CN110363007B - 可信策略的更新方法及装置 - Google Patents
可信策略的更新方法及装置 Download PDFInfo
- Publication number
- CN110363007B CN110363007B CN201910605617.9A CN201910605617A CN110363007B CN 110363007 B CN110363007 B CN 110363007B CN 201910605617 A CN201910605617 A CN 201910605617A CN 110363007 B CN110363007 B CN 110363007B
- Authority
- CN
- China
- Prior art keywords
- policy
- similarity
- object set
- strategy
- trusted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
- Stored Programmes (AREA)
Abstract
本发明公开了一种可信策略的更新方法及装置。其中,该方法包括:获取可信策略中包含的第一客体集合,可信策略为根据预设时间内目标应用程序的访问行为数据学习得到的策略,第一客体集合为可信策略规定的目标应用程序所允许执行的目标行为对应的客体的集合;获取第二客体集合,第二客体集合为在预设时间内目标应用程序在可信计算平台中执行目标行为对应的客体的集合;根据第一客体集合与第二客体集合计算策略相似度,其中,策略相似度用于指示可信策略是否需要更新;基于策略相似度,确定可信策略是否需要更新。
Description
技术领域
本发明涉及可信管理技术领域,具体而言,涉及一种可信策略的更新方法及装置。
背景技术
在相关技术中,可信计算需要依据可信策略进行可信度量,目前,可信策略通常是安全管理员基于自身对应用程序访问行为的认知手动配置的,如果可信策略需要更新,也是由安全管理员手动配置进行更新。但是这种通过安全管理员手动更新可信策略的方式,由于安全管理员的主观意识依赖性较大,导致无法准确知道可信策略与应用程序之间的符合度,即无法知道可信策略是否能够全面覆盖应用程序的全部行为,也无法知道可信策略中有多少与应用程序无关的内容,这样往往会导致可信策略在安全防护过程中出现误拦或者没有很好地拦截外部攻击,最终会使得可信策略的更新效率降低,可信策略的准确度也会降低,用户使用可信策略的满意度下降。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种可信策略的更新方法及装置,以至少解决通过安全管理员手动更新可信策略,无法准确了解到可信策略与主体应用程序之间的符合度,导致可信策略更新效率较低的技术问题。
根据本发明实施例的一个方面,提供了一种可信策略的更新方法,包括:获取可信策略中包含的第一客体集合,所述可信策略为根据预设时间内目标应用程序的访问行为数据学习得到的策略,所述第一客体集合为所述可信策略规定的所述目标应用程序所允许执行的目标行为对应的客体的集合;获取第二客体集合,所述第二客体集合为在所述预设时间内所述目标应用程序在可信计算平台中执行所述目标行为对应的客体的集合;根据所述第一客体集合与所述第二客体集合计算策略相似度,其中,所述策略相似度用于指示所述可信策略是否需要更新;基于所述策略相似度,确定所述可信策略是否需要更新。
可选地,根据所述第一客体集合与所述第二客体集合计算策略相似度的步骤,包括:通过预设公式计算策略相似度,其中,所述预设公式为:
其中,Similarity为所述策略相似度,Xi为所述可信策略中规定的第i类目标行为对应的客体集合,目标行为包括多类行为,X'i为所述目标应用程序在可信计算平台中执行第i类目标行为对应的客体集合,αi为系数,N为所述目标应用程序的行为集合中的行为总类数,行为集合为所述可信策略中规定的行为与所述目标应用程序在可信计算平台中执行的行为的并集,i为正整数。
可选地,基于所述策略相似度,确定所述可信策略是否需要更新的步骤,包括:在所述策略相似度未达到预定阈值时,确定所述可信策略需要更新,其中,所述预定阈值大于0且小于1;在所述策略相似度达到预定阈值时,确定所述可信策略不需要更新。
可选地,所述目标行为包括下述至少之一:读操作、写操作和执行操作。
可选地,所述客体为所述可信计算平台中各个文件目录下的子文件。
根据本发明实施例的另一方面,还提供了一种可信策略的更新装置,包括:第一获取单元,用于获取可信策略中包含的第一客体集合,所述可信策略为根据预设时间内目标应用程序的访问行为数据学习得到的策略,所述第一客体集合为所述可信策略规定的所述目标应用程序所允许执行的目标行为对应的客体的集合;第二获取单元,用于获取第二客体集合,所述第二客体集合为在所述预设时间内所述目标应用程序在可信计算平台中执行所述目标行为对应的客体的集合;计算单元,用于根据所述第一客体集合与所述第二客体集合计算策略相似度,其中,所述策略相似度用于指示所述可信策略是否需要更新;更新单元,用于基于所述策略相似度,确定所述可信策略是否需要更新。
可选地,所述计算单元包括:更新模块,用于通过预设公式计算策略相似度,其中,所述预设公式为:
其中,Similarity为所述策略相似度,Xi为所述可信策略中规定的第i类目标行为对应的客体集合,目标行为包括多类行为,X'i为所述目标应用程序在可信计算平台中执行第i类目标行为对应的客体集合,αi为系数,N为所述目标应用程序的行为集合中的行为总类数,行为集合为所述可信策略中规定的行为与所述目标应用程序在可信计算平台中执行的行为的并集,i为正整数。
可选地,所述更新单元包括:第一确定模块,用于在所述策略相似度未达到预定阈值时,确定所述可信策略需要更新,其中,所述预定阈值大于0且小于1;第二确定模块,用于在所述策略相似度达到预定阈值时,确定所述可信策略不需要更新。
可选地,所述目标行为包括下述至少之一:读操作、写操作和执行操作。
可选地,所述客体为所述可信计算平台中各个文件目录下的子文件。
根据本发明实施例的另一方面,还提供了一种存储介质,所述存储介质用于存储程序,其中,所述程序在被处理器执行时控制所述存储介质所在设备执行上述任意一项所述的可信策略的更新方法。
根据本发明实施例的另一方面,还提供了一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行上述任意一项所述的可信策略的更新方法。
在本发明实施例中,利用目标应用程序所允许执行的目标行为对应的客体的集合(即第一客体集合)和目标应用程序在可信计算平台中执行目标行为对应的客体的集合(即第二客体集合),计算策略相似度,利用该策略相似度自动确定是否需要更新可信策略,通过策略符合度来指导可信策略的更新,提高可信策略的更新效率,从而通过安全管理员手动更新可信策略,无法准确了解到可信策略与主体应用程序之间的符合度,导致可信策略更新效率较低的技术问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的一种可选的可信策略的更新方法的流程图;
图2是根据本发明实施例的一种可选的更新可信策略的示意图;
图3是根据本发明实施例的一种可选的可信策略的更新装置的示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
本发明各实施例中的可信策略的更新方法的执行主体为可信安全管理平台,可信安全管理平台用于支持维护多个可信计算平台,可信计算平台包括并行的计算子系统与防护子系统,其中,计算子系统用于完成计算任务,而防护子系统用于根据可信策略对计算子系统进行主动度量,可信计算平台负责采集应用程序的访问行为数据,并上报给可信安全管理平台,可信安全管理平台基于这些访问行为数据学习得到可信策略,在得到可信策略后,可以基于目标应用程序所允许执行的目标行为对应的客体的集合以及在预设时间内目标应用程序在可信计算平台中执行目标行为对应的客体的集合,计算策略相似度,利用该策略相似度来指示是否需要更新可信策略。下面结合各个实施例对本发明进行详细说明。
实施例一
根据本发明实施例,提供了一种可信策略的更新方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本发明实施例中的策略相似度(或者叫策略符合度)是基于一个主体(即目标应用程序)而言的,一个可信策略的客体集合与实际操作行为对应的客体集合的相似度要从两个方面衡量,一个是该可信策略要能覆盖住保护主体(即目标应用程序)的全部行为;另一个方面是可信策略里不能有太多与该主体无关的内容,可信策略覆盖不会出现误拦的情况,例如,基于白名单的访问控制防护方式,在基于白名单的防御方式下,为了保障应用业务的顺利执行安全管理员往往会将可信策略做的过于宽泛,将访问控制往往做至上层目录甚至根目录,这样做虽然在程序执行上看似可以了,误拦率也下来了,但这是降低安全性的做法。所以一个相似度高或者符合度高的可信策略既不能不全又不能过宽,围绕着目标应用程序量身打造。
为了保证可信策略对目标应用程序的安全防护达到最优,本申请使用策略相似度来评估可信策略的覆盖度,从而给出是否更新可信策略的建议,以提高对目标应用程序安全防护的同时,不会干扰目标应用程序的正常工作。
图1是根据本发明实施例的一种可选的可信策略的更新方法的流程图,如图1所示,该方法包括如下步骤:
步骤S102,获取可信策略中包含的第一客体集合,可信策略为根据预设时间内目标应用程序的访问行为数据学习得到的策略,第一客体集合为可信策略规定的目标应用程序所允许执行的目标行为对应的客体的集合;
步骤S104,获取第二客体集合,第二客体集合为在预设时间内目标应用程序在可信计算平台中执行目标行为对应的客体的集合;
步骤S106,根据第一客体集合与第二客体集合计算策略相似度,其中,策略相似度用于指示可信策略是否需要更新;
步骤S108,基于策略相似度,确定可信策略是否需要更新。
通过上述步骤,可以采用获取可信策略中包含的第一客体集合,第一客体集合为可信策略规定的目标应用程序所允许执行的目标行为对应的客体的集合,然后获取第二客体集合,第二客体集合为在预设时间内目标应用程序在可信计算平台中执行目标行为对应的客体的集合,之后可以根据第一客体集合与第二客体集合计算策略相似度,基于策略相似度,确定可信策略是否需要更新。在该实施例中,可以利用目标应用程序所允许执行的目标行为对应的客体的集合和目标应用程序在可信计算平台中执行目标行为对应的客体的集合,计算策略相似度,利用该策略相似度自动确定是否需要更新可信策略,通过策略符合度来指导可信策略的更新,提高可信策略的更新效率,从而通过安全管理员手动更新可信策略,无法准确了解到可信策略与主体应用程序之间的符合度,导致可信策略更新效率较低的技术问题。
在本发明实施例中,可信策略是根据预设时间内的目标应用程序的历史访问数据进行统计、归纳、分析后,得到访问行为特征,基于这些访问行为特征学习得到可信策略。其中,应用程序可以是运行于可信计算平台上的各个应用程序的一个,是对多个应用程序选取后,确定的目标应用程序,本发明实施例中对应用程序的类型不做限定,可根据每台可信计算平台自行安装和更新应用程序。而对于访问数据,可以包括但不限于:目标应用对各个客体文件所执行的操作。
可选地,客体为可信计算平台中各个文件目录下的子文件。
在学习可信策略后,可以采集得到可信策略中的客体集合,即第一客体集合;同时可以采集得到实际操作中目标应用程序执行目标行为的客体集合,即第二客体集合。其中,目标行为包括但不限于:读操作、写操作和执行操作。在第一客体集合和第二客体集合中携带有各个行为对应的客体集合,如下表1所示:
表1
上述表1示出了对应于各个目标行为的第一客体集合(E、W、R)和第二客体集合(E1、W1、R1)。
通过将可信策略中执行的目标行为转换成客体集合,然后进行客体集合之间的比较,确定出策略相似度。
作为本发明一可选地实施例,根据第一客体集合与第二客体集合计算策略相似度的步骤,包括:通过预设公式计算策略相似度,其中,预设公式为:
其中,Similarity为策略相似度,Xi为可信策略中规定的第i类目标行为对应的客体集合(即第一客体集合),目标行为包括多类行为,X'i为目标应用程序在可信计算平台中执行第i类目标行为对应的客体集合(即第二客体集合),αi为系数,N为目标应用程序的行为集合中的行为总类数(例如,行为类包括读操作、写操作和执行操作为,则N为3),行为集合为可信策略中规定的行为与目标应用程序在可信计算平台中执行的行为的并集,i为正整数。
通过上述公式计算出第一客体集合和第二客体集合的策略相似度,以Similarity为策略相似度。
在本发明另一可选的实施例中,基于策略相似度,确定可信策略是否需要更新的步骤,包括:在策略相似度未达到预定阈值时,确定可信策略需要更新,其中,预定阈值大于0且小于1;在策略相似度达到预定阈值时,确定可信策略不需要更新。当simliarity的值趋于1的时候说明第一客体集合和第二客体集合这两个集合相似度最高,更新可信策略的方向就是让simliarity不断趋近于1。通过策略相似度可以体现出可信的理念,即当实际行为与预期可信策略中的行为越接近的时候免疫力就越高,也就越可信。
上述预设阈值可以是安全管理员或者设备自行设置的,例如0.9。
图2是根据本发明实施例的一种可选的更新可信策略的示意图,如图2所示,其在第一客体集合与第二客体集合后,可以确定出可信策略中的三种可信策略:冗余的可信策略、适合的可信策略和遗漏的可信策略,其中,冗余的可信策略是指当前可信策略的客体集合(即第一客体集合)中不会被实际操作的策略集合;而适合的可信策略是指当前可信策略中的客体集合会被实际操作的策略集合,即与实际操作重合的策略;遗漏的可信策略是指出现在实际操作集合(即第二客体集合)中,但未出现在该可信策略的客体集合中。
在确定需要更新可信策略时,主要是删除上述图2所示的冗余的可信策略,并向可信策略添加上述图2所示的遗漏的可信策略,从而完成可信策略的更新。
通过上述实施例,可以通过计算可信策略规定的目标应用程序所允许执行的目标行为对应的客体的集合和目标应用程序在可信计算平台中执行目标行为对应的客体的集合之间的相似度,得到策略相似度,通过该策略相似度度量可信策略覆盖目标应用程序的范围,以确定是否需要更新可信策略,提高可信策略中的客体集合与目标应用程序相关度,提高用户使用可信策略的满意度。
根据本发明实施例的另一方面,还提供了一种存储介质,存储介质用于存储程序,其中,程序在被处理器执行时控制存储介质所在设备执行上述任意一项的可信策略的更新方法。
根据本发明实施例的另一方面,还提供了一种处理器,处理器用于运行程序,其中,程序运行时执行上述任意一项的可信策略的更新方法。
下面通过另一个实施例来说明本发明。
图3是根据本发明实施例的一种可选的可信策略的更新装置的示意图,如图3所示,该更新装置可以包括:第一获取单元31,第二获取单元33,计算单元35,更新单元37,其中,
第一获取单元31,用于获取可信策略中包含的第一客体集合,可信策略为根据预设时间内目标应用程序的访问行为数据学习得到的策略,第一客体集合为可信策略规定的目标应用程序所允许执行的目标行为对应的客体的集合;
第二获取单元33,用于获取第二客体集合,第二客体集合为在预设时间内目标应用程序在可信计算平台中执行目标行为对应的客体的集合;
计算单元35,用于根据第一客体集合与第二客体集合计算策略相似度,其中,策略相似度用于指示可信策略是否需要更新;
更新单元37,用于基于策略相似度,确定可信策略是否需要更新。
上述可信策略的更新装置,可以通过第一获取单元31获取可信策略中包含的第一客体集合,第一客体集合为可信策略规定的目标应用程序所允许执行的目标行为对应的客体的集合,然后通过第二获取单元33获取第二客体集合,第二客体集合为在预设时间内目标应用程序在可信计算平台中执行目标行为对应的客体的集合,之后可以通过计算单元35根据第一客体集合与第二客体集合计算策略相似度,通过更新单元37基于策略相似度,确定可信策略是否需要更新。在该实施例中,可以利用目标应用程序所允许执行的目标行为对应的客体的集合和目标应用程序在可信计算平台中执行目标行为对应的客体的集合,计算策略相似度,利用该策略相似度自动确定是否需要更新可信策略,通过策略符合度来指导可信策略的更新,提高可信策略的更新效率,从而通过安全管理员手动更新可信策略,无法准确了解到可信策略与主体应用程序之间的符合度,导致可信策略更新效率较低的技术问题。
作为本发明一可选地实施例,计算单元包括:更新模块,用于通过预设公式计算策略相似度,其中,预设公式为:
其中,Similarity为策略相似度,Xi为可信策略中规定的第i类行为对应的客体集合,目标行为包括多类行为,X'i为目标应用程序在可信计算平台中执行第i类行为对应的客体集合,αi为系数,N为目标应用程序的行为集合中的行为总类数,行为集合为可信策略中规定的行为与目标应用程序在可信计算平台中执行的行为的并集,i为正整数。
在本发明实施例中,更新单元包括:第一确定模块,用于在策略相似度未达到预定阈值时,确定可信策略需要更新,其中,预定阈值大于0且小于1;第二确定模块,用于在策略相似度达到预定阈值时,确定可信策略不需要更新。
可选地,目标行为包括下述至少之一:读操作、写操作和执行操作。
可选地,客体为可信计算平台中各个文件目录下的子文件。
上述的可信策略的更新装置还可以包括处理器和存储器,上述第一获取单元31,第二获取单元33,计算单元35,更新单元37等均作为程序单元存储在存储器中,由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
上述处理器中包含内核,由内核去存储器中调取相应的程序单元。内核可以设置一个或以上,通过调整内核参数来基于策略相似度,确定可信策略是否需要更新。
上述存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM),存储器包括至少一个存储芯片。
本申请还提供了一种计算机程序产品,当在数据处理设备上执行时,适于执行初始化有如下方法步骤的程序:获取可信策略中包含的第一客体集合,可信策略为根据预设时间内目标应用程序的访问行为数据学习得到的策略,第一客体集合为可信策略规定的目标应用程序所允许执行的目标行为对应的客体的集合;获取第二客体集合,第二客体集合为在预设时间内目标应用程序在可信计算平台中执行目标行为对应的客体的集合;根据第一客体集合与第二客体集合计算策略相似度,其中,策略相似度用于指示可信策略是否需要更新;基于策略相似度,确定可信策略是否需要更新。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (6)
1.一种可信策略的更新方法,其特征在于,包括:
获取可信策略中包含的第一客体集合,所述可信策略为根据预设时间内目标应用程序的访问行为数据学习得到的策略,所述第一客体集合为所述可信策略规定的所述目标应用程序所允许执行的目标行为对应的客体的集合;
获取第二客体集合,所述第二客体集合为在所述预设时间内所述目标应用程序在可信计算平台中执行所述目标行为对应的客体的集合;
根据所述第一客体集合与所述第二客体集合计算策略相似度,其中,所述策略相似度用于指示所述可信策略是否需要更新,通过预设公式计算策略相似度,其中,所述预设公式为:
其中,Similarity为所述策略相似度, 
为所述可信策略中规定的第i类目标行为对应的客体集合,目标行为包括多类行为, 
为所述目标应用程序在可信计算平台中执行第i类目标行为对应的客体集合, 
为系数,N为所述目标应用程序的行为集合中的行为总类数,行为集合为所述可信策略中规定的行为与所述目标应用程序在可信计算平台中执行的行为的并集,i为正整数;
基于所述策略相似度,确定所述可信策略是否需要更新,在所述策略相似度未达到预定阈值时,确定所述可信策略需要更新,其中,所述预定阈值大于0且小于1,在所述策略相似度达到预定阈值时,确定所述可信策略不需要更新。
2.根据权利要求1所述的更新方法,其特征在于,所述目标行为包括下述至少之一:读操作、写操作和执行操作。
3.根据权利要求1至2中任意一项所述的更新方法,其特征在于,所述客体为所可信计算平台中各个文件目录下的子文件。
4.一种可信策略的更新装置,其特征在于,包括:
第一获取单元,用于获取可信策略中包含的第一客体集合,所述可信策略为根据预设时间内目标应用程序的访问行为数据学习得到的策略,所述第一客体集合为所述可信策略规定的所述目标应用程序所允许执行的目标行为对应的客体的集合;
第二获取单元,用于获取第二客体集合,所述第二客体集合为在所述预设时间内所述目标应用程序在可信计算平台中执行所述目标行为对应的客体的集合;
计算单元,用于根据所述第一客体集合与所述第二客体集合计算策略相似度,其中,所述策略相似度用于指示所述可信策略是否需要更新,所述计算单元包括:更新模块,用于通过预设公式计算策略相似度,其中,所述预设公式为:
其中,Similarity为所述策略相似度,
为所述可信策略中规定的第i类目标行为对应的客体集合,目标行为包括多类行为,
为所述目标应用程序在可信计算平台中执行第i类目标行为对应的客体集合,
为系数,N为所述目标应用程序的行为集合中的行为总类数,行为集合为所述可信策略中规定的行为与所述目标应用程序在可信计算平台中执行的行为的并集,i为正整数;
更新单元,用于基于所述策略相似度,确定所述可信策略是否需要更新,所述更新单元包括:第一确定模块,用于在所述策略相似度未达到预定阈值时,确定所述可信策略需要更新,其中,所述预定阈值大于0且小于1,第二确定模块,用于在所述策略相似度达到预定阈值时,确定所述可信策略不需要更新。
5.一种存储介质,其特征在于,所述存储介质用于存储程序,其中,所述程序在被处理器执行时控制所述存储介质所在设备执行权利要求1至3中任意一项所述的可信策略的更新方法。
6.一种计算机设备,其特征在于,包括处理器和存储器,所述存储器存储的程序产品供所述处理器执行,以实现权利要求1至3中任意一项所述的可信策略的更新方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910605617.9A CN110363007B (zh) | 2019-07-05 | 2019-07-05 | 可信策略的更新方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910605617.9A CN110363007B (zh) | 2019-07-05 | 2019-07-05 | 可信策略的更新方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110363007A CN110363007A (zh) | 2019-10-22 |
| CN110363007B true CN110363007B (zh) | 2023-02-28 |
Family
ID=68218064
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910605617.9A Active CN110363007B (zh) | 2019-07-05 | 2019-07-05 | 可信策略的更新方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110363007B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111897768B (zh) * | 2020-06-28 | 2024-02-02 | 北京可信华泰信息技术有限公司 | 一种对象访问策略的配置方法和装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103559591A (zh) * | 2013-11-20 | 2014-02-05 | 北京可信华泰信息技术有限公司 | 基于可信计算的软件管理系统和管理方法 |
| CN103973556A (zh) * | 2013-02-04 | 2014-08-06 | 无锡南理工科技发展有限公司 | 一种车载时延容忍网络的可信路由方法 |
| CN109246693A (zh) * | 2018-07-13 | 2019-01-18 | 维沃移动通信有限公司 | 一种应用程序的控制方法及终端 |
| CN109918915A (zh) * | 2019-03-14 | 2019-06-21 | 沈昌祥 | 一种基于双体系结构可信计算平台的动态度量方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090006402A1 (en) * | 2007-06-28 | 2009-01-01 | Holger Bohle | Methods and systems for the dynamic selection of a locking strategy |
-
2019
- 2019-07-05 CN CN201910605617.9A patent/CN110363007B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103973556A (zh) * | 2013-02-04 | 2014-08-06 | 无锡南理工科技发展有限公司 | 一种车载时延容忍网络的可信路由方法 |
| CN103559591A (zh) * | 2013-11-20 | 2014-02-05 | 北京可信华泰信息技术有限公司 | 基于可信计算的软件管理系统和管理方法 |
| CN109246693A (zh) * | 2018-07-13 | 2019-01-18 | 维沃移动通信有限公司 | 一种应用程序的控制方法及终端 |
| CN109918915A (zh) * | 2019-03-14 | 2019-06-21 | 沈昌祥 | 一种基于双体系结构可信计算平台的动态度量方法 |
Non-Patent Citations (1)
| Title |
|---|
| 一种基于软件行为分类的动态完整性度量模型;宋生宇;《通信技术》;20170910;第50卷(第9期);第2055-2059页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110363007A (zh) | 2019-10-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9990495B2 (en) | Elimination of false positives in antivirus records | |
| RU2514140C1 (ru) | Система и способ увеличения качества обнаружений вредоносных объектов с использованием правил и приоритетов | |
| CN101894225B (zh) | 聚集反病毒软件应用程序的知识库的系统和方法 | |
| RU2535506C2 (ru) | Система и способ формирования сценариев модели поведения приложений | |
| CN106557697B (zh) | 生成杀毒记录集合的系统和方法 | |
| KR20190075861A (ko) | DoS/DDoS 공격의 탐지 방법, 장치, 서버 및 저장 매체 | |
| CN110061987B (zh) | 一种基于角色和终端可信性的接入访问控制方法及装置 | |
| CN109327439B (zh) | 业务请求数据的风险识别方法、装置、存储介质及设备 | |
| TWI677804B (zh) | 計算機裝置及辨識其軟體容器行為是否異常的方法 | |
| CN104836781A (zh) | 区分访问用户身份的方法及装置 | |
| CN110222243B (zh) | 确定异常行为的方法、装置和存储介质 | |
| CN111159762B (zh) | 一种强制访问控制下的主体可信验证方法及系统 | |
| CN110363007B (zh) | 可信策略的更新方法及装置 | |
| US11019494B2 (en) | System and method for determining dangerousness of devices for a banking service | |
| CN111752481A (zh) | 一种基于spd的内存监控及寿命预测方法和系统 | |
| CN111181979B (zh) | 访问控制方法、装置、计算机设备和计算机可读存储介质 | |
| CN113114631A (zh) | 一种物联网节点的信任度评价方法、装置、设备及介质 | |
| CN110298178B (zh) | 可信策略学习方法及装置、可信安全管理平台 | |
| CN110442466B (zh) | 防止请求重复访问方法、装置、计算机设备及存储介质 | |
| WO2020211251A1 (zh) | 操作系统的监控方法和装置 | |
| CN109583177B (zh) | 在用户与银行服务的交互期间识别新设备的系统和方法 | |
| CN108133136A (zh) | 攻击节点侦测装置、方法及其计算机可读取储存媒体 | |
| CN110334516B (zh) | 可信策略的更新方法及装置 | |
| CN110059480A (zh) | 网络攻击行为监控方法、装置、计算机设备及存储介质 | |
| CN110334517B (zh) | 可信策略的更新方法及装置、可信安全管理平台 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |