CN1291569C - 一种附网存储设备中用户访问行为的异常检测方法 - Google Patents
一种附网存储设备中用户访问行为的异常检测方法 Download PDFInfo
- Publication number
- CN1291569C CN1291569C CN 200410078322 CN200410078322A CN1291569C CN 1291569 C CN1291569 C CN 1291569C CN 200410078322 CN200410078322 CN 200410078322 CN 200410078322 A CN200410078322 A CN 200410078322A CN 1291569 C CN1291569 C CN 1291569C
- Authority
- CN
- China
- Prior art keywords
- user
- system call
- storage device
- behavior
- characteristic values
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Abstract
一种附网存储设备中用户访问行为的异常检测方法,属于网络存储技术领域。为了对NAS设备中用户异常操作,尤其是非法用户的访问以及合法用户的越权访问进行有效地监测与屏蔽,本发明提供了一种附网存储设备中用户访问行为的异常检测方法,该方法通过用户访问行为所产生的系统调用序列进行特征值的提取和匹配,利用正常的用户行为特征识别出用户行为的异常并产生响应,阻止网络中用户对附网存储设备非正常访问操作的执行。本发明和目前NAS设备中使用的身份验证、文件权限相比,不仅能防止未授权用户的非法访问,且可防止授权用户的越权访问。本发明易于实现,只需要利用用户正常行为信息对NAS设备进行训练,就可执行异常检测及免疫响应。
Description
技术领域
本发明属于网络存储技术领域,特别涉及附网存储设备中用户访问行为的异常识别技术。
背景技术
数字化信息的爆炸性增长推动了以光、磁介质为载体的数据存储与处理技术的研究与应用,随着计算机网络的快速发展及推广应用,数据的存储模式越来越呈现出非中心化的趋势。附网存储(NAS)技术使存储设备通过专用的操作系统与网络直接相连,在网络中充当功能专用的服务器,成为网络信息系统中的存储节点。这种专用的NAS服务器和传统的网络服务器最大的区别在于:它优化了系统软硬件体系结构,去掉了通用服务器原有的许多不适用的计算功能,而仅仅提供通信和文件存储功能,专门用于存储服务。NAS技术将数据从传统的网络服务器后端转移到网络中专用于存储的节点上,不再形成高度集中的数据存储与服务中心。这种网络体系较好地保证了存储系统的在线扩展、在线维护以及远程管理。
虽然NAS设备具有高的存储性能、即插即用、易管理等优点,但随着企业对数据可利用性、安全性等需求的不断提高,现有的NAS产品逐渐暴露出访问安全方面的严重不足。虽然大多数NAS设备都拥有用户身份认证和文件权限设置等保护屏障,网络中还有防火墙等外围防护技术,但是NAS技术本身在操作系统、数据访问、网络连接以及管理访问等方面存在安全弱点,使得这些传统的信息保护技术并不能防止所有的系统异常事件。现有的NAS产品也没有针对系统的安全弱点部署实时有效的防护策略,造成NAS设备在网络环境中几乎成为安全性最脆弱的存储节点,严重限制了NAS技术在企业中的广泛推广与应用。
发明内容
本发明人通过分析NAS设备中用户访问进程产生的系统调用序列,发现进程的这种序列化信息具有特异性和稳定性,即不同进程产生不同的系统调用序列,而多次执行同一进程则得到相同的序列。进程的系统调用序列中任何一个系统调用的变化都预示着用户行为的改变。通过进程请求系统调用,是用户利用NAS设备共享资源的必由之路,同时也是那些企图破坏设备中数据的行为必然要经过的关口,因此对系统调用进行监测可以有效地识别出用户行为的异常。
为了对现有NAS设备中用户异常操作,尤其是非法用户的访问以及合法用户的越权访问进行有效地监测与屏蔽,本发明提供了一种附网存储设备中用户访问行为的异常检测方法,方案如下:
一种附网存储设备中用户访问行为的异常检测方法,其特征在于,该方法通过对附网存储设备中用户访问行为所产生的系统调用序列进行特征值的提取和匹配,利用正常的用户行为特征,识别出当前用户行为的异常并产生响应,阻止网络中用户对附网存储设备非正常访问操作的执行,具体包括以下步骤:
1)根据用户的访问权限,对用户进行分阶;对用户访问行为所产生的系统调用序列,采用沿时间轴加滑动窗的方式,将当前调用与滑动窗内的系统调用两两结合,组成系统调用对;将系统调用对、该系统调用对中两系统调用之间的距离、用户权限分阶这三个参量联合,组成用户访问行为的模式特征值;
2)收集用户正常访问行为的系统调用信息,提取用户访问行为的模式特征值,对附网存储设备进行训练;在该阶段,根据附网存储设备中实际采取的系统调用数目N,在操作系统中维护一个N×N的存储矩阵,该存储矩阵的行号和列号都对应于系统调用的编号,即0~N-1;矩阵内的元素用于存储正常用户访问行为的模式特征值;
