【技术实现步骤摘要】
本公开可用于信息安全领域、人工智能领域或其他领域,更具体地,涉及一种访问控制方法、装置、设备、介质和程序产品。
技术介绍
1、随着网络技术的迅猛发展和企业数字化转型的不断推进,企业的网络规模和复杂度不断增加,通过会针对不同的业务设置专用业务网络,并出于安全考虑,人工配置业务网络的访问控制策略,用来控制访问该业务网络的流量。
2、在实现本公开专利技术构思的过程中,专利技术人发现,业务人员对网络架构了解不清晰,导致不同业务网络的访问控制策略不精准,例如访问的开通范围比业务需求更大的情况时有发生。当某个业务网络被入侵后,攻击者能够利用这些开通范围过大的策略,横向移动至其他业务网络,造成更大的安全威胁。人工难以根据访问日志高效梳理访问控制策略,无法满足例行化策略分析需求。
技术实现思路
1、鉴于上述问题,本公开提供了访问控制方法、装置、设备、介质和程序产品。
2、本公开实施例的一个方面,提供了一种访问控制方法,包括:获取待检测的访问控制策略,所述访问控制策略指示了允许访问目标业务网络的请求约束条件;将所述访问控制策略的特征输入策略分析模型,所述策略分析模型基于至少一个业务网络的历史访问请求预先训练得到;获得所述策略分析模型输出的预测结果,所述预测结果指示了所述访问控制策略与目标业务访问需求之间的匹配程度。
3、根据本公开的实施例,所述预测结果包括匹配类别和收敛指数,获得所述策略分析模型输出的预测结果包括:获得所述策略分析模型输出的匹配类别,其中,不同的所
4、根据本公开的实施例,获得所述匹配类别对应的收敛指数后,所述方法还包括:比较所述收敛指数和指数阈值,其中,所述收敛指数的值与所述访问范围的偏差程度成正比,所述指数阈值根据所述访问需求对应的实际访问范围预先确定;在所述收敛数值大于或等于所述指数阈值时,更新所述请求约束条件。
5、根据本公开的实施例,所述请求约束条件包括访问请求参数,更新所述请求约束条件包括:根据所述访问需求,针对至少部分所述访问请求参数执行修改、删除或增加中至少一项操作,以使所述请求约束条件所限制访问范围与所述访问需求相一致。
6、根据本公开的实施例,预先训练所述策略分析模型包括:获取至少一个所述业务网络的历史访问请求;提取每个所述历史访问请求的特征并标注样本标签;基于每个所述历史访问请求的特征及样本标签训练所述策略分析模型,所述策略分析模型基于机器学习算法构建得到。
7、根据本公开的实施例,标注每个所述历史访问请求的匹配标签,所述匹配标签指示了所述访问控制策略与其对应业务的访问需求之间的匹配程度;以及标注每个所述历史访问请求的收敛指数标签,所述收敛指数标签指示了所述访问控制策略与其对应业务的访问需求之间的偏差程度。
8、根据本公开的实施例,所述匹配类别包括:必要类别,用于表征符合所述请求约束条件的访问请求命中所述访问需求;冗余类别,用于表征符合所述请求约束条件的至少部分访问请求超出所述访问需求;闲置类别,用于指示符合所述请求约束条件的访问请求未命中所述访问需求。
9、根据本公开的实施例,所述访问控制策略的特征包括以下至少一个:源ip地址,包括符合所述请求约束条件的请求ip地址;源业务网络,包括符合所述请求约束条件的业务网络;目的ip地址,包括所述请求约束条件限定的所述目标业务网络的ip地址;端口范围,包括所述请求约束条件限定的端口列表;端口风险级别,包括端口受到攻击的概率;端口开通时间,包括端口允许被访问的时间段。
10、根据本公开的实施例,每个所述业务网络用于为对应业务提供网络服务,不同所述业务网络对应内网中不同的局部网络区域。
11、本公开实施例的另一方面还提供了一种访问控制装置,包括:获取策略模块,用于获取待检测的访问控制策略,所述访问控制策略指示了允许访问目标业务网络的请求约束条件;输入策略模块,用于将所述访问控制策略的特征输入策略分析模型,所述策略分析模型基于至少一个业务网络的历史访问请求预先训练得到;模型预测模块,用于获得所述策略分析模型输出的预测结果,所述预测结果指示了所述访问控制策略与目标业务访问需求之间的匹配程度。
12、本公开实施例的另一方面提供了一种电子设备,包括:一个或多个处理器;存储装置,用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得一个或多个处理器执行如上所述的方法。
13、本公开实施例的另一方面还提供了一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器执行如上所述的方法。
14、本公开实施例的另一方面还提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现如上所述的方法。
15、上述一个或多个实施例具有如下有益效果:策略分析模型根据训练阶段学习到的知识,能够判断符合请求约束条件的访问请求是否与访问需求匹配,从而有利于访问范围最小化开通,加强网络隔离,有效防止入侵者横向移动,完善内部网络安全机制。还能够通过策略分析模型自动化梳理策略,减少人力和物力成本。
本文档来自技高网...【技术保护点】
1.一种访问控制方法,包括:
2.根据权利要求1所述的方法,其中,所述预测结果包括匹配类别和收敛指数,获得所述策略分析模型输出的预测结果包括:
3.根据权利要求2所述的方法,其中,获得所述匹配类别对应的收敛指数后,所述方法还包括:
4.根据权利要求2所述的方法,其中,所述请求约束条件包括访问请求参数,更新所述请求约束条件包括:
5.根据权利要求1所述的方法,其中,预先训练所述策略分析模型包括:
6.根据权利要求5所述的方法,其中,所述标注样本标签包括:
7.根据权利要求2所述的方法,其中,所述匹配类别包括:
8.根据权利要求1所述的方法,其中,所述访问控制策略的特征包括以下至少一个:
9.根据权利要求1所述的方法,其中,每个所述业务网络用于为对应业务提供网络服务,不同所述业务网络对应内网中不同的局部网络区域。
10.一种访问控制装置,包括:
11.一种电子设备,包括:
12.一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器执
13.一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现根据权利要求1~9中任一项所述的方法。
...【技术特征摘要】
1.一种访问控制方法,包括:
2.根据权利要求1所述的方法,其中,所述预测结果包括匹配类别和收敛指数,获得所述策略分析模型输出的预测结果包括:
3.根据权利要求2所述的方法,其中,获得所述匹配类别对应的收敛指数后,所述方法还包括:
4.根据权利要求2所述的方法,其中,所述请求约束条件包括访问请求参数,更新所述请求约束条件包括:
5.根据权利要求1所述的方法,其中,预先训练所述策略分析模型包括:
6.根据权利要求5所述的方法,其中,所述标注样本标签包括:
7.根据权利要求2所述的方法,其中,所述匹配类别包...
【专利技术属性】
技术研发人员:钱维正,唐宝存,王秋晨,付少强,
申请(专利权)人:中国工商银行股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。