基于可變信任機(jī)制的主機(jī)防御體系

林穎

（武夷學(xué)院 信息網(wǎng)絡(luò)與教育技術(shù)中心，福建 武夷山 354300）

基于可變信任機(jī)制的主機(jī)防御體系

林穎

（武夷學(xué)院 信息網(wǎng)絡(luò)與教育技術(shù)中心，福建 武夷山 354300）

針對(duì)校園網(wǎng)中服務(wù)器的重要性，本文從服務(wù)器安全防范的角度出發(fā)，提出了一種基于可變信任機(jī)制的主機(jī)防御體系.該體系根據(jù)時(shí)間段對(duì)不同信任度的用戶訪問權(quán)限進(jìn)行設(shè)置，并根據(jù)相應(yīng)參數(shù)對(duì)信任度進(jìn)行更新，從而在相當(dāng)程度上提高了服務(wù)器的安全性.

網(wǎng)絡(luò)安全；日志分析系統(tǒng)；信任度；訪問控制

隨著網(wǎng)絡(luò)應(yīng)用的日益推廣，網(wǎng)絡(luò)越來越深入到人們的生活和工作中，人們對(duì)來自網(wǎng)絡(luò)的安全問題日益重視，廣泛地應(yīng)用網(wǎng)絡(luò)安全工具，但是來自網(wǎng)絡(luò)內(nèi)部的入侵威脅并沒有因此減少，所以主機(jī)自身的安全防范就變得尤為重要.

校園網(wǎng)中一般都設(shè)有防火墻、入侵檢測(cè)系統(tǒng)等防御系統(tǒng)，它們對(duì)校園網(wǎng)中的各種服務(wù)器（如：F T P服務(wù)器、WWW服務(wù)器等）都有保護(hù)作用，可以提高其安全性，可是我們會(huì)發(fā)現(xiàn)這些服務(wù)器仍然會(huì)受到攻擊.可見沒有絕對(duì)的安全，我們只有在其基礎(chǔ)上進(jìn)一步提高安全性，才能減少受到攻擊的機(jī)率.

為了加強(qiáng)服務(wù)器自身的安全系數(shù)，基于現(xiàn)今網(wǎng)絡(luò)問題的復(fù)雜性，本文提出了一種基于可變信任機(jī)制的主機(jī)防御體系.該體系是根據(jù)時(shí)間的不同來對(duì)不同信任度的用戶進(jìn)行訪問權(quán)限的設(shè)置.在網(wǎng)絡(luò)資源使用的高峰時(shí)段對(duì)不同信任度的用戶進(jìn)行嚴(yán)格的權(quán)限分配，反之，進(jìn)行相對(duì)寬松的權(quán)限分配.此外，用戶的信任度是不固定的，它會(huì)隨著參數(shù)的更新而更新，以保證信任度的有效性.該體系主要由主機(jī)日志分析系統(tǒng)模塊、信任度模塊、訪問控制模塊等三大部分組成，其大致的工作流程如圖1所示.

圖1

主機(jī)日志分析系統(tǒng)模塊將已往的數(shù)據(jù)分析之后得到相應(yīng)的正常規(guī)則庫和異常規(guī)則庫，新的數(shù)據(jù)（即訪問記錄）出現(xiàn)后，首先當(dāng)前數(shù)據(jù)的用戶的使用次數(shù)加1，若是新用戶則要再將此用戶加入用戶表，其次數(shù)據(jù)與正常規(guī)則庫、異常規(guī)則庫進(jìn)行比對(duì)，如果與異常規(guī)則匹配的，此數(shù)據(jù)的用戶異常次數(shù)加1，如果與異常規(guī)則不匹配的，再與正常規(guī)則庫進(jìn)行比對(duì)，如果匹配，那么正常使用次數(shù)+1，否則不確定次數(shù)+1并報(bào)警由管理員進(jìn)行進(jìn)一步的判斷.隨后將使用次數(shù)、異常次數(shù)、正常次數(shù)、不確定次數(shù)等參數(shù)送入信任度模塊，用于計(jì)算訪問此主機(jī)的各用戶的信任度等級(jí).訪問控制模塊再根據(jù)用戶的信任度等級(jí)對(duì)用戶的訪問權(quán)限進(jìn)行設(shè)定.

1 主機(jī)日志分析系統(tǒng)模塊

日志(L o g)是指系統(tǒng)所指定對(duì)象的某些操作和其操作結(jié)果按時(shí)間有序的集合[1].主機(jī)日志分析系統(tǒng)的目標(biāo)是從數(shù)量巨大的主機(jī)日志文件中發(fā)現(xiàn)隱含的、有意義的規(guī)則，它由三個(gè)部分組成：數(shù)據(jù)預(yù)處理[2]、數(shù)據(jù)挖掘[3]和建立規(guī)則庫（如圖2所示），實(shí)際就相當(dāng)于入侵檢測(cè)系統(tǒng)中格式化數(shù)據(jù)、數(shù)據(jù)分析、產(chǎn)生規(guī)則的集合.

本文的主機(jī)日志分析系統(tǒng)模塊是以Wi n d o w sX P為基礎(chǔ)設(shè)計(jì)的.

圖2 主機(jī)日志分析系統(tǒng)模塊

1.1 數(shù)據(jù)預(yù)處理

數(shù)據(jù)預(yù)處理由數(shù)據(jù)采集、數(shù)據(jù)篩選和數(shù)據(jù)格式化組成，它是將采集來的主機(jī)日志文件轉(zhuǎn)換成數(shù)據(jù)挖掘階段所需的數(shù)據(jù)形式.

w i n d o w s X P中包含有系統(tǒng)日志、應(yīng)用程序日志、安全日志、D N S服務(wù)器日志、F T P日志等日志文件，不是所有的日志都會(huì)自動(dòng)記錄，它會(huì)根據(jù)計(jì)算機(jī)開啟的服務(wù)不同而自動(dòng)記錄.

計(jì)算機(jī)的安全日志默認(rèn)下是不開啟的，要對(duì)安全日志進(jìn)行挖掘，首先就要指定相應(yīng)的審核策略.通過“控制面板”打開“管理工具”中的“本地安全設(shè)置”對(duì)話框，將其中“本地策略”里的“審核策略”打開.

審核策略所審核的事件，并不是都和入侵行為有關(guān)，為了能夠有效地進(jìn)行檢測(cè)，經(jīng)過分析，我們對(duì)審核策略更改、審核登錄事件、審核對(duì)象訪問、審核帳戶登錄事件等進(jìn)行審核.

設(shè)置成功后，系統(tǒng)就能夠?qū)Π踩罩咀詣?dòng)記錄.我們可以通過“控制面板”打開“管理工具”中的“事件查看器”就可以看到安全性日志，也可以通過運(yùn)行下列命令行獲?。?/p>

各個(gè)日志獲取后，我們?cè)賹?duì)日志進(jìn)行數(shù)據(jù)篩選和數(shù)據(jù)格式化，以生成所需的數(shù)據(jù)形式.

1.2 數(shù)據(jù)挖掘

數(shù)據(jù)挖掘部分由特征選擇、特征計(jì)算和數(shù)據(jù)挖掘分析組成.數(shù)據(jù)經(jīng)過預(yù)處理后，導(dǎo)入到日志分析系統(tǒng)，在數(shù)據(jù)挖掘模塊進(jìn)行數(shù)據(jù)分析.本文的主機(jī)日志分析系統(tǒng)采用的數(shù)據(jù)挖掘算法是閉合序列模式算法P o s D*[4]，當(dāng)然也同樣可以使用其它數(shù)據(jù)挖掘技術(shù).特征選擇是指某些特定的入侵有特定的特征，我們對(duì)此進(jìn)行提取，如：通過計(jì)算機(jī)的某端口入侵計(jì)算機(jī)，那么該入侵的特征就是這個(gè)端口的端口號(hào).但有些入侵，單條看起來都是正常的，但是在一個(gè)時(shí)間段內(nèi)重復(fù)出現(xiàn)一定次數(shù)就構(gòu)成了入侵行為，這時(shí)候就需要用到特征計(jì)算來計(jì)算.同時(shí)我們通過數(shù)據(jù)挖掘分析知道哪些屬于入侵行為，哪些屬于正常行為.

1.3 建立規(guī)則庫

建立規(guī)則庫由異常規(guī)則庫和正常規(guī)則庫組成，分別存放異常行為規(guī)則和正常行為規(guī)則.

通過數(shù)據(jù)挖掘模塊對(duì)數(shù)據(jù)的挖掘，分析得出了用戶的異常行為規(guī)則和正常行為規(guī)則，將這些規(guī)則分別加入到異常規(guī)則庫和正常規(guī)則庫中以供使用.

由于日志數(shù)據(jù)不斷更新的特點(diǎn)，我們定期收集更新數(shù)據(jù)送入日志分析系統(tǒng)進(jìn)行分析，產(chǎn)生新的行為規(guī)則，以及時(shí)更新規(guī)則庫.

2 信任度模塊

信任度模塊是通過對(duì)用戶設(shè)置不同的信任度等級(jí)來為用戶分配權(quán)限，限制用戶的訪問權(quán)限，從而減少對(duì)主機(jī)的攻擊.

2.1 相關(guān)概念

定義1 信任就是相信對(duì)方，是一種建立在自身知識(shí)和經(jīng)驗(yàn)基礎(chǔ)上的判斷，是一種實(shí)體與實(shí)體之間的主觀行為.信任不同于人們對(duì)客觀事物的“相信(b e l i e v e)”，而是一種主觀判斷，所有的信任本質(zhì)上都是主觀的，信任本身并不是事實(shí)或者證據(jù)，而是關(guān)于所觀察到的事實(shí)的知識(shí).［5］

定義2信任度(t r u s t d e g r e e)就是信任的定量表示，也可以稱為信任程度、信任值、信任級(jí)別、可信度等.［5］

定義3 正常行為：用戶行為符合正常規(guī)則庫中的規(guī)則.

定義4 異常行為：用戶行為符合異常規(guī)則庫中的規(guī)則.

定義5 不確定行為：用戶行為既不符合正常規(guī)則庫中的規(guī)則，又不符合異常規(guī)則庫中規(guī)則. 2.2信任度的劃分

在這個(gè)模型中，我們?cè)O(shè)置4個(gè)參數(shù)：正常次數(shù)、異常次數(shù)、不確定次數(shù)、使用次數(shù)

正常次數(shù)：每個(gè)用戶每次登錄后的用戶行為是正常行為（即與正常規(guī)則匹配），那么正常次數(shù)加1，正常次數(shù)越多，用戶的信用相對(duì)越高.

異常次數(shù)：每個(gè)用戶每次登錄后的用戶行為是異常行為（即與異常規(guī)則匹配），那么異常次數(shù)加1，異常次數(shù)越多，用戶的信用越低.

不確定次數(shù)：每個(gè)用戶每次登錄后的用戶行為是不確定行為（即與正常規(guī)則、異常規(guī)則均不匹配），則不確定次數(shù)加1.

使用次數(shù)：用戶每次登錄后，使用次數(shù)加1.

其中，用戶的不確定行為發(fā)生后系統(tǒng)會(huì)報(bào)警交由管理員處理判定，但是由于管理員可能不能及時(shí)處理或一時(shí)無法判斷，不確定行為因此可能要存在一段時(shí)間，為此該模塊中設(shè)置了不確定次數(shù)這個(gè)參數(shù).

用戶信任度等級(jí)：將用戶的信任度劃分為A、B、C三個(gè)等級(jí).如果正常次數(shù)/使用次數(shù)>0.85且攻擊次數(shù)=0，那么用戶信任度為A級(jí)（最高級(jí)）；如果正常次數(shù)/使用次數(shù)>0.7且攻擊次數(shù)=0，那么用戶信任度為B級(jí)；如果攻擊次數(shù)>=1或不確定次數(shù)/使用次數(shù)>0.3，那么用戶信任度為C級(jí).

3 基于路由器的訪問控制模塊

經(jīng)過日志分析模塊和信任度模塊的處理后，每個(gè)訪問主機(jī)的用戶信任度等級(jí)就可以計(jì)算出來了，之后，根據(jù)用戶的信任度等級(jí)，利用基于時(shí)間的訪問控制列表來控制不同信任等級(jí)的用戶在主機(jī)上訪問的時(shí)間和權(quán)限.所謂訪問控制列表就是路由器某端口的一系列關(guān)于網(wǎng)絡(luò)數(shù)據(jù)包允許或拒絕的規(guī)則集合，是路由器實(shí)現(xiàn)網(wǎng)絡(luò)管理的一種方法.

根據(jù)我校的實(shí)際情況，我校校園網(wǎng)使用的高峰期一般是周一至周五的19：00-24：00和周末兩天8:00-24:00.在網(wǎng)絡(luò)使用高峰期，我們采用嚴(yán)格的用戶信任度制度，即高峰期內(nèi)只允許A級(jí)用戶訪問服務(wù)器；在高峰期以外的時(shí)間我們采用相對(duì)寬松的用戶信任度制度，即高峰期外的時(shí)段除了允許A級(jí)用戶訪問服務(wù)器之外，B級(jí)用戶也可以訪問服務(wù)器；C級(jí)用戶任何時(shí)段均不能訪問服務(wù)器.因?yàn)橛械墓粜袨榭赡苁怯?jì)算機(jī)中毒引起的，所以B、C級(jí)用戶如果是本校用戶，當(dāng)這臺(tái)計(jì)算機(jī)的病毒被清除并不再具有攻擊性后，可以再調(diào)整其信任度等級(jí).

以192.168.1.1服務(wù)器為例，它的日志經(jīng)過分析后再由信任度模塊處理，發(fā)現(xiàn)B級(jí)用戶有192.168.1.108、192.168.5.2、192.168.5.9等，C級(jí)用戶有192.168.1.122、192.168.3.2等，那么我們可以在路由器上進(jìn)行如下設(shè)置（以C i s c o路由器為例）：

設(shè)置高峰時(shí)間:

經(jīng)過主機(jī)防御體系的日志分析系統(tǒng)模塊、信任度模塊、訪問控制模塊三大模塊配合作用后，主機(jī)就能將訪問它的用戶按照信任等級(jí)進(jìn)行劃分，并按照時(shí)間段控制這些用戶的訪問，提高了主機(jī)的安全系數(shù)，為主機(jī)自身提供一個(gè)相對(duì)安全的環(huán)境.同時(shí)，用戶的信任等級(jí)不是一成不變的，隨著信任度模塊中參數(shù)的變化，信任等級(jí)也會(huì)隨之變化，這樣，主機(jī)的安全系數(shù)就能比較有效地保持在一個(gè)相對(duì)平均位置.

4 結(jié)束語

服務(wù)器作為校園網(wǎng)的一個(gè)重要成員，常常也會(huì)成為攻擊的對(duì)象.為了提高校園網(wǎng)絡(luò)的安全性，服務(wù)器的安全也顯得至關(guān)重要.本文從服務(wù)器安全防范的角度出發(fā)，設(shè)計(jì)了一種基于可變信任機(jī)制的主機(jī)防御體系，該體系在相當(dāng)程度上提高了主機(jī)的安全性.

該體系中信任度的劃分規(guī)則是根據(jù)本校的實(shí)際情況提出的，在規(guī)則的制定上還不夠精細(xì)，下一步的目標(biāo)是希望能夠通過收集的數(shù)據(jù)計(jì)算出更加精確的值，從而制定出更加精確的信任度.

〔1〕林曉東,劉心松.文件系統(tǒng)中日志技術(shù)的研究[J].計(jì)算機(jī)應(yīng)用，1998，18（1）.

〔2〕文娟，薛永生，段江嬌，王勁波.基于關(guān)聯(lián)規(guī)則的日志分析系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].廈門大學(xué)學(xué)報(bào)（自然科學(xué)版），2005（6）.

〔3〕Jiawei Han,Micheline Kamber.數(shù)據(jù)挖掘概念與技術(shù)[M].北京：機(jī)械工業(yè)出版社，2002.149-222.

〔4〕林穎.基于時(shí)間約束的閉合序列模式挖掘[J].武夷學(xué)院學(xué)報(bào)，2009（2）.

〔5〕李小勇，桂小林.大規(guī)模分布式環(huán)境下動(dòng)態(tài)信任模型研究[J].軟件學(xué)報(bào)，2007（6）.

T P 393.18

A

1673-260X（2010）08-0029-03