基于条件随机场的自适应BLP访问控制模型研究

摘要

访问控制机制是保护数据安全的重要途径，通过使用某种途径明确的对访问进行许可或限制，以此来约束用户对特定资源的访问，从而避免非法用户的访问或者因合法用户的失误操作而导致的安全问题。但现有访问控制模型大多缺乏对系统安全状态和风险的动态感知能力，访问控制策略及规则一旦确定，在整个系统执行及状态变迁过程中就不会变化，这将给系统的攻击者带来发现漏洞的可能，从而给系统带来风险。针对这个问题，本文基于系统访问日志数据，提出了一种基于条件随机场的强制访问控制策略自适应优化模型。主要工作如下：
　　首先提出了基于条件随机场的强制访问控制模型 CRFs-BLP。该模型针对条件随机场参数估计、特征函数与模型推断过程，定义了针对系统状态、状态转换规则的约束模型。在此模型中，本文同时针对原有BLP模型中可信主体权限过大和跨级访问导致的不安全问题进行了改进。在此基础上针对模型的安全性给出了分析和证明，结果表明本文所提出的CRFs-BLP模型具有与 BLP模型相当的安全性。
　　其次提出了CRFs-BLP模型的规则训练和结果预测算法。首先对系统访问日志进行预处理，提取特征向量，定义特征模板并对数据集进行人工标注，得到输入集进入训练与预测过程，生成对测试集中日志数据的自动标记。在此基础上提出了一种针对测试集标记数据的规则优化和生成算法，该算法能基于对系统访问日志学习与预测结果，使模型规则能够根据当前系统的安全状态及安全事件进行动态调整，还可以动态地限制敏感客体的读写范围。
　　最后设计和实现了基于MySQL的安全数据库策略，实现了本文的强制访问控制策略，优化了MySQL开源数据库系统的日志模块，以便后期的分析与审计。实验表明，在改进的MySQL数据库系统中，通过对系统访问日志进行学习与训练，能针对MySQL原有表中权限设置的安全隐患，动态修正某些用户的访问权限以提高系统的安全性，具有较好的实际应用价值。

目录

封面

声明

中文摘要

英文摘要

目录

第1章 绪论

1.1 研究背景及意义

1.2 研究现状

1.3 研究目的与内容

1.4 结构安排

第2章 相关研究

2.1 访问控制理论的发展与国内外研究现状

2.2 机器学习理论的发展与国内外研究现状

2.3 小结

第3章 CRFs-BLP模型定义及其训练过程

3.1 基本定义

3.2 转换规则

3.3 基于条件随机场的状态转移过程模型

3.4 CRFS-BLP的学习过程

3.5 实验结果与分析

3.6 安全性证明

3.7 小结

第4章 基于CRFs-BLP的安全数据库策略优化

4.1 MySQL访问控制机制

4.2 MySQL强制访问控制策略的实现

4.3 实验结果与分析

4.4 小结

结论

参考文献

致谢

附录 攻读硕士学位期间发表的学术论文