[发明专利]一种基于变分自编码器和属性的动态访问控制方法

说明书

本发明提供了一种基于变分自编码器和属性的动态访问控制方法，包括静态规则匹配和基于变分自编码器(Variational Auto‑Encoder,VAE)的动态访问决策。输入一条访问请求后，静态规则匹配对访问用户组、访问时间等静态属性进行匹配，过滤出符合要求的请求；然后，利用Intro‑VAE对请求的报文流量特征及请求对应会话的统计特征计算损失误差，若低于一定阈值则对其访问授权。同时，本发明利用增量学习对Intro‑VAE实现了模型更新，以适应新样本的加入。本发明能够有效地实现动态访问控制，及时发现并阻断网络中的异常访问行为，并且适用于标记样本量极少且缺乏异常样本的情况，更符合实际需求。

技术领域

本发明属于网络空间安全技术领域，具体的是一种基于变分自编码器和属性的动态访问控制方法。

背景技术

随着物联网与大数据时代的快速发展，海量的数据进入互联网中。如何保护数据不被恶意访问，保证数据操作在有权限的情况下执行，是访问控制讨论的主要问题。访问控制作为确保信息安全的关键技术，可以有效地监控资源的访问，防止未经授权的信息流产生。

网络环境日益复杂，需要实现高要求、细粒度、动态的访问控制。在这种情况下，基于属性的访问控制(Attribute-Based Access Control,ABAC)作为一种新兴的访问控制形式应运而生，其基于访问用户、访问资源、环境条件和执行操作等的属性制定访问策略。由于属性可以从不同角度描述实体，且属性值是随着时间可变的，因此ABAC允许用户根据实际情况更改访问控制策略，可以有效地解决动态大规模环境中的细粒度访问控制问题。ABAC是新的计算环境中的一种理想的访问控制模型，具有广阔的应用前景。

为了适应复杂网络中动态访问控制的需求，出现了更多根据其应用场景而改进的访问控制变种，如基于风险、上下文、工作流等的访问控制,它们通过风险评估、机器学习或上下文感知等进行动态访问控制，利用更丰富的数据确定个人身份的可信度，实现实时的访问控制决策和策略执行。但是，这些访问控制的实现需要足够的先验知识、标签分类的数据，可能受一定条件的约束，不具有通用性，不能很好地直接应用到实际中。

在面对巨量无标签的网络数据时，由于缺乏足够的先验知识和已建立的数据类别标注标准，手工类别标注的任务量大，成本高。这种情况下，无监督学习是一种比较好的解决方法。自编码器作为一种无监督学习算法，在异常检测方面有较广泛的应用，使用正常样本训练模型，通过模型输出的损失误差进行分类，可以解决攻击样本少、数据无标签的问题。

发明内容

本发明的目的在于针对背景技术的缺陷和问题，提供了一种基于变分自编码器和属性的动态访问控制方法，通过VAE异常检测实现多因素属性决策，从而解决动态访问控制中对先验知识和标签数据高要求的问题，有效地实现访问控制动态决策，在整个访问过程中根据用户访问行为进行访问控制。

本发明解决上述技术问题采用的技术方案为：

一种基于变分自编码器和属性的动态访问控制方法，包括静态规则匹配和基于VAE模型的动态访问决策两部分，具体步骤如下：

步骤1、设置访问控制的静态规则；

步骤2、获取日志文件，提取数据特征，训练VAE模型；

步骤3、在有新类型的用户数据时，对VAE模型进行增量训练；

步骤4、结合静态规则与VAE模型，实现动态访问控制。

进一步地，所述步骤1具体包括如下子步骤：

步骤1.1、根据应用场景设置静态访问规则，如访问用户组、访问资源ID、访问操作、访问时间、连接网络等；

步骤1.2、将所设置的静态访问规则转化为XACML标准语言表示。

进一步地，所述步骤2具体包括如下子步骤：