没有合适的资源?快使用搜索试试~ 我知道了~
基于访问控制日志的访问控制策略生成方法.docx
1.该资源内容由用户上传,如若侵权请联系客服进行举报
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
版权申诉
0 下载量 155 浏览量
2023-02-23
20:09:28
上传
评论
收藏 774KB DOCX 举报
温馨提示
试读
17页
基于访问控制日志的访问控制策略生成方法.docx
资源推荐
资源详情
资源评论
1. 引言
基于属性的访问控制(Attribute-Based Access Control, ABAC)机制
[1,2]
使用实体属性作为
访问控制的基本要素,适用于解决大数据、物联网等新型开放计算范式所面临的大规模、
细粒度动态授权问题
[3]
,得到了广泛地关注与研究。美国联邦政府
[4]
将 ABAC 设定为推荐
的访问控制模型。Gartner 公司预计
[5]
在 2020 年,全球将有 70%的企业使用 ABAC 作为主
导机制来保护其关键信息资产。但是,原有应用系统可能存在特定的访问控制机制。特别
是在开放计算范式中存在大量的实体(用户、设备、资源等)且不同实体间又具有不同的属
性信息,将原有访问控制系统迁移到 ABAC 系统的代价是昂贵且耗时的。如何在满足系统
安全性和可用性的前提下,实现 ABAC 策略的生成是实施访问控制的前提。
现有研究大多致力于基于角色的策略生成研究
[6-10]
,利用角色在用户和权限间建立关
联来生成策略。如 Dong 等人
[8]
利用 Bipartite Networks 来生成基于角色的策略,通过剔除
不合适的边来提高策略生成质量。周超等人
[11]
提出了基于形式概念分析的语义角色挖掘算
法,通过概念格间相似性分析为角色赋予语义内涵。目前也存在一些针对 ABAC 的策略生
成研究。Xu 等人
[3]
通过遍历用户-权限元组构造候选策略的种子,用约束替换属性表达式中
的连接来泛化每个候选规则,以此覆盖用户权限关系中的其他元组生成策略。Medvet 等人
[12]
将 ABAC 策略挖掘问题转化为多目标优化问题,采用遗传进化算法实现策略的生成,但
由于解的搜索空间过大,性能较低。Karimi 等人
[13]
提出了一种基于无监督学习算法的策略
生成方法,基于 K-modes 聚类算法实现近似策略规则模式的抽取。但是,该方法策略生成
质量的稳定性不高,且难以设定恰当的聚类值。以上方法都只关注允许类型的访问控制策
略,无法解决禁止类型策略的生成问题。针对此问题,Iyer 等人
[14]
提出了一种基于子类枚
举的算法,能够同时发现允许类型的授权规则和禁止类型的授权规则,但该算法需要对用
户-权限关系进行多次重复迭代计算,时间开销较大。Mocanu 等人
[15]
通过日志来训练一个
受限的玻尔兹曼机(Restricted Boltzmann Machine, RBM)来提取策略规则。但只给出了算法
在策略空间中第 1 个阶段的初步结果,算法的最后一个阶段并未实现。另外,还有一些研
究
[16-18]
使用自然语言处理和机器学习技术从文本中提取 ABAC 策略。但该问题比较复杂,
目前为止解决的都是子问题,比如分析自然语言文本来识别与访问控制相关的句子和属
性。
基于此,本文提出一种基于访问控制日志的 ABAC 策略生成方法。利用递归属性消
除法实现策略属性的筛选,基于信息不纯度提炼出日志中蕴含的属性-权限关系,结合实体
属性选择的结果,实现 ABAC 策略的生成。并设计了基于二分搜索的策略生成优化算法优
化策略生成过程。实验结果表明,只需原始实体属性集中 32.56%的属性即可实现对日志中
95%的策略覆盖,并能将策略规模压缩为原有规模的 33.33%,证实了本方法的有效性。
2. 相关定义
定义 1 访问控制日志实体是对用户操作行为的记录,可以用 4 元组{u, o, ac, r}进行
