CN117978556A - 一种数据访问控制方法、网络交换子系统及智能计算平台 - Google Patents
一种数据访问控制方法、网络交换子系统及智能计算平台 Download PDFInfo
- Publication number
- CN117978556A CN117978556A CN202410388510.4A CN202410388510A CN117978556A CN 117978556 A CN117978556 A CN 117978556A CN 202410388510 A CN202410388510 A CN 202410388510A CN 117978556 A CN117978556 A CN 117978556A
- Authority
- CN
- China
- Prior art keywords
- behavior
- access
- user
- layer
- behavior recognition
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 53
- 238000013475 authorization Methods 0.000 claims abstract description 28
- 238000012545 processing Methods 0.000 claims abstract description 11
- 230000006399 behavior Effects 0.000 claims description 476
- 230000000875 corresponding effect Effects 0.000 claims description 44
- 239000013598 vector Substances 0.000 claims description 26
- 230000002776 aggregation Effects 0.000 claims description 20
- 238000004220 aggregation Methods 0.000 claims description 20
- 238000012795 verification Methods 0.000 claims description 18
- 230000008569 process Effects 0.000 claims description 17
- 238000000605 extraction Methods 0.000 claims description 15
- 238000004364 calculation method Methods 0.000 claims description 13
- 230000007246 mechanism Effects 0.000 claims description 13
- 238000012544 monitoring process Methods 0.000 claims description 12
- 206010000117 Abnormal behaviour Diseases 0.000 claims description 11
- 238000010586 diagram Methods 0.000 claims description 11
- 230000006870 function Effects 0.000 claims description 9
- 230000009471 action Effects 0.000 claims description 8
- 230000003542 behavioural effect Effects 0.000 claims description 7
- 238000004590 computer program Methods 0.000 claims description 7
- 230000003044 adaptive effect Effects 0.000 claims description 5
- 238000013507 mapping Methods 0.000 claims description 4
- 230000000087 stabilizing effect Effects 0.000 claims description 4
- 230000005284 excitation Effects 0.000 claims description 3
- 229920000642 polymer Polymers 0.000 claims description 3
- 230000002079 cooperative effect Effects 0.000 claims 1
- 239000010410 layer Substances 0.000 description 152
- 238000004891 communication Methods 0.000 description 10
- 238000007726 management method Methods 0.000 description 10
- 230000002159 abnormal effect Effects 0.000 description 9
- 238000004458 analytical method Methods 0.000 description 7
- 239000000306 component Substances 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 7
- 238000010276 construction Methods 0.000 description 6
- 230000001815 facial effect Effects 0.000 description 6
- 230000007774 longterm Effects 0.000 description 6
- 230000000694 effects Effects 0.000 description 5
- 230000004044 response Effects 0.000 description 5
- 230000008859 change Effects 0.000 description 4
- 210000003462 vein Anatomy 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 238000013135 deep learning Methods 0.000 description 3
- 238000011161 development Methods 0.000 description 3
- 238000011160 research Methods 0.000 description 3
- 238000003860 storage Methods 0.000 description 3
- 238000013473 artificial intelligence Methods 0.000 description 2
- 238000013528 artificial neural network Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 2
- 239000012792 core layer Substances 0.000 description 2
- 230000006378 damage Effects 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 230000002708 enhancing effect Effects 0.000 description 2
- 238000010801 machine learning Methods 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 230000002085 persistent effect Effects 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 1
- 230000015556 catabolic process Effects 0.000 description 1
- 238000011217 control strategy Methods 0.000 description 1
