CN116582373B - 一种用户访问控制方法、系统及电子设备 - Google Patents
一种用户访问控制方法、系统及电子设备 Download PDFInfo
- Publication number
- CN116582373B CN116582373B CN202310863215.5A CN202310863215A CN116582373B CN 116582373 B CN116582373 B CN 116582373B CN 202310863215 A CN202310863215 A CN 202310863215A CN 116582373 B CN116582373 B CN 116582373B
- Authority
- CN
- China
- Prior art keywords
- user
- behavior
- access
- data
- access control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 67
- 206010000117 Abnormal behaviour Diseases 0.000 claims abstract description 46
- 238000011217 control strategy Methods 0.000 claims abstract description 33
- 238000012545 processing Methods 0.000 claims abstract description 20
- 230000006399 behavior Effects 0.000 claims description 222
- 238000004422 calculation algorithm Methods 0.000 claims description 30
- 238000004458 analytical method Methods 0.000 claims description 17
- 238000000605 extraction Methods 0.000 claims description 16
- 238000012549 training Methods 0.000 claims description 13
- 238000010801 machine learning Methods 0.000 claims description 11
- 238000007781 pre-processing Methods 0.000 claims description 8
- 239000013598 vector Substances 0.000 claims description 8
- 238000004364 calculation method Methods 0.000 claims description 5
- 230000002159 abnormal effect Effects 0.000 claims description 4
- 238000004140 cleaning Methods 0.000 claims description 4
- 230000002123 temporal effect Effects 0.000 claims description 3
- 230000003542 behavioural effect Effects 0.000 claims 3
- 238000010586 diagram Methods 0.000 description 12
- 230000006870 function Effects 0.000 description 10
- 238000003860 storage Methods 0.000 description 10
- 230000006872 improvement Effects 0.000 description 8
- 230000008569 process Effects 0.000 description 8
- 238000004590 computer program Methods 0.000 description 7
- 238000010223 real-time analysis Methods 0.000 description 6
- 238000013528 artificial neural network Methods 0.000 description 5
- 238000003066 decision tree Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 238000007405 data analysis Methods 0.000 description 4
- 238000007637 random forest analysis Methods 0.000 description 4
- 238000013475 authorization Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 3
- 238000012706 support-vector machine Methods 0.000 description 3
- 230000003190 augmentative effect Effects 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 2
- 238000007635 classification algorithm Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 239000004973 liquid crystal related substance Substances 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000000750 progressive effect Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 238000013135 deep learning Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000007477 logistic regression Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 229920001296 polysiloxane Polymers 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 239000010979 ruby Substances 0.000 description 1
- 229910001750 ruby Inorganic materials 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/211—Selection of the most significant subset of features
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/22—Matching criteria, e.g. proximity measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/243—Classification techniques relating to the number of classes
- G06F18/2433—Single-class perspective, e.g. one-against-all classification; Novelty detection; Outlier detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/082—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Biology (AREA)
- Evolutionary Computation (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Power Engineering (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本说明书实施例公开了一种用户访问控制方法、系统及电子设备,应用于基于区块链网络的SDP系统,采集用户在访问资源服务器时的访问数据,所述资源服务器为向用户提供业务资源的区块链节点,所述访问数据包括用户在通过终端设备节点首次访问所述资源服务器时的可信认证数据;对访问数据进行特征提取,得到所述用户对应的访问特征数据;通过对访问特征数据进行分析处理,识别所述用户的正常行为模式和异常行为模式;根据正常行为模式和异常行为模式计算所述用户的行为相似度和行为可信度;利用行为相似度和所述行为可信度生成用户对应的动态访问控制策略,使得终端设备节点根据动态访问控制策略执行对应的访问控制操作。
Description
技术领域
本说明书实施例涉及信息安全技术领域,尤其涉及一种用户访问控制方法、系统及电子设备。
背景技术
在信息化的社会中,信息交互发生的频次越来越多,然而随着信息和数据访问需求的增加,人们对数据的安全和私有性越来越关注,因此在现在的社交网络中,对数据进行访问控制处理尤其重要。传统的访问控制就是拿数据请求方的社交属性进行访问控制策略验证,满足验证的数据请求方才能通过访问控制。
零信任安全是在网络发展的历程中由需求推动产生。SDP(Software DefinedPerimeter,软件定义边界)是由云安全联盟(CloudSecurity Alliance,CSA)开发的一种安全框架。SDP作为零信任概念的扩展,可以抑制威胁并减少攻击面,防止基于网络及利用应用程序漏洞的攻击。
SDP防护架构将资源隐藏在SDP网关后面且SDP网关不可见。所有发起访问的客户端需要在策略中心(SDP控制器)通过单包认证(Single Packet Authorization,SPA)后,SDP控制器确定客户端可以连接的网关并通知网关接收来自客户端的通信,客户端向每个可接受连接的网关发起单包授权并创建与这些网关的双向加密连接,然后基于双向加密连接访问业务。
发明内容
有鉴于此,本说明书实施例提供了一种用户访问控制方法、系统及电子设备,用于解决现有技术中传统的访问控制方法在实际应用中存在一定的局限性的问题。
本说明书实施例采用下述技术方案:
本说明书实施例提供一种用户访问控制方法,所述用户访问控制方法应用于基于区块链网络的SDP系统,所述方法包括:
采集用户在访问资源服务器时的访问数据,所述资源服务器为向用户提供业务资源的区块链节点,所述访问数据包括所述用户在通过终端设备节点首次访问所述资源服务器时的可信认证数据;
对所述访问数据进行特征提取,得到所述用户对应的访问特征数据;
通过对所述访问特征数据进行分析处理,识别所述用户的正常行为模式和异常行为模式;
根据所述正常行为模式和异常行为模式计算所述用户的行为相似度和行为可信度;
利用所述行为相似度和所述行为可信度生成所述用户对应的动态访问控制策略,使得所述终端设备节点根据所述动态访问控制策略执行对应的访问控制操作。
优选的,所述访问数据是用户在访问资源服务器时的行为数据,以及用户注册信息、用户登录数据。
优选的,所述访问数据还包括所述用户的历史行为数据,所述历史行为数据用于判断所述用户的访问行为是否异常。
优选的,对所述访问数据进行特征提取,包括:
对所述访问数据进行预处理;
将预处理后的数据转换为机器学习算法可用的特征向量,得到访问特征数据。
优选的,所述特征向量包括用户特征、时间型特征、空间特征、操作特征和历史行为特征。
优选的,对所述访问数据进行预处理,具体包括:
对所述访问数据依次进行数据清洗、特征选择和特征提取,得到访问特征数据。
优选的,通过对所述访问特征数据进行分析处理,识别所述用户的正常行为模式和异常行为模式,具体包括:
将所述访问特征数据中的历史行为特征一一进行分析比较,得到分析结果;
根据所述分析结果识别判断所述用户的正常行为模式和异常行为模式。
优选的,将所述访问特征数据中的历史行为特征一一进行分析比较,包括:
将所述用户两次登录时间之间的操作行为记录为一组历史行为数据,分别提取每组历史行为数据的历史行为特征;
通过比较每组历史行为特征来识别判断所述用户的正常行为模式和异常行为模式。
优选的,根据所述正常行为模式和异常行为模式计算所述用户的行为相似度,具体包括:
计算每组所述历史行为特征之间的单一特征相似度;
根据所述单一特征相似度计算所述用户的行为相似度。
优选的,根据所述正常行为模式和异常行为模式计算所述用户的行为可信度,具体包括:
计算所述用户当前的访问行为特征与所述历史行为特征对于各个单一特征之间的偏离程度;
根据所述偏离程度计算所述用户的行为可信度,所述行为可信度是指用户当前的访问行为是可信的访问行为的程度。
优选的,利用所述行为相似度和所述行为可信度生成所述用户对应的动态访问控制策略,包括:
根据机器学习算法对对所述行为相似度和所述行为可信度进行训练,得到训练结果;
根据所述训练结果动态生成所述用户对应的动态访问控制策略。
本说明书实施例还提供一种用户访问控制系统,所述用户访问控制系统为基于区块链网络的SDP系统,所述系统包括:
采集模块,采集用户在访问资源服务器时的访问数据,所述资源服务器为向用户提供业务资源的区块链节点,所述访问数据包括所述用户在通过终端设备节点首次访问所述资源服务器时的可信认证数据;
特征提取模块,对所述访问数据进行特征提取,得到所述用户对应的访问特征数据;
特征分析模块,通过对所述访问特征数据进行分析处理,识别所述用户的正常行为模式和异常行为模式;
计算模块,根据所述正常行为模式和异常行为模式计算所述用户的行为相似度和行为可信度;
策略生成模块,利用所述行为相似度和所述行为可信度生成所述用户对应的动态访问控制策略,使得所述终端设备节点根据所述动态访问控制策略执行对应的访问控制操作。
本说明书实施例还提供一种电子设备,包括至少一个处理器及存储器,存储器存储有程序,并且被配置成至少一个处理器执行以下步骤:
采集用户在访问资源服务器时的访问数据,所述资源服务器为向用户提供业务资源的区块链节点,所述访问数据包括所述用户在通过终端设备节点首次访问所述资源服务器时的可信认证数据;
对所述访问数据进行特征提取,得到所述用户对应的访问特征数据;
通过对所述访问特征数据进行分析处理,识别所述用户的正常行为模式和异常行为模式;
根据所述正常行为模式和异常行为模式计算所述用户的行为相似度和行为可信度;
利用所述行为相似度和所述行为可信度生成所述用户对应的动态访问控制策略,使得所述终端设备节点根据所述动态访问控制策略执行对应的访问控制操作。
本说明书实施例采用的上述至少一个技术方案能够达到以下有益效果:
通过对采集的用户的访问数据进行特征提取,对得到的访问特征数据进行分析处理,识别用户的正常行为模式和异常行为模式,以此计算用户的行为相似度和行为可信度,从而可以生成用户对应的动态访问控制策略,使得终端设备节点可以根据动态访问控制策略执行对应的访问控制操作。
这样,可以通过对用户行为的实时分析,提取用户各种类型的访问特征,通过对各种类型的访问特征的综合分析,实现对访问权限的动态调整,避免单一考虑部分访问特征,而造成用户访问控制的局限性,提高访问控制的准确性和安全性,具有较强的适应性和可扩展性,可应用于各种复杂的应用场景,为信息安全领域提供了一种有效的访问控制手段。
附图说明
此处所说明的附图用来提供对本说明书实施例的进一步理解,构成本说明书实施例的一部分,本说明书的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本说明书实施例提供的一种用户访问控制系统的逻辑架构示意图;
图2为本说明书实施例提供的一种用户访问控制方法的流程示意图;
图3为本说明书实施例提供的一种用户访问控制系统的结构示意图
图4为本说明书实施例提供的具体应用场景中的一种用户访问控制方法的流程示意图;
图5为本说明书实施例提供的对应于图2的一种用户访问控制设备的结构示意图。
具体实施方式
一般情况下,传统的访问控制方法,如基于角色的访问控制(RBAC)和基于属性的访问控制(ABAC),在实际应用中存在一定的局限性,容易因固定规则导致的访问限制过于严格或过于宽松的问题。
因此,本说明书实施例提供一种用户访问控制方法、系统及电子设备,通过对采集的用户的访问数据进行特征提取,对得到的访问特征数据进行分析处理,识别用户的正常行为模式和异常行为模式,以此计算用户的行为相似度和行为可信度,从而可以生成用户对应的动态访问控制策略,使得终端设备节点可以根据动态访问控制策略执行对应的访问控制操作。
这样,可以通过对用户行为的实时分析,提取用户各种类型的访问特征,通过对各种类型的访问特征的综合分析,实现对访问权限的动态调整,避免单一考虑部分访问特征,而造成用户访问控制的局限性,提高访问控制的准确性和安全性,具有较强的适应性和可扩展性,可应用于各种复杂的应用场景,为信息安全领域提供了一种有效的访问控制手段。
为使本申请的目的、技术方案和优点更加清楚,下面将结合本说明书具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本说明书一部分实施例,而不是全部的实施例。基于本说明书中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
以下结合附图,详细说明本说明书各实施例提供的技术方案。
如图1所示,为本说明书实施例提供的一种用户访问控制系统的逻辑架构示意图。
在本说明书实施例中,所述用户访问控制系统为基于区块链网络的SDP系统。
其中,所述用户访问控制系统具体可以包括:
SDP控制中心节点101,用于对初次访问资源服务器104的用户进行可信认证,并根据用户的访问行为制定动态访问控制策略,还可以进行区块链数据的存储;
终端设备节点102,用于为用户提供登录认证、安全通信,以及访问所述业务资源服务器104的终端设备;
分布式SDP安全网关集群节点103,用于接收所述SDP控制中心节点101下发的动态访问控制策略和所述终端设备节点102的业务访问请求,对业务访问请求进行动态访问控制,与所述终端设备节点102建立安全传输通道,并负责用户终端与SDP安全网关之间的安全通信;
资源服务器节点104,用于向用户提供需要的业务资源。
在实际应用过程中,用户在首次访问所述资源服务器节点104时,需要通过所述终端设备节点102进行用户信息注册,由所述SDP控制中心节点101对所述用户信息进行可信认证,在认证通过后,用户才可以通过所述终端设备节点102进行登陆。
用户在登陆完成后,可以在所述终端设备节点102上选择自己需要的业务资源,由所述资源服务器节点104通过所述分布式SDP安全网关集群节点103将用户选择的业务资源反馈到所述终端设备节点102的页面上。
在这个过程中,所述SDP控制中心节点101会实时采集用户在所述终端设备节点102上的访问信息,并针对该用户生成对应的动态访问控制策略,由所述分布式SDP安全网关集群节点103接收所述动态访问控制策略,以实现对用户访问请求的动态控制。
如图2所示,为本说明书实施例提供的一种用户访问控制方法的流程示意图。在本说明书实施例中,所述用户访问控制方法应用于基于区块链网络的SDP系统。
所述用户访问控制方法具体可以包括以下步骤:
