CN112131561A - 访问边界判定方法、装置、电子设备及存储介质 - Google Patents

访问边界判定方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN112131561A
CN112131561A CN202010957795.0A CN202010957795A CN112131561A CN 112131561 A CN112131561 A CN 112131561A CN 202010957795 A CN202010957795 A CN 202010957795A CN 112131561 A CN112131561 A CN 112131561A
Authority
CN
China
Prior art keywords
access
application
boundary
heat data
function category
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010957795.0A
Other languages
English (en)
Inventor
林皓
唐彪
向达
刘代义
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing North Source Software Co ltd
Beijing VRV Software Corp Ltd
Original Assignee
Beijing North Source Software Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing North Source Software Co ltd filed Critical Beijing North Source Software Co ltd
Priority to CN202010957795.0A priority Critical patent/CN112131561A/zh
Publication of CN112131561A publication Critical patent/CN112131561A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0631Resource planning, allocation, distributing or scheduling for enterprises or organisations
    • G06Q10/06311Scheduling, planning or task assignment for a person or group
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/10Office automation; Time management
    • G06Q10/103Workflow collaboration or project management

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Human Resources & Organizations (AREA)
  • Strategic Management (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Theoretical Computer Science (AREA)
  • Economics (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Operations Research (AREA)
  • Computer Security & Cryptography (AREA)
  • General Business, Economics & Management (AREA)
  • Tourism & Hospitality (AREA)
  • Quality & Reliability (AREA)
  • Marketing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Development Economics (AREA)
  • Educational Administration (AREA)
  • Game Theory and Decision Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本申请提供了一种访问边界判定方法、装置、电子设备及存储介质,涉及信息技术领域,该方法包括:获取职能类别,并将职能类别作为访问决策维度;确定在预定时间内不同职能类别下指定职能类别粒度各个对象的每个应用的访问热度数据,对访问热度数据进行离散化处理得到每个应用对应的频率等级,并将频率等级作为访问条件属性;基于访问决策维度和访问条件属性构建粗糙集,对粗糙集进行约简得到粗糙集的约简集;基于约简集生成访问边界判定规则。本申请通过访问决策维度和访问条件属性构建粗糙集,并基于粗糙集的约简集生成访问边界判定规则以避免非法访问以及跨权限访问,该申请方案避免人为分配应用的访问权限,以提高应用访问权限确认的工作效率。

Description

访问边界判定方法、装置、电子设备及存储介质
技术领域
本申请信息技术领域,具体而言,涉及一种访问边界判定方法、装置、电子设备及存储介质。
背景技术
随着国内信息化程度加深,各个企业单位或事业单位的机构内部搭建了规模、用途、架构等各方面都存在差异的应用系统或网站,用于在机构进行内部业务管理与信息展示。但是现阶段在各机构内部存在应用系统过多以及没有合理的访问权责规划导致的内部跨权访问、非法访问等问题,即存在应用数据的安全隐患。
为解决上述应用数据安全的隐患问题,现有的方案是建立应用中心,上线的应用或应用模块需要在应用中心注册登记,由管理机构备案审核及统一分配访问权限,这种方案需要人为对访问权限进行分配,在应用权限确认工作量大时应用权限确认的工作效率低的问题。
发明内容
本申请的实施例在于提供一种访问边界判定方法、装置、电子设备及存储介质,以解决目前方法应用权限确认效率低的问题。
本申请的实施例提供了一种访问边界判定方法,所述方法包括:
获取职能类别,并将所述职能类别作为访问决策维度;
确定在预定时间内不同职能类别下指定职能类别粒度各个对象的每个应用的访问热度数据;
对所述访问热度数据进行离散化处理得到所述每个应用对应的频率等级,并将所述频率等级作为访问条件属性;
基于所述访问决策维度和所述访问条件属性构建粗糙集;
对所述粗糙集进行约简得到所述粗糙集的约简集;
基于所述约简集生成访问边界判定规则。
在上述实现过程中,通过访问决策维度和访问条件属性构建粗糙集,并基于粗糙集的约简集生成访问边界判定规则以避免非法访问以及跨权限访问,该申请方案避免人为分配应用的访问权限,以提高应用权限确认的工作效率。
可选地,所述确定在预定时间内不同职能类别下指定职能类别粒度各个对象的每个应用的访问热度数据,包括:
对所述指定职能类别粒度的每个应用的访问次数、平均访问时长、独立访客和/或点击量进行加权平均计算得到所述访问热度数据。
在上述实现过程中,通过加权平均方式对应用的访问次数、平均访问时长、独立访客和/或点击量进行计算以得到所述访问热度数据,综合多个指标得到的所述访问热度数据能够靠近每个应用的访问状况,以提高所述访问热度数据的准确性。
可选地,所述对所述访问热度数据进行离散化处理得到所述每个应用对应的频率等级,并将所述频率等级作为访问条件属性,包括:
将所述每个应用的所述指定职能类别粒度下的各个对象的访问热度数据进行排序得到排序值;
基于所述排序值对所述每个应用进行划分等级得到所述每个应用对应指定职能类别粒度下的不同对象的频率等级。
在上述实现过程中,将所述访问热度数据进行排序,将所述排序值进行等级划分得到所述频率等级以实现对所述访问热度数据的离散化处理,以降低所述访问热度数据的时间复杂度。
可选地,在所述基于所述约简集生成访问边界判定规则之后,所述方法还包括:
基于所述访问边界判定规则对属于指定职能类别的所述指定职能类别粒度的应用访问合法性进行预判得到合法性判定结果。
在上述实现过程中,基于所述访问边界判定规则对属于指定职能类别的职能类别粒度中指定对象的应用访问合法性进行预判,避免非法访问以及越权访问,提高应用数据安全性。
可选地,所述基于所述约简集生成访问边界判定规则,包括:
当没有生成边界判定规则、生成有多条边界判定规则和/或所述合法性判定结果与实际情况不相符时,用迭代预设时间替换所述预定时间,并基于所述迭代预设时间生成迭代访问判定规则替换所述访问边界判定规则所述迭代预设时间为所述预定时间增加第一时长后所得。
在上述实现过程中,当没有生成边界判定规则、生成有多条边界判定规则和/或所述合法性判定结果与实际情况不相符时,以增加预设时间的长度后的时间作为迭代预设时间,以在迭代预设时间内获得更丰富的统计样本以生成迭代访问判定规则,提高访问边界判定规则的准确性。
本申请的实施例提供了一种访问边界判定装置,所述访问边界判定装置包括:
维度获取模块,用于获取职能类别粒度,并将所述职能类别作为访问决策维度;
数据获取模块,用于确定在预定时间内不同职能类别下指定职能类别粒度各个对象的每个应用的访问热度数据;
预处理模块,用于对所述访问热度数据进行离散化处理得到所述每个应用对应的频率等级,并将所述频率等级作为访问条件属性;
构建模块,用于基于所述访问决策维度和所述访问条件属性构建粗糙集;
约简模块,用于对所述粗糙集进行约简得到所述粗糙集的约简集;
生成模块,用于基于所述约简集生成访问边界判定规则。