表示。其中,u∈User 表示主体用户标识,o∈Object 表示客体资源标识,ac∈Action 表示
动作标识,r∈{Permit, Deny}表示操作执行结果,分别为允许操作和禁止操作。因此,日
志可按照操作执行结果进行二元分类,分为允许类别日志和禁止类别日志。访问控制日志
集是访问控制日志实体组成的集合,蕴含有系统访问控制策略的相关信息。
定义 2 候选属性集是指系统中包含的所有属性关系,分为主体用户属性集 C
u
和客体
资源属性集 C
o
。用户属性集包含用户-属性授予关系 R
u→a
,描述了不同主体用户所对应的属
性信息。客体资源属性集包含客体-属性授予关系 R
o→a
,描述了不同客体资源所对应的属性
信息。属性能够从不同的维度和粒度对访问控制的实体进行准确的描述,包括连续值属性
和离散值属性。如年龄、时间等属性为连续值属性,性别、单位等属性是离散值属性。
定义 3 策略属性集是指访问控制策略中实际用到的用户属性集 A
u
和客体资源属性集
A
o
以及对应的用户-属性授予关系 R
u~a
和客体-属性授予关系 R
o~a
。策略属性集是指对候选属
性集进行优化计算得到的属性子集,用于实际的访问控制策略描述,减少无关属性对策略
生成的干扰。
定义 4 日志扩展策略向量 P
L
是基于候选属性集对日志中涉及的实体进行扩充得到的
日志扩展策略向量,可表示为{u, o, ac, r}→{A, r}。其中,A={A
u
, A
o
, A
ac
},A
u
表示用户 u 的
属性信息,A
o
表示客体 o 的属性信息,A
ac
表示操作属性。
定义 5 策略结构树 T 是一种树型的访问控制结构,用来对 ABAC 策略进行描述。其
中,树 T 的节点可分为叶子节点和非叶子节点。非叶子节点用来表示一个属性及其相应属
性值的约束条件,非叶子节点所引发的树的分支表示不同的属性取值结果或范围。若该属
性是离散值属性,那么该节点的左分支代表不具有该属性,右分支代表具有该属性。若该
属性是连续值属性,那么该节点的左分支代表小于该属性的约束值 λ,右分支则代表大于
该属性的约束值 λ。叶子节点表示该策略的授权结果(允许或禁止)。从根节点开始,沿着非
叶子节点进行策略结构树的深度优先搜索到达叶子节点所形成的一条完整路径代表一条完
整的访问控制策略。
定义 6 基于访问控制日志的 ABAC 策略生成问题的形式化定义如式(1)—式(3)所
示。给定用户集 User、客体资源集 Object、动作集 Action、用户-属性授予关系 R
u→a
、客体
-属性授予数据 R
o→a
、访问控制日志 L 和制定生成策略集的策略评估指标 I。目标是得到满
足策略评估指标 I、具有最小策略规模和策略属性规模的访问控制策略集 PolicySet。
[Math Processing Error]S={User,Object,Action,Ru→a,Ro→a,L,I}
(1)
[Math Processing Error]D={User,Object,Action,Ru→a,Ro→a,PolicySet}
(2)
[Math Processing Error]S→D
(3)
定义 7 策略覆盖率是生成策略集质量的评估指标,计算方法如式(4)—式(6)所示,分
别对应肯定策略覆盖率、否定策略覆盖率以及全策略覆盖率
[Math Processing Error]PC=PCN(L)PN(L)
(4)
[Math Processing Error]DC=DCN(L)DN(L)
(5)
[Math Processing Error]AC=ACN(L)AN(L)
(6)
其中,P
CN
(L), D
CN
(L), A
CN
(L)分别表示采用生成的访问控制策略对日志中的允许类别日
志记录、禁止类别日志记录、所有类别日志记录进行权限判决,且判决结果为正确的日志
数量。P
N
(L), D
N
(L), A
N
(L)分别表示允许类别日志记录、禁止类别日志记录、所有类别日志
记录的总数量。
3. 策略生成流程
在策略生成过程中包括日志记录扩充、属性选择、策略生成 3 个阶段,策略生成流程
如图 1 所示。
图 1 策略生成流程
下载: 全尺寸图片 幻灯片
(1) 阶段 1:日志记录扩充阶段。日志记录扩充阶段将访问控制日志记录转化为日志
扩展策略向量。每条访问控制日志记录中都包含有该记录所对应的主体用户、客体资源、
动作以及操作执行结果等信息。首先,对日志中重复、冲突的日志数据进行一致化处理。
删除日志中存在的冗余重复日志记录。将操作不一致的日志记录按照时间维度进行一致化
处理,保留最近时间的日志为待扩充的日志数据,删除其他冲突日志记录,构建全局一致
的日志记录集合。之后,使用对应的实体属性将一致化后的访问控制日志中涉及的实体要
素进行全替换,从而将实体映射到属性空间,得到对应的日志扩展策略向量。日志扩展策
略向量的维度与属性空间的维度是相等的。再将实体映射到属性空间的过程中,若该实体
拥有对应的属性,则该属性在向量中的对应位置被置为 1,否则该位被置为 0。得到的向量
规模与一致化处理后的日志数据规模等同。
(2) 阶段 2:属性选择阶段。属性选择阶段从候选属性集筛选出策略属性集。属性选
择阶段基于机器学习分类器的递归属性消除法实现策略属性的选择。构建基于机器学习的
分类器,将日志记录扩充阶段生成日志扩展策略向量中的属性作为属性向量,将操作执行
结果作为属性向量的标签。采取每次删除一个属性方式,将对应的属性向量与属性向量标
签输入到机器学习分类器中进行迭代训练,将训练好的分类器准确率作为被删除属性的重
要性评价标准,准确率越低说明删除该属性对分类器的性能影响越大,则该属性越重要;
反之,说明该属性对分类器性能影响不大,则该属性越不重要。对每一个属性重要性进行
排序,得到属性选择结果。
(3) 阶段 3:策略生成阶段。策略生成阶段基于信息不纯度结合属性选择结果将日志
扩展策略向量构建为策略结构树,基于策略结构树生成最终的访问控制策略。首先,基于
属性选择结果遍历选择出属性重要性最高的前 k 个属性,利用这 k 个属性扩充日志实体得
到基于 k 个属性的日志扩展策略向量。借鉴了决策树算法思想,基于日志扩展策略向量计
算属性的信息不纯度,选取信息不纯度最大属性作为分裂节点,逐步构建策略结构树。随
后对策略结构树进行深度优先搜索,从根节点到达每个叶子节点的一条搜索路径对应一条
ABAC 策略,以此能够得到该策略结构树所对应的策略集,再对策略集进行评估。通过迭
代计算不同 k 值的策略集质量,选取满足策略覆盖率要求且使属性与策略规模最小的 k 值
对应的策略集作为最终的 ABAC 策略集。
4. 策略生成算法
4.1 属性选择算法
属性选择之前需要将实体属性进行离散化处理。对于离散值属性,直接使用独热编码
One-hot 形式对属性进行编码,0 表示该实体不具有该属性,1 表示该实体具有该属性。对
于连续值属性,需要将连续值按范围划分为离散值属性,再使用 One-hot 形式进行属性编
码。例如,以 1 h 为时间间隔,将连续的时间属性[7:00 am~11:00 am]离散化为 4 个离散值
属性[7:00 am~8:00 am, 8:00 am~9:00 am, 9:00 am~10:00 am, 10:00 am~11:00 am]。使用
离散化后得到的实体属性集对日志进行属性扩展得到日志扩展策略向量。
利用基于机器学习分类器的递归属性消除法
[19]
实现策略属性的选择。日志扩展策略向
量中包括了该记录中涉及的属性信息与操作执行结果。将属性信息构成的属性特征向量作
为训练数据,操作执行结果作为训练数据的标签输入到机器学习分类器中进行模型训练,
以后向排序方式对策略属性规模进行约简,按照规则迭代删除重要性最低的属性,该方法
剩余16页未读,继续阅读
资源评论
罗伯特之技术屋
- 粉丝: 3652
- 资源: 1万+
下载权益
C知道特权
VIP文章
课程特权
开通VIP
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功