云环境下改进的非授权用户入侵行为分析及检测研究
开篇:润墨网以专业的文秘视角,为您筛选了一篇云环境下改进的非授权用户入侵行为分析及检测研究范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘 要: 为改进关联规则模块对非授权用户入侵行为分析的效率,并提高可靠性,提出以多尺度理论对关联规则挖掘进行辅助,根据概念分层理论来确定数据尺度和数据尺度划分,提出尺度下推的关联规则挖掘算法。该算法利用从大尺度数据集中得到的知识及多尺度数据集之间的关系,推导小尺度数据集中隐含的知识,而不对小尺度数据集进行直接挖掘,因此具有较高的运行效率。将该算法运用于云计算下基于改进的关联分析的非授权用户入侵行为分析模型,能有效提高检测速度。
关键词: 云计算; 关联规则; 多尺度; 多尺度下推; 概念分层
中图分类号:TP393.4 文献标志码:A 文章编号:1006-8228(2016)10-25-04
Analysis and detection of intrusion behavior of non authorized users in cloud environment
――Taking a college students' professional tendency analysis system as an example
Zheng Yuxing
(Anglo-Chinese College, Fuzhou, Fujian 350018, China)
Abstract: In order to improve the efficiency of the intrusion behavior analysis of unauthorized users by associate rule modules, the paper indicates that the theory of multi-scale could assist association rule data mining, it presents the definition of data-scale-partition and data-scale based on the theory of concept hierarchy, and provides the scaling-push association rules mining algorithm. This algorithm uses the knowledge generated from large-scale data sets and the relationship between multi-scale data sets to deduce the embedded knowledge of small-scale data sets, rather than directly conduct data mining towards small-scale data sets, so it has high operating efficiency. Based on the improved association analysis, if the algorithm could be used in the cloud computing intrusion behavior analysis model of non authorized users, the detection speed should be increased effectively.
Key words: cloud computing; association rules; multi-scale; multi-scale push; concept hierarchy
0 引言
云计算技术自2007年被提出后,几年来得到了高速发展。它是分布式计算、网格计算、并行计算、网格存储、虚拟化技术等联合发展的产物。利用云计算技术,能高效地扩充信息与计算资源,实现资源的动态流转。与传统的分布式存储等数据存储管理方式相比,云计算的可拓展性、可接入性、可持续性和维护成本都得到了极大的提升。其应用已逐渐遍布所有领域。
虽然云计算的计算功能强大,又有无限的虚拟资源服务可作为拓展,但不可忽视的是,低成本接入的云服务背后带来的安全信任问题。
1 某高校专业倾向分析系统在云环境下的安全问题
云计算服务的平台为网络社会提供了一个宽松开放的数据平台。尤其是在大数据发展的今天,云环境为跨地区资源的整合与实时动态配置架设了一个低门槛的共享平台。用户可以在任意位置,使用任意终端来请求云服务,甚至不需要和服务提供商进行交互,就能获取所计算资源。
某高校为了能在教学、管理工作中更好地因材施教,动态地调整教学计划、方式,并与学生需求高度结合,发现学生潜在的求学意愿,在云服务平台上架设了专业倾向分析系统。该系统支持兄弟院校的信息导入,同时提供本校师生信息的存储、查询、处理与数据分析。
对高校和个人用户而言,彼此的数据是透明、互不相干的,但是实际上因为云服务具有的任意接入特性,使不同用户的数据处在云服务的共享环境里。这些用户数据内含的信息如果泄露,就会对学校和学生产生不利影响。对某高校的专业倾向分析系统而言,云环境的安全问题包括非授权用户行为、数据隔离、数据恢复、社会公德与法规约束等方面。本文主要对非授权用户的入侵行为监控进行分析。
2 某高校专业倾向分析系统中非授权用户行为
在数据库安全存储中,授权用户安全一直是一个重要的研究内容。某高校的专业倾向分析系统所架设的云环境平台上,产生的是庞大的数据量,首先要考虑的就是不同用户数据的有效隔离。云计算是一个多租户的多任务构架,包含用户管理层、服务层、虚拟资源层、资源虚拟层、实际物理层。大数据的跨平台传输应用在一定程度上会带来内在风险,可以根据大数据的密级程度和用户需求的不同,将大数据和用户设定不同的权限等级,并严格控制访问控制权限[1]。用户接入的简洁化对数据的确认、用户身份管理、隐私措施都带来危害。只有值得信任的用户行为才能得到云服务的支持,可以这么认为,用户对云服务的安全需求和云提供商的安全需求是相似的[2]。
云环境的任意接入是特色服务,因此不应该使用限制用户授权的方式来保证授权用户的可信行为。在保持接入便利的前提下,通常对云环境的非授权用户采用可信计算的解决方式,以主动防御的安全方式应对变化的非授权用户行为。
传统的非授权用户行为监控把用户行为分成两类,一类是合法的授权用户行为,另一类是除了合法授权用户行为以外的一切行为。这种划分法简单粗暴,在数据量不大的情况下还能够适应安全应用的需求。但是随着互联网信息技术的发展,授权用户和非授权用户的行为离散性太强,用以描述的指标体系越来越庞大,用传统的简单区分不仅容易漏过伪装的非授权用户行为,而且对授权用户的正常操作行为也存在误判。可见,为了能够分析监控非授权用户的行为,在云环境平台上势必设立对应的入侵检测分析构架。
3 入侵检测分析
一般的理解上,只有非法用户的行为会对云环境下的数据安全造成破坏。但在实际的安全监控中可以发现,即使是合法用户也存在恶意使用云服务的情况,同样也造成了非授权的不安全行为。因此在云环境的非授权用户入侵检测分析中,要区分这两种情况。
基于云计算构架的大数据,数据的存储和操作都是以服务的形式提供的[3]。一个云环境下的非授权用户入侵行为分析的基本流程如图1所示。
对非授权用户的入侵行为分析中,首先验证提交云服务申请的用户的合法性,争取在不安全行为的源头就杜绝非法用户的侵入。
在用户的合法性验证通过后,给予对应的行为授权,在这个阶段,合法用户有可能进行非授权的不安全行为,而伪装成合法用户的非授权用户更可能产生一系列恶意的行为操作。
因此在给予合法用户行为授权之后,入侵检测平台持续进行监控,记录并产生用户的行为操作证据。
用户行为是一个指标体系庞大的离散数据,为了便于后续的分析,应当对其进行降维操作,使用户的行为证据规则化。
入侵行为分析中最重要的部分是授权行为评估,并对比行为数据库,查证用户行为是否产生不良影响。在这一阶段,比对行为数据库是关键。行为数据库的完善与否对授权行为评估的正确性有重大的影响。
用户行为千差万别,就算经由降维整理,也将形成一个庞大的数据量。何况用户的行为还在增加中,行为数据库一旦没有及时更新,就有可能疏漏某些非授权用户的入侵行为。一个需要非授权用户的行为发生后才能给予响应的入侵行为监控分析是失败的产物。假如为了判别变异的、新增的用户行为,而大量采用人工甄别,也不能及时响应非授权用户的入侵行为。显然,在高速计算的云环境下,为了适应非授权用户行为的差别与变异,在云环境下的非授权用户入侵行为分析必须使用主动防御的构架。
本文提出基于关联规则的非授权用户行为检测模型,以主动防御的理念为基石,使用数据挖掘的关联规则算法设计用户行为规则库,目标是自动学习非授权用户的入侵行为规则,得出对应的响应对策,更准确、有效地阻止非授权用户的入侵行为。
4 基于关联规则的非授权用户行为检测
关联规则是数据挖掘方法中最常被应用的算法之一,它形如ifthen格式,特点是能够从大量冗杂的数据项中挖掘出不为人知的内在关联或隐藏在其中的相关关系。非授权用户行为虽然时时都在变异、伪装,但入侵技术也是一步一步进步而来的,内在也存在隐蔽的关联关系。关联规则擅长发现记录集中数据项与数据项互相关联的隐蔽规则,其形式可以表示为:,其中,是数据库中的数据项。也就是说关联规则不受复杂行为指标体系的影响,只要挖掘出用户行为满足支持最小置信度的频繁项目集,则认为在一个用户行为中出现某些特定行为,可以据此判断推测出另一些用户行为也将出现,由此检测判断出非授权用户的入侵行为。
基于关联规则的非授权用户行为检测模块中,云平台的控制台、分析台与关联规则分析专家系统互相合作。由关联分析专家系统读取规则库中的非授权用户行为规则集,通过关联分析结果,得出相应措施,或修改规则库,动态增加新规则,其基本流程如图2所示。
仅仅使用关联规则进行数据挖掘,对非授权用户进行行为检测还不够。关联规则在挖掘之前虽然先由用户设置了可信度和支持度的最小阈值,但是难免产生大量的无意义冗余规则。曾有学者采用指定一个或多个项作为挖掘前件和后件的策略,用以约束最小支持度和最小置信度的范围。这种做法的缺陷是不够灵活,在资源动态配置的云服务环境下,人工约束最小支持度和最小置信度的方式显得不够灵活,对规则集的自主学习造成了影响。
为改进关联规则模块对非授权用户入侵行为分析的效率,并提高可靠性,本文提出以多尺度理论对关联规则挖掘进行辅助,尽可能扩大关联规则的挖掘领域提出尺度下推关联规则挖掘算法。
5 多尺度关联规则挖掘
尺度的概念来源于测量指标。对客观的研究对象而言,尺度是一种衡量的工具指标,对数据挖掘的数据项目而言,尺度也是一种测量的单位。本文所研究的非授权用户入侵行为在行为证据数据集的降维过程中,应对数据在某一个特征集的一个属性集就可以形成偏序结构明确的概念分层,依据概念分层中相关概念对数据进行划分,就可以形成具有多尺度特性的数据集[4]。
非授权用户的行为证据集符合不同概念为基准的数据集特性,可以根据行为证据数据集中不同项的表现形式,实现从多个尺度分析离散数据。在挖掘规则中最关键的一点是如何为算法选择适当的属性值[5]。当数据集的属性集是采用单一尺度进行划分时,每个数据子项目集合都根据某个具体的概念属性值来区分,具有明确的数据含义。但是在多尺度划分之下,能在多个概念层次上进行频繁项集的挖掘和分析,十分具有使用价值和研究意义[6]。
与单一尺度的数据集划分不同,多尺度的数据集划分非常容易造成数据集之间互相包含的情况。这是多尺度数据挖掘的特殊现象。如果多每一个划分出来的多尺度数据集都进行数据挖掘分析,虽然拓展了挖掘的知识深度,但也带来的效率的底下。这里提出以尺度下推的思路指导关联规则挖掘算法,从全局上把握非授权用户入侵行为特征。
尺度下推指的是生成大尺度数据集和小尺度数据集,利用从大尺度数据集中得到的知识、领域知识及多尺度数据集之间的关系推导小尺度数据集中隐含的知识,而不对小尺度数据集进行直接挖掘[4]。优点是既充分发挥了多尺度对数据集的多层次划分,丰富了挖掘的深度,又在数据全局的视野下以宏观全面的知识推导数据的细节局部的知识。
针对非授权用户入侵行为数据库而言,多尺度划分后的数据集丰富了关联规则学习模块的挖掘深度,而尺度下推的思路从数据全局的角度动态地阻止关联规则过分依赖频繁项的弊端,对个体非授权用户的入侵行为分析则具备数据全局的指导,对关联规则的最小支持度和最小置信度的调整更为可靠。
6 结束语
云环境带来了资源动态配置的便利性,同时也给数据的隔离、安全使用带来风险。本文以数据挖掘的关联规则算法为基础,提出一个非授权用户入侵行为分析及检测的模型系统。用户的行为具有难以预估的离散性,因此适合采用关联分析对用户行为进行分析挖掘。同时考虑用户行为的多元化特性,本文提出以多尺度下推的概念来改进关联规则的数据挖掘过程,不仅使用多尺度划分的用户行为数据集项进行拓展的数据挖掘,而且以全局视野的数据推导局部数据的细节,能加快关联规则分析的速度和准确性。该模型能够对用户行为进行有效监控、评估,其主动学习新的规则,可对未知的非授权用户行为作出判断和响应,实现主动防御下的云环境数据安全。
参考文献(References):
[1] 郭三强,郭燕锦.大数据环境下的数据安全研究[J].科技广场,
2013.2:28-31
[2] 李磊,郑磊,张志鸿.基于群论的可信云计算平台的研究与改
进[J].科学技术与工程,2013.17:5015-5020
[3] 曾中良.大数据时代的企业信息安全保障[J].网络安全技术
与应用,2014.8:137-138
[4] 柳萌萌,赵书良,陈敏,李晓超.多尺度关联规则挖掘的尺度上
推算法[J].计算机应用研究,2015.10:2924-2929
[5] 郭晓波,赵书良,王长宾,陈敏.一种新的面向普通用户的多值
属性关联规则可视化挖掘方法[J].电子学报,2015.2:344-352
[6] CAGLIERO L,CERQUITELLI T,GARZA P,et al Misleading
generalized itemset discovery[J]. Expert Systemswith Applications,2014.41(2):1400-1410