一種基于人工免疫的云存儲安全檢測方法

蔡剛山 周剛

摘要：近年來信息化趨勢愈演愈烈，數據已搖身成為個人、公司、機構等最有價值的資產之一。隨著云存儲系統普及率逐漸提高，存儲安全問題也屢屢出現。傳統的用戶認證雖然包含證明和驗證兩個階段，但卻無法保證用戶的真實性。本文提出了一種基于人工免疫的云存儲安全檢測方法，該方法主要是使用元數據二進制建模技術將用戶訪問文件請求轉化為二進制字符串，采用陰性選擇算法生成適當數量的有效檢測器，使用這些有效檢測器集合判斷用戶的訪問請求是否合法，對非法訪問請求予以攔截。實驗表明本方法能夠在檢出率和誤報率這兩個功能指標方面取得較好的效果。

關鍵詞：存儲安全;人工免疫;元數據;陰性選擇算法

中圖分類號：TP393.08

文獻標志碼：A

1 引 言

近年來隨著云存儲技術的使用廣泛，所造成的安全問題也逐漸顯現。云存儲系統的第一道防線是身份認證，其目的是檢查用戶身份是否有效。目前較為常見的身份認證手段包括口令和多因素認證。通過口令認證的途徑，不用借助硬件設備就可以達到身份認證效果，實現較為方便。其缺點是入侵者可以通過撞庫攻擊等途徑破解用戶口令。使用口令認證可以判斷用戶身份是否有效，卻無法判斷其身份是否真實。為了提高存儲系統的安全性，多因素綜合認證等方式應運而生。多因素綜合認證往往與電子令牌或人體生物特征等相結合。電子令牌雖然能提高安全保障，但同時也伴有易丟失和盜竊的風險。綁定了人體生物特征的認證方式更好地提升了系統安全性，但其必須的硬件設備卻十分昂貴。

在云存儲系統中只通過確保用戶身份有效性的途徑來保護系統安全的做法是不明智的，入侵者可能盜用合法賬戶執行非法操作，鑒于入侵行為常常造成的巨額損失，對用戶操作行為進行合法性檢查是非常有必要的。近年來人工免疫系統（ Artificial Immune System，AIS）發展迅猛，它作為一種新興技術，借鑒諸多生物免疫系統的特性，可用來處理多個方面的問題，如入侵檢測、錯誤檢測與數據挖掘等。在現有云存儲安全檢測方式之上，結合人工免疫核心技術開發完成一種云存儲安全檢測模塊，對用戶訪問行為進行截獲和過濾，只允許合法操作到達底層文件系統，攔截非法操作請求，令云存儲系統具有免疫效果，從而更好地保障系統安全。

2 安全檢測系統工作流程圖

人工免疫算法具有多種算法模型[3]，本文使用基于人工免疫技術的陰性選擇算法[4]，學習區分自我（合法請求）與非我（非法請求），允許合法請求傳遞至底層文件系統，而對非法請求予以攔截，從而保障存儲系統安全，避免入侵。

安全檢測系統工作流程如圖1所示，首先收集合法訪問請求數據，并對其進行二進制建模生成自我集合，再使用陰性選擇算法生成檢測器，從而區分自己和非己[5]。通過基于真實運行系統的訪問請求數據進行二進制建模，根據陰性選擇算法的相關公式確定二進制建模的字符串長度以及字符串匹配的位數，使得二進制建模生成的自我集合具有較高的有效性和科學性，同時根據訪問請求的不斷變化，對自我集合以及生成的有效檢測器進行周期性的更新，使自我集合的完備性不斷加強。

陰性選擇算法包含審查和檢測兩個階段。審查階段隨機產生大量的候選個體，將這些個體跟自體元素相匹配，如果匹配成功則舍棄該候選個體，否則予以保留，這個過程又稱為自我耐受;檢測階段通過使用上一階段保留的檢測器與未知個體進行匹配，如果匹配成功說明該個體為非己。原始陰性選擇算法使用窮舉法作為候選檢測器的生成方式[6]，但由于其時間復雜度太大，故本文比較了時間復雜度較優的線性檢測器生成算法和貪心檢測器生成算法，并最終選取了貪心檢測器生成算法生成候選檢測器。

2.1 元數據二進制建模

在海量數據中檢測數據的變化與異常是非常困難甚至是不可能的，然而元數據技術的出現很好地解決了這個難題，元數據是描述其他數據的信息，即數據的數據。元數據的概念也可以運用至存儲系統安全檢測模塊：從訪問系統調用中抽取元數據，包括訪問文件有效信息，如uid，gid等，將元數據進行二進制建模從而轉變為所需的二進制字符串，再采用某種二進制匹配技術模擬生物免疫系統中的抗原與抗體的匹配過程，最終根據匹配結果進行相應處理。

雖然云存儲系統的系統調用數目繁多，但與文件訪問相關的系統調用只有很少數。本系統只需要關注相關的少量系統調用，如open，read，write等。通過對上述內容進行建模，安全檢測模塊可以通過獲取訪問模式、用戶id、文件id、組id等相關內容，進而將其建模為二進制字符串序列，通過NSA區分合法與非法操作，保障存儲系統的安全[7]。訪問請求的二進制建模方式如圖2所示：

2.2 陰性選擇算法

陰性選擇算法基于生物體的陰性選擇原理[8]，因此該算法具備如下一些特點：

（1）算法產生的檢測器只覆蓋了部分非我集，檢測器內部的交流與協調非必須。

（2）檢測器的檢測過程并不是根據已知模式庫進行匹配，而是具備概率性地檢測非我集，故能夠有效地檢測異常的活動。

（3）對于某個長度的字符串，其所有的可能情況是有限的，故當自我集足夠完整時不會出現誤報情況。

由以上特性可知，陰性選擇算法的檢測過程是具有一定概率性的，字符串匹配算法的選取以及針對不同的匹配精度生成的檢測器數量等決策都需要進行較為精確的估算[9]，算法相關參數見表1：

式4是有效檢測器數量在數學上的描述，當P，取值一定的情況下，通過該公式可以得到有效檢測器數量NR與匹配概率PM的變化關系的折線圖，見圖3：

由圖3可知，在有效檢測器匹配失敗率P，一定的情況下，隨著兩個隨機串匹配成功率PM的增大，需要的有效檢測器數量越來越少。而根據不同Pf對應的曲線可知，系統有更高安全要求的情況下，需要的有效檢測器數量也更多。此外，根據公式4可知，在P，為定值時，有效檢測器的數量只與PM有關，而與自我集的元素個數Ns無關。

公式5是對候選檢測器數量在數學上的描述。當N_s和P_f一定的情況下，根據該公式能夠繪制出NR。和匹配概率P_M的折線圖，見圖4。圖4是基于P_f= 0.0001的前提下繪制的，可知在匹配失敗率P_f一定的情況下，隨著兩個隨機串匹配成功率P_M增大，需要的候選檢測器數量越來越多。而根據不同Ns對應的曲線可知，自我集合中元素數量的越多，需要的候選檢測器數量也越多。

在本文中，使用的字符序列匹配算法主要是r連續位匹配規則（ R-contiguous Bits MatchingRule）。該規則是模糊匹配規則中的一種，常常用于免疫系統中對親和力的建模上。若兩個字符序列在對應位置上有至少r個連續位置的字符相同，那么就稱二者符合r連續位匹配規則。令l表示隨機串的位數，則當字符串為二進制字符串時，存在如下關系：

公式6是對隨機串成功匹配的概率在數學上的表述10]。當字符串長度1-定的情況下，根據該公式可以得到匹配概率P_M與匹配位數r的變化圖像，見圖5。

由圖5可知，在字符串長度l為定值的情況下，隨著匹配位數r的增大，兩個隨機字符串r連續位匹配成功的概率逐漸減少。而在匹配位數r一定的情況下，隨著字符序列長度l的增大，兩個隨機字符串相匹配的概率逐漸增大。

3 實驗過程

3.1 實驗測試內容介紹

本系統主要進行功能測試，主要關注檢出率和誤報率兩個方面。檢出率用來衡量將非法訪問信息檢測出來的能力，而誤報率則用來描述將合法訪問請求誤判為非法的概率。在確定系統一些動態參數時，也是將檢出率和誤報率作為重要依據。

3.2 系統實驗環境

（1）硬件環境：內存：4G，處理器：2.7 GHzIntel Core 15，硬盤：2T硬盤

（2）軟件環境：操作系統：Ubuntu Server 14.1064bit，Linux內核版本：3.16.1，集群環境：OpenStack Havana。

3.3 系統功能測試

測試數據集應當具備足夠多且能夠全面而真實地反映系統安全狀態，基于這項原則，本文采用了MIT LL實驗室收集的DARPA 1999 IDS離線評估數據集。該離線評估數據包括收集的模擬網絡中的網絡流量和審計日志，本文采用了其文件列表信息進行試驗。從文件中提取文件ID、文件所屬用戶，文件所屬用戶組、訪問模式等信息并建模為10000條合法的20位二進制數據，基于此再變異產生10000條異常數據。選取合法數據中的4000條記錄作為自我集進行訓練。采用r連續位匹配算法進行測試時，對r長度進行不同取值，發現r取9時能取得較好結果，故本文采用r-9進行試驗。

4 結果與分析

使用貪心檢測器生成算法生成不同數量的有效檢測器進行檢出測試，各試驗10次取平均值，得到的檢出率測試結果見圖6。

使用貪心檢測器生成算法生成不同數量的有效檢測器進行誤報率測試，各實驗10次取平均值，得到的誤報率測試結果見圖7所示。

由圖6和圖7可知，使用貪心檢測器生成算法，在有效檢測器數量為400時就能夠在檢出率和誤報率中尋求較好的平衡，其中檢出率平均值為99.37%，誤報率平均值為0.24%。

對實驗結果進行分析可知，使用陰性選擇算法生成有效檢測器，對元數據二進制建模后的字符串進行匹配檢測，由于不是根據已知模式庫進行匹配，而是具備概率性地檢測非我集，因此根據陰性選擇算法的相關公式描述，基于真實數據集進行建模測試，從而確定較有效的匹配算法參數以及檢測器數量，故能夠取得較好的試驗結果。

5 結論

實現了一種基于人工免疫的云存儲安全檢測方法，該方法首先通過收集合法的訪問請求，使用陰性選擇算法生成有效檢測器，針對未知合法性的用戶行為抽取關鍵數據進行二進制建模，將其與檢測器進行匹配，若匹配成功，說明訪問請求非法，應予以攔截，否則允許其執行后續操作。實驗表明在生成有效檢測器數量為400時，該方法在檢出率和誤報率方面能夠取得較好的效果。

參考文獻

[1] 張亞敏，基于信息隱藏的身份認證方法和技術的研究[J].電子制作，2014，6 ：143+118.

[2]JANEWAY C A. The immune system evolved todiscriminate infectious nonself from noninfectious self[J].Immunology today， 1992， 13（1）： 11-16.

[3]謝克明，謝剛，郭紅波，等，人工免疫系統及其算法[J].電 子與信息學報，2005， 27（11）：1839-1844

[4]JI Z， DASGUPTA D. Real-valued negative selectionalgorithm with variable-sized detectors[C]//Genetic and Ev-olutionary Computation - GECC0 2004. Springer BerlinHeidelberg， 2004： 287-298.

[5] FORREST S，PERELSON A S，ALLEN L.Self-NonselfDiscrimination in a Computer[C]// In Proceedings of the1994 IEEE Symposium on Research in Security and Privacy.1994：202.

[6] AYARA M， TIMMIS J，DE LEMOS R， et al. Negative se-lection： How to generate detectors[C]//Proceedings of thelst International Conference on Artificial Immune Systems（ICARIS）. Canterbury， UK：[sn]， 2002， 1： 89-98.

[7]黃建忠，裴燦浩，謝長生，等. 一種基于AI免疫技術的存檢常異檢測系統 [J].計算機科學 ， 2010 （1） ： 42- 46.

[8]HOFMEYR S A， FORREST S.Immunity by design： An artificial immune system[C]//Proceedings of the Genetic andEvolutionary Computation Conference. 1999， 2： 1289-1296.

[9] GONZALEZ F， DASGUPTA D， NINO LF. A randomizedreal-valued negative selection algorithm[M]//Artificial Im-mune Systems. Springer Berlin Heidelberg， 2003 ： 261- 272.

[10]DHAESELEER P， FORREST S， HELMAN P. An immu-nological approach to change detection： Algorithms，analysis and implications[C]//sp. IEEE， 1996： 011