基于调控云的数据权限控制研究

胡常举, 刘一田

(南京南瑞信息通信科技有限公司, 江苏，南京 210003)

0 引言

随着计算机技术与互联网技术的发展，我国电网正处于电网调度一体化[1]运行的逐步实施和调度系统集成化程度的提升阶段，这对调度系统权限控制提出了更高的要求。当前互联网后台系统权限控制模型普遍采用简单的功能级别权限控制，如基于角色的访问控制模型(role-based access control,RBAC)。模型通过将权限与角色相匹配的方式，为用户选择适当的角色即可完成权限分配工作，拥有原理简单、可操作性强的特点。但随着电网调度一体化的进一步发展，使得基于功能的权限分配粒度过粗，随着大量数据在不同层级调控中心流转，单纯基于功能的权限分配方法容易出现越级访问数据的问题，已不能满足当前电网调度的需求，亟待数据原子粒度的权限控制方法。本文在当前大数据治理与人工智能发展的现状下，首先提出了基于数据管理员的数据权限访问控制(data manager based data access control，DMBDAC)模型。模型引入数据管理员的概念，针对不同层级的用户，使用数据管理员确定其在当前层级内可操作的权限资源，解决传统 RBAC 模型无法按数据划分权限的问题，为权限管理系统提供了一套完善的权限数据管理机制。

同时,本文发现当前电网调度系统存在各级管理员权限使用风险分析缺失的现状，而在当前国内外研究中已有广泛针对行为管理的风险研究。研究主要集中于评估基于用户操作的风险等级及风险概率。如北京邮电大学陈文波[2]提出了基于机器学习的Android应用的风险行为分析模型，通过机器学习与反编译手段结合，能够智能判断用户使用应用时对敏感权限的危险使用行为，提供敏感权限使用预警。在金融界对于行为风控模型的研究中，英国金融创业公司Monzo通过构建深度学习模型，通过对交易双方特征提供基于行为的风险概率分析，从而阻止涉嫌诈骗的交易[3]。在工业领域方面，武汉理工大学的董良雄等[4]对于船舶设备生产环节中出现的风险采用BP神经网络进行基于行为的风险等级划分，使得生产风险可以得到明确预警。

综上，基于行为的风险管控模型在各行业中均有广泛应用。本文在国内外研究基础上创新性将风控模型应用于权限管理中，提出基于管理员权限使用特征的风控模型Boost-Bagging，以减少风险的权限操作行为。基于本文提出的Boost-Bagging交叉融合模型，针对管理员操作的IP、MAC、时间等使用行为特征进行分析，从而做到管理员权限使用的风险行为监控。最终形成了包含权限分配、使用的全流程管控，实现了现代化的基于调控云的权限控制系统。

1 DMBDAC模型的实现原理

在调控云的权限管理系统中，不同层级的用户所能看到和管理的数据各不相同，为了满足权限分级管理需求，本文基于RBAC模型提出了DMBDAC模型。在DMBDAC模型中可以把用户在权限管理系统中具有的权限分成两种：一种是页面和接口权限;一种是具体的权限数据资源。基于数据管理员的数据权限访问控制模型[5-7]如图1所示。用户的权限控制分为两种：一种是通过角色控制具体的页面访问和接口调用;一种是通过数据管理员控制页面内可访问的数据，包括角色资源数据、菜单资源数据和功能资源数据。通过角色具有的资源控制页面访问的方式与传统RBAC模型中相同，所有的页面和接口资源访问控制入口是角色，若让用户具有某些页面资源或者接口的访问权限，则需要将菜单(即页面资源)和功能(即授权资源，包括页面资源的按钮、系统对外提供的服务接口等)授权给角色，然后将角色授权给用户，这样用户就具有了访问权限管理系统某个页面的权限和操作页面内某些按钮的权限。

为了更好地满足不同层级用户进行权限管理的需求,避免可能造成的越级操作，在DMBDAC模型中引入数据管理员的概念。将角色、菜单、功能这些权限数据资源分配给某个数据管理员，则该数据管理员具有了操作这些权限数据资源的权限，包括修改、删除、授权等。数据管理员可以被授予用户，一个用户可根据实际需要被授予一个或者多个数据管理员，保证了用户在权限管理系统中只能操作数据管理员具有访问权限的数据资源。DMBDAC模型中，不同层级的数据权限各不相同，真正实现权限数据分级控制，满足调控云权限管理系统分级管理的需求，提高了权限控制的易用性和安全性。

2 管理员行为特征量化分析与预处理

在上一节完成了DMBAC模型的设计之上，本节针对各级管理员在权限使用期间所产生的行为特征进行量化分析，并加入数据的预处理，作为机器学习模型的数据支持。

首先，在电网调度系统中由于主机IP通常为固定MAC地址与固定IP绑定，采用静态IP方式进行组网，因此IP及MAC地址也是重要的行为分析特征。在本文设计的DMBAC模型基础上，结合实际业务使用场景，兼顾切实可行与易于操作的需要，形成了表1所示的管理员行为特征量化表，以综合评估行为的风险行为[8-10]。

表1 管理员行为特征量化表

表1中通过采集管理员登录或权限操作时间、IP、MAC地址形成量化结果，数据获取简单可行，特征量化均来源于实际业务，表中特征均有着较强的可解释性。参考金融领域的风控模型可知，诸如文化水平、收入水平、人际关系等个人情况亦可以影响到管理员操作水平，但此类特征解释性不强的同时，采集此类数据涉及个人隐私，可行性亦较低，因此本文仅使用易于从实际生产活动中获取的行为特征而非用户画像特征进行风险预测评估[11-13]。在表1确定的行为特征量化基础上，本文通过人工操作采集与规则生成方法生成本文的实验数据，其中规则生成方法采用专家分析法分析相应规则，并在规则下生成一定规模数据。因本文所提出的风险预警模型是对行为是否为风险行为进行推理判断，因此实验数据需召回分析，由此将实验数据中部分人工操作数据设定为测试集，训练集与测试集比例为4∶1，以充分评估风控模型预测正确率。

3 Boost-Bagging交叉融合模型

经过管理员行为特征量化之后，行为特征转化为可分析的数据维度特征。本节提出了基于CatBoost与随机森林融合的风险行为识别预警模型Boost-Bagging。Boost-Bagging交叉融合模型结构如图2所示。图2中，首先将量化特征各维度拼接为原始行为特征矩阵作为数据集。根据K折交叉验证原理，将训练数据集分为5份(即K=5)，每次选出1份作为验证集，其余4份作为训练集，使用5个CatBoost模型训练原始数据。CatBoost算法作为梯度下降迭代决策树(gradient boosting decision tree,GBDT)的优化方法，采用了对称决策树，对于类别变量无需进行非数值特征预处理，且算法鲁棒性高。其原理为采用决策树首先对原始数据进行训练，然后对于未拟合残差部分对比训练标签取得残差项后，由下一个决策树训练拟合残差项，实现逐步的残差拟合，起到强学习机能力不低于其中任意弱学习机的保证作用。随后，5个CatBoost模型将分别预测的结果输出后，拼接为五维的中间矩阵，中间矩阵中0表示非风险行为、1表示中风险行为、2表示高风险行为。在形成中间输出结果后，由随机森林的Bagging算法进行有放回的抽样方式训练多个决策树，进行投票。投票公式如式(1)：

图2 Boost-Bagging交叉融合模型

(1)

式中，Rfinal表示Boost-Bagging算法的最终结果输出，来源于随机森林分析结果。随机森林中通常通过投票形式选择最多值作为输出，但在风控系统中仍需添加基于专家分析的阈值以减少系统误报或漏报率，因此式1采用了TH阈值设计，低于阈值的投票表决结果将被否决，变为0即非风险行为。该模型充分结合了当前前沿的机器学习成果与人性化的交互设置，使得机器学习结果充分可控。

4 实验分析与可视化展示

模型训练完成后采用划分测试集进行效果验证。通过上述模型设计可知，本文所提出的Boost-Bagging交叉融合模型使用带有阈值的投票方法，使得模型可获取ROC曲线及AUC作为结果呈现。每一分类ROC曲线以该分类假阳率(false positive rate,FPR)作为横轴，真阳率(true positive rate,TPR)作为纵轴，随着输出概率阈值变化生成连续ROC曲线，如式(2)：

(2)

式中,AUC定义即是ROC曲线下的积分面积。本文对于模型输出的0、1、2类分别进行ROC曲线及AUC计算[14-15]，如图3所示。

图3 Boost-Bagging交叉融合模型ROC曲线

图3中可明显表明该模型对高风险行为预警有着非常优秀的效果，同时对于中等风险及无风险行为均有良好的识别效果。从图3中可知，若想取得准确率与召回率的平衡，本文第三节中的TH阈值应当在0.3～0.4左右。

同时，为证明本文所提Boost-Bagging交叉融合模型效果，本文采用五折交叉验证方法分别训练原始CatBoost模型与随机森林模型进行消融实验，结果如表2所示。

表2 模型消融实验效果表

由表2可知，本文所提出的Boost-Bagging模型在电网调度系统中对权限风险行为识别有着最佳的表现结果。

5 总结

本文在调控云权限管理系统的一般基于功能的RBAC权限管理模型基础上，提出了能够将管理权限细化至数据原子粒度的DMBAC权限控制模型，模型提出数据管理员概念，有效解决了当前电网多级调控中心大数据权限管控的问题。本文针对DMBAC模型管理员角色的操作行为特征进行了量化分析，并提出了Boost-Bagging权限使用风险识别预警模型，从而实现管理员权限的使用进行自动监管。本文所提出的权限控制方法解决了从权限分配到管理员使用全阶段流程的管控，使得权限使用风险可以得到有效监管，具有重大的实际意义，可以预见未来在国家电网调度一体化进程中有着广阔的应用前景。