异常访问识别方法以及装置

技术领域

本说明书实施例涉及信息安全技术领域，特别涉及一种异常访问识别方法。

背景技术

随着信息安全技术的发展，通过设定对应的异常访问识别策略，识别对应用的访问请求是否为异常访问，有效地对抗了攻击行为，保护了应用信息安全。

目前，异常访问识别策略包括黑名单策略和白名单策略，在面对攻防不对等的局势，为了更为有效地对抗未知攻击行为，将黑名单策略升级为了白名单策略，只有白名单中的对象可以对应用进行访问。

然而，对于会被不同用户访问的目标应用，这样粗暴的划分方式，往往不能满足复杂灵活的实际需求，且难以确定适用于这样复杂灵活的实际需求，例如，企业员工办公时，正常情况下除了基础办公应用会被不同员工访问外，其他非通用办公应用，仅会被对应员工访问(例如，技术平台仅会被技术员工访问到，安全系统仅会被安全工程师访问到)，但也可能会出现非对应员工对非通用办公应用进行访问，例如，人力资源员工访问技术平台。这样的情况会被认定为异常访问，引发误报，并且需要逐个调整用户的访问权限，引发频繁调整，异常访问识别的准确度和灵活度不足。因此，亟需一种高准确度和高灵活度的异常访问识别方法。

发明内容

有鉴于此，本说明书实施例提供了一种异常访问识别方法。本说明书一个或者多个实施例同时涉及一种异常访问识别装置，一种计算设备，一种计算机可读存储介质以及一种计算机程序，以解决现有技术中存在的技术缺陷。

根据本说明书实施例的第一方面，提供了一种异常访问识别方法，包括：

接收用户发送的针对目标应用的访问请求；

确定用户在目标组织架构中的分类角色；

基于分类角色，查询目标应用对应的预设访问权限，确定用户是否具有目标应用的访问权限，其中，预设访问权限基于目标组织架构中不同分类角色的用户对目标应用的历史访问数据构建；

若否，则识别访问请求为异常访问。

根据本说明书实施例的第二方面，提供了一种异常访问识别装置，包括：

接收模块，被配置为接收用户发送的针对目标应用的访问请求；

角色确定模块，被配置为确定用户在目标组织架构中的分类角色；

权限确定模块，被配置为基于分类角色，查询目标应用对应的预设访问权限，确定用户是否具有目标应用的访问权限，其中，预设访问权限基于目标组织架构中不同分类角色的用户对目标应用的历史访问数据构建；

识别模块，被配置为若否，则识别访问请求为异常访问。

根据本说明书实施例的第三方面，提供了一种计算设备，包括：

存储器和处理器；

所述存储器用于存储计算机可执行指令，所述处理器用于执行所述计算机可执行指令，该计算机可执行指令被处理器执行时实现上述异常访问识别方法的步骤。

根据本说明书实施例的第四方面，提供了一种计算机可读存储介质，其存储有计算机可执行指令，该指令被处理器执行时实现上述异常访问识别方法的步骤。

根据本说明书实施例的第五方面，提供了一种计算机程序，其中，当所述计算机程序在计算机中执行时，令计算机执行上述异常访问识别方法的步骤。

本说明书一个实施例中，接收用户发送的针对目标应用的访问请求；确定用户在目标组织架构中的分类角色；基于分类角色，查询目标应用对应的预设访问权限，确定用户是否具有目标应用的访问权限，其中，预设访问权限基于目标组织架构中不同分类角色的用户对目标应用的历史访问数据构建；若否，则识别访问请求为异常访问。预先基于目标组织架构中不同分类角色对不同用户进行标注，根据分类角色的用户的历史访问数据，确定各分类角色是否具有对目标应用的访问权限，构建得到目标应用对应的预设访问权限，准确且灵活地设置了分类角色和访问权限之间的映射关系，在应用过程中，在接收用户发送的访问请求，基于用户在目标组织架构中的分类角色是否具有访问权限，确定访问请求是否为异常访问，在面对复杂灵活的实际需求时，对异常访问识别具有更高的准确度和更高的灵活性。

附图说明

图1是本说明书一个实施例提供的一种异常访问识别方法的流程图；

图2是本说明书一个实施例提供的一种异常访问识别方法在办公应用中的流程示意图；

图3是本说明书一个实施例提供的一种异常访问识别方法的处理过程流程图；

图4是本说明书一个实施例提供的一种异常访问识别装置的结构示意图；

图5是本说明书一个实施例提供的一种计算设备的结构框图。

具体实施方式

在下面的描述中阐述了很多具体细节以便于充分理解本说明书。但是本说明书能够以很多不同于在此描述的其它方式来实施，本领域技术人员可以在不违背本说明书内涵的情况下做类似推广，因此本说明书不受下面公开的具体实施的限制。

在本说明书一个或多个实施例中使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本说明书一个或多个实施例。在本说明书一个或多个实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本说明书一个或多个实施例中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本说明书一个或多个实施例中可能采用术语第一、第二等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本说明书一个或多个实施例范围的情况下，第一也可以被称为第二，类似地，第二也可以被称为第一。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

此外，需要说明的是，本说明书一个或多个实施例所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等)，均为经用户授权或者经过各方充分授权的信息和数据，并且相关数据的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准，并提供有相应的操作入口，供用户选择授权或者拒绝。

首先，对本说明书一个或多个实施例涉及的名词术语进行解释。

白名单策略：一种允许访问的对象列表，其中列出的对象是被允许访问网络或资源的对象。白名单策略阻止来自未列在白名单中的对象的访问请求。白名单通常用于限制某些特定的访问请求，例如，限制某些内部员工访问特定的资源。

黑名单策略：一种限制访问的对象列表，其中列出的对象是被限制访问网络或资源的对象。黑名单策略阻止来自未列在黑名单中的对象的访问请求。黑名单通常用于阻止已知的恶意流量，例如，来自已知攻击者的访问请求。

可信防御策略：一种基于可信信念的信息安全策略。

在本说明书中，提供了一种异常访问识别方法，本说明书同时涉及一种异常访问识别装置，一种计算设备，一种计算机可读存储介质以及一种计算机程序，在下面的实施例中逐一进行详细说明。

参见图1，图1示出了本说明书一个实施例提供的一种异常访问识别方法的流程图，包括如下具体步骤：

步骤102：接收用户发送的针对目标应用的访问请求。

本说明书实施例应用于内置于目标应用的信息安全设备，或者外置于目标应用的信息安全设备，例如，防火墙、入侵检测设备、病毒防护设备和访问控制设备等。本说明书实施例可以视为一种针对目标应用的信息安全的可信防御策略。

用户为请求访问目标应用的终端用户，请求访问目标应用的终端用户为至少一个。各用户具有对应的身份信息，包括但不限于：身份号码和身份名称，例如，员工工号、应用账号、证件号码、通讯号码、邮箱号码、网络地址、公司花名、应用昵称、证件名称等。

目标应用为终端用户请求直接访问的目标应用软件，目标应用为用户提供数据和服务访问，目标应用软件包括但不限于：应用程序、小程序、网页、数据库。目标应用可以为独立的应用，例如，技术开发应用，目标应用也可以为应用系统上的应用，例如，办公应用系统包括文本编辑应用、数据分析应用、即时通信应用、人员信息数据库、安全运维应用等多个应用，用户针对人员信息数据库发送访问请求。

针对目标应用的访问请求为请求获取目标应用的数据和服务的网络请求，通过HTTP(Hyper TextTransferProtocol，超文本传输协议)、FTP(File Transfer Protocol，文件传输协议)、SMTP(Simple Mail TransferProtocol，简单邮件传输协议)等网络协议进行数据传输，获取对应的数据和服务。针对目标应用的访问请求携带有用户的身份信息和目标应用的应用标识。

接收用户发送的针对目标应用的访问请求，具体方式为：接收至少一个用户发送的针对目标应用的访问请求。

示例性地，某信息技术公司的办公应用系统包括有技术开发应用、人员信息数据库、安全运维应用等，针对安全运维应用这一目标应用，有23个用户发送了访问请求，在流量日志中记录有23个针对安全运维应用的访问请求，各访问请求携带有用户在信息技术公司的工号。

接收用户发送的针对目标应用的访问请求，为后续确定分类角色和确定是否具有访问权限奠定了基础。

步骤104：确定用户在目标组织架构中的分类角色。

目标组织架构为具有对目标应用有访问权限的目标组织的分类架构，目标组织架构包括多个成员，各成员根据角色特征被划分为不同类别的分类角色，其中，部分分类角色具有对目标应用的访问权限，部分分类角色不具有对目标应用的访问权限。例如，目标组织架构为某公司的人员组织结构，该公司包括技术、设计、财务、销售等不同岗位人员，该公司的办公应用系统包括文本编辑应用、数据分析应用、即时通信应用、人员信息数据库、安全运维应用等多个应用，为对应各岗位人员设定对应的分类角色，利用岗位人员和实际访问的目标应用之间较高重叠性，设置目标应用对应的预设访问权限。安全人员具有对安全运维应用这一目标应用的访问权限，安全人员不具有对人员信息数据库这一目标应用的访问权限。

分类角色为将目标组织中各成员划分为不同类别的角色标签，分类角色确定了至少一个用户组成的用户人群，分类角色中至少一个用户之间具有相同的角色特征。例如，目标组织架构为某公司的人员组成结构，可以根据人员的岗位这一角色特征进行划分，也可以根据人员的所属部门进行划分，还可以根据人员的所在地进行划分，在此不作限制。

确定用户在目标组织架构中的分类角色，具体方式为：基于用户的身份信息，确定用户在目标组织架构中的分类角色。其中，确定用户在目标组织架构中的分类角色，通过查询用户的身份信息和分类角色映射关系表来确定，该映射关系表记录在身份信息和分类角色之间的映射关系，一个身份信息与至少一个分类角色之间具有映射关系。例如，某员工工号可以与技术人员、安全人员两个分类角色之间具有映射关系。

示例性地，基于23个用户的工号，确定用户在该信息技术公司中的分类角色：22个安全人员，1个销售人员。

确定用户在目标组织架构中的分类角色，为后续查询目标应用对应的预设访问权限，提供了查询依据。

步骤106：基于分类角色，查询目标应用对应的预设访问权限，确定用户是否具有目标应用的访问权限，其中，预设访问权限基于目标组织架构中不同分类角色的用户对目标应用的历史访问数据构建。

目标应用对应的预设访问权限为预先设定的目标应用的访问权限的映射关系表，是一种白名单，该映射关系表记录有分类角色和是否具有访问权限之间的映射关系，该映射关系表可以与上述步骤104中的映射关系表整合成一份映射关系表，也可以独立为两份映射关系表。为了减少映射关系表的数据量，可以只记录具有访问权限和对应的分类角色。在目标应用为应用系统上任一个的情况下，映射关系表可以记录该应用系统上各目标应用和对应的分类角色。该映射关系表会动态更新，不断经过异常访问识别的访问请求，来更新历史访问数据，可以为按照预设频率或者预设访问数目等预设更新条件来更新。例如，安全人员和管理人员这两个分类角色具有对安全数据应用的访问权限。

目标应用的访问权限为对目标应用进行数据和服务访问的用户权限。

历史访问数据为用户对目标应用的历史访问的行为数据，包括正常访问行内和异常访问行为。历史访问数据是动态更新的，历史访问数据的可靠性需要预先分析确定的，例如，某恶意用户对目标应用发起的历史访问的行为数据，预先分析确定其可靠性不足，对其进行筛选。

基于分类角色，查询目标应用对应的预设访问权限，确定用户是否具有目标应用的访问权限，具体方式为：基于分类角色，查询预先设定的目标应用的访问权限的映射关系表，确定用户是否具有目标应用的访问权限。其中，查询的方式可以为以分类角色作为查询索引，查询分类角色具有访问权限的多个应用，从多个应用中确定是否有目标应用，也可以为以目标应用的应用标识作为查询索引，查询具有目标应用的访问权限的多个分类角色，从多个分类角色中确定是否有该分类角色。

示例性地，基于23个分类角色(22个安全人员，1个销售人员)，查询预先设定的安全运维应用的访问权限的映射关系表，确定22个安全人员具有安全运维应用的访问权限，1个销售人员不具有安全运维应用的访问权限。

基于分类角色，查询目标应用对应的预设访问权限，确定用户是否具有目标应用的访问权限，其中，预设访问权限基于目标组织架构中不同分类角色的用户对目标应用的历史访问数据构建。准确且灵活地设置了分类角色和访问权限之间的映射关系，在应用过程中面对复杂灵活的实际需求时，对异常访问识别具有更高的准确度和更高的灵活性。

步骤108：若否，则识别访问请求为异常访问。

异常访问为非预期的访问行为。例如，某非目标组织架构内的人员，即不具有任何分类角色的用户发送的访问请求，确定这样的请求为异常访问。可选地，对异常访问进行分级，不同分级的异常访问对应不同的后续处理策略。

示例性地，确定1个销售人员不具有安全运维应用的访问权限，则该对应的用户发送的访问请求为异常访问。

本说明书实施例中，接收用户发送的针对目标应用的访问请求；确定用户在目标组织架构中的分类角色；基于分类角色，查询目标应用对应的预设访问权限，确定用户是否具有目标应用的访问权限，其中，预设访问权限基于目标组织架构中不同分类角色的用户对目标应用的历史访问数据构建；若否，则识别访问请求为异常访问。预先基于目标组织架构中不同分类角色对不同用户进行标注，根据分类角色的用户的历史访问数据，确定各分类角色是否具有对目标应用的访问权限，构建得到目标应用对应的预设访问权限，准确且灵活地设置了分类角色和访问权限之间的映射关系，在应用过程中，在接收用户发送的访问请求，基于用户在目标组织架构中的分类角色是否具有访问权限，确定访问请求是否为异常访问，在面对复杂灵活的实际需求时，对异常访问识别具有更高的准确度和更高的灵活性。

在本说明书一种可选实施例中，在步骤108之后，还包括如下具体步骤：

对访问请求执行异常访问策略，其中，异常访问策略包括发送访问请求至访问管理方、拦截处理和反向攻击中的至少一种。

异常访问策略为对异常访问的处理策略，包括发送访问请求至访问管理方、拦截处理和反向攻击中的至少一种，三者可以共同执行，也可以选择部分执行，在此不作限定。

发送访问请求至访问管理方为对异常访问以发送至访问管理方进行人工处理的策略，后续可以接收访问管理方反馈的反馈信息，包括：允许访问信息和禁止访问信息。

拦截处理为对访问请求进行网络请求拦截处理策略，包括但不限于：断开网络连接、拦截器、过滤器、切面或者转移至蜜罐服务器。

反向攻击为对访问请求进行反向异常访问的处理策略，可以获取到用户的信息，进行后续处理。

示例性地，对访问请求执行发送访问请求至访问管理方和拦截处理，断开与销售人员这一分类角色的用户的网络连接，并发送该访问请求至访问管理方。

对访问请求执行异常访问策略，其中，异常访问策略包括发送访问请求至访问管理方、拦截处理和反向攻击中的至少一种。提升了异常访问识别后的处理全面性。

在本说明书一种可选实施例中，异常访问策略为发送访问请求至访问管理方；

对应地，在对访问请求执行异常访问策略之后，还包括如下具体步骤：

接收访问管理方反馈的允许访问信息；

基于允许访问信息，允许用户对目标应用的访问请求。

允许访问信息为访问管理方基于访问请求反馈的允许访问的授权信息，是授予该访问请求的临时访问权限的信息。

基于允许访问信息，允许用户对目标应用的访问请求，具体方式为：基于允许访问信息，授予该访问请求具有临时访问权限，允许用户对目标应用的访问请求。

示例性地，基于允许访问信息，授予该销售人员发送的访问请求具有临时访问权限，允许该销售人员对安全运维应用的访问请求。

接收访问管理方反馈的允许访问信息；基于允许访问信息，允许用户对目标应用的访问请求。提升了异常访问识别后的处理灵活性。

在本说明书一种可选实施例中，在允许用户对目标应用的访问请求之后，还包括如下具体步骤：

将访问请求确定为历史访问数据；

基于历史访问数据，更新目标应用对应的预设访问权限。

将访问请求确定为历史访问数据，具体方式为：对访问请求的可靠性进行分析，在通过的情况下，将访问请求确定为历史访问数据。

基于历史访问数据，更新目标应用对应的预设访问权限，具体方式为：基于历史访问数据，按照预设更新条件，更新目标应用对应的预设访问权限，其中，预设更新条件包括预设频率或者预设访问数目。

示例性地，对23个针对安全运维应用的访问请求的可靠性进行分析，在通过的情况下，将访问请求确定为历史访问数据，基于历史访问数据，按照预设频率(一周一次)，更新安全运维应用的访问权限的映射关系表。

将访问请求确定为历史访问数据；基于历史访问数据，更新目标应用对应的预设访问权限。通过动态更新的方式，完成了目标应用对应的预设访问权限的更新，使得异常访问识别更好地适配了复杂灵活的实际需求，对异常访问识别具有更高的准确度和更高的灵活性。

在本说明书一种可选实施例中，在步骤106之后，还包括如下具体步骤：

若是，则允许用户对目标应用的访问请求。

允许用户对目标应用的访问请求，即为确定访问请求为预期内的访问行为。

示例性地，确定22个安全人员具有安全运维应用的访问权限，则允许22个安全人员对安全运维应用的访问请求。

若是，则允许用户对目标应用的访问请求。保证了目标应用的正常访问。

在本说明书一种可选实施例中，步骤102包括如下具体步骤：

获取目标应用的访问流量日志；

从访问流量日志中，确定用户发送的针对目标应用的访问请求。

访问流量日志为目标应用对应的网络请求的流量日志。在目标应用为应用系统上任一个应用的情况下，通过获取应用系统的系统日志，查看目标应用对应的网络请求的流量日志，例如，应用系统的/var/log/syslog或事件查看器，都会记录有目标应用的访问流量日志。在目标应用为独立应用的情况下，目标应用会记录自身的访问流量日志，例如，应用服务器上记录访问流量日志，通过配置日志文件或输出到日志库中来查看。该可以使用网络流量监测工具来捕获目标应用的网络流量，并分析得到访问流量日志。例如，使用Snort、Surfboard等工具。在目标应用部署在云服务器上，可以使用云服务器提供的日志服务来查看目标应用的访问流量日志，例如，某云服务器的Log服务。

从访问流量日志中，确定用户发送的针对目标应用的访问请求，具体方式为：基于目标应用的应用标识，从访问流量日志中确定用户发送的针对目标应用的访问请求。

示例性地，通过获取办公应用系统的系统日志，查看安全运维应用对应的网络请求的流量日志Log，基于安全运维应用的应用标识，从访问流量日志中确定23个用户发送的针对安全运维应用的访问请求。

获取目标应用的访问流量日志；从访问流量日志中，确定用户发送的针对目标应用的访问请求。通过网络流量日志的查询方式，一次性完成多个访问请求的获取，而无须逐个获取，提升了异常访问识别的效率和时效性。

在本说明书一种可选实施例中，在步骤106之前，还包括如下具体步骤：

获取目标组织架构中至少一个样本用户对目标应用的历史访问数据；

确定各样本用户在目标组织结构中的分类角色；

基于各样本用户的分类角色和各样本用户对目标应用的历史访问数据，设置目标应用对应的预设访问权限。

样本用户为目标组织架构中请求访问目标应用的终端用户，样本用户为多个。各样本用户具有对应的身份信息。样本用户可以与应用过程中的用户可以存在交集，也可以存在交集，但必须保证样本用户是目标组织架构下的用户。

历史访问数据为样本用户对目标应用的历史访问的行为数据，包括正常访问行内和异常访问行为。

确定各样本用户在目标组织结构中的分类角色，具体方式为：基于样本用户的身份信息，确定样本用户在目标组织架构中的分类角色。其中，确定样本用户在目标组织架构中的分类角色，通过查询样本用户的身份信息和分类角色映射关系表来确定。

基于各样本用户的分类角色和各样本用户对目标应用的历史访问数据，设置目标应用对应的预设访问权限，具体方式为：基于各样本用户的分类角色和各样本用户对目标应用的历史访问数据，确定分类角色和是否具有访问权限之间的映射关系，构建目标应用的访问权限的映射关系表。

示例性地，获取目标组织架构中150个样本用户对安全运维应用的1000个历史访问数据，基于150样本用户的身份信息，确定150样本用户在该信息技术公司中的5种分类角色：技术人员、安全人员、运维人员、人力人员和管理人员，基于5种分类角色和1000个历史访问数据，确定5种分类角色和是否具有访问权限之间的映射关系，构建安全运维应用的访问权限的映射关系表。

获取目标组织架构中至少一个样本用户对目标应用的历史访问数据；确定各样本用户在目标组织结构中的分类角色；基于各样本用户的分类角色和各样本用户对目标应用的历史访问数据，设置目标应用对应的预设访问权限。预先基于目标组织架构中不同分类角色对不同用户进行标注，根据分类角色的用户的历史访问数据，确定各分类角色是否具有对目标应用的访问权限，构建得到目标应用对应的预设访问权限，准确且灵活地设置了分类角色和访问权限之间的映射关系。

在本说明书一种可选实施例中，基于各样本用户的分类角色和各样本用户对目标应用的历史访问数据，设置目标应用对应的预设访问权限，包括如下具体步骤：

若存在第一样本用户对目标应用的历史访问数据，设置第一样本用户的分类角色具有对目标应用的访问权限，其中，第一样本用户为至少一个样本用户中的任一个；

整合各样本用户的分类角色对目标应用的访问权限，获得目标应用对应的预设访问权限。

在历史访问数据的可靠性较高的情况下，可以在存在历史访问数据的情况下，就直接确定用户的分类角色就具有对目标应用的访问权限，提升了预先设置目标应用的访问权限的效率。

示例性地，若1000个历史访问数据中存在新的分类角色的样本用户对安全运维应用的历史访问数据，设置该样本用户的分类角色具有对安全运维应用的访问权限，整合150个样本用户的5种分类角色对安全运维应用的访问权限，确定5种分类角色(技术人员、安全人员、运维人员、人力人员和管理人员)和是否具有访问权限之间的映射关系，构建安全运维应用的访问权限的映射关系表。

若存在第一样本用户对目标应用的历史访问数据，设置第一样本用户的分类角色具有对目标应用的访问权限，其中，第一样本用户为至少一个样本用户中的任一个；整合各样本用户的分类角色对目标应用的访问权限，获得目标应用对应的预设访问权限。提升了预先设置目标应用的访问权限的效率。

在本说明书一种可选实施例中，基于各样本用户的分类角色和各样本用户对目标应用的历史访问数据，设置目标应用对应的预设访问权限，包括如下具体步骤：

基于各样本用户对目标应用的历史访问数据，统计各样本用户的历史访问次数；

在第一分类角色对应的历史访问次数大于第一阈值的情况下，设置第一分类角色具有对目标应用的访问权限，其中，第一分类角色为目标组织结构中的任一分类角色；

在第一分类角色对应的历史访问次数不大于第二阈值的情况下，设置第一分类角色不具有对目标应用的访问权限。

在历史访问数据的可靠性较低的情况下，需要进一步统计各样本用户的历史访问次数，基于历史访问次数进一步确定用户的分类角色是否具有对目标应用的访问权限，提升了预先设置目标应用的访问权限的准确度。

历史访问次数为各样本用户对应的分类角色下历史访问数据的次数。例如，37个样本用户对应的分类角色为销售人员，销售人员的历史访问数据有290个，则历史访问次数为290次。

第一阈值和第二阈值都为针对历史访问次数设置的预设次数阈值，第一阈值表征高置信度的预设次数阈值，在历史访问次数大于第一阈值的情况下，表征分类角色具有访问权限的高置信度，第二阈值表征低置信度的预设次数阈值，在历史访问次数不大于第二阈值的情况下，表征分类角色具有访问权限的低置信度。第一阈值大于第二阈值。

基于各样本用户对目标应用的历史访问数据，统计各样本用户的历史访问次数，具体方式为：基于各样本用户对目标应用的历史访问数据和各样本用户在目标组织架构中的分类角色，统计各样本用户的分类角色的历史访问次数。

示例性地，基于150个样本用户对安全运维应用的1000个历史访问数据和150个样本用户在该信息技术公司中的5种分类角色，统计5种分类角色的历史访问次数：技术人员：7次；安全人员：578次；运维人员：420次；人力人员：1次；管理人员：14次。第一阈值为300次，第二阈值为5次。设置安全人员和运维人员2种分类角色具有对安全运维应用的访问权限，设置人力人员1中分类角色不具有对安全运维应用的访问权限。

基于各样本用户对目标应用的历史访问数据，统计各样本用户的历史访问次数；在第一分类角色对应的历史访问次数大于第一阈值的情况下，设置第一分类角色具有对目标应用的访问权限，其中，第一分类角色为目标组织结构中的任一分类角色；在第一分类角色对应的历史访问次数不大于第二阈值的情况下，设置第一分类角色不具有对目标应用的访问权限。通过统计历史访问次数，并与第一阈值和第二阈值进行比较的方式，精准量化了访问权限的设置，提升了预先设置目标应用的访问权限的准确度。

在本说明书一种可选实施例中，该方法还包括如下具体步骤：

在第一分类角色对应的历史访问次数不大于第一阈值、且大于第二阈值的情况下，将第一分类角色对应的历史访问数据发送至访问管理方，以使访问管理方确定是否设置第一分类角色具有对目标应用的访问权限。

在上述说明书实施例中，通过第一阈值和第二阈值直接划分出访问权限的高置信度和低置信度，并对应设置是否具有访问权限。在历史访问次数不大于第一阈值、且大于第二阈值的情况下，可以通过人工确认并设置的方式，来设置是否具有访问权限，保证了设置访问权限的准确度的同时，具有灵活性，更好地匹配了实际需求。

示例性地，第一阈值为300次，第二阈值为5次，技术人员和管理人员2种分类角色的历史访问次数(技术人员：7次；管理人员：14次)不大于第一阈值、且大于第二阈值，将这2种分类角色对应的历史访问数据发送至访问管理方，以使访问管理方确定是否设置2种分类角色具有对安全运维应用的访问权限。

在第一分类角色对应的历史访问次数不大于第一阈值、且大于第二阈值的情况下，将第一分类角色对应的历史访问数据发送至访问管理方，以使访问管理方确定是否设置第一分类角色具有对目标应用的访问权限。保证了设置访问权限的准确度的同时，具有灵活性，更好地匹配了实际需求。

图2示出了本说明书一个实施例提供的一种异常访问识别方法在办公应用中的流程示意图，如图2所示：

本说明书实施例旨在基于员工角色生成办公应用系统可信防御策略，拦截攻击者对办公应用系统的异常访问(非预期的访问行为)，打破攻击者的攻击行动链路。基于员工在办公组织架构中的岗位(管理层、人力资源、技术、设计、财务、销售、运营、采购、产品、市场、信息技术、执行、客服、安全)，利用员工对办公应用的历史访问数据，标注各用户在办公组织结构中的分类角色，设置办公应用对应的预设访问权限。在应用过程中，获取办公应用系统的访问流量日志，从中确定用户发送的针对办公应用的访问请求；确定用户在办公组织架构中的分类角色，基于分类角色，查询办公应用对应的预设访问权限，确定用户是否具有办公应用的访问权限；若否，则识别访问请求为异常访问，对访问请求执行异常访问策略。这样的可信防御策略可以成功对抗攻击者发起的对办公应用的非预期的访问行为。

下述结合附图3，以本说明书提供的异常访问识别方法在办公应用的应用为例，对所述异常访问识别方法进行进一步说明。其中，图3示出了本说明书一个实施例提供的一种应用于技术开发应用的异常访问识别方法的处理过程流程图，包括如下具体步骤：

步骤302：获取信息技术公司中至少一个样本用户对技术开发应用的历史访问数据。

步骤304：基于各样本角色的身份信息，确定各样本用户在目标组织结构中的分类角色。

步骤306：若存在第一样本用户对技术开发应用的历史访问数据，设置第一样本用户的分类角色具有对技术开发应用的访问权限，其中，第一样本用户为至少一个样本用户中的任一个。

步骤308：整合各样本用户的分类角色对技术开发应用的访问权限，获得技术开发应用对应的预设访问权限。

步骤310：获取信息技术公司的联合办公应用系统中技术开发应用的访问流量日志。

步骤312：从访问流量日志中，确定用户发送的针对技术开发应用的访问请求。

步骤314：基于用户的身份信息，确定用户在信息技术公司中的分类角色。

步骤316：基于分类角色，查询技术开发应用对应的预设访问权限，确定用户是否具有技术开发应用的访问权限。

步骤318：若是，则允许用户对技术开发应用的访问请求，将访问请求确定为历史访问数据，基于历史访问数据，更新技术开发应用对应的预设访问权限。

步骤320：若否，则识别访问请求为异常访问，对访问请求执行异常访问策略，其中，异常访问策略包括发送访问请求至访问管理方、拦截处理和反向攻击中的至少一种。

本说明书实施例中，预先基于信息技术公司中不同分类角色对不同用户进行标注，根据分类角色的用户的历史访问数据，确定各分类角色是否具有对技术开发应用的访问权限，构建得到技术开发应用对应的预设访问权限，准确且灵活地设置了分类角色和访问权限之间的映射关系，在应用过程中，在接收用户发送的访问请求，基于用户在信息技术公司中的分类角色是否具有访问权限，确定访问请求是否为异常访问，在面对复杂灵活的实际需求时，对异常访问识别具有更高的准确度和更高的灵活性。

与上述方法实施例相对应，本说明书还提供了异常访问识别装置实施例，图4示出了本说明书一个实施例提供的一种异常访问识别装置的结构示意图。如图4所示，该装置包括：

接收模块402，被配置为接收用户发送的针对目标应用的访问请求；

角色确定模块404，被配置为确定用户在目标组织架构中的分类角色；

权限确定模块406，被配置为基于分类角色，查询目标应用对应的预设访问权限，确定用户是否具有目标应用的访问权限，其中，预设访问权限基于目标组织架构中不同分类角色的用户对目标应用的历史访问数据构建；

识别模块408，被配置为若否，则识别访问请求为异常访问。

可选地，该装置还包括：

策略执行模块，被配置为对访问请求执行异常访问策略，其中，异常访问策略包括发送访问请求至访问管理方、拦截处理和反向攻击中的至少一种。

可选地，异常访问策略为发送访问请求至访问管理方；

相应地，该装置还包括：

第一允许访问模块，被配置为接收访问管理方反馈的允许访问信息；基于允许访问信息，允许用户对目标应用的访问请求。

可选地，该装置还包括：

权限更新模块，被配置为将访问请求确定为历史访问数据；基于历史访问数据，更新目标应用对应的预设访问权限。

可选地，该装置还包括：

第二允许访问模块，被配置为若是，则允许用户对目标应用的访问请求。

可选地，接收模块402被进一步配置为：

获取目标应用的访问流量日志；从访问流量日志中，确定用户发送的针对目标应用的访问请求。

可选地，该装置还包括：

权限设置模块，被配置为获取目标组织架构中至少一个样本用户对目标应用的历史访问数据；确定各样本用户在目标组织结构中的分类角色；基于各样本用户的分类角色和各样本用户对目标应用的历史访问数据，设置目标应用对应的预设访问权限。

可选地，权限设置模块被进一步配置为：

若存在第一样本用户对目标应用的历史访问数据，设置第一样本用户的分类角色具有对目标应用的访问权限，其中，第一样本用户为至少一个样本用户中的任一个；整合各样本用户的分类角色对目标应用的访问权限，获得目标应用对应的预设访问权限。

可选地，权限设置模块被进一步配置为：

基于各样本用户对目标应用的历史访问数据，统计各样本用户的历史访问次数；在第一分类角色对应的历史访问次数大于第一阈值的情况下，设置第一分类角色具有对目标应用的访问权限，其中，第一分类角色为目标组织结构中的任一分类角色；在第一分类角色对应的历史访问次数不大于第二阈值的情况下，设置第一分类角色不具有对目标应用的访问权限。

可选地，该装置还包括：

人工设置模块，被配置为在第一分类角色对应的历史访问次数不大于第一阈值、且大于第二阈值的情况下，将第一分类角色对应的历史访问数据发送至访问管理方，以使访问管理方确定是否设置第一分类角色具有对目标应用的访问权限。

本说明书实施例中，接收用户发送的针对目标应用的访问请求；确定用户在目标组织架构中的分类角色；基于分类角色，查询目标应用对应的预设访问权限，确定用户是否具有目标应用的访问权限，其中，预设访问权限基于目标组织架构中不同分类角色的用户对目标应用的历史访问数据构建；若否，则识别访问请求为异常访问。预先基于目标组织架构中不同分类角色对不同用户进行标注，根据分类角色的用户的历史访问数据，确定各分类角色是否具有对目标应用的访问权限，构建得到目标应用对应的预设访问权限，准确且灵活地设置了分类角色和访问权限之间的映射关系，在应用过程中，在接收用户发送的访问请求，基于用户在目标组织架构中的分类角色是否具有访问权限，确定访问请求是否为异常访问，在面对复杂灵活的实际需求时，对异常访问识别具有更高的准确度和更高的灵活性。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于异常访问识别装置而言，由于其基本相似于异常访问识别方法实施例，所以描述得比较简单，相关之处参见异常访问识别方法实施例的部分说明即可。

图5示出了本说明书一个实施例提供的一种计算设备的结构框图。该计算设备500的部件包括但不限于存储器510和处理器520。处理器520与存储器510通过总线530相连接，数据库550用于保存数据。

计算设备500还包括接入设备540，接入设备540使得计算设备500能够经由一个或多个网络560通信。这些网络的示例包括公用交换电话网(PSTN，Public SwitchedTelephone Network)、局域网(LAN，LocalAreaNetwork)、广域网(WAN，WideAreaNetwork)、个域网(PAN，PersonalAreaNetwork)或诸如因特网的通信网络的组合。接入设备540可以包括有线或无线的任何类型的网络接口(例如，网络接口卡(NIC，Network InterfaceController))中的一个或多个，诸如IEEE802.11无线局域网(WLAN，WirelessLocalAreaNetwork)无线接口、全球微波互联接入(Wi-MAX，Worldwide Interoperabilityfor MicrowaveAccess)接口、以太网接口、通用串行总线(USB，Universal Serial Bus)接口、蜂窝网络接口、蓝牙接口、近场通信(NFC，Near Field Communication)。

在本说明书的一个实施例中，计算设备500的上述部件以及图5中未示出的其他部件也可以彼此相连接，例如通过总线。应当理解，图5所示的计算设备结构框图仅仅是出于示例的目的，而不是对本说明书范围的限制。本领域技术人员可以根据需要，增添或替换其他部件。

计算设备500可以是任何类型的静止或移动计算设备，包括移动计算机或移动计算设备(例如，平板计算机、个人数字助理、膝上型计算机、笔记本计算机、上网本等)、移动电话(例如，智能手机)、可佩戴的计算设备(例如，智能手表、智能眼镜等)或其他类型的移动设备，或者诸如台式计算机或个人计算机(PC，Personal Computer)的静止计算设备。计算设备500还可以是移动式或静止式的服务器。

其中，处理器520用于执行如下计算机可执行指令，该计算机可执行指令被处理器执行时实现上述异常访问识别方法的步骤。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于计算设备实施例而言，由于其基本相似于异常访问识别方法实施例，所以描述得比较简单，相关之处参见异常访问识别方法实施例的部分说明即可。

本说明书一实施例还提供一种计算机可读存储介质，其存储有计算机可执行指令，该计算机可执行指令被处理器执行时实现上述异常访问识别方法的步骤。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于计算机可读存储介质实施例而言，由于其基本相似于异常访问识别方法实施例，所以描述的比较简单，相关之处参见异常访问识别方法实施例的部分说明即可。

本说明书一实施例还提供一种计算机程序，其中，当所述计算机程序在计算机中执行时，令计算机执行上述异常访问识别方法的步骤。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于计算机程序实施例而言，由于其基本相似于异常访问识别方法实施例，所以描述得比较简单，相关之处参见异常访问识别方法实施例的部分说明即可。

上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。

所述计算机指令包括计算机程序代码，所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括：能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，RandomAccess Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是，所述计算机可读介质包含的内容可以根据专利实践的要求进行适当的增减，例如在某些地区，根据专利实践，计算机可读介质不包括电载波信号和电信信号。

需要说明的是，上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定都是本说明书实施例所必须的。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其它实施例的相关描述。

以上公开的本说明书优选实施例只是用于帮助阐述本说明书。可选实施例并没有详尽叙述所有的细节，也不限制该发明仅为所述的具体实施方式。显然，根据本说明书实施例的内容，可作很多的修改和变化。本说明书选取并具体描述这些实施例，是为了更好地解释本说明书实施例的原理和实际应用，从而使所属技术领域技术人员能很好地理解和利用本说明书。本说明书仅受权利要求书及其全部范围和等效物的限制。