基于可變信任機制的主機防御體系

林穎

（武夷學院 信息網絡與教育技術中心，福建 武夷山 354300）

基于可變信任機制的主機防御體系

林穎

（武夷學院 信息網絡與教育技術中心，福建 武夷山 354300）

針對校園網中服務器的重要性，本文從服務器安全防范的角度出發，提出了一種基于可變信任機制的主機防御體系.該體系根據時間段對不同信任度的用戶訪問權限進行設置，并根據相應參數對信任度進行更新，從而在相當程度上提高了服務器的安全性.

網絡安全；日志分析系統；信任度；訪問控制

隨著網絡應用的日益推廣，網絡越來越深入到人們的生活和工作中，人們對來自網絡的安全問題日益重視，廣泛地應用網絡安全工具，但是來自網絡內部的入侵威脅并沒有因此減少，所以主機自身的安全防范就變得尤為重要.

校園網中一般都設有防火墻、入侵檢測系統等防御系統，它們對校園網中的各種服務器（如：F T P服務器、WWW服務器等）都有保護作用，可以提高其安全性，可是我們會發現這些服務器仍然會受到攻擊.可見沒有絕對的安全，我們只有在其基礎上進一步提高安全性，才能減少受到攻擊的機率.

為了加強服務器自身的安全系數，基于現今網絡問題的復雜性，本文提出了一種基于可變信任機制的主機防御體系.該體系是根據時間的不同來對不同信任度的用戶進行訪問權限的設置.在網絡資源使用的高峰時段對不同信任度的用戶進行嚴格的權限分配，反之，進行相對寬松的權限分配.此外，用戶的信任度是不固定的，它會隨著參數的更新而更新，以保證信任度的有效性.該體系主要由主機日志分析系統模塊、信任度模塊、訪問控制模塊等三大部分組成，其大致的工作流程如圖1所示.

圖1

主機日志分析系統模塊將已往的數據分析之后得到相應的正常規則庫和異常規則庫，新的數據（即訪問記錄）出現后，首先當前數據的用戶的使用次數加1，若是新用戶則要再將此用戶加入用戶表，其次數據與正常規則庫、異常規則庫進行比對，如果與異常規則匹配的，此數據的用戶異常次數加1，如果與異常規則不匹配的，再與正常規則庫進行比對，如果匹配，那么正常使用次數+1，否則不確定次數+1并報警由管理員進行進一步的判斷.隨后將使用次數、異常次數、正常次數、不確定次數等參數送入信任度模塊，用于計算訪問此主機的各用戶的信任度等級.訪問控制模塊再根據用戶的信任度等級對用戶的訪問權限進行設定.

1 主機日志分析系統模塊

日志(L o g)是指系統所指定對象的某些操作和其操作結果按時間有序的集合[1].主機日志分析系統的目標是從數量巨大的主機日志文件中發現隱含的、有意義的規則，它由三個部分組成：數據預處理[2]、數據挖掘[3]和建立規則庫（如圖2所示），實際就相當于入侵檢測系統中格式化數據、數據分析、產生規則的集合.

本文的主機日志分析系統模塊是以Wi n d o w sX P為基礎設計的.

圖2 主機日志分析系統模塊

1.1 數據預處理

數據預處理由數據采集、數據篩選和數據格式化組成，它是將采集來的主機日志文件轉換成數據挖掘階段所需的數據形式.

w i n d o w s X P中包含有系統日志、應用程序日志、安全日志、D N S服務器日志、F T P日志等日志文件，不是所有的日志都會自動記錄，它會根據計算機開啟的服務不同而自動記錄.

計算機的安全日志默認下是不開啟的，要對安全日志進行挖掘，首先就要指定相應的審核策略.通過“控制面板”打開“管理工具”中的“本地安全設置”對話框，將其中“本地策略”里的“審核策略”打開.

審核策略所審核的事件，并不是都和入侵行為有關，為了能夠有效地進行檢測，經過分析，我們對審核策略更改、審核登錄事件、審核對象訪問、審核帳戶登錄事件等進行審核.

設置成功后，系統就能夠對安全日志自動記錄.我們可以通過“控制面板”打開“管理工具”中的“事件查看器”就可以看到安全性日志，也可以通過運行下列命令行獲取：

各個日志獲取后，我們再對日志進行數據篩選和數據格式化，以生成所需的數據形式.

1.2 數據挖掘

數據挖掘部分由特征選擇、特征計算和數據挖掘分析組成.數據經過預處理后，導入到日志分析系統，在數據挖掘模塊進行數據分析.本文的主機日志分析系統采用的數據挖掘算法是閉合序列模式算法P o s D*[4]，當然也同樣可以使用其它數據挖掘技術.特征選擇是指某些特定的入侵有特定的特征，我們對此進行提取，如：通過計算機的某端口入侵計算機，那么該入侵的特征就是這個端口的端口號.但有些入侵，單條看起來都是正常的，但是在一個時間段內重復出現一定次數就構成了入侵行為，這時候就需要用到特征計算來計算.同時我們通過數據挖掘分析知道哪些屬于入侵行為，哪些屬于正常行為.

1.3 建立規則庫

建立規則庫由異常規則庫和正常規則庫組成，分別存放異常行為規則和正常行為規則.

通過數據挖掘模塊對數據的挖掘，分析得出了用戶的異常行為規則和正常行為規則，將這些規則分別加入到異常規則庫和正常規則庫中以供使用.

由于日志數據不斷更新的特點，我們定期收集更新數據送入日志分析系統進行分析，產生新的行為規則，以及時更新規則庫.

2 信任度模塊

信任度模塊是通過對用戶設置不同的信任度等級來為用戶分配權限，限制用戶的訪問權限，從而減少對主機的攻擊.

2.1 相關概念

定義1 信任就是相信對方，是一種建立在自身知識和經驗基礎上的判斷，是一種實體與實體之間的主觀行為.信任不同于人們對客觀事物的“相信(b e l i e v e)”，而是一種主觀判斷，所有的信任本質上都是主觀的，信任本身并不是事實或者證據，而是關于所觀察到的事實的知識.［5］

定義2信任度(t r u s t d e g r e e)就是信任的定量表示，也可以稱為信任程度、信任值、信任級別、可信度等.［5］

定義3 正常行為：用戶行為符合正常規則庫中的規則.

定義4 異常行為：用戶行為符合異常規則庫中的規則.

定義5 不確定行為：用戶行為既不符合正常規則庫中的規則，又不符合異常規則庫中規則. 2.2信任度的劃分

在這個模型中，我們設置4個參數：正常次數、異常次數、不確定次數、使用次數

正常次數：每個用戶每次登錄后的用戶行為是正常行為（即與正常規則匹配），那么正常次數加1，正常次數越多，用戶的信用相對越高.

異常次數：每個用戶每次登錄后的用戶行為是異常行為（即與異常規則匹配），那么異常次數加1，異常次數越多，用戶的信用越低.

不確定次數：每個用戶每次登錄后的用戶行為是不確定行為（即與正常規則、異常規則均不匹配），則不確定次數加1.

使用次數：用戶每次登錄后，使用次數加1.

其中，用戶的不確定行為發生后系統會報警交由管理員處理判定，但是由于管理員可能不能及時處理或一時無法判斷，不確定行為因此可能要存在一段時間，為此該模塊中設置了不確定次數這個參數.

用戶信任度等級：將用戶的信任度劃分為A、B、C三個等級.如果正常次數/使用次數>0.85且攻擊次數=0，那么用戶信任度為A級（最高級）；如果正常次數/使用次數>0.7且攻擊次數=0，那么用戶信任度為B級；如果攻擊次數>=1或不確定次數/使用次數>0.3，那么用戶信任度為C級.

3 基于路由器的訪問控制模塊

經過日志分析模塊和信任度模塊的處理后，每個訪問主機的用戶信任度等級就可以計算出來了，之后，根據用戶的信任度等級，利用基于時間的訪問控制列表來控制不同信任等級的用戶在主機上訪問的時間和權限.所謂訪問控制列表就是路由器某端口的一系列關于網絡數據包允許或拒絕的規則集合，是路由器實現網絡管理的一種方法.

根據我校的實際情況，我校校園網使用的高峰期一般是周一至周五的19：00-24：00和周末兩天8:00-24:00.在網絡使用高峰期，我們采用嚴格的用戶信任度制度，即高峰期內只允許A級用戶訪問服務器；在高峰期以外的時間我們采用相對寬松的用戶信任度制度，即高峰期外的時段除了允許A級用戶訪問服務器之外，B級用戶也可以訪問服務器；C級用戶任何時段均不能訪問服務器.因為有的攻擊行為可能是計算機中毒引起的，所以B、C級用戶如果是本校用戶，當這臺計算機的病毒被清除并不再具有攻擊性后，可以再調整其信任度等級.

以192.168.1.1服務器為例，它的日志經過分析后再由信任度模塊處理，發現B級用戶有192.168.1.108、192.168.5.2、192.168.5.9等，C級用戶有192.168.1.122、192.168.3.2等，那么我們可以在路由器上進行如下設置（以C i s c o路由器為例）：

設置高峰時間:

經過主機防御體系的日志分析系統模塊、信任度模塊、訪問控制模塊三大模塊配合作用后，主機就能將訪問它的用戶按照信任等級進行劃分，并按照時間段控制這些用戶的訪問，提高了主機的安全系數，為主機自身提供一個相對安全的環境.同時，用戶的信任等級不是一成不變的，隨著信任度模塊中參數的變化，信任等級也會隨之變化，這樣，主機的安全系數就能比較有效地保持在一個相對平均位置.

4 結束語

服務器作為校園網的一個重要成員，常常也會成為攻擊的對象.為了提高校園網絡的安全性，服務器的安全也顯得至關重要.本文從服務器安全防范的角度出發，設計了一種基于可變信任機制的主機防御體系，該體系在相當程度上提高了主機的安全性.

該體系中信任度的劃分規則是根據本校的實際情況提出的，在規則的制定上還不夠精細，下一步的目標是希望能夠通過收集的數據計算出更加精確的值，從而制定出更加精確的信任度.

〔1〕林曉東,劉心松.文件系統中日志技術的研究[J].計算機應用，1998，18（1）.

〔2〕文娟，薛永生，段江嬌，王勁波.基于關聯規則的日志分析系統的設計與實現[J].廈門大學學報（自然科學版），2005（6）.

〔3〕Jiawei Han,Micheline Kamber.數據挖掘概念與技術[M].北京：機械工業出版社，2002.149-222.

〔4〕林穎.基于時間約束的閉合序列模式挖掘[J].武夷學院學報，2009（2）.

〔5〕李小勇，桂小林.大規模分布式環境下動態信任模型研究[J].軟件學報，2007（6）.

T P 393.18

A

1673-260X（2010）08-0029-03