張尚韜

(福建信息職業(yè)技術(shù)學(xué)院，福建福州350003)

網(wǎng)格［1］是由很多計算機組成的一個集成的計算與資源環(huán)境，或者說是一個計算資源池，它能夠充分吸納各種計算資源，并將其轉(zhuǎn)化成一種隨處可得的、標準的、可靠的和經(jīng)濟的計算能力，從而實現(xiàn)資源的全面連通.同時，可以把這個計算資源池形象地比作一個虛擬的超級計算機，讓資源池內(nèi)的所有計算機共同完成同一個任務(wù).

違規(guī)行為事件的責(zé)任認定，傳統(tǒng)手段是通過查閱系統(tǒng)操作日志、應(yīng)用程序的操作日志、調(diào)用數(shù)據(jù)庫的操作日志、審計其他設(shè)備的操作日志來反映正常操作行為和違規(guī)操作行為的責(zé)任認定問題.本文中涉及的違規(guī)行為事件責(zé)任認定主要是對網(wǎng)格環(huán)境中的違規(guī)行為，而這些違規(guī)行為主要記錄在網(wǎng)格系統(tǒng)的日志文件中，但由于各種操作系統(tǒng)日志、Web服務(wù)器日志、數(shù)據(jù)庫日志、主機性能數(shù)據(jù)和SNMP(Simple Network Management Protocol，簡單網(wǎng)絡(luò)管理協(xié)議)日志數(shù)量巨大，并且對于不同的協(xié)議將記錄不同的信息，所以在很大程度上，這些分散的、凌亂的信息在工作中很難被有效地用來進行責(zé)任認定，也一直是整個信息安全建設(shè)中的一個軟肋.因此，在對日志數(shù)據(jù)庫中的日志信息進行違規(guī)事件責(zé)任認定之前，必須對日志信息進行相關(guān)的處理，生成適于事件責(zé)任認定的形式.

1 日志數(shù)據(jù)處理

日志文件通常包括:用戶名、IP地址、請求的日期時間、事件ID、訪問結(jié)果(成功、失敗或錯誤)、客戶瀏覽器類型/操作系統(tǒng)和文件大小等.日志數(shù)據(jù)處理就是對日志數(shù)據(jù)進行清理、過濾以及重新組合的過程.其目的是去除日志中對挖掘過程無用的屬性及數(shù)據(jù)，并將日志數(shù)據(jù)轉(zhuǎn)化為適合于違規(guī)行為事件責(zé)任認定的、可靠的、精確的數(shù)據(jù).處理過程主要包括如下幾個方面:

1)數(shù)據(jù)轉(zhuǎn)換 將不同數(shù)據(jù)源的原始日志文件導(dǎo)入日志數(shù)據(jù)庫;

2)數(shù)據(jù)精簡 刪除日志中與數(shù)據(jù)挖掘不相關(guān)的冗余項;

3)用戶識別 將用戶與操作行為相關(guān)聯(lián).

歸納常見日志文件格式，數(shù)據(jù)處理后的日志格式如表1所示.

表1 數(shù)據(jù)處理后的日志文件格式

表1中，日期、時間項記錄了操作的準確時間，用戶項記錄了操作的主體，IP地址項記錄了操作主機使用的IP地址，事件ID項記錄了操作的內(nèi)容(例如，表1中129表明報表服務(wù)器無法解密已加密的配置文件設(shè)置;681表明有人用未知的用戶名進行了域登錄嘗試，或者用已知的用戶名進行了登錄域，但密碼不正確;685表示賬戶名更改)，類型項記錄了該日志信息的類別(信息、警告、錯誤)，備注項是可選項，用于對記錄的日志進行補充說明(例如，在記錄電子郵件日志時，可以在備注中表明目的IP地址、郵件主題等信息).

2 責(zé)任認定算法研究

對于網(wǎng)格環(huán)境中違規(guī)行為事件的責(zé)任認定，主要采用聚類分析算法對日志數(shù)據(jù)庫中的日志信息進行聚類，然后運用關(guān)聯(lián)規(guī)則算法，找出用戶的正常/違規(guī)行為模式，將用戶當(dāng)前行為與正常/違規(guī)行為模式進行相似度比較，發(fā)現(xiàn)違規(guī)行為事件，進行責(zé)任認定.下面分別介紹2種算法.

2.1 日志聚類分析算法 聚類［2－3］是把整個數(shù)據(jù)庫分成不同的群組，它要求群與群之間差別很明顯，而同群之間的數(shù)據(jù)盡量相似.所謂類，通俗地說，就是指相似元素的集合.換句話說，如果將含有n個樣本x1，x2，…，xn的數(shù)據(jù)集 X 聚集成 c個子類 X1，X2，…，Xc，則要求

聚類就是根據(jù)描述對象的屬性值計算得出的相異度，將數(shù)據(jù)對象分組成為多個類或簇，在同一個簇中的對象之間具有較高的相似度，而不同簇中的對象差別較大.聚類分析中用到的數(shù)據(jù)類型有:

1)數(shù)據(jù)矩陣［4－5］設(shè)有n個樣品，每個樣品測得p項指標(變量)，原始資料矩陣為

其中，xij(i=1，…，n;j=1，…，p)為第i個樣品的第j個指標的觀測數(shù)據(jù).第i個樣品Xi為矩陣X的第i行所描述，所以任何2個樣品Xk與Xi之間的相似性，可以通過矩陣X中的第k行與第i行的相似程度來刻畫;任何2個變量xk與xi之間的相似性，可以通過第k列與第i列的相似程度來刻畫.

2)相似性度量 對象間的相似性是基于對象間的距離來計算，最常用的距離度量方法是明氏(Minkowski)距離［6］、馬氏(Mahalanobis)距離［7］、蘭氏(Canberra)距離等.

3)相似系數(shù) 研究樣品之間的關(guān)系，除了使用距離表示外，還有相似系數(shù).顧名思義，相似系數(shù)是描寫樣品之間相似程度的量，常用的相似系數(shù)有夾角余弦和相關(guān)系數(shù).

本文中對日志數(shù)據(jù)庫中的日志信息進行聚類分析時采用的思路是:

給定一個有N條記錄的數(shù)據(jù)集，將其構(gòu)造成M個分組，每一個分組就代表一個聚類，M＜N.而且這M個分組滿足下列條件:

1)每一個分組至少包含一條數(shù)據(jù)紀錄;

2)每一條數(shù)據(jù)紀錄屬于且僅屬于一個分組;

3)對于給定的M，算法首先給出一個初始的分組方法，以后通過反復(fù)迭代的方法改變分組，使得每一次改進之后的分組方案都較前一次好.好的標準就是同一分組中的記錄越近越好，而不同分組中的紀錄越遠越好，即各聚類本身盡可能的緊湊，而各聚類之間盡可能的分開.

算法過程為:首先從日志數(shù)據(jù)庫中選擇M個有代表性的數(shù)據(jù)對象(訪問模式、IP地址、用戶名)作為初始聚類中心，而對于所剩下其他對象，則根據(jù)它們與這些聚類中心的相似度(距離)，分別將它們分配給與其最相似的聚類;然后再計算每個所獲新聚類的聚類中心(該聚類中所有對象的均值);不斷重復(fù)這一過程直到標準測度函數(shù)(即迭代結(jié)果)開始收斂為止.

2.2 關(guān)聯(lián)規(guī)則責(zé)任認定算法 關(guān)聯(lián)規(guī)則［8－9］數(shù)據(jù)挖掘就是從大量的數(shù)據(jù)中挖掘出有價值的描述數(shù)據(jù)項之間相互聯(lián)系的有關(guān)知識［10］.關(guān)聯(lián)規(guī)則相關(guān)定義為:

1)數(shù)據(jù)項與數(shù)據(jù)項集 設(shè)I={I1，I2，…，In}是n個不同項目的集合，Ik(k=1，…，n)稱為數(shù)據(jù)項(I-tem)，數(shù)據(jù)項的集合I稱為數(shù)據(jù)項集(Item set)，簡稱項集，其元素個數(shù)稱為數(shù)據(jù)項集的長度，長度k的數(shù)據(jù)項集，簡稱k－項集(k-Item set).

2)事務(wù) 事務(wù)T(Transaction)是數(shù)據(jù)項集I上的一個子集，即T?I，每個事務(wù)均有一個惟一的標示符TID與之關(guān)聯(lián)，那么二元組(TID，T)為數(shù)據(jù)庫事務(wù).一般情況下，簡單表示為T，不同事物的全體構(gòu)成了全體事務(wù)集D，即事務(wù)數(shù)據(jù)庫.

3)關(guān)聯(lián)規(guī)則 設(shè)I={I1，I2，…，In}是所有項的集合，D是一組事務(wù)集.D中的每個事務(wù)T是一個項的集合，并且滿足T?I.如果項集合X?I且X?T，就稱事務(wù)T包含X.則關(guān)聯(lián)規(guī)則是下面形式的一種包含:X?Y，其中 X?I，Y?I，且 X∩Y= φ.

4)支持度 關(guān)聯(lián)規(guī)則X?Y在事務(wù)集合D中成立，則具有支持度s，其中s是D中事務(wù)包含X∪Y的百分比，它等于D中同時包含X和Y的事務(wù)個數(shù)與D中包含X的事務(wù)個數(shù)之比，即概率P(X∪Y).

5)置信度 規(guī)則X?Y在事務(wù)D中的置信度c為D中包含X的事務(wù)個數(shù)與D中同時包含X和Y的事務(wù)個數(shù)之比，即條件概率P(X|Y).即

在關(guān)聯(lián)規(guī)則R中，R=X?Y，R的支持度s，置信度c成立的條件是

6)頻繁項集 如果項集U={u1，u2，…，um}出現(xiàn)的概率大于最小支持基數(shù)min_sup，即滿足最小支持度閾值，則稱它為頻繁項集(Frequent Item set)，頻繁k－項集的集合通常記為Lk.

關(guān)聯(lián)規(guī)則挖掘是數(shù)據(jù)挖掘最常用的方法，為了發(fā)現(xiàn)有意義的關(guān)聯(lián)規(guī)則，需要給定2個閾值，分別是最小支持度和最小置信度，關(guān)聯(lián)規(guī)則的目標是對給定的一個事務(wù)數(shù)據(jù)庫D，求出所有滿足最小支持度min_sup和最小置信度min_conf的關(guān)聯(lián)規(guī)則.關(guān)聯(lián)規(guī)則的查找可以分為以下步驟:

1)找出頻繁項集 根據(jù)最小支持度min_sup，找出所有具有超出最小支持度的項集;

2)利用頻繁項集找出所需的關(guān)聯(lián)規(guī)則 由給定的最小置信度min_conf，在每個最大頻繁項集中，尋找置信度不小于min_conf的關(guān)聯(lián)規(guī)則.

本文中關(guān)聯(lián)規(guī)則的提取是在聚類分析的基礎(chǔ)上完成的，將經(jīng)過聚類分析后產(chǎn)生的日志信息分組并進行關(guān)聯(lián)規(guī)則提取，找出每一組中存在的關(guān)聯(lián)規(guī)則，然后將發(fā)現(xiàn)的關(guān)聯(lián)規(guī)則存入規(guī)則庫中.以此，總結(jié)出用戶正常行為模式/違規(guī)行為模式，同時，通過關(guān)聯(lián)規(guī)則方法的處理，可以把發(fā)現(xiàn)的正常行為模式/違規(guī)行為模式轉(zhuǎn)化成新的規(guī)則，并添加到規(guī)則庫中，使得規(guī)則集合不斷完善，如此將各種審計數(shù)據(jù)轉(zhuǎn)換成規(guī)則集合中的新規(guī)則，既避免了人工設(shè)置新規(guī)則的繁瑣和人為不確定因素，又避免了數(shù)據(jù)量過大對原始規(guī)則集合不完善性的沖擊.此后，將當(dāng)前行為模式與關(guān)聯(lián)規(guī)則提取后生成的正常行為模式/違規(guī)行為模式進行相似度算法比較，便可以判斷當(dāng)前行為是否是違規(guī)行為，如果是違規(guī)行為事件就對其進行記錄和跟蹤，以作為責(zé)任認定的依據(jù).

3 違規(guī)行為事件責(zé)任認定

本文提出了2種方法來對日志數(shù)據(jù)庫中記錄的信息進行違規(guī)事件責(zé)任認定，一是采用規(guī)則庫的方法發(fā)現(xiàn)存在的違規(guī)行為事件，二是采用關(guān)聯(lián)規(guī)則的方法發(fā)現(xiàn)潛在的違規(guī)行為事件.

3.1 已知違規(guī)行為事件責(zé)任認定 對于已知違規(guī)行為事件的責(zé)任認定采用基于規(guī)則庫審計的方法.該方法需要知道違規(guī)行為的具體知識，將已知的違規(guī)行為進行特征提取，把這些特征用腳本語言等方法進行描述后放入規(guī)則庫中.當(dāng)進行責(zé)任認定時，將收集到的當(dāng)前行為日志信息與這些規(guī)則進行某種比較和匹配(表達式、關(guān)鍵字等)，如果與規(guī)則庫中的規(guī)則一致，則可以判斷出該行為為違規(guī)行為事件，從而發(fā)現(xiàn)違規(guī)行為，并對此違規(guī)行為事件進行記錄和跟蹤，為事后的責(zé)任認定進行取證.這種方法與某些殺毒軟件、防火墻的技術(shù)思路相似，檢測的準確率也相當(dāng)高，可以通過簡單的比較匹配方法過濾大量的不相關(guān)數(shù)據(jù)信息，但是其不足之處在于規(guī)則庫中記錄的規(guī)則一般只針對已知的違規(guī)行為，當(dāng)出現(xiàn)新的違規(guī)行為時，容易產(chǎn)生漏報現(xiàn)象［11］.

3.2 潛在違規(guī)行為事件責(zé)任認定 為了解決基于規(guī)則庫的方法容易產(chǎn)生漏報現(xiàn)象的問題，筆者采用了基于關(guān)聯(lián)規(guī)則的方法發(fā)現(xiàn)潛在的違規(guī)行為事件.該方法主要包括正常行為模式建立和違規(guī)行為事件判斷2個過程.正常行為模式的建立要求一個“純凈”的網(wǎng)格環(huán)境，該環(huán)境中系統(tǒng)在不受任何違規(guī)行為攻擊的情況下運行，以此對產(chǎn)生的“純凈”日志信息采用聚類分析和關(guān)聯(lián)規(guī)則數(shù)據(jù)挖掘算法進行審計，提取正常行為特征，生成正常行為模式，然后將用戶當(dāng)前行為與正常行為模式采用相似度算法進行比較，如果偏差較大，則說明該行為具有違規(guī)的可能.

相似度算法采用加權(quán)的方式將當(dāng)前行為模式與正常行為模式進行比較，加權(quán)的值設(shè)定在［0～1］，如果兩者比較的值越接近1，則說明2種行為模式越相似.與此同時，設(shè)定一個可以接受的相似度值，如果加權(quán)值超過該設(shè)定值，則認為該行為模式為正常行為，如果小于該值則認為該行為具有潛在違規(guī)可能.用表達式可以描述為

其中，CRj表示關(guān)聯(lián)規(guī)則Rj的置信度.

采用關(guān)聯(lián)規(guī)則和相似度算法將當(dāng)前行為模式與正常行為模式進行對比，當(dāng)結(jié)果超過設(shè)定范圍的時候，就認為這些行為具有潛在的違規(guī)行為，這樣既解決了對未知違規(guī)行為的判定，又避免了漏報問題的發(fā)生.

表2是日志數(shù)據(jù)庫中的部分日志信息經(jīng)過統(tǒng)一格式處理后，采用簡單的明氏(Minkowski)距離聚類分析算法計算后生成的日志信息表格，其聚類中心是用戶名xx，然后對其進行關(guān)聯(lián)規(guī)則數(shù)據(jù)挖掘，生成關(guān)聯(lián)規(guī)則，提取正常行為模式，并將當(dāng)前行為模式與正常行為模式進行相似度比較，判斷違規(guī)行為事件，進行責(zé)任認定.

表2 聚類分析后的部分日志信息

為了便于統(tǒng)計，將日期與時間項簡化記錄為A(08:00:00～12:00:00)、P(12:00:00～18:00:00)、E(18:00:00～08:00:00)，因為只是統(tǒng)計上午、下午、晚上，所以日期省略;IP地址簡化記錄為P1(192.168.3.1)、P2(192.168.3.11)，事件 ID項簡化記錄為 I1(528)、I2(530)、I3(540);備注項簡化記錄為 F(失敗)、S(成功)，則經(jīng)過掃描產(chǎn)生候選集C1如下.

A P E P1 P2 I1 I2 I3F S 8 0 3 7 3 5 2 3 2 8

設(shè)最小支持度min_sup=20%，則產(chǎn)生候選集L1如下.

A E P1 P2 I1 I3S 8 3 7 3 5 3 8

同理，產(chǎn)生候選集L2，L3如下，其中S還是表示成功.

(A，P1) (A，I1) (A，I3) (A，S) (P1，I1) (P1，I3) (P1，S) (I1，S) (I3，S)7 4 3 7 5 3 7 5 3(A，P1，I1)(A，P1，I3)(A，P1，S)(A，I1，S)(A，I3，S)4 3 7 4 3

因為A表示(08:00:00～12:00:00)上午，P1表示(192.168.3.1)，I3表示(540)，S表示成功，因此由上表 (A，P1，I3)，(A，P1，S)可以得出，支持度 s分別為 30% 和 70%，(A，P1，I3)產(chǎn)生如下關(guān)聯(lián)規(guī)則

其中，支持度是說明該規(guī)則在所有事務(wù)中有多大的代表性，顯然支持度越高，關(guān)聯(lián)規(guī)則越重要.置信度是說明該規(guī)則的可信性，太低說明該規(guī)則不可信，太高說明存在普遍性.

例 有以下正常行為模式關(guān)聯(lián)規(guī)則

假設(shè)當(dāng)前行為模式R4(R4=R1，當(dāng)前行為R4是正常行為模式的一個子集):A∩B?C與正常行為模式的相似度為(0.45+0.75+0.60)/3=0.60，如果設(shè)定的最小相似度為0.5，則當(dāng)前行為模式被認為是正常行為模式(0.6＞0.5);如果設(shè)定的最小相似度為0.7，則當(dāng)前行為模式就被認為是違規(guī)行為.

4 小結(jié)

對于確認的違規(guī)行為事件，筆者將依時間順序回溯事件發(fā)生流程，重現(xiàn)事件過程，并以事件發(fā)生地點、事件以及行為主體的關(guān)聯(lián)形式給出表格報告，并加以安全存儲，以作證據(jù)進行責(zé)任認定.

［1］FOSTER I，KESSELMAN C.網(wǎng)格計算［M］.金海，袁平鵬，石柯，譯.北京:電子工業(yè)出版社，2004:1－20.

［2］張昭濤.數(shù)據(jù)挖掘聚類算法研究［D］.成都:西南交通大學(xué)，2005.

［3］張磊.數(shù)據(jù)挖掘聚類算法研究與系統(tǒng)設(shè)計［D］.成都:電子科技大學(xué)，2003.

［4］李強.基于支持向量機的文本分類方法研究［D］.西安:西安科技大學(xué)，2009.

［5］平源.基于支持向量機的聚類及文本分類研究［D］.北京:北京郵電大學(xué)，2012.

［6］黃林峰，羅文堅，王煦法.高維多目標進化算法中的密度評估策略研究［J］.中國科學(xué)技術(shù)大學(xué)學(xué)報，2011(4):353－361.

［7］張君，薄華，王曉峰.基于改進譜聚類的合成孔徑雷達溢油圖像分割算法［J］.上海海事大學(xué)學(xué)報，2011(3):68－73.

［8］馬強.關(guān)聯(lián)規(guī)則挖掘算法研究和應(yīng)用［D］.太原:太原理工大學(xué)，2004.

［9］孫金華.基于關(guān)聯(lián)規(guī)則的Web日志數(shù)據(jù)挖掘研究與實現(xiàn)［D］.南昌:南昌大學(xué)，2007.

［10］IBM Corp.International Technical Support Organization Introduction to Grid Computing with Globus［S］.2003:131 －145.

［11］NAGGER R.Windows NT File System Internals:A Developer’s Guide［M］.1st ed.［S.l.］:O'Reilly，1997，9:123 －165.