鄭敏嬌+王喆+劉炯

摘 要：針對信息系統(tǒng)自身安全需求及威脅行為特征，提出了基于云架構(gòu)的分級威脅防御機(jī)制。該機(jī)制將信息系統(tǒng)作為一個(gè)整體進(jìn)行威脅防護(hù)，將文件訪問異常行為作為判斷威脅的依據(jù)，并針對信息系統(tǒng)終端安全分級設(shè)計(jì)了不同的文件訪問行為模型，然后基于云架構(gòu)進(jìn)行部署，由用戶終端節(jié)點(diǎn)對文件訪問行為進(jìn)行監(jiān)控并主動(dòng)提供威脅行為報(bào)告，再由服務(wù)器端進(jìn)行信息關(guān)聯(lián)融合。在發(fā)現(xiàn)威脅同時(shí)發(fā)現(xiàn)信息系統(tǒng)自身薄弱環(huán)節(jié)及惡意節(jié)點(diǎn)時(shí)，可使整個(gè)網(wǎng)絡(luò)系統(tǒng)能及時(shí)、有效地抵御威脅攻擊，因而在提高防護(hù)精度的同時(shí)，也提高了效能，從而為信息系統(tǒng)威脅防護(hù)提供了有效的解決辦法。

關(guān)鍵詞：信息系統(tǒng)；威脅；文件；云架構(gòu)；分級

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：2095-1302（2014）03-0054-03

0 引 言

隨著網(wǎng)絡(luò)技術(shù)的普及和社會發(fā)展對信息系統(tǒng)的依賴程度不斷增強(qiáng)，保證信息系統(tǒng)安全、可靠、穩(wěn)定運(yùn)行對確保社會各組成部分的正常運(yùn)轉(zhuǎn)具有越來越重要的意義。信息系統(tǒng)所可能面臨的威脅可以分為針對系統(tǒng)本身及針對其內(nèi)部信息兩類，針對內(nèi)部信息的威脅包括對數(shù)據(jù)以及對處理這些數(shù)據(jù)的信息系統(tǒng)應(yīng)用的威脅，對這類威脅進(jìn)行自動(dòng)檢測和防御已經(jīng)成為網(wǎng)絡(luò)安全研究的重點(diǎn)[1-3]。

威脅檢測通過在系統(tǒng)中若干關(guān)鍵點(diǎn)收集信息，并對這些信息進(jìn)行分析，與已知的威脅特征或與正常模型進(jìn)行比較，從而發(fā)現(xiàn)威脅跡象?，F(xiàn)在大多數(shù)的威脅檢測都是在主機(jī)上對系統(tǒng)調(diào)用序列以機(jī)器學(xué)習(xí)的方式進(jìn)行建模[4，5]，但是單個(gè)主機(jī)的計(jì)算能力有限，監(jiān)控所有的系統(tǒng)調(diào)用序列會造成較高的負(fù)荷，且系統(tǒng)調(diào)用產(chǎn)生的信息繁雜，威脅檢測與防御較為困難而且易引起較高的誤報(bào)[6]。

通過對企業(yè)及政府部門內(nèi)部信息系統(tǒng)的威脅行為分析發(fā)現(xiàn)，大多數(shù)威脅都是通過對文件系統(tǒng)的訪問實(shí)現(xiàn)其非法訪問信息的目的[7]，因此，文件系統(tǒng)可以成為威脅檢測監(jiān)控的較好選擇；而由于不同終端在信息系統(tǒng)內(nèi)部承擔(dān)功能以及存儲文件安全級別的不同，針對不同終端應(yīng)該采用不同的威脅防御策略[8]。基于此，本文從一個(gè)新的角度提出了一個(gè)基于云架構(gòu)的分級威脅防御機(jī)制，在客戶端監(jiān)控與記錄進(jìn)程對文件系統(tǒng)的訪問行為，將可疑行為傳遞給云端，在云端按照主機(jī)的信息安全級別建立不同行為模型，按照行為特征分析客戶端系統(tǒng)中存在的威脅，同時(shí)，云端對不同終端提供的報(bào)告信息進(jìn)行融合，進(jìn)而判斷出系統(tǒng)薄弱環(huán)節(jié)，并將處理策略發(fā)放給相關(guān)客戶端群。該機(jī)制為信息系統(tǒng)內(nèi)部不同安全級別終端的威脅檢測與防御提供了有效的解決方法，并通過云架構(gòu)提供了更多的存儲空間和更快速的處理能力，使得系統(tǒng)資源服務(wù)得到充分利用同時(shí)減少了客戶端負(fù)荷。

1 基于云架構(gòu)的威脅防御機(jī)制總體設(shè)計(jì)

基于云架構(gòu)的威脅防御機(jī)制依靠網(wǎng)絡(luò)服務(wù)實(shí)現(xiàn)信息系統(tǒng)內(nèi)部不同信息安全級別用戶終端威脅的實(shí)時(shí)防御。在結(jié)構(gòu)上可分為用戶終端與服務(wù)器端[9，10]，用戶終端完成文件訪問行為的監(jiān)控、異常行為的發(fā)現(xiàn)和威脅的處理；服務(wù)器端即云端主要完成異常行為報(bào)告的融合、威脅行為判定、和系統(tǒng)薄弱環(huán)節(jié)發(fā)現(xiàn)等。其結(jié)構(gòu)示意圖如圖1 所示。

圖1 基于云架構(gòu)的信息系統(tǒng)分級威脅防御機(jī)制結(jié)構(gòu)示意圖

在功能上主要分為文件訪問行為監(jiān)控、文件訪問行為建模、威脅行為報(bào)告融合與威脅發(fā)現(xiàn)、威脅處理幾個(gè)模塊。其工作流程如下：

文件訪問行為監(jiān)控模塊對用戶終端的文件訪問行為進(jìn)行監(jiān)控，并與本地保存的常用文件訪問行為模型進(jìn)行比較，將不符合該模型的行為視為文件訪問異常行為，將相關(guān)信息生成可疑行為報(bào)告提供給云端服務(wù)器；云端服務(wù)器在邏輯隔離的不同虛擬環(huán)境下處理不同安全級別終端提交的信息，將異常行為與不同安全級別的完整的文件正常訪問行為模型和威脅行為模型進(jìn)行比較判斷終端是否存在安全威脅，若仍不符合該模型則生成威脅行為報(bào)告；當(dāng)云端服務(wù)器收到來自不同用戶終端的大量威脅行為報(bào)告時(shí)，通過對威脅報(bào)告關(guān)聯(lián)融合進(jìn)一步察覺出系統(tǒng)中存在的嚴(yán)重威脅、薄弱環(huán)節(jié)及可疑節(jié)點(diǎn)；同時(shí)，云端會將威脅的解決方法分發(fā)至用戶終端同時(shí)可以協(xié)助甚至代替客戶端防御威脅；其中，文件訪問行為模型由云端邏輯隔離的不同虛擬環(huán)境中的文件訪問行為建模功能模塊針對不同安全級別終端文件訪問行為特征建立，新的威脅行為及安全行為的發(fā)現(xiàn)將實(shí)現(xiàn)模型庫的增量增長。威脅防御機(jī)制流程示意圖如圖2 所示。

圖2 基于云架構(gòu)的信息系統(tǒng)分級威脅防御機(jī)制工作流程圖

2 威脅防御機(jī)制主要功能模塊設(shè)計(jì)

2.1 文件訪問行為監(jiān)控

在操作系統(tǒng)中，對于每一個(gè)文件訪問請求，I/O管理器都會構(gòu)造一個(gè)相應(yīng)的I/O請求包向文件系統(tǒng)提出請求，文件系統(tǒng)驅(qū)動(dòng)組件則會有相應(yīng)的處理。文件訪問行為系統(tǒng)監(jiān)控位于I/O管理器之下，文件系統(tǒng)之上，通過截獲I/O請求包監(jiān)視所有程序的文件訪問行為。與程序行為不同，正常的文件訪問行為顯示出多態(tài)性，許多威脅活動(dòng)不會影響到進(jìn)程的系統(tǒng)調(diào)用序列，卻可以通過文件、進(jìn)程、用戶和操作的關(guān)系表現(xiàn)出異常的文件訪問。這些關(guān)系在用戶安全級別、文件安全級別、安全策略的影響下呈現(xiàn)出一定的規(guī)律性。文件訪問行為監(jiān)控通過發(fā)現(xiàn)小概率的行為，發(fā)現(xiàn)異常行為的發(fā)生。

文件訪問行為序列格式定義如表1所列，包括序列號（ID），訪問的用戶（USER）及用戶組（GROUP）、進(jìn)程名（PROCESS）、操作（OPERATION）、文件本身的屬性（PROPERTY）、訪問行為的源IP（SRCIP）及文件所在的主機(jī)地址（DSTIP）。其中，操作包括操作的類型、執(zhí)行的結(jié)果，屬性包括文件安全級別。

文件訪問行為監(jiān)控模塊將截獲I/O請求包序列化；分析比較工具將該序列與本地模型庫中的行為模型進(jìn)行比較，存在不一致則生成如圖3所示的可疑行為報(bào)告提交至服務(wù)器。

可疑行為報(bào)告生成算法

輸入：文件訪問行為序列VS，常用文件訪問模型庫{CLi}

輸出：威脅行為報(bào)告IR

步驟：

1.對于VS，檢查是否滿足VS. PROPERTY =CLi.PROPERTY且VS.OPERATION= CLi.OPERATION且VS.GROUP=CLi.GROUP；若不滿足，則IR=VS；若滿足，將這樣的VS提交給服務(wù)器中的文件訪問行為建模模塊。

