云環(huán)境下改進(jìn)的非授權(quán)用戶入侵行為分析及檢測(cè)研究

鄭宇星

摘 要： 為改進(jìn)關(guān)聯(lián)規(guī)則模塊對(duì)非授權(quán)用戶入侵行為分析的效率，并提高可靠性，提出以多尺度理論對(duì)關(guān)聯(lián)規(guī)則挖掘進(jìn)行輔助，根據(jù)概念分層理論來(lái)確定數(shù)據(jù)尺度和數(shù)據(jù)尺度劃分，提出尺度下推的關(guān)聯(lián)規(guī)則挖掘算法。該算法利用從大尺度數(shù)據(jù)集中得到的知識(shí)及多尺度數(shù)據(jù)集之間的關(guān)系，推導(dǎo)小尺度數(shù)據(jù)集中隱含的知識(shí)，而不對(duì)小尺度數(shù)據(jù)集進(jìn)行直接挖掘，因此具有較高的運(yùn)行效率。將該算法運(yùn)用于云計(jì)算下基于改進(jìn)的關(guān)聯(lián)分析的非授權(quán)用戶入侵行為分析模型，能有效提高檢測(cè)速度。

關(guān)鍵詞： 云計(jì)算； 關(guān)聯(lián)規(guī)則； 多尺度； 多尺度下推； 概念分層

中圖分類號(hào)：TP393.4 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：1006-8228（2016）10-25-04

Analysis and detection of intrusion behavior of non authorized users in cloud environment

——Taking a college students' professional tendency analysis system as an example

Zheng Yuxing

（Anglo-Chinese College， Fuzhou， Fujian 350018， China）

Abstract： In order to improve the efficiency of the intrusion behavior analysis of unauthorized users by associate rule modules， the paper indicates that the theory of multi-scale could assist association rule data mining， it presents the definition of data-scale-partition and data-scale based on the theory of concept hierarchy， and provides the scaling-push association rules mining algorithm. This algorithm uses the knowledge generated from large-scale data sets and the relationship between multi-scale data sets to deduce the embedded knowledge of small-scale data sets， rather than directly conduct data mining towards small-scale data sets， so it has high operating efficiency. Based on the improved association analysis， if the algorithm could be used in the cloud computing intrusion behavior analysis model of non authorized users， the detection speed should be increased effectively.

Key words： cloud computing； association rules； multi-scale； multi-scale push； concept hierarchy

0 引言

云計(jì)算技術(shù)自2007年被提出后，幾年來(lái)得到了高速發(fā)展。它是分布式計(jì)算、網(wǎng)格計(jì)算、并行計(jì)算、網(wǎng)格存儲(chǔ)、虛擬化技術(shù)等聯(lián)合發(fā)展的產(chǎn)物。利用云計(jì)算技術(shù)，能高效地?cái)U(kuò)充信息與計(jì)算資源，實(shí)現(xiàn)資源的動(dòng)態(tài)流轉(zhuǎn)。與傳統(tǒng)的分布式存儲(chǔ)等數(shù)據(jù)存儲(chǔ)管理方式相比，云計(jì)算的可拓展性、可接入性、可持續(xù)性和維護(hù)成本都得到了極大的提升。其應(yīng)用已逐漸遍布所有領(lǐng)域。

雖然云計(jì)算的計(jì)算功能強(qiáng)大，又有無(wú)限的虛擬資源服務(wù)可作為拓展，但不可忽視的是，低成本接入的云服務(wù)背后帶來(lái)的安全信任問(wèn)題。

1 某高校專業(yè)傾向分析系統(tǒng)在云環(huán)境下的安全問(wèn)題

云計(jì)算服務(wù)的平臺(tái)為網(wǎng)絡(luò)社會(huì)提供了一個(gè)寬松開(kāi)放的數(shù)據(jù)平臺(tái)。尤其是在大數(shù)據(jù)發(fā)展的今天，云環(huán)境為跨地區(qū)資源的整合與實(shí)時(shí)動(dòng)態(tài)配置架設(shè)了一個(gè)低門檻的共享平臺(tái)。用戶可以在任意位置，使用任意終端來(lái)請(qǐng)求云服務(wù)，甚至不需要和服務(wù)提供商進(jìn)行交互，就能獲取所計(jì)算資源。

某高校為了能在教學(xué)、管理工作中更好地因材施教，動(dòng)態(tài)地調(diào)整教學(xué)計(jì)劃、方式，并與學(xué)生需求高度結(jié)合，發(fā)現(xiàn)學(xué)生潛在的求學(xué)意愿，在云服務(wù)平臺(tái)上架設(shè)了專業(yè)傾向分析系統(tǒng)。該系統(tǒng)支持兄弟院校的信息導(dǎo)入，同時(shí)提供本校師生信息的存儲(chǔ)、查詢、處理與數(shù)據(jù)分析。

對(duì)高校和個(gè)人用戶而言，彼此的數(shù)據(jù)是透明、互不相干的，但是實(shí)際上因?yàn)樵品?wù)具有的任意接入特性，使不同用戶的數(shù)據(jù)處在云服務(wù)的共享環(huán)境里。這些用戶數(shù)據(jù)內(nèi)含的信息如果泄露，就會(huì)對(duì)學(xué)校和學(xué)生產(chǎn)生不利影響。對(duì)某高校的專業(yè)傾向分析系統(tǒng)而言，云環(huán)境的安全問(wèn)題包括非授權(quán)用戶行為、數(shù)據(jù)隔離、數(shù)據(jù)恢復(fù)、社會(huì)公德與法規(guī)約束等方面。本文主要對(duì)非授權(quán)用戶的入侵行為監(jiān)控進(jìn)行分析。

2 某高校專業(yè)傾向分析系統(tǒng)中非授權(quán)用戶行為

在數(shù)據(jù)庫(kù)安全存儲(chǔ)中，授權(quán)用戶安全一直是一個(gè)重要的研究?jī)?nèi)容。某高校的專業(yè)傾向分析系統(tǒng)所架設(shè)的云環(huán)境平臺(tái)上，產(chǎn)生的是龐大的數(shù)據(jù)量，首先要考慮的就是不同用戶數(shù)據(jù)的有效隔離。云計(jì)算是一個(gè)多租戶的多任務(wù)構(gòu)架，包含用戶管理層、服務(wù)層、虛擬資源層、資源虛擬層、實(shí)際物理層。大數(shù)據(jù)的跨平臺(tái)傳輸應(yīng)用在一定程度上會(huì)帶來(lái)內(nèi)在風(fēng)險(xiǎn)，可以根據(jù)大數(shù)據(jù)的密級(jí)程度和用戶需求的不同，將大數(shù)據(jù)和用戶設(shè)定不同的權(quán)限等級(jí)，并嚴(yán)格控制訪問(wèn)控制權(quán)限[1]。用戶接入的簡(jiǎn)潔化對(duì)數(shù)據(jù)的確認(rèn)、用戶身份管理、隱私措施都帶來(lái)危害。只有值得信任的用戶行為才能得到云服務(wù)的支持，可以這么認(rèn)為，用戶對(duì)云服務(wù)的安全需求和云提供商的安全需求是相似的[2]。

云環(huán)境的任意接入是特色服務(wù)，因此不應(yīng)該使用限制用戶授權(quán)的方式來(lái)保證授權(quán)用戶的可信行為。在保持接入便利的前提下，通常對(duì)云環(huán)境的非授權(quán)用戶采用可信計(jì)算的解決方式，以主動(dòng)防御的安全方式應(yīng)對(duì)變化的非授權(quán)用戶行為。

傳統(tǒng)的非授權(quán)用戶行為監(jiān)控把用戶行為分成兩類，一類是合法的授權(quán)用戶行為，另一類是除了合法授權(quán)用戶行為以外的一切行為。這種劃分法簡(jiǎn)單粗暴，在數(shù)據(jù)量不大的情況下還能夠適應(yīng)安全應(yīng)用的需求。但是隨著互聯(lián)網(wǎng)信息技術(shù)的發(fā)展，授權(quán)用戶和非授權(quán)用戶的行為離散性太強(qiáng)，用以描述的指標(biāo)體系越來(lái)越龐大，用傳統(tǒng)的簡(jiǎn)單區(qū)分不僅容易漏過(guò)偽裝的非授權(quán)用戶行為，而且對(duì)授權(quán)用戶的正常操作行為也存在誤判?？梢?jiàn)，為了能夠分析監(jiān)控非授權(quán)用戶的行為，在云環(huán)境平臺(tái)上勢(shì)必設(shè)立對(duì)應(yīng)的入侵檢測(cè)分析構(gòu)架。

3 入侵檢測(cè)分析

一般的理解上，只有非法用戶的行為會(huì)對(duì)云環(huán)境下的數(shù)據(jù)安全造成破壞。但在實(shí)際的安全監(jiān)控中可以發(fā)現(xiàn)，即使是合法用戶也存在惡意使用云服務(wù)的情況，同樣也造成了非授權(quán)的不安全行為。因此在云環(huán)境的非授權(quán)用戶入侵檢測(cè)分析中，要區(qū)分這兩種情況。

基于云計(jì)算構(gòu)架的大數(shù)據(jù)，數(shù)據(jù)的存儲(chǔ)和操作都是以服務(wù)的形式提供的[3]。一個(gè)云環(huán)境下的非授權(quán)用戶入侵行為分析的基本流程如圖1所示。

對(duì)非授權(quán)用戶的入侵行為分析中，首先驗(yàn)證提交云服務(wù)申請(qǐng)的用戶的合法性，爭(zhēng)取在不安全行為的源頭就杜絕非法用戶的侵入。

在用戶的合法性驗(yàn)證通過(guò)后，給予對(duì)應(yīng)的行為授權(quán)，在這個(gè)階段，合法用戶有可能進(jìn)行非授權(quán)的不安全行為，而偽裝成合法用戶的非授權(quán)用戶更可能產(chǎn)生一系列惡意的行為操作。

因此在給予合法用戶行為授權(quán)之后，入侵檢測(cè)平臺(tái)持續(xù)進(jìn)行監(jiān)控，記錄并產(chǎn)生用戶的行為操作證據(jù)。

用戶行為是一個(gè)指標(biāo)體系龐大的離散數(shù)據(jù)，為了便于后續(xù)的分析，應(yīng)當(dāng)對(duì)其進(jìn)行降維操作，使用戶的行為證據(jù)規(guī)則化。

入侵行為分析中最重要的部分是授權(quán)行為評(píng)估，并對(duì)比行為數(shù)據(jù)庫(kù)，查證用戶行為是否產(chǎn)生不良影響。在這一階段，比對(duì)行為數(shù)據(jù)庫(kù)是關(guān)鍵。行為數(shù)據(jù)庫(kù)的完善與否對(duì)授權(quán)行為評(píng)估的正確性有重大的影響。

用戶行為千差萬(wàn)別，就算經(jīng)由降維整理，也將形成一個(gè)龐大的數(shù)據(jù)量。何況用戶的行為還在增加中，行為數(shù)據(jù)庫(kù)一旦沒(méi)有及時(shí)更新，就有可能疏漏某些非授權(quán)用戶的入侵行為。一個(gè)需要非授權(quán)用戶的行為發(fā)生后才能給予響應(yīng)的入侵行為監(jiān)控分析是失敗的產(chǎn)物。假如為了判別變異的、新增的用戶行為，而大量采用人工甄別，也不能及時(shí)響應(yīng)非授權(quán)用戶的入侵行為。顯然，在高速計(jì)算的云環(huán)境下，為了適應(yīng)非授權(quán)用戶行為的差別與變異，在云環(huán)境下的非授權(quán)用戶入侵行為分析必須使用主動(dòng)防御的構(gòu)架。

本文提出基于關(guān)聯(lián)規(guī)則的非授權(quán)用戶行為檢測(cè)模型，以主動(dòng)防御的理念為基石，使用數(shù)據(jù)挖掘的關(guān)聯(lián)規(guī)則算法設(shè)計(jì)用戶行為規(guī)則庫(kù)，目標(biāo)是自動(dòng)學(xué)習(xí)非授權(quán)用戶的入侵行為規(guī)則，得出對(duì)應(yīng)的響應(yīng)對(duì)策，更準(zhǔn)確、有效地阻止非授權(quán)用戶的入侵行為。

4 基于關(guān)聯(lián)規(guī)則的非授權(quán)用戶行為檢測(cè)

關(guān)聯(lián)規(guī)則是數(shù)據(jù)挖掘方法中最常被應(yīng)用的算法之一，它形如if→then格式，特點(diǎn)是能夠從大量冗雜的數(shù)據(jù)項(xiàng)中挖掘出不為人知的內(nèi)在關(guān)聯(lián)或隱藏在其中的相關(guān)關(guān)系。非授權(quán)用戶行為雖然時(shí)時(shí)都在變異、偽裝，但入侵技術(shù)也是一步一步進(jìn)步而來(lái)的，內(nèi)在也存在隱蔽的關(guān)聯(lián)關(guān)系。關(guān)聯(lián)規(guī)則擅長(zhǎng)發(fā)現(xiàn)記錄集中數(shù)據(jù)項(xiàng)與數(shù)據(jù)項(xiàng)互相關(guān)聯(lián)的隱蔽規(guī)則，其形式可以表示為：，其中，是數(shù)據(jù)庫(kù)中的數(shù)據(jù)項(xiàng)。也就是說(shuō)關(guān)聯(lián)規(guī)則不受復(fù)雜行為指標(biāo)體系的影響，只要挖掘出用戶行為滿足支持最小置信度的頻繁項(xiàng)目集，則認(rèn)為在一個(gè)用戶行為中出現(xiàn)某些特定行為，可以據(jù)此判斷推測(cè)出另一些用戶行為也將出現(xiàn)，由此檢測(cè)判斷出非授權(quán)用戶的入侵行為。

基于關(guān)聯(lián)規(guī)則的非授權(quán)用戶行為檢測(cè)模塊中，云平臺(tái)的控制臺(tái)、分析臺(tái)與關(guān)聯(lián)規(guī)則分析專家系統(tǒng)互相合作。由關(guān)聯(lián)分析專家系統(tǒng)讀取規(guī)則庫(kù)中的非授權(quán)用戶行為規(guī)則集，通過(guò)關(guān)聯(lián)分析結(jié)果，得出相應(yīng)措施，或修改規(guī)則庫(kù)，動(dòng)態(tài)增加新規(guī)則，其基本流程如圖2所示。

僅僅使用關(guān)聯(lián)規(guī)則進(jìn)行數(shù)據(jù)挖掘，對(duì)非授權(quán)用戶進(jìn)行行為檢測(cè)還不夠。關(guān)聯(lián)規(guī)則在挖掘之前雖然先由用戶設(shè)置了可信度和支持度的最小閾值，但是難免產(chǎn)生大量的無(wú)意義冗余規(guī)則。曾有學(xué)者采用指定一個(gè)或多個(gè)項(xiàng)作為挖掘前件和后件的策略，用以約束最小支持度和最小置信度的范圍。這種做法的缺陷是不夠靈活，在資源動(dòng)態(tài)配置的云服務(wù)環(huán)境下，人工約束最小支持度和最小置信度的方式顯得不夠靈活，對(duì)規(guī)則集的自主學(xué)習(xí)造成了影響。

為改進(jìn)關(guān)聯(lián)規(guī)則模塊對(duì)非授權(quán)用戶入侵行為分析的效率，并提高可靠性，本文提出以多尺度理論對(duì)關(guān)聯(lián)規(guī)則挖掘進(jìn)行輔助，盡可能擴(kuò)大關(guān)聯(lián)規(guī)則的挖掘領(lǐng)域提出尺度下推關(guān)聯(lián)規(guī)則挖掘算法。

5 多尺度關(guān)聯(lián)規(guī)則挖掘

尺度的概念來(lái)源于測(cè)量指標(biāo)。對(duì)客觀的研究對(duì)象而言，尺度是一種衡量的工具指標(biāo)，對(duì)數(shù)據(jù)挖掘的數(shù)據(jù)項(xiàng)目而言，尺度也是一種測(cè)量的單位。本文所研究的非授權(quán)用戶入侵行為在行為證據(jù)數(shù)據(jù)集的降維過(guò)程中，應(yīng)對(duì)數(shù)據(jù)在某一個(gè)特征集的一個(gè)屬性集就可以形成偏序結(jié)構(gòu)明確的概念分層，依據(jù)概念分層中相關(guān)概念對(duì)數(shù)據(jù)進(jìn)行劃分，就可以形成具有多尺度特性的數(shù)據(jù)集[4]。

非授權(quán)用戶的行為證據(jù)集符合不同概念為基準(zhǔn)的數(shù)據(jù)集特性，可以根據(jù)行為證據(jù)數(shù)據(jù)集中不同項(xiàng)的表現(xiàn)形式，實(shí)現(xiàn)從多個(gè)尺度分析離散數(shù)據(jù)。在挖掘規(guī)則中最關(guān)鍵的一點(diǎn)是如何為算法選擇適當(dāng)?shù)膶傩灾礫5]。當(dāng)數(shù)據(jù)集的屬性集是采用單一尺度進(jìn)行劃分時(shí)，每個(gè)數(shù)據(jù)子項(xiàng)目集合都根據(jù)某個(gè)具體的概念屬性值來(lái)區(qū)分，具有明確的數(shù)據(jù)含義。但是在多尺度劃分之下，能在多個(gè)概念層次上進(jìn)行頻繁項(xiàng)集的挖掘和分析，十分具有使用價(jià)值和研究意義[6]。

與單一尺度的數(shù)據(jù)集劃分不同，多尺度的數(shù)據(jù)集劃分非常容易造成數(shù)據(jù)集之間互相包含的情況。這是多尺度數(shù)據(jù)挖掘的特殊現(xiàn)象。如果多每一個(gè)劃分出來(lái)的多尺度數(shù)據(jù)集都進(jìn)行數(shù)據(jù)挖掘分析，雖然拓展了挖掘的知識(shí)深度，但也帶來(lái)的效率的底下。這里提出以尺度下推的思路指導(dǎo)關(guān)聯(lián)規(guī)則挖掘算法，從全局上把握非授權(quán)用戶入侵行為特征。

尺度下推指的是生成大尺度數(shù)據(jù)集和小尺度數(shù)據(jù)集，利用從大尺度數(shù)據(jù)集中得到的知識(shí)、領(lǐng)域知識(shí)及多尺度數(shù)據(jù)集之間的關(guān)系推導(dǎo)小尺度數(shù)據(jù)集中隱含的知識(shí)，而不對(duì)小尺度數(shù)據(jù)集進(jìn)行直接挖掘[4]。優(yōu)點(diǎn)是既充分發(fā)揮了多尺度對(duì)數(shù)據(jù)集的多層次劃分，豐富了挖掘的深度，又在數(shù)據(jù)全局的視野下以宏觀全面的知識(shí)推導(dǎo)數(shù)據(jù)的細(xì)節(jié)局部的知識(shí)。

針對(duì)非授權(quán)用戶入侵行為數(shù)據(jù)庫(kù)而言，多尺度劃分后的數(shù)據(jù)集豐富了關(guān)聯(lián)規(guī)則學(xué)習(xí)模塊的挖掘深度，而尺度下推的思路從數(shù)據(jù)全局的角度動(dòng)態(tài)地阻止關(guān)聯(lián)規(guī)則過(guò)分依賴頻繁項(xiàng)的弊端，對(duì)個(gè)體非授權(quán)用戶的入侵行為分析則具備數(shù)據(jù)全局的指導(dǎo)，對(duì)關(guān)聯(lián)規(guī)則的最小支持度和最小置信度的調(diào)整更為可靠。

6 結(jié)束語(yǔ)

云環(huán)境帶來(lái)了資源動(dòng)態(tài)配置的便利性，同時(shí)也給數(shù)據(jù)的隔離、安全使用帶來(lái)風(fēng)險(xiǎn)。本文以數(shù)據(jù)挖掘的關(guān)聯(lián)規(guī)則算法為基礎(chǔ)，提出一個(gè)非授權(quán)用戶入侵行為分析及檢測(cè)的模型系統(tǒng)。用戶的行為具有難以預(yù)估的離散性，因此適合采用關(guān)聯(lián)分析對(duì)用戶行為進(jìn)行分析挖掘。同時(shí)考慮用戶行為的多元化特性，本文提出以多尺度下推的概念來(lái)改進(jìn)關(guān)聯(lián)規(guī)則的數(shù)據(jù)挖掘過(guò)程，不僅使用多尺度劃分的用戶行為數(shù)據(jù)集項(xiàng)進(jìn)行拓展的數(shù)據(jù)挖掘，而且以全局視野的數(shù)據(jù)推導(dǎo)局部數(shù)據(jù)的細(xì)節(jié)，能加快關(guān)聯(lián)規(guī)則分析的速度和準(zhǔn)確性。該模型能夠?qū)τ脩粜袨檫M(jìn)行有效監(jiān)控、評(píng)估，其主動(dòng)學(xué)習(xí)新的規(guī)則，可對(duì)未知的非授權(quán)用戶行為作出判斷和響應(yīng)，實(shí)現(xiàn)主動(dòng)防御下的云環(huán)境數(shù)據(jù)安全。

參考文獻(xiàn)（References）：

[1] 郭三強(qiáng)，郭燕錦.大數(shù)據(jù)環(huán)境下的數(shù)據(jù)安全研究[J].科技廣場(chǎng)，

2013.2：28-31

[2] 李磊，鄭磊，張志鴻.基于群論的可信云計(jì)算平臺(tái)的研究與改

進(jìn)[J].科學(xué)技術(shù)與工程，2013.17：5015-5020

[3] 曾中良.大數(shù)據(jù)時(shí)代的企業(yè)信息安全保障[J].網(wǎng)絡(luò)安全技術(shù)

與應(yīng)用，2014.8：137-138

[4] 柳萌萌，趙書良，陳敏，李曉超.多尺度關(guān)聯(lián)規(guī)則挖掘的尺度上

推算法[J].計(jì)算機(jī)應(yīng)用研究，2015.10：2924-2929

[5] 郭曉波，趙書良，王長(zhǎng)賓，陳敏.一種新的面向普通用戶的多值

屬性關(guān)聯(lián)規(guī)則可視化挖掘方法[J].電子學(xué)報(bào)，2015.2：344-352

[6] CAGLIERO L，CERQUITELLI T，GARZA P，et al Misleading

generalized itemset discovery[J]. Expert Systemswith Applications，2014.41（2）：1400-1410