访问控制方法、装置、设备和介质
文献发布时间:2023-06-19 15:52:27
技术领域
本公开一般涉及计算机技术领域,具体涉及网络与信息安全技术领域,尤其涉及一种访问控制方法、装置、设备和介质。
背景技术
随着计算机技术的发展,可以采用机器学习算法在系统中做出操作行为的人是否为用户本人,即确定用户账号是否被冒用。
现有技术中,可以采用机器学习模型识别用户操作行为是否为冒用行为。具体地,可以先对操作行为的行为数据进行编码,并将编码后的行为数据输入隐马雅科夫、贝叶斯等机器学习模型,进而根据模型的输出确定用户账号是否被冒用。
然而,在上述方式中,不同的行为数据可能具有相似的编码结果,那么不同的操作行为会被机器学习模型识别为相同的用户操作,存在识别准确率较低的问题,难以根据识别结果确定用户账号是否被冒用。
发明内容
基于此,有必要针对上述技术问题,提供一种访问控制方法、装置、设备和介质,使得用户的不同操作行为被识别为不同的用户操作,从而提高识别准确率。
第一方面,提供一种访问控制方法,该方法包括:
获取目标对象的一个或多个用户指令,对一个或多个用户指令进行识别,确定每一用户指令的操作以及每一操作的执行对象;
对每一操作以及每一执行对象进行编码,获得目标对象的行为特征;
确定目标对象的相关历史指令,根据行为特征与相关历史用户指令的特征之间的相似度,对目标对象进行访问控制。
第二方面,提供了一种访问控制装置,该装置包括:
获取单元,用于获取目标对象的一个或多个用户指令,对一个或多个用户指令进行识别,确定每一用户指令的操作以及每一操作的执行对象;
编码单元,用于对每一操作以及每一执行对象进行编码,获得目标对象的行为特征;
确定单元,用于确定目标对象的相关历史指令,根据行为特征与相关历史用户指令的特征之间的相似度,对目标对象进行访问控制。第三方面,提供了一种计算机设备,包括存储器、处理器以及存储不在存储器上并可在处理器上运行的计算机程序,其特征在于,处理器执行程序时,实现上述第一方面以及第一方面任意一种可能的实现方式的方法的步骤。
第四方面,提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时,实现上述第一方面以及第一方面任意一种可能的实现方式的方法的步骤。
第五方面,提供一种计算机程序产品,计算机程序产品包括指令,当指令被运行时,实现上述第一方面以及第一方面任意一种可能的实现方式的方法的步骤。
本申请的访问控制方法,可以通过判断用户登录某系统后的行为是否为冒用行为,从而对用户行为进行安全访问控制。具体地,通过获取目标对象(例如,某一系统用户)的一个或多个用户指令,对所述一个或多个用户指令进行识别,确定每一所述用户指令的操作以及每一所述操作的执行对象;对每一所述操作以及每一所述执行对象进行编码,获得所述目标对象的行为特征;确定所述目标对象的相关历史指令,根据所述行为特征与所述相关历史用户指令的特征之间的相似度,对所述目标对象进行访问控制。采用本申请的方法,通过对用户操作行为触发的用户指令进行更细粒度的区分,例如,区分出用户指令的操作和执行对象。操作和执行对象是表征用户指令的更细粒度的特征,基于更细粒度的特征与系统的以往用户行为之间的相似程度,根据相似度结果确定当前用户行为是否为冒用行为。相较于现有技术中单纯依靠行为数据编码结果确定用户行为是否为冒用行为的方案来说,本申请能够对用户指令产生的行为数据,进行更细粒度的区分,从而确定用户行为是否为冒用行为。也正是采用了这种对行为数据的更细粒度的区分,在一定程度上提高了对冒用行为的识别准确率,从而达到对用户的安全访问控制。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:
图1为本申请实施例提供的访问控制系统的示意图;
图2为本申请实施例提供的访问控制方法的流程示意图;
图3为本申请实施例提供的系统信息界面的示意图;
图4为本申请实施例提供的操作和执行对象的界面示意图;
图5为本申请实施例提供的编码信息在行为特征中的位置示意图;
