CN112039843B

CN112039843B - 基于矩阵补全的用户多域权限联合估计方法

Info

Publication number: CN112039843B
Application number: CN202010722804.8A
Authority: CN
Inventors: 白玮; 潘志松; 郭世泽; 张锦; 王帅辉; 孙瑞锦; 解文彬; 杨吉斌
Original assignee: Army Engineering University of PLA
Current assignee: Army Engineering University of PLA
Priority date: 2020-07-24
Filing date: 2020-07-24
Publication date: 2024-02-02
Anticipated expiration: 2040-07-24
Also published as: CN112039843A

Abstract

本发明公开了基于矩阵补全的用户多域权限联合估计方法，方法对目标网络空间中预先设定的各个域提取各个域的实体；对各个实体对应的权限类型进行枚举；根据提取的各个域的实体以及枚举出的各个实体对应的权限类型建立用户权限矩阵；通过获取不同用户在目标网络空间中的用户权限确定用户权限矩阵中的相应元素值；根据已经获取到的不同用户的部分用户权限，通过对用户权限矩阵补全，确定用户未获取的用户权限。该方法能够在不获取目标网络空间实体关系的情况下，仅通过多个用户在物理域、网络域、信息域中的部分权限分布，对未知的用户权限获取情况进行估计，大幅度减少了用户权限推断依赖的基础信息，估计的准确率能够满足实际系统运行的需求。

Description

基于矩阵补全的用户多域权限联合估计方法

技术领域

本发明属于网络安全技术领域，涉及网络运维脆弱性分析中的用户多域权限估计技术,具体是在网络多域配置关系不明确的条件下, 对用户多域权限进行联合估计的方法。

背景技术

在进行网络安全管理时，主要的手段是通过合理地更改网络物理域、网络域、信息域内的各种配置，实现用户权限的有效隔离。在这个过程中，为了验证当前配置的有效性，发现可能的脆弱点，需要明确在当前网络配置下，用户可能获取的实际权限情况。

目前网络运维脆弱性分析方法能够在对网络物理域、网络域、信息域配置进行语义提取的前提下，根据用户的初始权限，计算其可能的实际权限，并由此计算和度量网络运维脆弱性，但是在这个过程中，需要准确地提取网络物理域、网络域、信息域之间的实体和实体关系，而这在实际的网络评估中很难满足，一旦实体之间的语义关系提取错误，则可能对用户实际权限矩阵的计算产生严重的影响，从而严重影响网络运维脆弱性评估的准确性。

发明内容

本发明为了解决现有技术中对用户多域权限的推定过程中依赖的信息较多,在实际的工程过程中难以准确获取的问题,提出了基于矩阵补全的用户多域权限联合估计方法。

为了实现上述目标，本发明采用如下的技术方案：

对目标网络空间中预先设定的各个域提取各个域的实体；

对各个实体对应的权限类型进行枚举；根据提取的各个域的实体以及枚举出的各个实体对应的权限类型建立用户权限矩阵；

通过获取不同用户在目标网络空间中的用户权限确定用户权限矩阵中的相应元素值；根据已经获取到的不同用户的部分用户权限，通过对用户权限矩阵补全，确定用户未获取的用户权限。

进一步地，根据用户已经获得的权限类型的取值，通过基于矩阵分解的用户权限矩阵补全方法对用户权限矩阵补全，确定用户未获取的用户权限。

再进一步地，所述基于矩阵分解的用户权限矩阵补全方法具体包括以下步骤：

(一)输入待补全的用户权限矩阵以及设定参数，包括：

输入待补全的用户权限矩阵X、子矩阵维度K、学习率α和最大迭代次数IMAX；

其中X∈R^M×N是一个维度为M×N的矩阵，该矩阵元素的为各用户对各权限类型的值，M为用户数，N为权限类型总数，子矩阵维度K 为一个小于M和N的整数，代表将X分别为一个维度为M×K的矩阵U，以及一个维度为N×K的矩阵V，使得X≈UV^T；

(二)对矩阵U和V中的所有的元素进行随机初始化；通过确定网络中的用户i是否拥有第j得权限，确定矩阵X中的部分元素的值X_ij；

(三)确定矩阵U和V的值：通过梯度下降方法，对矩阵来对子矩阵U和V中的元素进行更新，也就是在每一轮迭代中，均使用矩阵 X中每一个已经确定的元素对U和V中的元素进行更新直至迭代次数达到IMAX退出，更新按照以下方式计算：

U_il＝U_il+2αE_ijV_jl(0≤l＜k)

V_il＝V_il+2αE_ijU_jl(0≤l＜k)

其中矩阵E∈R^M×N为误差矩阵，E_ij为矩阵E中第i行第j列的元素； U_ij为矩阵U中第i行第j列的元素；V_ij为矩阵V中第i行第j列的元素。

(四)矩阵补全，包括：在矩阵补全阶段，使用两个子矩阵U和 V来计算原待补全的用户权限矩阵X中的缺失的值，具体的计算方式为首先计算矩阵X_H＝UV^T；然后对矩阵X_H中的元素进行调整，即对于矩阵X_H中的每一个元素X_H_ij，如果有预设阈值下限小于等于X_H_ij，且X_H_ij小于等于预设阈值上限，则X_H_ij置为表示没有权限的值，否则X_H_ij置为表示没有权限的值；之后用矩阵X_H来补全原矩阵 X，即对于X中所有的值不确定的元素，均使用X_H中对应位置的值进行替换。

本发明还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现如上述技术方案所提供的基于矩阵补全的用户多域权限联合估计方法的步骤。

本发明所取得的有益技术效果:本发明提出一种用户多域权限联合估计方法，该方法首先通过建立不完整的用户实际权限矩阵，然后根据部分已知的用户的部分权限获取情况，对用户权限矩阵中未获取的值进行补全并由此构建起完整的用户实际权限矩阵；解决了现有用户实际权限推断方法中存在着的依赖于多域实体和实体关系的准确提取，工程实现难度大，不利于推广等难题，本发明不再需要提取目标网络空间中的各个域如物理域、网络域、信息域的实体关系，而是直接根据已知的部分用户的部分权限的获取情况，利用基于矩阵分解的矩阵补全方法，确定剩余的未知的用户权限获取情况，从而建立起完整的用户权限矩阵；大幅度减少了用户权限推断依赖的基础信息，估计的准确率能够满足实际系统运行的需求。

本发明还提供了采用基于矩阵分解的用户权限矩阵补全方法推断无法获得的用户对其它权限类型的值，其优点在于不需要完整的实体关系信息的情况下，能够相对比较快速准确地构建用户权限矩阵。通过实验证明，该算法能够在知晓部分权限的基础上，较为准确地推断用户实际权限信息的获取情况。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明具体实施例提供的基于矩阵补全的用户多域权限联合估计方法整体流程；

图2为本发明具体实施例中基于矩阵分解的用户权限矩阵补全方法流程；

图3为本发明具体实施例中实验网络结构示意图；

图4为本发明具体实施例中推断准确率随未知用户权限变化的比例示意图。

具体实施方式

以下结合具体实施例对上述方案做进一步说明。应理解，这些实施例是用于说明本发明而不限于限制本发明的范围。实施例中采用的实施条件可以根据具体厂家的条件做进一步调整，未注明的实施条件通常为常规实验中的条件。

实施例一、基于矩阵补全的用户多域权限联合估计方法(流程示意图如图1所示)，包括以下步骤：

对目标网络空间中预先设定的各个域提取各个域的实体；

如图1所示，本实施例提供的基于矩阵补全的用户多域权限联合估计方法主要包括多域实体提取、多域权限枚举、用户权限矩阵建立、用户权限多方式获取和未知用户权限推断阶段。

(1)多域实体提取

对目标网络空间的用户权限进行估计的第一步，是对目标的网络空间中的多域(即预先设定的各个域)实体进行提取，可选地，预先设定的各个域包括物理域、网络域和信息域。各个域的实体具体可选地包括：空间实体、物理实体、接口实体、服务实体、文件实体、数字信息实体、人员实体等8类实体，每个实体的含义如表1所示。

表1目标网络空间中的多域实体

序号	实体名称	实体含义
			1	空间实体	物理空间
2	物理实体	网络设备及其他物理实体
			3	接口实体	设备的物理或逻辑接口
4	服务实体	网络服务
			5	文件实体	数字文件
6	数字信息实体	数字信息
			7	人员实体	维护、管理和使用网络的人

在其它实施例中，可以根据实际需要设定待提取实体的域以及针对各域提取不同的实体，本发明不对此作出限定。

(2)多域权限枚举

提取了目标网络空间中的多域实体后，可以根据其枚举网络空间中可能地多域权限，可选的，本实施例对多域实体枚举的权限分别是空间访问权、物体使用权、物体支配权、端口使用权、端口支配权、服务可达权、服务支配权、文件支配权和信息知晓权，如表2所示。

表2目标网络空间中的权限类型

在权限的枚举过程中，主要是根据多域实体的类型和数量来确定网络空间中存在的权限，如网络空间中存在着一个空间实体A，则具有一个对应的权限，即空间A的空间访问权；如果存在着某个物理实体B，则具有两个对应的权限，即物理实体B的物理使用权和物体支配权；如果存在一个接口实体C，则具有两个对应的权限，即接口实体C的端口使用权和端口支配权；如果存在一个服务实体D，则存在两个对应的权限，即服务实体D的服务可达权和服务支配权；如果存在着一个文件实体E，则存在着一个对应的权限，即文件实体E的文件支配权；如果存在着一个数字信息实体F，则存在着一个对应的权限，即数字信息实体F的信息知晓权。

同样需要说明的是，在其它实施例中，目标网络空间中的权限类型可根据实际应用场景进行枚举，再次不作限定和详细描述。

(3)用户权限矩阵建立

在枚举出了目标网络空间中的所有用户权限后，即可以建立对应的用户权限矩阵，如果目标网络空间中可能的用户权限共有N个，而目标网络空间中可能地用户共有M位，因为每一个用户均有可能获得到任意一个权限，则可以建立一个M行N列的用户权限矩阵X∈R^M×N，对于X之中的元素，可选地可设定为有三种值，其中X_ij＝0代表第i 个用户不拥有第j种权限，X_ij＝1代表第i个用户拥有第j种权限， X_ij＝Nan代表不确定第i个用户是否拥有第j种权限。在初始时，将所有人员对所有权限的获取情况均置为Nan，即对于所有权限，均不知道所有人员是否能够获取到这些权限。

(4)用户权限多方式获取

建立了用户权限矩阵后，即可以通过多种方式对权限矩阵中的部分权限值进行验证，验证用户权限的方式，大体可以分为直接判断和间接判断两个方法，对于直接判断，即可以通过外部辅助方法，来确定用户权限的获取情况，如可以通过对物理空间的摄像头信息进行识别和判断，可以判断用户是否拥有进入某个空间的权限；可以通过对某个服务的用户访问记录进行扫描，判断某个用户是否拥有某个服务的可达权或使用权。另一方面，可以通过间接的方式来判断用户是否具有某个权限。例如，可以通过问卷调查或者用户是否能够访问某个服务来间接推断用户是否获得了某个信息的知晓权；通过某个数字文件的传播来判断用户是否获得了某个文件的文件支配权等等。这些方式，可以根据具体的网络空间的不同而不同。

如果根据上述方法，明确了用户i能够获取到权限j，则可以置 X_ij＝1；如果明确了某个用户i不能够获取到权限j，则可以置X_ij＝0，如果不能确定某个用户i是否能够获取到权限j，则可以置X_ij＝Nan 不变。

(5)未知用户权限推断阶段

在未知用户权限推断阶段，最为主要的任务是根据用户已经明确获得权限，推断用户对其它明确无法获得的权限的情况，实现对用户权限矩阵补全，获得用户多域权限。

本实施例提出一种用户多域权限联合估计方法，该方法首先通过建立不完整的用户实际权限矩阵，然后根据部分已知的用户权限获取情况，对用户权限矩阵中为获取的值进行推断并由此构建起完整的用户实际权限矩阵；解决了现有用户实际权限推断方法中存在着的依赖于多域实体和实体关系的准确提取，工程实现难度大，不利于推广等难题；

实施例二、在实施一的基础上，本实施例根据用户已经获得的权限类型的取值，采用基于矩阵分解的用户权限矩阵补全方法推断无法获得的用户对其它权限类型的值。其主要思想是将包含未知元素的用户权限矩阵X∈R^M×N，分解为两个矩阵U∈R^M×K和U∈R^N×K(其中K＜＜M 且K＜＜N)，使得X≈UV^T，通过梯度下降的方法，通过使得分解的误差即在已知的权限上最小，从而确定矩阵X中未知权限的值，这个方法被称为基于矩阵分解的用户权限矩阵补全方法。

具体基于矩阵分解的用户权限矩阵补全方法如图2所示，其主要可以分为矩阵输入、矩阵初始化、矩阵元素确定、矩阵补全等阶段。

(一)用户权限矩阵输入

基于矩阵分解的用户权限矩阵补全方法的输入包括四个，分别是输入待补全的矩阵X、子矩阵维度K、学习率α和最大迭代次数IMAX。其中X∈R^M×N是一个维度为M×N的矩阵，其元素的值主要包括0，1 和Nan三种；子矩阵维度K为一个小于M和N的常数，代表将X分别为一个维度为M×K的矩阵U，以及一个维度为N×K的矩阵V，使得 X≈UV^T；学习率α为一个小于1的常数，主要代表调整矩阵U和V 之中的元素的幅度的大小；最大迭代次数IMAX是一个大于1的整数，主要代表算法迭代的次数，用于迭代生成两个子矩阵U和V。

(二)用户权限矩阵初始化

在矩阵初始化阶段，主要是将两个子矩阵U和V中的元素进行初始化，两个矩阵的元素初始化时，通常给定一个较小的值，本领域技术人员可采用常规初始化方法。

(三)用户权限矩阵元素确定

在矩阵元素确定的过程中，采取梯度下降的方法，来对子矩阵U 和V中的元素进行更新，即在每一轮迭代中，均使用矩阵X中每一个已经确定的元素(即值为0或值为1的元素)对U和V的元素进行更新，其更新的公式为：

U_il＝U_il+2αE_ijV_jl(0≤l＜k)

V_il＝V_il+2αE_ijU_jl(0≤l＜k)

其中矩阵E∈R^M×N为误差矩阵，E_ij为矩阵E中第i行第j列的元素；U_ij为矩阵U中第i行第j列的元素；V_ij为矩阵V中第i行第j 列的元素。

(四)用户权限矩阵补全

在矩阵补全阶段，主要是使用两个子矩阵U和V来计算原矩阵X 中的缺失的值，具体的计算方式为：首先计算矩阵X_H＝UV^T；然后对矩阵X_H中的元素进行调整，即对于矩阵X_H中的每一个元素 X_H_ij，如果有-0.5≤X_H_ij≤0.5，则置X_H_ij＝0，否则置X_H_ij＝1；之后用矩阵X_H来补全原矩阵X，即对于X中所有的值不确定的元素，均使用X_H中对应位置的值进行替换。通过这种方式，实现了对原矩阵X中缺失值得补全。本实施例中预设阈值上限取值0.5，预设阈值下限取值-0.5，在其他实施例中可以根据需要设定，不过多介绍。

本实施例提供了采用基于矩阵分解的用户权限矩阵补全方法推断无法获得的用户对其它权限类型的值，其优点在于不需要完整的实体关系信息的情况下，能够利用已经获得用户权限准确快捷地估计用于其他权限类型的权限取值；相对比较快速准确地构建用户权限矩阵。通过实验证明，该算法能够在知晓部分权限的基础上，较为准确地推断用户实际权限信息的获取情况。

实施例三、在实施例二的基础上，本实施例中对用户权限矩阵初始化采用如下方法：按照均值为方差为1生成随机数，对子矩阵 U和V中的元素进行初始化。这种初始化方法将初始值与基于矩阵分解的子矩阵维度关联，有利于得到更切合实际的初始值，使得补全的用户权限值，提高估计的准确率。

本发明能够针对现有技术中获取用户权限需要预先准确获取大量实体关系，对前期数据收集要求高的弱点，提出了一种基于矩阵补全的用户多域权限估计方法，该方法能够在提取目标网络空间内的实体类型和数量，并直接或间接的方式对部分用户权限的获取情况进行获取的基础上，通过矩阵补全的方式对未知的用户权限获取情况进行估计。通过实验证明，该方法能够在不获取网络空间实体关系的情况下，对缺失的用户权限获取情况进行估计，估计的准确率能够满足实际系统运行的需求。

本实施例建立了一个典型的网络空间模拟环境，该网络空间环境是M公司网络的一个简化。在该环境中，不仅仅模拟了物理设备、物理连接和网络服务，还包含了其所处的物理空间、存储的数字文件和信息，以及网络管理员和网络用户。在该环境中，共包含20个设备，其中包括1台路由器、1台防火墙、1台入侵防御系统，3台交换机 (交换机1、交换机2和交换机3)，6台服务器(Web服务器、数据库服务器、FTP服务器、门禁服务器、办公系统服务器和内部Web服务器)，3台门禁系统前端机(门禁机1，门禁机2和门禁机3)，以及5台终端(终端T1、终端T2、终端T3、终端T4和终端T5)。各个设备之间的物理连接如图3所示。

对图3所示的实验网络的实体、实体关系、安全策略等进行提取和权限分析，共得到权限247个。在此基础上，随机生成500个用户，并赋予相应的初始权限，同时计算其可能的实际权限，从而形成一个 500×247的权限矩阵做为本次实验的真实值。

在实验过程中，首先选定一个超参数γ(0≤γ≤1)，对矩阵的部分元素进行删除和标记，形成输入的矩阵X，然后利用本专利所提出的基于矩阵补全的用户多域权限估计方法，对矩阵X进行补全，得到补全后的矩阵/>然后根据矩阵/>计算/>中补充的元素的正确性。在实验中，分别选定γ为10％，20％，30％，40％，50％，60％，70％， 80％和90％，每个γ重复实验10次。在这个过程中，用户未知权限 (矩阵/>中被删除的)数量、采取本专利方法后被正确推断出的权限数量、正确率如表1所示：

表1实验结果

其正确率随着γ取值变化曲线如图4所示：

由表3和图4可以看出，在仅仅随机知晓10％的原权限获取情况时，在推断未知用户权限时，其准确率能达到83.79％；随着知晓用户权限的比例不断增加，推断准确率也将逐步升高至99％左右，这证明本专利提出的方法，能够在不需要明确用户权限之间的关系的基础上，有效地估计用户获取多域权限的情况，具有良好地实用价值。

本发明提出了一种基于矩阵补全的用户多域权限联合估计方法，该方法不再通过用户初始权限和用户配置语义来推断用户的实际权限，而是根据用户已知的实际权限的分布情况，推断权限之间的依赖关系，并由此推断其获得未知权限的可能性，从而实现用户实际权限矩阵的快速推断。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

以上结合附图对本发明的实施例进行了描述，但是本发明并不局限于上述的具体实施方式，上述的具体实施方式仅仅是示意性的，而不是限制性的，本领域的普通技术人员在本发明的启示下，在不脱离本发明宗旨和权利要求所保护的范围情况下，还可做出很多形式，这些均属于本发明的保护之内。

Claims

1.基于矩阵补全的用户多域权限联合估计方法，其特征在于，包括以下步骤：

对目标网络空间中预先设定的各个域提取各个域的实体；

通过获取不同用户在目标网络空间中的用户权限确定用户权限矩阵中的相应元素值；根据已经获取到的不同用户的部分用户权限，基于矩阵分解对用户权限矩阵补全，确定用户未获取的用户权限；

所述基于矩阵分解的用户权限矩阵补全方法具体包括以下步骤：

(一)输入待补全的用户权限矩阵以及设定参数，包括：

输入待补全的用户权限矩阵X、子矩阵维度K、学习率和最大迭代次数IMAX；

其中是一个维度为/>的矩阵，该矩阵元素的为各用户对各权限类型的值，M为用户数，N为权限类型总数，子矩阵维度K为一个小于M和N的整数，代表将/>分别为一个维度为/>的矩阵U，以及一个维度为/>的矩阵V，使得/>；

(二) 对矩阵U和V中的所有的元素进行随机初始化；通过确定网络中的用户i是否拥有第j得权限，确定矩阵中的部分元素的值/>，其中/>；

(三) 确定矩阵U和V的值：通过梯度下降方法，对矩阵来对子矩阵U和V中的元素进行更新，也就是在每一轮迭代中，均使用矩阵X中每一个已经确定的元素对U和V中的元素进行更新直至迭代次数达到IMAX退出，更新按照以下方式计算：

，其中矩阵/>为误差矩阵，/>为矩阵E中第i行第j列的元素；/>为矩阵U中第i行第j列的元素；/>为矩阵V中第i行第j列的元素；

（四）矩阵补全，包括：在矩阵补全阶段，使用两个子矩阵U和V来计算原待补全的用户权限矩阵X中的缺失的值，具体的计算方式为首先计算矩阵；然后对矩阵/>中的元素进行调整，即对于矩阵/>中的每一个元素/>，如果有预设阈值下限小于等于，且/>小于等于预设阈值上限，则/>置为表示有权限的值，否则/>置为表示没有权限的值；之后用矩阵/>来补全原矩阵X，即对于X中所有的值不确定的元素，均使用/>中对应位置的值进行替换。

2.根据权利要求1所述的基于矩阵补全的用户多域权限联合估计方法，其特征在于，所述预先设定的各个域包括物理域、网络域和信息域。

3.根据权利要求1所述的基于矩阵补全的用户多域权限联合估计方法，其特征在于，各个域的实体包括空间实体、物理实体、接口实体、服务实体、文件实体、数字信息实体和人员实体，所述空间实体表示的含义为物理空间，所述物理实体表示的含义为包括网络设备的物理实体，所述接口实体表示的含义为设备的物理或逻辑接口，所述服务实体表示的含义为网络服务，所述文件实体表示的含义为数字文件，所述数字信息实体表示的含义为数字信息，所述人员实体表示的含义为维护、管理和使用网络的人。

4.根据权利要求1所述的基于矩阵补全的用户多域权限联合估计方法，其特征在于，对两个子矩阵中无法获得元素值的用户的权限类型进行初始化的方法如下：按照均值为，方差为1生成随机数，对子矩阵U和V中的元素进行初始化。

5.一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1~4任意一项权利要求所述方法的步骤。