一种基于访问行为的动态数据权限控制方法及装置与流程

1.本发明涉及计算机技术应用领域，尤其涉及一种基于访问行为的动态数据权限控制方法及装置。

背景技术：

2.人们在分享图片、视频等数据链接时，会需要进行权限控制，控制谁可以看谁不能看，或者看到内容有所不同，从而达到防止数据泄漏、盗版的目的。目前一般有两种访问权限控制方式，对所有人进行角分类，在分享之前或者分享的时候设置权限，规定哪类角能看、哪类角不能看。当前方法存在两个问题，一是需要提前标识好访问者并归入到对应的角，对于陌生的或未标识在系统的访问者无法进入权限授权；二是权限设置是静态的，已获授权的访问者会一直有权访问，即便访问者把数据用于非正常用途。不能根据具体的情况，来对用户动态的设置访问权限，从而造成数据安全问题。

技术实现要素：

3.本发明提供一种基于访问行为的动态数据权限控制方法及装置，能够动态设置数据访问权限，达到向包括陌生用户在内的所有正常访问者开放权限、向包括原已获授权用户在内的所有非正常访问者关闭权限。
4.一种基于访问行为的动态数据权限控制方法，包括：
5.s1：收集访问者对于访问数据的访问行为信息，并基于所述访问行为信息获取行为轨迹；
6.s2：基于轨迹规则清单库，对所述行为轨迹进行分析和规则匹配，确定实际轨迹阈值，基于预设合法阈值集合判断所述访问者的行为是否合法；
7.s3：根据所述访问者的合法判断结果，对所述访问数据进行动态权限控制。
8.优选的，s1中，收集访问者对于访问数据的访问行为，并基于所述历史访问行为获取行为轨迹，包括：
9.从所述访问数据的访问记录表中提取所述访问者对应的历史访问记录，并基于所述历史访问记录，获取访问行为信息；
10.对所述访问行为信息按照行为属性进行划分，得到行为轨迹。
11.优选的，s2之前，还包括，建立所述轨迹规则清单库，包括：
12.获取合法访问者的合法访问行为，对所述合法访问行为进行特征学习，得到所述合法访问行为对应的合法判定规则；
13.获取非法访问者的非法访问行为，对所述非法访问行为进行特征学习，得到所述非法访问行为对应的非法判定规则；
14.基于所述合法判定规则和非法判定规则，建立所述轨迹规则清单库。
15.优选的，所述轨迹规则清单库还可以由人工根据具体访问行为特征，对所述轨迹规则清单库中的规则进行新增、修改及删除。
16.优选的，s2中，基于轨迹规则清单库，对所述行为轨迹进行分析和规则匹配，确定实际轨迹阈值，包括：
17.将所述行为轨迹按照访问时间点进行排序，得到轨迹序列；
18.将所述轨迹序列依次输入行为轨迹判断模型中，确定轨迹序列中的当前轨迹序列的对应行为属性，将所述对应行为属性的轨迹阈值加一；
19.直到所述轨迹序列在所述行为轨迹判断模型全部完成判断后，根据最终的轨迹阈值，确定每个行为属性对应的实际轨迹阈值。
20.优选的，s2中，基于预设合法阈值集合判断所述访问者的行为是否合法，包括：
21.基于所述合法阈值集合，判断每个行为属性对应的单个访问数据的实际轨迹阈值是否均在预设单个阈值范围内；
22.基于所述合法阈值集合，判断每个行为属性对应的累计访问数据的实际轨迹阈值是否均在预设累计阈值范围内；
23.若所述单个访问数据和累计访问数据的阈值分别均在所述预设单个阈值范围内和预设累计阈值范围内，确定所述访问者的行为合法；
24.否则，确定所述访问者的行为违法。
25.优选的，s2中，所述预设合法阈值集合的确定方式如下，包括：
26.获取所述访问者的身份信息，并获取所述访问者在本次访问中的第一访问时长和第一轨迹次数；
27.基于所述第一访问时长和第一轨迹次数，确定所述访问者对单个数据的单阈值可选取值范围；
28.获取所述访问者的历史行为轨迹，基于所述历史行为轨迹，确定所述访问者对累计数据的第二访问时长和第二轨迹次数；
29.基于所述第二访问时长和第二轨迹次数，确定所述访问者对累计数据的累计阈值可选取值范围；
30.基于所述访问者的身份信息，确定行为属性之间的制约关系，并基于所述制约关系，确定各个行为属性之间的阈值制约取值范围；
