CN111159719A - 冲突权限的确定方法、装置、计算机设备和存储介质 - Google Patents

冲突权限的确定方法、装置、计算机设备和存储介质 Download PDF

Info

Publication number
CN111159719A
CN111159719A CN201911421731.2A CN201911421731A CN111159719A CN 111159719 A CN111159719 A CN 111159719A CN 201911421731 A CN201911421731 A CN 201911421731A CN 111159719 A CN111159719 A CN 111159719A
Authority
CN
China
Prior art keywords
access
page
preset
access record
determining
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201911421731.2A
Other languages
English (en)
Other versions
CN111159719B (zh
Inventor
沈韵
魏勇
简明
张泽洲
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qax Technology Group Inc
Secworld Information Technology Beijing Co Ltd
Original Assignee
Qax Technology Group Inc
Secworld Information Technology Beijing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qax Technology Group Inc, Secworld Information Technology Beijing Co Ltd filed Critical Qax Technology Group Inc
Priority to CN201911421731.2A priority Critical patent/CN111159719B/zh
Publication of CN111159719A publication Critical patent/CN111159719A/zh
Application granted granted Critical
Publication of CN111159719B publication Critical patent/CN111159719B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提供了一种冲突权限的确定方法、装置、计算机设备和存储介质。该冲突权限的确定方法包括:获取目标主体的历史访问信息;解析历史访问信息以得到多个访问目标,其中,访问目标包括访问地址和访问访问地址时进行的页面操作;将访问时间相邻的若干访问目标划分为一个行为轨迹;通过威胁模型判断行为轨迹是否为危险行为轨迹;以及当行为轨迹为危险行为轨迹时,在目标主体的权限集合中,确定危险行为轨迹对应的权限为冲突权限。通过本发明,能够确定权限集合中的冲突权限,降低权限集合存在安全风险的概率。

Description

冲突权限的确定方法、装置、计算机设备和存储介质
技术领域
本发明涉及权限处理技术领域,尤其涉及一种冲突权限的确定方法、装置、计算机设备和存储介质。
背景技术
为了体现差别化的安全管理,对访问***的用户设置权限管理。权限管理是指根据***所设置的安全规则以及用户的角色定义,访问主体在访问***时只能访问自己被授权的资源,在现有技术中,针对不同的访问主体设置对应的权限集合,在进行访问控制时,对属于权限集合范围内的访问放行,对不属于权限集合范围内的访问进行拦截。
发明人发现,当权限集合中的权限较多时,多个权限允许的行为组合后可能会存在安全漏洞,例如,权限集合中包括访问保密内容的权限和访问程序下载中心从外部下载应用程序的权限,当外部应用程序携带文件窃取病毒时,保密内容的安全性可能会受到威胁。
因此,提供一种冲突权限的确定方法、装置、计算机设备和存储介质,对上述权限组合的识别,确定出权限集合中的冲突权限,降低权限集合存在安全风险的概率,成为本领域亟需解决的技术问题。
发明内容
本发明的目的是提供一种冲突权限的确定方法、装置、计算机设备和存储介质,用于解决现有技术中上述的技术问题。
一方面,为实现上述目的,本发明提供了一种冲突权限的确定方法。
该冲突权限的确定方法包括:获取目标主体的历史访问信息;解析历史访问信息以得到多个访问目标,其中,访问目标包括访问地址和访问访问地址时进行的页面操作;将访问时间相邻的若干访问目标划分为一个行为轨迹;通过威胁模型判断行为轨迹是否为危险行为轨迹;以及当行为轨迹为危险行为轨迹时,在目标主体的权限集合中,确定危险行为轨迹对应的权限为冲突权限。
进一步地,解析历史访问信息以得到多个访问目标的步骤包括:解析历史访问信息以得到多个访问记录,其中,访问记录包括访问地址和访问访问地址时进行的页面操作;根据访问记录确定会话,其中,会话包括访问时间相邻的若干访问记录;以及确定会话中访问时间最晚的访问记录为访问目标。
进一步地,根据访问记录确定会话的步骤包括:将相似度大于预设相似度阈值且访问时间相邻的若干访问记录作为一个会话。
进一步地,解析历史访问信息以得到多个访问记录的步骤包括:获取历史访问信息中的访问地址;获取访问访问地址时在页面上进行的页面操作;计算访问访问地址时在页面上的页面停留时间;根据访问地址、对应访问地址的页面操作和页面停留时间生成访问记录,将相似度大于预设相似度阈值且相邻的若干访问记录作为一个会话的步骤包括:将相似度大于预设相似度阈值、页面停留时间在预设停留时间范围内且相邻的若干访问记录作为一个会话。
进一步地,将相似度大于预设相似度阈值、页面停留时间在预设停留时间范围内且相邻的若干访问记录作为一个会话的步骤包括:步骤S1:按访问时间顺序获取一个访问记录,作为第一访问记录;步骤S2:判断第一访问记录中页面停留时间是否在预设停留时间范围内,判断访问记录集中是否包括访问记录,其中,当页面停留时间在预设停留时间范围内且访问记录集中包括访问记录时,执行步骤S3,当页面停留时间在预设停留时间范围内且访问记录集中不包括访问记录时,执行步骤S5,当页面停留时间不在预设停留时间范围内且访问记录集中包括访问记录时,执行步骤S7,当页面停留时间不在预设停留时间范围内且访问记录集中不包括访问记录时,返回步骤S1;步骤S3:计算第一访问记录与访问记录集中最新的访问记录的相似度;步骤S4:判断相似度是否大于或等于预设相似度阈值,其中,当相似度大于或等于预设相似度阈值时,执行步骤S5,当相似度小于预设相似度阈值时,执行步骤S6;步骤S5:将第一访问记录写入访问记录集,并返回步骤S1;步骤S6:输出访问记录集,以得到一个会话,清空访问记录集,将第一访问记录加入访问记录集,并返回步骤S1;步骤S7:输出访问记录集,以得到一个会话,清空访问记录集,并返回步骤S1。
进一步地,不同访问地址对应的页面停留时间,所对应的预设停留时间范围不同,采用以下步骤计算预设停留时间范围:获取包括页面停留时间对应的访问地址的访问记录,得到相似访问记录;以及根据相似访问记录的页面停留时间计算预设停留时间范围。
进一步地,根据相似访问记录的页面停留时间计算预设停留时间范围的步骤包括:根据多个相似访问记录的页面停留时间绘制箱线图;计算箱线图的第一四分位数Q1、第三四分位数Q3和四分位距QR;采用以下公式计算预设停留时间范围(δtimemin,δtimemax):δtimemin=Q1-a*QR,δtimemax=Q3+a*QR,其中,a为无量纲系数。
另一方面,为实现上述目的,本发明提供了一种冲突权限的确定装置。
该冲突权限的确定装置包括:获取模块,用于获取目标主体的历史访问信息;解析模块,用于解析历史访问信息以得到多个访问目标,其中,访问目标包括访问地址和访问访问地址时进行的页面操作;第一确定模块,用于根据访问目标确定行为轨迹,其中,行为轨迹包括访问时间相邻的若干访问目标;判断模块,用于通过威胁模型判断行为轨迹是否为危险行为轨迹;以及第二确定模块,用于当行为轨迹危险行为轨迹时,在目标主体的权限集合中,确定危险行为轨迹对应的权限为冲突权限。
为实现上述目的,本发明还提供一种计算机设备,包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,该处理器执行计算机程序时实现上述方法的步骤。
为实现上述目的,本发明还提供计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述方法的步骤。
本发明提供的冲突权限的确定方法、装置、计算机设备和存储介质,从目标主体的历史访问信息中解析得到目标主体历史的访问目标,该访问目标包括访问地址和访问该访问地址时进行的页面操作,然后将访问时间相邻的若干访问目标划分为一个行为轨迹,通过威胁模型判断该行为轨迹是否为危险行为轨迹,当存在危险行为轨迹时,在目标主体的权限集合中,将该危险行为轨迹包括的访问目标所对应的权限确定为冲突权限。通过本发明,利用威胁模型对目标主体的历史行为轨迹进行判断,当存在危险行为轨迹时,可通过危险行为轨迹来确定权限集合中的冲突权限,进而可对权限集合中的冲突权限进行处理,降低权限集合存在潜在安全危险的概率。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1为本发明实施例一提供的冲突权限的确定方法的流程图;
图2为本发明实施例二提供的冲突权限的确定方法的流程图;
图3为本发明实施例三提供的冲突权限的确定方法的流程图;
图4为本发明实施例四提供的冲突权限的确定装置的框图;以及
图5为本发明实施例五提供的计算机设备的硬件结构图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了在权限集合中确定冲突权限,从而提升权限集合的安全性,本发明提出了一种冲突权限的确定方法、装置、计算机设备和存储介质,在该冲突权限的确定方法中,首先获取目标主体的历史访问信息,通过解析历史访问信息得到多个访问目标,该访问目标包括访问地址和访问访问地址时进行的页面操作,然后根据访问目标确定行为轨迹,一个行为轨迹包括访问时间相邻的若干访问目标,例如,连续三个访问目标作为一个行为轨迹,或者,连续五个访问目标作为一个行为轨迹,然后判断行为轨迹是否为危险行为轨迹,该处的危险行为轨迹包括的访问目标之间在保密性、完整性和可用性之间存在矛盾,也即存在威胁风险,如果存在这类型的行为轨迹,也即危险行为轨迹,也就是说,对于目标主体而言,能够形成危险行为轨迹的各个访问目标相结合,对目标主体的安全性具有影响,此时,在目标主体的权限集合中,根据该类行为轨迹确定冲突权限,进而能够对权限集合中的冲突权限进行处理,包括删除权限集合中的部分或全部冲突权限,或者通过设置权限组合限定规则,来避免权限集合中的部分权限在一定时间段内同时允许等,从而降低权限集合带来的安全风险。
关于本发明提供的冲突权限的确定方法、装置、计算机设备和存储介质的具体实施方式,将在下文中详细描述。
实施例一
本发明实施例提供了一种冲突权限的确定方法,以确定针对某一目标主体的权限集合中的冲突权限,进而能够对冲突权限进行处理,降低冲突权限对安全性的影响,具体地,图1为本发明实施例一提供的冲突权限的确定方法的流程图,如图1所示,该实施例提供的冲突权限的确定方法包括如下的步骤S101至步骤S105。
步骤S101:获取目标主体的历史访问信息。
该目标主体可以为用户名或者终端设备的标识信息等标定的访问主体,对该访问主体设置有权限集合,例如,针对用户名所标定的用户,在访问目标***时,只能访问权限集合所对应的范围;又如,针对标识信息所标定的终端,当用户通过该终端访问目标***时,只能访问权限集合所对应的范围等。可选地,可以从终端设备、中间控制设备(例如防火墙、代理设备)或服务器设备的日志等记录中,收集目标主体一段时间内访问目标***所产生的历史访问信息。
步骤S102:解析历史访问信息以得到多个访问目标。
其中,访问目标包括访问地址和访问访问地址时进行的页面操作。
可选地,可依据特征匹配方法,利用访问地址的特征信息,在历史访问信息中匹配和提取访问特征,例如,特征信息可以为特定字符http、ftp等,也可以为满足特定格式的字符串,例如满足“xxx.xxx.xxx.xxx”格式的字符串。在获取当每一个访问地址url后,可进一步获取该访问地址对应的页面上的页面操作,若干页面操作构成一个页面操作集合Ωop=(op1,op2,op3......),一个访问目标Ri=(urli,Ωopi)。
在一个会话中,也即目标主体与交互***进行一次通讯的过程中,可包括目标主体与交互***进行的多次交互,例如,建立了一次tcp的连接,可以发送很多次HTTP请求,一次请求包括对一个访问地址的访问,也就是说,一次会话包括对多个访问地址的访问,每次HTTP请求会对应一个访问地址,在此情况下,将一个会话中的最后一个访问地址及其对应的页面操作作为访问目标。
可选地,在一种实施例中,将一个会话中的最后一个访问地址及其对应的页面操作作为访问目标时,该步骤S102具体包括:解析历史访问信息以得到多个访问记录,其中,访问记录包括访问地址和访问访问地址时进行的页面操作;根据访问记录确定会话,其中,会话包括访问时间相邻的若干访问记录;以及确定会话中访问时间最晚的访问记录为访问目标。
其中,在根据访问记录确定会话时,可通过访问记录的时间间隔确定会话,例如,将时间间隔在一定时间范围内的访问记录确定为一个会话;或者,可将相似度大于预设相似度阈值且访问时间相邻的若干访问记录作为一个会话,其中,相似度为相邻两个访问记录的访问地址的汉明距离或编辑距离,关于汉明距离和编辑距离的具体计算方式,可采用现有技术中的计算方式,该处不再赘述。
步骤S103:将访问时间相邻的若干访问目标划分为一个行为轨迹。
可选地,对于解析第一时间范围内的历史访问信息得到的多个访问目标,将第二时间范围内的访问目标作为一个行为轨迹,例如,对于解析一个月内的历史访问信息得到的多个访问目标,将每一天内的访问目标作为一个行为轨迹,可以得到对应一个月的30个行为轨迹。
步骤S104:通过威胁模型判断行为轨迹是否为危险行为轨迹。
其中,危险行为轨迹是指行为轨迹包括的各个访问目标之间存在安全威胁。,例如,基于微软开发的STRIDE威胁模型,分析行为轨迹,进行危险评估,从攻击者的角度,可以识别以下6个类别的威胁:Spooling(仿冒)、Tampering(篡改)、Repudiation(抵赖)、InformationDisclosure(信息泄露)、Dos(拒绝服务)和Elevation of privilege(权限提升),当一个行为轨迹被评估后,存在上述任意一种威胁时,该行为轨迹属于危险行为轨迹。
可选地,通过上述步骤S103,可以得到多个行为轨迹,在通过该步骤S104判断行为轨迹是否为危险行为轨迹之前,可以对得到的多个行为轨迹进行聚类,得到多个类别,针对每个类别中的一个行为轨迹进行判断,来代表一个类别的行为轨迹是否为危险行为轨迹,从而减少判断次数。
步骤S105:当行为轨迹为危险行为轨迹时,在目标主体的权限集合中,确定危险行为轨迹对应的权限为冲突权限。
当一个行为轨迹为危险行为轨迹,表明该行为轨迹包括的各个访问目标所对应的权限相结合存在安全威胁,因而,这部分权限属于冲突权限,进一步,可对权限集合中的该冲突权限进行处理,包括删除权限集合中的部分或全部冲突权限,或者通过设置权限组合限定规则等。
在该实施例提供的冲突权限的确定方法中,从目标主体的历史访问信息中解析得到目标主体历史的访问目标,该访问目标包括访问地址和访问该访问地址时进行的页面操作,然后将访问时间相邻的若干访问目标划分为一个行为轨迹,通过威胁模型判断该行为轨迹是否为危险行为轨迹,当存在危险行为轨迹时,在目标主体的权限集合中,将该危险行为轨迹包括的访问目标所对应的权限确定为冲突权限。采用该实施例提供的冲突权限的确定方法,利用威胁模型对目标主体的历史行为轨迹进行判断,当存在危险行为轨迹时,可通过危险行为轨迹来确定权限集合中的冲突权限,进而可对权限集合中的冲突权限进行处理,降低权限集合存在潜在安全危险的概率。
实施例二
本发明实施例二提供了一种优选地冲突权限的确定方法,以确定针对某一目标主体的权限集合中的冲突权限,部分技术特征与上述实施例一的技术特征相同,具体描述和相应技术效果可参考上述实施例一。进一步,该实施例二通过页面停留时间对异常访问记录进行判断,减少异常访问记录对会话的影响,提升确定会话的准确性,进而提升冲突权限确定的准确性。具体地,图2为本发明实施例二提供的冲突权限的确定方法的流程图,如图2所示,该实施例二提供的冲突权限的确定方法包括如下的步骤S201至步骤S210。
步骤S201:获取目标主体的历史访问信息。
步骤S202:获取历史访问信息中的访问地址。
步骤S203:获取访问访问地址时在页面上进行的页面操作。
步骤S204:计算访问访问地址时在页面上的页面停留时间。
步骤S205:根据访问地址、对应访问地址的页面操作和页面停留时间生成访问记录。
通过上述步骤S203,得到访问访问地址时在页面上进行的若干页面操作,该若干页面操作构成一个页面操作集合Ωop=(op1,op2,op3......),则在该步骤S205,根据访问地址urli、对应访问地址的页面操作Ωopi和页面停留时间Δi生成访问记录Ri=(urli,Ωopi,Δi)。
步骤S206:将相似度大于预设相似度阈值、页面停留时间在预设停留时间范围内且相邻的若干访问记录作为一个会话。
通过该步骤,使得会话中的访问记录的页面停留时间均在预设停留时间范围内,以将会话中的异常访问剔除。
可选地,不同访问地址对应的页面停留时间,所对应的预设停留时间范围不同。对于不同的访问地址,页面上展示的内容和可操作的内容均不相同,针对不同访问地址设置相适配的页面停留时间范围,能够提升异常访问判断的准确性。
进一步可选地,采用以下步骤计算预设停留时间范围:获取包括页面停留时间对应的访问地址的访问记录,得到相似访问记录;以及根据相似访问记录的页面停留时间计算预设停留时间范围。
从中可以看出,在判断一个访问记录中的页面停留时间与预设停留时间范围的关系时,根据与该访问记录中访问地址相同的其他访问记录(也即相似访问记录)的页面停留时间,计算预设停留时间范围,提升预设时间停留范围计算的准确性。
进一步可选地,根据相似访问记录的页面停留时间计算预设停留时间范围的步骤包括:根据多个相似访问记录的页面停留时间绘制箱线图;计算箱线图的第一四分位数Q1、第三四分位数Q3和四分位距QR;采用以下公式计算预设停留时间范围(δtimemin,δtimemax):δtimemin=Q1-a*QR,δtimemax=Q3+b*QR,其中,a和b均为无量纲系数。
其中,对于箱线图,第一四分位数Q1,又称“较小四分位数”,等于页面停留时间的所有数值由小到大排列后第25%的数字。第二四分位数Q2,又称“中位数”,等于页面停留时间的所有数值由小到大排列后第50%的数字。第三四分位数Q3,又称“较大四分位数”,等于页面停留时间的所有数值由小到大排列后第75%的数字。第三四分位数与第一四分位数的差距又称四分位距QR。可选地,a和b均为1.5。
步骤S207:确定会话中访问时间最晚的访问记录为访问目标。
具体地,对于一个会话,包括若干访问记录Ri,该会话为Record=[R1,R2.R3,...Ri,Ri+1,......RMAX],其中,RMAX=(urlMAX,ΩopMAX,ΔMAX)为访问目标。
步骤S208:将访问时间相邻的若干访问目标划分为一个行为轨迹。
具体地,在多个访问目标RMAX1,RMAX2,RMAX3,RMAX4,RMAX5,RMAX6,......RMAXN中,将访问时间相邻的若干访问目标划分为一个行为轨迹,例如RMAX1,RMAX2,RMAX3为一个行为轨迹,RMAX4,RMAX5为一个行为轨迹,可选地,可设置时间窗口,将一个时间窗口内的访问目标划分为一个行为轨迹。
步骤S209:通过威胁模型判断行为轨迹是否为危险行为轨迹。
步骤S210:当行为轨迹为危险行为轨迹时,在目标主体的权限集合中,确定危险行为轨迹对应的权限为冲突权限。
采用该实施例提供的冲突权限的确定方法,访问记录包括页面停留时间,将页面停留时间超出预设页面停留时间范围内的访问记录作为异常访问记录,同时使得该异常访问记录不包括会话,能够减少异常访问记录对会话的影响,提升确定会话的准确性,也即提升访问目标确定的准确性,进而提升冲突权限确定的准确性。进一步,在判断异常访问记录时,针对不同的访问地址设置不同的页面停留时间范围,能够提升异常访问记录判断的准确性;更进一步地,根据相似访问记录的页面停留时间来确定页面停留时间范围,能够提升页面停留时间范围的准确性。
实施例三
本发明实施例三提供了一种优选地冲突权限的确定方法,以确定针对某一目标主体的权限集合中的冲突权限,,部分技术特征与上述实施例一和实施例二的技术特征相同,具体描述和相应技术效果可参考上述实施例一和实施例二。进一步,该实施例三按照访问时间获取访问记录循环进行各个会话的判断,判断逻辑简单,准确性高。具体地,图3为本发明实施例三提供的冲突权限的确定方法的流程图,如图3所示,该实施例三提供的冲突权限的确定方法包括如下的步骤S301至步骤S316。
步骤S301:获取目标主体的历史访问信息。
步骤S302:获取历史访问信息中的访问地址。
步骤S303:获取访问访问地址时在页面上进行的页面操作。
步骤S304:计算访问访问地址时在页面上的页面停留时间。
步骤S305:根据访问地址、对应访问地址的页面操作和页面停留时间生成访问记录。
步骤S306:按访问时间顺序获取一个访问记录,作为第一访问记录。
可选地,针对获取到的历史访问信息,可在每生成一个访问记录以后,执行该步骤S306,也可在生成全部访问记录以后,执行该步骤S306,两种方式均在本发明的保护范围之内。
在执行步骤S306时,按照访问时间顺序获取访问记录,可以按照访问时间的正序获取访问记录,也即,访问时间早的访问记录先被获取处理,访问时间晚的访问记录后被获取处理;或者,与可以按照访问时间的倒序获取访问记录,该处不再赘述。
为了描述方便,将当前获取的访问记录命名为第一访问记录,该处的“第一”并不构成对访问记录次序上的限定。
步骤S307:判断第一访问记录中页面停留时间是否在预设停留时间范围内,判断访问记录集中是否包括访问记录。
针对当前获取到的第一访问记录,判断页面停留时间与预设停留时间范围的关系,该预设停留时间范围用于标识用户正常访问一访问地址的停留时间长度范围,超出该范围外的访问,属于异常访问,也就是说,页面停留时间大于预设停留时间范围的最大值,或者页面停留时间小于预设停留时间范围的最小值,均表征此次访问属于异常访问,例如,由于后台响应故障引起的页面停留时间过长,又如,由于用户误操作引起的页面停留时间过短等。
同时,针对当前的访问记录集,判断该访问记录集是否包括有访问记录。其中,当第一访问记录为历史访问信息中的第一个访问记录时,首先新建一个空的访问记录集。
经过对页面停留时间和访问记录集的判断,基于不同的判断结果,执行不同的步骤,其中,当页面停留时间不在预设停留时间范围内且访问记录集中不包括访问记录(对应图3中的NN)时,返回步骤S306,获取一个新的访问记录进行判断。对于其他情况,分别对应执行下述的步骤,具体描述见下文。
步骤S308:计算第一访问记录与访问记录集中最新的访问记录的相似度。
通过上述步骤S307的判断,当页面停留时间在预设停留时间范围内且访问记录集中包括访问记录(对应图3中的YY)时,执行该步骤S308。在该步骤S308中,计算第一访问记录与访问记录集中最新的访问记录的相似度,以及计算第一访问记录和访问记录集中与第一访问记录相邻的访问记录的相似度。
步骤S309:判断相似度是否大于或等于预设相似度阈值。
相似度阈值用于鉴定两个访问记录是否属于同一个会话,其中,当相似度大于或等于预设相似度阈值(对应图3中的Y)时,表明两个访问记录相似,属于同一个会话,执行步骤S310。当两个访问记录的相似度小于预设相似度阈值(对应图3中的N)时,表明两个访问记录不相似,不属于同一个会话,执行下述步骤S311。
步骤S310:将第一访问记录写入访问记录集。
其中,执行步骤S310后返回步骤S306。
通过上述步骤S307的判断,当页面停留时间在预设停留时间范围内且访问记录集中不包括访问记录(对应图3中的YN)时,表明上一个会话结束,开启一个新的会话,该第一访问记录属于新会话中的第一个访问记录,因此,执行该步骤S310,将第一访问记录写入访问记录集之后,返回步骤S306,重新获取一个访问记录进行判断。
通过上述步骤S309的判断,当相似度大于或等于预设相似度阈值时,表明该第一访问记录与当前访问记录集中的访问记录属于同一个会话,因此,执行该步骤S310,将第一访问记录写入访问记录集之后,返回步骤S306,重新获取一个访问记录进行判断。
步骤S311:输出访问记录集,以得到一个会话,清空访问记录集,将第一访问记录加入访问记录集。
其中,执行步骤S311后并返回步骤S306。
通过上述步骤S309的判断,当相似度小于预设相似度阈值时,表明该第一访问记录与当前访问记录集中的访问记录不属于同一个会话,因此,执行该步骤S310,先将访问记录集输出,得到一个会话,然后清空访问记录集,将上一个会话结束,开启一个新的会话,将第一访问记录写入清空后的访问记录集,使得第一访问记录成为新的会话中的第一个访问记录,然后返回步骤S306,重新获取一个访问记录进行判断。
步骤S312:输出访问记录集,以得到一个会话,清空访问记录集。
其中,执行步骤S312后并返回步骤S306。
通过上述步骤S307的判断,当页面停留时间不在预设停留时间范围内且访问记录集中包括访问记录(对应图3中的NY)时,表明上一个会话结束,开启一个新的会话,该第一访问记录为异常访问记录,将该第一访问记录丢弃,因此,执行该步骤S312,先将访问记录集输出,得到一个会话,然后清空访问记录集,将上一个会话结束,开启一个新的会话,然后返回步骤S306,重新获取一个访问记录进行判断。
步骤S313:确定会话中访问时间最晚的访问记录为访问目标。
将所有的访问记录均处理后,执行该步骤S313。
通过上述步骤S306至步骤S312的循环,可以得到历史访问信息对应的多个会话,将每个会话中的最后一个访问记录(也即访问时间最晚的一个访问记录)作为访问目标。
步骤S314:将访问时间相邻的若干访问目标划分为一个行为轨迹。
步骤S315:通过威胁模型判断行为轨迹是否为危险行为轨迹。
步骤S316:当行为轨迹为危险行为轨迹时,在目标主体的权限集合中,确定危险行为轨迹对应的权限为冲突权限。
实施例四
对应于上述实施例一,本发明实施例四提供了一种冲突权限的确定装置,相应技术特征和技术效果可参考上文,该处不再赘述。图4为本发明实施例四提供的冲突权限的确定装置的框图,如图4所示,该装置包括获取模块401、解析模块402、第一确定模块403、判断模块404和第二确定模块405。
其中,获取模块401用于获取目标主体的历史访问信息、解析模块402用于解析历史访问信息以得到多个访问目标,其中,访问目标包括访问地址和访问访问地址时进行的页面操作;第一确定模块403用于根据访问目标确定行为轨迹,其中,行为轨迹包括访问时间相邻的若干访问目标;判断模块404用于通过威胁模型判断行为轨迹是否为危险行为轨迹;以及第二确定模块405用于当行为轨迹危险行为轨迹时,在目标主体的权限集合中,确定危险行为轨迹对应的权限为冲突权限。
可选地,在一种实施例中,解析模块402包括解析单元、第一确定单元和第二确定单元,其中,解析单元用于解析历史访问信息以得到多个访问记录,其中,访问记录包括访问地址和访问访问地址时进行的页面操作;第一确定单元用于根据访问记录确定会话,其中,会话包括访问时间相邻的若干访问记录;以及第二确定单元用于确定会话中访问时间最晚的访问记录为访问目标。
可选地,在一种实施例中,第一确定单元在根据访问记录确定会话时,还用于将相似度大于预设相似度阈值且访问时间相邻的若干访问记录作为一个会话。
可选地,在一种实施例中,解析单元在解析历史访问信息以得到多个访问记录时,具体执行的步骤包括:获取历史访问信息中的访问地址;获取访问访问地址时在页面上进行的页面操作;计算访问访问地址时在页面上的页面停留时间;第一确定单元还用于将相似度大于预设相似度阈值、页面停留时间在预设停留时间范围内且相邻的若干访问记录作为一个会话。
可选地,在一种实施例中,第一确定单元在将相似度大于预设相似度阈值、页面停留时间在预设停留时间范围内且相邻的若干访问记录作为一个会话时,具体执行的步骤包括:步骤S1:按访问时间顺序获取一个访问记录,作为第一访问记录;步骤S2:判断第一访问记录中页面停留时间是否在预设停留时间范围内,判断访问记录集中是否包括访问记录,其中,当页面停留时间在预设停留时间范围内且访问记录集中包括访问记录时,执行步骤S3,当页面停留时间在预设停留时间范围内且访问记录集中不包括访问记录时,执行步骤S5,当页面停留时间不在预设停留时间范围内且访问记录集中包括访问记录时,执行步骤S7,当页面停留时间不在预设停留时间范围内且访问记录集中不包括访问记录时,返回步骤S1;步骤S3:计算第一访问记录与访问记录集中最新的访问记录的相似度;步骤S4:判断相似度是否大于或等于预设相似度阈值,其中,当相似度大于或等于预设相似度阈值时,执行步骤S5,当相似度小于预设相似度阈值时,执行步骤S6;步骤S5:将第一访问记录写入访问记录集,并返回步骤S1;步骤S6:输出访问记录集,以得到一个会话,清空访问记录集,将第一访问记录加入访问记录集,并返回步骤S1;步骤S7:输出访问记录集,以得到一个会话,清空访问记录集,并返回步骤S1。
可选地,在一种实施例中,不同访问地址对应的页面停留时间,所对应的预设停留时间范围不同,第一确定单元还用于采用以下步骤计算预设停留时间范围:获取包括页面停留时间对应的访问地址的访问记录,得到相似访问记录;以及根据相似访问记录的页面停留时间计算预设停留时间范围。
可选地,在一种实施例中,第一确定单元在根据相似访问记录的页面停留时间计算预设停留时间范围时,具体执行的步骤包括:根据多个相似访问记录的页面停留时间绘制箱线图;计算箱线图的第一四分位数Q1、第三四分位数Q3和四分位距QR;采用以下公式计算预设停留时间范围(δtimemin,δtimemax):δtimemin=Q1-a*QR,δtimemax=Q3+a*QR,其中,a为无量纲系数。
实施例五
本实施例五还提供一种计算机设备,如可以执行程序的智能手机、平板电脑、笔记本电脑、台式计算机、机架式服务器、刀片式服务器、塔式服务器或机柜式服务器(包括独立的服务器,或者多个服务器所组成的服务器集群)等。如图5所示,本实施例的计算机设备01至少包括但不限于:可通过***总线相互通信连接的存储器011、处理器012,如图5所示。需要指出的是,图5仅示出了具有组件存储器011和处理器012的计算机设备01,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。
本实施例中,存储器011(即可读存储介质)包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。在一些实施例中,存储器011可以是计算机设备01的内部存储单元,例如该计算机设备01的硬盘或内存。在另一些实施例中,存储器011也可以是计算机设备01的外部存储设备,例如该计算机设备01上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。当然,存储器011还可以既包括计算机设备01的内部存储单元也包括其外部存储设备。本实施例中,存储器011通常用于存储安装于计算机设备01的操作***和各类应用软件,例如实施例二的冲突权限的确定装置的程序代码等。此外,存储器011还可以用于暂时地存储已经输出或者将要输出的各类数据。
处理器012在一些实施例中可以是中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器012通常用于控制计算机设备01的总体操作。本实施例中,处理器012用于运行存储器011中存储的程序代码或者处理数据,例如冲突权限的确定方法等。
实施例六
本实施例六还提供一种计算机可读存储介质,如闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘、服务器、App应用商城等等,其上存储有计算机程序,程序被处理器执行时实现相应功能。本实施例的计算机可读存储介质用于存储冲突权限的确定装置,被处理器执行时实现实施例一的冲突权限的确定方法。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。

Claims (10)

1.一种冲突权限的确定方法,其特征在于,包括:
获取目标主体的历史访问信息;
解析所述历史访问信息以得到多个访问目标,其中,所述访问目标包括访问地址和访问所述访问地址时进行的页面操作;
将访问时间相邻的若干所述访问目标划分为一个行为轨迹;
通过威胁模型判断所述行为轨迹是否为危险行为轨迹;以及
当所述行为轨迹为所述危险行为轨迹时,在所述目标主体的权限集合中,确定所述危险行为轨迹对应的权限为冲突权限。
2.根据权利要求1所述的冲突权限的确定方法,其特征在于,解析所述历史访问信息以得到多个访问目标的步骤包括:
解析所述历史访问信息以得到多个访问记录,其中,所述访问记录包括所述访问地址和访问所述访问地址时进行的页面操作;
根据所述访问记录确定会话,其中,所述会话包括所述访问时间相邻的若干所述访问记录;以及
确定所述会话中所述访问时间最晚的所述访问记录为所述访问目标。
3.根据权利要求2所述的冲突权限的确定方法,其特征在于,根据所述访问记录确定会话的步骤包括:
将相似度大于预设相似度阈值且所述访问时间相邻的若干所述访问记录作为一个所述会话。
4.根据权利要求3所述的冲突权限的确定方法,其特征在于,
解析所述历史访问信息以得到多个访问记录的步骤包括:获取所述历史访问信息中的所述访问地址;获取访问所述访问地址时在页面上进行的所述页面操作;计算访问所述访问地址时在页面上的页面停留时间;根据所述访问地址、对应所述访问地址的所述页面操作和所述页面停留时间生成所述访问记录,
将相似度大于预设相似度阈值且相邻的若干所述访问记录作为一个所述会话的步骤包括:将相似度大于预设相似度阈值、所述页面停留时间在预设停留时间范围内且相邻的若干所述访问记录作为一个所述会话。
5.根据权利要求4所述的冲突权限的确定方法,其特征在于,将相似度大于预设相似度阈值、所述页面停留时间在预设停留时间范围内且相邻的若干所述访问记录作为一个所述会话的步骤包括:
步骤S1:按所述访问时间顺序获取一个所述访问记录,作为第一访问记录;
步骤S2:判断所述第一访问记录中页面停留时间是否在预设停留时间范围内,判断访问记录集中是否包括所述访问记录,其中,当所述页面停留时间在所述预设停留时间范围内且所述访问记录集中包括所述访问记录时,执行步骤S3,当所述页面停留时间在所述预设停留时间范围内且所述访问记录集中不包括所述访问记录时,执行步骤S5,当所述页面停留时间不在所述预设停留时间范围内且所述访问记录集中包括所述访问记录时,执行步骤S7,当所述页面停留时间不在所述预设停留时间范围内且所述访问记录集中不包括所述访问记录时,返回所述步骤S1;
步骤S3:计算所述第一访问记录与所述访问记录集中最新的所述访问记录的相似度;
步骤S4:判断所述相似度是否大于或等于所述预设相似度阈值,其中,当所述相似度大于或等于所述预设相似度阈值时,执行步骤S5,当所述相似度小于所述预设相似度阈值时,执行步骤S6;
步骤S5:将所述第一访问记录写入所述访问记录集,并返回步骤S1;
步骤S6:输出所述访问记录集,以得到一个所述会话,清空所述访问记录集,将所述第一访问记录加入所述访问记录集,并返回步骤S1;
步骤S7:输出所述访问记录集,以得到一个所述会话,清空所述访问记录集,并返回步骤S1。
6.根据权利要求4或5所述的冲突权限的确定方法,其特征在于,不同所述访问地址对应的页面停留时间,所对应的预设停留时间范围不同,采用以下步骤计算所述预设停留时间范围:
获取包括所述页面停留时间对应的访问地址的访问记录,得到相似访问记录;以及
根据所述相似访问记录的页面停留时间计算所述预设停留时间范围。
7.根据权利要求6所述的冲突权限的确定方法,其特征在于,根据所述相似访问记录的页面停留时间计算所述预设停留时间范围的步骤包括:
根据多个所述相似访问记录的页面停留时间绘制箱线图;
计算所述箱线图的第一四分位数Q1、第三四分位数Q3和四分位距QR;
采用以下公式计算所述预设停留时间范围(δtimemin,δtimemax):
δtimemin=Q1-a*QR,δtimemax=Q3+a*QR,其中,a为无量纲系数。
8.一种冲突权限的确定装置,其特征在于,包括:
获取模块,用于获取目标主体的历史访问信息;
解析模块,用于解析所述历史访问信息以得到多个访问目标,其中,所述访问目标包括访问地址和访问所述访问地址时进行的页面操作;
第一确定模块,用于根据所述访问目标确定行为轨迹,其中,所述行为轨迹包括访问时间相邻的若干所述访问目标;
判断模块,用于通过威胁模型判断所述行为轨迹是否为危险行为轨迹;以及
第二确定模块,用于当所述行为轨迹所述危险行为轨迹时,在所述目标主体的权限集合中,确定所述危险行为轨迹对应的权限为冲突权限。
9.一种计算机设备,包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于:所述计算机程序被处理器执行时实现权利要求1至7任一项所述方法的步骤。
CN201911421731.2A 2019-12-31 2019-12-31 冲突权限的确定方法、装置、计算机设备和存储介质 Active CN111159719B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911421731.2A CN111159719B (zh) 2019-12-31 2019-12-31 冲突权限的确定方法、装置、计算机设备和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911421731.2A CN111159719B (zh) 2019-12-31 2019-12-31 冲突权限的确定方法、装置、计算机设备和存储介质

Publications (2)

Publication Number Publication Date
CN111159719A true CN111159719A (zh) 2020-05-15
CN111159719B CN111159719B (zh) 2022-02-08

Family

ID=70560575

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911421731.2A Active CN111159719B (zh) 2019-12-31 2019-12-31 冲突权限的确定方法、装置、计算机设备和存储介质

Country Status (1)

Country Link
CN (1) CN111159719B (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102843366A (zh) * 2012-08-13 2012-12-26 北京百度网讯科技有限公司 一种网络资源访问权限控制方法及装置
CN103701801A (zh) * 2013-12-26 2014-04-02 四川九洲电器集团有限责任公司 一种资源访问控制方法
CN103973503A (zh) * 2014-05-29 2014-08-06 北京中电普华信息技术有限公司 一种移动应用权限的控制方法及***
US20150134956A1 (en) * 2013-11-14 2015-05-14 Pleasant Solutions Inc. System and method for credentialed access to a remote server
CN105760745A (zh) * 2014-12-15 2016-07-13 华为软件技术有限公司 权限管理方法及装置
CN106056867A (zh) * 2016-06-30 2016-10-26 北京奇虎科技有限公司 监控方法及装置
CN110287694A (zh) * 2019-06-26 2019-09-27 维沃移动通信有限公司 应用程序管理方法、移动终端及存储介质

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102843366A (zh) * 2012-08-13 2012-12-26 北京百度网讯科技有限公司 一种网络资源访问权限控制方法及装置
US20150134956A1 (en) * 2013-11-14 2015-05-14 Pleasant Solutions Inc. System and method for credentialed access to a remote server
CN103701801A (zh) * 2013-12-26 2014-04-02 四川九洲电器集团有限责任公司 一种资源访问控制方法
CN103973503A (zh) * 2014-05-29 2014-08-06 北京中电普华信息技术有限公司 一种移动应用权限的控制方法及***
CN105760745A (zh) * 2014-12-15 2016-07-13 华为软件技术有限公司 权限管理方法及装置
CN106056867A (zh) * 2016-06-30 2016-10-26 北京奇虎科技有限公司 监控方法及装置
CN110287694A (zh) * 2019-06-26 2019-09-27 维沃移动通信有限公司 应用程序管理方法、移动终端及存储介质

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
IEEE: "《ISO/IEC/IEEE International Standard - Systems and software engineering -- Vocabulary》", 《ISO/IEC/IEEE 24765:2010(E)》 *
吴柯桦: "《基于本体和规则访问控制模型及应用研究》", 《万方数据》 *

Also Published As

Publication number Publication date
CN111159719B (zh) 2022-02-08

Similar Documents

Publication Publication Date Title
CN109743315B (zh) 针对网站的行为识别方法、装置、设备及可读存储介质
CN111401416B (zh) 异常网站的识别方法、装置和异常对抗行为的识别方法
CN109327439B (zh) 业务请求数据的风险识别方法、装置、存储介质及设备
CN108924118B (zh) 一种撞库行为检测方法及***
CN109344611B (zh) 应用的访问控制方法、终端设备及介质
CN113949520B (zh) 欺骗诱捕的方法、装置、计算机设备和可读存储介质
CN112532631A (zh) 一种设备安全风险评估方法、装置、设备及介质
CN110750765B (zh) 服务***及其前端页面控制方法、计算机设备和存储介质
US10742668B2 (en) Network attack pattern determination apparatus, determination method, and non-transitory computer readable storage medium thereof
CN114124414B (zh) 蜜罐服务的生成方法和装置,攻击行为数据的捕获方法,计算机设备,存储介质
CN111159719B (zh) 冲突权限的确定方法、装置、计算机设备和存储介质
CN113923039B (zh) 攻击设备识别方法、装置、电子设备及可读存储介质
CN111949363A (zh) 业务访问的管理方法、计算机设备、存储介质及***
CN113315739A (zh) 一种恶意域名的检测方法及***
CN111143824B (zh) 冗余权限的确定方法、装置、计算机设备和可读存储介质
CN112702349B (zh) 一种网络攻击防御方法、装置及电子招标投标交易平台
CN115643044A (zh) 数据处理方法、装置、服务器及存储介质
CN109600361A (zh) 基于哈希算法的验证码防攻击方法及装置
CN113014601B (zh) 一种通信检测方法、装置、设备和介质
CN113806737A (zh) 一种恶意进程风险等级评估方法、终端设备及存储介质
CN110020057B (zh) 一种垃圾评论信息识别方法及装置
CN107465744B (zh) 数据下载控制方法及***
CN111967043B (zh) 确定数据相似度的方法、装置、电子设备及存储介质
CN115964582B (zh) 一种网络安全风险评估方法及***
CN113972994B (zh) 基于工控蜜罐的流量分析方法、装置、计算机设备和可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP01 Change in the name or title of a patent holder
CP01 Change in the name or title of a patent holder

Address after: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088

Patentee after: QAX Technology Group Inc.

Patentee after: Qianxin Wangshen information technology (Beijing) Co.,Ltd.

Address before: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088

Patentee before: QAX Technology Group Inc.

Patentee before: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc.