【技術實現步驟摘要】
本專利技術涉及訪問控制,具體涉及一種基于持續信任的動態訪問控制系統及方法。
技術介紹
1、近年來,隨著信息技術和互聯網的廣泛應用,電力系統終端在日常生活中越來越占據重要的地位。
2、在傳統的網絡安全架構中,安全措施主要依賴于明確的網絡邊界,即通過防火墻、vpn等手段保護內部網絡資源免受外部威脅。然而,隨著遠程辦公、云計算等技術的普及,網絡邊界逐漸模糊,用戶在任何時間、地點通過各種設備進行訪問,傳統的基于邊界的安全模型已難以有效應對電力系統終端訪問的安全威脅。這一環境中,攻擊者可以利用漏洞、憑證盜竊、網絡釣魚等手段繞過外圍防護,直接滲透到企業網絡內部,導致敏感數據泄露、系統破壞或業務中斷。
3、為應對這種復雜的網絡安全挑戰,持續信任(zero?trust?architecture,zta)逐漸成為新的安全策略。持續信任的核心思想是“不信任任何人,始終驗證”,即不再假設任何內部用戶或設備是可信的。每次訪問請求,無論來源是外部還是內部,都必須經過嚴格的身份驗證和權限驗證。持續信任要求以細粒度的方式對每一個訪問進行控制,確保只有經過授權的用戶和設備能夠在合法的范圍內訪問資源。
4、此外,在電力系統終端環境中,用戶行為的動態變化使得傳統的靜態訪問控制方法無法及時檢測和響應潛在的安全威脅。為了解決這一問題,動態訪問控制機制成為關鍵技術,通過結合用戶屬性、設備信息、網絡環境和行為模式等多維度信息,系統能夠實時評估和決策,確保只有合法的請求被允許進入系統。而行為分析技術也可以幫助系統識別異常行為,防止惡意訪問
5、為此,本文提出了一種結合基于屬性的訪問控制(attribute-based?accesscontrol,abac)和內省變分自編碼器(introspective?variational?autoencoder,introvae)的電力系統終端動態訪問控制方法。該方法通過預定義的策略對用戶和設備的屬性進行初步篩選,并結合行為分析技術,對訪問請求進行動態監控,確保檢測到任何異常行為后及時采取相應的安全措施。此外,系統通過引入增量學習機制,能夠根據用戶行為的不斷變化,自動更新模型,適應新的威脅環境。這種增量學習機制無需重新訓練整個模型,減少了模型維護的復雜性,并且能夠保持系統的高效性和靈活性。
6、總的來說,本專利技術旨在通過持續信任的應用,構建一個高度安全、靈活適應電力系統終端環境的動態訪問控制系統。該系統不僅提高了對電力系統終端安全威脅的防護能力,還通過增量學習和行為分析,使其能夠適應日益復雜的網絡環境,顯著提高企業數據和系統的安全性。
技術實現思路
1、本專利技術的目的在于提供一種基于持續信任的動態訪問控制系統及方法,通過細粒度的訪問策略控制和行為分析技術,對每個訪問請求進行嚴格的動態評估,并及時檢測和應對異常行為,從而提升電力系統終端環境的安全性。本專利技術涉及網絡安全
,特別是一種基于持續信任的電力系統終端動態訪問控制系統,能夠對電力系統終端環境中的用戶訪問請求進行實時評估和動態管理,有效防御潛在的安全威脅。
2、本專利技術的目的可以通過以下技術方案實現:
3、一種基于持續信任的動態訪問控制系統,包括:
4、屬性提取模塊,用于從訪問請求中提取主體屬性、客體屬性、環境屬性和操作屬性;
5、規則匹配模塊,用于根據預定義的訪問控制策略對提取的屬性進行匹配,以初步篩選訪問請求;
6、行為分析模塊,包括一個內省變分自編碼器i?ntrovae模型,用于對通過規則匹配的訪問請求進行行為分析,檢測是否存在異常行為;
7、增量學習模塊,用于根據新增的用戶行為數據對行為分析模塊中的i?ntrovae模型進行更新,以適應用戶行為模式的變化。
8、作為本專利技術進一步的方案:所述屬性提取模塊提取的屬性包括用戶組、訪問資源id、操作類型、訪問時間、使用設備、請求間隔和請求頻率。
9、作為本專利技術進一步的方案:所述規則匹配模塊基于持續信任中的動態策略,判斷訪問請求是否符合預設的訪問策略集,并篩選出不符合規則的請求。
10、作為本專利技術進一步的方案:所述行為分析模塊中的i?ntrovae模型通過以下公式建立正常行為模式;
11、利用公式建立數據的真實分布p(x),通過積分計算得到:
12、p(x)=∫p(z)p(x|z)dz
13、其中,p(x)表示輸入數據x的概率分布,p(z)表示隱變量的先驗分布,p(x|z)表示給定隱變量z下數據x的條件概率分布;
14、利用變分自編碼器(vae)公式計算模型的損失函數:
15、-l=kl(q(z|x)||p(z))-ez[p(x|z)]
16、其中,l表示損失函數,kl表示kullback-leibler散度,用于衡量兩種概率分布之間的差異,q(z|x)表示編碼器對隱變量的近似后驗分布,ez[p(x|z)]表示對隱變量的期望重構誤差;
17、重參數化公式用于確定隱變量z:
18、
19、其中,∈表示標準正態分布的隨機噪聲,e2-2表示由編碼器生成的方差向量,e2-1表示由編碼器生成的均值向量,z是重參數化后的隱變量,用于輸入解碼器生成輸出樣本。
20、作為本專利技術進一步的方案:當訪問請求的重構誤差超過預設的閾值時,所述行為分析模塊將該請求標記為異常行為,并觸發拒絕訪問的決策,mse計算公式如下:
21、
22、其中,mse表示均方誤差,x是輸入的特征向量,y是由解碼器生成的輸出向量,n是特征的維數,xi和yi分別表示輸入和輸出向量的第i個分量。
23、作為本專利技術進一步的方案:所述增量學習模塊通過以下步驟更新行為分析模塊的introvae模型:
24、生成與歷史數據集分布相同的樣本數據集,并計算新的編碼器和解碼器的損失函數:
25、le=kl(z1,z2)+βmse(x,y)+α([m-lossrec]++[m-lossfake]+)
26、其中,le是編碼器的損失函數,kl(z1,z2)是隱變量的kullback-leibler散度,β是均方誤差的權重系數,α是生成損失的權重系數,m是決策邊界的閾值,lossrec是重構損失,lossfake是鑒別器對假樣本的損失;
27、根據優化后的損失函數更新模型參數,確保系統能夠適應新的用戶行為模式。
28、作為本專利技術進一步的方案:所述的增量學習采用基于重放的學習機制,通過生成與歷史數據集分布相同的樣本數據,利用以下公式更新模型:
29、ld=βmse(x,y)+α(lossrec+lossfake)
30、其中,ld是解碼器的損失函數,mse(x,y)是均方誤差,β和α是權重系數,lossrec是重構損失,lossfake是鑒別器的生成損失。
31、作為本專利技術進一步的方本文檔來自技高網...
【技術保護點】
1.一種基于持續信任的動態訪問控制系統,其特征在于,包括:
2.根據權利要求1所述的一種基于持續信任的動態訪問控制系統,其特征在于,所述屬性提取模塊提取的屬性包括用戶組、訪問資源ID、操作類型、訪問時間、使用設備、請求間隔和請求頻率。
3.根據權利要求1所述的一種基于持續信任的動態訪問控制系統,其特征在于,所述規則匹配模塊基于持續信任中的動態策略,判斷訪問請求是否符合預設的訪問策略集,并篩選出不符合規則的請求。
4.根據權利要求1所述的一種基于持續信任的動態訪問控制系統,其特征在于,所述行為分析模塊中的IntroVAE模型通過以下公式建立正常行為模式;
5.根據權利要求4所述的一種基于持續信任的動態訪問控制系統,其特征在于,當訪問請求的重構誤差超過預設的閾值時,所述行為分析模塊將該請求標記為異常行為,并觸發拒絕訪問的決策,MSE計算公式如下:
6.根據權利要求5所述的一種基于持續信任的動態訪問控制系統,其特征在于,所述增量學習模塊通過以下步驟更新行為分析模塊的IntroVAE模型:
7.根據權利要求5所述的一
8.根據權利要求1-7所述的一種基于持續信任的動態訪問控制系統,其特征在于,還包括一個訪問控制決策輸出模塊,用于根據規則匹配模塊和行為分析模塊的判斷結果,最終決定是否允許該訪問請求。
9.根據權利要求8所述的一種基于持續信任的動態訪問控制系統,其特征在于,所述規則匹配模塊對提取的屬性進行匹配過程包括:
10.一種基于持續信任的動態訪問控制方法,其特征在于,包括以下步驟:
...【技術特征摘要】
1.一種基于持續信任的動態訪問控制系統,其特征在于,包括:
2.根據權利要求1所述的一種基于持續信任的動態訪問控制系統,其特征在于,所述屬性提取模塊提取的屬性包括用戶組、訪問資源id、操作類型、訪問時間、使用設備、請求間隔和請求頻率。
3.根據權利要求1所述的一種基于持續信任的動態訪問控制系統,其特征在于,所述規則匹配模塊基于持續信任中的動態策略,判斷訪問請求是否符合預設的訪問策略集,并篩選出不符合規則的請求。
4.根據權利要求1所述的一種基于持續信任的動態訪問控制系統,其特征在于,所述行為分析模塊中的introvae模型通過以下公式建立正常行為模式;
5.根據權利要求4所述的一種基于持續信任的動態訪問控制系統,其特征在于,當訪問請求的重構誤差超過預設的閾值時,所述行為分析模塊將該請求標記為異常行為,并觸發拒絕訪問的決...
【專利技術屬性】
技術研發人員:陳識微,蔣魯軍,郎宏飛,于承法,趙國慶,朱華鋒,楊亞琴,莊杰,葉新彬,施曉平,
申請(專利權)人:杭州電力設備制造有限公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。