基于云架构的信息系统分级威胁防御机制

引言

随着网络技术的普及和社会发展对信息系统的依赖程度不断增强，保证信息系统安全、可靠、稳定运行对确保社会各组成部分的正常运转具有越来越重要的意义。信息系统所可能面临的威胁可以分为针对系统本身及针对其内部信息两类，针对内部信息的威胁包括对数据以及对处理这些数据的信息系统应用的威胁，对这类威胁进行自动检测和防御已经成为网络安全研究的重点。

威胁检测通过在系统中若干关键点收集信息，并对这些信息进行分析，与已知的威胁特征或与正常模型进行比较，从而发现威胁迹象。现在大多数的威胁检测都是在主机上对系统调用序列以机器学习的方式进行建模,但是单个主机的计算能力有限，监控所有的系统调用序列会造成较高的负荷,且系统调用产生的信息繁杂，威胁检测与防御较为困难而且易引起较高的误报E

通过对企业及政府部门内部信息系统的威胁行为分析发现，大多数威胁都是通过对文件系统的访问实现其非法访问信息的目的，因此，文件系统可以成为威胁检测监控的较好选择；而由于不同终端在信息系统内部承担功能以及存储文件安全级别的不同，针对不同终端应该采用不同的威胁防御策略［叫基于此，本文从一个新的角度提出了一个基于云架构的分级威胁防御机制，在客户端监控与记录进程对文件系统的访问行为，将可疑行为传递给云端，在云端按照主机的信息安全级别建立不同行为模型，按照行为特征分析客户端系统中存在的威胁，同时，云端对不同终端提供的报告信息进行融合，进而判断出系统薄弱环节，并将处理策略发放给相关客户端群。该机制为信息系统内部不同安全级别终端的威胁检测与防御提供了有效的解决方法，并通过云架构提供了更多的存储空间和更快速的处理能力，使得系统资源服务得到充分利用同时减少了客户端负荷。

1基于云架构的威胁防御机制总体设计

基于云架构的威胁防御机制依靠网络服务实现信息系统内部不同信息安全级别用户终端威胁的实时防御。在结构上可分为用户终端与服务器端，用户终端完成文件访问行为的监控、异常行为的发现和威胁的处理；服务器端即云端主要完成异常行为报告的融合、威胁行为判定、和系统薄弱环节发现等。其结构示意图如图1所示。

在功能上主要分为文件访问行为监控、文件访问行为建模、威胁行为报告融合与威胁发现、威胁处理几个模块。其工作流程如下：

文件访问行为监控模块对用户终端的文件访问行为进行监控，并与本地保存的常用文件访问行为模型进行比较，将不符合该模型的行为视为文件访问异常行为，将相关信息生成可疑行为报告提供给云端服务器；云端服务器在逻辑隔离的不同虚拟环境下处理不同安全级别终端提交的信息，将异常行为与不同安全级别的完整的文件正常访问行为模型和威胁行为模型进行比较判断终端是否存在安全威胁，若仍不符合该模型则生成威胁行为报告；当云端服务器收到来自不同用户终端的大量威胁行为报告时，通过对威胁报告关联融合进一步察觉出系统中存在的严重威胁、薄弱环节及可疑节点；同时，云端会将威胁的解决方法分发至用户终端同时可以协助甚至代替客户端防御威胁；其中，文件访问行为模型由云端逻辑隔离的不同虚拟环境中的文件访问行为建模功能模块针对不同安全级别终端文件访问行为特征建立，新的威胁行为及安全行为的发现将实现模型库的增量增长。威胁防御机制流程示意图如图2所示。

2威胁防御机制主要功能模块设计

2.1文件访问行为监控

在操作系统中，对于每一个文件访问请求，I/O管理器都会构造一个相应的I/O请求包向文件系统提出请求，文件系统驱动组件则会有相应的处理。文件访问行为系统监控位于I/O管理器之下，文件系统之上，通过截获I/O请求包监视所有程序的文件访问行为。与程序行为不同，正常的文件访问行为显示出多态性，许多威胁活动不会影响到进程的系统调用序列,却可以通过文件、进程、用户和操作的关系表现出异常的文件访问。这些关系在用户安全级别、文件安全级别、安全策略的影响下呈现出一定的规律性。文件访问行为监控通过发现小概率的行为，发现异常行为的发生。

文件访问行为序列格式定义如表1所列，包括序列号(ID),访问的用户(USER)及用户组(GROUP)、进程名(PROCESS)、操作(OPERATION)、文件本身的属性(PROPERTY),访问行为的源IP(SRCIP)及文件所在的主机地址(DSTIP)。其中,操作包括操作的类型、执行的结果，属性包括文件安全级别。

文件访问行为监控模块将截获I/O请求包序列化；分析比较工具将该序列与本地模型库中的行为模型进行比较，存在不一致则生成如图3所示的可疑行为报告提交至服务器。可疑行为报告生成算法

输入：文件访问行为序列VS,常用文件访问模型库{CL}输出：威胁行为报告IR

步骤：

1.对于VS，检查是否满足VS.PROPERTY=CLi.PROPERTY且VS.OPERATION=CLi.OPERATION且VS.GROUP=CLi.GROUP;若不满足，则IR=VS;若满足，将这样的VS提交给服务器中的文件访问行为建模模块。

对于IR，在提交至云端服务器同时在本机保存副本。

2.2威胁行为报告融合与威胁发现

云端服务器为不同安全级别用户终端建立了不同的文件访问行为模型、黑名单和白名单；并通过虚拟化和逻辑分配实现服务器资源的使用，云端服务器安全级别不能低于其所保障的最高安全等级用户终端的级别。威胁行为报告提交至云端服务器后，首先采用与终端同样的方法与完整的行为模型库进行比较，若不符合模型，则将可疑行为报告生成威胁行为报告进一步处理。对威胁行为报告进行关联、融合可疑发现系统中存在的威胁以及系统自身的薄弱环节和恶意节点。

（1）威胁行为报告聚合

威胁行为的发生一般具有持续性，如果是真正的攻击行为，其往往需要重复多次，这类行为的报告往往具有相同的操作、源IP、文件所在的主机地址等特征信息，利用这一特点,将其关联聚合到一起，形成新的威胁行为报告信息，这一信息可能是具有同一目标的某次威胁，或者多步威胁的某一步骤重复进行而产生的信息，当这些报告来自大量不同的节点时,表明威胁在网络中传播并影响了大量的用户节点，要引起重视,采取相应措施。图4所示就是威胁行为报告聚合算法。

（2）威胁路径绘制

威胁行为的产生往往是针对系统中的薄弱环节进行的，对于有预谋窃取某些重要文件的威胁行为，其往往是通过对具有弱点的目标对象进行攻击，获取相应权限，再从已攻陷的主机向其他目标发起的攻击，如此循环往复，直到达到最终目标。对待这类攻击，在进行威胁清除，病毒库升级同时，对威胁信息进行融合，绘制威胁发生的路径可以帮助管理员发现系统本身存在的薄弱环节进而采取相应措施进行防御。图 5所示是威胁路径绘制算法。

（3）恶意节点发现

恶意节点是指系统内部已被威胁控制的节点。如果系统中存在着恶意的终端节点，其很可能通过持续向服务器发送虚假威胁行为报告来干扰服务器端分析和处理有价值的行为报告。在进行信息融合时，需要分辨出这类节点，排除这类报告的干扰，优先处理有价值的威胁行为报告。其恶意节点发现算法如图6所示。

3结语

针对信息系统内部信息的安全威胁多是通过对文件的异常访问来进行的，针对此，本文设计了一个基于云架构的信息系统分级威胁防御机制，发挥网络中服务器和用户终端节点的各自优势，从全局的角度构成一个整体来对抗威胁攻击。用户端主动收集并向服务器端提供文件访问异常行为报告；服务器端针对不同安全级别用户终端建立各类正常行为模型和黑白名单，使系统快速对威胁行为作出正确反应；并从全局角度对威胁报告信息进行整合，在发现威胁的同时发现系统自身薄弱环节，有效促进了系统整体防御性能的提升。

20211120_6197d04610f0f__基于云架构的信息系统分级威胁防御机制