[发明专利]访问行为控制方法、装置、计算机设备和存储介质

权利要求书

1.一种访问行为控制方法，其特征在于，所述方法包括：

接收访问主体的访问请求，所述访问请求包括用户身份标识和用户行为；

获取用户身份表和访问白名单，所述用户身份表包括用户身份标识所对应的用户群组和可信度，所述访问白名单包括用户行为所对应的用户群组和可信度阈值；

获取所述访问请求的流量，对所述访问请求的流量进行流量解析，提取所述访问请求的流量对应的流量特征，将所述流量特征与预设的流量特征库进行对比，确定所述流量特征是否正常；

若所述流量特征异常，则确定所述流量特征的异常程度，并根据所述流量特征的异常程度，确定所述访问请求中的用户身份标识的可信度的减少值并减少所述访问请求中的用户身份标识的可信度；

若所述流量特征正常，且所述访问请求中的用户身份标识所对应的用户群组符合所述访问请求中的用户行为所对应的用户群组，且所述访问请求中的用户身份标识所对应的可信度大于等于所述访问请求中的用户行为所对应的可信度阈值，则允许所述访问主体执行所述访问请求中的用户行为；

当所述访问请求中的用户身份标识所对应的用户群组不符合所述访问请求中的用户行为所对应的用户群组，或所述访问请求中的用户身份标识所对应的可信度小于所述访问请求中的用户行为所对应的可信度阈值，则阻止所述访问主体执行所述访问请求中的用户行为。

2.根据权利要求1所述的方法，其特征在于，所述接收访问主体的访问请求包括：

获取所述访问请求的访问令牌，根据所述访问令牌，确定所述访问请求的用户身份标识；

获取所述访问请求的流量，对所述流量进行流量解析，确定所述访问请求的用户行为。

3.根据权利要求1所述的方法，其特征在于，在所述获取用户身份表之后，所述方法还包括：

确定所述访问请求中的用户身份标识是否被记录在所述用户身份表中；

若所述访问请求中的用户身份标识被记录在所述用户身份表中，则获取所述访问请求中的用户身份标识对应的可信度；

若所述访问请求中的用户身份标识未被记录在所述用户身份表中，则阻止所述访问主体执行所述访问请求中的用户行为。

4.根据权利要求1-3任一项所述的方法，其特征在于，所述流量特征库包括数据流特征表和数据包特征表。

5.根据权利要求1-3任一项所述的方法，其特征在于，所述若所述流量特征异常，则确定所述流量特征的异常程度，并根据所述流量特征的异常程度，确定所述访问请求信息中的用户身份标识的可信度的减少值并减少所述访问请求中的用户身份标识的可信度，包括：

获取所述流量特征的异常程度因素，所述异常程度因素包括连接持续时间、报文数量、平均报文长度、目标端口号、口令认证请求包数量；

确定各个所述异常程度因素对异常程度评价参数的隶属度、以及各个所述异常程度因素对应的权重；

根据各个所述异常程度因素对所述异常程度评价参数的隶属度、以及各个所述异常程度因素对应的权重，确定所述流量特征对所述异常程度评价参数的隶属度；

根据所述流量特征对所述异常程度评价参数的隶属度、以及所述异常程度评价参数对应的预设分值，确定所述流量特征的异常程度的分值；

根据所述流量特征的异常程度的分值，确定所述访问请求中的用户身份标识的可信度的减少值并减少所述访问请求中的用户身份标识的可信度。

6.根据权利要求1-3任一项所述的方法，其特征在于，所述方法还包括：

若所述访问请求中的用户身份标识的可信度低于可信度下限，则阻止所述访问主体执行所述访问请求中的用户行为。