大数据访问控制方法及大数据访问控制设备与流程

大数据访问控制方法及大数据访问控制设备
1.本技术是申请号为202110176263.8、申请日为2021年02月06日、发明名称为“大数据访问权限动态调整方法及大数据访问控制设备”的发明专利申请的分案申请。
技术领域
2.本发明涉及大数据安全技术领域，具体而言，涉及一种大数据访问权限动态调整方法及大数据访问控制设备。


背景技术：

3.随着计算机科学及信息技术的不断发展，大数据逐渐成为政府、企业、个人等主题争相开发利用的一种高价值资源。随着大数据技术的发展，数据的挖掘、整合、交易显得越来越便利。然而，在大数据的广泛应用的背景下，大数据安全，例如数据隐私防泄露成为各主体关注的重要课题。为了保证大数据访问过程中的数据安全，一般会针对存储在不同数据空间中的大数据对相应的大数据访问对象或大数据访问角色设置相应的数据访问权限，例如针对一些对象设置需要结合用户身份信息以及随机验证信息才能访问的数据访问权限，又或者针对一些对象设置只需要用户身份信息即可访问的数据访问权限。然而，在一些场景下，随着用户对一些数据访问的次数或者访问热度的变化，采用单一的数据访问权限进行大数据的访问控制，会导致用户产生不好的使用体验。


技术实现要素：

4.为解决上述问题，第一方面，本发明实施例提供一种大数据访问权限动态调整方法，所述方法包括：根据针对目标数据访问角色的数据访问权限的动态调整指示，获取预设时间段内与所述目标数据访问角色相关联的不存在预设路径标识的数据访问路径描述信息；根据所述不存在预设路径标识的数据访问路径描述信息并基于通过具有路径访问热度的路径描述信息样本进行模型训练得到的数据访问权限动态调整模型得到针对所述目标数据访问角色的权限动态调整策略，对所述目标数据访问角色的数据访问权限进行调整。
5.基于第一方面，所述根据所述不存在预设路径标识的数据访问路径描述信息并基于通过具有路径访问热度的路径描述信息样本进行模型训练得到的数据访问权限动态调整模型得到针对所述目标数据访问角色的权限动态调整策略，对所述目标数据访问角色的数据访问权限进行调整，包括：确定与所述目标数据访问角色相关联的不存在预设路径标识的数据访问路径描述信息所分别对应的不同数据路径；根据所述不同数据路径，确定与所述不同数据路径相关联的路径权限信息；根据所述路径权限信息，对所述目标数据访问角色相关联的不存在预设路径标识的数据访问路径描述信息进行权限关联操作，以形成与对应的数据路径相关联的不存在预
设路径标识的路径描述信息序列；调用所述数据访问权限动态调整模型对所述不存在预设路径标识的路径描述信息序列进行路径访问热度识别分析，并根据路径访问热度识别分析的结果得到所述目标数据访问角色的权限动态调整策略，其中，所述数据访问权限动态调整模型包括深度卷积层、访问热度预测层以及权限调整策略预测层；下发所述目标数据访问角色的权限动态调整策略至所述目标数据访问角色对应的用户终端，以对所述数据访问角色针对目标数据访问路径对应的目标数据的数据访问权限进行动态调整。
6.基于第一方面，所述权限动态调整策略包括根据路径访问热度识别分析结果得到的访问热度在预设热度范围内的目标数据访问路径对应的目标数据，以及针对相应的目标数据的权限调整策略，所述下发所述目标数据访问角色的权限动态调整策略至所述目标数据访问角色对应的用户终端，以对所述数据访问角色针对目标数据访问路径对应的目标数据的数据访问权限进行动态调整，包括：当所述目标数据访问角色针对所述目标数据的访问热度位于小于第一设定热度值的第一预设热度范围内时，在大数据访问控制设备中将所述目标数据访问角色针对所述目标数据的数据访问权限按照所述权限动态调整策略进行调整，并将调整结果发送给所述目标数据访问角色对应的用户终端，其中，针对所述目标数据的权限调整策略包括降低所述目标数据访问角色针对所述目标数据的访问权限；当所述目标数据访问角色针对所述目标数据的访问热度位于大于第二设定热度值的第二预设热度范围内时，提示所述目标数据访问角色输入预设的验证信息，当接收到所述目标数据访问角色输入并反馈的正确的验证信息后，在所述大数据访问控制设备中将所述目标数据访问角色针对所述目标数据的数据访问权限按照所述权限动态调整策略进行调整，其中，针对所述目标数据的权限调整策略包括提高所述目标数据访问角色针对所述目标数据的访问权限；在将所述目标数据访问角色针对所述目标数据的数据访问权限按照所述权限动态调整策略进行调整后，将所述预设时间段内所述目标数据访问角色针对所述目标数据的数据访问路径描述信息的访问路径标识更新为所述预设路径标识。
7.基于第一方面，所述方法还包括：获取具有不同角色信息的目标数据访问角色序列和不同数据路径对应的具有路径标识的历史数据访问路径信息；根据所述目标数据访问角色序列的角色信息和数据路径的历史数据访问路径信息，得到与所述数据访问权限动态调整模型相关联的路径描述信息序列，其中所述路径描述信息序列中包括不同的路径描述信息样本；确定不同的访问热度分区，并根据相应的访问热度分区对所述路径描述信息序列中包括的各路径描述信息样本进行分区聚类，得到与所述数据访问权限动态调整模型相关联的不同路径访问热度的训练数据集，其中，所述训练数据集包括多个路径描述信息样本；根据所述不同路径访问热度的训练数据集对所述数据访问权限动态调整模型进行模型训练，得到训练后的数据访问权限动态调整模型，以用于对所述数据路径中的目标数据访问角色的大数据访问权限进行动态调整。
8.基于第一方面，所述确定不同的访问热度分区，并根据相应的访问热度分区对所述路径描述信息序列进行分区聚类，得到与所述数据访问权限动态调整模型相关联的不同路径访问热度的训练数据集，包括：确定所述数据访问权限动态调整模型匹配的数据访问业务场景，并根据所述数据访问权限动态调整模型的数据访问业务场景确定不同热度分区的访问热度；确定所述路径描述信息序列中的各路径描述信息样本所对应的访问热度参数；根据与所述数据访问权限动态调整模型的梯度算法以及不同热度分区的访问热度对所述路径描述信息序列中的各路径描述信息样本所对应的访问热度参数进行处理，得到用于训练所述数据访问权限动态调整模型相关联的不同路径访问热度的训练数据集；所述根据所述不同路径访问热度的训练数据集对所述数据访问权限动态调整模型进行模型训练，得到训练后的数据访问权限动态调整模型，包括：通过所述数据访问权限动态调整模型中深度卷积层，对所述训练数据集中的各路径描述信息样本进行处理，确定所述深度卷积层的原始模型指标；根据所述深度卷积层的原始模型指标，通过所述深度卷积层对所述训练数据集中的各所述路径描述信息样本进行处理，确定所述深度卷积层的迭代模型指标；根据所述深度卷积层的迭代模型指标，通过所述训练数据集中的各路径描述信息样本对所述深度卷积层的模型指标进行迭代更新，直到满足迭代终止条件，以得到训练后的深度卷积层用于对所述训练数据集中每个路径描述信息样本的路径描述特征向量；根据所述访问热度预测层的原始模型指标，通过所述访问热度预测层对所述训练数据集中的各路径描述信息样本进行处理，确定所述访问热度预测层的迭代模型指标； 根据所述访问热度预测层的迭代模型指标，通过所述训练数据集中的各路径描述信息样本对所述访问热度预测层的模型指标进行迭代更新，直到满足迭代终止条件，得到训练后的访问热度预测层；通过所述数据访问权限动态调整模型中的权限调整策略预测层，对所述训练数据集中每个路径描述信息样本进行处理，以确定所述权限调整策略预测层的原始模型指标；根据所述权限调整策略预测层的原始模型指标，通过所述权限调整策略预测层对所述训练数据集中每个路径描述信息样本的路径描述特征向量进行处理，得到所述权限调整策略预测层的迭代模型指标；通过所述训练数据集对所述权限调整策略预测层的迭代模型指标进行迭代更新，直到满足迭代终止条件，得到训练后的所述权限调整策略预测层。
9.基于第一方面，所述调用所述数据访问权限动态调整模型对所述不存在预设路径标识的路径描述信息序列进行路径访问热度识别分析，并根据路径访问热度识别分析的结果得到所述目标数据访问角色的权限动态调整策略，包括：将所述不存在预设路径标识的路径描述信息序列中的各路径描述信息通过所述深度卷积层进行卷积操作，得到各路径描述信息的路径描述特征向量以及各路径描述信息对应的数据路径的路径权限信息；将各所述路径描述信息的路径描述特征向量输入所述访问热度预测层进行访问热度预测，得到各所述路径描述信息分别对应的路径访问热度，并根据各路径描述信息分别对应的路径访问热度与各所述路径描述信息对应的数据路径，生成一路径访问热度特征矩阵；
将所述路径访问热度特征矩阵输入所述权限调整策略预测层，通过所述权限调整策略预测对所述路径访问热度特征矩阵进行策略预测，得到针对所述目标数据访问角色的权限动态调整策略；其中：所述将各所述路径描述信息的路径描述特征向量输入所述访问热度预测层进行访问热度预测，得到各所述路径描述信息分别对应的路径访问热度，并根据各路径描述信息分别对应的路径访问热度与各所述路径描述信息对应的数据路径，生成一路径访问热度特征矩阵，包括：对各所述路径描述信息的路径描述特征向量进行路径聚类分析，得到与所述路径描述信息对应的多种数据路径；统计每种数据路径在所述路径描述信息中的路径数量，并获每种数据路径分别对应的热度权重系数；根据每种数据路径对应的路径数量以及每种路径分别对应的热度权重系数，得到每种数据路径对应的路径访问热度，根据每种路径对应的路径访问热度形成所述路径访问热度特征矩阵；所述将所述路径访问热度特征矩阵输入所述权限调整策略预测层，通过所述权限调整策略预测对所述路径访问热度特征矩阵进行策略预测，得到针对所述目标数据访问角色的权限动态调整策略，包括：根据所述路径访问热度特征矩阵中各种数据路径对应的路径访问热度将各数据路径按照热度值进行排序，根据排序结果确定第一预设数量个高热度数据路径以及第二预设数量个低热度数据路径作为目标数据路径，根据所述目标数据路径对应的路径权限信息，生成所述目标数据访问角色针对每个所述目标数据路径分别对应的目标数据的访问权限动态调整策略；或者根据所述路径访问热度特征矩阵中各种数据路径对应的路径访问热度，将各数据路径划分至预设的不同热度分区中，将预设的目标高热度分区内的数据路径以及预设的目标低热度分区中的数据路径作为目标数据路径，根据所述目标数据路径对应的路径权限信息，生成所述目标数据访问角色针对各所述目标数据路径分别对应的目标数据的访问权限动态调整策略。
10.基于第一方面，所述访问权限动态调整策略包括所述目标数据访问角色针对每个目标数据路径对应的目标数据的当前数据访问权限和待调整的数据访问权限，以及针对每个待调整的数据访问权限对应的权限调整模式。
11.基于第一方面，所述权限调整模式包括用户验证调整模式和终端调整通知模式；所述用户验证调整模式包括根据用户输入的验证信息将所述目标数据对应的当前数据访问权限调整为对应的待调整的数据访问权限；所述终端调整通知模式包括将所述目标数据对应的当前数据访问权限调整为对应的待调整的数据访问权限后向所述目标数据访问角色对应的用户终端发送权限调整的通知信息。
12.基于第一方面，所述动态调整指示在所述大数据访问控制设备监控到满足针对所述目标数据访问角色的预设权限调整的条件时被触发。
13.第二方面，本发明实施例还提供一种大数据访问控制设备，其特征在于，包括处理
器、机器可读存储介质，所述机器可读存储介质和所述处理器连接，所述机器可读存储介质用于存储程序、指令或代码，所述处理器用于执行所述机器可读存储介质中的程序、指令或代码，以实现上述的大数据访问权限动态调整方法。
14.综上所述，本发明实施例提供的大数据访问权限动态调整方法及大数据访问控制设备，根据针对目标数据访问角色的数据访问权限的动态调整指示，获取预设时间段内与所述目标数据访问角色相关联的不存在预设路径标识的数据访问路径描述信息，然后根据所述不存在预设路径标识的数据访问路径描述信息并基于通过具有路径访问热度的路径描述信息样本进行模型训练得到的数据访问权限动态调整模型得到针对所述目标数据访问角色的权限动态调整策略，对所述目标数据访问角色的数据访问权限进行调整。如此，可以实现针对目标数据的路径访问热度对目标数据访问角色针对所述目标数据的数据访问权限进行动态调整，避免了采用单一的数据访问权限进行大数据的访问控制，进而提升用户体验。
附图说明
15.为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，针对本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
16.图1是本发明实施例提供的大数据访问权限动态调整方法的流程示意图。
17.图2是图1中步骤s20的子步骤流程示意图。
18.图3是本发明实施例提供的大数据访问控制设备的示意图。
19.图4是图3中的大数据访问权限动态调整装置的功能模块示意图。
具体实施方式
20.这里将详细地对本发明的示例性实施例进行说明。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的各个实施方式。相反，它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。在本发明使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本发明。在本发明和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或各个可能组合。
21.下面将结合附图对本发明的实施例进行详细的描述。
22.请参阅图1，图1是本发明实施例提供的大数据访问权限动态调整方法的流程示意图。本实施例中，所述方法可以由大数据访问控制设备实现，所述大数据访问控制设备可以是具有大数据处理及分析能力的计算机、服务器、计算机集群、服务器集群、云服务器、云数据平台等设备，但不限于此。所述大数据访问权限动态调整方法包括下述的步骤s10
‑
步骤s20所述的步骤，具体描述如下。
23.步骤s10，根据针对目标数据访问角色的数据访问权限的动态调整指示，获取预设
时间段内与所述目标数据访问角色相关联的不存在预设路径标识的数据访问路径描述信息。
24.步骤s20，根据所述不存在预设路径标识的数据访问路径描述信息并基于通过具有路径访问热度的路径描述信息样本进行模型训练得到的数据访问权限动态调整模型得到针对所述目标数据访问角色的权限动态调整策略，对所述目标数据访问角色的数据访问权限进行调整。
25.所述权限动态调整策略可以包括根据路径访问热度识别分析结果得到的访问热度在预设热度范围内的目标数据访问路径对应的目标数据，以及针对相应的目标数据的权限调整策略，以根据所述目标数据访问路径所在的预设热度范围对所述目标数据访问角色针对所述目标数据的数据访问权限进行动态调整。例如，当所述目标数据位于小于第一设定热度值的第一预设热度范围内时，针对所述目标数据的权限调整策略为降低所述目标数据访问角色针对所述目标数据的访问权限。如，由原来的只需要根据用户身份进行方位的第一高访问权限调整至需要根据用户身份以及动态验证码的方式才能访问的第二访问权限。又例如，当所述目标数据位于大于第二设定热度值的第二预设热度范围内时，针对所述目标数据的权限调整策略为提高所述目标数据访问角色针对所述目标数据的访问权限，如，由原来的需要根据用户身份以及动态验证码的方式才能访问第二访问权限调整至只需要根据用户身份进行访问的第一访问权限。其中，第一访问权限高于所述第二访问权限。
26.在权限调整后，可以将相应的数据访问路径的路径标识进行更新，例如从0更新为1，在设定的老化周期之后，清空存储的达到所述老化周期的数据访问路径。
27.本实施例中，举例而言，所述动态调整指示可以在所述大数据访问控制设备监控到满足针对所述目标数据访问角色的预设权限调整的条件时被触发，例如，在所述目标数据访问角色在设定时间段内的大数据访问总量达到预设数据量时，或者访问频率达到设定频率时，则触发所述动态调整指示。所述预设路径标识用于表示该数据访问路径描述信息是否曾经被用于对所述目标数据访问角色进行过数据访问权限的动态调整，例如可以用0和1标识，0为标识不存在预设标识，1标识存在预设标识。数据访问路径描述信息在所述目标数据访问角色每次访问相应的大数据之后，通过日志的方式而产生，用于记录所述目标数据访问角色的数据访问足迹，例如，所述数据访问路径描述信息可以包括所述目标数据访问角色在访问存储在大数据存储中心中的目标数据时，针对访问该目标数据的数据访问业务类型、针对所述目标数据的数据存储路径以及访问设备的设备标识等，具体不做限定。所述路径访问热度可以用于表示所述目标数据访问角色针对相应的数据访问路径的数据访问频率、访问次数等。
28.一般而言，在某些特定的业务场景下，例如针对目标数据访问角色的隐私数据的访问，在一定时间内连续多次访问后，未发生数据泄露等潜在危险因素的情况下，可以考虑针对所述目标数据访问角色的数据访问权限进行动态调整，例如提高访问权限以方便后续针对相应目标数据的访问，可提升用户感知。相对应的，若在长时间的情况下未针对相应的目标数据进行访问或者访问热度相比常规状态有明显下降，后续再次启动访问时，则有可能触发相关的数据安全风险，因此可以考虑降低相应的访问权限。当然，所应说明的是，上述说明仅仅是为了阐述一种可能需要进行数据访问权限动态调整的场景，在其他实施例中，可能存在不一样的应用场景，也可以是在长时间的情况下未针对相应的目标数据进行
访问或者访问热度相比常规状态有明显下降时，考虑提升相应的数访问权限，而在访问热度相比常规状态有明显提升时，降低相应的数据访问权限，具体根据实际的数据访问业务场景所需的数据安全因素而定。
29.下面将结合具体的实施例对上述方法的相关内容进行进一步的详细介绍。
30.本实施例中，请参阅图2所示，图2是上述步骤s20的子步骤流程示意图。在上述步骤s20中，根据所述不存在预设路径标识的数据访问路径描述信息并基于通过具有路径访问热度的路径描述信息样本进行模型训练得到的数据访问权限动态调整模型得到针对所述目标数据访问角色的权限动态调整策略，对所述目标数据访问角色的数据访问权限进行调整，可以通过以下s201
‑
s205所述的子步骤实现，具体描述如下。
31.子步骤s201，确定与所述目标数据访问角色相关联的不存在预设路径标识的数据访问路径描述信息所分别对应的不同数据路径。
32.子步骤s202，根据所述不同数据路径，确定与所述不同数据路径相关联的路径权限信息。其中，所述路径权限信息包括所述目标数据访问角色当前针对各不同的数据路径对应的目标数据的当前数据访问权限。
33.子步骤s203，根据所述路径权限信息，对所述目标数据访问角色相关联的不存在预设路径标识的数据访问路径描述信息进行权限关联操作，以形成与对应的数据路径相关联的不存在预设路径标识的路径描述信息序列。本实施例中，举例而言，可以将各数据访问路径描述信息与相应的路径权限信息以数据矩阵的形式通过所述数据描述信息序列进行表示，所述数据矩阵包括多个数据元素，每个数据元素包括相应的数据访问路径描述信息（如以特征向量的形式进行表示）以及对应的路径权限信息（如以权限标签的形式进行表示）。
34.子步骤s204，调用所述数据访问权限动态调整模型对所述不存在预设路径标识的路径描述信息序列进行路径访问热度识别分析，并根据路径访问热度识别分析的结果得到所述目标数据访问角色的权限动态调整策略。本实施例中，所述数据访问权限动态调整模型包括深度卷积层、访问热度预测层以及权限调整策略预测层。
35.子步骤s205，下发所述目标数据访问角色的权限动态调整策略至所述目标数据访问角色对应的用户终端，以对所述数据访问角色针对目标数据访问路径对应的目标数据的数据访问权限进行动态调整。
36.详细地，本实施例中，所述权限动态调整策略包括根据路径访问热度识别分析结果得到的访问热度在预设热度范围内的目标数据访问路径对应的目标数据，以及针对相应的目标数据的权限调整策略。基于此，子步骤s205中，下发所述目标数据访问角色的权限动态调整策略至所述目标数据访问角色对应的用户终端，以对所述数据访问角色针对目标数据访问路径对应的目标数据的数据访问权限进行动态调整，可替代的方式描述如下。
37.首先，当所述目标数据访问角色针对所述目标数据的访问热度位于小于第一设定热度值的第一预设热度范围内时，在大数据访问控制设备中将所述目标数据访问角色针对所述目标数据的数据访问权限按照所述权限动态调整策略进行调整，并将调整结果发送给所述目标数据访问角色对应的用户终端，其中，针对所述目标数据的权限调整策略包括降低所述目标数据访问角色针对所述目标数据的访问权限。其中，所述第一设定热度值可以是根据实际应用场景而预先设定的，所述第一预设热度范围例如可以是[0, 20]。本实施例
中，例如可以将数据访问热度的范围设定为0到100的范围，数值越大，则表示访问热度越高。
[0038]
其次，当所述目标数据访问角色针对所述目标数据的访问热度位于大于第二设定热度值的第二预设热度范围内时，提示所述目标数据访问角色输入预设的验证信息，当接收到所述目标数据访问角色输入并反馈的正确的验证信息后，在所述大数据访问控制设备中将所述目标数据访问角色针对所述目标数据的数据访问权限按照所述权限动态调整策略进行调整，其中，针对所述目标数据的权限调整策略包括提高所述目标数据访问角色针对所述目标数据的访问权限。其中，所述第二设定热度值可以是根据实际应用场景而预先设定的，所述第二预设热度范围例如可以是[80, 100]。本实施例中，所述第二预设热度值大于所述第一预设热度值。当所述目标数据访问角色针对所述目标数据的访问热度位于所述第一设定热度值和所述第二设定热度值之间时，所述权限动态调整策略则为不对所述目标数据访问角色针对所述目标数据的数据访问权限进行调整。
[0039]
进一步地，在将所述目标数据访问角色针对所述目标数据的数据访问权限按照所述权限动态调整策略进行调整后，将所述预设时间段内所述目标数据访问角色针对所述目标数据的数据访问路径描述信息的访问路径标识更新为所述预设路径标识。如此，可以避免同一数据访问路径描述信息被重复作为权限动态调整的依据。
[0040]
进一步地，本实施例中，所述数据访问权限动态调整模型可以根据预先收集的训练数据集进行模型训练而得到，相应地，本实施例提供的大数据访问权限动态调整方法还包括训练数据集的收集以进行模型训练的方法，具体方法包括以下所述的步骤（1）
‑
（4）。
[0041]
（1）获取包括不同的角色信息的目标数据访问角色序列和不同数据路径对应的具有路径标识的历史数据访问路径信息。
[0042]
（2）根据所述目标数据访问角色序列的角色信息和数据路径的历史数据访问路径信息，得到与所述数据访问权限动态调整模型相关联的路径描述信息序列，其中所述路径描述信息序列中包括不同的路径描述信息样本。
[0043]
（3）确定不同的访问热度分区，并根据相应的访问热度分区对所述路径描述信息序列中包括的各路径描述信息样本进行分区聚类，得到与所述数据访问权限动态调整模型相关联的不同路径访问热度的训练数据集，其中，所述训练数据集包括多个路径描述信息样本。例如可以根据预设的访问热度区间如0
‑
100，按照设定热度步长确定多个访问热度分区，例如，可以分为[0, 20], [21, 40], [41, 60], [61, 80], [80, 100]等五个热度分区，然后将所述路径描述信息序列中的各路径描述信息样本携带的热度值进行分区聚类，根据各路径描述信息样本携带的热度值聚类到对应的热度分区所对应的类别下。如此，通过聚类后的训练数据集再对所述访问权限动态调整模型进行训练可以提升训练速度以及模型的训练准确性。
[0044]
（4）根据所述不同路径访问热度的训练数据集对所述数据访问权限动态调整模型进行模型训练，得到训练后的数据访问权限动态调整模型，以用于对所述数据路径中的目标数据访问角色的大数据访问权限进行动态调整。
[0045]
在上数据步骤（3）中，确定不同的访问热度分区，并根据相应的访问热度分区对所述路径描述信息序列进行分区聚类，得到与所述数据访问权限动态调整模型相关联的不同路径访问热度的训练数据集，一种可实现的方法举例描述如下：
首先，确定所述数据访问权限动态调整模型匹配的数据访问业务场景，并根据所述数据访问权限动态调整模型的数据访问业务场景确定不同热度分区的访问热度；例如，所述数据访问业务场景可以是账户查询、用户云端数据访问等；针对不同的业务场景，可以设置不同的热度分区对应的访问热度；然后，确定所述路径描述信息序列中的各路径描述信息样本所对应的访问热度参数；最后，根据与所述数据访问权限动态调整模型的梯度算法以及不同热度分区的访问热度对所述路径描述信息序列中的各路径描述信息样本所对应的访问热度参数进行处理，得到用于训练所述数据访问权限动态调整模型相关联的不同路径访问热度的训练数据集。
[0046]
基于上述内容，所述步骤（4）中根据所述不同路径访问热度的训练数据集对所述数据访问权限动态调整模型进行模型训练，得到训练后的数据访问权限动态调整模型，可以通过以下方式实现：首先，通过所述数据访问权限动态调整模型中深度卷积层，对所述训练数据集中的各路径描述信息样本进行处理，确定所述深度卷积层的原始模型指标；根据所述深度卷积层的原始模型指标，通过所述深度卷积层对所述训练数据集中的各所述路径描述信息样本进行处理，确定所述深度卷积层的迭代模型指标；根据所述深度卷积层的迭代模型指标，通过所述训练数据集中的各路径描述信息样本对所述深度卷积层的模型指标进行迭代更新，直到满足迭代终止条件，以得到训练后的深度卷积层用于对所述训练数据集中每个路径描述信息样本的路径描述特征向量；然后，根据所述访问热度预测层的原始模型指标，通过所述访问热度预测层对所述训练数据集中的各路径描述信息样本进行处理，确定所述访问热度预测层的迭代模型指标； 根据所述访问热度预测层的迭代模型指标，通过所述训练数据集中的各路径描述信息样本对所述访问热度预测层的模型指标进行迭代更新，直到满足迭代终止条件，得到训练后的访问热度预测层；最后，通过所述数据访问权限动态调整模型中的权限调整策略预测层，对所述训练数据集中每个路径描述信息样本进行处理，以确定所述权限调整策略预测层的原始模型指标；根据所述权限调整策略预测层的原始模型指标，通过所述权限调整策略预测层对所述训练数据集中每个路径描述信息样本的路径描述特征向量进行处理，得到所述权限调整策略预测层的迭代模型指标；通过所述训练数据集对所述权限调整策略预测层的迭代模型指标进行迭代更新，直到满足迭代终止条件，得到训练后的所述权限调整策略预测层。
[0047]
在一种可能的实施例中，所述数据访问权限动态调整模型可以在所述大数据访问控制设备本地进行模型训练而得到，也可以在与所述大数据访问控制设备通信连接的模型训练服务器中训练得到，并在训练得到所述数据访问权限动态调整模型之后，发送给所述大数据访问控制设备，具体不做限制。可选地，所述数据访问权限动态调整模型的网络结构可以为卷积神经网络(cnn，convolutional neural network)、深度神经网络(dnn，deep neural network)或生成对抗网络（generative adversarial networks，gan）等，具体不作限定。
[0048]
基于上述训练后得到的数据访问权限动态调整模型，图2所示的子步骤s204中，调
用所述数据访问权限动态调整模型对所述不存在预设路径标识的路径描述信息序列进行路径访问热度识别分析，并根据路径访问热度识别分析的结果得到所述目标数据访问角色的权限动态调整策略，可以包括以下（1）
‑
（3）所描述的步骤，具体描述如下。
[0049]
（1）将所述不存在预设路径标识的路径描述信息序列中的各路径描述信息通过所述深度卷积层进行卷积操作，得到各路径描述信息的路径描述特征向量以及各路径描述信息对应的数据路径的路径权限信息。
[0050]
（2）将各所述路径描述信息的路径描述特征向量输入所述访问热度预测层进行访问热度预测，得到各所述路径描述信息分别对应的路径访问热度，并根据各路径描述信息分别对应的路径访问热度与各所述路径描述信息对应的数据路径，生成一路径访问热度特征矩阵。进行访问热度预测的具体方法可以包括：首先， 对各所述路径描述信息的路径描述特征向量进行路径聚类分析，得到与所述路径描述信息对应的多种数据路径；其中，针对同一目标数据的相同数据路径可以被聚为一类；然后，统计每种数据路径在所述路径描述信息中的路径数量，并获每种数据路径分别对应的热度权重系数；其中，针对不同的目标数据对应的数据路径，可以根据相应目标数据的重要性（例如，根据隐私程度、密级等因素）分别设置不同的热度权重系数；最后，根据每种数据路径对应的路径数量以及每种路径分别对应的热度权重系数，得到每种数据路径对应的路径访问热度，根据每种路径对应的路径访问热度形成所述路径访问热度特征矩阵。举例而言，可以根据每种数据路径对应的路径数量与所有种类的数据路径的总数据路径量的占比与对应的热度权重系数相乘，根据乘积结果得到各种数据路径对应的路径访问热度。例如，针对a类型的数据路径，数据路径数量为50，所述总路径数据路径量为100，a类型的数据路径的热度权重系数为1.2，那么得到的a类型的数据路径的路径访问热度可以是50/100*1.2*100=60。然后，将每种数据路径和其对应的路径访问热度进行组合后形成所述路径访问热度特征矩阵。
[0051]
（3）将所述路径访问热度特征矩阵输入所述权限调整策略预测层，通过所述权限调整策略预测对所述路径访问热度特征矩阵进行策略预测，得到针对所述目标数据访问角色的权限动态调整策略。
[0052]
详细地，在步骤（3）中，可以根据所述路径访问热度特征矩阵中各种数据路径对应的路径访问热度将各数据路径按照热度值进行排序，根据排序结果确定第一预设数量个高热度数据路径以及第二预设数量个低热度数据路径作为目标数据路径，根据所述目标数据路径对应的路径权限信息，生成所述目标数据访问角色针对每个所述目标数据路径分别对应的目标数据的访问权限动态调整策略。举例而言，可以根据所述路径访问热度特征矩阵中各种数据路径对应的路径访问热度将各数据路径按照热度值进行降序排序，排列靠前的第一预设数量个数据路径作为所述高热度数据路径，排序靠后的第二预设数量个数据路径作为所述低热度数据路径，具体不做限定。
[0053]
或者，在步骤（3）中，也可以根据所述路径访问热度特征矩阵中各种数据路径对应的路径访问热度，将各数据路径划分至预设的不同热度分区中，将预设的目标高热度分区内的数据路径以及预设的目标低热度分区中的数据路径作为目标数据路径，根据所述目标数据路径对应的路径权限信息，生成所述目标数据访问角色针对各所述目标数据路径分别
对应的目标数据的访问权限动态调整策略。例如，目标高热度分区可以是[80,100]如此，可以按照设定规则，选定出高热度以及低热度的目标数据路径对所述目标数据访问角色针对相应的目标数据的数据访问权限进行动态调整。
[0054]
其中，所述访问权限动态调整策略可以包括所述目标数据访问角色针对每个目标数据路径对应的目标数据的当前数据访问权限和待调整的数据访问权限，以及针对每个待调整的数据访问权限对应的权限调整模式。
[0055]
所述权限调整模式可以包括用户验证调整模式和终端调整通知模式。例如，所述用户验证调整模式可以包括根据用户输入的验证信息将所述目标数据对应的当前数据访问权限调整为对应的待调整的数据访问权限。所述终端调整通知模式可以包括将所述目标数据对应的当前数据访问权限调整为对应的待调整的数据访问权限后向所述目标数据访问角色对应的用户终端发送权限调整的通知信息。
[0056]
请参阅图3所示，是本发明实施例提供的大数据访问控制设备1的示意图。本实施例中，所述大数据访问控制设备1用于实现本发明实施例提供的大数据访问权限动态调整方法。本实施例中，所述大数据访问控制设备1可以包括大数据访问权限动态调整装置10、机器可读存储介质11和处理器12。
[0057]
可替代地，所述机器可读存储介质11可以由处理器12通过总线接口来访问。机器可读存储介质11也可以集成到处理器12中，例如，可以是高速缓存和/或通用寄存器。
[0058]
处理器12是大数据访问控制设备1的控制中心，利用各种接口和线路连接整个大数据访问控制设备1的各个部分，通过运行或执行存储在机器可读存储介质11内的软件程序和/或模块，以及调用存储在机器可读存储介质11内的数据，执行该大数据访问控制设备1的各种功能和处理数据，从而对大数据访问控制设备1进行整体控制。可选地，处理器12可包括一个或多个处理核心。例如，处理器12可集成应用处理器和调制解调处理器，其中，应用处理器主要处理操作系统、用户界面和应用程序等，调制解调处理器主要处理无线通信。可以理解的是，上述调制解调处理器也可以不集成到处理器中。
[0059]
其中，处理器12可以是一个通用的中央处理器(central processing unit，cpu)，微处理器，特定应用集成电路(application
‑
specific integrated circuit，asic)等。机器可读存储介质11可以是rom或可存储静态信息和指令的其它类型的静态存储设备，ram或者可存储信息和指令的其它类型的动态存储设备等，但不限于此。机器可读存储介质11可以是独立存在，通过通信总线与处理器12相连接。机器可读存储介质11也可以和处理器集成在一起。其中，机器可读存储介质11用于存储执行本技术方案的机器可执行指令。处理器12用于执行机器可读存储介质11中存储的机器可执行指令，以实现本发明提供的大数据访问权限动态调整方法。
[0060]
请参阅图4所示，是所述大数据访问权限动态调整装置10的功能模块示意图。所述大数据访问权限动态调整装置10可以包括多个软件功能模块，该等软件功能模块对应的机器可执行程序或指令可以存储于所述机器可读存储介质中，并由所述处理器12执行，以实现本发明所述的大数据访问权限动态调整方法。详细地，所述大数据访问权限动态调整装置10可以包括路径描述信息获取模块101以及数据访问权限调整模块102。下面将对上述各模块进行详细的介绍。
[0061]
路径描述信息获取模块101，用于根据针对目标数据访问角色的数据访问权限的
动态调整指示，获取预设时间段内与所述目标数据访问角色相关联的不存在预设路径标识的数据访问路径描述信息。
[0062]
数据访问权限调整模块102，用于根据所述不存在预设路径标识的数据访问路径描述信息并基于通过具有路径访问热度的路径描述信息样本进行模型训练得到的数据访问权限动态调整模型得到针对所述目标数据访问角色的权限动态调整策略，对所述目标数据访问角色的数据访问权限进行调整。
[0063]
其中，数据访问权限调整模块102，具体用于：确定与所述目标数据访问角色相关联的不存在预设路径标识的数据访问路径描述信息所分别对应的不同数据路径；根据所述不同数据路径，确定与所述不同数据路径相关联的路径权限信息；根据所述路径权限信息，对所述目标数据访问角色相关联的不存在预设路径标识的数据访问路径描述信息进行权限关联操作，以形成与对应的数据路径相关联的不存在预设路径标识的路径描述信息序列；调用所述数据访问权限动态调整模型对所述不存在预设路径标识的路径描述信息序列进行路径访问热度识别分析，并根据路径访问热度识别分析的结果得到所述目标数据访问角色的权限动态调整策略；下发所述目标数据访问角色的权限动态调整策略至所述目标数据访问角色对应的用户终端，以对所述数据访问角色针对目标数据访问路径对应的目标数据的数据访问权限进行动态调整。
[0064]
详细地，本实施例中，所述权限动态调整策略包括根据路径访问热度识别分析结果得到的访问热度在预设热度范围内的目标数据访问路径对应的目标数据，以及针对相应的目标数据的权限调整策略。基于此，数据访问权限调整模块102，下发所述目标数据访问角色的权限动态调整策略至所述目标数据访问角色对应的用户终端，以对所述数据访问角色针对目标数据访问路径对应的目标数据的数据访问权限进行动态调整，具体包括：当所述目标数据访问角色针对所述目标数据的访问热度位于小于第一设定热度值的第一预设热度范围内时，在大数据访问控制设备中将所述目标数据访问角色针对所述目标数据的数据访问权限按照所述权限动态调整策略进行调整，并将调整结果发送给所述目标数据访问角色对应的用户终端，其中，针对所述目标数据的权限调整策略包括降低所述目标数据访问角色针对所述目标数据的访问权限；当所述目标数据访问角色针对所述目标数据的访问热度位于大于第二设定热度值的第二预设热度范围内时，提示所述目标数据访问角色输入预设的验证信息，当接收到所述目标数据访问角色输入并反馈的正确的验证信息后，在所述大数据访问控制设备中将所述目标数据访问角色针对所述目标数据的数据访问权限按照所述权限动态调整策略进行调整，其中，针对所述目标数据的权限调整策略包括提高所述目标数据访问角色针对所述目标数据的访问权限；在将所述目标数据访问角色针对所述目标数据的数据访问权限按照所述权限动态调整策略进行调整后，将所述预设时间段内所述目标数据访问角色针对所述目标数据的数据访问路径描述信息的访问路径标识更新为所述预设路径标识。
[0065]
进一步地，本实施例中，所述数据访问权限动态调整模型可以根据预先收集的训
练数据集进行模型训练而得到，相应地，本实施例提供的大数据访问权限动态调整装置10还可以包括模型训练模块103，具体用于：获取包括不同的角色信息的目标数据访问角色序列和不同数据路径对应的具有路径标识的历史数据访问路径信息；根据所述目标数据访问角色序列的角色信息和数据路径的历史数据访问路径信息，得到与所述数据访问权限动态调整模型相关联的路径描述信息序列，其中所述路径描述信息序列中包括不同的路径描述信息样本；确定不同的访问热度分区，并根据相应的访问热度分区对所述路径描述信息序列中包括的各路径描述信息样本进行分区聚类，得到与所述数据访问权限动态调整模型相关联的不同路径访问热度的训练数据集，其中，所述训练数据集包括多个路径描述信息样本；根据所述不同路径访问热度的训练数据集对所述数据访问权限动态调整模型进行模型训练，得到训练后的数据访问权限动态调整模型，以用于对所述数据路径中的目标数据访问角色的大数据访问权限进行动态调整。
[0066]
上述模型训练模块103，确定不同的访问热度分区，并根据相应的访问热度分区对所述路径描述信息序列进行分区聚类，得到与所述数据访问权限动态调整模型相关联的不同路径访问热度的训练数据集，一种可实现的方法举例描述如下：首先，确定所述数据访问权限动态调整模型匹配的数据访问业务场景，并根据所述数据访问权限动态调整模型的数据访问业务场景确定不同热度分区的访问热度；例如，所述数据访问业务场景可以是账户查询、用户云端数据访问等；针对不同的业务场景，可以设置不同的热度分区对应的访问热度；然后，确定所述路径描述信息序列中的各路径描述信息样本所对应的访问热度参数；最后，根据与所述数据访问权限动态调整模型的梯度算法以及不同热度分区的访问热度对所述路径描述信息序列中的各路径描述信息样本所对应的访问热度参数进行处理，得到用于训练所述数据访问权限动态调整模型相关联的不同路径访问热度的训练数据集。
[0067]
基于上述内容，所述模型训练模块103根据所述不同路径访问热度的训练数据集对所述数据访问权限动态调整模型进行模型训练，得到训练后的数据访问权限动态调整模型，具体包括：首先，通过所述数据访问权限动态调整模型中深度卷积层，对所述训练数据集中的各路径描述信息样本进行处理，确定所述深度卷积层的原始模型指标；根据所述深度卷积层的原始模型指标，通过所述深度卷积层对所述训练数据集中的各所述路径描述信息样本进行处理，确定所述深度卷积层的迭代模型指标；根据所述深度卷积层的迭代模型指标，通过所述训练数据集中的各路径描述信息样本对所述深度卷积层的模型指标进行迭代更新，直到满足迭代终止条件，以得到训练后的深度卷积层用于对所述训练数据集中每个路径描述信息样本的路径描述特征向量；然后，根据所述访问热度预测层的原始模型指标，通过所述访问热度预测层对所述训练数据集中的各路径描述信息样本进行处理，确定所述访问热度预测层的迭代模型指标； 根据所述访问热度预测层的迭代模型指标，通过所述训练数据集中的各路径描述信息
样本对所述访问热度预测层的模型指标进行迭代更新，直到满足迭代终止条件，得到训练后的访问热度预测层；最后，通过所述数据访问权限动态调整模型中的权限调整策略预测层，对所述训练数据集中每个路径描述信息样本进行处理，以确定所述权限调整策略预测层的原始模型指标；根据所述权限调整策略预测层的原始模型指标，通过所述权限调整策略预测层对所述训练数据集中每个路径描述信息样本的路径描述特征向量进行处理，得到所述权限调整策略预测层的迭代模型指标；通过所述训练数据集对所述权限调整策略预测层的迭代模型指标进行迭代更新，直到满足迭代终止条件，得到训练后的所述权限调整策略预测层。
[0068]
基于上述训练后得到的数据访问权限动态调整模型，所述数据访问权限动态调整模块102，调用所述数据访问权限动态调整模型对所述不存在预设路径标识的路径描述信息序列进行路径访问热度识别分析，并根据路径访问热度识别分析的结果得到所述目标数据访问角色的权限动态调整策略，具体包括：将所述不存在预设路径标识的路径描述信息序列中的各路径描述信息通过所述深度卷积层进行卷积操作，得到各路径描述信息的路径描述特征向量以及各路径描述信息对应的数据路径的路径权限信息；将各所述路径描述信息的路径描述特征向量输入所述访问热度预测层进行访问热度预测，得到各所述路径描述信息分别对应的路径访问热度，并根据各路径描述信息分别对应的路径访问热度与各所述路径描述信息对应的数据路径，生成一路径访问热度特征矩阵；将所述路径访问热度特征矩阵输入所述权限调整策略预测层，通过所述权限调整策略预测对所述路径访问热度特征矩阵进行策略预测，得到针对所述目标数据访问角色的权限动态调整策略。
[0069]
例如，可以根据所述路径访问热度特征矩阵中各种数据路径对应的路径访问热度将各数据路径按照热度值进行排序，根据排序结果确定第一预设数量个高热度数据路径以及第二预设数量个低热度数据路径作为目标数据路径，根据所述目标数据路径对应的路径权限信息，生成所述目标数据访问角色针对每个所述目标数据路径分别对应的目标数据的访问权限动态调整策略。或者，也可以根据所述路径访问热度特征矩阵中各种数据路径对应的路径访问热度，将各数据路径划分至预设的不同热度分区中，将预设的目标高热度分区内的数据路径以及预设的目标低热度分区中的数据路径作为目标数据路径，根据所述目标数据路径对应的路径权限信息，生成所述目标数据访问角色针对各所述目标数据路径分别对应的目标数据的访问权限动态调整策略。如此，可以按照设定规则，选定出高热度以及低热度的目标数据路径对所述目标数据访问角色针对相应的目标数据的数据访问权限进行动态调整。
[0070]
其中，上述进行访问热度预测的具体方法可以包括：首先，对各所述路径描述信息的路径描述特征向量进行路径聚类分析，得到与所述路径描述信息对应的多种数据路径；其中，针对同一目标数据的相同数据路径可以被聚为一类；然后，统计每种数据路径在所述路径描述信息中的路径数量，并获每种数据路径分别对应的热度权重系数；其中，针对不同的目标数据对应的数据路径，可以根据相应目标
数据的重要性（例如，根据隐私程度、密级等因素）分别设置不同的热度权重系数；最后，根据每种数据路径对应的路径数量以及每种路径分别对应的热度权重系数，得到每种数据路径对应的路径访问热度，根据每种路径对应的路径访问热度形成所述路径访问热度特征矩阵。举例而言，可以根据每种数据路径对应的路径数量与所有种类的数据路径的总数据路径量的占比与对应的热度权重系数相乘，根据乘积结果得到各种数据路径对应的路径访问热度。
[0071]
综上所述，本发明实施例提供的大数据访问权限动态调整方法及大数据访问控制设备，根据针对目标数据访问角色的数据访问权限的动态调整指示，获取预设时间段内与所述目标数据访问角色相关联的不存在预设路径标识的数据访问路径描述信息，然后根据所述不存在预设路径标识的数据访问路径描述信息并基于通过具有路径访问热度的路径描述信息样本进行模型训练得到的数据访问权限动态调整模型得到针对所述目标数据访问角色的权限动态调整策略，对所述目标数据访问角色的数据访问权限进行调整。如此，可以实现针对目标数据的路径访问热度对目标数据访问角色针对所述目标数据的数据访问权限进行动态调整，避免了采用单一的数据访问权限进行大数据的访问控制，进而提升用户体验。
[0072]
以上所描述的实施例仅仅是本发明的一部分实施例，而不是全部的实施例。通常在附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此，在附图中提供的本发明的实施例的详细描述并非旨在限制本发明的保护范围，而仅仅是表示本发明的选定实施例。因此，本发明的保护范围应以权利要求的保护范围为准。此外，基于本发明的实施例，本领域技术人员在没有做出创造性劳动的前提下可获得的所有其它实施例，都应属于本发明保护的范围。