云際環(huán)境下基于用戶行為的軟件安全研究

馬杰

摘 要：隨著云計算和大數(shù)據(jù)的高速發(fā)展，網(wǎng)絡資源越來越豐富，計算機網(wǎng)絡開始逐漸滲透到人們生活的各個領域。但是，隨之而來的網(wǎng)絡和軟件安全問題日益嚴重，嚴重影響了云計算的發(fā)展。本文提出了一種基于用戶行為的軟件安全模型，通過分析網(wǎng)絡流量和本地用戶行為數(shù)據(jù)，實現(xiàn)對異常行為的檢測。

關鍵詞：云計算;軟件安全;用戶行為;異常檢測

中圖分類號：TP393.09文獻標識碼：A文章編號：1003-5168（2021）08-0007-03

Research on Software Security Based on User Behavior in Cloud Computing

MA Jie

（Henan College of Finance and Monetary，Zhengzhou Henan 451464）

Abstract： With the rapid development of cloud computing and big data， network resources are becoming more and more abundant， and computer networks have gradually penetrated into all areas of peoples life. However， the ensuing network and software security problems have become more and more serious， which has seriously affected the development of cloud computing. This paper proposes a software security model based on user behavior， which can detect abnormal behaviors by analyzing network traffic and local user behavior data.

Keywords： cloud computing;software security;user behavior;abnormal detection

隨著科技的不斷發(fā)展，云計算已從概念導入進入廣泛普及、應用繁榮的新階段，成為提升信息化發(fā)展水平、打造數(shù)字經(jīng)濟新動能的重要支撐。黨中央、國務院高度重視以云計算為代表的新一代信息產(chǎn)業(yè)發(fā)展，發(fā)布了《國務院關于促進云計算創(chuàng)新發(fā)展培育信息產(chǎn)業(yè)新業(yè)態(tài)的意見》（國發(fā)〔2015〕5號）等政策文件。但隨著云計算和大數(shù)據(jù)等新技術的廣泛應用以及新型攻擊方式的出現(xiàn)，傳統(tǒng)軟件安全面臨著巨大挑戰(zhàn)，嚴重影響了云計算等新技術的持續(xù)發(fā)展。在云計算平臺中，資源的所有權和管理權被分離，催生很多新的安全威脅，尤其是當攻擊由云內(nèi)部用戶發(fā)起的時候[1]。

傳統(tǒng)的基于流量特征庫的高級持續(xù)性威脅（Advanced Persistent Threat，APT）攻擊檢測與防御方法對于已知威脅（如已知漏洞或病毒木馬程序的攻擊）比較有效，但對于攻擊特征未知、技術復雜以及持續(xù)時間長的APT攻擊則無法進行有效檢測與定位[2]。傳統(tǒng)用戶異常行為檢測方法無法滿足海量數(shù)據(jù)檢測需求，對不斷更新的異常行為和惡意軟件無法快速做出響應，沒有考慮用戶行為管理等問題，導致異常檢測的精度和穩(wěn)定性都不足[3]。文獻[4-5]提出了一種基于深度學習的網(wǎng)絡異常行為檢測方法，能夠利用歷史網(wǎng)絡數(shù)據(jù)，建模并訓練網(wǎng)絡異常行為檢測模型，進而實現(xiàn)快速的異常行為檢測，但檢測精度不高。

本文提出了一種云際環(huán)境下基于用戶行為的檢測模型，該模型通過實時分析網(wǎng)絡流量并對本地用戶行為進行數(shù)據(jù)挖掘，共同構建云際軟件安全體系。

如圖1所示，該檢測模型主要包括數(shù)據(jù)采集模塊、數(shù)據(jù)預處理模塊、數(shù)據(jù)建模模塊以及異常檢測與預警模塊。

1 數(shù)據(jù)采集

數(shù)據(jù)采集部分主要分為網(wǎng)絡流量采集和本地用戶行為數(shù)據(jù)采集。

網(wǎng)絡流量分析是行之有效的手段，因為再高級的攻擊都會留下網(wǎng)絡痕跡，網(wǎng)絡攻擊者的行為和人們正常的網(wǎng)絡訪問行為不一樣。首先通過Hadoop日志系統(tǒng)獲取歷史網(wǎng)絡流量數(shù)據(jù)，包括源IP地址、目的IP地址、源端口、目的端口、協(xié)議、用戶、時間、數(shù)據(jù)地址以及數(shù)據(jù)量等信息。

本地用戶行為數(shù)據(jù)主要通過采集用戶操作輸入習慣，包括鼠標單擊事件、鼠標雙擊事件、鼠標移動軌跡、鼠標滾動事件、鍵盤敲擊事件、鍵盤特殊符號使用頻率以及應用程序名稱等。

2 數(shù)據(jù)預處理

數(shù)據(jù)的質(zhì)量直接決定了模型預測和泛化能力的好壞。為了提高數(shù)據(jù)質(zhì)量，人們要進行數(shù)據(jù)預處理，包括缺失值處理、異常值處理、噪聲處理、數(shù)據(jù)歸一化以及維度變換等。

在獲取信息和數(shù)據(jù)的過程中，各類原因會導致數(shù)據(jù)丟失和空缺。異常值是數(shù)據(jù)分布的常態(tài)，處于特定分布區(qū)域或范圍之外的數(shù)據(jù)通常被定義為異常或噪聲。這些缺失值和噪聲可以使用完整數(shù)據(jù)集中對應屬性的平均值進行填充，也可以使用中位數(shù)填充。若變量的缺失率較高，覆蓋率和重要性較低，則可以直接將變量刪除。

