一种基于大数据的控制方法、系统及电子设备技术方案

本发明专利技术公开了一种基于大数据的控制方法，涉及控制系统技术领域，包括所述方法包括：S1、获取用户信息、第一映射关系和历史访问日志；S2、根据用户信息和第一映射关系获得关联有第一权限信息的第一角色信息；S3、根据历史访问日志中获取的第二权限信息；S4、计算第一权限信息与第二权限信息的相似度，判断相似度是否小于预设阈值；S5、若是，则获取关联有第二权限信息的第二角色信息，并根据第二角色信息和用户信息生成第二映射关系，并且将第二映射关系覆盖第一映射关系，其中，根据用户信息和第二映射关系能够获得第二角色信息；还提供了一种基于大数据的控制系统。本发明专利技术具有安全性强的优点。优点。优点。

【技术实现步骤摘要】
一种基于大数据的控制方法、系统及电子设备


[0001]本专利技术涉及控制系统
，具体涉及一种基于大数据的控制方法、系统及电子设备。

技术介绍

[0002]随着社会信息化和网络化程度的不断提高，以及云计算、物联网等新兴技术的发展和应用，一个大规模生产、分享和应用数据的时代已经来到，然而由于大数据环境中数据和计算能力通常都是充足的，所以分散在大数据应用中的各种敏感信息可以被更轻松的获得，并进行关联分析，导致相对于普通数据，大数据在收集、存储、共享和利用等环节都面临着更为严重的安全威胁。

