本发明专利技术公开了一种访问控制策略智能优化系统及方法,属于网络边界防护系统技术领域,包括数据采集模块接受来自设备的会话信息、日志、消息;实时分布式数据处理模块,实时解析数据,并对解析数据的属性进行计算,形成特征参数;在特征处理模块中根据特征参数对访问控制策略信息进行计算处理;告警模块对访问控制策略效率进行优化提示与告警。本发明专利技术提供可提高访问控制策略的效率和精准度。访问控制策略的效率和精准度。
【技术实现步骤摘要】
一种访问控制策略智能优化系统及方法
[0001]本专利技术涉及网络边界防护系统
,尤其涉及一种访问控制策略智能优化系统及方法。
技术介绍
[0002]访问控制策略是面向主体与客体,进行权限控制的一种网络化方法,利用该方法可对网络中主客体之间的连接关系和访问授权进行一一控制。精准化控制与授权是访问控制策略的制定初衷和目的,是避免非法主体对授权之外客体进行访问的重要方法。
[0003]在信息化客体资源较少的情况下,管理人员尚可通过人工的方式进行一一核对保证访问客体权限的合法性,但随着主客体资源数量的增多主客体连接关系必然随着时间的推移逐渐混乱、重复。
[0004]一般情况下,随着时间的推移主体(像源集的基数)和客体(像集的基数)逐渐扩大,再加上访问关系(映射关系)的复杂化,势必会造成资源授权范围扩大,安全风险逐渐增大。
[0005]这种混乱的连接关系逐渐放大,直接造成网络安全设备和主机之间互联控制计算资源消耗暴涨、成本扩大,从使用体验上来看系统访问的速度会逐渐降低,信息泄露和扩大授权范围成为必然。因此,降低访问控制连接关系、压缩主体和客体的基数成为安全服务提供厂、安全软件开发者和安全管理人员必须考虑和面对的问题。
[0006]基于以上表述,访问控制策略在安全可信领域普遍发生,其优化工作具有典型性,是本领域亟需解决的问题
技术实现思路
[0007]本专利技术实施例提供一种访问控制策略智能优化系统及方法,以解决传统的计算机网络边界防护系统存在随时间逐渐扩大且性能逐渐下降这一技术问题技术问题。
[0008]本专利技术实施例采用下述技术方案:一种访问控制策略智能优化系统,包括数据采集模块、实时分布式数据处理模块、特征处理模块和警告模块,
[0009]所述数据采集模块对网络中边界安全设备、计算机、数据库等设备和软件的会话信息、通信信息、进程、服务自定义获取和收集;
[0010]所述实时分布式数据处理模块对收集的数据进行解析和入库,对数据进行实时分类和重组,对大数据流进行队列处理和分布式负载均衡处理,实时分布式数据处理模块针对主动获取数据时,对源系统端通过部署和配置采集程序、频度、数据范围等方式实现;
[0011]所述特征处理模块对获取解析后的数据进行特征分析与提取,对收集的数据进行聚合与收缩计算,根据源目映射及关系或集合空间进行分类汇聚,对关键特征的内容与统计和形成排序,在管理界面上定义灵活的业务处理模板;
[0012]所述告警模块,为特征处理模块提供便捷的人机交互界面与实时数据处理界面,形成特定时间的匹配次数和数据量排序,针对不可信空间形成预警信息向管理人员提供访
问控制策略修订信息。
[0013]进一步的,所述实时分布式数据处理模块分为数据验证、数据转换和数据聚合部分,在数据验证部分记录数据的重复性、缺失、完整性、数据规则、时间标识;
[0014]一种访问控制策略智能优化方法,包括以下步骤:
[0015]S1:通过数据采集模块对网络中边界安全设备、计算机、数据库等设备和软件的会话信息、通信信息、进程、服务自定义获取和收集;
[0016]S2:通过实时分布式数据处理模块对数据采集模块所收集的数据进行解析和入库,对数据进行实时分类和重组,对大数据流进行队列处理和分布式负载均衡处理;
[0017]S3:通过特征处理模块将完成解析后的数据进行特征分析与提取,对收集的数据进行聚合与收缩计算,根据源目映射及关系或集合空间进行分类汇聚,对关键特征的内容与统计和形成排序;
[0018]S4:通过警告模块为特征处理模块提供便捷的人机交互界面与实时数据处理界面,形成特定时间的匹配次数和数据量排序,针对不可信空间形成预警信息向管理人员提供访问控制策略修订信息。
[0019]进一步的,数据采集模块采用多协议集成方法和队列处理方式,通过自动或预置方法获取网络周长以内任意节点度量数据,通过将主机上部署软件、主动扫描、被动接收的方式进行数据收集。
[0020]进一步的,实时分布式数据处理模块协同数据采集模块通过处理链实现分布式处理,接收处理插件和处理链自动分发至处理节点的数据。
