一种访问控制策略自动生成方法及装置与流程

1.本发明涉及信息安全技术领域，更具体地说，涉及一种访问控制策略自动生成方法及装置。


背景技术：

2.访问控制技术指防止对任何资源进行未授权的访问，从而使计算机系统在合法的范围内使用。意指用户身份及其所归属的某项定义组来限制用户对某些信息项的访问，或限制对某些控制功能的使用的一种技术。
3.目前常用的方式就是分权分域、打分机制分级处理，本身都具有技术单一，防御性差，无法实现动态控制权限。


技术实现要素：

4.有鉴于此，为解决上述问题，本发明提供一种访问控制策略自动生成方法及装置。技术方案如下：
5.一种访问控制策略自动生成方法，所述方法包括：
6.获取信息访问方和信息提供方间通信的流量数据；
7.确定待生成的访问控制策略的策略字段，并基于所述策略字段对所述流量数据进行数据归并；
8.利用机器学习算法对归并得到的数据进行学习，以生成所述访问控制策略。
9.优选的，所述方法还包括：
10.对所述流量数据进行数据清洗，以获取用于策略生成的第一流量数据；
11.相应的，所述基于所述策略字段对所述流量数据进行数据归并，包括：
12.基于所述策略字段对所述第一流量数据进行数据归并。
13.优选的，所述方法还包括：
14.对所述流量数据中被清洗去除的第二流量数据进行存储。
15.优选的，所述方法还包括：
16.获取基于所述访问控制策略对所述信息访问方向所述信息提供方所发起请求的识别结果；
17.若所述识别结果为请求异常，则对所述信息访问方进行安全认证。
18.优选的，所述方法还包括：
19.若所述信息访问方的安全认证的次数大于预设的次数阈值，则更新所述流量数据，并返回执行所述基于所述策略字段对所述流量数据进行数据归并的步骤，以更新所述访问控制策略。
20.一种访问控制策略自动生成装置，所述装置包括：
21.数据获取模块，用于获取信息访问方和信息提供方间通信的流量数据；
22.数据处理模块，用于确定待生成的访问控制策略的策略字段，并基于所述策略字
段对所述流量数据进行数据归并；
23.策略生成模块，用于利用机器学习算法对归并得到的数据进行学习，以生成所述访问控制策略。
24.优选的，所述数据处理模块，还用于：
25.对所述流量数据进行数据清洗，以获取用于策略生成的第一流量数据；
26.相应的，用于基于所述策略字段对所述流量数据进行数据归并的所述数据处理模块，具体用于：
27.基于所述策略字段对所述第一流量数据进行数据归并。
28.优选的，所述数据处理模块，还用于：
29.对所述流量数据中被清洗去除的第二流量数据进行存储。
30.优选的，所述装置还包括：
31.安全认证模块，用于获取基于所述访问控制策略对所述信息访问方向所述信息提供方所发起请求的识别结果；若所述识别结果为请求异常，则对所述信息访问方进行安全认证。
32.优选的，所述装置还包括：
33.策略更新模块，用于若所述信息访问方的安全认证的次数大于预设的次数阈值，则更新所述流量数据，并返回执行所述基于所述策略字段对所述流量数据进行数据归并的步骤，以更新所述访问控制策略。
34.本发明实施例提供的访问控制策略自动生成方法及装置，依托于人工智能的机器学习算法对信息访问方和信息提供方间的通信流量进行学习，自动化生成访问控制策略，这就可以细粒度、实时、安全、智能化的保护用户访问的安全稳定性，保证用户权限分明和信息访问安全。
附图说明
35.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。
36.图1为本发明实施例提供的访问控制策略自动生成方法的方法流程图；
37.图2为本发明实施例提供的信息访问的系统架构图；
38.图3为本发明实施例提供的访问控制策略管理示意图；
39.图4为本发明实施例提供的访问控制策略配置示意图；
40.图5为本发明实施例提供的访问控制策略另一配置示意图；
41.图6为本发明实施例提供的访问控制策略自动生成装置的结构示意图。
具体实施方式
42.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他
实施例，都属于本发明保护的范围。
43.在本技术中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
44.本发明实施例提供一种访问控制策略自动生成方法，该方法的方法流程图如图1所示，包括如下步骤：
45.s10，获取信息访问方和信息提供方间通信的流量数据。
46.本发明实施例中，信息访问方为直接与信息提供方进行通信的设备，信息访问方可以是用户终端设备，还可以是用于转发用户终端设备访问请求的中间设备，比如公司级别的对外通信的设备。
47.另外，参见图2所示的信息访问的系统架构图。该系统架构图中包括终端设备、网关和应用服务端，该终端设备为信息访问方、该应用服务端为信息提供方，终端设备通过网关向应用服务端发送访问请求。
48.其中，网关为阻断内外网与应用数据交互的拦截设备，用于保护关键资产(公司内外网重要的基础设备、网站平台、存储数据的服务器等)，其建立可通信后才允许终端设备的数据访问。
49.而asp英文全称为access controlstuding platform，即访问控制学习平台，其设置于网关旁路侧，本发明实施例提供的访问控制策略自动生成方法可以应用于asp。终端设备在访问应用服务端进行各种操作(比如所访问的应用、以及对应用执行的诸如删除、录入操作)时，都会转换为网络中的流量，而这些流量会经过网关进行流转。因此，asp可以收集终端设备与应用服务端间通信的所有的流量数据，从而以机器学习技术为基础，动态生成访问控制策略。
50.s20，确定待生成的访问控制策略的策略字段，并基于策略字段对流量数据进行数据归并。
51.本发明实施例中，访问控制策略分为针对特定信息访问方设置的第一类访问控制策略、以及针对特定信息提供方设置的第二类访问控制策略。
52.对于第一类访问控制策略和第二类访问策略来说，可以分别设置各自对应的策略字段，该策略字段包括但不局限于访问时间、访问地址、信任评分、访问所用浏览器等。
53.具体的，对于第一类访问控制策略，可以从流量数据中筛选特定信息访问方对应的部分流量数据，并从该部分流量数据中进一步提取该特定信息访问方在相应策略字段下的字段内容，由此可以获得该特定信息访问方的多个数据组，每个数据组就包含一组策略字段下的字段内容。
54.以策略字段包括用户名称、访问时间、访问所用浏览器、访问位置、实时监控风险评分、是否使用云桌面访问来说明，该特定信息访问方的每个数据组就包含一组上述策略字段下的字段内容，而数据归并则是将内容完全相同的至少两个数据组合合并为一个数据组，从而减少机器学习不必要的样本。
55.对于第二类访问控制策略，可以从流量数据中筛选特定信息提供方对应的部分流
量数据，并从该部分流量数据中进一步提取该特定信息提供方在相应策略字段下的字段内容，由此可以获得访问该特定信息提供方的多个信息访问方的多个数据组，同样的，每个数据组就包含相应信息访问方在一组策略字段下的字段内容。
56.同样的，对于每个信息访问方的多个数据组，可以对其进行数据归并，将内容完全相同的至少数据组合并为一个数据组，相应也能减少机器学习不必要的样本。
57.在其他一些实施例中，为减少数据归并的数据处理量，本发明实施例还包括如下步骤：
58.对流量数据进行数据清洗，以获取用于策略生成的第一流量数据；
59.相应的，步骤s20中“基于策略字段对流量数据进行数据归并”，包括：
60.基于策略字段对第一流量数据进行数据归并。
61.流量数据中包含除包含访问控制策略生成所需的有用流量数据，还包含诸如心跳连接等无用流量数据。对此，本发明实施例，可以对步骤s10所收集到的流量数据进行初步的数据清洗，以从中获取有用流量数据，比如信息访问方的请求内容、信息提供方基于信息访问方的请求内容所返回的响应内容、信息访问方的本地环境信息(用于实时监控风险)、信息提供方的配置信息(比如角色、权限配置)。
62.此外，为提供数据利用率，本发明实施例还可以将流量数据中被清洗去除的第二流量数据进行存储。具体可以存储至数据库中，以实现后续对这些数据进行二次分析，获得由价值的内容。
63.s30，利用机器学习算法对归并得到的数据进行学习，以生成访问控制策略。
64.本发明实施例中，可以自定义访问控制策略动态模型的基础模型，进而将归并得到的第一部分数据作为样本输入至该基础模型中，对该基础模型进行数据匹配度训练，逐步提高基础模型的识别精度。进而对训练后的模型进行测试评估，通过计算模型的准确率、召回率或者f值等对模型的参数进行微调，从而获得最终的访问控制策略动态模型。
65.将归并得到的第二部分数据输入至该访问控制策略动态模型中，以通过该访问控制策略动态模型输出相应的访问控制策略。由于数据归并是基于访问控制策略的策略字段所执行的，因此所生成的访问控制策略中能够体现信息访问者在相应策略字段下的正常行为。由此，asp串联到网关处即可进行动态访问策略控制。
66.比如，对于工作类应用，常用访问时间为工作日8-20点，如果用户有在非工作日、非工作时间点访问该应用，则可以记录其为高风险异常操作。再比如，对于银行类oa系统，默认兼容ie浏览器，用户在长时间使用过程中，异常使用其他浏览器地址访问，需禁止用户访问。
67.参见图3所示的访问控制策略管理示意图，管理者可以查看每个访问控制策略的相关信息，并调整其状态(启用/停用)。参见图4所示的访问控制策略配置示意图，管理者可以对目标访问控制策略配置相应的部门/用户组/设备组。参见图5所示的访问控制策略另一配置示意图，在选择好目标访问控制策略所对应的部门/用户组/设备组，可以继续查看目标访问控制策略的各策略字段的正常范围，其中信任评分即为实时监控风险评分，可以使用现有软件对信息访问方的本地环境信息进行评估来获得。
68.在其他一些实施例中，为实现访问控制的灵活性，本发明实施例还包括如下步骤：
69.获取基于访问控制策略对信息访问方向信息提供方所发起请求的识别结果；若识
别结果为请求异常，则对信息访问方进行安全认证。
70.本发明实施例中，若访问控制策略识别到信息访问方的请求异常，即其访问操作为异常高风险异常操作，则可以对信息访问方进行安全验证，比如进行手机验证码或者人脸验证。如果安全验证不通过，则禁止该信息访问方的访问操作。
71.而如果信息访问方多次安全验证不通过，还可以动态调整该信息访问方的权限，减少其权限范围，以降低该信息访问方的访问能力。由此，可以动态调整信息访问方的权限，适应访问环境，提高数据访问安全性。
72.在此基础上，如果信息访问方的安全认证的次数大于预设的次数阈值，即该信息访问方的多次安全验证均通过，这就表示访问控制策略已经不能适应当前的访问环境，需要对其进行更新。因此，本发明实施例可以重新获得流量数据，并重新执行数据归并，更新访问控制策略。
73.本发明实施例提供的访问控制策略自动生成方法，依托于人工智能的机器学习算法对信息访问方和信息提供方间的通信流量进行学习，自动化生成访问控制策略，这就可以细粒度、实时、安全、智能化的保护用户访问的安全稳定性，保证用户权限分明和信息访问安全。
74.基于上述实施例提供的访问控制策略自动生成方法，本发明实施例则对应提供执行上述访问控制策略自动生成方法的装置，该装置的结构示意图如图6所示，包括：
75.数据获取模块10，用于获取信息访问方和信息提供方间通信的流量数据；
76.数据处理模块20，用于确定待生成的访问控制策略的策略字段，并基于策略字段对流量数据进行数据归并；
77.策略生成模块30，用于利用机器学习算法对归并得到的数据进行学习，以生成访问控制策略。
78.可选的，数据处理模块20，还用于：
79.对流量数据进行数据清洗，以获取用于策略生成的第一流量数据；
80.相应的，用于基于策略字段对流量数据进行数据归并的数据处理模块20，具体用于：
81.基于策略字段对第一流量数据进行数据归并。
82.可选的，数据处理模块20，还用于：
83.对流量数据中被清洗去除的第二流量数据进行存储。
84.可选的，上述装置还包括：
85.安全认证模块，用于获取基于访问控制策略对信息访问方向信息提供方所发起请求的识别结果；若识别结果为请求异常，则对信息访问方进行安全认证。
86.可选的，上述装置还包括：
87.策略更新模块，用于若信息访问方的安全认证的次数大于预设的次数阈值，则更新流量数据，并返回执行基于策略字段对流量数据进行数据归并的步骤，以更新访问控制策略。
88.需要说明的是，本发明实施例中各模块的功能可以参见上述方法实施例相应公开部分，在此不再赘述。
89.本发明实施例提供的访问控制策略自动生成装置，依托于人工智能的机器学习算
法对信息访问方和信息提供方间的通信流量进行学习，自动化生成访问控制策略，这就可以细粒度、实时、安全、智能化的保护用户访问的安全稳定性，保证用户权限分明和信息访问安全。
90.以上对本发明所提供的一种访问控制策略自动生成方法及装置进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。
91.需要说明的是，本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。
92.还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备所固有的要素，或者是还包括为这些过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
93.专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本技术的范围。
94.对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
95.以上所述仅是本技术的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本技术原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本技术的保护范围。