可信策略学习方法及装置、可信安全管理平台与流程

本发明涉及可信管理技术领域，具体而言，涉及一种可信策略学习方法及装置、可信安全管理平台。

背景技术：

在相关技术中，可信计算需要依据可信策略进行可信度量，目前，可信策略通常是安全管理员基于自身对应用程序访问行为的认知手动配置的，如果可信策略需要更新，也是由安全管理员手动配置进行更新。但是，安全管理员手动配置的可信策略对安全管理员的主观意识依赖性较大，由于安全管理员对应用程序访问行为的认知可能存在片面化的问题，将会导致可信策略的配置准确度较低，且安全管理员对应用程序访问行为进行分析需要耗费较长时间，也将会导致可信策略的配置效率较低。此外，由安全管理员手动进行可信策略更新，将会导致可信策略更新效率较低。

针对上述的问题，目前尚未提出有效的解决方案。

技术实现要素：

本发明实施例提供了一种可信策略学习方法及装置、可信安全管理平台，以至少解决相关技术中由安全管理员手动配置可信策略，配置准确度低的技术问题。

根据本发明实施例的一个方面，提供了一种可信策略学习方法，包括：获取目标应用程序的历史访问行为数据，其中，所述历史访问行为数据包括：至少一个历史访问行为；提取每个所述历史访问行为的行为特征，其中，所述行为特征包括：用于指示所述历史访问行为中主体对客体所执行操作的操作特征、用于指示所述历史访问行为的发生时间的时间特征、用于指示所述历史访问行为中主体所访问客体的客体特征、用于指示所述历史访问行为中主体被其它应用程序调用的调用者特征；将每个所述历史访问行为的行为特征分别映射到四维空间中，其中，所述四维空间中的其中一个点用于指示其中一个所述历史访问行为的行为特征；基于所述四维空间获取所述目标应用程序对应的可信策略。

可选地，在基于所述四维空间获取所述目标应用程序对应的可信策略之后，所述学习方法还包括：计算所述四维空间中所有点的中心点和方差值；接收新的访问行为数据，其中，所述新的访问行为数据包括：至少一个新的访问行为；将所述新的访问行为映射至所述四维空间，以确定新的行为点，并计算所述新的行为点与所述中心点的距离值；若所述距离值小于所述方差值，则确定所述新的访问行为正常；若所述距离值大于或等于所述方差值，则确定所述新的访问行为异常。

可选地，在确定所述新的访问行为正常之后，所述学习方法还包括：将所述新的访问行为进行轨迹收敛，以确定与所述目标应用程序的正常访问行为对应的局部子空间，其中，所述局部子空间为所述四维空间的子空间。

可选地，基于所述四维空间获取所述目标应用程序对应的可信策略的步骤，包括：获取策略转换规则；基于所述策略转换规则，将所述四维空间对应的各个点转换为所述可信策略。

根据本发明实施例的另一方面，还提供了一种可信策略学习装置，包括：第一获取单元，用于获取目标应用程序的历史访问行为数据，其中，所述历史访问行为数据包括：至少一个历史访问行为；提取单元，用于提取每个所述历史访问行为的行为特征，其中，所述行为特征包括：用于指示所述历史访问行为中主体对客体所执行操作的操作特征、用于指示所述历史访问行为的发生时间的时间特征、用于指示所述历史访问行为中主体所访问客体的客体特征、用于指示所述历史访问行为中主体被其它应用程序调用的调用者特征；映射单元，用于将每个所述历史访问行为的行为特征分别映射到四维空间中，其中，所述四维空间中的其中一个点用于指示其中一个所述历史访问行为的行为特征；第二获取单元，用于基于所述四维空间获取所述目标应用程序对应的可信策略。

可选地，所述学习装置还包括：计算单元，用于在基于所述四维空间获取所述目标应用程序对应的可信策略之后，计算所述四维空间中所有点的中心点和方差值；接收单元，用于接收新的访问行为数据，其中，所述新的访问行为数据包括：至少一个新的访问行为；第一确定单元，用于将所述新的访问行为映射至所述四维空间，以确定新的行为点，并计算所述新的行为点与所述中心点的距离值；第二确定单元，用于在所述距离值小于所述方差值时，确定所述新的访问行为正常；第三确定单元，用于在所述距离值大于或等于所述方差值时，确定所述新的访问行为异常。

可选地，所述学习装置还包括：第四确定单元，用于在确定所述新的访问行为正常之后，将所述新的访问行为进行轨迹收敛，以确定与所述目标应用程序的正常访问行为对应的局部子空间，其中，所述局部子空间为所述四维空间的子空间。

可选地，所述第二获取单元包括：获取模块，用于获取策略转换规则；转换模块，用于基于所述策略转换规则，将所述四维空间对应的各个点转换为所述可信策略。

根据本发明实施例的另一方面，还提供了一种可信安全管理平台，包括：存储器，与所述存储器耦合的处理器，所述存储器和所述处理器通过总线系统相通信；所述存储器用于存储程序，其中，所述程序在被处理器执行时控制所述存储器所在设备执行上述任意一项所述的可信策略学习方法，所述处理器用于运行程序，其中，所述程序运行时执行上述任意一项所述的可信策略学习方法。

根据本发明实施例的另一方面，还提供了一种处理器，所述处理器用于运行程序，其中，所述程序运行时执行上述任意一项所述的可信策略学习方法。

在本发明实施例中，采用获取目标应用程序的历史访问行为数据，其中，历史访问行为数据包括：至少一个历史访问行为，然后提取每个历史访问行为的行为特征，其中，行为特征包括：用于指示历史访问行为中主体对客体所执行操作的操作特征、用于指示历史访问行为的发生时间的时间特征、用于指示历史访问行为中主体所访问客体的客体特征、用于指示历史访问行为中主体被其它应用程序调用的调用者特征，将每个历史访问行为的行为特征分别映射到四维空间中，其中，四维空间中的其中一个点用于指示其中一个历史访问行为的行为特征，最后可基于四维空间获取目标应用程序对应的可信策略。在该实施例中，可以通过对目标应用程序的历史访问行为数据进行特征提取和特征映射，自动学习到与应用程序对应的可信策略，无需安全管理员手动配置可信策略，通过可信安全管理平台的自动学习，达到了更加准确且内容全面的学习得到可信策略，从而解决相关技术中由安全管理员手动配置可信策略，配置准确度低的技术问题。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是根据本发明实施例的一种可选的可信策略学习方法的流程图；

图2根据本发明实施例的一种可选的可信策略学习装置的示意图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

为便于用户理解本发明，下面对本发明各实施例中涉及的部分术语或名词做出解释：

tcm:可信密码模块，可信计算平台的硬件模块，为可信计算平台提供密码运算功能，具有受保护的存储空间。

tpcm:可信平台控制模块，一种集成在可信计算平台中，用于建立和保障信任源点的硬件核心模块，为可信计算提供完整性度量、安全存储、可信报告以及密码服务等功能。

tsb:可信软件基，为可信计算平台的可信性提供支持的软件元素的集合。

本发明各实施例中的可信策略学习方法的执行主体为可信安全管理平台，可信安全管理平台用于支持维护多个可信计算平台，可信计算平台包括并行的计算子系统与防护子系统，其中，计算子系统用于完成计算任务，而防护子系统用于根据可信策略对计算子系统进行主动度量，可信计算平台负责采集应用程序的访问行为数据，并上报给可信安全管理平台。

上述的可信计算平台可以包括但不限于：平板、移动终端、pc、ipad和服务器等。对于不同的业务应用和用户场景需要制定不同的免疫可信策略，可信策略学习是根据节点一段时间的历史访问行为的行为特征自动学习用户的行为轨迹智能转换成策略语言描述的可信策略，供系统安全管理员进行编辑和维护。在通过可信策略进行主动度量后，确定可信策略对可信计算平台的安全防护是否全面、准确，使得每个可信计算平台的可信策略符合度超出预设符合度数值。

本发明下述实施例通过设计了一种可信策略学习方法，在部署可信计算平台(tsb或tpcm+tsb)后，可以基于应用程序的历史访问行为数据，对历史访问行为数据进行统计归纳，自动学习与应用程序对应的可信策略，提高可信策略的生成效率；然后可以持续迭代更新该可信策略，使得可信策略与业务应用行为的符合度不断提高，确保可信策略的准确度。

根据本发明实施例，提供了一种可信策略学习方法实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

图1是根据本发明实施例的一种可选的可信策略学习方法的流程图，如图1所示，该方法包括如下步骤：

步骤s102，获取目标应用程序的历史访问行为数据，其中，历史访问行为数据包括：至少一个历史访问行为；

步骤s104，提取每个历史访问行为的行为特征，其中，行为特征包括：用于指示历史访问行为中主体对客体所执行操作的操作特征、用于指示历史访问行为的发生时间的时间特征、用于指示历史访问行为中主体所访问客体的客体特征、用于指示历史访问行为中主体被其它应用程序调用的调用者特征；

步骤s106，将每个历史访问行为的行为特征分别映射到四维空间中，其中，四维空间中的其中一个点用于指示其中一个历史访问行为的行为特征；

步骤s108，基于四维空间获取目标应用程序对应的可信策略。

通过上述步骤，可以采用获取目标应用程序的历史访问行为数据，其中，历史访问行为数据包括：至少一个历史访问行为，然后提取每个历史访问行为的行为特征，其中，行为特征包括：用于指示历史访问行为中主体对客体所执行操作的操作特征、用于指示历史访问行为的发生时间的时间特征、用于指示历史访问行为中主体所访问客体的客体特征、用于指示历史访问行为中主体被其它应用程序调用的调用者特征，将每个历史访问行为的行为特征分别映射到四维空间中，其中，四维空间中的其中一个点用于指示其中一个历史访问行为的行为特征，最后可基于四维空间获取目标应用程序对应的可信策略。在该实施例中，可以通过对目标应用程序的历史访问行为数据进行特征提取和特征映射，自动学习到与应用程序对应的可信策略，无需安全管理员手动配置可信策略，通过可信安全管理平台的自动学习，达到了更加准确且内容全面的学习得到可信策略，从而解决相关技术中由安全管理员手动配置可信策略，配置准确度低的技术问题。

下面分别对上述各步骤进行详细说明。

步骤s102，获取目标应用程序的历史访问行为数据，其中，历史访问行为数据包括：至少一个历史访问行为。

每个可信计算平台可以记录用户在各个应用程序上的访问行为，并选取其中一个应用程序作为目标应用程序，通过该目标应用程序的历史访问行为数据作为可信策略学习的数据。

上述历史访问行为包括但不限于：读操作行为、写操作行为、复制操作行为、粘贴操作行为以及命名操作行为等。

步骤s104，提取每个历史访问行为的行为特征，其中，行为特征包括：用于指示历史访问行为中主体对客体所执行操作的操作特征、用于指示历史访问行为的发生时间的时间特征、用于指示历史访问行为中主体所访问客体的客体特征、用于指示历史访问行为中主体被其它应用程序调用的调用者特征。

每个历史访问行为都对应有上述四个行为特征，即包括：主体对客体的操作、访问客体、主体的工作时间以及被调用者主体。这四个行为特征都会形成相应的特征集合。

主体可以包括但不限于：应用程序；客体包括但不限于：文件(包含文件目录和文件正文)，该文件可以为word、ppt、excel表格等文件。

上述的操作特征包括但不限于：读操作、写操作、执行操作、复制操作、剪切操作；而时间特征包括但不限于：主体工作区间、主体工作起始时间点、主体工作结束时间点；客体特征包括但不限于：通过全路径表示的主体访问过的所有客体特征。

通过上述的四个特征可以构造出目标应用程序的访问空间，该访问空间可以是四维空间。

步骤s106，将每个历史访问行为的行为特征分别映射到四维空间中，其中，四维空间中的其中一个点用于指示其中一个历史访问行为的行为特征。

即将上述四个行为特征映射至四维空间，四个维度是操作、时间、客体和调用者，每一次访问对对应该空间中的一个点。

步骤s108，基于四维空间获取目标应用程序对应的可信策略。

可选地，基于四维空间获取目标应用程序对应的可信策略的步骤，包括：获取策略转换规则；基于策略转换规则，将四维空间对应的各个点转换为可信策略。

即通过四维空间确定与目标应用程序的可信策略。上述策略转换规则可以理解为应用程序在业务场景中的使用规律，分析目标应用程序的使用规律从而得出该应用程序在业务场景中执行具体业务的规范系统行为，进而转化成可信策略。

作为本发明一可选的实施例，在基于四维空间获取目标应用程序对应的可信策略之后，上述学习方法还包括：计算四维空间中所有点的中心点和方差值；接收新的访问行为数据，其中，新的访问行为数据包括：至少一个新的访问行为；将新的访问行为映射至四维空间，以确定新的行为点，并计算新的行为点与中心点的距离值；若距离值小于方差值，则确定新的访问行为正常；若距离值大于或等于方差值，则确定新的访问行为异常。

通过将历史访问行为的行为特征转化成四维空间中的点，再求出这些点的中心点和方差，当一个新的访问行为也就是空间中一个新的点出现时，计算该点与中心的距离，如果小于方差则认为是正常的，否则认为是异常的。

在本发明实施例中，四维空间中每个维度的权重是根据各个行为特征的重要性来设置的，一般来说，可以设置操作特征和客体特征的权重较高，时间特征和调用者特征的权重可以设置低一些，在计算上述四维空间中所有点的中心点和方差值，以及新的行为点与中心点的距离值时，应考虑到四维空间中的每个维度的权重，从而得到相应的数值。

在本发明另一种可选的实施方式，在确定新的访问行为正常之后，学习方法还包括：将新的访问行为进行轨迹收敛，以确定与目标应用程序的正常访问行为对应的局部子空间，其中，局部子空间为四维空间的子空间。除了可以将新的访问行为进行轨迹收敛以确定与目标应用程序的正常访问行为对应的局部子空间，还可以通过局部定理等方式确定正常访问行为对应的局部子空间。

通过上述实施例，可以对应用程序的历史访问行为数据进行归纳分析，分析得到每个历史访问行为的行为特征，然后将行为特征映射至应用程序的四维空间，该四维空间可以理解为学习得到的可信策略，利用四维空间即可判断新的访问行为是否异常。

图2根据本发明实施例的一种可选的可信策略学习装置的示意图，如图2所示，该学习装置可以包括：第一获取单元21，提取单元23，映射单元25，第二获取单元27，其中，

第一获取单元21，用于获取目标应用程序的历史访问行为数据，其中，历史访问行为数据包括：至少一个历史访问行为；

提取单元23，用于提取每个历史访问行为的行为特征，其中，行为特征包括：用于指示历史访问行为中主体对客体所执行操作的操作特征、用于指示历史访问行为的发生时间的时间特征、用于指示历史访问行为中主体所访问客体的客体特征、用于指示历史访问行为中主体被其它应用程序调用的调用者特征；

映射单元25，用于将每个历史访问行为的行为特征分别映射到四维空间中，其中，四维空间中的其中一个点用于指示其中一个历史访问行为的行为特征；

第二获取单元27，用于基于四维空间获取目标应用程序对应的可信策略。

上述可信策略学习装置，可以通过第一获取单元21获取目标应用程序的历史访问行为数据，其中，历史访问行为数据包括：至少一个历史访问行为，然后通过提取单元23提取每个历史访问行为的行为特征，其中，行为特征包括：用于指示历史访问行为中主体对客体所执行操作的操作特征、用于指示历史访问行为的发生时间的时间特征、用于指示历史访问行为中主体所访问客体的客体特征、用于指示历史访问行为中主体被其它应用程序调用的调用者特征，通过映射单元25将每个历史访问行为的行为特征分别映射到四维空间中，其中，四维空间中的其中一个点用于指示其中一个历史访问行为的行为特征，最后可通过第二获取单元27基于四维空间获取目标应用程序对应的可信策略。在该实施例中，可以通过对目标应用程序的历史访问行为数据进行特征提取和特征映射，自动学习到与应用程序对应的可信策略，无需安全管理员手动配置可信策略，通过可信安全管理平台的自动学习，达到了更加准确且内容全面的学习得到可信策略，从而解决相关技术中由安全管理员手动配置可信策略，配置准确度低的技术问题。

另一种可选地，学习装置还包括：计算单元，用于在基于四维空间获取目标应用程序对应的可信策略之后，计算四维空间中所有点的中心点和方差值；接收单元，用于接收新的访问行为数据，其中，新的访问行为数据包括：至少一个新的访问行为；第一确定单元，用于将新的访问行为映射至四维空间，以确定新的行为点，并计算新的行为点与中心点的距离值；第二确定单元，用于在距离值小于方差值时，确定新的访问行为正常；第三确定单元，用于在距离值大于或等于方差值时，确定新的访问行为异常。

在本发明实施例，学习装置还包括：第四确定单元，用于在确定新的访问行为正常之后，将新的访问行为进行轨迹收敛，以确定与目标应用程序的正常访问行为对应的局部子空间，其中，局部子空间为四维空间的子空间。

可选地，第二获取单元包括：获取模块，用于获取策略转换规则；转换模块，用于基于策略转换规则，将四维空间对应的各个点转换为可信策略。

上述的可信学习装置还可以包括处理器和存储器，上述第一获取单元21，提取单元23，映射单元25，第二获取单元27等均作为程序单元存储在存储器中，由处理器执行存储在存储器中的上述程序单元来实现相应的功能。

上述处理器中包含内核，由内核去存储器中调取相应的程序单元。内核可以设置一个或以上，通过调整内核参数来基于四维空间获取目标应用程序对应的可信策略。

上述存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flashram)，存储器包括至少一个存储芯片。

根据本发明实施例的另一方面，还提供了一种可信安全管理平台，包括：存储器，与存储器耦合的处理器，存储器和处理器通过总线系统相通信；存储器用于存储程序，其中，程序在被处理器执行时控制存储器所在设备执行上述任意一项的可信策略学习方法，处理器用于运行程序，其中，程序运行时执行上述任意一项的可信策略学习方法。

根据本发明实施例的另一方面，还提供了一种处理器，处理器用于运行程序，其中，程序运行时执行上述任意一项的可信策略学习方法。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

在本发明的上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

在本申请所提供的几个实施例中，应该理解到，所揭露的技术内容，可通过其它的方式实现。其中，以上所描述的装置实施例仅仅是示意性的，例如所述单元的划分，可以为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，单元或模块的间接耦合或通信连接，可以是电性或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。