最小权限资源许可管理的制作方法

计算;推算;计数设备的制造及其应用技术最小权限资源许可管理背景技术：1.因特网的普及已改变了工作场所。组织的信息技术(it)资源可以被托管在云服务上，该云服务支持从任何位置、不同类型的应用(例如，基于web的应用、移动应用、桌面应用)和不同类型的设备(例如，移动设备、物联网(iot)、台式计算机、膝上型计算机等)进行访问。尽管云服务为工作场所提供了更高的生产力，但云服务的复杂性带来了各种需要克服的安全漏洞，以保护网络资源。当向用户账户、应用或进程授予超出执行合法、预期任务所需许可的广泛许可时，会产生一个此类安全漏洞。广泛许可的指派可能会导致无意和恶意的更改和数据泄露。技术实现要素：2.提供该发明内容部分是以简化形式介绍对概念的选择，其在下文的具体实施方式中将被进一步描述。该发明内容部分无意标识所要求保护的主题的关键特征或基本特征，也无意限制所要求保护的主题的范围。3.身份，诸如用户账户、应用、用户组或进程，访问云服务的租户的资源所需要的最小权限许可是从该身份的未来资源使用的预测来确定的。所预测的未来资源使用基于该身份的资源使用历史、相似身份的资源使用历史和该身份的对等方的资源使用历史。然后，将身份执行所预测的未来资源使用所需要的许可与指派给该身份的当前许可相比较，以确定该身份对其正在进行的工作流所需要的绝对最小许可(bare minimum permission)。4.相似身份的资源使用是一个身份在资源上可以执行的未来活动的良好预测因素。为了确定哪些身份具有相似的使用行为，生成了这样的图，该图表示身份对云服务的租户资源的许可指派。该图包括节点和边，节点表示身份、许可或资源，边标识指派给资源的许可和身份对资源的使用活动。随机游走被用于生成表示无监督样本的路径，这些无监督样本训练基于深度学习的模型以计算节点嵌入，这些节点嵌入捕获图中所表示的数据的上下文和语义相似度。5.节点嵌入的差异用于标识具有相似资源使用的相似身份。相似身份的资源使用历史是对身份在其正在进行的工作流中可能需要的未来活动的很好预测因素。执行所预测的未来活动所需要的许可可以用于确定绝对最小许可。6.通过阅读以下具体实施方式部分和查看相关附图，这些和其他特征和优点将是显而易见的。应当理解，上述一般描述和以下具体实施方式都只是图示性的，而不是对所要求保护的方面的限制。附图说明7.图1示出了自动确定身份访问云环境内资源的最小权限许可的示例性系统。8.图2a是具有节点和边的示例性身份-资源-许可图，其中边表示许可指派。9.图2b是具有节点和边的示例性身份-资源-许可图，其中边表示许可指派和使用活动。10.图3是图示用于确定针对身份的最小权限许可的示例性方法的流程图。11.图4是图示用于得出针对每个身份的相似度得分的示例性方法的流程图。12.图5是图示用于预测身份对资源的未来使用的示例性方法的流程图。13.图6是图示示例性操作环境的框图。具体实施方式14.概述15.本发明的多个方面解决了对身份(例如，用户账户、进程、用户组和应用)在计算环境中完成合法任务所需的绝对最小许可的标识。最小权限许可确保以对资源执行预期动作所需要的最小许可集合来访问计算环境中托管的资源。通过该方式，可以保护资源免受安全风险，例如数据泄漏和数据丢失。16.在一方面，计算环境是托管多个租户的资源的云服务。租户是与订阅云服务的企业、组织、组、用户账户或实体相关联的目录。订阅是提供资源访问权利的逻辑实体。租户包含被分组到订阅中的资源，诸如虚拟机、应用、应用编程接口(api)、存储账户、服务等。身份是已被给予访问资源的一个或多个许可的用户账户、用户组、应用或进程。17.云服务托管租户的资源并控制对资源的访问。云服务的示例包括但不限于microsoftgoogle cloud platformtm服务、等。资源是由云服务管理的实体，诸如虚拟机、虚拟网络、存储账户、数据库、web可访问的应用、以及服务。资源可能属于资源组或订阅。资源组是资源的逻辑分组，因此可以将这些资源作为单个实体进行管理。18.对资源的访问是通过角色的指派来控制的。每个身份都被指派有一个角色，该角色包括许可集。许可集可以包括零个或多个许可。角色是在范围级别指派的。范围可以包括单个资源或资源的分组，例如资源组或订阅。例如，所有者(owner)角色具有与资源关联的所有许可以及将这些许可委派给其他人的权利。贡献者(contributor)角色具有创建和管理资源所需的许可，但不能向其他人授予对该资源的访问。读取者(reader)角色具有允许读取资源的许可。19.初始地，如果未向身份指派角色，则可能将默认许可集指派给身份。默认许可集可能包括身份执行其任务时不需要的权利。通过向角色授予具有超出身份执行其任务所需的许可的广泛许可，可能会产生安全风险。本文描述的技术基于身份的资源使用历史、访问相似资源的其他身份的资源使用历史、以及其对等方的资源使用历史，来减少授予身份的许可集，从而标识出不会破坏身份的工作的适当许可集。20.现在注意力转向对用于确定针对身份的绝对最小许可的系统、设备、组件和方法的进一步讨论。21.系统22.图1示出了可以在其中实践本发明的各个方面的示例性系统100的框图。系统100可以配置有云服务102，该云服务102运行在服务租户的多个客户的多租户环境中。云服务102是通过诸如因特网之类的公共可访问网络来按需为用户提供的服务。23.租户116a-116n(“116”)是与订阅云服务102的企业、组织、组、用户或实体相关联的目录。租户116包含资源，例如虚拟机、应用、应用编程接口(api)、存储账户、服务等，这些资源被分组到订阅中。订阅是表示资源所在文件夹的对象。租户116可能有很多订阅。云服务102托管租户的订阅并控制对订阅中包含的资源的访问。订阅可以是基于收费的或是免费的，并且持续指定的时间长度。云服务的示例包括但不限于microsoftgoogle cloud platformtm服务、等。24.云服务102包括促进托管租户资源的一个或多个云服务器108a-108n(“108”)。云服务器108可以是提供诸如云计算服务之类的分布式计算服务的数据中心的一部分。数据中心可以提供池化资源，客户或租户可以根据需要在池化资源上动态配置和扩展应用，而无需添加服务器或额外的联网。数据中心可以被配置为与云消费者使用的本地计算设备进行通信，云消费者包括个人计算机、移动设备、嵌入式系统或其他计算设备。在数据中心内，计算设备可以被配置为服务器，其可以是独立设备，也可以是在一个或多个其他服务器设备的机架中的单独刀片。租户初始可能会使用服务器上的一个虚拟机来运行应用。当需求增加时，数据中心可以激活服务器或其他服务器上的附加虚拟机，并且当需求下降时，数据中心可以停用虚拟机。25.数据中心可以是为单个企业用户提供服务的本地自有系统，也可以是向多个可能不相关的客户和租户提供服务的公共(或半公共)可访问分布式系统，或者可以是两者的组合。此外，数据中心可能被包含在单个地理位置内，也可能分布在全球多个位置，并提供冗余和灾难恢复能力。例如，数据中心可以将服务器上的一个虚拟机指定为租户应用的主要位置，并且可以在第一个虚拟机或服务器发生故障的情况下激活同一台或另一台服务器上的另一虚拟机作为辅助或备份。26.租户116可以与其他设备通信，包括彼此或通过网络104(例如因特网)与位于云服务102外部的设备通信。在一个示例中，租户116可以经由所指派的网络地址(例如所指派的因特网协议(ip)地址)与其他设备通信。在一个示例中，设备106的用户可以登录到租户116并访问资源114a-114n(“114”)。在一些示例中，资源114对授权用户可用，并且用户可以经由来自一组许可级别的许可对云服务102中的每个资源的每个授权用户具有进一步的限制。27.管理服务112帮助用户登录和访问租户116的资源114，包括外部资源、诸如软件即服务应用和租户网络和内联网上的应用，诸如通过单点登录(sso)。在一方面，管理服务112提供与域目录服务相似的特征，例如用户组的配置、认证和授权。然而，管理服务112不同于域目录服务，因为域目录服务不能管理基于web的服务。28.管理服务112被配置为支持基于web的服务，这样的基于web的服务对许多软件即服务应用，应用rest(表征状态转移，representational state transfer)api(应用编程接口，application programming interface)接口。管理服务112应用与域目录服务不同的协议。例如，管理服务112应用可以与基于web的服务一起工作的协议，诸如认证协议，包括安全断言标记语言(saml)、开放授权(oauth)、诸如openid connect之类的oauth协议之上的身份层，以及web服务联合(ws-federation)。在一方面，每个租户可以应用管理服务的实例，例如租户的目录118。目录118可以被配置为包括租户的用户、组和应用，并且可以执行标识和访问针对租户资源的管理功能。29.用户设备106通过rest api与云服务通信。rest api被用于使用超文本传输协议(http)方法，从云服务102请求信息或访问资源。云服务102通过返回http响应来进行响应。rest api被传输到云服务102的端点120。端点120是将设备连接到云服务102托管的服务的端口。端点120由统一资源定位符(url)寻址，用户设备106使用url来访问由云服务102托管的资源或服务。云服务102可以具有多个端点120。在一方面，端点120是api端点，每个端点被配置为通过指定的rest来接收请求。30.管理服务112使云服务的客户(即，组织、实体、租户等)能够将其资源作为一个组进行部署、管理和监控，并控制对这些资源的访问。管理服务112通过角色的指派来管理资源。角色是许可集，该许可集用于标识可以对资源执行的动作或操作。角色是在范围级别指派的。可以将角色指派给订阅的所有资源、指派给单个资源、或指派给资源组的所有资源。角色指派文件126包括在每个订阅中对每个身份的已做出的角色指派。31.内置角色文件128包括云服务102内的可用角色的列表以及在每个角色内包含的许可。例如，在microsoft云服务中，有70个内置角色。有四个常用角色：所有者；贡献者；读者；以及用户访问管理员。所有者的角色具有允许对所有资源的完全访问的许可、以及向其他人授予访问的能力。没有不允许的动作。贡献者的角色具有允许安全性原则来创建和管理所有类型的资源的许可，而没有能力授予其他人对资源的访问。读者的角色具有仅读取资源的许可。用户访问管理员的角色具有管理用户对资源的访问的许可。32.其他示例性角色有：经典虚拟机贡献者(classic virtual machine contributor)，其允许对经典虚拟机的管理，而不能访问它们或它们所连接的虚拟网络或存储账户；sql服务器贡献者(sql server contributor)，其允许对sql服务器和数据库的管理，而不能访问sql服务器和数据库或它们的安全性相关策略；数据清除器(data purger)，其允许对分析数据的清除。33.资源日志124包含由身份对资源114执行的所有动作。每次对资源114进行访问和使用时，资源114就会在资源日志124中写入一个条目。每个订阅、每个资源组或每个资源可以有一个资源日志。资源日志124中的条目可以标识访问资源的身份、身份对资源执行的动作以及进行访问的时间。资源日志124中的条目用于获得身份的资源使用历史。34.组织图表122标识在实体或组织内利用云服务102的资源的用户或用户账户的对等方。备选地，组织图表122可以是从事同一项目的相关用户组的列表。35.云服务102可以包括最小权限许可管理组件130，其标识针对身份的适当许可集。最小权限许可管理组件130可以包括许可管理引擎132和身份-资源-许可图134。许可管理引擎132基于预测的未来资源使用来标识针对身份的适当许可集。身份-资源-许可图标识被授予每个资源和身份的许可、以及身份对每个资源的使用活动。36.应当注意，图1示出了在可以实践本发明的各个方面的环境的一方面中的系统组件。然而，在实践图1中所示的配置的各个方面和变化时可能不需要图1中所示的组件的确切配置，并且可以在不背离本发明的精神或范围的情况下制造组件的类型。例如，本公开不限于云服务，并且本文描述的技术可以与使用许可来控制对共享资源的访问的其他系统一起实践。37.图2a和图2b示出了示例性身份-资源-许可图。身份-资源-许可图是有向无环图，其中的节点连接到边。有三个类型的节点。第一节点类型(类型1)表示身份，身份可以是用户账户、应用、进程或用户组。第二节点类型(类型2)表示一个或多个许可，并且第三节点类型(类型3)表示资源。有两个类型的边。第一个边类型表示两个连接节点之间的指派关系。第二个边类型表示与两个连接节点相关联的使用活动。38.如图2a所示，图200具有节点202、204、206和边208、210。节点202是表示用户账户、应用或用户组的类型1节点。节点204是表示一个或多个许可的类型2节点，并且节点206是表示资源的类型3节点。边208、210是指派边。边208表示为用户账户a被指派了读取许可，而边210表示读取许可是针对资源b的。39.图2b示出了具有指派和使用边的图212。图212具有与图2a中所示相同的节点和指派边，但添加了使用边214。使用边214将身份与资源连接起来，并指示身份节点对资源的使用活动。如图2b所示，使用边214指示用户账户a在过去一周内读取资源b 5次。使用边214可以指示所使用的许可(例如，读、写、读/写、全部)、访问的频率(例如，5次、一天两次、每周三次)以及使用活动的时间跨度(例如，在过去一周内，过去2天内)。40.方法41.现在注意力转向对利用本文公开的系统和设备的各种示例性方法的描述。可以参考各种示例性方法来进一步描述这些方面的操作。可以理解，表示性方法不一定必须以所呈现的顺序或以任何特定顺序执行，除非另有说明。此外，关于方法描述的各种活动可以以串行或并行方式、或者以串行和并行操作的任何组合来执行。在一个或多个方面，该方法说明了本文所公开的系统和设备的操作。42.图3图示了确定针对身份的最小权限许可的示例性方法300。参考图1和图3，许可管理引擎132生成针对每个租户的身份-资源-许可图134(框302)。初始地，身份-资源-许可图134包含表示用户账户、应用、进程和用户组的节点以及表示针对资源的许可指派的边。许可管理引擎132获得这样的用户账户、应用、进程和用户组，这些用户账户、应用、进程和用户组被配置有访问特定租户中的资源的许可。许可管理引擎132可以从目录118获得与租户相关联的身份，并且从角色指派文件126获得许可指派。43.在一些方面，云服务可以包括基于角色的访问控制系统(rbac)和/或身份和访问管理(iam)系统(未示出)。rbac系统包含有权访问资源的用户账户、应用、进程和用户组，以及通过其指派的角色授予每个身份的许可。此外，可以从与云服务相关联的身份和访问管理系统(iam)系统获得身份，该系统促进数字身份的管理。44.许可管理引擎132通过在身份与资源之间添加使用边，来将针对每个资源的使用活动叠加到身份-资源-许可图134中(框304)。使用边表示用于访问资源的许可、访问的频率和访问发生的时间段。可以从管理服务112中的资源日志124获得使用活动。备选地，可以从追踪使用活动的租户获得使用活动。45.接下来，许可管理引擎132标识针对每个身份的相似身份(框306)。许可管理引擎132然后得出针对每个身份的相似度得分。相似度得分被用于标识具有相似资源使用的身份。访问相似资源的身份将获得高分，而使用不同资源的身份将获得低分。针对图中的每个身份节点生成相似度得分。然后，针对身份节点的相似度得分的差异被用于标识具有相似资源使用行为的那些身份。46.图4图示了用于生成针对每个身份的相似度得分的示例性方法400。转向图1和4，许可管理引擎132针对身份-资源-许可图中的每个身份，生成节点嵌入(框402)。47.图是实体集合以及实体之间关系的自然表示。表示学习是一种将来自图的信息整合到基于深度学习的机器学习模型中的技术，诸如针对身份-许可-资源图的每个身份节点的节点嵌入。节点嵌入是图中发现的离散数据的低维表示，该嵌入是实数的连续向量。相似节点将具有相似的节点嵌入。然后，节点嵌入被用于基于它们各自的向量表示之间的距离来标识相似节点。48.图中节点嵌入的计算在数学上可以被表示为最大似然优化问题。令g＝(v,e)表示身份资源许可g，其中顶点或节点是v，并且边是e。有一个从节点v到特征表示的映射函数其中d是特征表示中的维度数目。对于每个节点u∈v，节点u的网络邻居ns(u)是通过邻居采样策略s生成的，邻居采样策略诸如是归一化随机游走。使用标量梯度下降优化，通过以节点u的特征表示为条件、最大化观察到针对节点u的网络邻居ns(u)的对数概率，以下目标函数被优化：49.f：maxf∑u∈v log p(ns(u)|f(u))。50.随机游走被用于表示身份-资源-许可图中固有的结构和关系。随机游走以随机选择的节点开始，并以预定义步数移动到随机邻居。随机游走通过给定长度的图生成路径，从而生成用于学习节点的特征表示的样本。样本捕获节点之间的上下文和语义关系，例如被指派以由一个身份对资源执行动作的许可以及每个身份对资源的使用活动。51.从给定长度l的源节点r∈v开始的随机游走w可以被表示为w。设wj是游走w中的第j个节点，其中w0＝r是w中的第一个节点。节点wj可以通过归一化概率p(wj|wj-1)生成：[0052][0053]其中节点v的度被表示为d(v)，n(v)表示邻居节点v的集合，是归一化项。[0054]随机游走生成的路径wn＝{w(t-2)，w(t-1)，...，wt.w(t+1)，w(t+2)}被输入到编码器中。在一方面，编码器是word2vec模型。word2vec模型是使用嵌入学习算法来生成节点嵌入的卷积神经网络。在一方面，使用连续词袋(cbow)算法。cbow是基于预测深度学习的编码器，其计算单词的连续密集向量表示，这些向量表示捕获上下文和语义相似度。然而，应当注意，本文描述的技术不限于特定的编码器，也可以利用其他编码器，例如node2vec、doc2vec和fasttext。[0055]一旦生成针对每个身份的节点嵌入，生成针对每一对身份的相似度得分(框404)。相似度得分被计算为两个节点嵌入之间的差异的倒数。相似度得分可以被表示为l/(ni-nj)，其中ni是节点i的节点嵌入，并且nj是节点j的节点嵌入。差异(ni-nj)可以被计算为余弦相似度、li范数、或l2距离。相似度得分被用于标识具有相似资源使用的相似身份(框406)。具有高相似度得分的身份被认为是相似的，而具有低相似度得分的身份被认为是不相似的。[0056]回到图3，在找到相似身份之后，许可管理引擎132基于相似身份的资源使用历史、身份的资源使用历史、以及该身份的等同方的资源使用历史来确定该身份的预测未来使用(框308)。转向图1和图5，示出了用于计算身份的预测未来使用的方法500。[0057]对于每个身份，许可管理引擎132找到针对每个相似身份的资源使用历史、针对该身份的每个对等方的资源使用历史、以及该身份的资源使用历史(框502)。资源使用历史可以从管理服务112中的资源日志124或从租户116获得。资源使用历史指示被访问的资源、用于访问资源的许可、访问的频率、以及进行访问的时间段。[0058]此外，许可管理引擎132从组织图表122找到身份的对等方。身份可以与诸如企业、组之类的组织相关联，该组织以一致的许可集来访问资源。组织图表122可以指示与目标身份相关联的其他身份。在一方面，组织图表122可以与组织、实体、项目或组的成员有关。然而，在其他方面，组织图表122可以表示以某种方式相关的身份的关联或分组。一旦找到对等方(如果有的话)，许可管理引擎132获得与目标身份相关联的每个对等方的资源使用历史。对等方的资源使用历史指示所访问的每个资源、用于访问资源的许可、进行访问的频率、以及时间段。(统称为框502)。[0059]对于每个身份，许可管理引擎132找到用于访问其相似身份、其对等方以及来自其自身使用的资源的许可的聚合集合。许可管理引擎132然后使用许可的这个聚合集合作为该身份的预测的未来使用。(统称为框504)。[0060]返回图1和图3，一旦生成身份的预测的未来使用，就计算最小权限许可集。例如，如果一个资源仅被读取而不被更改，并且身份具有允许改变的许可，则针对该资源的最小权限许可将被改变为读取许可。许可管理引擎132将授予身份的许可与预测的未来使用的许可相比较，以确定身份执行其任务所需的绝对最小许可。(统称为框310)。[0061]一旦标识出绝对最小许可，就确定这些许可对应的角色(框312)。如果身份的角色的配置发生改变，可以应用该角色的重新配置(框314)。许可管理引擎132可以提供一个通知，该通知发布更改角色和/或许可的推荐(框314)。备选地，许可管理引擎132可以自动或在用户确认的情况下重新配置角色和/或许可(框314)。[0062]示范操作环境[0063]现在注意力转向对示例性操作环境的讨论。图6示出了示例性操作环境600，其中云服务602用于确定身份的最小权限许可。云服务602可以包括耦合到网络622的一个或多个计算设备608、624。云服务可以通过全球网络604耦合到一个或多个用户设备606(即，计算设备)。然而，应该注意，本文公开的方面不限于设备的任何特定配置，并且其他配置是可能的。[0064]计算设备606、608、624可以是任何类型的电子设备，诸如但不限于移动设备、个人数字助理、移动计算设备、智能电话、蜂窝电话、手持计算机、服务器、服务器阵列或服务器群、web服务器、网络服务器、刀片服务器、因特网服务器、工作站、小型计算机、大型计算机、超级计算机、网络设备、web设备、物联网(iot)设备、分布式计算系统、多处理器系统、或前述各项的组合。操作环境600可以被配置在网络环境、分布式环境、多处理器环境或可以访问远程或本地存储设备的独立计算设备中。[0065]计算设备606、608、624可以包括一个或多个处理器610、626、646，一个或多个通信接口612、628、648，一个或多个存储设备614、630、650，一个或多个输入/输出设备618、632、652，以及一个或多个存储器设备616、634、654。处理器610、626、646可以是任何市售的或定制的处理器，并且可以包括双微处理器和多处理器架构。通信接口612、628、648促进计算设备和其他设备之间的有线或无线通信。[0066]存储设备614、630、650可以是不包含诸如通过载波传输的调制数据信号之类的传播信号的计算机可读介质。存储设备614、630、650的示例可以包括但不限于ram、rom、eeprom、闪存或其他存储技术、cd-rom、数字多功能磁盘(dvd)或其他光学存储、磁带盒、磁带、磁盘存储，所有这些都不包含诸如通过载波传输的调制数据信号之类的传播信号。计算设备中可能有多个存储设备。输入/输出设备618、632、652可以包括键盘、鼠标、笔、语音输入设备、触摸输入设备、显示器、扬声器、打印机等，以及前述各项的任何组合。[0067]存储器设备616、634、654可以是可以存储可执行过程、应用和数据的任何非暂时性计算机可读存储介质。计算机可读存储介质不属于诸如通过载波传输的调制数据信号之类的传播信号。它可以是任何类型的非暂时性存储设备(例如，随机存取存储器、只读存储器等)、磁存储、易失性存储、非易失性存储、光存储、dvd、cd、软盘驱动器等，这些不属于诸如通过载波传输的调制数据信号之类的传播信号。存储器设备616、634、654还可以包括一个或多个外部存储器设备或远程存储器设备，这些设备不属于诸如通过载波传输的调制数据信号之类的传播信号。[0068]存储器设备616可以包括操作系统620以及应用和数据621。存储器设备634可以包括操作系统636、管理服务638、许可管理引擎640、身份-资源-许可图642以及其他应用和数据644。存储器设备654包括操作系统656和其他应用和数据658。[0069]网络604、622可以被配置为自组织网络、内联网、外联网、虚拟专用网(vpn)、局域网(lan)、无线lan(wlan)、广域网(wan)、无线广域网(wwan)、城域网(man)、因特网、公共交换电话网络(pstn)的一部分、普通老式电话服务(pots)网络、无线网络、网络或任何其他网络类型或网络组合。[0070]网络604、622可以采用多种有线和/或无线通信协议和/或技术。网络可以采用的各种不同的通信协议和/或技术代可以包括但不限于全球移动通信系统(gsm)、通用分组无线电服务(gprs)、增强型数据gsm环境(edge)、码分多址(cdma)、宽带码分多址(w-cdma)、码分多址2000(cdma-2000)、高速下行链路分组接入(hsdpa)、长期演进(lte)、通用移动电信系统(umts)、演进-数据优化(ev-do)、全球微波接入互操作性(wimax)、时分多址(tdma)、正交频分复用(ofdm)、超宽带(uwb)、无线应用协议(wap)、用户数据报协议(udp)、传输控制协议/因特网协议(tcp/ip)、开放系统互连(osi)模型协议的任何部分、会话发起协议/实时传输协议(sip/rtp)、短消息服务(sms)、多媒体消息服务(mms)或任何其他通信协议和/或技术。[0071]技术效果[0072]本文公开的主题的方面涉及的技术问题是确定在而不干扰身份正在进行的和未来的工作流的情况下该身份访问资源所需的绝对最小许可。与解决此问题相关的技术特征涉及预测身份在未来将对资源执行的动作以及执行这些动作所需的许可。所预测的该未来资源使用是基于相似身份所采取的动作。[0073]相似身份的资源使用历史是一个身份在资源上可以执行的未来活动的良好预测因素。使用如下的图的节点嵌入的差异来标识相似身份，该图表示指派给资源的许可、资源的使用活动以及用于访问资源的许可。节点嵌入是从基于深度学习的模型生成的，该模型考虑了图中表示的身份之间的上下文和语义相似度。[0074]除了相似身份的资源使用历史之外，所预测的未来资源使用还考虑了身份的资源使用历史和该身份的对等方的资源使用历史。将执行所预测的未来资源使用所需的许可与当前许可指派相比较，以确定在不中断身份正在进行的和未来的工作的情况下该身份所需的绝对最小许可。[0075]结论[0076]公开了一种系统，包括：一个或多个处理器，其耦合到存储器，以及一个或多个程序。一个或多个程序被存储在存储器中并且被配置为由一个或多个处理器执行。一个或多个程序包括指令，所述指令：在图中表示对多个身份的许可的指派，以许可对云服务的租户的资源执行动作，图具有节点和边，节点表示身份、许可或资源，边表示对资源的身份的许可或使用活动的指派；通过图中每个身份的节点嵌入，找到一个或多个相似身份作为第一身份；基于一个或多个相似身份的使用活动来预测第一身份的未来资源使用；以及根据所预测的未来使用，得出针对第一个身份的绝对最小许可。[0077]在一方面，一个或多个程序包括利用编码器生成节点嵌入的进一步指令，编码器在多个随机游走生成路径上训练。在另一方面中，一个或多个程序包括以下的进一步指令：基于第一身份的节点嵌入和第二身份的节点嵌入之间的差异，确定第一身份和第二身份相似。[0078]在另一方面，一个或多个程序包括以下的进一步指令：将指派给第一身份的许可和与所预测的未来资源使用相关联的许可相比较；以及配置绝对最小许可，以促进所预测的未来资源使用。身份表示用户账户、用户组、应用或进程。[0079]在又一方面，一个或多个程序包括以下的进一步指令：基于第一身份的资源使用历史来预测第一身份的未来资源使用。此外，一个或多个程序包括以下的进一步指令：基于第一身份的对等方的资源使用历史来预测第一身份的未来资源使用。[0080]公开了一种方法，包括生成图，该图表示对云服务的租户的资源的许可指派，该图具有节点和边，节点表示身份、许可或资源，边表示身份对资源具有的许可的指派或资源的使用活动；针对表示身份的每个节点，计算节点嵌入；利用节点嵌入来标识第一身份的一个或多个相似身份；基于在一个或多个相似身份的资源使用历史中使用的许可，得出针对第一身份的最小权限许可。[0081]该方法还包括：基于以下来确定与第一身份的第一相似身份：第一相似身份的节点嵌入与第一身份的节点嵌入之间的差异的倒数。第一身份的最小权限许可进一步基于在第一身份的资源使用历史中使用的许可以及基于在第一身份的对等方的资源使用历史中使用的许可。在一些方面，节点嵌入是使用卷积神经网络得出的。此外，节点嵌入是从图的随机游走生成路径中训练的。在一方面，卷积神经网络使用连续词袋技术来得出节点嵌入。身份表示用户账户、用户组、应用或进程。[0082]公开了一种计算设备，包括至少一个处理器和存储器。至少一个处理器被配置为：在图中表示针对资源被指派给身份的许可，该图具有节点和边，节点表示身份、许可或资源，边表示对资源执动作作的许可的指派；将每个资源的使用活动叠加到图上；利用编码器，将通过图的路径映射到每个身份节点的节点嵌入中；通过第一身份的节点嵌入与图中其他身份的节点嵌入之间的差异，确定图中第一身份的相似身份；以及基于第一身份的预测的未来资源使用，来生成第一身份的最小权限许可，该预测未来资源使用基于相似身份的资源使用历史。[0083]在一方面，编码器是word2vec编码器，并且身份表示用户账户、进程、用户组或应用。在一些方面，所预测的未来资源使用进一步基于第一身份的资源使用历史。在其他方面，预测的未来资源使用进一步基于第一身份的对等方的资源使用历史。[0084]尽管已经以特定于结构特征和/或方法动作的语言来描述了本公开，要理解，所附权利要求所定义的主题不必要受限于上文描述的特定特征或动作。相反，上文描述的特定特征或动作是以实现权利要求的示例形式来公开的。









图片声明：本站部分配图来自人工智能系统AI生成,觅知网授权图片,PxHere摄影无版权图库。本站只作为美观性配图使用,无任何非法侵犯第三方意图,一切解释权归图片著作权方,本站不承担任何责任。如有恶意碰瓷者,必当奉陪到底严惩不贷!




内容声明：本文中引用的各种信息及资料（包括但不限于文字、数据、图表及超链接等）均来源于该信息及资料的相关主体（包括但不限于公司、媒体、协会等机构）的官方网站或公开发表的信息。部分内容参考包括:(百度百科,百度知道,头条百科,中国民法典,刑法,牛津词典,新华词典,汉语词典,国家院校,科普平台)等数据,内容仅供参考使用,不准确地方联系删除处理！本站为非盈利性质站点,发布内容不收取任何费用也不接任何广告!




免责声明：我们致力于保护作者版权，注重分享，被刊用文章因无法核实真实出处，未能及时与作者取得联系，或有版权异议的，请联系管理员，我们会立即处理，本文部分文字与图片资源来自于网络，部分文章是来自自研大数据AI进行生成,内容摘自(百度百科,百度知道,头条百科,中国民法典,刑法,牛津词典,新华词典,汉语词典,国家院校,科普平台)等数据,内容仅供学习参考,不准确地方联系删除处理!的,若有来源标注错误或侵犯了您的合法权益，请立即通知我们，情况属实，我们会第一时间予以删除，并同时向您表示歉意,谢谢!