基于云架構的信息系統分級威脅防御機制

鄭敏嬌+王喆+劉炯

摘 要：針對信息系統自身安全需求及威脅行為特征，提出了基于云架構的分級威脅防御機制。該機制將信息系統作為一個整體進行威脅防護，將文件訪問異常行為作為判斷威脅的依據，并針對信息系統終端安全分級設計了不同的文件訪問行為模型，然后基于云架構進行部署，由用戶終端節點對文件訪問行為進行監控并主動提供威脅行為報告，再由服務器端進行信息關聯融合。在發現威脅同時發現信息系統自身薄弱環節及惡意節點時，可使整個網絡系統能及時、有效地抵御威脅攻擊，因而在提高防護精度的同時，也提高了效能，從而為信息系統威脅防護提供了有效的解決辦法。

關鍵詞：信息系統；威脅；文件；云架構；分級

中圖分類號：TP393 文獻標識碼：A 文章編號：2095-1302（2014）03-0054-03

0 引 言

隨著網絡技術的普及和社會發展對信息系統的依賴程度不斷增強，保證信息系統安全、可靠、穩定運行對確保社會各組成部分的正常運轉具有越來越重要的意義。信息系統所可能面臨的威脅可以分為針對系統本身及針對其內部信息兩類，針對內部信息的威脅包括對數據以及對處理這些數據的信息系統應用的威脅，對這類威脅進行自動檢測和防御已經成為網絡安全研究的重點[1-3]。

威脅檢測通過在系統中若干關鍵點收集信息，并對這些信息進行分析，與已知的威脅特征或與正常模型進行比較，從而發現威脅跡象。現在大多數的威脅檢測都是在主機上對系統調用序列以機器學習的方式進行建模[4，5]，但是單個主機的計算能力有限，監控所有的系統調用序列會造成較高的負荷，且系統調用產生的信息繁雜，威脅檢測與防御較為困難而且易引起較高的誤報[6]。

通過對企業及政府部門內部信息系統的威脅行為分析發現，大多數威脅都是通過對文件系統的訪問實現其非法訪問信息的目的[7]，因此，文件系統可以成為威脅檢測監控的較好選擇；而由于不同終端在信息系統內部承擔功能以及存儲文件安全級別的不同，針對不同終端應該采用不同的威脅防御策略[8]。基于此，本文從一個新的角度提出了一個基于云架構的分級威脅防御機制，在客戶端監控與記錄進程對文件系統的訪問行為，將可疑行為傳遞給云端，在云端按照主機的信息安全級別建立不同行為模型，按照行為特征分析客戶端系統中存在的威脅，同時，云端對不同終端提供的報告信息進行融合，進而判斷出系統薄弱環節，并將處理策略發放給相關客戶端群。該機制為信息系統內部不同安全級別終端的威脅檢測與防御提供了有效的解決方法，并通過云架構提供了更多的存儲空間和更快速的處理能力，使得系統資源服務得到充分利用同時減少了客戶端負荷。

1 基于云架構的威脅防御機制總體設計

基于云架構的威脅防御機制依靠網絡服務實現信息系統內部不同信息安全級別用戶終端威脅的實時防御。在結構上可分為用戶終端與服務器端[9，10]，用戶終端完成文件訪問行為的監控、異常行為的發現和威脅的處理；服務器端即云端主要完成異常行為報告的融合、威脅行為判定、和系統薄弱環節發現等。其結構示意圖如圖1 所示。

