基于調(diào)控云的數(shù)據(jù)權(quán)限控制研究

胡常舉, 劉一田

(南京南瑞信息通信科技有限公司, 江蘇，南京 210003)

0 引言

隨著計(jì)算機(jī)技術(shù)與互聯(lián)網(wǎng)技術(shù)的發(fā)展，我國(guó)電網(wǎng)正處于電網(wǎng)調(diào)度一體化[1]運(yùn)行的逐步實(shí)施和調(diào)度系統(tǒng)集成化程度的提升階段，這對(duì)調(diào)度系統(tǒng)權(quán)限控制提出了更高的要求。當(dāng)前互聯(lián)網(wǎng)后臺(tái)系統(tǒng)權(quán)限控制模型普遍采用簡(jiǎn)單的功能級(jí)別權(quán)限控制，如基于角色的訪(fǎng)問(wèn)控制模型(role-based access control,RBAC)。模型通過(guò)將權(quán)限與角色相匹配的方式，為用戶(hù)選擇適當(dāng)?shù)慕巧纯赏瓿蓹?quán)限分配工作，擁有原理簡(jiǎn)單、可操作性強(qiáng)的特點(diǎn)。但隨著電網(wǎng)調(diào)度一體化的進(jìn)一步發(fā)展，使得基于功能的權(quán)限分配粒度過(guò)粗，隨著大量數(shù)據(jù)在不同層級(jí)調(diào)控中心流轉(zhuǎn)，單純基于功能的權(quán)限分配方法容易出現(xiàn)越級(jí)訪(fǎng)問(wèn)數(shù)據(jù)的問(wèn)題，已不能滿(mǎn)足當(dāng)前電網(wǎng)調(diào)度的需求，亟待數(shù)據(jù)原子粒度的權(quán)限控制方法。本文在當(dāng)前大數(shù)據(jù)治理與人工智能發(fā)展的現(xiàn)狀下，首先提出了基于數(shù)據(jù)管理員的數(shù)據(jù)權(quán)限訪(fǎng)問(wèn)控制(data manager based data access control，DMBDAC)模型。模型引入數(shù)據(jù)管理員的概念，針對(duì)不同層級(jí)的用戶(hù)，使用數(shù)據(jù)管理員確定其在當(dāng)前層級(jí)內(nèi)可操作的權(quán)限資源，解決傳統(tǒng) RBAC 模型無(wú)法按數(shù)據(jù)劃分權(quán)限的問(wèn)題，為權(quán)限管理系統(tǒng)提供了一套完善的權(quán)限數(shù)據(jù)管理機(jī)制。

同時(shí),本文發(fā)現(xiàn)當(dāng)前電網(wǎng)調(diào)度系統(tǒng)存在各級(jí)管理員權(quán)限使用風(fēng)險(xiǎn)分析缺失的現(xiàn)狀，而在當(dāng)前國(guó)內(nèi)外研究中已有廣泛針對(duì)行為管理的風(fēng)險(xiǎn)研究。研究主要集中于評(píng)估基于用戶(hù)操作的風(fēng)險(xiǎn)等級(jí)及風(fēng)險(xiǎn)概率。如北京郵電大學(xué)陳文波[2]提出了基于機(jī)器學(xué)習(xí)的Android應(yīng)用的風(fēng)險(xiǎn)行為分析模型，通過(guò)機(jī)器學(xué)習(xí)與反編譯手段結(jié)合，能夠智能判斷用戶(hù)使用應(yīng)用時(shí)對(duì)敏感權(quán)限的危險(xiǎn)使用行為，提供敏感權(quán)限使用預(yù)警。在金融界對(duì)于行為風(fēng)控模型的研究中，英國(guó)金融創(chuàng)業(yè)公司Monzo通過(guò)構(gòu)建深度學(xué)習(xí)模型，通過(guò)對(duì)交易雙方特征提供基于行為的風(fēng)險(xiǎn)概率分析，從而阻止涉嫌詐騙的交易[3]。在工業(yè)領(lǐng)域方面，武漢理工大學(xué)的董良雄等[4]對(duì)于船舶設(shè)備生產(chǎn)環(huán)節(jié)中出現(xiàn)的風(fēng)險(xiǎn)采用BP神經(jīng)網(wǎng)絡(luò)進(jìn)行基于行為的風(fēng)險(xiǎn)等級(jí)劃分，使得生產(chǎn)風(fēng)險(xiǎn)可以得到明確預(yù)警。

綜上，基于行為的風(fēng)險(xiǎn)管控模型在各行業(yè)中均有廣泛應(yīng)用。本文在國(guó)內(nèi)外研究基礎(chǔ)上創(chuàng)新性將風(fēng)控模型應(yīng)用于權(quán)限管理中，提出基于管理員權(quán)限使用特征的風(fēng)控模型Boost-Bagging，以減少風(fēng)險(xiǎn)的權(quán)限操作行為。基于本文提出的Boost-Bagging交叉融合模型，針對(duì)管理員操作的IP、MAC、時(shí)間等使用行為特征進(jìn)行分析，從而做到管理員權(quán)限使用的風(fēng)險(xiǎn)行為監(jiān)控。最終形成了包含權(quán)限分配、使用的全流程管控，實(shí)現(xiàn)了現(xiàn)代化的基于調(diào)控云的權(quán)限控制系統(tǒng)。

1 DMBDAC模型的實(shí)現(xiàn)原理

在調(diào)控云的權(quán)限管理系統(tǒng)中，不同層級(jí)的用戶(hù)所能看到和管理的數(shù)據(jù)各不相同，為了滿(mǎn)足權(quán)限分級(jí)管理需求，本文基于RBAC模型提出了DMBDAC模型。在DMBDAC模型中可以把用戶(hù)在權(quán)限管理系統(tǒng)中具有的權(quán)限分成兩種：一種是頁(yè)面和接口權(quán)限;一種是具體的權(quán)限數(shù)據(jù)資源?；跀?shù)據(jù)管理員的數(shù)據(jù)權(quán)限訪(fǎng)問(wèn)控制模型[5-7]如圖1所示。用戶(hù)的權(quán)限控制分為兩種：一種是通過(guò)角色控制具體的頁(yè)面訪(fǎng)問(wèn)和接口調(diào)用;一種是通過(guò)數(shù)據(jù)管理員控制頁(yè)面內(nèi)可訪(fǎng)問(wèn)的數(shù)據(jù)，包括角色資源數(shù)據(jù)、菜單資源數(shù)據(jù)和功能資源數(shù)據(jù)。通過(guò)角色具有的資源控制頁(yè)面訪(fǎng)問(wèn)的方式與傳統(tǒng)RBAC模型中相同，所有的頁(yè)面和接口資源訪(fǎng)問(wèn)控制入口是角色，若讓用戶(hù)具有某些頁(yè)面資源或者接口的訪(fǎng)問(wèn)權(quán)限，則需要將菜單(即頁(yè)面資源)和功能(即授權(quán)資源，包括頁(yè)面資源的按鈕、系統(tǒng)對(duì)外提供的服務(wù)接口等)授權(quán)給角色，然后將角色授權(quán)給用戶(hù)，這樣用戶(hù)就具有了訪(fǎng)問(wèn)權(quán)限管理系統(tǒng)某個(gè)頁(yè)面的權(quán)限和操作頁(yè)面內(nèi)某些按鈕的權(quán)限。

為了更好地滿(mǎn)足不同層級(jí)用戶(hù)進(jìn)行權(quán)限管理的需求,避免可能造成的越級(jí)操作，在DMBDAC模型中引入數(shù)據(jù)管理員的概念。將角色、菜單、功能這些權(quán)限數(shù)據(jù)資源分配給某個(gè)數(shù)據(jù)管理員，則該數(shù)據(jù)管理員具有了操作這些權(quán)限數(shù)據(jù)資源的權(quán)限，包括修改、刪除、授權(quán)等。數(shù)據(jù)管理員可以被授予用戶(hù)，一個(gè)用戶(hù)可根據(jù)實(shí)際需要被授予一個(gè)或者多個(gè)數(shù)據(jù)管理員，保證了用戶(hù)在權(quán)限管理系統(tǒng)中只能操作數(shù)據(jù)管理員具有訪(fǎng)問(wèn)權(quán)限的數(shù)據(jù)資源。DMBDAC模型中，不同層級(jí)的數(shù)據(jù)權(quán)限各不相同，真正實(shí)現(xiàn)權(quán)限數(shù)據(jù)分級(jí)控制，滿(mǎn)足調(diào)控云權(quán)限管理系統(tǒng)分級(jí)管理的需求，提高了權(quán)限控制的易用性和安全性。

2 管理員行為特征量化分析與預(yù)處理

在上一節(jié)完成了DMBAC模型的設(shè)計(jì)之上，本節(jié)針對(duì)各級(jí)管理員在權(quán)限使用期間所產(chǎn)生的行為特征進(jìn)行量化分析，并加入數(shù)據(jù)的預(yù)處理，作為機(jī)器學(xué)習(xí)模型的數(shù)據(jù)支持。

首先，在電網(wǎng)調(diào)度系統(tǒng)中由于主機(jī)IP通常為固定MAC地址與固定IP綁定，采用靜態(tài)IP方式進(jìn)行組網(wǎng)，因此IP及MAC地址也是重要的行為分析特征。在本文設(shè)計(jì)的DMBAC模型基礎(chǔ)上，結(jié)合實(shí)際業(yè)務(wù)使用場(chǎng)景，兼顧切實(shí)可行與易于操作的需要，形成了表1所示的管理員行為特征量化表，以綜合評(píng)估行為的風(fēng)險(xiǎn)行為[8-10]。

表1 管理員行為特征量化表

表1中通過(guò)采集管理員登錄或權(quán)限操作時(shí)間、IP、MAC地址形成量化結(jié)果，數(shù)據(jù)獲取簡(jiǎn)單可行，特征量化均來(lái)源于實(shí)際業(yè)務(wù)，表中特征均有著較強(qiáng)的可解釋性。參考金融領(lǐng)域的風(fēng)控模型可知，諸如文化水平、收入水平、人際關(guān)系等個(gè)人情況亦可以影響到管理員操作水平，但此類(lèi)特征解釋性不強(qiáng)的同時(shí)，采集此類(lèi)數(shù)據(jù)涉及個(gè)人隱私，可行性亦較低，因此本文僅使用易于從實(shí)際生產(chǎn)活動(dòng)中獲取的行為特征而非用戶(hù)畫(huà)像特征進(jìn)行風(fēng)險(xiǎn)預(yù)測(cè)評(píng)估[11-13]。在表1確定的行為特征量化基礎(chǔ)上，本文通過(guò)人工操作采集與規(guī)則生成方法生成本文的實(shí)驗(yàn)數(shù)據(jù)，其中規(guī)則生成方法采用專(zhuān)家分析法分析相應(yīng)規(guī)則，并在規(guī)則下生成一定規(guī)模數(shù)據(jù)。因本文所提出的風(fēng)險(xiǎn)預(yù)警模型是對(duì)行為是否為風(fēng)險(xiǎn)行為進(jìn)行推理判斷，因此實(shí)驗(yàn)數(shù)據(jù)需召回分析，由此將實(shí)驗(yàn)數(shù)據(jù)中部分人工操作數(shù)據(jù)設(shè)定為測(cè)試集，訓(xùn)練集與測(cè)試集比例為4∶1，以充分評(píng)估風(fēng)控模型預(yù)測(cè)正確率。

3 Boost-Bagging交叉融合模型

經(jīng)過(guò)管理員行為特征量化之后，行為特征轉(zhuǎn)化為可分析的數(shù)據(jù)維度特征。本節(jié)提出了基于CatBoost與隨機(jī)森林融合的風(fēng)險(xiǎn)行為識(shí)別預(yù)警模型Boost-Bagging。Boost-Bagging交叉融合模型結(jié)構(gòu)如圖2所示。圖2中，首先將量化特征各維度拼接為原始行為特征矩陣作為數(shù)據(jù)集。根據(jù)K折交叉驗(yàn)證原理，將訓(xùn)練數(shù)據(jù)集分為5份(即K=5)，每次選出1份作為驗(yàn)證集，其余4份作為訓(xùn)練集，使用5個(gè)CatBoost模型訓(xùn)練原始數(shù)據(jù)。CatBoost算法作為梯度下降迭代決策樹(shù)(gradient boosting decision tree,GBDT)的優(yōu)化方法，采用了對(duì)稱(chēng)決策樹(shù)，對(duì)于類(lèi)別變量無(wú)需進(jìn)行非數(shù)值特征預(yù)處理，且算法魯棒性高。其原理為采用決策樹(shù)首先對(duì)原始數(shù)據(jù)進(jìn)行訓(xùn)練，然后對(duì)于未擬合殘差部分對(duì)比訓(xùn)練標(biāo)簽取得殘差項(xiàng)后，由下一個(gè)決策樹(shù)訓(xùn)練擬合殘差項(xiàng)，實(shí)現(xiàn)逐步的殘差擬合，起到強(qiáng)學(xué)習(xí)機(jī)能力不低于其中任意弱學(xué)習(xí)機(jī)的保證作用。隨后，5個(gè)CatBoost模型將分別預(yù)測(cè)的結(jié)果輸出后，拼接為五維的中間矩陣，中間矩陣中0表示非風(fēng)險(xiǎn)行為、1表示中風(fēng)險(xiǎn)行為、2表示高風(fēng)險(xiǎn)行為。在形成中間輸出結(jié)果后，由隨機(jī)森林的Bagging算法進(jìn)行有放回的抽樣方式訓(xùn)練多個(gè)決策樹(shù)，進(jìn)行投票。投票公式如式(1)：

圖2 Boost-Bagging交叉融合模型

(1)

式中，Rfinal表示Boost-Bagging算法的最終結(jié)果輸出，來(lái)源于隨機(jī)森林分析結(jié)果。隨機(jī)森林中通常通過(guò)投票形式選擇最多值作為輸出，但在風(fēng)控系統(tǒng)中仍需添加基于專(zhuān)家分析的閾值以減少系統(tǒng)誤報(bào)或漏報(bào)率，因此式1采用了TH閾值設(shè)計(jì)，低于閾值的投票表決結(jié)果將被否決，變?yōu)?即非風(fēng)險(xiǎn)行為。該模型充分結(jié)合了當(dāng)前前沿的機(jī)器學(xué)習(xí)成果與人性化的交互設(shè)置，使得機(jī)器學(xué)習(xí)結(jié)果充分可控。

4 實(shí)驗(yàn)分析與可視化展示

模型訓(xùn)練完成后采用劃分測(cè)試集進(jìn)行效果驗(yàn)證。通過(guò)上述模型設(shè)計(jì)可知，本文所提出的Boost-Bagging交叉融合模型使用帶有閾值的投票方法，使得模型可獲取ROC曲線(xiàn)及AUC作為結(jié)果呈現(xiàn)。每一分類(lèi)ROC曲線(xiàn)以該分類(lèi)假陽(yáng)率(false positive rate,FPR)作為橫軸，真陽(yáng)率(true positive rate,TPR)作為縱軸，隨著輸出概率閾值變化生成連續(xù)ROC曲線(xiàn)，如式(2)：

(2)

式中,AUC定義即是ROC曲線(xiàn)下的積分面積。本文對(duì)于模型輸出的0、1、2類(lèi)分別進(jìn)行ROC曲線(xiàn)及AUC計(jì)算[14-15]，如圖3所示。

圖3 Boost-Bagging交叉融合模型ROC曲線(xiàn)

圖3中可明顯表明該模型對(duì)高風(fēng)險(xiǎn)行為預(yù)警有著非常優(yōu)秀的效果，同時(shí)對(duì)于中等風(fēng)險(xiǎn)及無(wú)風(fēng)險(xiǎn)行為均有良好的識(shí)別效果。從圖3中可知，若想取得準(zhǔn)確率與召回率的平衡，本文第三節(jié)中的TH閾值應(yīng)當(dāng)在0.3～0.4左右。

同時(shí)，為證明本文所提Boost-Bagging交叉融合模型效果，本文采用五折交叉驗(yàn)證方法分別訓(xùn)練原始CatBoost模型與隨機(jī)森林模型進(jìn)行消融實(shí)驗(yàn)，結(jié)果如表2所示。

表2 模型消融實(shí)驗(yàn)效果表

由表2可知，本文所提出的Boost-Bagging模型在電網(wǎng)調(diào)度系統(tǒng)中對(duì)權(quán)限風(fēng)險(xiǎn)行為識(shí)別有著最佳的表現(xiàn)結(jié)果。

5 總結(jié)

本文在調(diào)控云權(quán)限管理系統(tǒng)的一般基于功能的RBAC權(quán)限管理模型基礎(chǔ)上，提出了能夠?qū)⒐芾頇?quán)限細(xì)化至數(shù)據(jù)原子粒度的DMBAC權(quán)限控制模型，模型提出數(shù)據(jù)管理員概念，有效解決了當(dāng)前電網(wǎng)多級(jí)調(diào)控中心大數(shù)據(jù)權(quán)限管控的問(wèn)題。本文針對(duì)DMBAC模型管理員角色的操作行為特征進(jìn)行了量化分析，并提出了Boost-Bagging權(quán)限使用風(fēng)險(xiǎn)識(shí)別預(yù)警模型，從而實(shí)現(xiàn)管理員權(quán)限的使用進(jìn)行自動(dòng)監(jiān)管。本文所提出的權(quán)限控制方法解決了從權(quán)限分配到管理員使用全階段流程的管控，使得權(quán)限使用風(fēng)險(xiǎn)可以得到有效監(jiān)管，具有重大的實(shí)際意義，可以預(yù)見(jiàn)未來(lái)在國(guó)家電網(wǎng)調(diào)度一體化進(jìn)程中有著廣闊的應(yīng)用前景。