本发明专利技术实施例提供的访问控制策略自动生成方法及装置,依托于人工智能的机器学习算法对信息访问方和信息提供方间的通信流量进行学习,自动化生成访问控制策略,这就可以细粒度、实时、安全、智能化的保护用户访问的安全稳定性,保证用户权限分明和信息访问安全。保证用户权限分明和信息访问安全。保证用户权限分明和信息访问安全。
An automatic generation method and device of access control policy
【技术实现步骤摘要】
一种访问控制策略自动生成方法及装置
[0001]本专利技术涉及信息安全
,更具体地说,涉及一种访问控制策略自动生成方法及装置。
技术介绍
[0002]访问控制技术指防止对任何资源进行未授权的访问,从而使计算机系统在合法的范围内使用。意指用户身份及其所归属的某项定义组来限制用户对某些信息项的访问,或限制对某些控制功能的使用的一种技术。
[0003]目前常用的方式就是分权分域、打分机制分级处理,本身都具有技术单一,防御性差,无法实现动态控制权限。
技术实现思路
[0004]有鉴于此,为解决上述问题,本专利技术提供一种访问控制策略自动生成方法及装置。技术方案如下:
[0005]一种访问控制策略自动生成方法,所述方法包括:
[0006]获取信息访问方和信息提供方间通信的流量数据;
[0007]确定待生成的访问控制策略的策略字段,并基于所述策略字段对所述流量数据进行数据归并;
[0008]利用机器学习算法对归并得到的数据进行学习,以生成所述访问控制策略。
[0009]优选的,所述方法还包括:
[0010]对所述流量数据进行数据清洗,以获取用于策略生成的第一流量数据;
[0011]相应的,所述基于所述策略字段对所述流量数据进行数据归并,包括:
[0012]基于所述策略字段对所述第一流量数据进行数据归并。
[0013]优选的,所述方法还包括:
[0014]对所述流量数据中被清洗去除的第二流量数据进行存储。
[0015]优选的,所述方法还包括:
[0016]获取基于所述访问控制策略对所述信息访问方向所述信息提供方所发起请求的识别结果;
[0017]若所述识别结果为请求异常,则对所述信息访问方进行安全认证。
[0018]优选的,所述方法还包括:
[0019]若所述信息访问方的安全认证的次数大于预设的次数阈值,则更新所述流量数据,并返回执行所述基于所述策略字段对所述流量数据进行数据归并的步骤,以更新所述访问控制策略。
[0020]一种访问控制策略自动生成装置,所述装置包括:
[0021]数据获取模块,用于获取信息访问方和信息提供方间通信的流量数据;
[0022]数据处理模块,用于确定待生成的访问控制策略的策略字段,并基于所述策略字
段对所述流量数据进行数据归并;
[0023]策略生成模块,用于利用机器学习算法对归并得到的数据进行学习,以生成所述访问控制策略。
[0024]优选的,所述数据处理模块,还用于:
[0025]对所述流量数据进行数据清洗,以获取用于策略生成的第一流量数据;
[0026]相应的,用于基于所述策略字段对所述流量数据进行数据归并的所述数据处理模块,具体用于:
[0027]基于所述策略字段对所述第一流量数据进行数据归并。
[0028]优选的,所述数据处理模块,还用于:
[0029]对所述流量数据中被清洗去除的第二流量数据进行存储。
[0030]优选的,所述装置还包括:
[0031]安全认证模块,用于获取基于所述访问控制策略对所述信息访问方向所述信息提供方所发起请求的识别结果;若所述识别结果为请求异常,则对所述信息访问方进行安全认证。
[0032]优选的,所述装置还包括:
[0033]策略更新模块,用于若所述信息访问方的安全认证的次数大于预设的次数阈值,则更新所述流量数据,并返回执行所述基于所述策略字段对所述流量数据进行数据归并的步骤,以更新所述访问控制策略。
[0034]本专利技术实施例提供的访问控制策略自动生成方法及装置,依托于人工智能的机器学习算法对信息访问方和信息提供方间的通信流量进行学习,自动化生成访问控制策略,这就可以细粒度、实时、安全、智能化的保护用户访问的安全稳定性,保证用户权限分明和信息访问安全。
附图说明
[0035]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
[0036]图1为本专利技术实施例提供的访问控制策略自动生成方法的方法流程图;
[0037]图2为本专利技术实施例提供的信息访问的系统架构图;
[0038]图3为本专利技术实施例提供的访问控制策略管理示意图;
[0039]图4为本专利技术实施例提供的访问控制策略配置示意图;
[0040]图5为本专利技术实施例提供的访问控制策略另一配置示意图;
[0041]图6为本专利技术实施例提供的访问控制策略自动生成装置的结构示意图。
具体实施方式
[0042]下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他
实施例,都属于本专利技术保护的范围。
[0043]在本申请中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个
……”
限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
[0044]本专利技术实施例提供一种访问控制策略自动生成方法,该方法的方法流程图如图1所示,包括如下步骤:
[0045]S10,获取信息访问方和信息提供方间通信的流量数据。
[0046]本专利技术实施例中,信息访问方为直接与信息提供方进行通信的设备,信息访问方可以是用户终端设备,还可以是用于转发用户终端设备访问请求的中间设备,比如公司级别的对外通信的设备。
[0047]另外,参见图2所示的信息访问的系统架构图。该系统架构图中包括终端设备、网关和应用服务端,该终端设备为信息访问方、该应用服务端为信息提供方,终端设备通过网关向应用服务端发送访问请求。
[0048]其中,网关为阻断内外网与应用数据交互的拦截设备,用于保护关键资产(公司内外网重要的基础设备、网站平台、存储数据的服务器等),其建立可通信后才允许终端设备的数据访问。
[0049]而ASP英文全称为Access controlStuding Platform,即访问控制学习平台,其设置于网关旁路侧,本专利技术实施例提供的访问控制策略自动生成方法可以应用于ASP。终端设备在访问应用服务端进行各种操作(比如所访问的应用、以及对应用执行的诸如删除、录入操作)时,都会转换为网络中的流量,而这些流量会经过网关进行流转。因此,ASP可以收集终端设备与应用服务端间通信的所有本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种访问控制策略自动生成方法,其特征在于,所述方法包括:获取信息访问方和信息提供方间通信的流量数据;确定待生成的访问控制策略的策略字段,并基于所述策略字段对所述流量数据进行数据归并;利用机器学习算法对归并得到的数据进行学习,以生成所述访问控制策略。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:对所述流量数据进行数据清洗,以获取用于策略生成的第一流量数据;相应的,所述基于所述策略字段对所述流量数据进行数据归并,包括:基于所述策略字段对所述第一流量数据进行数据归并。3.根据权利要求2所述的方法,其特征在于,所述方法还包括:对所述流量数据中被清洗去除的第二流量数据进行存储。4.根据权利要求1所述的方法,其特征在于,所述方法还包括:获取基于所述访问控制策略对所述信息访问方向所述信息提供方所发起请求的识别结果;若所述识别结果为请求异常,则对所述信息访问方进行安全认证。5.根据权利要求4所述的方法,其特征在于,所述方法还包括:若所述信息访问方的安全认证的次数大于预设的次数阈值,则更新所述流量数据,并返回执行所述基于所述策略字段对所述流量数据进行数据归并的步骤,以更新所述访问控制策略。6.一种访问控制策略自动生成装置,其特征在于,所述装置包括:数据获取模块,...
【专利技术属性】
技术研发人员:刘无敌,李飞,吴阳,
申请(专利权)人:息象北京科技发展有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。