CN115374426A - 访问控制方法、装置、设备及存储介质 - Google Patents
访问控制方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN115374426A CN115374426A CN202211015536.1A CN202211015536A CN115374426A CN 115374426 A CN115374426 A CN 115374426A CN 202211015536 A CN202211015536 A CN 202211015536A CN 115374426 A CN115374426 A CN 115374426A
- Authority
- CN
- China
- Prior art keywords
- risk value
- time
- frequency
- risk
- content
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
- G06F21/46—Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- User Interface Of Digital Computer (AREA)
Abstract
本申请的实施例公开了一种访问控制方法、装置、设备及存储介质,方法包括:获取客户端所属用户的访问操作所对应的操作行为数据,其中,操作行为数据包括操作时间、操作频率和操作内容;分析操作行为数据,以计算得到操作时间风险值、操作频率风险值以及操作内容风险值;根据操作时间风险值、操作频率风险值和操作内容风险值计算访问操作的操作风险;根据操作风险对访问操作进行控制。本申请实施例的技术方案,减少非用户本人操作的概率,有效增加了访问的安全性,数据信息的保密性。
Description
技术领域
本申请涉及一种计算机技术领域,提供一种访问控制方法、访问控制装置、电子设备及计算机可读存储介质。
背景技术
数据库的安全防护包括运行系统的防护与信息安全,系统安全通常受到的威胁如下,黑客对数据库入侵,并盗取想要的资料。数据库系统的安全特性主要是针对数据而言的,现今对数据库信息安全的防护有多种,常见防护方式是采取数据加密技术,给用户设置数据库的访问权限,对用户的输入信息进行校验等但此类方式也存在着许多问题:
设置用户访问权限:高权限账户用户也有被爆破,账号被盗用风险,造成数据泄露或删除关键信息等不良操作,无法判决当前操作人是否用户本人。
账号密码等输入信息校验:仅仅是对数据信息的校验,也可预防结构化查询语言(Structured Query Language,SQL)注入等安全风险,但也根本无法判断当前操作是否用户本人操作,若账号泄露也能正常操作数据库,查询相关重要信息。
发明内容
本申请的目的在于提供一种访问控制方法、访问控制装置、电子设备及计算机可读存储介质,减少非用户本人操作的概率,有效增加了访问的安全性,数据信息的保密性。
本申请提出一种访问控制方法,所述方法包括:获取客户端所属用户的访问操作所对应的操作行为数据,其中,所述操作行为数据包括操作时间、操作频率和操作内容;分析所述操作行为数据,以计算得到操作时间风险值、操作频率风险值以及操作内容风险值;根据所述操作时间风险值、所述操作频率风险值和所述操作内容风险值计算所述访问操作的操作风险;根据所述操作风险对所述访问操作进行控制。
进一步地,所述分析所述操作行为数据,以计算得到操作时间风险值、操作频率风险值以及操作内容风险值,包括:根据所述操作时间计算所述操作时间风险值;根据所述操作频率计算所述操作频率风险值;根据所述操作时间风险值、操作频率风险值和所述操作内容计算所述操作内容风险值。
进一步地,所述根据所述操作时间计算所述操作时间风险值,包括:获取基于所述用户的历史访问操作的历史操作频率所划分的至少两个时间段,以及各个时间段对应的风险值;将所述操作时间与所述至少两个时间段进行匹配,以获取所匹配的时间段对应的风险值;根据所匹配的时间段对应的风险值得到所述操作时间风险值。
进一步地,所述操作频率为包含所述操作时间的最近的时间周期内的频率,所述根据所述操作频率计算所述操作频率风险值,包括:获取所述用户在历史时间段内的总操作次数;将所述历史时间段划分为多个所述时间周期,以计算得到平均每个时间周期内的历史操作频率;根据平均每个时间周期内的历史操作频率和所述操作频率计算所述操作频率风险值。
进一步地,所述根据所述操作时间风险值、操作风险值和所述操作内容计算所述操作内容风险值,包括:获取对所述用户的历史操作内容进行分类所得到的多个操作类型,以及各个操作类型对应的风险值;确定所述操作内容对应的目标操作类型,以获取所述目标操作类型对应的风险值;根据所述操作时间风险值、操作频率风险值和所述目标操作类型对应的风险值计算所述操作内容风险值。
进一步地,所述根据所述操作时间风险值、操作频率风险值和所述目标操作类型对应的风险值计算所述操作内容风险值,包括:获取所述操作时间风险值和操作频率风险值分别对应的第一权重、第二权重;根据所述第一权重和第二权重,对所述操作时间风险值和操作频率风险值进行加权处理得到加权风险值;根据所述加权风险值和所述目标操作类型对应的风险值计算所述操作内容风险值。
进一步地,所述根据所述操作时间风险值、操作频率风险值和操作内容风险值计算所述访问操作的操作风险,包括:获取所述操作时间风险值、操作频率风险值和所述操作内容风险值分别对应的第一权重、第二权重和第三权重,其中,第一权重的值小于所述第二权重的值,所述第二权重的值小于所述第三权重值;根据所述第一权重、第二权重和第三权重对所述操作时间风险值、操作频率风险值和所述操作内容风险值进行加权求和处理,得到所述操作风险。
本申请还提出一种访问控制装置,所述装置包括:获取模块,用于获取客户端所属用户的访问操作所对应的操作行为数据,其中,所述操作行为数据包括操作时间、操作频率和操作内容;分析模块,用于分析所述操作行为数据,以计算得到操作时间风险值、操作频率风险值以及操作内容风险值;计算模块,用于根据所述操作时间风险值、所述操作频率风险值和所述操作内容风险值计算所述访问操作的操作风险;控制模块,用于根据所述操作风险对所述访问操作进行控制。
本申请还提出一种电子设备,所述电子设备包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当所述一个或多个被所述一个或多个处理器执行时,使得所述电子设备实现如上所述的方法。
本申请还提出一种计算机可读存储介质,其上存储有计算机可读指令,其上存储有计算机可读指令,当所述计算机可读指令被计算机的处理器执行时,使计算机执行如上所述的方法。
与现有技术相比,本申请具有如下有益效果:
本申请提供的技术方案中,获取客户端所属用户的访问操作所对应的操作行为数据,然后对操作行为数据分析,以计算操作时间风险值、所述操作频率风险值和所述操作内容风险值,进而综合三个维度的风险值得出最终用户此次访问操作的操作风险,保证操作风险确定的准确性,并以操作风险对访问操作进行控制,进一步减少非用户本人操作的概率,有效增加了访问的安全性,数据信息的保密性。
附图说明
图1示出了本申请涉及的一种实施环境的示意图;
图2示出了本申请一示例性实施例示出的一种访问控制方法的流程图;
图3示出了图2所示实施例中的在步骤S120在一示例性实施例中的流程图;
图4示出了图3所示实施例中的步骤S121在一示例性实施例中的流程图;
图5示出了图3所示实施例中的步骤S122在一示例性实施例中的流程图;
图6示出了在图3所示实施例中的步骤S123在一示例性实施例中的流程图;
图7示出了图6所示实施例中的步骤S1233在一示例性实施例中的流程图;
图8示出了图2所示实施例中的步骤S131在一示例性实施例中的流程图;
图9示出了本申请一示例性实施例示出的另一种访问控制方法的流程图;
图10示出了本申请一示例性实施例示出的一种访问控制装置的结构示意图;
图11示出了适于用来实现本申请实施例的电子设备的结构示意图。
具体实施方式
这里将详细地对示例性实施例执行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
附图中所示的方框图仅仅是功能实体,不一定必须与物理上独立的实体相对应。即,可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
附图中所示的流程图仅是示例性说明,不是必须包括所有的内容和操作/步骤,也不是必须按所描述的顺序执行。例如,有的操作/步骤还可以分解,而有的操作/步骤可以合并或部分合并,因此实际执行的顺序有可能根据实际情况改变。
还需要说明的是:在本申请中提及的“多个”是指两个或者两个以上。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
请参阅图1,图1是本申请涉及的一种实施环境的示意图。该实施环境包括客户端10和服务器20,客户端10和服务器20可以通过网络30连接,网络30可以是有线网络,也可以是无线网络,本处也不进行限制。
其中,服务器20上运行有数据库。
客户端10用于对服务器20上的数据库进行访问,以对数据库中的数据进行操作。
服务器20用于获取客户端所属用户的访问操作所对应的操作行为数据,其中,该操作行为数据包括操作时间、操作频率和操作内容;分析该操作行为数据,以计算得到操作时间风险值、操作频率风险值以及操作内容风险值;根据该操作时间风险值、操作频率风险值和操作内容风险值计算该访问操作的操作风险;根据该操作风险对访问操作进行控制,例如根据操作风险确定是否响应该访问操作。
在一些实施例中,也可以单独由客户端实现访问控制方法,即客户端上运行有数据库,进而获取用户的访问操作所对应的操作行为数据,得到访问操作的操作风险,进而以该操作风险对访问操作进行控制。
其中,服务器可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN(Content Delivery Network,内容分发网络)以及大数据和人工智能平台等基础云计算服务的云服务器,本处不对此进行限制。
客户端包括但不限于智能手机、平板、笔记本电脑、计算机、智能语音交互设备、智能家电、车载终端、飞行器等等。
以下基于图1所示的实施环境对访问控制方法进行详细说明:
请参阅图2,图2是本申请一示例性实施例示出的一种访问控制方法的流程图,该访问控制方法由图1所示的服务器执行,该访问控制方法包括步骤S110至步骤S140,详细介绍如下:
S110、获取客户端所属用户的访问操作所对应的操作行为数据,其中,操作行为数据包括操作时间、操作频率和操作内容。
在本申请实施例中,用户可以基于客户端对服务器上的数据库进行访问,此时服务器可以获取用户的访问操作,可以理解的是,访问操作对应着操作行为数据,该操作行为数据指的是该访问操作所涉及的行为数据,包括操作时间、操作频率和操作内容。
操作时间指的是该访问操作对应的触发时刻,例如当前访问操作为查询操作时,则操作时间即为触发的查询操作的时刻,例如在显示界面显示输入框以及查询按钮,在输入框输入到信息后,用户点击查询按钮,以触发查询操作,将点击查询按钮的查询时间作为操作时间;又例如当前访问操作为登录数据库的登录操作时,操作时间为登录时间。
操作频率指的是在一定时间段内的操作的频率,该一定时间段包含该操作时间,其中,该一定时间段内的操作可以是任意操作,即例如查询时间为12:00,操作频率为基于11:00~12:00内的所有操作次数所得的频率,该所有操作可以是查询操作、登录操作,也可以是数据修改操作、数据更新操作等。
操作内容指的是在登录数据库之后,所操作的数据库的内容,例如查询操作的操作内容就查询指定数据,数据修改操作的操作内容为将数据库中的A数据修改为B数据;数据更新操作为将数据库中的C数据更新为D数据。
需要说明的是,在获取客户端所属用户的访问操作所对应的操作行为数据之前,还可以对用户登录信息进行验证,即对用户输入的账号和密码进行验证,在验证通过时,才允许用户对数据库中的数据进行访问,此时,获取操作内容。
S120、分析操作行为数据,以计算得到操作时间风险值、操作频率风险值以及操作内容风险值。
在本申请实施例中,可以对操作行为数据进行分析,具体是对操作时间、操作频率和操作内容进行分析,以计算得到操作时间风险值、操作频率风险值以及操作内容风险值。
其中,操作时间风险值用于表征操作时间针对访问操作的风险程度,操作频率值用于表征操作频率针对访问操作的风险程度,操作内容风险值用于表征操作内容针对访问操作的风险程度。
值得注意的是,如图3所示,图3示出了图2所示实施例中的步骤S120的流程图,包括:
S121、根据操作时间计算操作时间风险值。
S122、根据操作频率计算操作频率风险值。
S123、根据操作时间风险值、操作频率风险值和操作内容计算操作内容风险值。
由于操作行为数据包括操作时间、操作频率和操作内容,则可以基于操作时间计算操作时间风险值,操作频率计算操作频率风险值,而操作内容风险值和操作时间与操作频率相关,例如操作时间为凌晨12点,操作频率1分钟60次,操作频率较高,说明此时的访问操作是比较异常的,则对应的操作内容风险值也较高,因此,可以基于操作时间风险值、操作频率风险值和操作内容计算操作内容风险值,使得所得到的操作内容风险值更加准确。
在一些实施例中,如图4所示,图4示出了图3所示实施例中的步骤S121的流程图,计算操作时间风险值的过程包括:
S1211、获取基于用户的历史访问操作的历史操作频率所划分的至少两个时间段,以及各个时间段对应的风险值。
在本申请实施例中,预先会记录每个用户的历史访问操作,并基于用户的历史访问操作的历史操作频率对预设时间段进行划分得到至少两个时间段,其中,预设时间段包括但不小于24小时,一周7天,一个月30天等。
基于历史操作频率对预设时间段进行划分可以是对历史操作频率进行聚类,根据聚类结果对预设时间段进行划分,例如预设时间段为24小时,历史操作频率为在8~17点的操作频率较高,17~23点的操作频率较低,23~24点的操作频率几乎没有,则可将24小时划分为8~17点的时间段,17~23点的时间段,23~24点的时间段。
可选的,在划分得到至少两个时间段之后,为了便于区分,还可以将8~17点的时间段作为工作时间段,17~23点的时间段作为非工作时间段,将23~24点的时间段作为无登录时间段。
在本申请实施例中,在划分得到至少两个时间段之后,还可以为各个时间段配置对应的风险值,例如操作频率较高对应的时间段(工作时间段),其风险值为第一风险值;操作频率较低对应的时间段(非工作时间段),其风险值为第二风险值;操作频率几乎没有(无登录时间段),其风险值为第三风险值,而第一风险值小于第二风险值,第二风险值小于第三风险值。可选的,为各个时间段配置的对应风险值的大小为[0,1]。
可以理解的是,不同的用户,所划分得到至少两个时间段应当不同,则在时间段对应的风险值应当也不同,在此不进行限定。
进而可以得到各个用户对应的至少两个时间段,以及各个时间段对应的风险值,因此,当获取客户端所属用户A的操作行为数据时,可以先获取用户A对应的至少两个时间段,以及各个时间段对应的风险值。
S1212、将操作时间与至少两个时间段进行匹配,以获取所匹配的时间段对应的风险值。
由于客户端所属用户A的操作行为数据包括操作时间,则用户A的操作时间与用户A对应的至少两个时间段进行匹配,假设匹配得到非工作时间段,则进一步获取非工作时间段对应的风险值,即第二风险值。
S1213、根据所匹配的时间段对应的风险值得到所述操作时间风险值。
在本申请实施例的一示例中,可以将所匹配的时间段对应的风险值作为操作时间风险值。
在另一示例中,可以将所匹配的时间段对应的风险值进行转换后,将转换后的值作为操作时间风险值,例如将所匹配的时间段对应的风险值与预设权重相乘,将所得到值作为操作时间风险值。
在本申请实施例中,通过用户的历史操作时间划分时间段,进而得到操作时间风险值,使得操作时间风险值更新贴合用户的实际情况,进而便于确定当前操作时间对应的操作是否为用户本人操作。
需要说明的是,本申请实施例中的操作频率为包括操作时间的最近的时间周期内的频率。其中,时间周期可以根据实际情况进行灵活调整,例如时间周期为1小时,操作时间为9:00,则操作频率为包括操作时间的最近1小时内的频率。此时,如图5所示,图5示出了图3所示实施例中的步骤S122的流程图,计算操作频率风险值的过程包括:
S1221、获取用户在历史时间段内的总操作次数。
在本申请实施例中,历史时间段可以根据实际需求进行灵活调整,例如历史时间段为最近1天24小时,则获取用户在最近24小时内的总操作次数。
S1222、将历史时间段划分为多个时间周期,以计算得到平均每个时间周期内的历史操作频率。
如前所述,操作频率为包括操作时间的最近的时间周期内的频率,如操作频率为包括操作时间的最近1小时内的频率,则可将24小时划分为24个时间周期,进而计算历史平均每小时内的历史操作频率。
S1223、根据平均每个时间周期内的历史操作频率和操作频率计算操作频率风险值。
