一种用户准入判断方法、装置、设备及存储介质与流程

1.本技术涉及网络安全技术领域，尤其涉及一种用户准入判断方法、装置、设备及存储介质。


背景技术：

2.伴随智能化、云服务常态化的发展，各企业和个人对网络的依赖愈发强烈，网络变得已异常复杂，攻击和安全事件频发，安全防护已由原来的单维、偶发、可针对性防护，逐渐形成全链条、随时可能被攻击、多维度甚至全生命周期的现状。多级用户准入策略又称为多层次用户准入策略，是一种能够综合运用多种技术手段、提供全访问的用户验证、授权和监控的机制，保护系统和资源的安全性，降低潜在威胁和风险，并提供对安全事件的检测、分析和响应能力的安全措施。也就是说，用户准入判断是用于确保只有合法和可信任的用户能够访问系统或资源，防止未经授权的用户或恶意行为对系统造成损害。多级用户准入策略和人工智能一样，已实践于多个领域，且具有较好的效果。
3.目前，针对用户准入判断的方法往往是单级、静态的策略，即大多根据黑白名单、系统认证、权限校验体系等静态策略实现对用户准入的判别依据，这种方法判定维度不够全面，判定结果不够准确。


技术实现要素：

4.本技术提供一种用户准入判断方法、装置、设备及存储介质，能够提高用户准入判断的准确性。
5.为达到上述目的，本技术采用如下技术方案：
6.本技术实施例第一方面，提供一种用户准入判断方法，该方法包括：
7.接收客户端发送的访问请求；
8.根据访问请求的外部环境对访问请求的安全级别进行判断，得到环境级判断结果，外部环境包括访问请求所属的网络环境、网络安全环境、政策环境、地理环境和突发事件；
9.若环境级判断结果满足第一预设条件，则根据访问请求访问的系统对应的准入规则对访问请求的安全级别进行判断，得到系统级判断结果；
10.若系统级判断结果满足第二预设条件，则根据预设的用户级准入策略模型对访问请求的安全级别进行判断，得到用户级判断结果，用户级准入策略模型是利用合法准入数据集和非法准入数据集训练预设的svm模型得到的；
11.若用户级判断结果满足第三预设条件，则确定执行访问请求。
12.在一个实施例中，若用户级判断结果满足第三预设条件之后，方法还包括：
13.根据环境级判断结果、系统级判断结果和用户级判断结果，确定目标判断结果；
14.若目标判断结果满足第四预设条件，则确定执行访问请求。
15.在一个实施例中，访问请求中包括对应的ip地址和域名；根据访问请求的外部环
境对访问请求的安全级别进行判断，得到环境级判断结果，包括：
16.根据ip地址或域名对应的网络环境对访问请求的安全性进行评分，得到第一环境评分；
17.根据ip地址或域名对访问请求的网络安全环境的安全性进行评分，得到第二环境评分，网络安全环境包括：企业黑名单、外部黑名单、一般ip和企业白名单；
18.根据ip地址或域名对访问请求的政策环境的安全性进行评分，得到第三环境评分，政策环境包括：ip地址或域名对应的企业属于政策鼓励企业、ip地址或域名对应的企业无对应的政策环境、ip地址或域名对应的企业属于政策不建议的企业、ip地址或域名对应的企业为政策禁止的企业；
19.根据ip地址或域名对访问请求所属的地理环境的安全性进行评分，得到第四环境评分，地理环境包括：ip地址或域名对应的地区为网络攻击频发地区、ip地址或域名对应的地区为网络攻击低发地区、ip地址或域名对应的地区为从未发生过网络攻击的地区；
20.根据ip地址或域名与突发事件的相关度对访问请求的安全性进行评分，得到第五环境评分；
21.将第一环境评分、第二环境评分、第三环境评分、第四环境评分和第五环境评分进行加权平均，得到环境级判断结果。
22.在一个实施例中，根据访问请求的访问的系统对应的准入规则对访问请求的安全级别进行判断，包括：
23.根据ip地址确定访问请求的用户类型，根据用户类型对访问请求的安全级别进行判断，得到第一系统评分，用户类型包括非法用户、合法用户和一般用户；
24.根据ip地址确定访问请求的名单类型，根据名单类型对方法请求的安全级别进行判断，得到第二系统评分，名单类型包括：当前系统黑名单、其他系统黑名单、正常名单、其他系统白名单、当前系统白名单；
25.根据ip地址确定访问请求的响应流量和当前系统的流量均值，确定访问请求的流量系数，根据流量系数得到第三系统评分；
26.根据ip地址是否匹配到当前系统的禁访问列表，得到第四系统评分；
27.将第一系统评分、第二系统评分、第三系统评分和第四系统评分进行加权平均，得到系统级判断结果。
28.在一个实施例中，在根据预设的用户级准入策略模型对访问请求的安全级别进行判断之前，方法还包括：
29.利用合法准入数据集和非法准入数据集组成的训练集训练预设的svm模型，若svm模型的训练迭代次数达到预设次数，或者svm模型的预测精度大于预设精度，则得到中间svm模型；
30.利用合法准入数据集和非法准入数据集组成的测试集测试中间svm模型，若中间svm模型的模型精度大于预设精度，则得到用户级准入策略模型。
31.在一个实施例中，根据预设的用户级准入策略模型对访问请求的安全级别进行判断，得到用户级安全判断结果，包括：
32.将访问请求输入至用户级准入策略模型，得到用户级准入策略模型的预测值，预测值用于指示访问请求为合法数据的概率；
33.根据预测值确定用户级判断结果。
34.在一个实施例中，根据环境级判断结果、系统级判断结果和用户级判断结果，得到目标判断结果，包括：
35.将环境级安全判断结果、系统级安全判断结果和用户级安全判断结果进行加权平均，得到目标判断结果。
36.本技术实施例第二方面，提供了一种用户准入判断装置，该装置包括：
37.接收模块，用于接收客户端发送的访问请求；
38.第一检测模块，用于根据访问请求的外部环境对访问请求的安全级别进行判断，得到环境级判断结果，外部环境包括访问请求所属的网络环境、网络安全环境、政策环境、地理环境和突发事件；
39.第二检测模块，用于若环境级判断结果满足第一预设条件，则根据访问请求访问的系统对应的准入规则对访问请求的安全级别进行判断，得到系统级判断结果；
40.第三检测模块，用于若系统级判断结果满足第二预设条件，则根据预设的用户级准入策略模型对访问请求的安全级别进行判断，得到用户级判断结果，用户级准入策略模型是利用合法准入数据集和非法准入数据集训练预设的svm模型得到的；
41.确定模块，用于若用户级判断结果满足第三预设条件，则确定执行访问请求。
42.本技术实施例提供了一种电子设备，包括存储器和处理器，存储器存储有计算机程序，计算机程序被处理器执行时实现本技术实施例第一方面中的用户准入判断方法。
43.本技术实施例提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现本技术实施例第一方面中的用户准入判断方法。
44.本技术实施例提供的技术方案带来的有益效果至少包括：
45.本技术实施例提供的用户准入判断方法，通过接收客户端发送的访问请求，并根据访问请求的外部环境对访问请求的安全级别进行判断，得到环境级判断结果，外部环境包括访问请求所属的网络环境、网络安全环境、政策环境、地理环境和突发事件；若环境级判断结果满足第一预设条件，则根据访问请求访问的系统对应的准入规则对访问请求的安全级别进行判断，得到系统级判断结果；若系统级判断结果满足第二预设条件，则根据预设的用户级准入策略模型对访问请求的安全级别进行判断，得到用户级判断结果，用户级准入策略模型是利用合法准入数据集和非法准入数据集训练预设的svm模型得到的；若用户级判断结果满足第三预设条件，则确定执行访问请求。这样，通过从环境级别、系统级别和用户级别进行多级准入判定，更全面考虑各个维度可信程度，层层判定是否可准入，再综合考虑所有因素，判定的维度更全面，判断结果更加准确。
附图说明
46.图1为本技术实施例提供的一种用户准入判断方法的流程图；
47.图2为本技术实施例提供的一种用户准入判断装置的结构图；
48.图3为本技术实施例提供的一种电子设备的内部结构示意图。
具体实施方式
49.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完
整地描述，显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
50.以下，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本公开实施例的描述中，除非另有说明，“多个”的含义是两个或两个以上。
51.另外，“基于”或“根据”的使用意味着开放和包容性，因为“基于”或“根据”一个或多个条件或值的过程、步骤、计算或其他动作在实践中可以基于额外条件或超出的值。
