一、綜述
近年來,隨著我國科學技術的飛速發展,人工智慧、大資料等資訊科技逐漸走進了人們的視野當中,在這樣的發展背景下,如果能夠充分利用人工智慧技術對大資料進行分析和整理,就可以在很大程度上提高大資料的應用效果。而且近年來,在人工智慧技術和大資料結合這方面也取得了很大的進展,大資料的主要作用就是從預測、分類、關係分析以及聚類等四個方面出發,如果在這一基礎上,再結合人工智慧就可以在一定程度上優化大資料分析技術。
如今的網路環境是全球性的,而且高度互聯,一個組織被暴露在安全威脅之下的風險日益攀升。對許多組織來說,決定誰應該訪問什麼資訊是很困難的,這使得他們的系統很脆弱。顯然,一個高效而成熟的訪問管理策略的重要性不應該被低估。
訪問控制通過驗證多種登入憑據以識別使用者身份,這些憑據包括使用者名稱和密碼、PIN、生物識別掃描和安全令牌。許多訪問控制系統還包括多因素身份驗證,多因素身份驗證是一種需要使用多種身份驗證方法來驗證使用者身份的辦法。但是,目前的狀況下,人們對訪問控制的重視程度並不高。
根據研究報告,83%的組織沒有一個成熟的訪問控制方法。與擁有訪問控制戰略的組織相比,這些組織面臨的資料洩露風險是其兩倍。該報告還顯示了更智慧的訪問控制方法與降低安全風險、提高生產力、增加特權活動管理和大大減少財務損失之間的直接關係。Forrester 雲安全調查還顯示,雲身份管理能力認可度不足3成。
一個典型的訪問控制問題是,使用者被賦予的訪問許可權是基於他們在組織中的角色,但員工很少適合單一角色。他們可能需要特殊的一次性訪問,或者每個履行相同角色的人可能需要稍微不同型別的訪問。這導致了非常複雜的情況,往往需要許多部門之間的合作。僅一個公司內部的情況就足夠複雜,而大資料環境下大量的技術資料、困難的決策過程更是成為足夠致命的問題。
在本次作業報告中,我針對訪問控制與機器學習相結合的角度,重點聚焦於面對大資料環境下的訪問控制挑戰,機器學習的方法能帶來怎樣的便利。從這一角度出發,多方面的介紹了共十篇文章的方法與貢獻。他們有的立足於優化成本,有的立足於提高效能。有些是更具針對性的應用場景。
二、文獻目錄
選取的文章如下:
1. Seok-Jun Bu Sung-Bae Cho: A convolutional neural-based learning classifier system for detecting database intrusion via insider rmation Sciences 2019.
2. Seok-Jun Bu Sung-Bae Cho: Genetic Algorithm-Based Deep Learning Ensemble for Detecting Database Intrusion via Insider Attack. International Conference on Hybrid Artificial Intelligence Systems. HAIS 2019 pp 145-156
3. Thang Bui, Scott D. Stoller: A Decision Tree Learning Approach for Mining Relationship-Based Access Control Policies. SACMAT 2020: 167-178
4. Padmavathi Iyer, Amirreza Masoumzadeh: Active Learning of Relationship-Based Access Control Policies. SACMAT 2020: 155-166
5. Thang Bui, Scott D. Stoller, Hieu Le: Efficient and Extensible Policy Mining for Relationship-Based Access Control. SACMAT 2019: 161-172
6. Yang Cao, Lin Zhang, Ying-Chang Liang: Deep Reinforcement Learning for Multi-User Access Control in UAV Networks. ICC 2019: 1-6
7. Nan Jiang, Yansha Deng, Arumugam Nallanathan: Deep Reinforcement Learning for Discrete and Continuous Massive Access Control optimization. ICC 2020: 1-7
8. Hang Zhou, Xiaoyan Wang, Masahiro Umehira, Xianfu Chen, Celimuge Wu, Yusheng Ji: Deep Reinforcement Learning based Access Control for Disaster Response Networks. GLOBECOM 2020: 1-6
9. Hao Fu, Zizhan Zheng, Sencun Zhu, Prasant Mohapatra: Keeping Context In Mind: Automating Mobile App Access Control with User Interface Inspection. INFOCOM 2019: 2089-2097
10. Matthew W. Sanders, Chuan Yue: Mining least privilege attribute based access control policies. ACSAC 2019: 404-416
三、文獻論述
文章1是對大資料環境下快速訪問控制起促進作用的技術為主題展開的一篇會議文章,更具體而言,是對資料庫的入侵檢測系統(IDS)中使用的基於角色的訪問控制(RBAC)機制進行的優化。其意義在於:資料庫中基於角色的訪問控制(RBAC)提供了一個有價值的抽象級別,以促進企業級的安全管理。機器學習演算法具有自適應和學習能力,適用於基於大量資料的正常資料訪問模式建模,並提供對使用者變化不敏感的穩健統計模型。大資料環境下為保護資料庫,很難設計出一個足夠良好的入侵保護系統來應對多種攻擊,尤其是內部攻擊。一般應對內部攻擊的主要方法是基於角色的訪問控制,而在此機制下與機器學習相結合,能體現出更好的學習和適應能力,以應對大資料的種種風險特點。
文章1採用的主要方法:作者提出了一個基於卷積神經的學習分類器系統(CN-LCS),通過將傳統的學習分類器系統(LCS)與卷積神經網路(CNN)相結合,為基於RBAC機制的資料庫入侵檢測系統建立查詢的作用模型。在合成查詢資料集上,用於優化特徵選擇規則的改良型匹茲堡式LCS和用於建模和分類的一維CNN的組合取代了傳統的規則生成,其效能優於其他機器學習分類器。採取這種方案是因為資料庫中的物件數量理論上是無限的。因此,相關矩陣是稀疏的,很難確定一個按角色區分查詢的決策邊界。
文章1的效能(結論):通過上述方法,得到了如下圖的優秀結果。
文章2同樣是對大資料環境下快速訪問控制起促進作用的技術為主題展開的一篇會議文章,是對文章1的進一步優化,也是對資料庫的入侵檢測系統(IDS)中使用的基於角色的訪問控制(RBAC)機制進行的優化。
其意義在於:機器學習演算法具有自適應和學習能力,適用於基於大量資料的正常資料訪問模式建模,並提供對使用者變化不敏感的穩健統計模型。同時,對資料庫安全的需求和分配的資源正在逐步增加,而外部攻擊如SQL注入攻擊是眾所周知的,也是有據可查的,而內部攻擊則更難發現,也更危險。基於角色的訪問控制提供了一個有價值的抽象層次,以促進商業企業層面的安全管理,而不是使用者身份層面。通過結合物件和動作建立的查詢,為RBAC機制下的每個角色建立了一個獨特的模式。雖然不可能對所有違反角色的查詢進行建模,但IDS可以通過這種方式過濾內部攻擊,對角色所代表的模式進行建模和學習,並檢測偏離這些模式的查詢。
文章2採用的主要方法有兩方面:一是將遺傳演算法(GA)與卷積神經網路(CNN)二者結合進行建模,前者以其全域性探索和優化能力而聞名,後者則善於對交易特徵和角色之間的複雜隱藏關係進行建模,兩者的結合效果可以看出明顯優於其他機器學習模型;二是將整個資料集劃分為多個區域,並提出了一個多個深度學習模型的集合,可以有效地對每個區域內的SQL事務進行端到端方式的建模,這是因為SQL查詢是一個樹狀結構,整個資料不能一次性建模。在綜合查詢資料集上,改進的匹茲堡式LCS用於優化特徵選擇規則,一維CNN用於建模和分類,取代傳統的規則生成,這兩種方法的結合優於其他機器學習分類器。為了定量比較CN-LCS中規則生成和建模過程的包含情況,文章還通過配對抽樣t檢驗進行了10次交叉驗證測試和分析。
文章2的效能(結論):通過上述方法,得到了如下圖的優秀結果。
文章3是對大資料環境下建立基於關係的訪問控制起促進作用的技術為主題展開的一篇會議文章,是對如ReBAC(Relationship-based access control)等高階訪問控制策略模型的策略挖掘演算法的改進。其意義在於:基於關係的訪問控制中,通過允許以實體之間的關係鏈來表達策略,提供了高度的表達能力和靈活性,從而促進了安全性和資訊共享。通過部分自動化ReBAC策略的開發,ReBAC策略挖掘演算法有可能顯著降低從遺留訪問控制系統遷移到ReBAC的成本。實體之間的關係鏈提供了高水平的表達能力和靈活性,促進了安全和資訊共享。這些特點很適用於現今安全策略變得更加動態和更加複雜的大資料網路環境。然而,開發ReBAC策略的前期成本較高是推行ReBAC的一個重要障礙。策略挖掘演算法可以大大降低這一成本,因此優化策略挖掘演算法具有重要意義。
文章3採用的方法是:提出了基於決策樹的新的ReBAC策略挖掘演算法,稱為DTRM(Decision Tree ReBAC Miner)。因為決策樹這種基於邏輯的策略規則比神經網路、貝葉斯分類器等的規則更容易被提取出來。另外,決策樹是ReBAC等高階策略的緊湊表示,支援有效的策略評估。DTRM有兩個主要階段,先是使用優化的決策樹學習演算法,以決策樹的形式學習授權策略(CART演算法的優化版),然後從決策樹中提取一組候選授權規則;接著通過選擇性地消除候選規則中的負面條件和約束,然後合併和簡化候選規則,構建挖掘的政策。
文章3的效能(結論):如下圖所示
文章4是對大資料下更為核心的訪問控制策略進行機器學習的技術的一篇會議論文,是對黑盒系統(而非如文章3、5的可以直接獲得訪問控制列表)的,不限於具體訪問控制策略的(RBAC,ABAC,ReBAC等),推斷強制訪問控制策略的新學習方法。
其意義在於:基於當今大多數系統都沒有明確記錄的訪問控制策略以及系統是由多個異質元件組成的現狀,提出一種技術來主動學習基於黑盒系統的強制訪問控制策略,提出主動學習策略旨在最大限度地減少對目標系統的知識獲取,這是因為已有的研究工作往往假設他們可以詳盡地探索訪問空間,以生成一個自動識別日誌,這在許多現實世界的系統中是不切實際的。而對目標系統進行昂貴的人工分析和逆向工程,以便建立限制所考慮的授權空間的假設又是幾乎不可能的。
文章4採用的方法是:提出了一種新的主動學習方法,用於解決上述的從黑盒訪問控制引擎中學習訪問控制策略,同時儘量減少為觀察其行為而提交的訪問控制查詢。作者提出了一個學習者元件用於主動推斷黑盒訪問控制引擎的非決定性有限自動機(DFA)模型,又引入了一個對映器元件將目標系統的大型訪問空間抽象為ReBAC策略所表達的關係模式以提高學習效率,並在提出的兩個現實的應用場景(一個線上社交網路和一個電子健康記錄系統)進行了相關驗證,取得了如下的實驗結果:
文章5同樣是對大資料環境下建立訪問控制起促進作用的技術為主題展開的一篇會議文章,是對如基於關係的訪問控制策略模型的策略挖掘演算法的改進。其意義與文章3類似,均在於提供更優化的ReBAC策略挖掘演算法,以降低遷移成本,能更好的推廣這一適用於大資料時代的訪問控制策略。不同之處在於,文章4的挖掘演算法更有針對性(僅對ReBAC),並提高了擴充套件性。作者簡化並擴充套件了前代的演算法,還解決了新出現的進化演算法導致的探索空間增加的問題。
文章5採用的主要方法是:以上一代進化演算法EA為基礎,提出了新的演算法FS-SEA*。它有兩個階段,應用時迴圈運轉,一直到生成一個完整的策略。第一階段,特徵選擇(FS),確定一組相對較小的原子條件和原子約束。其特徵選擇演算法是基於機器學習的,主要是神經網路(NNs),鑑於其靈活性和對高維資料和大資料集的可擴充套件性。神經網路善於隱含地學習高階特徵,包括多個輸入特徵之間的相互作用,而其他分類器,如SVM,往往需要手動特徵工程來實現高分類準確率。第二階段,簡化進化演算法(SEA),是EA的簡化版本,作者在文中通過實驗證明了簡化後的演算法功能上並不弱於簡化前的版本。
文章5的效能(結論):如下圖所示
文章6是大資料環境下新興技術的訪問控制機制利用機器學習加以補強的會議文章,是對將無人機作為飛行基站(UAV-BSs)技術的訪問控制技術的改進。UAV-BSs被應用於為地面使用者的緊急通訊或遠端網路接入提供服務,以提高現有無線網路的容量並擴大其覆蓋範圍。
無人機基站的移動性帶來了高度動態的網路環境,這對地面使用者的訪問控制提出了新的挑戰。兩個關鍵挑戰是在每個使用者處獲取全球網路資訊和頻繁切換。UAV-BSs有兩個主要優勢:UAV-BS與地面使用者有視距(LOS)連結;並提供可靠的無線連線。為了保證網路的效能,使用者需要根據自己的效能訪問合適的BS,這也可以稱為使用者訪問控制。現有的關於無人機網路中使用者訪問控制的工作大多提出了集中式演算法。這些集中式演算法需要全域性網路資訊,如通道狀態資訊和位置資訊,這在實際應用中是很難獲得的,尤其是在動態環境下。此外,收集全域性網路資訊會造成巨大的信令開銷。因此,在無人機網路中實施這些方案是不現實的。文章6的意義在於,提出了一個分散式深度強化學習(DRL)框架,用於無人機網路的多使用者訪問控制。模擬結果驗證了所提演算法的有效性,並顯示了所提DRL框架比現有技術的優越性。
文章6採用的方法是:作者研究了無人機網路中的多使用者接入問題,並提出了一個分散式DRL框架,讓使用者做出最佳的接入決策。在所提出的框架中,每個使用者獨立做出訪問決策,集中式訓練器負責更新深度Q網路(DQN)的引數。 此外還在DQN中引入了長短時記憶(LSTM)網路,以利用無人機-BS軌跡的連續性。通過提出的DRL框架,每個使用者能夠智慧地訪問合適的UAV-BS,並最大限度地提高長期吞吐量,同時避免了頻繁的交接。其實驗結果效能(結論)如下圖:
文章7同樣是一篇用機器學習提升訪問控制以提高安全性的會議文章,其重點在於提升基於屬性的訪問控制(ABAC)機制。其意義在於:ABAC在顆粒度、靈活性和可用性方面具有優勢。然而,在實踐中,建立有效的ABAC策略,尤其是對大型複雜系統(大資料)來說,最大限度地減少許可權不足和許可權過度,往往非常困難,因為它們的ABAC許可權空間通常是巨大的。ABAC策略的靈活性既是優點也是缺點,由於能夠根據許多屬性建立策略,管理員面臨著困難的問題,如什麼是"好的 "ABAC策略,如何建立它們,以及如何驗證它們?文章7重點解決上述問題。
文章7採用的解決方法是:採用規則挖掘的方法來挖掘系統的審計日誌,以自動生成ABAC政策,使許可權不足和許可權過大最小化。作者提出了一種用規則建立ABAC政策的規則挖掘演算法,一種從最小許可權角度評估ABAC政策的政策評分演算法,以及處理大型ABAC許可權空間挑戰的效能優化方法,該策略在最小化許可權不足和過度許可權分配錯誤之間取得了平衡。規則挖掘方法天然適合於建立ABAC策略,其中包含了關於使用者在特定條件下可以對資源執行的行動的規則。作者同時還設計了一種策略評分演算法,通過使用樣本外驗證,從最小許可權的角度評估ABAC策略。也設計了效能優化方法,包括特徵選擇、分割槽和並行化,以解決大型ABAC許可權空間的挑戰。
文章7使用470萬個亞馬遜網路服務(AWS)審計日誌事件的大型資料集以驗證效能,具體結果如下:
文章8是訪問控制機制在非安全方面的應用,作用於MDRU(Movable and Deployable Resource Unit)上,用於解決自然災害導致的通訊基礎設施修復問題,以保證災後通訊服務。目前主流的是NTT團隊提出的一種利用MDRU的網路恢復方法,但單個MDRU的通訊範圍非常有限,且由於成本和時間的限制,在災害發生後立即部署大量的MDRU是非常困難的。因此,為了擴大服務範圍,業界新提出了一個由MDRU和多箇中繼節點組成的異質災害響應網路結構,文章8的提出就是在此基礎上。
文章8採用的主要方法是:利用UE(使用者裝置)具有的資訊收集能力,實現UE的最佳無線接入控制,提出了一種利用DRL的災難響應網路的無線接入控制機制。與已有研究不同,實際應用中必然有環境統計的缺失,所以考慮到了通道狀態、能量收集和資料包到達的網路動態性。方案中UE通過與未知的災後無線環境的互動,學習其最佳的無線接入策略,包括覆蓋/MDRU選擇和發射功率控制。具體而言,作者採用瞭如下圖的深度學習模型
並與三種基線方案的比較,驗證了所提機制的效能,見下圖
與文章8相對,文章9是一篇用機器學習提升訪問控制以提高安全性的會議文章,應用於智慧手機端。具體而言,文章9設計了一個輕量級的執行時許可權控制系統,名為COSMOS(COntext-Sensitive perMissiOn System)。這是一個上下文感知的調解系統,它彌補了前臺互動和後臺訪問之間的語義差距,以保護系統的完整性和使用者隱私。COSMOS從一大批具有類似功能和使用者介面的應用程式中學習,以構建通用模型,在執行時檢測出異常值。它可以進一步定製,以滿足特定的使用者隱私偏好,並隨著使用者的決定不斷髮展。其設計意義在於:安卓和iOS等移動作業系統採用的許可系統,允許使用者在應用程式首次需要時授予或拒絕每項許可請求。但這種方法並沒有提供足夠的保護,因此惡意方可以很容易地誘使使用者首先授予許可,然後利用同一資源進行惡意操作。
文章9採用的主要方法是:COSMOS通過檢查上下文的前景資料來檢測意外的許可權請求。例如,使用者在與簡訊頁面互動時,一旦按下發送按鈕,該應用就會要求獲得SEND_SMS許可權,而由手電筒例項傳送的簡訊則是可疑的。其許可權系統,會檢查應用程式的前景資訊,以執行執行時的上下文一體化。文中的方法包括一個兩階段的學習框架,用於為每個使用者建立一個個性化的模型。
文章9實現了一個COSMOS許可權系統的原型用於驗證效能,其成果如下圖:
文章10也是對大資料環境下新興技術的訪問控制機制利用機器學習加以補強的會議文章,主要解決大資料物聯網(mIoT)場景下RACH方案的優化問題。隨機接入通道(RACH)方案是mIoT場景下主流的蜂巢網路中的一個解決方案,用於解決大規模傳輸過程中發生的碰撞問題,現有的RACH方案通過在基站(BS)的中央控制組織物聯網裝置的傳輸和再傳輸來處理這個碰撞問題,但這些現有的RACH方案通常是固定的,因此很難適應時間變化的流量模式。為了優化成功裝置數量的長期目標,運用機器學習方法對原有RACH方案進行改進,實現更優化的mIoT網路,是本文的意義。
文章10採用的方法是:應用基於深度強化學習(DRL)的優化器,採用深度Q網路(DQN)和深度確定性政策梯度(DDPG)來優化RACH方案,包括接入類別限制(ACB)、退避(BO)和分散式排隊(DQ)。具體來說,作者使用DQN來處理BO和DQ方案的離散行動選擇,而DDPG則處理ACB方案的連續行動選擇。兩種代理都與門控遞迴單元Gated Recurrent Unit(GRU)網路整合,以近似其價值函式/策略,進而通過捕捉時空流量的相關性來提高優化效能。
文章10的實驗結果顯示,所提出的基於DRL的優化器在成功接入裝置的數量方面大大超過了傳統的啟發式解決方案,具體效能見下圖。