鄭敏嬌+王喆+劉炯

摘 要：針對(duì)信息系統(tǒng)自身安全需求及威脅行為特征，提出了基于云架構(gòu)的分級(jí)威脅防御機(jī)制。該機(jī)制將信息系統(tǒng)作為一個(gè)整體進(jìn)行威脅防護(hù)，將文件訪問(wèn)異常行為作為判斷威脅的依據(jù)，并針對(duì)信息系統(tǒng)終端安全分級(jí)設(shè)計(jì)了不同的文件訪問(wèn)行為模型，然后基于云架構(gòu)進(jìn)行部署，由用戶終端節(jié)點(diǎn)對(duì)文件訪問(wèn)行為進(jìn)行監(jiān)控并主動(dòng)提供威脅行為報(bào)告，再由服務(wù)器端進(jìn)行信息關(guān)聯(lián)融合。在發(fā)現(xiàn)威脅同時(shí)發(fā)現(xiàn)信息系統(tǒng)自身薄弱環(huán)節(jié)及惡意節(jié)點(diǎn)時(shí)，可使整個(gè)網(wǎng)絡(luò)系統(tǒng)能及時(shí)、有效地抵御威脅攻擊，因而在提高防護(hù)精度的同時(shí)，也提高了效能，從而為信息系統(tǒng)威脅防護(hù)提供了有效的解決辦法。

關(guān)鍵詞：信息系統(tǒng)；威脅；文件；云架構(gòu)；分級(jí)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2095-1302（2014）03-0054-03

0 引 言

隨著網(wǎng)絡(luò)技術(shù)的普及和社會(huì)發(fā)展對(duì)信息系統(tǒng)的依賴程度不斷增強(qiáng)，保證信息系統(tǒng)安全、可靠、穩(wěn)定運(yùn)行對(duì)確保社會(huì)各組成部分的正常運(yùn)轉(zhuǎn)具有越來(lái)越重要的意義。信息系統(tǒng)所可能面臨的威脅可以分為針對(duì)系統(tǒng)本身及針對(duì)其內(nèi)部信息兩類，針對(duì)內(nèi)部信息的威脅包括對(duì)數(shù)據(jù)以及對(duì)處理這些數(shù)據(jù)的信息系統(tǒng)應(yīng)用的威脅，對(duì)這類威脅進(jìn)行自動(dòng)檢測(cè)和防御已經(jīng)成為網(wǎng)絡(luò)安全研究的重點(diǎn)[1-3]。

威脅檢測(cè)通過(guò)在系統(tǒng)中若干關(guān)鍵點(diǎn)收集信息，并對(duì)這些信息進(jìn)行分析，與已知的威脅特征或與正常模型進(jìn)行比較，從而發(fā)現(xiàn)威脅跡象?，F(xiàn)在大多數(shù)的威脅檢測(cè)都是在主機(jī)上對(duì)系統(tǒng)調(diào)用序列以機(jī)器學(xué)習(xí)的方式進(jìn)行建模[4，5]，但是單個(gè)主機(jī)的計(jì)算能力有限，監(jiān)控所有的系統(tǒng)調(diào)用序列會(huì)造成較高的負(fù)荷，且系統(tǒng)調(diào)用產(chǎn)生的信息繁雜，威脅檢測(cè)與防御較為困難而且易引起較高的誤報(bào)[6]。

通過(guò)對(duì)企業(yè)及政府部門(mén)內(nèi)部信息系統(tǒng)的威脅行為分析發(fā)現(xiàn)，大多數(shù)威脅都是通過(guò)對(duì)文件系統(tǒng)的訪問(wèn)實(shí)現(xiàn)其非法訪問(wèn)信息的目的[7]，因此，文件系統(tǒng)可以成為威脅檢測(cè)監(jiān)控的較好選擇；而由于不同終端在信息系統(tǒng)內(nèi)部承擔(dān)功能以及存儲(chǔ)文件安全級(jí)別的不同，針對(duì)不同終端應(yīng)該采用不同的威脅防御策略[8]?；诖耍疚膹囊粋€(gè)新的角度提出了一個(gè)基于云架構(gòu)的分級(jí)威脅防御機(jī)制，在客戶端監(jiān)控與記錄進(jìn)程對(duì)文件系統(tǒng)的訪問(wèn)行為，將可疑行為傳遞給云端，在云端按照主機(jī)的信息安全級(jí)別建立不同行為模型，按照行為特征分析客戶端系統(tǒng)中存在的威脅，同時(shí)，云端對(duì)不同終端提供的報(bào)告信息進(jìn)行融合，進(jìn)而判斷出系統(tǒng)薄弱環(huán)節(jié)，并將處理策略發(fā)放給相關(guān)客戶端群。該機(jī)制為信息系統(tǒng)內(nèi)部不同安全級(jí)別終端的威脅檢測(cè)與防御提供了有效的解決方法，并通過(guò)云架構(gòu)提供了更多的存儲(chǔ)空間和更快速的處理能力，使得系統(tǒng)資源服務(wù)得到充分利用同時(shí)減少了客戶端負(fù)荷。

1 基于云架構(gòu)的威脅防御機(jī)制總體設(shè)計(jì)

基于云架構(gòu)的威脅防御機(jī)制依靠網(wǎng)絡(luò)服務(wù)實(shí)現(xiàn)信息系統(tǒng)內(nèi)部不同信息安全級(jí)別用戶終端威脅的實(shí)時(shí)防御。在結(jié)構(gòu)上可分為用戶終端與服務(wù)器端[9，10]，用戶終端完成文件訪問(wèn)行為的監(jiān)控、異常行為的發(fā)現(xiàn)和威脅的處理；服務(wù)器端即云端主要完成異常行為報(bào)告的融合、威脅行為判定、和系統(tǒng)薄弱環(huán)節(jié)發(fā)現(xiàn)等。其結(jié)構(gòu)示意圖如圖1 所示。

圖1 基于云架構(gòu)的信息系統(tǒng)分級(jí)威脅防御機(jī)制結(jié)構(gòu)示意圖

在功能上主要分為文件訪問(wèn)行為監(jiān)控、文件訪問(wèn)行為建模、威脅行為報(bào)告融合與威脅發(fā)現(xiàn)、威脅處理幾個(gè)模塊。其工作流程如下：

文件訪問(wèn)行為監(jiān)控模塊對(duì)用戶終端的文件訪問(wèn)行為進(jìn)行監(jiān)控，并與本地保存的常用文件訪問(wèn)行為模型進(jìn)行比較，將不符合該模型的行為視為文件訪問(wèn)異常行為，將相關(guān)信息生成可疑行為報(bào)告提供給云端服務(wù)器；云端服務(wù)器在邏輯隔離的不同虛擬環(huán)境下處理不同安全級(jí)別終端提交的信息，將異常行為與不同安全級(jí)別的完整的文件正常訪問(wèn)行為模型和威脅行為模型進(jìn)行比較判斷終端是否存在安全威脅，若仍不符合該模型則生成威脅行為報(bào)告；當(dāng)云端服務(wù)器收到來(lái)自不同用戶終端的大量威脅行為報(bào)告時(shí)，通過(guò)對(duì)威脅報(bào)告關(guān)聯(lián)融合進(jìn)一步察覺(jué)出系統(tǒng)中存在的嚴(yán)重威脅、薄弱環(huán)節(jié)及可疑節(jié)點(diǎn)；同時(shí)，云端會(huì)將威脅的解決方法分發(fā)至用戶終端同時(shí)可以協(xié)助甚至代替客戶端防御威脅；其中，文件訪問(wèn)行為模型由云端邏輯隔離的不同虛擬環(huán)境中的文件訪問(wèn)行為建模功能模塊針對(duì)不同安全級(jí)別終端文件訪問(wèn)行為特征建立，新的威脅行為及安全行為的發(fā)現(xiàn)將實(shí)現(xiàn)模型庫(kù)的增量增長(zhǎng)。威脅防御機(jī)制流程示意圖如圖2 所示。

圖2 基于云架構(gòu)的信息系統(tǒng)分級(jí)威脅防御機(jī)制工作流程圖

2 威脅防御機(jī)制主要功能模塊設(shè)計(jì)

2.1 文件訪問(wèn)行為監(jiān)控

在操作系統(tǒng)中，對(duì)于每一個(gè)文件訪問(wèn)請(qǐng)求，I/O管理器都會(huì)構(gòu)造一個(gè)相應(yīng)的I/O請(qǐng)求包向文件系統(tǒng)提出請(qǐng)求，文件系統(tǒng)驅(qū)動(dòng)組件則會(huì)有相應(yīng)的處理。文件訪問(wèn)行為系統(tǒng)監(jiān)控位于I/O管理器之下，文件系統(tǒng)之上，通過(guò)截獲I/O請(qǐng)求包監(jiān)視所有程序的文件訪問(wèn)行為。與程序行為不同，正常的文件訪問(wèn)行為顯示出多態(tài)性，許多威脅活動(dòng)不會(huì)影響到進(jìn)程的系統(tǒng)調(diào)用序列，卻可以通過(guò)文件、進(jìn)程、用戶和操作的關(guān)系表現(xiàn)出異常的文件訪問(wèn)。這些關(guān)系在用戶安全級(jí)別、文件安全級(jí)別、安全策略的影響下呈現(xiàn)出一定的規(guī)律性。文件訪問(wèn)行為監(jiān)控通過(guò)發(fā)現(xiàn)小概率的行為，發(fā)現(xiàn)異常行為的發(fā)生。

文件訪問(wèn)行為序列格式定義如表1所列，包括序列號(hào)（ID），訪問(wèn)的用戶（USER）及用戶組（GROUP）、進(jìn)程名（PROCESS）、操作（OPERATION）、文件本身的屬性（PROPERTY）、訪問(wèn)行為的源IP（SRCIP）及文件所在的主機(jī)地址（DSTIP）。其中，操作包括操作的類型、執(zhí)行的結(jié)果，屬性包括文件安全級(jí)別。

文件訪問(wèn)行為監(jiān)控模塊將截獲I/O請(qǐng)求包序列化；分析比較工具將該序列與本地模型庫(kù)中的行為模型進(jìn)行比較，存在不一致則生成如圖3所示的可疑行為報(bào)告提交至服務(wù)器。

可疑行為報(bào)告生成算法

輸入：文件訪問(wèn)行為序列VS，常用文件訪問(wèn)模型庫(kù){CLi}

輸出：威脅行為報(bào)告IR

步驟：

1.對(duì)于VS，檢查是否滿足VS. PROPERTY =CLi.PROPERTY且VS.OPERATION= CLi.OPERATION且VS.GROUP=CLi.GROUP；若不滿足，則IR=VS；若滿足，將這樣的VS提交給服務(wù)器中的文件訪問(wèn)行為建模模塊。

2.對(duì)于IR，在提交至云端服務(wù)器同時(shí)在本機(jī)保存副本。

圖3 可疑行為報(bào)告生成算法

2.2 威脅行為報(bào)告融合與威脅發(fā)現(xiàn)

云端服務(wù)器為不同安全級(jí)別用戶終端建立了不同的文件訪問(wèn)行為模型、黑名單和白名單；并通過(guò)虛擬化和邏輯分配實(shí)現(xiàn)服務(wù)器資源的使用，云端服務(wù)器安全級(jí)別不能低于其所保障的最高安全等級(jí)用戶終端的級(jí)別。威脅行為報(bào)告提交至云端服務(wù)器后，首先采用與終端同樣的方法與完整的行為模型庫(kù)進(jìn)行比較，若不符合模型，則將可疑行為報(bào)告生成威脅行為報(bào)告進(jìn)一步處理。對(duì)威脅行為報(bào)告進(jìn)行關(guān)聯(lián)、融合可疑發(fā)現(xiàn)系統(tǒng)中存在的威脅以及系統(tǒng)自身的薄弱環(huán)節(jié)和惡意節(jié)點(diǎn)。

（1）威脅行為報(bào)告聚合

威脅行為的發(fā)生一般具有持續(xù)性，如果是真正的攻擊行為，其往往需要重復(fù)多次，這類行為的報(bào)告往往具有相同的操作、源IP、文件所在的主機(jī)地址等特征信息，利用這一特點(diǎn)，將其關(guān)聯(lián)聚合到一起，形成新的威脅行為報(bào)告信息，這一信息可能是具有同一目標(biāo)的某次威脅，或者多步威脅的某一步驟重復(fù)進(jìn)行而產(chǎn)生的信息，當(dāng)這些報(bào)告來(lái)自大量不同的節(jié)點(diǎn)時(shí)，表明威脅在網(wǎng)絡(luò)中傳播并影響了大量的用戶節(jié)點(diǎn)，要引起重視，采取相應(yīng)措施。圖4所示就是威脅行為報(bào)告聚合算法。

（2）威脅路徑繪制

威脅行為的產(chǎn)生往往是針對(duì)系統(tǒng)中的薄弱環(huán)節(jié)進(jìn)行的，對(duì)于有預(yù)謀竊取某些重要文件的威脅行為，其往往是通過(guò)對(duì)具有弱點(diǎn)的目標(biāo)對(duì)象進(jìn)行攻擊，獲取相應(yīng)權(quán)限，再?gòu)囊压ハ莸闹鳈C(jī)向其他目標(biāo)發(fā)起的攻擊，如此循環(huán)往復(fù)，直到達(dá)到最終目標(biāo)。對(duì)待這類攻擊，在進(jìn)行威脅清除，病毒庫(kù)升級(jí)同時(shí)，對(duì)威脅信息進(jìn)行融合，繪制威脅發(fā)生的路徑可以幫助管理員發(fā)現(xiàn)系統(tǒng)本身存在的薄弱環(huán)節(jié)進(jìn)而采取相應(yīng)措施進(jìn)行防御。圖5所示是威脅路徑繪制算法。

威脅行為報(bào)告聚合算法

輸入：聚合前的威脅行為報(bào)告集{IRi}，時(shí)間間隔閾值t

輸出：聚合后的威脅行為報(bào)告集{TRi}

步驟：

1.初始臨時(shí)隊(duì)列L，存放聚合過(guò)程中的威脅行為報(bào)告；

2.對(duì)于服務(wù)器收到的IRj，檢查L(zhǎng)中的每一報(bào)告TRj，是否滿足TRj.SRCIP=IRj.SRCIP

或TRj.DSTIP=IRj.DSTIP

或TRj.OPERATION =IRj. OPERATION，將這樣的IRj歸入該TRj中；若不存在TRj，將該IRj存入L中；

3.對(duì)于L中的TRj，若在時(shí)間t內(nèi)沒(méi)有收到新的可歸并的威脅報(bào)告，則輸出聚合后的威脅行為報(bào)告。

圖4 威脅行為報(bào)告聚合算法

威脅路徑繪制算法

輸入：威脅報(bào)告集{Ri}

輸出：威脅路徑圖G=（V，E）

步驟：

1.對(duì)Ri.SRCIPV，將Ri.SRCIP添加入G；

2.對(duì)Ri.DSTIPV，將Ri.DSTIP添加入G；

3.添加邊（Ri.SRCIP，Ri.DSTIP）；

4.設(shè)置邊的權(quán)重為該邊的威脅數(shù)量和威脅類型的度量，表征為，其中N為告警總數(shù)，n為這條邊上的告警總數(shù)，M為告警類型的總數(shù)，m為這條邊上的告警類型數(shù)。

圖5 威脅路徑繪制算法

（3）惡意節(jié)點(diǎn)發(fā)現(xiàn)

惡意節(jié)點(diǎn)是指系統(tǒng)內(nèi)部已被威脅控制的節(jié)點(diǎn)。如果系統(tǒng)中存在著惡意的終端節(jié)點(diǎn)，其很可能通過(guò)持續(xù)向服務(wù)器發(fā)送虛假威脅行為報(bào)告來(lái)干擾服務(wù)器端分析和處理有價(jià)值的行為報(bào)告。在進(jìn)行信息融合時(shí)，需要分辨出這類節(jié)點(diǎn)，排除這類報(bào)告的干擾，優(yōu)先處理有價(jià)值的威脅行為報(bào)告。其惡意節(jié)點(diǎn)發(fā)現(xiàn)算法如圖6所示。

3 結(jié) 語(yǔ)

針對(duì)信息系統(tǒng)內(nèi)部信息的安全威脅多是通過(guò)對(duì)文件的異常訪問(wèn)來(lái)進(jìn)行的，針對(duì)此，本文設(shè)計(jì)了一個(gè)基于云架構(gòu)的信息系統(tǒng)分級(jí)威脅防御機(jī)制，發(fā)揮網(wǎng)絡(luò)中服務(wù)器和用戶終端節(jié)點(diǎn)的各自優(yōu)勢(shì)，從全局的角度構(gòu)成一個(gè)整體來(lái)對(duì)抗威脅攻擊。用戶端主動(dòng)收集并向服務(wù)器端提供文件訪問(wèn)異常行為報(bào)告；服務(wù)器端針對(duì)不同安全級(jí)別用戶終端建立各類正常行為模型和黑白名單，使系統(tǒng)快速對(duì)威脅行為作出正確反應(yīng)；并從全局角度對(duì)威脅報(bào)告信息進(jìn)行整合，在發(fā)現(xiàn)威脅的同時(shí)發(fā)現(xiàn)系統(tǒng)自身薄弱環(huán)節(jié)，有效促進(jìn)了系統(tǒng)整體防御性能的提升。

惡意節(jié)點(diǎn)發(fā)現(xiàn)算法

輸入：節(jié)點(diǎn)提交報(bào)告數(shù)量集{Si}，節(jié)點(diǎn)提交惡意報(bào)告數(shù)量集{VSi}，時(shí)間間隔閾值t，惡意節(jié)點(diǎn)閾值σ

輸出：惡意節(jié)點(diǎn)集合{Dm}

步驟：

1.對(duì)于系統(tǒng)中的每一個(gè)終端，計(jì)算時(shí)間間隔t內(nèi)節(jié)點(diǎn)的可信度；

2.對(duì)于可信度低于σ的節(jié)點(diǎn)，認(rèn)為它為惡意節(jié)點(diǎn)。

圖6 惡意節(jié)點(diǎn)發(fā)現(xiàn)算法

參 考 文 獻(xiàn)

[1] WU Ying， JIANG Jian-hui. Frequency weighted hamming distance based system call anomaly detection [C]// Proceedings of CSIE 2009. Los Angeles， California： IEEE， 2009： 105-109.

[2]王輝，賈宗璞，申自浩，等.基于信息流的多級(jí)安全策略模型研究[J]. 計(jì)算機(jī)科學(xué)，2010，37（1）：75-78.

[3] PRAMANIK S， SANKARANARAYANAN V， UPADHYAYA S. Security policies to mitigate insider threat in the document control domain [C]// Proceedings of the 20th Annual Computer Security Applications Conference. Tucson， Arizona， USA： IEEE， 2004： 304-313.

[4]陶芬，尹芷儀，傅建明. 基于系統(tǒng)調(diào)用的軟件行為模型[J]. 計(jì)算機(jī)科學(xué)，2010，37（4） ：151-157.

[5] GAO D， REITER M K， SONG D. Behavioral distance measurement using hidden Markov models [C]// Proceedings of the 9th International Symposium on Recent Advances in Intrusion Detection. Hamburg， Germany： RAID， 2006： 19-40.

[6]吳瀛，江建慧，張蕊. 基于系統(tǒng)調(diào)用的入侵檢測(cè)研究進(jìn)展[J]. 計(jì)算機(jī)科學(xué)，2011，38（1）：20-24，47.

[7]陳蘭香. 一種基于會(huì)話的安全Web 文件服務(wù)模型[J]. 計(jì)算機(jī)工程， 2011， 37（18）： 127-130.

[8]趙寶磊. 淺談涉密信息系統(tǒng)分級(jí)保護(hù)工作的實(shí)施[J]. 網(wǎng)絡(luò)與信息安全，2010（3）：80-83.

[9]林果園，賀珊，黃皓，等. 基于行為的云計(jì)算訪問(wèn)控制安全模型[J]. 通信學(xué)報(bào)， 2012，33（3）：59-66.

[10]徐小龍，熊婧夷，程春玲. 基于云端計(jì)算架構(gòu)的惡意代碼聯(lián)合防御機(jī)制[J]. 東南大學(xué)學(xué)報(bào)：自然科學(xué)版， 2011， 41（3）： 220-226.

步驟：

1.對(duì)于VS，檢查是否滿足VS. PROPERTY =CLi.PROPERTY且VS.OPERATION= CLi.OPERATION且VS.GROUP=CLi.GROUP；若不滿足，則IR=VS；若滿足，將這樣的VS提交給服務(wù)器中的文件訪問(wèn)行為建模模塊。

2.對(duì)于IR，在提交至云端服務(wù)器同時(shí)在本機(jī)保存副本。

圖3 可疑行為報(bào)告生成算法

2.2 威脅行為報(bào)告融合與威脅發(fā)現(xiàn)

云端服務(wù)器為不同安全級(jí)別用戶終端建立了不同的文件訪問(wèn)行為模型、黑名單和白名單；并通過(guò)虛擬化和邏輯分配實(shí)現(xiàn)服務(wù)器資源的使用，云端服務(wù)器安全級(jí)別不能低于其所保障的最高安全等級(jí)用戶終端的級(jí)別。威脅行為報(bào)告提交至云端服務(wù)器后，首先采用與終端同樣的方法與完整的行為模型庫(kù)進(jìn)行比較，若不符合模型，則將可疑行為報(bào)告生成威脅行為報(bào)告進(jìn)一步處理。對(duì)威脅行為報(bào)告進(jìn)行關(guān)聯(lián)、融合可疑發(fā)現(xiàn)系統(tǒng)中存在的威脅以及系統(tǒng)自身的薄弱環(huán)節(jié)和惡意節(jié)點(diǎn)。

（1）威脅行為報(bào)告聚合

威脅行為的發(fā)生一般具有持續(xù)性，如果是真正的攻擊行為，其往往需要重復(fù)多次，這類行為的報(bào)告往往具有相同的操作、源IP、文件所在的主機(jī)地址等特征信息，利用這一特點(diǎn)，將其關(guān)聯(lián)聚合到一起，形成新的威脅行為報(bào)告信息，這一信息可能是具有同一目標(biāo)的某次威脅，或者多步威脅的某一步驟重復(fù)進(jìn)行而產(chǎn)生的信息，當(dāng)這些報(bào)告來(lái)自大量不同的節(jié)點(diǎn)時(shí)，表明威脅在網(wǎng)絡(luò)中傳播并影響了大量的用戶節(jié)點(diǎn)，要引起重視，采取相應(yīng)措施。圖4所示就是威脅行為報(bào)告聚合算法。

（2）威脅路徑繪制

威脅行為的產(chǎn)生往往是針對(duì)系統(tǒng)中的薄弱環(huán)節(jié)進(jìn)行的，對(duì)于有預(yù)謀竊取某些重要文件的威脅行為，其往往是通過(guò)對(duì)具有弱點(diǎn)的目標(biāo)對(duì)象進(jìn)行攻擊，獲取相應(yīng)權(quán)限，再?gòu)囊压ハ莸闹鳈C(jī)向其他目標(biāo)發(fā)起的攻擊，如此循環(huán)往復(fù)，直到達(dá)到最終目標(biāo)。對(duì)待這類攻擊，在進(jìn)行威脅清除，病毒庫(kù)升級(jí)同時(shí)，對(duì)威脅信息進(jìn)行融合，繪制威脅發(fā)生的路徑可以幫助管理員發(fā)現(xiàn)系統(tǒng)本身存在的薄弱環(huán)節(jié)進(jìn)而采取相應(yīng)措施進(jìn)行防御。圖5所示是威脅路徑繪制算法。

威脅行為報(bào)告聚合算法

輸入：聚合前的威脅行為報(bào)告集{IRi}，時(shí)間間隔閾值t

輸出：聚合后的威脅行為報(bào)告集{TRi}

步驟：

1.初始臨時(shí)隊(duì)列L，存放聚合過(guò)程中的威脅行為報(bào)告；

2.對(duì)于服務(wù)器收到的IRj，檢查L(zhǎng)中的每一報(bào)告TRj，是否滿足TRj.SRCIP=IRj.SRCIP

或TRj.DSTIP=IRj.DSTIP

或TRj.OPERATION =IRj. OPERATION，將這樣的IRj歸入該TRj中；若不存在TRj，將該IRj存入L中；

3.對(duì)于L中的TRj，若在時(shí)間t內(nèi)沒(méi)有收到新的可歸并的威脅報(bào)告，則輸出聚合后的威脅行為報(bào)告。

圖4 威脅行為報(bào)告聚合算法

威脅路徑繪制算法

輸入：威脅報(bào)告集{Ri}

輸出：威脅路徑圖G=（V，E）

步驟：

1.對(duì)Ri.SRCIPV，將Ri.SRCIP添加入G；

2.對(duì)Ri.DSTIPV，將Ri.DSTIP添加入G；

3.添加邊（Ri.SRCIP，Ri.DSTIP）；

4.設(shè)置邊的權(quán)重為該邊的威脅數(shù)量和威脅類型的度量，表征為，其中N為告警總數(shù)，n為這條邊上的告警總數(shù)，M為告警類型的總數(shù)，m為這條邊上的告警類型數(shù)。

圖5 威脅路徑繪制算法

（3）惡意節(jié)點(diǎn)發(fā)現(xiàn)

惡意節(jié)點(diǎn)是指系統(tǒng)內(nèi)部已被威脅控制的節(jié)點(diǎn)。如果系統(tǒng)中存在著惡意的終端節(jié)點(diǎn)，其很可能通過(guò)持續(xù)向服務(wù)器發(fā)送虛假威脅行為報(bào)告來(lái)干擾服務(wù)器端分析和處理有價(jià)值的行為報(bào)告。在進(jìn)行信息融合時(shí)，需要分辨出這類節(jié)點(diǎn)，排除這類報(bào)告的干擾，優(yōu)先處理有價(jià)值的威脅行為報(bào)告。其惡意節(jié)點(diǎn)發(fā)現(xiàn)算法如圖6所示。

3 結(jié) 語(yǔ)

針對(duì)信息系統(tǒng)內(nèi)部信息的安全威脅多是通過(guò)對(duì)文件的異常訪問(wèn)來(lái)進(jìn)行的，針對(duì)此，本文設(shè)計(jì)了一個(gè)基于云架構(gòu)的信息系統(tǒng)分級(jí)威脅防御機(jī)制，發(fā)揮網(wǎng)絡(luò)中服務(wù)器和用戶終端節(jié)點(diǎn)的各自優(yōu)勢(shì)，從全局的角度構(gòu)成一個(gè)整體來(lái)對(duì)抗威脅攻擊。用戶端主動(dòng)收集并向服務(wù)器端提供文件訪問(wèn)異常行為報(bào)告；服務(wù)器端針對(duì)不同安全級(jí)別用戶終端建立各類正常行為模型和黑白名單，使系統(tǒng)快速對(duì)威脅行為作出正確反應(yīng)；并從全局角度對(duì)威脅報(bào)告信息進(jìn)行整合，在發(fā)現(xiàn)威脅的同時(shí)發(fā)現(xiàn)系統(tǒng)自身薄弱環(huán)節(jié)，有效促進(jìn)了系統(tǒng)整體防御性能的提升。

惡意節(jié)點(diǎn)發(fā)現(xiàn)算法

輸入：節(jié)點(diǎn)提交報(bào)告數(shù)量集{Si}，節(jié)點(diǎn)提交惡意報(bào)告數(shù)量集{VSi}，時(shí)間間隔閾值t，惡意節(jié)點(diǎn)閾值σ

輸出：惡意節(jié)點(diǎn)集合{Dm}

步驟：

1.對(duì)于系統(tǒng)中的每一個(gè)終端，計(jì)算時(shí)間間隔t內(nèi)節(jié)點(diǎn)的可信度；

2.對(duì)于可信度低于σ的節(jié)點(diǎn)，認(rèn)為它為惡意節(jié)點(diǎn)。

圖6 惡意節(jié)點(diǎn)發(fā)現(xiàn)算法

參 考 文 獻(xiàn)

[1] WU Ying， JIANG Jian-hui. Frequency weighted hamming distance based system call anomaly detection [C]// Proceedings of CSIE 2009. Los Angeles， California： IEEE， 2009： 105-109.

[2]王輝，賈宗璞，申自浩，等.基于信息流的多級(jí)安全策略模型研究[J]. 計(jì)算機(jī)科學(xué)，2010，37（1）：75-78.

[3] PRAMANIK S， SANKARANARAYANAN V， UPADHYAYA S. Security policies to mitigate insider threat in the document control domain [C]// Proceedings of the 20th Annual Computer Security Applications Conference. Tucson， Arizona， USA： IEEE， 2004： 304-313.

[4]陶芬，尹芷儀，傅建明. 基于系統(tǒng)調(diào)用的軟件行為模型[J]. 計(jì)算機(jī)科學(xué)，2010，37（4） ：151-157.

[5] GAO D， REITER M K， SONG D. Behavioral distance measurement using hidden Markov models [C]// Proceedings of the 9th International Symposium on Recent Advances in Intrusion Detection. Hamburg， Germany： RAID， 2006： 19-40.

[6]吳瀛，江建慧，張蕊. 基于系統(tǒng)調(diào)用的入侵檢測(cè)研究進(jìn)展[J]. 計(jì)算機(jī)科學(xué)，2011，38（1）：20-24，47.

[7]陳蘭香. 一種基于會(huì)話的安全Web 文件服務(wù)模型[J]. 計(jì)算機(jī)工程， 2011， 37（18）： 127-130.

[8]趙寶磊. 淺談涉密信息系統(tǒng)分級(jí)保護(hù)工作的實(shí)施[J]. 網(wǎng)絡(luò)與信息安全，2010（3）：80-83.

[9]林果園，賀珊，黃皓，等. 基于行為的云計(jì)算訪問(wèn)控制安全模型[J]. 通信學(xué)報(bào)， 2012，33（3）：59-66.

[10]徐小龍，熊婧夷，程春玲. 基于云端計(jì)算架構(gòu)的惡意代碼聯(lián)合防御機(jī)制[J]. 東南大學(xué)學(xué)報(bào)：自然科學(xué)版， 2011， 41（3）： 220-226.

步驟：

1.對(duì)于VS，檢查是否滿足VS. PROPERTY =CLi.PROPERTY且VS.OPERATION= CLi.OPERATION且VS.GROUP=CLi.GROUP；若不滿足，則IR=VS；若滿足，將這樣的VS提交給服務(wù)器中的文件訪問(wèn)行為建模模塊。

2.對(duì)于IR，在提交至云端服務(wù)器同時(shí)在本機(jī)保存副本。

圖3 可疑行為報(bào)告生成算法

2.2 威脅行為報(bào)告融合與威脅發(fā)現(xiàn)

云端服務(wù)器為不同安全級(jí)別用戶終端建立了不同的文件訪問(wèn)行為模型、黑名單和白名單；并通過(guò)虛擬化和邏輯分配實(shí)現(xiàn)服務(wù)器資源的使用，云端服務(wù)器安全級(jí)別不能低于其所保障的最高安全等級(jí)用戶終端的級(jí)別。威脅行為報(bào)告提交至云端服務(wù)器后，首先采用與終端同樣的方法與完整的行為模型庫(kù)進(jìn)行比較，若不符合模型，則將可疑行為報(bào)告生成威脅行為報(bào)告進(jìn)一步處理。對(duì)威脅行為報(bào)告進(jìn)行關(guān)聯(lián)、融合可疑發(fā)現(xiàn)系統(tǒng)中存在的威脅以及系統(tǒng)自身的薄弱環(huán)節(jié)和惡意節(jié)點(diǎn)。

（1）威脅行為報(bào)告聚合

威脅行為的發(fā)生一般具有持續(xù)性，如果是真正的攻擊行為，其往往需要重復(fù)多次，這類行為的報(bào)告往往具有相同的操作、源IP、文件所在的主機(jī)地址等特征信息，利用這一特點(diǎn)，將其關(guān)聯(lián)聚合到一起，形成新的威脅行為報(bào)告信息，這一信息可能是具有同一目標(biāo)的某次威脅，或者多步威脅的某一步驟重復(fù)進(jìn)行而產(chǎn)生的信息，當(dāng)這些報(bào)告來(lái)自大量不同的節(jié)點(diǎn)時(shí)，表明威脅在網(wǎng)絡(luò)中傳播并影響了大量的用戶節(jié)點(diǎn)，要引起重視，采取相應(yīng)措施。圖4所示就是威脅行為報(bào)告聚合算法。

（2）威脅路徑繪制

威脅行為的產(chǎn)生往往是針對(duì)系統(tǒng)中的薄弱環(huán)節(jié)進(jìn)行的，對(duì)于有預(yù)謀竊取某些重要文件的威脅行為，其往往是通過(guò)對(duì)具有弱點(diǎn)的目標(biāo)對(duì)象進(jìn)行攻擊，獲取相應(yīng)權(quán)限，再?gòu)囊压ハ莸闹鳈C(jī)向其他目標(biāo)發(fā)起的攻擊，如此循環(huán)往復(fù)，直到達(dá)到最終目標(biāo)。對(duì)待這類攻擊，在進(jìn)行威脅清除，病毒庫(kù)升級(jí)同時(shí)，對(duì)威脅信息進(jìn)行融合，繪制威脅發(fā)生的路徑可以幫助管理員發(fā)現(xiàn)系統(tǒng)本身存在的薄弱環(huán)節(jié)進(jìn)而采取相應(yīng)措施進(jìn)行防御。圖5所示是威脅路徑繪制算法。

威脅行為報(bào)告聚合算法

輸入：聚合前的威脅行為報(bào)告集{IRi}，時(shí)間間隔閾值t

輸出：聚合后的威脅行為報(bào)告集{TRi}

步驟：

1.初始臨時(shí)隊(duì)列L，存放聚合過(guò)程中的威脅行為報(bào)告；

2.對(duì)于服務(wù)器收到的IRj，檢查L(zhǎng)中的每一報(bào)告TRj，是否滿足TRj.SRCIP=IRj.SRCIP

或TRj.DSTIP=IRj.DSTIP

或TRj.OPERATION =IRj. OPERATION，將這樣的IRj歸入該TRj中；若不存在TRj，將該IRj存入L中；

3.對(duì)于L中的TRj，若在時(shí)間t內(nèi)沒(méi)有收到新的可歸并的威脅報(bào)告，則輸出聚合后的威脅行為報(bào)告。

圖4 威脅行為報(bào)告聚合算法

威脅路徑繪制算法

輸入：威脅報(bào)告集{Ri}

輸出：威脅路徑圖G=（V，E）

步驟：

1.對(duì)Ri.SRCIPV，將Ri.SRCIP添加入G；

2.對(duì)Ri.DSTIPV，將Ri.DSTIP添加入G；

3.添加邊（Ri.SRCIP，Ri.DSTIP）；

4.設(shè)置邊的權(quán)重為該邊的威脅數(shù)量和威脅類型的度量，表征為，其中N為告警總數(shù)，n為這條邊上的告警總數(shù)，M為告警類型的總數(shù)，m為這條邊上的告警類型數(shù)。

圖5 威脅路徑繪制算法

（3）惡意節(jié)點(diǎn)發(fā)現(xiàn)

惡意節(jié)點(diǎn)是指系統(tǒng)內(nèi)部已被威脅控制的節(jié)點(diǎn)。如果系統(tǒng)中存在著惡意的終端節(jié)點(diǎn)，其很可能通過(guò)持續(xù)向服務(wù)器發(fā)送虛假威脅行為報(bào)告來(lái)干擾服務(wù)器端分析和處理有價(jià)值的行為報(bào)告。在進(jìn)行信息融合時(shí)，需要分辨出這類節(jié)點(diǎn)，排除這類報(bào)告的干擾，優(yōu)先處理有價(jià)值的威脅行為報(bào)告。其惡意節(jié)點(diǎn)發(fā)現(xiàn)算法如圖6所示。

3 結(jié) 語(yǔ)

針對(duì)信息系統(tǒng)內(nèi)部信息的安全威脅多是通過(guò)對(duì)文件的異常訪問(wèn)來(lái)進(jìn)行的，針對(duì)此，本文設(shè)計(jì)了一個(gè)基于云架構(gòu)的信息系統(tǒng)分級(jí)威脅防御機(jī)制，發(fā)揮網(wǎng)絡(luò)中服務(wù)器和用戶終端節(jié)點(diǎn)的各自優(yōu)勢(shì)，從全局的角度構(gòu)成一個(gè)整體來(lái)對(duì)抗威脅攻擊。用戶端主動(dòng)收集并向服務(wù)器端提供文件訪問(wèn)異常行為報(bào)告；服務(wù)器端針對(duì)不同安全級(jí)別用戶終端建立各類正常行為模型和黑白名單，使系統(tǒng)快速對(duì)威脅行為作出正確反應(yīng)；并從全局角度對(duì)威脅報(bào)告信息進(jìn)行整合，在發(fā)現(xiàn)威脅的同時(shí)發(fā)現(xiàn)系統(tǒng)自身薄弱環(huán)節(jié)，有效促進(jìn)了系統(tǒng)整體防御性能的提升。

惡意節(jié)點(diǎn)發(fā)現(xiàn)算法

輸入：節(jié)點(diǎn)提交報(bào)告數(shù)量集{Si}，節(jié)點(diǎn)提交惡意報(bào)告數(shù)量集{VSi}，時(shí)間間隔閾值t，惡意節(jié)點(diǎn)閾值σ

輸出：惡意節(jié)點(diǎn)集合{Dm}

步驟：

1.對(duì)于系統(tǒng)中的每一個(gè)終端，計(jì)算時(shí)間間隔t內(nèi)節(jié)點(diǎn)的可信度；

2.對(duì)于可信度低于σ的節(jié)點(diǎn)，認(rèn)為它為惡意節(jié)點(diǎn)。

圖6 惡意節(jié)點(diǎn)發(fā)現(xiàn)算法

參 考 文 獻(xiàn)

[1] WU Ying， JIANG Jian-hui. Frequency weighted hamming distance based system call anomaly detection [C]// Proceedings of CSIE 2009. Los Angeles， California： IEEE， 2009： 105-109.

[2]王輝，賈宗璞，申自浩，等.基于信息流的多級(jí)安全策略模型研究[J]. 計(jì)算機(jī)科學(xué)，2010，37（1）：75-78.

[3] PRAMANIK S， SANKARANARAYANAN V， UPADHYAYA S. Security policies to mitigate insider threat in the document control domain [C]// Proceedings of the 20th Annual Computer Security Applications Conference. Tucson， Arizona， USA： IEEE， 2004： 304-313.

[4]陶芬，尹芷儀，傅建明. 基于系統(tǒng)調(diào)用的軟件行為模型[J]. 計(jì)算機(jī)科學(xué)，2010，37（4） ：151-157.

[5] GAO D， REITER M K， SONG D. Behavioral distance measurement using hidden Markov models [C]// Proceedings of the 9th International Symposium on Recent Advances in Intrusion Detection. Hamburg， Germany： RAID， 2006： 19-40.

[6]吳瀛，江建慧，張蕊. 基于系統(tǒng)調(diào)用的入侵檢測(cè)研究進(jìn)展[J]. 計(jì)算機(jī)科學(xué)，2011，38（1）：20-24，47.

[7]陳蘭香. 一種基于會(huì)話的安全Web 文件服務(wù)模型[J]. 計(jì)算機(jī)工程， 2011， 37（18）： 127-130.

[8]趙寶磊. 淺談涉密信息系統(tǒng)分級(jí)保護(hù)工作的實(shí)施[J]. 網(wǎng)絡(luò)與信息安全，2010（3）：80-83.

[9]林果園，賀珊，黃皓，等. 基于行為的云計(jì)算訪問(wèn)控制安全模型[J]. 通信學(xué)報(bào)， 2012，33（3）：59-66.

[10]徐小龍，熊婧夷，程春玲. 基于云端計(jì)算架構(gòu)的惡意代碼聯(lián)合防御機(jī)制[J]. 東南大學(xué)學(xué)報(bào)：自然科學(xué)版， 2011， 41（3）： 220-226.