- 239000008358 core component Substances 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 238000006731 degradation reaction Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 238000005265 energy consumption Methods 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- 238000005242 forging Methods 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 238000010921 in-depth analysis Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 230000002207 retinal effect Effects 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000002195 synergetic effect Effects 0.000 description 1
- 238000012549 training Methods 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本申请属于数据处理领域,尤其涉及一种数据访问控制方法、网络交换子系统及智能计算平台,该方法包括:应于用户对目标数据的访问请求,获取用户在网络交换子系统中的操作行为;通过动态行为识别模型,判断用户的操作行为是否符合目标数据的访问操作条件;验证用户是否具有目标数据的访问权限,该访问权限是由动态授权模型预先配置的;若用户的操作行为符合所述访问操作条件,并且用户具有所述访问权限,则执行访问请求,以实现对目标数据的访问控制。该方法实现了对用户数据访问请求的智能化控制,提高网络交换子系统的安全性和可控性,提升智能计算平台的运行效率。
Description
技术领域
本申请属于数据处理领域,尤其涉及一种数据访问控制方法、网络交换子系统及智能计算平台。
背景技术
目前,为提升各个产业、各个领域的智能化应用普及程度,亟待构建一种智能化计算平台,用以辅助智能超算中心的建设,为科研、产业、城市服务提供人工智能平台的构建基础,进一步通过智能化计算平台实现人才聚集、产业升级、发展。
相关技术中,随着人工智能、深度学习等计算密集型任务的应用不断增加,在网络中对访问控制的需求是动态变化的,而传统技术无法灵活地适应这种变化。例如,在云环境中,虚拟机的动态创建和销毁可能会导致访问控制策略需要实时调整。此外,随着网络攻击技术的不断演进,传统技术可能无法有效地应对现代威胁,例如高级持续性威胁(APT)攻击或内部威胁。因此,需要更加智能和自适应的访问控制机制来应对这些威胁。
因此,如何实现交换网络中的数据访问控制,成为一个亟待解决的技术问题。
发明内容
本申请提供了一种数据访问控制方法、网络交换子系统及智能计算平台,用以实现智能化地数据访问控制,提高网络交换子系统的安全性和可控性,提升智能计算平台的运行效率。
第一方面,本申请提供了一种数据访问控制方法,该方法包括:
响应于用户对目标数据的访问请求,获取用户在网络交换子系统中的操作行为;
通过动态行为识别模型,判断用户的操作行为是否符合所述目标数据的访问操作条件;
验证用户是否具有所述目标数据的访问权限;所述访问权限是由动态授权模型预先配置的;
若用户的操作行为符合所述访问操作条件,并且用户具有所述访问权限,则执行所述访问请求,以实现对所述目标数据的访问控制。
第二方面,本申请实施例提供了一种网络交换子系统,该系统包括:
获取单元,被配置为响应于用户对目标数据的访问请求,获取用户在网络交换子系统中的操作行为;
验证单元,被配置为通过动态行为识别模型,判断用户的操作行为是否符合所述目标数据的访问操作条件;验证用户是否具有所述目标数据的访问权限;所述访问权限是由动态授权模型预先配置的;
执行单元,被配置为若用户的操作行为符合所述访问操作条件,并且用户具有所述访问权限,则执行所述访问请求,以实现对所述目标数据的访问控制。
第三方面,本申请实施例提供了一种智能计算平台,所述智能计算平台包括:
至少一个处理器、存储器和输入输出单元;
其中,所述存储器用于存储计算机程序,所述处理器用于调用所述存储器中存储的计算机程序来执行第一方面的数据访问控制方法。
第四方面,提供了一种计算机可读存储介质,其包括指令,当其在计算机上运行该指令时,使得计算机执行第一方面的数据访问控制方法。
本申请实施例提供的技术方案中,首先,响应于用户对目标数据的访问请求,获取用户在网络交换子系统中的操作行为。进而,通过动态行为识别模型,判断用户的操作行为是否符合所述目标数据的访问操作条件。接着,验证用户是否具有所述目标数据的访问权限,该访问权限是由动态授权模型预先配置的。若用户的操作行为符合所述访问操作条件,并且用户具有所述访问权限,则执行所述访问请求,以实现对所述目标数据的访问控制。
本申请技术方案中,通过分析用户的操作行为、验证其权限,并根据预先配置的规则来控制对目标数据的访问,从而实现对数据的访问控制,以确保数据安全性和合规性。本申请技术方案实现了对用户数据访问请求的智能化控制,提高网络交换子系统的安全性和可控性,提升智能计算平台的运行效率。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是本申请实施例的一种数据访问控制方法的流程示意图;
图2是本申请实施例的一种动态行为识别模型的原理示意图;
图3是本申请实施例的一种网络交换子系统的结构示意图;
图4是本申请实施例的一种电子设备的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
除非另有定义,本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同。本文中在本申请的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本申请。
目前,为提升各个产业、各个领域的智能化应用普及程度,亟待构建一种智能化计算平台,用以辅助智能超算中心的建设,为科研、产业、城市服务提供人工智能平台的构建基础,进一步通过智能化计算平台实现人才聚集、产业升级、发展。
相关技术中,随着人工智能、深度学习等计算密集型任务的应用不断增加,在网络中对访问控制的需求是动态变化的,而传统技术无法灵活地适应这种变化。例如,在云环境中,虚拟机的动态创建和销毁可能会导致访问控制策略需要实时调整。此外,随着网络攻击技术的不断演进,传统技术可能无法有效地应对现代威胁,例如高级持续性威胁(APT)攻击或内部威胁。因此,需要更加智能和自适应的访问控制机制来应对这些威胁。
因此,如何实现交换网络中的数据访问控制,成为一个亟待解决的技术问题。
为解决上述至少一个技术问题,本申请实施例提供了一种数据访问控制方法、网络交换子系统及智能计算平台。
具体而言,数据访问控制方案中,首先,响应于用户对目标数据的访问请求,获取用户在网络交换子系统中的操作行为。进而,通过动态行为识别模型,判断用户的操作行为是否符合所述目标数据的访问操作条件。接着,验证用户是否具有所述目标数据的访问权限,该访问权限是由动态授权模型预先配置的。若用户的操作行为符合所述访问操作条件,并且用户具有所述访问权限,则执行所述访问请求,以实现对所述目标数据的访问控制。
数据访问控制方案中,通过分析用户的操作行为、验证其权限,并根据预先配置的规则来控制对目标数据的访问,从而实现对数据的访问控制,以确保数据安全性和合规性。本申请技术方案实现了对用户数据访问请求的智能化控制,提高网络交换子系统的安全性和可控性,提升智能计算平台的运行效率。
本申请实施例提供的数据访问控制方案,可以由一电子设备来执行,该电子设备可以是服务器、服务器集群、云服务器。该电子设备也可以是诸如手机、计算机、平板电脑、可穿戴设备、或者专用设备(如带有数据访问控制系统的专用终端设备等)等终端设备。在一可选实施例中,该电子设备上可以安装有用于执行数据访问控制方案的服务程序。
本申请实施例中,网络交换子系统主要负责节点之间的计算过程当中的高速数据通信,也连接了智能计算子系统、数据存储子系统和支撑管理子系统,实现数据的全局共享和快速访问,同时提供系统管理通路。
实际应用中,网络交换子系统包括万兆以太网和千兆以太网。万兆以太网络主要用于计算过程中的高速数据通信和存储数据的高速访问;千兆以太网络主要用于管理,对性能要求较低,采用以太网架构,节点千兆接入,万兆上联,实现40G 冗余核心交换。网络交换子系统采用以太网架构。接入层交换机为千兆接入、万兆上联,系统中所有节点和设备均采用千兆接入,流量汇聚后进行双万兆上联到汇聚层;汇聚层交换机采用万兆接入,双40Gb上联到核心层;核心层交换机采用40Gb以太网交换机,两台交换机通过 MLAG协议绑定成1台,形成双ACTIVE架构,对外提供服务。
