[发明专利]用于安全策略监视服务的方法和系统以及存储介质

权利要求书

1.一种用于安全策略监视服务的计算机实施的方法，所述计算机实施的方法包括：

访问来自应用编程接口调用的日志的记录，其中所述记录对应于所述应用编程接口调用中的应用编程接口调用；

至少部分地基于所述记录，确定所述应用编程接口调用应用第一策略，所述第一策略可用于同意或拒绝对一个或多个计算资源的访问；

至少部分地基于所述第一策略，从多个自定义逻辑中选择自定义逻辑；

提供计算资源集合以执行所述自定义逻辑；

至少部分地通过以下方式，对所述计算资源集合执行所述自定义逻辑：

至少部分地基于所述多个自定义逻辑与多个安全策略之间的映射，从所述多个安全策略中选择参考策略；

至少部分地基于与所述第一策略相关联的第一安全许可集合来确定第一命题逻辑表达式；

至少部分地基于与所述参考策略相关联的第二安全许可集合来确定第二命题逻辑表达式；以及

解析所述第一命题逻辑表达式与所述第二命题逻辑表达式以生成约束集合，其中对所述约束集合的评估指示所述第一命题逻辑表达式是否比所述第二命题逻辑表达式更宽松；

作为执行所述自定义逻辑的结果，取消提供所述计算资源集合；

响应于确定所述第一命题逻辑表达式比所述第二命题逻辑表达式更宽松，执行修改或撤消所述第一策略的缓解例程。

2.如权利要求1所述的计算机实施的方法，其中可满足性模理论SMT求解器被用作确定所述第一命题逻辑表达式是否比所述第二命题逻辑表达式更宽松的一部分。

3.如权利要求1所述的计算机实施的方法，其中所述缓解例程包括拒绝对所述第一策略使得能够访问的至少一个计算资源的访问。

4.如权利要求1所述的计算机实施的方法，其中确定所述第一命题逻辑表达式比所述第二命题逻辑表达式更宽松包括识别参数集合，其中：

所述参数集合识别主体、动作和计算资源；

将所述第一策略应用于所述参数集合致使对所述计算资源的访问被同意；以及

将所述参考策略应用于所述参数集合致使对所述计算资源的访问被拒绝。

5.一种用于安全策略监视服务的系统，所述系统包括：

一个或多个处理器；以及

存储器，所述存储器存储计算机可执行指令，所述计算机可执行指令由于被执行致使所述系统：

至少部分地基于多个所获得的应用编程接口调用，确定所述多个应用编程接口调用中的应用编程接口调用应用第一策略，所述第一策略可用于同意或拒绝对一个或多个计算资源的访问；

至少部分地基于所述第一策略，从多个自定义逻辑中选择自定义逻辑；

运行所述自定义逻辑，其中使得所述系统运行所述自定义逻辑的指令由于被执行而致使所述系统：

至少部分地基于所述多个自定义逻辑与多个预定义安全策略之间的映射，从所述多个预定义安全策略中选择参考策略；

至少部分地基于所述第一策略到包括命题逻辑的第一表达式的第一映射以及所述参考策略到包括命题逻辑的第二表达式的第二映射而确定约束集合；以及

评估所述约束集合，以确定结果，其中所述结果是以下之一：

所述第一策略比所述参考策略更宽松；

所述参考策略比所述第一策略更宽松；

所述第一策略与所述参考策略是等效的；

所述第一策略与所述参考策略是不可比的；以及

至少部分地基于所述结果传输信息。

6.如权利要求5所述的系统，其中所述第一表达式还包括一阶逻辑。

7.如权利要求5所述的系统，其中可满足性模理论SMT求解器被用作评估是否可满足所述约束集合的一部分。

8.如权利要求7所述的系统，其中Z3求解器是所述SMT求解器。