3)在附网存储设备的运行阶段,在操作系统内核中维护正常用户访问行为的模式特征值存储矩阵;对用户访问行为所产生的系统调用序列,采用前述沿时间轴加滑动窗的方式,提取当前用户访问行为的模式特征值,并与所维护的模式特征值存储矩阵中的相应元素做比对,识别当前用户访问行为所产生系统调用的合法性,并进而对系统调用进行响应;如果当前系统调用为异常,操作系统将中止当前进程的执行,同时把相关信息记录到日志文件中;如果当前系统调用为正常,操作系统继续执行当前的用户进程。
本发明在身份认证、文件权限之后,在操作系统内部部署了用户阶梯层,通过对用户访问行为所产生的系统调用序列进行监测,配合用户权限信息,设计了将用户行为进行分阶处理,并快速执行异常识别和应答的异常检测方法。这种异常检测方法只需要在安全环境中对系统进行简单的训练就可以获得异常识别所需的正常行为模式库,而且可以将该模式库复制给未训练过的NAS设备使用;模式特征值存储矩阵的设计,减小了数据的存储空间和查询匹配时间。和常见的入侵检测系统相比,这种方法实施简单,而且具有很强的实时性。
附图说明
图1为异常检测方法的总体流程图。
图2为本发明所述的模式特征值存储矩阵的示意图。
具体实施方式
下面结合附图来进一步说明本发明。
用户对NAS访问的目的是为了获取文件,或者对设备进行管理。合法的用户执行被授权的操作,进程会产生相应的系统调用序列;同样地,非法用户对系统进行恶意的入侵,以及合法用户执行未被授权的操作,这些异常行为的进程也会产生相应的系统调用序列。异常行为和正常行为所产生的系统调用序列,在系统调用的函数名称、调用次序、请求次数等方面总是存在着差别。
本发明提供的附网存储设备中用户访问行为的异常检测方法,通过对附网存储设备中用户访问行为所产生的系统调用序列进行特征值的提取和匹配,利用正常的用户行为特征,识别出用户行为的异常并产生响应,阻止网络中用户对附网存储设备非正常访问操作的执行,具体包括以下步骤,如图1所示。
首先,根据用户的访问权限,对用户进行分阶:对用户访问行为所产生的系统调用序列,采用沿时间轴加滑动窗的方式,将当前调用与滑动窗内的系统调用两两结合,组成系统调用对;将系统调用对、该系统调用对中两系统调用之间的距离、用户权限分阶这三个参量联合,组成用户访问行为的模式特征值;
以只读用户通过网络读取文件进程请求的系统调用序列为例:
将用户根据访问权限不同分为只读用户、读写用户、超级用户(管理员)和系统用户四类,分别对应的位于第0、1、2、3阶上,即产生用户权限分阶信息。
用户访问行为所产生的系统调用序列S={execve,uname,brk,open,open,fstat64,fstat,old_mmap,close,open,read,fstat,...,chown,chmod,_exit)。按照系统调用序列号码表示,该系统调用序列即S={11,109,45,5,5,197,108,90,6,5,3,108,...,182,15,1)。
滑动窗的长度可根据NAS设备内存容量选定,本例中选定滑动窗长为ω=9,按时间顺序沿着系统调用序列从左向右逐个滑动,得到加窗后的系统调用短序列,如表1所示。表中每一行表示一个加窗的短序列,窗最右边的对象是当前的系统调用c,最左边的对象是c之前的第8个系统调用,其余类推。
当前调用为“close”,即c=6时,窗内的系统调用短序列为表1中灰色底纹行:W={execve,uname,brk,open,open,fstat64,fstat,old_mmap,close),即:W={11,109,45,5,5,197,108,90,6)
表1 加窗后的系统调用短序列
将当前系统调用与滑动窗内的系统调用两两结合,提取窗内的系统调用对,并附加距离以及用户行为分阶,组成模式特征值T(W[i],c,l,r)。这里W[i]为滑动窗内的系统调用短序列,0≤i≤8;c为当前被请求的系统调用,位于窗的最右端,即W[8];l=8-i,为系统调用对(W[i],c)两系统调用之间的距离;r为用户权限分阶信息。
对于当前的系统调用c,从滑动窗内共提取出8个特征值。如表2所示。
表2 加窗提取的特征值
| 序号 | W[i] | c | l | r |
| 12345678 | 11109455519710890 | 66666666 | 87654321 | 00000000 |
假设操作系统中定义的系统调用数为256,即系统调用号为0~255。定义一个256×256规模的模式特征值存储矩阵E,其行号和列号都对应于系统调用的编号,矩阵的每个位置上的元素都保存了其行、列号对应的系统调用组成的调用对信息,初始化全为0。定义矩阵E中的元素E[i][i]数据类型为“unsighed long”,长度为32位,共四个字节,每一位都可以保存一个特征值的信息。每8位对应一级用户分阶。这样正常用户行为的模式特征值T(W[i],c,l,r)的存储结果就是矩阵元素E[W[i]][c]的对应位bit[b]=1,其中存储位置b的计算公式为:
b=l-1+8×r
当窗长为9时,0~3阶用户行为的特征值存储位分别为bit[0]~bit[7]、bit[8]~bit[15]、bit[16]~bit[23]、bit[24]~bit[31],形成阶梯式的存储,不同阶用户之间的行为特征不会被混淆。例如把表2中序号为4、5的特征值(5,6,5,0)、(5,6,4,0)保存在矩阵中,结果如图2所示。
然后,在附网存储设备的训练阶段,收集用户正常访问行为的系统调用信息,提取用户访问行为的模式特征值,采用前述方式,建立正常用户访问行为模式特征值的存储矩阵,存储于数据存储模块中。
