基于訪問控制日志的訪問控制策略生成方法

劉敖迪 杜學繪 王 娜 單棣斌 張 柳

(戰略支援部隊信息工程大學 鄭州 450001)

(河南省信息安全重點實驗室 鄭州 450001)

1 引言

基于屬性的訪問控制(Attribute-Based Access Control， ABAC)機制[1，2]使用實體屬性作為訪問控制的基本要素，適用于解決大數據、物聯網等新型開放計算范式所面臨的大規模、細粒度動態授權問題[3]，得到了廣泛地關注與研究。美國聯邦政府[4]將ABAC設定為推薦的訪問控制模型。Gartner公司預計[5]在2020年，全球將有70%的企業使用ABAC作為主導機制來保護其關鍵信息資產。但是，原有應用系統可能存在特定的訪問控制機制。特別是在開放計算范式中存在大量的實體(用戶、設備、資源等)且不同實體間又具有不同的屬性信息，將原有訪問控制系統遷移到ABAC系統的代價是昂貴且耗時的。如何在滿足系統安全性和可用性的前提下，實現ABAC策略的生成是實施訪問控制的前提。

現有研究大多致力于基于角色的策略生成研究[6—10]，利用角色在用戶和權限間建立關聯來生成策略。如Dong等人[8]利用Bipartite Networks來生成基于角色的策略，通過剔除不合適的邊來提高策略生成質量。周超等人[11]提出了基于形式概念分析的語義角色挖掘算法，通過概念格間相似性分析為角色賦予語義內涵。目前也存在一些針對ABAC的策略生成研究。Xu等人[3]通過遍歷用戶-權限元組構造候選策略的種子，用約束替換屬性表達式中的連接來泛化每個候選規則，以此覆蓋用戶權限關系中的其他元組生成策略。Medvet等人[12]將ABAC策略挖掘問題轉化為多目標優化問題，采用遺傳進化算法實現策略的生成，但由于解的搜索空間過大，性能較低。Karimi等人[13]提出了一種基于無監督學習算法的策略生成方法，基于K-modes聚類算法實現近似策略規則模式的抽取。但是，該方法策略生成質量的穩定性不高，且難以設定恰當的聚類值。以上方法都只關注允許類型的訪問控制策略，無法解決禁止類型策略的生成問題。針對此問題，Iyer等人[14]提出了一種基于子類枚舉的算法，能夠同時發現允許類型的授權規則和禁止類型的授權規則，但該算法需要對用戶-權限關系進行多次重復迭代計算，時間開銷較大。Mocanu等人[15]通過日志來訓練一個受限的玻爾茲曼機(Restricted Boltzmann Machine， RBM)來提取策略規則。但只給出了算法在策略空間中第1個階段的初步結果，算法的最后一個階段并未實現。另外，還有一些研究[16—18]使用自然語言處理和機器學習技術從文本中提取ABAC策略。但該問題比較復雜，目前為止解決的都是子問題，比如分析自然語言文本來識別與訪問控制相關的句子和屬性。

基于此，本文提出一種基于訪問控制日志的ABAC策略生成方法。利用遞歸屬性消除法實現策略屬性的篩選，基于信息不純度提煉出日志中蘊含的屬性-權限關系，結合實體屬性選擇的結果，實現ABAC策略的生成。并設計了基于二分搜索的策略生成優化算法優化策略生成過程。實驗結果表明，只需原始實體屬性集中32.56%的屬性即可實現對日志中95%的策略覆蓋，并能將策略規模壓縮為原有規模的33.33%，證實了本方法的有效性。

2 相關定義

定義1 訪問控制日志實體是對用戶操作行為的記錄，可以用4元組{u， o， ac， r}進行表示。其中，u∈User表示主體用戶標識，o∈Object表示客體資源標識，ac∈Action表示動作標識，r∈{Permit， Deny}表示操作執行結果，分別為允許操作和禁止操作。因此，日志可按照操作執行結果進行二元分類，分為允許類別日志和禁止類別日志。訪問控制日志集是訪問控制日志實體組成的集合，蘊含有系統訪問控制策略的相關信息。

定義2 候選屬性集是指系統中包含的所有屬性關系，分為主體用戶屬性集Cu和客體資源屬性集Co。用戶屬性集包含用戶-屬性授予關系Ru→a，描述了不同主體用戶所對應的屬性信息。客體資源屬性集包含客體-屬性授予關系Ro→a，描述了不同客體資源所對應的屬性信息。屬性能夠從不同的維度和粒度對訪問控制的實體進行準確的描述，包括連續值屬性和離散值屬性。如年齡、時間等屬性為連續值屬性，性別、單位等屬性是離散值屬性。

定義3 策略屬性集是指訪問控制策略中實際用到的用戶屬性集Au和客體資源屬性集Ao以及對應的用戶-屬性授予關系Ru～a和客體-屬性授予關系Ro～a。策略屬性集是指對候選屬性集進行優化計算得到的屬性子集，用于實際的訪問控制策略描述，減少無關屬性對策略生成的干擾。

定義4 日志擴展策略向量PL是基于候選屬性集對日志中涉及的實體進行擴充得到的日志擴展策略向量，可表示為{u， o， ac， r}→{A， r}。其中，A={Au， Ao， Aac}，Au表示用戶u的屬性信息，Ao表示客體o的屬性信息，Aac表示操作屬性。

定義5 策略結構樹T是一種樹型的訪問控制結構，用來對ABAC策略進行描述。其中，樹T的節點可分為葉子節點和非葉子節點。非葉子節點用來表示一個屬性及其相應屬性值的約束條件，非葉子節點所引發的樹的分支表示不同的屬性取值結果或范圍。若該屬性是離散值屬性，那么該節點的左分支代表不具有該屬性，右分支代表具有該屬性。若該屬性是連續值屬性，那么該節點的左分支代表小于該屬性的約束值λ，右分支則代表大于該屬性的約束值λ。葉子節點表示該策略的授權結果(允許或禁止)。從根節點開始，沿著非葉子節點進行策略結構樹的深度優先搜索到達葉子節點所形成的一條完整路徑代表一條完整的訪問控制策略。

定義6 基于訪問控制日志的ABAC策略生成問題的形式化定義如式(1)—式(3)所示。給定用戶集User、客體資源集Object、動作集Action、用戶-屬性授予關系Ru→a、客體-屬性授予數據Ro→a、訪問控制日志L和制定生成策略集的策略評估指標I。目標是得到滿足策略評估指標I、具有最小策略規模和策略屬性規模的訪問控制策略集PolicySet。

其中，PCN(L)， DCN(L)， ACN(L)分別表示采用生成的訪問控制策略對日志中的允許類別日志記錄、禁止類別日志記錄、所有類別日志記錄進行權限判決，且判決結果為正確的日志數量。PN(L)， DN(L)，AN(L)分別表示允許類別日志記錄、禁止類別日志記錄、所有類別日志記錄的總數量。

3 策略生成流程

在策略生成過程中包括日志記錄擴充、屬性選擇、策略生成3個階段，策略生成流程如圖1所示。

圖1 策略生成流程

(1) 階段1：日志記錄擴充階段。日志記錄擴充階段將訪問控制日志記錄轉化為日志擴展策略向量。每條訪問控制日志記錄中都包含有該記錄所對應的主體用戶、客體資源、動作以及操作執行結果等信息。首先，對日志中重復、沖突的日志數據進行一致化處理。刪除日志中存在的冗余重復日志記錄。將操作不一致的日志記錄按照時間維度進行一致化處理，保留最近時間的日志為待擴充的日志數據，刪除其他沖突日志記錄，構建全局一致的日志記錄集合。之后，使用對應的實體屬性將一致化后的訪問控制日志中涉及的實體要素進行全替換，從而將實體映射到屬性空間，得到對應的日志擴展策略向量。日志擴展策略向量的維度與屬性空間的維度是相等的。再將實體映射到屬性空間的過程中，若該實體擁有對應的屬性，則該屬性在向量中的對應位置被置為1，否則該位被置為0。得到的向量規模與一致化處理后的日志數據規模等同。

(2) 階段2：屬性選擇階段。屬性選擇階段從候選屬性集篩選出策略屬性集。屬性選擇階段基于機器學習分類器的遞歸屬性消除法實現策略屬性的選擇。構建基于機器學習的分類器，將日志記錄擴充階段生成日志擴展策略向量中的屬性作為屬性向量，將操作執行結果作為屬性向量的標簽。采取每次刪除一個屬性方式，將對應的屬性向量與屬性向量標簽輸入到機器學習分類器中進行迭代訓練，將訓練好的分類器準確率作為被刪除屬性的重要性評價標準，準確率越低說明刪除該屬性對分類器的性能影響越大，則該屬性越重要；反之，說明該屬性對分類器性能影響不大，則該屬性越不重要。對每一個屬性重要性進行排序，得到屬性選擇結果。

(3) 階段3：策略生成階段。策略生成階段基于信息不純度結合屬性選擇結果將日志擴展策略向量構建為策略結構樹，基于策略結構樹生成最終的訪問控制策略。首先，基于屬性選擇結果遍歷選擇出屬性重要性最高的前k個屬性，利用這k個屬性擴充日志實體得到基于k個屬性的日志擴展策略向量。借鑒了決策樹算法思想，基于日志擴展策略向量計算屬性的信息不純度，選取信息不純度最大屬性作為分裂節點，逐步構建策略結構樹。隨后對策略結構樹進行深度優先搜索，從根節點到達每個葉子節點的一條搜索路徑對應一條ABAC策略，以此能夠得到該策略結構樹所對應的策略集，再對策略集進行評估。通過迭代計算不同k值的策略集質量，選取滿足策略覆蓋率要求且使屬性與策略規模最小的k值對應的策略集作為最終的ABAC策略集。

4 策略生成算法

4.1 屬性選擇算法

屬性選擇之前需要將實體屬性進行離散化處理。對于離散值屬性，直接使用獨熱編碼One-hot形式對屬性進行編碼，0表示該實體不具有該屬性，1表示該實體具有該屬性。對于連續值屬性，需要將連續值按范圍劃分為離散值屬性，再使用One-hot形式進行屬性編碼。例如，以1 h為時間間隔，將連續的時間屬性[7:00 am～11:00 am]離散化為4個離散值屬性[7:00 am～8:00 am， 8:00 am～9:00 am，9:00 am～10:00 am， 10:00 am～11:00 am]。使用離散化后得到的實體屬性集對日志進行屬性擴展得到日志擴展策略向量。

利用基于機器學習分類器的遞歸屬性消除法[19]實現策略屬性的選擇。日志擴展策略向量中包括了該記錄中涉及的屬性信息與操作執行結果。將屬性信息構成的屬性特征向量作為訓練數據，操作執行結果作為訓練數據的標簽輸入到機器學習分類器中進行模型訓練，以后向排序方式對策略屬性規模進行約簡，按照規則迭代刪除重要性最低的屬性，該方法是一種基于貪心消除的策略屬性選擇算法。最后得到的策略屬性選擇重要性序列是屬性刪除序列的倒序。算法的偽代碼描述如表1所示。

表1 屬性選擇算法

具體步驟如下所示：

(1) 輸入日志擴展策略集L={l1， l2， ···， ln}、候選屬性集C={c1， c2， ···， cm}以及排序后的屬性集A*={}。

(2) 使用候選屬性集C訓練一個分類器classifier。

(3) 遍歷計算候選屬性集C中每一個屬性ci的得分score(score為無該屬性條件下分類器classifier的準確率)。

(4) 依據屬性得分對候選屬性集C中的屬性進行重要性排序。

(5) 挑選出重要性最高的n個屬性構成策略屬性集A*。

4.2 策略生成算法

通過屬性選擇算法計算得到策略屬性集，再利用策略屬性集對日志實體進行擴充得到策略生成算法的輸入數據。策略生成算法的核心目標是構建策略結構樹，這里借鑒了決策樹算法[20，21]思想，使用基尼系數(Gini coefficient)計算實體屬性的信息不純度。將信息不純度作為屬性節點分裂的依據，用來決定策略結構樹構建的最優切分點。若以一個非葉子屬性節點的信息來進行策略權限判決時的結果不唯一，則將該屬性節點進行分裂，分為2個子節點。策略結構樹的構建過程，就是屬性節點的信息不純度逐漸降低，挖掘屬性-權限內在關系，以此構建訪問控制策略的過程?；嵯禂礕ini的計算方法如式(7)所示其中，Gini(D， A)表示屬性A對不同類別的日志樣本集合D的不確定性。基尼系數越高表示該屬性節點所包含的權限類別越混合。即該信息的不純度就越高，基尼系數與熵的概念相類似。通過選取信息不純度最高的屬性作為策略結構樹的分裂屬性，來確保策略覆蓋率最高。

算法的偽代碼描述如表2所示。

表2 策略生成算法

在策略生成過程中，策略的數量與屬性的數量呈現正向相關性，而策略的數量與策略覆蓋率也呈現正向相關性。策略生成的目標是在保證生成策略的策略覆蓋率盡可能高的同時，策略數量盡可能低。實際的策略生成過程是一個動態規劃過程。在達到目標策略覆蓋率的前提下，盡量搜索得到屬性規模n較小的策略屬性集。若使用遍歷搜索，最壞情況下的時間復雜度為O(n)(n為屬性空間中的實體屬性個數)。為了提高最優屬性規模的搜索效率，采用分治策略，設計了基于二分搜索的策略生成優化算法(Policy Generation Optimization algorithm based on Binary Search， PQO-BS)，該算法最壞情況下的時間復雜度為O(lg n)，顯著降低了算法的時間復雜度。算法的偽代碼描述如表3所示。

表3 策略生成優化算法

5 實驗評估

5.1 實驗設置

為了驗證本文方法的有效性，基于University-Dataset數據集[15]進行仿真實驗。該數據集是一個操作類別平衡的數據集，涵蓋了16000條用戶的訪問控制日志信息，其中，8000條為允許類別日志，8000條為禁止類別日志，實體涉及43個類別的屬性信息。實驗環境如下：操作系統為Win10 64 bit，CPU為Intel(R) Core(TM) i7- 4710MQ@ 2.5 GHz，GPU為GeForce GTX 850 M，內存大小為16 GB，Python版本為3.6。本文分別設計了屬性選擇性能對比、策略生成性能對比、策略優化性能對比3個實驗來對策略生成的性能進行評估。

5.2 實驗結果

5.2.1 屬性選擇性能對比

在屬性選擇性能對比實驗中，本文分別實現了基于隨機森林分類器(Random Forest， RF)、邏輯回歸分類器(Logistic Regression， LR)、支持向量機分類器(Support Vector Machine， SVM)以及梯度提升分類器(Gradient Boosting， GB)的屬性選擇算法。圖2是采取不同分類器算法的不同屬性評分的比較。由圖2的結果能夠看出，采取不同的分類器算法，對不同屬性的重要性評分結果是存在較大差異的，從而導致屬性的選擇節點也存在差異。圖3、圖4以及圖5分別展現了不同的分類器算法在不同的屬性規模條件下，肯定策略覆蓋率、否定策略覆蓋率以及全策略覆蓋率的變化情況。在肯定優先的策略評估中，GB方法的性能是較好的，在屬性規模為3時，即可達到對允許類策略的全覆蓋。在否定優先的策略評估中，RF方法的性能是較好的，在屬性規模為18時，可達到對禁止類策略約93%的策略覆蓋率。在綜合評估的策略評估中，前半段，GB方法的性能較好，后半段RF方法的性能較好。GB方法的策略覆蓋率率先突破90%，RF方法的策略覆蓋率率先突破96%。綜合評估的實驗結果表明了只需原始實體屬性集中32.56%的屬性信息即可實現對日志中95%的策略權限覆蓋，能夠將策略規模壓縮為原有規模的33.33%，證實了本方案的有效性，能夠為訪問控制策略管理提供有力支撐。因此，安全管理人員可根據不同屬性規模及策略覆蓋率的應用要求，靈活選取不同方法實現屬性的選擇。

圖2 不同算法的屬性評分比較

圖3 屬性規模與肯定優先的關系

圖4 屬性規模與否定優先的關系

圖5 屬性規模與綜合評估的關系

5.2.2 策略生成性能對比

如圖6所示，為不同屬性規模條件下，不同算法生成的訪問控制策略規模的對比。策略規模的曲線呈現出了先增長后下降的走向。這說明選取恰當的屬性是十分重要的，不恰當的屬性將直接影響生成策略的表達能力。屬性規模為19是策略生成性能的分界點。當屬性規模小于19時，GB方法生成的策略規模較少。而當屬性規模大于19時，RF方法生成的策略規模較少。當屬性規模為43時，不同方法間沒有策略規模方法的性能差異。如圖7所示，為不同屬性規模條件下，不同算法的策略生成時間開銷的對比關系。不同算法的時間開銷由大到小分別是GB， RF， SVM和LR。

圖6 屬性規模與策略規模的關系

圖7 策略生成的時間開銷

5.2.3 策略優化性能對比

由圖8—圖11的實驗結果可知，通過二分優化搜索算法能夠顯著提升策略生成算法的性能，顯著降低策略生成算法搜索最優屬性規模的開銷。在未使用優化算法的條件下，隨著策略覆蓋率需求的增加，時間開銷呈指數增長。而在使用優化算法、不同策略覆蓋率需求的條件下，時間開銷基本穩定，不受影響。另外，由圖7、圖10和圖11的實驗結果發現，雖然單次的策略生成時間開銷GB方法要比RF方法高，但是在最優屬性規模搜索問題上，GB方法的性能比RF方法更好，能夠在更短的時間內達到收斂。圖12是不同方法在達到最優策略覆蓋率條件下的性能對比，由圖12的實驗結果發現，本文所提出的方法與當前的主流的子類枚舉方法(subenum)相比具有至少約61.28%的性能提升，能夠更好地滿足策略生成需求。

圖8 邏輯回歸方法性能對比

圖9 支持向量機方法性能對比

圖10 隨機森林方法性能對比

圖11 梯度提升方法性能對比

圖12 不同方法的性能對比

6 結束語

針對ABAC策略生成問題，本文提出一種基于訪問控制日志的ABAC策略生成方法，從日志中提煉蘊含的屬性-權限關系，實現ABAC策略的自動化生成，為從其他訪問控制機制向ABAC機制遷移提供策略支撐。實驗結果驗證了本方法的有效性，能夠為訪問控制系統的策略管理提供有力支撐。