CN111404960B - 应用于天地一体化网络接入管控系统的属性提取方法 - Google Patents

Abstract

本发明提供了一种应用于天地一体化网络接入管控系统的属性提取方法，具体包括：步骤一：在卫星与地面网络之间构建一体化通信网络；采用中心化或者去中心化的策略，部署访问控制系统；步骤二：在用户请求接入一体化网络后，负责接入用户的卫星中的分布式系统控制中心，需要准确获取用户属性信息，并对提取的属性信息数据进行转化处理，并对关键字段进行编码，以特定的数据格式存储和传输数据；本发明提出的提取方法，可以实现天地一体化网络下用户原始数据信息准确、完整的转化用户关键属性信息字段的过程，可以实现用户接入、认证等前期必要的处理过程。

Description

应用于天地一体化网络接入管控系统的属性提取方法

技术领域

本发明涉及访问控制安全技术领域，具体涉及一种应用于天地一体化网络接入管控系统的属性提取方法。

背景技术

近年来，移动通信出现了巨大的增长，并且新的无线技术迅速出现。随着对“任何时间、任何地点、任何方式”的通信连接需求的增加，异构网络设计趋势将更快地增长为支持无缝集成。所以需要一个连接天地网络的综合性网络来满足现实生活的需要，基于此天地一体化网络应运而生。天地一体化网络更是在国土安全防御、作战指挥决策、军事行动实施等领域均发挥着极其重要的作用，也是决定着未来信息化战争成败的关键因素之一。所以对天地一体化网络的安全防护至关重要。

访问控制作为一种广泛用于传统地面网络用以保证系统保密性、完整性等的技术，同样可以被应用到卫星网络的安全体系中。然而卫星网络的特点给卫星网络环境访问控制技术带来诸多新需求。1)细粒度控制：复杂网络环境具有海量信息，不同用户对这些信息具有不同的使用权限，粗粒度控制会带来大量安全问题。2)策略跟随：数据信息在网间频繁流动，其相应的控制策略未跟随数据信息本体到新网时会造成用户失去对数据的控制。3)策略语义归一化：数据信息在流动过程中跨越不同网络，网络间策略语言的不一致性可能会造成策略在网间转化时出现错误。

天地一体化信息网络是天基、空基、陆基和海基一体化综合网，保障其安全的信息传输是整个网络的关键，其建设将对我国的国民经济、国防安全和科学研究产生深远影响。天地一体化信息网络组成异构、用户类型多样、协议体系复杂、信息资源海量等特点，使得传统的访问控制技术难以有效满足天地一体化信息网络的管控的新需求，主要表现在如下：

(1)天地一体化信息网络的管控“主体”多元化

天地一体化信息网络中陆地、海基、空基、天基等网络组成结构差异大，接入设备种类多，标识空间相互独立，导致访问控制的主体集合构成复杂化，同时也增加了分享数据时安全需求的描述难度，同时由于网络组成、用户类型、业务类型、区域分布等多元化，导致主体相互关系复杂，如何描述该场景下多元化主体的多样化访问管控需求是个难题。

(2)天地一体化信息网络的管控“对象”多样化

天地一体化信息网络中的数据业务构成多样化，呈现出顺序、大量、快速、连续等特点，并伴随着云计算、大数据、物联网等技术的发展，涌现出海量结构化、半结构化、非结构化的数据，由此导致管控对象数量繁多、属性多样，难以有效标记对象价值和种类，难以实现细粒度管控。

(3)天地一体化信息网络的管控“策略”复杂化

天地一体化信息网络中主体和客体复杂多样，导致管控需求难以细粒度描述，管控策略容易出现过度授权或授权不足，且由于信息网络系统的复杂性，导致一些特定的访问需求在设计策略时没有考虑，或者访问需求的变化引起访问控制策略不再适合等问题。

发明内容

针对上述存在的问题，本发明提供了一种可实现用户多维属性提取以及保障用户接入的准确性和安全性的应用于天地一体化网络接入管控系统的属性提取方法。

本发明的技术方案为：一种应用于天地一体化网络接入管控系统的属性提取方法，具体包括：

步骤一：精简原始样本数据：

在卫星与地面网络之间构建一体化通信网络；采用中心化或者去中心化的策略，部署访问控制系统；具体为：简原始样本数据，需要运用数据挖掘和机器学习等数据处理方面的技术，去除用户原始日志文件、网络流量、监控报告中的冗余语句，完成去粗取精的过程，即完成了由混杂数据、无法使用的数据信息到可进一步处理的有序数据转化过程；其中，所述一体化通信网络是在访问控制设备之间搭建有线或无线网络管控系统，且基于自主互联网网络通信和管控协议，使得所有系统设备之间能通过网络进行通信；利用此步骤能够将杂乱的不可用数据信息经过精细加工成可用的有序数据；

步骤二：精确获取用户属性信息：

在用户请求接入一体化网络后，负责接入用户的卫星中的分布式系统控制中心，需要准确获取用户属性信息，并对提取的属性信息数据进行转化处理，并对关键字段进行编码，以特定的数据格式存储和传输数据；具体为：应用算法从多种原始样本数据中精简出与用户属性信息有关的文本语段，提炼与用户属性相关联的关键字符信息，即得到中间体；然后进一步去冗余和相关性小的信息，从而保留准确、关键的用户属性字段，获得精确属性信息；其中，原始样本数据可为用户网络流量、用户各类日志文件、网络监管系统生成的异常信息的一种或多种；此步骤由中间体数据信息转化为准确、关键的属性数据字段，该属性字段可完整诠释和代表用户在这一维度的属性定义，为之后的过程提供了十分重要信息；

进一步地，所述一体化通信网络中，天基、空基、陆基和海基不同区域的用户设备为一层，层内所有设备均可建立全连接，层与层之间通过边际路由来建立连接，通过建立可快速验证的访问控制系统来提高网络安全性和可靠性，降低恶意用户破坏盗取网络传输数据的可能；通过准确提取用户属性和判别用户接入及其他访问控制过程。

进一步地，提取方法的过程包括：首先进行日志数据信息的公式化过程，将数据定义为D_i表示某列日志信息，其中，数据样本元素范围为i＝1,2，…,k列，k个属性；以D表示日志信息条目集合，公式(1)：D＝{D₁,D₂,…,D_k}；定义

表示第i列日志信息中的第j个数据元素，其中，数据j＝1,2，…,n；以Sⁱ表示第i条日志中的数据元素集合，公式

更进一步地，提取方法的过程包括：针对实体的不同属性，提计算D_i条日志信息数据的中心点

并且计算第i列日志中的数据样本

与中心点

的距离

则距离

公式为

计算每个数据点到中心点的平均度量Rⁱ，则平均度量Rⁱ定义式见公式

根据平均度量Rⁱ设定阈值，如果

大于Rⁱ舍弃该数据，反之则保留该数据，从而完成日志数据精简过程。

进一步地，提取方法的过程包括：针对计算过程中计算误差问题，在计算时利用误差平方和以提高计算精确度；

根据距离

与阈值Rⁱ大小确定

的簇标记

如果如果

大于Rⁱ，则标记为舍弃该数据，反之则标记为保留该数据；并将将样本

划入相应的簇，定义式见公式

进一步地，提取方法的过程包括：对于已经分类完成的日志Cⁱ数据集合，需要更精细计算属性信息之间的相关性，描绘出剩余属性信息之间的稀疏程度，从而确定再次需要去除相关性小、相似度低的样本数据；