之后,开放附网存储设备的网络访问,在操作系统内核中,维护正常用户访问行为模式特征值的存储矩阵。对每一个用户访问行为进行异常检测。所监测的对象是用户进程的当前系统调用c向前所加滑动窗内的系统调用。当滑动窗长度为9时,提取出8个特征值,与存储矩阵中的相应元素作比对,检查每个模式特征值是否有效,即用模式特征值T(W[i],c,l,r)中的信息计算存储位置b的结果,然后以特征值中的两个系统调用编号作为下标,取出矩阵E中对应的元素E[W[i]][c],查看该元素的位bit[b]是否为1,若为1,说明该特征值有效,否则无效。异常识别过程将检查提取出的每一个特征值,只有8个特征值都有效,才能认为当前系统调用c是合法的、正常的系统调用;而只要有一个特征值被判断为无效,则当前系统调用c即被识别为异常。
识别出当前系统调用c正常或是异常之后,系统对异常识别的结果进行响应。如果c是异常的,系统将中止当前进程的执行,同时把相关信息记录到日志文件中,包括系统调用号、用户号、操作命令等,以备管理员查询。如果c是正常的,系统则继续执行当前的用户进程,当新的系统调用被请求,成为当前的系统调用时,再一次执行特征值提取、异常识别、响应处理的过程。
Claims (1)
1.一种附网存储设备中用户访问行为的异常检测方法,其特征在于,该方法通过对附网存储设备中用户访问行为所产生的系统调用序列进行特征值的提取和匹配,利用正常的用户行为特征,识别出当前用户行为的异常并产生响应,阻止网络中用户对附网存储设备非正常访问操作的执行,具体包括以下步骤:
1)根据用户的访问权限,对用户进行分阶;对用户访问行为所产生的系统调用序列,采用沿时间轴加滑动窗的方式,将当前调用与滑动窗内的系统调用两两结合,组成系统调用对;将系统调用对、该系统调用对中两系统调用之间的距离、用户权限分阶这三个参量联合,组成用户访问行为的模式特征值;
2)收集用户正常访问行为的系统调用信息,提取用户访问行为的模式特征值,对附网存储设备进行训练;在该阶段,根据附网存储设备中实际采取的系统调用数目N,在操作系统中维护一个N×N的存储矩阵,该存储矩阵的行号和列号都对应于系统调用的编号,即0~N-1;矩阵内的元素用于存储正常用户访问行为的模式特征值;
3)在附网存储设备的运行阶段,在操作系统内核中维护正常用户访问行为的模式特征值存储矩阵;对用户访问行为所产生的系统调用序列,采用前述沿时间轴加滑动窗的方式,提取当前用户访问行为的模式特征值,并与所维护的模式特征值存储矩阵中的相应元素做比对,识别当前用户访问行为所产生系统调用的合法性,并进而对系统调用进行响应;如果当前系统调用为异常,操作系统将中止当前进程的执行,同时把相关信息记录到日志文件中;如果当前系统调用为正常,操作系统继续执行当前的用户进程。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200410078322 CN1291569C (zh) | 2004-09-24 | 2004-09-24 | 一种附网存储设备中用户访问行为的异常检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200410078322 CN1291569C (zh) | 2004-09-24 | 2004-09-24 | 一种附网存储设备中用户访问行为的异常检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1588889A CN1588889A (zh) | 2005-03-02 |
| CN1291569C true CN1291569C (zh) | 2006-12-20 |
Family
ID=34604982
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200410078322 Expired - Fee Related CN1291569C (zh) | 2004-09-24 | 2004-09-24 | 一种附网存储设备中用户访问行为的异常检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1291569C (zh) |
Families Citing this family (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1333552C (zh) * | 2005-03-23 | 2007-08-22 | 北京首信科技有限公司 | 基于机器学习的用户行为异常的检测方法 |
| US7606801B2 (en) * | 2005-06-07 | 2009-10-20 | Varonis Inc. | Automatic management of storage access control |
| US8561146B2 (en) | 2006-04-14 | 2013-10-15 | Varonis Systems, Inc. | Automatic folder access management |
| US8239925B2 (en) | 2007-04-26 | 2012-08-07 | Varonis Systems, Inc. | Evaluating removal of access permissions |
| US8438611B2 (en) | 2007-10-11 | 2013-05-07 | Varonis Systems Inc. | Visualization of access permission status |
| US8438612B2 (en) | 2007-11-06 | 2013-05-07 | Varonis Systems Inc. | Visualization of access permission status |
| US9641334B2 (en) | 2009-07-07 | 2017-05-02 | Varonis Systems, Inc. | Method and apparatus for ascertaining data access permission of groups of users to groups of data elements |
| US10229191B2 (en) | 2009-09-09 | 2019-03-12 | Varonis Systems Ltd. | Enterprise level data management |
| US8578507B2 (en) | 2009-09-09 | 2013-11-05 | Varonis Systems, Inc. | Access permissions entitlement review |
| CN102656553B (zh) | 2009-09-09 | 2016-02-10 | 瓦欧尼斯系统有限公司 | 企业级数据管理 |
| US8533787B2 (en) | 2011-05-12 | 2013-09-10 | Varonis Systems, Inc. | Automatic resource ownership assignment system and method |
| CN103026336B (zh) | 2010-05-27 | 2017-07-14 | 瓦欧尼斯系统有限公司 | 自动操作架构 |
| US9870480B2 (en) | 2010-05-27 | 2018-01-16 | Varonis Systems, Inc. | Automatic removal of global user security groups |
| US10296596B2 (en) | 2010-05-27 | 2019-05-21 | Varonis Systems, Inc. | Data tagging |
| EP2577444A4 (en) | 2010-05-27 | 2014-04-02 | Varonis Systems Inc | DATA CLASSIFICATION |
| CN101887499A (zh) * | 2010-07-08 | 2010-11-17 | 北京九合创胜网络科技有限公司 | 一种用户身份管理方法及系统 |
| US9147180B2 (en) | 2010-08-24 | 2015-09-29 | Varonis Systems, Inc. | Data governance for email systems |
| EP2668562A4 (en) | 2011-01-27 | 2015-05-20 | Varonis Systems Inc | SYSTEM AND METHOD FOR MANAGING ACCESS RIGHTS |
| US8909673B2 (en) | 2011-01-27 | 2014-12-09 | Varonis Systems, Inc. | Access permissions management system and method |
| US9680839B2 (en) | 2011-01-27 | 2017-06-13 | Varonis Systems, Inc. | Access permissions management system and method |
| CN103188105A (zh) * | 2011-12-31 | 2013-07-03 | 中国航天科工集团第二研究院七〇六所 | Nas 设备的安全增强系统及其方法 |
| US9251363B2 (en) | 2013-02-20 | 2016-02-02 | Varonis Systems, Inc. | Systems and methodologies for controlling access to a file system |
| CN104318435A (zh) * | 2014-09-25 | 2015-01-28 | 同济大学 | 电子交易过程用户行为模式检测的免疫方法 |
| CN106470204A (zh) * | 2015-08-21 | 2017-03-01 | 阿里巴巴集团控股有限公司 | 基于请求行为特征的用户识别方法、装置、设备及系统 |
| US11706227B2 (en) | 2016-07-20 | 2023-07-18 | Varonis Systems Inc | Systems and methods for processing access permission type-specific access permission requests in an enterprise |
| CN106027577B (zh) * | 2016-08-04 | 2019-04-30 | 四川无声信息技术有限公司 | 一种异常访问行为检测方法及装置 |
| CN108107400B (zh) * | 2017-12-04 | 2020-12-08 | 宁波三星医疗电气股份有限公司 | 一种基于智能表按键的检测方法及智能表 |
| CN109936548A (zh) * | 2017-12-18 | 2019-06-25 | 航天信息股份有限公司 | 基于pki平台的异常行为检测方法及装置 |
| CN109977637A (zh) * | 2019-01-17 | 2019-07-05 | 阿里巴巴集团控股有限公司 | 辅助确定垂直越权、确定垂直的方法、装置及电子设备 |
| CN110855663B (zh) * | 2019-11-12 | 2021-12-14 | 北京中安智达科技有限公司 | 一种基于时空相关性分析的身份识别方法及系统 |
| CN111092889B (zh) * | 2019-12-18 | 2020-11-20 | 江苏美杜莎信息科技有限公司 | 分布式数据节点异常行为检测方法、装置及服务器 |
-
2004
- 2004-09-24 CN CN 200410078322 patent/CN1291569C/zh not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| CN1588889A (zh) | 2005-03-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1291569C (zh) | 一种附网存储设备中用户访问行为的异常检测方法 | |
| Cheng et al. | Enterprise data breach: causes, challenges, prevention, and future directions | |
| US7870598B2 (en) | Policy specification framework for insider intrusions | |
| CN109155774B (zh) | 用于检测安全威胁的系统和方法 | |
| CN107851155A (zh) | 用于跨越多个软件实体跟踪恶意行为的系统及方法 | |
| KR102542720B1 (ko) | 제로 트러스트 보안을 위한 행동 인터넷 기반 지능형 데이터 보안 플랫폼 서비스 제공 시스템 | |
| CN112653678B (zh) | 一种网络安全态势感知分析方法及装置 | |
| CN112787992A (zh) | 一种敏感数据的检测与防护的方法、装置、设备和介质 | |
| CN102999716A (zh) | 虚拟机器监控系统及方法 | |
| CN113132311B (zh) | 异常访问检测方法、装置和设备 | |
| CN106339629A (zh) | 一种应用程序管理方法及装置 | |
| US8272051B1 (en) | Method and apparatus of information leakage prevention for database tables | |
| CN101667161A (zh) | 存储设备的数据保护方法、数据保护装置及计算机系统 | |
| EP3172692A1 (en) | Remedial action for release of threat data | |
| CN106815229A (zh) | 数据库虚拟补丁防护方法 | |
| CN1743992A (zh) | 计算机操作系统安全防护方法 | |
| CN116389148B (zh) | 一种基于人工智能的网络安全态势预测系统 | |
| US20240056475A1 (en) | Techniques for detecting living-off-the-land binary attacks | |
| CN106250764A (zh) | 一种计算机终端控制系统 | |
| CN115086081B (zh) | 一种蜜罐防逃逸方法及系统 | |
| CN103051608B (zh) | 一种可移动设备接入监控的方法和装置 | |
| CN109241734A (zh) | 一种防护软件运行效率优化方法及系统 | |
| CN111565377B (zh) | 应用于物联网的安全监测方法和装置 | |
| CN107341396A (zh) | 入侵检测方法、装置及服务器 | |
| Xu et al. | [Retracted] Method of Cumulative Anomaly Identification for Security Database Based on Discrete Markov chain |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C19 | Lapse of patent right due to non-payment of the annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |