一种基于反馈评价机制的访问控制方法
【技术领域】
[0001] 本发明属于计算机网络安全领域,具体设及一种基于反馈评价机制的访问控制方 法。
【背景技术】
[0002] 在开放式网络环境中,实体的访问行为具有很强的自主性和不确定性,实体可W 随时加入某个网络获取资源和服务,也可W随时中断与该网络的连接。实体的某些访问请 求可能带有恶意企图,直接执行访问可能会对资源造成破坏性的后果,确保对资源或服务 访问的安全性成为开放式网络中的一个关键问题。
[0003] 在开放式网络环境中,一些重要资源的访问权限决策不但有"质"的属性,同时还 有"量"的属性。但在当前研究的访问控制策略中,众多学者更关注访问控制权限"质"的 属性,而忽视了访问控制权限"量"的属性。
[0004] 事物的发展状态总是随着时间的推移而不断变化的。应用马尔可夫过程的理论, 从实测时间序列中总结出随机过程的概率规律,主要W状态之间转移概率为研究对象。当 事物发展的状态和时间均为离散型时的马尔可夫过程称为马尔可夫链。它最基本的特征是 "无后效应",即在系统"当前"状态已知的前提下,其"将来"的状态发展与"历史"无关。应 用马尔可夫链模型解决对事物发展预测问题的基本思想是,如果具有各种状态的某种系统 的时间序列视为马尔可夫链,那么根据第n个时刻状态即可推测第n+1个时刻的状态。近 年来,马尔可夫链预测模型在网页浏览行为预测、网络安全检测与分析等研究中运用较为 广泛。
[0005] 访问反馈评价机制是对主体每次访问行为的诚信,根据访问结果,进行事后评价, 并将访问反馈评价结果进行详细"备案"记录。
[0006] 从访问控制权限"量"的属性角度,根据客体所拥有反馈评价数据,对其应用马尔 可夫模型进行访问行为的诚信预测,为本次访问权限控制提供决策依据。
【发明内容】
[0007] 本发明的目的是提供一种基于反馈评价机制的访问控制方法。将主体的访问行为 预测抽象为一个马尔可夫模型,应用马尔可夫链对主体的访问行为进行诚信预测。根据网 络中各客体所拥有的反馈评价数据,从中选取一定数量针对本次访问主体的历史反馈评价 数据,构成访问反馈评价状态表,反映出主体访问行为的动态变化。引用转移概率矩阵,应 用马尔可夫模型对主体访问行为的诚信度进行预测,并依据该诚信度判定访问权限的授予 与否。本方法应用历史访问反馈数据,可W有效避免访问欺诈风险,实现访问控制权限的安 全管理。
[000引本发明采取如下技术方案。
[000引一、访问反馈评价等级的划分
[0010] 客体依据对主体授予的访问权限,参考主体实施的访问结果,对主体进行访问的 满意程度进行反馈评价。访问反馈评价结果划分为诚信、欺诈和非欺诈等m个等级,分别用K。,Ki,. . .,Km_康示,每个等级与一个访问反馈满意度区间相对应,如表1所示。
[0011] 表1访问反馈满意度隶属的评价等级
[0012]
【主权项】
1. 一种基于反馈评价机制的访问控制方法,其步骤为: 1) 建立主体访问行为诚信评价的分级标准,得到马尔可夫链的状态空间; 2) 根据主体访问过的客体对其行为的反馈评价等级信息,统计确定该主体得到的各评 价状态的初始分布; 3) 将该主体得到的各客体当前评价状态信息与上一评价状态信息进行对比,建立状态 转移矩阵; 4) 根据所述状态转移矩阵与评价状态的初始分布,计算该主体下一步访问行为反馈评 价等级的绝对概率分布; 5) 根据所述反馈评价等级的绝对概率分布,按照最大概率原则,确定该主体即将访问 行为的反馈评价等级;然后判断该反馈评价等级是否属于权限所要求的访问反馈评价等级 集合;如果属于,则允许该主体访问,然后根据访问行为结果进行反馈评价,生成访问信息; 否则,拒绝该主体访问。
2. 如权利要求1所述的方法,其特征在于,为每个主体构建一个访问记录表,用来记录 该主体访问过的所有客体信息;所述主体访问记录表包括:访问客体的标识、访问时间以 及访问客体的客体评价表地址;为每个客体上建立一个客体评价表,用以记录对授权访问 的主体的历史评价等级信息。
3. 如权利要求2所述的方法,其特征在于,当客体允许主体访问时,客体查找所述客体 评价表,如果查找到该主体的访问历史记录,则将本次访问信息插入到上次访问历史信息 之前;如果没有找到该主体的历史访问信息,则将本次访问信息追加至所述客体评价表的 最后。
4. 如权利要求2或3所述的方法,其特征在于,建立所述初始分布的方法为:根据主体 的访问记录表,按照访问时间的先后顺序,选取该主体访问过的n个不同客体,然后从该n 个客体的客体评价表中读取客体对该主体的反馈评价等级数据,然后将这些数据保存在当 前反馈评价状态表中;然后对该反馈评价状态表进行统计,统计出访问反馈评价等级为I 的记录数为A,那么访问反馈评价等级为&的概率pi=Ui/n,当前时刻的评价状态初始分 布为P(〇) =(Pi),其中,i= 〇, 1,. . .,m-l。
5. 如权利要求4所述的方法,其特征在于,建立所述状态转移矩阵的方法为: 51) 对于主体的当前反馈评价状态表中每个客体,通过查找它的客体评价表,得到上次 对该主体给出的访问反馈评价等级,构成前一时刻的反馈评价状态表; 52) 将前一时刻的反馈评价状态表与当前访问反馈评价状态表进行对比; 设前一时刻的访问反馈评价状态表中给出访问反馈评价等级为I的客体数为Mi,并且 m-l [= ?,客体的IP分别为ip_〇,IP_i,…,;对于该Mi个客体,统计当前时刻给 /=0 出访问反馈评价等级为Kj的客体数为C』,其中,j= 0, 1,. . .,m-1,那么Pij=CVMi,i,j= 0,1,...,m-l;Pij表示由于主体访问诚信行为的改变,给出访问反馈评价等级Ki的客体,转 移至当前访问反馈评价等级&的概率,将最后得到的Pij=(py作为这n个客体对该主 体访问反馈评价状态的状态转移矩阵。
6. 如权利要求5所述的方法,其特征在于,如果通过查找客体评价表没有得到主体的 上次访问反馈评价等级,则将该主体的上次访问反馈评价等级设为
7.如权利要求1或5或6所述的方法,其特征在于,所述步骤4)中,将访问反馈评价状 态的初始分布P(〇)和状态转移矩阵P相乘,预测主体下一时刻访问行为反馈评价等级的绝 对概率分布。
【专利摘要】本发明公开了一种基于反馈评价机制的访问控制方法,其步骤为:1)建立主体访问行为诚信评价的分级标准,组成马尔可夫链的状态空间;2)根据主体访问过的客体对其行为的评价等级信息,统计该主体得到的各评价状态的初始分布;3)将该主体当前时刻评价状态信息与上一时刻评价状态信息对比,建立状态转移矩阵;4)根据所述状态转移矩阵与评价状态初始分布,计算该主体下一步访问行为的状态绝对概率分布;5)按照最大概率原则,确定该主体即将访问行为的评价等级;然后判断该评价等级是否属于访问权限要求的访问反馈评价等级集合。如果属于,访问被许可;否则,访问被拒绝。本发明方法可以有效避免访问欺诈风险,实现访问权限安全管理。
【IPC分类】H04L29-06
【公开号】CN104811442
【申请号】CN201510145813
【发明人】马书南, 林东岱
【申请人】中国科学院信息工程研究所
【公开日】2015年7月29日
【申请日】2015年3月30日