基于用戶行為訪問控制的研究與應(yīng)用.pdf

1、隨著信息社會(huì)的飛速發(fā)展，基于Web的應(yīng)用越來越廣泛[1]，在系統(tǒng)的使用過程當(dāng)中，為了避免系統(tǒng)的數(shù)據(jù)資源因?yàn)榉欠ú僮鞫獾狡茐?，系統(tǒng)常采用訪問控制技術(shù)去控制用戶的操作。傳統(tǒng)的訪問控制有自主訪問控制模型、強(qiáng)訪問控制模型、基于角色的訪問控制模型等[2]。這些傳統(tǒng)的訪問控制模型用過匹配用戶身份或角色對(duì)應(yīng)的權(quán)限去控制用戶的訪問，而沒有關(guān)注用戶的歷史行為對(duì)訪問控制策略的影響，因此傳統(tǒng)的訪問控制模型在一些應(yīng)用場景下不能起到很好的限制訪問作用[3]。例

2、如一般的信息系統(tǒng)都會(huì)實(shí)現(xiàn)記住用戶登錄名和密碼的功能以方便用戶的使用，當(dāng)使用處于合法登錄狀態(tài)的設(shè)備去操作系統(tǒng)數(shù)據(jù)時(shí)，無論操作請(qǐng)求是否用戶本人發(fā)出，傳統(tǒng)的訪問控制模型都不會(huì)阻止訪問請(qǐng)求，在這種情況下，存在非法操作或越權(quán)操作的隱患。
　　為此提出一種基于用戶行為的訪問控制模型。通過分析應(yīng)用系統(tǒng)的用戶權(quán)限表，可以得到用戶有權(quán)限操作的數(shù)據(jù)項(xiàng)（精確到數(shù)據(jù)庫中的字段），將這些數(shù)據(jù)項(xiàng)組成的集合稱作用戶常規(guī)操作集合。同時(shí)，通過分析用戶的操作日志（可

3、以是系統(tǒng)操作日志，也可以是數(shù)據(jù)庫事務(wù)日志）得到用戶歷史操作數(shù)據(jù)項(xiàng)和操作次數(shù)。系統(tǒng)用戶不會(huì)操作或是不會(huì)頻繁操作常規(guī)操作集合內(nèi)的所有數(shù)據(jù)項(xiàng)，操作次數(shù)高于一定閾值的高頻操作數(shù)據(jù)項(xiàng)就是用戶安全操作數(shù)據(jù)項(xiàng)，它們組成的集合就是安全操作數(shù)據(jù)集合。基于用戶行為的訪問控制模型就是通過判斷用戶請(qǐng)求操作的數(shù)據(jù)項(xiàng)是否屬于用戶的安全操作集合來控制用戶的訪問，屬于則認(rèn)為用戶的行為是該用戶的正常行為，允許用戶的訪問請(qǐng)求;不屬于則認(rèn)為用戶行為屬于異常行為，將會(huì)阻止用戶