CN111400750A - 基于访问过程判定的可信度量方法和装置 - Google Patents
基于访问过程判定的可信度量方法和装置 Download PDFInfo
- Publication number
- CN111400750A CN111400750A CN202010166684.8A CN202010166684A CN111400750A CN 111400750 A CN111400750 A CN 111400750A CN 202010166684 A CN202010166684 A CN 202010166684A CN 111400750 A CN111400750 A CN 111400750A
- Authority
- CN
- China
- Prior art keywords
- access
- read
- write
- access process
- filtering
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Medical Informatics (AREA)
- Databases & Information Systems (AREA)
- Computing Systems (AREA)
- Data Mining & Analysis (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Mathematical Physics (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Computation (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Storage Device Security (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于访问过程判定的可信度量方法和装置,通过获取受保护对象被正常访问过程中的数据流向和交互过程的情况;将情况中涉及的访问规则转化为读写规则表;根据业务类型将读写规则表转换为过滤规则;根据过滤规则对访问过程进行可信度量。其中访问规则可以仅仅通过流量部分的读取就可以获得,和业务逻辑相关性较小,便于实施。基于读写规则表的访问控制逻辑在落实上可以配合传统的固定属性,使用固定属性进行粗过滤,然后再使用读写规则表进行细过滤,可以有效保护资源的安全性。该方法逻辑结构简单,相对于恶意代码监测,效率较高,比较适合在网络层的度量,优于传统的采用哈希值或者基于I/O检测方式进行动态度量。
Description
技术领域
本发明涉及访问控制领域,具体涉及一种基于访问过程判定的可信度量分析方法和装置。
背景技术
访问控制是网络安全的核心技术之一,访问控制利用可以读取的访问过程中的某些属性,对访问过程进行有效控制,从而实现对访问过程的安全管理,进而实现对被访问资源的安全防护。访问控制可以分为两个层次:物理访问控制和逻辑访问控制。物理访问控制如符合标准规定的用户、设备、门、锁和安全环境等方面的要求,而逻辑访问控制则是在数据、应用、系统、网络和权限等层面进行实现的。对银行、证券等重要金融机构的网站,信息安全重点关注的是二者兼顾,物理访问控制则主要由其他类型的安全部门负责。访问控制系统的类型很多,在之前较为流行的是基于IP地址、端口、网络协议的访问控制,也有基于用户,角色的访问控制,也有根据主客体利用网络层和应用层标记技术进行的访问控制,但是这些访问控制技术都是针对固定属性,随着网络技术的发展,对于非固定属性的访问控制需求越来越高,所以提出了动态度量的概念,动态度量就是根据应用访问过程中的各个属性,进行动态的策略匹配和权限分配,动态度量在安全性能上优于传统的固定属性。但是如何才能正确的定义动态属性,是一个现在有一定的难度的问题。
可信计算是早期可信计算的研究主要以国际可信计算工作组为主,国内开展可信计算研究的思路基本也是跟着可信计算工作组的步伐。可信计算工作组认为可信计算最核心的就是TPM硬件芯片。而随着可信计算的发展,可信平台模块不一定再是硬件芯片的形式,特别是在资源比较受限的移动和嵌入式环境中。可信计算的核心要求就是对白名单应用进行识别,其次对应用运行过程进行度量,确保应用的运行过程和其正常的工作范围吻合。
可信计算的动态度量用来监控所有的I/O访问,当出现对系统的越权访问则被阻断,但是大多数情况下,安全问题不需要很高权限也可以发生。可信计算主要实现计算环境可信、网络可信、接入可信。等级保护2.0的要求中,对于可信的要求也提高到很高的地位,要求安全部件可以对应用程序进行可信验证,并在应用程序的执行环节进行动态的可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。这个过程主要通过度量和验证的技术手段实现。度量的标准定义是采集该软件的状态和访问行为,验证是将本次度量结果和实现存储的参考值比对看是否一致,如果一致表示验证通过,如果不一致则表示验证失败。
可信的度量分为静态度量和动态度量两种。静态度量通常指在运行环境初装或重启时对其镜像的度量,即对应用程序文件本身的度量,这个度量是逐级的,通常先启动的软件对后一级启动的软件进行度量,度量值验证成功则标志着可信链从前一级软件向后一级的成功传递。动态度量和验证指在系统运行时动态获取其运行特征,根据规则或模型分析判断系统是否运行正常。
通常状况下,可信度量需要采集应用的大量数据,主要包括应用之间的进程启动、应用之间的进程调用、应用的网络访问和应用的文件访问等关键信息,通常状况下,判定系统必须具有足够高的权限,才可以完成此类工作。
现有技术条件下,网络安全中的访问控制的类型主要的类型有3种模式:自主访问控制(DAC)、强制访问控制(MAC)和基于角色访问控制(RBAC)。
1)自主访问控制
自主访问控制(Discretionary Access Control,DAC)是一种接入控制服务,通过执行基于系统实体身份及其到系统资源的接入授权。包括在文件,文件夹和共享资源中设置许可。用户有权对自身所创建的文件、数据表等访问对象进行访问,并可将其访问权授予其他用户或收回其访问权限。允许访问对象的属主制定针对该对象访问的控制策略,通常,可通过访问控制列表来限定针对客体可执行的操作。
①每个客体有一个所有者,可按照各自意愿将客体访问控制权限授予其他主体。
②各客体都拥有一个限定主体对其访问权限的访问控制列表(ACL)。
③每次访问时都以基于访问控制列表检查用户标志,实现对其访问权限控制。
④DAC的有效性依赖于资源的所有者对安全政策的正确理解和有效落实。
DAC提供了适合多种系统环境的灵活方便的数据访问方式,是应用最广泛的访问控制策略。然而,它所提供的安全性可被非法用户绕过,授权用户在获得访问某资源的权限后,可能传送给其他用户。主要是在自由访问策略中,用户获得文件访问后,若不限制对该文件信息的操作,即没有限制数据信息的分发。所以DAC提供的安全性相对较低,无法对系统资源提供严格保护。
2)强制访问控制
强制访问控制(MAC)是系统强制主体服从访问控制策略。是由系统对用户所创建的对象,按照规定的规则控制用户权限及操作对象的访问。主要特征是对所有主体及其所控制的进程、文件、段、设备等客体实施强制访问控制。在MAC中,每个用户及文件都被赋予一定的安全级别,只有系统管理员才可确定用户和组的访问权限,用户不能改变自身或任何客体的安全级别。系统通过比较用户和访问文件的安全级别,决定用户是否可以访问该文件。此外,MAC不允许通过进程生成共享文件,以通过共享文件将信息在进程中传递。MAC可通过使用敏感标签对所有用户和资源强制执行安全策略,一般采用3种方法:限制访问控制、过程控制和系统限制。MAC常用于多级安全军事系统,对专用或简单系统较有效,但对通用或大型系统并不太有效。
MAC的安全级别有多种定义方式,常用的分为4级:绝密级(Top Secret)、秘密级(Secret)、机密级(Confidential)和无级别级(Unclas sified),其中T>S>C>U。所有系统中的主体(用户,进程)和客体(文件,数据)都分配安全标签,以标识安全等级。
通常MAC与DAC结合使用,并实施一些附加的、更强的访问限制。一个主体只有通过自主与强制性访问限制检查后,才能访问其客体。用户可利用DAC来防范其他用户对自己客体的攻击,由于用户不能直接改变强制访问控制属性,所以强制访问控制提供了一个不可逾越的、更强的安全保护层,以防范偶然或故意地滥用DAC。
3)基于角色的访问控制
角色(Role)是一定数量的权限的集合。指完成一项任务必须访问的资源及相应操作权限的集合。角色作为一个用户与权限的代理层,表示为权限和用户的关系,所有的授权应该给予角色而不是直接给用户或用户组。
基于角色的访问控制(Role-Based Access Control,RBAC)是通过对角色的访问所进行的控制。使权限与角色相关联,用户通过成为适当角色的成员而得到其角色的权限。可极大地简化权限管理。为了完成某项工作创建角色,用户可依其责任和资格分派相应的角色,角色可依新需求和系统合并赋予新权限,而权限也可根据需要从某角色中收回。减小了授权管理的复杂性,降低管理开销,提高企业安全策略的灵活性。
RBAC模型的授权管理方法,主要有3种:
①根据任务需要定义具体不同的角色。
②为不同角色分配资源和操作权限。
③给一个用户组(Group,权限分配的单位与载体)指定一个角色。
RBAC支持三个著名的安全原则:最小权限原则、责任分离原则和数据抽象原则。前者可将其角色配置成完成任务所需要的最小权限集。第二个原则可通过调用相互独立互斥的角色共同完成特殊任务,如核对账目等。后者可通过权限的抽象控制一些操作,如财务操作可用借款、存款等抽象权限,而不用操作系统提供的典型的读、写和执行权限。这些原则需要通过RBAC各部件的具体配置才可实现。
访问控制机制是检测和防止系统未授权访问,并对保护资源所采取的各种措施。是在文件系统中广泛应用的安全防护方法,一般在操作系统的控制下,按照事先确定的规则决定是否允许主体访问客体,贯穿于系统全过程。
访问控制矩阵(Access Contro1 Matrix)是最初实现访问控制机制的概念模型,以二维矩阵规定主体和客体间的访问权限。其行表示主体的访问权限属性,列表示客体的访问权限属性,矩阵格表示所在行的主体对所在列的客体的访问授权。通过引用监控器协调客体对主体访问,实现认证与访问控制的分离。
而目前的通常状况下,可信度量需要采集应用的大量数据,主要包括应用之间的进程启动、应用之间的进程调用、应用的网络访问和应用的文件访问等关键信息,通常状况下,判定系统必须具有足够高的权限,才可以完成此类工作。所以,这也就是为什么把TPM可信芯片作为核心的原因,TPM部署在主板上,在生成系统时将操作系统的引导程序的散列函数值存储在TPM芯片内,该芯片可以在系统引导前进行工作,这样可以将操作系统引导程序通过TPM芯片验证其是否被修改。TPM的方式对基础硬件的要求比较高,需要独立的硬件环境,如果没有独立的硬件环境,整个系统的可信运行将缺少相应的根,而且这种方式对于应用程序的框定很严格,只有在可信验证系统内注册过的应用程序才可以被认定是正确的,对技术的适用范围产生了很大的约束条件。
发明内容
针对上述提到的访问控制在可信度量收到固定应用属性的限制,而且需要复杂的逻辑进行计算,依赖于特殊硬件等问题。本申请的实施例的目的在于提出了一种基于访问过程判定的可信度量方法和装置,来解决以上背景技术部分提到的技术问题。
第一方面,本申请的实施例提供了一种基于访问过程判定的可信度量方法,包括以下步骤:
S1:获取受保护对象被正常访问过程中的数据流向和交互过程的情况;
S2:将情况中涉及的访问规则转化为读写规则表;
S3:根据业务类型将读写规则表转换为过滤规则;以及
S4:根据过滤规则对访问过程进行可信度量。
在一些实施例中,步骤S1中采用人工记录或机器学习的方式对受保护对象被正常访问过程中的数据流向和交互过程的情况进行描述。通过数据收集或业务分析得到受保护对象被正常访问过程中的数据流向和交互过程的情况,该部分简单清晰,实现手段成熟。
在一些实施例中,读写规则表包括情况中涉及的访问指令、读写类型和指令关键字。读写规则表根据业务类型进行定义,建立一个标准的应用访问过程。
在一些实施例中,过滤规则包括根据读写规则表以格式编写的方式形成的读写组合特征。通过关键字定义对应流量报文的读写类型,根据不同的读写类型得出每个访问过程中的读写组合特征,方便进行编写和过滤。
在一些实施例中,步骤S4具体包括:
S41:通过过滤规则对访问过程进行监控;
S42:通过网络流量会话监控的方式实现对访问过程中每个访问指令的过滤。
通过相应的过滤规则对应用的访问过程进行监控,若访问过程出现变化,就可以进行预警或拦截。
第二方面,本申请的实施例还提供了一种基于访问过程判定的可信度量装置,包括:
访问过程获取模块,被配置为获取受保护对象被正常访问过程中的数据流向和交互过程的情况;
读写规则转化模块,被配置为将情况中涉及的访问规则转化为读写规则表;
过滤规则转换模块,被配置为根据业务类型将读写规则表转换为过滤规则;以及
访问过程监控模块,被配置为根据过滤规则对访问过程进行可信度量。
在一些实施例中,访问过程获取模块中采用人工记录或机器学习的方式对受保护对象被正常访问过程中的数据流向和交互过程的情况进行描述。
在一些实施例中,读写规则表包括情况中涉及的访问指令、读写类型和指令关键字。
在一些实施例中,过滤规则包括根据读写规则表以格式编写的方式形成的读写组合特征。
在一些实施例中,访问过程监控模块具体包括:
第一过滤模块,被配置为通过过滤规则对访问过程进行过滤;
第二过滤模块,被配置为通过网络流量会话监控的方式实现对被访问过程中每个访问指令的过滤。
第三方面,本申请的实施例还提供了一种计算机存储介质,其上存储有计算机程序,其特征在于,计算机程序被计算机执行时实现第一方面提到的步骤。
本发明提出了一种基于访问过程判定的可信度量方法和装置,通过获取受保护对象被正常访问过程中的数据流向和交互过程的情况;将情况中涉及的访问规则转化为读写规则表;根据业务类型将读写规则表转换为过滤规则;根据过滤规则对访问过程进行可信度量。其中访问规则可以仅仅通过流量部分的读取就可以获得,和业务逻辑相关性较小,便于实施。基于读写规则表的访问控制逻辑在落实上可以配合传统的固定属性,使用固定属性进行粗过滤,然后再使用读写规则表进行细过滤,可以有效保护资源的安全性。该方法逻辑结构简单,相对于恶意代码监测,效率较高,比较适合在网络层的度量,优于传统的就用哈希值或者基于I/O检测方式进行动态度量。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请的一个实施例可以应用于其中的示例性装置架构图;
图2为本发明的实施例的基于访问过程判定的可信度量方法的流程示意图;
图3为本发明的实施例的应用A和B的访问过程的示意图;
图4为本发明的实施例的基于访问过程判定的可信度量方法的步骤S4的流程示意图;
图5为本发明的实施例的基于访问过程判定的可信度量装置的示意图;
图6是适于用来实现本申请实施例的电子设备的计算机装置的结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
图1示出了可以应用本申请实施例的基于访问过程判定的可信度量方法或基于访问过程判定的可信度量装置的示例性装置架构100。
如图1所示,装置架构100可以包括终端设备101、102、103,网络104和服务器105。网络104用以在终端设备101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备101、102、103通过网络104与服务器105交互,以接收或发送消息等。终端设备101、102、103上可以安装有各种应用,例如数据处理类应用、文件处理类应用等。
终端设备101、102、103可以是硬件,也可以是软件。当终端设备101、102、103为硬件时,可以是各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。当终端设备101、102、103为软件时,可以安装在上述所列举的电子设备中。其可以实现成多个软件或软件模块(例如用来提供分布式服务的软件或软件模块),也可以实现成单个软件或软件模块。在此不做具体限定。
服务器105可以是提供各种服务的服务器,例如对终端设备101、102、103上传的文件或数据进行处理的后台数据处理服务器。后台数据处理服务器可以对获取的文件或数据进行处理,生成处理结果。
需要说明的是,本申请实施例所提供的基于访问过程判定的可信度量方法可以由服务器105执行,也可以由终端设备101、102、103执行,相应地,基于访问过程判定的可信度量装置可以设置于服务器105中,也可以设置于终端设备101、102、103中。
应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。在所处理的数据不需要从远程获取的情况下,上述装置架构可以不包括网络,而只需服务器或终端设备。
图2示出了本申请的实施例公开的一种基于访问过程判定的可信度量方法,包括以下步骤:
S1:获取受保护对象被正常访问过程中的数据流向和交互过程的情况;
S2:将情况中涉及的访问规则转化为读写规则表;
S3:根据业务类型将读写规则表转换为过滤规则;以及
S4:根据过滤规则对访问过程进行可信度量。
在具体的实施例中,步骤S1中采用人工记录或机器学习的方式对受保护对象被正常访问过程中的数据流向和交互过程的情况进行描述。采用人工的方式可以结合应用逻辑和操作过程定义的流量进行记录,一般一个访问过程都是由方向相反的几个交互过程构成。通过数据收集或业务分析得到受保护对象被正常访问过程中的数据流向和交互过程的情况,在此过程中可以仅仅通过流量部分的读取来获得,所以和业务逻辑相关性较小,便于实施。而且人工记录或机器学习的方式简单清晰,实现手段成熟。
例如图3所示的访问过程,A和B分别是两个应用主体,两者之间存在访问过程。
获取被正常访问过程中的数据流向和交互过程的情况的文字描述如下:
本操作分为四个步骤:
步骤1:A主机访问B主机,向B主机发送get指令,通过get方式向B主机写入数据信息;
步骤2:B主机接收到URL,向A主机发出200的字符,表示接收到指令并完成;
步骤3:A主机通过POST方式向B主机上传表单;
步骤4:B主机确认收到响应。
在具体的实施例中,读写规则表包括情况中涉及的访问指令、读写类型和指令关键字。受保护对象包括各种应用,应用在被正常访问过程中会产生大量的数据流向和交互过程的情况,读写规则表根据业务类型进行定义,在访问过程中,只会使用到两种方法,一种方法称为读,就是说访问指令的目标是获取对端数据,另一个方法称为写,就是将本地的数据写入对端,所有的访问过程都是由读或写构成的,通过对访问指令、读写类型和指令关键字,就可以定义一个标准的应用访问过程。
将图3的情况中涉及的访问规则转化为如表1所示的读写规则表:
表1
在具体的实施例中,过滤规则包括根据读写规则表以格式编写的方式形成的读写组合特征。利用读写规则表确认对应业务的过滤规则,通过关键字定义对应流量报文的读写类型,根据不同的读写类型得出每个访问过程的读写组合特征,读写组合特征通常采用如下的格式表达:“步骤/分隔符/方法/分隔符/读或者写/分隔符/关键字/结束符”,多个格式需要重复以上定义就可以。因此将方便进行编写和过滤。
通过在网络出入口部署的网关设备,对出入口进出流量进行分析,表1中的读写规则表转换的读写组合特征为:“//1/get/w//2/200/o//3/post/w//4/200/o”,该段文字描述了这个业务访问过程的4个步骤,第一步骤是写操作,指令是GET;第二步关键字是200,方向为由服务端向客户端;第三部为写操作,使用指令为POST;第四步为服务端向客户端返回的响应应答。因此,通过使用这个简单的字符串,描述了需要保护应用的一个访问过程特征,也可以用来表示这个应用的特征。
在具体的实施例中,如图4所示,步骤S4具体包括:
S41:通过过滤规则对访问过程进行监控;
S42:通过网络流量会话监控的方式实现对访问过程中每个访问指令的过滤。
在访问过程监控中,会严格按照这个访问过程进行过滤,如果满足这个访问过程,那么这个应用的访问就是正常的,如果过程发生变化,或者指令、关键字发生变化,那么这个过程就是有问题的,也就是说应用就是有问题的,我们可以随时阻断。
与本申请的实施例公开的一种基于访问过程判定的可信度量方法相对应,本申请的实施例还公开了一种基于访问过程判定的可信度量装置,如图5所示,包括:
访问过程获取模块1,被配置为获取受保护对象被正常访问过程中的数据流向和交互过程的情况;
读写规则转化模块2,被配置为将情况中涉及的访问规则转化为读写规则表;
过滤规则转换模块3,被配置为根据业务类型将读写规则表转换为过滤规则;以及
访问过程监控模块4,被配置为根据过滤规则对访问过程进行可信度量。
在具体的实施例中,访问过程获取模块1中采用人工记录或机器学习的方式对受保护对象被正常访问过程中的数据流向和交互过程的情况进行描述。
在具体的实施例中,读写规则表包括情况中涉及的访问指令、读写类型和指令关键字。
在具体的实施例中,过滤规则包括根据读写规则表以格式编写的方式形成的读写组合特征。
在具体的实施例中,访问过程监控模块4具体包括:
第一过滤模块,被配置为通过过滤规则对访问过程进行过滤;
第二过滤模块,被配置为通过网络流量会话监控的方式实现对被访问过程中每个访问指令的过滤。
第三方面,本申请的实施例还提供了一种计算机存储介质,其上存储有计算机程序,其特征在于,计算机程序被计算机执行时实现第一方面提到的步骤。
本发明提出了一种基于访问过程判定的可信度量方法和装置,通过获取受保护对象被正常访问过程中的数据流向和交互过程的情况;将情况中涉及的访问规则转化为读写规则表;根据业务类型将读写规则表转换为过滤规则;根据过滤规则对访问过程进行可信度量。其中访问规则可以仅仅通过流量部分的读取就可以获得,和业务逻辑相关性较小,便于实施。基于读写规则表的访问控制逻辑在落实上可以配合传统的固定属性,使用固定属性进行粗过滤,然后再使用读写规则表进行细过滤,可以有效保护资源的安全性。该方法逻辑结构简单,相对于恶意代码监测,效率较高,比较适合在网络层的度量,优于传统的就用哈希值或者基于I/O检测方式进行动态度量。
下面参考图6,其示出了适于用来实现本申请实施例的电子设备(例如图1所示的服务器或终端设备)的计算机装置600的结构示意图。图6示出的电子设备仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图6所示,计算机装置600包括中央处理单元(CPU)601和图形处理器(GPU)602,其可以根据存储在只读存储器(ROM)603中的程序或者从存储部分609加载到随机访问存储器(RAM)604中的程序而执行各种适当的动作和处理。在RAM 604中,还存储有装置600操作所需的各种程序和数据。CPU 601、GPU602、ROM 603以及RAM 604通过总线605彼此相连。输入/输出(I/O)接口606也连接至总线605。
以下部件连接至I/O接口606:包括键盘、鼠标等的输入部分607;包括诸如、液晶显示器(LCD)等以及扬声器等的输出部分608;包括硬盘等的存储部分609;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分610。通信部分610经由诸如因特网的网络执行通信处理。驱动器611也可以根据需要连接至I/O接口606。可拆卸介质612,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器611上,以便于从其上读出的计算机程序根据需要被安装入存储部分609。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分610从网络上被下载和安装,和/或从可拆卸介质612被安装。在该计算机程序被中央处理单元(CPU)601和图形处理器(GPU)602执行时,执行本申请的方法中限定的上述功能。
需要说明的是,本申请所述的计算机可读介质可以是计算机可读信号介质或者计算机可读介质或者是上述两者的任意组合。计算机可读介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的装置、装置或器件,或者任意以上的组合。计算机可读介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中,计算机可读介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行装置、装置或者器件使用或者与其结合使用。而在本申请中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行装置、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本申请的操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本申请各种实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的装置来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本申请实施例中所涉及到的模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的模块也可以设置在处理器中。
作为另一方面,本申请还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被该电子设备执行时,使得该电子设备:获取受保护对象被正常访问过程中的数据流向和交互过程的情况;将情况中涉及的访问规则转化为读写规则表;根据业务类型将读写规则表转换为过滤规则;根据过滤规则对访问过程进行可信度量。
以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本申请中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (10)
1.一种基于访问过程判定的可信度量方法,其特征在于,包括以下步骤:
S1:获取受保护对象被正常访问过程中的数据流向和交互过程的情况;
S2:将所述情况中涉及的访问规则转化为读写规则表;
S3:根据所述业务类型将所述读写规则表转换为过滤规则;以及
S4:根据所述过滤规则对所述访问过程进行可信度量。
2.根据权利要求1所述的基于访问过程判定的可信度量方法,其特征在于,所述步骤S1中采用人工记录或机器学习的方式对所述受保护对象被正常访问过程中的数据流向和交互过程的情况进行描述。
3.根据权利要求1所述的基于访问过程判定的可信度量方法,其特征在于,所述读写规则表包括所述情况中涉及的访问指令、读写类型和指令关键字。
4.根据权利要求1所述的基于访问过程判定的可信度量方法,其特征在于,所述过滤规则包括根据所述读写规则表以格式编写的方式形成的读写组合特征。
5.根据权利要求3所述的基于访问过程判定的可信度量方法,其特征在于,所述步骤S4具体包括:
S41:通过所述过滤规则对所述访问过程进行监控;
S42:通过网络流量会话监控的方式实现对所述访问过程中每个访问指令的过滤。
6.一种基于访问过程判定的可信度量装置,其特征在于,包括:
访问过程获取模块,被配置为获取受保护对象被正常访问过程中的数据流向和交互过程的情况;
读写规则转化模块,被配置为将所述情况中涉及的访问规则转化为读写规则表;
过滤规则转换模块,被配置为根据所述业务类型将所述读写规则表转换为过滤规则;以及
访问过程监控模块,被配置为根据所述过滤规则对所述访问过程进行可信度量。
7.根据权利要求6所述的基于访问过程判定的可信度量装置,其特征在于,所述访问过程获取模块中采用人工记录或机器学习的方式对所述受保护对象被正常访问过程中的数据流向和交互过程的情况进行描述。
8.根据权利要求6所述的基于访问过程判定的可信度量装置,其特征在于,所述读写规则表包括所述情况中涉及的访问指令、读写类型和指令关键字,所述过滤规则包括根据所述读写规则表以格式编写的方式形成的读写组合特征。
9.根据权利要求8所述的基于访问过程判定的可信度量装置,其特征在于,所述访问过程监控模块具体包括:
第一过滤模块,被配置为通过所述过滤规则对所述访问过程进行监控;
第二过滤模块,被配置为通过网络流量会话监控的方式实现对所述访问过程中每个访问指令的过滤。
10.一种计算机存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被计算机执行时实现权利要求1至5中任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010166684.8A CN111400750B (zh) | 2020-03-11 | 2020-03-11 | 基于访问过程判定的可信度量方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010166684.8A CN111400750B (zh) | 2020-03-11 | 2020-03-11 | 基于访问过程判定的可信度量方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111400750A true CN111400750A (zh) | 2020-07-10 |
| CN111400750B CN111400750B (zh) | 2023-05-30 |
Family
ID=71428626
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010166684.8A Active CN111400750B (zh) | 2020-03-11 | 2020-03-11 | 基于访问过程判定的可信度量方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111400750B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102201043A (zh) * | 2010-03-24 | 2011-09-28 | 微软公司 | 基于资源属性审核对数据的访问 |
| US8065712B1 (en) * | 2005-02-16 | 2011-11-22 | Cisco Technology, Inc. | Methods and devices for qualifying a client machine to access a network |
| CN103927489A (zh) * | 2014-04-22 | 2014-07-16 | 陈幼雷 | 一种数据可信存储的系统及其方法 |
| CN107612929A (zh) * | 2017-10-18 | 2018-01-19 | 南京航空航天大学 | 一种基于信息流的多级安全访问控制模型 |
| CN107864139A (zh) * | 2017-11-09 | 2018-03-30 | 北京科技大学 | 一种基于动态规则的密码学属性基访问控制方法与系统 |
-
2020
- 2020-03-11 CN CN202010166684.8A patent/CN111400750B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8065712B1 (en) * | 2005-02-16 | 2011-11-22 | Cisco Technology, Inc. | Methods and devices for qualifying a client machine to access a network |
| CN102201043A (zh) * | 2010-03-24 | 2011-09-28 | 微软公司 | 基于资源属性审核对数据的访问 |
| CN103927489A (zh) * | 2014-04-22 | 2014-07-16 | 陈幼雷 | 一种数据可信存储的系统及其方法 |
| CN107612929A (zh) * | 2017-10-18 | 2018-01-19 | 南京航空航天大学 | 一种基于信息流的多级安全访问控制模型 |
| CN107864139A (zh) * | 2017-11-09 | 2018-03-30 | 北京科技大学 | 一种基于动态规则的密码学属性基访问控制方法与系统 |
Non-Patent Citations (1)
| Title |
|---|
| 段翼真;刘忠;施展;: "一种支持多域访问的可信云终端设计" * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111400750B (zh) | 2023-05-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10614233B2 (en) | Managing access to documents with a file monitor | |
| CN110414268B (zh) | 访问控制方法、装置、设备及存储介质 | |
| US11736529B2 (en) | Adaptive offline policy enforcement based on coniext | |
| US11546366B2 (en) | Threat information sharing based on blockchain | |
| US9432375B2 (en) | Trust/value/risk-based access control policy | |
| US10462148B2 (en) | Dynamic data masking for mainframe application | |
| US9053302B2 (en) | Obligation system for enterprise environments | |
| JP6286034B2 (ja) | プロセス認証とリソースパーミッション | |
| US8332917B2 (en) | Providing secure dynamic role selection and managing privileged user access from a client device | |
| US10572694B2 (en) | Event-based display information protection system | |
| US10079835B1 (en) | Systems and methods for data loss prevention of unidentifiable and unsupported object types | |
| KR20120117018A (ko) | 자원 속성에 기초한 자원 액세스의 제어 | |
| US10013570B2 (en) | Data management for a mass storage device | |
| US10445514B1 (en) | Request processing in a compromised account | |
| CN107770192A (zh) | 在多系统中身份认证的方法和计算机可读存储介质 | |
| US9516031B2 (en) | Assignment of security contexts to define access permissions for file system objects | |
| US7882547B2 (en) | Securely calling web services from macros | |
| US20100030805A1 (en) | Propagating information from a trust chain processing | |
| Ramya et al. | Analyzing Big Data challenges and security issues in data privacy | |
| CN111400750B (zh) | 基于访问过程判定的可信度量方法和装置 | |
| Behera et al. | Big data security threats and prevention measures in cloud and Hadoop | |
| US10742657B2 (en) | Accessing shared resources without system groups | |
| US11520748B2 (en) | Applying append-only policies for files | |
| US20230401332A1 (en) | Controlling application access to sensitive data | |
| Masluk et al. | Protecting personal data with blockchain technology |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |