許洪軍 張洪 賀維

摘 要：針對由于云用戶的非法操作產生的云安全威脅問題，提出一種在保障云用戶隱私的前提下，利用深度學習技術對用戶工作中的鼠標操作行為進行分析，實現檢測云用戶異常行為的方法。該方法首先通過鼠標追蹤工具，記錄一定時間內用戶的基本鼠標操作行為軌跡，然后利用卷積神經網絡對記錄的行為軌跡圖像進行特征學習和分類。通過實驗可知，所提出的方法能夠在保障用戶隱私的前提下，有效的檢測用戶的異常行為，同時可以避免對系統(tǒng)高維特征數據分析和處理，降低了異常行為檢測的難度。

關鍵詞：云安全;深度學習;卷積神經網絡;操作行為;異常行為檢測

DOI：10.15938/j.jhust.2019.04.021

中圖分類號： TP301.6

文獻標志碼： A

文章編號： 1007-2683（2019）04-0127-06

Abstract：Aiming at the problem of cloud security threat caused by illegal operation of cloud users， this paper proposes a method to detect the abnormal behavior of cloud users by analyzing the mouse operation behavior in user's work by using deep learning technology under the premise of ensuring the privacy of cloud users. Firstly， the mouse track tool is used to record the trajectory of the user's basic mouse operation within a certain period of time. Then， the convolution neural network is used to learn and classify the recorded trajectories. The experimental results show that the proposed method can effectively detect abnormal behavior of users under the precondition of ensuring user privacy， meanwhile， it can avoid the analysis and processing of high dimensional feature data and reduce the difficulty of abnormal behavior detection.

Keywords：cloud security; depth learning; convolutional neural network（CNN）; operational behavior; Abnormal behavior detection

0 引 言

云計算是一個開放的平臺，可以為來自世界各地的用戶提供計算資源和應用服務。傳統(tǒng)的邊界式安全防御機制，雖然能很好的保障云平臺免于遭受來自于外部的攻擊，但很難防御內部云用戶發(fā)起的攻擊。云用戶的分散性和不確定性決定無法從機制上實現對用戶的統(tǒng)一化管理，因此，如何應對來自云平臺內部用戶的攻擊是當前云安全研究的熱點和難點問題。

在云計算平臺中，資源的所有權和管理權被分離，因此導致產生很多新的安全威脅，尤其是當攻擊由云內部用戶引起。2016年云安全聯盟（Cloud Security Alliance，CSA）發(fā)布一份關于2016年最具威脅的云安全問題報告——《The Treacherous 12-Cloud Computing Top Threats in 2016》，其中就包含由惡意內部人員引起的安全威脅[1]。這些惡意人員可能是企業(yè)的員工、系統(tǒng)管理員、合作伙伴等不同角色，他們擁有對企業(yè)資源和數據的訪問和控制權限，出于不同目的對企業(yè)云服務或者整個云計算平臺進行攻擊，由于現有的安全機制限制，這種安全威脅對云服務平臺具有巨大的威脅。在文獻[2]中列舉常見的云內部威脅，包括云惡意管理員攻擊，云安全漏洞攻擊，對云復雜數據資源和訪問接口攻擊，以及利用內部云資源攻擊。內部安全威脅是近年來網絡安全領域的一大熱點問題，國內外的研究學者對于內部威脅展開研究[3-5]。

對于云用戶來說，不同的云用戶由于操作習慣和工作任務不同，往往在平臺上表現出不同的用戶行為，目前很多學者也提出了基于用戶的特征行為進行安全檢測[6-7]。但是對于用戶行為檢測，往往需要通過分析系統(tǒng)中用戶的各種操作行為，甚至需要接觸用戶操作數據來進行安全檢測，這種方式不僅需分析用戶各種操作產生的高維特征數據，同時也可能威脅到用戶在系統(tǒng)中隱私數據，造成二次安全威脅。

系統(tǒng)中的不同用戶往往具有不同的操作行為，因此可以通過對用戶的操作軌跡進行分析，來對用戶身份和行為進行安全檢測。本文提出一種通過記錄用戶操作行為的方式，來檢測異常用戶的方法。這種方式不需要分析用戶的高維特征數據，同時也不需要威脅用戶的隱私數據，可以作為當前入侵檢測的一個有效補充。

1 相關技術分析

1.1 鼠標行為分析

鼠標行為特征分析是通過記錄系統(tǒng)中用戶在執(zhí)行特定操作時，鼠標輸入事件，獲取用戶使用鼠標時表現出的特征行為數據。鼠標常用事件有：鼠標左鍵單擊;鼠標右鍵單擊;鼠標雙擊;鼠標拖動;鼠標滑動;鼠標滾輪拖動;鼠標靜止;鼠標多功能鍵點擊。在視窗化操作系統(tǒng)中，很多復雜的計算機操作任務都可以不同鼠標事件的組合實現。

[10]CHA YJ， CHOI W， BUYUKOZTURK O.Deep Learning‐Based Crack Damage Detection Using Convolutional Neural Networks[J].Computer‐Aided Civil and Infrastructure Engineering，2017，32（5）：361.

[11]廖祥文，張麗瑤，宋志剛，等.基于卷積神經網絡的中文微博觀點分類[J].模式識別與人工智能，2016（12）：1072.

[12]TOTH L. Phone recognition with hierarchical convolutional deep maxout networks [J].EURASIP Journal on Audio，Speech，and Music Processing，2015，（1）：1.

[13]劉明珠，鄭云非，樊金，等. 基于深度學習法的視頻文本區(qū)域定位與識別[J]. 哈爾濱理工大學學報，2016，21（6）： 61.

[14]盧宏濤，張秦川. 深度卷積神經網絡在計算機視覺中的應用研究綜述[J]. 數據采集與處理. 2016， 31 （1） ：1.

[15]李彥冬，郝宗波，雷航. 卷積神經網絡研究綜述[J]. 計算機應用，2016， 36 （9） ：2508.

[16]韓磊，曲中水. 一種RGB模型彩色圖像增強方法[J]. 哈爾濱理工大學學報，2014，19（6）：59.

[17]YUAN ZW， ZHANG J. Feature extraction and image retrieval based on AlexNet[C]// Eighth International Conference on Digital Image Processing. 2016：100330E.

[18]鄧柳，汪子杰. 基于深度卷積神經網絡的車型識別研究[J]. 計算機應用研究，2016，33（3）：930.

[19]TAIGMAN Y， YANG M， RANZATO M，et al. Deepface： Closing the Gap to Human-level Performance in Face Verification[C]// Computer Vision & Pattern Recognition， 2014 ：1701.

[20]GE FX， SHI Y， SUN B，et al. Sparse representation based classification by using PCA-SIFT descriptors[C]// IEEE International Conference on Information Science and Technology， 2014： 429.

（編輯：王 萍）