CN115150152A - 基于权限依赖图缩减的网络用户实际权限快速推理方法 - Google Patents
基于权限依赖图缩减的网络用户实际权限快速推理方法 Download PDFInfo
- Publication number
- CN115150152A CN115150152A CN202210755212.5A CN202210755212A CN115150152A CN 115150152 A CN115150152 A CN 115150152A CN 202210755212 A CN202210755212 A CN 202210755212A CN 115150152 A CN115150152 A CN 115150152A
- Authority
- CN
- China
- Prior art keywords
- permission
- node
- authority
- user
- dependency graph
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 81
- 230000009467 reduction Effects 0.000 title claims abstract description 32
- 239000013598 vector Substances 0.000 claims abstract description 47
- 239000011159 matrix material Substances 0.000 claims abstract description 43
- 238000012545 processing Methods 0.000 claims description 23
- 238000003860 storage Methods 0.000 claims description 12
- 238000004590 computer program Methods 0.000 claims description 11
- 238000004364 calculation method Methods 0.000 claims description 7
- 238000007781 pre-processing Methods 0.000 claims description 3
- 230000008569 process Effects 0.000 description 24
- 238000010586 diagram Methods 0.000 description 19
- 238000002474 experimental method Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 8
- 230000008859 change Effects 0.000 description 5
- 238000004088 simulation Methods 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 238000004422 calculation algorithm Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012502 risk assessment Methods 0.000 description 2
- 238000012038 vulnerability analysis Methods 0.000 description 2
- 238000013528 artificial neural network Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 230000009191 jumping Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 238000011946 reduction process Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Abstract
本发明公开了基于权限依赖图缩减的网络用户实际权限快速推理方法,包括获取网络基本信息数据;对网络基本信息数据进行信息提取,得到权限依赖图和用户初始权限矩阵;根据权限依赖图和用户初始权限矩阵,对权限依赖图进行缩减处理,得到缩减权限依赖图和节点替换关系集合;将用户初始权限矩阵按行进行划分,得到用户初始权限向量;根据用户初始权限向量、缩减权限依赖图以及节点替换关系集合,计算得到用户实际权限向量,并对用户实际权限向量进行合并,得到用户实际权限结果数据。通过分析权限依赖图节点值之间的关系,达到缩减权限依赖图,提升用户实际权限矩阵推理速度的目的。
Description
技术领域
本发明涉及基于权限依赖图缩减的网络用户实际权限快速推理方法,属于通信网络安全技术领域。
背景技术
网络空间安全已经成为国家安全的重要组成部分。在进行网络安全管理或风险评估时,考虑攻击者可能发动的多跳攻击,合理推断攻击者能够获得到的实际权限,具有重要的意义。
推断攻击者实际权限的方法,可以分为基于模型的方法、基于知识推理的方法、基于神经网络的方法等方法。在这个过程中,首先对目标网络进行建模,然后对用户权限进行推理是一种常用的方法。对用户权限之间复杂的交互关系进行建模的方法,主要包括挑战图,能力获取图,攻击树,攻击图等。在这些模型中,攻击图是最常用的方法,但攻击图更适合描述由漏洞引起的用户权限变化,而对其他情况引起的用户权限变化描述能力较差。为此,提出了一种权限依赖图的概念,用其来模拟多域用户权限之间复杂的交互关系。
但是通过专利ZL201911120450.3可以看出,在通过权限依赖图计算用户实际权限的过程中,算法耗费的时间会随着网络规模的增大而快速增长,这就很难满足大规模网络用户实际权限推理需要。
发明内容
本发明的目的在于克服现有技术中的不足,提供基于权限依赖图缩减的网络用户实际权限快速推理方法,能够对于实体数量超过5万、实体关系超过20万的网络,实现用户实际权限的快速推理,相较于原始方法,时间缩减25%以上。
为达到上述目的,本发明是采用下述技术方案实现的:
第一方面,本发明提供了基于权限依赖图缩减的网络用户实际权限快速推理方法,包括:
获取网络基本信息数据;
对网络基本信息数据进行信息提取,得到权限依赖图和用户初始权限矩阵;
根据权限依赖图和用户初始权限矩阵,对权限依赖图进行缩减处理,得到缩减权限依赖图和节点替换关系集合;
将用户初始权限矩阵按行进行划分,得到用户初始权限向量;
根据用户初始权限向量、缩减权限依赖图以及节点替换关系集合,计算得到用户实际权限向量,并对用户实际权限向量进行合并,得到用户实际权限结果数据。
进一步的,所述权限依赖图的缩减方法包括:先对权限依赖图进行强连通节点合并处理,再进行入度为1节点合并处理。
进一步的,所述权限依赖图的缩减方法包括:先对权限依赖图进行强连通节点合并处理,再进行入度为1节点合并处理,最后进行同前序节点合并处理。
进一步的,所述强连通节点合并方法具体包括:在去掉所有AND类型节点的权限依赖图中,若节点A和节点B处于同一强连通子图中,则将节点A和节点B合并成一个新节点C。
进一步的,所述入度为1节点合并处理方法具体包括:在权限依赖图中,所有用户初始时均没有节点A所代表的权限,且节点A只有一个前向节点B,则将节点A和前向节点B合并成一个新节点C。
进一步的,所述同前序节点合并的具体方法包括:在权限依赖图中,若节点A的前序节点和节点B的前序节点相同,且节点A和节点B所对应的权限均不为某个用户的初始权限,则将节点A和节点B合并为一个新节点C。
第二方面,本发明还提供了一种基于权限依赖图缩减的网络用户实际权限获取系统,包括:
信息采集模块:用于获取网络基本信息数据;
预处理模块:用于对网络基本信息数据进行信息提取,得到权限依赖图和用户初始权限矩阵;
缩减处理模块:用于根据权限依赖图和用户初始权限矩阵,对权限依赖图进行缩减处理,得到缩减权限依赖图和节点替换关系集合;
权限计算模块:用于将用户初始权限矩阵按行进行划分,得到用户初始权限向量;根据用户初始权限向量、缩减权限依赖图以及节点替换关系集合,计算得到用户实际权限向量,并对用户实际权限向量进行合并,得到用户实际权限结果数据。
第三方面,本发明还提供了一种基于权限依赖图缩减的网络用户实际权限获取装置,其特征在于,包括处理器及存储介质;
所述存储介质用于存储指令;
所述处理器用于根据所述指令进行操作以执行上述任一项所述方法的步骤。
第四方面,本发明还提供了一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现上述任一项所述方法的步骤。
与现有技术相比,本发明所达到的有益效果:
在计算用户实际权限矩阵过程中,通过分析权限依赖图节点值之间的关系,达到缩减权限依赖图,提升用户实际权限矩阵推理速度的目的,能够对现有网络运维脆弱性分析方法进行改进,能够支持十万级别网络节点,百万级别规模的网络用户实际权限推理,从而能够满足大规模网络条件下用户实际权限推理和网络运维脆弱性分析的需求。
附图说明
图1是本发明实施例一中用户实际权限推理方法流程图。
图2是本发明实施例一中用户实际权限推理方法的框架简图;
图3是本发明测试例中模拟网络结构图。
具体实施方式
下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
网络空间安全已经成为国家安全的重要组成部分。在进行网络安全管理或风险评估时,考虑攻击者可能发动的多跳攻击,合理推断攻击者能够获得到的实际权限,具有重要的意义。现如今对于获取网络用户实际权限的方法中多直接采用权限依赖图,将网络节点与用户实体进行一对一的进行推理得到用户实实际权限,随着如今网络规模的不断增大,该种方法耗时也越来越长,难以满足大规模网络用户实际权限推理需要。为此本发明提出了一种基于权限依赖图缩减的网络用户实际权限获取方法,依托用户初始权限,发现权限依赖图内具有特定关系的节点并加以合并,达到缩减权限依赖图规模,进而加快用户实际权限推理速度的目的。
实施例一:
本实施例提供了基于权限依赖图缩减的网络用户实际权限快速推理方法,如图1和图2所示,核心思想是结合用户初始权限矩阵信息,对根据网络基础信息生成的权限依赖图进行缩减,然后通过缩减后的权限依赖图进行用户实际权限的推理,其整体流程分为基本信息建模、权限依赖图缩减和用户实际权限计算三个阶段。
(1)基本信息建模
该阶段主要通过专利ZL201911120450.3中定义的权限依赖图获取流程进行基本信息建模,得到具体包括:首先获取网络基本信息数据;然后对网络基本信息数据进行信息提取,得到权限依赖图和用户初始权限矩阵。
其中,网络基本信息数据包括网络用户的网络实体和实体关系,在对网络基本信息数据进行信息提取后,先建立相应的多域信息表示图,根据专利ZL201911120450.3中多域信息表示图和权限依赖图的转化关系,生成相应的权限依赖图。
权限依赖图可以用四元组PDG=(N′,E′,π′,σ′)来表示:
N′是节点的集合。在权限依赖图中,共有3类节点,分别是用户节点NPS、权限节点NPRI和AND节点NAND。用户节点NPS表示某个用户,权限节点NPRI表示某个权限,而AND节点NAND表示权限之间的“与”关系,可以看成一种用于辅助分析的权限。
函数π′为节点到节点类型的映射函数,其表达式为π′=N′×L′,其中L′={NPS,NPRI,NAND}是节点类型的集合,NPS、NPRI和NAND分别表示节点类型为用户节点NPS、权限节点NPRI和AND节点NAND。
E′是边的集合,所有的边均为有向边,表示权限之间的依赖关系。对于一条从节点na到节点nb的边,如果节点na是用户节点NPS,而节点nb是权限节点NPRI,则表示用户na能够获得权限nb;如果节点na为权限节点NPRI或AND节点NAND,nb为权限节点NPRI,则表示任何已获得权限na的用户将能够获得权限nb。对于指向同一节点nb的多条边,如果节点nb的类型是权限节点NPRI,则多条边之间的关系是“或”的关系,即满足任意一条边的条件,则用户就能获得权限nb;如果节点nb的类型是AND节点NAND,则多条边之间的关系是“与”的关系,即同时满足所有边的条件,用户才能够获得权限nb。
函数σ′为对节点的赋值函数,其表达式为σ′=N′×{0,1}。对于所有的节点,均赋予一个整数值,这个值只能是0或者1,代表其是否是当前分析的用户,或当前分析的用户是否拥有该权限。当某个节点的值为0时,代表该用户不是当前分析的用户(指的是用户节点NPS),或者当前分析的用户不拥有该权限(权限节点NPRI和AND节点NAND),反之,当某个节点的值为1时,代表该用户是当前分析的用户(用户节点NPS),或者当前分析的用户拥有该权限(权限节点NPRI和AND节点NAND)。
用户初始权限矩阵UIM是一个M×N的矩阵,其中M为网络中所有用户的数量,N为网络中所有权限的数量,对于矩阵的任意元素UIM(i,j)表示第i个用户是否拥有第j个权限,如果UIM(i,j)=0,则代表在初始情况下,第i个用户不拥有第j个权限。
(二)权限依赖图缩减阶段
该阶段具体方法包括:根据上一阶段获得的权限依赖图PDG和用户初始权限矩阵UIM,对权限依赖图进行缩减处理,得到缩减权限依赖图和节点替换关系集合nr_set。
其中,在此阶段,权限依赖图的缩减基本方法为强连通节点合并、入度为1节点合并和同前序节点合并等三种方式。
强连通节点合并的基本流程为去掉所有AND节点NAND的权限依赖图中,若节点A和节点B处于同一强连通子图中,那么将节点A和节点B可以被合并为一个新节点C。具体流程为:
S11:将权限依赖图PDG备份为PDG’,然后在PDG’中删除所有类型为NAND的节点;
S12:在PDG’中查找所有的强连通子图,将所有包含节点数量大于1的强连通子图形成一个集合sg’_set;
S13:对于集合sg’_set中的每一个图sg’,构建其节点集合nsg’_set;
S14:对于nsg’_set中的每一个节点nsg’,找到其在PDG中所对应的节点nsg,形成节点集合nsg_set;
S15:在集合nsg_set中挑选出任意一节点n,然后在PDG中查询所有起点在集合nsg_set-{n}中的边。对于查询到的每一条边(s,t),首先在PDG中增加边(n,t),然后删除边(s,t),最后将节点替换关系<s,n>加入节点替换关系集合nr_set。对所有边重复该过程,直至所有边处理完毕;
S16:在PDG中查询所有终点在集合nsg_set-{n}中的边。对于查询到的每一条边(s,t),首先在PDG中增加边(s,n),然后删除边(s,t),最后将节点替换关系<t,n>加入节点替换关系集合nr_set,对所有边重复该过程,直至所有边处理完毕;
S17:对集合sg’_set中的每一个图sg’,重复步骤S13-步骤S16,直至所有强连通子图被处理完毕。
入度为1节点合并的基本流程为在权限依赖图中,如果所有用户在初始时,均不会拥有节点A所代表的权限,且该节点只有一个前向节点B,那么可以将节点A和节点B合并为一个新节点C。具体流程为:
S21:在权限依赖图PDG中查找所有入度为1的节点,形成集合n_set;
S22:从集合n_set中随机挑选一个节点n,如果节点n是用户节点,则将其从n_set中删除并挑选下一个节点;如果节点n是权限节点,则判断其所代表的权限是否被某个用户在初始时刻拥有,如果是,则将其从n_set中删除并挑选下一个节点,如果所有用户在初始时刻,均不拥有节点n所对应的权限,则找到节点n的前序节点n_pre,进行步骤S23;如果节点n是AND节点,则在PDG中找到其前向节点n_pre,然后进行步骤S23;
S23:在PDG中找到以节点n为起点的所有边。对于每一条边(n,t),均在PDG中增加对应的边(n_pre,t),然后删除边(n,t),直至所有的边处理完毕;
S24:将替换节点关系对<n,n_pre>加入替换节点关系集合nr_set;
S25:将节点n从集合n_set中删除,然后返回步骤S22,重复步骤S22至步骤S24,直至集合n_set为空。
同前序节点合并的基本流程为:在权限依赖图中,若节点A和节点B的前序节点是相同的,且节点A和节点B所对应的权限均不为某个用户的初始权限,那么将节点A和节点B合并为一个新节点C。其具体流程为:
S31:对于图PDG,计算其节点的最大的度maxInDegree;
S32:取整值i=3,如果i<=maxInDegree,则转到步骤(3),否则模块结束;
S33:找到所有入度为i,且其对应的权限不为任何用户初始权限的节点,构建为集合n_set;
S34:对集合n_set中的任意两个节点m和n,判断其前序节点是否相同,如果相同,则执行步骤S35,如果不相同,则重新挑选两个节点m和n进行比较,直至所有节点对比较完毕;
S35:在PDG中查询所有起点为m的边。对于查询到的每一条边(m,t),首先在PDG中增加边(n,t),然后删除边(m,t)。对所有边重复该过程,直至所有边处理完毕;
S36:在PDG中查询所有终点为m的边。对于查询到的每一条边(s,m),首先在PDG中增加边(s,n),然后删除边(s,m);
S37:将<m,n>加入节点替换关系集合nr_set,然后在集合n_set和权限依赖图PDG中删除节点m;
S38:重复步骤S34至步骤S37,直至所有节点对判断完毕;
S39:设置i=i+1,跳至步骤S32执行,直至程序模块结束。
从理论上说,三种方式可以循环多次使用,以得到规模最小的权限依赖图,但是由于权限依赖图缩减过程中也需要额外进行时间耗费,所以,为了使算法保持较高效率,在本实施例中,权限依赖图的缩减方法为:先进行强连通节点合并,然后进行入度为1节点合并。缩减后的权限依赖图中,与原始权限依赖图中用户节点和权限一对一对应所不同的是,缩减权限依赖图中,用可合并的节点来对应多个用户的权限,实现一对多的对应关系,减少了后续用户实际权限的计算时间。
(三)用户实际权限计算阶段
该阶段具体方法包括:
将用户初始权限矩阵按行进行划分,得到多个用户初始权限向量;
根据用户初始权限向量、缩减权限依赖图以及节点替换关系集合,计算得到用户实际权限向量,并对用户实际权限向量进行合并,得到用户实际权限结果数据。
根据用户初始权限向量UIV、缩减权限依赖图RPDG以及节点替换关系集合nr_set,计算得到用户实际权限向量UAV的过程为:
(1)将缩减权限依赖图RPDG根据被分析的用户u、用户初始权限向量UIV和nr_set进行赋值。其主要过程为:
a.将RPDG中所有节点的值赋值为0;
b.对于用户初始权限向量UIV中的每一个值为1的元素,找到其在原始权限依赖图中对应的节点s,建立集合start_set,将s加入集合start_set;
c.对于节点替换关系集合nr_set中的每一个元素<m,n>,如果m在集合start_set中,则将n加入集合start_set,反复重复此过程,直至集合start_set不再变化;
d.对于集合start_set中的任一个节点s,如果它在缩减权限依赖图RPDG中存在对应节点s’,则将s’的值置为1;反复重复此过程,集合start_set中所有节点被处理完毕;
e.重复过程b-d,直至用户初始权限向量UIV中的每一个值为1的元素均被处理完毕;
(2)将权限依赖图中的所有节点被分为两类,值为1的节点和值为0的节点,分别被命名为nodeSet_0和nodeSet_1。
(3)然后,在缩减权限依赖图RPDG中,逐一分析所有从集合nodeSet_1里的节点指向集合nodeSet_0里的节点的边,如果该边的终点的类型不是AND节点,则将该终点从集合nodeSet_0中删除,添加到集合nodeSet_1中,并将其值改为1;如果该边的终点的类型是AND节点,则对所有到达该终点的边进行逐一分析,如果所有的边的起点的值均为1,那么将该终点的值改为1,并将其从集合nodeSet_1中删除,添加至集合nodeSet_0中。当所有的边均被分析过后,对于重新形成的集合nodeSet_0和nodeSet_1,重新查找所有从集合nodeSet_1中的节点指向集合nodeSet_0中的节点的边,如此往复,直至两个集合和跨集合的边均不再变化。
(4)根据缩减权限依赖图RPDG得到当前用户对应的实际权限向量UAV。其主要过程为:
a.将用户实际权限向量UAV中的每一个元素的值置为0;
b.在缩减权限依赖图RPDG中,查找所有值为1的节点。对于任一节点值为1的节点s,建立集合end_set,将s加入集合end_set;
c.对于节点替换关系集合nr_set中的每一个元素<m,n>,如果n在集合end_set中,则将m加入集合end_set,反复重复此过程,直至集合end_set不再变化;
d.对于集合end_set中的任一个节点s,将其在实际权限向量UAV中对应的值设置为1;反复重复此过程,集合end_set中所有节点被处理完毕;
e.重复过程b-d,直至缩减权限依赖图RPDG中的每一个值为1的节点均被处理完毕。
实施例二:
与实施例一不同的是,本实施例中对于权限依赖图的缩减方法具体流程为:先进行强连通节点合并,其次进行入度为1节点合并,接着进行同前序节点合并,最后再进行1次入度为1节点合并。
测试例:
通过一个模拟环境对本发明获取用户实际权限的正确性和效率进行验证,模拟环境的基本结构图如图3所示。
在该模拟网络中,由一个数据中心和多个用户楼宇组成,在数据中心中,部署了1台路由器、1台防火墙、1台入侵防御系统、1台交换机、3台服务器(文件服务器、数据库服务器和Web服务器),分别开启文件传输服务、数据库服务和Web服务,每个服务具有相应的密码。在每个楼宇中,分为3层楼,每层楼拥有8个房间,每层楼宇部署一台楼宇交换机,每个房间内部署2台终端,楼宇整体通过路由器与数据中心进行连接。在实验过程中,可以通过调节楼宇的数量,得到不同规模的网络,固定网络用户数量为1000,在初始时,随机为其分配初始权限。
在实验过程中,分别取楼宇数量n=1,n=10,n=25,n=50,n=100,n=150,n=200。按照专利ZL201911120450.3的过程计算网络实体和网络实体关系数量,生成多域信息表示图,接着生成对应的权限依赖图,最后进行实验对比,各个生成的多域信息表示图和权限依赖图的规模如表1所示。
表1.各个网络名称和规模
由上表可知,当楼宇数量达到150时,网络中实体已超过5万个,实体关系超过20万个,根据7中不同的楼宇数量所展现出的实体及实体关系,生成多域信息表示图,接着生成对应的权限依赖图,并进行三种实验。
本测试例的实验包括三种:1.直接利用原始的权限依赖图计算1000个用户的实际权限,记录其时间;2.通过实施例二中的方法计算1000个用户的实际权限,记录其时间;3.通过实施例一中的方法计算1000个用户的实际权限,记录其时间。实验结果如表2所示。
表2.三种实验的结果记录表
从实验结果上看,对比于实验1中对实体数量大于5万个,实体关系数量超过20万的网络进行权限推理,使用本发明方法的实验2和实验3能通过有效缩小权限依赖图的规模,加快用户实际权限的计算速度;且实验3通过“首先进行强连通节点合并,最后进行入度为1节点合并”的缩减方法,在实验环境下耗费总时间最少,对比直接通过权限依赖图计算用户实际权限的原始方法,能够减少25%以上的时间消耗。
实施例三:
一种基于权限依赖图缩减的网络用户实际权限获取系统,包括:
预处理模块:用于对网络基本信息数据进行信息提取,得到权限依赖图和用户初始权限矩阵;
缩减处理模块:用于根据权限依赖图和用户初始权限矩阵,对权限依赖图进行缩减处理,得到缩减权限依赖图和节点替换关系集合;
权限计算模块:用于将用户初始权限矩阵按行进行划分,得到用户初始权限向量;根据用户初始权限向量、缩减权限依赖图以及节点替换关系集合,计算得到用户实际权限向量,并对用户实际权限向量进行合并,得到用户实际权限结果数据。
实施例四:
本发明实施例还提供了一种基于权限依赖图缩减的网络用户实际权限获取装置,包括处理器及存储介质;
所述存储介质用于存储指令;
所述处理器用于根据所述指令进行操作以执行下述方法的步骤:
获取网络基本信息数据;
对网络基本信息数据进行信息提取,得到权限依赖图和用户初始权限矩阵;
根据权限依赖图和用户初始权限矩阵,对权限依赖图进行缩减处理,得到缩减权限依赖图和节点替换关系集合;
将用户初始权限矩阵按行进行划分,得到用户初始权限向量;
根据用户初始权限向量、缩减权限依赖图以及节点替换关系集合,计算得到用户实际权限向量,并对用户实际权限向量进行合并,得到用户实际权限结果数据。
实施例五:
本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现下述方法的步骤:
获取网络基本信息数据;
对网络基本信息数据进行信息提取,得到权限依赖图和用户初始权限矩阵;
根据权限依赖图和用户初始权限矩阵,对权限依赖图进行缩减处理,得到缩减权限依赖图和节点替换关系集合;
将用户初始权限矩阵按行进行划分,得到用户初始权限向量;
根据用户初始权限向量、缩减权限依赖图以及节点替换关系集合,计算得到用户实际权限向量,并对用户实际权限向量进行合并,得到用户实际权限结果数据。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。
Claims (9)
1.基于权限依赖图缩减的网络用户实际权限快速推理方法,其特征在于,包括:
获取网络基本信息数据;
对网络基本信息数据进行信息提取,得到权限依赖图和用户初始权限矩阵;
根据权限依赖图和用户初始权限矩阵,对权限依赖图进行缩减处理,得到缩减权限依赖图和节点替换关系集合;
将用户初始权限矩阵按行进行划分,得到用户初始权限向量;
根据用户初始权限向量、缩减权限依赖图以及节点替换关系集合,计算得到用户实际权限向量,并对用户实际权限向量进行合并,得到用户实际权限结果数据。
2.根据权利要求1所述的基于权限依赖图缩减的网络用户实际权限快速推理方法,其特征在于,所述权限依赖图的缩减方法包括:先对权限依赖图进行强连通节点合并处理,再进行入度为1节点合并处理。
3.根据权利要求1所述的基于权限依赖图缩减的网络用户实际权限快速推理方法,其特征在于,所述权限依赖图的缩减方法包括:先对权限依赖图进行强连通节点合并处理,再进行入度为1节点合并处理,最后进行同前序节点合并处理。
4.根据权利要求2或3所述的基于权限依赖图缩减的网络用户实际权限快速推理方法,其特征在于,所述强连通节点合并方法具体包括:在去掉所有AND类型节点的权限依赖图中,若节点A和节点B处于同一强连通子图中,则将节点A和节点B合并成一个新节点C。
5.根据权利要求2或3所述的基于权限依赖图缩减的网络用户实际权限快速推理方法,其特征在于,所述入度为1节点合并处理方法具体包括:在权限依赖图中,所有用户初始时均没有节点A所代表的权限,且节点A只有一个前向节点B,则将节点A和前向节点B合并成一个新节点C。
6.根据权利要求3所述的基于权限依赖图缩减的网络用户实际权限快速推理方法,其特征在于,所述同前序节点合并的具体方法包括:在权限依赖图中,若节点A的前序节点和节点B的前序节点相同,且节点A和节点B所对应的权限均不为某个用户的初始权限,则将节点A和节点B合并为一个新节点C。
7.一种基于权限依赖图缩减的网络用户实际权限获取系统,其特征在于,包括:
信息采集模块:用于获取网络基本信息数据;
预处理模块:用于对网络基本信息数据进行信息提取,得到权限依赖图和用户初始权限矩阵;
缩减处理模块:用于根据权限依赖图和用户初始权限矩阵,对权限依赖图进行缩减处理,得到缩减权限依赖图和节点替换关系集合;
权限计算模块:用于将用户初始权限矩阵按行进行划分,得到用户初始权限向量;根据用户初始权限向量、缩减权限依赖图以及节点替换关系集合,计算得到用户实际权限向量,并对用户实际权限向量进行合并,得到用户实际权限结果数据。
8.一种基于权限依赖图缩减的网络用户实际权限获取装置,其特征在于,包括处理器及存储介质;
所述存储介质用于存储指令;
所述处理器用于根据所述指令进行操作以执行根据权利要求1~6任一项所述方法的步骤。
9.计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1~6任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210755212.5A CN115150152B (zh) | 2022-06-30 | 基于权限依赖图缩减的网络用户实际权限快速推理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210755212.5A CN115150152B (zh) | 2022-06-30 | 基于权限依赖图缩减的网络用户实际权限快速推理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115150152A true CN115150152A (zh) | 2022-10-04 |
| CN115150152B CN115150152B (zh) | 2024-04-26 |
Family
ID=
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116702111A (zh) * | 2023-08-02 | 2023-09-05 | 中国物品编码中心 | 一种网页表单数据权限控制方法和计算机存储介质 |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080016115A1 (en) * | 2006-07-17 | 2008-01-17 | Microsoft Corporation | Managing Networks Using Dependency Analysis |
| CN102054149A (zh) * | 2009-11-06 | 2011-05-11 | 中国科学院研究生院 | 一种恶意代码行为特征提取方法 |
| CN108319858A (zh) * | 2018-01-29 | 2018-07-24 | 中国科学院信息工程研究所 | 针对不安全函数的数据依赖图构建方法及装置 |
| CN109274539A (zh) * | 2018-11-14 | 2019-01-25 | 中国人民解放军陆军工程大学 | 基于遗传算法的网络安全配置自动生成系统 |
| CN110191120A (zh) * | 2019-05-28 | 2019-08-30 | 中国科学院信息工程研究所 | 一种网络系统漏洞风险评估方法及装置 |
| CN110717181A (zh) * | 2019-09-09 | 2020-01-21 | 中国人民解放军战略支援部队信息工程大学 | 基于新型程序依赖图的非控制数据攻击检测方法及装置 |
