基于用戶行為訪問控制的研究與應用.pdf

1、隨著信息社會的飛速發(fā)展，基于Web的應用越來越廣泛[1]，在系統(tǒng)的使用過程當中，為了避免系統(tǒng)的數(shù)據(jù)資源因為非法操作而遭到破壞，系統(tǒng)常采用訪問控制技術去控制用戶的操作。傳統(tǒng)的訪問控制有自主訪問控制模型、強訪問控制模型、基于角色的訪問控制模型等[2]。這些傳統(tǒng)的訪問控制模型用過匹配用戶身份或角色對應的權限去控制用戶的訪問，而沒有關注用戶的歷史行為對訪問控制策略的影響，因此傳統(tǒng)的訪問控制模型在一些應用場景下不能起到很好的限制訪問作用[3]。例

2、如一般的信息系統(tǒng)都會實現(xiàn)記住用戶登錄名和密碼的功能以方便用戶的使用，當使用處于合法登錄狀態(tài)的設備去操作系統(tǒng)數(shù)據(jù)時，無論操作請求是否用戶本人發(fā)出，傳統(tǒng)的訪問控制模型都不會阻止訪問請求，在這種情況下，存在非法操作或越權操作的隱患。
　　為此提出一種基于用戶行為的訪問控制模型。通過分析應用系統(tǒng)的用戶權限表，可以得到用戶有權限操作的數(shù)據(jù)項（精確到數(shù)據(jù)庫中的字段），將這些數(shù)據(jù)項組成的集合稱作用戶常規(guī)操作集合。同時，通過分析用戶的操作日志（可

3、以是系統(tǒng)操作日志，也可以是數(shù)據(jù)庫事務日志）得到用戶歷史操作數(shù)據(jù)項和操作次數(shù)。系統(tǒng)用戶不會操作或是不會頻繁操作常規(guī)操作集合內的所有數(shù)據(jù)項，操作次數(shù)高于一定閾值的高頻操作數(shù)據(jù)項就是用戶安全操作數(shù)據(jù)項，它們組成的集合就是安全操作數(shù)據(jù)集合?；谟脩粜袨榈脑L問控制模型就是通過判斷用戶請求操作的數(shù)據(jù)項是否屬于用戶的安全操作集合來控制用戶的訪問，屬于則認為用戶的行為是該用戶的正常行為，允許用戶的訪問請求;不屬于則認為用戶行為屬于異常行為，將會阻止用戶