属性信息之间的相关性表示为度量

其中，N₁表示Cⁱ数据集合中的一个集合(

N₁≠Cⁱ)，N₂表示Cⁱ中剩余数据，即Cⁱ＝N₁+N₂，a表示聚合N₁中的自变量，b表示聚合N₂中的自变量；

根据度量L_ab，描绘出属性之间的稀疏程度分布，保留稀疏程度高度集中的属性集合，从而得出k个属性群，再通过数据中心计算公式

分别得出k个属性群的数据中心，则第i列日志中的数据中心点更新为

然后以

作为日志原始数据的属性中心。

与现有技术相比，本发明的有益效果为：本发明提出的应用于天地一体化网络接入管控系统的属性提取方法，可以实现天地一体化网络下用户原始数据信息准确、完整的转化用户关键属性信息字段的过程，可以实现用户接入、认证等前期必要的处理过程。关键属性提取方法是进行细粒度访问控制，实现对接入用户、设备和组网节点身份的准确验证的十分重要的技术。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明所提供的用户多维关键属性提取流程图；

图2为本发明所提供的用户多维关键属性提取过程图；

图3为本发明所提供的天地一体化信息网络管控框架设计过程示例图；

图4为本发明所提供的天地一体化信息网络访问控制系统示意图；

图5为本发明所提供的天地一体化网络组网结构拓扑图；

图6为用户静态属性信息注册列表；

具体实施方式

实施例1：本实施例设计了一种应用于天地一体化网络接入管控系统的属性提取方法，适应天地一体化网络环境，基于图5所示的天地一体化网络组网总体架构拓扑图进行方法说明。

根据特定场景需求设计一种新型的网络架构，在此网络中的天基、空基、陆基和海基等不同区域的用户设备为一层，层内所有设备互联，层与层之间通过域间路由来建立连接，通过建立可快速验证的访问控制系统来提高网络安全性和可靠性，降低恶意用户破坏盗取网络传输数据的可能。

步骤如下：按照实际需求获取到用户属性信息，这里用户基本信息可以包含用户静态信息和用户动态信息，实例中的各种字段信息必要的静态信息是不可以缺少的，在实现原型系统的过程中可以采取的一种方案是用户终端访问控制策略服务器获取网页静态信息来注册用户的基本静态属性信息。其中，本访问控制系统会分配给每个用户一个标识地址。参见图6。基本属性信息如下：

用户静态信息：用户标识：86AE7D6L7890，民族：汉，宗教信仰：佛教，教育背景：高中，婚姻状况：已婚，性别：男，家庭住址：北京，职位：高层管理人员，……。实现从用户的动态信息中获取多维关键属性可以基于有监督学习的统计分类算法，具体使用朴素贝叶斯算法概率模型；在分类模型中，用逻辑回归和判别分析模型，通过有监督学习的统计分类算法，统计日志文件等用户关键的行为数据信息；根据得到的分类结果再通过聚类算法实现相关联用户属性信息的同类聚合，从而除去重复的相似性信息，实现精简的过程；

分类和聚类模型都适用于精简原始样本数据和精确获取用户属性信息两个过程中，为了提高计算效率和准确度可以多种分类或聚类算法混合使用。但在精简原始样本数据过程中主要应用有监督学习分类算法实现对整体混杂信息的分类，实现对大量冗余信息的分割和多种信息的分类；在精确获取用户属性信息过程中，应用无监督聚类算法再将分类得到的结果中的相关程度高的相似性信息归类聚合成一中信息，从而完成提取用户关键属性信息的过程。

需要说明的是：常用的聚类算法，K-Means算法是一种基于划分的聚类；均值偏移聚类算法是一种基于滑动窗口或中心的算法；DBSCAN是一个的基于密度的聚类算法，类似于均值转移聚类算法；高斯混合模型的期望最大化聚类；层次聚类算法，层次聚类算法实际上分为两类自上而下或自下而上，凝聚层级聚类是自下而上的一种聚类算法；GCD图团体检测聚类算法，当数据是网络或图，可以使用图团体检测方法完成聚类。

实施例2：与实施例1不同的是：下面以统计用户动态信息过程中，精简原始样本数据应用某一种分类模型和精确获取用户属性信息应用某一种创新聚类模型的伪代码实现进行实施例说明。

本实例的新型聚类算法如下：

注：目前，存在多种类型的分类聚类算法，但本文所使用的用户属性提取算法均不同于其他分类或聚类算法。

需要说明的是：本实施例算法，为应用环境下的创新算法。展示了常用用户属性提取算法算法的一种，该新型聚类算法在内的所有具有类似功能函数及其相应扩展变形均应该包含在本专利效力范围内。

实施例3：结合上述两个实施例的内容，本实施例以基于图1、2所示的映射图为例引入具体公式推导过程，通过具体的数学符号及推导过程进行准确说明：

步骤一：精简原始样本数据：

首先，在这一过程中，需要完成对用户属性信息的准确定位，本实施例以用户日志信息进行定位为例进行公式推导过程。其中，日志一般采用每行一条记录的方式存储，同列为同属性字段

首先定义以D_i表示某列日志信息，其中，数据样本元素范围为i＝1,2，…,k列，k个属性；以D表示日志信息条目集合，日志信息集合定义式见公式：

D＝{D₁,D₂,…,D_k}

定义

表示第i列日志信息中的第j个数据元素，其中，数据j＝1,2，…,n；以Sⁱ表示第i条日志中的数据元素集合，则第i列日志中的数据元素集合定义式见公式：

计算D_i条日志信息数据的中心点

则第i列日志中的数据中心点

定义式见公式：

计算第i列日志中的数据样本

(数据样本元素范围为j＝1,2，…,n)与中心点

的距离

则距离

定义式见公式：

根据欧式距离公式计算每个数据点到中心点的平均度量Rⁱ，则平均度量Rⁱ定义式见公式：

根据平均度量Rⁱ设定阈值，如果

大于Rⁱ舍弃该数据，反之则保留该数据，从而完成日志数据精简过程。

在计算时需选择适合的度量空间以提高计算精确度。具体为：SSE是Sⁱ样本的聚类误差，代表了聚类效果的好坏；其中，Sⁱ是第i个簇，

是Sⁱ中的样本数据，

是Sⁱ的质心，。

根据距离

与阈值Rⁱ大小确定

的簇标记

如果如果

大于Rⁱ，则标记为舍弃该数据，反之则标记为保留该数据。

将样本

划入相应的簇，定义式见下式：

步骤二：精确获取用户属性信息：

在完成精简日志数据之后，本实施例需要进一步完成精确提取用户属性信息的过程。对于已经分类完成的日志Cⁱ数据集合，需要更精细计算属性信息之间的相关性，描绘出剩余属性信息之间的稀疏程度，从而确定再次需要去除相关性小、相似度低的样本数据。

本实施例中属性信息之间的相关性表示为度量L_ab，则度量L_ab定义式见公式：

其中，N₁表示Cⁱ数据集合中的一个集合(

N₁≠Cⁱ)，N₂表示Cⁱ中剩余数据，即Cⁱ＝N₁+N₂。a表示聚合N₁中的自变量，b表示聚合N₂中的自变量。

根据度量L_ab，描绘出属性之间的稀疏程度分布，保留稀疏程度高度集中的属性集合，从而得出k个属性群，再通过数据中心计算公式

Sⁱ∈D_i分别得出k个属性群的数据中心，则第i列日志中的数据中心点更新为

以

作为日志原始数据的属性中心。

通过对用户的精简原始样本数据、精确获取用户属性信息等处理过程可以将用户原始日志数据信息转化为精确的关键属性信息，从而实现对用户实现更细粒度的监管和控制提供可能。

需要说明的是：本领域普通技术或研究人员可以理解实现上述实施例的全部或部分步骤可以通过搭建仿真或者原型系统来完成，通过编写相应的功能代码可以准确实现上述过程，所述的用户多维关键属性提取过程是一种特殊环境下的核心思想，本发明应用于天地一体化网络访问控制系统中，当然也可以应用在需要本发明的其他领域或场合，其所属权利均应该包含在本发明方案内。

Claims (6)

1.一种应用于天地一体化网络接入管控系统的属性提取方法，其特征在于，具体包括：

步骤一：精简原始样本数据：

在卫星与地面网络之间构建一体化通信网络；采用中心化或者去中心化的策略，部署访问控制系统；具体为：简原始样本数据，需要运用数据挖掘和机器学习数据处理方面的技术，去除用户原始日志文件、网络流量、监控报告中的冗余语句，完成去粗取精的过程，即完成了由混杂数据、无法使用的数据信息到可进一步处理的有序数据转化过程；其中，所述一体化通信网络是在访问控制设备之间搭建有线或无线网络管控系统，且基于自主互联网网络通信和管控协议，使得所有系统设备之间能通过网络进行通信；

步骤二：精确获取用户属性信息：

在用户请求接入一体化网络后，负责接入用户的卫星中的分布式系统控制中心，需要准确获取用户属性信息，并对提取的属性信息数据进行转化处理，并对关键字段进行编码，以特定的数据格式存储和传输数据；具体为：应用算法从多种原始样本数据中精简出与用户属性信息有关的文本语段，提炼与用户属性相关联的关键字符信息，即得到中间体；然后进一步去冗余和相关性小的信息，从而保留准确、关键的用户属性字段，获得精确属性信息；

其中，对于已经分类完成的日志数据集合——Cⁱ数据集合，需要更精细计算属性信息之间的相关性，描绘出剩余属性信息之间的稀疏程度，从而确定再次需要去除相关性小、相似度低的样本数据；属性信息之间的相关性表示为度量L_ab，则度量L_ab定义式见公式：

其中，N₁表示Cⁱ数据集合中的一个集合(

N₁≠Cⁱ)，N₂表示Cⁱ中剩余数据，即Cⁱ＝N₁+N₂；a表示聚合N₁中的自变量，b表示聚合N₂中的自变量；

根据度量L_ab，描绘出属性之间的稀疏程度分布，保留稀疏程度高度集中的属性集合，从而得出k个属性群，再通过数据中心计算公式

分别得出k个属性群的数据中心，则第i列日志中的数据中心点更新为

然后以

作为日志原始数据的属性中心；其中，

表示第i列日志信息中的第j个数据元素。

2.如权利要求1所述的一种应用于天地一体化网络接入管控系统的属性提取方法，其特征在于，所述一体化通信网络中，天基、空基、陆基和海基不同区域的用户设备为一层，层内所有设备均可建立全连接，层与层之间通过边际路由来建立连接，通过建立可快速验证的访问控制系统来提高网络安全性和可靠性，降低恶意用户破坏盗取网络传输数据的可能；通过准确提取用户属性和判别用户接入的访问控制过程。

3.如权利要求1所述的一种应用于天地一体化网络接入管控系统的属性提取方法，其特征在于，提取方法的过程包括：首先进行日志数据信息的公式化过程，将数据定义为D_i表示某列日志信息，其中，数据样本元素范围为i＝1,2，…,k列，k个属性；以D表示日志信息条目集合，公式(1)：D＝{D₁,D₂,…,D_k}；定义

表示第i列日志信息中的第j个数据元素，其中，数据j＝1,2，…,n；以Sⁱ表示第i条日志中的数据元素集合，公式

4.如权利要求3所述的一种应用于天地一体化网络接入管控系统的属性提取方法，其特征在于，提取方法的过程包括：针对实体的不同属性，提计算D_i条日志信息数据的中心点

并且计算第i列日志中的数据样本

与中心点

的距离

则距离

公式为

计算每个数据点到中心点的平均度量Rⁱ，则平均度量Rⁱ定义式见公式

根据平均度量Rⁱ设定阈值，如果

大于Rⁱ舍弃该数据，反之则保留该数据，从而完成日志数据精简过程。

5.如权利要求4所述的一种应用于天地一体化网络接入管控系统的属性提取方法，其特征在于，提取方法的过程包括：针对计算过程中计算误差问题，在计算时利用误差平方和以提高计算精确度；

根据距离

与阈值Rⁱ大小确定

的簇标记

如果

大于Rⁱ，则标记为舍弃该数据，反之则标记为保留该数据；并将样本

划入相应的簇，定义式见公式

6.如权利要求1所述的一种应用于天地一体化网络接入管控系统的属性提取方法，其特征在于，所述一体化通信网络中，天基、空基、陆基和海基不同区域的用户设备为一层。

Images