| CN110838945A (zh) * | 2019-11-15 | 2020-02-25 | 中国人民解放军陆军工程大学 | 基于权限依赖图的网络运维脆弱性分析方法 |
| US20200293916A1 (en) * | 2019-03-14 | 2020-09-17 | Yadong Li | Distributed system generating rule compiler engine apparatuses, methods, systems and media |
| CN112039843A (zh) * | 2020-07-24 | 2020-12-04 | 中国人民解放军陆军工程大学 | 基于矩阵补全的用户多域权限联合估计方法 |
| CN112818678A (zh) * | 2021-02-24 | 2021-05-18 | 上海交通大学 | 基于依赖关系图的关系推理方法及系统 |
| US11227190B1 (en) * | 2021-06-29 | 2022-01-18 | Alipay (Hangzhou) Information Technology Co., Ltd. | Graph neural network training methods and systems |
| CN114430382A (zh) * | 2021-11-30 | 2022-05-03 | 中国科学院信息工程研究所 | 基于被动dns流量的权威域名服务器冗余度缩减检测方法及装置 |
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080016115A1 (en) * | 2006-07-17 | 2008-01-17 | Microsoft Corporation | Managing Networks Using Dependency Analysis |
| CN102054149A (zh) * | 2009-11-06 | 2011-05-11 | 中国科学院研究生院 | 一种恶意代码行为特征提取方法 |
| CN108319858A (zh) * | 2018-01-29 | 2018-07-24 | 中国科学院信息工程研究所 | 针对不安全函数的数据依赖图构建方法及装置 |
| CN109274539A (zh) * | 2018-11-14 | 2019-01-25 | 中国人民解放军陆军工程大学 | 基于遗传算法的网络安全配置自动生成系统 |
| US20200293916A1 (en) * | 2019-03-14 | 2020-09-17 | Yadong Li | Distributed system generating rule compiler engine apparatuses, methods, systems and media |
| CN110191120A (zh) * | 2019-05-28 | 2019-08-30 | 中国科学院信息工程研究所 | 一种网络系统漏洞风险评估方法及装置 |
| CN110717181A (zh) * | 2019-09-09 | 2020-01-21 | 中国人民解放军战略支援部队信息工程大学 | 基于新型程序依赖图的非控制数据攻击检测方法及装置 |
| CN110838945A (zh) * | 2019-11-15 | 2020-02-25 | 中国人民解放军陆军工程大学 | 基于权限依赖图的网络运维脆弱性分析方法 |
| CN112039843A (zh) * | 2020-07-24 | 2020-12-04 | 中国人民解放军陆军工程大学 | 基于矩阵补全的用户多域权限联合估计方法 |
| CN112818678A (zh) * | 2021-02-24 | 2021-05-18 | 上海交通大学 | 基于依赖关系图的关系推理方法及系统 |
| US11227190B1 (en) * | 2021-06-29 | 2022-01-18 | Alipay (Hangzhou) Information Technology Co., Ltd. | Graph neural network training methods and systems |
| CN114430382A (zh) * | 2021-11-30 | 2022-05-03 | 中国科学院信息工程研究所 | 基于被动dns流量的权威域名服务器冗余度缩减检测方法及装置 |
Non-Patent Citations (3)
| Title |
|---|
| 郑艳梅: "基于权限信息的Android恶意软件分类检测", 《现代计算机》 * |
| 马俊春;孙继银;王勇军;李琳琳;: "一种基于脆弱点依赖图的脆弱性评估方法", 大连海事大学学报, no. 04 * |
| 马俊春;孙继银;王勇军;李琳琳;: "一种基于脆弱点依赖图的脆弱性评估方法", 大连海事大学学报, no. 04, 15 November 2010 (2010-11-15) * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116702111A (zh) * | 2023-08-02 | 2023-09-05 | 中国物品编码中心 | 一种网页表单数据权限控制方法和计算机存储介质 |
| CN116702111B (zh) * | 2023-08-02 | 2023-11-14 | 中国物品编码中心 | 一种网页表单数据权限控制方法和计算机存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102724219B (zh) | 网络数据的计算机处理方法及系统 | |
| Lisser et al. | Graph partitioning using linear and semidefinite programming | |
| CN110166344B (zh) | 一种身份标识识别方法、装置以及相关设备 | |
| CN111598711A (zh) | 目标用户账号识别方法、计算机设备及存储介质 | |
| Nguyen et al. | Learning reusable initial solutions for multi-objective order acceptance and scheduling problems with genetic programming | |
| CN113706326A (zh) | 基于矩阵运算的移动社会网络图修改方法 | |
| Fu et al. | Dynamic programming driven memetic search for the steiner tree problem with revenues, budget, and hop constraints | |
| CN114647790A (zh) | 应用于行为意图分析的大数据挖掘方法及云端ai服务系统 | |
| CN115150152B (zh) | 基于权限依赖图缩减的网络用户实际权限快速推理方法 | |
| CN115150152A (zh) | 基于权限依赖图缩减的网络用户实际权限快速推理方法 | |
| CN112084500A (zh) | 病毒样本的聚类方法、装置、电子设备和存储介质 | |
| Chiu et al. | A genetic algorithm for reliability-oriented task assignment with k/spl tilde/duplications in distributed systems | |
| CN111008873A (zh) | 一种用户确定方法、装置、电子设备及存储介质 | |
| CN116451234A (zh) | 一种操作系统终端动态信任评估算法 | |
| Younes et al. | A genetic algorithm for reliability evaluation of a stochastic-flow network with node failure | |
| CN114978765A (zh) | 服务于信息攻击防御的大数据处理方法及ai攻击防御系统 | |
| CN111431561B (zh) | 一种考虑网络攻击的电力系统预想故障集生成方法和装置 | |
| Diamah et al. | Network security evaluation method via attack graphs and fuzzy cognitive maps | |
| Kang et al. | Properties of stochastic Kronecker graphs | |
| Tigane et al. | Dynamic GSPNs: formal definition, transformation towards GSPNs and formal verification | |
| CN108881198B (zh) | 一种智能终端安全控制方法 | |
| El Gaily | Evaluation of Resource optimization based on quantum search | |
| CN113392101A (zh) | 构建横向联邦树的方法、主服务器、业务平台和系统 | |
| Salah et al. | A modified grid diversity operator for discrete optimization and its application to wind farm layout optimization problems | |
| Rocha et al. | A memetic algorithm for the biobjective minimum spanning tree problem |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant |