胡常舉, 劉一田

(南京南瑞信息通信科技有限公司, 江蘇，南京 210003)

0 引言

隨著計算機技術與互聯(lián)網(wǎng)技術的發(fā)展，我國電網(wǎng)正處于電網(wǎng)調(diào)度一體化[1]運行的逐步實施和調(diào)度系統(tǒng)集成化程度的提升階段，這對調(diào)度系統(tǒng)權限控制提出了更高的要求。當前互聯(lián)網(wǎng)后臺系統(tǒng)權限控制模型普遍采用簡單的功能級別權限控制，如基于角色的訪問控制模型(role-based access control,RBAC)。模型通過將權限與角色相匹配的方式，為用戶選擇適當?shù)慕巧纯赏瓿蓹嘞薹峙涔ぷ?，擁有原理簡單、可操作性強的特點。但隨著電網(wǎng)調(diào)度一體化的進一步發(fā)展，使得基于功能的權限分配粒度過粗，隨著大量數(shù)據(jù)在不同層級調(diào)控中心流轉(zhuǎn)，單純基于功能的權限分配方法容易出現(xiàn)越級訪問數(shù)據(jù)的問題，已不能滿足當前電網(wǎng)調(diào)度的需求，亟待數(shù)據(jù)原子粒度的權限控制方法。本文在當前大數(shù)據(jù)治理與人工智能發(fā)展的現(xiàn)狀下，首先提出了基于數(shù)據(jù)管理員的數(shù)據(jù)權限訪問控制(data manager based data access control，DMBDAC)模型。模型引入數(shù)據(jù)管理員的概念，針對不同層級的用戶，使用數(shù)據(jù)管理員確定其在當前層級內(nèi)可操作的權限資源，解決傳統(tǒng) RBAC 模型無法按數(shù)據(jù)劃分權限的問題，為權限管理系統(tǒng)提供了一套完善的權限數(shù)據(jù)管理機制。

同時,本文發(fā)現(xiàn)當前電網(wǎng)調(diào)度系統(tǒng)存在各級管理員權限使用風險分析缺失的現(xiàn)狀，而在當前國內(nèi)外研究中已有廣泛針對行為管理的風險研究。研究主要集中于評估基于用戶操作的風險等級及風險概率。如北京郵電大學陳文波[2]提出了基于機器學習的Android應用的風險行為分析模型，通過機器學習與反編譯手段結(jié)合，能夠智能判斷用戶使用應用時對敏感權限的危險使用行為，提供敏感權限使用預警。在金融界對于行為風控模型的研究中，英國金融創(chuàng)業(yè)公司Monzo通過構(gòu)建深度學習模型，通過對交易雙方特征提供基于行為的風險概率分析，從而阻止涉嫌詐騙的交易[3]。在工業(yè)領域方面，武漢理工大學的董良雄等[4]對于船舶設備生產(chǎn)環(huán)節(jié)中出現(xiàn)的風險采用BP神經(jīng)網(wǎng)絡進行基于行為的風險等級劃分，使得生產(chǎn)風險可以得到明確預警。

綜上，基于行為的風險管控模型在各行業(yè)中均有廣泛應用。本文在國內(nèi)外研究基礎上創(chuàng)新性將風控模型應用于權限管理中，提出基于管理員權限使用特征的風控模型Boost-Bagging，以減少風險的權限操作行為?；诒疚奶岢龅腂oost-Bagging交叉融合模型，針對管理員操作的IP、MAC、時間等使用行為特征進行分析，從而做到管理員權限使用的風險行為監(jiān)控。最終形成了包含權限分配、使用的全流程管控，實現(xiàn)了現(xiàn)代化的基于調(diào)控云的權限控制系統(tǒng)。

1 DMBDAC模型的實現(xiàn)原理

在調(diào)控云的權限管理系統(tǒng)中，不同層級的用戶所能看到和管理的數(shù)據(jù)各不相同，為了滿足權限分級管理需求，本文基于RBAC模型提出了DMBDAC模型。在DMBDAC模型中可以把用戶在權限管理系統(tǒng)中具有的權限分成兩種：一種是頁面和接口權限;一種是具體的權限數(shù)據(jù)資源?；跀?shù)據(jù)管理員的數(shù)據(jù)權限訪問控制模型[5-7]如圖1所示。用戶的權限控制分為兩種：一種是通過角色控制具體的頁面訪問和接口調(diào)用;一種是通過數(shù)據(jù)管理員控制頁面內(nèi)可訪問的數(shù)據(jù)，包括角色資源數(shù)據(jù)、菜單資源數(shù)據(jù)和功能資源數(shù)據(jù)。通過角色具有的資源控制頁面訪問的方式與傳統(tǒng)RBAC模型中相同，所有的頁面和接口資源訪問控制入口是角色，若讓用戶具有某些頁面資源或者接口的訪問權限，則需要將菜單(即頁面資源)和功能(即授權資源，包括頁面資源的按鈕、系統(tǒng)對外提供的服務接口等)授權給角色，然后將角色授權給用戶，這樣用戶就具有了訪問權限管理系統(tǒng)某個頁面的權限和操作頁面內(nèi)某些按鈕的權限。

為了更好地滿足不同層級用戶進行權限管理的需求,避免可能造成的越級操作，在DMBDAC模型中引入數(shù)據(jù)管理員的概念。將角色、菜單、功能這些權限數(shù)據(jù)資源分配給某個數(shù)據(jù)管理員，則該數(shù)據(jù)管理員具有了操作這些權限數(shù)據(jù)資源的權限，包括修改、刪除、授權等。數(shù)據(jù)管理員可以被授予用戶，一個用戶可根據(jù)實際需要被授予一個或者多個數(shù)據(jù)管理員，保證了用戶在權限管理系統(tǒng)中只能操作數(shù)據(jù)管理員具有訪問權限的數(shù)據(jù)資源。DMBDAC模型中，不同層級的數(shù)據(jù)權限各不相同，真正實現(xiàn)權限數(shù)據(jù)分級控制，滿足調(diào)控云權限管理系統(tǒng)分級管理的需求，提高了權限控制的易用性和安全性。

2 管理員行為特征量化分析與預處理

在上一節(jié)完成了DMBAC模型的設計之上，本節(jié)針對各級管理員在權限使用期間所產(chǎn)生的行為特征進行量化分析，并加入數(shù)據(jù)的預處理，作為機器學習模型的數(shù)據(jù)支持。

首先，在電網(wǎng)調(diào)度系統(tǒng)中由于主機IP通常為固定MAC地址與固定IP綁定，采用靜態(tài)IP方式進行組網(wǎng)，因此IP及MAC地址也是重要的行為分析特征。在本文設計的DMBAC模型基礎上，結(jié)合實際業(yè)務使用場景，兼顧切實可行與易于操作的需要，形成了表1所示的管理員行為特征量化表，以綜合評估行為的風險行為[8-10]。

表1 管理員行為特征量化表

表1中通過采集管理員登錄或權限操作時間、IP、MAC地址形成量化結(jié)果，數(shù)據(jù)獲取簡單可行，特征量化均來源于實際業(yè)務，表中特征均有著較強的可解釋性。參考金融領域的風控模型可知，諸如文化水平、收入水平、人際關系等個人情況亦可以影響到管理員操作水平，但此類特征解釋性不強的同時，采集此類數(shù)據(jù)涉及個人隱私，可行性亦較低，因此本文僅使用易于從實際生產(chǎn)活動中獲取的行為特征而非用戶畫像特征進行風險預測評估[11-13]。在表1確定的行為特征量化基礎上，本文通過人工操作采集與規(guī)則生成方法生成本文的實驗數(shù)據(jù)，其中規(guī)則生成方法采用專家分析法分析相應規(guī)則，并在規(guī)則下生成一定規(guī)模數(shù)據(jù)。因本文所提出的風險預警模型是對行為是否為風險行為進行推理判斷，因此實驗數(shù)據(jù)需召回分析，由此將實驗數(shù)據(jù)中部分人工操作數(shù)據(jù)設定為測試集，訓練集與測試集比例為4∶1，以充分評估風控模型預測正確率。

3 Boost-Bagging交叉融合模型

經(jīng)過管理員行為特征量化之后，行為特征轉(zhuǎn)化為可分析的數(shù)據(jù)維度特征。本節(jié)提出了基于CatBoost與隨機森林融合的風險行為識別預警模型Boost-Bagging。Boost-Bagging交叉融合模型結(jié)構(gòu)如圖2所示。圖2中，首先將量化特征各維度拼接為原始行為特征矩陣作為數(shù)據(jù)集。根據(jù)K折交叉驗證原理，將訓練數(shù)據(jù)集分為5份(即K=5)，每次選出1份作為驗證集，其余4份作為訓練集，使用5個CatBoost模型訓練原始數(shù)據(jù)。CatBoost算法作為梯度下降迭代決策樹(gradient boosting decision tree,GBDT)的優(yōu)化方法，采用了對稱決策樹，對于類別變量無需進行非數(shù)值特征預處理，且算法魯棒性高。其原理為采用決策樹首先對原始數(shù)據(jù)進行訓練，然后對于未擬合殘差部分對比訓練標簽取得殘差項后，由下一個決策樹訓練擬合殘差項，實現(xiàn)逐步的殘差擬合，起到強學習機能力不低于其中任意弱學習機的保證作用。隨后，5個CatBoost模型將分別預測的結(jié)果輸出后，拼接為五維的中間矩陣，中間矩陣中0表示非風險行為、1表示中風險行為、2表示高風險行為。在形成中間輸出結(jié)果后，由隨機森林的Bagging算法進行有放回的抽樣方式訓練多個決策樹，進行投票。投票公式如式(1)：

圖2 Boost-Bagging交叉融合模型

(1)

式中，Rfinal表示Boost-Bagging算法的最終結(jié)果輸出，來源于隨機森林分析結(jié)果。隨機森林中通常通過投票形式選擇最多值作為輸出，但在風控系統(tǒng)中仍需添加基于專家分析的閾值以減少系統(tǒng)誤報或漏報率，因此式1采用了TH閾值設計，低于閾值的投票表決結(jié)果將被否決，變?yōu)?即非風險行為。該模型充分結(jié)合了當前前沿的機器學習成果與人性化的交互設置，使得機器學習結(jié)果充分可控。

4 實驗分析與可視化展示

模型訓練完成后采用劃分測試集進行效果驗證。通過上述模型設計可知，本文所提出的Boost-Bagging交叉融合模型使用帶有閾值的投票方法，使得模型可獲取ROC曲線及AUC作為結(jié)果呈現(xiàn)。每一分類ROC曲線以該分類假陽率(false positive rate,FPR)作為橫軸，真陽率(true positive rate,TPR)作為縱軸，隨著輸出概率閾值變化生成連續(xù)ROC曲線，如式(2)：

(2)

式中,AUC定義即是ROC曲線下的積分面積。本文對于模型輸出的0、1、2類分別進行ROC曲線及AUC計算[14-15]，如圖3所示。

圖3 Boost-Bagging交叉融合模型ROC曲線

圖3中可明顯表明該模型對高風險行為預警有著非常優(yōu)秀的效果，同時對于中等風險及無風險行為均有良好的識別效果。從圖3中可知，若想取得準確率與召回率的平衡，本文第三節(jié)中的TH閾值應當在0.3～0.4左右。

同時，為證明本文所提Boost-Bagging交叉融合模型效果，本文采用五折交叉驗證方法分別訓練原始CatBoost模型與隨機森林模型進行消融實驗，結(jié)果如表2所示。

表2 模型消融實驗效果表

由表2可知，本文所提出的Boost-Bagging模型在電網(wǎng)調(diào)度系統(tǒng)中對權限風險行為識別有著最佳的表現(xiàn)結(jié)果。

5 總結(jié)

本文在調(diào)控云權限管理系統(tǒng)的一般基于功能的RBAC權限管理模型基礎上，提出了能夠?qū)⒐芾頇嘞藜毣翑?shù)據(jù)原子粒度的DMBAC權限控制模型，模型提出數(shù)據(jù)管理員概念，有效解決了當前電網(wǎng)多級調(diào)控中心大數(shù)據(jù)權限管控的問題。本文針對DMBAC模型管理員角色的操作行為特征進行了量化分析，并提出了Boost-Bagging權限使用風險識別預警模型，從而實現(xiàn)管理員權限的使用進行自動監(jiān)管。本文所提出的權限控制方法解決了從權限分配到管理員使用全階段流程的管控，使得權限使用風險可以得到有效監(jiān)管，具有重大的實際意義，可以預見未來在國家電網(wǎng)調(diào)度一體化進程中有著廣闊的應用前景。