一、综述
近年来,随着我国科学技术的飞速发展,人工智能、大数据等信息技术逐渐走进了人们的视野当中,在这样的发展背景下,如果能够充分利用人工智能技术对大数据进行分析和整理,就可以在很大程度上提高大数据的应用效果。而且近年来,在人工智能技术和大数据结合这方面也取得了很大的进展,大数据的主要作用就是从预测、分类、关系分析以及聚类等四个方面出发,如果在这一基础上,再结合人工智能就可以在一定程度上优化大数据分析技术。
如今的网络环境是全球性的,而且高度互联,一个组织被暴露在安全威胁之下的风险日益攀升。对许多组织来说,决定谁应该访问什么信息是很困难的,这使得他们的系统很脆弱。显然,一个高效而成熟的访问管理策略的重要性不应该被低估。
访问控制通过验证多种登录凭据以识别用户身份,这些凭据包括用户名和密码、PIN、生物识别扫描和安全令牌。许多访问控制系统还包括多因素身份验证,多因素身份验证是一种需要使用多种身份验证方法来验证用户身份的办法。但是,目前的状况下,人们对访问控制的重视程度并不高。
根据研究报告,83%的组织没有一个成熟的访问控制方法。与拥有访问控制战略的组织相比,这些组织面临的数据泄露风险是其两倍。该报告还显示了更智能的访问控制方法与降低安全风险、提高生产力、增加特权活动管理和大大减少财务损失之间的直接关系。Forrester 云安全调查还显示,云身份管理能力认可度不足3成。
一个典型的访问控制问题是,用户被赋予的访问权限是基于他们在组织中的角色,但员工很少适合单一角色。他们可能需要特殊的一次性访问,或者每个履行相同角色的人可能需要稍微不同类型的访问。这导致了非常复杂的情况,往往需要许多部门之间的合作。仅一个公司内部的情况就足够复杂,而大数据环境下大量的技术数据、困难的决策过程更是成为足够致命的问题。
在本次作业报告中,我针对访问控制与机器学习相结合的角度,重点聚焦于面对大数据环境下的访问控制挑战,机器学习的方法能带来怎样的便利。从这一角度出发,多方面的介绍了共十篇文章的方法与贡献。他们有的立足于优化成本,有的立足于提高性能。有些是更具针对性的应用场景。
二、文献目录
选取的文章如下:
1. Seok-Jun Bu Sung-Bae Cho: A convolutional neural-based learning classifier system for detecting database intrusion via insider attack.Information Sciences 2019.
2. Seok-Jun Bu Sung-Bae Cho: Genetic Algorithm-Based Deep Learning Ensemble for Detecting Database Intrusion via Insider Attack. International Conference on Hybrid Artificial Intelligence Systems. HAIS 2019 pp 145-156
3. Thang Bui, Scott D. Stoller: A Decision Tree Learning Approach for Mining Relationship-Based Access Control Policies. SACMAT 2020: 167-178
4. Padmavathi Iyer, Amirreza Masoumzadeh: Active Learning of Relationship-Based Access Control Policies. SACMAT 2020: 155-166
5. Thang Bui, Scott D. Stoller, Hieu Le: Efficient and Extensible Policy Mining for Relationship-Based Access Control. SACMAT 2019: 161-172
6. Yang Cao, Lin Zhang, Ying-Chang Liang: Deep Reinforcement Learning for Multi-User Access Control in UAV Networks. ICC 2019: 1-6
7. Nan Jiang, Yansha Deng, Arumugam Nallanathan: Deep Reinforcement Learning for Discrete and Continuous Massive Access Control optimization. ICC 2020: 1-7
8. Hang Zhou, Xiaoyan Wang, Masahiro Umehira, Xianfu Chen, Celimuge Wu, Yusheng Ji: Deep Reinforcement Learning based Access Control for Disaster Response Networks. GLOBECOM 2020: 1-6
9. Hao Fu, Zizhan Zheng, Sencun Zhu, Prasant Mohapatra: Keeping Context In Mind: Automating Mobile App Access Control with User Interface Inspection. INFOCOM 2019: 2089-2097
10. Matthew W. Sanders, Chuan Yue: Mining least privilege attribute based access control policies. ACSAC 2019: 404-416
三、文献论述
文章1是对大数据环境下快速访问控制起促进作用的技术为主题展开的一篇会议文章,更具体而言,是对数据库的入侵检测系统(IDS)中使用的基于角色的访问控制(RBAC)机制进行的优化。其意义在于:数据库中基于角色的访问控制(RBAC)提供了一个有价值的抽象级别,以促进企业级的安全管理。机器学习算法具有自适应和学习能力,适用于基于大量数据的正常数据访问模式建模,并提供对用户变化不敏感的稳健统计模型。大数据环境下为保护数据库,很难设计出一个足够良好的入侵保护系统来应对多种攻击,尤其是内部攻击。一般应对内部攻击的主要方法是基于角色的访问控制,而在此机制下与机器学习相结合,能体现出更好的学习和适应能力,以应对大数据的种种风险特点。
文章1采用的主要方法 ……此处隐藏893个字……境下新兴技术的访问控制机制利用机器学习加以补强的会议文章,是对将无人机作为飞行基站(UAV-BSs)技术的访问控制技术的改进。UAV-BSs被应用于为地面用户的紧急通信或远程网络接入提供服务,以提高现有无线网络的容量并扩大其覆盖范围。
无人机基站的移动性带来了高度动态的网络环境,这对地面用户的访问控制提出了新的挑战。两个关键挑战是在每个用户处获取全球网络信息和频繁切换。UAV-BSs有两个主要优势:UAV-BS与地面用户有视距(LOS)链接;并提供可靠的无线连接。为了保证网络的性能,用户需要根据自己的性能访问合适的BS,这也可以称为用户访问控制。现有的关于无人机网络中用户访问控制的工作大多提出了集中式算法。这些集中式算法需要全局网络信息,如信道状态信息和位置信息,这在实际应用中是很难获得的,尤其是在动态环境下。此外,收集全局网络信息会造成巨大的信令开销。因此,在无人机网络中实施这些方案是不现实的。文章6的意义在于,提出了一个分布式深度强化学习(DRL)框架,用于无人机网络的多用户访问控制。仿真结果验证了所提算法的有效性,并显示了所提DRL框架比现有技术的优越性。
文章6采用的方法是:作者研究了无人机网络中的多用户接入问题,并提出了一个分布式DRL框架,让用户做出最佳的接入决策。在所提出的框架中,每个用户独立做出访问决策,集中式训练器负责更新深度Q网络(DQN)的参数。 此外还在DQN中引入了长短时记忆(LSTM)网络,以利用无人机-BS轨迹的连续性。通过提出的DRL框架,每个用户能够智能地访问合适的UAV-BS,并最大限度地提高长期吞吐量,同时避免了频繁的交接。其实验结果性能(结论)如下图:
文章7同样是一篇用机器学习提升访问控制以提高安全性的会议文章,其重点在于提升基于属性的访问控制(ABAC)机制。其意义在于:ABAC在颗粒度、灵活性和可用性方面具有优势。然而,在实践中,创建有效的ABAC策略,尤其是对大型复杂系统(大数据)来说,最大限度地减少权限不足和权限过度,往往非常困难,因为它们的ABAC权限空间通常是巨大的。ABAC策略的灵活性既是优点也是缺点,由于能够根据许多属性创建策略,管理员面临着困难的问题,如什么是"好的 "ABAC策略,如何创建它们,以及如何验证它们?文章7重点解决上述问题。
文章7采用的解决方法是:采用规则挖掘的方法来挖掘系统的审计日志,以自动生成ABAC政策,使权限不足和权限过大最小化。作者提出了一种用规则创建ABAC政策的规则挖掘算法,一种从最小权限角度评估ABAC政策的政策评分算法,以及处理大型ABAC权限空间挑战的性能优化方法,该策略在最小化权限不足和过度权限分配错误之间取得了平衡。规则挖掘方法天然适合于创建ABAC策略,其中包含了关于用户在特定条件下可以对资源执行的行动的规则。作者同时还设计了一种策略评分算法,通过使用样本外验证,从最小权限的角度评估ABAC策略。也设计了性能优化方法,包括特征选择、分区和并行化,以解决大型ABAC权限空间的挑战。
文章7使用470万个亚马逊网络服务(AWS)审计日志事件的大型数据集以验证性能,具体结果如下:
文章8是访问控制机制在非安全方面的应用,作用于MDRU(Movable and Deployable Resource Unit)上,用于解决自然灾害导致的通信基础设施修复问题,以保证灾后通信服务。目前主流的是NTT团队提出的一种利用MDRU的网络恢复方法,但单个MDRU的通信范围非常有限,且由于成本和时间的限制,在灾害发生后立即部署大量的MDRU是非常困难的。因此,为了扩大服务范围,业界新提出了一个由MDRU和多个中继节点组成的异质灾害响应网络结构,文章8的提出就是在此基础上。
文章8采用的主要方法是:利用UE(用户设备)具有的信息收集能力,实现UE的最佳无线接入控制,提出了一种利用DRL的灾难响应网络的无线接入控制机制。与已有研究不同,实际应用中必然有环境统计的缺失,所以考虑到了信道状态、能量收集和数据包到达的网络动态性。方案中UE通过与未知的灾后无线环境的互动,学习其最佳的无线接入策略,包括覆盖/MDRU选择和发射功率控制。具体而言,作者采用了如下图的深度学习模型
并与三种基线方案的比较,验证了所提机制的性能,见下图
与文章8相对,文章9是一篇用机器学习提升访问控制以提高安全性的会议文章,应用于智能手机端。具体而言,文章9设计了一个轻量级的运行时权限控制系统,名为COSMOS(COntext-Sensitive perMissiOn System)。这是一个上下文感知的调解系统,它弥补了前台互动和后台访问之间的语义差距,以保护系统的完整性和用户隐私。COSMOS从一大批具有类似功能和用户界面的应用程序中学习,以构建通用模型,在运行时检测出异常值。它可以进一步定制,以满足特定的用户隐私偏好,并随着用户的决定不断发展。其设计意义在于:安卓和iOS等移动操作系统采用的许可系统,允许用户在应用程序首次需要时授予或拒绝每项许可请求。但这种方法并没有提供足够的保护,因此恶意方可以很容易地诱使用户首先授予许可,然后利用同一资源进行恶意操作。
文章9采用的主要方法是:COSMOS通过检查上下文的前景数据来检测意外的权限请求。例如,用户在与短信页面互动时,一旦按下发送按钮,该应用就会要求获得SEND_SMS权限,而由手电筒实例发送的短信则是可疑的。其权限系统,会检查应用程序的前景信息,以执行运行时的上下文一体化。文中的方法包括一个两阶段的学习框架,用于为每个用户建立一个个性化的模型。
文章9实现了一个COSMOS权限系统的原型用于验证性能,其成果如下图:
文章10也是对大数据环境下新兴技术的访问控制机制利用机器学习加以补强的会议文章,主要解决大数据物联网(mIoT)场景下RACH方案的优化问题。随机接入信道(RACH)方案是mIoT场景下主流的蜂巢网络中的一个解决方案,用于解决大规模传输过程中发生的碰撞问题,现有的RACH方案通过在基站(BS)的中央控制组织物联网设备的传输和再传输来处理这个碰撞问题,但这些现有的RACH方案通常是固定的,因此很难适应时间变化的流量模式。为了优化成功设备数量的长期目标,运用机器学习方法对原有RACH方案进行改进,实现更优化的mIoT网络,是本文的意义。
文章10采用的方法是:应用基于深度强化学习(DRL)的优化器,采用深度Q网络(DQN)和深度确定性政策梯度(DDPG)来优化RACH方案,包括接入类别限制(ACB)、退避(BO)和分布式排队(DQ)。具体来说,作者使用DQN来处理BO和DQ方案的离散行动选择,而DDPG则处理ACB方案的连续行动选择。两种代理都与门控递归单元Gated Recurrent Unit(GRU)网络集成,以近似其价值函数/策略,进而通过捕捉时空流量的相关性来提高优化性能。
文章10的实验结果显示,所提出的基于DRL的优化器在成功接入设备的数量方面大大超过了传统的启发式解决方案,具体性能见下图。