CN106612287A - 一种云存储系统的持续性攻击的检测方法 - Google Patents

一种云存储系统的持续性攻击的检测方法 Download PDF

Info

Publication number
CN106612287A
CN106612287A CN201710018243.1A CN201710018243A CN106612287A CN 106612287 A CN106612287 A CN 106612287A CN 201710018243 A CN201710018243 A CN 201710018243A CN 106612287 A CN106612287 A CN 106612287A
Authority
CN
China
Prior art keywords
attack
cloud storage
defense
interval
state
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201710018243.1A
Other languages
English (en)
Other versions
CN106612287B (zh
Inventor
肖亮
许冬瑾
范业仙
谢彩霞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
XIAMEN DRAGON INFORMATION TECHNOLOGY Co.,Ltd.
Xiamen University
Original Assignee
Xiamen University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xiamen University filed Critical Xiamen University
Priority to CN201710018243.1A priority Critical patent/CN106612287B/zh
Publication of CN106612287A publication Critical patent/CN106612287A/zh
Application granted granted Critical
Publication of CN106612287B publication Critical patent/CN106612287B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

一种云存储系统的持续性攻击的检测方法,涉及计算机存储与信息安全。提供不需预知具体的高级持续性攻击模型,采用强化学习方法,可实现最优的设备扫描时间间隔,可抑制攻击者的攻击动机,降低攻击频率,提高云存储的数据隐私性能的一种云存储系统的持续性攻击的检测方法。提出一种云存储系统的高级持续性攻击的检测方法。在未知具体的高级持续性攻击模型情况下,通过强化学习使得防御系统能够根据高级持续性攻击在云存储设备的攻击时间间隔和持续时间等信息,设计可适应动态网络和攻击模式的检测方案。可抑制攻击者的攻击动机,降低攻击频率,提高云存储的数据隐私性能。

Description

一种云存储系统的持续性攻击的检测方法
技术领域
本发明涉及计算机存储与信息安全,尤其是涉及一种云存储系统的高级持续性攻击的检测方法。
背景技术
为满足迅速增长的移动数据量和用户计算需求,云计算技术通过互联网提供了动态的数据接入、存储和计算服务。随着金融支付等业务的广泛应用,云存储系统承载了大量的用户金融支付和私人文件等隐私敏感性数据,因此,云存储系统的安全性和隐私性成为制约其未来发展的关键因素。
目前云存储安全方面广泛研究的技术包括云存储的重复数据删除、隐藏存储、数据加密与密文搜索以及数据完整性审计等,以上技术在防御恶意用户或服务器发起的恶意攻击上也有深入研究。如:[Bellare M,Keelveedhi S,Ristenpart T.Dupless:Server-aided encryption for deduplicated storage[C]//Proceedings of the 22nd USENIXConference on Security.Washigton D C:USENIX Association,2013:179-194]提出在服务器端的重复数据删除方案中引入密钥管理服务器来抵御暴力攻击;[Puzio P,Molva R,Onen M,et al.ClouDedup:Secured deduplication with encrypted data for cloudstorage[C]//IEEE 5th International Conference on Cloud Computing Technologyand Science(CloudCom).Bristol:IEEE,2013:363-370.]设计了云存储系统下的数据块级重复数据删除方案在收敛加密的基础上引入了额外的加密操作和接入控制机制以抵御字典攻击。[Jung T,Li X Y,Wan Z,et al.Control cloud data access privilege andanonymity with fully anonymous attribute-based encryption[J].IEEETransactions on Information Forensics and Security,2015,10(1):190-199.]提出采用隐藏转移算法保护用户的身份信息,以抵御恶意用户间串谋攻击。中国专利CN103095847B公开一种云存储系统安全保障方法及其系统,采用证据方式和基于属性加密的访问控制机制,实现了高效、可扩展的访问控制,解决了云存储的海量用户访问海量数据的访问权限控制复杂的问题,为云存储系统提供了安全保障。
近年来出现的高级持续性威胁(APT)具有攻击持续性、高隐蔽性、长期潜伏等特性,传统的网络防御方法无法有效地抵御APT攻击,因此云存储系统很容易受到这种攻击。为了应对云计算下APT攻击,各国政府陆续制定和出台一系列相关政策来确保国家安全,国内外针对APT攻击的防御产品及方案不断涌现。例如美国政府大力支持的FireEye公司推出的APT防御产品,利用沙箱技术和静态分析防止0day漏洞、未知型攻击、木马程序;趋势科技的APT产品Deep Discovery利用沙盒技术、关联规则等技术,能有效防止含文件漏洞攻击附件的电子邮件、0day漏洞、僵尸程序、蠕虫等攻击。
现有的APT防御产品和方案各有侧重,并不能有效地防御所以的APT攻击。[M.vanDijk,A.Juels,A.Oprea,and R.L.Rivest,“Flipit:The game of stealthy takeover”,J.Cryptology,vol.26,no.4,pp 655–713,2013.]提出可将博弈论用于捕捉APT的隐形入侵访问特性,防御者和攻击者通过建立博弈模型来决定防御及攻击行为。但APT攻击行为常受攻击者主观性影响,攻击行为的不确定性,增加了攻击检测的难度。
发明内容
本发明的目的是着眼于解决云存储系统安全问题,针对高级持续性攻击提供不需预知具体的高级持续性攻击模型,采用强化学习方法,可实现最优的设备扫描时间间隔,可抑制攻击者的攻击动机,降低攻击频率,提高云存储的数据隐私性能的一种云存储系统的持续性攻击的检测方法。
本发明包括以下步骤:
1)防御系统将扫描时间间隔x量化为M个等级,x∈X=[am]1≤m≤M,其中0<am≤1;再观察云存储设备受到攻击的攻击时间间隔和持续时间等信息,将攻击时间间隔y与持续时间z量化为L个等级,y∈[bl]1≤l≤L,z∈[bl]1≤l≤L,其中0<bl≤1,M表示防御间隔的非零量化级;
2)初始化Q值矩阵为0,Q值矩阵即Q(s,x),表示在防御系统的每一个可用状态s,对于所有可选择的扫描时间间隔x分配一个对应的Q值;其中防御系统的状态s为上一时刻状态的攻击时间间隔与持续时间之和y+z;设置折扣因子δ(0≤δ≤1)和学习因子γ(0<γ≤1);
3)防御系统根据上一时刻状态观察的攻击时间间隔与持续时间和更新当前状态s;
4)防御系统以1-ε(0<ε<1)的概率,选择具有最大Q值的扫描时间间隔时间,以的概率随机选择其他的扫描时间间隔,并根据选择的扫描时间间隔对云存储设备进行检测;
5)观察当前时刻状态下的攻击时间间隔与持续时间之和y+z,获取防御系统单位时间所获收益G,计算当前状态下的即时效益uD,公式如下:
6)防御系统根据公式:
更新Q值。s'为防御系统的下一时刻状态,假设下一时刻状态与当前时刻状态相同;是防御系统在下一时刻状态下所有可选的扫描时间间隔x'对应的Q值中的最大值;
7)重复步骤3)~6),直到满足|Q(s,x)-Q(s′,x′)|≤0.01,即Q(s,x)收敛。
本发明能够根据高级持续性攻击在云存储设备的攻击时间间隔和持续时间等信息,设计可适应动态网络和攻击模式的检测方案。
在步骤1)中,所述防御系统可为云平台的所有云存储设备提供检测服务,为每个云存储设备独立选择扫描间隔时间。
在步骤5)中,所述即时效益是扫描间隔时间内云存储设备安全时间效益与检测时间收益之和。
本发明充分利用了防御者与攻击者间的行为博弈,不需预知具体的高级持续性攻击模型,通过强化学习方法使得防御系统能够根据攻击者行为动态地调整扫描时间间隔,从而抑制攻击者的攻击行为,降低攻击频率,提高云存储的数据隐私性能。
与现有的攻击检测方法不同,本发明提出一种云存储系统的高级持续性攻击的检测方法。在未知具体的高级持续性攻击模型情况下,通过强化学习使得防御系统能够根据高级持续性攻击在云存储设备的攻击时间间隔和持续时间等信息,设计可适应动态网络和攻击模式的检测方案。该方法可抑制攻击者的攻击动机,降低攻击频率,提高云存储的数据隐私性能。
具体实施方式
以下实施例将对本发明作进一步说明。
本发明实施例包含以下步骤:
1)防御系统将扫描时间间隔x量化为10个等级,x∈X=[0.1,0.2,..,1]。同时观察云存储设备受到攻击的攻击时间间隔和持续时间等信息,将攻击间隔y与持续时间z量化为10个等级,y∈[0.1,0.2,..,1],z∈[0.1,0.2,..,1]。所述防御系统为云平台的所有云存储设备提供检测服务,为每个云存储设备独立选择扫描间隔时间。
2)初始化Q值矩阵为0,Q值矩阵即Q(s,x),表示在防御系统的每一个可用状态s,对于所有可选择的扫描时间间隔x分配一个对应的Q值;其中防御系统的状态s为上一时刻状态的攻击时间间隔与持续时间之和y+z;设置折扣因子δ=0.6和学习因子γ=0.8。
3)防御系统以1-ε(0<ε<1)的概率,选择具有最大Q值的扫描时间间隔时间,以的概率随机选择其他的扫描时间间隔,并根据选择的扫描时间间隔对云存储设备进行检测。
5)观察当前时刻状态下的攻击时间间隔与持续时间之和y+z,获取防御系统单位时间所获收益G,计算当前状态下的即时效益uD,公式如下:
所述即时效益是扫描间隔时间内云存储设备安全时间效益与检测时间收益之和。
6)防御系统根据公式:
更新Q值。s'为防御系统的下一时刻状态,假设下一时刻状态与当前时刻状态相同;是防御系统在下一时刻状态下所有可选的扫描时间间隔x'对应的Q值中的最大值。
7)重复步骤3)~6),直到满足|Q(s,x)-Q(s′,x′)|≤0.01,即Q(s,x)收敛。
本发明能够根据高级持续性攻击在云存储设备的攻击时间间隔和持续时间等信息,设计可适应动态网络和攻击模式的检测方案。

Claims (3)

1.一种云存储系统的持续性攻击的检测方法,其特征在于包括以下步骤:
1)防御系统将扫描时间间隔x量化为M个等级,x∈X=[am]1≤m≤M,其中0<am≤1;再观察云存储设备受到攻击的攻击时间间隔和持续时间,将攻击时间间隔y与持续时间z量化为L个等级,y∈[bl]1≤l≤L,z∈[bl]1≤l≤L,其中0<bl≤1,M表示防御间隔的非零量化级;
2)初始化Q值矩阵为0,Q值矩阵即Q(s,x),表示在防御系统的每一个可用状态s,对于所有可选择的扫描时间间隔x分配一个对应的Q值;其中防御系统的状态s为上一时刻状态的攻击时间间隔与持续时间之和y+z;设置折扣因子δ和学习因子γ,其中0≤δ≤1,0<γ≤1;
3)防御系统根据上一时刻状态观察的攻击时间间隔与持续时间和更新当前状态s;
4)防御系统以1-ε的概率,选择具有最大Q值的扫描时间间隔时间,以的概率随机选择其他的扫描时间间隔,并根据选择的扫描时间间隔对云存储设备进行检测,其中0<ε<1;
5)观察当前时刻状态下的攻击时间间隔与持续时间之和y+z,获取防御系统单位时间所获收益G,计算当前状态下的即时效益uD,公式如下:
u D = min ( y + z x , 1 ) + x G ;
6)防御系统根据公式:
Q ( s , x ) ← ( 1 - γ ) Q ( s , x ) + γ ( u D + δ m a x x ′ ∈ X Q ( s ′ , x ′ ) )
更新Q值。s'为防御系统的下一时刻状态,假设下一时刻状态与当前时刻状态相同;是防御系统在下一时刻状态下所有可选的扫描时间间隔x'对应的Q值中的最大值;
7)重复步骤3)~6),直到满足|Q(s,x)-Q(s′,x′)|≤0.01,即Q(s,x)收敛。
2.如权利要求1所述一种云存储系统的持续性攻击的检测方法,其特征在于在步骤1)中,所述防御系统为云平台的所有云存储设备提供检测服务,为每个云存储设备独立选择扫描间隔时间。
3.如权利要求1所述一种云存储系统的持续性攻击的检测方法,其特征在于在步骤5)中,所述即时效益是扫描间隔时间内云存储设备安全时间效益与检测时间收益之和。
CN201710018243.1A 2017-01-10 2017-01-10 一种云存储系统的持续性攻击的检测方法 Active CN106612287B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710018243.1A CN106612287B (zh) 2017-01-10 2017-01-10 一种云存储系统的持续性攻击的检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710018243.1A CN106612287B (zh) 2017-01-10 2017-01-10 一种云存储系统的持续性攻击的检测方法

Publications (2)

Publication Number Publication Date
CN106612287A true CN106612287A (zh) 2017-05-03
CN106612287B CN106612287B (zh) 2019-05-07

Family

ID=58636171

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710018243.1A Active CN106612287B (zh) 2017-01-10 2017-01-10 一种云存储系统的持续性攻击的检测方法

Country Status (1)

Country Link
CN (1) CN106612287B (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107277065A (zh) * 2017-08-11 2017-10-20 厦门大学 基于强化学习的检测高级持续威胁的资源调度方法
CN108418800A (zh) * 2018-02-01 2018-08-17 国网江苏省电力有限公司苏州供电分公司 基于资格迹和在线更新式的电力信息系统安全策略系统
CN108833423A (zh) * 2018-06-25 2018-11-16 厦门大学 一种基于强化学习的多途径保密信息通信方法
CN109951451A (zh) * 2019-02-21 2019-06-28 北京工业大学 雾计算中一种基于强化学习的伪装攻击检测方法
US10631168B2 (en) 2018-03-28 2020-04-21 International Business Machines Corporation Advanced persistent threat (APT) detection in a mobile device
CN115442160A (zh) * 2022-11-08 2022-12-06 山东省计算中心(国家超级计算济南中心) 差分隐私保护下的网络化系统数据隐蔽攻击检测方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103312679A (zh) * 2012-03-15 2013-09-18 北京启明星辰信息技术股份有限公司 高级持续威胁的检测方法和系统
CN103354548A (zh) * 2013-06-28 2013-10-16 华为数字技术(苏州)有限公司 高持续性威胁攻击的检测方法、设备及系统
CN103905418A (zh) * 2013-11-12 2014-07-02 北京安天电子设备有限公司 一种多维度检测防御apt的系统及方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103312679A (zh) * 2012-03-15 2013-09-18 北京启明星辰信息技术股份有限公司 高级持续威胁的检测方法和系统
CN103354548A (zh) * 2013-06-28 2013-10-16 华为数字技术(苏州)有限公司 高持续性威胁攻击的检测方法、设备及系统
CN103905418A (zh) * 2013-11-12 2014-07-02 北京安天电子设备有限公司 一种多维度检测防御apt的系统及方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
DONGJIN XU,YANDA LI,LIANG XIAO.: "prospect theoretic study of cloud storage defense against advanced persistent threats", 《IEEE》 *

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107277065A (zh) * 2017-08-11 2017-10-20 厦门大学 基于强化学习的检测高级持续威胁的资源调度方法
CN107277065B (zh) * 2017-08-11 2019-12-17 厦门大学 基于强化学习的检测高级持续威胁的资源调度方法
CN108418800A (zh) * 2018-02-01 2018-08-17 国网江苏省电力有限公司苏州供电分公司 基于资格迹和在线更新式的电力信息系统安全策略系统
CN108418800B (zh) * 2018-02-01 2020-08-04 国网江苏省电力有限公司苏州供电分公司 基于资格迹和在线更新式的电力信息系统安全策略系统
US10631168B2 (en) 2018-03-28 2020-04-21 International Business Machines Corporation Advanced persistent threat (APT) detection in a mobile device
CN108833423A (zh) * 2018-06-25 2018-11-16 厦门大学 一种基于强化学习的多途径保密信息通信方法
CN109951451A (zh) * 2019-02-21 2019-06-28 北京工业大学 雾计算中一种基于强化学习的伪装攻击检测方法
CN115442160A (zh) * 2022-11-08 2022-12-06 山东省计算中心(国家超级计算济南中心) 差分隐私保护下的网络化系统数据隐蔽攻击检测方法
CN115442160B (zh) * 2022-11-08 2023-02-21 山东省计算中心(国家超级计算济南中心) 差分隐私保护下的网络化系统数据隐蔽攻击检测方法

Also Published As

Publication number Publication date
CN106612287B (zh) 2019-05-07

Similar Documents

Publication Publication Date Title
CN106612287B (zh) 一种云存储系统的持续性攻击的检测方法
Laszka et al. Mitigating covert compromises: A game-theoretic model of targeted and non-targeted covert attacks
Luo et al. Effectiveness of port hopping as a moving target defense
Zhang et al. PTBI: An efficient privacy-preserving biometric identification based on perturbed term in the cloud
Fultz et al. Blue versus red: Towards a model of distributed security attacks
Arief et al. Understanding cybercrime from its stakeholders' perspectives: Part 1--attackers
Young et al. Detecting unknown insider threat scenarios
Lv et al. Dynamic defense strategy against advanced persistent threat under heterogeneous networks
Zhang et al. Active defense strategy selection based on static Bayesian game
CN107277065A (zh) 基于强化学习的检测高级持续威胁的资源调度方法
Rohith et al. Cyber warfare: nations cyber conflicts, cyber cold war between nations and its repercussion
Tyagi et al. Federated learning: Applications, Security hazards and Defense measures
US20220070198A1 (en) Detecting and Quantifying Vulnerabilities in a Network System
Wu et al. Him of Many Faces: Characterizing Billion-scale Adversarial and Benign Browser Fingerprints on Commercial Websites.
Laszka et al. Secure team composition to thwart insider threats and cyber-espionage
Chang et al. Gradient-based defense methods for data leakage in vertical federated learning
Kasyap et al. Hidden vulnerabilities in cosine similarity based poisoning defense
Kratchman et al. The perpetration and prevention of cybercrimes
Sun et al. Instance-Level Trojan Attacks on Visual Question Answering via Adversarial Learning in Neuron Activation Space
Zheng et al. When to reset your keys: Optimal timing of security updates via learning
Hassan et al. A probabilistic study on the relationship of deceptions and attacker skills
Raut et al. Fog computing using advanced security in cloud
Zhou et al. Inference attacks against trust-based onion routing: Trust degree to the rescue
Bai et al. Password strength signaling: A counter-intuitive defense against password cracking
Lv et al. Security analysis of online digital goods business based on stochastic game net model

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20210429

Address after: Xiamen City, Fujian Province, 361005 South Siming Road No. 422

Patentee after: XIAMEN University

Patentee after: XIAMEN DRAGON INFORMATION TECHNOLOGY Co.,Ltd.

Address before: Xiamen City, Fujian Province, 361005 South Siming Road No. 422

Patentee before: XIAMEN University

TR01 Transfer of patent right