访问控制是实现系统和网络安全的重要方案,通过特定的访问控制策略,达到限制用户对数据、网络等资源访问的目的。接入网访问控制是实现大规模互联网安全的重要基础,传统接入网通常使用基于角色的访问控制策略结合访问控制列表技术,从而限制非法的用户接入互联网,并对恶意流量进行过滤。然而随着技术的不断发展,这些策略难以应对更加复杂多样化的攻击与快速变化的恶意流量。新的恶意应用会不断出现并产生访问控制列表无法识别的恶意流量,被攻击者控制的用户主机也会借助合法用户的身份进行破坏。为了解决这些问题,本文研究了基于流量特征的接入网访问控制。接入网网关对流量特征进行实时分析并转换为流量的属性,然后实施基于属性的灵活访问控制。本文主要研究内容及创新点包括:1.本文提出了一个基于流量特征的接入网访问控制框架,阻止快速变化的恶意流量,保障接入网安全性。该框架通过对应用层流量的实时分析,将流量按照应用类型与流量来源类型等多种不同类别的特征赋予相应的属性,然后在流量属性的基础上通过基于属性的访问控制策略实施访问控制。2.本文设计了基于应用触发关系的应用类型识别方案,为访问控制框架提供了较准确的应用类型特征属性。该方案分析应用间触发关系并建模为有向无环图,从TCP流中通过频繁项集挖掘的方法挖掘应用间触发关系,并利用触发关系将应用类型识别问题建模为最大后验概率估计问题,然后设计了启发式算法在深度包检测方案的基础上进行应用类型识别,实验表明该方案有效提高了应用类型识别的准确率。3.本文提出了基于流量访问模式的来源类型识别方案,为访问控制框架提供了较准确的流量来源类型特征属性。该方案利用Cookie作为基准分析了可靠的用户身份标识,然后对用户请求建模,抽取了访问时间分布、访问URL分布等关键特征,通过机器学习的方法将流量来源按照普通用户和多种类型的机器用户进行分类,实验表明该方案可达到较高的识别准确率。4.本文设计了基于冗余消除的属性基加密方案,并通过该方案为框架提供基于流量属性的访问控制能力。该方案分析了属性基加密计算开销的来源,重新设计了属性基加密的计算流程,通过共享访问控制子结构的方式消除了冗余的计算和存储开销,实验表明该方案可有效地降低访问控制过程中的存储和计算开销。