图6为本申请实施例提供的访问控制方法的另一流程示意图;
图7为本申请实施例提供的一种行为特征的示意图;
图8为本申请实施例提供的访问控制方法的另一流程示意图;
图9为本申请实施例提供的参考时刻的时序图;
图10为本申请实施例提供的访问控制方法的另一流程示意图;
图11为本申请实施例提供的关联用户的历史用户指令的示意图;
图12为本申请实施例提供的访问控制方法的另一流程示意图;
图13为本申请实施例提供的一种相关历史指令的行为特征的示意图;
图14为本申请实施例提供的访问控制方法的另一流程示意图;
图15为本申请实施例提供的访问控制方法的完整实施流程图;
图16为本申请实施例提供的访问控制装置的结构示意图;
图17为本申请实施例提供的计算机设备的结构框图。
具体实施方式
下面结合实施例和附图对本申请作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释相关发明,而非对该发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与发明相关的部分。
需要说明的是,在不冲突的情况下,本申请中的实施例即实施例的特征可以互相结合。下面将参考附图并结合实施例来详细说明本申请。
目前,在确定用户账号是否被冒用时,主要对用户操作的行为数据进行编码,再将编码后的行为数据输入隐马雅科夫、贝叶斯等机器学习模型识别,确定用户账号是否被冒用。当前技术中,单纯依靠行为数据编码结果确定用户行为是否为冒用行为,由于不同的行为数据可能具有相似的编码结果,模型可能会将冒用行为识别为用户行为,使得识别冒用行为的准确率低,从而难以根据识别结果确定用户账号是否被冒用。
基于此,本申请提出一种访问控制方法、装置、设备和存储介质,能够通过对用户操作行为触发的用户指令进行更细粒度的区分,基于更细粒度的特征确定用户当前用户行为是否为冒用行为,大大提高了对冒用行为的识别准确率,从而实现对用户的安全访问控制。
本申请提供的访问控制方法,可以应用于如图1所示的访问控制系统中。参考图1,该访问控制系统可以包括计算机设备10和终端20。计算机设备10可以提供一个供用户登录的系统,用户可以通过终端20登陆该系统,并在系统中做出操作行为。例如,用户可以基于该系统查看公告、编辑电子请假单,查看薪酬等。当用户做出上述操作行为时,会触发其在终端20中对应的用户指令,计算机设备10可以接收并运行上述指令,产生与用户指令对应的行为数据。
其中,计算机设备10可以是独立的服务器,还可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发网络(content delivery network,CDN)、以及大数据和人工智能平台等基础云计算服务的云服务器。
终端20可以但不限于是个人计算机、平板电脑、智能手机、车载终端等设备。
前文图1介绍了本申请的应用场景图。在本申请的另一实施例中,提供了一种访问控制方法,该方法可以应用于图1所示的计算机设备10。如图2所示,该方法包括如下步骤:
步骤201、获取目标对象的一个或多个用户指令,对一个或多个用户指令进行识别,确定每一用户指令的操作以及每一操作的执行对象;
本申请实施例提供了一种访问控制的方案,用户通过终端20登录系统后,可以在系统中做出一系列操作行为。示例性的,一系列操作行为可以但不限于是查看公告、编辑电子请假单、查看工资条。当用户做出具体的操作行为时,会触发系统中的相应用户指令。计算机设备10可以接收上述用户指令,并更细粒度地区分上述用户指令,使得用户指令对系统而言更加具有辨识度,也有利于系统识别容易混淆的一些用户指令。
一种可能的实现方式中,用户登陆系统后,系统可以呈现多个不同的界面。用户在系统呈现的各个界面上进行操作(例如,拖拽光标、点击功能按钮等),系统可以接收到用户操作行为触发的用户指令。系统呈现的界面可以是图3所示的信息查看界面。参考图3,信息查看界面包括多个可查看项目,例如,“公告”、“请假”、“智能薪酬”。其中,用户可以操作各个可查看项目对应的功能按钮实现对各个项目的查看或编辑。例如,用户点击“公告”按钮,系统可以接收到“查看公告信息指令”。