在上述实现过程中,通过访问决策维度和访问条件属性构建粗糙集,并基于粗糙集的约简集生成访问边界判定规则以避免非法访问以及跨权限访问,该申请方案避免人为分配应用的访问权限,以提高应用权限确认的工作效率。
可选地,所述数据获取模块用于:
对所述指定职能类别粒度各个对象的每个应用的访问次数、平均访问时长、独立访客和/或点击量进行加权平均计算得到所述访问热度数据。
在上述实现过程中,通过加权平均方式对应用的访问次数、平均访问时长、独立访客和/或点击量进行计算以得到所述访问热度数据,综合多个指标得到的所述访问热度数据能够靠近各个应用的访问状况,以提高所述访问热度数据的准确性。
可选地,所述预处理模块用于:
将所述每个应用的所述指定职能类别粒度下的各个对象的访问热度数据进行排序得到排序值;
基于所述排序值对所述每个应用进行划分等级得到所述每个应用对应指定职能类别粒度下的不同对象的频率等级。
在上述实现过程中,将所述访问热度数据进行排序,将所述排序值进行等级划分得到所述频率等级以实现对所述访问热度数据的离散化处理,以降低所述访问热度数据的时间复杂度。
可选地,所述访问边界判定装置还包括判定模块,所述判定模块用于:
基于所述访问边界判定规则对属于指定职能类别的所述指定职能类别粒度中指定对象的应用访问合法性进行预判得到合法性判定结果。
在上述实现过程中,基于所述访问边界判定规则对属于指定职能类别的职能类别粒度中指定对象的应用访问合法性进行预判,避免非法访问以及越权访问,提高应用数据安全性。
可选地,所述生成模块具体用于:
当没有生成边界判定规则、生成有多条边界判定规则和/或所述合法性判定结果与实际情况不相符时,用迭代预设时间替换所述预定时间,并基于所述迭代预设时间生成迭代访问判定规则替换所述访问边界判定规则,所述迭代预设时间为所述预定时间增加第一时长后所得。
在上述实现过程中,当没有生成边界判定规则、生成有多条边界判定规则和/或所述合法性判定结果与实际情况不相符时,以增加预设时间的长度后的时间作为迭代预设时间,以在迭代预设时间内获得更丰富的统计样本以生成迭代访问判定规则,提高访问边界判定规则的准确性。
本实施例还提供了一种电子设备,所述电子设备包括存储器和处理器,所述存储器中存储有程序指令,所述处理器运行所述程序指令时,执行上述任意方法中的步骤。
本实施例还提供了一种存储介质,所述存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器运行时,执行上述任意方法中的步骤。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
图1为本申请实施例提供的一种访问边界判定方法的流程图。
图2为本申请的实施例提供的一种获得访问条件属性步骤的流程图。
图3为本申请实施例提供的一种能够得到合法性判定结果的访问边界判定方法的流程图。
图4为本申请实施例提供的一种访问边界判定装置示意图。
图例:80-访问边界判定装置;801-维度获取模块;802-数据获取模块;803-预处理模块;804-构建模块;805-约简模块;806-生成模块;807-判定模块。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
在本申请的描述中,需要说明的是,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
本申请的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请实施例而了解。本申请的目的和其他优点可通过在所写的说明书、以及附图中所特别指出的结构来实现和获得。
在进行应用数据访问的过程中,为了提高应用权限确认的效率,本申请的实施例提供了一种访问边界判定方法,请参看图1,图1为本申请实施例提供的一种访问边界判定方法的流程图,所述访问边界判定方法包括以下分步骤:
步骤S1:获取职能类别,并将职能类别作为访问决策维度。
可以理解的是,在各个企业单位或者事业单位的机构内部,存在不同的职能类别,可以根据各个机构内部的具体架构确定不同的职能类别。例如在家具城中,职能类别可以包括仓库管理、导购、收银、售后等。
步骤S2:确定在预定时间内不同职能类别下指定职能类别粒度各个对象的每个应用的访问热度数据。
可以理解的是,职能类别粒度是根据某一职能类别下的成员具有相同或相近的应用访问权限或者工作内容来划分的,职能类别粒度是在职能类别下的小分类。例如在步骤S1的举例中,导购可以分为家居用品导购、家具导购等,这里的职能类别粒度为部门。
