物联网技术 2014年 / 第3期
可靠传输 Reliable Transmission
54
0 引 言
随着网络技术的普及和社会发展对信息系统的依赖程度
不断增强,保证信息系统安全、可靠、稳定运行对确保社会
各组成部分的正常运转具有越来越重要的意义。信息系统所
可能面临的威胁可以分为针对系统本身及针对其内部信息两
类,针对内部信息的威胁包括对数据以及对处理这些数据的
信息系统应用的威胁,对这类威胁进行自动检测和防御已经
成为网络安全研究的重点 [1-3]。
威胁检测通过在系统中若干关键点收集信息,并对这些
信息进行分析,与已知的威胁特征或与正常模型进行比较,从
而发现威胁迹象。现在大多数的威胁检测都是在主机上对系
统调用序列以机器学习的方式进行建模 [4,5],但是单个主机的
计算能力有限,监控所有的系统调用序列会造成较高的负荷,
且系统调用产生的信息繁杂,威胁检测与防御较为困难而且
易引起较高的误报 [6]。
通过对企业及政府部门内部信息系统的威胁行为分析发
现,大多数威胁都是通过对文件系统的访问实现其非法访问
信息的目的 [7],因此,文件系统可以成为威胁检测监控的较好
选择;而由于不同终端在信息系统内部承担功能以及存储文件
安全级别的不同,针对不同终端应该采用不同的威胁防御策
略 [8]。基于此,本文从一个新的角度提出了一个基于云架构的
分级威胁防御机制,在客户端监控与记录进程对文件系统的
访问行为,将可疑行为传递给云端,在云端按照主机的信息安
全级别建立不同行为模型,按照行为特征分析客户端系统中
存在的威胁,同时,云端对不同终端提供的报告信息进行融
合,进而判断出系统薄弱环节,并将处理策略发放给相关客户
端群。该机制为信息系统内部不同安全级别终端的威胁检测
与防御提供了有效的解决方法,并通过云架构提供了更多的
存储空间和更快速的处理能力,使得系统资源服务得到充分利
用同时减少了客户端负荷。
1 基于云架构的威胁防御机制总体设计
基于云架构的威胁防御机制依靠网络服务实现信息系统
内部不同信息安全级别用户终端威胁的实时防御。在结构上可
分为用户终端与服务器端 [9,10],用户终端完成文件访问行为的
监控、异常行为的发现和威胁的处理;服务器端即云端主要
完成异常行为报告的融合、威胁行为判定、和系统薄弱环节
发现等。其结构示意图如图 1 所示。
ĂĂ
Ӂㄟᴽ࣑ಘ
ĂĂ
⭘ᡧ㓸ㄟ
�н਼ᆹޘ㓗࡛�
图 1 基于云架构的信息系统分级威胁防御机制结构示意图
在功能上主要分为文件访问行为监控、文件访问行为建
模、威胁行为报告融合与威胁发现、威胁处理几个模块。其
工作流程如下:
文件访问行为监控模块对用户终端的文件访问行为进行
基于云架构的信息系统分级威胁防御机制
郑敏娇,王 喆,刘 炯
(西安通信学院,陕西 西安 710106)
摘 要:针对信息系统自身安全需求及威胁行为特征,提出了基于云架构的分级威胁防御机制。该机制将信息系统作为
一个整体进行威胁防护,将文件访问异常行为作为判断威胁的依据,并针对信息系统终端安全分级设计了不同的文件访问行
为模型,然后基于云架构进行部署,由用户终端节点对文件访问行为进行监控并主动提供威胁行为报告,再由服务器端进行信
息关联融合。在发现威胁同时发现信息系统自身薄弱环节及恶意节点时,可使整个网络系统能及时、有效地抵御威胁攻击,因
而在提高防护精度的同时,也提高了效能,从而为信息系统威胁防护提供了有效的解决办法。
关键词:信息系统;威胁;文件;云架构;分级
中图分类号:TP393 文献标识码:A 文章编号:2095-1302(2014)03-0054-03
————————————————
收稿日期:2013-12-10
2014年 / 第3期 物联网技术
可靠传输 Reliable Transmission
55
监控,并与本地保存的常用文件访问行为模型进行比较,将不
符合该模型的行为视为文件访问异常行为,将相关信息生成
可疑行为报告提供给云端服务器;云端服务器在逻辑隔离的
不同虚拟环境下处理不同安全级别终端提交的信息,将异常
行为与不同安全级别的完整的文件正常访问行为模型和威胁
行为模型进行比较判断终端是否存在安全威胁,若仍不符合
该模型则生成威胁行为报告;当云端服务器收到来自不同用
户终端的大量威胁行为报告时,通过对威胁报告关联融合进
一步察觉出系统中存在的严重威胁、薄弱环节及可疑节点;同
时,云端会将威胁的解决方法分发至用户终端同时可以协助甚
至代替客户端防御威胁;其中,文件访问行为模型由云端逻辑
隔离的不同虚拟环境中的文件访问行为建模功能模块针对不
同安全级别终端文件访问行为特征建立,新的威胁行为及安
全行为的发现将实现模型库的增量增长。威胁防御机制流程
示意图如图 2 所示。
᮷Ԧ䇯䰞
㹼Ѫⴁ᧗
ᑨ⭘᮷Ԧ䇯䰞㹼Ѫ⁑
රᓃ˄唁�ⲭঅ˅
࠶᷀∄
䖳ᐕާ
⭘ᡧ㓸ㄟ
࠶᷀∄
䖳ᐕާ
᮷Ԧ䇯䰞㹼Ѫ⁑ර