技术实现思路

[0003]针对现有技术中的缺陷，本专利技术提供一种基于大数据的控制方法、系统及电子设备。
[0004]一种基于大数据的控制方法，包括所述方法包括：S1、获取用户信息、第一映射关系和历史访问日志；S2、根据用户信息和第一映射关系获得关联有第一权限信息的第一角色信息；S3、根据历史访问日志中获取的第二权限信息；
[0005]S4、计算第一权限信息与第二权限信息的相似度，判断相似度是否小于预设阈值；S5、若是，则获取关联有第二权限信息的第二角色信息，并根据第二角色信息和用户信息生成第二映射关系，并且将第二映射关系覆盖第一映射关系，其中，根据用户信息和第二映射关系能够获得第二角色信息。整个控制方法的步骤如下：S1、获取用户信息、第一映射关系和历史访问日志，其中第一映射关系是由安全管理员定义的，这种访问控制授权行为本身就是一种劳动密集型工作，而在面对规模巨大且来源复杂的大数据时，管理员更加难以实施这种劳动密集型的授权管理操作，因此往往授予用户过多甚至全部的访问权限以确保用户能够顺利使用系统，例如，在医疗大数据系统中，医学研究者是能够访问病人的部分临床数据的，由于“病人的哪部分临床数据能够被医学研究者查看”需要非常专业的医学知识才能把握，所以为了不影响研究工作，这些系统往往采用了过度授权；S2、根据用户信息和第一映射关系获得关联有第一权限信息的第一角色信息，其中第一角色信息就是授权管理操作依据，第一权限信息为过度授权的权限信息；S3、根据历史访问日志中获取的第二权限信息，通过访问日志中抽取用户已经进行的权限的使用记录及其本身代表的权限信息；S4、计算第一权限信息与第二权限信息的相似度，判断相似度是否小于预设阈值，相似度为一个机器学习算法中的期望值，可以为人为设定，也可以根据机器算法补充，第一权限信息与第二权限信息的相似度越低，代表了最初过度授权的权限信息越多；S5、若相似度小于预设阈值，则代表此时过度授权已经超过阈值，则获取关联有第二权限信息的第二角色信息，并根据第二角色信息和用户信息生成第二映射关系，并且用新的第二映射关系覆盖第一映射关系，使得第二角色信息与用户关系相互关联，而第二角色信息与授权量小的第二权限信息
关联。综上所述，整个控制方法从系统已有的用户、权限分配关系中来自动化地实现角色定义和管理工作，以减小对管理员的依赖；进一步地，假定系统在初始情况下已经有了简单的访问控制“哪些用户能够访问哪些资源”，而角色信息的挖掘将从这些已有的用户、权限的分配关系中寻找出潜在的“第二映射关系”，并将角色信息与用户信息、角色信息与权限信息分别关联；进一步地，针对已有的用户信息、权限信息分配可能存在错误的问题，采用对访问日志进行角色信息挖掘，该方案从访问日志中处理分析，期望基于权限的实际使用情况来生成角色信息和映射关系，其结果充分考虑了权限实际使用情况的角色信息挖掘方法更加符合系统的实际安全需求，有效减小访问权限过度授权现象。
[0006]优选地，S4包括：S41、划分第一权限信息得到多个第一权限风险带；S42、划分第二权限信息得到多个第二权限风险带；S43、根据风险范围和第一权限风险带获取多个第一有效权限风险带；S44、根据风险范围和第二权限风险带获取多个第二有效权限风险带；S45、计算第一有效权限风险带与第二有效权限风险带的相似度；S46、判断相似度是否小于预设阈值。针对于过度授权现象，一些不常被用户使用到的权限内容属于基本权限，并不具备风险，比如基本信息登记、非用户隐私信息等等，如果用户通过权限调取这些内容属于极小概率出现的，后续缩小授权现象不能将其缩减，因此预先设定一个权限风险带，超出权限风险带之外的内容不参与计算对比相似度，能够提高减小过度授权现象过程的可靠性。
[0007]优选地，风险范围包括严格拒绝边界和严格允许边界，所述第一有效权限风险带和所述第二有效权限风险带位于严格拒绝边界和严格允许边界之间。当权限风险超过严格拒绝边界外的权限信息部分，是必须拒绝授权访问的；权限风险在严格允许边界之内的权限信息部分，是必须允许授权访问的。
[0008]优选地，S41包括：根据风险评估方法划分第一权限信息得到多个第一权限风险带；所述S42包括：根据风险评估方法划分第二权限信息得到多个第二权限风险带。根据访问请求和风险评估方法，可以对该授权访问形成风险值，从而快速划分权限风险带。
[0009]优选地，S5包括：S51、若相似度是小于预设阈值，则获取关联有第二权限信息的第二角色信息；S52、根据第二角色信息和用户信息生成第二映射关系；S53、将第二映射关系覆盖第一映射关系。
[0010]还提供了一种基于大数据的控制系统，其特征在于，所述系统包括：传输模块，用于获取用户信息、第一映射关系和历史访问日志；第一处理模块，用于根据用户信息和第一映射关系获得关联有第一权限信息的第一角色信息；第二处理模块，用于根据历史访问日志中获取的第二权限信息；判断模块，用于计算第一权限信息与第二权限信息的相似度，判断相似度是否小于预设阈值；控制模块，用于当相似度小于预设阈值时，获取关联有第二权限信息的第二角色信息，并根据第二角色信息和用户信息生成第二映射关系，并且将第二映射关系覆盖第一映射关系，其中，根据用户信息和第二映射关系能够获得第二角色信息。传输模块用于执行步骤S1；第一处理模块用于执行步骤S2；第二处理模块用于执行步骤S3；判断模块用于执行步骤S4；控制模块用于执行步骤S5。
[0011]优选地，判断模块包括：第一划分单元，用于划分第一权限信息得到多个第一权限风险带；第二划分单元，用于划分第二权限信息得到多个第二权限风险带；第一计算单元，用于根据风险范围和第一权限风险带获取多个第一有效权限风险带；第二计算单元，用于根据风险范围和第二权限风险带获取多个第二有效权限风险带；第三计算单元，用于计算
第一有效权限风险带与第二有效权限风险带的相似度；判断单元，用于判断相似度是否小于预设阈值。第一划分单元用于执行步骤S41；第二划分单元用于执行步骤S42；第一计算单元用于执行步骤S43；第二计算单元用于执行步骤S44；第三计算单元用于执行步骤S45；判断单元用于执行步骤S46。
[0012]优选地，控制模块包括：关联单元，用于当相似度小于预设阈值，则获取关联有第二权限信息的第二角色信息；生成单元，用于根据第二角色信息和用户信息生成第二映射关系；覆盖单元，用于将第二映射关系覆盖第一映射关系。关联单元用于执行本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于大数据的控制方法，其特征在于，所述方法包括：S1、获取用户信息、第一映射关系和历史访问日志；S2、根据用户信息和第一映射关系获得关联有第一权限信息的第一角色信息；S3、根据历史访问日志中获取的第二权限信息；S4、计算第一权限信息与第二权限信息的相似度，判断相似度是否小于预设阈值；S5、若是，则获取关联有第二权限信息的第二角色信息，并根据第二角色信息和用户信息生成第二映射关系，并且将第二映射关系覆盖第一映射关系，其中，根据用户信息和第二映射关系能够获得第二角色信息。2.根据权利要求1所述的基于大数据的控制方法，其特征在于，所述S4包括：S41、划分第一权限信息得到多个第一权限风险带；S42、划分第二权限信息得到多个第二权限风险带；S43、根据风险范围和第一权限风险带获取多个第一有效权限风险带；S44、根据风险范围和第二权限风险带获取多个第二有效权限风险带；S45、计算第一有效权限风险带与第二有效权限风险带的相似度；S46、判断相似度是否小于预设阈值。3.根据权利要求2所述的基于大数据的控制方法，其特征在于，所述风险范围包括严格拒绝边界和严格允许边界，所述第一有效权限风险带和所述第二有效权限风险带位于严格拒绝边界和严格允许边界之间。4.根据权利要求3所述的基于大数据的控制方法，其特征在于，所述S41包括：根据风险评估方法划分第一权限信息得到多个第一权限风险带；所述S42包括：根据风险评估方法划分第二权限信息得到多个第二权限风险带。5.根据权利要求1所述的基于大数据的控制方法，其特征在于，所述S5包括：S51、若相似度是小于预设阈值，则获取关联有第二权限信息的第二角色信息；S52、根据第二角色信息和用户信息生成第二映射关系；S53、将第二映射关系覆盖第一映射关系。6.一种基于大数据的控制系统，其特征在于，所述系统包括：传...

【专利技术属性】
技术研发人员：洪文雅，
申请(专利权)人：科威纳工业自动化有限公司，
类型：发明
国别省市：