具体地,可以根据企业单位或事业单位的机构内部的具体情况确定各个职能类别下的职能类别粒度,职能类别粒度可以是个人、岗位、科室、部门等小分类。以医院为例,职能类别可以是临床医师、麻醉师、影像师。在临床医师这个职能类别下,以科室为职能类别粒度时,该职能类别粒度的对象包括心胸科、呼吸科、消化科等;以个人为职业类别粒度时,张三、李四、王五等人就是该职能类别粒度的对象。
可以理解的是,步骤S2中选取预定时间,并获取预定时间内不同职能类别下指定职能类别粒度的不同应用的访问热度数据,是为了确保在预定时间内获取足够多的样本数据作为访问热度数据,以避免访问热度数据的数据量过小引起的访问热度数据偏差大的问题,可以根据实际情况下应用的访问情况来确定预定时间。
可选地,步骤S2包括:对指定职能类别粒度各个对象的每个应用的访问次数、平均访问时长、独立访客和/或点击量进行加权平均计算得到访问热度数据。
可以理解的是,访问热度数据是访问热度数据用于表征指定职能类别粒度的多个应用的访问效率。访问热度数据的数值越大,表明指定职能类别粒度的该对象在访问某一应用的频繁程度越高。访问热度数据的数值越小,表明指定职能类别粒度的该对象在访问某一应用的频繁程度越低。
可以理解的是,各个企业单位或事业单位的应用系统或者应用网站中包括有不同的应用,指定职能类别粒度中的各个对象对于各个应用能够进行访问,获取在预定时间内的各个应用的访问次数、平均访问时长、独立访客和/或点击量并进行加权平均得到访问热度数据,该访问热度数据用来衡量指定职能类别粒度中的各个对象对于各个应用的访问情况。
综合访问次数、平均访问时长、独立访客和/或点击量这些指标得到访问热度数据,能够更加贴近指定职能类别粒度中的各个对象对于各个应用的访问情况,提高访问热度数据的准确性。访问次数、平均访问时长、独立访客以及点击量的加权权重可以根据各个企业单位或事业单位的应用系统或者应用网站的实际情况设定。
其中,独立访客量是指在预定时间内访问各个企业单位或事业单位的应用系统或者应用网站中指定应用的指定职能类别粒度中的不同对象的数量。独立访客量越高,说明该应用的访问人数越多。
其中,点击量指的是各个企业单位或事业单位的应用系统或者应用网站中指定应用的点击量,多次打开指定应用会对打开次数进行累计,点击量越高,说明该指定应用的访问次数越高。
步骤S3:对访问热度数据进行离散化处理得到每个应用对应的频率等级,并将频率等级作为访问条件属性。
请参看图2,图2为本申请的实施例提供的一种获得访问条件属性步骤的流程图。可选地,步骤S3包括以下分步骤:
步骤S31:将每个应用的指定职能类别粒度下的各个对象的访问热度数据进行排序得到排序值。
可以理解的是,在步骤S32中对单个应用的指定职能类别粒度中各个对象的访问热度数据进行排序,将排序后的访问热度数据作为排序值。当企业单位或事业单位的应用系统或者应用网站中存在多个应用时,对每一个应用的指定职能类别粒度中各个对象的访问热度数据进行排序,以得到每个应用的指定职能类别粒度中各个对象的排序值。
步骤S32:基于排序值对每个应用进行划分等级得到每个应用对应指定职能类别粒度下的不同对象的频率等级。
可以理解的是,将访问热度数据按照数值大小进行排序,可以升序排序也可以降序排序。
作为一种实施方式,将访问热度数据按照数值大小进行升序排序,当访问热度数据为零时,将访问热度数据的等级划分为无访问等级。在剩下的访问热度数据中,将得到的排序值中数值较大的并且位于后三分之一的访问热度数据的等级划分为高频等级,将得到的排序值中数值较小的并且位于前三分之一的访问热度数据的等级划分为低频等级,将剩下的三分之一的访问数据的等级划分为中频等级。上述划分等级的方法只是等级划分的一种举例,可以根据实际需要确定等级数目和对各个等级进行命名。上述方法实际上是一种等频划分算法,等频划分算法把访问热度数据变换成均匀分布便于进行观察。
作为一种实施方式,在步骤S3中还可以采用等距离划分算法、NaiveScaler算法、基于属性重要值算法等不同的算法对访问热度数据进行离散化处理。
其中,等距离划分算法指的是将连续型变量的取值范围均匀划成N等份,每份的间距相等,即将访问热度数据进行N等分。将访问热度数据中的最小值n和最大值m构成的区间(n,m)均匀划分为进行n等份,从低到高每一等份对应一个等级。等距划分算法可以保持数据原有的分布,段落越多对数据原貌保持得越好。
其中,NavieScaler算法又可被称作“逐步增加断点算法”,首先对某个属性集合A的值按从小到大的顺序排序,对排序后的属性集合A从小到大进行扫描,依次取前后相邻的两个值分别为a0和a1,若存在a0和a1不同,并且a0对应的决策值d0与a1对应的决策值d1不同时,则可增加属性集合A的一个断点
Figure BDA0002677229240000111
在划分好所有断点后,则可将同属两个断点范围内的属性集合A的值对应同一个等级。
其中,基于属性重要值算法可利用信息熵来度量属性值区间的重要性,将属性集合A的值按从小到大的顺序排序,从第一个值开始依次将整个属性集合A分为两个区间,分别计算这两个区间的熵的平均值,取平均值最小的区间的区间端点当作划分点,在划分点内将熵值较小的区间作为断点,将熵值较大的区间作为新的集合重复上述动作,直到找出指定的断点个数为止,即可满足离散需求。
步骤S4:基于访问决策维度和访问条件属性构建粗糙集。
在步骤S4中,将步骤S1中得到的访问决策维度为决策属性,将步骤S3中得到的频率等级为访问条件属性,访问决策维度和访问条件属性构成的二维表如表1所示:
表1
Figure BDA0002677229240000121
在表1中可以看到,某企业单位或事业单位的应用系统或者应用网站中的应用包括应用A、应用B等,职能分类划分为职能1、职能2等不同的分类,根据在步骤S3中得到的频率等级将不同职能分类下指定职能分类粒度的各个应用的访问频率数据进行频率等级对应。
步骤S5:对粗糙集进行约简得到粗糙集的约简集。
可以理解的是,按照粗糙集理论,其属性约简算法如下:
第一,设定决策系统S=(U,R,V,f),其中U代表全体样本集合也就是不同职能类别下指定职能类别粒度的各个对象,R代表条件属性C(各个频率等级构成的集合)和决策属性D(各个职能类别构成的集合)的并集,V代表属性的取值范围,f为信息函数,确定U中样本的取值。以表1举例说明:
U={对象1,对象2,...},
C={无访问等级,低频等级,中频等级,高频等级},
D={职能1,职能2...},
R={C∪D}。
f为信息函数,也就是得到访问热度数据的算法函数,该算法函数为在步骤S2中表示加权平均函数,用以得到不同职能类别下指定职能类别粒度的各个对象对不同应用的访问热度数据。
第二,获取存在条件属性集C的子集P。子集P满足以下条件:子集P与集合R保持同样的分类能力,以及子集P的任意子集和子集P保持不同的分类能力,则表示P是条件属性集C的一个属性约简,通常条件属性集C存在多个属性约简。
当条件属性集C存在多个约简集时,可参照以下公式定义不同约简集的重要值pc:
pc=v×w×n
其中,v表示该约简是否包含该条件属性,包含取值1,不包含取值0。w表示该条件属性的权重,默认值为1,可以根据实际情况进行设定。n表示该约简集在决策系统S中出现的样本数,最终该约简集的重要值为条件属性集C中所有条件属性得到的重要值之和,将重要值最高的约简集作为粗糙集的约简集。
步骤S6:基于约简集生成访问边界判定规则。
作为一种实施方式,以表1进行举例说明,基于步骤S5得到粗糙集的约简集,根据访问热度数据等级划分后得到的频率等级,生成IF…THEN形式的访问边界判定规则,格式如下:
IF应用A=“低频”AND应用B=“低频”,THEN成员1属于职能1;
IF应用A=“高频”AND应用B=“中频”,THEN成员2属于职能2;
上述IF…THEN语句为访问边界判定规则,规定了不同职能类别下不同职能类别粒度的对象对于各个应用的访问权限。
可选地,步骤S6包括:当没有生成边界判定规则、生成有多条边界判定规则和/或合法性判定结果与实际情况不相符时,用迭代预设时间替换所述预定时间,并基于迭代预设时间生成迭代访问判定规则替换访问边界判定规则,迭代预设时间为预定时间增加第一时长后所得。
可以理解的是,访问边界判定规则是基于预定时间得到的不同职能类别下指定职能类别粒度的不同应用的访问边界规则,代表在预定时间内各个企业单位或者事业单位的机构的应用系统或者应用网站的内在规律,并不能覆盖全部时间、全部应用和全部成员,因此可能会出现当没有生成边界判定规则、生成有多条边界判定规则和/或合法性判定结果与实际情况不相符的情形,在这种情况下需要重新获得访问边界判定规则。
