型等)，通过判断这些属性及其组合，ABAC在理论上可以实现十分灵活高效的权限控制。但是ABAC在应对系统冷启动问题上存在一定的缺陷。因为新的用户往往存在属性数据稀疏的问题，尤其是缺少历史交互行为和访问资源记录等操作属性和资源属性。因此系统很难自动地基于新用户的稀疏属性对其进行访问权限设定。

技术实现思路

[0006]根据上述发展现状，本专利技术的目的在于提出一种基于深度因子分解机的访问控制初始化智能推荐方法。本专利技术解决了基于属性的访问控制权限系统的冷启动问题，引入深度因子分解机对用户的属性特征进行建模。模型能够自动地从原始的属性特征中抽取各种复杂的特征，既包含了低阶交互特征，也包括了高阶隐含特征。通过特征的学习对系统的各类属性进行建模，实现了系统在获取新用户的部分属性特征后，通过模型的学习结果智能预测相应的访问权限对应的资源，并将其推荐给用户，实现智能化访问控制初始化的效果。
[0007]为了达到上述目的，本专利技术采用了以下方案：
[0008]一种访问控制初始化智能推荐方法，其步骤包括：
[0009]1)将访问控制系统中的属性特征按照特征类型划分为连续型特征和离散型特征；其中所述属性特征包括用户属性和资源属性；
[0010]2)对访问控制系统中的同一条交互记录中的属性特征进行处理，生成对应交互记录的最终特征向量embedding；其中针对每一个连续型特征，将其归一化到0
‑
1之间作为最终特征向量embedding中的一维；针对每一个离散型特征，采用one
‑
hot编码进行特征转化，然后将每个one
‑
hot编码后的特征看作一个field，并对该field增加特征索引，用索引编号作为对应离散型特征的特征标识添加到最终特征向量embedding中；
[0011]3)利用各所述最终特征向量embedding训练模型；其中所述模型包括因子分解机FM和深度模块；因子分解机用于提取最终特征向量embedding的低阶交互特征；深度模块用于提取最终特征向量embedding的高阶隐含特征；
[0012]4)当用户U登录该访问控制系统时，获取用户U的初始属性，包括主体属性和环境属性；
[0013]5)将该初始属性和该访问控制系统的每一资源属性组合成一序列，生成该序列对应的最终特征向量embedding并将其输入训练后的模型进行预测，得到用户U访问对应资源的概率；然后选出概率最高的前n项，作为与用户U属性最匹配的n个候选资源；
[0014]6)根据该访问控制系统自身的ABAC访问控制策略对该n个候选资源进行筛选，将筛选出的资源推荐给用户U。
[0015]进一步的，因子分解机提取最终特征向量embedding的一阶特征，将一阶特征通过FM算法做特征交叉得到二阶交互特征，根据一阶特征、二阶交互特征生成所述低阶交互特征；其中根据最终特征向量embedding中的每一特征对访问结果影响大小生成一对应权重系数，将该最终特征向量embedding的各权重系数与对应特征相乘，得到该最终特征向量embedding的一阶特征；所述深度模块采用DNN神经网络结构，在DNN神经网络结构的每一隐藏层之前增加一嵌入层，用于将输入向量压缩为低维稠密向量，该DNN神经网络结构包括堆叠多层全连接层使得网络结构变深，获取所述高阶隐含特征。
[0016]进一步的，将所述一阶特征、二阶交互特征相加生成所述低阶交互特征：进一步的，将所述一阶特征、二阶交互特征相加生成所述低阶交互特征：其中表示FM的最终输出，即所述低阶交互特征，w
i
是第i个特征的权重系数，x
i
表示最终特征向量embedding中的第i个field，即第i类向量的表示，n是特征向量中field的数量，v
i
代表第i个field的隐含向量表示。
[0017]进一步的，所述因子分解机FM和所述深度模块共享模型参数。
[0018]进一步的，所述因子分解机FM的输出结果y
FM
和所述深度模块的输出结果y
DNN
通过进行预测，得到用户U访问对应资源的概率
[0019]进一步的，根据该访问控制系统自身的ABAC访问控制策略对该n个候选资源进行筛选时，剔除掉强制访问控制下强制等级高的资源，得到用户U的初始访问控制策略，并且将筛选后的资源推荐给用户U。
[0020]进一步的，步骤6)中，根据该访问控制系统自身的ABAC访问控制策略对该n个候选资源进行筛选，将筛选出的资源推荐给用户U并设定用户U的初始访问权限。
[0021]本专利技术基于深度因子分解机的访问控制初始化智能推荐方法，首先在基于属性的访问控制模型基础上加入深度因子分解机智能推荐模块，实现对各类属性的复杂特征建模以应对属性数据稀疏的新用户的冷启动问题。本专利技术分别从低阶交互特征组合和高阶隐含
特征组合两个角度对属性特征进行处理，结合了广度模型和深度模型的优点，可以通过学习进而对历史访问控制数据的特征进行提取。本专利技术支持对于部分属性及属性类别缺失的用户进行访问权限的初始化，将用户的原始特征输入训练好的特征模型，自动匹配最优的访问资源候选项，并结合系统本身的ABAC访问控制策略智能推荐初始访问资源，有本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种访问控制初始化智能推荐方法，其步骤包括：1)将访问控制系统中的属性特征按照特征类型划分为连续型特征和离散型特征；其中所述属性特征包括用户属性和资源属性；2)对访问控制系统中的同一条交互记录中的属性特征进行处理，生成对应交互记录的最终特征向量embedding；其中针对每一个连续型特征，将其归一化到0
‑
1之间作为最终特征向量embedding中的一维；针对每一个离散型特征，采用one
‑
hot编码进行特征转化，然后将每个one
‑
hot编码后的特征看作一个field，并对该field增加特征索引，用索引编号作为对应离散型特征的特征标识添加到最终特征向量embedding中；3)利用各所述最终特征向量embedding训练模型；其中所述模型包括因子分解机FM和深度模块；因子分解机用于提取最终特征向量embedding的低阶交互特征；深度模块用于提取最终特征向量embedding的高阶隐含特征；4)当用户U登录该访问控制系统时，获取用户U的初始属性，包括主体属性和环境属性；5)将该初始属性和该访问控制系统的每一资源属性组合成一序列，生成该序列对应的最终特征向量embedding并将其输入训练后的模型进行预测，得到用户U访问对应资源的概率；然后选出概率最高的前n项，作为与用户U属性最匹配的n个候选资源；6)根据该访问控制系统自身的ABAC访问控制策略对该n个候选资源进行筛选，将筛选出的资源推荐给用户U。2.如权利要求1所述的方法，其特征在于，因子分解机提取最终特征向量embedding的一阶特征，将一阶特征通过FM算法做特征交叉得到二阶交互特征，根据一阶特征、二阶交互特征生成所述低阶交互特征；其中...

【专利技术属性】
技术研发人员：李敏，寇英帅，高能，彭佳，屠晨阳，单亦伟，
申请(专利权)人：中国科学院信息工程研究所，
类型：发明
国别省市：