中圖分類號：TN915.08-34；TP311 文獻標(biāo)識碼：A 文章編號：1004-373X（2025）16-0050-05

Research and application analysis of business dynamic access control based on deep learning and adaptive technology

LIWei1，ZHANGJinjin2，ZHANGXiaoyan1 （1.China MobileCommunicationsGroup Shaanxi Co.，Ltd.，Xi’an71oo61，China; 2.Collegeof Armament Scienceand Technology，Xi'an Technological University，Xi'an 710o21，China）

Abstract：Inordertosolve theproblem thattraditionalaccess control meansare dificulttomeet therequirementsof dynamicassessmentandresponse，amethodofzero-trustsecurityaccessintegratingdeeplearningandadaptivedynamicaccess control（DA-ZeroTrust）isproposed.The vectorizedrepresentationofuserbehaviors isconstructedandthetemporal dependency relationshipsofinteractionsequenesareexploedsoastealizteontiuosaemetofuserbehaviorsandteection ofabnormaluseridentities.TheMarkovdecisionprocessisusedtoevaluatethevalueofaccessbehavior，soastorealizethe adaptiveallcationofdynamicaccesscontrol permissions.Theexperimentalresultsshowthatthismethodcan ffectively overcomekeytechnicaldificultiessuchasuser encoding，semanticfeatureextractionandabnormalbehaviordetection，andis able to quickly detect and respond to abnormal behaviors.

Keywords：accesscontrol;zerotrust;deeplearning；adaptivedynamicaccesscontrol;anomalydetection;Markovdecision process;access behavior value

0 引言

傳統(tǒng)的網(wǎng)絡(luò)安全防御機制將所有惡意攻擊和安全風(fēng)險都?xì)w咎于外部人侵，這實際上暗含了對內(nèi)部網(wǎng)絡(luò)環(huán)境中人員、設(shè)備、系統(tǒng)和應(yīng)用的信任。但近年來源于內(nèi)部系統(tǒng)的安全事件顯著增多，給傳統(tǒng)限制網(wǎng)絡(luò)邊界的信任評價帶來較多風(fēng)險，使得網(wǎng)絡(luò)邊界變得更加模糊，傳統(tǒng)網(wǎng)絡(luò)安全策略正遭遇諸多挑戰(zhàn)[1-2]。在云資源訪問、多云混合甚至云邊協(xié)同的環(huán)境下，用戶需要同時訪問部署在云端、邊緣和本地環(huán)境的業(yè)務(wù)，使得網(wǎng)絡(luò)環(huán)境更加復(fù)雜。原有的分域管理、單一功能的網(wǎng)絡(luò)安全管理已經(jīng)無法滿足要求3，需建立一個統(tǒng)一的身份認(rèn)證系統(tǒng)，并實現(xiàn)訪問控制的動態(tài)調(diào)整[4-5]。

本文剖析傳統(tǒng)網(wǎng)絡(luò)訪問控制機制，進一步挖掘用戶行為高階特性，進而提出一種結(jié)合深度學(xué)習(xí)和自適應(yīng)動態(tài)訪問控制的零信任安全訪問方法（DA-ZeroTrust）。

1基于深度學(xué)習(xí)和動態(tài)訪問控制的零信任安全訪問方法

1.1基于深度學(xué)習(xí)的身份驗證

零信任模型作為一種網(wǎng)絡(luò)安全方法論，其核心理念在于摒棄傳統(tǒng)的內(nèi)外部信任區(qū)分6-]，轉(zhuǎn)而要求對所有試圖訪問資源的實體進行持續(xù)的身份驗證與授權(quán)檢查[8-9]。然而，面向海量用戶操作日志，傳統(tǒng)人工識別用戶異常行為的方法變得十分困難；同時，隨著用戶訪問內(nèi)容的不斷豐富，有效融合多類型用戶信息給安全訪問框架帶來了較大挑戰(zhàn)。

為此，本文提出一種基于深度學(xué)習(xí)的身份驗證方法，即零信任安全訪問模型。首先利用映射編碼分別將用戶的行為、身份信息、網(wǎng)絡(luò)連接信息、物理位置信息轉(zhuǎn)化為向量嵌入表示[10-;然后采用池化操作進行特征融合，以構(gòu)建訪問用戶特征表示；最后引入長短期記憶（LSTM）網(wǎng)絡(luò)構(gòu)建用戶身份識別模型，以挖掘用戶身份的合法性及行為的異常性[12]。

針對系統(tǒng)內(nèi)用戶操作日志中以自然語言的方式存儲的用戶行為屬性，采用Skip-gram模型對文本數(shù)據(jù)進行詞向量化表示，進而獲取用戶行為的高階表示[]。在Skip-gram模型中，輸入層為日志中當(dāng)前詞匯 w 的上下文信息，輸出層以霍夫曼樹的結(jié)構(gòu)形式優(yōu)化模型，實現(xiàn)方式為負(fù)采樣算法。Skip-gram模型結(jié)構(gòu)圖如圖1所示。首先，最小化以下函數(shù)：

式中： 表示處理 時生成的負(fù)采樣子集。 公式為：

圖1Skip-gram模型結(jié)構(gòu)圖

然后，采用隨機梯度上升法進行參數(shù)優(yōu)化和計算。 表示關(guān)于參數(shù) θ^u 的梯度，公式如下：

于是可以得到詞向量 為：

針對身份信息、網(wǎng)絡(luò)連接信息、物理位置信息等以數(shù)字化方式存儲的屬性類型，采用嵌入映射的方式進行數(shù)據(jù)表示；然后，引入池化策略對用戶行為、發(fā)生時間和地理位置向量進行聚合，從而構(gòu)建用戶特征表示。池化操作示意圖如圖2所示。令池化函數(shù)為 pool（?） ，則用戶行為向量表征為：

u=pool（a_u，t_u，l_u）

最后，基于時序性用戶操作記錄所構(gòu)建的用戶行為向量表征，利用LSTM構(gòu)建用戶時序性交互間的長距離依賴關(guān)系，以捕獲序列中的動態(tài)信息，從而識別系統(tǒng)中的異常用戶。LSTM網(wǎng)絡(luò)主要由輸入門、遺忘門和輸出門這3個門控單元構(gòu)成。其中輸入為用戶交互行為序列 x₁，x₂，…，x_t， 輸出的用戶序列為 h₁，h₂，…，h_t， 計算過程為：

式中： σ 是激活函數(shù)； W 是權(quán)重矩陣； b 是偏置向量； c_t 是 Φ_t 時刻的記憶單元； i_t?Ot?zt 分別是輸入門、輸出門、遺忘門的輸出結(jié)果； h_t 為整個LSTM單元 Φ_t 時刻的輸出。

圖2池化操作示意圖

1.2自適應(yīng)動態(tài)訪問控制策略

為了防止未經(jīng)授權(quán)的訪問，訪問權(quán)限的管理與控制通常由訪問控制技術(shù)來實現(xiàn)[13]。自適應(yīng)訪問控制模型允許系統(tǒng)根據(jù)用戶的身份、環(huán)境條件以及其他實時因素動態(tài)地調(diào)整訪問權(quán)限，基本原理是：在每次訪問請求時，不僅要驗證用戶的身份，還要根據(jù)當(dāng)前的環(huán)境和條件來決定是否授予訪問權(quán)限[1415]。與現(xiàn)有方法不同，本研究在自適應(yīng)訪問控制策略方面，采用馬爾科夫決策過程評估訪問行為價值，根據(jù)用戶實時的上下文與行為信息進行訪問控制決策，從而實現(xiàn)根據(jù)訪問用戶和上下文信息進行決策控制，自適應(yīng)、動態(tài)化地調(diào)整訪問權(quán)限。最優(yōu)訪問價值計算公式為：

式中： V（s） 表示訪問主體在狀態(tài) s 下的最優(yōu)訪問價值； a 表示訪問行為； Pss′a 表示在狀態(tài) s 下執(zhí)行行為 αa 后轉(zhuǎn)移到狀態(tài) s′ 的概率； Rss′a 表示在狀態(tài) s 下執(zhí)行行為 αa 后轉(zhuǎn)移到狀態(tài) s′ 所獲得的獎勵； γ 表示折扣因子，用于調(diào)節(jié)對未來獎勵的重視程度。本文使用動態(tài)規(guī)劃方法計算 V（s） ，即迭代更新每個狀態(tài)的訪問價值，直到收斂。

1.3流程設(shè)計

在用戶訪問過程中，DA-ZeroTrust方法全程對用戶身份進行智能化評估，具體流程如圖3所示。

圖3用戶身份驗證流程

首先，收集用戶的身份信息、行為信息、網(wǎng)絡(luò)連接信息與物理位置信息等，利用基于深度學(xué)習(xí)的身份驗證模型構(gòu)建驗證規(guī)則，判別用戶的合法性；其次，利用自適應(yīng)動態(tài)訪問控制策略對識別出高風(fēng)險訪問行為的訪問者進行人臉識別與UKey多因素二次認(rèn)證；然后，對于確認(rèn)有問題的用戶撤銷訪問權(quán)限，對于識別無問題的用戶更新訪問控制策略，調(diào)整權(quán)限；最后，融合零信任安全訪問框架，構(gòu)建網(wǎng)絡(luò)安全防御體系，提高網(wǎng)絡(luò)監(jiān)控強度，進一步提升合法性。

2 實驗分析

為檢驗基于深度學(xué)習(xí)和自適應(yīng)動態(tài)訪問控制的零信任安全訪問方法在異常行為檢測方面的有效性，設(shè)計基于零信任網(wǎng)絡(luò)架構(gòu)的用戶異常行為檢測與訪問控制系統(tǒng)，如圖4所示。

圖4基于零信任架構(gòu)的用戶異常行為檢測與訪問控制系統(tǒng)

系統(tǒng)將零信任安全訪問控制作為核心，確保與客體數(shù)據(jù)層面的高效隔離。零信任檢測代理針對用戶進行持續(xù)驗證以及授權(quán)操作，再結(jié)合用戶異常行為檢測模塊，在用戶訪問中實時檢測安全風(fēng)險并進行信任賦值，從而憑借對用戶情況的持續(xù)評估，達(dá)成對用戶權(quán)限的動態(tài)管控，保障零信任網(wǎng)絡(luò)環(huán)境中用戶訪問行為的安全性與可控性。最后借助微隔離手段，針對用戶展開不間斷的信任評價調(diào)整并落實動態(tài)授權(quán)策略，從而保證用戶在全部訪問階段內(nèi)的身份可信，且處于有效管控之下。

在數(shù)據(jù)分析方面，本文采用某系統(tǒng)經(jīng)過3個月預(yù)處理后的系統(tǒng)日志作為DA-ZeroTrust方法的訓(xùn)練數(shù)據(jù)。同時，為了促使參數(shù)學(xué)習(xí)更具成效，在訓(xùn)練期間將2000條攻擊告警日志納入訓(xùn)練集，隨機在全量日志集中選取85% 作為測試集。訓(xùn)練集數(shù)據(jù)中的常見攻擊行為告警包括DDOS、端口掃描等。

為了驗證DA-ZeroTrust方法的準(zhǔn)確性、有效性與效率，將該方法與常用的深度學(xué)習(xí)算法進行實驗對比。通過測試數(shù)據(jù)的數(shù)據(jù)提取、行為編碼以及行為價值賦值等分析，對相關(guān)算法進行200次采樣，并比較不同方法的中斷次數(shù)和準(zhǔn)確率。實驗時本文在正常日志中以固定概率加入惡意行為，在檢測出用戶存在異常行為的情況下就會終止用戶操作，以驗證不同算法下對用戶行為的細(xì)粒度控制水平。

圖5所示為本文方法、CNN、RNN的訪問控制策略作用下的網(wǎng)絡(luò)中斷頻次，結(jié)果表明，本文方法作用下的中斷頻次吻合惡意行為加入概率。該方法基于用戶操作、任務(wù)狀態(tài)以及交互狀態(tài)形成用戶畫像，能夠更客觀地顯示惡意行為的特征。

圖5不同請求次數(shù)下中斷次數(shù)對比圖

圖6所示為三種方法在不同請求次數(shù)下準(zhǔn)確率的對比結(jié)果。

圖6不同請求次數(shù)下準(zhǔn)確率的對比

由圖可得到，CNN的平均準(zhǔn)確率為 91.44% ，RNN的平均準(zhǔn)確率為 91.90% ，而本文方法雖然存在一定隨機因素干擾，但平均準(zhǔn)確率達(dá)到 94.61% 。實驗結(jié)果表明，本文方法的平均準(zhǔn)確率最高，能夠較好地獲取用戶上下文之間的依賴關(guān)系。

3結(jié)語

本文提出了一種結(jié)合深度學(xué)習(xí)和自適應(yīng)動態(tài)訪問控制的零信任安全訪問方法（DA-ZeroTrust）。該方法采用用戶身份、行為等信息進行編碼，利用池化操作融合多類型用戶信息，構(gòu)建用戶特征表示；引人LSTM網(wǎng)絡(luò)捕獲長距離交互依賴關(guān)系，構(gòu)建用戶身份識別模型；最后，采用馬爾科夫決策過程評估訪問行為價值，以構(gòu)建自適應(yīng)動態(tài)化控制策略，實現(xiàn)用戶訪問權(quán)限的智能化分配。實驗結(jié)果表明，本文方法在準(zhǔn)確率方面表現(xiàn)優(yōu)越，顯著提升了對于惡意行為的識別能力。

參考文獻

[1]YUJ，KIME，KIMH，etal.Aframework fordetectingMAC andIP spoofing attacks with network characteristics[C]//2016 International Conference on Software Security and Assurance （ICSSA）.[S.l.]：IEEE，2016：49-53.

[2]JINQ，WANG L.Zero -trust based distributed collaborative dynamic access control scheme with deep multi -agent reinforcement learning [J]. EAI endorsed transactionson security and safety，2020，8（27）：1-9.

[3]HORNE D，NAIR S.Introducing zero trust by design： Principles and practice beyond the zero trust hype [M]// KEVIN D，HAMID R A，LEONIDASD，et al.Advancesin Security， Networks，and Internet of Things. [S.1.]： Springer， 2021：512-525.

[4]張劉天，陳丹偉.基于零信任的動態(tài)訪問控制模型研究[J].信 息安全研究，2022，8（10）：1008-1017.

[5]WUYG，YAN WH，WANGJZ.Real identity based access control technology under zero trust architecture [C]// 2021 International Conference on WirelessCommunicationsand Smart Grid （ICWCSG）. [S.l.]： IEEE，2021： 18-22.

[6]包森成，計晨曉.基于零信任的動態(tài)訪問控制技術(shù)研究[J].移 動通信，2024，48（1）：132-136.

[7]王斯梁，馮暄，蔡友保，等.零信任安全模型解析及應(yīng)用研究 [J].信息安全研究，2020，6（11）：966-971.

[8]章岐貴，黃海，汪有杰.基于零信任的軟件定義邊界安全模型 研究[J].信息技術(shù)與信息化，2020（11）：92-94.

[9]黃少忠.云環(huán)境下基于零信任的用戶行為異常檢測方法研究 [J].廣東通信技術(shù)，2023，43（8）：7-10.

[10] MANASWI N K. Deep learning with applications using Python：chatbotsand face，object，andspeechrecognition with TensorFlowand Keras[M]. Berkley：Apress，2018.

[11]ZHANGP，TIANC，SHANGT，etal.Dynamic access control technologybased on zero-trust lightverification network model [C]//2O21 International Conference on Communications， Information System and Computer Engineering （CISCE）. [S.l.]： IEEE，2021：712-715.

[12]HUANGW，XIEX，WANGZ，etal.A zerotrustandattributebased encryption scheme for dynamic access control in power IoTenvironments [C]// The International Conferenceon Natural Computation， FuzzySystemsand Knowledge Discovery.[S.l.]： Springer， 2022：1338-1345.

[13] MOHSENI E A. Real -time lightweight cloud-based access control for wearable IoT devices：a zero trust protocol [C]// Proceedings of the First International Workshop on Security and Privacy of Sensing Systems.[S.l.]：ACM，2023：22-29.

[14]HUAX，LIUJ，ZHANGJ，et al.An apollonius circle based game theory and Q- learning for cooperative hunting in unmanned aerial vehicle cluster[J].Computers and electrical engineering，2023，9（110）：1008876-1008892.

[15]ZHANGQQ，LUGN，WUZY.Internet ofThings data security managementsystem and method based on zero trust [C]//3rd International Conference on Management Science and Software Engineering.Qingdao：ICMSSE，2023：102.

[16]胡睿，張功萱，寇小勇.一種基于Fabric區(qū)塊鏈的云端數(shù)據(jù)動 態(tài)訪問控制方案[J].數(shù)據(jù)與計算發(fā)展前沿，2024，6（1）：150- 161.

[17]段煉，朱龍，岳巖巖，等.云計算環(huán)境下基于用戶訪問行為的 動態(tài)訪問控制模型的研究[J].移動通信，2021，45（6）：99-102.

[18]蔣屹新，匡曉云，楊祎巍，等.基于零信任模型的網(wǎng)絡(luò)安全防 御策略動態(tài)優(yōu)化的研究與實現(xiàn)[J].現(xiàn)代計算機，2024，30 （23）：128-132.

[19]寧梓淯，李萌，李燕，等.基于深度學(xué)習(xí)的廣域網(wǎng)教育信息安 全訪問自動化控制系統(tǒng)設(shè)計[J].電子設(shè)計工程，2025，33（6）： 100-103.

[20]李強，趙峰，宋衛(wèi)平，等.基于區(qū)塊鏈的異構(gòu)跨域雙向身份驗 證研究[J].電子設(shè)計工程，2024，32（21）：181-184.

作者簡介：李瑋（1975—），男，陜西西安人，碩士研究生，高級工程師，研究方向為網(wǎng)絡(luò)與信息安全張金金（1992—），女，陜西西安人，博士研究生，講師，研究方向為推薦系統(tǒng)和數(shù)據(jù)挖掘。張肖艷（1992—），女，陜西西安人，碩士研究生，研究方向為網(wǎng)絡(luò)與信息安全。