图1为本申请实施例提供的一种数据访问控制方法的示意图,如图1所述,该方法包括以下步骤:
101,响应于用户对目标数据的访问请求,获取用户在网络交换子系统中的操作行为。
本申请实施例中,目标数据可以是存储在网络交换子系统中各个节点的数据,也可以是存储在网络交换子系统中共享的云存储端的数据,还可以是其他数据。在这个系统中,目标数据的具体内容可能因系统用途而异,可以包括但不限于以下类型的数据:
应用程序数据,用户创建或使用的各种应用程序生成的数据,例如文档、电子邮件、图像、视频等。用户信息,包括用户身份验证信息、个人资料、偏好设置等用户相关数据。系统配置信息,包括网络设置、安全策略、系统日志等系统管理和配置数据。敏感数据,是与组织或个人隐私相关的敏感信息,如财务数据、健康记录、知识产权等。业务数据,是与组织业务运营相关的数据,如销售数据、客户信息、库存信息等。监控数据,是系统性能监控、安全监控等方面的数据,用于系统运行状态的监测和分析。总之,目标数据可以是系统中各种形式的数据,其具体内容和类型取决于系统的实际应用场景和用户需求。
可以理解的是,101中,用户对目标数据的访问请求可以是用户试图查看特定文件、修改配置信息、执行数据库查询等操作。以下是一个示例场景,用于说明用户对目标数据的访问请求以及系统如何获取用户在网络交换子系统中的操作行为。
假设在一个企业网络环境中,有一个存储着敏感文档的文件服务器,其中包含了公司的财务报表。现在,某个员工(用户)想要查看最近的财务报表以准备一次会议。该员工通过公司内部网络登录到文件服务器,并向系统发出查看财务报表的请求。系统中的网络交换子系统负责处理网络流量和用户请求。这个子系统会记录下员工在系统中的操作行为,包括但不限于:员工向文件服务器发送的请求、后续的数据交换过程中的操作行为数据、以及员工录入的生物特征信息。
其中,示例性地,员工录入的生物特征信息包括但不限于以下内容:指纹信息,员工的指纹可以被用作生物特征识别的一种方式。系统可能会要求员工将其指纹录入到系统中,以便进行身份验证或访问控制。虹膜扫描信息,虹膜扫描是一种生物特征识别技术,通过扫描员工的眼睛来获取其虹膜图像,从而进行身份验证。面部识别信息,员工的面部特征可以被用作生物特征识别的一种方式。统可能会要求员工录入其面部图像,并进行面部识别以进行身份验证。声纹信息,声纹识别是通过分析员工的声音特征来进行身份验证的一种技术。系统可能会要求员工录入其声音样本,并用于声纹识别。掌纹信息,掌纹是指手掌皮肤上的纹路,也可以被用作生物特征识别的一种方式。系统可能会要求员工录入其掌纹信息以进行身份验证。静脉信息,静脉识别是通过扫描员工手指或手掌上的静脉模式来进行身份验证的一种技术。系统可能会要求员工录入其静脉信息以进行验证。
以上示例中,展示了一些生物特征信息的示例,用于进行身份验证或访问控制。这些信息通常被用于提高系统的安全性和准确性,确保只有授权的员工能够访问敏感数据或特定的区域。
102,通过动态行为识别模型,判断用户的操作行为是否符合所述目标数据的访问操作条件。
基于上述示例,网络交换子系统中设置有一个动态行为识别模型,通过该模型可以监控网络流量和用户请求,分析用户的操作行为。在这个示例中,系统会分析员工的请求是否符合访问财务报表的条件,例如请求的文件路径是否正确、访问频率是否异常、生物特征信息是否与录入的信息一致等。
本申请实施例中,动态行为识别模型,用于监控和分析系统或用户的行为,以便识别异常或可疑的活动。这种模型可以基于机器学习和数据分析技术,通过对历史数据和实时数据的分析,建立起对正常行为模式的了解,并能够检测到与正常行为模式不符的活动。关于动态行为识别模型的一些关键特点和功能,可以是动态行为识别模型能够实时监控系统或用户的活动,及时发现异常情况。通过对历史数据和实时数据的分析,模型可以识别出正常的行为模式,并检测出与之不符的异常行为。动态行为识别模型通常具有自适应学习的能力,可以根据新的数据和情境不断更新自身的识别模式,提高准确性和适应性。模型可以基于预先设定的规则或模式来判断行为的合法性,例如访问频率、时间模式、访问路径等。一旦识别到异常行为,模型可以触发警报或采取其他的安全措施,以保护系统的安全性和完整性。在网络安全领域,动态行为识别模型常被用于检测网络攻击、异常用户行为、恶意软件等安全威胁。而在其他领域,如金融领域、生产制造领域等,动态行为识别模型也可以用于监控系统的运行状态和预测潜在的问题。
进一步可选地,假设动态行为识别模型至少包括:实时行为识别层(Real-timeBehavior Recognition Layer)、目标行为识别层(Target Behavior RecognitionLayer)、识别结果输出层(Recognition Result Output Layer)。
其中,实时行为识别层,用于识别用户的实时行为模式,以甄别用户是否存在异常行为。实时行为识别层是动态行为识别模型的核心组成部分之一,专门用于实时监测和分析系统或用户的行为,以及时检测到异常或可疑的活动。实时行为识别层能够即时地监测系统或用户的活动,以捕捉任何可能的异常行为。该层能够处理实时产生的数据流,包括网络流量、用户请求等,以及时识别出任何不正常的行为模式。实时行为识别层需要具备快速响应的能力,能够在发现异常行为时立即采取相应的措施,例如触发警报或阻止访问。由于面临的数据和情境可能不断变化,实时行为识别层需要以较高的频率更新其模型参数,以确保对最新情况的准确识别。
目标行为识别层,用于稳定实时行为模式的学习过程。目标行为识别层是动态行为识别模型的另一个重要组成部分,主要负责稳定实时行为模式的学习过程,即从历史数据中学习并建立正常的行为模式。目标行为识别层通过分析历史数据,学习并建立起正常的行为模式,以便与实时行为进行比较和判断。该层需要保持对长期数据的记忆,以确保对系统或用户行为的稳定理解,并防止模型受到短期波动的影响。与实时行为识别层相比,目标行为识别层的参数更新频率通常较低,因为其主要任务是建立和维护长期的行为模式。目标行为识别层可能会采用更复杂的算法或模型结构,以提高对系统或用户行为的理解和准确性。
识别结果输出层,是动态行为识别模型的最终输出部分,负责将识别到的行为结果呈现给系统管理员或其他相关人员。识别结果输出层将动态行为识别模型的分析结果以可视化的方式展示给用户,通常以图表、报告等形式呈现。在发现异常或可疑行为时,识别结果输出层可以触发警报,通知相关人员采取相应的应对措施。识别结果输出层负责记录和存储识别到的行为结果,以供后续审查和分析使用。识别结果输出层还可能与其他部分相连,以便将识别结果反馈给动态行为识别模型,用于进一步优化模型的性能和准确性。
综上所述,实时行为识别层、目标行为识别层和识别结果输出层共同构成了动态行为识别模型的核心架构,分别负责监测实时行为、学习正常行为模式和呈现识别结果。其协同工作能够有效地提高系统对异常行为的识别能力和安全性。
可以理解的是,所述实时行为识别层和所述目标行为识别层均由相似的网络结构。所述实时行为识别层的参数更新频率高于所述目标行为识别层的参数更新频率。具体来说,在动态行为识别模型中,实时行为识别层和目标行为识别层虽然具有相似的网络结构,但其在模型参数更新频率上存在一定的差异。这种差异主要基于它们各自的任务和功能需求。
实时行为识别层,需要快速地响应实时产生的数据流,并即时检测到任何可能的异常行为。因此,它的参数更新频率通常较高,以确保模型能够及时地适应不断变化的数据和情境,从而保持对异常行为的敏感性和准确性。
目标行为识别层,则主要负责从历史数据中学习并建立正常的行为模式,以提供对系统或用户行为的稳定理解。由于其任务是建立长期的行为模式,因此其参数更新频率相对较低。这是因为长期数据的模式通常不会频繁变化,相对于实时行为识别层,目标行为识别层更注重于对长期趋势的捕捉和学习,而不需要频繁地调整模型参数。
因此,尽管两个层的网络结构相似,但由于其所处的任务和需求不同,导致了在参数更新频率上的差异。实时行为识别层需要更频繁地更新参数以适应快速变化的实时数据,而目标行为识别层则更专注于长期行为模式的学习和稳定性,因此其参数更新频率相对较低。
进一步可选地,102中,通过动态行为识别模型,判断用户的操作行为是否符合所述目标数据的访问操作条件,如图2所示,可以实现为如下步骤:
201,通过所述实时行为识别层,获取所述操作行为对应的下一操作行为,并判断预测的下一操作行为是否属于所述访问操作条件中包含的合规操作行为,以得到第一行为识别结果;
202,通过所述目标行为识别层,获取所述操作行为对应的下一操作行为,并判断预测的下一操作行为是否属于所述访问操作条件中包含的合规操作行为,以得到第二行为识别结果;
203,通过识别结果输出层,基于所述第一行为识别结果与所述第二行为识别结果,验证所述操作行为是否符合所述访问操作条件。
结合实例介绍,假设正在构建一个网络安全系统,其中包含了上述描述的动态行为识别模型,用于判断用户的操作行为是否符合访问操作条件。假设访问操作条件包括以下合规操作行为:用户登录系统、用户查看文件、用户下载文件。
