CN112804080A - 一种访问控制初始化智能推荐方法 - Google Patents
一种访问控制初始化智能推荐方法 Download PDFInfo
- Publication number
- CN112804080A CN112804080A CN202011549292.6A CN202011549292A CN112804080A CN 112804080 A CN112804080 A CN 112804080A CN 202011549292 A CN202011549292 A CN 202011549292A CN 112804080 A CN112804080 A CN 112804080A
- Authority
- CN
- China
- Prior art keywords
- features
- feature
- access control
- user
- order
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/953—Querying, e.g. by the use of web search engines
- G06F16/9535—Search customisation based on user profiles and personalisation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Databases & Information Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Data Mining & Analysis (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Artificial Intelligence (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Mathematical Physics (AREA)
- Medical Informatics (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Evolutionary Computation (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种访问控制初始化智能推荐方法。本方法包括:1)将访问控制系统中的属性特征按照特征类型划分为连续型特征和离散型特征;2)对系统中同一条交互记录中的属性特征进行处理,生成对应交互记录的最终特征向量;其中针对每一个连续型特征,将其归一化后作为最终特征向量中的一维;针对每一个离散型特征,将其编码索引标识添加到最终特征向量中;3)利用各最终特征向量训练模型;4)当用户U登录该访问控制系统时,获取用户U的初始属性;5)将该初始属性和该访问控制系统的每一资源属性组合成一序列,生成该序列对应的最终特征向量并将其输入训练后的模型进行预测,得到n个候选资源并对其进行筛选,推荐给用户U。
Description
技术领域
本发明属于网络空间安全与访问控制领域,尤其涉及一种实时性高的访问控制初始化智能化推荐方法。
背景技术
随着互联网技术和大数据技术的飞速发展,计算机系统日益庞大,海量数据涌现。对于一些庞大的企业网络系统而言,保障数据安全十分重要。应用访问控制技术来限制用户访问具体资源的权限得到广泛应用。访问控制即制定一套策略及方法,根据用户的身份或者属性来限制其访问资源的权限。访问控制的目标是防止未授权用户访问请求,以及防止合法用户通过非授权的方式访问资源。
目前较为成熟的访问控制的方法主要有基于角色的访问控制(Role-basedAccess Control,RBAC)和基于属性的访问控制(Attribute-Based Access Control,ABAC)。
RBAC从控制主体的角度出发,首先将访问控制的权限分配给一些设定好的角色,再通过用户扮演不同角色的方式来获取相应的访问许可权。在RBAC访问控制策略中,角色充当了用户和受访资源间的媒介。RBAC模型的缺点是没有提供操作顺序控制机制,以订餐系统为例,用户需要下单付款后,才能去窗口取餐。RBAC需要在模型之外额外增加这种控制机制。
ABAC打破了传统的包括RBAC在内的访问控制的建立用户和权限关联的实现模式,它通过计算访问主题的一个或者一组属性是否满足相应的条件来对访问权限进行授权。ABAC模型被誉为访问控制的未来。属性通常来说分为四类:主体属性(如性别、年龄),环境属性(如登录时间、地点),操作属性(如读取)和资源属性(要访问的资源类型等),通过判断这些属性及其组合,ABAC在理论上可以实现十分灵活高效的权限控制。但是ABAC在应对系统冷启动问题上存在一定的缺陷。因为新的用户往往存在属性数据稀疏的问题,尤其是缺少历史交互行为和访问资源记录等操作属性和资源属性。因此系统很难自动地基于新用户的稀疏属性对其进行访问权限设定。
发明内容
根据上述发展现状,本发明的目的在于提出一种基于深度因子分解机的访问控制初始化智能推荐方法。本发明解决了基于属性的访问控制权限系统的冷启动问题,引入深度因子分解机对用户的属性特征进行建模。模型能够自动地从原始的属性特征中抽取各种复杂的特征,既包含了低阶交互特征,也包括了高阶隐含特征。通过特征的学习对系统的各类属性进行建模,实现了系统在获取新用户的部分属性特征后,通过模型的学习结果智能预测相应的访问权限对应的资源,并将其推荐给用户,实现智能化访问控制初始化的效果。
为了达到上述目的,本发明采用了以下方案:
一种访问控制初始化智能推荐方法,其步骤包括:
1)将访问控制系统中的属性特征按照特征类型划分为连续型特征和离散型特征;其中所述属性特征包括用户属性和资源属性;
2)对访问控制系统中的同一条交互记录中的属性特征进行处理,生成对应交互记录的最终特征向量embedding;其中针对每一个连续型特征,将其归一化到0-1之间作为最终特征向量embedding中的一维;针对每一个离散型特征,采用one-hot编码进行特征转化,然后将每个one-hot编码后的特征看作一个field,并对该field增加特征索引,用索引编号作为对应离散型特征的特征标识添加到最终特征向量embedding中;
3)利用各所述最终特征向量embedding训练模型;其中所述模型包括因子分解机FM和深度模块;因子分解机用于提取最终特征向量embedding的低阶交互特征;深度模块用于提取最终特征向量embedding的高阶隐含特征;
4)当用户U登录该访问控制系统时,获取用户U的初始属性,包括主体属性和环境属性;
5)将该初始属性和该访问控制系统的每一资源属性组合成一序列,生成该序列对应的最终特征向量embedding并将其输入训练后的模型进行预测,得到用户U访问对应资源的概率;然后选出概率最高的前n项,作为与用户U属性最匹配的n个候选资源;
6)根据该访问控制系统自身的ABAC访问控制策略对该n个候选资源进行筛选,将筛选出的资源推荐给用户U。
进一步的,因子分解机提取最终特征向量embedding的一阶特征,将一阶特征通过FM算法做特征交叉得到二阶交互特征,根据一阶特征、二阶交互特征生成所述低阶交互特征;其中根据最终特征向量embedding中的每一特征对访问结果影响大小生成一对应权重系数,将该最终特征向量embedding的各权重系数与对应特征相乘,得到该最终特征向量embedding的一阶特征;所述深度模块采用DNN神经网络结构,在DNN神经网络结构的每一隐藏层之前增加一嵌入层,用于将输入向量压缩为低维稠密向量,该DNN神经网络结构包括堆叠多层全连接层使得网络结构变深,获取所述高阶隐含特征。
进一步的,将所述一阶特征、二阶交互特征相加生成所述低阶交互特征:
其中
表示FM的最终输出,即所述低阶交互特征,wi是第i个特征的权重系数,xi表示最终特征向量embedding中的第i个field,即第i类向量的表示,n是特征向量中field的数量,vi代表第i个field的隐含向量表示。
进一步的,所述因子分解机FM和所述深度模块共享模型参数。
进一步的,所述因子分解机FM的输出结果yFM和所述深度模块的输出结果yDNN通过
进行预测,得到用户U访问对应资源的概率
进一步的,根据该访问控制系统自身的ABAC访问控制策略对该n个候选资源进行筛选时,剔除掉强制访问控制下强制等级高的资源,得到用户U的初始访问控制策略,并且将筛选后的资源推荐给用户U。
进一步的,步骤6)中,根据该访问控制系统自身的ABAC访问控制策略对该n个候选资源进行筛选,将筛选出的资源推荐给用户U并设定用户U的初始访问权限。
本发明基于深度因子分解机的访问控制初始化智能推荐方法,首先在基于属性的访问控制模型基础上加入深度因子分解机智能推荐模块,实现对各类属性的复杂特征建模以应对属性数据稀疏的新用户的冷启动问题。本发明分别从低阶交互特征组合和高阶隐含特征组合两个角度对属性特征进行处理,结合了广度模型和深度模型的优点,可以通过学习进而对历史访问控制数据的特征进行提取。本发明支持对于部分属性及属性类别缺失的用户进行访问权限的初始化,将用户的原始特征输入训练好的特征模型,自动匹配最优的访问资源候选项,并结合系统本身的ABAC访问控制策略智能推荐初始访问资源,有效的替代了人工初始化权限设置。
本发明的主要步骤包括:
1)用户和资源本身属性较多,为了更加充分的对原始属性特征进行表示,使得其适用于模型对低阶交互特征和高阶隐含特征的挖掘,首先将用户属性和资源属性等系统中的属性特征按照特征类型划分为连续型特征和离散型特征,划分后针对不同特征的特性分别进行预处理,然后对特征进行后续步骤处理,即对访问控制系统中的同一条交互记录中的属性特征进行步骤2)的处理,生成一对应的最终特征向量embedding;以实现挖掘特征背后复杂交互;
2)针对每一个连续型特征,归一化到0-1之间作为最终特征向量embedding的一维(以年龄这个特征为例,把年龄都归一化到(0,1)区间,作为特征向量的一维);针对每一个离散型特征,采用one-hot编码进行特征转化,one-hot编码后原始特征由一列变成了多列,为了解决one-hot后的特征矩阵稀疏问题,采用Word2Vec的词嵌入(Word Embedding)思想,把高维稀疏的向量映射到相对低维且向量元素都不为零的空间向量中,即把每个one-hot编码后的特征看作一个field,对该field增加特征索引,用索引编号作为特征标识。把编号作为离散特征的特征标识添加到最终特征向量embedding中;
3)处理后的连续特征和离散特征转化后的低维稠密向量拼接得到最终特征向量embedding后,将其作为模型输入进行特征提取,训练模型;其中所述模型包括因子分解机FM和深度模块;为了捕获特征之间的低维交互性,采用因子分解机(factorizationmachine,FM)结构,该结构一方面对特征乘以权重系数wi作为线性的一阶特征,即单个特征对访问控制结果的影响;本发明根据最终特征向量embedding中的每一特征对访问结果影响大小生成一对应权重系数,将该最终特征向量embedding的各权重系数与对应特征相乘,得到该最终特征向量embedding的一阶特征,例如某些资源只有相应的职位人员能够查看,那么职位这一特征属性对访问控制结果影响权重很大,一阶特征就用来表征单个特征对访问结果的影响权重;针对特征的二阶组合,例如部门为财务的人员访问财产相关的资源,这两个特征影响访问控制结果,二阶特征就是用来表征二阶特征组合对访问控制结果的影响权重。这里采用因子分解机的思想进行建模,以往的方法仅当特征i和特征j都出现在同一数据记录中时,才能训练特征i和j的交互作用的参数;这里通过把特征相互作用建模为各个特征隐含向量的内积,隐含向量通过一个embedding嵌入层学习得到,计算两两隐含向量的内积作为二阶交互特征输出;最后把一阶特征和二阶交互特征相加拼接成低阶交互特征组合,作为FM部分的特征输出;
4)深度模块为了捕获高阶特征组合,该部分与FM部分共享输入向量,采用典型的DNN神经网络结构,该部分整体是一个前馈神经网络,从原理层面上来说,深度神经网络通过使用激活函数,将线性变为非线性,随着网络层数的加深,DNN可以拟合任意多项式,这其中也包含了有高阶特征组合项的多项式,即有效的提取了高阶隐含特征。针对系统中属性特征稀疏、维度高以及离散型特征划分为field分组的特点,相应调整DNN的网络输入,在前述特征向量进一步输入到第一个隐藏层之前,增加一个嵌入层将输入向量压缩为低维稠密向量,通过堆叠多层全连接层使得网络结构变深,更好的挖掘和计算高阶隐含特征,模型最终的输出即为高阶隐含特征组合;
5)FM部分和深度部分并行计算,训练数据采用的系统中历史的访问记录序列,序列内容包括访问主体的本体属性、环境属性及操作属性,以及资源的相关属性等。并为这些数据添加标签为1,作为模型训练的正例输出。同时随机采样用户及资源数据库中其他没有访问的资源作为负例,数据标签为0。将构造好的包含正例和负例的数据集进行前述步骤的特征处理后作为模型的输入。模型总体可以看作一个回归问题,预测当前输入序列得数据标签。训练过程定义了一个MSE损失函数作为模型目标函数来训练和优化。模型是一个端到端的训练过程;该模型整体上是一个逻辑回归模型,把对访问序列标签的预测视作回归问题,即把神经网络和因子分解机部分当作特征提取器,得到特征向量后再训练线性回归模型,这里损失函数定义为均方方差。
6)当新用户U登录系统;获取用户U的初始属性,包括部分主体属性(性别、职业)、环境属性;
7)将新用户U的初始属性和系统的每一资源属性组合成一新的序列,并按照步骤1,2分别对连续型特征和离散型特征进行处理,并将其组合形成特征向量embedding;
8)将步骤7得到的特征向量输入步骤5训练好的模型进行预测,对于每一个用户资源的序列,预测的目标是当前用户访问该资源的概率,然后对每个序列的预测标签进行排序,选出概率最高的前n项,作为和新用户U属性最匹配的前n个候选资源;
9)结合系统自身的ABAC访问控制策略对该n个候选资源进行筛选,系统访问控制中包含策略管理点(Policy Administration Point,PAP):存储系统预先创建的策略,根据这些策略对候选资源进行筛选剔除,例如资源数据库访问安全权限高的资源不应该推荐给新用户,最终形成用户初始访问权限设定并把资源推荐给用户。
本发明把属性特征分成连续型属性特征和离散型属性特征两个部分;连续型特征是一些例如用户年龄、存款等特征类别数不可数的特征,对于这些特征直接通过归一化的方式映射到0-1并且作为特征向量的一维输入;离散型向量例如用户身份数据、网络账号、工作单位等,首先采用one-hot进行编码,经过one-hot后原先一列的特征数据变成多列,导致特征矩阵十分稀疏。为了解决这一问题,本发明采用Word2Vec的词嵌入(WordEmbedding)的思想,即为离散型特征的每个特征值增加索引表示,这样把每个one-hot编码前的离散型特征每个特征值看作一个field域,创建索引后可以把大的稀疏矩阵转换成两个小的矩阵和一个字典进行存储。对于连续型特征只赋予一个特征索引。
进一步的,本发明针对的基于属性的访问控制系统中的属性包含如下:
·本体属性:基本数据(姓名、年龄),身份数据,生物特征数据,涉密等级,网络账号,教育数据,工作机构,工作职务,申请类型,财产数据,通信数据,联系人数据,健康数据,其中年龄、财产为连续型特征,其余均为离散型特征;
·环境属性:位置轨迹数据(定位、行踪),系统CPU负载,系统时间,进程数,内存负载,磁盘吞吐量,其中系统CPU负载、进程数、内存负载、磁盘吞吐量为连续型特征,其余均为离散型特征;
●操作属性:上网数据(点击记录、浏览记录),是否修改,是否下载资源,操作属性均为离散型特征;
·资源属性:资源强制等级(敏感程度、可否公开),业务方向,数据质量(可信度、可用性、完整性、规范性),任务标签,数据生成方式(手工录入,爬虫采集,数据库导入,加工后生成),来源机构(电信运营商,出入境管理处,电商平台,银行系统,……),管理机构(部,中心,XX地方厅局1,XX地方厅局2,……),时间跨度,更新周期(每分钟,每小时,每天,每月,……)、更新方式(增量更新,全量更新)、更新机构、更新人员,资源属性均为离散型特征。
进一步的,所述的离散型特征和连续型特征经过编码后拼接得到特征向量embedding,该特征向量经过一个嵌入层将输入向量压缩为低维稠密向量,作为模型的唯一输入。
进一步的,所述特征向量输入到因子分解机(factorization machine,FM)层;在FM层,模型主要的工作是通过计算特征之间的交叉来得到低阶交互特征,主要以二阶特征为主。
进一步的,所述FM层首先使用权重w对原始特征做一阶运算,作为一阶特征;一阶特征反映了单个属性特征对权限的影响,例如当用户要访问的资源属性为敏感度高时,该属性对访问权限的影响较大。
进一步的,所述一阶特征通过FM算法(参考Rendle,Steffen."Factorizationmachines."2010IEEE International Conference on Data Mining.IEEE,2010)做特征交叉,计算二阶特征,例如工作单位为金融行业的用户可能会访问资源属性的业务方向为金融相关的资源,即二阶特征影响用户的访问结果。这里的特征交叉不是简单的拿原始特征相互交叉计算,而是通过交叉特征因子分解后的结果,目的是挖掘特征的深层信息。
进一步的,所述一阶特征和二阶特征相加作为FM层的输出,FM层输出表示如下:
进一步的,所述公式中
表示FM层最终输出,wi是第i个特征的一阶特征的权重,由模型学习得到,xi表示特征向量中的第i个field,即某一类向量的表示,n是特征向量中field的数量,vi代表第i个field的隐含向量表示,即原始特征经过嵌入层转化为的低维稠密特征向量,FM层的输出是融合了一阶特征和二阶交互特征的混合表示。
进一步的,所述输入特征向量也作为DNN部分的输入,DNN部分与FM部分共享权重和嵌入后的低维稠密特征向量,FM中的隐含特征向量V现在用作网络权重,这些权重被学习并用于将输入向量压缩为嵌入向量。
进一步的,所述DNN部分整体是一个前馈神经网络,通过堆叠多层全连接神经网络结构,利用深度学习数据在网络间的传播来获取高阶特征。
进一步的,所述FM部分和DNN部分的输出结果通过一个sigmoid求和函数,综合考虑FM低阶特征和DNN高阶特征的结果做出判断,预测当前新用户U和每一条系统资源的匹配概率
进一步的,所述FM和DNN因为共享参数,可以构建成端到端的模型,通过训练优化得到最终的模型。
进一步的,所述训练好的深度神经网络因子分解机模型应对新用户的初始访问权限设置时,先将用户包含的部分稀疏属性按照离散型特征和连续型特征进行特征预处理,得到编码后的低维稠密特征向量,并和系统资源的属性特征向量一同输入到深度因子分解机模型中,得到用户和资源的访问匹配分数。
进一步的,所述访问匹配分数进行排序,根据需求选取前n个资源项作为该用户的候选访问资源集。
进一步的,所述候选访问资源集根据系统的访问授权策略进行进一步筛选,例如剔除掉强制访问控制下强制等级高的资源,得到用户的初始访问控制策略,并且将筛选后的资源向用户进行推荐。
与现有技术相比,本发明的积极效果为:
与现有技术相比,本发明能够自发的、智能的为基于属性的访问控制系统设计访问控制初始化,在保证系统访问控制安全的同时解决了传统访问控制冷启动的问题。为了解决基于属性访问控制系统中由于新用户属性特征稀疏而导致的访问权限设置困难的问题,运用深度因子分解机模型分别从深度和广度两个方面对属性特征进行建模;即通过因子分解机模型提取低阶交互特征,也通过深度神经网络学习到高阶隐含特征。训练好的深度因子分解机访问控制初始化模型可以智能的为新用户匹配最相关的访问资源,并结合传统的访问控制策略向用户进行推荐,可以提高大规模数据下新用户的访问效率。
附图说明
图1为系统属性体系图;
图2为深度因子分解机访问控制框架图;
图3为本发明的流程图。
具体实施方式
为了使本发明的目的、方案及优点更加清楚明白,以在真实数据集上进行的实验为例,对本发明作进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
以内部云的资源控制项目为例,描述深度因子分解机访问控制初始化的具体实施步骤。
整个内部云访问控制是基于属性的资源管理架构。模型架构分为4个模块:策略管理点、策略信息点,策略决策点和策略执行点。
本实施例中,本发明的任务是结合用户属性、操作属性和资源属性,通过深度因子分解机模型对属性提取低阶特征和高阶特征并融合,从广度和深度两个角度综合考虑属性对访问控制的影响,并且在冷启动场景下可以根据新用户的稀疏属性特征进行资源的智能匹配,然后结合策略库中的访问策略为用户设定初始访问控制权限,同时可以为用户提供初始访问资源的推荐。
首先描述用户属性、任务属性和数据属性等属性特征的处理。按照标签类别划分属性有本体属性,包括但不限于用户基本数据(姓名、年龄),身份数据,生物特征数据,网络账号,教育数据,工作数据等;资源属性,包括但不限于资源强制等级(敏感程度、可否公开),业务方向,数据质量(可信度、可用性、完整性、规范性),任务标签,数据生成方式,来源机构,管理机构,时间跨度,数据加工标签(更新周期、更新机构、更新人员)等;以及一些环境属性和操作属性。属性从数据类型上可以区分成连续型属性特征和离散型属性特征。本发明针对上述两种类型分别进行预处理。对于连续型特征直接采用正则化的方法映射到0-1之间,作为特征向量的一维,对于离散型特征先用one-hot进行编码,然后采用类似Word2Vec的方法得到向量表示。
本实例为系统历史日志中每条访问控制记录生成一个特征向量,特征向量是该条记录的访问主体的属性、操作属性、资源属性等所有属性经过上述特征向量化处理后的融合。该特征向量作为本发明的模型的输入。
本发明中的深度因子分解机模型分为因子分解FM部分和深度网络部分,分别用来获取低阶交互特征和高阶隐含特征。因子分解部分主要提取属性的一阶特征和二阶交互特征。输入的特征向量乘以权重作为一阶特征输出,反映单个属性对访问控制结果的影响,举例来说,资源属性为敏感度高的资源访问控制权限应该要求更高,一阶特征反映出单一属性对访问控制的影响。二阶的交互特征反映出属性组合对访问控制的影响,这部分并不是简单的计算两个属性特征的内积,而是通过因子分解的方式计算属性特征的隐向量的交互。例如工作部门为财务的访问主体具有访问财务报表之类的资源的权限,这一对组合特征对访问控制策略影响较大。
本实施例中为了提高特征的组合能力,挖掘特征之间更深层次的关联性,需要通过深度的神经网络模型经过多层非线性变换,使得模型可以学习到数据更加深层的抽象表示,即充分利用高阶特征。本实施例中深度模型与因子分解模型是并行的,两者均以初始特征向量作为输入,共享参数。
本实施例中模型的输出结果是综合考虑了低阶特征和高阶特征的结果。通过训练学习使得模型能够学习和抽取两方面的特征知识。这样即使新用户的属性稀疏,也能充分挖掘出属性的特征。针对冷启动的场景,当一个新的访问主体登录系统时,可以利用他的本体属性和操作属性对他进行访问控制初始化。首先把它的属性按照前述的属性特征处理方法进行向量化处理,并且与系统资源属性进行组合,然后输入到训练好的本发明的模型之中进行预测,模型会按照要求返回与用户属性匹配分数最高的前n项资源。
本实施例中的模型预测出的候选资源后,结合系统本身的基于属性的访问控制策略库,通过一些强制访问控制策略等对候选资源进行筛选,例如剔除敏感度较高的资源,这样得出处理后的候选资源集。根据这些资源的属性,并结合资源访问的历史策略的,对用户的初始访问控制权限进行初始化,并且将候选资源作为初始项推荐给用户。
本实施例在应用后有效的解决了访问控制系统冷启动的问题,避免了人工设置初始化权限的问题,同时还能智能的向用户推荐资源,提高了系统的访问效率,显示了本发明在访问控制系统智能初始化推荐中的可用性。
以上所述为本发明的一个实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (7)
1.一种访问控制初始化智能推荐方法,其步骤包括:
1)将访问控制系统中的属性特征按照特征类型划分为连续型特征和离散型特征;其中所述属性特征包括用户属性和资源属性;
2)对访问控制系统中的同一条交互记录中的属性特征进行处理,生成对应交互记录的最终特征向量embedding;其中针对每一个连续型特征,将其归一化到0-1之间作为最终特征向量embedding中的一维;针对每一个离散型特征,采用one-hot编码进行特征转化,然后将每个one-hot编码后的特征看作一个field,并对该field增加特征索引,用索引编号作为对应离散型特征的特征标识添加到最终特征向量embedding中;
3)利用各所述最终特征向量embedding训练模型;其中所述模型包括因子分解机FM和深度模块;因子分解机用于提取最终特征向量embedding的低阶交互特征;深度模块用于提取最终特征向量embedding的高阶隐含特征;
4)当用户U登录该访问控制系统时,获取用户U的初始属性,包括主体属性和环境属性;
5)将该初始属性和该访问控制系统的每一资源属性组合成一序列,生成该序列对应的最终特征向量embedding并将其输入训练后的模型进行预测,得到用户U访问对应资源的概率;然后选出概率最高的前n项,作为与用户U属性最匹配的n个候选资源;
6)根据该访问控制系统自身的ABAC访问控制策略对该n个候选资源进行筛选,将筛选出的资源推荐给用户U。
2.如权利要求1所述的方法,其特征在于,因子分解机提取最终特征向量embedding的一阶特征,将一阶特征通过FM算法做特征交叉得到二阶交互特征,根据一阶特征、二阶交互特征生成所述低阶交互特征;其中根据最终特征向量embedding中的每一特征对访问结果影响大小生成一对应权重系数,将该最终特征向量embedding的各权重系数与对应特征相乘,得到该最终特征向量embedding的一阶特征;所述深度模块采用DNN神经网络结构,在DNN神经网络结构的每一隐藏层之前增加一嵌入层,用于将输入向量压缩为低维稠密向量,该DNN神经网络结构包括堆叠多层全连接层使得网络结构变深,获取所述高阶隐含特征。
3.如权利要求2所述的方法,其特征在于,将所述一阶特征、二阶交互特征相加生成所述低阶交互特征:
其中
表示FM的最终输出,即所述低阶交互特征,wi是第i个特征的权重系数,xi表示最终特征向量embedding中的第i个field,即第i类向量的表示,n是特征向量中field的数量,vi代表第i个field的隐含向量表示。
4.如权利要求1所述的方法,其特征在于,所述因子分解机FM和所述深度模块共享模型参数。
5.如权利要求4所述的方法,其特征在于,所述因子分解机FM的输出结果yFM和所述深度模块的输出结果yDNN通过
进行预测,得到用户U访问对应资源的概率
6.如权利要求1所述的方法,其特征在于,根据该访问控制系统自身的ABAC访问控制策略对该n个候选资源进行筛选时,剔除掉强制访问控制下强制等级高的资源,得到用户U的初始访问控制策略,并且将筛选后的资源推荐给用户U。
7.如权利要求1所述的方法,其特征在于,步骤6)中,根据该访问控制系统自身的ABAC访问控制策略对该n个候选资源进行筛选,将筛选出的资源推荐给用户U并设定用户U的初始访问权限。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011549292.6A CN112804080B (zh) | 2020-12-24 | 2020-12-24 | 一种访问控制初始化智能推荐方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011549292.6A CN112804080B (zh) | 2020-12-24 | 2020-12-24 | 一种访问控制初始化智能推荐方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112804080A true CN112804080A (zh) | 2021-05-14 |
| CN112804080B CN112804080B (zh) | 2022-09-30 |
Family
ID=75805520
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011549292.6A Active CN112804080B (zh) | 2020-12-24 | 2020-12-24 | 一种访问控制初始化智能推荐方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112804080B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117454015A (zh) * | 2023-12-19 | 2024-01-26 | 深圳须弥云图空间科技有限公司 | 一种信息推荐方法及装置 |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105589971A (zh) * | 2016-01-08 | 2016-05-18 | 车智互联(北京)科技有限公司 | 训练推荐模型的方法、装置及推荐系统 |
| CN108520017A (zh) * | 2018-03-21 | 2018-09-11 | 广东欧珀移动通信有限公司 | 应用程序推荐方法、装置、服务器以及存储介质 |
| CN109885722A (zh) * | 2019-01-07 | 2019-06-14 | 平安科技(深圳)有限公司 | 基于自然语言处理的音乐推荐方法、装置、及计算机设备 |
| CN109902222A (zh) * | 2018-11-30 | 2019-06-18 | 华为技术有限公司 | 一种推荐方法及装置 |
| CN109982155A (zh) * | 2019-03-25 | 2019-07-05 | 北京奇艺世纪科技有限公司 | 一种播单推荐方法及系统 |
| CN110162700A (zh) * | 2019-04-23 | 2019-08-23 | 腾讯科技(深圳)有限公司 | 信息推荐及模型的训练方法、装置、设备以及存储介质 |
| CN110309195A (zh) * | 2019-05-10 | 2019-10-08 | 电子科技大学 | 一种基于fwdl模型的内容推荐方法 |
| CN110555753A (zh) * | 2019-08-14 | 2019-12-10 | 中国平安人寿保险股份有限公司 | 基于推荐的排序控制方法、装置、计算机设备及存储介质 |
| CN111125530A (zh) * | 2019-12-24 | 2020-05-08 | 中山大学 | 一种基于多类型特征深度学习的信息流推荐方法 |
| CN111368150A (zh) * | 2018-12-25 | 2020-07-03 | 北京奇虎科技有限公司 | 预测模型的训练方法、装置及电子设备 |
| CN112069396A (zh) * | 2020-08-20 | 2020-12-11 | 苏州浪潮智能科技有限公司 | 一种推荐系统推荐方法、设备、推荐系统及存储介质 |
| CN112084416A (zh) * | 2020-09-21 | 2020-12-15 | 哈尔滨理工大学 | 基于CNN和LSTM的Web服务推荐方法 |
-
2020
- 2020-12-24 CN CN202011549292.6A patent/CN112804080B/zh active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105589971A (zh) * | 2016-01-08 | 2016-05-18 | 车智互联(北京)科技有限公司 | 训练推荐模型的方法、装置及推荐系统 |
| CN108520017A (zh) * | 2018-03-21 | 2018-09-11 | 广东欧珀移动通信有限公司 | 应用程序推荐方法、装置、服务器以及存储介质 |
| CN109902222A (zh) * | 2018-11-30 | 2019-06-18 | 华为技术有限公司 | 一种推荐方法及装置 |
| CN111368150A (zh) * | 2018-12-25 | 2020-07-03 | 北京奇虎科技有限公司 | 预测模型的训练方法、装置及电子设备 |
| CN109885722A (zh) * | 2019-01-07 | 2019-06-14 | 平安科技(深圳)有限公司 | 基于自然语言处理的音乐推荐方法、装置、及计算机设备 |
| CN109982155A (zh) * | 2019-03-25 | 2019-07-05 | 北京奇艺世纪科技有限公司 | 一种播单推荐方法及系统 |
| CN110162700A (zh) * | 2019-04-23 | 2019-08-23 | 腾讯科技(深圳)有限公司 | 信息推荐及模型的训练方法、装置、设备以及存储介质 |
| CN110309195A (zh) * | 2019-05-10 | 2019-10-08 | 电子科技大学 | 一种基于fwdl模型的内容推荐方法 |
| CN110555753A (zh) * | 2019-08-14 | 2019-12-10 | 中国平安人寿保险股份有限公司 | 基于推荐的排序控制方法、装置、计算机设备及存储介质 |
| CN111125530A (zh) * | 2019-12-24 | 2020-05-08 | 中山大学 | 一种基于多类型特征深度学习的信息流推荐方法 |
| CN112069396A (zh) * | 2020-08-20 | 2020-12-11 | 苏州浪潮智能科技有限公司 | 一种推荐系统推荐方法、设备、推荐系统及存储介质 |
| CN112084416A (zh) * | 2020-09-21 | 2020-12-15 | 哈尔滨理工大学 | 基于CNN和LSTM的Web服务推荐方法 |
Non-Patent Citations (2)
| Title |
|---|
| 李敏等: "基于UCON改进模型在云环境虚拟访问控制中的应用", 《科学技术与工程》 * |
| 殷宏磊: "基于深度学习的推荐系统研究与实现", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117454015A (zh) * | 2023-12-19 | 2024-01-26 | 深圳须弥云图空间科技有限公司 | 一种信息推荐方法及装置 |
| CN117454015B (zh) * | 2023-12-19 | 2024-04-12 | 深圳须弥云图空间科技有限公司 | 一种信息推荐方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112804080B (zh) | 2022-09-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Wu et al. | A comprehensive survey on graph neural networks | |
| Sohangir et al. | Big Data: Deep Learning for financial sentiment analysis | |
| Choi et al. | Big data-driven fuzzy cognitive map for prioritising IT service procurement in the public sector | |
| Noirhomme‐Fraiture et al. | Far beyond the classical data models: symbolic data analysis | |
| US8577823B1 (en) | Taxonomy system for enterprise data management and analysis | |
| Kim et al. | Optimizing CNN-LSTM neural networks with PSO for anomalous query access control | |
| Velásquez et al. | Adaptive web sites: A knowledge extraction from web data approach | |
| Akerkar et al. | Intelligent techniques for data science | |
| Wen et al. | Neural attention model for recommendation based on factorization machines | |
| CN112580352B (zh) | 关键词提取方法、装置和设备及计算机存储介质 | |
| Ma et al. | A hybrid methodologies for intrusion detection based deep neural network with support vector machine and clustering technique | |
| Gao et al. | A novel gapg approach to automatic property generation for formal verification: The gan perspective | |
| CN111143838A (zh) | 数据库用户异常行为检测方法 | |
| CN112804080B (zh) | 一种访问控制初始化智能推荐方法 | |
| He et al. | Self-attentional multi-field features representation and interaction learning for person–job fit | |
| Xu et al. | Collective vertex classification using recursive neural network | |
| Wang et al. | Supervised prototypical variational autoencoder for shilling attack detection in recommender systems | |
| Bi et al. | Improved network intrusion classification with attention-assisted bidirectional LSTM and optimized sparse contractive autoencoders | |
| Kavitha | Assessing teacher’s performance evaluation and prediction model using cloud computing over multi-dimensional dataset | |
| Koshiyama et al. | Algorithms in future capital markets: a survey on AI, ML and associated algorithms in capital markets | |
| Gürbüz et al. | Research article classification with text mining method | |
| Lai et al. | Deep energy factorization model for demographic prediction | |
| Punjabi et al. | Forensic Intelligence-Combining Artificial Intelligence with Digital Forensics | |
| Zhang | [Retracted] An English Teaching Resource Recommendation System Based on Network Behavior Analysis | |
| Hao et al. | A Novel Public Sentiment Analysis Method Based on an Isomerism Learning Model via Multiphase Processing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |