一种基于流量学习的自动授权的装置和方法与流程

1.本发明涉及授权控制技术领域，具体涉及一种基于流量学习的自动授权的装置和方法。


背景技术：

2.企业内部应用权限管理是企业信息化建设中的重要部分，它负责对企业内部应用系统中的各类权限进行控制、审核、管理和监控。应用权限管理的好坏直接影响企业的信息安全、运营效率和管理水平。
3.目前，企业内部应用授权主要有以下一些方式：1. 基于角色授权：将用户根据其职责和角色进行分类，根据角色自动批量授权。使用这种方法可以提高授权效率，减少授权错误率，同时也方便权限的维护和管理；2. 基于组织授权：将用户根据其所在部门和组织层级进行分类，自动批量授权。这种方法通常用于授权特定部门或组织，可以减少授权和权限变更的时间和精力。
4.以上方法可以单独或结合使用，根据企业的实际情况和需求进行选择和调整。
5.目前，企业内部应用权限管理存在着许多问题，主要有以下几点：其一，应用权限不清，谁应该有什么权限可以访问什么应用，无法清晰定义。大型企业的信息化系统涉及众多应用，每个应用中都有大量的权限，权限的变更和使用也非常频繁。应用与用户之间的权限管理是多对多的关系，完全梳理清楚每个用户和应用之间的权限管理关系需要耗费很大的精力，并且异常复杂。这给企业的安全管理团队带来很大的麻烦。
6.其二，在新一代零信任网络安全架构中，需要实现基于最小权限的应用精细化授权管理，而一个应用的访问往往会依赖于大量的网络资源信息(这些资源信息与应用的业务本身不一定具备强相关性)，安全管理部门经常无法完全了解与该应用相关的全部资源信息。这就会引入因为应用授权不充分影响到用户对于应用的访问。


技术实现要素：

7.发明目的：本发明目的在于针对现有技术的不足，提供一种基于流量学习的自动授权的装置和方法，采集访问过程中的全部业务流量，结合机器学习算法，能够更加准确地识别网络流量的特征信息，在数据交互过程中自动执行授权操作，提高数据交互的速度和效率。
8.技术方案：本发明所述基于流量学习的自动授权的装置，包括数据采集模块、流量特征分析模块、授权生成模块、授权执行模块；所述数据采集模块用于抓取用户在访问过程中产生的网络流量数据，对网络流量数据按照设定的访问控制规则进行分类和处理，将处理后的数据发送至所述流量特征分析模块；所述流量特征分析模块基于流量规则对所述数据采集模块处理后的数据进行过滤，以得到用户的行为特征参数；所述授权生成模块根据所述行为特征参数进行模型训练以生成授权方案，所述授权方案包括授权时间、授权对象、
授权范围；所述授权执行模块接收所述授权生成模块生成的授权方案，根据授权方案执行授权操作，对授权操作的执行进行监控，以及进行授权成功后的审计管理。
9.进一步完善上述技术方案，所述数据采集模块通过深度包检测技术抓取用户访问过程中产生的数据包信息，所述数据包信息包括报头信息和应用程序数据，所述报头信息包括五元组信息。
10.进一步地，所述流量特征分析模块根据数据包的格式、报头信息判断所采集的数据包属于哪种类型的网络通信协议，根据五元组中的源地址、模板地址、协议端口号分析网络中的拓扑结构和通信方式，以及根据用户信息和应用程序数据，形成应用资源与用户管理信息库。
11.进一步地，所述授权生成模块采用机器学习中的集群分析方法，根据得到的所有用户的行为特征参数，采用聚类算法，将用户的访问行为围绕所访问的业务系统、人员在企业的组织信息，聚类成相似的簇，识别出有相似访问行为特征的用户或用户组以进行精准授权，以及识别出有特殊访问行为的用户以实现特定需求的授权。
12.进一步地，所述授权执行模块对授权操作的执行进行监控包括：监控授权操作执行过程中是否成功，在授权操作失败时进行预警或者重新发起授权操作；所述授权成功后的审计管理包括：检测授权成功后，持续采集用户在访问过程中产生的网络流量信息，通过比较相同组织背景人员的访问流量信息，识别出异常的授权访问流量，将异常的授权访问流量推送至安全管理人员。
13.本技术还提供基于流量学习的自动授权的方法，包括如下步骤：s1：获取用户在访问过程中产生的网络流量数据；s2：基于流量规则对网络流量数据进行过滤，以得到用户的行为特征参数；s3：对行为特征参数进行模型训练以生成授权方案；s4：根据授权方案执行授权操作，对授权操作的执行过程进行监控，以及对授权成功后的用户产生的访问流量信息进行审计管理。
14.进一步地，所述s1中采集的网络流量数据包括网络数据包，采用深度包检测技术解析网络数据包，以获取网络数据包中的格式、报头信息、五元组信息。
15.进一步地，所述s2包括：根据网络数据包的格式、报头信息判断所采集的网络数据包属于哪种类型的网络通信协议；根据数据包的五元组信息，分析网络中的拓扑结构和通信方式；以及进行流量与用户的关联分析，以得到应用资源与用户关联信息库。
16.进一步地，所述s3包括：采用机器学习中的集群分析方法，根据得到的所有用户的行为特征参数，采用聚类算法，将用户的访问行为围绕所访问的业务系统、人员在企业的组织信息，聚类成相似的簇，识别出有相似访问行为特征的用户或用户组以进行精准授权，以及识别出有特殊访问行为的用户以实现特定需求的授权。
17.进一步地，所述s4包括：接收来自授权生成模块的授权方案；根据授权方案，执行合适的授权操作；监测授权操作是否成功，在授权操作失败时进行预警或者重新发起授权操作；检测授权成功后，持续采集用户的访问网络流量数据，通过比较相同组织背景人员的访问流量，识别出异常的授权访问流量并告知安全管理人员。
18.有益效果：与现有技术相比，本发明的优点在于：本发明通过在数据采集阶段不设访问限制，用户无授权限制地访问业务系统，以采集到访问过程中的全部业务流量，这些流
packet inspection，dpi）技术，能够适应不同的网络环境和协议变化。
26.通过抓取用户的网络流量数据，包括网络连接、数据传输、应用交互等，并按照设定的访问控制规则进行分类与处理，实施这个过程的前提是在流量采集阶段，不做流量权限控制，以确保应用访问所有的流量都能被采集到。数据采集模块通过深度包检测技术，捕获包含tcp、udp、icmp等协议的原始数据包，同时也能抓取和解析上层协议（如http、https、dns等），获得更精细的网络行为数据。
27.数据采集模块主要通过以下步骤实现：（1）获取需要采集的数据，可以是网络数据包、文件、信号等等；（2）处理采集的数据，解析网络数据包，采用dpi技术，获取数据包的协议特征（五元组）；（3）将处理后的数据发送到流量特征分析模块中进行分析和处理。
28.通过数据采集模块，为后续的数据分析提供数据源头。
29.2、流量特征分析模块流量特征分析模块是一个实现自动化授权的核心组件，它负责对采集到的流量数据进行深度分析和处理，并识别出用户的访问行为和习惯。流量特征分析模块通过一些规则（包括但不限于非有效端口，非有效ip地址等手段），对流量采集模块输出的流量进行初步处理后，过滤输出用户的行为特征，比如访问的目标主机、使用的协议类型、数据量、访问频率等诸多参数，这些参数可以用于后续的模型训练，从而自动化地构造出基于流量学习的访问授权系统。
30.基于五元组信息（源地址，源端口，目的地址，目的端口，协议）归类用户访问业务无的行为。
31.流量特征分析模块的分析过程主要包括以下3个方面：（1）网络通信协议分析：根据数据包的格式、头信息等来判断所采集的数据包属于哪种类型的网络通信协议，包括http、tcp、udp等等；（2）网络结构分析：根据数据包的源地址、目标地址、协议端口号等信息，分析网络中的拓扑结构和通信方式；（3）流量与用户关联分析：搜索用户的流量特征，以确定他们在何时、何地、如何使用系统资源。流量分析器通过管理ip地址关联，端口关联等手段，实现与企业应用的自动关联，进而实现应用访问的网络流量与用户账号的映射，最终形成应用资源与用户关联信息库。如果研究流量时，达到了一定的时间深度，可以识别出常见的流量模式，从而更加精准地判断用户之间的流量差异，对应不同的访问授权方案。
32.通过以上一些步骤，可以实现用户信息可以与企业的组织架构进行连接，最终形成了“网络流量-企业应用-用户访问行为-用户组织架构”这样一个完整的用户访问应用的网络流量信息库。
33.3、授权生成模块授权生成模块是本发明中另一个核心的模块，主要在流量特征分析模块得出的特征信息基础上生成自动化的授权方案，授权方案包括具体的授权信息，如授权时间、授权对象、授权范围等。
34.通过机器学习算法，主要是通过机器学习里面的集群分析的方法，实现基于流量
的权限学习。具体方法：根据采集到的所有用户的流量行为特征数据，采用聚类算法，将用户的访问行为围绕所访问的业务系统(如三元组信息，包含协议，目的地址，目的端口)，人员在企业的组织信息(组织结构树)，聚类成相似的簇，识别出有相似的访问行为特征的用户 或用户组，识别出有特殊的访问行为的用户(如偏离组织级访问行为特征的这类用户)，实现精准授权和特定需求的授权。
35.可以在不断地识别基于流量学习的特征信息的基础上，动态生成更为准确、可靠的自动化授权方案。
36.授权生成模块主要通过以下步骤实现：（1）根据流量特征分析模块提供的特征信息自动生成授权方案；（2）针对特定需求进行规则和策略的管理，以确保授权方案的合法性和有效性；（3）将生成的授权方案传递到授权执行模块中执行。
37.通过授权生成模块自动生成的授权方案，能够更加准确地识别和规避网络攻击和漏洞，提高数据传输的安全性。
38.4、授权执行模块授权执行模块是本发明中实现自动授权操作的关键模块，主要实现根据授权方案执行授权操作，确保数据传输的合法性。当自动授权模式被启用，授权执行模块将根据授权生成模块生成的授权方案，在数据交互过程中执行授权操作。
39.授权执行模块的工作流程主要包括以下4个方面：（1）接收授权方案：接收来自授权生成模块的授权方案；（2）执行授权操作：根据授权方案，执行合适的授权操作，包括访问权限、修改权限等；（3）监控授权操作：监测授权操作是否成功，在授权操作失败时进行预警或者重新发起授权操作。
40.（4）授权审计：检测授权成功后，可以持续采集用户的访问流量信息，通过比较相同组织背景人员的访问流量，识别出异常的授权访问流量，通过告警、消息推送等形式，告知安全管理人员。
41.授权执行模块保证了授权操作的自动化执行，从而加快了数据交互的速度和效率，同时也提高了数据交互的安全性。
42.综上所述，数据采集模块、流量特征分析模块、授权生成模块和授权执行模块各具特点，在自动化授权的过程中有着重要的作用。通过这些组件的协同作用，该自动授权装置能够更准确，更精细地对用户进行授权分析，实现零信任、精确授权的自动化，极大地提高了授权效率和系统安全性。
43.实施例2：如图2所示，基于实施例1提供的基于流量学习的自动授权的装置进行自动授权方法，包括如下步骤：s1：获取用户在访问过程中产生的网络流量数据；s2：基于流量规则对网络流量数据进行过滤，以得到用户的行为特征参数；s3：对行为特征参数进行模型训练以生成授权方案；s4：根据授权方案执行授权操作，对授权操作的执行过程进行监控，以及对授权成功后的用户产生的访问流量信息进行审计管理。
44.如上所述，尽管参照特定的优选实施例已经表示和表述了本发明，但其不得解释为对本发明自身的限制。在不脱离所附权利要求定义的本发明的精神和范围前提下，可对其在形式上和细节上作出各种变化。

技术特征：
1.一种基于流量学习的自动授权的装置，其特征在于：包括数据采集模块、流量特征分析模块、授权生成模块、授权执行模块；所述数据采集模块用于抓取用户在访问过程中产生的网络流量数据，对网络流量数据按照设定的访问控制规则进行分类和处理，将处理后的数据发送至所述流量特征分析模块；所述流量特征分析模块基于流量规则对所述数据采集模块处理后的数据进行过滤，以得到用户的行为特征参数；所述授权生成模块根据所述行为特征参数进行模型训练以生成授权方案，所述授权方案包括授权时间、授权对象、授权范围；所述授权执行模块接收所述授权生成模块生成的授权方案，根据授权方案执行授权操作，对授权操作的执行进行监控，以及进行授权成功后的审计管理。2.根据权利要求1所述的基于流量学习的自动授权的装置，其特征在于：所述数据采集模块通过深度包检测技术抓取用户访问过程中产生的数据包信息，所述数据包信息包括报头信息和应用程序数据，所述报头信息包括五元组信息。3.根据权利要求2所述的基于流量学习的自动授权的装置，其特征在于：所述流量特征分析模块根据数据包的格式、报头信息判断所采集的数据包属于哪种类型的网络通信协议，根据五元组中的源地址、模板地址、协议端口号分析网络中的拓扑结构和通信方式，以及根据用户信息和应用程序数据，形成应用资源与用户管理信息库。4.根据权利要求3所述的基于流量学习的自动授权的装置，其特征在于：所述授权生成模块采用机器学习中的集群分析方法，根据得到的所有用户的行为特征参数，采用聚类算法，将用户的访问行为围绕所访问的业务系统、人员在企业的组织信息，聚类成相似的簇，识别出有相似访问行为特征的用户或用户组以进行精准授权，以及识别出有特殊访问行为的用户以实现特定需求的授权。5.根据权利要求1所述的基于流量学习的自动授权的装置，其特征在于：所述授权执行模块对授权操作的执行进行监控包括：监控授权操作执行过程中是否成功，在授权操作失败时进行预警或者重新发起授权操作；所述授权成功后的审计管理包括：检测授权成功后，持续采集用户在访问过程中产生的网络流量信息，通过比较相同组织背景人员的访问流量信息，识别出异常的授权访问流量，将异常的授权访问流量推送至安全管理人员。6.一种基于流量学习的自动授权的方法，其特征在于，包括如下步骤：s1：获取用户在访问过程中产生的网络流量数据；s2：基于流量规则对网络流量数据进行过滤，以得到用户的行为特征参数；s3：对行为特征参数进行模型训练以生成授权方案；s4：根据授权方案执行授权操作，对授权操作的执行过程进行监控，以及对授权成功后的用户产生的访问流量信息进行审计管理。7.根据权利要求6所述基于流量学习的自动授权方法，其特征在于，所述s1中采集的网络流量数据包括网络数据包，采用深度包检测技术解析网络数据包，以获取网络数据包中的格式、报头信息、五元组信息。8.根据权利要求7所述基于流量学习的自动授权方法，其特征在于，所述s2包括：根据网络数据包的格式、报头信息判断所采集的网络数据包属于哪种类型的网络通信协议；根
据数据包的五元组信息，分析网络中的拓扑结构和通信方式；以及进行流量与用户的关联分析，以得到应用资源与用户关联信息库。9.根据权利要求8所述基于流量学习的自动授权方法，其特征在于，所述s3包括：采用机器学习中的集群分析方法，根据得到的所有用户的行为特征参数，采用聚类算法，将用户的访问行为围绕所访问的业务系统、人员在企业的组织信息，聚类成相似的簇，识别出有相似访问行为特征的用户或用户组以进行精准授权，以及识别出有特殊访问行为的用户以实现特定需求的授权。10.根据权利要求9所述基于流量学习的自动授权方法，其特征在于：所述s4包括：接收来自授权生成模块的授权方案；根据授权方案，执行合适的授权操作；监测授权操作是否成功，在授权操作失败时进行预警或者重新发起授权操作；检测授权成功后，持续采集用户的访问网络流量数据，通过比较相同组织背景人员的访问流量，识别出异常的授权访问流量并告知安全管理人员。

技术总结
本发明公开了基于流量学习的自动授权的装置和方法，数据采集模块用于抓取用户在访问过程中产生的网络通讯数据，按照设定的访问控制规则进行分类和处理，将处理后的数据发送至所述流量特征分析模块；流量特征分析模块用于对数据采集模块处理后的数据进行过滤以得到用户的行为特征参数；授权生成模块根据行为特征参数进行模型训练以生成授权方案；授权执行模块接收授权方案，根据授权方案执行授权操作，对授权操作的执行进行监控，以及授权成功后的审计管理。本发明采集访问过程中的全部业务流量，结合机器学习算法，能够更加准确地识别网络流量的特征信息，在数据交互过程中自动执行授权操作，提高数据交互的速度和效率。提高数据交互的速度和效率。提高数据交互的速度和效率。


技术研发人员：秦益飞 杨正权
受保护的技术使用者：江苏易安联网络技术有限公司
技术研发日：2023.07.10
技术公布日：2023/9/9