噪聲是變量的隨機誤差和方差，是觀測點和真實點之間的誤差。人們可以對數(shù)據(jù)進行分箱操作，等頻或等寬分箱，然后用每個箱的平均數(shù)、中位數(shù)或者邊界值代替箱中所有的數(shù)，起到平滑數(shù)據(jù)的作用。

為了進行歸一化，人們可以對數(shù)據(jù)進行最大-最小規(guī)范化，將數(shù)據(jù)映射到[0，1]區(qū)間。

維度變換是將現(xiàn)有數(shù)據(jù)降到更小的維度，盡量保證數(shù)據(jù)信息的完整性，可以使用主成分分析（Principal Component Analysis，PCA）和因子分析（Factor Analysis，F(xiàn)A）進行降維處理。

3 數(shù)據(jù)建模

本文將采用深度神經(jīng)網(wǎng)絡（Deep Neural Networks，DNN）和K-means來構建異常檢測模型，然后將預處理后的數(shù)據(jù)導入模型進行訓練。

3.1 深度神經(jīng)網(wǎng)絡

DNN可以分為3層，分別是輸入層、隱藏層以及輸出層，基本結構如圖2所示，其中隱藏層可以有多個。

算法過程如下：

將樣本數(shù)據(jù)隨機分為測試數(shù)據(jù)和訓練數(shù)據(jù)，訓練數(shù)據(jù)作為輸入層，然后進行計算，計算公式為：

[y=w0x0+w1x1+…+wpxp+b]? ? ? （1）

式中，[y]是輸入特征[x0]到[xp]的加權求和，權重系數(shù)為[w0]到[wp]。

計算完加權求和后，再應用Sigmoid激活函數(shù)對結果進行非線性校正，將校正結果作為輸入提交給隱藏層進行下一次計算，重復此過程直至輸出層輸出結果。

得到輸出結果后，使用交叉熵損失函數(shù)度量預測值與真實值之間的差異程度，若誤差不滿足要求，則進行反向傳播。若誤差滿足要求，則再使用測試集進行測試，直到準確率也達到要求，停止訓練，否則從頭重新計算。

在模型訓練過程中，由于訓練樣本規(guī)模太大，為了加快訓練速度，可以將數(shù)據(jù)分成N塊分N次進行訓練。完成訓練后，DNN模型可以有效識別出網(wǎng)絡流量中的異常行為，提高后續(xù)異常檢測的適應性和準確性。

3.2 K-meams算法

云際環(huán)境下，因為不同戶的操作習慣、工作內(nèi)容、興趣愛好以及訪問內(nèi)容不同，用戶行為具有很大的差異性，異常行為很難預先界定，不適合使用監(jiān)督學習算法。因此，本文采用聚類算法來解決本地用戶行為的異常檢測。

通常情況下，用戶的正常操作行為和異常操作行為會有很大的差異，適合使用K-means算法進行聚類。K-means算法是很典型的基于距離的聚類算法，采用距離作為相似性的評價指標，即認為兩個對象的距離越近，其相似度就越大。該算法首先隨機選取K個對象作為簇中心進行初始化，然后開始迭代計算，因此簇中心點的選擇將直接影響算法的效率。

本文對K-means算法做了改進，過程如下：①輸入樣本數(shù)據(jù)，使用歐氏距離法計算各個樣本之間的距離，然后選擇距離最遠的K個樣本，作為初始的簇中心。②計算樣本數(shù)據(jù)到達各簇中心的距離，并將樣本歸入距離最近的簇。③重新計算各簇的均值，得到新的簇中心。④根據(jù)新的簇中心再次將各樣本數(shù)據(jù)歸入距離最近的簇。重復步驟③和④，直至簇中心不再變化。經(jīng)過模型訓練之后，標出正常簇和各正常簇半徑R，用于后續(xù)異常檢測。

4 異常檢測與預警模塊

完成模型訓練后，實時采集流量數(shù)據(jù)和用戶行為數(shù)據(jù)進行異常檢測，若發(fā)現(xiàn)異常行為，則發(fā)送預警信息給管理員和用戶，提示他們做出相應處理。其中流量數(shù)據(jù)可直接導入DNN模型，而用戶行為數(shù)據(jù)需要再次進行計算，具體計算過程如下：①計算數(shù)據(jù)和K-means模型中各正常簇中心點的距離，若小于半徑R，則判定為正常行為，若大于半徑R，則判定為異常行為。②若該行為是正常行為，則將數(shù)據(jù)加入集合m中。③若集合m中的數(shù)據(jù)超過閾值，則重新對K-means模型進行訓練，直至簇中心不再變化，將新的模型繼續(xù)用于后續(xù)異常檢測。

5 結論

為了保證云際環(huán)境下的網(wǎng)絡和軟件安全，本文提出了一種基于用戶行為的異常檢測模型。通過構建DNN和K-means算法，對實時流量數(shù)據(jù)和本地用戶行為數(shù)據(jù)進行檢測，彌補了傳統(tǒng)流量檢測手段忽視用戶操作行為的缺點，提高了異常行為檢測的準確率。

參考文獻：

[1]許洪軍，張洪，賀維.一種基于鼠標行為的云用戶異常檢測方法[J].哈爾濱理工大學學報，2019（4）：127-132.

[2]周濤.基于統(tǒng)計學習的網(wǎng)絡異常行為檢測技術[J].大數(shù)據(jù)，2015（4）：38-47.

[3]陳勝，朱國勝，祁小云，等.基于深度神經(jīng)網(wǎng)絡的自定義用戶異常行為檢測[J].計算機科學，2019（2）：442-445.

[4]李錚，傅陽.一種基于深度學習的網(wǎng)絡異常行為檢測方法[J].網(wǎng)絡安全技術與應用，2020（8）：66-68.

[5]鄧紅莉，楊韜.一種基于深度學習的異常檢測方法[J].信息通信，2015（3）：3-4.