在本申请实施例中,根据平均每个时间周期内的历史操作评论和最近一时间周期计算操作频率风险值。计算公式如下:
其中,E(X)为平均每个时间周期内的历史操作频率,XT为操作频率,K为预设操作频率上限值,该K的大小可以根据实际情况进行灵活调整,例如K为1000,表示为用户最大的操作频率为1000。
在本申请实施例中,通过平均每个时间周期内的历史操作频率和最近一时间周期的操作频率来反应操作频率变化特征,进而计算得到操作频率风险值,以便于后续确定是否为用户本人操作。
如图6所示,图6示出了图3所示实施例中的步骤S123的流程图,计算操作内容风险值的过程包括:
S1231、获取对用户的历史操作内容进行分类所得到的多个操作类型,以及各个操作类型对应的风险值。
在本申请实施例中,预先会记录每个用户的历史访问操作的历史操作内容,对该历史操作内容进行分类,得到多个操作类型。其中操作类型包括插入操作(insert)、删除操作(Delete)、选择操作(Select)、更新操作(Update)终止操作(drop)和修改操作(Alter)。
在分类得到多个操作类型之后,还需要为各个操作类型配置对应的风险值,可选的,为各个操作类型配置的对应风险值的大小为[0,1]。
在一示例中,可以根据用户的操作习惯为各个操作类型配置对应的风险值,例如用户的操作习惯先对数据进行选择,即首先执行选择操作,然后再取消该选择操作;用户的操作习惯还包括几乎不执行终止操作,则选择操作的风险值小于终止操作。
在另一示例中,还可以根据用户对各个操作类型的操作频率配置对应的风险值,操作频率越高的操作类型,其对应的风险值越低。
可以理解的是,不同的用户,分类得到操作类型应当不同,则操作类型对应的风险值应当也不同,在此不进行限定。
进而可以得到各个用户对应的多个操作类型,以及各个操作类型对应的风险值,因此,当获取客户端所属用户A的操作行为数据时,可以先获取用户A对应的多个操作类型,以及各个操作类型对应的风险值。
S1232、确定操作内容对应的目标操作类型,以获取目标操作类型对应的风险值。
由于客户端所属用户A的操作行为数据包括操作内容,则先基于操作内容确定对应的目标操作类型,例如操作内容为将数据C修改为数据D,则目标操作类型为修改操作,则将获取修改操作对应的风险值。
S1233、根据操作时间风险值、操作频率风险值和目标操作类型对应的风险值计算操作内容风险值。
在本申请实施例中,由于操作内容风险值和操作时间与操作频率相关,还与操作内容相关,则获得目标操作类型对应的风险值后,基于操作时间风险值、操作频率风险值和目标操作类型对应的风险值计算操作内容风险值。
在本申请实施例中,结合用户的历史操作内容和当前操作内容的对比,来确定当前操作内容风险值,以便于后续确定是否为用户本人操作。
其中,如图7示出了图6所示实施例中的步骤S1233的流程图,计算操作内容风险值的过程包括:
S710、获取操作时间风险值和操作频率风险值分别对应的第一权重、第二权重。
在本申请实施例中,预先为操作时间风险值和操作频率风险配置的第一权重和第二权重,其中第一权重小于第二权重。
S720、根据第一权重和第二权重,对操作时间风险值和操作频率风险值进行加权处理得到加权风险值。
在一示例中,根据第一权重和第二权重对操作时间风险值和操作频率风险值进行加权处理可以是加权平均处理,即(第一权重*操作时间风险值+第二权重*操作频率风险值)/(第一权重+第二权重)。
在另一示例中,根据第一权重和第二权重对操作时间风险值和操作频率风险值进行加权处理可以加权求和处理,即第一权重*操作时间风险值+第二权重*操作频率风险值。
S730、根据加权风险值和目标操作类型对应的风险值计算操作内容风险值。
在一示例中,可以将加权风险值和目标操作类型对应的风险值的乘积作为操作内容风险值。
在另一示例中,可以将加权风险值和目标操作类型对应的风险值的和作为操作内容风险值。
S130、根据操作时间风险值、操作频率风险值和操作内容风险值计算访问操作的操作风险。
在本申请实施例中,从操作时间风险值、操作频率风险值和操作内容风险值三个维度来计算访问操作的操作风险,该访问操作的操作风险用于表征该访问操作的风险程度。
如图8示出了图2所示实施例中的步骤S130的流程图,计算访问操作的操作风险的过程包括:
S131、获取操作时间风险值、操作频率风险值和操作内容风险值分别对应的第一权重、第二权重和第三权重,其中,第一权重的值小于第二权重的值,第二权重的值小于第三权重值。
在本申请实施例中,图8中的第一权重和第二权重和图7中的第一权重和第二权重相同。在图8中还包括为操作内容风险值对应的第三权重。第三权重的值最大,表示操作内容风险值最重要。
S132、根据第一权重、第二权重和第三权重对操作时间风险值、操作频率风险值和操作内容风险值进行加权求和处理,得到操作风险。
在本申请实施例中,将第一权重和操作时间风险值相乘,将第二权重和操作频率风险值,将第三权重和操作内容风险值相乘,最后将相乘得到积相加得到操作风险,通过综合三个维度风险与权值得出最终用户此次操作对数据库访问的操作风险,使得操作风险的确定更加准确可靠。
S140、根据操作风险对所述访问操作进行控制。
继续参见图2,在本申请实施例中,可以通过操作风险对访问操作进行控制,如通过操作风险确定是否响应该访问操作,又例如通过操作风险确定是否进行预警。
其中,在得到操作风险之后,可以将操作风险与预设风险值进行比较,若操作风险大于或等于预设风险值,则表明当前访问操作不是用户本人发起的操作,拒绝该访问操作;若操作风险小于预设风险值,则表示是用户本人发起的操作,响应该访问操作。
本申请实施例中,获取客户端所属用户的访问操作所对应的操作行为数据,然后对操作行为数据分析,以计算操作时间风险值、所述操作频率风险值和所述操作内容风险值,进而综合三个维度的风险值得出最终用户此次访问操作的操作风险,保证操作风险确定的准确性,并以操作风险对访问操作进行控制,进一步减少非用户本人操作的概率,有效增加了访问的安全性,数据信息的保密性。
为了便于理解,本实施例以一个较为具体的示例对访问控制方法进行说明。该访问控制方法旨在分析用户等操作时间,操作频率,操作内容等不同维度的行为特征,利用独有的计算方法得出此次操作行为的风险,以执行的结果来判定此次访问操作是否存在风险,进一步减少非用户本人操作的概率,有效增加了访问的安全性,数据信息的保密性。如图9所示,该访问控制方法包括:
S910、用户发起请求。
用户需要访问数据库时,需要发起请求,即用户发起请求验证登录账号和密码等登录信息。
S920、验证登录信息。
数据库对应的服务器会对登录账号和密码进行验证,即验证登录账号和密码是否正确。
S930、校验用户输入的查询信息。
在用户登录成功之后,数据库对应的服务器首先会校验用户输入的查询信息(即前述的访问操作),判断查询信息中是否存在非法字段或恶意操作或恶意输入行为。其中数据库对应的服务器中预先存储有非法字段集,进而可以根据非法字段集对查询信息进行校验。恶意操作包括但不限于反复输入查询信息后,删除查询信息,反复执行。
在一示例中,还可以对输入的查询信息进行字符串校验,关键字排查,正则验证,其中,字符串校验包括但不限于校验字符串是否为空,校验字符串长度是否符合要求;关键字排查包括但不限于关键词数量、长度、重复率的排查;正则验证指的是通过正则表达式匹配目标字符串,目标字符串可以是异常的字符串,也可以是正常的字符串。
S940、操作风险判决。
在本申请实施例中,对用户输入的查询信息校验通过后,接受查询行为信息,并基于查询行为信息进行操作风险的判决。
首先进行数据预处理:
1)提取历史用户登陆信息,包括登陆次数,登陆时间段;2)对用户历史操作内容进行分类,得到各操作类型(Delete、Select、Update、insert、drop、Alter);3)对用户操作数据库的频次进行统计。
然后进行数据分析:
依据用户操作数据库的频次把24小时切分为3个实际段,即工作时间、非工作时间和无登录时间段,得到标签集合为<tw,tn,ti>。
统计历史平均一个小时内对数据库的查询次数E(X),计算最近一小时操作频次XT。
通过该账号ID的历史操作行为,并根据用户的操作习惯对操作类型赋值得到集合<VD,VS,VU,Vi,Vd,VA>。
最后计算操作时间风险值:
其中,<Vw,Vn,Vi>∈[0,1],T为操作时间,tw为工作时间,tn为非工作时间,ti为无登录时间。
计算操作频率风险值:
其中,E(X)为平均每个时间周期内的历史操作频率,XT为操作频率
计算操作内容风险值:
其中,α为操作时间风险值对应的权重,β为操作频率风险值对应的权重,V(i,S,D,Y,d,A)为当前操作类型。
操作风险为:
Rsum=α*RT+β*RF+γ*RA
其中,γ为操作内容风险值对应的权重,α、β和γ之和为1。
假设根据用户历史数据分析得到无登录时间段ti为8:00,历史平均一个小时内对数据库的查询次数E(X)为50,最近一小时操作频次XT为60。根据图3公式将RT赋值为1。计算出RF约为0.504134;设置RT的权值α=0.2,β=0.3,γ=0.5,假设此次操作为更新操作,此举动VU为0.8,进而计算得出RA约为0.5619;最后得出此次操作数据库的风险值Rsum为0.6321。
S950、查询对应的信息。
S960、返回查询的信息。
若当前的操作风险小于预设风险值,则数据库查询对应的信息,并将所查询的信息返回给用户。
本申请提供的该方法具有良好的通用性与安全保障性,通过分析用户对数据库日常的操作行为特征,并以特有的计算算法得出此次操作行为的风险,以执行的结果来判定此次查询操作是否存在风险,同时结合已经有的数据库安全防护功能,在保证查询行为的安全性情况下,确保了该次查询的发起是由操作用户本人发起的,减少了由于账户盗用或非用户本人操作账户而引起信息泄露的风险操作,适用于普遍的web业务操作系统。
以下介绍本申请的装置实施例,可以用于执行本申请上述实施例中的访问控制方法。对于本申请装置实施例中未披露的细节,请参照本申请上述的访问控制方法的实施例。
如图10所示,图10是本申请的一示例性实施例示出的一种访问控制装置的结构示意图,该装置部署于服务器,装置包括:
获取模块1010,用于获取客户端所属用户的访问操作所对应的操作行为数据,其中,所述操作行为数据包括操作时间、操作频率和操作内容;
分析模块1020,用于分析所述操作行为数据,以计算得到操作时间风险值、操作频率风险值以及操作内容风险值;
计算模块1030,用于根据所述操作时间风险值、所述操作频率风险值和所述操作内容风险值计算所述访问操作的操作风险;
控制模块1040,用于根据所述操作风险对所述访问操作进行控制。
在本申请的一些实施例中,基于前述方案,分析模块1020进一步用于根据所述操作时间计算所述操作时间风险值;根据所述操作频率计算所述操作频率风险值;根据所述操作时间风险值、操作频率风险值和所述操作内容计算所述操作内容风险值。
在本申请的一些实施例中,基于前述方案,分析模块1020进一步用于获取基于所述用户的历史访问操作的历史操作频率所划分的至少两个时间段,以及各个时间段对应的风险值;将所述操作时间与所述至少两个时间段进行匹配,以获取所匹配的时间段对应的风险值;根据所匹配的时间段对应的风险值得到所述操作时间风险值。
在本申请的一些实施例中,基于前述方案,所述操作频率为包含所述操作时间的最近的时间周期内的频率,分析模块1020进一步用于获取所述用户在历史时间段内的总操作次数;将所述历史时间段划分为多个所述时间周期,以计算得到平均每个时间周期内的历史操作频率;根据平均每个时间周期内的历史操作频率和所述操作频率计算所述操作频率风险值。
在本申请的一些实施例中,基于前述方案,分析模块1020进一步用于获取对所述用户的历史操作内容进行分类所得到的多个操作类型,以及各个操作类型对应的风险值;确定所述操作内容对应的目标操作类型,以获取所述目标操作类型对应的风险值;根据所述操作时间风险值、操作频率风险值和所述目标操作类型对应的风险值计算所述操作内容风险值。
在本申请的一些实施例中,基于前述方案,分析模块1020进一步用于获取所述操作时间风险值和操作频率风险值分别对应的第一权重、第二权重;根据所述第一权重和第二权重,对所述操作时间风险值和操作频率风险值进行加权处理得到加权风险值;根据所述加权风险值和所述目标操作类型对应的风险值计算所述操作内容风险值。
在本申请的一些实施例中,基于前述方案,计算模块1030进一步用于获取所述操作时间风险值、操作频率风险值和所述操作内容风险值分别对应的第一权重、第二权重和第三权重,其中,第一权重的值小于所述第二权重的值,所述第二权重的值小于所述第三权重值;根据所述第一权重、第二权重和第三权重对所述操作时间风险值、操作频率风险值和所述操作内容风险值进行加权求和处理,得到所述操作风险。
需要说明的是,上述实施例所提供的装置与上述实施例所提供的方法属于同一构思,其中各个模块和单元执行操作的具体方式已经在方法实施例中进行了详细描述,此处不再赘述。
本申请实施例的装置,获取客户端所属用户的访问操作所对应的操作行为数据,然后对操作行为数据分析,以计算操作时间风险值、所述操作频率风险值和所述操作内容风险值,进而综合三个维度的风险值得出最终用户此次访问操作的操作风险,保证操作风险确定的准确性,并以操作风险对访问操作进行控制,进一步减少非用户本人操作的概率,有效增加了访问的安全性,数据信息的保密性。
在一示例性实施例中,一种电子设备,包括一个或多个处理器;存储装置,用于存储一个或多个程序,当一个或多个被一个或多个处理器执行时,使得电子设备实现如前所述的方法。可以理解的是,该电子设备可以部署在服务器内。
图11是根据一示例性实施例示出的一种电子设备的结构示意图。
需要说明的是,该电子设备只是一个适配于本申请的示例,不能认为是提供了对本申请的使用范围的任何限制。该电子设备也不能解释为需要依赖于或者必须具有图11中示出的示例性的电子设备中的一个或者多个组件。
如图11所示,在一示例性实施例中,电子设备包括处理组件1101、存储器1102、电源组件1103、多媒体组件1104、音频组件1105、处理器1106、传感器组件1107和通信组件1108。其中,上述组件并不全是必须的,电子设备可以根据自身功能需求增加其他组件或减少某些组件,本实施例不作限定。
处理组件1101通常控制电子设备的整体操作,诸如与显示、数据通信以及日志数据同步相关联的操作等。处理组件1101可以包括一个或多个处理器1106来执行指令,以完成上述操作的全部或部分步骤。此外,处理组件1101可以包括一个或多个模块,便于处理组件1101和其他组件之间的交互。例如,处理组件1101可以包括多媒体模块,以方便多媒体组件1104和处理组件1101之间的交互。
存储器1102被配置为存储各种类型的数据以支持在电子设备的操作,这些数据的示例包括用于在电子设备上操作的任何应用程序或方法的指令。存储器1102中存储有一个或多个模块,该一个或多个模块被配置成由该一个或多个处理器1106执行,以完成上述实施例中所描述的方法中的全部或者部分步骤。
电源组件1103为电子设备的各种组件提供电力。电源组件1103可以包括电源管理系统,一个或多个电源,及其他与为电子设备生成、管理和分配电力相关联的组件。
多媒体组件1104包括在电子设备和用户之间的提供一个输出接口的屏幕。在一些实施例中,屏幕可以包括TP(Touch Panel,触摸面板)和LCD(Liquid Crystal Display,液晶显示器)。如果屏幕包括触摸面板,屏幕可以被实现为触摸屏,以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。触摸传感器可以不仅感测触摸或滑动动作的边界,而且还检测与触摸或滑动操作相关的持续时间和压力。
音频组件1105被配置为输出和/或输入音频信号。例如,音频组件1105包括一个麦克风,当电子设备处于操作模式,如呼叫模式、记录模式和语音识别模式时,麦克风被配置为接收外部音频信号。在一些实施例中,音频组件1105还包括一个扬声器,用于输出音频信号。
传感器组件1107包括一个或多个传感器,用于为电子设备提供各个方面的状态评估。例如,传感器组件1107可以检测到电子设备的打开/关闭状态,还可以检测电子设备的温度变化。
通信组件1108被配置为便于电子设备和其他设备之间有线或无线方式的通信。电子设备可以接入基于通信标准的无线网络,例如Wi-Fi(Wireless-Fidelity,无线网络)。
可以理解,图11所示的结构仅为示意,电子设备可以包括比图11中所示更多或更少的组件,或者具有与图11所示不同的组件。图11中所示的各组件均可以采用硬件、软件或者其组合来实现。
在一示例性实施例中,一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如前所述的方法。该计算机可读存储介质可以是上述实施例中描述的电子设备中所包含的,也可以是单独存在,而未装配入该电子设备中。
需要说明的是,本申请实施例所示的计算机可读存储介质例如可以是电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(ErasableProgrammable Read Only Memory,EPROM)、闪存、光纤、便携式紧凑磁盘只读存储器(Compact Disc Read-Only Memory,CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
本领域技术人员在考虑说明书及实践这里公开的实施方式后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。
上述内容,仅为本申请的较佳示例性实施例,并非用于限制本申请的实施方案,本领域普通技术人员根据本申请的主要构思和精神,可以十分方便地进行相应的变通或修改,故本申请的保护范围应以权利要求书所要求的保护范围为准。
Claims (10)
1.一种访问控制方法,其特征在于,所述方法包括:
获取客户端所属用户的访问操作所对应的操作行为数据,其中,所述操作行为数据包括操作时间、操作频率和操作内容;
分析所述操作行为数据,以计算得到操作时间风险值、操作频率风险值以及操作内容风险值;
根据所述操作时间风险值、所述操作频率风险值和所述操作内容风险值计算所述访问操作的操作风险;
根据所述操作风险对所述访问操作进行控制。
2.根据权利要求1所述的方法,其特征在于,分析所述操作行为数据,以计算得到操作时间风险值、操作频率风险值以及操作内容风险值,包括:
根据所述操作时间计算所述操作时间风险值;
根据所述操作频率计算所述操作频率风险值;
根据所述操作时间风险值、操作频率风险值和所述操作内容计算所述操作内容风险值。
3.根据权利要求2所述的方法,其特征在于,所述根据所述操作时间计算所述操作时间风险值,包括:
获取基于所述用户的历史访问操作的历史操作频率所划分的至少两个时间段,以及各个时间段对应的风险值;
将所述操作时间与所述至少两个时间段进行匹配,以获取所匹配的时间段对应的风险值;
根据所匹配的时间段对应的风险值得到所述操作时间风险值。
4.根据权利要求2所述的方法,其特征在于,所述操作频率为包含所述操作时间的最近的时间周期内的频率;所述根据所述操作频率计算所述操作频率风险值,包括:
获取所述用户在历史时间段内的总操作次数;
将所述历史时间段划分为多个所述时间周期,以计算得到平均每个时间周期内的历史操作频率;
根据平均每个时间周期内的历史操作频率和所述操作频率计算所述操作频率风险值。
5.根据权利要求2所述的方法,其特征在于,所述根据所述操作时间风险值、操作风险值和所述操作内容计算所述操作内容风险值,包括:
获取对所述用户的历史操作内容进行分类所得到的多个操作类型,以及各个操作类型对应的风险值;
确定所述操作内容对应的目标操作类型,以获取所述目标操作类型对应的风险值;
根据所述操作时间风险值、操作频率风险值和所述目标操作类型对应的风险值计算所述操作内容风险值。
6.根据权利要求5所述的方法,其特征在于,所述根据所述操作时间风险值、操作频率风险值和所述目标操作类型对应的风险值计算所述操作内容风险值,包括:
获取所述操作时间风险值和操作频率风险值分别对应的第一权重、第二权重;
根据所述第一权重和第二权重,对所述操作时间风险值和操作频率风险值进行加权处理得到加权风险值;
根据所述加权风险值和所述目标操作类型对应的风险值计算所述操作内容风险值。
7.根据权利要求1所述的方法,其特征在于,所述根据所述操作时间风险值、操作频率风险值和操作内容风险值计算所述访问操作的操作风险,包括:
获取所述操作时间风险值、操作频率风险值和所述操作内容风险值分别对应的第一权重、第二权重和第三权重,其中,第一权重的值小于所述第二权重的值,所述第二权重的值小于所述第三权重值;
根据所述第一权重、第二权重和第三权重对所述操作时间风险值、操作频率风险值和所述操作内容风险值进行加权求和处理,得到所述操作风险。
8.一种访问控制装置,其特征在于,所述装置包括:
获取模块,用于获取客户端所属用户的访问操作所对应的操作行为数据,其中,所述操作行为数据包括操作时间、操作频率和操作内容;
分析模块,用于分析所述操作行为数据,以计算得到操作时间风险值、操作频率风险值以及操作内容风险值;
计算模块,用于根据所述操作时间风险值、所述操作频率风险值和所述操作内容风险值计算所述访问操作的操作风险;
控制模块,用于根据所述操作风险对所述访问操作进行控制。
9.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述电子设备执行权利要求1至7中任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,其上存储有计算机可读指令,当所述计算机可读指令被计算机的处理器执行时,使计算机执行权利要求1至7中的任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211015536.1A CN115374426A (zh) | 2022-08-23 | 2022-08-23 | 访问控制方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211015536.1A CN115374426A (zh) | 2022-08-23 | 2022-08-23 | 访问控制方法、装置、设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115374426A true CN115374426A (zh) | 2022-11-22 |
Family
ID=84067771
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211015536.1A Pending CN115374426A (zh) | 2022-08-23 | 2022-08-23 | 访问控制方法、装置、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115374426A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115880041A (zh) * | 2023-02-13 | 2023-03-31 | 成都阿卡林科技发展有限公司 | 基于大数据分析的住房管理系统 |
CN117220992A (zh) * | 2023-10-12 | 2023-12-12 | 上海佑瞻智能科技有限公司 | 一种支持商用密码算法的云安全管理监控方法及系统 |
CN117332395A (zh) * | 2023-11-23 | 2024-01-02 | 江西财经大学 | 一种用于数据共享的数据管理方法及系统 |
-
2022
- 2022-08-23 CN CN202211015536.1A patent/CN115374426A/zh active Pending
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115880041A (zh) * | 2023-02-13 | 2023-03-31 | 成都阿卡林科技发展有限公司 | 基于大数据分析的住房管理系统 |
CN115880041B (zh) * | 2023-02-13 | 2024-01-02 | 杭州超上科技有限公司 | 基于大数据分析的住房管理系统 |
CN117220992A (zh) * | 2023-10-12 | 2023-12-12 | 上海佑瞻智能科技有限公司 | 一种支持商用密码算法的云安全管理监控方法及系统 |
CN117220992B (zh) * | 2023-10-12 | 2024-05-10 | 上海佑瞻智能科技有限公司 | 一种支持商用密码算法的云安全管理监控方法及系统 |
CN117332395A (zh) * | 2023-11-23 | 2024-01-02 | 江西财经大学 | 一种用于数据共享的数据管理方法及系统 |
CN117332395B (zh) * | 2023-11-23 | 2024-03-08 | 江西财经大学 | 一种用于数据共享的数据管理方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN115374426A (zh) | 访问控制方法、装置、设备及存储介质 | |
CN109614238B (zh) | 一种目标对象识别方法、装置、系统及可读存储介质 | |
US8788617B2 (en) | Cookies stored in a cloud computing environment | |
US20170206684A1 (en) | Intelligent container for analytic visualizations | |
US9131374B1 (en) | Knowledge-based authentication for restricting access to mobile devices | |
CN110827033A (zh) | 信息处理方法、装置及电子设备 | |
CN110084053A (zh) | 数据脱敏方法、装置、电子设备及存储介质 | |
CN110825818A (zh) | 多维特征构建方法、装置、电子设备及存储介质 | |
CN112714093A (zh) | 一种账号异常检测方法、装置、系统及存储介质 | |
CN111092999A (zh) | 一种数据请求处理方法和装置 | |
KR102230441B1 (ko) | 보안 취약점 진단 결과를 기반으로 보안 조치 보고서를 생성하는 방법, 장치 및 프로그램 | |
CN111314063A (zh) | 一种基于物联网大数据信息管理方法、系统及装置 | |
CN113190562A (zh) | 一种报表生成方法、装置及电子设备 | |
CN111352952A (zh) | 一种信息查询方法、服务器、及计算机可读存储介质 | |
CN115344888A (zh) | 数据访问方法、装置、电子设备及存储介质 | |
CN109491733B (zh) | 基于可视化的界面显示方法及相关设备 | |
CN114240060A (zh) | 风险控制方法、风险处理系统、装置、服务器及存储介质 | |
US20150220850A1 (en) | System and Method for Generation of a Heuristic | |
CN110781743B (zh) | 一种人群聚集事件的处理方法、装置及电子设备 | |
US11861299B2 (en) | Methods and systems for populating application-specific information using overlay applications | |
CN112580065A (zh) | 一种数据查询方法和装置 | |
CN114840565A (zh) | 抽样查询方法、装置、电子设备及计算机可读存储介质 | |
CN114528274A (zh) | 权限管理方法及相关装置 | |
CN113112703A (zh) | 货柜控制方法及相关设备 | |
CN110019270B (zh) | 信息更新方法及其装置、终端、服务器、可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |