結合深度學習和自適應的業務動態訪問控制研究及應用分析

中圖分類號：TN915.08-34；TP311 文獻標識碼：A 文章編號：1004-373X（2025）16-0050-05

Research and application analysis of business dynamic access control based on deep learning and adaptive technology

LIWei1，ZHANGJinjin2，ZHANGXiaoyan1 （1.China MobileCommunicationsGroup Shaanxi Co.，Ltd.，Xi’an71oo61，China; 2.Collegeof Armament Scienceand Technology，Xi'an Technological University，Xi'an 710o21，China）

Abstract：Inordertosolve theproblem thattraditionalaccess control meansare dificulttomeet therequirementsof dynamicassessmentandresponse，amethodofzero-trustsecurityaccessintegratingdeeplearningandadaptivedynamicaccess control（DA-ZeroTrust）isproposed.The vectorizedrepresentationofuserbehaviors isconstructedandthetemporal dependency relationshipsofinteractionsequenesareexploedsoastealizteontiuosaemetofuserbehaviorsandteection ofabnormaluseridentities.TheMarkovdecisionprocessisusedtoevaluatethevalueofaccessbehavior，soastorealizethe adaptiveallcationofdynamicaccesscontrol permissions.Theexperimentalresultsshowthatthismethodcan ffectively overcomekeytechnicaldificultiessuchasuser encoding，semanticfeatureextractionandabnormalbehaviordetection，andis able to quickly detect and respond to abnormal behaviors.

Keywords：accesscontrol;zerotrust;deeplearning；adaptivedynamicaccesscontrol;anomalydetection;Markovdecision process;access behavior value

0 引言

傳統的網絡安全防御機制將所有惡意攻擊和安全風險都歸咎于外部人侵，這實際上暗含了對內部網絡環境中人員、設備、系統和應用的信任。但近年來源于內部系統的安全事件顯著增多，給傳統限制網絡邊界的信任評價帶來較多風險，使得網絡邊界變得更加模糊，傳統網絡安全策略正遭遇諸多挑戰[1-2]。在云資源訪問、多云混合甚至云邊協同的環境下，用戶需要同時訪問部署在云端、邊緣和本地環境的業務，使得網絡環境更加復雜。原有的分域管理、單一功能的網絡安全管理已經無法滿足要求3，需建立一個統一的身份認證系統，并實現訪問控制的動態調整[4-5]。

本文剖析傳統網絡訪問控制機制，進一步挖掘用戶行為高階特性，進而提出一種結合深度學習和自適應動態訪問控制的零信任安全訪問方法（DA-ZeroTrust）。

1基于深度學習和動態訪問控制的零信任安全訪問方法

1.1基于深度學習的身份驗證

零信任模型作為一種網絡安全方法論，其核心理念在于摒棄傳統的內外部信任區分6-]，轉而要求對所有試圖訪問資源的實體進行持續的身份驗證與授權檢查[8-9]。然而，面向海量用戶操作日志，傳統人工識別用戶異常行為的方法變得十分困難；同時，隨著用戶訪問內容的不斷豐富，有效融合多類型用戶信息給安全訪問框架帶來了較大挑戰。

為此，本文提出一種基于深度學習的身份驗證方法，即零信任安全訪問模型。首先利用映射編碼分別將用戶的行為、身份信息、網絡連接信息、物理位置信息轉化為向量嵌入表示[10-;然后采用池化操作進行特征融合，以構建訪問用戶特征表示；最后引入長短期記憶（LSTM）網絡構建用戶身份識別模型，以挖掘用戶身份的合法性及行為的異常性[12]。

針對系統內用戶操作日志中以自然語言的方式存儲的用戶行為屬性，采用Skip-gram模型對文本數據進行詞向量化表示，進而獲取用戶行為的高階表示[]。在Skip-gram模型中，輸入層為日志中當前詞匯 w 的上下文信息，輸出層以霍夫曼樹的結構形式優化模型，實現方式為負采樣算法。Skip-gram模型結構圖如圖1所示。首先，最小化以下函數：

式中： 表示處理 時生成的負采樣子集。 公式為：

圖1Skip-gram模型結構圖

然后，采用隨機梯度上升法進行參數優化和計算。 表示關于參數 θ^u 的梯度，公式如下：

于是可以得到詞向量 為：

針對身份信息、網絡連接信息、物理位置信息等以數字化方式存儲的屬性類型，采用嵌入映射的方式進行數據表示；然后，引入池化策略對用戶行為、發生時間和地理位置向量進行聚合，從而構建用戶特征表示。池化操作示意圖如圖2所示。令池化函數為 pool（?） ，則用戶行為向量表征為：

u=pool（a_u，t_u，l_u）

最后，基于時序性用戶操作記錄所構建的用戶行為向量表征，利用LSTM構建用戶時序性交互間的長距離依賴關系，以捕獲序列中的動態信息，從而識別系統中的異常用戶。LSTM網絡主要由輸入門、遺忘門和輸出門這3個門控單元構成。其中輸入為用戶交互行為序列 x₁，x₂，…，x_t， 輸出的用戶序列為 h₁，h₂，…，h_t， 計算過程為：

式中： σ 是激活函數； W 是權重矩陣； b 是偏置向量； c_t 是 Φ_t 時刻的記憶單元； i_t?Ot?zt 分別是輸入門、輸出門、遺忘門的輸出結果； h_t 為整個LSTM單元 Φ_t 時刻的輸出。

圖2池化操作示意圖

1.2自適應動態訪問控制策略

為了防止未經授權的訪問，訪問權限的管理與控制通常由訪問控制技術來實現[13]。自適應訪問控制模型允許系統根據用戶的身份、環境條件以及其他實時因素動態地調整訪問權限，基本原理是：在每次訪問請求時，不僅要驗證用戶的身份，還要根據當前的環境和條件來決定是否授予訪問權限[1415]。與現有方法不同，本研究在自適應訪問控制策略方面，采用馬爾科夫決策過程評估訪問行為價值，根據用戶實時的上下文與行為信息進行訪問控制決策，從而實現根據訪問用戶和上下文信息進行決策控制，自適應、動態化地調整訪問權限。最優訪問價值計算公式為：

式中： V（s） 表示訪問主體在狀態 s 下的最優訪問價值； a 表示訪問行為； Pss′a 表示在狀態 s 下執行行為 αa 后轉移到狀態 s′ 的概率； Rss′a 表示在狀態 s 下執行行為 αa 后轉移到狀態 s′ 所獲得的獎勵； γ 表示折扣因子，用于調節對未來獎勵的重視程度。本文使用動態規劃方法計算 V（s） ，即迭代更新每個狀態的訪問價值，直到收斂。

1.3流程設計

在用戶訪問過程中，DA-ZeroTrust方法全程對用戶身份進行智能化評估，具體流程如圖3所示。

圖3用戶身份驗證流程

首先，收集用戶的身份信息、行為信息、網絡連接信息與物理位置信息等，利用基于深度學習的身份驗證模型構建驗證規則，判別用戶的合法性；其次，利用自適應動態訪問控制策略對識別出高風險訪問行為的訪問者進行人臉識別與UKey多因素二次認證；然后，對于確認有問題的用戶撤銷訪問權限，對于識別無問題的用戶更新訪問控制策略，調整權限；最后，融合零信任安全訪問框架，構建網絡安全防御體系，提高網絡監控強度，進一步提升合法性。

2 實驗分析

為檢驗基于深度學習和自適應動態訪問控制的零信任安全訪問方法在異常行為檢測方面的有效性，設計基于零信任網絡架構的用戶異常行為檢測與訪問控制系統，如圖4所示。

圖4基于零信任架構的用戶異常行為檢測與訪問控制系統

系統將零信任安全訪問控制作為核心，確保與客體數據層面的高效隔離。零信任檢測代理針對用戶進行持續驗證以及授權操作，再結合用戶異常行為檢測模塊，在用戶訪問中實時檢測安全風險并進行信任賦值，從而憑借對用戶情況的持續評估，達成對用戶權限的動態管控，保障零信任網絡環境中用戶訪問行為的安全性與可控性。最后借助微隔離手段，針對用戶展開不間斷的信任評價調整并落實動態授權策略，從而保證用戶在全部訪問階段內的身份可信，且處于有效管控之下。

在數據分析方面，本文采用某系統經過3個月預處理后的系統日志作為DA-ZeroTrust方法的訓練數據。同時，為了促使參數學習更具成效，在訓練期間將2000條攻擊告警日志納入訓練集，隨機在全量日志集中選取85% 作為測試集。訓練集數據中的常見攻擊行為告警包括DDOS、端口掃描等。

為了驗證DA-ZeroTrust方法的準確性、有效性與效率，將該方法與常用的深度學習算法進行實驗對比。通過測試數據的數據提取、行為編碼以及行為價值賦值等分析，對相關算法進行200次采樣，并比較不同方法的中斷次數和準確率。實驗時本文在正常日志中以固定概率加入惡意行為，在檢測出用戶存在異常行為的情況下就會終止用戶操作，以驗證不同算法下對用戶行為的細粒度控制水平。

圖5所示為本文方法、CNN、RNN的訪問控制策略作用下的網絡中斷頻次，結果表明，本文方法作用下的中斷頻次吻合惡意行為加入概率。該方法基于用戶操作、任務狀態以及交互狀態形成用戶畫像，能夠更客觀地顯示惡意行為的特征。

圖5不同請求次數下中斷次數對比圖

圖6所示為三種方法在不同請求次數下準確率的對比結果。

圖6不同請求次數下準確率的對比

由圖可得到，CNN的平均準確率為 91.44% ，RNN的平均準確率為 91.90% ，而本文方法雖然存在一定隨機因素干擾，但平均準確率達到 94.61% 。實驗結果表明，本文方法的平均準確率最高，能夠較好地獲取用戶上下文之間的依賴關系。

3結語

本文提出了一種結合深度學習和自適應動態訪問控制的零信任安全訪問方法（DA-ZeroTrust）。該方法采用用戶身份、行為等信息進行編碼，利用池化操作融合多類型用戶信息，構建用戶特征表示；引人LSTM網絡捕獲長距離交互依賴關系，構建用戶身份識別模型；最后，采用馬爾科夫決策過程評估訪問行為價值，以構建自適應動態化控制策略，實現用戶訪問權限的智能化分配。實驗結果表明，本文方法在準確率方面表現優越，顯著提升了對于惡意行為的識別能力。

參考文獻

[1]YUJ，KIME，KIMH，etal.Aframework fordetectingMAC andIP spoofing attacks with network characteristics[C]//2016 International Conference on Software Security and Assurance （ICSSA）.[S.l.]：IEEE，2016：49-53.

[2]JINQ，WANG L.Zero -trust based distributed collaborative dynamic access control scheme with deep multi -agent reinforcement learning [J]. EAI endorsed transactionson security and safety，2020，8（27）：1-9.

[3]HORNE D，NAIR S.Introducing zero trust by design： Principles and practice beyond the zero trust hype [M]// KEVIN D，HAMID R A，LEONIDASD，et al.Advancesin Security， Networks，and Internet of Things. [S.1.]： Springer， 2021：512-525.

[4]張劉天，陳丹偉.基于零信任的動態訪問控制模型研究[J].信 息安全研究，2022，8（10）：1008-1017.

[5]WUYG，YAN WH，WANGJZ.Real identity based access control technology under zero trust architecture [C]// 2021 International Conference on WirelessCommunicationsand Smart Grid （ICWCSG）. [S.l.]： IEEE，2021： 18-22.

[6]包森成，計晨曉.基于零信任的動態訪問控制技術研究[J].移 動通信，2024，48（1）：132-136.

[7]王斯梁，馮暄，蔡友保，等.零信任安全模型解析及應用研究 [J].信息安全研究，2020，6（11）：966-971.

[8]章岐貴，黃海，汪有杰.基于零信任的軟件定義邊界安全模型 研究[J].信息技術與信息化，2020（11）：92-94.

[9]黃少忠.云環境下基于零信任的用戶行為異常檢測方法研究 [J].廣東通信技術，2023，43（8）：7-10.

[10] MANASWI N K. Deep learning with applications using Python：chatbotsand face，object，andspeechrecognition with TensorFlowand Keras[M]. Berkley：Apress，2018.

[11]ZHANGP，TIANC，SHANGT，etal.Dynamic access control technologybased on zero-trust lightverification network model [C]//2O21 International Conference on Communications， Information System and Computer Engineering （CISCE）. [S.l.]： IEEE，2021：712-715.

[12]HUANGW，XIEX，WANGZ，etal.A zerotrustandattributebased encryption scheme for dynamic access control in power IoTenvironments [C]// The International Conferenceon Natural Computation， FuzzySystemsand Knowledge Discovery.[S.l.]： Springer， 2022：1338-1345.

[13] MOHSENI E A. Real -time lightweight cloud-based access control for wearable IoT devices：a zero trust protocol [C]// Proceedings of the First International Workshop on Security and Privacy of Sensing Systems.[S.l.]：ACM，2023：22-29.

[14]HUAX，LIUJ，ZHANGJ，et al.An apollonius circle based game theory and Q- learning for cooperative hunting in unmanned aerial vehicle cluster[J].Computers and electrical engineering，2023，9（110）：1008876-1008892.

[15]ZHANGQQ，LUGN，WUZY.Internet ofThings data security managementsystem and method based on zero trust [C]//3rd International Conference on Management Science and Software Engineering.Qingdao：ICMSSE，2023：102.

[16]胡睿，張功萱，寇小勇.一種基于Fabric區塊鏈的云端數據動 態訪問控制方案[J].數據與計算發展前沿，2024，6（1）：150- 161.

[17]段煉，朱龍，岳巖巖，等.云計算環境下基于用戶訪問行為的 動態訪問控制模型的研究[J].移動通信，2021，45（6）：99-102.

[18]蔣屹新，匡曉云，楊祎巍，等.基于零信任模型的網絡安全防 御策略動態優化的研究與實現[J].現代計算機，2024，30 （23）：128-132.

[19]寧梓淯，李萌，李燕，等.基于深度學習的廣域網教育信息安 全訪問自動化控制系統設計[J].電子設計工程，2025，33（6）： 100-103.

[20]李強，趙峰，宋衛平，等.基于區塊鏈的異構跨域雙向身份驗 證研究[J].電子設計工程，2024，32（21）：181-184.

作者簡介：李瑋（1975—），男，陜西西安人，碩士研究生，高級工程師，研究方向為網絡與信息安全張金金（1992—），女，陜西西安人，博士研究生，講師，研究方向為推薦系統和數據挖掘。張肖艷（1992—），女，陜西西安人，碩士研究生，研究方向為網絡與信息安全。