需要说明的是,目标对象用于表征待监控的设备、账号或者账号下的角色。示例性的,目标对象可以是计算机设备10监控的终端20,也可以是用于登录系统的账号,还可以是账号下的角色。示例性的,账号下的角色可以是系统的管理员,也可以是系统的普通用户。
另外,一个或者多个用户指令可以是用户在系统的用户操作行为触发的指令。当用户指令被触发时,运行该系统的设备(例如前文所述的计算机设备10)可以获取到用户的行为数据。
在一种可能的实现方式中,对一个或多个用户指令进行识别,可以是对一个或多个用户指令所产生的行为数据进行识别,以识别用户指令的细节特征,例如,用户指令的操作和执行对象。
例如,用户行为数据可以是字符串,可以针对字符串进行识别处理,以识别用户指令的操作和执行对象。以下结合例子解释操作和执行对象。示例性的,以用户删除管理员G为例,用户指令可以是“删除管理员”,用户指令的操作可以是确定用户具体点击了哪一个触控按钮,例如,用户点击的触控按钮可以是“删除”按钮。用户指令的执行对象可以是确定用户具体删除了哪一个人,例如,用户删除的具体人员为管理员G。
一种可能的实现方式中,字符串识别处理可以但不限于是分词处理、语义分析。
图4为本申请实施例提供的操作和执行对象的界面示意图。参考图4,以用户删除管理员G为例,介绍用户做出操作行为后,系统如何识别出操作和执行对象。具体地,当用户点击图4界面中的“删除”按钮后,会弹出“是否删除管理员G”的界面,点击“是”按钮后,会触发系统的“删除管理员G”指令,系统接收并运行该“删除管理员G”指令后得到“删除管理员G”指令的行为数据,可以采用语义分析的方法识别出用户指令的操作为“删除”指令,以及用户指令的执行对象为“管理员G”。
步骤302、对每一操作以及每一执行对象进行编码,获得目标对象的行为特征;
本申请实施例提供了一种编码方案,当计算机设备10识别用户的行为数据后,可以得到操作可以为点击“删除”按钮,以及执行对象可以为“管理员G”。通过对上述“删除管理员G”的行为数据进行编码,将编码结果确定为用户的行为特征,即用以区分各个不同用户的标志,以便后续对比当前用户行为和所登录系统的以往用户行为的相似程度。
具体地,编码可以使得各个操作以及执行对象的行为数据格式相同,便于后续进行不同用户的操作以及执行对象之间的相似度比较。
行为特征用于表征编码后的操作以及执行对象(以下简称编码信息)的位置信息。在本申请实施例中,编码信息在行为特征中的位置与编码信息的执行顺序的先后相关。示例性的,编码信息在行为特征中的位置可以按编码信息顺序执行后排布,也可以按逆序执行后排布,还可以为乱序执行后排布。
以下结合图5介绍编码信息在行为特征中的位置排布方式,图5为本申请实施例提供的编码信息在行为特征中的位置示意图。参考图5,编码信息在行为特征中的位置可以按编码信息顺序执行后排布,编码信息在行为特征中的位置也可以按编码信息逆序执行后排布,编码信息在行为特征中的位置还可以按编码信息乱序执行后排布。其中,位置示意图中包含编码信息,以及与每一编码信息对应的行为特征。编码信息包括操作a1和执行对象A1、操作a2和执行对象A2、操作a3和执行对象A3。行为特征包括位置1、位置2以及位置3。编码信息与行为特征的对应关系可以为顺序对应、也可以为逆序对应,还可以为乱序对应。
一种可能的实现方式,识别出操作为点击“删除”按钮,以及执行对象为“管理员G”后,可以采用十六进制编码方法对上述操作和执行对象进行编码,编码信息在行为特征中的位置与其执行顺序相关,例如,可以为编码信息按照时间先后执行后顺序排布在行为特征中。
步骤303、确定目标对象的相关历史指令,根据行为特征与相关历史用户指令的特征之间的相似度,对目标对象进行访问控制。
本申请实施例中,可以将当前用户的行为特征与所登录系统的以往用户指令的行为特征进行相似度对比,以便根据相似程度确定用户是否被冒用,从而对用户进行安全访问控制。
