Role mining sensible à l'accumulation de privilèges

Le Role Mining (RM) extrait des structures de contrôle d’accès fondées sur des rôles (RBAC) à partir des attributions de permissions aux utilisateurs afin de réduire la charge administrative. Cependant, les approches existantes partent généralement du principe que les ensembles de données utilisées pour miner des rôles sont propres, alors que les systèmes réels souffrent d’anomalies telles que l’accumulation de privilèges, aussi appelé privilege creep. L’approche proposée vise à détecter les utilisateurs susceptibles d’être concernés par l’accumulation de privilèges et qui doivent être examinés en priorité, ainsi qu’à identifier les attributions de permissions légitimes à exprimer en RBAC, réduisant ainsi la complexité de la gestion. Cette approche consiste en une procédure à deux étapes : nettoyer la matrice d’assignation des permissions utilisateur (UPA) à l’aide de clustering et d’une analyse statistique, puis construire un état RBAC à l’aide d’un algorithme de role mining classique. L’approche proposée permet d’obtenir une précision moyenne de 90 % dans la détection de l’accumulation des privilèges et une correction de plus de 95 % de l’accumulation des privilèges, évaluée sur des jeux de données synthétiques. L’évaluation sur des jeux de données réels montre une réduction moyenne d’un facteur 4 des rôles requis tout en conservant une couverture de la matrice User-Permission Assignment matrix (UPA) d’au moins 80 %.

Abstract

Role Mining (RM) extracts Role-Based Access Control (RBAC) structures from userpermission assignments to reduce administrative overhead. However, existing approaches generally assume that the datasets used for mining roles are clean, while real systems suffer from anomalies like privilege creep (PC), the gradual accumulation of outdated permissions, permissions that should have been revoked. My approach aims to detect users affected by privilege creep for prioritized access review, while identifying legitimate permission assignments that can be expressed in RBAC, thereby reducing management complexity. This approach consists of a two-step procedure: cleaning the User-Permission Assignment (UPA) matrix using clustering and statistical analysis, then constructing an RBAC state using a conventional role mining algorithm. The proposed approach achieves an average accuracy of 90% in detecting privilege creep and is able to correct over 95% of privilege creep instances, as evaluated on synthetic datasets. The evaluation on real-world datasets shows an average reduction by a factor of 4 in the required roles while maintaining a UPA matrix coverage of at least 80%. This reduction in role count is comparable to or exceeds the performance of established methods such as delta RMP for the datasets evaluated.