一种数字资源共享与访问控制方法与流程

本发明涉及数字资源的共享与访问控制，具体为一种数字资源共享与访问控制方法。

背景技术：

1、在当前技术背景下，内网登录的主要方式通常仅涉及账户和密码，这种传统的身份验证方法存在一定的风险，因为一旦账户密码泄露，黑客或未经授权的用户可以轻松地获取访问权限。这种泄露可能对内网资源和敏感数据构成潜在的威胁，因为传统系统难以立即识别或跟踪未经授权的访问，导致潜在威胁的未被察觉。

2、随着技术的不断发展，内网安全领域开始引入了更先进的技术，例如基于用户行为的分析。这一技术的核心思想是通过监控和分析用户的实际行为来确定其身份。通过分析这些行为，系统可以尝试确定是否实际登录的是合法用户，以及是否存在异常行为。尽管基于用户行为的分析技术具有很大潜力，但它们也存在一些挑战。其中最主要的挑战之一是误报问题。因为用户行为可能因各种原因而发生变化，如工作需求、出差等，这可能会导致系统错误地将合法用户的行为标记为异常。误报问题的存在使得当前系统难以在识别异常行为时保持准确性和减少误报率，这在实际运营中可能会引发混淆和误解。因此，设计误报率低且异常行为响应及时的一种数字资源共享与访问控制方法是很有必要的。

技术实现思路

1、本发明的目的在于提供一种数字资源共享与访问控制方法，以解决上述背景技术中提出的问题。

2、为了解决上述技术问题，本发明提供如下技术方案：一种数字资源共享与访问控制系统，该系统的运行方法包括以下步骤：

3、步骤一：通过在内网资源服务器上安装监控软件以提高内网资源的安全性；

4、步骤二：通过引入孤立森林算法实现异常行为监测；

5、步骤三：对异常行为进行标记并进行误过滤检查；

6、步骤四：对异常行为进行安全警报和响应。

7、根据上述技术方案，所述通过在内网资源服务器上安装监控软件以提高内网资源的安全性的步骤，包括：

8、在内网资源服务器上，部署专门的监控代理或监控软件，将监控代理布置于关键资源服务器的操作系统层面，并允许其对用户行为进行实时监测和记录，监控代理定期记录用户的关键信息，这些信息包括但不限于用户登录时间、ip地址、访问的资源、文件的操作、以及文件权限的更改，通过记录用户行为的历史数据，系统可以建立一个完整的用户活动历史，此外，将监控代理收集的数据存储在专门设计的日志文件中，并且采用强加密和访问控制措施。

9、根据上述技术方案，所述通过引入孤立森林算法实现异常行为监测的步骤，包括：

10、孤立森林模型构建，通过树形结构区分正常行为和异常行为；

11、实时应用模型，检测潜在的异常行为。

12、根据上述技术方案，所述孤立森林模型构建，通过树形结构区分正常行为和异常行为的步骤，包括：

13、首先进行数据准备，收集大量历史用户行为数据，包括访问时间、ip地址、文件操作、文件大小、权限更改、下载和上传操作，这些数据需要经过预处理，包括数据清洗和标准化，随后进行特征工程，在特征工程阶段，选择并提取与异常行为检测相关的特征，以访问时间为例，系统分析每位员工的登录时间，计算他们登录的时间段、频率和是否有不寻常的登录模式，对于ip地址，系统可以检查员工的ip地址是否经常变化，或者是否有来自未知地点的访问，对于文件操作类型，需要关注员工是否执行了非常规操作，如频繁下载大量文件，这些特征的选择和提取有助于识别异常行为，进行模型训练，引入孤立森林模型，它将学习正常行为的特征并建立一个参考模型，模型的训练使用历史数据集，其中包括员工的各种行为特征，孤立森林会自动构建树形结构，将正常行为和异常行为分开，如果一个员工通常在工作时间内访问文件，而突然在深夜频繁下载大文件，这会被孤立森林模型标记为异常，在模型训练过程中，需要使用历史数据集进行训练，并使用验证数据来评估模型的性能，验证数据集通常包含一些已知的异常行为，以便可以测量模型的准确性、召回率和误报率指标，这确保了模型的泛化能力，能够适应未来的新数据。

14、根据上述技术方案，所述实时应用模型，检测潜在的异常行为的步骤，包括：

15、在实际应用中，实时数据不断流入系统，包括用户的登录信息、文件操作和权限更改，这些数据被捕获和预处理，以便输入到孤立森林模型中，然后进行特征提取和选择，包括访问时间、ip地址、文件操作类型、文件大小、权限更改特征的分析，模型应用于实时数据，以检测潜在的异常行为，如果模型检测到异常行为，它会立即进行异常分数判断，确定为异常后，将会进行警报，以确保内网资源的安全性。

16、根据上述技术方案，所述对异常行为进行标记并进行误过滤检查的步骤，包括：

17、异常分数计算规则基于多个参数和特征；

18、阈值比对，只有异常分数超过阈值才触发安全警报。

19、根据上述技术方案，所述异常分数计算规则基于多个参数和特征的步骤，包括：

20、标记的异常行为会经过误过滤检查，以确定是否真的构成潜在威胁，或者只是误报情况，这一过程具体如下：针对每个标记的异常行为，系统会应用异常分数计算规则，这些规则基于多个参数和特征来综合评定异常行为的严重性，这些参数包括访问时间的标准差、ip地址来源、文件操作类型、文件大小、权限更改频率，并且系统设定了一个阈值，当异常分数计算结果超过这一阈值时，系统认定该异常行为可能构成真正的威胁，仅当异常分数计算结果超过阈值时，系统才会触发安全警报，异常分数计算规则如下：首先计算用户访问时间的标准差，使用以下公式：访问时间标准差=样本标准差（σ）/平均访问时间(μ)，如果访问时间标准差(σ)大于等于2.0 * 平均访问时间(μ)，则视为异常，对于用户的ip地址，比较其来源是否与正常工作地点匹配，如果来源不匹配，则视为异常，其次为文件操作类型赋予权重：为不同文件操作类型分配权重，然后计算用户的文件操作类型总权重，如果总权重超过某个值，视为异常，接着定义权限更改频率的阈值，如每小时最多允许3次权限更改，如果超过阈值，视为异常，最后设置文件大小的阈值，如果下载文件大小大于100mb，视为异常，最后将异常分数相加与设定的阈值对比，从而觉得是否需要进行异常预警。

21、根据上述技术方案，所述对异常行为进行安全警报和响应的步骤，包括：

22、一旦系统检测到异常行为，立即生成实时安全警报，这些警报包括详细的事件细节，如参与的用户标识、具体行为类型、时间戳、相关ip地址，同时，根据警报的严重性和风险级别，系统可触发多种响应措施，包括但不限于：多因素身份验证要求： 针对某些异常行为，系统可要求用户进行额外的身份验证，如通过短信验证码、智能卡或生物特征扫描，这增强了用户身份的合法性，提高了系统的安全性；暂时中断访问：针对高风险威胁，系统可临时中断用户的访问权限，以防止未经授权的访问继续发生，这一紧急措施有助于限制潜在威胁的扩散，针对极端高风险事件，系统可自动执行紧急措施，如暂停用户的访问权限、锁定帐户或阻止特定ip地址的访问，这些自动化措施迅速遏制潜在威胁，减少损害，通过安全警报和响快速响应，实现了实时监测、分类、通知和响应，提高了内网访问控制系统的安全性，确保对潜在威胁的及时处理。

23、根据上述技术方案，所述该系统包括：

24、内网资源安全监控模块，用于实时监测内网资源的用户活动，以提高内网资源的安全性和防茅威胁；

25、异常行为监测与检测模块，用于分析收集的用户行为数据，以检测潜在的异常行为；

26、异常行为警报和响应模块，用于快速响应检测到的异常用户行为，以确保内网资源的安全。

27、根据上述技术方案，所述内网资源安全监控模块包括：

28、监控软件部署模块，用于提高内网资源的安全性，防止未经授权的访问和潜在威胁；

29、数据记录和存储模块，用于采用强加密和访问控制措施，以确保数据的安全性和完整性；

30、数据支持和资源保护模块，用于通过捕获用户的实时活动，系统为后续的监测和分析提供有力的数据支持，同时提高内网资源的安全性，抵御潜在威胁。

31、与现有技术相比，本发明所达到的有益效果是：本发明，首先通过在内网资源服务器上安装监控软件，实时监测和记录用户行为，以提高内网资源的安全性，随后引入孤立森林算法进行异常行为监测，通过特征工程和模型训练，分析用户行为数据以检测潜在的异常行为，一旦检测到异常，系统会对异常行为进行标记，并应用综合评定异常分数规则，只有当异常分数超过设定的阈值时，才会触发安全警报，最终，系统会进行实时安全警报和响应，采取多种措施，包括多因素身份验证、暂时中断访问以及自动紧急措施，以确保内网资源的安全性和及时处理潜在威胁，这些步骤综合起来，提高了内网资源的安全性，减少了风险的误报率。