角色挖掘是构建RBAC系统的常用方法,但目前的角色挖掘方案在设计 时未考虑原始系统存在异常权限配置问题,导致角色挖掘的结果可能包含错误的角色 权限配置,给系统带来极大的安全风险。针对该问题,文章提出一种异常权限配置下 的角色挖掘方案。首先在用户聚类部分引入Canopy预聚类,通过预聚类提取子集交 叠数据,缩小后续谱聚类计算量;然后结合预聚类结果优化谱聚类的初始值选取,并 针对访问控制数据由布尔值表示的特点,采用杰卡德距离和汉明距离相结合的方式对 Canopy预聚类和谱聚类的距离进行度量,提高用户聚类效果;最后对异常权限配置检 测规则进行细化,利用修正后的用户聚类结果进行角色挖掘。实验结果表明,该方案 能够有效发现异常权限配置,提高角色挖掘效率。