[0021]进一步的,特征处理模块采用一种空间映射收缩模型和处理方法,收缩处理根据像集、像源集、基数大小、映射作为计算元素,按照像源集与像集映射包含关系将收集的度量数据进行迭代收缩计算,然后再对属性集进行计算,对比计算和收缩。
[0022]进一步的,特征处理模块中空间映射收缩模型是一种结合存量可信空间连接关系基础上构建的渐进式的收缩关系图谱。
[0023]进一步的,特征处理模块还在于收缩模型对收集的会话进行解析和处理,然后对解析结果进行跟踪和处理。
[0024]进一步的,特征处理模块具有度量属性数据手动插入提取的便捷可视化操作,具有度量数据中包含的量优排序模型和特定属性的提取,利用量优排序和特定属性值可以对访问控制策略的先后顺序、连接通路等进行调整以便优化计算机程序、安全设备的工作效能。
[0025]本专利技术实施例采用的上述至少一个技术方案能够达到以下有益效果:
[0026]其一,本专利技术可以作为独立的工具和系统解决整网中进程、系统之间、流量关系、数据主客体的访问控制策略,同时本专利技术提供的方法也适用于集成化的安全控制设备,实现访问控制的收缩、收敛,实现逐步进化和优化。
[0027].其二,可以对网络、操作系统、进程、安全设备在内的访问控制进行优化,构建智能化的最小授权和运行效率高的访问控制策略集合,从而解决安全策略管理中的粗放性,提高管理的效率和精细化水平。
附图说明
[0028]此处所说明的附图用来提供对本专利技术的进一步理解,构成本专利技术的一部分,本专利技术的示意性实施例及其说明用于解释本专利技术,并不构成对本专利技术的不当限定。在附图中:
[0029]图1为本专利技术中访问控制策略智能优化系统程序组成模块的示例图;
[0030]图2为本专利技术中数据采集模块工作原理示例示意图;
[0031]图3为本专利技术中特征处理模块中策略收缩的示例示意图;
具体实施方式
[0032]为使本专利技术的目的、技术方案和优点更加清楚,下面将结合本专利技术具体实施例及相应的附图对本专利技术技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0033]以下结合附图,详细说明本专利技术各实施例提供的技术方案。
[0034]本专利技术实施例提供一种访问控制策略智能优化系统,其特征在于,包括数据采集模块、实时分布式数据处理模块、特征处理模块和警告模块,
[0035]如图2所示,所述数据采集模块对网络中边界安全设备、计算机、数据库等设备和软件的会话信息、通信信息、进程、服务自定义获取和收集,是一种综合性的数据适配模块,比如标准协议适配RFC5424本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种访问控制策略智能优化系统,其特征在于:包括数据采集模块、实时分布式数据处理模块、特征处理模块和警告模块,所述数据采集模块对网络中边界安全设备、计算机、数据库和软件的会话信息、通信信息、进程、服务自定义获取和收集;所述实时分布式数据处理模块对收集的数据进行解析和入库,对数据进行实时分类和重组,对大数据流进行队列处理和分布式负载均衡处理,实时分布式数据处理模块针对主动获取数据时,对源系统端通过部署和配置采集程序、频度、数据范围等方式实现;所述特征处理模块对获取解析后的数据进行特征分析与提取,对收集的数据进行聚合与收缩计算,根据源目映射及关系或集合空间进行分类汇聚,对关键特征的内容与统计和形成排序,在管理界面上定义灵活的业务处理模板;所述告警模块,为特征处理模块提供便捷的人机交互界面与实时数据处理界面,形成特定时间的匹配次数和数据量排序,针对不可信空间形成预警信息向管理人员提供访问控制策略修订信息。2.根据权利要求1所述的一种访问控制策略智能优化系统,其特征在于:所述实时分布式数据处理模块分为数据验证、数据转换和数据聚合部分,在数据验证部分记录数据的重复性、缺失、完整性、数据规则、时间标识。3.基于权利要求2所述的一种访问控制策略智能优化方法,其特征在于:包括以下步骤:S1:通过数据采集模块对网络中边界安全设备、计算机、数据库等设备和软件的会话信息、通信信息、进程、服务自定义获取和收集;S2:通过实时分布式数据处理模块对数据采集模块所收集的数据进行解析和入库,对数据进行实时分类和重组,对大数据流进行队列处理和分布式负载均衡处理;S3:通过特征处理模块将完成解析后的数据进行特征分析与提取,对收集的数据进行聚合与收缩计算,根据源目映射及关系或集合空间进行分类汇聚,对关键...
【专利技术属性】
技术研发人员:冉剑辉,陈汝军,
申请(专利权)人:北京中启赛博科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。