基于零信任安全系统的用户访问行为评估方法及系统与流程

1.本发明涉及人工智能技术领域，涉及一种基于零信任安全系统的用户访问行为评估方法、系统、电子设备及存储介质。


背景技术：

2.当今网络技术已经成为支撑社会运转的基础服务，网络攻击随之发展并带来巨大的安全威胁。网络攻击经过长期的发展变得愈加复杂，并活跃于社交网络和计算机网络等不同的主体网络中，并随着万物互联和网速提升大规模传播。现有的网络攻击研究主要是利用攻击图寻找网络中的脆弱节点和路径，从而在网络安全状况的角度进行改进，进而达到避免网络攻击的效果。但是，存在的弊端如下：缺少对用户行为的风险评定，进而缺乏对风险等级高的用户行为进行合理阻断的方法。
3.因此，亟需一种精准有效的减少网络攻击的基于零信任安全系统的用户访问行为评估方法。


技术实现要素：

4.本发明提供一种基于零信任安全系统的用户访问行为评估方法、系统、电子设备及计算机可读存储介质，用于解决现有技术中缺乏对风险等级高的用户行为进行合理阻断的方法的问题。
5.为实现上述目的，本发明提供的一种基于零信任安全系统的用户访问行为评估方法，方法包括：
6.获取用户的访问行为；其中，所述用户的访问行为包括用户登录动作集合和用户访问动作集合；
7.对所述用户登录动作集合和所述用户访问动作集合中的各个动作项目分别进行行为的风险判定和行为的信任判定；以及，根据对所述行为的风险判定和行为的信任判定结果对所述动作项目进行风险评估和信用评估，并获得所述动作项目对应的行为评分；其中，所述行为评分包括行为的风险评分和行为的信用评分；
8.利用用户登录动作集合中的各个动作项目对应的行为评分以及用户访问动作集合中的各个动作项目对应的行为评分获得用户访问行为的总行为评分；以及，根据所述总行为评分、预设的用户风险阈值和用户信任阈值筛选用户高风险行为；
9.对所述用户高风险行为执行限制操作。
10.进一步，优选的，所述用户登录动作集合的动作项目包括：
11.用于登录的设备id是否为新id；所述设备id成功登录所需的登录次数、所述设备id对应的登录用户名数量；所述用户访问动作集合的动作项目包括：用户使用时间、用户操作频率、用户下载文件的关联度以及是否存在信息更改行为。
12.进一步，优选的，通过用户登录的行为信息获取并存储所述用户的设备id数据；其中，所述用户登录的行为信息通过用户登录时输入的登录信息获取；所述用户的设备id数
据包括所述设备id的访问服务器的请求时间；
13.将所获取的设备id的访问服务器的请求时间与数据库中存储的登录记录进行比较，获取所述设备id的成功登录所需的登录次数；
14.根据所述设备id的成功登录所需的登录次数进行行为的风险判定和行为的信任判定；
15.若所述设备id的成功登录所需的登录次数大于设定登录次数阈值，则判定所述设备id的所述动作项目为风险动作，并根据预设的风险动作评分规则进行行为的风险评分；
16.若所述设备id的出现次数小于设定登录次数阈值，则判定所述设备id的所述动作项目为信任动作，并根据预设的信任动作评分规则进行行为的信任评分。
17.进一步，优选的，对所述用于登录的设备id是否为新id的动作项目进行行为的风险判定和行为的信任判定；根据对所述行为的风险判定和行为的信任判定结果对所述动作项目进行风险评估和信用评估，并获得所述动作项目对应的行为评分，包括：
18.通过用户登录的行为信息获取并存储所述用户的设备id数据；其中，所述用户登录的行为信息通过用户登录时输入的登录信息获取；所述用户的设备id数据包括设备id和所述设备id登录时的请求时间；
19.将所获取的设备id与数据库中存储的登录记录中的设备id进行比较，获取所述设备id的出现次数；
20.根据所述设备id的出现次数进行行为的风险判定和行为的信任判定；
21.若所述设备id的出现次数为零，则判定所述设备id为新id，所述动作项目为风险动作，并根据预设的风险动作评分规则进行行为的风险评分；
22.若所述设备id的出现次数大于等于1，则判定所述设备id为可信任id，所述动作项目为信任动作，并根据预设的信任动作评分规则进行行为的信任评分。
23.进一步，优选的，对所述设备id对应的用户名数量的动作项目进行行为的风险判定和行为的信任判定；根据对所述行为的风险判定和行为的信任判定结果对所述动作项目进行风险评估和信用评估，并获得所述动作项目对应的行为评分，包括：
24.通过用户登录的行为信息获取并存储所述用户的设备id数据；其中，所述用户登录的行为信息通过用户登录时输入的登录信息获取；所述用户的设备id数据包括设备id对应的登录用户名；
25.将所获取的设备id对应的登录用户名与数据库中存储的登录记录中的设备id对应的登录用户名进行比较，获取所述设备id对应的登录用户名数量；
26.根据所述设备id的登录用户名数量进行行为的风险判定和行为的信任判定；
27.若所述设备id的登录用户名数量大于3，则判定所述动作项目为风险动作，并根据预设的风险动作评分规则进行行为的风险评分；
28.若所述设备id的登录用户名数量小于等于3，则判定所述动作项目为信任动作，并根据预设的信任动作评分规则进行行为的信任评分。
29.进一步，优选的，对所述用户操作频率的动作项目进行行为的风险判定和行为的信任判定；根据对所述行为的风险判定和行为的信任判定结果对所述动作项目进行风险评估和信用评估，并获得所述动作项目对应的行为评分，包括：
30.通过用户访问的行为信息获取并存储用户的操作频率；其中，所述用户访问的行
为信息通过用户访问时发送的访问操作请求获取；所述用户的操作频率包括截图频率和下载频率；
31.根据预设的截图频率阈值与预设的下载频率阈值对所述用户的操作频率进行行为的风险判定和行为的信任判定；
32.若所述用户的操作频率大于预设的截图频率阈值或预设的下载频率阈值时，则判定所述动作项目为风险动作，并根据预设的风险动作评分规则进行行为的风险评分；
33.若所述用户的操作频率小于预设的截图频率阈值或预设的下载频率阈值时，则判定所述动作项目为信任动作，并根据预设的信任动作评分规则进行行为的信任评分。
34.进一步，优选的，对所述用户下载文件的关联度的动作项目进行行为的风险判定和行为的信任判定；根据对所述行为的风险判定和行为的信任判定结果对所述动作项目进行风险评估和信用评估，并获得所述动作项目对应的行为评分，包括：
35.通过用户访问的行为信息获取并存储用户下载文件的数据；其中，所述用户访问的行为信息通过用户访问时发送的访问操作请求获取；所述用户下载文件的数据包括按照分类属性命名的用户下载文件的文件名；
36.根据所述用户下载文件的文件名是否属于同一类别判定所述用户下载文件的关联度；
37.根据预设的所述关联性阈值对所述用户下载文件的关联度进行行为的风险判定和行为的信任判定；
38.若所述用户下载文件的关联度小于预设的所述关联性阈值时，则判定所述动作项目为风险动作，并根据预设的风险动作评分规则进行行为的风险评分；
39.若所述用户下载文件的关联度大于预设的所述关联性阈值时，则判定所述动作项目为信任动作，并根据预设的信任动作评分规则进行行为的信任评分。
40.为了解决上述问题，本发明还提供一种基于零信任安全系统的用户访问行为评估系统，所述系统包括：
41.用户的访问行为获取单元，用于获取用户的访问行为；其中，所述用户的访问行为包括用户登录动作集合和用户访问动作集合；
42.动作项目评分单元，用于对所述用户登录动作集合和所述用户访问动作集合中的各个动作项目分别进行行为的风险判定和行为的信任判定；以及，根据对所述行为的风险判定和行为的信任判定结果对所述动作项目进行风险评估和信用评估，并获得所述动作项目对应的行为评分；其中，所述行为评分包括行为的风险评分和行为的信用评分；
43.高风险行为筛选单元，用于利用用户登录动作集合中的各个动作项目对应的行为评分以及用户访问动作集合中的各个动作项目对应的行为评分获得用户访问行为的总行为评分；以及，根据所述总行为评分、预设的用户风险阈值和用户信任阈值筛选用户高风险行为；
44.用户高风险行为限制执行单元，用于对所述用户高风险行为执行限制操作。
45.为了解决上述问题，本发明还提供一种电子设备，所述电子设备包括：
46.存储器，存储至少一个指令；及
47.处理器，执行所述存储器中存储的指令以实现上述所述的基于零信任安全系统的用户访问行为评估方法中的步骤。
48.为了解决上述问题，本发明还提供一种计算机可读存储介质，所述计算机可读存储介质中存储有至少一个指令，所述至少一个指令被电子设备中的处理器执行以实现上述所述的基于零信任安全系统的用户访问行为评估方法。
49.本发明的基于零信任安全系统的用户访问行为评估方法、系统、电子设备及存储介质，通过获取用户的访问行为；对所述用户登录动作集合和所述用户访问动作集合中的各个动作项目分别进行行为的风险判定和行为的信任判定；以及，根据对所述行为的风险判定和行为的信任判定结果对所述动作项目进行风险评估和信用评估，并获得所述动作项目对应的行为评分；其中，所述行为评分包括行为的风险评分和行为的信用评分；利用用户登录动作集合中的各个动作项目对应的行为评分以及用户访问动作集合中的各个动作项目对应的行为评分获得用户访问行为的总行为评分；以及，根据所述总行为评分、预设的用户风险阈值和用户信任阈值筛选用户高风险行为；对所述用户高风险行为执行限制操作；本发明在传统的物联网设备平台上进行技术改进，实现对用户行为的评估，进而达到通过对用户行为的风险评定，阻断高风险用户行为，进而达到减少网络攻击的技术效果。
附图说明
50.图1为本发明一实施例提供的基于零信任安全系统的用户访问行为评估方法的流程示意图；
51.图2为本发明一实施例提供的基于零信任安全系统的用户访问行为评估系统的模块示意图；
52.图3为本发明一实施例提供的实现基于零信任安全系统的用户访问行为评估方法的电子设备的内部结构示意图；
53.本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。
具体实施方式
54.应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。
55.参照图1所示，为本发明一实施例提供的基于零信任安全系统的用户访问行为评估方法的流程示意图。该方法可以由一个系统执行，该系统可以由软件和/或硬件实现，尤其适用于对用户行为的危险性评定环节。
56.在本实施例中，基于零信任安全系统的用户访问行为评估方法包括s110～s140：
57.s110、获取用户的访问行为；其中，所述用户的访问行为包括用户登录动作集合和用户访问动作集合。
58.需要说明的是，本实施例的用户的访问行为的获取方法的执行主体可为具有数据信息处理能力的硬件设备和/或驱动该硬件设备工作所需的必要软件。可选地，执行主体可包括工作站、服务器，计算机、用户终端及其他智能设备。其中，用户终端包括但不限于手机、电脑、智能语音交互设备、智能家电、车载终端等。也就是说，可以利用用户的访问行为进行风险评估以及信任评估。具体地说，用户的访问行为包括用户登录动作集合和用户访问动作集合。而对于用户登录动作集合和用户访问动作集合的评价可以是从时间、地点、访问者、访问行为四个基本元素进行。
59.服务器可以是独立的服务器，也可以是提供云服务、云数据库、云计算、云函数、云
存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发网络(content delivery network，cdn)、以及大数据和人工智能平台等基础云计算服务的云服务器。
60.在现有技术中，用户的登录发生在用户登录过程中，用户通过web页面输入登录登录所需信息；web页面将验证信息发送给后端应用；后端应用将登录信息与数据库中的内容对比，将对比结果反馈给web前端；其中，如果对比失败，则引导用户重新输入验证信息；如果对比成功，则用户进入系统。用户访问的行为数据存储在网页服务端，而网页服务端为接收网页访问请求的服务端，可以为云端、也可以为本地服务端，本提案实施例不做具体限定。
61.当前服务端为了对用户访问进行监控，向网页服务端发送网页访问数据获取请求，根据网页访问数据获取请求响应中携带的具体数据统计网页访问数据、和/或网页分享数据、和/或网页页面数据。所述网页访问数据获取请求由当前服务端发出，请求中携带有具体需要获取的数据，如访问某网址的用户数量等。以常用的公司管理系统为例，公司的管理系统部署在后端服务器上，而内部成员通过web前端页面、桌面应用、手机app访问管理系统的不同子系统进行公司管理系统的登录使用。比如，人力资源管理入口，对应的是人力资源、员工福利等功能模块；it系统对应软件服务、权限申请等模块；财务系统对应了预算、报销、部门成本统计等模块。
62.s120、对所述用户登录动作集合和所述用户访问动作集合中的各个动作项目分别进行行为的风险判定和行为的信任判定；以及，根据对所述行为的风险判定和行为的信任判定结果对所述动作项目进行风险评估和信用评估，并获得所述动作项目对应的行为评分；其中，所述行为评分包括行为的风险评分和行为的信用评分。
63.具体地说，需要对用户登录动作集合和用户访问动作集合中的各种动作项目进行评定，将各种动作评定为风险动作或者可信任动作。其中，动作项目可以但不限制为，网页访问数据、和/或网页分享数据、和/或网页页面数据，所述网页访问数据又可以包括pv数据、uv数据，如十分钟访问量、每小时访问量、每日访问量、访问总量、各地域访问pv、各设备访问pv等，网页分享数据也包括每小时分享量、每日分享量、分享总量、分享去向、传播层级等，传播层级为每分享层级对应的访问pv、uv量，所述网页页面数据也可以包括页面访问深度信息、页面访问时长、页面流失率、页面元素点击、网页id、终端设备号、终端设备信息、终端位置信息、阅读来源信息、分享层级信息等，本发明实施例不做具体限定。
64.在一个具体的实施例中，所述用户登录动作集合的动作项目包括：用于登录的设备id是否为新id；所述设备id成功登录所需的登录次数、所述设备id对应的登录用户名数量。
65.在一个具体的实施例中，所述用户访问动作集合的动作项目包括：用户使用时间、用户操作频率、用户下载文件的关联度以及是否存在信息更改行为。
66.以用户登录动作集合的动作项目为用于登录的设备id是否为新id为例，也就是说，对所述用于登录的设备id是否为新id的动作项目进行行为的风险判定和行为的信任判定；根据对所述行为的风险判定和行为的信任判定结果对所述动作项目进行风险评估和信用评估，并获得所述动作项目对应的行为评分，包括：
67.s1211、通过用户登录的行为信息获取并存储所述用户的设备id数据；其中，所述用户登录的行为信息通过用户登录时输入的登录信息获取；所述用户的设备id数据包括设
备id和所述设备id登录时的请求时间；
68.s1212、将所获取的设备id与数据库中存储的登录记录中的设备id进行比较，获取所述设备id的出现次数；
69.s1213、根据所述设备id的出现次数进行行为的风险判定和行为的信任判定；若所述设备id的出现次数为零，则判定所述设备id为新id，所述动作项目为风险动作，并根据预设的风险动作评分规则进行行为的风险评分；若所述设备id的出现次数大于等于1，则判定所述设备id为可信任id，所述动作项目为信任动作，并根据预设的信任动作评分规则进行行为的信任评分。
70.以用户登录动作集合的动作项目为设备id对应的用户名数量为例，也就是说，对所述设备id对应的用户名数量的动作项目进行行为的风险判定和行为的信任判定；根据对所述行为的风险判定和行为的信任判定结果对所述动作项目进行风险评估和信用评估，并获得所述动作项目对应的行为评分，包括：
71.s1221、通过用户登录的行为信息获取并存储所述用户的设备id数据；其中，所述用户登录的行为信息通过用户登录时输入的登录信息获取；所述用户的设备id数据包括设备id对应的登录用户名；
72.s1222、将所获取的设备id对应的登录用户名与数据库中存储的登录记录中的设备id对应的登录用户名进行比较，获取所述设备id对应的登录用户名数量；
73.s1223、根据所述设备id的登录用户名数量进行行为的风险判定和行为的信任判定；若所述设备id的登录用户名数量大于3，则判定所述动作项目为风险动作，并根据预设的风险动作评分规则进行行为的风险评分；若所述设备id的登录用户名数量小于等于3，则判定所述动作项目为信任动作，并根据预设的信任动作评分规则进行行为的信任评分。
74.以用户访问动作集合的动作项目为用户操作频率为例，也就是说，对所述用户操作频率的动作项目进行行为的风险判定和行为的信任判定；根据对所述行为的风险判定和行为的信任判定结果对所述动作项目进行风险评估和信用评估，并获得所述动作项目对应的行为评分，包括：
75.s1231、通过用户访问的行为信息获取并存储用户的操作频率；其中，所述用户访问的行为信息通过用户访问时发送的访问操作请求获取；所述用户的操作频率包括截图频率和下载频率；
76.s1232、根据预设的截图频率阈值与预设的下载频率阈值对所述用户的操作频率进行行为的风险判定和行为的信任判定；
77.s1233、若所述用户的操作频率大于预设的截图频率阈值或预设的下载频率阈值时，则判定所述动作项目为风险动作，并根据预设的风险动作评分规则进行行为的风险评分；若所述用户的操作频率小于预设的截图频率阈值或预设的下载频率阈值时，则判定所述动作项目为信任动作，并根据预设的信任动作评分规则进行行为的信任评分。也就是说，统计用户在数据表格、用户信息和统计信息等截面出现的截图以及下载动作；然后将截图频率和下载频率与分别设定的频率阈值进行比对，将截图频率大于截图频率阈值，下载频率大于下载频率阈值的动作评定为风险动作；将将截图频率小于截图频率阈值，下载频率小于下载频率阈值的动作评定为可信任动作；需要说明的是，预设的截图频率阈值可以为100次或者50次，或者预设的截图频率为1分钟/帧以上，且连续出现5分钟；而预设的下载频
率为5次每分钟或者10次每分钟。实际的预设截图频率阈值和下载频率阈值需要根据实际的应用场景进行设定，在此不做具体的限定。
78.以用户访问动作集合的动作项目为用户下载文件的关联度为例，也就是说，，对所述用户下载文件的关联度的动作项目进行行为的风险判定和行为的信任判定；根据对所述行为的风险判定和行为的信任判定结果对所述动作项目进行风险评估和信用评估，并获得所述动作项目对应的行为评分，包括：
79.s1241、通过用户访问的行为信息获取并存储用户下载文件的数据；其中，所述用户访问的行为信息通过用户访问时发送的访问操作请求获取；所述用户下载文件的数据包括按照分类属性命名的用户下载文件的文件名；
80.s1242、根据所述用户下载文件的文件名是否属于同一类别判定所述用户下载文件的关联度；
81.s1243、根据预设的所述关联性阈值对所述用户下载文件的关联度进行行为的风险判定和行为的信任判定；若所述用户下载文件的关联度小于预设的所述关联性阈值时，则判定所述动作项目为风险动作，并根据预设的风险动作评分规则进行行为的风险评分；若所述用户下载文件的关联度大于预设的所述关联性阈值时，则判定所述动作项目为信任动作，并根据预设的信任动作评分规则进行行为的信任评分。需要说明的是，对于同一系统，后台对于文件的保存命名方式进行统一规定，比如财务系统，对于同一部门的成本数据文件，则按照部门编号、日期、分类方式进行命名；如果文件的命名中，存在编号、分类等部分重合，则认为是关联性较大的文件；反之，则是关联性不大的文件。
82.总之，对于风险行为的判定以及信任行为的判定规则，需要根据实际应用场景进行设定。比如，对于经常登录的设备id的登录行为，则设定为信任动作；对于一次性成功登录的登录动作，设定为信任动作；对于一个设备id对应一个用户名的登录动作，设定为信任动作。相反的，对于第一次出现的设备id的登录行为，则设定为风险动作；对于多次登录才能成功登录的登录动作，设定为风险动作；对于一个设备id对应多个用户名的登录动作，设定为风险动作。
83.根据对所述行为的风险判定和行为的信任判定结果对所述行为进行风险评估和信用评估，并获得用户的行为评分，所述用户的行为评分包括行为的风险评分和信用评分。
84.在具体的实施过程中，总体原则是，风险评分r和信任评分t，两种积分初始值均为0。出现风险因素，则风险评分累加；出现可信行为，则信任评分累加。
85.在一个具体的实施例中，用于登录的设备id是否为新id，若如果此设备id从未出现过，则任务是全新设备；对于初次登录，由于数据库中没有任何保存的id，则此设备是新设备。如果判定是新设备，则r加0.1*r11；如果不是初次登录，那么获取设备id的登录次数，反之则t增加0.1*t11。
86.以用户端场景下的，用户登录动作集合的动作项目为设备id成功登录所需的登录次数为例，通过用户登录的行为信息获取并存储所述用户的设备id数据；其中，所述用户登录的行为信息通过用户登录时输入的登录信息获取；所述用户的设备id数据包括所述设备id的访问服务器的请求时间；将所获取的设备id的访问服务器的请求时间与数据库中存储的登录记录进行比较，获取所述设备id的成功登录所需的登录次数；根据所述设备id的成功登录所需的登录次数进行行为的风险判定和行为的信任判定；若所述设备id的成功登录
所需的登录次数大于设定登录次数阈值，则判定所述设备id的所述动作项目为风险动作，并根据预设的风险动作评分规则进行行为的风险评分；若所述设备id的出现次数小于设定登录次数阈值，则判定所述设备id的所述动作项目为信任动作，并根据预设的信任动作评分规则进行行为的信任评分。
87.也就是说，用户端进入登录界面，输入系统要求的登录信息；客户端向后台服务器发送访问请求，请求的内容包括设备id信息以及登录验证信息；客户端每次访问服务器，服务器端都会在数据库缓存设定时间内(24小时内)的请求时间和请求id；将所述设备id以及所述设备id对应的请求时间以及登录验证信息与数据库中的记录进行对比，即可获得所述设备id的在设定时间内成功进入系统所需的登录次数，通过数据库内存储的请求次数以及失败次数获得所述设备id的在设定时间内成功进入系统所需的登录次数。如果用户第一次即成功登录，则t+0.3*t12,每增加1次尝试，则少增加0.1*t13。用户可以尝试3次。如果3次都不能登录，则r+0.1*r12。
88.仍以用户登录动作集合的动作项目为设备id对应的用户名数量为例，评分规则如下，如果此id低于3个用户使用过，则将对应的用户的登录请求判定为可信任动作；则t+0.3*t31。如果有超过3个用户使用，增加用户在1-10范围内，r+0.1*n*r31；每增加11-20个用户，r+0.2*(n-10)*r31；每增加21-30个用户，r+0.3*(n-20)*r31，以此类推。仍以用户访问动作集合的动作项目为用户操作频率为例，例如，在数据表格、用户信息、统计信息等截面出现截图，则r+0.1*r51，如果截图频率在1分钟/帧以上，且连续出现5分钟，则每截图一次r+0.2*r52。以用户登录动作集合的动作项目为用户的使用时间为例，先收集用户的访问请求，访问请求的内容包括用户的使用时间；将所述用户的使用时间与使用时间频率阈值进行比对，若用户的使用时间超过了使用时间频率阈值，则将用户的访问请求判定为风险动作；如果用户在高频使用时间内使用，则t+0.1*t41；反之，则r+0.1*r41。仍以用户访问动作集合的动作项目为用户下载文件的关联度为例，例如，如果出现连续下载文件，而且文件关联性不大，则下载次数在10次以下，每增加一次下载r+0.1*r61；如果30分钟内出现10次以上下周，则每增加1次下载，r+0.2*r62。以用户访问动作集合的动作项目为是否存在信息更改行为为例，统计用户单次登录中信息修改次数；然后单次登录中信息修改次数与分别设定的修改次数阈值进行比对，将单次登录中信息修改次数大于修改次数阈值的动作评定为风险动作；单次登录中信息修改次数小于修改次数阈值的动作评定为可信任动作；例如，如果用户单次登录仅修改1次信息，则t+0.2*t71；如果用户单次登录修改2-3次信息，则t+0.1*t72；如果用户单次登录修改3-10次信息，则每修改1次r+0.1*t73；如果用户单次登录修改10-20次信息，则每修改1次，r+0.2*t74；如果用户单次登录修改20-30次信息，则每修改1次，r+0.3*t75。
89.s130、利用用户登录动作集合中的各个动作项目对应的行为评分以及用户访问动作集合中的各个动作项目对应的行为评分获得用户访问行为的总行为评分；以及，根据所述总行为评分、预设的用户风险阈值和用户信任阈值筛选用户高风险行为。
90.在具体的实施过程中，用户访问行为的总行为评分为用户登录动作集合中动作项目和用户访问动作集合中的动作项目的评分加总。当然，用户访问行为的总行为评分仍然包括用户访问行为的总风险评分和用户访问行为的总信用评分；用户访问行为的总风险评分等于用户登录动作集合中动作项目的风险评分之和与用户访问动作集合中动作项目的
风险评分之和的加总。用户访问行为的总信任评分等于用户登录动作集合中动作项目的信任评分之和与用户访问动作集合中动作项目的信任评分之和的加总。也就是说，实时监测用户的风险评分和信任评分r和t，并设定两项评分的风险值r_threhold和t_threhold。用户风险阈值为r_threhold，用户的信任阈值为t_threhold。在一个具体的实施例中，当r》t_threhold或者r-t》t_threhold时，评定为用户高风险行为。
91.s140、对所述用户高风险行为执行限制操作。
92.对进行高风险行为的用户采取强制认证、退出、限制访问等操作。也就是说，限制操作包括强制认证、退出或者限制访问。
93.总之，利用本发明的基于零信任安全系统的用户访问行为评估方法，通过使用风险评分和信任评分方式，可以实时监控用户的行为。可以应用到零信任方案的场景中，进行增强的身份认证，减少信息和数据泄露的风险。通过动态实时评估策略，可以实时监控用户的行为，及时采取降低风险的措施，达到有效保护信息和数据安全的技术效果。
94.如图2所示，本发明提供一种基于零信任安全系统的用户访问行为评估系统200，本发明可以安装于电子设备中。根据实现的功能，该基于零信任安全系统的用户访问行为评估系统200可以包括用户的访问行为获取单元210、动作项目评分单元220、高风险行为筛选单元230、用户高风险行为限制执行单元240。本发明所述单元也可以称之为模块，是指一种能够被电子设备处理器所执行，并且能够完成固定功能的一系列计算机程序段，其存储在电子设备的存储器中。
95.在本实施例中，关于各模块/单元的功能如下：
96.用户的访问行为获取单元210，用于获取用户的访问行为；其中，所述用户的访问行为包括用户登录动作集合和用户访问动作集合；
97.动作项目评分单元220，用于对所述用户登录动作集合和所述用户访问动作集合中的各个动作项目分别进行行为的风险判定和行为的信任判定；以及，根据对所述行为的风险判定和行为的信任判定结果对所述动作项目进行风险评估和信用评估，并获得所述动作项目对应的行为评分；其中，所述行为评分包括行为的风险评分和行为的信用评分；
98.高风险行为筛选单元230，用于利用用户登录动作集合中的各个动作项目对应的行为评分以及用户访问动作集合中的各个动作项目对应的行为评分获得用户访问行为的总行为评分；以及，根据所述总行为评分、预设的用户风险阈值和用户信任阈值筛选用户高风险行为；
99.用户高风险行为限制执行单元240，用于对所述用户高风险行为执行限制操作。
100.本发明的基于零信任安全系统的用户访问行为评估系统200是通过使用风险评分和信任评分方式，可以实时监控用户的行为。可以应用到零信任方案的场景中，进行增强的身份认证，减少信息和数据泄露的风险。通过动态实时评估策略，可以实时监控用户的行为，及时采取降低风险的措施，达到有效保护信息和数据安全的技术效果。
101.如图3所示，本发明提供一种基于零信任安全系统的用户访问行为评估方法的电子设备3。
102.该电子设备3可以包括处理器30、存储器31和总线，还可以包括存储在存储器31中并可在所述处理器30上运行的计算机程序，如基于零信任安全系统的用户访问行为评估程序32。存储器31还可以既包括人工智能的基于零信任安全系统的用户访问行为评估系统的
内部存储单元也包括外部存储设备。存储器31不仅可以用于存储安装于人工智能辅助装置的应用软件及各类数据，例如人工智能辅助程序的代码等，还可以用于暂时地存储已经输出或者将要输出的数据。
103.其中，所述存储器31至少包括一种类型的可读存储介质，所述可读存储介质包括闪存、移动硬盘、多媒体卡、卡型存储器(例如：sd或dx存储器等)、磁性存储器、磁盘、光盘等。所述存储器31在一些实施例中可以是电子设备3的内部存储单元，例如该电子设备3的移动硬盘。所述存储器31在另一些实施例中也可以是电子设备3的外部存储设备，例如电子设备3上配备的插接式移动硬盘、智能存储卡(smart media card，smc)、安全数字(secure digital，sd)卡、闪存卡(flash card)等。进一步地，所述存储器31还可以既包括电子设备3的内部存储单元也包括外部存储设备。所述存储器31不仅可以用于存储安装于电子设备3的应用软件及各类数据，例如基于零信任安全系统的用户访问行为评估程序的代码等，还可以用于暂时地存储已经输出或者将要输出的数据。
104.所述处理器30在一些实施例中可以由集成电路组成，例如可以由单个封装的集成电路所组成，也可以是由多个相同功能或不同功能封装的集成电路所组成，包括一个或者多个中央处理器(central processing unit，cpu)、微处理器、数字处理芯片、图形处理器及各种控制芯片的组合等。所述处理器30是所述电子设备的控制核心(control unit)，利用各种接口和线路连接整个电子设备的各个部件，通过运行或执行存储在所述存储器31内的程序或者模块(例如基于零信任安全系统的用户访问行为评估程序等)，以及调用存储在所述存储器31内的数据，以执行电子设备3的各种功能和处理数据。
105.所述总线可以是外设部件互连标准(peripheral component interconnect，简称pci)总线或扩展工业标准结构(extended industry standard architecture，简称eisa)总线等。该总线可以分为地址总线、数据总线、控制总线等。所述总线被设置为实现所述存储器31以及至少一个处理器30等之间的连接通信。
106.图3仅示出了具有部件的电子设备，本领域技术人员可以理解的是，图3示出的结构并不构成对所述电子设备3的限定，可以包括比图示更少或者更多的部件，或者组合某些部件，或者不同的部件布置。
107.例如，尽管未示出，所述电子设备3还可以包括给各个部件供电的电源(比如电池)，优选地，电源可以通过电源管理系统与所述至少一个处理器30逻辑相连，从而通过电源管理系统实现充电管理、放电管理、以及功耗管理等功能。电源还可以包括一个或一个以上的直流或交流电源、再充电系统、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。所述电子设备3还可以包括多种传感器、蓝牙模块、wi-fi模块等，在此不再赘述。
108.进一步地，所述电子设备3还可以包括网络接口，可选地，所述网络接口可以包括有线接口和/或无线接口(如wi-fi接口、蓝牙接口等)，通常用于在该电子设备3与其他电子设备之间建立通信连接。
109.可选地，该电子设备3还可以包括用户接口，用户接口可以是显示器(display)、输入单元(比如键盘(keyboard))，可选地，用户接口还可以是标准的有线接口、无线接口。可选地，在一些实施例中，显示器可以是led显示器、液晶显示器、触控式液晶显示器以及oled(organic light-emitting diode，有机发光二极管)触摸器等。其中，显示器也可以适当的
称为显示屏或显示单元，用于显示在电子设备3中处理的信息以及用于显示可视化的用户界面。
110.应该了解，所述实施例仅为说明之用，在专利申请范围上并不受此结构的限制。
111.所述电子设备3中的所述存储器31存储的基于零信任安全系统的用户访问行为评估程序32是多个指令的组合，在所述处理器30中运行时，可以实现：获取用户的访问行为；其中，所述用户的访问行为包括用户登录动作集合和用户访问动作集合；对所述用户登录动作集合和所述用户访问动作集合中的各个动作项目分别进行行为的风险判定和行为的信任判定；以及，根据对所述行为的风险判定和行为的信任判定结果对所述动作项目进行风险评估和信用评估，并获得所述动作项目对应的行为评分；其中，所述行为评分包括行为的风险评分和行为的信用评分；利用用户登录动作集合中的各个动作项目对应的行为评分以及用户访问动作集合中的各个动作项目对应的行为评分获得用户访问行为的总行为评分；根据所述总行为评分、预设的用户风险阈值和用户信任阈值筛选用户高风险行为；对所述用户高风险行为执行限制操作。
112.具体地，所述处理器30对上述指令的具体实现方法可参考图1对应实施例中相关步骤的描述，在此不赘述。需要强调的是，为进一步保证上述基于零信任安全系统的用户访问行为评估程序的私密和安全性，上述数据库高可用处理数据存储于本服务器集群所处区块链的节点中。
113.进一步地，所述电子设备3集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。所述计算机可读介质可以包括：能够携带所述计算机程序代码的任何实体或系统、记录介质、u盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(rom，read-only memory)。
114.本发明实施例还提供一种计算机可读存储介质，所述存储介质可以是非易失性的，也可以是易失性的，所述存储介质存储有计算机程序，所述计算机程序被处理器执行时实现：获取用户的访问行为；其中，所述用户的访问行为包括用户登录动作集合和用户访问动作集合；对所述用户登录动作集合和所述用户访问动作集合中的各个动作项目分别进行行为的风险判定和行为的信任判定；以及，根据对所述行为的风险判定和行为的信任判定结果对所述动作项目进行风险评估和信用评估，并获得所述动作项目对应的行为评分；其中，所述行为评分包括行为的风险评分和行为的信用评分；利用用户登录动作集合中的各个动作项目对应的行为评分以及用户访问动作集合中的各个动作项目对应的行为评分获得用户访问行为的总行为评分；根据所述总行为评分、预设的用户风险阈值和用户信任阈值筛选用户高风险行为；对所述用户高风险行为执行限制操作。
115.具体地，所述计算机程序被处理器执行时具体实现方法可参考实施例基于零信任安全系统的用户访问行为评估方法中相关步骤的描述，在此不赘述。
116.在本发明所提供的几个实施例中，应该理解到，所揭露的设备，系统和方法，可以通过其它的方式实现。例如，以上所描述的系统实施例仅仅是示意性的，例如，所述模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。
117.所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目
的。
118.另外，在本发明各个实施例中的各功能模块可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能模块的形式实现。
119.对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神或基本特征的情况下，能够以其他的具体形式实现本发明。
120.因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附关联图标记视为限制所涉及的权利要求。
121.本发明所指区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链(blockchain)，本质上是一个去中心化的数据库，是一串使用密码学方法相关联产生的数据块，每一个数据块中包含了一批次网络交易的信息，用于验证其信息的有效性(防伪)和生成下一个区块。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层等。
122.此外，显然“包括”一词不排除其他单元或步骤，单数不排除复数。系统权利要求中陈述的多个单元或系统也可以由一个单元或系统通过软件或者硬件来实现。第二等词语用来表示名称，而并不表示任何特定的顺序。
123.最后应说明的是，以上实施例仅用以说明本发明的技术方案而非限制，尽管参照较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或等同替换，而不脱离本发明技术方案的精神和范围。