ᓃ˄唁�ⲭঅ˅
㲊ᤏ䇑㇇䍴Ⓚо⧟ຳ
ਟ⯁㹼Ѫᣕ
ေ㛱㹼Ѫᣕ㶽
ਸоေ㛱ਁ⧠
ေ㛱༴⨶
ေ㛱㹼Ѫᣕ
ᴽ࣑ಘㄟ˄Ӂㄟ˅
᮷Ԧ䇯䰞
㹼Ѫᔪ⁑
图 2 基于云架构的信息系统分级威胁防御机制工作流程图
2 威胁防御机制主要功能模块设计
文件访问行为监控
在操作系统中,对于每一个文件访问请求,I/O 管理器都
会构造一个相应的 I/O 请求包向文件系统提出请求,文件系统
驱动组件则会有相应的处理。文件访问行为系统监控位于 I/O
管理器之下,文件系统之上,通过截获 I/O 请求包监视所有程
序的文件访问行为。与程序行为不同,正常的文件访问行为显
示出多态性,许多威胁活动不会影响到进程的系统调用序列,
却可以通过文件、进程、用户和操作的关系表现出异常的文
件访问。这些关系在用户安全级别、文件安全级别、安全策
略的影响下呈现出一定的规律性。文件访问行为监控通过发现
小概率的行为,发现异常行为的发生。
文件访问行为序列格式定义如表 1所列,包括序列号(ID),
访问的用户(USER)及用户组(GROUP)、进程名(PROCESS)、
操作(OPERATION)、文件本身的属性(PROPERTY)、访问
行为的源 IP(SRCIP)及文件所在的主机地址(DSTIP)。其中,
操作包括操作的类型、执行的结果,属性包括文件安全级别。
文件访问行为监控模块将截获 I/O 请求包序列化;分析
比较工具将该序列与本地模型库中的行为模型进行比较,存
在不一致则生成如图 3 所示的可疑行为报告提交至服务器。
可疑行为报告生成算法
输入:文件访问行为序列VS,常用文件访问模型库{CLi}
输出:威胁行为报告IR
步骤:
1.对于VS,检查是否满足VS. PROPERTY =CLi.
PROPERTY且= 且
=;若不满足,则IR=VS;若满
足,将这样的VS提交给服务器中的文件访问行为建模模
块。
2.对于IR,在提交至云端服务器同时在本机保存副本。
图 3 可疑行为报告生成算法
威胁行为报告融合与威胁发现
云端服务器为不同安全级别用户终端建立了不同的文件
访问行为模型、黑名单和白名单;并通过虚拟化和逻辑分配
实现服务器资源的使用,云端服务器安全级别不能低于其所
保障的最高安全等级用户终端的级别。威胁行为报告提交至
云端服务器后,首先采用与终端同样的方法与完整的行为模型
库进行比较,若不符合模型,则将可疑行为报告生成威胁行
为报告进一步处理。对威胁行为报告进行关联、融合可疑发
现系统中存在的威胁以及系统自身的薄弱环节和恶意节点。
(1)威胁行为报告聚合
威胁行为的发生一般具有持续性,如果是真正的攻击行
为,其往往需要重复多次,这类行为的报告往往具有相同的
操作、源 IP、文件所在的主机地址等特征信息,利用这一特点,
将其关联聚合到一起,形成新的威胁行为报告信息,这一信
息可能是具有同一目标的某次威胁,或者多步威胁的某一步骤
重复进行而产生的信息,当这些报告来自大量不同的节点时,
表明威胁在网络中传播并影响了大量的用户节点,要引起重视,
采取相应措施。图 4 所示就是威胁行为报告聚合算法。
(2)威胁路径绘制
威胁行为的产生往往是针对系统中的薄弱环节进行的,
对于有预谋窃取某些重要文件的威胁行为,其往往是通过对
具有弱点的目标对象进行攻击,获取相应权限,再从已攻陷的
主机向其他目标发起的攻击,如此循环往复,直到达到最终目
标。对待这类攻击,在进行威胁清除,病毒库升级同时,对
威胁信息进行融合,绘制威胁发生的路径可以帮助管理员发
表 1 文件访问序列
ID USER GROUP PROCESS OPERATION PROPERTYSRCIPDSTIP
物联网技术 2014年 / 第3期
可靠传输 Reliable Transmission
56
现系统本身存在的薄弱环节进而采取相应措施进行防御。图 5
所示是威胁路径绘制算法。
威胁行为报告聚合算法
输入:聚合前的威胁行为报告集{IRi},时间间隔阈值t
输出:聚合后的威胁行为报告集{TRi}
步骤:
1.初始临时队列L,存放聚合过程中的威胁行为报告;
2.对于服务器收到的IRj,检查L中的每一报告TRj,是否满
足=
或=
或 =IRj. OPERATION,将这样的IRj归
入该TRj中;若不存在TRj,将该IRj存入L中;
3.对于L中的TRj,若在时间t内没有收到新的可归并的威胁
报告,则输出聚合后的威胁行为报告。
图 4 威胁行为报告聚合算法
威胁路径绘制算法
输入:威胁报告集{Ri}
输出:威胁路径图G=(V,E)
步骤:
1.对,将添加入G;
2.对,将添加入G;
3.添加边(,);
4.设置边的权重为该边的威胁数量和威胁类型的度量,表征
为 N
n
M
m+ ,其中N为告警总数,n为这条边上的告警总
数,M为告警类型的总数,m为这条边上的告警类型数。
图 5 威胁路径绘制算法
(3)恶意节点发现
恶意节点是指系统内部已被威胁控制的节点。如果系统
中存在着恶意的终端节点,其很可能通过持续向服务器发送虚
假威胁行为报告来干扰服务器端分析和处理有价值的行为报
告。在进行信息融合时,需要分辨出这类节点,排除这类报
告的干扰,优先处理有价值的威胁行为报告。其恶意节点发现
算法如图 6 所示。
3 结 语
针对信息系统内部信息的安全威胁多是通过对文件的异
常访问来进行的,针对此,本文设计了一个基于云架构的信息
系统分级威胁防御机制,发挥网络中服务器和用户终端节点的
各自优势,从全局的角度构成一个整体来对抗威胁攻击。用户
端主动收集并向服务器端提供文件访问异常行为报告;服务
器端针对不同安全级别用户终端建立各类正常行为模型和黑
白名单,使系统快速对威胁行为作出正确反应;并从全局角
度对威胁报告信息进行整合,在发现威胁的同时发现系统自
身薄弱环节,有效促进了系统整体防御性能的提升。
恶意节点发现算法
输入:节点提交报告数量集{Si},节点提交恶意报告数量集
{VSi},时间间隔阈值t,恶意节点阈值σ
输出:恶意节点集合{Dm}
步骤:
1.对于系统中的每一个终端,计算时间间隔t内节点的可信
度S VS Si i k
S Sk i
-
!" ,
/ ;
2.对于可信度低于σ的节点,认为它为恶意节点。
图 6 恶意节点发现算法
参 考 文 献
[1] WU Ying, JIANG Jian-hui. Frequency weighted hamming distance
based system call anomaly detection [C]// Proceedings of CSIE
2009. Los Angeles, California: IEEE, 2009: 105-109.
[2] 王辉,贾宗璞,申自浩,等 . 基于信息流的多级安全策略模型研究
[J]. 计算机科学,2010,37(1):75-78.
[3] PRAMANIK S, SANKARANARAYANAN V, UPADHYAYA S.
Security policies to mitigate insider threat in the document control
domain [C]// Proceedings of the 20th Annual Computer Security
Applications Conference. Tucson, Arizona, USA: IEEE, 2004:
304-313.
[4] 陶芬,尹芷仪,傅建明 . 基于系统调用的软件行为模型 [J]. 计算机
科学,2010,37(4) :151-157.
[5] GAO D, R EIT ER M K, SONG D. Behav iora l d i s t a nce
measurement using hidden Markov models [C]// Proceedings of
the 9th International Symposium on Recent Advances in Intrusion
Detection. Hamburg, Germany: RAID, 2006: 19-40.
[6] 吴瀛,江建慧,张蕊 . 基于系统调用的入侵检测研究进展 [J]. 计算
机科学,2011,38(1):20-24,47.
[7] 陈兰香 . 一种基于会话的安全 Web 文件服务模型 [J]. 计算机工程,
2011, 37(18): 127-130.
[8] 赵宝磊 . 浅谈涉密信息系统分级保护工作的实施 [J]. 网络与信息安
全,2010(3):80-83.
[9] 林果园,贺珊,黄皓,等 . 基于行为的云计算访问控制安全模型 [J].
通信学报, 2012,33(3):59-66.
[10] 徐小龙,熊婧夷,程春玲 . 基于云端计算架构的恶意代码联合防
御机制 [J]. 东南大学学报:自然科学版, 2011, 41(3): 220-226.
程图。本文所述方案经过了实际测试,验证了其可行性和可
靠性,具有实际应用价值。
参 考 文 献
[1] 孙泓波,顾红,苏为民 . 视频字符叠加技术的发展及四种实现方
案 [J]. 电子技术应用,2000(11):44-46.
[2] 匡炎 . 基于 FPGA 和 DSP 的图像采集处理系统的研究与实现 [D].
广州:华南理工大学,2010.
[3]MAXIM. MAX7456 datasheet[EB/OL].[2010-10-23].ht tp://
[4] 吴川,杨冬 . 基于 UPD6464 的视频字符叠加技术的研究 [J]. 电子
技术,2010(2): 18-20
[5] 费莉梅 . 网络视频录像机 OSD 子系统软件设计 [D]. 杭州:浙江大
学,2012.
(上接第53页)
