云環境下改進的非授權用戶入侵行為分析及檢測研究

鄭宇星

摘 要： 為改進關聯規則模塊對非授權用戶入侵行為分析的效率，并提高可靠性，提出以多尺度理論對關聯規則挖掘進行輔助，根據概念分層理論來確定數據尺度和數據尺度劃分，提出尺度下推的關聯規則挖掘算法。該算法利用從大尺度數據集中得到的知識及多尺度數據集之間的關系，推導小尺度數據集中隱含的知識，而不對小尺度數據集進行直接挖掘，因此具有較高的運行效率。將該算法運用于云計算下基于改進的關聯分析的非授權用戶入侵行為分析模型，能有效提高檢測速度。

關鍵詞： 云計算； 關聯規則； 多尺度； 多尺度下推； 概念分層

中圖分類號：TP393.4 文獻標志碼：A 文章編號：1006-8228（2016）10-25-04

Analysis and detection of intrusion behavior of non authorized users in cloud environment

——Taking a college students' professional tendency analysis system as an example

Zheng Yuxing

（Anglo-Chinese College， Fuzhou， Fujian 350018， China）

Abstract： In order to improve the efficiency of the intrusion behavior analysis of unauthorized users by associate rule modules， the paper indicates that the theory of multi-scale could assist association rule data mining， it presents the definition of data-scale-partition and data-scale based on the theory of concept hierarchy， and provides the scaling-push association rules mining algorithm. This algorithm uses the knowledge generated from large-scale data sets and the relationship between multi-scale data sets to deduce the embedded knowledge of small-scale data sets， rather than directly conduct data mining towards small-scale data sets， so it has high operating efficiency. Based on the improved association analysis， if the algorithm could be used in the cloud computing intrusion behavior analysis model of non authorized users， the detection speed should be increased effectively.

Key words： cloud computing； association rules； multi-scale； multi-scale push； concept hierarchy

0 引言

云計算技術自2007年被提出后，幾年來得到了高速發展。它是分布式計算、網格計算、并行計算、網格存儲、虛擬化技術等聯合發展的產物。利用云計算技術，能高效地擴充信息與計算資源，實現資源的動態流轉。與傳統的分布式存儲等數據存儲管理方式相比，云計算的可拓展性、可接入性、可持續性和維護成本都得到了極大的提升。其應用已逐漸遍布所有領域。

雖然云計算的計算功能強大，又有無限的虛擬資源服務可作為拓展，但不可忽視的是，低成本接入的云服務背后帶來的安全信任問題。

1 某高校專業傾向分析系統在云環境下的安全問題

云計算服務的平臺為網絡社會提供了一個寬松開放的數據平臺。尤其是在大數據發展的今天，云環境為跨地區資源的整合與實時動態配置架設了一個低門檻的共享平臺。用戶可以在任意位置，使用任意終端來請求云服務，甚至不需要和服務提供商進行交互，就能獲取所計算資源。

某高校為了能在教學、管理工作中更好地因材施教，動態地調整教學計劃、方式，并與學生需求高度結合，發現學生潛在的求學意愿，在云服務平臺上架設了專業傾向分析系統。該系統支持兄弟院校的信息導入，同時提供本校師生信息的存儲、查詢、處理與數據分析。

對高校和個人用戶而言，彼此的數據是透明、互不相干的，但是實際上因為云服務具有的任意接入特性，使不同用戶的數據處在云服務的共享環境里。這些用戶數據內含的信息如果泄露，就會對學校和學生產生不利影響。對某高校的專業傾向分析系統而言，云環境的安全問題包括非授權用戶行為、數據隔離、數據恢復、社會公德與法規約束等方面。本文主要對非授權用戶的入侵行為監控進行分析。

2 某高校專業傾向分析系統中非授權用戶行為

在數據庫安全存儲中，授權用戶安全一直是一個重要的研究內容。某高校的專業傾向分析系統所架設的云環境平臺上，產生的是龐大的數據量，首先要考慮的就是不同用戶數據的有效隔離。云計算是一個多租戶的多任務構架，包含用戶管理層、服務層、虛擬資源層、資源虛擬層、實際物理層。大數據的跨平臺傳輸應用在一定程度上會帶來內在風險，可以根據大數據的密級程度和用戶需求的不同，將大數據和用戶設定不同的權限等級，并嚴格控制訪問控制權限[1]。用戶接入的簡潔化對數據的確認、用戶身份管理、隱私措施都帶來危害。只有值得信任的用戶行為才能得到云服務的支持，可以這么認為，用戶對云服務的安全需求和云提供商的安全需求是相似的[2]。

