[发明专利]一种访问控制策略智能优化系统及方法

说明书

本发明公开了一种访问控制策略智能优化系统及方法，属于网络边界防护系统技术领域，包括数据采集模块接受来自设备的会话信息、日志、消息；实时分布式数据处理模块，实时解析数据，并对解析数据的属性进行计算，形成特征参数；在特征处理模块中根据特征参数对访问控制策略信息进行计算处理；告警模块对访问控制策略效率进行优化提示与告警。本发明提供可提高访问控制策略的效率和精准度。

技术领域

本发明涉及网络边界防护系统技术领域，尤其涉及一种访问控制策略智能优化系统及方法。

背景技术

访问控制策略是面向主体与客体，进行权限控制的一种网络化方法，利用该方法可对网络中主客体之间的连接关系和访问授权进行一一控制。精准化控制与授权是访问控制策略的制定初衷和目的，是避免非法主体对授权之外客体进行访问的重要方法。

在信息化客体资源较少的情况下，管理人员尚可通过人工的方式进行一一核对保证访问客体权限的合法性，但随着主客体资源数量的增多主客体连接关系必然随着时间的推移逐渐混乱、重复。

一般情况下，随着时间的推移主体（像源集的基数）和客体（像集的基数）逐渐扩大，再加上访问关系（映射关系）的复杂化，势必会造成资源授权范围扩大，安全风险逐渐增大。

这种混乱的连接关系逐渐放大，直接造成网络安全设备和主机之间互联控制计算资源消耗暴涨、成本扩大，从使用体验上来看系统访问的速度会逐渐降低，信息泄露和扩大授权范围成为必然。因此，降低访问控制连接关系、压缩主体和客体的基数成为安全服务提供厂、安全软件开发者和安全管理人员必须考虑和面对的问题。

基于以上表述，访问控制策略在安全可信领域普遍发生，其优化工作具有典型性，是本领域亟需解决的问题

发明内容

本发明实施例提供一种访问控制策略智能优化系统及方法，以解决传统的计算机网络边界防护系统存在随时间逐渐扩大且性能逐渐下降这一技术问题技术问题。

本发明实施例采用下述技术方案：一种访问控制策略智能优化系统，包括数据采集模块、实时分布式数据处理模块、特征处理模块和告警模块，

所述数据采集模块对网络中边界安全设备、计算机、数据库等设备和软件的会话信息、通信信息、进程、服务自定义获取和收集；

所述实时分布式数据处理模块对收集的数据进行解析和入库，对数据进行实时分类和重组，对大数据流进行队列处理和分布式负载均衡处理，实时分布式数据处理模块针对主动获取数据时，对源系统端通过部署和配置采集程序、频度、数据范围方式实现；

所述特征处理模块对获取解析后的数据进行特征分析与提取，对收集的数据进行聚合与收缩计算，根据源目映射及关系或集合空间进行分类汇聚，对关键特征的内容与统计和形成排序，在管理界面上定义灵活的业务处理模板；

所述告警模块，为特征处理模块提供便捷的人机交互界面与实时数据处理界面，形成特定时间的匹配次数和数据量排序，针对不可信空间形成预警信息向管理人员提供访问控制策略修订信息。

进一步的，所述实时分布式数据处理模块分为数据验证、数据转换和数据聚合部分，在数据验证部分记录数据的重复性、缺失、完整性、数据规则、时间标识；

一种访问控制策略智能优化方法，包括以下步骤：

S1:通过数据采集模块对网络中边界安全设备、计算机、数据库等设备和软件的会话信息、通信信息、进程、服务自定义获取和收集；

S2:通过实时分布式数据处理模块对数据采集模块所收集的数据进行解析和入库，对数据进行实时分类和重组，对大数据流进行队列处理和分布式负载均衡处理；

S3:通过特征处理模块将完成解析后的数据进行特征分析与提取，对收集的数据进行聚合与收缩计算，根据源目映射及关系或集合空间进行分类汇聚，对关键特征的内容与统计和形成排序；