[发明专利]一种安全机制动态管理方法及装置

权利要求书

1.一种安全机制动态管理方法，其特征在于，包括：

提取访问数据流的主体属性和客体属性；

根据预设的三元关系、所述访问数据流的主体属性和客体属性，确定所述访问数据流所需的安全机制构件；所述三元关系为主体属性、客体属性和安全机制属性之间的关系；

将确定出的各个安全机制构件进行组合，生成安全防护体系；

所述根据预设的三元关系、所述访问数据流的主体属性和客体属性，确定所述访问数据流所需的安全机制构件，包括：

根据预设的三元关系，分别确定访问数据流的主体属性和所述客体属性对应的安全需求防护模板；所述安全需求防护模板为至少一个安全属性的集合；

采用松弛度匹配算法，为所述安全机制需求防护模板匹配出多个安全机制构件；

所述将确定出的各个安全机制进行组合，生成安全防护体系，包括：

将各个安全机制构件抽象为索引状态机；

利用所述索引状态机建立安全机制流程；

按照所述安全机制流程，配置相应的安全设备和/或安全系统，以生成安全防护体系。

2.根据权利要求1所述的方法，其特征在于，所述三元关系的构建方法包括：

采用决策树方法，根据预设的样本集中的主体属性集、客体属性集和安全机制属性集，分别建立主体属性决策树、客体属性决策树和安全机制属性决策树；

依据预设的安全防护日志、所述主体属性决策树、客体属性决策树和安全机制决策树，构建三元关系；所述三元关系为主体属性、客体属性和安全机制属性之间的关系。

3.根据权利要求2所述的方法，其特征在于，所述采用决策树方法，根据预设的样本集中的主体属性集、客体属性集和安全机制属性集，分别建立主体属性决策树、客体属性决策树和安全机制属性决策树，包括：

针对预设属性集中的每一个参数，提取出该参数包括的各个属性的属性值，得到各个属性和属性值的指派关系；所述预设属性集为主体属性集、客体属性集和安全机制属性集中的任意一个属性集；

根据所述预设属性集中的每个参数包括的各个属性和属性值的指派关系以及预设的安全管理知识库，将所述预设属性集中的各个参数进行聚类，得到每个参数的类别；

计算所述每个参数包括的各个属性的信息增益率；

根据每个参数的类别和所述每个参数包括的各个属性的信息增益率，构建预设属性集的属性决策树；所述属性决策树中各个分支节点为属性，叶节点为聚类结果的各个类别。

4.根据权利要求2所述的方法，其特征在于，所述依据预设的安全防护日志、所述主体属性决策树、客体属性决策树和安全机制决策树，构建三元关系，包括：

根据预设的安全防护日志，选取出主体属性决策树中每个主体属性和客体属性决策树中每个客体属性对应的安全机制；

根据所述安全机制属性决策树，确定选取出的各个安全机制的各个属性；

计算选取出的安全机制的各个属性的信息增益率；

依据主体属性决策树、客体属性决策树和其对应的安全机制、以及各个安全机制的各个属性的信息增益率，构建三元关系。

5.一种安全机制动态管理装置，其特征在于，包括：

提取单元，用于提取访问数据流的主体属性和客体属性；

匹配单元，用于根据预设的三元关系、所述访问数据流的主体属性和客体属性，确定所述访问数据流所需的安全机制构件；所述三元关系为主体属性、客体属性和安全机制属性之间的关系；

组合单元，用于将确定出的各个安全机制构件进行组合，生成安全防护体系；

所述匹配单元，用于：

根据预设的三元关系，分别确定访问数据流的主体属性和所述客体属性对应的安全需求防护模板；所述安全需求防护模板为至少一个安全属性的集合；

采用松弛度匹配算法，为所述安全机制需求防护模板匹配出多个安全机制构件；

所述组合单元，为所述安全机制需求防护模板匹配出多个安全机制构件；

所述将确定出的各个安全机制进行组合，生成安全防护体系，包括：

将各个安全机制构件抽象为索引状态机；

利用所述索引状态机建立安全机制流程；

按照所述安全机制流程，配置相应的安全设备和/或安全系统，以生成安全防护体系。

6.根据权利要求5所述的装置，其特征在于，还包括：

属性决策树建立单元，用于采用决策树方法，根据预设的样本集中的主体属性集、客体属性集和安全机制属性集，分别建立主体属性决策树、客体属性决策树和安全机制属性决策树；

三元关系构建单元，用于依据预设的安全防护日志、所述主体属性决策树、客体属性决策树和安全机制决策树，构建三元关系；所述三元关系为主体属性、客体属性和安全机制属性之间的关系。