基于云架构的信息系统分级威胁防御机制.docVIP

基于云架构的信息系统分级威胁防御机制 　　摘 要：针对信息系统自身安全需求及威胁行为特征，提出了基于云架构的分级威胁防御机制。该机制将信息系统作为一个整体进行威胁防护，将文件访问异常行为作为判断威胁的依据，并针对信息系统终端安全分级设计了不同的文件访问行为模型，然后基于云架构进行部署，由用户终端节点对文件访问行为进行监控并主动提供威胁行为报告，再由服务器端进行信息关联融合。在发现威胁同时发现信息系统自身薄弱环节及恶意节点时，可使整个网络系统能及时、有效地抵御威胁攻击，因而在提高防护精度的同时，也提高了效能，从而为信息系统威胁防护提供了有效的解决办法。 　　关键词：信息系统；威胁；文件；云架构；分级 　　中图分类号：TP393 文献标识码：A 文章编号：2095-1302（2014）03-0054-03 　　0 引 言 　　随着网络技术的普及和社会发展对信息系统的依赖程度不断增强，保证信息系统安全、可靠、稳定运行对确保社会各组成部分的正常运转具有越来越重要的意义。信息系统所可能面临的威胁可以分为针对系统本身及针对其内部信息两类，针对内部信息的威胁包括对数据以及对处理这些数据的信息系统应用的威胁，对这类威胁进行自动检测和防御已经成为网络安全研究的重点[1-3]。 　　威胁检测通过在系统中若干关键点收集信息，并对这些信息进行分析，与已知的威胁特征或与正常模型进行比较，从而发现威胁迹象。现在大多数的威胁检测都是在主机上对系统调用序列以机器学习的方式进行建模[4，5]，但是单个主机的计算能力有限，监控所有的系统调用序列会造成较高的负荷，且系统调用产生的信息繁杂，威胁检测与防御较为困难而且易引起较高的误报[6]。 　　通过对企业及政府部门内部信息系统的威胁行为分析发现，大多数威胁都是通过对文件系统的访问实现其非法访问信息的目的[7]，因此，文件系统可以成为威胁检测监控的较好选择；而由于不同终端在信息系统内部承担功能以及存储文件安全级别的不同，针对不同终端应该采用不同的威胁防御策略[8]。基于此，本文从一个新的角度提出了一个基于云架构的分级威胁防御机制，在客户端监控与记录进程对文件系统的访问行为，将可疑行为传递给云端，在云端按照主机的信息安全级别建立不同行为模型，按照行为特征分析客户端系统中存在的威胁，同时，云端对不同终端提供的报告信息进行融合，进而判断出系统薄弱环节，并将处理策略发放给相关客户端群。该机制为信息系统内部不同安全级别终端的威胁检测与防御提供了有效的解决方法，并通过云架构提供了更多的存储空间和更快速的处理能力，使得系统资源服务得到充分利用同时减少了客户端负荷。 　　1 基于云架构的威胁防御机制总体设计 　　基于云架构的威胁防御机制依靠网络服务实现信息系统内部不同信息安全级别用户终端威胁的实时防御。在结构上可分为用户终端与服务器端[9，10]，用户终端完成文件访问行为的监控、异常行为的发现和威胁的处理；服务器端即云端主要完成异常行为报告的融合、威胁行为判定、和系统薄弱环节发现等。其结构示意图如图1 所示。 　　图1 基于云架构的信息系统分级威胁防御机制结构示意图 　　在功能上主要分为文件访问行为监控、文件访问行为建模、威胁行为报告融合与威胁发现、威胁处理几个模块。其工作流程如下： 　　文件访问行为监控模块对用户终端的文件访问行为进行监控，并与本地保存的常用文件访问行为模型进行比较，将不符合该模型的行为视为文件访问异常行为，将相关信息生成可疑行为报告提供给云端服务器；云端服务器在逻辑隔离的不同虚拟环境下处理不同安全级别终端提交的信息，将异常行为与不同安全级别的完整的文件正常访问行为模型和威胁行为模型进行比较判断终端是否存在安全威胁，若仍不符合该模型则生成威胁行为报告；当云端服务器收到来自不同用户终端的大量威胁行为报告时，通过对威胁报告关联融合进一步察觉出系统中存在的严重威胁、薄弱环节及可疑节点；同时，云端会将威胁的解决方法分发至用户终端同时可以协助甚至代替客户端防御威胁；其中，文件访问行为模型由云端逻辑隔离的不同虚拟环境中的文件访问行为建模功能模块针对不同安全级别终端文件访问行为特征建立，新的威胁行为及安全行为的发现将实现模型库的增量增长。威胁防御机制流程示意图如图2 所示。 　　图2 基于云架构的信息系统分级威胁防御机制工作流程图 　　2 威胁防御机制主要功能模块设计 　　2.1 文件访问行为监控 　　在操作系统中，对于每一个文件访问请求，I/O管理器都会构造一个相应的I/O请求包向文件系统提出请求，文件系统驱动组件则会有相应的处理。文件访问行为系统监控位于I/O管理器之下，文件系统之上，通过截获I/O请求包监视所有程序的文件访问行为。与程序行为不同，正常的文件访问行为显示出多态性，许多威