具体地,相关历史用户指令可以是所登录系统的以往用户操作行为触发的指令。示例性的,相关历史用户指令可以包括操作和执行对象。当相关历史用户指令被触发时,运行该系统的设备(例如前文所述的计算机设备10)可以获取到以往用户的行为数据。
在一种可能的实现方式中,可以对比当前用户指令的操作和相关历史用户指令的操作的相似程度,以及当前用户指令的执行对象和相关历史用户指令的执行对象的相似程度。
采用本申请的访问控制方法,计算机设备10通过获取目标对象(例如,某一系统用户)的一个或多个用户指令,对所述一个或多个用户指令进行识别,确定每一所述用户指令的操作以及每一所述操作的执行对象;对每一所述操作以及每一所述执行对象进行编码,获得所述目标对象的行为特征;确定所述目标对象的相关历史指令,根据所述行为特征与所述相关历史用户指令的特征之间的相似度,对所述目标对象进行访问控制。上述步骤中,用户做出操作行为后触发用户指令,计算机设备接收并生成该用户操作指令的行为数据后,可以识别出该用户指令的对象和执行对象,即对用户指令进行更细粒度的区分。基于更细粒度的操作和执行对象确定用户指令和相关历史用户指令之间的相似程度,根据相似度结果确定触发用户指令的用户行为是否为冒用,进而对用户进行安全访问控制。相较于现有技术中仅仅将用户指令的编码结果输入模型中识别得到用户是否被冒用的技术方案来说,本申请能够通过用户指令的更细粒度特征确定用户是否被冒用,也正是基于这种更细粒度的特征,可以提高识别用户冒用行为的准确率。
前文所述的实施例中,介绍了对目标对象的用户指令进行识别、编码、相似度对比后,对用户进行访问控制的技术方案。在本申请的另一实施例中,可以对目标对象识别后得到的操作以及执行对象编码后进行拼接处理,再根据上述操作和执行对象的执行先后顺序生成行为特征。例如,前文步骤涉及的“对每一操作以及每一执行对象进行编码,获得目标对象的行为特征”的具体实施如图6的步骤:
步骤601、针对每一用户指令,对用户指令的操作进行编码获得第一编码信息,对用户指令的执行对象进行编码获得第二编码信息,对第一编码信息和第二编码信息进行拼接处理,获得用户指令的编码信息;
具体地,第一编码信息用于表征识别出用户指令后,对识别出的操作进行编码得到的信息。在本申请实施例中,对识别出的操作进行编码得到信息,可以是将用户点击“删除”按钮这一操作编码为“0x35”。第二编码信息用于表征识别出用户指令后,对识别出的操作的执行对象进行编码得到的信息。在本申请实施例中,对识别出的操作的执行对象进行编码得到信息,可以是将操作的执行对象“管理员G”编码为“0x79”。拼接处理用于表征将第一编码信息和第二编码信息进行组合处理。在本申请实施例中,可以是将用户点击“删除”按钮这一操作编码为“0x35”和这一操作的执行对象编码为“0x79”进行组合处理,得到用户指令编码信息为“0x3579”。
具体实现中,将用户点击“删除”按钮这一操作编码为“0x35”和这一操作的执行对象编码为“0x79”进行组合处理,得到用户指令编码信息为“0x3579”。
步骤602、根据一个或多个用户指令的编码信息以及一个或多个用户指令的执行顺序,生成行为特征。
具体地,用户指令的编码信息用于表征将识别出用户操作和执行对象组合编码够排布在行为特征中。在本申请实施例中,可以将操作编码为“0x35”和执行对象编码为“0x79”组合编码为“0x3579”。用户指令的执行顺序用于表征执行用户指令的先后顺序。在本申请实施例中,可以按照顺序、逆序或者乱序执行用户指令后,在行为特征中对应按照顺序、逆序或者乱序执行用户指令的顺序排布用户指令的位置,从而生成用户指令的行为特征。
针对步骤602,图7为本申请实施例提供的一种行为特征的示意图。参考图7,图7中包含编码信息,以及根据用户指令的执行顺序确定的编码信息在行为特征中的位置。在本申请实施例中,执行顺序为顺序执行。编码信息0x3579为第一个执行,所以0x3579在行为特征中的位置为位置1。编码信息0x3680为第二个执行,所以0x3680在行为特征中的位置为位置2。编码信息0x3781为第一个执行,所以0x3781在行为特征中的位置为位置3。
