基于可變信任機(jī)制的主機(jī)防御體系

林穎

（武夷學(xué)院 信息網(wǎng)絡(luò)與教育技術(shù)中心，福建 武夷山 354300）

基于可變信任機(jī)制的主機(jī)防御體系

林穎

（武夷學(xué)院 信息網(wǎng)絡(luò)與教育技術(shù)中心，福建 武夷山 354300）

針對校園網(wǎng)中服務(wù)器的重要性，本文從服務(wù)器安全防范的角度出發(fā)，提出了一種基于可變信任機(jī)制的主機(jī)防御體系.該體系根據(jù)時間段對不同信任度的用戶訪問權(quán)限進(jìn)行設(shè)置，并根據(jù)相應(yīng)參數(shù)對信任度進(jìn)行更新，從而在相當(dāng)程度上提高了服務(wù)器的安全性.

網(wǎng)絡(luò)安全；日志分析系統(tǒng)；信任度；訪問控制

隨著網(wǎng)絡(luò)應(yīng)用的日益推廣，網(wǎng)絡(luò)越來越深入到人們的生活和工作中，人們對來自網(wǎng)絡(luò)的安全問題日益重視，廣泛地應(yīng)用網(wǎng)絡(luò)安全工具，但是來自網(wǎng)絡(luò)內(nèi)部的入侵威脅并沒有因此減少，所以主機(jī)自身的安全防范就變得尤為重要.

校園網(wǎng)中一般都設(shè)有防火墻、入侵檢測系統(tǒng)等防御系統(tǒng)，它們對校園網(wǎng)中的各種服務(wù)器（如：F T P服務(wù)器、WWW服務(wù)器等）都有保護(hù)作用，可以提高其安全性，可是我們會發(fā)現(xiàn)這些服務(wù)器仍然會受到攻擊.可見沒有絕對的安全，我們只有在其基礎(chǔ)上進(jìn)一步提高安全性，才能減少受到攻擊的機(jī)率.

為了加強(qiáng)服務(wù)器自身的安全系數(shù)，基于現(xiàn)今網(wǎng)絡(luò)問題的復(fù)雜性，本文提出了一種基于可變信任機(jī)制的主機(jī)防御體系.該體系是根據(jù)時間的不同來對不同信任度的用戶進(jìn)行訪問權(quán)限的設(shè)置.在網(wǎng)絡(luò)資源使用的高峰時段對不同信任度的用戶進(jìn)行嚴(yán)格的權(quán)限分配，反之，進(jìn)行相對寬松的權(quán)限分配.此外，用戶的信任度是不固定的，它會隨著參數(shù)的更新而更新，以保證信任度的有效性.該體系主要由主機(jī)日志分析系統(tǒng)模塊、信任度模塊、訪問控制模塊等三大部分組成，其大致的工作流程如圖1所示.

圖1

主機(jī)日志分析系統(tǒng)模塊將已往的數(shù)據(jù)分析之后得到相應(yīng)的正常規(guī)則庫和異常規(guī)則庫，新的數(shù)據(jù)（即訪問記錄）出現(xiàn)后，首先當(dāng)前數(shù)據(jù)的用戶的使用次數(shù)加1，若是新用戶則要再將此用戶加入用戶表，其次數(shù)據(jù)與正常規(guī)則庫、異常規(guī)則庫進(jìn)行比對，如果與異常規(guī)則匹配的，此數(shù)據(jù)的用戶異常次數(shù)加1，如果與異常規(guī)則不匹配的，再與正常規(guī)則庫進(jìn)行比對，如果匹配，那么正常使用次數(shù)+1，否則不確定次數(shù)+1并報警由管理員進(jìn)行進(jìn)一步的判斷.隨后將使用次數(shù)、異常次數(shù)、正常次數(shù)、不確定次數(shù)等參數(shù)送入信任度模塊，用于計算訪問此主機(jī)的各用戶的信任度等級.訪問控制模塊再根據(jù)用戶的信任度等級對用戶的訪問權(quán)限進(jìn)行設(shè)定.

1 主機(jī)日志分析系統(tǒng)模塊

日志(L o g)是指系統(tǒng)所指定對象的某些操作和其操作結(jié)果按時間有序的集合[1].主機(jī)日志分析系統(tǒng)的目標(biāo)是從數(shù)量巨大的主機(jī)日志文件中發(fā)現(xiàn)隱含的、有意義的規(guī)則，它由三個部分組成：數(shù)據(jù)預(yù)處理[2]、數(shù)據(jù)挖掘[3]和建立規(guī)則庫（如圖2所示），實際就相當(dāng)于入侵檢測系統(tǒng)中格式化數(shù)據(jù)、數(shù)據(jù)分析、產(chǎn)生規(guī)則的集合.

本文的主機(jī)日志分析系統(tǒng)模塊是以Wi n d o w sX P為基礎(chǔ)設(shè)計的.

圖2 主機(jī)日志分析系統(tǒng)模塊

1.1 數(shù)據(jù)預(yù)處理

數(shù)據(jù)預(yù)處理由數(shù)據(jù)采集、數(shù)據(jù)篩選和數(shù)據(jù)格式化組成，它是將采集來的主機(jī)日志文件轉(zhuǎn)換成數(shù)據(jù)挖掘階段所需的數(shù)據(jù)形式.

w i n d o w s X P中包含有系統(tǒng)日志、應(yīng)用程序日志、安全日志、D N S服務(wù)器日志、F T P日志等日志文件，不是所有的日志都會自動記錄，它會根據(jù)計算機(jī)開啟的服務(wù)不同而自動記錄.

計算機(jī)的安全日志默認(rèn)下是不開啟的，要對安全日志進(jìn)行挖掘，首先就要指定相應(yīng)的審核策略.通過“控制面板”打開“管理工具”中的“本地安全設(shè)置”對話框，將其中“本地策略”里的“審核策略”打開.

審核策略所審核的事件，并不是都和入侵行為有關(guān)，為了能夠有效地進(jìn)行檢測，經(jīng)過分析，我們對審核策略更改、審核登錄事件、審核對象訪問、審核帳戶登錄事件等進(jìn)行審核.

設(shè)置成功后，系統(tǒng)就能夠?qū)Π踩罩咀詣佑涗?我們可以通過“控制面板”打開“管理工具”中的“事件查看器”就可以看到安全性日志，也可以通過運(yùn)行下列命令行獲取：

各個日志獲取后，我們再對日志進(jìn)行數(shù)據(jù)篩選和數(shù)據(jù)格式化，以生成所需的數(shù)據(jù)形式.

1.2 數(shù)據(jù)挖掘

數(shù)據(jù)挖掘部分由特征選擇、特征計算和數(shù)據(jù)挖掘分析組成.數(shù)據(jù)經(jīng)過預(yù)處理后，導(dǎo)入到日志分析系統(tǒng)，在數(shù)據(jù)挖掘模塊進(jìn)行數(shù)據(jù)分析.本文的主機(jī)日志分析系統(tǒng)采用的數(shù)據(jù)挖掘算法是閉合序列模式算法P o s D*[4]，當(dāng)然也同樣可以使用其它數(shù)據(jù)挖掘技術(shù).特征選擇是指某些特定的入侵有特定的特征，我們對此進(jìn)行提取，如：通過計算機(jī)的某端口入侵計算機(jī)，那么該入侵的特征就是這個端口的端口號.但有些入侵，單條看起來都是正常的，但是在一個時間段內(nèi)重復(fù)出現(xiàn)一定次數(shù)就構(gòu)成了入侵行為，這時候就需要用到特征計算來計算.同時我們通過數(shù)據(jù)挖掘分析知道哪些屬于入侵行為，哪些屬于正常行為.

1.3 建立規(guī)則庫

建立規(guī)則庫由異常規(guī)則庫和正常規(guī)則庫組成，分別存放異常行為規(guī)則和正常行為規(guī)則.

通過數(shù)據(jù)挖掘模塊對數(shù)據(jù)的挖掘，分析得出了用戶的異常行為規(guī)則和正常行為規(guī)則，將這些規(guī)則分別加入到異常規(guī)則庫和正常規(guī)則庫中以供使用.

由于日志數(shù)據(jù)不斷更新的特點，我們定期收集更新數(shù)據(jù)送入日志分析系統(tǒng)進(jìn)行分析，產(chǎn)生新的行為規(guī)則，以及時更新規(guī)則庫.

2 信任度模塊

信任度模塊是通過對用戶設(shè)置不同的信任度等級來為用戶分配權(quán)限，限制用戶的訪問權(quán)限，從而減少對主機(jī)的攻擊.

2.1 相關(guān)概念

定義1 信任就是相信對方，是一種建立在自身知識和經(jīng)驗基礎(chǔ)上的判斷，是一種實體與實體之間的主觀行為.信任不同于人們對客觀事物的“相信(b e l i e v e)”，而是一種主觀判斷，所有的信任本質(zhì)上都是主觀的，信任本身并不是事實或者證據(jù)，而是關(guān)于所觀察到的事實的知識.［5］

定義2信任度(t r u s t d e g r e e)就是信任的定量表示，也可以稱為信任程度、信任值、信任級別、可信度等.［5］

定義3 正常行為：用戶行為符合正常規(guī)則庫中的規(guī)則.

定義4 異常行為：用戶行為符合異常規(guī)則庫中的規(guī)則.

定義5 不確定行為：用戶行為既不符合正常規(guī)則庫中的規(guī)則，又不符合異常規(guī)則庫中規(guī)則. 2.2信任度的劃分

在這個模型中，我們設(shè)置4個參數(shù)：正常次數(shù)、異常次數(shù)、不確定次數(shù)、使用次數(shù)

正常次數(shù)：每個用戶每次登錄后的用戶行為是正常行為（即與正常規(guī)則匹配），那么正常次數(shù)加1，正常次數(shù)越多，用戶的信用相對越高.

異常次數(shù)：每個用戶每次登錄后的用戶行為是異常行為（即與異常規(guī)則匹配），那么異常次數(shù)加1，異常次數(shù)越多，用戶的信用越低.

不確定次數(shù)：每個用戶每次登錄后的用戶行為是不確定行為（即與正常規(guī)則、異常規(guī)則均不匹配），則不確定次數(shù)加1.

使用次數(shù)：用戶每次登錄后，使用次數(shù)加1.

其中，用戶的不確定行為發(fā)生后系統(tǒng)會報警交由管理員處理判定，但是由于管理員可能不能及時處理或一時無法判斷，不確定行為因此可能要存在一段時間，為此該模塊中設(shè)置了不確定次數(shù)這個參數(shù).

用戶信任度等級：將用戶的信任度劃分為A、B、C三個等級.如果正常次數(shù)/使用次數(shù)>0.85且攻擊次數(shù)=0，那么用戶信任度為A級（最高級）；如果正常次數(shù)/使用次數(shù)>0.7且攻擊次數(shù)=0，那么用戶信任度為B級；如果攻擊次數(shù)>=1或不確定次數(shù)/使用次數(shù)>0.3，那么用戶信任度為C級.

3 基于路由器的訪問控制模塊

經(jīng)過日志分析模塊和信任度模塊的處理后，每個訪問主機(jī)的用戶信任度等級就可以計算出來了，之后，根據(jù)用戶的信任度等級，利用基于時間的訪問控制列表來控制不同信任等級的用戶在主機(jī)上訪問的時間和權(quán)限.所謂訪問控制列表就是路由器某端口的一系列關(guān)于網(wǎng)絡(luò)數(shù)據(jù)包允許或拒絕的規(guī)則集合，是路由器實現(xiàn)網(wǎng)絡(luò)管理的一種方法.

根據(jù)我校的實際情況，我校校園網(wǎng)使用的高峰期一般是周一至周五的19：00-24：00和周末兩天8:00-24:00.在網(wǎng)絡(luò)使用高峰期，我們采用嚴(yán)格的用戶信任度制度，即高峰期內(nèi)只允許A級用戶訪問服務(wù)器；在高峰期以外的時間我們采用相對寬松的用戶信任度制度，即高峰期外的時段除了允許A級用戶訪問服務(wù)器之外，B級用戶也可以訪問服務(wù)器；C級用戶任何時段均不能訪問服務(wù)器.因為有的攻擊行為可能是計算機(jī)中毒引起的，所以B、C級用戶如果是本校用戶，當(dāng)這臺計算機(jī)的病毒被清除并不再具有攻擊性后，可以再調(diào)整其信任度等級.

以192.168.1.1服務(wù)器為例，它的日志經(jīng)過分析后再由信任度模塊處理，發(fā)現(xiàn)B級用戶有192.168.1.108、192.168.5.2、192.168.5.9等，C級用戶有192.168.1.122、192.168.3.2等，那么我們可以在路由器上進(jìn)行如下設(shè)置（以C i s c o路由器為例）：

設(shè)置高峰時間:

經(jīng)過主機(jī)防御體系的日志分析系統(tǒng)模塊、信任度模塊、訪問控制模塊三大模塊配合作用后，主機(jī)就能將訪問它的用戶按照信任等級進(jìn)行劃分，并按照時間段控制這些用戶的訪問，提高了主機(jī)的安全系數(shù)，為主機(jī)自身提供一個相對安全的環(huán)境.同時，用戶的信任等級不是一成不變的，隨著信任度模塊中參數(shù)的變化，信任等級也會隨之變化，這樣，主機(jī)的安全系數(shù)就能比較有效地保持在一個相對平均位置.

4 結(jié)束語

服務(wù)器作為校園網(wǎng)的一個重要成員，常常也會成為攻擊的對象.為了提高校園網(wǎng)絡(luò)的安全性，服務(wù)器的安全也顯得至關(guān)重要.本文從服務(wù)器安全防范的角度出發(fā)，設(shè)計了一種基于可變信任機(jī)制的主機(jī)防御體系，該體系在相當(dāng)程度上提高了主機(jī)的安全性.

該體系中信任度的劃分規(guī)則是根據(jù)本校的實際情況提出的，在規(guī)則的制定上還不夠精細(xì)，下一步的目標(biāo)是希望能夠通過收集的數(shù)據(jù)計算出更加精確的值，從而制定出更加精確的信任度.

〔1〕林曉東,劉心松.文件系統(tǒng)中日志技術(shù)的研究[J].計算機(jī)應(yīng)用，1998，18（1）.

〔2〕文娟，薛永生，段江嬌，王勁波.基于關(guān)聯(lián)規(guī)則的日志分析系統(tǒng)的設(shè)計與實現(xiàn)[J].廈門大學(xué)學(xué)報（自然科學(xué)版），2005（6）.

〔3〕Jiawei Han,Micheline Kamber.數(shù)據(jù)挖掘概念與技術(shù)[M].北京：機(jī)械工業(yè)出版社，2002.149-222.

〔4〕林穎.基于時間約束的閉合序列模式挖掘[J].武夷學(xué)院學(xué)報，2009（2）.

〔5〕李小勇，桂小林.大規(guī)模分布式環(huán)境下動態(tài)信任模型研究[J].軟件學(xué)報，2007（6）.

T P 393.18

A

1673-260X（2010）08-0029-03