基于上述假设,步骤201中,在实时行为识别层,系统通过监控用户的实时行为,预测用户的下一步操作,并判断该操作是否属于合规操作行为。例如,用户当前已登录系统,并且正在查看文件A。实时行为识别层可能会预测用户接下来的操作是下载文件A。然后,它会检查下载文件A是否在合规操作行为列表中。如果是,则生成第一行为识别结果为“合规操作”,否则为“不合规操作”。202中,在目标行为识别层,系统根据用户的历史行为模式学习并预测用户的下一步操作。例如,系统可能从历史数据中学习到大多数用户在查看文件后会选择继续查看其他文件而不是下载。因此,目标行为识别层可能会预测用户接下来的操作是查看文件B。然后,它会检查查看文件B是否在合规操作行为列表中。如果是,则生成第二行为识别结果为“合规操作”,否则为“不合规操作”。203中,在识别结果输出层,系统将结合第一行为识别结果和第二行为识别结果,验证操作行为是否符合访问操作条件。如果两个识别结果都表明操作行为是合规的,则系统确认用户的操作是合规的;否则,系统会发出警报或采取其他相应措施。
综上所述,通过实时行为识别层和目标行为识别层的协同作用,系统能够动态识别用户的操作行为,并通过识别结果输出层判断其是否符合访问操作条件。这样的系统可以帮助确保系统的安全性,防止不当的访问行为发生。
作为一个可选实施例,所述实时行为识别层和所述目标行为识别层均至少包括:特征提取层、行为识别层、行为判别层。
步骤201以及202中,预测所述预测操作行为对应的下一操作行为,并判断预测的下一操作行为是否属于所述访问操作条件中包含的合规操作行为,以得到第一行为识别结果,可以实现为如下步骤:
301,通过特征提取层,将所述操作行为中多模态行为数据编码为对应的多模态行为特征;
302,通过行为识别层,将所述多模态行为特征从编码状态空间映射到动态动作空间,以得到对应的动态行为特征;以及,采用实时行为策略预估网络,对所述动态行为特征进行预测,以获得所述操作行为对应的下一操作行为;
303,通过行为判别层,判断所述下一操作行为是否属于所述访问操作条件中包含的合规操作行为。若是,则行为识别结果为所述操作行为合规。若否,则行为识别结果为所述操作行为不合规。
本申请实施例中,所述多模态行为特征至少包括:登录行为特征、系统操作行为特征、生物验证特征。多模态行为特征指的是从多个数据源或模态中提取的特征,用于描述用户或系统的行为。例如,在网络安全领域的多模态行为特征包括以下几类:
登录行为特征,这些特征描述了用户登录系统时的行为模式。例如,登录时间、登录地点、登录设备、登录次数等信息可以被提取并用于构建用户的登录行为特征。异常的登录行为,比如来自未知地点或设备的登录,可能表明潜在的安全风险。
系统操作行为特征,这些特征涵盖了用户在系统内的各种操作,比如查看文件、下载文件、修改设置等。这些特征可以包括操作类型、操作频率、操作时间、操作路径等。通过分析系统操作行为特征,可以发现用户是否在执行正常的操作或者是否有异常活动。
生物验证特征,这些特征通常用于生物识别系统中,包括指纹、视网膜扫描、声纹等。生物验证特征可以用于确认用户的身份,并进一步识别是否存在未经授权的访问尝试。
举例来说,假设系统收集了以下数据:
- 用户登录时间和地点。
- 用户在系统内的操作记录,包括查看文件、下载文件等。
- 用户的生物验证信息,比如指纹或面部识别。
那么,从这些数据中可以提取出多模态行为特征,比如为:
- 用户登录时间的统计特征,比如登录时间的均值、方差等。
- 用户不同操作的频率特征,比如查看文件的次数、下载文件的次数等。
- 生物验证信息的特征向量,比如指纹特征或面部识别特征。
这些特征可以被输入到特征提取层中,经过编码处理后,得到对应的多模态行为特征,用于后续的行为识别和安全分析。
基于上述示例,介绍步骤301至303的有益效果。在这个网络安全系统中,利用多模态行为特征的方式对用户行为进行特征提取和识别有着显著的益处。301中,通过特征提取层,将多模态行为数据编码为对应的多模态行为特征,比如登录行为特征、系统操作行为特征和生物验证特征。举例来说,假设系统收集到了用户的登录时间、系统操作记录和生物验证信息。在特征提取层,这些数据将被转化为统计特征、频率特征和生物验证特征向量。例如,对于登录行为特征,系统可以提取出登录时间的均值、方差等统计特征,对于系统操作行为特征,可以提取出各种操作的频率特征,对于生物验证特征,则可以提取出相应的生物验证特征向量。302中,在行为识别层,多模态行为特征从编码状态空间映射到动态动作空间,以得到对应的动态行为特征,并采用实时行为策略预估网络进行预测。以之前的示例为例,系统可能将用户的动态行为特征映射到一个动态行为空间,并利用神经网络或其他模型进行行为预测。这意味着系统不仅仅依赖于静态特征,还考虑了行为的动态变化,从而更准确地预测用户的下一步操作行为。303中,在行为判别层,系统判断预测操作行为是否属于访问操作条件中包含的合规操作行为。通过结合多模态行为特征的信息,系统可以更准确地判断用户的操作是否合规。例如,如果用户的登录时间符合正常工作时间,且操作行为与其历史行为模式一致,那么预测的操作行为很可能是合规的。反之,如果登录地点异常,或者操作行为与历史行为模式不匹配,那么预测的操作行为可能是不合规的。
综上所述,步骤301至303能够利用多模态行为特征进行行为识别和判别,提高系统对用户操作的准确性和安全性,从而有效地防范潜在的安全威胁。
作为一个可选实施例,步骤203中,通过识别结果输出层,基于所述第一行为识别结果与所述第二行为识别结果,验证所述操作行为是否符合所述访问操作条件,可以实现为如下几种情况:
情况一:若所述第一行为识别结果与所述第二行为识别结果均为合规,则所述操作行为符合所述访问操作条件。
如果系统的第一行为识别结果和第二行为识别结果都表明用户的操作行为是合规的,那么系统可以确认该操作行为符合访问操作条件。举例来说,用户在正常工作时间登录系统,进行正常的文件查看和编辑操作,而且生物验证也成功通过,这种情况下系统可以认为该操作行为符合访问操作条件。
情况二:若所述第一行为识别结果与所述第二行为识别结果均为不合规,则所述操作行为不符合所述访问操作条件。
如果系统的第一行为识别结果和第二行为识别结果都指示用户的操作行为是不合规的,那么系统可以确认该操作行为不符合访问操作条件。例如,用户在非工作时间尝试登录系统,并尝试下载系统中的敏感文件,但生物验证失败,系统会判定该操作行为不符合条件。
情况三:若所述第一行为识别结果与所述第二行为识别结果不一致,则对所述第一行为识别结果与所述第二行为识别结果进行混合,并基于混合结果验证所述操作行为是否符合所述访问操作条件。
如果第一行为识别结果和第二行为识别结果之间存在不一致,系统可能需要进一步深入分析,可以采用混合结果的方式进行验证。举例来说,第一行为识别结果可能显示用户的登录行为合规,但第二行为识别结果显示用户的操作行为不合规。在这种情况下,系统可能会结合两者的信息进行判断,可能会优先考虑生物验证的结果,如果生物验证失败,则最终的验证结果可能是不合规的。
综上所述,通过识别结果输出层对第一行为识别结果和第二行为识别结果进行验证,系统可以更准确地判断用户的操作行为是否符合访问操作条件,并采取相应的安全措施。
进一步地,上述情况三中,所述对所述第一行为识别结果与所述第二行为识别结果进行混合,并基于混合结果验证所述操作行为是否符合所述访问操作条件,可以实现为:
获取所述第一行为识别结果与所述第二行为识别结果各自对应的类别原型向量;基于类别原型向量计算得到所述第一行为识别结果与所述第二行为识别结果的混合结果;若所述混合结果处于设定阈值范围内,则所述操作行为符合所述访问操作条件;或者,若所述混合结果不处于设定阈值范围内,则所述操作行为不符合所述访问操作条件。
具体来说,在步骤303中,通过计算第一行为识别结果与第二行为识别结果的类别原型向量并计算混合结果,可以进一步提高对操作行为的判别准确性。具体地,针对第一行为识别结果和第二行为识别结果,系统可以事先定义每种行为类别的原型向量。这些原型向量可以是在训练阶段通过机器学习模型得到的,代表了每种行为类别的典型特征。接着,系统根据获取到的类别原型向量,分别计算第一行为识别结果和第二行为识别结果与原型向量的相似度或距离。然后将两者的相似度或距离进行加权平均或其他计算,得到混合结果。最后,根据混合结果是否在设定的阈值范围内,系统可以判断操作行为是否符合访问操作条件。如果混合结果在阈值范围内,说明第一行为识别结果和第二行为识别结果相互支持,操作行为符合条件;否则,操作行为不符合条件。
举例来说,假设系统中定义了合规登录行为和不合规登录行为的原型向量,并设定了阈值范围。当用户尝试登录时,系统会根据用户的登录行为特征计算其与合规登录和不合规登录原型向量的相似度,然后计算混合结果。如果混合结果在设定阈值范围内,系统将判断用户的登录行为是合规的;否则,判断为不合规的。
综上所述,通过计算类别原型向量和混合结果,系统可以更准确地判断操作行为是否符合访问操作条件,提高了系统的安全性和准确性。
本申请实施例中,所述第一行为识别结果与所述第二行为识别结果的混合结果的计算过程表示为:
;
其中,为行为识别结果的特征表示函数,为非线性激励函数,和分别为所述第一行为识别结果与所述第二行为识别结果对应的类别原型向量,和为自适应关注度参数,为所述第一行为识别结果的权重参数,为类别原型向量对应的权重参数,为所述第二行为识别结果的权重参数,为类别原型向量对应的权重参数。
进一步可选地,所述动态行为识别模型还包括:访问缓冲回放层。该层是一个用于管理访问请求的组件,其主要功能是在高并发时段有效地处理大量请求,同时在非高并发时段通过回放机制重现这些请求,以供进一步的分析和处理。
基于这一结构,本申请中可选地,通过访问缓冲回放层,监测访问请求的实时流量,以判断当前是否处于高并发时段;处于高并发时段时,随机抽取接收到的至少一个访问请求,并将所述至少一个访问请求存储至分布式节点中;切换至非高并发时段时,向实时行为识别层以及目标行为识别层发送所述至少一个访问请求。具体来说,在高并发时段,访问缓冲回放层可以暂时存储大量的访问请求,避免系统过载和性能下降。在非高并发时段,该层通过回放机制可以将之前缓存的请求重新发送到实时行为识别层和目标行为识别层,以便系统对这些请求进行处理和分析。
从而,通过监测实时流量,访问缓冲回放层能够及时发现当前是否处于高并发时段。这种实时监测有助于系统在高负载期间采取适当的应对措施,例如启动缓冲回放机制以平衡负载。在高并发时段,该层随机选择接收到的一部分访问请求,并将其存储到分布式节点中。这样做的好处是能够保留一定量的原始请求数据,在非高并发时段使用。在高并发时段结束后,访问缓冲回放层将之前存储的访问请求发送到实时行为识别层和目标行为识别层。这样,系统可以利用这些请求数据进行进一步的分析和处理,例如重新评估之前的访问行为,发现潜在的安全威胁或优化系统性能。
103,验证用户是否具有所述目标数据的访问权限。
104,若用户的操作行为符合所述访问操作条件,并且用户具有所述访问权限,则执行所述访问请求,以实现对所述目标数据的访问控制。
基于上述示例,系统还会检查该员工是否具有访问财务报表的权限。这些权限可能是基于员工的角色和身份而设定的,例如财务部门的员工可能有权访问财务报表,而其他部门的员工则没有。如果员工的操作行为符合访问操作条件并且具有相应的访问权限,系统会执行他的访问请求,将财务报表的内容发送给他。否则,系统可能会拒绝访问请求或采取其他控制措施,例如生成访问拒绝的日志并通知管理员。通过以上过程,系统可以确保只有具有合适权限的员工才能访问财务报表,从而保护了公司敏感数据的安全性和保密性。
基于上述示例,系统还会检查该员工是否具有访问财务报表的权限。这些权限可能是基于员工的角色和身份而设定的,例如财务部门的员工可能有权访问财务报表,而其他部门的员工则没有。如果员工的操作行为符合访问条件并且具有相应的访问权限,系统会执行他的访问请求,将财务报表的内容发送给他。否则,系统可能会拒绝访问请求或采取其他控制措施,例如生成访问拒绝的日志并通知管理员。通过以上过程,系统可以确保只有具有合适权限的员工才能访问财务报表,从而保护了公司敏感数据的安全性和保密性。
另一示例中,假设有一个企业内部数据管理系统,其中包含了员工的个人信息、薪资数据以及公司机密文件。系统需要确保只有经过授权的员工可以访问相关数据,以防止信息泄露和数据滥用。员工Alice尝试登录系统,以查看最近的销售报表,她想要了解销售数据以便做出业务决策。系统接收到Alice的登录请求后,会首先验证她的身份和角色。系统会检查Alice在企业内部的权限设置,确定她是否具有访问销售报表的权限。如果Alice是销售部门的经理,她可能会被授予访问销售报表的权限。在这种情况下,系统将允许她查看销售数据。如果验证结果显示Alice没有足够的权限来访问销售报表,系统将拒绝她的访问请求,并可能显示一个错误消息或者转发她的请求给管理员以获取进一步的授权。系统可能会记录每次访问请求的相关信息,包括请求者的身份、请求的时间和请求的目标数据。这些日志可以用于审计目的,追踪数据访问的历史记录以及发现潜在的安全问题。
通过这个示例,可以看出在步骤103中验证用户是否具有目标数据的访问权限是确保系统安全性和数据保护的关键一步。只有经过授权的用户才能够合法地访问相关数据,这有助于防止未经授权的信息访问和数据泄露。
本申请实施例中,访问权限是由动态授权模型预先配置的。这意味着系统在运行时会根据一系列预定义的规则和策略,动态地为用户分配或撤销访问权限,而不是静态地将权限固定在用户身上。
具体来说,动态授权模型具有较高灵活性,可以根据实际情况和需求动态地调整用户的访问权限。这意味着管理员可以根据用户的角色、部门、工作任务等因素动态地分配权限,从而确保用户在实际工作中具有必要的访问权限。动态授权模型是实时更新的,它可以随着系统和用户状态的变化而动态地调整权限。例如,当员工被晋升或调岗时,他们的权限可以立即更新以反映其新的职责和权限需求。动态授权模型通常是基于一系列预定义的访问控制规则和策略来实现的。这些规则可以包括基于角色的访问控制、基于属性的访问控制、基于上下文的访问控制等,管理员可以根据实际情况定义和管理这些规则。动态授权模型通常会记录和跟踪权限分配和撤销的历史记录,以便进行审计和监控。这样可以确保系统的安全性和合规性,并且在发生安全事件或违规行为时能够及时追溯权限的分配情况。动态授权模型通常与身份验证系统集成,以确保用户的身份和权限信息是一致的。这样可以防止身份伪造和权限泄露等安全问题。
综上所述,动态授权模型通过灵活、实时的权限管理机制,为系统提供了更高的安全性和灵活性,使管理员能够根据实际情况动态地管理用户的访问权限,从而有效地保护系统和数据的安全。
作为一个可选实施例,本申请实施例中,假设所述动态授权模型至少包括:特征表示层、图自注意力网络层、多层注意力增强聚合层、输出层。具体介绍,在所述动态授权模型中组件的具体功能为:
特征表示层,负责将用户和资源的原始数据转换为可供模型处理的特征表示。这些原始数据可以包括用户的身份信息、权限历史记录、访问行为等,以及资源的属性信息、访问限制等。这一层通常包括数据预处理、特征提取和特征编码等步骤,以确保模型能够有效地利用原始数据来进行后续的学习和推理。
图自注意力网络层,利用图结构来表示用户和资源之间的关系,通过自注意力机制来学习不同节点之间的重要性权重。在这一层中,用户和资源可以被视为图中的节点,而它们之间的关系(如用户的访问历史、资源之间的依赖关系等)可以被视为图中的边。通过自注意力机制,模型可以动态地关注图中不同节点之间的重要性,从而更好地捕捉用户和资源之间的复杂关系。
多层注意力增强聚合层,将图自注意力网络层的输出进行多层次的注意力增强和特征聚合,以获得更高层次的特征表示。这一层通常包括多个注意力头以及多层感知机等组件,用于对图中的节点和边进行多次迭代的特征提取和聚合。通过多层次的特征提取和聚合,模型可以逐渐地将图中的信息抽象为更高级别的特征表示,从而更好地支持后续的分类或预测任务。
输出层,将经过多层特征提取和聚合后得到的特征表示映射到最终的输出空间,例如用户的访问权限或者资源的访问控制策略。这一层通常包括分类器、回归器或者其他适合任务的输出层结构,用于对最终的特征表示进行分类、预测或者其他形式的输出。输出层的输出可以是用户的访问权限、资源的访问控制策略等,用于决定用户是否有权访问特定资源或执行特定操作。
综上所述,动态授权模型中的特征表示层、图自注意力网络层、多层注意力增强聚合层以及输出层共同构成了一个端到端的权限管理系统,能够有效地处理用户和资源之间复杂的关系,并动态地为用户分配或撤销访问权限,从而确保系统的安全性和合规性。
基于上述结构,在103中,验证用户是否具有所述目标数据的访问权限之前,还可以执行如下步骤:
401,通过特征表示层,基于用户的当前访问权限,以构建动态权限图中的用户图节点;并基于用户的历史访问权限,以构建动态权限图中的角色节点;基于网络交换子系统中的访问权限机制,构建动态权限图中对应的多级权限节点;
402,通过图自注意力网络层,对动态权限图中各个节点进行自注意力计算,以得到各个节点的自注意力特征;对动态权限图中各个节点与其他节点之间的连接结构进行注意力计算,以得到各个节点之间的关联注意力特征;
403,通过多层注意力增强聚合层,对所述自注意力特征以及所述关联注意力特征进行特征聚合,并对特征聚合结果执行增强学习,得到各个节点的动态注意力增强特征;
404,通过输出层,基于各个节点的动态注意力增强特征执行访问决策处理,得到各个用户的访问权限配置信息,以实现网络交换子系统中各个用户的自适应动态授权。
举例来说,假设某企业的动态授权系统需要处理员工对各种公司资源的访问权限。特征表示层可以根据员工的当前访问权限、历史访问权限以及与资源相关的属性信息构建动态权限图中的节点。例如,对于某个员工Alice,根据她当前的访问权限,可以构建一个用户节点,并将该节点的特征表示设定为包含了Alice当前的权限信息。同时,根据Alice过去的访问历史和角色信息(如部门经理、技术支持等),可以构建与Alice相关的角色节点,并将这些节点的特征表示设定为Alice过去所担任的角色及其相应的权限信息。
在图自注意力网络层,系统可以对动态权限图中的各个节点进行自注意力计算,以及对节点之间的连接结构进行注意力计算。例如,对于Alice的用户节点以及与她相关的角色节点,系统可以通过自注意力机制计算它们之间的重要性权重,以确定哪些权限更加重要或相关。同时,系统也可以计算不同节点之间的关联注意力特征,例如,Alice作为部门经理与技术支持人员之间的关联,以及她与各个资源节点之间的关联。
在多层注意力增强聚合层,系统可以对自注意力特征和关联注意力特征进行特征聚合,并执行增强学习以得到更加精细的特征表示。例如,系统可以将Alice的用户节点与她相关的角色节点进行特征聚合,结合自注意力特征和关联注意力特征,以得到更加动态的特征表示,反映出Alice在不同角色下的不同权限需求和访问行为。
最后,在输出层,系统可以基于各个节点的动态注意力增强特征执行访问决策处理,得到各个用户的访问权限配置信息。例如,系统可以根据对Alice节点的特征表示,决定她是否具有访问某个资源的权限,以及具体的访问方式和限制。这些访问权限配置信息可以实现网络交换子系统中各个用户的自适应动态授权,使得系统能够根据用户的实际情况动态地分配或撤销访问权限,以确保系统的安全性和合规性。
通过401至404步骤中,模型可以根据用户当前的访问权限以及历史访问权限构建动态权限图中的节点,从而实现对用户访问权限的动态调整。这使得系统能够根据用户的实际情况进行个性化的权限管理,更好地适应不同用户的需求。图自注意力网络层允许模型对用户和资源之间的复杂关系进行全局建模,并通过自注意力机制动态地关注图中不同节点之间的重要性。这有助于系统更全面地理解用户和资源之间的关联,提高权限分配的准确性和效率。多层注意力增强聚合层能够对图中的节点特征进行多次迭代的特征提取和聚合,逐渐将图中的信息抽象为更高级别的特征表示。这有助于系统更好地捕捉用户和资源之间的抽象关系,提高权限管理的精度和鲁棒性。系统可以基于动态注意力增强特征执行访问决策处理,根据用户的实际情况动态地分配或撤销访问权限。这使得系统能够实现自适应的权限管理,及时响应用户的访问需求,并有效地保护系统的安全性和合规性。综上所述,动态授权模型能够更加灵活、智能地管理用户和资源之间的访问权限,提高系统的安全性和用户体验。
在本申请实施例中,首先,响应于用户对目标数据的访问请求,获取用户在网络交换子系统中的操作行为。进而,通过动态行为识别模型,判断用户的操作行为是否符合所述目标数据的访问操作条件。接着,验证用户是否具有所述目标数据的访问权限,该访问权限是由动态授权模型预先配置的。若用户的操作行为符合所述访问操作条件,并且用户具有所述访问权限,则执行所述访问请求,以实现对所述目标数据的访问控制。从而,通过分析用户的操作行为、验证其权限,并根据预先配置的规则来控制对目标数据的访问,从而实现对数据的访问控制,以确保数据安全性和合规性。本申请技术方案实现了对用户数据访问请求的智能化控制,提高网络交换子系统的安全性和可控性,提升智能计算平台的运行效率。
在本申请的又一实施例中,还提供了一种网络交换子系统,参见图3所述,该网络交换子系统包括以下单元:
获取单元,被配置为响应于用户对目标数据的访问请求,获取用户在网络交换子系统中的操作行为;
验证单元,被配置为通过动态行为识别模型,判断用户的操作行为是否符合所述目标数据的访问操作条件;验证用户是否具有所述目标数据的访问权限;所述访问权限是由动态授权模型预先配置的;
执行单元,被配置为若用户的操作行为符合所述访问操作条件,并且用户具有所述访问权限,则执行所述访问请求,以实现对所述目标数据的访问控制。
进一步可选地,所述动态行为识别模型至少包括:实时行为识别层、目标行为识别层、识别结果输出层;
其中,所述实时行为识别层和所述目标行为识别层均由相似的网络结构;所述实时行为识别层的参数更新频率高于所述目标行为识别层的参数更新频率;
所述实时行为识别层,用于识别用户的实时行为模式,以甄别用户是否存在异常行为;
所述目标行为识别层,用于稳定实时行为模式的学习过程;
所述验证单元,通过动态行为识别模型,判断用户的操作行为是否符合所述目标数据的访问操作条件,具体被配置为:
通过所述实时行为识别层,获取所述操作行为对应的下一操作行为,并判断预测的下一操作行为是否属于所述访问操作条件中包含的合规操作行为,以得到第一行为识别结果;
通过所述目标行为识别层,获取所述操作行为对应的下一操作行为,并判断预测的下一操作行为是否属于所述访问操作条件中包含的合规操作行为,以得到第二行为识别结果;
通过识别结果输出层,基于所述第一行为识别结果与所述第二行为识别结果,验证所述操作行为是否符合所述访问操作条件。
进一步可选地,所述实时行为识别层和所述目标行为识别层均至少包括:特征提取层、行为识别层、行为判别层;
所述验证单元,获取所述操作行为对应的下一操作行为,并判断预测的下一操作行为是否属于所述访问操作条件中包含的合规操作行为,以得到第一行为识别结果,具体被配置为:
通过特征提取层,将所述操作行为中多模态行为数据编码为对应的多模态行为特征;所述多模态行为特征至少包括:登录行为特征、系统操作行为特征、生物验证特征;
通过行为识别层,将所述多模态行为特征从编码状态空间映射到动态动作空间,以得到对应的动态行为特征;以及,采用实时行为策略预估网络,对所述动态行为特征进行预测,以获得所述操作行为对应的下一操作行为;
通过行为判别层,判断所述下一操作行为是否属于所述访问操作条件中包含的合规操作行为;若是,则行为识别结果为所述操作行为合规;若否,则行为识别结果为所述操作行为不合规。
进一步可选地,所述验证单元,通过识别结果输出层,基于所述第一行为识别结果与所述第二行为识别结果,验证所述操作行为是否符合所述访问操作条件,具体被配置为:
若所述第一行为识别结果与所述第二行为识别结果均为合规,则所述操作行为符合所述访问操作条件;或者
若所述第一行为识别结果与所述第二行为识别结果均为不合规,则所述操作行为不符合所述访问操作条件;或者
若所述第一行为识别结果与所述第二行为识别结果不一致,则对所述第一行为识别结果与所述第二行为识别结果进行混合,并基于混合结果验证所述操作行为是否符合所述访问操作条件。
进一步可选地,所述验证单元,对所述第一行为识别结果与所述第二行为识别结果进行混合,并基于混合结果验证所述操作行为是否符合所述访问操作条件,具体被配置为:
获取所述第一行为识别结果与所述第二行为识别结果各自对应的类别原型向量;
基于类别原型向量计算得到所述第一行为识别结果与所述第二行为识别结果的混合结果;
若所述混合结果处于设定阈值范围内,则所述操作行为符合所述访问操作条件;或者,若所述混合结果不处于设定阈值范围内,则所述操作行为不符合所述访问操作条件。
进一步可选地,所述第一行为识别结果与所述第二行为识别结果的混合结果的计算过程表示为:
;
其中,为行为识别结果的特征表示函数,为非线性激励函数,和分别为所述第一行为识别结果与所述第二行为识别结果对应的类别原型向量,和为自适应关注度参数,为所述第一行为识别结果的权重参数,为类别原型向量对应的权重参数,为所述第二行为识别结果的权重参数,为类别原型向量对应的权重参数。
进一步可选地,所述动态行为识别模型还包括:访问缓冲回放层,所述验证单元还配置为:
监测访问请求的实时流量,以判断当前是否处于高并发时段;
处于高并发时段时,随机抽取接收到的至少一个访问请求,并将所述至少一个访问请求存储至分布式节点中;
切换至非高并发时段时,向实时行为识别层以及目标行为识别层发送所述至少一个访问请求。
进一步可选地,所述动态授权模型至少包括:特征表示层、图自注意力网络层、多层注意力增强聚合层、输出层。所述验证单元还配置为:
通过特征表示层,基于用户的当前访问权限,以构建动态权限图中的用户图节点;并基于用户的历史访问权限,以构建动态权限图中的角色节点;基于网络交换子系统中的访问权限机制,构建动态权限图中对应的多级权限节点;
通过图自注意力网络层,对动态权限图中各个节点进行自注意力计算,以得到各个节点的自注意力特征;对动态权限图中各个节点与其他节点之间的连接结构进行注意力计算,以得到各个节点之间的关联注意力特征;
通过多层注意力增强聚合层,对所述自注意力特征以及所述关联注意力特征进行特征聚合,并对特征聚合结果执行增强学习,得到各个节点的动态注意力增强特征;
通过输出层,基于各个节点的动态注意力增强特征执行访问决策处理,得到各个用户的访问权限配置信息,以实现网络交换子系统中各个用户的自适应动态授权。
本申请实施例中,通过分析用户的操作行为、验证其权限,并根据预先配置的规则来控制对目标数据的访问,从而实现对数据的访问控制,以确保数据安全性和合规性。本申请实施例中,实现了对用户数据访问请求的智能化控制,提高网络交换子系统的安全性和可控性,提升智能计算平台的运行效率。
在本申请的又一实施例中,还提供一种智能计算平台,包括:处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现方法实施例所述的数据访问控制方法。
上述电子设备提到的通信总线1140可以是外设部件互连标准(PeripheralComponent Interconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线1140可以分为地址总线、数据总线、控制总线等。
示例性地,假设需要建立一个基于神经元网络专用芯片的大规模、自主可控的智能计算平台,用于为研发和建设智能计算平台提供硬件基础。同时,智能计算平台也可以为智能超算中心建设提供硬件基础,通过该中心的构建可以为科研、产业、城市服务的人工智能平台,集聚人才、发展产业。
具体来说,智能计算平台主要包括:智能硬件平台、智能计算云操作系统、应用环境开发、大数据平台、智能应用PaaS平台这五个部分。在智能硬件平台中,以智能计算理论为基础,可以将深度学习芯片、AI智能加速卡及分布式服务器集成为智能硬件平台,从而为整个超算平台以及相关衍生平台提供基础硬件支撑,其主要内容包含以下四个部分:智能计算子系统、网络交换子系统、数据存储子系统及支撑管理子系统。
本申请实施例提供了用于构建低能耗运算器的数据访问控制方法。
为便于表示,图4中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口1120用于上述电子设备与其他设备之间的通信。
存储器1130可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(non-volatil ememory),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器1110可以是通用处理器,包括中央处理器(Central Pro-
cessing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital Signal Processing,DSP)、专用集成电路(ApplicationSpecificIntegrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable GateArray,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
相应地,本申请实施例还提供一种存储有计算机程序的计算机可读存储介质,计算机程序被执行时能够实现上述方法实施例中可由电子设备执行的各步骤。
Claims (10)
1.一种数据访问控制方法,其特征在于,包括:
响应于用户对目标数据的访问请求,获取用户在网络交换子系统中的操作行为;
通过动态行为识别模型,判断用户的操作行为是否符合所述目标数据的访问操作条件;
验证用户是否具有所述目标数据的访问权限;所述访问权限是由动态授权模型预先配置的;
若用户的操作行为符合所述访问操作条件,并且用户具有所述访问权限,则执行所述访问请求,以实现对所述目标数据的访问控制;
所述动态行为识别模型至少包括:实时行为识别层、目标行为识别层和识别结果输出层;其中,所述实时行为识别层和所述目标行为识别层均由相似的网络结构;所述实时行为识别层的参数更新频率高于所述目标行为识别层的参数更新频率;所述实时行为识别层,用于识别用户的实时行为模式,以甄别用户是否存在异常行为;所述目标行为识别层,用于稳定实时行为模式的学习过程;
通过动态行为识别模型,判断用户的操作行为是否符合所述目标数据的访问操作条件,包括:通过所述实时行为识别层和所述目标行为识别层的协同作用,动态识别用户的操作行为,并通过所述识别结果输出层判断所述操作行为是否符合访问操作条件。
2.根据权利要求1所述的数据访问控制方法,其特征在于,所述通过动态行为识别模型,判断用户的操作行为是否符合所述目标数据的访问操作条件,包括:
通过所述实时行为识别层,获取所述操作行为对应的下一操作行为,并判断预测的下一操作行为是否属于所述访问操作条件中包含的合规操作行为,以得到第一行为识别结果;
通过所述目标行为识别层,获取所述操作行为对应的下一操作行为,并判断预测的下一操作行为是否属于所述访问操作条件中包含的合规操作行为,以得到第二行为识别结果;
通过识别结果输出层,基于所述第一行为识别结果与所述第二行为识别结果,验证所述操作行为是否符合所述访问操作条件。
3.根据权利要求2所述的数据访问控制方法,其特征在于,所述实时行为识别层和所述目标行为识别层均至少包括:特征提取层、行为识别层、行为判别层;
所述获取所述操作行为对应的下一操作行为,并判断预测的下一操作行为是否属于所述访问操作条件中包含的合规操作行为,以得到第一行为识别结果,包括:
通过特征提取层,将所述操作行为中多模态行为数据编码为对应的多模态行为特征;所述多模态行为特征至少包括:登录行为特征、系统操作行为特征、生物验证特征;
通过行为识别层,将所述多模态行为特征从编码状态空间映射到动态动作空间,以得到对应的动态行为特征;以及,采用实时行为策略预估网络,对所述动态行为特征进行预测,以获得获取所述操作行为对应的下一操作行为;
通过行为判别层,判断所述下一操作行为是否属于所述访问操作条件中包含的合规操作行为;若是,则行为识别结果为所述操作行为合规;若否,则行为识别结果为所述操作行为不合规。
4.根据权利要求3所述的数据访问控制方法,其特征在于,所述通过识别结果输出层,基于所述第一行为识别结果与所述第二行为识别结果,验证所述操作行为是否符合所述访问操作条件,包括:
若所述第一行为识别结果与所述第二行为识别结果均为合规,则所述操作行为符合所述访问操作条件;或者
若所述第一行为识别结果与所述第二行为识别结果均为不合规,则所述操作行为不符合所述访问操作条件;或者
若所述第一行为识别结果与所述第二行为识别结果不一致,则对所述第一行为识别结果与所述第二行为识别结果进行混合,并基于混合结果验证所述操作行为是否符合所述访问操作条件。
5.根据权利要求4所述的数据访问控制方法,其特征在于,所述对所述第一行为识别结果与所述第二行为识别结果进行混合,并基于混合结果验证所述操作行为是否符合所述访问操作条件,包括:
获取所述第一行为识别结果与所述第二行为识别结果各自对应的类别原型向量;
基于类别原型向量计算得到所述第一行为识别结果与所述第二行为识别结果的混合结果;
若所述混合结果处于设定阈值范围内,则所述操作行为符合所述访问操作条件;或者,若所述混合结果不处于设定阈值范围内,则所述操作行为不符合所述访问操作条件。
6.根据权利要求5所述的数据访问控制方法,其特征在于,所述第一行为识别结果与所述第二行为识别结果的混合结果的计算过程表示为:
;
其中,为行为识别结果的特征表示函数,为非线性激励函数,和分别为所述第一行为识别结果与所述第二行为识别结果对应的类别原型向量,和为自适应关注度参数,为所述第一行为识别结果的权重参数,为类别原型向量对应的权重参数,为所述第二行为识别结果的权重参数,为类别原型向量对应的权重参数。
7.根据权利要求2所述的数据访问控制方法,其特征在于,所述动态行为识别模型还包括:访问缓冲回放层;所述方法还包括:
通过访问缓冲回放层,监测访问请求的实时流量,以判断当前是否处于高并发时段;
处于高并发时段时,随机抽取接收到的至少一个访问请求,并将所述至少一个访问请求存储至分布式节点中;
切换至非高并发时段时,向实时行为识别层以及目标行为识别层发送所述至少一个访问请求。
8.根据权利要求1所述的数据访问控制方法,其特征在于,所述动态授权模型至少包括:特征表示层、图自注意力网络层、多层注意力增强聚合层、输出层;
所述方法还包括:
通过特征表示层,基于用户的当前访问权限,以构建动态权限图中的用户图节点;并基于用户的历史访问权限,以构建动态权限图中的角色节点;基于网络交换子系统中的访问权限机制,构建动态权限图中对应的多级权限节点;
通过图自注意力网络层,对动态权限图中各个节点进行自注意力计算,以得到各个节点的自注意力特征;对动态权限图中各个节点与其他节点之间的连接结构进行注意力计算,以得到各个节点之间的关联注意力特征;
通过多层注意力增强聚合层,对所述自注意力特征以及所述关联注意力特征进行特征聚合,并对特征聚合结果执行增强学习,得到各个节点的动态注意力增强特征;
通过输出层,基于各个节点的动态注意力增强特征执行访问决策处理,得到各个用户的访问权限配置信息,以实现网络交换子系统中各个用户的自适应动态授权。
9.一种网络交换子系统,其特征在于,所述网络交换子系统包括:
获取单元,被配置为响应于用户对目标数据的访问请求,获取用户在网络交换子系统中的操作行为;
验证单元,被配置为通过动态行为识别模型,判断用户的操作行为是否符合所述目标数据的访问操作条件;验证用户是否具有所述目标数据的访问权限;所述访问权限是由动态授权模型预先配置的;
执行单元,被配置为若用户的操作行为符合所述访问操作条件,并且用户具有所述访问权限,则执行所述访问请求,以实现对所述目标数据的访问控制。
10.一种智能计算平台,其特征在于,所述智能计算平台包括:
至少一个处理器、存储器和输入输出单元;
其中,所述存储器用于存储计算机程序,所述处理器用于调用所述存储器中存储的计算机程序来执行如权利要求1至8中任一项所述的数据访问控制方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410388510.4A CN117978556B (zh) | 2024-04-01 | 2024-04-01 | 一种数据访问控制方法、网络交换子系统及智能计算平台 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410388510.4A CN117978556B (zh) | 2024-04-01 | 2024-04-01 | 一种数据访问控制方法、网络交换子系统及智能计算平台 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117978556A true CN117978556A (zh) | 2024-05-03 |
CN117978556B CN117978556B (zh) | 2024-06-11 |
Family
ID=90858311
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202410388510.4A Active CN117978556B (zh) | 2024-04-01 | 2024-04-01 | 一种数据访问控制方法、网络交换子系统及智能计算平台 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117978556B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN118536093A (zh) * | 2024-07-25 | 2024-08-23 | 大数据安全工程研究中心(贵州)有限公司 | 一种基于人工智能的数据安全溯源方法、系统及装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114663766A (zh) * | 2022-04-02 | 2022-06-24 | 广西科学院 | 基于多图像协同注意力机制的植物叶片识别系统及方法 |
CN116545731A (zh) * | 2023-05-29 | 2023-08-04 | 中科天御(苏州)科技有限公司 | 一种基于时间窗动态切换的零信任网络访问控制方法及系统 |
CN116633653A (zh) * | 2023-06-09 | 2023-08-22 | 平安科技(深圳)有限公司 | 金融系统防火墙管理控制方法、装置、系统及存储介质 |
-
2024
- 2024-04-01 CN CN202410388510.4A patent/CN117978556B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114663766A (zh) * | 2022-04-02 | 2022-06-24 | 广西科学院 | 基于多图像协同注意力机制的植物叶片识别系统及方法 |
CN116545731A (zh) * | 2023-05-29 | 2023-08-04 | 中科天御(苏州)科技有限公司 | 一种基于时间窗动态切换的零信任网络访问控制方法及系统 |
CN116633653A (zh) * | 2023-06-09 | 2023-08-22 | 平安科技(深圳)有限公司 | 金融系统防火墙管理控制方法、装置、系统及存储介质 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN118536093A (zh) * | 2024-07-25 | 2024-08-23 | 大数据安全工程研究中心(贵州)有限公司 | 一种基于人工智能的数据安全溯源方法、系统及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN117978556B (zh) | 2024-06-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20240135019A1 (en) | Machine learning for identity access management | |
US12041140B2 (en) | Real-time entity anomaly detection | |
US8341405B2 (en) | Access management in an off-premise environment | |
US20220050897A1 (en) | Microservice adaptive security hardening | |
KR102542720B1 (ko) | 제로 트러스트 보안을 위한 행동 인터넷 기반 지능형 데이터 보안 플랫폼 서비스 제공 시스템 | |
US20220345457A1 (en) | Anomaly-based mitigation of access request risk | |
CN117978556B (zh) | 一种数据访问控制方法、网络交换子系统及智能计算平台 | |
US20120311696A1 (en) | Override for Policy Enforcement System | |
US20080104393A1 (en) | Cloud-based access control list | |
US11062004B2 (en) | Emotion-based database security | |
US11381972B2 (en) | Optimizing authentication and management of wireless devices in zero trust computing environments | |
US11468185B2 (en) | Dynamically controlling access to linked content in electronic communications | |
EP4049433B1 (en) | User impact potential for security alert management | |
CN116418568A (zh) | 一种基于动态信任评估的数据安全访问控制方法、系统及存储介质 | |
Calderon et al. | Modeling an intelligent continuous authentication system to protect financial information resources | |
Metoui et al. | Risk-based privacy-aware access control for threat detection systems | |
Liu et al. | Data‐Driven Zero Trust Key Algorithm | |
CN113254936A (zh) | 一种基于类脑计算的终端安全管理与控制平台 | |
Do Nascimento et al. | Decentralized Federated Learning for Intrusion Detection in IoT-based Systems: A Review | |
Duarte et al. | On the Prospect of using Cognitive Systems to Enforce Data Access Control | |
Althebyan et al. | A knowledgebase insider threat mitigation model in the cloud: a proactive approach | |
Alruwaythi | User-Behavior Trust Modeling in Cloud Secuirty | |
US11983254B2 (en) | Secure access control framework using dynamic resource replication | |
WO2023181219A1 (ja) | 分析装置、分析方法及び非一時的なコンピュータ可読媒体 | |
US20240114056A1 (en) | Defining a security perimeter using knowledge of user behavior within a content management system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |