CN112187731A - 一种工业互联网访问控制方法、装置、设备及存储介质 - Google Patents

一种工业互联网访问控制方法、装置、设备及存储介质 Download PDF

Info

Publication number
CN112187731A
CN112187731A CN202010939180.5A CN202010939180A CN112187731A CN 112187731 A CN112187731 A CN 112187731A CN 202010939180 A CN202010939180 A CN 202010939180A CN 112187731 A CN112187731 A CN 112187731A
Authority
CN
China
Prior art keywords
employee
uncertainty
calculating
data history
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010939180.5A
Other languages
English (en)
Inventor
林凡
周震
张秋镇
黄富铿
杨峰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
GCI Science and Technology Co Ltd
Original Assignee
GCI Science and Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by GCI Science and Technology Co Ltd filed Critical GCI Science and Technology Co Ltd
Priority to CN202010939180.5A priority Critical patent/CN112187731A/zh
Publication of CN112187731A publication Critical patent/CN112187731A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明提供了一种工业互联网访问控制方法、装置、设备及存储介质,所述方法包括:获取员工访问行为信息;计算每一员工的工作目标不确定度和工作目标不确定度基准;计算每一员工的数据历史记录不确定度和数据历史记录不确定度基准;将员工的工作目标不确定度与工作目标不确定度基准进行比较以获取该员工的工作目标选择风险,将员工的数据历史记录不确定度与数据历史记录不确定度基准进行比较以获取该员工的数据历史记录选择风险,并计算该员工的访问总风险;将访问总风险与预设的可接受访问风险进行比较以接受或拒绝该员工的访问请求。本发明能够适应性地调整员工的访问能力,从而提高了工业互联网平台访问控制的自适应能力和降低了管理成本。

Description

一种工业互联网访问控制方法、装置、设备及存储介质
技术领域
本发明涉及网络安全技术领域,尤其是涉及一种工业互联网访问控制方法、装置、设备及存储介质。
背景技术
基于数字工厂的工业互联网的大数据化带来便利的同时也带来了安全隐患。如果工业数据管理不慎,将会造成对大数据的访问权限被滥用,就可能会引起数据泄漏,特别是管理者会将工业数据访问权限分配给员工的情况下。在大数据时代,基于数字工厂的工业互联网平台大数据访问控制面临新的挑战,提出了自动化和自适应的需求。由于访问控制策略的制定与应用环境紧密相关,所以我们需要结合工业互联网大数据的背景进行分析,并且需要一定的自动化能力来提高效率。
目前主流的工业互联网访问控制是基于一种多级安全访问控制模型。这种模型基于客体的安全标签和主体的信任度来估计授权员工读取数据所产生的风险,并且给出了一种用于多级安全***的风险管理方法,设置可接受的风险区间,并且对风险区间进行划分形成风险带,根据员工风险所处的风险带,确定其访问能力。这种方案与传统的访问控制方案是紧耦合的,相互之间具有紧密的联系。它们扩展了员工的访问能力,使员工能够在意外情况下访问额外资源,然而员工访问同一资源的风险不会随着时间以及使用情况而有所调整。同时这种方案的自适应能力不足,需要较高的管理代价,影响了其应用价值。
发明内容
本发明实施例所要解决的技术问题在于,提供一种工业互联网访问控制方法、装置、设备及存储介质,能够适应性地调整员工的访问能力,从而提高了工业互联网平台访问控制的自适应能力和降低了管理成本。
为了解决上述技术问题,本发明实施例提供了一种工业互联网访问控制方法,包括:
获取员工访问行为信息;其中,所述访问行为信息包括工作目标选择信息、数据历史记录访问信息;
根据所述员工访问行为信息计算每一员工的工作目标不确定度,并基于所有员工的工作目标不确定度计算工作目标不确定度基准;
根据所述员工访问行为信息计算每一员工的数据历史记录不确定度,并基于所有员工的数据历史记录不确定度计算数据历史记录不确定度基准;
将员工的工作目标不确定度与所述工作目标不确定度基准进行比较以获取该员工的工作目标选择风险,将员工的数据历史记录不确定度与所述数据历史记录不确定度基准进行比较以获取该员工的数据历史记录选择风险,并根据所述工作目标选择风险与所述数据历史记录选择风险计算得到该员工的访问总风险;
将员工的访问总风险与预设的可接受访问风险进行比较,并根据比较结果接受或拒绝该员工的访问请求。
进一步地,所述根据所述员工访问行为信息计算每一员工的工作目标不确定度,具体为:
根据所述员工访问行为信息计算员工选择每一工作目标的概率,继而基于所述员工选择每一工作目标的概率计算得到所述工作目标不确定度。
进一步地,所述根据所述员工访问行为信息计算每一员工的数据历史记录不确定度,具体为:
对于给定工作目标,根据所述员工访问行为信息计算员工选择每一数据历史记录的概率,继而基于所述员工选择每一数据历史记录的概率计算得到所述数据历史记录不确定度。
进一步地,所述根据所述员工访问行为信息计算员工选择每一工作目标的概率,继而基于所述员工选择每一工作目标的概率计算得到所述工作目标不确定度,具体为:
根据所述员工访问行为信息计算员工选择每一工作目标的概率pd(t);其中,
Figure BDA0002672574480000031
STd表示包含员工d选择的工作目标t的多集,f(STd,t)表示在员工d选择的工作目标的多集中工作目标t的出现次数;
继而基于所述员工选择每一工作目标的概率pd(t)计算得到所述工作目标不确定度HT(d);其中,
Figure BDA0002672574480000032
进一步地,所述对于给定工作目标,根据所述员工访问行为信息计算员工选择每一数据历史记录的概率,继而基于所述员工选择每一数据历史记录的概率计算得到所述数据历史记录不确定度,具体为:
对于给定工作目标t,根据所述员工访问行为信息计算员工选择每一数据历史记录的概率Pd,t(r);其中,
Figure BDA0002672574480000033
Figure BDA0002672574480000034
表示员工d在给定工作目标下,选择数据历史记录r的多集,
基于所述员工选择每一数据历史记录的概率Pd,t(r)计算得到所述数据历史记录不确定度HR(d,t);其中,
Figure BDA0002672574480000035
为了解决相同的技术问题,本发明还提供了一种工业互联网访问控制装置,包括:
信息获取模块,用于获取员工访问行为信息;其中,所述访问行为信息包括工作目标选择信息、数据历史记录访问信息;
第一基准计算模块,用于根据所述员工访问行为信息计算每一员工的工作目标不确定度,并基于所有员工的工作目标不确定度计算工作目标不确定度基准;
第二基准计算模块,用于根据所述员工访问行为信息计算每一员工的数据历史记录不确定度,并基于所有员工的数据历史记录不确定度计算数据历史记录不确定度基准;
访问风险计算模块,用于将员工的工作目标不确定度与所述工作目标不确定度基准进行比较以获取该员工的工作目标选择风险,将员工的数据历史记录不确定度与所述数据历史记录不确定度基准进行比较以获取该员工的数据历史记录选择风险,并根据所述工作目标选择风险与所述数据历史记录选择风险计算得到该员工的访问总风险;
访问控制模块,用于将员工的访问总风险与预设的可接受访问风险进行比较,并根据比较结果接受或拒绝该员工的访问请求。
进一步地,所述根据所述员工访问行为信息计算每一员工的工作目标不确定度,具体为:
根据所述员工访问行为信息计算员工选择每一工作目标的概率,继而基于所述员工选择每一工作目标的概率计算得到所述工作目标不确定度。
进一步地,所述根据所述员工访问行为信息计算每一员工的数据历史记录不确定度,具体为:
对于给定工作目标,根据所述员工访问行为信息计算员工选择每一数据历史记录的概率,继而基于所述员工选择每一数据历史记录的概率计算得到所述数据历史记录不确定度。
为了解决相同的技术问题,本发明还提供了一种终端设备,包括处理器、存储器以及存储在所述存储器中且被配置为由所述处理器执行的计算机程序,所述存储器与所述处理器耦接,且所述处理器执行所述计算机程序时,实现任一项所述的工业互联网访问控制方法。
为了解决相同的技术问题,本发明还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其中,在所述计算机程序运行时控制所述计算机可读存储介质所在的设备执行任一项所述的工业互联网访问控制方法。
与现有技术相比,本发明具有如下有益效果:
本发明实施例提供了一种工业互联网访问控制方法、装置、设备及可读存储介质,所述方法包括:获取员工访问行为信息;计算每一员工的工作目标不确定度,并计算工作目标不确定度基准;计算每一员工的数据历史记录不确定度,并计算数据历史记录不确定度基准;将员工的工作目标不确定度与所述工作目标不确定度基准进行比较以获取该员工的工作目标选择风险,将员工的数据历史记录不确定度与所述数据历史记录不确定度基准进行比较以获取该员工的数据历史记录选择风险,并计算该员工的访问总风险;将员工的访问总风险与预设的可接受访问风险进行比较,并根据比较结果接受或拒绝该员工的访问请求。本发明能够适应性地调整员工的访问能力,从而提高了工业互联网平台访问控制的自适应能力和降低了管理成本。
附图说明
图1是本发明一实施例提供的工业互联网访问控制方法的流程示意图;
图2是本发明一实施例提供的工业互联网访问控制模型示意图;
图3是本发明一实施例提供的工业互联网访问控制装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参见图1,本发明实施例提供了一种工业互联网访问控制方法,包括步骤:
S1、获取员工访问行为信息;其中,所述访问行为信息包括工作目标选择信息、数据历史记录访问信息。
S2、根据所述员工访问行为信息计算每一员工的工作目标不确定度,并基于所有员工的工作目标不确定度计算工作目标不确定度基准。
进一步地,所述根据所述员工访问行为信息计算每一员工的工作目标不确定度,具体为:
根据所述员工访问行为信息计算员工选择每一工作目标的概率,继而基于所述员工选择每一工作目标的概率计算得到所述工作目标不确定度。
进一步地,所述根据所述员工访问行为信息计算员工选择每一工作目标的概率,继而基于所述员工选择每一工作目标的概率计算得到所述工作目标不确定度,具体为:
根据所述员工访问行为信息计算员工选择每一工作目标的概率pd(t);其中,
Figure BDA0002672574480000061
STd表示包含员工d选择的工作目标t的多集,f(STd,t)表示在员工d选择的工作目标的多集中工作目标t的出现次数;
继而基于所述员工选择每一工作目标的概率pd(t)计算得到所述工作目标不确定度HT(d);其中,
Figure BDA0002672574480000071
S3、根据所述员工访问行为信息计算每一员工的数据历史记录不确定度,并基于所有员工的数据历史记录不确定度计算数据历史记录不确定度基准。
进一步地,所述根据所述员工访问行为信息计算每一员工的数据历史记录不确定度,具体为:
对于给定工作目标,根据所述员工访问行为信息计算员工选择每一数据历史记录的概率,继而基于所述员工选择每一数据历史记录的概率计算得到所述数据历史记录不确定度。
进一步地,所述对于给定工作目标,根据所述员工访问行为信息计算员工选择每一数据历史记录的概率,继而基于所述员工选择每一数据历史记录的概率计算得到所述数据历史记录不确定度,具体为:
对于给定工作目标t,根据所述员工访问行为信息计算员工选择每一数据历史记录的概率Pd,t(r);其中,
Figure BDA0002672574480000072
Figure BDA0002672574480000073
表示员工d在给定工作目标下,选择数据历史记录r的多集,
基于所述员工选择每一数据历史记录的概率Pd,t(r)计算得到所述数据历史记录不确定度HR(d,t);其中,
Figure BDA0002672574480000074
S4、将员工的工作目标不确定度与所述工作目标不确定度基准进行比较以获取该员工的工作目标选择风险,将员工的数据历史记录不确定度与所述数据历史记录不确定度基准进行比较以获取该员工的数据历史记录选择风险,并根据所述工作目标选择风险与所述数据历史记录选择风险计算得到该员工的访问总风险。
S5、将员工的访问总风险与预设的可接受访问风险进行比较,并根据比较结果接受或拒绝该员工的访问请求。
请参见图2,需要说明的是,本发明实施例提出一种基于风险的工业互联网访问控制模型,能够适应性地调整员工的访问能力。该模型利用传统访问控制模型的配置进行分析,采取动态学***台访问控制的自适应能力、降低了管理成本,而且可以保护工业互联网平台的公共数据,和管理者关键的工业数据。
基于上述方案,为便于更好的理解本发明实施例提供的工业互联网访问控制方法,以下进行详细说明:
1.员工类型定义及其行为模式假设:
1.1)员工类型定义:
1.1.1)***中的所有管理者及其员工已被授权访问其工厂的大数据。其中员工行为异常被称为“异常状态员工”,而员工正常行为则称为“正常状态员工”。正常状态员工仅仅选择部分数据作为工作目标,并且访问与工作目标相关的工业数据。异常状态员工除此之外,还可能伪造一些工作目标来获取和该工作目标相关工业数据(员工访问数据的时候需要选择工作目标,如:查看用水是否异常。如果一个员工从来都没有查看过与用水相关的数据,那么***将会根据历史的记录判断其有可能是伪造了工作目标),或者在完成某一个工作目标时获取和此工作目标不相关的工业数据,以此2种方法来获取整个工厂数据的隐私。
1.1.2)符号定义。D:员工的集合;T:工作目标的集合;R:工厂数据历史记录的集合;P:管理者的集合;Dp:数据访问的先验分布,反应了历史上工厂不同数据被访问的概率;
Figure BDA0002672574480000093
工作目标的先验分布,和数据访问的先验分布相关,由于数据访问概率具有规律性(服从分布Dp),工作目标的分布具有类似的规律性;Dθ:工厂数据记录和工作目标的相关性的先验分布;
1.2)行为模式假设:
1.2.1)假设1:所有的员工都要履行自己的工作职责。在工业互联网平台中,员工完成其工作职责是基本要求,也是符合实际的。也就是说,对于一次数据查看而言,员工选择的工作目标集合中都必须是与自己相关的,并且选择的数据历史记录集合中也包含和该工作目标相关的数据历史记录。形式化地,给定pi∈P,记
Figure BDA0002672574480000095
为员工选择的工作目标;对于tj∈T,令
Figure BDA0002672574480000094
是员工为完成该工作目标选择的数据历史记录。
1.2.2)假设2:正常状态员工的行为满足:可选的工作方案应与工作目标相关;其次,可选的数据历史记录应与工作目标相关。考虑到可能出现的例外情况,这些选择不一定要完全符合先验分布。形式化地,给定pi∈P,记
Figure BDA0002672574480000091
为正常状态员工选择的工作目标。
1.2.3)假设3:异常状态员工可能试图获得更多管理者工厂的数据信息,包括尝试更多的工作目标,或者在同一个工作目标下尝试获取更多数据历史记录。形式化地,给定pi∈P记
Figure BDA0002672574480000092
为异常状态员工选择的工作目标。
2.访问控制模型
2.1)风险基准确定
2.1.1)分别为2个阶段(第一个阶段是:员工选择工作目标的阶段;第二个阶段是:员工选择与该工作目标相关的数据来完成任务的阶段)的访问行为计算基准。记员工的一次访问行为信息为三元组<d,t,Rd>。其中,d∈D,t∈T,
Figure BDA0002672574480000109
假设访问行为信息以其生成的时间顺序排列。为了量化风险基准需要引入如下符号。
f(X,e):在多集X中元素e的出现次数。
STd:包含员工d选择的工作目标的多集。
Figure BDA00026725744800001010
包含员工d在给定工作目标下,选择数据历史记录r的多集。
2.1.2)计算员工d选择工作目标t的概率为:
Figure BDA0002672574480000101
其中f(STd,t)表示在包含员工选择的工作目标的多集中,工作目标t的出现次数。
2.1.3)在(1)基础上,计算工作目标不确定度HT(d)。工作目标不确定度描述了员工d选择的工作目标的混乱程度,形式化地描述如下。
Figure BDA0002672574480000102
分别计算出i个员工的工作目标不确定度HT(di),记{HT(d1),HT(d2),....HT(di)}为所有员工的工作目标不确定度。
2.1.4)将{HT(d1),HT(d2),....HT(di)}作为以下算法的输入,算法处理如下:
a.现有数据{HT(d1),HT(d2),....HT(di)},现在,用两个高斯分布
Figure BDA0002672574480000103
Figure BDA0002672574480000104
对密度建模,参数为
Figure BDA0002672574480000105
Figure BDA0002672574480000106
ρ表示
Figure BDA0002672574480000107
混合比例,1-ρ表示
Figure BDA0002672574480000108
混合比例。
b.计算γi
Figure BDA0002672574480000111
其中,γi表示数据HT(di)属于
Figure BDA0002672574480000112
的概率。
c.由公式(4)、(5)、(6)、(7)计算出各个参数:
Figure BDA0002672574480000113
Figure BDA0002672574480000114
Figure BDA0002672574480000115
Figure BDA0002672574480000116
由以上可得两个高斯分布
Figure BDA0002672574480000117
Figure BDA0002672574480000118
分别表示正常状态员工和异常选择工作目标的不确定度的分布。
2.1.5)计算工作目标不确定度基准
Figure BDA0002672574480000119
工作目标不确定度基准描述了从工作目标的选择上区分2类员工的阈值,形式化地描述如下:
Figure BDA00026725744800001110
2.1.6)计算对于给定的工作目标t,员工d选择数据历史记录r的概率Pd,t(r):
Figure BDA00026725744800001111
其中
Figure BDA00026725744800001112
表示员工d在给定工作目标t下的多集中数据历史记录r出现的次数。
2.1.7)计算数据历史记录不确定度HR(d,t)。数据历史记录不确定度描述了对于一个特定的工作目标,员工选择数据历史记录的混乱程度。形式化地描述如下:
Figure BDA0002672574480000121
分别计算出i个员工的数据历史记录不确定度HR(di,t),记{HR(d1,t),HR(d2,t),....HR(di,t)}为对于给定的工作目标t,所有员工的数据历史记录不确定度。与(2.1.4)同理,将{HR(d1,t),HR(d2,t),....HR(di,t)}作为(2.1.4)算法的输入,获得2个高斯分布:
Figure BDA0002672574480000122
Figure BDA0002672574480000123
分别表示正常状态员工和异常状态员工选择数据历史记录的不确定度的分布(给定工作目标t),以及它们的比例
Figure BDA0002672574480000124
Figure BDA0002672574480000125
2.1.8)计算数据历史记录不确定度基准
Figure BDA0002672574480000126
数据历史记录不确定度基准描述了对于给定的工作目标,从数据历史记录的选择上区分2类员工的阈值,形式化地描述如下:
Figure BDA0002672574480000127
2.2)风险量化
2.2.1)计算工作目标选择风险。工作目标选择风险描述了员工选择工作目标所造成的访问风险,形式化地描述如下:
Figure BDA0002672574480000128
Figure BDA0002672574480000129
定义可知,员工的工作目标不确定度可以高于、低于或者等于
Figure BDA00026725744800001210
在模型中不处理直接负值,因此设置风险的最小值为0。
对于正常状态员工而言,其工作目标不确定度通常小于
Figure BDA00026725744800001211
偶尔由于需要处理的特殊情况较多时才会高于
Figure BDA00026725744800001212
也就在此时才会产生风险。
对于异常状态员工而言,其工作目标不确定度通常高于
Figure BDA00026725744800001213
因此其工作目标选择风险总是会存在,并且积累的速度也会比正常状态员工快。
2.2.2)计算数据历史记录选择风险。数据历史记录选择风险描述了员工对于给定的工作目标,选择数据历史记录所造成的访问风险,形式化地描述如下:
Figure BDA0002672574480000131
与工作目标选择风险类似,本文模型认为最小数据历史记录选择风险为0。
同时,可以知道异常状态员工的该风险值通常会比正常状态员工高,并且积累的速度也会比正常状态员工快。
2.2.3)计算员工访问总风险totalRisk(t)。员工访问总风险描述了员工访问行为造成的总风险,形式化地描述如下:
Figure BDA0002672574480000132
2.2.4)在得到访问总风险totalRisk(t)后与***设置的可接受访问风险aRisk对比,若aRisk≤totalRisk(t),那么将拒绝访问。
异常状态员工选择工作目标的多样性和选择数据的多样性都会使其访问行为的风险高于正常状态员工。
需要说明的是:
1、本***的自适应性主要体现在不确定度的动态计算中。
如,员工的工作目标不确定度HT(d)会随着员工d选择工作目标t的概率pd(t)变化而变化(公式(2))。
工作目标不确定度基准
Figure BDA0002672574480000133
也会随着i个员工的行为变化而变化(公式3、4、5、6、7、8)。
当工作目标不确定度基准
Figure BDA0002672574480000134
变化不大的情况下,若员工的工作目标不确定度HT(d)变得很大,那么按照公式(12),该员工的工作目标选择风险RiskT(d)也会变大(若其工作目标不确定度HT(d)超过工作目标不确定度基准
Figure BDA0002672574480000135
)。
同理,数据历史记录选择风险RiskR(d,t)也会随着选择数据历史记录的概率Pd,t(t)变化而变化。
2、因为RiskT(d)和RiskR(d,t)都是动态变化的,所以总风险也是动态变化的,员工每一次访问完后都会进行更新。
例子说明:
3.1案例1。假设t是其工作目标。如果员工d的工作目标选择历史中多次出现t(即通过伪造t来获取相关的数据历史记录),而其他员工的工作目标选择历史中很少出现。那么,应有RiskR(d,t)和其他员工相差不多,但是RiskR(d,t)较大,从而totalRisk(d)较大,员工d后续的访问都会被拒绝。
3.2案例2。假设存在4个员工d1,d2,d3,d4,其中d1是正常状态员工,只会访问资源r1,r2;d2,d3,d4都是异常状态员工,他们会访问资源r1,r2,r3,r4。那么在均匀选择记录的假设下,正常状态员工的记录选择不确定度为1,异常状态员工的记录选择不确定度为2。在本文所述模型中风险基准更接近于低值,本文模型建议的的不确定度基准为1.25,更加接近正常状态员工的记录选择不确定度。所以更能将异常状态员工和正常状态员工区分开来,配额消耗后可以拒绝异常状态员工的访问。
相比于现有技术,本发明实施例通过员工的访问历史分析员工是否过度访问平台上的公共以及管理者工厂数据。监测和控制对于数据的过度访问以及特殊情况下的访问请求,使访问***的自适应能力得到了大大的增强。本发明方案解决了现有技术中员工访问同一资源的风险不会随着时间以及使用情况而有所调整的问题,降低了较高的管理代价,提高了其应用范围。
需要说明的是,对于以上方法或流程实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明实施例并不受所描述的动作顺序的限制,因为依据本发明实施例,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于可选实施例,所涉及的动作并不一定是本发明实施例所必须的。
请参见图3,为了解决相同的技术问题,本发明还提供了一种工业互联网访问控制装置,包括:
信息获取模块1,用于获取员工访问行为信息;其中,所述访问行为信息包括工作目标选择信息、数据历史记录访问信息;
第一基准计算模块2,用于根据所述员工访问行为信息计算每一员工的工作目标不确定度,并基于所有员工的工作目标不确定度计算工作目标不确定度基准;
第二基准计算模块3,用于根据所述员工访问行为信息计算每一员工的数据历史记录不确定度,并基于所有员工的数据历史记录不确定度计算数据历史记录不确定度基准;
访问风险计算模块4,用于将员工的工作目标不确定度与所述工作目标不确定度基准进行比较以获取该员工的工作目标选择风险,将员工的数据历史记录不确定度与所述数据历史记录不确定度基准进行比较以获取该员工的数据历史记录选择风险,并根据所述工作目标选择风险与所述数据历史记录选择风险计算得到该员工的访问总风险;
工业互联网访问控制模块5,用于将员工的访问总风险与预设的可接受访问风险进行比较,并根据比较结果接受或拒绝该员工的访问请求。
进一步地,所述根据所述员工访问行为信息计算每一员工的工作目标不确定度,具体为:
根据所述员工访问行为信息计算员工选择每一工作目标的概率,继而基于所述员工选择每一工作目标的概率计算得到所述工作目标不确定度。
进一步地,所述根据所述员工访问行为信息计算每一员工的数据历史记录不确定度,具体为:
对于给定工作目标,根据所述员工访问行为信息计算员工选择每一数据历史记录的概率,继而基于所述员工选择每一数据历史记录的概率计算得到所述数据历史记录不确定度。
可以理解的是上述装置项实施例,是与本发明方法项实施例相对应的,本发明实施例提供的一种工业互联网访问控制装置,可以实现本发明任意一项方法项实施例提供的工业互联网访问控制方法。
本发明还提供了一种终端设备,包括处理器、存储器以及存储在所述存储器中且被配置为由所述处理器执行的计算机程序,所述存储器与所述处理器耦接,且所述处理器执行所述计算机程序时,实现任一项所述的工业互联网访问控制方法。
所述工业互联网访问控制终端设备可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述处理器可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等,所述处理器是所述工业互联网访问控制终端设备的控制中心,利用各种接口和线路连接整个工业互联网访问控制终端设备的各个部分。
所述存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作***、至少一个功能所需的应用程序等;存储数据区可存储根据手机的使用所创建的数据等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如硬盘、内存、插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
为了解决相同的技术问题,本发明还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其中,在所述计算机程序运行时控制所述计算机可读存储介质所在的设备执行任一项所述的工业互联网访问控制方法。
所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。
需说明的是,以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。另外,本发明提供的装置实施例附图中,模块之间的连接关系表示它们之间具有通信连接,具体可以实现为一条或多条通信总线或信号线。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也视为本发明的保护范围。

Claims (10)

1.一种工业互联网访问控制方法,其特征在于,包括:
获取员工访问行为信息;其中,所述访问行为信息包括工作目标选择信息、数据历史记录访问信息;
根据所述员工访问行为信息计算每一员工的工作目标不确定度,并基于所有员工的工作目标不确定度计算工作目标不确定度基准;
根据所述员工访问行为信息计算每一员工的数据历史记录不确定度,并基于所有员工的数据历史记录不确定度计算数据历史记录不确定度基准;
将员工的工作目标不确定度与所述工作目标不确定度基准进行比较以获取该员工的工作目标选择风险,将员工的数据历史记录不确定度与所述数据历史记录不确定度基准进行比较以获取该员工的数据历史记录选择风险,并根据所述工作目标选择风险与所述数据历史记录选择风险计算得到该员工的访问总风险;
将员工的访问总风险与预设的可接受访问风险进行比较,并根据比较结果接受或拒绝该员工的访问请求。
2.根据权利要求1所述的工业互联网访问控制方法,其特征在于,所述根据所述员工访问行为信息计算每一员工的工作目标不确定度,具体为:
根据所述员工访问行为信息计算员工选择每一工作目标的概率,继而基于所述员工选择每一工作目标的概率计算得到所述工作目标不确定度。
3.根据权利要求1所述的工业互联网访问控制方法,其特征在于,所述根据所述员工访问行为信息计算每一员工的数据历史记录不确定度,具体为:
对于给定工作目标,根据所述员工访问行为信息计算员工选择每一数据历史记录的概率,继而基于所述员工选择每一数据历史记录的概率计算得到所述数据历史记录不确定度。
4.根据权利要求2所述的工业互联网访问控制方法,其特征在于,所述根据所述员工访问行为信息计算员工选择每一工作目标的概率,继而基于所述员工选择每一工作目标的概率计算得到所述工作目标不确定度,具体为:
根据所述员工访问行为信息计算员工选择每一工作目标的概率pd(t);其中,
Figure FDA0002672574470000021
STd表示包含员工d选择的工作目标t的多集,f(STd,t)表示在员工d选择的工作目标的多集中工作目标t的出现次数;
继而基于所述员工选择每一工作目标的概率pd(t)计算得到所述工作目标不确定度HT(d);其中,
Figure FDA0002672574470000022
5.根据权利要求3所述的工业互联网访问控制方法,其特征在于,所述对于给定工作目标,根据所述员工访问行为信息计算员工选择每一数据历史记录的概率,继而基于所述员工选择每一数据历史记录的概率计算得到所述数据历史记录不确定度,具体为:
对于给定工作目标t,根据所述员工访问行为信息计算员工选择每一数据历史记录的概率Pd,t(r);其中,
Figure FDA0002672574470000023
Figure FDA0002672574470000024
表示员工d在给定工作目标下,选择数据历史记录r的多集,
基于所述员工选择每一数据历史记录的概率Pd,t(r)计算得到所述数据历史记录不确定度HR(d,t);其中,
Figure FDA0002672574470000025
6.一种工业互联网访问控制装置,其特征在于,包括:
信息获取模块,用于获取员工访问行为信息;其中,所述访问行为信息包括工作目标选择信息、数据历史记录访问信息;
第一基准计算模块,用于根据所述员工访问行为信息计算每一员工的工作目标不确定度,并基于所有员工的工作目标不确定度计算工作目标不确定度基准;
第二基准计算模块,用于根据所述员工访问行为信息计算每一员工的数据历史记录不确定度,并基于所有员工的数据历史记录不确定度计算数据历史记录不确定度基准;
访问风险计算模块,用于将员工的工作目标不确定度与所述工作目标不确定度基准进行比较以获取该员工的工作目标选择风险,将员工的数据历史记录不确定度与所述数据历史记录不确定度基准进行比较以获取该员工的数据历史记录选择风险,并根据所述工作目标选择风险与所述数据历史记录选择风险计算得到该员工的访问总风险;
工业互联网访问控制模块,用于将员工的访问总风险与预设的可接受访问风险进行比较,并根据比较结果接受或拒绝该员工的访问请求。
7.根据权利要求6所述的工业互联网访问控制装置,其特征在于,所述根据所述员工访问行为信息计算每一员工的工作目标不确定度,具体为:
根据所述员工访问行为信息计算员工选择每一工作目标的概率,继而基于所述员工选择每一工作目标的概率计算得到所述工作目标不确定度。
8.根据权利要求6所述的工业互联网访问控制装置,其特征在于,所述根据所述员工访问行为信息计算每一员工的数据历史记录不确定度,具体为:
对于给定工作目标,根据所述员工访问行为信息计算员工选择每一数据历史记录的概率,继而基于所述员工选择每一数据历史记录的概率计算得到所述数据历史记录不确定度。
9.一种终端设备,其特征在于,包括处理器、存储器以及存储在所述存储器中且被配置为由所述处理器执行的计算机程序,所述存储器与所述处理器耦接,且所述处理器执行所述计算机程序时,实现如权利要求1至6任一项所述的工业互联网访问控制方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,其中,在所述计算机程序运行时控制所述计算机可读存储介质所在的设备执行如权利要求1至6任一项所述的工业互联网访问控制方法。
CN202010939180.5A 2020-09-09 2020-09-09 一种工业互联网访问控制方法、装置、设备及存储介质 Pending CN112187731A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010939180.5A CN112187731A (zh) 2020-09-09 2020-09-09 一种工业互联网访问控制方法、装置、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010939180.5A CN112187731A (zh) 2020-09-09 2020-09-09 一种工业互联网访问控制方法、装置、设备及存储介质

Publications (1)

Publication Number Publication Date
CN112187731A true CN112187731A (zh) 2021-01-05

Family

ID=73920061

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010939180.5A Pending CN112187731A (zh) 2020-09-09 2020-09-09 一种工业互联网访问控制方法、装置、设备及存储介质

Country Status (1)

Country Link
CN (1) CN112187731A (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011029253A1 (zh) * 2009-09-08 2011-03-17 中兴通讯股份有限公司 一种Web负载均衡方法、网格服务器及***
CN106911697A (zh) * 2017-02-28 2017-06-30 北京百度网讯科技有限公司 访问权限设置方法、装置、服务器及存储介质
US20180288063A1 (en) * 2017-03-31 2018-10-04 Oracle International Corporation Mechanisms for anomaly detection and access management
CN111181933A (zh) * 2019-12-19 2020-05-19 贝壳技术有限公司 网络爬虫检测方法、装置、存储介质及电子设备

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011029253A1 (zh) * 2009-09-08 2011-03-17 中兴通讯股份有限公司 一种Web负载均衡方法、网格服务器及***
CN106911697A (zh) * 2017-02-28 2017-06-30 北京百度网讯科技有限公司 访问权限设置方法、装置、服务器及存储介质
US20180288063A1 (en) * 2017-03-31 2018-10-04 Oracle International Corporation Mechanisms for anomaly detection and access management
CN111181933A (zh) * 2019-12-19 2020-05-19 贝壳技术有限公司 网络爬虫检测方法、装置、存储介质及电子设备

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
惠榛等: "面向医疗大数据的风险自适应的访问控制模型", 《通信学报》 *
文静等: "跨域云环境下基于动态异构网络的风险访问模型", 《河海大学学报(自然科学版)》 *

Similar Documents

Publication Publication Date Title
US11899808B2 (en) Machine learning for identity access management
US10862913B2 (en) Systems and methods for securing access to resources
US9038134B1 (en) Managing predictions in data security systems
CN102510337B (zh) 一种量化风险和收益自适应的动态多因子认证方法
EP2515252A2 (en) System and method for reducing security risk in computer network
EP3446249B1 (en) Rotation of authorization rules in memory of authorization system
EP3779737B1 (en) Threshold value determination and identity verification method, threshold value determination and identity verification apparatus, electronic device, and storage medium
EP3549050B1 (en) Method and computer product and methods for generation and selection of access rules
Barth et al. A learning-based approach to reactive security
WO2020197747A1 (en) Cloud security using security alert feedback
US20130207775A1 (en) Bootstrapping access models in the absence of training data
US20230046813A1 (en) Selecting communication schemes based on machine learning model predictions
CN112494935B (zh) 一种云游戏平台池化方法、电子设备及存储介质
US8533774B2 (en) Controlled sharing of information in virtual organizations
CN112187731A (zh) 一种工业互联网访问控制方法、装置、设备及存储介质
US11086643B1 (en) System and method for providing request driven, trigger-based, machine learning enriched contextual access and mutation on a data graph of connected nodes
Collier et al. On metrics and prioritization of investments in hardware security
CN112055010B (zh) 二维码图片拦截方法、装置、电子设备及存储介质
EP3761197A1 (en) Method and system for producing a scoring model
CN116451190B (zh) 基于互联网医疗业务***的数据权限设置方法
Zmiewski et al. Automatic online quantification and prioritization of data protection risks
CN111818107B (zh) 网络请求的响应方法、装置、设备及可读存储介质
JP2023172405A (ja) リスクベース認証システム及びリスクベース認証方法
Houmb et al. Combining disparate information sources when quantifying security risks
Omlin Strategic Alignment in Cybersecurity Information Sharing: A Multidimensional Approach to Company Similarity Analysis

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20210105