許洪軍 張洪 賀維

摘 要：針對由于云用戶的非法操作產(chǎn)生的云安全威脅問題，提出一種在保障云用戶隱私的前提下，利用深度學(xué)習(xí)技術(shù)對用戶工作中的鼠標(biāo)操作行為進(jìn)行分析，實(shí)現(xiàn)檢測云用戶異常行為的方法。該方法首先通過鼠標(biāo)追蹤工具，記錄一定時(shí)間內(nèi)用戶的基本鼠標(biāo)操作行為軌跡，然后利用卷積神經(jīng)網(wǎng)絡(luò)對記錄的行為軌跡圖像進(jìn)行特征學(xué)習(xí)和分類。通過實(shí)驗(yàn)可知，所提出的方法能夠在保障用戶隱私的前提下，有效的檢測用戶的異常行為，同時(shí)可以避免對系統(tǒng)高維特征數(shù)據(jù)分析和處理，降低了異常行為檢測的難度。

關(guān)鍵詞：云安全;深度學(xué)習(xí);卷積神經(jīng)網(wǎng)絡(luò);操作行為;異常行為檢測

DOI：10.15938/j.jhust.2019.04.021

中圖分類號(hào)： TP301.6

文獻(xiàn)標(biāo)志碼： A

文章編號(hào)： 1007-2683（2019）04-0127-06

Abstract：Aiming at the problem of cloud security threat caused by illegal operation of cloud users， this paper proposes a method to detect the abnormal behavior of cloud users by analyzing the mouse operation behavior in user's work by using deep learning technology under the premise of ensuring the privacy of cloud users. Firstly， the mouse track tool is used to record the trajectory of the user's basic mouse operation within a certain period of time. Then， the convolution neural network is used to learn and classify the recorded trajectories. The experimental results show that the proposed method can effectively detect abnormal behavior of users under the precondition of ensuring user privacy， meanwhile， it can avoid the analysis and processing of high dimensional feature data and reduce the difficulty of abnormal behavior detection.

Keywords：cloud security; depth learning; convolutional neural network（CNN）; operational behavior; Abnormal behavior detection

0 引 言

云計(jì)算是一個(gè)開放的平臺(tái)，可以為來自世界各地的用戶提供計(jì)算資源和應(yīng)用服務(wù)。傳統(tǒng)的邊界式安全防御機(jī)制，雖然能很好的保障云平臺(tái)免于遭受來自于外部的攻擊，但很難防御內(nèi)部云用戶發(fā)起的攻擊。云用戶的分散性和不確定性決定無法從機(jī)制上實(shí)現(xiàn)對用戶的統(tǒng)一化管理，因此，如何應(yīng)對來自云平臺(tái)內(nèi)部用戶的攻擊是當(dāng)前云安全研究的熱點(diǎn)和難點(diǎn)問題。

在云計(jì)算平臺(tái)中，資源的所有權(quán)和管理權(quán)被分離，因此導(dǎo)致產(chǎn)生很多新的安全威脅，尤其是當(dāng)攻擊由云內(nèi)部用戶引起。2016年云安全聯(lián)盟（Cloud Security Alliance，CSA）發(fā)布一份關(guān)于2016年最具威脅的云安全問題報(bào)告——《The Treacherous 12-Cloud Computing Top Threats in 2016》，其中就包含由惡意內(nèi)部人員引起的安全威脅[1]。這些惡意人員可能是企業(yè)的員工、系統(tǒng)管理員、合作伙伴等不同角色，他們擁有對企業(yè)資源和數(shù)據(jù)的訪問和控制權(quán)限，出于不同目的對企業(yè)云服務(wù)或者整個(gè)云計(jì)算平臺(tái)進(jìn)行攻擊，由于現(xiàn)有的安全機(jī)制限制，這種安全威脅對云服務(wù)平臺(tái)具有巨大的威脅。在文獻(xiàn)[2]中列舉常見的云內(nèi)部威脅，包括云惡意管理員攻擊，云安全漏洞攻擊，對云復(fù)雜數(shù)據(jù)資源和訪問接口攻擊，以及利用內(nèi)部云資源攻擊。內(nèi)部安全威脅是近年來網(wǎng)絡(luò)安全領(lǐng)域的一大熱點(diǎn)問題，國內(nèi)外的研究學(xué)者對于內(nèi)部威脅展開研究[3-5]。

對于云用戶來說，不同的云用戶由于操作習(xí)慣和工作任務(wù)不同，往往在平臺(tái)上表現(xiàn)出不同的用戶行為，目前很多學(xué)者也提出了基于用戶的特征行為進(jìn)行安全檢測[6-7]。但是對于用戶行為檢測，往往需要通過分析系統(tǒng)中用戶的各種操作行為，甚至需要接觸用戶操作數(shù)據(jù)來進(jìn)行安全檢測，這種方式不僅需分析用戶各種操作產(chǎn)生的高維特征數(shù)據(jù)，同時(shí)也可能威脅到用戶在系統(tǒng)中隱私數(shù)據(jù)，造成二次安全威脅。

系統(tǒng)中的不同用戶往往具有不同的操作行為，因此可以通過對用戶的操作軌跡進(jìn)行分析，來對用戶身份和行為進(jìn)行安全檢測。本文提出一種通過記錄用戶操作行為的方式，來檢測異常用戶的方法。這種方式不需要分析用戶的高維特征數(shù)據(jù)，同時(shí)也不需要威脅用戶的隱私數(shù)據(jù)，可以作為當(dāng)前入侵檢測的一個(gè)有效補(bǔ)充。

1 相關(guān)技術(shù)分析

1.1 鼠標(biāo)行為分析

鼠標(biāo)行為特征分析是通過記錄系統(tǒng)中用戶在執(zhí)行特定操作時(shí)，鼠標(biāo)輸入事件，獲取用戶使用鼠標(biāo)時(shí)表現(xiàn)出的特征行為數(shù)據(jù)。鼠標(biāo)常用事件有：鼠標(biāo)左鍵單擊;鼠標(biāo)右鍵單擊;鼠標(biāo)雙擊;鼠標(biāo)拖動(dòng);鼠標(biāo)滑動(dòng);鼠標(biāo)滾輪拖動(dòng);鼠標(biāo)靜止;鼠標(biāo)多功能鍵點(diǎn)擊。在視窗化操作系統(tǒng)中，很多復(fù)雜的計(jì)算機(jī)操作任務(wù)都可以不同鼠標(biāo)事件的組合實(shí)現(xiàn)。

[10]CHA YJ， CHOI W， BUYUKOZTURK O.Deep Learning‐Based Crack Damage Detection Using Convolutional Neural Networks[J].Computer‐Aided Civil and Infrastructure Engineering，2017，32（5）：361.

[11]廖祥文，張麗瑤，宋志剛，等.基于卷積神經(jīng)網(wǎng)絡(luò)的中文微博觀點(diǎn)分類[J].模式識(shí)別與人工智能，2016（12）：1072.

[12]TOTH L. Phone recognition with hierarchical convolutional deep maxout networks [J].EURASIP Journal on Audio，Speech，and Music Processing，2015，（1）：1.

[13]劉明珠，鄭云非，樊金，等. 基于深度學(xué)習(xí)法的視頻文本區(qū)域定位與識(shí)別[J]. 哈爾濱理工大學(xué)學(xué)報(bào)，2016，21（6）： 61.

[14]盧宏濤，張秦川. 深度卷積神經(jīng)網(wǎng)絡(luò)在計(jì)算機(jī)視覺中的應(yīng)用研究綜述[J]. 數(shù)據(jù)采集與處理. 2016， 31 （1） ：1.

[15]李彥冬，郝宗波，雷航. 卷積神經(jīng)網(wǎng)絡(luò)研究綜述[J]. 計(jì)算機(jī)應(yīng)用，2016， 36 （9） ：2508.

[16]韓磊，曲中水. 一種RGB模型彩色圖像增強(qiáng)方法[J]. 哈爾濱理工大學(xué)學(xué)報(bào)，2014，19（6）：59.

[17]YUAN ZW， ZHANG J. Feature extraction and image retrieval based on AlexNet[C]// Eighth International Conference on Digital Image Processing. 2016：100330E.

[18]鄧柳，汪子杰. 基于深度卷積神經(jīng)網(wǎng)絡(luò)的車型識(shí)別研究[J]. 計(jì)算機(jī)應(yīng)用研究，2016，33（3）：930.

[19]TAIGMAN Y， YANG M， RANZATO M，et al. Deepface： Closing the Gap to Human-level Performance in Face Verification[C]// Computer Vision & Pattern Recognition， 2014 ：1701.

[20]GE FX， SHI Y， SUN B，et al. Sparse representation based classification by using PCA-SIFT descriptors[C]// IEEE International Conference on Information Science and Technology， 2014： 429.

（編輯：王 萍）