Role mining for industrial-strength ERP systems using evolutionary algorithms

Abstract

The security of IT systems used by companies or organizations, in which multiple users share access to common resources, are nowadays exposed to more threats than ever before. On the one hand, they need to be protected from external attacks, like malware and phishing. On the other hand, internal threats, like fraud or erroneous behavior of employees, cause for huge financial damage and must be addressed accordingly by the application of thorough authorization management and access control mechanisms. One widely used approach is Role Based Access Control (RBAC). Instead of assigning a permission, which corresponds to the authorization to perform an operation on an data or business object, to users directly, permissions are grouped into roles which are then assigned to users. The corresponding optimization problem, which aims at finding a minimal set of such roles, is called the Role Mining Problem (RMP). Its decision version was shown to be NP-complete. One area in which RBAC is frequently used are Enterprise Resource Planning (ERP) systems, which are multi-user IT systems specifically designed to support the business processes of a company or any other organization. In literature, some solution strategies for the RMP have already been introduced. However, when aiming to mine roles for industrial-strength ERP systems, a range of challenging requirements has to be considered: In contrast to the typical role mining scenarios found in literature, where only one role level is considered, the ERP system of the market leader SAP supports two role levels, so that established single-level role mining approaches are not applicable. Typically, the assignments of permissions to users are assumed to be fixed over time. In real-world use cases, however, employees change positions and departments, join or leave a company, such that the assignment of permissions to users are subject to changes over time. Furthermore, users of role mining software should be given the possibility to interact with the role mining software in order to include their expert knowledge. This leads to additional events, which have to be included into role mining during the runtime of the optimization process. Another practical requirement is the integration of further evaluation criteria for role concepts, such as their adherence to compliance rules or associated license costs. It is therefore necessary to consider the RMP as a multiobjective optimization problem. The goal of this thesis is to describe the requirements and challenges of role mining in the context of ERP systems and to presents possible approaches and solution strategies. For this purpose, in a first step, a formal model of the RMP is established. Based on that, a conversion procedure is developed to convert data available in ERP systems into suitable input for role mining. Special focus is placed on the description of a new evolutionary role mining algorithm to search for good solutions of the RMP, the addRole-EA, and its adaption to the various practical requirements. Furthermore, suitable benchmarks are created, in order to evaluate the proposed methods in a range of experiments.

Die Sicherheit der IT-Systeme von Unternehmen oder Organisationen, in welchen mehrere NutzerInnen Zugriff auf gemeinsame Ressourcen haben, ist heute mehr Bedrohungen ausgesetzt als jemals zuvor. Einerseits müssen sie vor Angriffen von außen, wie Malware und Phishing, geschützt werden. Andererseits verursachen interne Bedrohungen, wie Betrug oder fehlerhaftes Verhalten von MitarbeiterInnen, enorme finanzielle Schäden. Diese müssen entsprechend durch ein umfassendes Berechtigungsmanagement sowie geeignete Maßnamen zur Zugriffskontrolle addressiert werden. Ein weit verbreiteter Ansatz ist die rollenbasierte Zugriffskontrolle (Role Based Access Control (RBAC)). Anstatt den NutzerInnen der IT-Systeme direkt Berechtigungen zuzuweisen, werden diese in Rollen gruppiert. Die entstehenden Rollen werden dann den NutzerInnen zugewiesen. Das entsprechende Optimierungsproblem, das darauf beruht, eine minimale Menge von Rollen zu finden, wird als Role Mining Problem (RMP) bezeichnet. Es wurde gezeigt, dass die zugehörige Entscheidungsvariante NP-vollständig ist. Ein Bereich, in dem RBAC häufig eingesetzt wird, sind Enterprise Resource Planning (ERP) Systeme, welche mehrere NutzerInnen umfassen und speziell für die Unterstützung der Geschäftsprozesse eines Unternehmens oder einer anderen Organisation entwickelt wurden. In der Literatur sind bereits einige Lösungsstrategien für das RMP vorgestellt worden. Bei der Suche nach Rollen für industrielle ERP-Systeme müssen jedoch eine Reihe anspruchsvoller Anforderungen berücksichtigt werden: Im Gegensatz zu den in der Literatur beschriebenen Role-Mining-Szenarien, in denen meist nur eine Rollenebene betrachtet wird, unterstützt das ERP-System des Marktführers SAP zwei Rollenebenen, sodass etablierte einstufige Role-Mining-Ansätze nicht anwendbar sind. Zudem wird in der Regel davon ausgegangen, dass die Zuweisung von Berechtigungen zu NutzerInnen im Laufe der Zeit unverändert bleibt. In der Praxis wechseln MitarbeiterInnen jedoch Positionen und Abteilungen, treten in ein Unternehmen ein oder verlassen dieses, sodass die Zuweisung von Berechtigungen zu NutzerInnen stetig Änderungen unterliegt. Darüber hinaus sollte den NutzerInnen von Role Mining Software die Möglichkeit gegeben werden, mit der Software zu interagieren, um ihr Expertenwissen einzubringen. Dies verursacht ein dynamisches Auftreten von Events, die während der Laufzeit des Optimierungsprozesses in das Role Mining einbezogen werden müssen. Eine weitere Praxisanforderung ist die Integration zusätzlicher Bewertungskriterien für Rollenkonzepte, wie zum Beispiel die Einhaltung von Compliance-Regeln oder deren Lizenzkosten. Es ist daher notwendig, das RMP als ein multikriterielles Optimierungsproblem zu betrachten. Ziel dieser Arbeit ist es, die Anforderungen und Herausforderungen des Role Mining im Kontext von ERP-Systemen zu beschreiben und mögliche Ansätze und Lösungsstrategien vorzustellen. Hierzu wird zunächst ein formales Modell des RMP eingeführt. Darauf aufbauend wird ein Verfahren entwickelt, um in ERP-Systemen vorhandene Daten in geeigneten Input für das Role Mining umzuwandeln. Besonderes Augenmerk gilt der Beschreibung eines neuen evolutionären Role Mining Algorithmus, dem addRole-EA, und dessen Anpassung an die verschiedenen Praxisanforderungen. Zusätzlich werden geeignete Benchmarks erstellt, um die vorgeschlagenen Methoden in einer Reihe von Experimenten zu bewerten.