基于訪問控制日志的訪問控制策略生成方法

劉敖迪 杜學繪 王 娜 單棣斌 張 柳

(戰(zhàn)略支援部隊信息工程大學 鄭州 450001)

(河南省信息安全重點實驗室 鄭州 450001)

1 引言

基于屬性的訪問控制(Attribute-Based Access Control， ABAC)機制[1，2]使用實體屬性作為訪問控制的基本要素，適用于解決大數(shù)據(jù)、物聯(lián)網(wǎng)等新型開放計算范式所面臨的大規(guī)模、細粒度動態(tài)授權(quán)問題[3]，得到了廣泛地關(guān)注與研究。美國聯(lián)邦政府[4]將ABAC設(shè)定為推薦的訪問控制模型。Gartner公司預計[5]在2020年，全球?qū)⒂?0%的企業(yè)使用ABAC作為主導機制來保護其關(guān)鍵信息資產(chǎn)。但是，原有應(yīng)用系統(tǒng)可能存在特定的訪問控制機制。特別是在開放計算范式中存在大量的實體(用戶、設(shè)備、資源等)且不同實體間又具有不同的屬性信息，將原有訪問控制系統(tǒng)遷移到ABAC系統(tǒng)的代價是昂貴且耗時的。如何在滿足系統(tǒng)安全性和可用性的前提下，實現(xiàn)ABAC策略的生成是實施訪問控制的前提。

現(xiàn)有研究大多致力于基于角色的策略生成研究[6—10]，利用角色在用戶和權(quán)限間建立關(guān)聯(lián)來生成策略。如Dong等人[8]利用Bipartite Networks來生成基于角色的策略，通過剔除不合適的邊來提高策略生成質(zhì)量。周超等人[11]提出了基于形式概念分析的語義角色挖掘算法，通過概念格間相似性分析為角色賦予語義內(nèi)涵。目前也存在一些針對ABAC的策略生成研究。Xu等人[3]通過遍歷用戶-權(quán)限元組構(gòu)造候選策略的種子，用約束替換屬性表達式中的連接來泛化每個候選規(guī)則，以此覆蓋用戶權(quán)限關(guān)系中的其他元組生成策略。Medvet等人[12]將ABAC策略挖掘問題轉(zhuǎn)化為多目標優(yōu)化問題，采用遺傳進化算法實現(xiàn)策略的生成，但由于解的搜索空間過大，性能較低。Karimi等人[13]提出了一種基于無監(jiān)督學習算法的策略生成方法，基于K-modes聚類算法實現(xiàn)近似策略規(guī)則模式的抽取。但是，該方法策略生成質(zhì)量的穩(wěn)定性不高，且難以設(shè)定恰當?shù)木垲愔?。以上方法都只關(guān)注允許類型的訪問控制策略，無法解決禁止類型策略的生成問題。針對此問題，Iyer等人[14]提出了一種基于子類枚舉的算法，能夠同時發(fā)現(xiàn)允許類型的授權(quán)規(guī)則和禁止類型的授權(quán)規(guī)則，但該算法需要對用戶-權(quán)限關(guān)系進行多次重復迭代計算，時間開銷較大。Mocanu等人[15]通過日志來訓練一個受限的玻爾茲曼機(Restricted Boltzmann Machine， RBM)來提取策略規(guī)則。但只給出了算法在策略空間中第1個階段的初步結(jié)果，算法的最后一個階段并未實現(xiàn)。另外，還有一些研究[16—18]使用自然語言處理和機器學習技術(shù)從文本中提取ABAC策略。但該問題比較復雜，目前為止解決的都是子問題，比如分析自然語言文本來識別與訪問控制相關(guān)的句子和屬性。

基于此，本文提出一種基于訪問控制日志的ABAC策略生成方法。利用遞歸屬性消除法實現(xiàn)策略屬性的篩選，基于信息不純度提煉出日志中蘊含的屬性-權(quán)限關(guān)系，結(jié)合實體屬性選擇的結(jié)果，實現(xiàn)ABAC策略的生成。并設(shè)計了基于二分搜索的策略生成優(yōu)化算法優(yōu)化策略生成過程。實驗結(jié)果表明，只需原始實體屬性集中32.56%的屬性即可實現(xiàn)對日志中95%的策略覆蓋，并能將策略規(guī)模壓縮為原有規(guī)模的33.33%，證實了本方法的有效性。

2 相關(guān)定義

定義1 訪問控制日志實體是對用戶操作行為的記錄，可以用4元組{u， o， ac， r}進行表示。其中，u∈User表示主體用戶標識，o∈Object表示客體資源標識，ac∈Action表示動作標識，r∈{Permit， Deny}表示操作執(zhí)行結(jié)果，分別為允許操作和禁止操作。因此，日志可按照操作執(zhí)行結(jié)果進行二元分類，分為允許類別日志和禁止類別日志。訪問控制日志集是訪問控制日志實體組成的集合，蘊含有系統(tǒng)訪問控制策略的相關(guān)信息。

定義2 候選屬性集是指系統(tǒng)中包含的所有屬性關(guān)系，分為主體用戶屬性集Cu和客體資源屬性集Co。用戶屬性集包含用戶-屬性授予關(guān)系Ru→a，描述了不同主體用戶所對應(yīng)的屬性信息?？腕w資源屬性集包含客體-屬性授予關(guān)系Ro→a，描述了不同客體資源所對應(yīng)的屬性信息。屬性能夠從不同的維度和粒度對訪問控制的實體進行準確的描述，包括連續(xù)值屬性和離散值屬性。如年齡、時間等屬性為連續(xù)值屬性，性別、單位等屬性是離散值屬性。

定義3 策略屬性集是指訪問控制策略中實際用到的用戶屬性集Au和客體資源屬性集Ao以及對應(yīng)的用戶-屬性授予關(guān)系Ru～a和客體-屬性授予關(guān)系Ro～a。策略屬性集是指對候選屬性集進行優(yōu)化計算得到的屬性子集，用于實際的訪問控制策略描述，減少無關(guān)屬性對策略生成的干擾。

定義4 日志擴展策略向量PL是基于候選屬性集對日志中涉及的實體進行擴充得到的日志擴展策略向量，可表示為{u， o， ac， r}→{A， r}。其中，A={Au， Ao， Aac}，Au表示用戶u的屬性信息，Ao表示客體o的屬性信息，Aac表示操作屬性。

定義5 策略結(jié)構(gòu)樹T是一種樹型的訪問控制結(jié)構(gòu)，用來對ABAC策略進行描述。其中，樹T的節(jié)點可分為葉子節(jié)點和非葉子節(jié)點。非葉子節(jié)點用來表示一個屬性及其相應(yīng)屬性值的約束條件，非葉子節(jié)點所引發(fā)的樹的分支表示不同的屬性取值結(jié)果或范圍。若該屬性是離散值屬性，那么該節(jié)點的左分支代表不具有該屬性，右分支代表具有該屬性。若該屬性是連續(xù)值屬性，那么該節(jié)點的左分支代表小于該屬性的約束值λ，右分支則代表大于該屬性的約束值λ。葉子節(jié)點表示該策略的授權(quán)結(jié)果(允許或禁止)。從根節(jié)點開始，沿著非葉子節(jié)點進行策略結(jié)構(gòu)樹的深度優(yōu)先搜索到達葉子節(jié)點所形成的一條完整路徑代表一條完整的訪問控制策略。

定義6 基于訪問控制日志的ABAC策略生成問題的形式化定義如式(1)—式(3)所示。給定用戶集User、客體資源集Object、動作集Action、用戶-屬性授予關(guān)系Ru→a、客體-屬性授予數(shù)據(jù)Ro→a、訪問控制日志L和制定生成策略集的策略評估指標I。目標是得到滿足策略評估指標I、具有最小策略規(guī)模和策略屬性規(guī)模的訪問控制策略集PolicySet。

其中，PCN(L)， DCN(L)， ACN(L)分別表示采用生成的訪問控制策略對日志中的允許類別日志記錄、禁止類別日志記錄、所有類別日志記錄進行權(quán)限判決，且判決結(jié)果為正確的日志數(shù)量。PN(L)， DN(L)，AN(L)分別表示允許類別日志記錄、禁止類別日志記錄、所有類別日志記錄的總數(shù)量。

3 策略生成流程

在策略生成過程中包括日志記錄擴充、屬性選擇、策略生成3個階段，策略生成流程如圖1所示。

圖1 策略生成流程

(1) 階段1：日志記錄擴充階段。日志記錄擴充階段將訪問控制日志記錄轉(zhuǎn)化為日志擴展策略向量。每條訪問控制日志記錄中都包含有該記錄所對應(yīng)的主體用戶、客體資源、動作以及操作執(zhí)行結(jié)果等信息。首先，對日志中重復、沖突的日志數(shù)據(jù)進行一致化處理。刪除日志中存在的冗余重復日志記錄。將操作不一致的日志記錄按照時間維度進行一致化處理，保留最近時間的日志為待擴充的日志數(shù)據(jù)，刪除其他沖突日志記錄，構(gòu)建全局一致的日志記錄集合。之后，使用對應(yīng)的實體屬性將一致化后的訪問控制日志中涉及的實體要素進行全替換，從而將實體映射到屬性空間，得到對應(yīng)的日志擴展策略向量。日志擴展策略向量的維度與屬性空間的維度是相等的。再將實體映射到屬性空間的過程中，若該實體擁有對應(yīng)的屬性，則該屬性在向量中的對應(yīng)位置被置為1，否則該位被置為0。得到的向量規(guī)模與一致化處理后的日志數(shù)據(jù)規(guī)模等同。

(2) 階段2：屬性選擇階段。屬性選擇階段從候選屬性集篩選出策略屬性集。屬性選擇階段基于機器學習分類器的遞歸屬性消除法實現(xiàn)策略屬性的選擇。構(gòu)建基于機器學習的分類器，將日志記錄擴充階段生成日志擴展策略向量中的屬性作為屬性向量，將操作執(zhí)行結(jié)果作為屬性向量的標簽。采取每次刪除一個屬性方式，將對應(yīng)的屬性向量與屬性向量標簽輸入到機器學習分類器中進行迭代訓練，將訓練好的分類器準確率作為被刪除屬性的重要性評價標準，準確率越低說明刪除該屬性對分類器的性能影響越大，則該屬性越重要；反之，說明該屬性對分類器性能影響不大，則該屬性越不重要。對每一個屬性重要性進行排序，得到屬性選擇結(jié)果。

(3) 階段3：策略生成階段。策略生成階段基于信息不純度結(jié)合屬性選擇結(jié)果將日志擴展策略向量構(gòu)建為策略結(jié)構(gòu)樹，基于策略結(jié)構(gòu)樹生成最終的訪問控制策略。首先，基于屬性選擇結(jié)果遍歷選擇出屬性重要性最高的前k個屬性，利用這k個屬性擴充日志實體得到基于k個屬性的日志擴展策略向量。借鑒了決策樹算法思想，基于日志擴展策略向量計算屬性的信息不純度，選取信息不純度最大屬性作為分裂節(jié)點，逐步構(gòu)建策略結(jié)構(gòu)樹。隨后對策略結(jié)構(gòu)樹進行深度優(yōu)先搜索，從根節(jié)點到達每個葉子節(jié)點的一條搜索路徑對應(yīng)一條ABAC策略，以此能夠得到該策略結(jié)構(gòu)樹所對應(yīng)的策略集，再對策略集進行評估。通過迭代計算不同k值的策略集質(zhì)量，選取滿足策略覆蓋率要求且使屬性與策略規(guī)模最小的k值對應(yīng)的策略集作為最終的ABAC策略集。

4 策略生成算法

4.1 屬性選擇算法

屬性選擇之前需要將實體屬性進行離散化處理。對于離散值屬性，直接使用獨熱編碼One-hot形式對屬性進行編碼，0表示該實體不具有該屬性，1表示該實體具有該屬性。對于連續(xù)值屬性，需要將連續(xù)值按范圍劃分為離散值屬性，再使用One-hot形式進行屬性編碼。例如，以1 h為時間間隔，將連續(xù)的時間屬性[7:00 am～11:00 am]離散化為4個離散值屬性[7:00 am～8:00 am， 8:00 am～9:00 am，9:00 am～10:00 am， 10:00 am～11:00 am]。使用離散化后得到的實體屬性集對日志進行屬性擴展得到日志擴展策略向量。

利用基于機器學習分類器的遞歸屬性消除法[19]實現(xiàn)策略屬性的選擇。日志擴展策略向量中包括了該記錄中涉及的屬性信息與操作執(zhí)行結(jié)果。將屬性信息構(gòu)成的屬性特征向量作為訓練數(shù)據(jù)，操作執(zhí)行結(jié)果作為訓練數(shù)據(jù)的標簽輸入到機器學習分類器中進行模型訓練，以后向排序方式對策略屬性規(guī)模進行約簡，按照規(guī)則迭代刪除重要性最低的屬性，該方法是一種基于貪心消除的策略屬性選擇算法。最后得到的策略屬性選擇重要性序列是屬性刪除序列的倒序。算法的偽代碼描述如表1所示。

表1 屬性選擇算法

具體步驟如下所示：

(1) 輸入日志擴展策略集L={l1， l2， ···， ln}、候選屬性集C={c1， c2， ···， cm}以及排序后的屬性集A*={}。

(2) 使用候選屬性集C訓練一個分類器classifier。

(3) 遍歷計算候選屬性集C中每一個屬性ci的得分score(score為無該屬性條件下分類器classifier的準確率)。

(4) 依據(jù)屬性得分對候選屬性集C中的屬性進行重要性排序。

(5) 挑選出重要性最高的n個屬性構(gòu)成策略屬性集A*。

4.2 策略生成算法

通過屬性選擇算法計算得到策略屬性集，再利用策略屬性集對日志實體進行擴充得到策略生成算法的輸入數(shù)據(jù)。策略生成算法的核心目標是構(gòu)建策略結(jié)構(gòu)樹，這里借鑒了決策樹算法[20，21]思想，使用基尼系數(shù)(Gini coefficient)計算實體屬性的信息不純度。將信息不純度作為屬性節(jié)點分裂的依據(jù)，用來決定策略結(jié)構(gòu)樹構(gòu)建的最優(yōu)切分點。若以一個非葉子屬性節(jié)點的信息來進行策略權(quán)限判決時的結(jié)果不唯一，則將該屬性節(jié)點進行分裂，分為2個子節(jié)點。策略結(jié)構(gòu)樹的構(gòu)建過程，就是屬性節(jié)點的信息不純度逐漸降低，挖掘?qū)傩?權(quán)限內(nèi)在關(guān)系，以此構(gòu)建訪問控制策略的過程。基尼系數(shù)Gini的計算方法如式(7)所示其中，Gini(D， A)表示屬性A對不同類別的日志樣本集合D的不確定性?；嵯禂?shù)越高表示該屬性節(jié)點所包含的權(quán)限類別越混合。即該信息的不純度就越高，基尼系數(shù)與熵的概念相類似。通過選取信息不純度最高的屬性作為策略結(jié)構(gòu)樹的分裂屬性，來確保策略覆蓋率最高。

算法的偽代碼描述如表2所示。

表2 策略生成算法

在策略生成過程中，策略的數(shù)量與屬性的數(shù)量呈現(xiàn)正向相關(guān)性，而策略的數(shù)量與策略覆蓋率也呈現(xiàn)正向相關(guān)性。策略生成的目標是在保證生成策略的策略覆蓋率盡可能高的同時，策略數(shù)量盡可能低。實際的策略生成過程是一個動態(tài)規(guī)劃過程。在達到目標策略覆蓋率的前提下，盡量搜索得到屬性規(guī)模n較小的策略屬性集。若使用遍歷搜索，最壞情況下的時間復雜度為O(n)(n為屬性空間中的實體屬性個數(shù))。為了提高最優(yōu)屬性規(guī)模的搜索效率，采用分治策略，設(shè)計了基于二分搜索的策略生成優(yōu)化算法(Policy Generation Optimization algorithm based on Binary Search， PQO-BS)，該算法最壞情況下的時間復雜度為O(lg n)，顯著降低了算法的時間復雜度。算法的偽代碼描述如表3所示。

表3 策略生成優(yōu)化算法

5 實驗評估

5.1 實驗設(shè)置

為了驗證本文方法的有效性，基于University-Dataset數(shù)據(jù)集[15]進行仿真實驗。該數(shù)據(jù)集是一個操作類別平衡的數(shù)據(jù)集，涵蓋了16000條用戶的訪問控制日志信息，其中，8000條為允許類別日志，8000條為禁止類別日志，實體涉及43個類別的屬性信息。實驗環(huán)境如下：操作系統(tǒng)為Win10 64 bit，CPU為Intel(R) Core(TM) i7- 4710MQ@ 2.5 GHz，GPU為GeForce GTX 850 M，內(nèi)存大小為16 GB，Python版本為3.6。本文分別設(shè)計了屬性選擇性能對比、策略生成性能對比、策略優(yōu)化性能對比3個實驗來對策略生成的性能進行評估。

5.2 實驗結(jié)果

5.2.1 屬性選擇性能對比

在屬性選擇性能對比實驗中，本文分別實現(xiàn)了基于隨機森林分類器(Random Forest， RF)、邏輯回歸分類器(Logistic Regression， LR)、支持向量機分類器(Support Vector Machine， SVM)以及梯度提升分類器(Gradient Boosting， GB)的屬性選擇算法。圖2是采取不同分類器算法的不同屬性評分的比較。由圖2的結(jié)果能夠看出，采取不同的分類器算法，對不同屬性的重要性評分結(jié)果是存在較大差異的，從而導致屬性的選擇節(jié)點也存在差異。圖3、圖4以及圖5分別展現(xiàn)了不同的分類器算法在不同的屬性規(guī)模條件下，肯定策略覆蓋率、否定策略覆蓋率以及全策略覆蓋率的變化情況。在肯定優(yōu)先的策略評估中，GB方法的性能是較好的，在屬性規(guī)模為3時，即可達到對允許類策略的全覆蓋。在否定優(yōu)先的策略評估中，RF方法的性能是較好的，在屬性規(guī)模為18時，可達到對禁止類策略約93%的策略覆蓋率。在綜合評估的策略評估中，前半段，GB方法的性能較好，后半段RF方法的性能較好。GB方法的策略覆蓋率率先突破90%，RF方法的策略覆蓋率率先突破96%。綜合評估的實驗結(jié)果表明了只需原始實體屬性集中32.56%的屬性信息即可實現(xiàn)對日志中95%的策略權(quán)限覆蓋，能夠?qū)⒉呗砸?guī)模壓縮為原有規(guī)模的33.33%，證實了本方案的有效性，能夠為訪問控制策略管理提供有力支撐。因此，安全管理人員可根據(jù)不同屬性規(guī)模及策略覆蓋率的應(yīng)用要求，靈活選取不同方法實現(xiàn)屬性的選擇。

圖2 不同算法的屬性評分比較

圖3 屬性規(guī)模與肯定優(yōu)先的關(guān)系

圖4 屬性規(guī)模與否定優(yōu)先的關(guān)系

圖5 屬性規(guī)模與綜合評估的關(guān)系

5.2.2 策略生成性能對比

如圖6所示，為不同屬性規(guī)模條件下，不同算法生成的訪問控制策略規(guī)模的對比。策略規(guī)模的曲線呈現(xiàn)出了先增長后下降的走向。這說明選取恰當?shù)膶傩允鞘种匾?，不恰當?shù)膶傩詫⒅苯佑绊懮刹呗缘谋磉_能力。屬性規(guī)模為19是策略生成性能的分界點。當屬性規(guī)模小于19時，GB方法生成的策略規(guī)模較少。而當屬性規(guī)模大于19時，RF方法生成的策略規(guī)模較少。當屬性規(guī)模為43時，不同方法間沒有策略規(guī)模方法的性能差異。如圖7所示，為不同屬性規(guī)模條件下，不同算法的策略生成時間開銷的對比關(guān)系。不同算法的時間開銷由大到小分別是GB， RF， SVM和LR。

圖6 屬性規(guī)模與策略規(guī)模的關(guān)系

圖7 策略生成的時間開銷

5.2.3 策略優(yōu)化性能對比

由圖8—圖11的實驗結(jié)果可知，通過二分優(yōu)化搜索算法能夠顯著提升策略生成算法的性能，顯著降低策略生成算法搜索最優(yōu)屬性規(guī)模的開銷。在未使用優(yōu)化算法的條件下，隨著策略覆蓋率需求的增加，時間開銷呈指數(shù)增長。而在使用優(yōu)化算法、不同策略覆蓋率需求的條件下，時間開銷基本穩(wěn)定，不受影響。另外，由圖7、圖10和圖11的實驗結(jié)果發(fā)現(xiàn)，雖然單次的策略生成時間開銷GB方法要比RF方法高，但是在最優(yōu)屬性規(guī)模搜索問題上，GB方法的性能比RF方法更好，能夠在更短的時間內(nèi)達到收斂。圖12是不同方法在達到最優(yōu)策略覆蓋率條件下的性能對比，由圖12的實驗結(jié)果發(fā)現(xiàn)，本文所提出的方法與當前的主流的子類枚舉方法(subenum)相比具有至少約61.28%的性能提升，能夠更好地滿足策略生成需求。

圖8 邏輯回歸方法性能對比

圖9 支持向量機方法性能對比

圖10 隨機森林方法性能對比

圖11 梯度提升方法性能對比

圖12 不同方法的性能對比

6 結(jié)束語

針對ABAC策略生成問題，本文提出一種基于訪問控制日志的ABAC策略生成方法，從日志中提煉蘊含的屬性-權(quán)限關(guān)系，實現(xiàn)ABAC策略的自動化生成，為從其他訪問控制機制向ABAC機制遷移提供策略支撐。實驗結(jié)果驗證了本方法的有效性，能夠為訪問控制系統(tǒng)的策略管理提供有力支撐。