云環境的任意接入是特色服務，因此不應該使用限制用戶授權的方式來保證授權用戶的可信行為。在保持接入便利的前提下，通常對云環境的非授權用戶采用可信計算的解決方式，以主動防御的安全方式應對變化的非授權用戶行為。

傳統的非授權用戶行為監控把用戶行為分成兩類，一類是合法的授權用戶行為，另一類是除了合法授權用戶行為以外的一切行為。這種劃分法簡單粗暴，在數據量不大的情況下還能夠適應安全應用的需求。但是隨著互聯網信息技術的發展，授權用戶和非授權用戶的行為離散性太強，用以描述的指標體系越來越龐大，用傳統的簡單區分不僅容易漏過偽裝的非授權用戶行為，而且對授權用戶的正常操作行為也存在誤判。可見，為了能夠分析監控非授權用戶的行為，在云環境平臺上勢必設立對應的入侵檢測分析構架。

3 入侵檢測分析

一般的理解上，只有非法用戶的行為會對云環境下的數據安全造成破壞。但在實際的安全監控中可以發現，即使是合法用戶也存在惡意使用云服務的情況，同樣也造成了非授權的不安全行為。因此在云環境的非授權用戶入侵檢測分析中，要區分這兩種情況。

基于云計算構架的大數據，數據的存儲和操作都是以服務的形式提供的[3]。一個云環境下的非授權用戶入侵行為分析的基本流程如圖1所示。

對非授權用戶的入侵行為分析中，首先驗證提交云服務申請的用戶的合法性，爭取在不安全行為的源頭就杜絕非法用戶的侵入。

在用戶的合法性驗證通過后，給予對應的行為授權，在這個階段，合法用戶有可能進行非授權的不安全行為，而偽裝成合法用戶的非授權用戶更可能產生一系列惡意的行為操作。

因此在給予合法用戶行為授權之后，入侵檢測平臺持續進行監控，記錄并產生用戶的行為操作證據。

用戶行為是一個指標體系龐大的離散數據，為了便于后續的分析，應當對其進行降維操作，使用戶的行為證據規則化。

入侵行為分析中最重要的部分是授權行為評估，并對比行為數據庫，查證用戶行為是否產生不良影響。在這一階段，比對行為數據庫是關鍵。行為數據庫的完善與否對授權行為評估的正確性有重大的影響。

用戶行為千差萬別，就算經由降維整理，也將形成一個龐大的數據量。何況用戶的行為還在增加中，行為數據庫一旦沒有及時更新，就有可能疏漏某些非授權用戶的入侵行為。一個需要非授權用戶的行為發生后才能給予響應的入侵行為監控分析是失敗的產物。假如為了判別變異的、新增的用戶行為，而大量采用人工甄別，也不能及時響應非授權用戶的入侵行為。顯然，在高速計算的云環境下，為了適應非授權用戶行為的差別與變異，在云環境下的非授權用戶入侵行為分析必須使用主動防御的構架。

本文提出基于關聯規則的非授權用戶行為檢測模型，以主動防御的理念為基石，使用數據挖掘的關聯規則算法設計用戶行為規則庫，目標是自動學習非授權用戶的入侵行為規則，得出對應的響應對策，更準確、有效地阻止非授權用戶的入侵行為。

4 基于關聯規則的非授權用戶行為檢測

關聯規則是數據挖掘方法中最常被應用的算法之一，它形如if→then格式，特點是能夠從大量冗雜的數據項中挖掘出不為人知的內在關聯或隱藏在其中的相關關系。非授權用戶行為雖然時時都在變異、偽裝，但入侵技術也是一步一步進步而來的，內在也存在隱蔽的關聯關系。關聯規則擅長發現記錄集中數據項與數據項互相關聯的隱蔽規則，其形式可以表示為：，其中，是數據庫中的數據項。也就是說關聯規則不受復雜行為指標體系的影響，只要挖掘出用戶行為滿足支持最小置信度的頻繁項目集，則認為在一個用戶行為中出現某些特定行為，可以據此判斷推測出另一些用戶行為也將出現，由此檢測判斷出非授權用戶的入侵行為。

基于關聯規則的非授權用戶行為檢測模塊中，云平臺的控制臺、分析臺與關聯規則分析專家系統互相合作。由關聯分析專家系統讀取規則庫中的非授權用戶行為規則集，通過關聯分析結果，得出相應措施，或修改規則庫，動態增加新規則，其基本流程如圖2所示。

僅僅使用關聯規則進行數據挖掘，對非授權用戶進行行為檢測還不夠。關聯規則在挖掘之前雖然先由用戶設置了可信度和支持度的最小閾值，但是難免產生大量的無意義冗余規則。曾有學者采用指定一個或多個項作為挖掘前件和后件的策略，用以約束最小支持度和最小置信度的范圍。這種做法的缺陷是不夠靈活，在資源動態配置的云服務環境下，人工約束最小支持度和最小置信度的方式顯得不夠靈活，對規則集的自主學習造成了影響。

為改進關聯規則模塊對非授權用戶入侵行為分析的效率，并提高可靠性，本文提出以多尺度理論對關聯規則挖掘進行輔助，盡可能擴大關聯規則的挖掘領域提出尺度下推關聯規則挖掘算法。

5 多尺度關聯規則挖掘

尺度的概念來源于測量指標。對客觀的研究對象而言，尺度是一種衡量的工具指標，對數據挖掘的數據項目而言，尺度也是一種測量的單位。本文所研究的非授權用戶入侵行為在行為證據數據集的降維過程中，應對數據在某一個特征集的一個屬性集就可以形成偏序結構明確的概念分層，依據概念分層中相關概念對數據進行劃分，就可以形成具有多尺度特性的數據集[4]。

非授權用戶的行為證據集符合不同概念為基準的數據集特性，可以根據行為證據數據集中不同項的表現形式，實現從多個尺度分析離散數據。在挖掘規則中最關鍵的一點是如何為算法選擇適當的屬性值[5]。當數據集的屬性集是采用單一尺度進行劃分時，每個數據子項目集合都根據某個具體的概念屬性值來區分，具有明確的數據含義。但是在多尺度劃分之下，能在多個概念層次上進行頻繁項集的挖掘和分析，十分具有使用價值和研究意義[6]。

與單一尺度的數據集劃分不同，多尺度的數據集劃分非常容易造成數據集之間互相包含的情況。這是多尺度數據挖掘的特殊現象。如果多每一個劃分出來的多尺度數據集都進行數據挖掘分析，雖然拓展了挖掘的知識深度，但也帶來的效率的底下。這里提出以尺度下推的思路指導關聯規則挖掘算法，從全局上把握非授權用戶入侵行為特征。

尺度下推指的是生成大尺度數據集和小尺度數據集，利用從大尺度數據集中得到的知識、領域知識及多尺度數據集之間的關系推導小尺度數據集中隱含的知識，而不對小尺度數據集進行直接挖掘[4]。優點是既充分發揮了多尺度對數據集的多層次劃分，豐富了挖掘的深度，又在數據全局的視野下以宏觀全面的知識推導數據的細節局部的知識。

針對非授權用戶入侵行為數據庫而言，多尺度劃分后的數據集豐富了關聯規則學習模塊的挖掘深度，而尺度下推的思路從數據全局的角度動態地阻止關聯規則過分依賴頻繁項的弊端，對個體非授權用戶的入侵行為分析則具備數據全局的指導，對關聯規則的最小支持度和最小置信度的調整更為可靠。

6 結束語

云環境帶來了資源動態配置的便利性，同時也給數據的隔離、安全使用帶來風險。本文以數據挖掘的關聯規則算法為基礎，提出一個非授權用戶入侵行為分析及檢測的模型系統。用戶的行為具有難以預估的離散性，因此適合采用關聯分析對用戶行為進行分析挖掘。同時考慮用戶行為的多元化特性，本文提出以多尺度下推的概念來改進關聯規則的數據挖掘過程，不僅使用多尺度劃分的用戶行為數據集項進行拓展的數據挖掘，而且以全局視野的數據推導局部數據的細節，能加快關聯規則分析的速度和準確性。該模型能夠對用戶行為進行有效監控、評估，其主動學習新的規則，可對未知的非授權用戶行為作出判斷和響應，實現主動防御下的云環境數據安全。

參考文獻（References）：

[1] 郭三強，郭燕錦.大數據環境下的數據安全研究[J].科技廣場，

2013.2：28-31

[2] 李磊，鄭磊，張志鴻.基于群論的可信云計算平臺的研究與改

進[J].科學技術與工程，2013.17：5015-5020

[3] 曾中良.大數據時代的企業信息安全保障[J].網絡安全技術

與應用，2014.8：137-138

[4] 柳萌萌，趙書良，陳敏，李曉超.多尺度關聯規則挖掘的尺度上

推算法[J].計算機應用研究，2015.10：2924-2929

[5] 郭曉波，趙書良，王長賓，陳敏.一種新的面向普通用戶的多值

屬性關聯規則可視化挖掘方法[J].電子學報，2015.2：344-352

[6] CAGLIERO L，CERQUITELLI T，GARZA P，et al Misleading

generalized itemset discovery[J]. Expert Systemswith Applications，2014.41（2）：1400-1410