基于特征向量的微服務架構中的入侵檢測算法?

劉宏彬 劉思佳

（1.華中科技大學同濟醫學院 武漢 430030）（2.華中科技大學軟件學院 武漢 430074）

1 引言

微服務是一個新興的軟件架構，就是把一個大型的單個應用程序和服務拆分為數十個的支持微服務。一個微服務的策略可以讓工作變得更為簡便，它可擴展單個組件而不是整個的應用程序堆棧，從而滿足服務等級協議。微服務作為一項在云中部署應用和服務的新技術已成為當下最新的研究方向［1～3］。

面向服務的架構SOA（Service-Oriented Archi?tecture）將組件發布成服務，通過對外提供不同的服務來支持應用系統的接口。微服務是在SOA的基礎上發展起來的，微服務架構強調更徹底的組件化和服務化，原來應用被拆分為一系列獨立分布的微服務，每個微服務都可以獨立部署。微服務架構的特性，使得其面臨嚴峻的安全問題。由于微服務向外提供服務時，需要向外暴露更多的接口，使得微服務遭受攻擊的可能性增加。但微服務之間通常被設計為相互信任，假如入侵者入侵了某個微服務，完全控制了這個微服務，那么入侵者可以向其他微服務發送請求獲取敏感信息，甚至攻擊其他微服務導致整個系統癱瘓，對于這種內部攻擊服務的設計者往往是沒有防范的［4］，此外，微服務應用還面臨著一些權限攻擊的威脅，入侵者可能會繞過應用的權限管理機制，提升自己的權限。因此，在微服務應用上進行入侵檢測顯得很有必要。

傳統的入侵檢測技術主要擁有網絡安全，面對微服務應用上的多種攻擊手段顯得力不從心，上面提到的內部攻擊中入侵者如果僅僅向其他微服務發送一些請求來竊取隱私，在主機和網絡上的特征與正常的微服務調用不會有任何區別，因而很難檢測出來［5～6］。

針對以上問題，本文微服務架構下提出基于應用特征向量技術來解決微服務應用上的入侵檢測難題。

2 相關研究

有關微服務的入侵檢測的研究尚不充分，與之相關的是微服務的故障診斷以及微服務應用監管的研究。

王子勇等提出一種基于執行軌跡監測的微服務故障診斷方法。首先，利用動態插樁監測服務組件的請求處理流，進而利用調用樹對請求處理的執行軌跡進行刻畫；然后，針對影響執行軌跡的系統故障，利用樹編輯距離來評估請求處理的異常程度，通過分析執行軌跡差異來定位引發故障的方法調用；最后，針對性能異常采用主成分分析抽取引起系統性能異常波動的關鍵方法調用［7］。

劉一田等研究了傳統分布式系統監控技術及基于服務調用鏈的分布式系統追蹤技術，在此基礎上，設計了柔性微服務監控框架，給出了高可用配置中心、無侵入的微服務實例客戶端代理、靈活可復用的監控告警模板等創新點，闡述了該框架的架構設計及關鍵實現技術［8］。

李明等借鑒自然免疫系統的學習、記憶和模式識別等機制，考慮了網絡安全免疫系統模擬其原理和功能，利用分散于網絡各層面的代理協同監測入侵行為，實現威脅的有效應答，聯合做出響應，并實現安全防御，以此解決復雜環境中防護的被動性和盲目性問題。提出了一種基于微架構的網絡安全免疫模擬系統。該系統由微容器、微服務、微鏈路和微流程四個層次的模擬機制構成，基于生物免疫系統中組件表現出的主動性、自適應性和反應性等屬性特征，構建監測代理、控制代理、管理代理和安全策略管理中心代理四類典型功能要素，并在指定的場景中按照預設參數和規則運行，以驗證網絡安全免疫模擬系統實現協同檢測、聯合響應、聯動阻斷、應急恢復等能力和效能水平［9］。

上述系統或者研究沒有從微服務應用的本身來考慮如何對微服務應用的入侵進行檢測。目前在數據庫和網絡安全領域，利用系統應用特征進行入侵檢測技術變得越來越流行。系統應用功能特征反映為對系統的方法調用、服務調用、權限控制等，對于這方面的檢測能夠察覺出系統中很微小的差異，因此能夠發現入侵或者故障［10～12］。

3 基于微服務架構的特征向量

3.1 應用的特征向量

在系統應用處理客戶端或者其他應用的請求時，會調用微服務，繼而引起微服務之間的相互調用，形成一次調用鏈。一次調用鏈對應系統中某個客戶端對系統功能和權限的使用，本次調用鏈中的系統功能和權限屬性用微服務應用特征向量來描述。

用LinkID來描述調用鏈，調用鏈中的每個調用請求用InvokeID來表示。一次調用對應的微服務應用特征向量由四元組：

來描述。其中S表示請求服務，F表示調用函數或方法，PList表示請求參數列表。

一個調用鏈由多個應用特征向量組成，用特征向量組來描述，即

其中n為特征向量的數量，Vi為第i個應用特征向量，RList表示產生該特征向量集合的用戶角色列表。

從式（2）可知，一個特征向量集合由多個特征向量組成，對于一個特征集合VS中的兩個特征向量，如果InvokeIDi為InvokeIDi+1的前綴，說明系統中存在服務Si對于服務Si+1中方法Fi+1的調用路徑，即存在InvokeIDi與InvokeIDi+1之間的這種關系表示為InvokeIDi=Parent（InvokeIDi+1）。 同 時 VS 中 存 在LinkID到V1，…，Vi，…Vn的映射關系以及LinkID到RList的映射關系。下面給出特征向量集合中這些關系的定義。

定義特征向量關系VSR如下：

在式（3）中：

VI（LinkID，Si）=｛＜Sj，Fj＞，…，＜Sk，Fk＞，…，

其中式（4）表示Vi的調用列表，即Vi調用Vj，…，Vk。

VM（LinkID）=｛Vm，…，Vk，… Vn｝為調用順序列 表 ，標 記 為｛Vm1，…，Vmk，…，Vmp｝。 VR（LinkID）=RList=｛Rm，…，Rk，… Rn｝為調用角色列表，標記為｛Vr1，…，Vrk，…，Vrp｝。

一個特征向量關系對應應用系統中的功能和權限特征。一個應用系統的特征向量關系全集表示如下：

由于應用的功能在開發完成后將是固定和有限的，對應的功能特征也應該是有限的。

特征向量關系全集體現出三種關系，即：VI=∪Vi，VM= ∪Vm，VR=∪Vr；

VI描述了整個應用中某個微服務可以調用的其他微服務及方法的集合，VM描述了系統功能在調用層級調用順序方面的屬性，VR關系描述了系統功能與系統角色的對應關系。這三種關系分別對應三種入侵，假如系統中出現了異常的調用路徑，那么該調用路徑必然沒有在VI中出現過，假如系統中出現了異常的調用順序與層次，那么該調用順序及層次一定沒有在VM中出現過，假如系統中出現了異常的功能角色映射關系，那么該映射關系必然不符合VR關系。

3.2 特征向量提取

特征向量的提取是指由調用鏈中提取出特征向量的過程，由于調用鏈中每個請求信息在請求的發送方和接受方都會記錄一份調用記錄，特征向量提取后就可以檢測是否有日志遺漏或者被篡改的情況。

入侵者在入侵了某個微服務或者該服務所在的虛擬機后，可能會擁有該服務或者該服務所在的虛擬機的所有權限，該服務或者節點的調用鏈的記錄和傳輸會受到影響，從而變得不再可信，最終影響整個調用記錄的可信度。為此可以檢測服務的發送方和請求方共同對請求信息進行記錄的方法，該方法可以保證服務的發送方和請求方中有一方出現被侵入，日志無法傳輸或者被篡改的情況可以被快速檢測出來。

上面的檢測主要發生在特征向量V的生成過程，在通過檢測生成了全部的特征向量之后，便可以通過特征向量V中InvokeID屬性建立特征向量的Vi和Vm關系，Vr可由日志記錄與用戶身份信息相結合后生成。

3.3 應用特征向量集合生成

應用特征向量是全集的生成方法就是將應用程序中所有功能對應的特征向量全部提取出來，生成特征向量關系集合VSR的過程。在提取時要保證調用鏈數據都是正常的，這樣才能夠得到正確的特征向量。

為保證得到數據集的完備性，將采用增量更新的生成方法。在增量更新時，特征的獲取與應用程序同時運行。隨著系統的不斷運行，當客戶端和外部系統逐步使用了系統的全部功能和權限后，即可獲取全部的特征向量集合。當特征向量集合的數量不再增加，特征向量集合中三種關系的數量也趨于穩定的時候，說明特征向量集合中已經包含了應用系統的所有功能特征，增量獲取過程結束。

在生成過程中，首先把特征向量集合全集置空，針對每一個特征向量計算VI，VM和VR。在計算VI和VM時，直接把每一個向量Vi和Vm并入到向量集合VI和VM中。在計算VR時，需要進行如下計算，給定兩個指標i和j，如果存在Vii=Vij且Vmi=Vmj即如果兩個特征向量Vi和Vm關系相等，這兩個關系特征向量相等，需要對向量合并，即把Vrj合并到 Vri中。

4 基于微服務架構的入侵檢測算法

基于特征向量的微服務架構的入侵檢測算法AIDMAFV（Algorithm of Intrusion Detection for Mircoservice Architecture based on Feature Vector）描述如下。

AIDMAFV（DB）｛

select VRS from DB；//數據庫DB中記錄全部應用信息

calculate VI，VM and VR；

generate VSR；

select count（*）into c from VSR where ＜S，F＞ not in VI and ＜S，F＞ in Vi；

if c=0 then

for i=1 to n

if Vmi∈VM and Vmi=Vm then

flag=1；

lid=Link IDi；

end if

end for

if flag=1 and then

if Vr∈VR（lid）then

return 1；//正常

else

return-3；//第三層異常

end if

else

return-2； //第二層異常

end if

else

return-1； //第一層異常

end if

｝

算法AIDMAFV包括三個層次：1）微服務之間調用檢查，微服務之間調用檢查關注于應用系統內部微服務對于其他微服務發送的請求。由于微服務往往被設計為相互信任的，所以微服務之間的調用往往是不做檢查的，但是如果入侵者控制了某一個微服務，可以通過該微服務調用應用系統內部其他微服務，這樣可能會產生原來系統中不存在的調用路徑。第一層的檢查可以檢查出這樣的內部攻擊。在特征向量集合中，VI關系用來描述微服務之間的調用關系，規定了服務可以調用其他服務的哪些方法，所以第一層的檢查就是檢查微服務之間的調用是否滿足VI所定義的調用關系。2）微服務調用層次及順序檢查。第二層主要對于微服務調用的層次及順序進行檢查。假如入侵者控制了某一個微服務，入侵者可以在該微服務的調用方法中加入多次其他的調用請求，或者打亂該微服務中所有調用的順序，以此達到消耗系統資源，妨礙應用系統向外提供服務，甚至危害整個應用系統的目的。在特征向量集合中，VM關系記錄了所有合法的調用請求的層次和順序關系，上述情況發生后追蹤記錄提取出的特征向量會出現VM關系中不存在的層次和順序關系，所以這種情況可以在第二層檢測出。該層的檢查是在第一層微服務之間調用檢查通過之后進行的。3）功能與用戶角色映射關系檢查。該層的檢查主要對于特征向量中VR關系的檢查。入侵者可能通過應用系統或者底層操作系統的某些漏洞，繞過應用系統的權限檢查機制，提升自己的權限，從而竊取系統內敏感信息，甚至破壞應用。這種行為會違反功能與用戶角色的映射關系，因而可以通過對于功能與用戶角色的映射關系的檢查來發現這種行為。首先檢查產生該行為模式的用戶身份，找到該用戶對應的角色，然后查看該特征向量的Vp中是否能夠找到該角色，如果能夠找到，則通過該階段檢驗，檢測不通過。

如果一次調用產生的特征向量能夠通過上面三個層次檢測，那么這次追蹤對應的調用就是正常。否則，不同階段會給出不同的報警信息，并記錄到數據庫中，供應用擁有者統計分析。

5 實驗分析

實驗硬件環境由三臺PC機組成，PC機配置CPU為i7 2.7G，運行Windows10操作系統。共運行如下程序：10個分布式應用，10個特征向量收集程序，1個入侵檢測程序。

采用查全率、查準率、誤檢率和漏檢率來評價入侵檢測效果。其定義如下：

為了能夠正確評價提出的算法，隨機生成測試事件，測試事件由正常事件和入侵事件組成。

首先測試算法的擴展性，分5組實驗，每組總數分別為100、500、1000、2000和10000個。正常事件與入侵事件按照7∶3的比例生成，共有3類入侵事件，每類各占總數的10%。實驗結果如表1所示。

表1 入侵檢測的擴展性

從表1可以看出，隨著測試集的大小不斷增加，當事件數量大于500時，查全率一直維持在95%～96%之間，查準率將近98%，而誤檢率和漏檢率也都維持在一個比較低的水平。當事件數量較小時，誤報率和漏檢率較高，說明對小的應用算法存在一定誤差。檢查測試數據后發現，漏報和誤報主要是因為有些不常用的功能存在一定誤差。

再把總事件數固定為1000，增加入侵事件數量來測試算法性能，三種入侵事件隨機分布，測試結果如表2所示。

表2 隨異常事件變化的入侵檢測的擴展性

從表2可以看出，算法的性能基本與入侵事件數量關系不大，只是在入侵數量比較少和比較多的時候，性能稍有下降。

6 結語

微服務架構是適合云計算的新型軟件架構，本文研究微服務架構的安全問題，關注使用微服務架構的應用的入侵和故障檢測，把入侵分為功能異常、調用順序異常和權限異常三種層次，然后提取這三種異常的特征向量，進而檢測出這些異常，實驗結果表明提出的入侵檢測算法具有很好的性能。