确保数据安全共享是广泛应用大数据技术的前提。基于属性的访问控制(ABAC)根据实体固有的属性和环境属性进行权限判决,可以有效适应大数据环境实体数量多、动态加入、权限复杂多变的特点。但是大数据环境具有属性来源复杂、权限关联关系庞大等特点,难以获取用以决策的属性集和策略集,难以对策略进行验证与更新。本文针对大数据环境的属性优化、策略挖掘、策略演化等关键问题进行研究,完成了如下工作:1.提出了基于ABAC的大数据访问控制框架。针对大数据环境下实体多、动态加入退出、访问控制需求复杂等特点,选用基于属性的访问控制模型提供多粒度、强动态的访问控制。针对大数据环境下授权属性集构建、策略集构建、策略验证与更新困难等关键问题,对基础ABAC进行了扩展,添加属性优化模块、策略挖掘模块和策略演化模块;然后对框架中各组件的任务和功能进行了定义,对框架的工作流程进行了介绍。2.提出了一种基于权限聚类的实体属性值优化方法。针对大数据环境下实体属性来源复杂、标定质量难以保证的问题,将实体根据与其关联的权限信息聚类,从而为基于粗糙集理论的属性值约简与修正提供高质量的实体划分;然后基于属性值关于实体聚类的分布合并具有相同分布的冗余值,接着以粗糙集中定义的属性集对于实体聚类标签的支持度为评价标准,验证出现频率低于该属性所有值平均出现频率的值是否可以修改为其他值,完成属性值的修正。最后通过UCI公开数据集验证了该算法对于策略挖掘效果的提升。3.提出了一种基于日志的富语义ABAC策略挖掘方法。针对大数据环境下实体数量多、权限关联关系复杂、难以构建策略集的问题,提出了一种基于日志的策略挖掘方法。使用实体满足的属性约束来对日志进行扩展,利用频繁模式挖掘算法挖掘频繁共现的属性约束组成候选授权规则集合,而后基于准确度质量度量标准选择正确率高、过度授权风险小的规则子集,基于语义质量度量标准选择语义质量高的规则子集,基于贪心方法选择与筛选后的规则子集等价的最小规则集。最后分别在手写数据集和公开数据集上对算法进行了验证,实验结果显示所提算法相较于已有方法在F1得分等指标上有较大提升;在手写数据集上验证了所挖掘的策略在语义方面的提升。4.提出了一种基于增量学习的ABAC策略演化方法。针对大数据环境下权限关联关系复杂、访问需求多变,难以对策略集进行验证更新的问题,在日志中添加主体的行为明细,将授权规则对应日志子集的行为明细输入增强自组织增量神经网络学习该授权规则下的行为类。从而将日志子集按学习到的行为类划分,利用关联规则挖掘算法挖掘原规则在各行为类下的子规则。然后统计子规则覆盖的行为明细的范围,为子规则添加行为特征的约束,对授权规则指定的权限作进一步细化,并随着访问需求改变而不断修正,降低系统的过度授权风险,降低来自内部的安全威胁。