CN108718307B - 一种IaaS云环境下面向内部威胁的行为追溯检测方法 - Google Patents
一种IaaS云环境下面向内部威胁的行为追溯检测方法 Download PDFInfo
- Publication number
- CN108718307B CN108718307B CN201810443572.5A CN201810443572A CN108718307B CN 108718307 B CN108718307 B CN 108718307B CN 201810443572 A CN201810443572 A CN 201810443572A CN 108718307 B CN108718307 B CN 108718307B
- Authority
- CN
- China
- Prior art keywords
- behavior
- interface
- layer
- user
- tree
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Abstract
本发明公开一种面向内部威胁的行为追溯检测方法,解决现有技术中存在的对IaaS云环境中恶意调用云服务内部威胁无法判断来源以及无法应对未知威胁的现象,该方法采用行为追溯的检测思想,对云环境中用户访问数据的流程进行多节点关联分析,得出用户各种合法操作的正常行为树,接着与采集到的行为信息进行行为追溯匹配,通过对行为树的完整性分析检测出恶意威胁。
Description
技术领域
本发明属于云计算安全技术领域,具体涉及IaaS云环境下面向内部威胁的行为追溯检测方法。该方法采用行为追溯的检测思想,在云环境中,对用户访问数据的流程进行多节点关联分析得出用户各种合法操作的正常行为树,接着与采集到的行为信息进行行为追溯匹配,通过对行为树的完整性分析检测出恶意威胁。
背景技术
云环境是一个包含大量可用虚拟计算资源例如硬件、开发平台以及I/O服务的资源池,能够动态创建高度虚拟的资源,以服务的形式提供给租户按需计费使用。现有的云计算平台可以按照不同的服务层次分类,设施基础即服务(Infrastructure as a Service,IaaS)是其中尤为重要的一种,即云服务提供商提供给租户的计算资源为包括处理器、内存、磁盘等在内的抽象硬件即虚拟机。云计算虽然给租户提供了方便的计算、存储服务,但除了传统环境下的安全问题,同时也诞生了一些重要的新型安全问题。其中在IaaS服务中,由于租户使用的云虚拟机以镜像文件的方式存放于云端,云服务提供商控制着用户数据的管理接口,一旦某个企业员工得到访问公司云的权限,那么所有的东西都可能被提取,从客户数据到机密信息以及知识产权。具体的在IaaS云环境中面临的典型内部威胁场景如图1所示,在1、2、3点处内部人员利用自身特权调用云服务各个接口完成对用户数据的访问或篡改。这些来自于云服务商内部员工盗取公司数据的威胁不管对于企业还是个人都带来了很大的风险。因此,IaaS云环境下对抗内部人员攻击的用户数据访问行为检测已成为当前云计算和虚拟化技术发展亟待解决的关键问题。然而,当前的应对内部威胁的安全检测方法多采用机器学习和嵌套虚拟化的底层信息监控的技术,其中机器学习的方法只能对已经出现的恶意行为进行特征采集分类,无法识别未知威胁,而嵌套虚拟化的监控技术仅对云服务单个节点的接口行为进行检测,无法溯源跨多个节点的云服务用户数据访问行为,不易判断当前数据访问是否为用户发出的合法请求。因此考虑到多个节点和接口的云服务恶意调用情形,需要提出面向内部威胁的行为追溯检测方法,对每个用户数据访问行为进行溯源分析,从而识别出恶意威胁。
发明内容
针对现有技术中存在的对IaaS云环境中恶意调用云服务内部威胁无法判断来源以及无法应对未知威胁的现象,本发明提出一种面向内部威胁的行为追溯检测方法。该方法采用行为追溯的检测思想,对云环境中用户访问数据的流程进行多节点关联分析,得出用户各种合法操作的正常行为树,接着与采集到的行为信息进行行为追溯匹配,通过对行为树的完整性分析检测出恶意威胁。
为实现上述目的,本发明采用如下的技术方案一种IaaS云环境下面向内部威胁的行为追溯检测方法,包括步骤如下:
步骤1:用户行为树构建模块对IaaS云环境源码进行分析,从用户层发起请求至实施节点虚拟化层为止,对每一层的接口源码中行为相关的函数调用关键字进行分析,得到每个层次服务接口的层次关键字,组成层次关键字库。
步骤2:用户行为树构建模块再次对IaaS云环境源码进行多层关联分析。首先在用户层选定一个相关操作并创建行为树根节点,每遍历到一个层次的接口源码,就取出当前函数与步骤1中得到的对应层次关键字库中关键字进行比较,若为行为关键字则加入至行为树子节点之中,结束当前层次之后根据当前层次行为节点继续向下层遍历,直至没有对应的行为关键字或已建立一颗完整的行为树。
步骤3:行为信息采集模块在计算服务接口、远程调用接口、管理实施接口、虚拟化管理接口等多层接口上设置云服务行为追溯点,在接口调用前输出时间节点和动作信息;在虚拟化进程处使用操作系统钩子函数技术添加行为采集点,在钩子函数中设置虚拟化进程访问镜像文件行为信息采集点。
步骤4:行为追溯检测模块在最底层获取用户镜像文件被访问的信息之后,首先获取最下层行为,采用对最下层虚拟化行为关键词匹配技术,与前面构建的用户正常行为树进行行为追溯匹配,如果没有完全匹配到行为树的所有节点,则判断当前层次为恶意行为发起点并跳出;如果匹配到相应的行为树则继续与行为树上层的行为节点进行遍历匹配,到最后若成功匹配到一棵行为树,则说明当前采集到的行为是从用户发出的正常行为,否则当前行为就是从行为树中行为断点层发起,属于异常行为。
与现有技术相比,本发明具有以下优点:
当前IaaS云安全中面向内部威胁的行为安全检测方法较少,存在的方法如嵌套虚拟化以及机器学习恶意行为的方法又无法完全解决面临的问题,其中机器学习的方法只能对已经出现的恶意行为进行特征采集分类,无法识别未知威胁,而嵌套虚拟化的监控技术仅对云服务单个节点的接口行为进行检测,无法溯源跨多个节点的云服务用户数据访问行为,不易判断当前数据访问是否为用户发出的合法请求。对此,本发明基于行为追溯检测的思想,研究云环境中用户访问数据行为调用的流程,根据源码对多个节点多个接口关联分析从而构建正常行为树,然后在多层接口上设置行为追溯采集点,与前面构建的用户正常行为树进行行为追溯匹配,通过基于树的完整性分析识别出恶意威胁,不仅可以检测到未知行为、无需对当前云环境的架构做出较大的调整,而且可以跨多个节点溯源到当前行为是否被授权。
附图说明
图1 IaaS云环境下面临的典型内部威胁场景;
图2 IaaS云环境下用户使用虚拟化服务的接口调用流程;
图3面向内部威胁的行为追溯检测方法;
图4面向内部威胁的行为追溯检测方法部署。
具体实施方式
本发明提供一种IaaS云环境下面向内部威胁的行为追溯检测方法,建立在IaaS云环境中用户访问数据行为调用流程的基础之上的,如图2从用户发出请求到实施到用户虚拟机镜像文件共有云用户接口、计算服务接口、远程调用接口、管理实施接口、虚拟化管理接口、虚拟化进程等接口层次。所述方法由用户行为树构建模块、行为信息采集模块、行为追溯检测模块三个模块以及各模块之间的数据交互实现。
本发明是部署在OpenStack开源云平台上实现的。将行为树创建模块、行为采集模块、行为检测模块嵌入OpenStack云环境中。正常行为树创建模块首先对OpenStack源码进行分析获取正常行为树,其次行为采集模块对云服务各个接口处加入行为采集点,最后行为检测模块对采集到的行为进行分析对比得知当前行为是否异常的结果。具体部署见附图4。
下面结合附图和具体实施方式对本发明做进一步说明。
本发明所述的针对内部威胁的用户数据访问行为检测方法,如图3所示。具体包括以下步骤:
步骤1:用户行为构建模块对Openstack中和用户使用虚拟化服务相关的源码进行分层次分析,从用户层发起请求至实施节点虚拟化层为止,对每一层的接口源码中行为相关的函数调用关键字进行分析,得到每个层次服务接口的层次关键字,组成层次关键字库。
步骤2:用户行为构建模块再次对Openstack中和用户使用虚拟化服务相关的源码进行分析,对用户的每一个相关操作均建立起行为树的根节点,然后根据根节点行为遍历下一层源码,若存在层次关键字库中的行为函数,则创建子节点,结束当前层次之后根据当前层次行为节点继续向下层遍历,直至没有对应的行为关键字或已建立一颗完整的行为树为止。
步骤3:行为信息采集模块在云环境节点中加入行为追溯采集点,以时间+动作的格式输出至文件。
步骤3.1:行为信息采集模块在云服务中的接口处加入行为追溯采集点,在Openstack的计算服务接口、远程调用接口、管理实施接口、虚拟化管理接口等处根据对应用户行为动作加入time+action的行为采集方式,具体为输出Log到日志文件中去,如LOG.info('%(time)s - %(name)s - %(action)s )。
步骤3.2:行为信息采集模块对底层虚拟化行为处加入行为追溯采集点,使用文件读写相关的内核钩子函数对用户镜像文件监控,在Linux内核安全模块的钩子函数中写入监控相关逻辑并加载内核模块,其中将监控信息printk(time,current,file_path.)输出到内核日志中。
步骤4:行为追溯检测模块在获取到用户文件被访问的信息即在内核输出最下层虚拟化相关行为后,首先设置行为树匹配标志位以及层次指针,然后向行为库中遍历所有的行为树底层行为,如果没有完全匹配到行为树的所有节点,则返回本层次节点的异常行为标志并跳出;若当前层完全匹配,则继续向上层追溯匹配,层次指针上移,到最后若成功匹配到一棵行为树,则返回正常行为标志并跳出。
Claims (2)
1.一种IaaS云环境下面向内部威胁的行为追溯检测方法,其特征在于,包括以下步骤:
步骤1:用户行为树构建模块对IaaS云环境源码进行分析,从用户层发起请求至实施节点虚拟化层为止,对每一层的接口源码中行为相关的函数调用关键字进行分析,得到每个层次服务接口的层次关键字,组成层次关键字库;
步骤2:用户行为树构建模块再次对IaaS云环境源码进行多层关联分析,首先在用户层选定一个相关操作并创建行为树根节点,每遍历到一个层次的接口源码,就取出当前函数与步骤1中得到的对应层次关键字库中关键字进行比较,若为行为关键字则加入至行为树子节点之中,结束当前层次之后根据当前层次行为节点继续向下层遍历,直至没有对应的行为关键字或已建立一颗完整的行为树;
步骤3:行为信息采集模块在计算服务接口、远程调用接口、管理实施接口、虚拟化管理接口上设置行为追溯采集点,在接口调用前输出时间节点time和动作信息action;在虚拟化进程处使用操作系统钩子函数技术添加行为追溯采集点,在钩子函数中设置虚拟化进程访问镜像文件行为信息采集点;
步骤4:行为追溯检测模块在最底层获取用户镜像文件被访问的信息之后,首先获取最下层行为,采用对最下层虚拟化行为关键词匹配技术,与前面构建的用户正常行为树进行行为追溯匹配,如果没有完全匹配到行为树的所有节点,则判断当前层次为恶意行为发起点并跳出;如果匹配到相应的行为树则继续与行为树上层的行为节点进行遍历匹配,到最后若成功匹配到一棵行为树,则说明当前采集到的行为是从用户发出的正常行为,否则当前行为就是从行为树中行为断点层发起,属于异常行为。
2.如权利要求1所述的IaaS云环境下面向内部威胁的行为追溯检测方法,其特征在于,步骤3具体包括:
步骤3.1:行为信息采集模块在云服务中的接口处加入行为追溯采集点,在Openstack的计算服务接口、远程调用接口、管理实施接口、虚拟化管理接口处根据对应用户行为动作加入time+action的行为采集方式,输出Log到日志文件中去;
步骤3.2:行为信息采集模块对虚拟化进程处加入行为追溯采集点,使用文件读写相关的内核钩子函数对用户镜像文件监控,在Linux内核安全模块的钩子函数中写入监控相关逻辑并加载内核模块,其中将监控信息printk(time,current,file_path.)输出到内核日志中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810443572.5A CN108718307B (zh) | 2018-05-10 | 2018-05-10 | 一种IaaS云环境下面向内部威胁的行为追溯检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810443572.5A CN108718307B (zh) | 2018-05-10 | 2018-05-10 | 一种IaaS云环境下面向内部威胁的行为追溯检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108718307A CN108718307A (zh) | 2018-10-30 |
| CN108718307B true CN108718307B (zh) | 2021-01-05 |
Family
ID=63899684
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810443572.5A Active CN108718307B (zh) | 2018-05-10 | 2018-05-10 | 一种IaaS云环境下面向内部威胁的行为追溯检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108718307B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109861844B (zh) * | 2018-12-07 | 2021-09-03 | 中国人民大学 | 一种基于日志的云服务问题细粒度智能溯源方法 |
| CN112464103A (zh) * | 2019-09-06 | 2021-03-09 | 北京达佳互联信息技术有限公司 | 业务处理方法、装置、服务器及存储介质 |
| CN110958267B (zh) * | 2019-12-17 | 2022-01-04 | 北京工业大学 | 一种虚拟网络内部威胁行为的监测方法及系统 |
| CN112437070B (zh) * | 2020-11-16 | 2022-11-15 | 深圳市永达电子信息股份有限公司 | 一种基于操作生成树状态机完整性验证计算方法及系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103023993A (zh) * | 2012-11-28 | 2013-04-03 | 青岛双瑞海洋环境工程股份有限公司 | 一种基于云计算的企业信息系统 |
| CN103365702A (zh) * | 2013-07-11 | 2013-10-23 | 中国科学院合肥物质科学研究院 | IaaS云环境下轻量级虚拟机进程追踪系统和方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9619648B2 (en) * | 2014-07-16 | 2017-04-11 | Microsoft Technology Licensing, Llc | Behavior change detection system for services |
| US9400737B2 (en) * | 2014-08-07 | 2016-07-26 | International Business Machines Corporation | Generation of automated unit tests for a controller layer system and method |
-
2018
- 2018-05-10 CN CN201810443572.5A patent/CN108718307B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103023993A (zh) * | 2012-11-28 | 2013-04-03 | 青岛双瑞海洋环境工程股份有限公司 | 一种基于云计算的企业信息系统 |
| CN103365702A (zh) * | 2013-07-11 | 2013-10-23 | 中国科学院合肥物质科学研究院 | IaaS云环境下轻量级虚拟机进程追踪系统和方法 |
Non-Patent Citations (2)
| Title |
|---|
| "TVGuarder:A Trace-Enable Virtualization Protection Framework against Insider Threats for laaS Environments";Li Lin等;《International Journal of Grid and High Performance Computing 》;20161231;第8卷(第4期);全文 * |
| 《基于攻防行为树的网络安全态势分析》;付钰等;《工程科学与技术》;20171231;第49卷(第2期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108718307A (zh) | 2018-10-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108718307B (zh) | 一种IaaS云环境下面向内部威胁的行为追溯检测方法 | |
| CN103399812B (zh) | 基于Xen硬件虚拟化的磁盘文件操作监控系统及监控方法 | |
| US20180253338A1 (en) | Operation efficiency management with respect to application compile-time | |
| US20210112096A1 (en) | Generating false data for suspicious users | |
| CN113132311B (zh) | 异常访问检测方法、装置和设备 | |
| US11048621B2 (en) | Ensuring source code integrity in a computing environment | |
| US20150213272A1 (en) | Conjoint vulnerability identifiers | |
| US20230129140A1 (en) | Multi-ring shared, traversable, and dynamic advanced database | |
| US20230054683A1 (en) | Correspondence of external operations to containers and mutation events | |
| CN112688914A (zh) | 一种智慧型云平台动态感知方法 | |
| US10706102B2 (en) | Operation efficiency management with respect to application run-time | |
| US10394793B1 (en) | Method and system for governed replay for compliance applications | |
| US20220138023A1 (en) | Managing alert messages for applications and access permissions | |
| US10146707B2 (en) | Hardware-based memory protection | |
| US11651097B2 (en) | Document security enhancement | |
| CN116595523A (zh) | 基于动态编排的多引擎文件检测方法、系统、设备及介质 | |
| CN114175067A (zh) | 安全事故调查工作空间生成和调查控制 | |
| Xu et al. | Hue: A user-adaptive parser for hybrid logs | |
| US11893132B2 (en) | Discovery of personal data in machine learning models | |
| US20210406391A1 (en) | Production Protection Correlation Engine | |
| Breß et al. | Forensics on GPU coprocessing in databases-research challenges, first experiments, countermeasures | |
| Azmandian et al. | Securing cloud storage systems through a virtual machine monitor | |
| Hemdan et al. | Exploring digital forensic investigation issues for cyber crimes in cloud computing environment | |
| Parkinson et al. | Security auditing in the fog | |
| CN111552956A (zh) | 一种用于后台管理的角色权限控制方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |