CN114374531A - 访问行为控制方法、装置、计算机设备和存储介质 - Google Patents
访问行为控制方法、装置、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN114374531A CN114374531A CN202111452027.0A CN202111452027A CN114374531A CN 114374531 A CN114374531 A CN 114374531A CN 202111452027 A CN202111452027 A CN 202111452027A CN 114374531 A CN114374531 A CN 114374531A
- Authority
- CN
- China
- Prior art keywords
- access request
- user
- access
- user identity
- behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 48
- 238000003860 storage Methods 0.000 title claims abstract description 16
- 230000006399 behavior Effects 0.000 claims description 163
- 230000002159 abnormal effect Effects 0.000 claims description 90
- 238000011156 evaluation Methods 0.000 claims description 41
- 238000004590 computer program Methods 0.000 claims description 16
- 230000009467 reduction Effects 0.000 claims description 7
- 238000011084 recovery Methods 0.000 claims description 4
- 238000005206 flow analysis Methods 0.000 claims description 3
- 230000005856 abnormality Effects 0.000 description 17
- 230000006870 function Effects 0.000 description 13
- 238000005516 engineering process Methods 0.000 description 11
- 239000011159 matrix material Substances 0.000 description 10
- 238000010586 diagram Methods 0.000 description 8
- 238000001514 detection method Methods 0.000 description 6
- 239000013598 vector Substances 0.000 description 6
- 230000008569 process Effects 0.000 description 5
- 206010000117 Abnormal behaviour Diseases 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 4
- 239000003795 chemical substances by application Substances 0.000 description 4
- 238000007689 inspection Methods 0.000 description 4
- 238000012549 training Methods 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 3
- 238000005336 cracking Methods 0.000 description 3
- 238000013528 artificial neural network Methods 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 2
- 238000002347 injection Methods 0.000 description 2
- 239000007924 injection Substances 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 210000002569 neuron Anatomy 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 230000004913 activation Effects 0.000 description 1
- 230000003542 behavioural effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 239000000243 solution Substances 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种访问行为控制方法、装置、计算机设备和存储介质。该方法包括:接收访问主体的访问请求;获取用户身份表和访问白名单;当访问请求中的用户身份标识符合访问请求中的用户行为所对应的用户群组,且访问请求中的用户身份标识的可信度大于等于访问请求中的用户行为所对应的可信度阈值,则允许访问主体执行访问请求中的用户行为;当访问请求中的用户身份标识不符合访问请求中的用户行为所对应的用户群组,或访问请求中的用户身份标识的可信度小于访问请求中的用户行为所对应的可信度阈值,则阻止访问主体执行访问请求中的用户行为。从而提高了整个物联网系统的安全性,并且对访问行为是否允许的决策更加简便,使得访问控制更加轻量化。
Description
技术领域
本申请涉及网络信息安全技术领域,特别是涉及一种访问行为控制方法、装置、计算机设备和存储介质。
