基于配置關聯關系的信息系統誤配置檢測技術

向華偉，呂 ，張雪堅

(云南電網有限責任公司 信息中心，昆明 650217)

基于配置關聯關系的信息系統誤配置檢測技術

(云南電網有限責任公司 信息中心，昆明 650217)

隨著軟件系統變得更加復雜和可配置，由于錯誤配置而導致的故障正成為關鍵問題;這種故障的診斷和修復需要跨越軟件本身及其運行環境進行分析，使得其處理過程十分困難，且修理費用極高;為解決這種故障帶來的較為嚴重的經濟損失、安全隱患和功能故障；基于配置項之間隱含的關聯關系及其運行環境，設計了基于信息系統配置關聯關系的配置錯誤檢測系統技術，利用給定的大量樣本配置訓練，形成配置項關聯關系與檢測規則，通過發掘信息系統各組件配置項之間的關聯關系并利用這種關聯進行配置項交叉檢驗，能夠有效檢測系統的錯誤配置;通過模擬測試表明，所提錯誤配置檢出率達到了90%以上，在大型企業中具有廣泛的應用前景，為未來優化信息誤配置檢測技術提供建設性方向方法。

配置關聯；信息系統；檢測規則；配置檢測

0 概述

隨著軟件系統功能日益豐富、應用更加靈活，其配置變得更加復雜。例如MySQL服務器和Apache服務器每個軟件均含有200個以上的配置項[1-3]。這使得正確的配置軟件系統已成為非常復雜的工作，并且容易出錯。相關研究已表明配置錯誤已經非常常見，并且會對企業造成較大損失。配置錯誤不僅會引起系統不可用導致的業務中斷，還會消耗大量資源進行故障排除[4-6]。例如某大型商業公司的客戶支持數據庫中，超過27%的故障單都與配置錯誤有關。同時，很多機構會按照最佳實踐應用安全策略和性能策略，僅滿足功能要求的配置設置多數無法滿足相關安全及性能策略，這也會導致安全弱點或性能異常，檢測這些次優配置也是非常必要的[7-9]。

1 相關研究現狀

為了將配置錯誤導致的損失降低到最小，是在應用配置之前自動檢查一組配置設置，提前發現潛在的設置錯誤，類似于源代碼審計發現系統漏洞[10]。然而當前使用的大多數配置文件與編程語言相比缺乏豐富的結構和語義信息，難以直接進行復雜的錯誤分析[11-12]。為了克服該限制，一些研究通過收集分析大量配置項的常用值，形成訓練集合，并將偏離常用值的配置內容標記為潛在的錯誤配置。

但該方法簡單的將每個配置項作為獨立的字符串進行處理，僅在某些情況下是有效的，其應用場景和效果均有限。例如，針對PHP系統來說[13]，其extension_dir配置項用于指定擴展插件的目錄，PHP軟件從該目錄下搜索相關擴展插件。當其被配置為一個具體的文件，如“usrinphpphp_mysql”時，將會導致該mysql模塊無法正常加載。又比如配置mysql數據存儲目錄時，其datadir指定了mysql數據的保存位置，如datadir=/var/lib/mysql，但如果我們指定的目錄mysql的啟動賬戶沒有該目錄的訪問權限，那么mysql將由于數據文件拒絕訪問導致啟動錯誤。

上述兩個例子在實際檢測時，僅通過對配置文件中的配置內容進行分析，均無法發現配置問題，其原因在于，現有檢測方法僅分析配置項中的字符串，而這兩個案例中的配置項的內容均與環境有關，此類配置內容隨環境不同多種多樣，難以形成異常配置模型。對于PHP的案例來說，檢測系統不知道用戶配置的“usrinphpphp_mysql”是一個目錄還是一個具體的文件，對于mysql的案例來說，檢測系統不知道啟動mysql的賬戶是否有權對/var/lib/mysql進行讀寫。

2 基于關聯信息的配置錯誤檢測系統設計

由于配置設置涉及應用本身和應用的操作環境，為了解決現有配置正確性檢測方法僅針對配置內容本身進行檢測的缺陷，需要將配置分析的范圍從單個配置項擴展到多個配置文件以及操作系統相關環境設置。

2.1 配置項關聯關系梳理

對于一個完整的信息系統，操作系統、中間件、數據庫、網絡安全組件等軟件均為相互關聯的關系，各組件之間的關聯關系體現在環境信息上[14-15]。操作系統安裝于服務器硬件，網絡配置安裝于網絡設備，并且網絡配置依賴于物理拓撲連接[16]。而數據庫、中間件則需要安裝于操作系統之上，并且數據庫和中間件之間為關聯關系；操作系統、數據庫、中間件又與網絡配置相關聯。圖中標識為安裝的關系，也就包含了相關環境的個性化配置。如圖1所示。

圖1 信息系統各軟件關聯關系

而對于單個軟件的配置層面，操作系統安全配置依賴組件安裝，數據庫、中間件安全配置依賴于操作系統安全配置。中間件功能與數據庫功能配置關聯，如圖2所示。

圖2 軟件配置項間的關聯關系

2.2 檢測系統架構

為實現配置錯誤檢測，需要自動提取各軟件、操作系統、網絡設備的配置信息，將配置解析后應用數據挖掘算法實現配置項的關聯關系自動檢測，根據關聯關系推斷出配置規則模板，配置檢測模塊根據相關規則對配置進行檢查以發現配置異常。系統架構如圖3所示。

圖3 檢測系統架構圖

1)配置采集層：通過客戶機代理、ssh、配置文件、SNMP等方式采集原始的配置信息并保存；同時將原始配置信息應用配置解析模板進行解析，轉換為key-value格式的配置記錄，保存到配置庫中。采集工作完成后，整個信息系統相關的配置信息均已統一保存，可被數據處理層和功能邏輯層調用。

2)數據處理層：應用優化的關聯規則挖掘算法(Apriori和FP-Growth)挖掘配置項中的關聯關系，使用前首先利用現有的正常運行的系統配置訓練關聯模型，在形成關聯關系后供配置檢測規則生成模塊使用。規則生成模塊使用關聯關系和數據集訓練生成關聯規則，通過應用規則模板簡化規則生成的難度。

3)功能邏輯層：功能邏輯層根據配置庫和配置檢測規則進行配置異常檢測，當實際配置與檢測規則不一致時進行告警。同時提供自定義配置規則的管理、配置文件解析模板管理、配置采集器管理。配備配置搜索與查詢，與配置告警關聯，可以之間從告警信息跳轉到對應的原始配置文件。

2.3 配置項關聯關系分析

一般而言，配置項關聯首先表現在配置項的類型是一致的，因此關聯關系的生成需要根據配置項的類型進行匹配，例如對于mysql服務器的監聽IP和端口設置，其類型為IP和端口，而操作系統、防火墻、中間件相關的配置項也一定會是IP和端口，操作系統的網絡接口IP、防火墻開放的端口、中間件連接數據庫文件中的數據庫IP和端口均是相關聯的，應用該思路能夠極大的簡化關聯關系生成時的時間復雜度和空間復雜度，也能夠消除一些不相關的噪聲影響。

2.3.1 類型匹配與學習

我們設計了一系列類型及其匹配的正則表達式用于單個配置項類型識別，當配置項的值完全匹配時，即可初步確認該配置項類型，隨后應用相關命令驗證該類型的準確。例如當分析器檢測到某配置項的值為“/var/www/abc”時，首先將其初步分類為“路徑”，隨后調用路徑類型相關命令檢測該路徑是相對路徑還是絕對路徑，以確認路徑的存在。當此操作確認后，將此配置項類型根據實際分類為“相對路徑”或“絕對路徑”。

當然某些類型難以被準確驗證，可以通過后續的訓練，統計大量樣本中配置項的內容，應用分類算法得出該配置項的最終確認類型。

2.3.2 關聯關系生成

通過為每個配置項自動設置了類型，相關的關聯關系可以首先基于類型進行關聯，對于那些通用的配置項類型如字符串、數值等類型可進一步應用關聯算法訓練生成。

表1 部分典型配置項類型模板

1)基于類型的關聯關系生成：仍然以Mysql的監聽地址為例。經過上述步驟處理，我們已經對整個信息系統的日志完成了采集、解析及類型匹配。此時mysql配置文件中的監聽地址已經被識別為ip地址，那么相應的中間件的數據庫連接文件中的數據庫地址、操作系統網絡接口的地址均被識別為IP地址，而這時這些IP地址類型的配置項就產生了關聯關系，相應的檢測規則也可以據此生成。

2)基于關聯算法的關聯關系生成：由于有特定含義的類型數量有限，大量的配置項均為通用的類型，同時類型相同的配置項也并非總是存在關聯關系，例如mysql的監聽地址與本機vpn連接使用的遠端服務器地址類型相同，但并沒有存在關聯關系。此時需要將整理好的運行正常、配置已調優的信息系統各組件的配置形成訓練數據，關聯算法即可根據配置值總是關聯出現的頻率自動形成配置項的關聯關系。

2.4 檢測規則生成

根據3.3節描述的方法生成配置項間的關聯關系后，可以進行檢測規則的生成工作。由于配置項的具體內容與實際應用環境緊密相連，單純依靠數據挖掘工具形成的檢測規則效率低下，在大型信息系統環境下甚至不可行。本文根據運維經驗設計了一系列檢測規則模板，用于指導數據挖掘系統形成更加有效的規則。

例如，根據前文描述的mysql數據保存路徑的場景，設計規則模板為[<組件>_<路徑>] grant [<組件>_<用戶名>]，其中尖括號中的為占位符。該規則在生成時將首先枚舉全部的組件和配置項，比如本例中產生的一條有效規則為：mysql_datadir grant centos_mysql，其含義為centos的賬戶mysql必須擁有訪問mysql的datadir目錄的權限。

本文通過人工分析相關配置項的關聯關系，預先設定了部分規則生成模板，同時系統設計了檢測規則管理，使用者可以自行定義、添加、刪除相關模板。

表2 部分預置的規則生成模板

對于每個模板系統將自動根據占位符使用所有匹配占位符的數據進行填充，形成大量的初始規則，由于規則生成是無狀態的，可以并行對多個規則模板進行規則生成。

初始規則生成后，其中包含了大量的垃圾規則，其規則并無實際意義，這時需要對初始規則進行篩選，去除無效的規則。應用關聯規則檢測中常用的支持度和置信度可以進行此類篩選。支持度表征規則相關的具體配置項值出現的頻率，置信度表征該規則的有效程度。由于某些配置項在不同系統、場景中的值通常相同。這些不經常改變的值對于規則檢測來說沒有意義，因此可以使用信息熵的概念去除變化較少的配置項相關的規則。

2.5 異常檢測

當檢測規則生成后，檢測系統通過以下方法檢測潛在的配置錯誤：

1)配置項名稱錯誤：系統應用內置的配置項清單對比是否有在清單以外的相似的配置項，這很有可能是拼寫錯誤；

2)關聯錯誤：系統根據訓練形成的檢測規則檢測不匹配的關聯配置項，根據規則表達式計算實際值與預期值比較，報告出現的不一致情況作為配置異常告警；

3)配置值類型錯誤：系統讀取每個配置項的當前值，識別該值的類型，并與訓練生成的配置項類型對比、檢驗，當類型不一致或檢驗出錯時進行告警；

4)可疑配置值檢測：系統讀取每個配置項的值，并于訓練集中的對應配置項值進行對比，如果當前配置值在訓練集中從未出現過，該配置項將作為可疑值進行提示。當出現多條配置項的值為可疑值時，按訓練數據中對應配置項的值變化的頻率從低到高進行配置項排序，按配置項順序從高到低設置可疑等級。

3 實驗結果分析

3.1 實驗環境設置

為了驗證改進誤配置檢測技術在信息系統上使用方面的有效性及可行性，需進行實驗對比分析。實驗采用WIN7系統,CPU為P4 1.7 G、內存為512 M，其測試環境網絡拓撲如圖4所示。

圖4 測試環境網絡拓撲圖

3.2 實驗結果對比

為了證明本文提出的基于信息系統關聯關系的誤配置檢測技術改進方法的有效性，將其進行采用導出策略法與改進誤配置檢測技術做對比分析，以錯誤配置檢出率為指標進行實驗分析，結果如圖5所示。

圖5 檢測檢出率對比分析

由圖5可知，在檢測數量相同的情況下，改進誤配置檢測法檢出率明顯高于導出策略法，改進誤配置檢測法誤配置檢出率平均在90%，而導出策略法誤配置檢出率平均在60%。而且，隨著檢測配置數量的不斷增加，導出策略法誤配置檢出率也隨之降低且波動幅度大，但相比改進誤配置檢測法，誤配置檢出率平緩穩定，不隨配置數量的增多而產生波動。得出結論改進誤配置檢測法在誤配置檢出率方面性能明顯優于導出策略法。這種檢測方法優越之處在于其先通過為每個配置項自動設置了類型，有關的關聯關系可以基于類型進行關聯，對于那些通用的配置項類型可進一步應用關聯算法訓練生成，然后有效利用配置項之間的關聯關系，從而完成檢測規則的生成工作。由于配置項的具體內容與實際操作環境息息相關，所以應用改進誤配置檢測法才能夠準確的發現配置錯誤，為系統的使用提供了更安全，更有效的操作環境，具有較好的應用價值。

4 總結

根據本文提出方法實現了檢測系統原型，并基于原型對檢測效率進行了測試，通過對Apache、Mysql、SSH服務進行了模擬測試。

在模擬測試中，選擇不在訓練數據中的Apache、Mysql、SSH服務配置文件，隨機插入15個錯誤配置項，應用檢測系統原型進行檢測，Apache檢測到14個配置錯誤、Mysql檢測到15個錯誤、SSH服務檢測出15個錯誤。

測試表明，訓練完成的配置錯誤檢測系統能夠利用配置項之間的關聯關系較為準確的發現配置錯誤，在大型企業的信息化環境中進行現有配置檢查、用戶輸入配置前的驗證以及自動化運維系統配置修改腳本的檢查中具有非常重要的意義，能夠避免配置輸入錯誤導致的非預期停機，極大的降低了故障處理和系統變更評審所需的人力資源，具有廣泛的應用前景。

[1] 李 健.路由優化的方式——策略路由及其配置方法[J].電子技術與軟件工程,2016(12):25-25.

[2] 舒 鵬,王 松.基于系統描述自動生成二次設備關聯配置的方法[J].浙江電力,2016,35(7):12-15.

[3] 林雪峰,宋躍忠,程 敏,等.一種網元設備誤配置檢測方法及檢測設備,CN105847065A[P].2016.

[4] 王雅青,徐 斌,譚國平.基于D2D與WLAN共享的分布式頻譜配置方案研究[J].電子設計工程,2016,24(14):87-90.

[5] 劉海濤.網絡入侵檢測算法研究[J].電腦知識與技術,2015(2X):42-43.

[6] 李 勒,洪爽俊,張 馳.基于部分配置信息的錯誤數據注入攻擊[J].微電子學與計算機,2014(2):85-89.

[7] 蔣建春,陳慧玲,鄧 露,等.基于多核實時操作系統的配置工具設計[J].計算機應用,2016,36(3):765-769.

[8] 舒 鵬,王 松.基于系統描述自動生成二次設備關聯配置的方法[J].浙江電力,2016,35(7):12-15.

[9] 肖 寧.基于高分辨一維距離像的雷達自動目標識別技術研究[D].西安:西安電子科技大學,2014.

[10] 孫 莉.電子文件管理系統的架構、核心算法及其實現[J].圖書館理論與實踐,2015(11):67-69.

[11] 溫樹峰,孫 丹,王珍珍.智能變電站配置文件錯誤分析[J].能源與節能,2015(1):176-178.

[12] 李曉寧.電子化文件站配置探索[J].電子技術與軟件工程,2015(9):76-76.

[13] 馬 靜.基于PHP的高校圖片管理系統的設計與實現[J].自動化與儀器儀表,2015(4):126-127.

[14] 汪 溢,馬 凱,黃 曙,等.變電站二次設備參數配置方法和系統,CN104537572A[P].2015.

[15] 黃 曙,馬 凱,汪 溢,等.智能變電站二次設備運行參數配置方法,CN104135069A[P].2014.

[16] 李倫紅.網絡結構物理聯接拓撲發現應用研究[D].西安:長安大學,2015.

Error Detection of Information System Based on Configuration Relation

Xiang Huawei,Lv Yao,Zhang Xuejian

(Yunnan Power Grid Corp.Ltd., Information Center, Kunming 650217,China)

As software systems become more complex and configurable, failures due to faulty configuration are becoming critical issues. The fault diagnosis and repair need to be analyzed by the software itself and its operating environment, which makes the process very difficult and the cost of repair is very high. In order to solve the serious economic loss, safety hidden trouble and functional fault. The implied relationship between configuration items and its operating environment based on the design of the testing information system configuration configuration error correlation system based on the use of a large number of training sample configuration is given, the formation of configuration items associated with the detection rules, by exploring the information system of each component configuration relationship between items and use this configuration cross correlation inspection, can effectively detect system configuration errors. The simulation results show that the detection rate of the proposed error configuration is more than 90%, which has a wide application prospect in large enterprises, and provides a constructive way to optimize the information error detection technology in the future.

configuration association; information system; detection rule; configuration detection

2017-04-20；

2017-05-11。

向華偉(1984-)，男，云南玉溪人，大學，高級工程師，主要從事信息系統運維、自動化運維方向的研究。

1671-4598(2017)08-0039-04

10.16526/j.cnki.11-4762/tp.2017.08.011

TN407

A