为了获得接近各个企业单位或者事业单位的机构的应用系统或者应用网站的内在规律,可以设定更长的预定时间以增加样本数据量,或者统计更多的职能类别或者指定职能类别下更多指定职能类别粒度的对象的访问热度数据以增加数据量,或者进行更粗粒度的职能分类得到更粗糙的职能类别。将在迭代预设时间内生成的迭代访问判定规则替换访问边界判定规则作为当前的访问边界判定规则。
请参看图3,图3为本申请实施例提供的一种能够得到合法性判定结果的访问边界判定方法的流程图。可选地,在步骤S6之后,所述访问边界判定方法还可以包括步骤S7:基于访问边界判定规则对属于指定职能类别的指定职能类别粒度中指定对象的应用访问合法性进行预判得到合法性判定结果。
可以理解的是,基于步骤S6中访问边界判定规则对指定职能类别的职能类别粒度中指定对象的访问应用的合法性进行预判,对属于指定职能类别的职能类别粒度中指定对象的访问应用的规律进行统计,当该规律不符合访问边界判定规则时,假定该指定对象有非法访问或者越权访问的可能,并对该对象进行进一步调查。
请参看图4,图4为本申请实施例提供的一种访问边界判定装置示意图。访问边界判定装置80包括:
维度获取模块801,用于获取职能类别粒度,并将职能类别作为访问决策维度。
数据获取模块802,用于确定在预定时间内不同职能类别下指定职能类别粒度的每个应用的访问热度数据。
预处理模块803,用于对访问热度数据进行离散化处理得到每个应用对应的频率等级,并述频率等级作为访问条件属性。
构建模块804,用于基于所述访问决策维度和访问条件属性构建粗糙集。
约简模块805,用于对粗糙集进行约简得到粗糙集的约简集。
生成模块806,用于基于约简集生成访问边界判定规则。
可选地,数据获取模块802用于:
对指定职能类别粒度的每个应用的访问次数、平均访问时长、独立访客和/或点击量进行加权平均计算得到访问热度数据。
可选地,预处理模块803用于:
将每个应用的指定职能类别粒度下的各个对象的访问热度数据进行排序得到排序值;
基于排序值对每个应用进行划分等级得到每个应用对应对应指定职能类别粒度下的不同对象的频率等级。
可选地,访问边界判定装置80还包括判定模块807,判定模块用于:
基于访问边界判定规则对属于指定职能类别的指定职能类别粒度中指定对象的应用访问合法性进行预判得到合法性判定结果。
可选地,生成模块806具体用于:
当没有生成边界判定规则、生成有多条边界判定规则和/或合法性判定结果与实际情况不相符时,用迭代预设时间替换所述预定时间,并基于迭代预设时间生成迭代访问判定规则替换访问边界判定规则,迭代预设时间为预定时间增加第一时长后所得。
本实施例还提供了一种存储介质,所述存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器运行时,执行上述任意方法中的步骤。
本实施例还提供了一种电子设备,所述电子设备包括存储器和处理器,所述存储器中存储有程序指令,所述处理器运行所述程序指令时,执行上述任意方法中的步骤。
综上所述,本申请的实施例提供了一种访问边界判定方法、装置、电子设备及存储介质,涉及信息技术领域,访问边界判定方法包括:获取职能类别,并将职能类别作为访问决策维度,确定在预定时间内不同职能类别下指定职能类别粒度各个对象的每个应用的访问热度数据,对访问热度数据进行离散化处理得到每个应用对应的频率等级,并将频率等级作为访问条件属性,基于访问决策维度和访问条件属性构建粗糙集。对粗糙集进行约简得到粗糙集的约简集,基于约简集生成访问边界判定规则。
在上述实现过程中,通过访问决策维度和访问条件属性构建粗糙集,并基于粗糙集的约简集生成访问边界判定规则以避免非法访问以及跨权限访问,该申请方案避免人为分配应用的访问权限,以提高应用权限确认的工作效率。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的框图显示了根据本申请的多个实施例的设备的可能实现的体系架构、功能和操作。在这点上,框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图中的每个方框、以及框图的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。因此本实施例还提供了一种可读取存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行区块数据存储方法中任一项所述方法中的步骤。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。