2.對于IR，在提交至云端服務(wù)器同時(shí)在本機(jī)保存副本。

圖3 可疑行為報(bào)告生成算法

2.2 威脅行為報(bào)告融合與威脅發(fā)現(xiàn)

云端服務(wù)器為不同安全級別用戶終端建立了不同的文件訪問行為模型、黑名單和白名單；并通過虛擬化和邏輯分配實(shí)現(xiàn)服務(wù)器資源的使用，云端服務(wù)器安全級別不能低于其所保障的最高安全等級用戶終端的級別。威脅行為報(bào)告提交至云端服務(wù)器后，首先采用與終端同樣的方法與完整的行為模型庫進(jìn)行比較，若不符合模型，則將可疑行為報(bào)告生成威脅行為報(bào)告進(jìn)一步處理。對威脅行為報(bào)告進(jìn)行關(guān)聯(lián)、融合可疑發(fā)現(xiàn)系統(tǒng)中存在的威脅以及系統(tǒng)自身的薄弱環(huán)節(jié)和惡意節(jié)點(diǎn)。

（1）威脅行為報(bào)告聚合

威脅行為的發(fā)生一般具有持續(xù)性，如果是真正的攻擊行為，其往往需要重復(fù)多次，這類行為的報(bào)告往往具有相同的操作、源IP、文件所在的主機(jī)地址等特征信息，利用這一特點(diǎn)，將其關(guān)聯(lián)聚合到一起，形成新的威脅行為報(bào)告信息，這一信息可能是具有同一目標(biāo)的某次威脅，或者多步威脅的某一步驟重復(fù)進(jìn)行而產(chǎn)生的信息，當(dāng)這些報(bào)告來自大量不同的節(jié)點(diǎn)時(shí)，表明威脅在網(wǎng)絡(luò)中傳播并影響了大量的用戶節(jié)點(diǎn)，要引起重視，采取相應(yīng)措施。圖4所示就是威脅行為報(bào)告聚合算法。

（2）威脅路徑繪制

威脅行為的產(chǎn)生往往是針對系統(tǒng)中的薄弱環(huán)節(jié)進(jìn)行的，對于有預(yù)謀竊取某些重要文件的威脅行為，其往往是通過對具有弱點(diǎn)的目標(biāo)對象進(jìn)行攻擊，獲取相應(yīng)權(quán)限，再從已攻陷的主機(jī)向其他目標(biāo)發(fā)起的攻擊，如此循環(huán)往復(fù)，直到達(dá)到最終目標(biāo)。對待這類攻擊，在進(jìn)行威脅清除，病毒庫升級同時(shí)，對威脅信息進(jìn)行融合，繪制威脅發(fā)生的路徑可以幫助管理員發(fā)現(xiàn)系統(tǒng)本身存在的薄弱環(huán)節(jié)進(jìn)而采取相應(yīng)措施進(jìn)行防御。圖5所示是威脅路徑繪制算法。

威脅行為報(bào)告聚合算法

輸入：聚合前的威脅行為報(bào)告集{IRi}，時(shí)間間隔閾值t

輸出：聚合后的威脅行為報(bào)告集{TRi}

步驟：

1.初始臨時(shí)隊(duì)列L，存放聚合過程中的威脅行為報(bào)告；

2.對于服務(wù)器收到的IRj，檢查L中的每一報(bào)告TRj，是否滿足TRj.SRCIP=IRj.SRCIP

或TRj.DSTIP=IRj.DSTIP

或TRj.OPERATION =IRj. OPERATION，將這樣的IRj歸入該TRj中；若不存在TRj，將該IRj存入L中；

3.對于L中的TRj，若在時(shí)間t內(nèi)沒有收到新的可歸并的威脅報(bào)告，則輸出聚合后的威脅行為報(bào)告。

圖4 威脅行為報(bào)告聚合算法

威脅路徑繪制算法

輸入：威脅報(bào)告集{Ri}

輸出：威脅路徑圖G=（V，E）

步驟：

1.對Ri.SRCIPV，將Ri.SRCIP添加入G；

2.對Ri.DSTIPV，將Ri.DSTIP添加入G；

3.添加邊（Ri.SRCIP，Ri.DSTIP）；

4.設(shè)置邊的權(quán)重為該邊的威脅數(shù)量和威脅類型的度量，表征為，其中N為告警總數(shù)，n為這條邊上的告警總數(shù)，M為告警類型的總數(shù)，m為這條邊上的告警類型數(shù)。

圖5 威脅路徑繪制算法

（3）惡意節(jié)點(diǎn)發(fā)現(xiàn)

惡意節(jié)點(diǎn)是指系統(tǒng)內(nèi)部已被威脅控制的節(jié)點(diǎn)。如果系統(tǒng)中存在著惡意的終端節(jié)點(diǎn)，其很可能通過持續(xù)向服務(wù)器發(fā)送虛假威脅行為報(bào)告來干擾服務(wù)器端分析和處理有價(jià)值的行為報(bào)告。在進(jìn)行信息融合時(shí)，需要分辨出這類節(jié)點(diǎn)，排除這類報(bào)告的干擾，優(yōu)先處理有價(jià)值的威脅行為報(bào)告。其惡意節(jié)點(diǎn)發(fā)現(xiàn)算法如圖6所示。

3 結(jié) 語

針對信息系統(tǒng)內(nèi)部信息的安全威脅多是通過對文件的異常訪問來進(jìn)行的，針對此，本文設(shè)計(jì)了一個(gè)基于云架構(gòu)的信息系統(tǒng)分級威脅防御機(jī)制，發(fā)揮網(wǎng)絡(luò)中服務(wù)器和用戶終端節(jié)點(diǎn)的各自優(yōu)勢，從全局的角度構(gòu)成一個(gè)整體來對抗威脅攻擊。用戶端主動(dòng)收集并向服務(wù)器端提供文件訪問異常行為報(bào)告；服務(wù)器端針對不同安全級別用戶終端建立各類正常行為模型和黑白名單，使系統(tǒng)快速對威脅行為作出正確反應(yīng)；并從全局角度對威脅報(bào)告信息進(jìn)行整合，在發(fā)現(xiàn)威脅的同時(shí)發(fā)現(xiàn)系統(tǒng)自身薄弱環(huán)節(jié)，有效促進(jìn)了系統(tǒng)整體防御性能的提升。

惡意節(jié)點(diǎn)發(fā)現(xiàn)算法

輸入：節(jié)點(diǎn)提交報(bào)告數(shù)量集{Si}，節(jié)點(diǎn)提交惡意報(bào)告數(shù)量集{VSi}，時(shí)間間隔閾值t，惡意節(jié)點(diǎn)閾值σ

輸出：惡意節(jié)點(diǎn)集合{Dm}

步驟：

1.對于系統(tǒng)中的每一個(gè)終端，計(jì)算時(shí)間間隔t內(nèi)節(jié)點(diǎn)的可信度；

2.對于可信度低于σ的節(jié)點(diǎn)，認(rèn)為它為惡意節(jié)點(diǎn)。

圖6 惡意節(jié)點(diǎn)發(fā)現(xiàn)算法

參 考 文 獻(xiàn)

[1] WU Ying， JIANG Jian-hui. Frequency weighted hamming distance based system call anomaly detection [C]// Proceedings of CSIE 2009. Los Angeles， California： IEEE， 2009： 105-109.

[2]王輝，賈宗璞，申自浩，等.基于信息流的多級安全策略模型研究[J]. 計(jì)算機(jī)科學(xué)，2010，37（1）：75-78.

[3] PRAMANIK S， SANKARANARAYANAN V， UPADHYAYA S. Security policies to mitigate insider threat in the document control domain [C]// Proceedings of the 20th Annual Computer Security Applications Conference. Tucson， Arizona， USA： IEEE， 2004： 304-313.

[4]陶芬，尹芷儀，傅建明. 基于系統(tǒng)調(diào)用的軟件行為模型[J]. 計(jì)算機(jī)科學(xué)，2010，37（4） ：151-157.

[5] GAO D， REITER M K， SONG D. Behavioral distance measurement using hidden Markov models [C]// Proceedings of the 9th International Symposium on Recent Advances in Intrusion Detection. Hamburg， Germany： RAID， 2006： 19-40.

[6]吳瀛，江建慧，張蕊. 基于系統(tǒng)調(diào)用的入侵檢測研究進(jìn)展[J]. 計(jì)算機(jī)科學(xué)，2011，38（1）：20-24，47.

[7]陳蘭香. 一種基于會話的安全Web 文件服務(wù)模型[J]. 計(jì)算機(jī)工程， 2011， 37（18）： 127-130.

[8]趙寶磊. 淺談涉密信息系統(tǒng)分級保護(hù)工作的實(shí)施[J]. 網(wǎng)絡(luò)與信息安全，2010（3）：80-83.

[9]林果園，賀珊，黃皓，等. 基于行為的云計(jì)算訪問控制安全模型[J]. 通信學(xué)報(bào)， 2012，33（3）：59-66.

[10]徐小龍，熊婧夷，程春玲. 基于云端計(jì)算架構(gòu)的惡意代碼聯(lián)合防御機(jī)制[J]. 東南大學(xué)學(xué)報(bào)：自然科學(xué)版， 2011， 41（3）： 220-226.

步驟：

1.對于VS，檢查是否滿足VS. PROPERTY =CLi.PROPERTY且VS.OPERATION= CLi.OPERATION且VS.GROUP=CLi.GROUP；若不滿足，則IR=VS；若滿足，將這樣的VS提交給服務(wù)器中的文件訪問行為建模模塊。

2.對于IR，在提交至云端服務(wù)器同時(shí)在本機(jī)保存副本。

圖3 可疑行為報(bào)告生成算法

2.2 威脅行為報(bào)告融合與威脅發(fā)現(xiàn)

云端服務(wù)器為不同安全級別用戶終端建立了不同的文件訪問行為模型、黑名單和白名單；并通過虛擬化和邏輯分配實(shí)現(xiàn)服務(wù)器資源的使用，云端服務(wù)器安全級別不能低于其所保障的最高安全等級用戶終端的級別。威脅行為報(bào)告提交至云端服務(wù)器后，首先采用與終端同樣的方法與完整的行為模型庫進(jìn)行比較，若不符合模型，則將可疑行為報(bào)告生成威脅行為報(bào)告進(jìn)一步處理。對威脅行為報(bào)告進(jìn)行關(guān)聯(lián)、融合可疑發(fā)現(xiàn)系統(tǒng)中存在的威脅以及系統(tǒng)自身的薄弱環(huán)節(jié)和惡意節(jié)點(diǎn)。

（1）威脅行為報(bào)告聚合

威脅行為的發(fā)生一般具有持續(xù)性，如果是真正的攻擊行為，其往往需要重復(fù)多次，這類行為的報(bào)告往往具有相同的操作、源IP、文件所在的主機(jī)地址等特征信息，利用這一特點(diǎn)，將其關(guān)聯(lián)聚合到一起，形成新的威脅行為報(bào)告信息，這一信息可能是具有同一目標(biāo)的某次威脅，或者多步威脅的某一步驟重復(fù)進(jìn)行而產(chǎn)生的信息，當(dāng)這些報(bào)告來自大量不同的節(jié)點(diǎn)時(shí)，表明威脅在網(wǎng)絡(luò)中傳播并影響了大量的用戶節(jié)點(diǎn)，要引起重視，采取相應(yīng)措施。圖4所示就是威脅行為報(bào)告聚合算法。

（2）威脅路徑繪制

威脅行為的產(chǎn)生往往是針對系統(tǒng)中的薄弱環(huán)節(jié)進(jìn)行的，對于有預(yù)謀竊取某些重要文件的威脅行為，其往往是通過對具有弱點(diǎn)的目標(biāo)對象進(jìn)行攻擊，獲取相應(yīng)權(quán)限，再從已攻陷的主機(jī)向其他目標(biāo)發(fā)起的攻擊，如此循環(huán)往復(fù)，直到達(dá)到最終目標(biāo)。對待這類攻擊，在進(jìn)行威脅清除，病毒庫升級同時(shí)，對威脅信息進(jìn)行融合，繪制威脅發(fā)生的路徑可以幫助管理員發(fā)現(xiàn)系統(tǒng)本身存在的薄弱環(huán)節(jié)進(jìn)而采取相應(yīng)措施進(jìn)行防御。圖5所示是威脅路徑繪制算法。

威脅行為報(bào)告聚合算法

輸入：聚合前的威脅行為報(bào)告集{IRi}，時(shí)間間隔閾值t

輸出：聚合后的威脅行為報(bào)告集{TRi}

步驟：

1.初始臨時(shí)隊(duì)列L，存放聚合過程中的威脅行為報(bào)告；

2.對于服務(wù)器收到的IRj，檢查L中的每一報(bào)告TRj，是否滿足TRj.SRCIP=IRj.SRCIP

或TRj.DSTIP=IRj.DSTIP

或TRj.OPERATION =IRj. OPERATION，將這樣的IRj歸入該TRj中；若不存在TRj，將該IRj存入L中；

3.對于L中的TRj，若在時(shí)間t內(nèi)沒有收到新的可歸并的威脅報(bào)告，則輸出聚合后的威脅行為報(bào)告。

圖4 威脅行為報(bào)告聚合算法

威脅路徑繪制算法

輸入：威脅報(bào)告集{Ri}

輸出：威脅路徑圖G=（V，E）

步驟：

1.對Ri.SRCIPV，將Ri.SRCIP添加入G；

2.對Ri.DSTIPV，將Ri.DSTIP添加入G；

3.添加邊（Ri.SRCIP，Ri.DSTIP）；

4.設(shè)置邊的權(quán)重為該邊的威脅數(shù)量和威脅類型的度量，表征為，其中N為告警總數(shù)，n為這條邊上的告警總數(shù)，M為告警類型的總數(shù)，m為這條邊上的告警類型數(shù)。

圖5 威脅路徑繪制算法

（3）惡意節(jié)點(diǎn)發(fā)現(xiàn)

惡意節(jié)點(diǎn)是指系統(tǒng)內(nèi)部已被威脅控制的節(jié)點(diǎn)。如果系統(tǒng)中存在著惡意的終端節(jié)點(diǎn)，其很可能通過持續(xù)向服務(wù)器發(fā)送虛假威脅行為報(bào)告來干擾服務(wù)器端分析和處理有價(jià)值的行為報(bào)告。在進(jìn)行信息融合時(shí)，需要分辨出這類節(jié)點(diǎn)，排除這類報(bào)告的干擾，優(yōu)先處理有價(jià)值的威脅行為報(bào)告。其惡意節(jié)點(diǎn)發(fā)現(xiàn)算法如圖6所示。

3 結(jié) 語

針對信息系統(tǒng)內(nèi)部信息的安全威脅多是通過對文件的異常訪問來進(jìn)行的，針對此，本文設(shè)計(jì)了一個(gè)基于云架構(gòu)的信息系統(tǒng)分級威脅防御機(jī)制，發(fā)揮網(wǎng)絡(luò)中服務(wù)器和用戶終端節(jié)點(diǎn)的各自優(yōu)勢，從全局的角度構(gòu)成一個(gè)整體來對抗威脅攻擊。用戶端主動(dòng)收集并向服務(wù)器端提供文件訪問異常行為報(bào)告；服務(wù)器端針對不同安全級別用戶終端建立各類正常行為模型和黑白名單，使系統(tǒng)快速對威脅行為作出正確反應(yīng)；并從全局角度對威脅報(bào)告信息進(jìn)行整合，在發(fā)現(xiàn)威脅的同時(shí)發(fā)現(xiàn)系統(tǒng)自身薄弱環(huán)節(jié)，有效促進(jìn)了系統(tǒng)整體防御性能的提升。

惡意節(jié)點(diǎn)發(fā)現(xiàn)算法

輸入：節(jié)點(diǎn)提交報(bào)告數(shù)量集{Si}，節(jié)點(diǎn)提交惡意報(bào)告數(shù)量集{VSi}，時(shí)間間隔閾值t，惡意節(jié)點(diǎn)閾值σ

輸出：惡意節(jié)點(diǎn)集合{Dm}

步驟：

1.對于系統(tǒng)中的每一個(gè)終端，計(jì)算時(shí)間間隔t內(nèi)節(jié)點(diǎn)的可信度；

2.對于可信度低于σ的節(jié)點(diǎn)，認(rèn)為它為惡意節(jié)點(diǎn)。

圖6 惡意節(jié)點(diǎn)發(fā)現(xiàn)算法

參 考 文 獻(xiàn)

[1] WU Ying， JIANG Jian-hui. Frequency weighted hamming distance based system call anomaly detection [C]// Proceedings of CSIE 2009. Los Angeles， California： IEEE， 2009： 105-109.

[2]王輝，賈宗璞，申自浩，等.基于信息流的多級安全策略模型研究[J]. 計(jì)算機(jī)科學(xué)，2010，37（1）：75-78.

[3] PRAMANIK S， SANKARANARAYANAN V， UPADHYAYA S. Security policies to mitigate insider threat in the document control domain [C]// Proceedings of the 20th Annual Computer Security Applications Conference. Tucson， Arizona， USA： IEEE， 2004： 304-313.

[4]陶芬，尹芷儀，傅建明. 基于系統(tǒng)調(diào)用的軟件行為模型[J]. 計(jì)算機(jī)科學(xué)，2010，37（4） ：151-157.

[5] GAO D， REITER M K， SONG D. Behavioral distance measurement using hidden Markov models [C]// Proceedings of the 9th International Symposium on Recent Advances in Intrusion Detection. Hamburg， Germany： RAID， 2006： 19-40.

[6]吳瀛，江建慧，張蕊. 基于系統(tǒng)調(diào)用的入侵檢測研究進(jìn)展[J]. 計(jì)算機(jī)科學(xué)，2011，38（1）：20-24，47.

[7]陳蘭香. 一種基于會話的安全Web 文件服務(wù)模型[J]. 計(jì)算機(jī)工程， 2011， 37（18）： 127-130.

[8]趙寶磊. 淺談涉密信息系統(tǒng)分級保護(hù)工作的實(shí)施[J]. 網(wǎng)絡(luò)與信息安全，2010（3）：80-83.

[9]林果園，賀珊，黃皓，等. 基于行為的云計(jì)算訪問控制安全模型[J]. 通信學(xué)報(bào)， 2012，33（3）：59-66.

[10]徐小龍，熊婧夷，程春玲. 基于云端計(jì)算架構(gòu)的惡意代碼聯(lián)合防御機(jī)制[J]. 東南大學(xué)學(xué)報(bào)：自然科學(xué)版， 2011， 41（3）： 220-226.

步驟：

1.對于VS，檢查是否滿足VS. PROPERTY =CLi.PROPERTY且VS.OPERATION= CLi.OPERATION且VS.GROUP=CLi.GROUP；若不滿足，則IR=VS；若滿足，將這樣的VS提交給服務(wù)器中的文件訪問行為建模模塊。

2.對于IR，在提交至云端服務(wù)器同時(shí)在本機(jī)保存副本。

圖3 可疑行為報(bào)告生成算法

2.2 威脅行為報(bào)告融合與威脅發(fā)現(xiàn)

云端服務(wù)器為不同安全級別用戶終端建立了不同的文件訪問行為模型、黑名單和白名單；并通過虛擬化和邏輯分配實(shí)現(xiàn)服務(wù)器資源的使用，云端服務(wù)器安全級別不能低于其所保障的最高安全等級用戶終端的級別。威脅行為報(bào)告提交至云端服務(wù)器后，首先采用與終端同樣的方法與完整的行為模型庫進(jìn)行比較，若不符合模型，則將可疑行為報(bào)告生成威脅行為報(bào)告進(jìn)一步處理。對威脅行為報(bào)告進(jìn)行關(guān)聯(lián)、融合可疑發(fā)現(xiàn)系統(tǒng)中存在的威脅以及系統(tǒng)自身的薄弱環(huán)節(jié)和惡意節(jié)點(diǎn)。

（1）威脅行為報(bào)告聚合

威脅行為的發(fā)生一般具有持續(xù)性，如果是真正的攻擊行為，其往往需要重復(fù)多次，這類行為的報(bào)告往往具有相同的操作、源IP、文件所在的主機(jī)地址等特征信息，利用這一特點(diǎn)，將其關(guān)聯(lián)聚合到一起，形成新的威脅行為報(bào)告信息，這一信息可能是具有同一目標(biāo)的某次威脅，或者多步威脅的某一步驟重復(fù)進(jìn)行而產(chǎn)生的信息，當(dāng)這些報(bào)告來自大量不同的節(jié)點(diǎn)時(shí)，表明威脅在網(wǎng)絡(luò)中傳播并影響了大量的用戶節(jié)點(diǎn)，要引起重視，采取相應(yīng)措施。圖4所示就是威脅行為報(bào)告聚合算法。

（2）威脅路徑繪制

威脅行為的產(chǎn)生往往是針對系統(tǒng)中的薄弱環(huán)節(jié)進(jìn)行的，對于有預(yù)謀竊取某些重要文件的威脅行為，其往往是通過對具有弱點(diǎn)的目標(biāo)對象進(jìn)行攻擊，獲取相應(yīng)權(quán)限，再從已攻陷的主機(jī)向其他目標(biāo)發(fā)起的攻擊，如此循環(huán)往復(fù)，直到達(dá)到最終目標(biāo)。對待這類攻擊，在進(jìn)行威脅清除，病毒庫升級同時(shí)，對威脅信息進(jìn)行融合，繪制威脅發(fā)生的路徑可以幫助管理員發(fā)現(xiàn)系統(tǒng)本身存在的薄弱環(huán)節(jié)進(jìn)而采取相應(yīng)措施進(jìn)行防御。圖5所示是威脅路徑繪制算法。

威脅行為報(bào)告聚合算法

輸入：聚合前的威脅行為報(bào)告集{IRi}，時(shí)間間隔閾值t

輸出：聚合后的威脅行為報(bào)告集{TRi}

步驟：

1.初始臨時(shí)隊(duì)列L，存放聚合過程中的威脅行為報(bào)告；

2.對于服務(wù)器收到的IRj，檢查L中的每一報(bào)告TRj，是否滿足TRj.SRCIP=IRj.SRCIP

或TRj.DSTIP=IRj.DSTIP

或TRj.OPERATION =IRj. OPERATION，將這樣的IRj歸入該TRj中；若不存在TRj，將該IRj存入L中；

3.對于L中的TRj，若在時(shí)間t內(nèi)沒有收到新的可歸并的威脅報(bào)告，則輸出聚合后的威脅行為報(bào)告。

圖4 威脅行為報(bào)告聚合算法

威脅路徑繪制算法

輸入：威脅報(bào)告集{Ri}

輸出：威脅路徑圖G=（V，E）

步驟：

1.對Ri.SRCIPV，將Ri.SRCIP添加入G；

2.對Ri.DSTIPV，將Ri.DSTIP添加入G；

3.添加邊（Ri.SRCIP，Ri.DSTIP）；

4.設(shè)置邊的權(quán)重為該邊的威脅數(shù)量和威脅類型的度量，表征為，其中N為告警總數(shù)，n為這條邊上的告警總數(shù)，M為告警類型的總數(shù)，m為這條邊上的告警類型數(shù)。

圖5 威脅路徑繪制算法

（3）惡意節(jié)點(diǎn)發(fā)現(xiàn)

惡意節(jié)點(diǎn)是指系統(tǒng)內(nèi)部已被威脅控制的節(jié)點(diǎn)。如果系統(tǒng)中存在著惡意的終端節(jié)點(diǎn)，其很可能通過持續(xù)向服務(wù)器發(fā)送虛假威脅行為報(bào)告來干擾服務(wù)器端分析和處理有價(jià)值的行為報(bào)告。在進(jìn)行信息融合時(shí)，需要分辨出這類節(jié)點(diǎn)，排除這類報(bào)告的干擾，優(yōu)先處理有價(jià)值的威脅行為報(bào)告。其惡意節(jié)點(diǎn)發(fā)現(xiàn)算法如圖6所示。

3 結(jié) 語

針對信息系統(tǒng)內(nèi)部信息的安全威脅多是通過對文件的異常訪問來進(jìn)行的，針對此，本文設(shè)計(jì)了一個(gè)基于云架構(gòu)的信息系統(tǒng)分級威脅防御機(jī)制，發(fā)揮網(wǎng)絡(luò)中服務(wù)器和用戶終端節(jié)點(diǎn)的各自優(yōu)勢，從全局的角度構(gòu)成一個(gè)整體來對抗威脅攻擊。用戶端主動(dòng)收集并向服務(wù)器端提供文件訪問異常行為報(bào)告；服務(wù)器端針對不同安全級別用戶終端建立各類正常行為模型和黑白名單，使系統(tǒng)快速對威脅行為作出正確反應(yīng)；并從全局角度對威脅報(bào)告信息進(jìn)行整合，在發(fā)現(xiàn)威脅的同時(shí)發(fā)現(xiàn)系統(tǒng)自身薄弱環(huán)節(jié)，有效促進(jìn)了系統(tǒng)整體防御性能的提升。

惡意節(jié)點(diǎn)發(fā)現(xiàn)算法

輸入：節(jié)點(diǎn)提交報(bào)告數(shù)量集{Si}，節(jié)點(diǎn)提交惡意報(bào)告數(shù)量集{VSi}，時(shí)間間隔閾值t，惡意節(jié)點(diǎn)閾值σ

輸出：惡意節(jié)點(diǎn)集合{Dm}

步驟：

1.對于系統(tǒng)中的每一個(gè)終端，計(jì)算時(shí)間間隔t內(nèi)節(jié)點(diǎn)的可信度；

2.對于可信度低于σ的節(jié)點(diǎn)，認(rèn)為它為惡意節(jié)點(diǎn)。

圖6 惡意節(jié)點(diǎn)發(fā)現(xiàn)算法

參 考 文 獻(xiàn)

[1] WU Ying， JIANG Jian-hui. Frequency weighted hamming distance based system call anomaly detection [C]// Proceedings of CSIE 2009. Los Angeles， California： IEEE， 2009： 105-109.

[2]王輝，賈宗璞，申自浩，等.基于信息流的多級安全策略模型研究[J]. 計(jì)算機(jī)科學(xué)，2010，37（1）：75-78.

[3] PRAMANIK S， SANKARANARAYANAN V， UPADHYAYA S. Security policies to mitigate insider threat in the document control domain [C]// Proceedings of the 20th Annual Computer Security Applications Conference. Tucson， Arizona， USA： IEEE， 2004： 304-313.

[4]陶芬，尹芷儀，傅建明. 基于系統(tǒng)調(diào)用的軟件行為模型[J]. 計(jì)算機(jī)科學(xué)，2010，37（4） ：151-157.

[5] GAO D， REITER M K， SONG D. Behavioral distance measurement using hidden Markov models [C]// Proceedings of the 9th International Symposium on Recent Advances in Intrusion Detection. Hamburg， Germany： RAID， 2006： 19-40.

[6]吳瀛，江建慧，張蕊. 基于系統(tǒng)調(diào)用的入侵檢測研究進(jìn)展[J]. 計(jì)算機(jī)科學(xué)，2011，38（1）：20-24，47.

[7]陳蘭香. 一種基于會話的安全Web 文件服務(wù)模型[J]. 計(jì)算機(jī)工程， 2011， 37（18）： 127-130.

[8]趙寶磊. 淺談涉密信息系統(tǒng)分級保護(hù)工作的實(shí)施[J]. 網(wǎng)絡(luò)與信息安全，2010（3）：80-83.

[9]林果園，賀珊，黃皓，等. 基于行為的云計(jì)算訪問控制安全模型[J]. 通信學(xué)報(bào)， 2012，33（3）：59-66.

[10]徐小龍，熊婧夷，程春玲. 基于云端計(jì)算架構(gòu)的惡意代碼聯(lián)合防御機(jī)制[J]. 東南大學(xué)學(xué)報(bào)：自然科學(xué)版， 2011， 41（3）： 220-226.