S201:采集用户在访问资源服务器时的访问数据,所述资源服务器为向用户提供业务资源的区块链节点,所述访问数据包括所述用户在通过终端设备节点首次访问所述资源服务器时的可信认证数据;
S203:对所述访问数据进行特征提取,得到所述用户对应的访问特征数据;
S205:通过对所述访问特征数据进行分析处理,识别所述用户的正常行为模式和异常行为模式;
S207:根据所述正常行为模式和异常行为模式计算所述用户的行为相似度和行为可信度;
S209:利用所述行为相似度和所述行为可信度生成所述用户对应的动态访问控制策略,使得所述终端设备节点根据所述动态访问控制策略执行对应的访问控制操作。
在本说明书实施例中,所述终端设备节点对应的移动设备具体可以是指手机、平板电脑、桌面型、膝上型、手持计算机、笔记本电脑、超级移动个人计算机(ultra-mobilepersonal computer,UMPC)、上网本、iPod Touches、如智能手表等可穿戴设备,以及蜂窝电话、个人数字助理(personal digital assistant,PDA)、增强现实(augmented reality,AR)设备、虚拟现实(virtual reality,VR)设备等设备,在此不做具体限定。
其中,对于所述步骤S201,所述访问数据具体可以是指用户在访问资源服务器时的行为数据,以及用户注册信息、用户登录数据,具体可以包括用户注册信息、登录时间、登录地点、访问的资源、浏览时长、操作类型等信息数据,在此不做具体限定。
另外,所述访问数据还可以包括用户的历史行为数据,所述历史行为数据可以用于判断用户的访问行为是否异常。
在具体应用实施例中,对于所述步骤S203,对所述访问数据进行特征提取,具体可以包括:
对所述访问数据进行预处理;
将预处理后的数据转换为机器学习算法可用的特征向量,得到访问特征数据。
在本说明书实施例中,所述特征向量具体可以包括用户特征、时间型特征、空间特征、操作特征和历史行为特征等,在此不做具体限定。
进一步的,对所述访问数据进行预处理,具体可以包括:
对所述访问数据依次进行数据清洗、特征选择和特征提取,得到访问特征数据。
另外,对于所述步骤S205,通过对所述访问特征数据进行分析处理,识别所述用户的正常行为模式和异常行为模式,具体可以包括:
将所述访问特征数据中的历史行为特征一一进行分析比较,得到分析结果;
根据所述分析结果识别判断所述用户的正常行为模式和异常行为模式。
在具体应用场景中,可以将用户两次登录时间之间的操作行为记录为一组历史行为数据,分别提取每组历史行为数据的历史行为特征。
这样,就可以通过比较每组历史行为特征来识别判断用户的正常行为模式和异常行为模式。
进一步的,对于所述步骤S207,根据所述正常行为模式和异常行为模式计算所述用户的行为相似度,具体可以包括:
计算每组历史行为特征之间的单一特征相似度;
根据所述单一特征相似度计算所述用户的行为相似度。
另外,具体的,所述行为可信度具体可以是指用户当前的访问行为是可信的访问行为的程度。
根据所述正常行为模式和异常行为模式计算所述用户的行为可信度,具体可以包括:
计算所述用户当前的访问行为特征与所述历史行为特征对于各个单一特征之间的偏离程度;
根据所述偏离程度计算所述用户的行为可信度。
在本说明书实施例中,所述单一特征相似度可以是指每组历史行为特征中相同类型的行为特征之间的相似度,例如,每组历史行为特征中都包含登录时间特征,可以计算每组历史行为特征中的登录时间特征所处的时间段,来进一步计算登录时间特征对应的单一特征相似度,也就是说,处于同一时间段的登录时间特征是相似的,这样,就可以通过相似的登录时间特征数量来计算登录时间特征对应的单一特征相似度。
这样,就可以根据各个单一特征相似度来计算用户的行为相似度。
在本说明书另外一个应用实施例中,对于所述步骤S209,利用所述行为相似度和所述行为可信度生成所述用户对应的动态访问控制策略,具体可以包括:
根据机器学习算法对对所述行为相似度和所述行为可信度进行训练,得到训练结果;
根据所述训练结果动态生成所述用户对应的动态访问控制策略。
其中,所述动态访问控制策略具体可以是指所述终端设备节点对于所述用户的访问请求的动态回应策略,执行相应的访问控制操作,例如,访问授权、拒绝访问以及访问风险告警等,在此不做具体限定。
所述动态访问控制策略可以根据用户的访问行为进行动态调整,也就是可以根据用户动态变化的访问需求来进行动态调整。这样,就可以打破现有技术中用户访问控制方法的局限性,实现对访问权限的动态调整,提高访问控制的准确性和安全性。
本说明书实施例可以通过机器学习技术对所述行为相似度和所述行为可信度进行深度分析,例如按登录时间、操作行为、登录地点等动态进行访问控制策略训练。
具体的,所述机器学习算法具体可以包括朴素贝叶斯算法、逻辑回归算法、支持向量机算法、随机森林算法、神经网络算法和决策树算法等,在此不做具体限定,需要根据数据特点和应用场景选择合适的算法。
其中,对于所述支持向量机算法(SVM),SVM是一种常用的分类算法,可以用于用户资源访问过程中的数据分析和预测,具有良好的泛化能力和准确性。
对于所述随机森林(Random Forest)算法,随机森林算法是一种集成学习算法,可以用于特征选择和分类,具有较好的性能和可解释性。
对于所述神经网络(Neural Networks)算法,神经网络算法是一种深度学习算法,可以学习和发现数据中的非线性关系,可以用于用户访问控制中的数据分析和预测。
对于所述决策树(Decision Tree)算法,决策树算法是一种基于树结构的分类算法,可以用于用户访问控制中的数据分析和预测,具有较好的可解释性和易于理解性。
综上所述,以上技术方案可以根据实际需求和数据特点选择不同的机器学习算法,例如支持向量机算法、随机森林算法、神经网络算法和决策树算法等,在此不做具体限定,以达到更好的数据分析和预测效果。
本说明书实施例提供的一种用户访问控制方法,通过对采集的用户的访问数据进行特征提取,对得到的访问特征数据进行分析处理,识别用户的正常行为模式和异常行为模式,以此计算用户的行为相似度和行为可信度,从而可以生成用户对应的动态访问控制策略,使得终端设备节点可以根据动态访问控制策略执行对应的访问控制操作。
这样,可以通过对用户行为的实时分析,提取用户各种类型的访问特征,通过对各种类型的访问特征的综合分析,实现对访问权限的动态调整,避免单一考虑部分访问特征,而造成用户访问控制的局限性,提高访问控制的准确性和安全性,具有较强的适应性和可扩展性,可应用于各种复杂的应用场景,为信息安全领域提供了一种有效的访问控制手段。
需要说明的是,上述具体的用户访问控制方法仅仅是作为具体应用实施例,而不造成对本说明书实施例范围的限定,还可以包含其他具体实施例,在此不再一一赘述。