背景技术
随着物联网技术的发展,针对物联网设备的恶意软件越来越多,物联网系统遭受恶意软件的攻击的频率也越来越高,这对于用户的信息安全造成了极大威胁。因此,如何对访问行为进行控制,阻止恶意访问的攻击,是目前需要解决的问题。
传统技术中,在外部访问主体进行访问时,输入静态口令,则物联网系统会为访问主体分配对应的权限,访问主体获得权限后,即可对物联网系统中的信息进行访问。
然而,传统技术中,物联网系统为访问主体分配权限后,对于访问主体的访问行为不会持续进行监控,若访问主体在获取权限后进行恶意行为,则会导致物联网系统的信息安全受到威胁。
发明内容
基于此,有必要针对上述技术问题,提供一种能够时刻保持对访问主体的访问行为进行监控的访问行为控制方法、装置、计算机设备和存储介质。
一种访问行为控制方法,所述方法包括:接收访问主体的访问请求,所述访问请求包括用户身份标识和用户行为;获取用户身份表和访问白名单,所述用户身份表包括用户身份标识所对应的用户群组和可信度,所述访问白名单包括用户行为所对应的用户群组和可信度阈值;当所述访问请求中的用户身份标识所对应的用户群组符合所述访问请求中的用户行为所对应的用户群组,且所述访问请求中的用户身份标识所对应的可信度大于等于所述访问请求中的用户行为所对应的可信度阈值,则允许所述访问主体执行所述访问请求中的用户行为;当所述访问请求中的用户身份标识所对应的用户群组不符合所述访问请求中的用户行为所对应的用户群组,或所述访问请求中的用户身份标识所对应的可信度小于所述访问请求中的用户行为所对应的可信度阈值,则阻止所述访问主体执行所述访问请求中的用户行为。
在其中一个实施例中,所述接收访问主体的访问请求包括:获取所述访问请求的访问令牌,根据所述访问令牌,确定所述访问请求的用户身份标识;获取所述访问请求的流量,对所述流量进行流量解析,确定所述访问请求的用户行为。
在其中一个实施例中,在所述获取用户身份表之后,所述方法还包括:确定所述访问请求中的用户身份标识是否被记录在所述用户身份表中;若所述访问请求中的用户身份标识被记录在所述用户身份表中,则获取所述访问请求中的用户身份标识对应的可信度;若所述访问请求中的用户身份标识未被记录在所述用户身份表中,则阻止所述访问主体执行所述访问请求中的用户行为。
在其中一个实施例中,所述当所述访问请求中的用户身份标识所对应的用户群组符合所述访问请求中的用户行为所对应的用户群组,且所述访问请求中的用户身份标识所对应的可信度大于等于所述访问请求中的用户行为所对应的可信度阈值,则允许所述访问主体执行所述访问请求中的用户行为包括:获取所述访问请求的流量,对所述访问请求的流量进行流量解析,提取所述访问请求的流量对应的流量特征,将所述流量特征与预设的流量特征库进行对比,确定所述流量特征是否正常;若所述流量特征异常,则确定所述流量特征的异常程度,并根据所述流量特征的异常程度,确定所述访问请求中的用户身份标识的可信度的减少值并减少所述访问请求中的用户身份标识的可信度;若所述流量特征正常,且所述访问请求中的用户身份标识所对应的用户群组符合所述访问请求中的用户行为所对应的用户群组,且所述访问请求中的用户身份标识所对应的可信度大于等于所述访问请求中的用户行为所对应的可信度阈值,则允许所述访问主体执行所述访问请求中的用户行为。
在其中一个实施例中,所述若所述流量特征异常,则确定所述流量特征的异常程度,并根据所述流量特征的异常程度,确定所述访问请求信息中的用户身份标识的可信度的减少值并减少所述访问请求中的用户身份标识的可信度,包括:获取所述流量特征的异常程度因素,所述异常程度因素包括连接持续时间、报文数量、平均报文长度、目标端口号、口令认证请求包数量;确定各个所述异常程度因素对异常程度评价参数的隶属度、以及各个所述异常程度因素对应的权重;根据各个所述异常程度因素对所述异常程度评价参数的隶属度、以及各个所述异常程度因素对应的权重,确定所述流量特征对所述异常程度评价参数的隶属度;根据所述流量特征对所述异常程度评价参数的隶属度、以及所述异常程度评价参数对应的预设分值,确定所述流量特征的异常程度的分值;根据所述流量特征的异常程度的分值,确定所述访问请求中的用户身份标识的可信度的减少值并减少所述访问请求中的用户身份标识的可信度。
在其中一个实施例中,所述方法还包括:若所述访问请求中的用户身份标识的可信度低于可信度下限,则阻止所述访问主体执行所述访问请求中的用户行为。
在其中一个实施例中,所述方法还包括:若在预设时长内的所述访问请求的流量特征均正常,则按照如下公式,每隔固定时长增加所述访问请求中的用户身份标识的可信度:
其中,C为所述访问请求中的用户身份标识的可信度,Ci-1为所述固定时长前的所述访问请求中的用户身份标识的可信度,k为恢复速度,f为所述异常程度的分值。
一种访问行为控制装置,所述装置包括:
访问获取模块,用于接收访问主体的访问请求,所述访问请求包括用户身份标识和用户行为;
表单获取模块,用于获取用户身份表和访问白名单,所述用户身份表包括用户身份标识所对应的用户群组和可信度,所述访问白名单包括用户行为所对应的用户群组和可信度阈值;
访问允许模块,用于当所述访问请求中的用户身份标识所对应的用户群组符合所述访问请求中的用户行为所对应的用户群组,且所述访问请求中的用户身份标识所对应的可信度大于等于所述访问请求中的用户行为所对应的可信度阈值,则允许所述访问主体执行所述访问请求中的用户行为;
访问阻止模块,用于当所述访问请求中的用户身份标识所对应的用户群组不符合所述访问请求中的用户行为所对应的用户群组,或所述访问请求中的用户身份标识所对应的可信度小于所述访问请求中的用户行为所对应的可信度阈值,则阻止所述访问主体执行所述访问请求中的用户行为。
一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:接收访问主体的访问请求,所述访问请求包括用户身份标识和用户行为;获取用户身份表和访问白名单,所述用户身份表包括用户身份标识所对应的用户群组和可信度,所述访问白名单包括用户行为所对应的用户群组和可信度阈值;当所述访问请求中的用户身份标识所对应的用户群组符合所述访问请求中的用户行为所对应的用户群组,且所述访问请求中的用户身份标识所对应的可信度大于等于所述访问请求中的用户行为所对应的可信度阈值,则允许所述访问主体执行所述访问请求中的用户行为;当所述访问请求中的用户身份标识所对应的用户群组不符合所述访问请求中的用户行为所对应的用户群组,或所述访问请求中的用户身份标识所对应的可信度小于所述访问请求中的用户行为所对应的可信度阈值,则阻止所述访问主体执行所述访问请求中的用户行为。
一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:接收访问主体的访问请求,所述访问请求包括用户身份标识和用户行为;获取用户身份表和访问白名单,所述用户身份表包括用户身份标识所对应的用户群组和可信度,所述访问白名单包括用户行为所对应的用户群组和可信度阈值;当所述访问请求中的用户身份标识所对应的用户群组符合所述访问请求中的用户行为所对应的用户群组,且所述访问请求中的用户身份标识所对应的可信度大于等于所述访问请求中的用户行为所对应的可信度阈值,则允许所述访问主体执行所述访问请求中的用户行为;当所述访问请求中的用户身份标识所对应的用户群组不符合所述访问请求中的用户行为所对应的用户群组,或所述访问请求中的用户身份标识所对应的可信度小于所述访问请求中的用户行为所对应的可信度阈值,则阻止所述访问主体执行所述访问请求中的用户行为。
上述访问行为控制方法、装置、计算机设备和存储介质。通过接收包括用户身份标识和用户行为的访问主体的访问请求,并设置用户身份表和访问白名单,用户身份表包括用户身份标识所对应的用户群组和可信度,访问白名单包括用户行为所对应的用户群组和可信度阈值,并且,当访问请求中的用户身份标识所对应的用户群组符合访问请求中的用户行为所对应的用户群组,且访问请求中的用户身份标识所对应的可信度大于等于访问请求中的用户行为所对应的可信度阈值,则允许访问主体执行访问请求中的用户行为。从而可以根据用户身份表和用户身份标识,快速的对用户进行身份认证,并且在身份认证通过后,通过事先设置好的访问白名单,能够仅需查阅访问白名单即可确定该访问行为是否符合要求,从而使得对访问行为的决策更加快速和轻量化。当访问请求中的用户身份标识所对应的用户群组不符合访问请求中的用户行为所对应的用户群组,或访问请求中的用户身份标识所对应的可信度小于访问请求中的用户行为所对应的可信度阈值,则阻止访问主体执行访问请求中的用户行为。从而能够通过设置可信度的方式,将访问行为的决策进行量化,从而对访问主体的访问行为能够进行动态的监控,根据用户的访问行为来确定用户的可信度是否满足对应的要求,从而清楚的限定了访问主体所对应的访问权限。提高了整个物联网系统的安全性,并且对访问行为是否允许的决策更加简便直观,使得访问控制更加轻量化。
附图说明
为了更清楚地说明本申请实施例或传统技术中的技术方案,下面将对实施例或传统技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为一个实施例中访问行为控制方法的流程图;
图2为一个实施例中接收访问请求的方法的流程图;
图3为一个实施例中认证用户身份的方法的流程示意图;
图4为一个实施例中判断访问请求的流量是否正常的方法的流程示意图;
图5为一个实施例中流量异常值的判断结果示意图;
图6为一个实施例中确定可信度减少的分值的方法的流程图;
图7为一个实施例中访问行为控制装置的结构图;
图8为一个实施例中计算机设备的内部结构图。
具体实施方式
为了便于理解本申请,下面将参照相关附图对本申请进行更全面的描述。附图中给出了本申请的实施例。但是,本申请可以以许多不同的形式来实现,并不限于本文所描述的实施例。相反地,提供这些实施例的目的是使本申请的公开内容更加透彻全面。
除非另有定义,本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同。本文中在本申请的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本申请。
需要说明的是,当一个元件被认为是“连接”另一个元件时,它可以是直接连接到另一个元件,或者通过居中元件连接另一个元件。此外,以下实施例中的“连接”,如果被连接的对象之间具有电信号或数据的传递,则应理解为“电连接”、“通信连接”等。
在此使用时,单数形式的“一”、“一个”和“所述/该”也可以包括复数形式,除非上下文清楚指出另外的方式。还应当理解的是,术语“包括/包含”或“具有”等指定所陈述的特征、整体、步骤、操作、组件、部分或它们的组合的存在,但是不排除存在或添加一个或更多个其他特征、整体、步骤、操作、组件、部分或它们的组合的可能性。
正如背景技术所述,现有技术中的物联网系统的访问控制存在,访问主体一旦获得权限后,即可对物联网系统中的信息进行访问,从而会导致物联网安全受到威胁的问题。经发明人研究发现,出现这种问题的原因在于,物联网系统为访问主体分配权限后,对于访问主体的访问行为不会持续进行监控,若访问主体在获取权限后进行恶意行为,则会导致物联网系统的信息安全受到威胁。
基于以上原因,本发明提供了一种能够时刻保持对访问主体的访问行为进行监控的访问行为控制方法、装置、计算机设备和存储介质。
在一个实施例中,如图1所示,提供了一种访问行为控制方法,该方法包括:
步骤S100,接收访问主体的访问请求。
具体地,访问请求包括用户身份标识和用户行为。
步骤S110,获取用户身份表和访问白名单。
具体地,用户身份表包括用户身份标识所对应的用户群组和可信度,访问白名单包括用户行为所对应的用户群组和可信度阈值。
步骤S120,当访问请求中的用户身份标识所对应的用户群组符合访问请求中的用户行为所对应的用户群组,且访问请求中的用户身份标识所对应的可信度大于等于访问请求中的用户行为所对应的可信度阈值,则允许访问主体执行访问请求中的用户行为。
步骤S130,当访问请求中的用户身份标识所对应的用户群组不符合访问请求中的用户行为所对应的用户群组,或访问请求中的用户身份标识所对应的可信度小于访问请求中的用户行为所对应的可信度阈值,则阻止访问主体执行访问请求中的用户行为。
在本实施例中,通过接收包括用户身份标识和用户行为的访问主体的访问请求,并设置用户身份表和访问白名单,用户身份表包括用户身份标识所对应的用户群组和可信度,访问白名单包括用户行为所对应的用户群组和可信度阈值,并且,当访问请求中的用户身份标识所对应的用户群组符合访问请求中的用户行为所对应的用户群组,且访问请求中的用户身份标识所对应的可信度大于等于访问请求中的用户行为所对应的可信度阈值,则允许访问主体执行访问请求中的用户行为。从而可以根据用户身份表和用户身份标识,快速的对用户进行身份认证,并且在身份认证通过后,通过事先设置好的访问白名单,能够仅需查阅访问白名单即可确定该访问行为是否符合要求,从而使得对访问行为的决策更加快速和轻量化。当访问请求中的用户身份标识所对应的用户群组不符合访问请求中的用户行为所对应的用户群组,或访问请求中的用户身份标识所对应的可信度小于访问请求中的用户行为所对应的可信度阈值,则阻止访问主体执行访问请求中的用户行为。从而能够通过设置可信度的方式,将访问行为的决策进行量化,从而对访问主体的访问行为能够进行动态的监控,根据用户的访问行为来确定用户的可信度是否满足对应的要求,从而清楚的限定了访问主体所对应的访问权限。提高了整个物联网系统的安全性,并且对访问行为是否允许的决策更加简便直观,使得访问控制更加轻量化。
在一个实施例中,如图2所示,步骤S100包括:
步骤S1002,获取访问请求的访问令牌,根据访问令牌,确定访问请求的用户身份标识。
具体地,访问令牌是请求方设备访问服务方设备的凭证或依据,具体可以是有数字、字母与符号等字符组成的字符串。认证服务设备解析所接收到的令牌申请请求得到申请内容,根据申请内容确定服务方标识,并从本地查询与服务方标识对应的公共参考串。认证服务设备根据所查询到的公共参考串与相应的申请内容,触发生成与请求方设备对应的访问令牌,并将所生成的访问令牌反馈至相应请求方设备。当用户登陆时,系统创建一个访问令牌,里面包含登录进程和由本地安全策略分配给用户和用户的安全组的特权列表。以该用户身份运行的所有进程都拥有该令牌的一个拷贝。系统使用令牌控制用户可以访问哪些安全对象,并控制用户执行相关系统操作的能力。
步骤S1004,获取访问请求的流量,对流量进行流量解析,确定访问请求的用户行为。
具体地,采用DFI(Deep Flow Inspection,深度流检测)技术,解析流量数据包头的统计特征,或者采用DPI(Deep Packet Inspection,深度包检测)技术,解析流量报文载荷。从而实现对流量进行解析,确定访问请求的用户行为。
在本实施例中,通过访问请求的访问令牌,来确定该访问请求对应的用户身份标识,通过对访问请求的流量进行流量解析,从而确定该访问请求对应的用户行为。从而实现了对访问请求的信息的读取。
在一个实施例中,如图3所示,在执行步骤S110后,访问行为控制方法还包括:
步骤S200,确定访问请求中的用户身份标识是否被记录在用户身份表中。
步骤S210,若访问请求中的用户身份标识被记录在用户身份表中,则获取访问请求中的用户身份标识对应的可信度。
步骤S220,若访问请求中的用户身份标识未被记录在用户身份表中,则阻止访问主体执行访问请求中的用户行为。
示例性地,用户身份表如下表一所示。
表一、用户身份表
访问白名单如下表二所示。
表二、访问白名单
例如,访问主体的用户身份标识是1101,访问请求中的访问行为是修改关键信息。由于该访问主体对应的可信度为0.84,而修改关键信息所需的可信度为0.85,则该访问主体的用户身份标识满足要求,但对应的可信度不满足访问行为对应的可信度阈值。因此,该访问主体的访问行为被阻止。
在本实施例中,通过设置用户身份表,能够快速直观的判断访问主体的访问请求中的用户身份标识是否被记录在用户身份表中,从而对访问请求进行身份认证,确定访问请求的可信度。如果访问请求中的用户身份标识没有被记录在用户身份表中,则代表该访问主体不具备访问的权限,即阻止该访问主体进行访问。从而能够通过设置用户身份表,记录用户的身份标识以及对应的可信度的方式,能够方便快捷的判断访问请求是否被允许,提高了判断的速度和准确性。
在一个实施例中,如图4所示,步骤S120包括:
步骤S1202,获取访问请求的流量,对访问请求的流量进行流量解析,提取访问请求的流量对应的流量特征,将流量特征与预设的流量特征库进行对比,确定流量特征是否正常。
具体地,流量特征库包括,数据流特征表和数据包特征表。其中,数据流特征表采用DFI(Deep Flow Inspection,深度流检测)技术,解析流量数据包头的统计特征,发现各种异常流量特有的统计特征,而后即可认为出现特定统计特征的流量为异常流量。异常流量特征例如,SYN(Synchronize Sequence Numbers,同步序列编号)包数量陡升,可认定为泛洪攻击流量。或者,某一访问主体短时间内尝试与某一客体的多个端口建立TCP(Transmission Control Protocol,传输控制协议)连接,可认定为端口扫描流量,此时表现出的特征为:多个数据包的源IP(Internet Protocol,网际互连协议)地址相同、目的IP地址相同,目的端口不同,SYN字段值为1。
数据包特征表采用DPI(Deep Packet Inspection,深度包检测)技术,解析流量报文载荷,发现流量数据包中的特有字符串,即特征串,而后即可认为报文载荷中出现特定字符串的流量为异常流量。例如,使用sqlmap(数据库注入工具)对访问客体进行注入攻击,产生的get请求包里含有“User-Agent:sqlmap”字符串。通过数据包特征表,对于通过数据流特征表统计特征无异常的流量,采用误用检测作为补充。误用检测与异常检测都是入侵检测的手段,异常检测依据的是行为模式的差异程度,而误用检测依赖于针对攻击特征的规则匹配。
步骤S1204,若流量特征异常,则确定流量特征的异常程度,并根据流量特征的异常程度,确定访问请求中的用户身份标识的可信度的减少值并减少访问请求中的用户身份标识的可信度。
步骤S1206,若流量特征正常,且访问请求中的用户身份标识所对应的用户群组符合访问请求中的用户行为所对应的用户群组,且访问请求中的用户身份标识所对应的可信度大于等于访问请求中的用户行为所对应的可信度阈值,则允许访问主体执行访问请求中的用户行为。
示例性地,采用DFI和DPI技术检测数据流特征和包特征,将流量特征与特征库中的特征做对比,确定流量是否异常。对于数据流特征,可采用神经网络回归算法,依据包长度、包速率、各种标志位、活动时间等进行特征建模。由于数据集含有流量特征字段和标签,标签标记了此流量包属于正常或是攻击,攻击类型包括DoS(操作系统)、暴力破解、端口扫描、渗透、Web攻击中的至少一种。
采用流量特征字段,例如:目的端口、流持续时间、正向流量包数量、逆向流量包数量、正向包长度总和、逆向包长度总和、流速率、包速率、相邻两条流量的空闲时间平均值、包的平均长度、SYN标志数、RST标志数、PSH标志数、活动时间平均值、活动时间方差、空闲时间平均值、空闲时间方差,作为x向量,用标签作为y值,即流量的性质是攻击流量还是正常流量。定义两个隐藏层,第一层神经元数量为20,第二层神经元数量为10,隐藏层使用双曲正切函数作为激活函数。使用交叉熵代价函数和动量优化法,学习率取0.05,对训练集进行10000次训练。训练得到的均方根误差为0.0062。保存训练结果模型,对测试集进行预测,例如图5为预测结果,横坐标为时间,纵坐标为预测的y值,即异常值,值越大越接近攻击。从而能够通过神经网络回归算法来判定流量是否属于异常流量。
在本实施例中,通过获取访问请求的流量,然后对访问请求的流量进行流量解析,从而能够提取出流量特征,并根据该流量特征,判断访问请求是否正常,如果判断结果为正常,则再判断访问请求中的用户身份标识和用户行为是否均符合要求,再确定是否允许该访问主体执行访问请求中的用户行为。若访问请求的判断结果为异常,则根据该访问请求的流量特征的异常程度,计算出该访问请求的流量特征的异常程度所对应的可信度减少值,并将该访问请求的用户身份标识的可信度减少该数值,更新后得到该访问请求的用户身份标识的新的可信度的数值。从而能够根据访问请求的流量,对访问请求的可信度进行动态的调整。由于网络中存在大量介乎正常和入侵之间的异常行为,因此仅凭一次异常就将访问主体认定为攻击源往往是不合理的,所以,通过可信度来对访问行为进行动态的监控判断,能够提高访问控制的可靠性。使得用户不会因为偶尔的误操作(异常行为)而导致失去访问权限;也使得恶意用户不会因为登陆时的访问行为正常,而一直具有访问权限,从而威胁网络安全。从而最大程度的保证了物联网系统的安全性。
在一个实施例中,如图6所示,步骤S1204包括:
步骤S12040,获取流量特征的异常程度因素。
具体地,异常程度因素包括连接持续时间、报文数量、平均报文长度、目标端口号、口令认证请求包数量。
示例性地,对访问请求的流量进行流量解析,提取访问请求的流量对应的流量特征,流量特征包括持续时间、报文数量、平均报文长度、目标端口号、口令认证请求包数量,将这些参数作为反应流量特征是否异常的异常程度隐私。从而建立一个异常程度评价因素集合U={u1,u2,…,un},其中u1..un分别代表不同的异常程度因素。例如,u4为目标端口号易受攻击的程度,则通过如下公式计算u4:
其中,u4为目标端口号易受攻击的程度,γ为该目标端口号以往受到攻击行为的发生频率,fave为该目标端口号以往受到攻击行为的异常程度的归一化的平均值,N为该目标端口号以往受到的异常攻击次数,t为时间,f为该目标端口号以往受到攻击行为的异常程度的归一化值。
步骤S12042,确定各个异常程度因素对异常程度评价参数的隶属度、以及各个异常程度因素对应的权重。
示例性地,在上述建立了异常程度评价因素集合后,再建立异常程度评价参数集合V={v1,v2,…,vm},其中v1…vm,分别代表不同的评价结果,例如,未被攻击、疑似攻击、攻击。
根据实际的物联网系统来确定对应的隶属度函数,例如,在电能计量系统中,某访问主体试图登录某数据服务器,设定评价因素ui代表该主体在一次连接中发出的口令认证请求包数量。
设定不超过3个包代表正常行为,5到8个包代表疑似口令破解行为,超过10个包代表可以认定为口令破解攻击行为。采用梯形函数作为隶属度函数,则三种评价的隶属度函数如下:
通过上述隶属度函数,可以计算出异常程度因素对异常程度评价参数的隶属度,例如异常程度评价因素ui对应这三种异常程度评价参数的隶属度为
R1=(0,0.33,0.67)
将各个异常程度因素对异常程度评价参数的隶属度组成模糊综合评价矩阵,从而反应该访问请求的异常程度,例如,模糊综合评价矩阵为
其中,包括5个异常程度因素和3个异常程度评价参数。
然后确定各个异常程度因素对应的权重,得到异常程度因素权向量。通过层次分析法对各评价因素进行确权。第一步,构造判断矩阵Pn*n,P中的元素pi*k表示ui对uk的相对重要性数值,数值越大,说明与uk相比ui的重要性越高,通过专家打分法确定。第二步,根据判断矩阵,由方程Pw=λmaxw求出P的最大特征根λmax对应的特征向量w。对w归一化得到W,即为评价因素的权重分配。第三步,进行一致性检验。判断矩阵的随机一致性比率CR=CI/RI,式中CI为判断矩阵的一般一致性指标,CI=(λmax-n)/(n-1),RI为判断矩阵的平均随机一致性指标,如表三所示。若CR<0.1,则检验通过,权重向量A=W;若不通过,则需重新打分调整P中的元素值。
表三、平均随机一致性指标表
n | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 |
RI | 0 | 0 | 0.52 | 0.98 | 1.12 | 1.24 | 1.36 | 1.41 |
从而能够确定异常程度因素权向量,确定各个异常程度因素对应的权重。
步骤S12044,根据各个异常程度因素对异常程度评价参数的隶属度、以及各个异常程度因素对应的权重,确定流量特征对异常程度评价参数的隶属度。
示例性地,例如,上述确定的各个异常程度因素对异常程度评价参数的隶属度组成的模糊综合评价矩阵为:
上述计算得到的异常程度因素权向量为:
A={0.1977,0.1928,0.2014,0.1891,0.2190}
则流量特征对异常程度评价参数的隶属度B为:
B=R5*3*A
计算得到流量特征对异常程度评价参数的隶属度为B={0,0.46,0.54}。从而确定了流量特征对异常程度评价参数的隶属度。
步骤S12046,根据流量特征对异常程度评价参数的隶属度、以及异常程度评价参数对应的预设分值,确定流量特征的异常程度的分值。
示例性地,预设有各个异常程度评价参数对应的预设分值。
预设分值矩阵为S={s1,s2,…,sm}T,其中,s1,…si分别为对应各个异常程度评价参数的预设分值,例如,S={0,50,100}T,所对应的三个异常程度评价参数,未被攻击、疑似攻击、攻击,分别对应的得分为0,50,100。
通过公式计算流量特征对应的总得分,计算公式如下:
F=B*S
其中,F为流量特征对应的总得分,B为流量特征对异常程度评价参数的隶属度,S为预设分值矩阵,则可得F等于77,总分值越高,则该流量特征越接近攻击行为,因此,通过总得分来表现了该流量特征的异常程度。即该异常行为是攻击行为的可能性。
步骤S12048,根据流量特征的异常程度的分值,确定访问请求中的用户身份标识的可信度的减少值并减少访问请求中的用户身份标识的可信度。
示例性地,将上述计算得到的流量特征对应的总得分通过如下公式进行归一化处理:
其中,f为可信度减少值,F为流量特征对应的总得分,Fmax为流量特征对应的满分值。
再通过如下公式更新访问请求中的用户身份标识的可信度:
C=C0-f
其中,C为访问请求中的用户身份标识的当前可信度,C0为访问请求中的用户身份标识在发出访问请求之前的可信度,f为可信度减少值。
具体地,若访问请求中的用户身份标识的可信度低于可信度下限,则阻止访问主体执行访问请求中的用户行为。当访问请求所对应的可信度低于可信度下限时,则代表该访问请求毫无疑问的被定义为攻击行为,因此,将该访问请求对应的用户身份标识拉入黑名单,不再接收包括该用户身份标识的访问请求。
在本实施例中,通过对访问请求的流量进行解析,对其中的流量特征异常的访问请求,根据其异常的流量特征,确定异常程度因素集合。再建立异常程度评价集合,再通过实际的物联网系统,确定对应的隶属度函数和各个异常程度因素对应的权重,从而确定了该访问请求的综合的异常程度。再根据预设的分值,确定该访问请求的综合得分,根据该得分,来确定访问请求的用户身份标识的可信度的减少值,并根据该数值来更新访问请求的用户身份标识的可信度。从而实现了对访问请求的用户身份标识的可信度的动态调整,能够根据访问请求的流量特征来实时的调整该访问请求所对应的可信度,保证了物联网系统的安全。
在一个实施例中,访问行为控制方法还包括:
若在预设时长内的访问请求的流量特征均正常,则按照如下公式,每隔固定时长增加访问请求中的用户身份标识的可信度:
其中,C为访问请求中的用户身份标识的可信度,Ci-1为固定时长前的访问请求中的用户身份标识的可信度,k为恢复速度,f为异常程度的分值。
具体地,持续对访问请求的流量进行解析,分析访问请求的流量特征,每隔固定时长进行依次可信度恢复计算,若在预设时长内的该访问请求的流量特征均正常,则通过上述公式增加该访问请求所对应的用户身份标识的可信度。
在本实施例中,对于长时间未发生异常行为的访问请求所对应的用户身份标识,对其流量特征持续进行评估,逐步恢复其可信度,从而使得用户只要保持正常的访问,便可以逐步的恢复可信度,避免用户因为一次误操作而导致权限降低,无法恢复的情况。从而使得用户的访问权限与用户的实际行为相对应。既阻止恶意用户对系统的持续攻击,也使得正常用户不会因为一次误操作而失去访问权限。
应该理解的是,虽然图1、2、3、4、6的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图1、2、3、4、6中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
在一个实施例中,如图7所示,提供了一种访问行为控制装置,该装置包括:访问获取模块901、表单获取模块902、访问允许模块903、访问阻止模块904,其中:
访问获取模块901,用于接收访问主体的访问请求,访问请求包括用户身份标识和用户行为;
表单获取模块902,用于获取用户身份表和访问白名单,用户身份表包括用户身份标识所对应的用户群组和可信度,访问白名单包括用户行为所对应的用户群组和可信度阈值;
访问允许模块903,用于当访问请求中的用户身份标识所对应的用户群组符合访问请求中的用户行为所对应的用户群组,且访问请求中的用户身份标识所对应的可信度大于等于访问请求中的用户行为所对应的可信度阈值,则允许访问主体执行访问请求中的用户行为;
访问阻止模块904,用于当访问请求中的用户身份标识所对应的用户群组不符合访问请求中的用户行为所对应的用户群组,或访问请求中的用户身份标识所对应的可信度小于访问请求中的用户行为所对应的可信度阈值,则阻止访问主体执行访问请求中的用户行为。
关于访问行为控制装置的具体限定可以参见上文中对于访问行为控制方法的限定,在此不再赘述。上述访问行为控制装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。需要说明的是,本申请实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
在一个实施例中,提供了一种计算机设备,该计算机设备内部结构图可以如图8所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种访问行为控制方法。
本领域技术人员可以理解,图8中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-Only Memory,ROM)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic Random Access Memory,DRAM)等。
在本说明书的描述中,参考术语“有些实施例”、“其他实施例”、“理想实施例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特征包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性描述不一定指的是相同的实施例或示例。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种访问行为控制方法,其特征在于,所述方法包括:
接收访问主体的访问请求,所述访问请求包括用户身份标识和用户行为;
获取用户身份表和访问白名单,所述用户身份表包括用户身份标识所对应的用户群组和可信度,所述访问白名单包括用户行为所对应的用户群组和可信度阈值;
当所述访问请求中的用户身份标识所对应的用户群组符合所述访问请求中的用户行为所对应的用户群组,且所述访问请求中的用户身份标识所对应的可信度大于等于所述访问请求中的用户行为所对应的可信度阈值,则允许所述访问主体执行所述访问请求中的用户行为;
当所述访问请求中的用户身份标识所对应的用户群组不符合所述访问请求中的用户行为所对应的用户群组,或所述访问请求中的用户身份标识所对应的可信度小于所述访问请求中的用户行为所对应的可信度阈值,则阻止所述访问主体执行所述访问请求中的用户行为。
2.根据权利要求1所述的方法,其特征在于,所述接收访问主体的访问请求包括:
获取所述访问请求的访问令牌,根据所述访问令牌,确定所述访问请求的用户身份标识;
获取所述访问请求的流量,对所述流量进行流量解析,确定所述访问请求的用户行为。
3.根据权利要求1所述的方法,其特征在于,在所述获取用户身份表之后,所述方法还包括:
确定所述访问请求中的用户身份标识是否被记录在所述用户身份表中;
若所述访问请求中的用户身份标识被记录在所述用户身份表中,则获取所述访问请求中的用户身份标识对应的可信度;
若所述访问请求中的用户身份标识未被记录在所述用户身份表中,则阻止所述访问主体执行所述访问请求中的用户行为。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述当所述访问请求中的用户身份标识所对应的用户群组符合所述访问请求中的用户行为所对应的用户群组,且所述访问请求中的用户身份标识所对应的可信度大于等于所述访问请求中的用户行为所对应的可信度阈值,则允许所述访问主体执行所述访问请求中的用户行为包括:
获取所述访问请求的流量,对所述访问请求的流量进行流量解析,提取所述访问请求的流量对应的流量特征,将所述流量特征与预设的流量特征库进行对比,确定所述流量特征是否正常;
若所述流量特征异常,则确定所述流量特征的异常程度,并根据所述流量特征的异常程度,确定所述访问请求中的用户身份标识的可信度的减少值并减少所述访问请求中的用户身份标识的可信度;
若所述流量特征正常,且所述访问请求中的用户身份标识所对应的用户群组符合所述访问请求中的用户行为所对应的用户群组,且所述访问请求中的用户身份标识所对应的可信度大于等于所述访问请求中的用户行为所对应的可信度阈值,则允许所述访问主体执行所述访问请求中的用户行为。
5.根据权利要求4所述的方法,其特征在于,所述若所述流量特征异常,则确定所述流量特征的异常程度,并根据所述流量特征的异常程度,确定所述访问请求信息中的用户身份标识的可信度的减少值并减少所述访问请求中的用户身份标识的可信度,包括:
获取所述流量特征的异常程度因素,所述异常程度因素包括连接持续时间、报文数量、平均报文长度、目标端口号、口令认证请求包数量;
确定各个所述异常程度因素对异常程度评价参数的隶属度、以及各个所述异常程度因素对应的权重;
根据各个所述异常程度因素对所述异常程度评价参数的隶属度、以及各个所述异常程度因素对应的权重,确定所述流量特征对所述异常程度评价参数的隶属度;
根据所述流量特征对所述异常程度评价参数的隶属度、以及所述异常程度评价参数对应的预设分值,确定所述流量特征的异常程度的分值;
根据所述流量特征的异常程度的分值,确定所述访问请求中的用户身份标识的可信度的减少值并减少所述访问请求中的用户身份标识的可信度。
6.根据权利要求1-3任一项所述的方法,其特征在于,所述方法还包括:
若所述访问请求中的用户身份标识的可信度低于可信度下限,则阻止所述访问主体执行所述访问请求中的用户行为。
8.一种访问行为控制装置,其特征在于,所述装置包括:
访问获取模块,用于接收访问主体的访问请求,所述访问请求包括用户身份标识和用户行为;
表单获取模块,用于获取用户身份表和访问白名单,所述用户身份表包括用户身份标识所对应的用户群组和可信度,所述访问白名单包括用户行为所对应的用户群组和可信度阈值;
访问允许模块,用于当所述访问请求中的用户身份标识所对应的用户群组符合所述访问请求中的用户行为所对应的用户群组,且所述访问请求中的用户身份标识所对应的可信度大于等于所述访问请求中的用户行为所对应的可信度阈值,则允许所述访问主体执行所述访问请求中的用户行为;
访问阻止模块,用于当所述访问请求中的用户身份标识所对应的用户群组不符合所述访问请求中的用户行为所对应的用户群组,或所述访问请求中的用户身份标识所对应的可信度小于所述访问请求中的用户行为所对应的可信度阈值,则阻止所述访问主体执行所述访问请求中的用户行为。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述的方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111452027.0A CN114374531B (zh) | 2021-11-30 | 2021-11-30 | 访问行为控制方法、装置、计算机设备和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111452027.0A CN114374531B (zh) | 2021-11-30 | 2021-11-30 | 访问行为控制方法、装置、计算机设备和存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114374531A true CN114374531A (zh) | 2022-04-19 |
CN114374531B CN114374531B (zh) | 2023-09-15 |
Family
ID=81140652
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111452027.0A Active CN114374531B (zh) | 2021-11-30 | 2021-11-30 | 访问行为控制方法、装置、计算机设备和存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114374531B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114520775A (zh) * | 2022-04-21 | 2022-05-20 | 远江盛邦(北京)网络安全科技股份有限公司 | 应用控制方法、装置、电子设备和存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2384040A1 (en) * | 2010-04-29 | 2011-11-02 | Research In Motion Limited | Authentication server and method for granting tokens |
CN106790107A (zh) * | 2016-12-26 | 2017-05-31 | 郑州云海信息技术有限公司 | 一种访问控制方法和服务器 |
CN112231726A (zh) * | 2020-10-16 | 2021-01-15 | 中国南方电网有限责任公司 | 访问控制方法、装置、计算机设备及可读存储介质 |
CN113158169A (zh) * | 2021-03-30 | 2021-07-23 | 北京大米科技有限公司 | 一种基于Hadoop集群的验证方法、装置、存储介质及电子设备 |
-
2021
- 2021-11-30 CN CN202111452027.0A patent/CN114374531B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2384040A1 (en) * | 2010-04-29 | 2011-11-02 | Research In Motion Limited | Authentication server and method for granting tokens |
CN106790107A (zh) * | 2016-12-26 | 2017-05-31 | 郑州云海信息技术有限公司 | 一种访问控制方法和服务器 |
CN112231726A (zh) * | 2020-10-16 | 2021-01-15 | 中国南方电网有限责任公司 | 访问控制方法、装置、计算机设备及可读存储介质 |
CN113158169A (zh) * | 2021-03-30 | 2021-07-23 | 北京大米科技有限公司 | 一种基于Hadoop集群的验证方法、装置、存储介质及电子设备 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114520775A (zh) * | 2022-04-21 | 2022-05-20 | 远江盛邦(北京)网络安全科技股份有限公司 | 应用控制方法、装置、电子设备和存储介质 |
CN114520775B (zh) * | 2022-04-21 | 2022-07-08 | 远江盛邦(北京)网络安全科技股份有限公司 | 应用控制方法、装置、电子设备和存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN114374531B (zh) | 2023-09-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Miehling et al. | A POMDP approach to the dynamic defense of large-scale cyber networks | |
CN109861985B (zh) | 基于风险等级划分的ip风控方法、装置、设备和存储介质 | |
US8631464B2 (en) | Method of detecting anomalous behaviour in a computer network | |
CN110650142B (zh) | 访问请求处理方法、装置、系统、存储介质和计算机设备 | |
CN108337219B (zh) | 一种物联网防入侵的方法和存储介质 | |
CN102484640A (zh) | 数据处理系统中的威胁检测 | |
Ahmed et al. | Detecting Computer Intrusions Using Behavioral Biometrics. | |
CN113536678B (zh) | 基于贝叶斯网络及stride模型的xss风险分析方法及装置 | |
CN113242230A (zh) | 一种基于智能合约的多级认证与访问控制系统及方法 | |
CN110717164A (zh) | 一种智能多维度加权身份认证与风险控制的方法及系统 | |
Pomorova et al. | Multi-agent based approach for botnet detection in a corporate area network using fuzzy logic | |
CN109583056A (zh) | 一种基于仿真平台的网络攻防工具效能评估方法及系统 | |
CN112364345A (zh) | 一种基于软件定义边界的用户身份验证模型构建方法 | |
Durkota et al. | Optimal strategies for detecting data exfiltration by internal and external attackers | |
CN114374531B (zh) | 访问行为控制方法、装置、计算机设备和存储介质 | |
CN114338105B (zh) | 一种基于零信任信创堡垒机系统 | |
Eddermoug et al. | KLM-based profiling and preventing security attacks for cloud computing: A comparative study | |
CN110430158B (zh) | 采集代理部署方法及装置 | |
Eddermoug et al. | Ppsa: Profiling and preventing security attacks in cloud computing | |
CN113411339B (zh) | 基于零因子图序列的密码文件泄露的检测方法 | |
Akramifard et al. | Intrusion detection in the cloud environment using multi-level fuzzy neural networks | |
Jain et al. | A literature review on machine learning for cyber security issues | |
CN109218315A (zh) | 一种安全管理方法和安全管理装置 | |
CN114297639A (zh) | 一种接口调用行为的监测方法、装置、电子设备及介质 | |
Li et al. | Defending Against Man-In-The-Middle Attack in Repeated Games. |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |