【技术实现步骤摘要】
一种基于多维图神经网络的零信任访问控制方法与系统
[0001]本专利技术涉及访问控制
,具体涉及一种基于多维图神经网络的零信任访问控制方法与系统
。
技术介绍
[0002]零信任作为一种全新的网络安全理念,专注于以用户和资源为中心
。
在零信任模型中,信任与位置无关,访问请求必须满足相同的安全要求,无论是来自组织网络内部还是外部
。
零信任强调了对用户身份
、
设备
、
上下文信息等属性的综合分析,以实现持续认证和动态自适应的访问控制
。
[0003]然而,在目前已有的零信任架构中的动态访问控制技术还存在一定的局限性
。
为了实现零信任的目标,往往需要设计复杂的策略或者根据复杂的信任算法模块来动态评估信任值,这样的方法将会导致系统的性能下降,访问控制的准确性也得不到保证
。
[0004]中国专利申请
CN112751860A
公开了一种零信任网络中的智能身份分析方法
。
在零信任网络安全领域提供了一种利用智能身份分析实现自适应的访问控制的方法,通过定义零信任网络中实体的身份和身份分析的基准来检测异常的访问数据,减轻了零信任网络中动态访问控制机制带来的管理开销问题,实现了管理自动化
。
该专利提出的方法涉及到对用户的行为分析,但缺少不同维度的全面分析,且检测访问数据的异常依赖于数据的正态分布等特性,都可能导致无法达到较高的非法访问识别准确率>。
[0005]本专利技术针对零信任架构中的动态细粒度访问控制以及上述存在的问题,通过对用户的多种行为模式建模,在保留每条日志数据语义信息的基础上,利用特征哈希对原始日志数据进行特征的降维提取,构建多维图神经网络实现对访问日志数据深度特征的提取和表示,形成了一种高效的动态访问控制方法,提高了访问控制判定的准确度
。
技术实现思路
[0006]专利技术目的:针对现有技术中的上述不足,本专利技术的目的在于提供一种基于多维图神经网络的零信任访问控制方法与系统,以提升现有访问控制方法准确度不足的问题
。
[0007]本专利技术的
技术实现思路
包括:
[0008]一种基于多维图神经网络的零信任访问控制方法与系统,其特征在于,所述方法包括以下步骤
:
[0009]S1、
定义规则,建立基于用户行为模式的多重图数据结构;
[0010]S2、
引入特征哈希方法,对访问请求日志数据进行降维和语义信息提取;
[0011]S3、
构建多维图神经网络模型实现节点特征自动表示以及访问控制结果的判定
。
[0012]进一步地,所述
S1
的图构建过程包括以下分步骤:
[0013]S11、
定义规则:定义多种关系类型对应的规则,对应用户的不同行为模式,在多重图中对应多种类型的边
。
针对每种类型的关系,都包含序列建模和序列间建模两部分;
[0014]S12、
序列建模:序列建模主要指在对应规则下单日内按照时间顺序的节点连接方
式;
[0015]S13、
序列间建模:序列间建模主要指对应规则下单日序列之间的按权连接方式
。
[0016]进一步地,所述
S12
序列建模包含了多种类型的关系,包括以下分步骤:
[0017]S121、
同一用户的日志条目在一天内按时间顺序连接,任意两个节点
i,j
之间边的权重
w(i,j)
=
1。
[0018]S122、
同一主机上同一用户的日志条目在一天内按时间顺序连接,任意两个节点
i,j
之间边的权重
w(i,j)
=
1。
[0019]S123、
同一主机上相同操作的日志条目在一天内按时间顺序连接,任意两个节点
i,j
之间边的权重
w(i,j)
=
1。
[0020]S124、
同一主机上访问相同对象的日志条目按时间顺序连接,任意两个节点
i,j
之间边的权重
w(i,j)
=
1。
[0021]进一步地,所述
S13
的序列间建模包括以下分步骤:
[0022]S131、
步骤
S121
‑
S124
分别都将建立多个不同天的单日序列,分别对每个单独步骤中的序列之间将各自的头节点和尾节点连接形成图,所形成的边的权值与对应两条序列所包含的日志条目数量的相似性相关
。
[0023]S132、
序列之间连接节点
i,j
的边的权值的计算公式如下:
[0024]w(i,j)
=
weight(a,b)
=
exp(
‑
dist(a,b))
[0025]其中
a,b
表示
i,j
各自所在序列所包含的日志条目数量,
dist(a,b)
用于衡量
i,j
各自所在序列所包含的日志条目数量的差异,公式如下:
[0026][0027]其中,
i,j
各自所在序列所包含的日志条目数量越接近,权值越接近
1。
[0028]进一步地,所述
S2
的特征哈希方法包括以下分步骤:
[0029]S21、
选择哈希函数和指定特征维度:首先确定要使用的哈希函数以及最终的特征维度大小;
[0030]S22、
初始化哈希表和哈希值:创建一个初始的哈希表,根据指定的哈希种子初始化哈希值;
[0031]S23、
选择特征,遍历输入数据:对于每个输入样本,并不是所有的特征都需要进行哈希函数的映射,取决于具体的任务要求,选取任务相关的属性作为输入特征;
[0032]S24、
应用哈希函数:对每个特征分别应用哈希函数,将其映射到哈希表中的一个位置
。
具体映射操作包括一系列位操作
、
移位操作和混合操作;
[0033]S25、
生成特征向量:根据哈希表的索引,在新的低维特征空间中设置对应位置的值;
[0034]S26、
组合得到最终特征向量:将每条数据各个特征的特征值组合,以得到最终的哈希值;
[0035]S27、
特征标准化:对生成的特征向量进行标准化,以便在后续的模型使用
。
[0036]进一步地,所述
S3
的多维图神经网络模型包括以下分步骤:
[0037]S31、
根据步骤
S1
构建的多重图数据结构,按照边的类型划分可以得到<本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.
一种基于多维图神经网络的零信任访问控制方法与系统,其特征在于,包括以下步骤
:S1、
定义规则,建立基于用户行为模式的多重图数据结构;
S2、
引入特征哈希方法,对访问请求日志数据进行降维和语义信息提取;
S3、
构建多维图神经网络模型实现节点特征自动表示以及访问控制结果的判定
。2.
根据权利要求1所述的基于多维图神经网络的零信任访问控制方法与系统,其特征在于,所述
S1
包括以下分步骤
:S11、
定义规则:定义多种关系类型对应的规则,对应用户的不同行为模式,在多重图中对应多种类型的边,针对每种类型的关系,都包含序列建模和序列间建模两部分;
S12、
序列建模:序列建模主要指在对应规则下单日内按照时间顺序的节点连接方式;
S13、
序列间建模:序列间建模主要指对应规则下单日序列之间的按权连接方式
。3.
根据权利要求2所述的一种基于多维图神经网络的零信任访问控制方法与系统,其特征在于,所述
S12
包括以下分步骤
:S121、
同一用户的日志条目在一天内按时间顺序连接,任意两个节点
i,j
之间边的权重
w(i,j)
=1;
S122、
同一主机上同一用户的日志条目在一天内按时间顺序连接,任意两个节点
i,j
之间边的权重
w(i,j)
=1;
S123、
同一主机上相同操作的日志条目在一天内按时间顺序连接,任意两个节点
i,j
之间边的权重
w(i,j)
=1;
S124、
同一主机上访问相同对象的日志条目按时间顺序连接,任意两个节点
i,j
之间边的权重
w(i,j)
=
1。4.
根据权利要求2所述的基于多维图神经网络的零信任访问控制方法与系统,其特征在于,所述
S13
包括以下分步骤:
S131、
步骤
S121
‑
S124
分别都将建立多个不同天的单日序列,分别对每个单独步骤中的序列之间将各自的头节点和尾节点连接形成图,所形成的边的权值与对应两条序列所包含的日志条目数量的相似性相关;
S132、
序列之间连接节点
i,j
的边的权值的计算公式如下:
w(i,j)
=
weight(a,b)
=
exp(
‑
dist(a,b))
其中
a,b
表示
i,j
各自所在序列所包含的日志条目数量,
dist(a,b)
表示
i,j
各自所在序列所包含的日志条目数量的差异,公式如下:其中,
i,j
各自所在序列所包含的日志条目数量越接近,权值越接近
1。5.
根据权利要求1所述的一种基于多维图神经网络的零信任访问控制方法与系统,其特征在于,所述
S2
包括以下分步骤:
S21、
选择哈希函数和指定特征维度:首先需要确定要使用的哈希函数以及最终的特征维度大小;
S22、
初始化哈希表和哈希值:创建一个初始的哈希表,根据指定的哈希种子初始化哈
希值;
S23、
选择特征,遍历输入数据:对于每个输入样本,并不是所有的特征都需要进行哈希函数的映射,取决于具体的任务要求,选取任务相关的属性作为输入特征;
S24、
应用哈希函数:对每个特征分别应用哈希函数,将其映射到哈希表中的一个位置,具体映射操作包括一系列位操作
、
移位操作和混合操作;
S25、
生成特征向量:根据哈希表的索引,在新的低维特征空间中设置对应位置的值;
S26、
组合得到最终特征向量:将每条数据各个特征的特征值组合,以得到最终的哈希值;
S27、
特征标准化:对生成的特征向量进行标准化,以便在后续的模型使用
。6.
根据权利要求1所述的基于多维图神经网络的零信任访问控制方法与系统,其特征在于,所述
S3
包括以下分步骤:
S31、
根据步骤
S1
构建的多重图数据结构,按照边的类型划分可以得到
D
个节点相同但边类型不...
【专利技术属性】
技术研发人员:曹晟,石峰帆,王岩,胡芯玮,张小松,
申请(专利权)人:四川省数字经济研究院宜宾,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。