CN108121912B

CN108121912B - 一种基于神经网络的恶意云租户识别方法和装置

Info

Publication number: CN108121912B
Application number: CN201711328420.2A
Authority: CN
Inventors: 张颖君; 刘玉岭; 黄亮; 连一峰
Original assignee: Institute of Software of CAS
Current assignee: Institute of Software of CAS
Priority date: 2017-12-13
Filing date: 2017-12-13
Publication date: 2021-11-09
Anticipated expiration: 2037-12-13
Also published as: CN108121912A

Abstract

本发明涉及一种基于神经网络的恶意云租户识别方法和装置。该方法主要通过收集多租户的操作日志，并提取租户的关键特征，构建特征向量，通过该特征向量构建神经网络进行分类学习，有效识别潜在恶意用户并进行隔离，最后通过管理员进一步判断确认用户及其操作的合法性。由于云租户存在数量庞大且操作频繁等问题，安全管理员很难快速实时的发现恶意租户及其操作。因此，本发明不仅能自动化的识别恶意租户，而且能提高云租户的安全性。

Description

一种基于神经网络的恶意云租户识别方法和装置

技术领域

本发明属于信息技术领域，涉及恶意云租户识别的方法，尤其涉及一种基于神经网络的恶意云租户识别方法和装置。

背景技术

近几年，云计算使用日益普及，许多服务迁移至云环境中，提高服务的响应能力和在线并发能力等。随着云服务用户的增多，难免有些恶意用户试图通过云平台获取非法资源，包括对其他用户隐私的获取、植入恶意代码等操作，因此，有必要对恶意用户进行识别，并进行隔离，避免恶意互操作带来损失。

现有的主要的恶意用户识别方法大多是针对社交网络等展开研究，主要通过对恶意用户行为特征、用户关系、恶意内容统计与分析等展开的。但是，针对云环境的恶意租户识别方法较少。由于云租户日益庞大，很多应用只要用户注册就能进行操作，因此带来很大的风险性。如果只是通过管理员进行手动操作，难免对恶意用户发现不及时。因此本发明通过设计一种自动化的方法对恶意云租户行为进行识别，并对发现的潜在恶意租户进行隔离，达到实时安全防护的效果。

发明内容

针对上述问题，本发明的目的在于提供一种基于神经网络的恶意云租户识别方法和装置，不仅能提高云租户的安全性，而且能自动化的识别恶意租户。

本发明主要在通过收集多租户的操作日志，并提取租户的关键特征，构建特征向量，通过该特征向量构建神经网络，通过神经网络的学习结果，有效对恶意云租户进行识别。

为达到上述目的，本发明所采用的技术方案为：

一种基于神经网络的恶意云租户识别方法，其步骤包括：

1)获取多租户的操作信息，并从操作信息中提取关键特征，构建特征向量；

2)将根据正常租户和恶意租户的操作信息构建的特征向量进行量化；

3)使用神经网络对正常租户和恶意租户的量化后的特征向量进行学习，从而识别出潜在的恶意租户。

进一步地，对潜在的恶意租户进行进一步确认后进行有效隔离，并将判别结果反馈到神经网络的训练集以继续学习。可由管理员对疑似恶意租户或操作进行进一步确认，将确认结果加入训练集进行学习。

进一步地，在步骤1)之前还包括：通过虚拟机监控器对多租户一段时间内的使用情况进行监控，并获取相关日志信息。

进一步地，步骤1)所述多租户的关键特征包括但不限于租户类别、虚拟机ID、进程ID、文件名、文件路径、操作类型、操作开始时间、结束时间等。

进一步地，步骤2)所述量化包括主要包括：对组别、操作类型进行映射；对文件名、路径等进行哈希；对时间按照秒级进行量化等。

进一步地，步骤3)的神经网络学习过程主要包括对输入特征的归一化处理、正向传递、反向传递、循环训练、结果判别五个步骤。

进一步地，所述对输入特征的归一化处理，是减少各参数取值范围不同对神经网络产生的影响，通过计算与样本数据最大值、最小值之间的距离进行归一化计算。

进一步地，所述正向传递包括计算隐藏层各神经元激活值、激活函数、输出值，以及输出层各单元激活值和输出值。

进一步地，所述反向传递通过计算输出值与目标值之间的偏差，进行反向传递以对参数进行调整，包括输出层校正误差、隐藏层各单元校正误差、输出层到隐藏层阈值校正值、隐藏层至输入层阈值校正值的计算。

进一步地，所述循环训练是通过不断的迭代，调整参数，使其输出结果与目标结果尽可能一致，并定义循环停止条件。

进一步地，所述结果判别是对潜在的恶意租户及其操作进行隔离与阻断，并通过安全管理员进行人工分析以进一步确认；并将结果作为训练集进行后续学习，提高神经网络学习的准确性。

一种基于神经网络的恶意云租户识别装置，其包括：

特征向量构建模块，用于获取多租户的操作信息，并从操作信息中提取关键特征，构建特征向量；

量化模块，用于将根据正常租户和恶意租户的操作信息构建的特征向量进行量化；

潜在恶意租户识别模块，用于使用神经网络对正常租户和恶意租户的量化后的特征向量进行学习，从而识别出潜在的恶意租户。

进一步地，所述潜在恶意租户识别模块对潜在的恶意租户及其操作进行隔离与阻断，并将安全管理员进一步确认的结果作为训练集进行后续学习，提高神经网络学习的准确性。

与现有技术相比，本发明的有益效果是：

由于云租户存在数量庞大且操作频繁等问题，安全管理员很难快速实时的发现恶意租户及其操作。本发明能够解决当前云平台中用户众多，管理员无法一一对用户行为进行监控发现非法操作的问题；通过神经网络的自动化学习能力，能够对收集到的用户行为提取特征，并进行分类学习，有效识别潜在恶意用户并进行隔离，最后通过管理员进一步判断确认用户及其操作的合法性。本发明不仅能自动化的识别恶意租户，而且能提高云租户的安全性。

附图说明

图1为基于神经网络的恶意云租户识别方法的流程图。

图2为神经网络学习过程示意图。

图3为BP神经网络传递过程示意图。

具体实施方式

为使本发明的上述特征和优点能更明显易懂，下文特举实施例，并配合所附图作详细说明如下。

本实施例提供一种基于神经网络的恶意云租户识别方法，请参考图1，该方法步骤包括：

1、获取租户操作信息，并提取关键特征，构建特征向量。

通过对租户及其连接的虚拟机进行监控，并结合日志信息分析，获取租户的操作信息。其中包括通过虚拟机监控器获取租户相关信息，对租户连接的进程进行监控，并结合日志信息共同提取关键特征，构建特征向量。

首先，通过虚拟机监控器获取租户的注册及权限等相关信息。例如，本实施例通过OpenStack搭建云平台，并对其上的虚拟机进行监控。在OpenStack中可以查找租户的资源统计信息(如命令nova usage-list)。包括租户类别(用户组)U_GROUP.接着，提取用户连接的虚拟机相关信息，包括虚拟机V_ID，并获取虚拟机中对租户连接的进程P_ID。结合日志信息，获取包括文件名F_NAME、路径F_PATH、操作类型F_OS、打开时间F_OT、关闭时间F_CT等信息。

在收集到相关关键信息后，构建特征向量φ。φ＝(U_GROUP,V_ID,P_ID,F_NAME,F_PATH,F_OS,F_OT,F_CT)，特征向量φ中的各部分依次对应于φ₁，φ₂，φ₃，…。以上述提取的特征向量为依据，通过虚拟机监控平台每隔时间t进行一次记录，收集一定数量的信息供机器学习。对于记录中相同的项进行合并，得出最终的训练样本。此外，还需要进一步对样本信息进行分析(即图1中的“预处理”)，预先对信息的合法性进行分类，可以由管理员进行标记，例如对合法信息标记为“01”，非法信息标记为“10”，以方便后续神经网络学习。

2、对特征向量的特征值进行量化。

在机器学习之前，先要对特征向量φ进行量化。将用户组U_GROUP分别做一个映射表，例如可以将U_GROUP＝{Normal,VIP,Admin,…}依次映射为φ₁＝М(U_GROUP)＝{1,2,3,…}。其中M为映射函数，本实施例中采用简单的表查询方法，例如M(Normal)＝1，M(VIP)＝2，…。对F_NAME,F_PATH进行量化，主要采用哈希算法Η(x)，映射到一个值。例如，φ₄＝Η(F_NAME),φ₅＝Η(F_PATH)。将F_OS操作类型{new、read、write、delete、…}也进行一个映射。φ₆＝М(F_OS)＝{1,2,3,…}，依次对表中记录的文件名映射为1，2，…。时间F_CT，F_OT，转换为用秒进行计数φ₇＝Τ(F_OT),φ₈＝Τ(F_CT)。U_ID,V_ID,P_ID可以直接使用。具体的，考虑到哈希算法H(x)是针对字符串进行的，因此主要采用基于乘法的Hash，当乘数为33时，对英文单词有很好的散列效果。

具体如下，对需要散列的字符串中的每个字符乘以33后进行相加，最终的值即为哈希结果，其中String x表示需要散列的字符串x，x.length()表示字符串x的长度，x.charAt(i)表示第i个位置处的字符：

3、神经网络学习并判断。

当前，通过机器学习进行自动化判断的方法有多种，包括决策树、支持向量机、贝叶斯等方法，本发明选用神经网络，主要因为神经网络是对人脑神经网络进行抽象的计算模型，具有良好的分类、识别和非线性映射等能力，具有很强的学习反馈能力，而且神经网络继续深入扩展可以应用到深度学习中。神经网络包括感知器神经网络、自组织竞争神经网络、径向基函数神经网络等种类。其中，后向传播神经网络(BP网络)是应用最为广泛的一种，且理论上已经证明，具有3层结构的BP网络可以实现任意非线性映射。三层神经网络是由一个输入层、一个隐藏层和一个输出层组成，他们由可以修正的权值相互连接。因此，本发明优选采用BP神经网络对恶意云租户进行识别。

图2为神经网络学习过程示意图。本实施例采用BP神经网络进行训练。机器学习分为两种：有监督学习和无监督学习。有监督学习要求对训练数据预先分类，无监督学习则不要求预分类。本实施例采用有监督学习。

图3为BP神经网络传递过程示意图。BP神经网络通常包含3层结构，包括输入层、隐藏层、输出层。传递函数选用典型的Sigmoid。输入向量为X＝[x₁,x₂,…,x_n]，隐藏层向量为B＝[b₁,b₂,…,b_p]，输出向量为Y＝[y₁,y₂,…,y_q]，目标向量为O＝[o₁,o₂,…,o_q]，输入层和隐藏层之间的连接权重为W_j＝[w_j1,w_j2,…,w_jn]，j＝1,2,…,p，该权重的阈值为θ_j，隐藏层和输出层之间的连接权重为W_k＝[w_k1,w_k2,…,w_kq]，k＝1,2,…,q，该权重的阈值为θ_k。

(1)各输入特征归一化。步骤2中已经将各参数进行了数字化描述，为了使各变量的重要性处于同等地位，减少各参数取值范围不同对神经网络产生影响，需要对各输入参数(特征)进行归一化。本实施例采用

其中max和min分别表示样本数据的最大值和最小值。

(2)正向传递。本实施例中输入的神经元为8个，即n＝8。隐藏层的神经元个数计算公式为

其中n为输入层节点数，q为输出层节点数，α为1-10之间的常数，本实施例采用p＝10个。输出的神经元为2个。将每一层的输入节点和连接权重通过传递函数得到输出，输出为两个神经单元q＝2，如果第一个神经单元的输出值比第二个神经单元的输出值大，认为属于第一类，即属于合法用户，用“01”表示，否则是第二类，即属于疑似恶意用户，用“10”表示。具体计算如下：

a)计算隐藏层各神经元的激活值S_j：

b)激活函数选用Sigmoid型函数，如下式所示，该函数连续可微分，更接近生物神经元信号的输出。

c)计算隐藏层j单元的输出值：

b_j＝f(S_j)

d)输出层第k个单元的激活值S_k：

e)输出层第k个单元的输出值y_k：

y_k＝f(S_k)

(3)反向传递。由于网络权重和阈值都是随机选取的，因此输出的结果有可能存在偏差。因此，我们需要反向传递对参数进行调整。具体如下：

a)输出层的校正误差为：

d_k＝(o_k-y_k)y_k(1-y_k)

其中，k＝1，2，…,q。

b)隐藏层各单元的校正误差：

其中，j＝1，2，…,p。

c)输出层至隐藏层的连接权重的阈值的校正量：

Δθ_k＝ξd_kb_j

其中，ξ＞0为学习系数，d_k为输出层的校正误差，b_j为隐藏层j单元的输出。

d)隐藏层至输入层的阈值校正量：

Δθ_j＝ξe_jx_i

其中，e_j为隐藏层j单元的校正误差。

(4)循环训练。我们对神经网络训练不断迭代，直到满足如下条件之一进行停止：a)设置最大迭代次数，例如本实施例选用600次；b)预测准确率达到一定的门限，例如本实施例选用的门限值为小于等于10^-5。

(5)结果判别。当输出结果为“01”时，我们认为是合法用户；当输出结果为“10”时，我们认为是属于疑似恶意用户一类，会对用户行为进行阻断，并隔离相应用户操作。对隔离用户及其操作，将通过人工进一步对结果进行确认，如图2所示。具体确认过程中，主要管理员通过对用户操作日志、网络监控等进行分析，确认用户的合法性。确认后，也会作为新的数据加入到训练集中，进一步对神经网络进行优化。

本发明另一实施例提供一种基于神经网络的恶意云租户识别装置，其包括：

潜在恶意租户识别模块，用于使用神经网络对正常租户和恶意租户的量化后的特征向量进行学习，从而识别出潜在的恶意租户。所述潜在恶意租户识别模块对潜在的恶意租户及其操作进行隔离与阻断，并将安全管理员进一步确认的结果作为训练集进行后续学习，提高神经网络学习的准确性。

综上所述，本发明主要解决当前云平台中用户众多，管理员无法一一对用户行为进行监控发现非法操作的问题。通过神经网络的自动化学习能力，能够对收集到的用户行为提取特征，并进行分类学习，有效识别潜在恶意用户并进行隔离，最后通过管理员进一步判断确认用户及其操作的合法性。

本发明的神经网络学习采用BP算法，也可以替换为其它神经网络学习方法，或者深度学习算法(多层的神经网络学习)。此外，用户特征向量也可以根据不同云平台进行扩展。

以上实施例仅用以说明本发明的技术方案而非对其进行限制，本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明的精神和范围，本发明的保护范围应以权利要求书所述为准。

Claims

1.一种基于神经网络的恶意云租户识别方法，其步骤包括：

3)使用神经网络对正常租户和恶意租户的量化后的特征向量进行学习，从而识别出潜在的恶意租户；

其中，步骤1)通过虚拟机监控器对多租户一段时间内的使用情况进行监控，并获取相关日志信息，通过对租户及其连接的虚拟机进行监控，并结合日志信息进行分析，获取租户的操作信息；所述操作信息包括租户类别即U_GROUP、虚拟机ID即V_ID、进程ID即P_ID、文件名即F_NAME、文件路径即F_PATH、操作类型即F_OS、操作开始时间即F_OT、结束时间即F_CT；然后构建特征向量φ，φ＝(U_GROUP,V_ID,P_ID,F_NAME,F_PATH,F_OS,F_OT,F_CT)，特征向量φ中的各部分依次对应于φ₁，φ₂，φ₃，…；以提取的特征向量为依据，通过虚拟机监控平台每隔时间t进行一次记录，收集一定数量的信息供机器学习，对于记录中相同的项进行合并，得出最终的训练样本；

其中，步骤2)所述量化包括：对组别、操作类型进行映射，将U_GROUP映射为φ₁＝М(U_GROUP)＝{1,2,3,…}，其中M为映射函数，将F_OS映射为φ₆＝М(F_OS)＝{1,2,3,…}；对文件名、路径进行哈希，将F_NAME,F_PATH采用哈希算法Η(x)映射到一个值，φ₄＝Η(F_NAME),φ₅＝Η(F_PATH)；对时间按照秒级进行量化，F_CT、F_OT转换为用秒进行计数。

2.如权利要求1所述的方法，其特征在于，步骤3)的神经网络学习过程主要包括对输入特征的归一化处理、正向传递、反向传递、循环训练、结果判别五个步骤。

3.如权利要求2所述的方法，其特征在于，所述对输入特征的归一化处理，是减少各参数取值范围不同对神经网络产生的影响，通过计算与样本数据最大值、最小值之间的距离进行归一化计算。

4.如权利要求2所述的方法，其特征在于，所述正向传递包括计算隐藏层各神经元激活值、激活函数、输出值，以及输出层各单元激活值和输出值。

5.如权利要求2所述的方法，其特征在于，所述反向传递通过计算输出值与目标值之间的偏差，进行反向传递以对参数进行调整，包括输出层校正误差、隐藏层各单元校正误差、输出层到隐藏层阈值校正值、隐藏层至输入层阈值校正值的计算。

6.如权利要求2所述的方法，其特征在于，所述循环训练是通过不断的迭代，调整参数，使其输出结果与目标结果尽可能一致，并定义循环停止条件。

7.如权利要求2所述的方法，其特征在于，所述结果判别是对潜在的恶意租户及其操作进行隔离与阻断，并通过安全管理员进行人工分析以进一步确认；并将结果作为训练集进行后续学习，提高神经网络学习的准确性。

8.一种采用权利要求1～7中任一权利要求所述方法的基于神经网络的恶意云租户识别装置，其特征在于，包括：