本發(fā)明涉及計(jì)算機(jī)權(quán)限管理和訪問控制技術(shù)領(lǐng)域，特別涉及一種用于hadoop云平臺(tái)的用戶動(dòng)態(tài)訪問控制方法。

背景技術(shù)：

hadoop云平臺(tái)是一種開源分布式計(jì)算云平臺(tái)，因其具有高可靠性、高擴(kuò)展性、高效性和高容錯(cuò)性的特點(diǎn)受到了各大電商及互聯(lián)網(wǎng)企業(yè)的青睞，與此同時(shí)，隨著hadoop云平臺(tái)在各領(lǐng)域的廣泛應(yīng)用，其安全問題也日益突出；在眾多的hadoop云平臺(tái)安全問題中，數(shù)據(jù)安全是hadoop云平臺(tái)安全的核心問題之一，訪問控制通過限制用戶對(duì)數(shù)據(jù)信息的訪問能力及范圍從而保證資源不被非法使用和訪問，成為云平臺(tái)中數(shù)據(jù)安全的重要保障。而現(xiàn)有hadoop云平臺(tái)在安全訪問控制機(jī)制設(shè)計(jì)上并沒有充分考慮其用戶正?；虍惓５膶傩宰兓沟闷浯嬖谥卮蟀踩[患。

目前，國(guó)內(nèi)外針對(duì)hadoop云平臺(tái)安全機(jī)制的研究取得了一定的進(jìn)展，guptac等基于密度估計(jì)和主成分分析方法pca設(shè)計(jì)了一種hadoop平臺(tái)異常檢測(cè)系統(tǒng)，實(shí)時(shí)監(jiān)控hadoop云平臺(tái)用戶行為，由于該方法缺乏相應(yīng)的容錯(cuò)機(jī)制和異常用戶處理機(jī)制，反而會(huì)增加云平臺(tái)管理員工作量；tanz等提出一種基于信任度的動(dòng)態(tài)訪問控制模型，但沒有將信任模型與訪問控制模型很好地結(jié)合在一起，且僅僅進(jìn)行了理論上的分析。jingx等提出了一種基于用戶行為評(píng)估的云平臺(tái)動(dòng)態(tài)訪問控制模型，由于沒有描述用戶行為的檢測(cè)方法且其模型過于復(fù)雜，故不能較好地與現(xiàn)有hadoop云平臺(tái)結(jié)合。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明的目的是提供一種用于hadoop云平臺(tái)的用戶動(dòng)態(tài)訪問控制方法。

為此，本發(fā)明技術(shù)方案如下：

一種用于hadoop云平臺(tái)的用戶動(dòng)態(tài)訪問控制方法，其中，hadoop云平臺(tái)包括操作系統(tǒng)、主服務(wù)器和認(rèn)證服務(wù)器，該用于hadoop云平臺(tái)的用戶動(dòng)態(tài)訪問控制方法包括按順序進(jìn)行的下列步驟：

1)搭建處理模塊的s1階段：在此階段，在hadoop云平臺(tái)的主服務(wù)器上建立指令收集模塊、指令處理模塊、用戶請(qǐng)求接收模塊、行為分類模塊、角色劃分模塊，然后進(jìn)入s2階段；

2)指令序列收集的s2階段：在此階段，指令收集模塊從主服務(wù)器中收集用戶操作記錄，并針對(duì)每個(gè)用戶建立相應(yīng)的行為數(shù)據(jù)庫，然后進(jìn)入s3階段；

3)對(duì)用戶指令進(jìn)行處理的s3階段：在此階段，指令處理模塊依次采用串表壓縮算法和字典壓縮算法分別對(duì)每個(gè)用戶的所有指令進(jìn)行并行化處理，提取每個(gè)用戶的指令特征值，然后進(jìn)入s4階段；

4)生成全局k模型的s4階段：在此階段，根據(jù)每個(gè)用戶的指令特征值針對(duì)每個(gè)用戶生成k個(gè)壓縮字典，并將k個(gè)壓縮字典組成全局k模型g，其中，全局k模型g＝{cd1,cd2,..cdi,..cdk}，然后進(jìn)入s5階段；

5)接收用戶請(qǐng)求的s5階段：在此階段，用戶根據(jù)自身需要訪問hadoop云平臺(tái)，發(fā)出訪問請(qǐng)求，用戶請(qǐng)求接收模塊根據(jù)用戶的訪問請(qǐng)求生成用戶指令行為序列s及用戶行為指令序列s的用戶行為模式sp，然后進(jìn)入s6階段；

6)對(duì)用戶行為進(jìn)行評(píng)定的s6階段：在此階段，利用全局k模型中的k個(gè)壓縮字典以cd投票的方式判斷用戶行為模式sp是否異常，并利用行為分類模塊對(duì)用戶行為模式sp進(jìn)行標(biāo)定，得到帶有分類標(biāo)簽的用戶行為模式，然后進(jìn)入s7階段；

7)計(jì)算綜合評(píng)估值的s7階段：在此階段，結(jié)合步驟6)中得到的帶有分類標(biāo)簽的用戶行為模式計(jì)算用戶當(dāng)前行為評(píng)估值、用戶歷史行為評(píng)估值和用戶推薦行為評(píng)估值；并利用用戶當(dāng)前行為評(píng)估值、用戶歷史行為評(píng)估值、用戶推薦行為評(píng)估值和用戶初始評(píng)估值計(jì)算用戶的綜合評(píng)估值，然后進(jìn)入s8階段；

8)對(duì)用戶進(jìn)行角色分配的s8階段：在此階段，角色劃分模塊根據(jù)用戶的綜合評(píng)估值判斷用戶行為是否異常，如用戶行為正常，則管理員根據(jù)綜合評(píng)估值賦予權(quán)限并為其分配角色實(shí)現(xiàn)資源訪問，若用戶行為異常則拒絕用戶的訪問并給出拒絕服務(wù)提示。

所述的步驟3)中對(duì)用戶操作指令進(jìn)行處理的方法包括按順序進(jìn)行的下列步驟：

a)將收集到的所有用戶的指令操作記錄中的指令參數(shù)信息濾除，僅保留指令名稱，使每個(gè)用戶固定數(shù)量的指令名稱按照時(shí)間信息排成一個(gè)指令流而形成用戶指令序列塊b；

b)從用戶指令序列塊b中提取序列中所有的指令字符組合，即用戶指令序列模式pi，并計(jì)算用戶指令序列模式pi在當(dāng)前用戶指令序列塊b中出現(xiàn)的次數(shù)fi，得到lzw字典d{pi，fi}；

c)然后在lzw字典中按照用戶指令序列模式pi在該用戶指令序列塊b中的權(quán)重ωi和模式長(zhǎng)度li提取最終的歷史用戶行為模式cp即為用戶的指令特征值。

所述的步驟c)中用戶的指令特征值的提取方法為在lzw字典d中存在的用戶指令序列模式pi將每一個(gè)與用戶指令序列模式pi的編輯距離相差為1的其它用戶指令序列模式px放在一個(gè)子集中，選擇子集中權(quán)重值與模式長(zhǎng)度乘積最大的用戶指令序列模式作為用戶的指令特征值。

所述的步驟6)中全局k模型g隨著用戶新指令塊的加入而更新，每當(dāng)用戶的新指令塊完整生成一個(gè)壓縮字典后，統(tǒng)計(jì)全局k模型中各個(gè)壓縮字典判定該用戶行為模式sp為正常的總次數(shù)，次數(shù)統(tǒng)計(jì)從該用戶行為模式sp首次訪問開始到本次訪問為止，使用新生成的壓縮字典替換掉全局k模型中判定用戶行為模式sp為正常的總次數(shù)最少的壓縮字典。

所述的步驟6)中對(duì)用戶行為進(jìn)行評(píng)定時(shí)，若用戶行為指令序列s的用戶行為模式sp與單個(gè)壓縮字典cdi中的任意歷史用戶行為模式cp的編輯距離均大于x％*l,則單個(gè)壓縮字典cdi判定用戶行為模式sp為異常，其中，l為歷史用戶行為模式cp的長(zhǎng)度，且x>30。

所述的步驟6)中對(duì)用戶行為進(jìn)行評(píng)定時(shí)，若全局k模型中有大于k/2個(gè)壓縮字典判定用戶行為模式sp異常，則全局k模型判定該用戶行為模式sp異常，否則為正常；若k為偶數(shù)且全局k模型中判定用戶行為模式sp異常的壓縮字典數(shù)為k/2，則根據(jù)主服務(wù)器中之前存儲(chǔ)的對(duì)該用戶行為模式sp的最新判定結(jié)果進(jìn)行判定，若主服務(wù)器中存儲(chǔ)用戶行為模式sp的最新判定結(jié)果異常，則當(dāng)前用戶行為模式sp為異常，否則為正常。

所述的步驟7)中計(jì)算用戶歷史行為評(píng)估值時(shí)采用滑窗算法。

所述的步驟8)中對(duì)用戶進(jìn)行角色分配的方法包括按順序進(jìn)行的下列步驟：

ⅰ)設(shè)定多個(gè)初始角色，并由管理員針對(duì)每個(gè)初始角色設(shè)定訪問權(quán)限；

ⅱ)將操作系統(tǒng)上的所有用戶均映射為hadoop云平臺(tái)用戶，實(shí)現(xiàn)平臺(tái)用戶的統(tǒng)一管理；

ⅲ)建立正常用戶組gpn和異常用戶組gpa，并將初始時(shí)所有通過身份認(rèn)證的用戶加入正常用戶組gpn，與此同時(shí)，將正常用戶組gpn添加到服務(wù)級(jí)訪問控制列表中；

ⅳ)主服務(wù)器將用戶useri的綜合行為評(píng)估值t同閾值td進(jìn)行比較：當(dāng)t≤td時(shí)，查詢搜索異常用戶組gpa中有無用戶useri，若無用戶useri，則將用戶useri加入異常用戶組gpa，并記錄加入時(shí)間times及有效期限timev，刪除正常用戶組gpn中用戶useri；若有用戶useri，則重置其有效期限timev，當(dāng)timev≤0，將用戶useri重新添加入正常用戶組gpn；

ⅴ)用戶useri通過認(rèn)證服務(wù)器身份認(rèn)證和主服務(wù)器驗(yàn)證后向主服務(wù)器發(fā)出云服務(wù)請(qǐng)求時(shí)，主服務(wù)器根據(jù)服務(wù)級(jí)訪問控制列表中用戶列表判斷是否響應(yīng)該請(qǐng)求：若用戶useri在訪問控制列表中，則響應(yīng)該請(qǐng)求，結(jié)合管理員授予該用戶的權(quán)限，為其分配不同的角色，實(shí)現(xiàn)對(duì)資源的訪問；否則，通過token返回拒絕標(biāo)志并給出拒絕服務(wù)提示。

與現(xiàn)有技術(shù)相比，該用于hadoop云平臺(tái)的用戶動(dòng)態(tài)訪問控制方法占用服務(wù)器內(nèi)存較少，保證服務(wù)器的運(yùn)行速度和反應(yīng)速度，且對(duì)用戶行為分類準(zhǔn)確率高，訪問控制效果相對(duì)穩(wěn)定，能夠?qū)崟r(shí)有效地實(shí)現(xiàn)對(duì)hadoop云平臺(tái)用戶的動(dòng)態(tài)訪問控制，保證hadoop云平臺(tái)的安全性。

附圖說明

圖1為本發(fā)明提供的用于hadoop云平臺(tái)用戶動(dòng)態(tài)訪問控制方法的流程圖。

圖2為hadoop云平臺(tái)用戶動(dòng)態(tài)訪問控制系統(tǒng)的結(jié)構(gòu)框圖。

具體實(shí)施方式

下面結(jié)合附圖及具體實(shí)施例對(duì)本發(fā)明做進(jìn)一步的說明，但下述實(shí)施例絕非對(duì)本發(fā)明有任何限制。

如圖1-2所示，該用于hadoop云平臺(tái)的用戶動(dòng)態(tài)訪問控制方法包括按順序進(jìn)行的下列步驟：

1)搭建處理模塊的s1階段：在此階段，在hadoop云平臺(tái)的主服務(wù)器上建立指令收集模塊1、指令處理模塊2、用戶請(qǐng)求接收模塊3、行為分類模塊4、角色劃分模塊5，然后進(jìn)入s2階段；

2)指令序列收集的s2階段：在此階段，指令收集模塊1從主服務(wù)器中收集用戶操作記錄，并針對(duì)每個(gè)用戶建立相應(yīng)的行為數(shù)據(jù)庫，然后進(jìn)入s3階段；

3)對(duì)用戶指令進(jìn)行處理的s3階段：在此階段，指令處理模塊2依次采用串表壓縮算法和字典壓縮算法分別對(duì)每個(gè)用戶的所有指令進(jìn)行并行化處理，提取每個(gè)用戶的指令特征值，然后進(jìn)入s4階段；

4)生成全局k模型的s4階段：在此階段，根據(jù)每個(gè)用戶的指令特征值針對(duì)每個(gè)用戶生成k個(gè)壓縮字典，并將k個(gè)壓縮字典組成全局k模型g，其中，全局k模型g＝{cd1,cd2,..cdi,..cdk}，然后進(jìn)入s5階段；

5)接收用戶請(qǐng)求的s5階段：在此階段，用戶根據(jù)自身需要訪問hadoop云平臺(tái)，發(fā)出訪問請(qǐng)求，用戶請(qǐng)求接收模塊3根據(jù)用戶的訪問請(qǐng)求生成用戶指令行為序列s及用戶行為指令序列s的用戶行為模式sp，然后進(jìn)入s6階段；

6)對(duì)用戶行為進(jìn)行評(píng)定的s6階段：在此階段，利用全局k模型中的k個(gè)壓縮字典cd以投票的方式判斷用戶行為模式sp是否異常，并利用行為分類模塊4對(duì)用戶行為模式sp進(jìn)行標(biāo)定，得到帶有分類標(biāo)簽的用戶行為模式，然后進(jìn)入s7階段；

7)計(jì)算綜合評(píng)估值的s7階段：在此階段，結(jié)合步驟6)中得到的帶有分類標(biāo)簽的用戶行為模式計(jì)算用戶當(dāng)前行為評(píng)估值、用戶歷史行為評(píng)估值和用戶推薦行為評(píng)估值；并利用用戶當(dāng)前行為評(píng)估值、用戶歷史行為評(píng)估值、用戶推薦行為評(píng)估值和用戶初始評(píng)估值計(jì)算用戶的綜合評(píng)估值，然后進(jìn)入s8階段；

8)對(duì)用戶進(jìn)行角色分配的s8階段：在此階段，角色劃分模塊5根據(jù)用戶的綜合評(píng)估值判斷用戶行為是否異常，如用戶行為正常，則管理員根據(jù)綜合評(píng)估值賦予權(quán)限并為其分配角色實(shí)現(xiàn)資源訪問，若用戶行為異常則拒絕用戶的訪問并給出拒絕服務(wù)提示。

所述的步驟3)中對(duì)用戶操作指令進(jìn)行處理的方法包括按順序進(jìn)行的下列步驟：

a)將收集到的所有用戶的指令操作記錄中的指令參數(shù)信息濾除，僅保留指令名稱，使每個(gè)用戶固定數(shù)量的指令名稱按照時(shí)間信息排成一個(gè)指令流形成用戶指令序列塊b；

b)從用戶指令序列塊b中提取序列中所有的指令字符組合，即用戶指令序列模式pi，并計(jì)算用戶指令序列模式pi在當(dāng)前序列塊中出現(xiàn)的次數(shù)fi，得到lzw字典d{pi，fi}；

c)然后按照用戶指令序列模式pi在該用戶指令序列塊b中的權(quán)重ωi和模式長(zhǎng)度li提取最終的歷史用戶行為模式cp即為用戶的指令特征值。

所述的步驟c)中用戶指令特征值的提取方法為lzw字典d中存在的指令序列模式pi將把每一個(gè)與指令序列模式pi的編輯距離相差為1的其它指令序列模式px放在一個(gè)子集中，選擇子集中權(quán)重值與模式長(zhǎng)度乘積最大的指令序列模式作為用戶指令特征值。

所述的步驟6)中全局k模型g隨著用戶新指令塊的加入而更新，每當(dāng)用戶的新指令塊完整生成一個(gè)壓縮字典后，統(tǒng)計(jì)全局k模型中各個(gè)壓縮字典判定該用戶行為模式sp為正常的總次數(shù)，次數(shù)統(tǒng)計(jì)從該用戶行為模式sp首次訪問開始到本次訪問為止，使用新生成的壓縮字典替換掉全局k模型中判定用戶行為模式sp為正常的總次數(shù)最少的壓縮字典。

所述的步驟6)中對(duì)用戶行為進(jìn)行評(píng)定時(shí)，若用戶行為指令序列s的用戶行為模式sp與單個(gè)壓縮字典cdi中的任意歷史用戶行為模式cp的編輯距離均大于x％*l,則單個(gè)壓縮字典cdi判定用戶行為模式sp為異常，其中，l為歷史用戶行為模式cp的長(zhǎng)度，且x>30。

所述的步驟6)中對(duì)用戶行為進(jìn)行評(píng)定時(shí)，若全局k模型中有大于k/2個(gè)壓縮字典判定用戶行為模式sp異常，則全局k模型判定該用戶行為模式sp異常，否則為正常；若k為偶數(shù)且全局k模型中判定用戶行為模式sp異常的壓縮字典數(shù)為k/2，則根據(jù)主服務(wù)器中之前存儲(chǔ)的對(duì)該用戶行為模式sp的最新判定結(jié)果進(jìn)行判定，若主服務(wù)器中存儲(chǔ)用戶行為模式sp的最新判定結(jié)果異常，則當(dāng)前用戶行為模式sp為異常，否則為正常。

所述的步驟7)中計(jì)算用戶歷史行為評(píng)估值時(shí)采用滑窗算法。

所述的步驟8)中對(duì)用戶進(jìn)行角色分配的方法包括按順序進(jìn)行的下列步驟：

ⅰ)設(shè)定多個(gè)初始角色，并由管理員針對(duì)每個(gè)初始角色設(shè)定訪問權(quán)限；

ⅱ)將操作系統(tǒng)上的所有用戶均映射為hadoop云平臺(tái)用戶，實(shí)現(xiàn)平臺(tái)用戶的統(tǒng)一管理；

ⅲ)建立正常用戶組gpn和異常用戶組gpa，并將初始時(shí)所有通過身份認(rèn)證的用戶加入正常用戶組gpn，與此同時(shí)，將正常用戶組gpn添加到服務(wù)級(jí)訪問控制列表中；

ⅳ)主服務(wù)器將用戶useri的綜合行為評(píng)估值t同閾值td進(jìn)行比較：當(dāng)t≤td時(shí)，查詢搜索異常用戶組gpa中有無用戶useri，若無用戶useri，則將用戶useri加入異常用戶組gpa，并記錄加入時(shí)間times及有效期限timev，刪除正常用戶組gpn中用戶useri；若有用戶useri，則重置其有效期限timev，當(dāng)timev≤0，將用戶useri重新添加入正常用戶組gpn；

ⅴ)用戶useri通過認(rèn)證服務(wù)器身份認(rèn)證和主服務(wù)器驗(yàn)證后向主服務(wù)器發(fā)出云服務(wù)請(qǐng)求時(shí)，主服務(wù)器根據(jù)服務(wù)級(jí)訪問控制列表中用戶列表判斷是否響應(yīng)該請(qǐng)求：若用戶useri在訪問控制列表中，則響應(yīng)該請(qǐng)求，結(jié)合管理員授予該用戶的權(quán)限，為其分配不同的角色，實(shí)現(xiàn)對(duì)資源的訪問；否則，通過token返回拒絕標(biāo)志并給出拒絕服務(wù)提示。

本發(fā)明提供的用于hadoop云平臺(tái)的用戶動(dòng)態(tài)訪問控制方法的實(shí)施例如下：

首先，在hadoop云平臺(tái)的主服務(wù)器上建立指令收集模塊1、指令處理模塊2、用戶請(qǐng)求接收模塊3、行為分類模塊4、角色劃分模塊5；

然后，指令收集模塊1從主服務(wù)器中收集用戶操作記錄，并針對(duì)每個(gè)用戶建立相應(yīng)的行為數(shù)據(jù)庫，

其次，指令處理模塊2依次采用串表壓縮算法和字典壓縮算法分別對(duì)每個(gè)用戶的所有指令進(jìn)行并行化處理，提取每個(gè)用戶的指令特征值的方法是：

a)將收集到的所有用戶的指令操作記錄中的指令參數(shù)信息濾除，僅保留指令名稱，使每個(gè)用戶固定數(shù)量的指令名稱按照時(shí)間信息排成一個(gè)指令流而形成用戶指令序列塊b；

b)從用戶指令序列塊b中提取序列中所有的指令字符組合，即用戶指令序列模式pi，并計(jì)算用戶指令序列模式pi在當(dāng)前用戶指令序列塊b中出現(xiàn)的次數(shù)fi，得到lzw字典d{pi，fi}；

c)然后在lzw字典中按照用戶指令序列模式pi在該用戶指令序列塊b中的權(quán)重ωi和模式長(zhǎng)度li提取最終的歷史用戶行為模式cp即為用戶的指令特征值；用戶指令特征值的提取方法為在lzw字典d中存在的指令序列模式pi將每一個(gè)與指令序列模式pi的編輯距離相差為1的其它用戶指令序列模式px放在一個(gè)子集中，選擇子集中權(quán)重值與模式長(zhǎng)度乘積最大的用戶指令序列模式作為用戶的指令特征值；

其中，用戶指令序列模式pi的權(quán)重ωi計(jì)算的公式為：

公式(1)中，fi是用戶指令序列模式pi在當(dāng)前用戶指令序列塊b中出現(xiàn)的次數(shù)，n是當(dāng)前用戶指令序列塊b中互不相同的用戶指令序列模式pi的數(shù)量；

接著，根據(jù)每個(gè)用戶的指令特征值針對(duì)每個(gè)用戶生成k個(gè)壓縮字典，并將k個(gè)壓縮字典組成全局k模型g，其中，全局k模型g＝{cd1,cd2,..cdi,..cdk}；

接著，當(dāng)用戶根據(jù)自身需要訪問hadoop云平臺(tái)，發(fā)出訪問請(qǐng)求時(shí)，用戶請(qǐng)求接收模塊3根據(jù)用戶的訪問請(qǐng)求生成用戶指令行為序列s及用戶行為指令序列s的用戶行為模式sp；

緊接著，利用全局k模型中的k個(gè)壓縮字典以投票的方式判斷用戶行為模式sp是否異常，并利用行為分類模塊4對(duì)用戶行為模式sp進(jìn)行標(biāo)定，若全局k模型中有大于k/2個(gè)壓縮字典判定用戶行為模式sp異常，則全局k模型判定該用戶行為模式sp異常，否則為正常；若k為偶數(shù)且全局k模型中判定用戶行為模式sp異常的壓縮字典數(shù)為k/2，則根據(jù)主服務(wù)器中之前存儲(chǔ)的對(duì)該用戶行為模式sp的最新判定結(jié)果進(jìn)行判定，若主服務(wù)器中存儲(chǔ)用戶行為模式sp的最新判定結(jié)果異常，則當(dāng)前用戶行為模式sp為異常，否則為正常，并對(duì)用戶行為模式sp進(jìn)行標(biāo)定，用戶行為模式sp正常標(biāo)定為1，異常標(biāo)定為0，從而得到帶有分類標(biāo)簽的用戶行為模式；全局k模型g隨著用戶新指令塊的加入而更新，每當(dāng)用戶的新指令塊完整生成一個(gè)壓縮字典后，統(tǒng)計(jì)全局k模型中各個(gè)壓縮字典判定該用戶行為模式sp為正常的總次數(shù)，次數(shù)統(tǒng)計(jì)從該用戶行為模式sp首次訪問開始到本次訪問為止，使用新生成的壓縮字典替換掉全局k模型中判定用戶行為模式sp為正常的總次數(shù)最少的壓縮字典。

然后，計(jì)算用戶當(dāng)前行為評(píng)估值、用戶歷史行為評(píng)估值和用戶推薦行為評(píng)估值；并利用用戶當(dāng)前行為評(píng)估值、用戶歷史行為評(píng)估值、用戶推薦行為評(píng)估值和用戶初始評(píng)估值計(jì)算用戶的綜合評(píng)估值，用戶綜合評(píng)估值計(jì)算公式如下：

t＝ts+α×vn+β×vp+γ×vr(2)

公式(2)中，t為用戶綜合評(píng)估值，ts為hadoop云平臺(tái)為所有用戶設(shè)置的初始行為評(píng)估值，vn為用戶當(dāng)前行為評(píng)估值，vp為用戶歷史行為評(píng)估值，vr為用戶推薦行為評(píng)估值；α，β，γ分別為用戶當(dāng)前行為評(píng)估值vn，用戶歷史行為評(píng)估值vp和用戶推薦行為評(píng)估值vr的權(quán)重，按照用戶行為評(píng)估原則，三者應(yīng)滿足α>β>γ且α+β+γ＝1；

其中，用戶當(dāng)前行為評(píng)估值vn的計(jì)算公式如下：

vn＝w+λ(-θ×j)(3)

公式(3)中，w為常數(shù)；0≤θ≤1，θ表示調(diào)節(jié)異常行為對(duì)用戶當(dāng)前行為評(píng)估值vn的影響作用大小；λ為選擇因子，用戶當(dāng)前行為為異常行為時(shí)，λ＝1；否則，λ＝0；j是指從用戶被重新加入到正常用戶組至進(jìn)行當(dāng)前行為期間，其行為被判定為異常的累積次數(shù)。

用戶歷史行為評(píng)估值vp的計(jì)算采用滑窗算法，其中，滑窗左沿以外的用戶行為記錄為過期記錄，滑窗右沿設(shè)置到當(dāng)前用戶行為的左側(cè)；評(píng)估值計(jì)算時(shí)僅計(jì)算滑窗內(nèi)的用戶行為評(píng)估值，用戶歷史行為評(píng)估值vp的計(jì)算公式如下：

公式(4)中，l為滑窗長(zhǎng)度；i為滑窗內(nèi)用戶行為模式sp的序號(hào)；vn為用戶當(dāng)前行為評(píng)估值。

用戶推薦行為評(píng)估值vr的計(jì)算公式如下：

公式(5)中，k為hadoop云平臺(tái)給出的用戶推薦評(píng)估值的個(gè)數(shù)；vri表示hadoop云平臺(tái)給出的該用戶的第i個(gè)推薦行為評(píng)估值。

最后，角色劃分模塊5根據(jù)用戶的綜合評(píng)估值判斷用戶行為是否異常的方法包括以下幾個(gè)步驟：

ⅰ)設(shè)定多個(gè)初始角色，并由管理員針對(duì)每個(gè)初始角色設(shè)定訪問權(quán)限；

ⅱ)將操作系統(tǒng)上的所有用戶均映射為hadoop云平臺(tái)用戶，實(shí)現(xiàn)平臺(tái)用戶的統(tǒng)一管理；

ⅲ)建立正常用戶組gpn和異常用戶組gpa，并將初始時(shí)所有通過身份認(rèn)證的用戶加入正常用戶組gpn，與此同時(shí)，將正常用戶組gpn添加到服務(wù)級(jí)訪問控制列表中；

ⅳ)主服務(wù)器將用戶useri的綜合行為評(píng)估值t同閾值td進(jìn)行比較：當(dāng)t≤td時(shí)，查詢搜索異常用戶組gpa中有無用戶useri，若無用戶useri，則將用戶useri加入異常用戶組gpa，并記錄加入時(shí)間times及有效期限timev，刪除正常用戶組gpn中用戶useri；若有用戶useri，則重置其有效期限timev，當(dāng)timev≤0，將useri重新添加入正常用戶組gpn；

ⅴ)用戶useri通過認(rèn)證服務(wù)器身份認(rèn)證和主服務(wù)器驗(yàn)證后向主服務(wù)器發(fā)出云服務(wù)請(qǐng)求時(shí)，主服務(wù)器根據(jù)服務(wù)級(jí)訪問控制列表中用戶列表判斷是否響應(yīng)該請(qǐng)求：若用戶useri在訪問控制列表中，表明該用戶行為正常，則響應(yīng)該請(qǐng)求，結(jié)合管理員授予該用戶的權(quán)限，為其分配不同的角色，實(shí)現(xiàn)對(duì)資源的訪問；否則，該用戶行為異常，通過token返回拒絕標(biāo)志并給出拒絕服務(wù)提示。