Claims (10)

1.一种访问边界判定方法,其特征在于,所述方法包括:
获取职能类别,并将所述职能类别作为访问决策维度;
确定在预定时间内不同职能类别下指定职能类别粒度各个对象的每个应用的访问热度数据;
对所述访问热度数据进行离散化处理得到所述每个应用对应的频率等级,并将所述频率等级作为访问条件属性;
基于所述访问决策维度和所述访问条件属性构建粗糙集;
对所述粗糙集进行约简得到所述粗糙集的约简集;
基于所述约简集生成访问边界判定规则。
2.根据权利要求1所述的方法,其特征在于,所述确定在预定时间内不同职能类别下指定职能类别粒度各个对象的每个应用的访问热度数据,包括:
对所述指定职能类别粒度各个对象的每个应用的访问次数、平均访问时长、独立访客和/或点击量进行加权平均计算得到所述访问热度数据。
3.根据权利要求1所述的方法,其特征在于,所述对所述访问热度数据进行离散化处理得到所述每个应用对应的频率等级,并将所述频率等级作为访问条件属性,包括:
将每个应用的所述指定职能类别粒度下的各个对象的访问热度数据进行排序得到排序值;
基于所述排序值对所述每个应用进行划分等级得到所述每个应用对应指定职能类别粒度下的不同对象的频率等级。
4.根据权利要求1所述的方法,其特征在于,在所述基于所述约简集生成访问边界判定规则之后,所述方法还包括:
基于所述访问边界判定规则对属于指定职能类别的所述指定职能类别粒度中指定对象的应用访问合法性进行预判得到合法性判定结果。
5.根据权利要求4所述的方法,其特征在于,所述基于所述约简集生成访问边界判定规则,包括:
当没有生成边界判定规则、生成有多条边界判定规则和/或所述合法性判定结果与实际情况不相符时,用迭代预设时间替换所述预定时间,并基于所述迭代预设时间生成迭代访问判定规则替换所述访问边界判定规则,所述迭代预设时间为所述预定时间增加第一时长后所得。
6.一种访问边界判定装置,其特征在于,所述装置包括:
维度获取模块,用于获取职能类别,并将所述职能类别作为访问决策维度;
数据获取模块,用于确定在预定时间内不同职能类别下指定职能类别粒度各个对象的每个应用的访问热度数据;
预处理模块,用于对所述访问热度数据进行离散化处理得到所述每个应用对应的频率等级,并将所述频率等级作为访问条件属性;
构建模块,用于基于所述访问决策维度和所述访问条件属性构建粗糙集;
约简模块,用于对所述粗糙集进行约简得到所述粗糙集的约简集;
生成模块,用于基于所述约简集生成访问边界判定规则。
7.根据权利要求6所述的装置,其特征在于,所述数据获取模块用于:
对所述指定职能类别粒度的每个应用的访问次数、不同应用的平均访问时长、独立访客和/或点击量进行加权平均计算得到所述访问热度数据。
8.根据权利要求6所述的装置,其特征在于,所述预处理模块用于:
将所述每个应用的所述指定职能类别粒度下的各个对象访问热度数据进行排序得到排序值;
基于所述排序值对所述每个应用进行划分等级得到每个应用对应指定职能类别粒度下的不同对象的频率等级。
9.一种电子设备,其特征在于,所述电子设备包括存储器和处理器,所述存储器中存储有程序指令,所述处理器运行所述程序指令时,执行权利要求1-5中任一项方法中的步骤。
10.一种存储介质,其特征在于,所述存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器运行时,执行权利要求1-5中任一项方法中的步骤。
CN202010957795.0A 2020-09-11 2020-09-11 访问边界判定方法、装置、电子设备及存储介质 Pending CN112131561A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010957795.0A CN112131561A (zh) 2020-09-11 2020-09-11 访问边界判定方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010957795.0A CN112131561A (zh) 2020-09-11 2020-09-11 访问边界判定方法、装置、电子设备及存储介质

