基于谱聚类的访问控制异常权限配置挖掘机制

将强制访问控制、自主访问控制等访问控制系统迁移为基于角色的访问控制系统可极大提高对用户权限的管理效率。为保证系统的安全性需要在迁移过程中生成正确的角色,而原系统中存在的异常权限配置给角色生成带来了极大的挑战。忽略这些异常权限配置将导致生成的角色中包含错误的权限,增加信息泄露的概率。针对访问控制中的异常权限配置发现问题,提出一种基于谱聚类的异常权限配置挖掘机制。实验结果证明,所提方案可以实现更准确的权限配置发现。

NetLinX开放网络下异常权限配置挖掘算法

针对传统异常权限配置挖掘算法在NetLinX开放网络下存在挖掘精度较差、挖掘效率低的问题,通过数据净化、会话与用户识别和路径补充过程对权限配置数据进行预处理,并对异常权限进行规则匹配,采用异常数据集定义对数据进行综合数据算法挖掘处理。在算法的起始阶段,应用OPTICS方法对原始集合中的密集数据进行聚类,并将松散数据集转换为异常种簇,持续分析处理直至完成挖掘。发现NetLinX开放网络下挖掘算法的挖掘精确度最高可达到95%,挖掘效率可达到90%;基于谱聚类的挖掘算法的挖掘精确度最高仅为87%,挖掘效率最高仅为66%。研究表明,NetLinX开放网络下异常权限配置挖掘算法能更有效地实现异常权限配置挖掘。

异常权限配置下的角色挖掘方案

角色挖掘是构建RBAC系统的常用方法,但目前的角色挖掘方案在设计时未考虑原始系统存在异常权限配置问题,导致角色挖掘的结果可能包含错误的角色权限配置,给系统带来极大的安全风险。针对该问题,文章提出一种异常权限配置下的角色挖掘方案。首先在用户聚类部分引入Canopy预聚类,通过预聚类提取子集交叠数据,缩小后续谱聚类计算量;然后结合预聚类结果优化谱聚类的初始值选取,并针对访问控制数据由布尔值表示的特点,采用杰卡德距离和汉明距离相结合的方式对Canopy预聚类和谱聚类的距离进行度量,提高用户聚类效果;最后对异常权限配置检测规则进行细化,利用修正后的用户聚类结果进行角色挖掘。实验结果表明,该方案能够有效发现异常权限配置,提高角色挖掘效率。