圖1 基于云架構的信息系統分級威脅防御機制結構示意圖

在功能上主要分為文件訪問行為監控、文件訪問行為建模、威脅行為報告融合與威脅發現、威脅處理幾個模塊。其工作流程如下：

文件訪問行為監控模塊對用戶終端的文件訪問行為進行監控，并與本地保存的常用文件訪問行為模型進行比較，將不符合該模型的行為視為文件訪問異常行為，將相關信息生成可疑行為報告提供給云端服務器；云端服務器在邏輯隔離的不同虛擬環境下處理不同安全級別終端提交的信息，將異常行為與不同安全級別的完整的文件正常訪問行為模型和威脅行為模型進行比較判斷終端是否存在安全威脅，若仍不符合該模型則生成威脅行為報告；當云端服務器收到來自不同用戶終端的大量威脅行為報告時，通過對威脅報告關聯融合進一步察覺出系統中存在的嚴重威脅、薄弱環節及可疑節點；同時，云端會將威脅的解決方法分發至用戶終端同時可以協助甚至代替客戶端防御威脅；其中，文件訪問行為模型由云端邏輯隔離的不同虛擬環境中的文件訪問行為建模功能模塊針對不同安全級別終端文件訪問行為特征建立，新的威脅行為及安全行為的發現將實現模型庫的增量增長。威脅防御機制流程示意圖如圖2 所示。

圖2 基于云架構的信息系統分級威脅防御機制工作流程圖

2 威脅防御機制主要功能模塊設計

2.1 文件訪問行為監控

在操作系統中，對于每一個文件訪問請求，I/O管理器都會構造一個相應的I/O請求包向文件系統提出請求，文件系統驅動組件則會有相應的處理。文件訪問行為系統監控位于I/O管理器之下，文件系統之上，通過截獲I/O請求包監視所有程序的文件訪問行為。與程序行為不同，正常的文件訪問行為顯示出多態性，許多威脅活動不會影響到進程的系統調用序列，卻可以通過文件、進程、用戶和操作的關系表現出異常的文件訪問。這些關系在用戶安全級別、文件安全級別、安全策略的影響下呈現出一定的規律性。文件訪問行為監控通過發現小概率的行為，發現異常行為的發生。

文件訪問行為序列格式定義如表1所列，包括序列號（ID），訪問的用戶（USER）及用戶組（GROUP）、進程名（PROCESS）、操作（OPERATION）、文件本身的屬性（PROPERTY）、訪問行為的源IP（SRCIP）及文件所在的主機地址（DSTIP）。其中，操作包括操作的類型、執行的結果，屬性包括文件安全級別。

文件訪問行為監控模塊將截獲I/O請求包序列化；分析比較工具將該序列與本地模型庫中的行為模型進行比較，存在不一致則生成如圖3所示的可疑行為報告提交至服務器。

可疑行為報告生成算法

輸入：文件訪問行為序列VS，常用文件訪問模型庫{CLi}

輸出：威脅行為報告IR

步驟：

1.對于VS，檢查是否滿足VS. PROPERTY =CLi.PROPERTY且VS.OPERATION= CLi.OPERATION且VS.GROUP=CLi.GROUP；若不滿足，則IR=VS；若滿足，將這樣的VS提交給服務器中的文件訪問行為建模模塊。

2.對于IR，在提交至云端服務器同時在本機保存副本。

圖3 可疑行為報告生成算法

2.2 威脅行為報告融合與威脅發現

云端服務器為不同安全級別用戶終端建立了不同的文件訪問行為模型、黑名單和白名單；并通過虛擬化和邏輯分配實現服務器資源的使用，云端服務器安全級別不能低于其所保障的最高安全等級用戶終端的級別。威脅行為報告提交至云端服務器后，首先采用與終端同樣的方法與完整的行為模型庫進行比較，若不符合模型，則將可疑行為報告生成威脅行為報告進一步處理。對威脅行為報告進行關聯、融合可疑發現系統中存在的威脅以及系統自身的薄弱環節和惡意節點。

（1）威脅行為報告聚合

威脅行為的發生一般具有持續性，如果是真正的攻擊行為，其往往需要重復多次，這類行為的報告往往具有相同的操作、源IP、文件所在的主機地址等特征信息，利用這一特點，將其關聯聚合到一起，形成新的威脅行為報告信息，這一信息可能是具有同一目標的某次威脅，或者多步威脅的某一步驟重復進行而產生的信息，當這些報告來自大量不同的節點時，表明威脅在網絡中傳播并影響了大量的用戶節點，要引起重視，采取相應措施。圖4所示就是威脅行為報告聚合算法。

（2）威脅路徑繪制

威脅行為的產生往往是針對系統中的薄弱環節進行的，對于有預謀竊取某些重要文件的威脅行為，其往往是通過對具有弱點的目標對象進行攻擊，獲取相應權限，再從已攻陷的主機向其他目標發起的攻擊，如此循環往復，直到達到最終目標。對待這類攻擊，在進行威脅清除，病毒庫升級同時，對威脅信息進行融合，繪制威脅發生的路徑可以幫助管理員發現系統本身存在的薄弱環節進而采取相應措施進行防御。圖5所示是威脅路徑繪制算法。

威脅行為報告聚合算法

輸入：聚合前的威脅行為報告集{IRi}，時間間隔閾值t

輸出：聚合后的威脅行為報告集{TRi}

步驟：

1.初始臨時隊列L，存放聚合過程中的威脅行為報告；

2.對于服務器收到的IRj，檢查L中的每一報告TRj，是否滿足TRj.SRCIP=IRj.SRCIP

或TRj.DSTIP=IRj.DSTIP

或TRj.OPERATION =IRj. OPERATION，將這樣的IRj歸入該TRj中；若不存在TRj，將該IRj存入L中；

3.對于L中的TRj，若在時間t內沒有收到新的可歸并的威脅報告，則輸出聚合后的威脅行為報告。

圖4 威脅行為報告聚合算法

威脅路徑繪制算法

輸入：威脅報告集{Ri}

輸出：威脅路徑圖G=（V，E）

步驟：

1.對Ri.SRCIPV，將Ri.SRCIP添加入G；

2.對Ri.DSTIPV，將Ri.DSTIP添加入G；

3.添加邊（Ri.SRCIP，Ri.DSTIP）；

4.設置邊的權重為該邊的威脅數量和威脅類型的度量，表征為，其中N為告警總數，n為這條邊上的告警總數，M為告警類型的總數，m為這條邊上的告警類型數。

圖5 威脅路徑繪制算法

（3）惡意節點發現

惡意節點是指系統內部已被威脅控制的節點。如果系統中存在著惡意的終端節點，其很可能通過持續向服務器發送虛假威脅行為報告來干擾服務器端分析和處理有價值的行為報告。在進行信息融合時，需要分辨出這類節點，排除這類報告的干擾，優先處理有價值的威脅行為報告。其惡意節點發現算法如圖6所示。

3 結 語

針對信息系統內部信息的安全威脅多是通過對文件的異常訪問來進行的，針對此，本文設計了一個基于云架構的信息系統分級威脅防御機制，發揮網絡中服務器和用戶終端節點的各自優勢，從全局的角度構成一個整體來對抗威脅攻擊。用戶端主動收集并向服務器端提供文件訪問異常行為報告；服務器端針對不同安全級別用戶終端建立各類正常行為模型和黑白名單，使系統快速對威脅行為作出正確反應；并從全局角度對威脅報告信息進行整合，在發現威脅的同時發現系統自身薄弱環節，有效促進了系統整體防御性能的提升。

惡意節點發現算法

輸入：節點提交報告數量集{Si}，節點提交惡意報告數量集{VSi}，時間間隔閾值t，惡意節點閾值σ

輸出：惡意節點集合{Dm}

步驟：

1.對于系統中的每一個終端，計算時間間隔t內節點的可信度；

2.對于可信度低于σ的節點，認為它為惡意節點。

圖6 惡意節點發現算法

參 考 文 獻

[1] WU Ying， JIANG Jian-hui. Frequency weighted hamming distance based system call anomaly detection [C]// Proceedings of CSIE 2009. Los Angeles， California： IEEE， 2009： 105-109.

[2]王輝，賈宗璞，申自浩，等.基于信息流的多級安全策略模型研究[J]. 計算機科學，2010，37（1）：75-78.

[3] PRAMANIK S， SANKARANARAYANAN V， UPADHYAYA S. Security policies to mitigate insider threat in the document control domain [C]// Proceedings of the 20th Annual Computer Security Applications Conference. Tucson， Arizona， USA： IEEE， 2004： 304-313.

[4]陶芬，尹芷儀，傅建明. 基于系統調用的軟件行為模型[J]. 計算機科學，2010，37（4） ：151-157.

[5] GAO D， REITER M K， SONG D. Behavioral distance measurement using hidden Markov models [C]// Proceedings of the 9th International Symposium on Recent Advances in Intrusion Detection. Hamburg， Germany： RAID， 2006： 19-40.

[6]吳瀛，江建慧，張蕊. 基于系統調用的入侵檢測研究進展[J]. 計算機科學，2011，38（1）：20-24，47.

[7]陳蘭香. 一種基于會話的安全Web 文件服務模型[J]. 計算機工程， 2011， 37（18）： 127-130.

[8]趙寶磊. 淺談涉密信息系統分級保護工作的實施[J]. 網絡與信息安全，2010（3）：80-83.

[9]林果園，賀珊，黃皓，等. 基于行為的云計算訪問控制安全模型[J]. 通信學報， 2012，33（3）：59-66.

[10]徐小龍，熊婧夷，程春玲. 基于云端計算架構的惡意代碼聯合防御機制[J]. 東南大學學報：自然科學版， 2011， 41（3）： 220-226.

步驟：

1.對于VS，檢查是否滿足VS. PROPERTY =CLi.PROPERTY且VS.OPERATION= CLi.OPERATION且VS.GROUP=CLi.GROUP；若不滿足，則IR=VS；若滿足，將這樣的VS提交給服務器中的文件訪問行為建模模塊。

2.對于IR，在提交至云端服務器同時在本機保存副本。

圖3 可疑行為報告生成算法

2.2 威脅行為報告融合與威脅發現

云端服務器為不同安全級別用戶終端建立了不同的文件訪問行為模型、黑名單和白名單；并通過虛擬化和邏輯分配實現服務器資源的使用，云端服務器安全級別不能低于其所保障的最高安全等級用戶終端的級別。威脅行為報告提交至云端服務器后，首先采用與終端同樣的方法與完整的行為模型庫進行比較，若不符合模型，則將可疑行為報告生成威脅行為報告進一步處理。對威脅行為報告進行關聯、融合可疑發現系統中存在的威脅以及系統自身的薄弱環節和惡意節點。

（1）威脅行為報告聚合

威脅行為的發生一般具有持續性，如果是真正的攻擊行為，其往往需要重復多次，這類行為的報告往往具有相同的操作、源IP、文件所在的主機地址等特征信息，利用這一特點，將其關聯聚合到一起，形成新的威脅行為報告信息，這一信息可能是具有同一目標的某次威脅，或者多步威脅的某一步驟重復進行而產生的信息，當這些報告來自大量不同的節點時，表明威脅在網絡中傳播并影響了大量的用戶節點，要引起重視，采取相應措施。圖4所示就是威脅行為報告聚合算法。

（2）威脅路徑繪制

威脅行為的產生往往是針對系統中的薄弱環節進行的，對于有預謀竊取某些重要文件的威脅行為，其往往是通過對具有弱點的目標對象進行攻擊，獲取相應權限，再從已攻陷的主機向其他目標發起的攻擊，如此循環往復，直到達到最終目標。對待這類攻擊，在進行威脅清除，病毒庫升級同時，對威脅信息進行融合，繪制威脅發生的路徑可以幫助管理員發現系統本身存在的薄弱環節進而采取相應措施進行防御。圖5所示是威脅路徑繪制算法。

威脅行為報告聚合算法

輸入：聚合前的威脅行為報告集{IRi}，時間間隔閾值t

輸出：聚合后的威脅行為報告集{TRi}

步驟：

1.初始臨時隊列L，存放聚合過程中的威脅行為報告；

2.對于服務器收到的IRj，檢查L中的每一報告TRj，是否滿足TRj.SRCIP=IRj.SRCIP

或TRj.DSTIP=IRj.DSTIP

或TRj.OPERATION =IRj. OPERATION，將這樣的IRj歸入該TRj中；若不存在TRj，將該IRj存入L中；

3.對于L中的TRj，若在時間t內沒有收到新的可歸并的威脅報告，則輸出聚合后的威脅行為報告。

圖4 威脅行為報告聚合算法

威脅路徑繪制算法

輸入：威脅報告集{Ri}

輸出：威脅路徑圖G=（V，E）

步驟：

1.對Ri.SRCIPV，將Ri.SRCIP添加入G；

2.對Ri.DSTIPV，將Ri.DSTIP添加入G；

3.添加邊（Ri.SRCIP，Ri.DSTIP）；

4.設置邊的權重為該邊的威脅數量和威脅類型的度量，表征為，其中N為告警總數，n為這條邊上的告警總數，M為告警類型的總數，m為這條邊上的告警類型數。

圖5 威脅路徑繪制算法

（3）惡意節點發現

惡意節點是指系統內部已被威脅控制的節點。如果系統中存在著惡意的終端節點，其很可能通過持續向服務器發送虛假威脅行為報告來干擾服務器端分析和處理有價值的行為報告。在進行信息融合時，需要分辨出這類節點，排除這類報告的干擾，優先處理有價值的威脅行為報告。其惡意節點發現算法如圖6所示。

3 結 語

針對信息系統內部信息的安全威脅多是通過對文件的異常訪問來進行的，針對此，本文設計了一個基于云架構的信息系統分級威脅防御機制，發揮網絡中服務器和用戶終端節點的各自優勢，從全局的角度構成一個整體來對抗威脅攻擊。用戶端主動收集并向服務器端提供文件訪問異常行為報告；服務器端針對不同安全級別用戶終端建立各類正常行為模型和黑白名單，使系統快速對威脅行為作出正確反應；并從全局角度對威脅報告信息進行整合，在發現威脅的同時發現系統自身薄弱環節，有效促進了系統整體防御性能的提升。

惡意節點發現算法

輸入：節點提交報告數量集{Si}，節點提交惡意報告數量集{VSi}，時間間隔閾值t，惡意節點閾值σ

輸出：惡意節點集合{Dm}

步驟：

1.對于系統中的每一個終端，計算時間間隔t內節點的可信度；

2.對于可信度低于σ的節點，認為它為惡意節點。

圖6 惡意節點發現算法

參 考 文 獻

[1] WU Ying， JIANG Jian-hui. Frequency weighted hamming distance based system call anomaly detection [C]// Proceedings of CSIE 2009. Los Angeles， California： IEEE， 2009： 105-109.

[2]王輝，賈宗璞，申自浩，等.基于信息流的多級安全策略模型研究[J]. 計算機科學，2010，37（1）：75-78.

[3] PRAMANIK S， SANKARANARAYANAN V， UPADHYAYA S. Security policies to mitigate insider threat in the document control domain [C]// Proceedings of the 20th Annual Computer Security Applications Conference. Tucson， Arizona， USA： IEEE， 2004： 304-313.

[4]陶芬，尹芷儀，傅建明. 基于系統調用的軟件行為模型[J]. 計算機科學，2010，37（4） ：151-157.

[5] GAO D， REITER M K， SONG D. Behavioral distance measurement using hidden Markov models [C]// Proceedings of the 9th International Symposium on Recent Advances in Intrusion Detection. Hamburg， Germany： RAID， 2006： 19-40.

[6]吳瀛，江建慧，張蕊. 基于系統調用的入侵檢測研究進展[J]. 計算機科學，2011，38（1）：20-24，47.

[7]陳蘭香. 一種基于會話的安全Web 文件服務模型[J]. 計算機工程， 2011， 37（18）： 127-130.

[8]趙寶磊. 淺談涉密信息系統分級保護工作的實施[J]. 網絡與信息安全，2010（3）：80-83.

[9]林果園，賀珊，黃皓，等. 基于行為的云計算訪問控制安全模型[J]. 通信學報， 2012，33（3）：59-66.

[10]徐小龍，熊婧夷，程春玲. 基于云端計算架構的惡意代碼聯合防御機制[J]. 東南大學學報：自然科學版， 2011， 41（3）： 220-226.

步驟：

1.對于VS，檢查是否滿足VS. PROPERTY =CLi.PROPERTY且VS.OPERATION= CLi.OPERATION且VS.GROUP=CLi.GROUP；若不滿足，則IR=VS；若滿足，將這樣的VS提交給服務器中的文件訪問行為建模模塊。

2.對于IR，在提交至云端服務器同時在本機保存副本。

圖3 可疑行為報告生成算法

2.2 威脅行為報告融合與威脅發現

云端服務器為不同安全級別用戶終端建立了不同的文件訪問行為模型、黑名單和白名單；并通過虛擬化和邏輯分配實現服務器資源的使用，云端服務器安全級別不能低于其所保障的最高安全等級用戶終端的級別。威脅行為報告提交至云端服務器后，首先采用與終端同樣的方法與完整的行為模型庫進行比較，若不符合模型，則將可疑行為報告生成威脅行為報告進一步處理。對威脅行為報告進行關聯、融合可疑發現系統中存在的威脅以及系統自身的薄弱環節和惡意節點。

（1）威脅行為報告聚合

威脅行為的發生一般具有持續性，如果是真正的攻擊行為，其往往需要重復多次，這類行為的報告往往具有相同的操作、源IP、文件所在的主機地址等特征信息，利用這一特點，將其關聯聚合到一起，形成新的威脅行為報告信息，這一信息可能是具有同一目標的某次威脅，或者多步威脅的某一步驟重復進行而產生的信息，當這些報告來自大量不同的節點時，表明威脅在網絡中傳播并影響了大量的用戶節點，要引起重視，采取相應措施。圖4所示就是威脅行為報告聚合算法。

（2）威脅路徑繪制

威脅行為的產生往往是針對系統中的薄弱環節進行的，對于有預謀竊取某些重要文件的威脅行為，其往往是通過對具有弱點的目標對象進行攻擊，獲取相應權限，再從已攻陷的主機向其他目標發起的攻擊，如此循環往復，直到達到最終目標。對待這類攻擊，在進行威脅清除，病毒庫升級同時，對威脅信息進行融合，繪制威脅發生的路徑可以幫助管理員發現系統本身存在的薄弱環節進而采取相應措施進行防御。圖5所示是威脅路徑繪制算法。

威脅行為報告聚合算法

輸入：聚合前的威脅行為報告集{IRi}，時間間隔閾值t

輸出：聚合后的威脅行為報告集{TRi}

步驟：

1.初始臨時隊列L，存放聚合過程中的威脅行為報告；

2.對于服務器收到的IRj，檢查L中的每一報告TRj，是否滿足TRj.SRCIP=IRj.SRCIP

或TRj.DSTIP=IRj.DSTIP

或TRj.OPERATION =IRj. OPERATION，將這樣的IRj歸入該TRj中；若不存在TRj，將該IRj存入L中；

3.對于L中的TRj，若在時間t內沒有收到新的可歸并的威脅報告，則輸出聚合后的威脅行為報告。

圖4 威脅行為報告聚合算法

威脅路徑繪制算法

輸入：威脅報告集{Ri}

輸出：威脅路徑圖G=（V，E）

步驟：

1.對Ri.SRCIPV，將Ri.SRCIP添加入G；

2.對Ri.DSTIPV，將Ri.DSTIP添加入G；

3.添加邊（Ri.SRCIP，Ri.DSTIP）；

4.設置邊的權重為該邊的威脅數量和威脅類型的度量，表征為，其中N為告警總數，n為這條邊上的告警總數，M為告警類型的總數，m為這條邊上的告警類型數。

圖5 威脅路徑繪制算法

（3）惡意節點發現

惡意節點是指系統內部已被威脅控制的節點。如果系統中存在著惡意的終端節點，其很可能通過持續向服務器發送虛假威脅行為報告來干擾服務器端分析和處理有價值的行為報告。在進行信息融合時，需要分辨出這類節點，排除這類報告的干擾，優先處理有價值的威脅行為報告。其惡意節點發現算法如圖6所示。

3 結 語

針對信息系統內部信息的安全威脅多是通過對文件的異常訪問來進行的，針對此，本文設計了一個基于云架構的信息系統分級威脅防御機制，發揮網絡中服務器和用戶終端節點的各自優勢，從全局的角度構成一個整體來對抗威脅攻擊。用戶端主動收集并向服務器端提供文件訪問異常行為報告；服務器端針對不同安全級別用戶終端建立各類正常行為模型和黑白名單，使系統快速對威脅行為作出正確反應；并從全局角度對威脅報告信息進行整合，在發現威脅的同時發現系統自身薄弱環節，有效促進了系統整體防御性能的提升。

惡意節點發現算法

輸入：節點提交報告數量集{Si}，節點提交惡意報告數量集{VSi}，時間間隔閾值t，惡意節點閾值σ

輸出：惡意節點集合{Dm}

步驟：

1.對于系統中的每一個終端，計算時間間隔t內節點的可信度；

2.對于可信度低于σ的節點，認為它為惡意節點。

圖6 惡意節點發現算法

參 考 文 獻

[1] WU Ying， JIANG Jian-hui. Frequency weighted hamming distance based system call anomaly detection [C]// Proceedings of CSIE 2009. Los Angeles， California： IEEE， 2009： 105-109.

[2]王輝，賈宗璞，申自浩，等.基于信息流的多級安全策略模型研究[J]. 計算機科學，2010，37（1）：75-78.

[3] PRAMANIK S， SANKARANARAYANAN V， UPADHYAYA S. Security policies to mitigate insider threat in the document control domain [C]// Proceedings of the 20th Annual Computer Security Applications Conference. Tucson， Arizona， USA： IEEE， 2004： 304-313.

[4]陶芬，尹芷儀，傅建明. 基于系統調用的軟件行為模型[J]. 計算機科學，2010，37（4） ：151-157.

[5] GAO D， REITER M K， SONG D. Behavioral distance measurement using hidden Markov models [C]// Proceedings of the 9th International Symposium on Recent Advances in Intrusion Detection. Hamburg， Germany： RAID， 2006： 19-40.

[6]吳瀛，江建慧，張蕊. 基于系統調用的入侵檢測研究進展[J]. 計算機科學，2011，38（1）：20-24，47.

[7]陳蘭香. 一種基于會話的安全Web 文件服務模型[J]. 計算機工程， 2011， 37（18）： 127-130.

[8]趙寶磊. 淺談涉密信息系統分級保護工作的實施[J]. 網絡與信息安全，2010（3）：80-83.

[9]林果園，賀珊，黃皓，等. 基于行為的云計算訪問控制安全模型[J]. 通信學報， 2012，33（3）：59-66.

[10]徐小龍，熊婧夷，程春玲. 基于云端計算架構的惡意代碼聯合防御機制[J]. 東南大學學報：自然科學版， 2011， 41（3）： 220-226.