[发明专利]可信策略的更新方法及装置

说明书

本发明公开了一种可信策略的更新方法及装置。其中，该方法包括：将目标应用程序对应的可信策略按照客体对象所在的目录划分为多个子策略；获取子策略中包含的第一客体集合，第一客体集合为子策略规定的目标应用程序执行目标行为对应的客体对象的集合，第一客体集合中的客体对象均在子策略对应的目录下；获取第二客体集合，第二客体集合为在预设时间内目标应用程序在可信计算平台中执行目标行为对应的客体的集合，第二客体集合中的客体对象均在子策略对应的目录下；根据第一客体集合与第二客体集合计算子策略的策略相似度；对多个子策略中策略相似度最小的子策略进行更新。

技术领域

本发明涉及可信管理技术领域，具体而言，涉及一种可信策略的更新方法及装置。

背景技术

在相关技术中，可信计算需要依据可信策略进行可信度量，目前，可信策略通常是安全管理员基于自身对应用程序访问行为的认知手动配置的，如果可信策略需要更新，也是由安全管理员手动配置进行更新。但是这种通过安全管理员手动更新可信策略的方式，由于安全管理员的主观意识依赖性较大，在更新可信策略时，往往是针对具体出现的漏洞进行查找补缺，但是无法对整体的可信策略进行有效评估，更无法对可信策略进行实时的更新，最终导致可信策略无法覆盖应用程序的全部行为，往往会导致可信策略在安全防护过程中出现误拦或者没有很好地拦截外部攻击，使得可信策略的更新效率降低，可信策略的准确度也会降低，用户使用可信策略的满意度下降。

针对上述的问题，目前尚未提出有效的解决方案。

发明内容

本发明实施例提供了一种可信策略的更新方法及装置，以至少解决由于安全管理员手动更新可信策略，可信策略的更新效率降低，导致用户满意度下降的技术问题。

根据本发明实施例的一个方面，提供了一种可信策略的更新方法，包括：将目标应用程序对应的可信策略按照客体对象所在的目录划分为多个子策略，所述可信策略为根据预设时间内所述目标应用程序的访问行为数据学习得到的策略；获取所述子策略中包含的第一客体集合，所述第一客体集合为所述子策略规定的所述目标应用程序执行目标行为对应的客体对象的集合，所述第一客体集合中的客体对象均在所述子策略对应的目录下；获取第二客体集合，所述第二客体集合为在所述预设时间内所述目标应用程序在可信计算平台中执行所述目标行为对应的客体的集合，所述第二客体集合中的客体对象均在所述子策略对应的目录下；根据所述第一客体集合与所述第二客体集合计算所述子策略的策略相似度；对所述多个子策略中策略相似度最小的子策略进行更新。

可选地，根据所述第一客体集合与所述第二客体集合计算计算所述子策略的策略相似度，包括：通过预设公式计算子策略的策略相似度，其中，所述预设公式为：

其中，Similarity为所述策略相似度，X为所述第一客体集合，X′为所述第二客体集合。

可选地，对所述多个子策略中策略相似度最小的子策略进行更新，包括：获取所述第一客体集合与所述第二客体集合之间的交集；在所述第一客体集合与所述交集之间的差达到第一预定阈值的情况下，减少所述策略相似度最小的子策略对应的目录中的客体对象；在所述第二客体集合与所述交集之间的差达到第二预定阈值的情况下，增加所述策略相似度最小的子策略对应的目录中的客体对象，和/或调整所述策略相似度最小的子策略对应的目录。

可选地，所述目标行为包括下述至少之一：读操作行为、写操作行为和执行操作行为。

可选地，所述客体对象为所述可信计算平台中各个文件目录下的子文件。