52.伴随智能化、云服务常态化的发展，各企业和个人对网络的依赖愈发强烈，网络变得已异常复杂，攻击和安全事件频发，安全防护已由原来的单维、偶发、可针对性防护，逐渐形成全链条、随时可能被攻击、多维度甚至全生命周期的现状。多级用户准入策略又称为多层次用户准入策略，是一种能够综合运用多种技术手段、提供全访问的用户验证、授权和监控的机制，保护系统和资源的安全性，降低潜在威胁和风险，并提供对安全事件的检测、分析和响应能力的安全措施。也就是说，用户准入判断是用于确保只有合法和可信任的用户能够访问系统或资源，防止未经授权的用户或恶意行为对系统造成损害。多级用户准入策略和人工智能一样，已实践于多个领域，且具有较好的效果。
53.目前，针对用户准入判断的方法往往是单级、静态的策略，即大多根据黑白名单、系统认证、权限校验体系等静态策略实现对用户准入的判别依据，这种方法判定维度不够全面，判定结果不够准确。
54.基于上述问题，本技术实施例提供了一种用户准入判断方法，通过从环境级别、系统级别和用户级别进行多级准入判定，更全面考虑各个维度可信程度，层层判定是否可准入，再综合考虑所有因素，判定的维度更全面，判断结果更加准确。
55.本技术实施例提供的一种用户准入判断方法，如图1所示，该方法具体包括以下步骤：
56.步骤101、接收客户端发送的访问请求。
57.访问请求中包括对应的ip地址和域名。
58.步骤102、根据访问请求的外部环境对访问请求的安全级别进行判断，得到环境级判断结果。
59.其中，外部环境包括访问请求所属的网络环境、网络安全环境、政策环境、地理环境和突发事件。
60.可选的，上述根据访问请求的外部环境对访问请求的安全级别进行判断，得到环境级判断结果的过程可以为：
61.根据ip地址或域名对应的网络环境对访问请求的安全性进行评分，得到第一环境评分。示例的，若ip地址或域名对应的网络环境为外部网络则为安全级别为三级，第一环境评分为50分。若ip地址或域名对应的网络环境为内部网络则为安全级别为二级，第一环境评分为75分。若ip地址或域名对应的网络环境为办公网络则安全级别为一级，第一环境评分为90分。
62.根据ip地址或域名对访问请求的网络安全环境的安全性进行评分，得到第二环境
评分，网络安全环境包括：企业黑名单、外部黑名单、一般ip和企业白名单。示例的，若ip地址或域名为外部黑名单，则安全级别为四级，第二环境评分为25分，这里的外部黑名单可以为公开的可信企业给出的黑名单，如威胁情报系统或政府指定评价系统给出的黑名单。若ip地址或域名为一般ip，则安全级别为三级，第二环境评分为50分。若ip地址或域名为外部白名单，则安全级别为二级，第二环境评分为75分。若ip地址或域名为本企业白名单，则安全级别为一级，第二环境评分为95分。
63.根据ip地址或域名对访问请求的政策环境的安全性进行评分，得到第三环境评分，政策环境包括：ip地址或域名对应的企业属于政策鼓励企业、ip地址或域名对应的企业无对应的政策环境、ip地址或域名对应的企业属于政策不建议的企业、ip地址或域名对应的企业为政策禁止的企业。示例的，若ip或域名所属行业或企业，属于政策鼓励行业或企业，则安全级别为一级，第三环境评分为70-90分；若ip或域名所属行业或企业无明确所属，则安全级别为二级，第三环境评分为50-70，若ip或域名所属行业或企业为政策不建议的企业或行业，则安全级别为三级，第三环境评分为30-50，若ip或域名所属行业或企业为政策禁止的企业或行业，则安全级别为四级，第三环境评分为5分。
64.根据ip地址或域名对访问请求所属的地理环境的安全性进行评分，得到第四环境评分，地理环境包括：ip地址或域名对应的地区为网络攻击频发地区、ip地址或域名对应的地区为网络攻击低发地区、ip地址或域名对应的地区为从未发生过网络攻击的地区。示例的，若ip地址ip或域名来源地址为网络攻击频发地区，则安全级别为3级，第四环境评分为20-40；若ip地址ip或域名来源地址为网络攻击偶尔有发生地区，则安全级别为2级，第四环境评分为40-60；若ip地址ip或域名来源地址从未暴露发生过网络安全事件的地区，则安全级别为1级，第四环境评分为60-80。
65.根据ip地址或域名与突发事件的相关度对访问请求的安全性进行评分，得到第五环境评分。示例的，若ip地址或域名与行业和企业突发事件均相关，则安全级别为四级，第五环境评分为20-40；若ip地址或域名仅与企业安全事件有关，则安全级别为三级，第五环境评分为30-50；若ip地址或域名仅与行业安全事件有关，则安全级别为二级，第五环境评分为40～60，若ip地址或域名与企业和行业安全事件均不相关，则安全级别为一级，第五环境评分为60-85。
66.将第一环境评分、第二环境评分、第三环境评分、第四环境评分和第五环境评分进行加权平均，得到环境级判断结果。
67.具体的，可以使用专家打分法，网络环境、网络安全环境、政策环境、地理环境、突发事件的权重比例可以为：20％:15％:15％:20％:20％:10％。当然，权重比例可以根据判断的侧重点不同进行认为设置，本技术对此不作具体限定。
68.步骤103、若环境级判断结果满足第一预设条件，则根据访问请求访问的系统对应的准入规则对访问请求的安全级别进行判断，得到系统级判断结果。
69.其中，环境级判断结果满足第一预设条件，可以理解为环境级考核的评分结果满足预设的第一考核阈值。
70.可选的，上述根据访问请求的访问的系统对应的准入规则对访问请求的安全级别进行判断的过程可以为：
71.根据ip地址确定访问请求的用户类型，根据用户类型对访问请求的安全级别进行
判断，得到第一系统评分，用户类型包括非法用户、合法用户和一般用户。示例的，若ip地址被判定为非法用户，则安全级别为三级，第一系统评分为5分；若ip地址被判定为异常用户，则安全级别为二级，第一系统评分为40～60分，这里的异常用户是指长时间不登录、频繁被锁定等用户；若ip地址被判定为一般用户，则安全级别为一级，第一系统评分为90分。
72.根据ip地址确定访问请求的名单类型，根据名单类型对方法请求的安全级别进行判断，得到第二系统评分，名单类型包括：当前系统黑名单、其他系统黑名单、正常名单、其他系统白名单、当前系统白名单。示例的，若ip地址或域名属于当前系统黑名单，则安全级别为五级，第二系统评分为5分；若ip地址或域名属于本单位其他系统黑名单，则安全级别为四级，第二系统评分为25分；若ip地址或域名属于一般ip或域名，则安全级别为三级，第二系统评分为50分；若ip地址或域名属于本单位其它系统白名单，则安全级别为二级，第二系统评分为75分；若ip地址或域名属于本系统白名单，则安全级别为一级，第二系统评分为95分。
73.根据ip地址确定访问请求的响应流量和当前系统的流量均值，确定访问请求的流量系数，根据流量系数得到第三系统评分。其中，流量系数可以为10分钟内实际平均流量/系统流量均值*100％。示例的，若k《＝100％，则安全级别为一级，第三系统评分为70-90分；若100％《k《＝200％则安全级别为二级，第三系统评分为50-70；若200％《k《＝300％，则安全级别为三级，第三系统评分为30-50，若300％《k，则安全级别为四级，第三系统评分为5-30。
74.根据ip地址是否匹配到当前系统的禁访问列表，得到第四系统评分。示例的，若ip地址匹配到系统的禁直接访问列表，则安全级别为三级，第四系统评分为10-40；若ip地址匹配到系统级acl访问风险列表，则安全级别为二级，此时第四系统评分＝110-风险程度(百分数)*100；未ip地址匹配到任何列表，则安全级别为一级，第四系统评分为85。
75.将第一系统评分、第二系统评分、第三系统评分和第四系统评分进行加权平均，得到系统级判断结果。
76.示例的，第一系统评分、第二系统评分、第三系统评分和第四系统评分的依次权重为：25％：40％：15％：20％。当前权重比例可以根据判断的侧重点不同进行认为设置，本技术对此不作具体限定。
77.步骤104、若系统级判断结果满足第二预设条件，则根据预设的用户级准入策略模型对访问请求的安全级别进行判断，得到用户级判断结果。
78.其中，用户级准入策略模型是利用合法准入数据集和非法准入数据集训练预设的svm模型得到的。
79.其中，系统级判断结果满足第二预设条件，可以理解为系统级判断结果的评分值满足预设的第二考核阈值。
80.需要说明的是，在根据预设的用户级准入策略模型对访问请求的安全级别进行判断之前，方法还包括：利用训练集训练预设的svm模型，若svm模型的训练迭代次数达到预设次数，或者svm模型的预测精度大于预设精度，则得到中间svm模型；利用测试集测试中间svm模型，若中间svm模型的模型精度大于预设精度，则得到用户级准入策略模型。
81.在实际执行过程中，上述模型的训练过程可以为：构建svm模型。根据数据集和数据集对应的特征集合，构建svm模型；确定核函数参数、损失函数、误差值w、参数步长、训练
迭代次数n等模型相关参数。将数据集输入到svm模型中执行训练。在训练过程中，如果实际误差小于w或者训练迭代次数达到n，则训练结束。训练结束后，使用测试集验证模型。如果其实际的误差值总是小于w则验证成功，否则调整初始参数或模型，再训练模型，重复此过程，最终使得误差值小于w即可。选择svm模型作为用户级准入策略模型的优势：用户级准入策略模型，本质上为二分类模型，而svm相对于其他二分类智能算法而言，其具有较大的优势：高效。svm模型在中等规模数据集时相对于其他二分类较高效；可解释。svm的决策边界由支持向量决定，svm能够对分类结果可视化和可解释。抗噪能力强，svm在训练过程中最大化了间隔，使其对噪音和异常点具有较好的鲁棒性。参数调节灵活。svm的正则化参数、核函数参数等可以根据在训练过程中进行调整。
82.可选的，根据预设的用户级准入策略模型对访问请求的安全级别进行判断，得到用户级安全判断结果的过程可以为：将访问请求输入至用户级准入策略模型，得到用户级准入策略模型的预测值，预测值用于指示访问请求为合法数据的概率；根据预测值确定用户级判断结果。
83.示例的，若预测值为大于80％，则说明安全级别较高，则用户级判断结果的评分值可以为80分，若预测值小于80％大于60％，则用户判断结果的评分值可以为65分，若预测值小于60％大于40％，则用户判断结果的评分值可以为40分，若预测值小于40％，则用户判断结果的评分值可以为10分。
84.步骤105、若用户级判断结果满足第三预设条件，则确定执行访问请求。
85.其中，用户级判断结果满足第三预设条件可以理解为用户级判断结果的评分值满足预设的第三考核阈值。
86.此外，若用户级判断结果满足第三预设条件之后，方法还包括：
87.根据环境级判断结果、系统级判断结果和用户级判断结果，确定目标判断结果；若目标判断结果满足第四预设条件，则确定执行访问请求。
88.也就是说，在用户级判断结果满足第三预设条件之后，还综合了环境级准入判定结果、系统级准入判定结果和用户级准入判定结果要素，使用加权平均法(如可设置为25％、30％、45％)将上述三者的可信值进行计算，即得到综合可信值。若综合可信值小于综合阈值(综合阈值由专家给出，与具体系统相关，一般设置为60～75)，则拒绝准入，否则给予准入。
89.可以理解的是，综合准入判定的意义：上述三个级别的判定均为单独判定，当三级的判定结果均为真时，并不能说明当前请求合法性很高，综合考虑三者的结果，可以得到更高准确度的判断结果。
90.综合准入判定算法：y＝环境级判断结果*25％+系统级判断结果*30％+用户级判断结果*45％。一般而言，用户级准入策略权重较大，因为用户级准入策略控制相对较细致，且与请求实际相关参数整体性考虑更全面。
91.本技术实施例提供的用户准入方法，通过接收客户端发送的访问请求，并根据访问请求的外部环境对访问请求的安全级别进行判断，得到环境级判断结果，外部环境包括访问请求所属的网络环境、网络安全环境、政策环境、地理环境和突发事件；若环境级判断结果满足第一预设条件，则根据访问请求访问的系统对应的准入规则对访问请求的安全级别进行判断，得到系统级判断结果；若系统级判断结果满足第二预设条件，则根据预设的用
户级准入策略模型对访问请求的安全级别进行判断，得到用户级判断结果，用户级准入策略模型是利用合法准入数据集和非法准入数据集训练预设的svm模型得到的；若用户级判断结果满足第三预设条件，则确定执行访问请求。这样，通过从环境级别、系统级别和用户级别进行多级准入判定，更全面考虑各个维度可信程度，层层判定是否可准入，再综合考虑所有因素，判定的维度更全面，判断结果更加准确。
92.此外，本技术实施例提供的用户准入判断方法，各级别判定独立、灵活、可控。环境级、系统级、用户级判定模型相互独立，灵活性更强，对准入判定的可解释性更强。单级别判定和综合判定相结合，整体策略高内聚低耦合，判定结果可信度和准确度更高。单级策略充分考虑本级相关因素，综合判定全面考虑所有因素，使得判定结果准确性更高。准入策略支持部分、整体更新。各级策略可根据各自的更新策略单独更新，也可根据某种机制整体更新。及时更新后策略的判定效率、准确性更高。用户级准入策略模型使用svm训练而来，相对于传统的基于规则的匹配，准确率和性能均更优。整体判定流程清晰、简洁，具有较高的可维护性。
93.如图2所示，本技术实施例提供了一种用户准入判断装置，该装置包括：
94.接收模块11，用于接收客户端发送的访问请求；
95.第一检测模块12，用于根据访问请求的外部环境对访问请求的安全级别进行判断，得到环境级判断结果，外部环境包括访问请求所属的网络环境、网络安全环境、政策环境、地理环境和突发事件；
96.第二检测模块13，用于若环境级判断结果满足第一预设条件，则根据访问请求访问的系统对应的准入规则对访问请求的安全级别进行判断，得到系统级判断结果；
97.第三检测模块14，用于若系统级判断结果满足第二预设条件，则根据预设的用户级准入策略模型对访问请求的安全级别进行判断，得到用户级判断结果，用户级准入策略模型是利用合法准入数据集和非法准入数据集训练预设的svm模型得到的；
98.确定模块15，用于若用户级判断结果满足第三预设条件，则确定执行访问请求。
99.在一个实施例中，确定模块15还用于：
100.根据环境级判断结果、系统级判断结果和用户级判断结果，确定目标判断结果；若目标判断结果满足第四预设条件，则确定执行访问请求。
101.在一个实施例中，访问请求中包括对应的ip地址和域名；第一检测模块12具体用于：
102.根据ip地址或域名对应的网络环境对访问请求的安全性进行评分，得到第一环境评分；
103.根据ip地址或域名对访问请求的网络安全环境的安全性进行评分，得到第二环境评分，网络安全环境包括：企业黑名单、外部黑名单、一般ip和企业白名单；
104.根据ip地址或域名对访问请求的政策环境的安全性进行评分，得到第三环境评分，政策环境包括：ip地址或域名对应的企业属于政策鼓励企业、ip地址或域名对应的企业无对应的政策环境、ip地址或域名对应的企业属于政策不建议的企业、ip地址或域名对应的企业为政策禁止的企业；
105.根据ip地址或域名对访问请求所属的地理环境的安全性进行评分，得到第四环境评分，地理环境包括：ip地址或域名对应的地区为网络攻击频发地区、ip地址或域名对应的
地区为网络攻击低发地区、ip地址或域名对应的地区为从未发生过网络攻击的地区；
106.根据ip地址或域名与突发事件的相关度对访问请求的安全性进行评分，得到第五环境评分；
107.将第一环境评分、第二环境评分、第三环境评分、第四环境评分和第五环境评分进行加权平均，得到环境级判断结果。
108.在一个实施例中，第二检测模块13具体用于：
109.根据ip地址确定访问请求的用户类型，根据用户类型对访问请求的安全级别进行判断，得到第一系统评分，用户类型包括非法用户、合法用户和一般用户；
110.根据ip地址确定访问请求的名单类型，根据名单类型对方法请求的安全级别进行判断，得到第二系统评分，名单类型包括：当前系统黑名单、其他系统黑名单、正常名单、其他系统白名单、当前系统白名单；
111.根据ip地址确定访问请求的响应流量和当前系统的流量均值，确定访问请求的流量系数，根据流量系数得到第三系统评分；
112.根据ip地址是否匹配到当前系统的禁访问列表，得到第四系统评分；
113.将第一系统评分、第二系统评分、第三系统评分和第四系统评分进行加权平均，得到系统级判断结果。
114.在一个实施例中，装置还包括训练模块16，训练模块16用于：
115.利用训练集训练预设的svm模型，若svm模型的训练迭代次数达到预设次数，或者svm模型的预测精度大于预设精度，则得到中间svm模型；
116.利用测试集测试中间svm模型，若中间svm模型的模型精度大于预设精度，则得到用户级准入策略模型。
117.在一个实施例中，第三检测模块14具体用于：
118.将访问请求输入至用户级准入策略模型，得到用户级准入策略模型的预测值，预测值用于指示访问请求为合法数据的概率；
119.根据预测值确定用户级判断结果。
120.在一个实施例中，确定模块15具体用于：
121.将环境级安全判断结果、系统级安全判断结果和用户级安全判断结果进行加权平均，得到目标判断结果。
122.本实施例提供的用户准入判断装置，可以执行上述方法实施例，其实现原理和技术效果类似，在此不再多加赘述。关于用户准入判断装置的具体限定可以参见上文中对于用户准入判断方法的限定，在此不再赘述。
123.本技术实施例提供的用户准入判断方法的执行主体可以为电子设备，计算机设备、服务器或服务器集群，本技术实施例对此不作具体限定。
124.图3为本技术实施例提供的一种电子设备的内部结构示意图。如图3所示，该电子设备包括通过系统总线连接的处理器和存储器。其中，该处理器用于提供计算和控制能力。存储器可包括非易失性存储介质及内存储器。非易失性存储介质存储有操作系统和计算机程序。该计算机程序可被处理器所执行，以用于实现以上各个实施例提供的用户准入判断方法的步骤。内存储器为非易失性存储介质中的操作系统和计算机程序提供高速缓存的运行环境。
125.本领域技术人员可以理解，图3中示出电子设备的内部结构图，仅仅是与本技术方案相关的部分结构的框图，并不构成对本技术方案所应用于其上的电子设备的限定，具体的电子设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。
126.本技术另一实施例中，还提供一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现如本技术实施例的用户准入判断方法的步骤。
127.本技术另一实施例中，还提供一种计算机程序产品，该计算机程序产品包括计算机指令，当计算机指令在服务器上运行时，使得电子设备执行上述方法实施例所示的方法流程中用户准入判断方法执行的各个步骤。
128.在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件程序实现时，可以全部或部分地以计算机程序产品的形式来实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机执行指令时，全部或部分地产生按照本技术实施例的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，计算机指令可以从一个网站站点、计算机、服务器或者数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line，dsl))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可以用介质集成的服务器、数据中心等数据存储设备。可用介质可以是磁性介质(例如，软盘、硬盘、磁带)，光介质(例如，dvd)、或者半导体介质(例如固态硬盘(solid state disk，ssd))等。
129.以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
130.以上实施例仅表达了本技术的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本技术构思的前提下，还可以做出若干变形和改进，这些都属于本技术的保护范围。因此，本技术专利的保护范围应以所附权利要求为准。

技术特征：
1.一种用户准入判断方法，其特征在于，所述方法包括：接收客户端发送的访问请求；根据所述访问请求的外部环境对所述访问请求的安全级别进行判断，得到环境级判断结果，所述外部环境包括所述访问请求所属的网络环境、网络安全环境、政策环境、地理环境和突发事件；若所述环境级判断结果满足第一预设条件，则根据所述访问请求访问的系统对应的准入规则对所述访问请求的安全级别进行判断，得到系统级判断结果；若所述系统级判断结果满足第二预设条件，则根据所述预设的用户级准入策略模型对所述访问请求的安全级别进行判断，得到用户级判断结果，所述用户级准入策略模型是利用合法准入数据集和非法准入数据集训练预设的svm模型得到的；若所述用户级判断结果满足第三预设条件，则确定执行所述访问请求。2.根据权利要求1所述的方法，其特征在于，所述若所述用户级判断结果满足第三预设条件之后，所述方法还包括：根据所述环境级判断结果、所述系统级判断结果和所述用户级判断结果，确定目标判断结果；若所述目标判断结果满足第四预设条件，则确定执行所述访问请求。3.根据权利要求1所述的方法，其特征在于，所述访问请求中包括对应的ip地址和域名；所述根据所述访问请求的外部环境对所述访问请求的安全级别进行判断，得到环境级判断结果，包括：根据所述ip地址或域名对应的网络环境对所述访问请求的安全性进行评分，得到第一环境评分；根据所述ip地址或域名对所述访问请求的网络安全环境的安全性进行评分，得到第二环境评分，所述网络安全环境包括：企业黑名单、外部黑名单、一般ip和企业白名单；根据所述ip地址或域名对所述访问请求的政策环境的安全性进行评分，得到第三环境评分，所述政策环境包括：所述ip地址或域名对应的企业属于政策鼓励企业、所述ip地址或域名对应的企业无对应的政策环境、所述ip地址或域名对应的企业属于政策不建议的企业、所述ip地址或域名对应的企业为政策禁止的企业；根据所述ip地址或域名对所述访问请求所属的地理环境的安全性进行评分，得到第四环境评分，所述地理环境包括：所述ip地址或域名对应的地区为网络攻击频发地区、所述ip地址或域名对应的地区为网络攻击低发地区、所述ip地址或域名对应的地区为从未发生过网络攻击的地区；根据所述ip地址或域名与所述突发事件的相关度对所述访问请求的安全性进行评分，得到第五环境评分；将所述第一环境评分、所述第二环境评分、所述第三环境评分、所述第四环境评分和所述第五环境评分进行加权平均，得到所述环境级判断结果。4.根据权利要求3所述的方法，其特征在于，所述根据所述访问请求的访问的系统对应的准入规则对所述访问请求的安全级别进行判断，包括：根据所述ip地址确定所述访问请求的用户类型，根据所述用户类型对所述访问请求的安全级别进行判断，得到第一系统评分，所述用户类型包括非法用户、合法用户和一般用
户；根据所述ip地址确定所述访问请求的名单类型，根据所述名单类型对所述访问请求的安全级别进行判断，得到第二系统评分，所述名单类型包括：当前系统黑名单、其他系统黑名单、正常名单、其他系统白名单、当前系统白名单；根据所述ip地址确定所述访问请求的响应流量和当前系统的流量均值，确定所述访问请求的流量系数，根据所述流量系数得到第三系统评分；根据所述ip地址是否匹配到当前系统的禁访问列表，得到第四系统评分；将所述第一系统评分、第二系统评分、第三系统评分和第四系统评分进行加权平均，得到所述系统级判断结果。5.根据权利要求1所述的方法，其特征在于，所述在根据所述预设的用户级准入策略模型对所述访问请求的安全级别进行判断之前，所述方法还包括：利用所述合法准入数据集和所述非法准入数据集组成的训练集训练所述预设的svm模型，若所述svm模型的训练迭代次数达到预设次数，或者所述svm模型的预测精度大于预设精度，则得到中间svm模型；利用所述合法准入数据集和所述非法准入数据集组成的测试集测试所述中间svm模型，若所述中间svm模型的模型精度大于所述预设精度，则得到所述用户级准入策略模型。6.根据权利要求1或5所述的方法，其特征在于，所述根据所述预设的用户级准入策略模型对所述访问请求的安全级别进行判断，得到用户级安全判断结果，包括：将所述访问请求输入至所述用户级准入策略模型，得到所述用户级准入策略模型的预测值，所述预测值用于指示所述访问请求为合法数据的概率；根据所述预测值确定所述用户级判断结果。7.根据权利要求2所述的方法，其特征在于，所述根据所述环境级判断结果、所述系统级判断结果和所述用户级判断结果，得到目标判断结果，包括：将所述环境级安全判断结果、所述系统级安全判断结果和所述用户级安全判断结果进行加权平均，得到所述目标判断结果。8.一种用户准入判断装置，其特征在于，所述装置包括：接收模块，用于接收客户端发送的访问请求；第一检测模块，用于根据所述访问请求的外部环境对所述访问请求的安全级别进行判断，得到环境级判断结果，所述外部环境包括所述访问请求所属的网络环境、网络安全环境、政策环境、地理环境和突发事件；第二检测模块，用于若所述环境级判断结果满足第一预设条件，则根据所述访问请求访问的系统对应的准入规则对所述访问请求的安全级别进行判断，得到系统级判断结果；第三检测模块，用于若所述系统级判断结果满足第二预设条件，则根据所述预设的用户级准入策略模型对所述访问请求的安全级别进行判断，得到用户级判断结果，所述用户级准入策略模型是利用合法准入数据集和非法准入数据集训练预设的svm模型得到的；确定模块，用于若所述用户级判断结果满足第三预设条件，则确定执行所述访问请求。9.一种电子设备，其特征在于，包括存储器和处理器，所述存储器存储有计算机程序，所述计算机程序被所述处理器执行时实现权利要求1-7任一项所述的用户准入判断方法。10.一种计算机可读存储介质，其特征在于，其上存储有计算机程序，所述计算机程序
被处理器执行时实现权利要求1-7任一项所述的用户准入判断方法。

技术总结
本申请公开一种用户准入判断方法、装置、设备及存储介质，涉及网络安全技术领域，能够提高用户准入判断的准确性。具体方案包括：接收客户端发送的访问请求；根据访问请求的外部环境对访问请求的安全级别进行判断，得到环境级判断结果；若环境级判断结果满足第一预设条件，则根据访问请求访问的系统对应的准入规则对访问请求的安全级别进行判断，得到系统级判断结果；若系统级判断结果满足第二预设条件，则根据预设的用户级准入策略模型对访问请求的安全级别进行判断，得到用户级判断结果，用户级准入策略模型是利用合法准入数据集和非法准入数据集训练预设的SVM模型得到的；若用户级判断结果满足第三预设条件，则确定执行访问请求。问请求。问请求。


技术研发人员：雷小辉 马坤 郑玮 朱利军
受保护的技术使用者：西安四叶草信息技术有限公司
技术研发日：2023.07.06
技术公布日：2023/10/8