31.基于所述单个数据的数据特征，设置行为属性对应的最大单阈值取值；
32.基于所述单阈值可选取值范围、阈值制约取值范围和最大单阈值取值，确定所述单个数据对应的单合法阈值集合；
33.基于所述累计数据中每个数据的数据特征和每个数据之间的关联特征，设置行为属性对应的最大累计阈值取值；
34.基于所述累计阈值可选取值范围、阈值制约取值范围和最大累计阈值取值，确定所述累计数据对应的累计合法阈值集合；
35.所述单合法阈值集合和累计合法阈值集合，组成所述预设合法阈值集合。
36.优选的，根据所述访问者的合法判断结果，对所述访问数据进行动态权限控制，包括：
37.对所述访问数据按照角权限进行划分，得到多组权限访问数据，并为所述角权限匹配对应的权限资源；
38.基于所述角权限、权限访问数据和权限资源，建立角-数据-资源之间的对应
关系；
39.获取所述访问者的当前访问数据，并确定所述当前访问数据对应的初始角权限；
40.基于所述访问者的合法判断结果，判断所述访问者的行为是否合法；
41.若合法，将所述当前访问数据对应的全部权限资源授予所述访问者；
42.若非法，从所述访问者的合法判断结果中提取非法结果，并确定所述非法结果对应的未授权数据；
43.基于所述角-数据-资源之间的对应关系，确定所述未授权数据对应的非法角权限；
44.判断所述初始角权限中是否存在所述非法角权限；
45.若是，不对所述访问者的访问权限进行更改；
46.否则，确定所述非法角权限对应的非法权限资源，获取所述访问者的访问权限中包括的非法角权限作为目标角权限，从所述非法权限资源中获取与所述目标角权限对应的目标权限资源，并禁止所述访问者使用所述目标权限资源。
47.优选的，从所述访问者的合法判断结果中提取非法结果，并确定所述非法结果对应的未授权数据，包括：
48.从所述访问者的合法判断结果中提取出非法结果，并确定所述非法结果对应的非法累计轨迹阈值；
49.基于所述访问者的身份信息，确定任意两个行为属性之间的关联值；
50.基于所述非法累计轨迹阈值和关联值，确定所述非法结果对应的非法值；
51.判断所述非法值是否大于预设非法值；
52.若是，确定所述非法结果对应的未授权数据为全部的访问数据，且所述访问者对所述未授权数据不具有所有访问权限；
53.否则，基于所述非法值的大小确定提取比例，根据数据安全等级从所述访问数据提取所述提取比例的非法访问数据；
54.获取所述非法访问数据对应的非法单轨迹阈值；
55.基于所述非法单轨迹阈值和关联值，确定所述非法访问数据的对应的权限值；
56.基于所述权限值，确定所述非法访问数据的非法权限。
57.一种基于访问行为的动态数据权限控制装置，包括：
58.轨迹获取模块，用于收集访问者对于访问数据的访问行为信息，并基于所述访问行为信息获取行为轨迹；
59.行为判断模块，用于基于轨迹规则清单库，对所述行为轨迹进行分析和规则匹配，确定实际轨迹阈值，基于预设合法阈值集合判断所述访问者的行为是否合法；
60.权限控制模块，用于根据所述访问者的合法判断结果，对所述访问数据进行动态权限控制。
61.本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
62.下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。
附图说明
63.附图用来提供对本发明的进一步理解，并且构成说明书的一部分，与本发明的实施例一起用于解释本发明，并不构成对本发明的限制。在附图中：
64.图1为本发明实施例中一种基于访问行为的动态数据权限控制方法的流程图；
65.图2为本发明实施例中一种基于访问行为的动态数据权限控制方法具体实施例的流程图；
66.图3为本发明实施例中一种基于访问行为的动态数据权限控制方法中动态权限控制的流程图；
67.图4为本发明实施例中一种基于访问行为的动态数据权限控制装置的结构图。
具体实施方式
68.以下结合附图对本发明的优选实施例进行说明，应当理解，此处所描述的优选实施例仅用于说明和解释本发明，并不用于限定本发明。
69.实施例1
70.本发明实施例提供一种基于访问行为的动态数据权限控制方法，如图1所示，包括：
71.s1：收集访问者对于访问数据的访问行为，并基于所述访问行为信息获取行为轨迹；
72.s2：基于轨迹规则清单库，对所述行为轨迹进行分析和规则匹配，确定实际轨迹阈值，基于预设合法阈值集合判断所述访问者的行为是否合法；
73.s3：根据所述访问者的合法判断结果，对所述访问数据进行动态权限控制。
74.本方案对应的一个具体实施例，如图2所示，图片数据权限默认对所有人开放，即默认情况下所有人都可以访问数据。行为收集装置会对每一位访问者进行行为轨迹收集，包括：打开图片数据一次则打开数加一；如果访问者对图片数据进行截屏，则截屏数加一；如果访问者对数据进行分享，则分享数加一；如果访问者对图片数据进行下载保存，则下载数加一；对查看时长进行累计；等等。行为分析装置分析每一位访问者的行为轨迹，与规则清单库对比，判断访问者的行为是否合法。判断内容包括：单一数据或累计数据重复打开数据是否大于合法阀值？单一数据或累计数据的下载次数是否大于合法阀值？单一数据或累计数据的分享次数是否大于合法阀值？单一数据或累计数据的下载次数是否大于合法阀值？单一数据或累计数据的查看时长是否大于合法阀值？权限控制装置会对访问者的行为分析结果进行对应的权限控制，针对有非法行为的访问者，会进行权限限制，限制分为两大类，一类是仅对单份数据的访问进行访问限制，另一类是访问者对所有数据的访问均进行限制。访问限制会根据规则在一定条件下自动或手动解封，解封后，访问者对数据的访问恢复为正常。
75.在该实施例中，所述行为轨迹包括对访问数据的截图、分享、下载、重复打开等。
76.在该实施例中，所述预设合法阈值集合为每个行为轨迹属性对应一个阈值，例如截图阈值、分享阈值、下载阈值、重复打开阈值。
77.在该实施例中，所述轨迹规则清单库提供合法轨迹规则和非法轨迹规则，其中轨迹规则清单库能由人工新增、修改及删除。其中轨迹规则清单库能自动学习全体合法访问
者行为并更新规则清单，使得规则能合理和精准。
78.在该实施例中，本方案的动态权限控制流程如图3所示，根据所述访问者的合法判断结果，对所述访问数据进行动态权限控制具体为提供权限控制方法对数据访问进行动态权限控制，结合第二方面识别出访问者的行为是否合法后，自动对数据的权限进行控制，如果访问者行为非法则关闭其访问数据的权限，如果访问者行为合法，则开放数据权限，并继续进行轨迹收集和分析。
79.上述设计方案的有益效果是：本发明方法及装置默认所有的陌生人都是合法用户，向其开放权限，当其违规时及时关闭权限，能有效解决陌生人访问者权限控制的问题，不需要提前和陌生建立联系进行身份标识别并设置权限，从而减少合法陌生人访问者的流失；本发明方法及装置默认所有现有合法用户都有变非法的可能，向其开放权限的同时实时收集并分析行为，一旦其违规变为非法则及时关闭其访问权限，从而有效防止原合法老用户非法使用数据；本发明方法及装置既能不对合法的陌生人访问者设限，又能对不合法的老用户及时设限；保护数据访问过程的安全。
80.实施例2
81.基于实施例1是我基础上，本发明实施例提供一种基于访问行为的动态数据权限控制方法，s1中，收集访问者对于访问数据的访问行为，并基于所述历史访问行为获取行为轨迹，包括：
82.从所述访问数据的访问记录表中提取所述访问者对应的历史访问记录，并基于所述历史访问记录，获取访问行为信息；
83.对所述访问行为信息按照行为属性进行划分，得到行为轨迹。
84.在该实施例中，所述访问行为信息包括访问行为时间及其对应的访问操作。
85.在该实施例中，所述行为属性包括数据的截图、分享、下载、重复打开等。
86.上述设计方案的有益效果是：通过从访问数据的访问记录表中提取所述访问者对应的历史访问记录，最终得到访问者的行为轨迹，为访问者行为是否合法的判断提供数据基础。
87.实施例3
88.基于实施例1的基础上，本发明实施例提供一种基于访问行为的动态数据权限控制方法，s2之前，还包括，建立所述轨迹规则清单库，包括：
89.获取合法访问者的合法访问行为，对所述合法访问行为进行特征学习，得到所述合法访问行为对应的合法判定规则；
90.获取非法访问者的非法访问行为，对所述非法访问行为进行特征学习，得到所述非法访问行为对应的非法判定规则；
91.基于所述合法判定规则和非法判定规则，建立所述轨迹规则清单库。
92.上述设计方案的有益效果是：通过根据合法访问者和非法访问者的访问行为特征，来建立轨迹规则清单库，为访问者行为是否合法的判断提供依据。
93.实施例4
94.基于实施例3的基础上，本发明实施例提供一种基于访问行为的动态数据权限控制方法，所述轨迹规则清单库还可以由人工根据具体访问行为特征，对所述轨迹规则清单库中的规则进行新增、修改及删除。
95.上述设计方案的有益效果是：在建立轨迹规则清单库还可以由人工根据具体访问行为特征，对所述轨迹规则清单库中的规则进行新增、修改及删除，保证了轨迹规则清单库能够更加符合对实际访问者行为判断的要求，保证数据安全判断的准确性。
96.实施例5
97.基于实施例1的基础上，本发明实施例提供一种基于访问行为的动态数据权限控制方法，s2中，基于轨迹规则清单库，对所述行为轨迹进行分析和规则匹配，确定实际轨迹阈值，包括：
98.将所述行为轨迹按照访问时间点进行排序，得到轨迹序列；
99.将所述轨迹序列依次输入行为轨迹判断模型中，确定轨迹序列中的当前轨迹序列的对应行为属性，将所述对应行为属性的轨迹阈值加一；
100.直到所述轨迹序列在所述行为轨迹判断模型全部完成判断后，根据最终的轨迹阈值，确定每个行为属性对应的实际轨迹阈值。
101.上述设计方案的有益效果是：通过设计轨迹判断模型自动对轨迹序列进行分析，确定实际轨迹阈值，保证了实际轨迹阈值检测的效率和准确性。
102.实施例6
103.基于实施例1的基础上，本发明实施例提供一种基于访问行为的动态数据权限控制方法，基于预设合法阈值集合判断所述访问者的行为是否合法，包括：
104.基于所述合法阈值集合，判断每个行为属性对应的单个访问数据的实际轨迹阈值是否均在预设单个阈值范围内；
105.基于所述合法阈值集合，判断每个行为属性对应的累计访问数据的实际轨迹阈值是否均在预设累计阈值范围内；
106.若所述单个访问数据和累计访问数据的阈值分别均在所述预设单个阈值范围内和预设累计阈值范围内，确定所述访问者的行为合法；
107.否则，确定所述访问者的行为违法。
108.在该实施例中，所述合法阈值集合从两个方面划分，一方面从单个数据和累计数据进行划分，一方面从行为属性进行划分。
109.上述设计方案的有益效果是：通过设置合法阈值集合，从单个数据和累计数据确定在预设阈值范围内的访问者认定为合法，为判断访问者是否合法提供了依据。
110.实施例7
111.基于实施例1的基础上，本发明实施例提供一种基于访问行为的动态数据权限控制方法，s2中，所述预设合法阈值集合的确定方式如下，包括：
112.获取所述访问者的身份信息，并获取所述访问者在本次访问中的第一访问时长和第一轨迹次数；
113.基于所述第一访问时长和第一轨迹次数，确定所述访问者对单个数据的单阈值可选取值范围；
114.获取所述访问者的历史行为轨迹，基于所述历史行为轨迹，确定所述访问者对累计数据的第二访问时长和第二轨迹次数；
115.基于所述第二访问时长和第二轨迹次数，确定所述访问者对累计数据的累计阈值可选取值范围；
116.基于所述访问者的身份信息，确定行为属性之间的制约关系，并基于所述制约关系，确定各个行为属性之间的阈值制约取值范围；
117.基于所述单个数据的数据特征，设置行为属性对应的最大单阈值取值；
118.基于所述单阈值可选取值范围、阈值制约取值范围和最大单阈值取值，确定所述单个数据对应的单合法阈值集合；
119.基于所述累计数据中每个数据的数据特征和每个数据之间的关联特征，设置行为属性对应的最大累计阈值取值；
120.基于所述累计阈值可选取值范围、阈值制约取值范围和最大累计阈值取值，确定所述累计数据对应的累计合法阈值集合；
121.所述单合法阈值集合和累计合法阈值集合，组成所述预设合法阈值集合。
122.在该实施例中，行为分析分为两大类，一类是访问者累计的行为数据，另一类访问是访问者对单个数据的访问行为数据。
123.在该实施例中，所述单阈值可选取值范围由所述第一轨迹次数与第一访问时长的比值确定，所述比值越大，表明访问者的行为轨迹较多，因此对应的单阈值可选取值范围取值越大。
124.在该实施例中，所述累计阈值可选取值范围由所述第二轨迹次数和第二访问时长的比值确定，所述比值越大，表明访问者的行为轨迹较多，因此对应的累计阈值可选取值范围取值越大。
125.在该实施例中，所述阈值制约取值范围比如设计图片数据分享给设计师后，设计师一般只需要查看，无需下载和分享，即下载和分享的阀值可以设置为零。
126.在该实施例中，所述最大单阈值取值例如为数据的截图、分享、下载、重复打开的满足合法要求的最大取值。
127.在该实施例中，所述单合法阈值集合中每个行为属性对应的阈值取值同时满足所述单阈值可选取值范围、阈值制约取值范围和最大单阈值取值的要求。
128.在该实施例中，所述累计合法阈值集合中每个对应的阈值取值同时满足所述累计阈值可选取值范围、阈值制约取值范围和最大累计阈值取值的要求。
129.在该实施例中，所有阈值的取值范围均根据行为属性来划分，每种行为属性对应一个阈值范围。
130.上述设计方案的有益效果是：首先根据访问者的访问时长和行为轨迹次数初步确定阈值可选取值范围，再根据访问者的身份信息，阿里确定各个行为属性之间的阈值制约取值范围，可根据访问者的身份信息针对性地设置预设范围，使得到的阈值集合满足访问者的身份特征，最后根据访问者访问的数据的数据特征，来确定合法时行为属性对应的最大单阈值取值，针对数据的特征来针对性地设置最大阈值取值，使得到的阈值集合考虑访问数据的特征，综上，从访问者的访问时长、访问轨迹次数、访问者身份信息和访问数据特征多方面考虑，还划分单数据和累计数据分别进行分析，保证最终设置的预设合法阈值集合的准确性，为访问者的合法判断提供准确依据。
131.实施例8
132.基于实施例1的基础上，本发明实施例提供一种基于访问行为的动态数据权限控制方法，根据所述访问者的合法判断结果，对所述访问数据进行动态权限控制，包括：
133.对所述访问数据按照角权限进行划分，得到多组权限访问数据，并为所述角权限匹配对应的权限资源；
134.基于所述角权限、权限访问数据和权限资源，建立角-数据-资源之间的对应关系；
135.获取所述访问者的当前访问数据，并确定所述当前访问数据对应的初始角权限；
136.基于所述访问者的合法判断结果，判断所述访问者的行为是否合法；
137.若合法，将所述当前访问数据对应的全部权限资源授予所述访问者；
138.若非法，从所述访问者的合法判断结果中提取非法结果，并确定所述非法结果对应的未授权数据；
139.基于所述角-数据-资源之间的对应关系，确定所述未授权数据对应的非法角权限；
140.判断所述初始角权限中是否存在所述非法角权限；
141.若是，不对所述访问者的访问权限进行更改；
142.否则，确定所述非法角权限对应的非法权限资源，获取所述访问者的访问权限中包括的非法角权限作为目标角权限，从所述非法权限资源中获取与所述目标角权限对应的目标权限资源，并禁止所述访问者使用所述目标权限资源。
143.在该实施例中，所述访问者的当前访问数据和初始角权限为访问者在进行下一次访问之前确定的。
144.在该实施例中，所述访问者的行为为非法时，并不是所述访问者不能对全部的访问数据进行访问，具体对哪些数据禁止由哪些权限，则根据具体的非法结果分析得到。
145.上述设计方案的有益效果是：通过以访问者的当前访问数据与初始角权限作为所述访问者的初始权限，根据访问合法结果确定的所述访问者的是否合法结果，以控制分配权限资源的方式，来实现对数据的动态权限控制，能有效解决陌生人访问者权限控制的问题，不需要提前和陌生建立联系进行身份标识别并设置权限，从而减少合法陌生人访问者的流失；既能不对合法的陌生人访问者设限，又能对不合法的老用户及时设限；保护数据访问过程的安全。
146.实施例9
147.基于实施例8的基础上，本发明实施例提供一种基于访问行为的动态数据权限控制方法，从所述访问者的合法判断结果中提取非法结果，并确定所述非法结果对应的未授权数据，包括：
148.从所述访问者的合法判断结果中提取出非法结果，并确定所述非法结果对应的非法累计轨迹阈值；
149.基于所述访问者的身份信息，确定任意两个行为属性之间的关联值；
150.基于所述非法累计轨迹阈值和关联值，确定所述非法结果对应的非法值；
151.所述非法值的计算公式如下：
152.153.其中，f表示所述非法结果对应的非法值，e表示自然常数，取值为2.72，n表示任意两个行为属性之间的组合数，表示第i组中主动行为属性的权重值，取值为(0，1)，表示第i组中被动行为属性的权重值，表示第i组中主动行为属性的非法累计轨迹阈值，表示第i组中被动行为属性的非法累计轨迹阈值，γi表示第i组中的两个行为属性之间的关联值；
154.判断所述非法值是否大于预设非法值；
155.若是，确定所述非法结果对应的未授权数据为全部的访问数据，且所述访问者对所述未授权数据不具有所有访问权限；
156.否则，基于所述非法值的大小确定提取比例，根据数据安全等级从所述访问数据提取所述提取比例的非法访问数据；
157.获取所述非法访问数据对应的非法单轨迹阈值；
158.基于所述非法单轨迹阈值和关联值，确定所述非法访问数据的对应的权限值；
[0159][0160]
其中，h表示所述非法访问数据的对应的权限值，表示第i组中主动行为属性的非法单轨迹阈值，表示第i组中被动行为属性的非法单轨迹阈值，da表示所述主动行为属性的预设合法阈值，db表示所述被动行为属性的预设合法阈值，且
[0161]
基于所述权限值，确定所述非法访问数据的非法权限。
[0162]
在该实施例中，所述非法累计轨迹阈值由所述访问者对访问数据的累计行为轨迹确定。
[0163]
在该实施例中，所述非法单轨迹阈值由所述访问者对单个访问数据的行为轨迹确定。
[0164]
在该实施例中，所述非法权限为所述访问者对所述非法访问数据不允许的权限，例如不能进行下载等权限。
[0165]
在该实施例中，所述关联值表示任意两个行为属性之间的主动行为属性对被动行为属性的约束，约束越大，对应的关联值越大，且主动行为属性和被动行为属性确定根据行为属性的特征决定，例如查看行为作为主动行为属性，分享行为作为被动行为属性，且任意两个行为属性之间均存在一个主动行为属性和一个被动行为属性。
[0166]
在该实施例中，所述行为属性的权重值用于表示所述行为属性的行为存在非法行为的概率，概率越大，对应的权重值越大。
[0167]
上述设计方案的有益效果是：通过根据访问者的身份信息，确定任意两个行为属性之间的关联值，并以所述关联值为参考，结合所述累计非法轨迹阈值来确定出非法结果的非法值，从而确定出未授权数据，进一步，通过单非法轨迹阈值来确定每个未授权数据对应的非法权限，最终确定了未授权数据及其对应的非法权限，为控制分配权限资源提供基础。
[0168]
实施例10
[0169]
本发明实施例提供一种基于访问行为的动态数据权限控制装置，如图4所示，包括：
[0170]
轨迹获取模块，用于收集访问者对于访问数据的访问行为信息，并基于所述访问行为信息获取行为轨迹；
[0171]
行为判断模块，用于基于轨迹规则清单库，对所述行为轨迹进行分析和规则匹配，确定实际轨迹阈值，基于预设合法阈值集合判断所述访问者的行为是否合法；
[0172]
权限控制模块，用于根据所述访问者的合法判断结果，对所述访问数据进行动态权限控制。
[0173]
在该实施例中，所述行为轨迹包括对访问数据的截图、分享、下载、重复打开等。
[0174]
在该实施例中，所述预设合法阈值集合为每个行为轨迹属性对应一个阈值，例如截图阈值、分享阈值、下载阈值、重复打开阈值。
[0175]
在该实施例中，所述轨迹规则清单库提供合法轨迹规则和非法轨迹规则，其中轨迹规则清单库能由人工新增、修改及删除。其中轨迹规则清单库能自动学习全体合法访问者行为并更新规则清单，使得规则能合理和精准。
[0176]
上述设计方案的有益效果是：本发明方法及装置默认所有的陌生人都是合法用户，向其开放权限，当其违规时及时关闭权限，能有效解决陌生人访问者权限控制的问题，不需要提前和陌生建立联系进行身份标识别并设置权限，从而减少合法陌生人访问者的流失；本发明方法及装置默认所有现有合法用户都有变非法的可能，向其开放权限的同时实时收集并分析行为，一旦其违规变为非法则及时关闭其访问权限，从而有效防止原合法老用户非法使用数据；本发明方法及装置既能不对合法的陌生人访问者设限，又能对不合法的老用户及时设限；保护数据访问过程的安全。
[0177]
显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

技术特征：

1.一种基于访问行为的动态数据权限控制方法，其特征在于，包括：s1：收集访问者对于访问数据的访问行为信息，并基于所述访问行为信息获取行为轨迹；s2：基于轨迹规则清单库，对所述行为轨迹进行分析和规则匹配，确定实际轨迹阈值，基于预设合法阈值集合判断所述访问者的行为是否合法；s3：根据所述访问者的合法判断结果，对所述访问数据进行动态权限控制。2.根据权利要求1所述的一种基于访问行为的动态数据权限控制方法，其特征在于，s1中，收集访问者对于访问数据的访问行为，并基于所述历史访问行为获取行为轨迹，包括：从所述访问数据的访问记录表中提取所述访问者对应的历史访问记录，并基于所述历史访问记录，获取访问行为信息；对所述访问行为信息按照行为属性进行划分，得到行为轨迹。3.根据权利要求1所述的一种基于访问行为的动态数据权限控制方法，其特征在于，s2之前，还包括，建立所述轨迹规则清单库，包括：获取合法访问者的合法访问行为，对所述合法访问行为进行特征学习，得到所述合法访问行为对应的合法判定规则；获取非法访问者的非法访问行为，对所述非法访问行为进行特征学习，得到所述非法访问行为对应的非法判定规则；基于所述合法判定规则和非法判定规则，建立所述轨迹规则清单库。4.根据权利要求3所述的一种基于访问行为的动态数据权限控制方法，其特征在于，所述轨迹规则清单库还可以由人工根据具体访问行为特征，对所述轨迹规则清单库中的规则进行新增、修改及删除。5.根据权利要求1所述的一种基于访问行为的动态数据权限控制方法，其特征在于，s2中，基于轨迹规则清单库，对所述行为轨迹进行分析和规则匹配，确定实际轨迹阈值，包括：将所述行为轨迹按照访问时间点进行排序，得到轨迹序列；将所述轨迹序列依次输入行为轨迹判断模型中，确定轨迹序列中的当前轨迹序列的对应行为属性，将所述对应行为属性的轨迹阈值加一；直到所述轨迹序列在所述行为轨迹判断模型全部完成判断后，根据最终的轨迹阈值，确定每个行为属性对应的实际轨迹阈值。6.根据权利要求1所述的一种基于访问行为的动态数据权限控制方法，其特征在于，s2中，基于预设合法阈值集合判断所述访问者的行为是否合法，包括：基于所述合法阈值集合，判断每个行为属性对应的单个访问数据的实际轨迹阈值是否均在预设单个阈值范围内；基于所述合法阈值集合，判断每个行为属性对应的累计访问数据的实际轨迹阈值是否均在预设累计阈值范围内；若所述单个访问数据和累计访问数据的阈值分别均在所述预设单个阈值范围内和预设累计阈值范围内，确定所述访问者的行为合法；否则，确定所述访问者的行为违法。7.根据权利要求1所述的一种基于访问行为的动态数据权限控制方法，其特征在于，s2中，所述预设合法阈值集合的确定方式如下，包括：
获取所述访问者的身份信息，并获取所述访问者在本次访问中的第一访问时长和第一轨迹次数；基于所述第一访问时长和第一轨迹次数，确定所述访问者对单个数据的单阈值可选取值范围；获取所述访问者的历史行为轨迹，基于所述历史行为轨迹，确定所述访问者对累计数据的第二访问时长和第二轨迹次数；基于所述第二访问时长和第二轨迹次数，确定所述访问者对累计数据的累计阈值可选取值范围；基于所述访问者的身份信息，确定行为属性之间的制约关系，并基于所述制约关系，确定各个行为属性之间的阈值制约取值范围；基于所述单个数据的数据特征，设置行为属性对应的最大单阈值取值；基于所述单阈值可选取值范围、阈值制约取值范围和最大单阈值取值，确定所述单个数据对应的单合法阈值集合；基于所述累计数据中每个数据的数据特征和每个数据之间的关联特征，设置行为属性对应的最大累计阈值取值；基于所述累计阈值可选取值范围、阈值制约取值范围和最大累计阈值取值，确定所述累计数据对应的累计合法阈值集合；所述单合法阈值集合和累计合法阈值集合，组成所述预设合法阈值集合。8.根据权利要求1所述的一种基于访问行为的动态数据权限控制方法，其特征在于，根据所述访问者的合法判断结果，对所述访问数据进行动态权限控制，包括：对所述访问数据按照角权限进行划分，得到多组权限访问数据，并为所述角权限匹配对应的权限资源；基于所述角权限、权限访问数据和权限资源，建立角-数据-资源之间的对应关系；获取所述访问者的当前访问数据，并确定所述当前访问数据对应的初始角权限；基于所述访问者的合法判断结果，判断所述访问者的行为是否合法；若合法，将所述当前访问数据对应的全部权限资源授予所述访问者；若非法，从所述访问者的合法判断结果中提取非法结果，并确定所述非法结果对应的未授权数据；基于所述角-数据-资源之间的对应关系，确定所述未授权数据对应的非法角权限；判断所述初始角权限中是否存在所述非法角权限；若是，不对所述访问者的访问权限进行更改；否则，确定所述非法角权限对应的非法权限资源，获取所述访问者的访问权限中包括的非法角权限作为目标角权限，从所述非法权限资源中获取与所述目标角权限对应的目标权限资源，并禁止所述访问者使用所述目标权限资源。9.根据权利要求8所述的一种基于访问行为的动态数据权限控制方法，其特征在于，从所述访问者的合法判断结果中提取非法结果，并确定所述非法结果对应的未授权数据，包括：从所述访问者的合法判断结果中提取出非法结果，并确定所述非法结果对应的非法累
计轨迹阈值；基于所述访问者的身份信息，确定任意两个行为属性之间的关联值；基于所述非法累计轨迹阈值和关联值，确定所述非法结果对应的非法值；判断所述非法值是否大于预设非法值；若是，确定所述非法结果对应的未授权数据为全部的访问数据，且所述访问者对所述未授权数据不具有所有访问权限；否则，基于所述非法值的大小确定提取比例，根据数据安全等级从所述访问数据提取所述提取比例的非法访问数据；获取所述非法访问数据对应的非法单轨迹阈值；基于所述非法单轨迹阈值和关联值，确定所述非法访问数据的对应的权限值；基于所述权限值，确定所述非法访问数据的非法权限。10.一种基于访问行为的动态数据权限控制装置，其特征在于，包括：轨迹获取模块，用于收集访问者对于访问数据的访问行为信息，并基于所述访问行为信息获取行为轨迹；行为判断模块，用于基于轨迹规则清单库，对所述行为轨迹进行分析和规则匹配，确定实际轨迹阈值，基于预设合法阈值集合判断所述访问者的行为是否合法；权限控制模块，用于根据所述访问者的合法判断结果，对所述访问数据进行动态权限控制。

技术总结

本发明提供了一种基于访问行为的动态数据权限控制方法及装置，包括：收集访问者对于访问数据的访问行为信息，并基于所述访问行为信息获取行为轨迹；基于轨迹规则清单库，对所述行为轨迹进行分析和规则匹配，确定实际轨迹阈值，基于预设合法阈值集合判断所述访问者的行为是否合法；根据所述访问者的合法判断结果，对所述访问数据进行动态权限控制；本发明能够动态设置数据访问权限，达到向包括陌生用户在内的所有正常访问者开放权限、向包括原已获授权用户在内的所有非正常访问者关闭权限。获授权用户在内的所有非正常访问者关闭权限。获授权用户在内的所有非正常访问者关闭权限。