Publications (1)

Publication Number Publication Date
CN112131561A true CN112131561A (zh) 2020-12-25

Family

ID=73845582

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010957795.0A Pending CN112131561A (zh) 2020-09-11 2020-09-11 访问边界判定方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN112131561A (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110142318A1 (en) * 2009-12-10 2011-06-16 Siemens Corporation Stent viewing using a learning based classifier in medical imaging
US20150127406A1 (en) * 2013-11-05 2015-05-07 Bank Of America Corporation Roles based access
CN105139021A (zh) * 2015-07-08 2015-12-09 Tcl集团股份有限公司 一种基于粗糙集理论实现电视用户快速分类的方法及系统
CN108256827A (zh) * 2018-01-10 2018-07-06 广东轩辕网络科技股份有限公司 目标职位分析方法及系统
US20190034602A1 (en) * 2017-07-30 2019-01-31 Bank Of America Corporation Dynamic digital consent
CN110110219A (zh) * 2018-02-02 2019-08-09 北大方正集团有限公司 根据网络行为确定用户偏好的方法及装置
CN111597343A (zh) * 2020-07-24 2020-08-28 北京淇瑀信息科技有限公司 一种基于app的智能化用户职业判断方法、装置和电子设备

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110142318A1 (en) * 2009-12-10 2011-06-16 Siemens Corporation Stent viewing using a learning based classifier in medical imaging
US20150127406A1 (en) * 2013-11-05 2015-05-07 Bank Of America Corporation Roles based access
CN105139021A (zh) * 2015-07-08 2015-12-09 Tcl集团股份有限公司 一种基于粗糙集理论实现电视用户快速分类的方法及系统
US20190034602A1 (en) * 2017-07-30 2019-01-31 Bank Of America Corporation Dynamic digital consent
CN108256827A (zh) * 2018-01-10 2018-07-06 广东轩辕网络科技股份有限公司 目标职位分析方法及系统
CN110110219A (zh) * 2018-02-02 2019-08-09 北大方正集团有限公司 根据网络行为确定用户偏好的方法及装置
CN111597343A (zh) * 2020-07-24 2020-08-28 北京淇瑀信息科技有限公司 一种基于app的智能化用户职业判断方法、装置和电子设备

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
刘婷婷等: "支持授权的基于角色的访问控制模型及实现", 《计算机辅助设计与图形学学报》, vol. 16, no. 4, 20 April 2004 (2004-04-20), pages 414 - 419 *

Similar Documents

Publication Publication Date Title
US11516259B2 (en) System and method for role validation in identity management artificial intelligence systems using analysis of network identity graphs
US11757938B2 (en) Method, apparatus, and computer-readable medium for data protection simulation and optimization in a computer network
US20230017722A1 (en) System and method for role mining in identity management artificial intelligence systems using cluster based analysis of network identity graphs
Stvilia et al. A framework for information quality assessment
KR101939554B1 (ko) 일시적 거래 한도 결정
US10019442B2 (en) Method and system for peer detection
CN114303147A (zh) 用于查询敏感数据集的方法或系统
US20080271157A1 (en) Evaluating removal of access permissions
EP4280545A2 (en) Differentially private database permissions system
EP3736723A1 (en) Differentially private budget tracking using renyi divergence
CN109726758B (zh) 一种基于差分隐私的数据融合发布算法
US11734351B2 (en) Predicted data use obligation match using data differentiators
CN109829721B (zh) 基于异质网络表征学习的线上交易多主体行为建模方法
Zhang et al. Reputationpro: The efficient approaches to contextual transaction trust computation in e-commerce environments
CN105447117B (zh) 一种用户聚类的方法和装置
Liu et al. Detecting industry clusters from the bottom up based on co-location patterns mining: A case study in Dongguan, China
Dinh et al. A survey of privacy preserving utility mining
Xie et al. An improved outlier detection algorithm to medical insurance
Leung Big data mining applications and services
Ekin et al. Overpayment models for medical audits: multiple scenarios
Zhang et al. Differential privacy medical data publishing method based on attribute correlation
Chen et al. Dynamic and semantic-aware access-control model for privacy preservation in multiple data center environments
CN112131561A (zh) 访问边界判定方法、装置、电子设备及存储介质
Sachan et al. An efficient access control method for multimedia social networks
Liu et al. Transactional data anonymization for privacy and information preservation via disassociation and local suppression

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination