Um Método para Extração e Refinamento de Políticas de Acesso baseado em Árvore de Decisão e Algoritmo Genético
Resumo
O controle de acesso baseado em atributos (ABAC) está cada vez mais popular. No entanto, sua adoção possui uma série de desafios a serem enfrentados. Dentre eles, a definição e manutenção das políticas de acesso se mostra como um dos maiores desafios, pois essas são tarefas complexas. Este artigo propõe um método de mineração de políticas que utiliza registros de acesso para simplificar o processo de criação e manutenção de políticas de acesso no ABAC. A proposta utiliza um algoritmo de aprendizado de máquina supervisionado para gerar uma árvore de decisão, que será utilizada para identificar padrões presentes no registro e gerar uma política de acesso. Esse trabalho também apresenta um método de refinamento das políticas através de um algoritmo genético que insere distorções controladas na política para melhorar os resultados da política. A avaliação foi realizada com dados sintéticos e reais. Os resultados mostram que o método proposto é capaz de gerar políticas corretas, com uma acurácia 10% superior em relação ao estado da arte. Os autores agradecem o apoio da UFPR e auxílio financeiro do CNPq e da CAPES, processo número 426701/2018-6, 313844/2020-8 e 432204/2018-0.
Referências
Amazon (2013). Amazon.com Employee Access Challenge. https://www.kaggle.com/c/amazon-employee-access-challenge/. [Último acesso em 21/02/2021].
Bui, T. and Stoller, S. D. (2020). Learning attribute-based and relationship-based access control policies with unknown values. In Int. Conf. on Information Systems Security, pages 23–44.
Cotrini, C., Weghorn, T., and Basin, D. (2018). Mining abac rules from sparse logs. In IEEE European Symposium on Security and Privacy (EuroS&P), pages 31–46.
Ding, S. and Ma, M. (2021). An attribute-based access control mechanism for blockchain-enabled internet of vehicles. In Advances in Computer, Communication and Computational Sciences.
Hu, V. C., Ferraiolo, D., Kuhn, R., Friedman, A. R., Lang, A. J., Cogdell, M. M., Schnitzer, A., Sandlin, K., Miller, R., Scarfone, K., et al. (2013). Guide to attribute based access control (abac) denition and considerations (draft). NIST special publication, 800(162).
Iyer, P. and Masoumzadeh, A. (2018). Mining positive and negative attribute-based access control policy rules. In ACM on Symposium on Access Control Models and Technologies.
Kramer, O. (2017). Genetic algorithms. In Genetic algorithm essentials, pages 11–19. Springer. Lu, H., Vaidya, J., and Atluri, V. (2008). Optimal boolean matrix decomposition: Application to role engineering. In IEEE 24th Int. Conf. on Data Engineering, pages 297–306.
Medvet, E., Bartoli, A., Carminati, B., and Ferrari, E. (2015). Evolutionary inference of attributebased access control policies. In Int. Conf. on Evolutionary Multi-Criterion Optimization.
Pedregosa, F., Varoquaux, G., Gramfort, A., Michel, V., Thirion, B., Grisel, O., Blondel, M., Prettenhofer, P., Weiss, R., Dubourg, V., et al. (2011). Scikit-learn: Machine learning in python. the Journal of machine Learning research, 12:2825–2830.
Qiu, J., Tian, Z., Du, C., Zuo, Q., Su, S., and Fang, B. (2020). A survey on access control in the age of internet of things. IEEE Internet of Things Journal, 7(6):4682–4696.
Samarati, P. and de Vimercati, S. C. (2000). Access control: Policies, models, and mechanisms. In International School on Foundations of Security Analysis and Design, pages 137–196. Springer.
Talukdar, T., Batra, G., Vaidya, J., Atluri, V., and Sural, S. (2017). Efficient bottom-up mining of attribute based access control policies. In Int. Conf. on Collaboration and Internet Computing.
Thengade, A. and Dondal, R. (2012). Genetic algorithm–survey paper. In MPGI.
Umadevi, S. and Marseline, K. J. (2017). A survey on data mining classification algorithms. In Int. Conf. on Signal Processing and Communication, pages 264–268.
Xu, Z. and Stoller, S. D. (2014). Mining attribute-based access control policies. IEEE Transactions on Dependable and Secure Computing, 12(5):533–545.
Zhu, Y., Huang, D., Hu, C.-J., and Wang, X. (2014). From rbac to abac: constructing exible data access control for cloud storage services. IEEE Transactions on Services Computing.