CN116488914A

CN116488914A - 基于GCN-BiLSTM的动态权限访问控制方法

Info

Publication number: CN116488914A
Application number: CN202310478068.XA
Authority: CN
Inventors: 孙雁飞; 周振国; 董建阔; 亓晋; 董振江; 孙莹
Original assignee: Nanjing University of Posts and Telecommunications
Current assignee: Nanjing University of Posts and Telecommunications
Priority date: 2023-04-28
Filing date: 2023-04-28
Publication date: 2023-07-25

Abstract

本发明属于网络安全领域，公开了基于GCN‑BiLSTM的动态权限访问控制方法，采集文件存储系统中关于用户、文件和系统的日志数据，通过对计算机网络中文件使用情况的感知，结合基于GCN‑BiLSTM文件系统异常行为监测模型对用户的使用行为进行分析，从而实现对文件权限的自动控制，提高文件访问安全性。

Description

基于GCN-BiLSTM的动态权限访问控制方法

技术领域

本发明属于网络安全领域，具体是涉及基于GCN-BiLSTM的动态权限访问控制方法。

背景技术

近年来，随着信息技术的普及，内部信息安全威胁成为了信息安全领域中亟需解决的难题之一。访问控制技术是解决内部信息泄露的信息安全策略之一，基于角色的访问控制技术(RBAC)是现阶段比较成熟的访问控制技术；基于角色的访问控制技术的主要工作原理是根据用户主体拥有的角色授予用户主体访问应用客体的相应权限，但一旦用户主体取得相应的权限之后，无论是进行合法操作还是非法操作，基于角色的访问控制技术都将束手无策，无法在用户访问过程中对用户权限实时调整，因此该技术也存在隐患。

在实际的工作中，泄露机密信息的往往是那些通过访问控制模块获得一定权限的内部人员。由于后续的访问应用或功能过程没有实时进行监督，会存在某些内部人员因为禁不住利益诱惑便会铤而走险窃取组织或企业的机密信息来换取非法利益的风险，给企业或组织带来巨大的损失；在信息泄露事件发生之后虽然可以通过日志审计技术追查到造成信息泄露的人员，但却无法弥补已经造成的损失，并且从信息泄露到追查到信息泄露的根源这个过程中存在很长的时间跨度。如果把信息安全防护过程分为前中后三个阶段的话，访问控制技术属于防护过程的前期阶段，日志审计属于防护过程的后期阶段，并且是处于被动的防护阶段；至于中期阶段的防护却时常被忽略，而这一阶段恰巧是防止信息泄露效果最显著的阶段。

现有技术中，对访问控制做了一些研究，如专利申请CN202210934548.8公开了一种计算机的访问权限智能控制系统及方法，其通过计算机键盘压力对当前使用者信息进行匹配分析，当计算机当前使用者请求的访问信息超出访问权限等级时，计算机终端向用户实时发送当前使用者信息和访问请求信息；用户端根据接收信息选择是否对当前访问权限等级进行开放，若开放，则对同等级的其它重要信息被泄露和删除的可能性进行评估；但在实际运行中，计算机用户数量多，对计算机键盘压力进行监测，精度较差，不实用，容易出现错误，难以达到访问权限智能控制的要求。

专利申请CN201910805666.7公开了一种基于用户角色调整的动态访问控制方法，通过管理员对控制函数集进行编辑，实现权限分配的动态控制；但其需要系统管理员额外手动操作，增加了建设成本以及后期的维护成本；且管理员手动控制易出错，通过管理员人工判断，难免会出现错误，难以实现权限控制自动化，并会造成权限隐私泄露。

综上所述，针对文件权限控制，传统存储服务中权限策略固化，人工定制化访问权限控制策略在海量数据并发存取过程中策略有限，难以满足存储系统频繁服务响应需求且人为策略更新成本过高，以及在复杂的数据交换场景下，固化访问权限控制策略难以同时保证数据隐私与存取效率。

发明内容

为解决上述技术问题，本发明提供了基于GCN-BiLSTM的动态权限访问控制方法，其利用GCN-BiLSTM与安全态势感知技术实现了对文件访问权限的实时判断和控制，可以提高系统的安全性和可靠性；同时，通过建立用户异常行为监测模型实现对不同用户和文件的个性化权限控制，提高系统的灵活性和适应性。

本发明所述的基于GCN-BiLSTM的动态权限访问控制方法，包括以下步骤：

步骤1、采集文件存储系统中关于用户、文件和系统的日志数据；

步骤2、构建基于GCN-BiLSTM文件系统异常行为监测模型，对日志数据进行处理，判断是否为异常行为；

步骤3、根据异常行为的判断结果及安全态势感知平台对当前安全态势的实时判断结果，确定用户是否具有访问该文件的权限；

步骤4、根据步骤3得到的权限结果，根据权限控制策略进行权限控制。

进一步的，基于GCN-BiLSTM文件系统异常行为监测模型包括图神经网络GCN模型、基于注意力机制的BiLSTM模型和全连接softmax分类层；

所述图神经网络GCN模型由卷积层、池化层、全连接层堆叠构成；卷积层对上一层输入的日志数据通过卷积核进行特征提取，得到图数据；池化层对图数据进行压缩，全连接层提取图数据中数据，纵向展开输入到全连接softmax分类层；

基于注意力机制的BiLSTM模型包括一个正向的长短时记忆模型、一个反向的长短时记忆模型，正向的长短时记忆模型用于提取前向特征，反向长短时记忆模型用于提取后向特征,通过注意力机制计算双向长短时记忆模型输出中每个位置的权重，然后将所有位置的向量进行加权和作为表示向量，输入全连接softmax分类层进行分类。

进一步的，基于GCN-BiLSTM文件系统异常行为检测模型，对数据进行处理，判断是否为异常行为，具体步骤为：

步骤2-1、从文件存储系统中提取日志数据，对其进行清洗和预处理，去除噪声和异常数据，并对数据格式化和归一化；

步骤2-2、使用图神经网络GCN对日志数据进行空间特征提取；

步骤2-3、使用基于注意力机制的BiLSTM模型提对日志数据进行时序特征提取，表示不同时刻整个网络的变化趋势；

步骤2-4、将空间特征和时序特征输入全连接softmax分类层对输出特征进行分类，判断是否为异常行为。

进一步的，步骤3中，根据CCN-BiLSTM异常用户行为检测模型结合当前安全态势进行实时判断，已确定该用户是否具有访问该文件的权限；具体为：

利用安全态势感知平台获取当前安全配置得分SCA，结合CCN-BiLSTM异常用户行为检测模型SOFTMAX概率对当前用户的行为进行评估和预测，判断当前行为是否存在风险，具体评估方式为：

当前文件存储系统安全系数＝0.5*SCA+0.5*(1-SOFTMAX)*100；安全系数的范围在0～100，70<＝安全系数<＝100,系统安全，50<＝安全系数<70,系统存在风险，0<＝安全系数<50，系统高度危险。

进一步的，步骤4，根据安全系数进行文件权限控制，文件权限包括执行、写入、读取；具体步骤为：

步骤2-4-1、通过audit工具，获取当前用户操作的文件；

步骤2-4-2、根据安全系数，更改权限；系统安全则开放正常权限包括执包括执行、写入、读取；存在风险则关闭写入权限；系统高度危险所有权限关闭。

本发明所述的有益效果为：本发明构建了基于GCN-BiLSTM的异常行为监测模型，首先将图结构、属性以及可以整个网络变化的信息引入到图神经网络模型中，使用图卷积神经网络作为特征提取器来提取网络中有用的图结构信息作为整个图的表示向量，同时对双向长短时记忆网络进行改进，融合了注意力机制来提高异常行为检测准确度，使用改进后的双向长短时记忆网络方法进行训练并结合提取到的特征信息完成用户异常行为检测；结合态势感知对当前文件系统的环境安全性进行评估，根据评估结果动态控制文件的访问权限，从而提升对文件系统检测的准确性和时间，从而实现文件权限动态控制的速度。

附图说明

图1为本发明所述方法的整体流程示意图；

图2为本发明所述的基于GCN-BiLSTM的异常行为监测模型结构示意图；

图3为本发明所示的基于GCN-BiLSTM异常检测方法流程图；

图4为本发明GCN结构图；

图5为BiLSTM结构示意图；

图6为本发明图卷积操作示意图；

图7为本发明图池化操作示意图；

图8为本发明图全连接操作示意图；

图9为注意力机制结构示意图；

图10基于注意力机制的BiLSTM模型结构示意图。

具体实施方式

为了使本发明的内容更容易被清楚地理解，下面根据具体实施例并结合附图，对本发明作进一步详细的说明。

如图1所示，本发明所述的基于GCN-BiLSTM的动态权限访问控制方法，包括以下步骤：

步骤1、采集文件存储系统中关于用户、文件和系统的数据；

步骤2、构建基于GCN-BiLSTM文件系统异常行为监测模型，对数据进行处理，判断是否为异常行为；

步骤3、根据异常行为的判断结果及当前安全态势进行实时判断，确定用户是否具有访问该文件的权限；

其中，步骤1中，数据采集实时监控和采集文件存储系统关于用户、文件、系统的数据，以便后续的用户行为分析和文件权限控制；具体步骤为：

1)使用系统内置工具：操作系统通常会内置一些监控工具，例如Linux系统下的auditd、Windows系统下的Event Viewer等，可以通过这些工具来监控文件系统的读写操作、文件访问权限等信息，并将其记录在系统日志中；

2)监控文件系统API调用：文件系统的API调用是文件系统操作的基础，可以通过监控文件系统API调用来捕捉文件系统的读写操作、文件访问权限等信息；可以使用一些HOOK技术，例如Windows下的Minifilter驱动、Linux下的FUSE等技术来实现文件系统API的监控；

3)监控网络流量：文件的读写操作也可能会通过网络传输，可以通过监控网络流量来捕捉文件系统的读写操作、文件访问权限等信息。可以使用一些网络监控工具，例如Wireshark、tcpdump等工具来实现网络流量的监控；

4)监控系统调用：文件系统的读写操作通常是通过系统调用来实现的，可以通过监控系统调用来捕捉文件系统的读写操作、文件访问权限等信息；可以使用一些系统调用监控工具，例如strace、dtrace等工具来实现系统调用的监控。

步骤2、网络具有信息量大，随机性强等特点，传统的异常行为检测方法不能精准有效的识别出网络中隐藏的异常行为；因此，提出基于GCN-BiLSTM文件系统用户异常行为监测模型，其结构如图2所示。基于GCN-BiLSTM文件系统异常行为监测模型包括图神经网络GCN模型、基于注意力机制的BiLSTM模型和全连接softmax分类层；所述图神经网络GCN模型由卷积层、池化层、全连接层堆叠构成；卷积层对上一层输入的数据通过卷积核进行特征提取，池化层对图数据进行压缩，全连接层提取图数据中数据，纵向展开输入到全连接softmax分类层；基于注意力机制的BiLSTM模型包括一个正向的长短时记忆模型、一个反向的长短时记忆模型，正向的长短时记忆模型用于提取前向特征，反向长短时记忆模型用于提取后向特征,通过注意力机制计算双向长短时记忆模型输出中每个位置的权重，然后将所有位置的向量进行加权和作为表示向量，输入全连接softmax分类层进行分类。

基于GCN-BiLSTM异常检测方法如图3所示，具体为：

1)数据清洗和预处理：从文件系统日志中提取用户行为数据，包括用户ID、时间戳、操作类型、操作对象、操作结果等信息进行清洗和预处理，已取出噪声和异常数据，并对数据格式化和归一化，方便后续的数据分析和建模；

2)使用图神经网络(GCN)对网络数据进行空间特征提取表示整个网络结构属性。如图4所示为GCN结构图，GCN由三部分堆叠构成，分别是卷积层(Convolutional Layer)，池化层(Pooling)和全连接层(FC(Fully Connected))。卷积层是对上一层输入的数据通过卷积核(Kernel)进行特征提取，池化层是用于压缩图数据，而全连接层是提取图数据中数据，纵向展开(形成一个很长的单维向量)，输入到下一层(softmax分类器、神经网络)中。具体实现如下：

A.图卷积操作，具体过程为：

将网络中的数据输入到图卷积神经网络中，数据中含有节点的属性信息和结构信息两种描述了节点的属性和节点之间的关系。首先从中心节点开始从一阶特征扩展到二阶，不断迭代计算每多一层卷积计算就能融合更外一圈的节点信息和结构信息直到没有新加入特征为止，如图6所示。

图卷积操作的核心在于参数化频率响应矩阵；图卷积层是在和之间训练出图滤波器，图滤波器具有自适应性它的频率响应函数通过图分类和数据之间的关系进行训练学习，公式如下：

式中：σ(·)为激活函数；为对应的滤波器；X^(l)输入的矩阵数据，X∈R^N*F；X^(l+1)输出的数据矩阵；θ＝[θ₁,θ₂,...,θ_n]为学习参数；

为了增强网络的拟合能力，将参数化的权重矩阵W对输入的特征矩阵进行仿射变换，公式：

式中：W^(l)为第一层权重；b^(l)第一层的截距；重归一化的拉普拉斯矩阵；图卷积层再对频率响应函数拟合进行简化，使对应的图滤波器变成/>

B.图池化操作

图池化操作过程如图7所示，将运算得到的节点重要度分数结果进行排序处理，然后对图中所有数据节点中心进行归纳同意并行处理，来提高检测速度。在数据中心节点并行处理过程中，主要参照其自身的分数结果进行有序组合，在处理过程中保证同一个数据图中心节点不断的组合一起。通过设置每个并行处理时的池化率k控制主要节点个数，最后输出所有图数据的向量特征。

C.全连接

全连接层在整个图卷积神经网络中起到“分类器”的作用，其结构如图8所示。输入的图数据特征首先需要经过图卷积层进行图结构属性的组合和提取；然后在由图池化层按照节点分数丢弃，以达到节省资源的目的；在经过全连接层进行分类特征，然后输出特征向量。在图卷积神经网络参数训练时，使用反向传播算法进行参数更新学习。各层参数计算公式为

式中：w_i权重矩阵；x输入层的输出向量值；δ非线性激活参数；预测结果值；b_i偏置项参数。

3)使用结合注意力机制的双向长短时记忆算法(BiLSTM)提取网络中时序特征表示不同时刻整个网络的变化趋势。双向长短时记忆算法(BiLSTM)结构图如图5所示。双向长短时记忆模型是由两个长短时记忆模型构成的，分别是一个正向的长短时记忆模型和一个反向的长短时记忆模型。其中正向的长短时记忆模型负责提取前向特征，反向长短时记忆模型负责提取后向特征。在双向长短时记忆模型中，每一个时刻都含有正反两个方向的输出。双向长短时记忆模型中每个时刻的状态计算公式如下：

式中：H_t为t时刻双向长短时记忆网络的输出向量；为t时刻长短时记忆网络的正向输出向量；/>时刻长短时记忆网络的反向输出向量。

由于BiLSTM具有局限性，在双向长短时记忆模型中输入的特征相距越远特征之间的依赖关系越不明显，需要长时间才能将前后特征信息连接起来，而且在训练过程中难以捕捉有效的信息。为解决这一问题，将注意力机制融合到BiLSTM中，注意力机制的本质在于让模型自己学习分配输入信息的权值，为输入的特征向量进行打分按照得分进行加权，突出重要特征对先序或后序模块的影响，注意力机制结构如图9所示，BiLSTM+Attention(注意力机制)模型的网络架构如图10所示。

相对于BiLSTM模型，BiLSTM+Attention模型的主要区别是在BiLSTM层之后，全连接softmax分类层之前接入了一个Attention Layer的结构，Attention层先计算BiLSTM输出中每个位置的权重，然后将所有位置的的向量进行加权和作为表示向量，然后进行softmax分类。计算过程为：输入序列(x₁,x₂,x₃,...x_n)，将每个输入序列映射到3个不同的空间，得出查询向量q_i，键向量k_i，值向量计算公式如下：

Q＝W_qX

K＝W_kX

V＝W_VX

式中：

W_q,W_k,W_v为映射参数；

Q＝[q₁,q₂,q₃,...,q_n]查询向量矩阵；

K＝[k₁,k₂,k₃,...,k_n]键向量矩阵；

V＝[v₁,v₂,v₃,...,v_n]值向量矩阵；

对于每个查询向量，计算出输出向量h_l

式中：

l为输入向量位置

j为输出向量位置

a_lj为第l输入关注第j输入的权重。

4)使用softmax分类函数对Bi-lstm模型输出的特征进行分类判断是否为异常行为。

步骤3、权限判断：根据GCN-BiLSTM异常用户行为检测模型结合当前安全态势进行实时判断，以确定用户是否具有访问该文件的权限。具体实施：利用安全态势感知平台获取当前安全配置得分(SCA)，结合GCN-BiLSTM用户异常行为监测模型SOFTMAX概率对当前用户的行为进行评估和预测，判断当前行为是否存在风险，具体评估方式为：当前文件系统安全系数＝0.5*SCA+0.5*(1-SOFTMAX)*100，安全系数的范围在0～100；

70<＝安全系数<＝100,系统安全；50<＝安全系数<70,系统存在风险；0<＝安全系数<50，系统高度危险。

步骤4、权限控制：根据步骤三的安全系数进行文件权限控制，文件权限包括执行、写入、读取。具体实施：

1)通过audit工具，获取当前用户操作的文件。该工具可以监控系统中的文件访问、系统调用等事件，并将这些事件记录到日志中。然后使用Python的subprocess模块解析这些日志文件，获取用户操作的文件；

2)根据安全系数，更改权限。系统安全则开放正常权限包括执包括执行、写入、读取；存在风险则关闭写入权限；系统高度危险所有权限关闭。

以上所述仅为本发明的优选方案，并非作为对本发明的进一步限定，凡是利用本发明说明书及附图内容所作的各种等效变化均在本发明的保护范围之内。

Claims

1.基于GCN-BiLSTM的动态权限访问控制方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的基于GCN-BiLSTM的动态权限访问控制方法，其特征在于，基于GCN-BiLSTM文件系统异常行为监测模型包括图神经网络GCN模型、基于注意力机制的BiLSTM模型和全连接softmax分类层；

3.根据权利要求2所述的基于GCN-BiLSTM的动态权限访问控制方法，其特征在于，基于GCN-BiLSTM文件系统异常行为监测模型，对数据进行处理，判断是否为异常行为，具体步骤为：

步骤2-2、使用图神经网络GCN对日志数据进行空间特征提取；

4.根据权利要求1所述的基于GCN-BiLSTM的动态权限访问控制方法，其特征在于，步骤3中，根据CCN-BiLSTM异常用户行为检测模型结合当前安全态势进行实时判断，已确定该用户是否具有访问该文件的权限；具体为：

5.根据权利要求4所述的基于GCN-BiLSTM的动态权限访问控制方法，其特征在于，步骤4，根据安全系数进行文件权限控制，文件权限包括执行、写入、读取；具体步骤为：

步骤2-4-1、通过audit工具，获取当前用户操作的文件；