前文所述的实施例中,介绍了对每一操作以及每一执行对象进行编码,获得目标对象的行为特征的技术方案。在本申请的另一实施中,可以根据参考时刻确定目标对象的相关历史指令。例如,前文步骤涉及的“确定目标对象的相关历史指令”的具体实施如图8的步骤:
步骤801、确定目标对象在参考时刻之前的一个或多个历史用户指令,参考时刻为一个或多个用户指令中第一个用户指令的执行时刻;
具体地,参考时刻用于表征一个或多个用户指令中第一个用户指令的执行时刻。示例性的,第一个用户指令的执行时刻可以是用户在系统中做出某一操作的具体时刻。
图9为本申请实施例提供的参考时刻的时序图。参考图9,图中有m条时间轴,一条时间轴表示用户登录一次系统,时间轴中的kij表示用户在第i次登录系统后,在系统中做出第j步操作(即前文实施例中的用户指令)。示例性的,图中的k11表示用户第1次登录系统做出的第1步操作,例如,操作行为可以是点击“公告”按钮。时间轴内的tij表示用户在第i次登录系统后,在系统中做出第j步操作行为的对应时刻为tij(即前文实施例中的用户指令的执行时刻)。示例性的,t11表示用户在第1次登录系统后,在系统中做出第1步操作行为的对应时刻为t11。
针对步骤801中的参考时刻,若假定tm5为参考时刻,则t11~tm4历史时刻(即参考时刻之前的时刻),tm6为未来时刻(即参考时刻之后的时刻)。
具体实现中,参考图9,tm5为参考时刻,则t11~tm4为历史时刻,k11~km4为参考时刻之前的多个历史用户指令。
步骤802、确定目标对象在参考时刻之前的一个或多个历史用户指令为相关历史用户指令。
具体地,相关历史用户指令用于表征以往与用户指令有关联的指令。示例性的,以往与用户指令有关联的指令可以为用户以往做出的点击“公告”按钮指令或者点击“智能薪酬”指令。具体实现中,参考图9,tm5为参考时刻,k11~km4中的一个或者多个历史用户指令可以看作为相关历史用户指令。例如,k11、k12~k21、k31~km3都可以看作为相关历史用户指令。
前文所述的实施例中,介绍了确定目标对象的相关历史用户指令的技术方案。在本申请的另一实施例中,可以根据关联用户确定目标对象的相关历史指令。例如,前文步骤涉及的“确定目标对象的相关历史指令”的具体实施如图10的步骤:
步骤1001、确定目标对象的关联用户,获取关联用户在参考时刻之前的一个或多个历史用户指令;
具体地、关联用户用于表征与目标对象在系统中扮演的角色相同或者相近的用户。示例性的,与目标对象在系统中扮演的角色相同或者相近的用户可以为同一分组的用户,即同一部门的用户。关联用户的历史用户指令用于表征关联用户在参考时刻之前做出的以往用户操作。
图11为本申请实施例提供的关联用户的历史用户指令的示意图,参考图11,图中有三条时间轴,一条时间轴表示关联用户登录一次系统,时间轴中的bij表示用户在第i次登录系统后,在系统中做出第j步操作(即前文实施例中的关联用户的历史用户指令)。示例性的,图中的b11表示关联用户第1次登录系统做出的第1步操作,例如,操作行为可以是点击“公告”按钮。时间轴内的tij表示关联用户在第i次登录系统后,在系统中做出第j步操作行为的对应时刻为tij(即前文实施例中的关联用户的历史用户指令的执行时刻)。示例性的,t11表示用户在第1次登录系统后,在系统中做出第1步操作行为的对应时刻为t11。
具体实现中,参考图11,tm5为参考时刻,则t11~tm4为历史时刻,t11~tm4为关联用户在参考时刻之前的多个历史用户指令。
步骤1002、确定关联用户在参考时刻之前的一个或多个历史用户指令为相关历史用户指令。
具体地,关联用户的历史用户指令用于表征关联用户在参考时刻之前做出的以往用户操作。相关历史用户指令用于表征关联用户以往与用户指令有关联的指令。
具体实现中,参考图11,tm5为参考时刻,t11~tm4中的一个或者多个历史用户指令可以看作为相关历史用户指令。例如,t12、t13~t23、t33~tm2都可以看作为相关历史用户指令。
前文所述的实施例中,介绍了确定目标对象的相关历史用户指令的技术方案。在本申请的另一实施例中,可以根据相关历史指令的操作和执行对象获得相关历史指令的特征。例如,前文步骤涉及的生成“相关历史指令的特征”的具体实施如图12的步骤:
步骤1201、针对每一相关历史指令,对相关历史指令的操作进行编码获得第三编码信息,对相关历史指令的执行对象进行编码获得第四编码信息,对第三编码信息和第四编码信息进行拼接处理,获得用户指令的编码信息;
具体地,第三编码信息用于表征识别出相关历史指令后,对识别出的操作进行编码得到的信息。在本申请实施例中,对识别出的操作进行编码得到信息,可以是将以往用户点击“删除”按钮这一操作编码为“0x35”。第二编码信息用于表征识别出相关历史指令后,对识别出的操作的执行对象进行编码得到的信息。在本申请实施例中,对识别出的操作的执行对象进行编码得到信息,可以是将以往用户点击“删除”按钮这一操作的执行对象编码为“0x79”。拼接处理用于表征将第三编码信息和第四编码信息进行组合处理。在本申请实施例中,可以是将以往用户点击“删除”按钮这一操作编码为“0x35”和这一操作的执行对象“管理员G”编码为“0x79”进行组合处理,得到用户指令“删除管理员G”的编码信息为“0x3579”。
具体实现中,将以往用户点击“删除”按钮这一操作编码为“0x35”和这一操作的执行对象“管理员G”编码为“0x79”进行组合处理,得到用户指令“删除管理员G”的编码信息为“0x3579”。
步骤1202、根据所有相关历史指令的编码信息以及各个相关历史指令的执行顺序,生成相关历史指令的特征。
具体地,相关历史指令的编码信息用于表征将识别出以往的用户操作和执行对象组合编码后排布行为特征中。在本申请实施例中,可以将操作编码为“0x35”和执行对象编码为“0x79”组合编码为“0x3579”。相关历史指令的执行顺序用于表征执行相关历史指令的先后顺序。在本申请实施例中,可以按照顺序、逆序或者乱序排布相关历史指令在行为特征中的位置。
针对步骤1202,图13为本申请实施例提供的一种相关历史指令的行为特征的示意图。参考图13,图13中包含编码信息,以及根据执行顺序确定的编码信息在行为特征中的位置。在本申请实施例中,执行顺序为逆序执行。编码信息0x3579为第三个执行,所以0x3579在行为特征中的位置为位置3。编码信息0x3680为第二个执行,所以0x3680在行为特征中的位置为位置2。编码信息0x3781为第一个执行,所以0x3781在行为特征中的位置为位置1。
前文所述的实施例中,介绍了生成相关历史指令的特征的技术方案。在本申请的另一实施例中,可以根据用户指令的行为特征与相关历史指令的行为特征,对目标对象进行访问控制。例如,前文步骤涉及的“根据行为特征与相关历史指令的特征之间的相似度,对目标对象进行访问控制”的具体实施包括图14的步骤:
步骤1401、若行为特征与相关历史指令的特征之间的相似度大于预设阈值,则允许目标对象访问目标系统;
具体地,相似度用于表征用户的行为特征,与以往用户或者关联用户的相关历史指令的相近程度。示例性的,相近程度可以用某一具体的百分比衡量,例如,90%。预设阈值用于表征预先设定的用户指令与相关历史指令的相似度的具体数值。示例性的,相似度的具体数值可以是80%。
具体实现中,若用户指令的行为特征与相关历史指令的特征之间的相似度为90%大于预设阈值80%,则表明用户指令的行为特征与相关历史指令的特征相似,则确定用户在系统中的操作是由用户自身实施的,即用户的设备、账号或者账号下的角色没有被盗用,则允许用户继续访问系统。
本申请实施例还提供另外一种可能的实现方式,若用户指令的行为特征与相关历史指令的特征之间的相似度80%等于预设阈值80%,则认定用户指令的行为特征与相关历史指令的特征相似,则确定用户在系统中的操作是由用户自身实施的,即用户的设备、账号或者账号下的角色没有被盗用,则允许用户继续访问系统。
本申请实施例还提供另外一种可能的实现方式,若多个用户指令与相关历史指令的特征之间的多个相似度的百分比不全大于80%,若多个相似度百分比中有2/3以上大于80%,则可以认定用户指令的行为特征与相关历史指令的特征相似。
步骤1402、若行为特征与相关历史指令的特征之间的相似度小于预设阈值,则禁止目标对象访问目标系统。
具体地,相似度用于表征用户的行为特征,与以往用户或者关联用户的相关历史指令的相近程度。示例性的,相近程度可以用某一具体的百分比衡量,例如,50%。预设阈值用于表征预先设定的用户指令与相关历史指令的相似度的具体数值。示例性的,相似度的具体数值可以是80%。
具体实现中,若用户指令的行为特征与相关历史指令的特征之间的相似度为50%小于预设阈值80%,则表明用户指令的行为特征与相关历史指令的特征不相似,则确定用户在系统中的操作不是由用户自身实施的,即用户的设备、账号或者账号下的角色被盗用,则禁止用户继续访问系统。
本申请实施例还提供另外一种可能的实现方式,若用户指令的行为特征与相关历史指令的特征之间的相似度为80%等于预设阈值80%,则认定用户指令的行为特征与相关历史指令的特征不相似,则确定用户在系统中的操作不是由用户自身实施的,即用户的设备、账号或者账号下的角色被盗用,则禁止用户继续访问系统。
本申请实施例还提供另外一种可能的实现方式,若多个用户指令与相关历史指令的特征之间的多个相似度的百分比不全小于80%,若多个相似度百分比中有2/3以上小于80%,则可以认定用户指令的行为特征与相关历史指令的特征不相似。
针对上述全部的技术特征,本申请实施例提供了一个访问控制方法的完整实施流程图,参见图15,流程图中的具体执行步骤如下:
S1、用户登录。
S2、判断用户是否有历史登录记录。
若是,则执行S3。
S3、提取该用户最近q次登录系统的历史行为特征;若否,则执行S8。
需要说明的是,“该用户最近q次登录系统的历史行为特征”相当于本申请前文实施例中的“相关历史指令的行为特征”。
S4、等待用户操作k步。
需要说明的是,“用户操作k步”相当于本申请前文实施例中的“目标对象的一个或者多个用户指令”。
S5、计算当前用户操作行为向量与历史行为特征向量的q个相似度。
需要说明的是,“当前用户操作行为向量”相当于本申请前文实施例中的“目标对象的行为特征”,“历史行为特征向量”相当于本申请前文实施例中的“相关历史指令的特征”。
S6、判断q个相似度是否均小于0.8。
若是,则执行S7;若否,则执行S12。
S7、该用户不是本人。
S8、判断该用户所在组的其他员工是否有历史登录记录。
若是,则执行S9;若否,则执行S12。
S9、等待用户操作k步。
S10、计算当前用户操作行为向量与该用户所在组的其他员工的最近一次行为特征向量的相似度。
需要说明的是,“该用户所在组的其他员工的最近一次行为特征向量”相当于本申请前文实施例中关联用户的“相关历史指令的特征”
S11、判断相似度是否小于0.5。
若是,则执行S7。若否,则执行S12。
S12、该用户是用户本人。
其中,S10中相似度的计算可以采用以下公式:
其中,x可以为当前用户操作行为向量,即多维向量(x
在一个实施例中,如图16,提供了一种访问控制装置,包括:获取单元1601、编码单元1602、确定单元1603。其中:
获取单元1601,用于获取目标对象的一个或多个用户指令,对一个或多个用户指令进行识别,确定每一用户指令的操作以及每一操作的执行对象;
编码单元1602,用于对每一操作以及每一执行对象进行编码,获得目标对象的行为特征;
确定单元1603,用于确定目标对象的相关历史指令,根据行为特征与相关历史用户指令的特征之间的相似度,对目标对象进行访问控制。
在一个实施例中,编码单元1602,用于针对每一用户指令,对用户指令的操作进行编码获得第一编码信息,对用户指令的执行对象进行编码获得第二编码信息,对第一编码信息和第二编码信息进行拼接处理,获得用户指令的编码信息;
根据一个或多个用户指令的编码信息以及一个或多个用户指令的执行顺序,生成行为特征。
在一个实施例中,确定单元1603,用于确定目标对象在参考时刻之前的一个或多个历史用户指令,参考时刻为一个或多个用户指令中第一个用户指令的执行时刻;
确定目标对象在参考时刻之前的一个或多个历史用户指令为相关历史用户指令。
在一个实施例中,确定单元1603,用于确定目标对象的关联用户,获取关联用户在参考时刻之前的一个或多个历史用户指令;
确定关联用户在参考时刻之前的一个或多个历史用户指令为相关历史用户指令。
在一个实施例中,用于针对每一相关历史指令,对相关历史指令的操作进行编码获得第三编码信息,对相关历史指令的执行对象进行编码获得第四编码信息,对第三编码信息和第四编码信息进行拼接处理,获得用户指令的编码信息;
根据所有相关历史指令的编码信息以及各个相关历史指令的执行顺序,生成相关历史指令的特征。
在一个实施例中,用于若行为特征与相关历史指令的特征之间的相似度大于预设阈值,则允许目标对象访问目标系统;
若行为特征与相关历史指令的特征之间的相似度小于预设阈值,则禁止目标对象访问目标系统。
关于访问控制装置的具体限定可以参见上文中对于访问控制方法的限定,在此不在赘述。上述访问控制装置的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各个模块可以以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现以下步骤:
获取目标对象的一个或多个用户指令,对一个或多个用户指令进行识别,确定每一用户指令的操作以及每一操作的执行对象;
对每一操作以及每一执行对象进行编码,获得目标对象的行为特征;
确定目标对象的相关历史指令,根据行为特征与相关历史用户指令的特征之间的相似度,对目标对象进行访问控制。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
针对每一用户指令,对用户指令的操作进行编码获得第一编码信息,对用户指令的执行对象进行编码获得第二编码信息,对第一编码信息和第二编码信息进行拼接处理,获得用户指令的编码信息;
根据一个或多个用户指令的编码信息以及一个或多个用户指令的执行顺序,生成行为特征。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
确定目标对象在参考时刻之前的一个或多个历史用户指令,参考时刻为一个或多个用户指令中第一个用户指令的执行时刻;
确定目标对象在参考时刻之前的一个或多个历史用户指令为相关历史用户指令。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
确定目标对象的关联用户,获取关联用户在参考时刻之前的一个或多个历史用户指令;
确定关联用户在参考时刻之前的一个或多个历史用户指令为相关历史用户指令。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
针对每一相关历史指令,对相关历史指令的操作进行编码获得第三编码信息,对相关历史指令的执行对象进行编码获得第四编码信息,对第三编码信息和第四编码信息进行拼接处理,获得用户指令的编码信息;
根据所有相关历史指令的编码信息以及各个相关历史指令的执行顺序,生成相关历史指令的特征。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
若行为特征与相关历史指令的特征之间的相似度大于预设阈值,则允许目标对象访问目标系统;
若行为特征与相关历史指令的特征之间的相似度小于预设阈值,则禁止目标对象访问目标系统。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic Random Access Memory,DRAM)等。
本申请实施例提供一种计算机程序产品,该计算机程序产品包括指令,当该指令被运行时,使得如本申请实施例描述的方法被执行。例如,可以执行图2所示的图片识别方法的各个步骤。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。