基于同样的发明思路,本说明书实施例还提供了上述方法对应的系统。图3为本说明书实施例提供的一种用户访问控制系统的具体结构示意图,其中,所述用户访问控制系统为基于区块链网络的SDP系统。
如图3所示,所述用户访问控制系统至少可以包括:
采集模块301,采集用户在访问资源服务器时的访问数据,所述资源服务器为向用户提供业务资源的区块链节点,所述访问数据包括所述用户在通过终端设备节点首次访问所述资源服务器时的可信认证数据;
特征提取模块302,对所述访问数据进行特征提取,得到所述用户对应的访问特征数据;
特征分析模块303,通过对所述访问特征数据进行分析处理,识别所述用户的正常行为模式和异常行为模式;
计算模块304,根据所述正常行为模式和异常行为模式计算所述用户的行为相似度和行为可信度;
策略生成模块305,利用所述行为相似度和所述行为可信度生成所述用户对应的动态访问控制策略,使得所述终端设备节点根据所述动态访问控制策略执行对应的访问控制操作。
基于图 3 的系统,本说明书实施例还提供了该系统的一些具体实施方案,下面进行说明。
可选的,所述访问数据是用户在访问资源服务器时的行为数据,以及用户注册信息、用户登录数据。
可选的,所述访问数据还包括所述用户的历史行为数据,所述历史行为数据用于判断所述用户的访问行为是否异常。
可选的,对所述访问数据进行特征提取,包括:
对所述访问数据进行预处理;
将预处理后的数据转换为机器学习算法可用的特征向量,得到访问特征数据。
可选的,所述特征向量包括用户特征、时间型特征、空间特征、操作特征和历史行为特征。
可选的,对所述访问数据进行预处理,具体包括:
对所述访问数据依次进行数据清洗、特征选择和特征提取,得到访问特征数据。
可选的,通过对所述访问特征数据进行分析处理,识别所述用户的正常行为模式和异常行为模式,具体包括:
将所述访问特征数据中的历史行为特征一一进行分析比较,得到分析结果;
根据所述分析结果识别判断所述用户的正常行为模式和异常行为模式。
可选的,将所述访问特征数据中的历史行为特征一一进行分析比较,包括:
将所述用户两次登录时间之间的操作行为记录为一组历史行为数据,分别提取每组历史行为数据的历史行为特征;
通过比较每组历史行为特征来识别判断所述用户的正常行为模式和异常行为模式。
可选的,根据所述正常行为模式和异常行为模式计算所述用户的行为相似度,具体包括:
计算每组所述历史行为特征之间的单一特征相似度;
根据所述单一特征相似度计算所述用户的行为相似度。
可选的,根据所述正常行为模式和异常行为模式计算所述用户的行为可信度,具体包括:
计算所述用户当前的访问行为特征与所述历史行为特征对于各个单一特征之间的偏离程度;
根据所述偏离程度计算所述用户的行为可信度,所述行为可信度是指用户当前的访问行为是可信的访问行为的程度。
可选的,利用所述行为相似度和所述行为可信度生成所述用户对应的动态访问控制策略,包括:
根据机器学习算法对对所述行为相似度和所述行为可信度进行训练,得到训练结果;
根据所述训练结果动态生成所述用户对应的动态访问控制策略。
本说明书实施例提供的一种用户访问控制系统,通过对采集的用户的访问数据进行特征提取,对得到的访问特征数据进行分析处理,识别用户的正常行为模式和异常行为模式,以此计算用户的行为相似度和行为可信度,从而可以生成用户对应的动态访问控制策略,使得终端设备节点可以根据动态访问控制策略执行对应的访问控制操作。
这样,可以通过对用户行为的实时分析,提取用户各种类型的访问特征,通过对各种类型的访问特征的综合分析,实现对访问权限的动态调整,避免单一考虑部分访问特征,而造成用户访问控制的局限性,提高访问控制的准确性和安全性,具有较强的适应性和可扩展性,可应用于各种复杂的应用场景,为信息安全领域提供了一种有效的访问控制手段。
基于同样的发明思路,本说明书实施例还提供了上述方法在具体应用场景中的应用实施例。
如图4所示,为本说明书实施例提供的一种用户访问控制方法的流程示意图。
S401:用户A访问基于区块链网络的SDP系统;
S403:采集所述用户A的访问行为数据,包括登录时间、登录地点、访问的资源、操作类型等信息;
S405:对所述用户A的访问行为数据进行特征提取,得到行为特征,包括时间特征、空间特征、操作特征等;
S407:分析所述用户A的行为特征,识别所述用户A的正常行为模式和异常行为模式;
S409:计算所述用户A的行为相似度;
S411:从多个维度观察当前访问行为和历史访问行为的偏离程度,通过综合评价方法计算所述用户A的行为可信度;
其中,多维度可以包括但不限于用户常用设备、常用时间、常用地点、常用网络、源IP区域、常用目标资源等。
S413:根据所述用户A的行为相似度和行为可信度综合计算结果和预设阈值比较,动态生成访问控制策略,该阈值可根据实际情况进行调整;
例如:某用户没有出差需求,则该用户策略设置为仅本地可访问指定资源,当系统发现该用户使用地点变更为非本地时,该用户策略变更为禁止访问指定资源。
S415:根据生成的访问控制策略,执行相应的访问控制操作。
例如授权用户A访问所请求的资源或拒绝其访问,或系统发出风险告警,进行人工复核干预处理。
本说明书实施例提供的一种用户访问控制方法,具有以下优点:
1、实现了对用户行为的实时分析和访问权限的动态调整,提高了访问控制的准确性和安全性;
2、通过对用户行为的多维度特征分析,能够更准确地识别用户的正常行为和异常行为,降低了误报和漏报率;
3、适应性强,能够应对各种复杂的应用场景,满足不同系统的安全需求;
4、易于集成和扩展,可以与现有的访问控制方法相互补充,提供更全面的安全保障;
5、改善了用户体验,避免了因固定规则导致的访问限制过于严格或过于宽松的问题。
综上所述,通过对用户行为的实时分析,实现对访问权限的动态调整,提高访问控制的准确性和安全性,具有较强的适应性和可扩展性,可应用于各种复杂的应用场景,为信息安全领域提供了一种有效的访问控制手段。
基于同样的发明思路,本说明书实施例还提供了上述方法对应的电子设备。
图5为本说明书实施例提供的对应于图2的一种移动设备管理设备的结构示意图。如图5所示,设备500可以包括:
至少一个处理器510;以及,
与所述至少一个处理器通信连接的存储器530;其中,
所述存储器530存储有可被所述至少一个处理器510执行的指令520,所述指令被所述至少一个处理器510执行,以使所述至少一个处理器510能够:
采集用户在访问资源服务器时的访问数据,所述资源服务器为向用户提供业务资源的区块链节点,所述访问数据包括所述用户在通过终端设备节点首次访问所述资源服务器时的可信认证数据;
对所述访问数据进行特征提取,得到所述用户对应的访问特征数据;
通过对所述访问特征数据进行分析处理,识别所述用户的正常行为模式和异常行为模式;
根据所述正常行为模式和异常行为模式计算所述用户的行为相似度和行为可信度;
利用所述行为相似度和所述行为可信度生成所述用户对应的动态访问控制策略,使得所述终端设备节点根据所述动态访问控制策略执行对应的访问控制操作。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于图5所示的设备而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
其中,处理器的其他功能还可以参见上述实施例中记载的内容,这里不再一一赘述。
在20世纪90年代,对于一个技术的改进可以很明显地区分是硬件上的改进(例如,对二极管、晶体管、开关等电路结构的改进)还是软件上的改进(例如,对于方法流程的改进)。然而,随着技术的发展,当今的很多方法流程的改进已经可以视为硬件电路结构的直接改进。设计人员几乎都通过将改进的方法流程编程到硬件电路中来得到相应的硬件电路结构。因此,不能说一个方法流程的改进就不能用硬件实体模块来实现。例如,可编程逻辑器件(Programmable Logic Device, PLD)(例如,现场可编程门阵列(Field ProgrammableGate Array,FPGA))就是这样一种集成电路,其逻辑功能由用户对器件编程来确定。由设计人员自行编程来把一个数字系统“集成”在一片PLD上,而不需要请芯片制造厂商来设计和制作专用的集成电路芯片。而且,如今,取代手工地制作集成电路芯片,这种编程也多半改用“逻辑编译器(logic compiler)”软件来实现,它与程序开发撰写时所用的软件编译器相类似,而要编译之前的原始代码也得用特定的编程语言来撰写,此称之为硬件描述语言(Hardware Description Language,HDL),而HDL也并非仅有一种,而是有许多种,如ABEL(Advanced Boolean Expression Language)、AHDL(Altera Hardware DescriptionLanguage)、Confluence、CUPL(Cornell University Programming Language)、HDCal、JHDL(Java Hardware Description Language)、Lava、Lola、MyHDL、PALASM、RHDL(RubyHardware Description Language)等,目前最普遍使用的是VHDL(Very-High-SpeedIntegrated Circuit Hardware Description Language)与Verilog。本领域技术人员也应该清楚,只需要将方法流程用上述几种硬件描述语言稍作逻辑编程并编程到集成电路中,就可以很容易得到实现该逻辑方法流程的硬件电路。
控制器可以按任何适当的方式实现,例如,控制器可以采取例如微处理器或处理器以及存储可由该(微)处理器执行的计算机可读程序代码(例如软件或固件)的计算机可读介质、逻辑门、开关、专用集成电路(Application Specific Integrated Circuit,ASIC)、可编程逻辑控制器和嵌入微控制器的形式,控制器的例子包括但不限于以下微控制器:ARC 625D、Atmel AT91SAM、Microchip PIC18F26K20 以及Silicone Labs C8051F320,存储器控制器还可以被实现为存储器的控制逻辑的一部分。本领域技术人员也知道,除了以纯计算机可读程序代码方式实现控制器以外,完全可以通过将方法步骤进行逻辑编程来使得控制器以逻辑门、开关、专用集成电路、可编程逻辑控制器和嵌入微控制器等的形式来实现相同功能。因此这种控制器可以被认为是一种硬件部件,而对其内包括的用于实现各种功能的装置也可以视为硬件部件内的结构。或者甚至,可以将用于实现各种功能的装置视为既可以是实现方法的软件模块又可以是硬件部件内的结构。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机。具体的,计算机例如可以为个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带、磁带式磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
本申请可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本申请,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求保护范围之内。
Claims (13)
1.一种用户访问控制方法,其特征在于,所述用户访问控制方法应用于基于区块链网络的SDP系统,所述方法包括:
采集用户在访问资源服务器时的访问数据,所述资源服务器为向用户提供业务资源的区块链节点,所述访问数据包括所述用户在通过终端设备节点首次访问所述资源服务器时的可信认证数据,所述可信认证数据是SDP中心节点对初次访问所述资源服务器的用户进行可信认证的数据;
对所述访问数据进行特征提取,得到所述用户对应的访问特征数据;
通过对所述访问特征数据进行分析处理,识别所述用户的正常行为模式和异常行为模式;
根据所述正常行为模式和异常行为模式计算所述用户的行为相似度和行为可信度,所述用户的行为相似度是通过计算得到的单一特征相似度来计算得到的,所述行为可信度是指用户当前的访问行为是可信的访问行为的程度;
利用所述行为相似度和所述行为可信度生成所述用户对应的动态访问控制策略,使得所述终端设备节点根据所述动态访问控制策略执行对应的访问控制操作。
2.如权利要求1所述的方法,其特征在于,所述访问数据是用户在访问资源服务器时的行为数据,以及用户注册信息、用户登录数据。
3.如权利要求2所述的方法,其特征在于,所述访问数据还包括所述用户的历史行为数据,所述历史行为数据用于判断所述用户的访问行为是否异常。
4.如权利要求1所述的方法,其特征在于,对所述访问数据进行特征提取,包括:
对所述访问数据进行预处理;
将预处理后的数据转换为机器学习算法可用的特征向量,得到访问特征数据。
5.如权利要求4所述的方法,其特征在于,所述特征向量包括用户特征、时间型特征、空间特征、操作特征和历史行为特征。
6.如权利要求4所述的方法,其特征在于,对所述访问数据进行预处理,具体包括:
对所述访问数据依次进行数据清洗、特征选择和特征提取,得到访问特征数据。
7.如权利要求1所述的方法,其特征在于,通过对所述访问特征数据进行分析处理,识别所述用户的正常行为模式和异常行为模式,具体包括:
将所述访问特征数据中的历史行为特征一一进行分析比较,得到分析结果;
根据所述分析结果识别判断所述用户的正常行为模式和异常行为模式。
8.如权利要求7所述的方法,其特征在于,将所述访问特征数据中的历史行为特征一一进行分析比较,包括:
将所述用户两次登录时间之间的操作行为记录为一组历史行为数据,分别提取每组历史行为数据的历史行为特征;
通过比较每组历史行为特征来识别判断所述用户的正常行为模式和异常行为模式。
9.如权利要求8所述的方法,其特征在于,根据所述正常行为模式和异常行为模式计算所述用户的行为相似度,具体包括:
计算每组所述历史行为特征之间的单一特征相似度;
根据所述单一特征相似度计算所述用户的行为相似度。
10.如权利要求9所述的方法,其特征在于,根据所述正常行为模式和异常行为模式计算所述用户的行为可信度,具体包括:
计算所述用户当前的访问行为特征与所述历史行为特征对于各个单一特征之间的偏离程度;
根据所述偏离程度计算所述用户的行为可信度。
11.如权利要求1所述的方法,其特征在于,利用所述行为相似度和所述行为可信度生成所述用户对应的动态访问控制策略,包括:
根据机器学习算法对对所述行为相似度和所述行为可信度进行训练,得到训练结果;
根据所述训练结果动态生成所述用户对应的动态访问控制策略。
12.一种用户访问控制系统,其特征在于,所述用户访问控制系统为基于区块链网络的SDP系统,所述系统包括:
采集模块,采集用户在访问资源服务器时的访问数据,所述资源服务器为向用户提供业务资源的区块链节点,所述访问数据包括所述用户在通过终端设备节点首次访问所述资源服务器时的可信认证数据,所述可信认证数据是SDP中心节点对初次访问所述资源服务器的用户进行可信认证的数据;
特征提取模块,对所述访问数据进行特征提取,得到所述用户对应的访问特征数据;
特征分析模块,通过对所述访问特征数据进行分析处理,识别所述用户的正常行为模式和异常行为模式;
计算模块,根据所述正常行为模式和异常行为模式计算所述用户的行为相似度和行为可信度,所述用户的行为相似度是通过计算得到的单一特征相似度来计算得到的,所述行为可信度是指用户当前的访问行为是可信的访问行为的程度;
策略生成模块,利用所述行为相似度和所述行为可信度生成所述用户对应的动态访问控制策略,使得所述终端设备节点根据所述动态访问控制策略执行对应的访问控制操作。
13.一种电子设备,包括至少一个处理器及存储器,存储器存储有程序,并且被配置成至少一个处理器执行以下步骤:
采集用户在访问资源服务器时的访问数据,所述资源服务器为向用户提供业务资源的区块链节点,所述访问数据包括所述用户在通过终端设备节点首次访问所述资源服务器时的可信认证数据,所述可信认证数据是SDP中心节点对初次访问所述资源服务器的用户进行可信认证的数据;
对所述访问数据进行特征提取,得到所述用户对应的访问特征数据;
通过对所述访问特征数据进行分析处理,识别所述用户的正常行为模式和异常行为模式;
根据所述正常行为模式和异常行为模式计算所述用户的行为相似度和行为可信度,所述用户的行为相似度是通过计算得到的单一特征相似度来计算得到的,所述行为可信度是指用户当前的访问行为是可信的访问行为的程度;
利用所述行为相似度和所述行为可信度生成所述用户对应的动态访问控制策略,使得所述终端设备节点根据所述动态访问控制策略执行对应的访问控制操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310863215.5A CN116582373B (zh) | 2023-07-14 | 2023-07-14 | 一种用户访问控制方法、系统及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310863215.5A CN116582373B (zh) | 2023-07-14 | 2023-07-14 | 一种用户访问控制方法、系统及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116582373A CN116582373A (zh) | 2023-08-11 |
| CN116582373B true CN116582373B (zh) | 2023-09-22 |
Family
ID=87534649
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310863215.5A Active CN116582373B (zh) | 2023-07-14 | 2023-07-14 | 一种用户访问控制方法、系统及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116582373B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117014231B (zh) * | 2023-10-07 | 2023-12-22 | 北京双湃智安科技有限公司 | 基于集成学习的工控网络入侵防护方法及系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105763548A (zh) * | 2016-02-06 | 2016-07-13 | 北京祥云天地科技有限公司 | 基于行为模型对用户登录进行识别的方法、设备和系统 |
| KR102024142B1 (ko) * | 2018-06-21 | 2019-09-23 | 주식회사 넷앤드 | 사용자의 서버접근 패턴 기반 이상 사용자를 탐지 및 제어하는 접근통제 시스템 |
| CN113435505A (zh) * | 2021-06-28 | 2021-09-24 | 中电积至(海南)信息技术有限公司 | 一种安全用户画像的构建方法与装置 |
| CN113507463A (zh) * | 2021-07-06 | 2021-10-15 | 中电积至(海南)信息技术有限公司 | 一种零信任网络的构建方法 |
| CN115455386A (zh) * | 2022-08-16 | 2022-12-09 | 新华三信息安全技术有限公司 | 一种操作行为识别方法及装置 |
| CN116208401A (zh) * | 2023-02-20 | 2023-06-02 | 国网上海能源互联网研究院有限公司 | 一种基于零信任的云主站访问控制方法及装置 |
-
2023
- 2023-07-14 CN CN202310863215.5A patent/CN116582373B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105763548A (zh) * | 2016-02-06 | 2016-07-13 | 北京祥云天地科技有限公司 | 基于行为模型对用户登录进行识别的方法、设备和系统 |
| KR102024142B1 (ko) * | 2018-06-21 | 2019-09-23 | 주식회사 넷앤드 | 사용자의 서버접근 패턴 기반 이상 사용자를 탐지 및 제어하는 접근통제 시스템 |
| CN113435505A (zh) * | 2021-06-28 | 2021-09-24 | 中电积至(海南)信息技术有限公司 | 一种安全用户画像的构建方法与装置 |
| CN113507463A (zh) * | 2021-07-06 | 2021-10-15 | 中电积至(海南)信息技术有限公司 | 一种零信任网络的构建方法 |
| CN115455386A (zh) * | 2022-08-16 | 2022-12-09 | 新华三信息安全技术有限公司 | 一种操作行为识别方法及装置 |
| CN116208401A (zh) * | 2023-02-20 | 2023-06-02 | 国网上海能源互联网研究院有限公司 | 一种基于零信任的云主站访问控制方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116582373A (zh) | 2023-08-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10558797B2 (en) | Methods for identifying compromised credentials and controlling account access | |
| US10887306B2 (en) | Authenticating an unknown device based on relationships with other devices in a group of devices | |
| Vijayakumar et al. | RETRACTED ARTICLE: E-Health Cloud Security Using Timing Enabled Proxy Re-Encryption | |
| EP3780541B1 (en) | Identity information identification method and device | |
| US11341281B2 (en) | Providing differential privacy in an untrusted environment | |
| US11062004B2 (en) | Emotion-based database security | |
| US9078129B1 (en) | Knowledge-based authentication for restricting access to mobile devices | |
| CN116582373B (zh) | 一种用户访问控制方法、系统及电子设备 | |
| US20200320406A1 (en) | Preserving data security in a shared computing file system | |
| CN110955903B (zh) | 基于智能图计算的隐私资源权限控制方法、装置及设备 | |
| Marsh et al. | Defining and investigating device comfort | |
| US11824894B2 (en) | Defense of targeted database attacks through dynamic honeypot database response generation | |
| US11836269B2 (en) | Protection of data of database clients from persistent adversaries | |
| WO2022199475A1 (zh) | 一种基于隐私保护的数据风险防控方法、装置及设备 | |
| WO2020222086A1 (en) | Consent for common personal information | |
| Ghazinour et al. | A model to protect sharing sensitive information in smart watches | |
| Li et al. | PhotoSafer: content-based and context-aware private photo protection for smartphones | |
| US11645566B2 (en) | Methods and systems for graph computing with hybrid reasoning | |
| US11080379B2 (en) | User authentication | |
| CN112182509A (zh) | 一种合规数据的异常检测方法、装置及设备 | |
| Bishtawi et al. | Cyber Security of mobile applications using artificial intelligence | |
| Althebyan et al. | A knowledgebase insider threat mitigation model in the cloud: a proactive approach | |
| CN115033187B (zh) | 一种基于大数据的分析管理方法 | |
| Bondel et al. | The Use of De-identification Methods for Secure and Privacy-enhancing Big Data Analytics in Cloud Environments. | |
| CN113239851B (zh) | 一种基于隐私保护的隐私图像处理方法、装置及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |