[发明专利]针对计算机资源的自动访问控制策略生成

说明书

示出了用于生成针对计算机资源的访问控制规则的方法、系统以及介质，该方法、系统以及介质涉及收集针对对计算机资源的用户访问的历史访问数据，并且将该历史访问数据分成训练数据集和验证数据集。基于训练数据集中对计算机资源的用户访问的属性来生成针对计算机资源的访问控制规则。针对验证数据集验证该规则，以确定当该规则被应用到验证数据集中时，该规则是否产生低于阈值的拒绝率水平。如果规则是有效的，则其被提供给管理界面，使得管理员可以选择该规则以应用于传入的用户请求。

背景技术

在网络安全性中，使用合法的(脆弱的)文件用于恶意的使用或者访问具有敏感信息的文件，恶意的动作者或攻击者频繁地尝试渗透计算机系统，以访问或损坏具有敏感信息的文件或者在机器的文件系统上投放恶意的文件。例如，财务或个人信息可能被获取，并且出售或被利用来窃取资金。公共和私有实体的重要信息可以被窃取、损坏或者破坏。

为降低计算机资源的脆弱性(例如攻击表面)，组织的安全员或管理员可以限制对机器的计算机资源(诸如他们的文件系统和服务)的访问。然而，现有的解决方案通常要求由管理员针对每个计算机资源和用户对进行手动配置。作为结果，大量机器的操作者通常需要(1)理解需要被强化的机器是什么，(2)理解什么是针对这些机器的每一个的正确配置，(3)分别配置每个机器，(5)保持跟踪这些机器中的所有机器上的系统变化以及(6)如果要求权限(permission)模型中的变化，则拥有者需要分别访问每个机器以改变它们的每一个上的规则。由于该管理开销，用户经常没有充分利用该能力，尽管他们在向他们的环境添加更多的风险。

另外，组织或者管理员可能难以有效率地创建定制的策略来限制用户的访问仅到他们需要的文件。创建定制的策略要求分析文件和系统日志的许多手动工作。在许多情况下，客户不具有为了这样做所要求的数据或者所要求的知识。在其他的情况下，他们不具有资源，因为该任务由于大规模的数据可能花费大量时间。然后，在激活他们的策略之后，因为用户和使用模式随时间改变，要求更多的手动工作以便维护定制的策略(诸如访问白名单)。

针对这些和其他技术挑战，提出了本文中做出的公开。

发明内容

使用访问控制规则限制对计算机资源的访问可以显著地减少攻击表面(例如向攻击者展露计算机资源)，以及限制在系统内攻击者的渗透和移动。然而，由管理员手动创建访问控制规则通常是耗时的，并且可能忽略可能不明显的对计算机资源的用户访问的属性。因此，有效的访问控制规则可能未被配置或者未被完全地配置，使计算机资源更易受到攻击。

本技术通过基于历史用户访问数据来自动地生成访问控制规则以限制对计算机资源的访问，来减少针对系统或机器的攻击表面。例如，历史访问数据可以包括由特定用户对计算机资源的频繁的访问请求，并且准许由特定用户的访问但是对其他用户拒绝访问的访问规则被生成。当对计算机资源的访问被限于通常访问该计算机资源的用户时，计算机资源的脆弱性被降低。也可以通过所公开的主题的实现，来实现本文未具体提及的其他技术益处。

为了实现以上简要提及的技术益处，本文中所公开的技术的某些实现可以基于针对对计算机资源的用户访问的历史访问数据，自动地生成访问控制规则用于控制对计算机资源的访问。历史访问数据被分成训练数据集和验证数据集。基于训练数据集中对计算机资源的用户访问的一个或多个属性，针对计算机资源的访问控制规则被生成。访问控制规则被应用到验证数据集以确定拒绝率(denial rate level)水平。如果拒绝率水平低于阈值参数，则访问控制规则被确定是有效的并且该访问控制规则被提供给管理接口用于向管理员呈现以供审核和选择。

在一些实现中，访问控制规则通过以下来验证：向验证数据集的多个子集中针对计算机资源的用户访问请求应用访问控制规则，以获取针对多个子集中的每一个的拒绝率水平。使用对应于子集的阈值参数值，针对每个子集的拒绝率水平被评分，其在一些示例中可以反映子集的权重。每个子集的得分被收集以确定累积的得分，并且如果累积的得分低于阈值得分值，则访问控制规则被确定为是有效的。