[发明专利]一种基于聚类思想的访问控制策略异常检测方法

说明书

本发明公开了一种基于聚类思想的访问控制策略异常检测方法，首先系统对规则集合和记忆矩阵进行初始化；其次从初始化后的规则集合中选取任意规则对，计算规则对的相似度和规则对的信任度属性差异；再次，系统利用划分聚类算法的思想对规则集合进行聚簇，将具有相似性的规则划分至同一聚簇中；然后，系统判断规则集合中的所有规则是否已被划分至聚簇中，若存在规则不属于任何聚簇，则创建新的包含该规则的聚簇，确保所有规则均被划分；最后，结合异常策略分类方法，对不同类型的异常策略进行检测和分类。本发明结合聚类算法的思想和规则中的信任属性，以规则相似度作为聚类指标，能够高效的检测出异常的访问控制策略。

技术领域

本发明涉及属性访问控制及策略异常检测技术领域，具体是一种基于聚类思想的访问控制策略异常检测方法。

背景技术

在当前日益复杂的物联网环境下，不同域间的物联网系统处于孤立状态，使得物联网数据往往具有跨域和异构的特性。如何保证不同安全域间的物联网数据安全交互，如何保证跨域系统的访问安全以及如何高效检测出异常策略等是目前物联网安全所面临的主要问题。

访问控制模型通过决策者所设定的访问控制策略辅助决策者进行系统安全防护，保障授权用户获取所需信息资源，同时阻止未授权用户的访问。但这些访问控制策略配置起来较为复杂，往往需要专业的系统管理人员进行繁杂的操作才能保证访问控制系统平稳运行，并且在由于策略配置不当或恶意攻击，海量策略集合中容易潜藏异常策略，威胁系统安全。目前，对访问控制策略的异常检测方法主要集中于数学理论推导和树结构。

基于矩阵论数学知识的访问控制策略异常检测方法，利用变换矩阵反映元策略与复杂策略的线性相关性，同时也反映着元策略集中元素的关系，结合矩阵论知识对策略进行抽象，能够构造出复杂策略的矩阵化描述方法，并依据变换矩阵对策略进行异常检测。但此类方法在构造复杂策略时需要大量的空间存储变换矩阵，计算过程十分占用存储资源。而基于树结构的访问控制策略异常检测方法最核心的部分在于规则维度切割，能够将无异常的规则划分到不同的节点中，将可能发生异常的规则划分到相同的节点中，并以此来检测异常策略。但是基于树结构的方法对异常策略的检测准确率不高，只能通过叶子节点中规则数判断可能发生异常的规则，同时无法识别不同类型的异常策略，具有一定的局限性。

在物联网环境中，检测时间短、时间空间复杂度低、扩展性强是访问控制策略异常检测方法的设计目标，而现有的访问控制策略异常检测方法难以满足要求，会大量占用计算资源，无法直接应用于物联网环境之中。

发明内容

本发明的目的是针对上述存在的问题提供一种基于聚类思想的访问控制策略异常检测方法，通过结合划分聚类算法的思想和规则信任属性的差异，实现对异常策略的高效检测。另外，本发明利用异常策略分类方法，能够对不同类型的异常策略进行检测和分类。同时，该方法在准确检测异常策略的同时，降低了计算复杂度，节省了物联网环境的计算资源。

本发明实现上述目的所采用的技术方案是：

一种基于聚类思想的访问控制策略异常检测方法，该方法包括以下步骤：

(1)系统初始化，生成规则集合SP和记忆矩阵Clustered[n]；

(2)计算规则集合中任意规则对的相似度S_R；

(3)规则聚簇，利用聚类思想和规则中信任属性的差异，将规则集合划分到不同的聚簇中，输出聚簇集合C；

(4)异常策略分类，结合规则异常分类方法，分类出不同类型的异常策略；

优选的，所述规则集合SP＝{R₁,R₂,...,R_n}，记忆矩阵Clustered[i]用于标识规则R_i是否已被划分到已有聚簇中。