云計算環境下基于用戶訪問行為的動態訪問控制模型的研究

段煉，朱龍，岳巖巖，呂正林，汪帆，李飛龍

（中移信息技術有限公司，廣東 深圳 518048）

0 引言

數據是信息的載體，因此保護了數據的安全就相當于保護了信息的安全[1]。企業在云計算環境中存放的數據對攻擊者而言具有更小的攻擊成本和更靈活多變的攻擊渠道。因此，云計算環境更是將安全防范解決方案提升到一個新的歷史高度——保證用戶在訪問過程中的行為可信度，重點防范合法用戶的錯誤操作和非法操作[2]。傳統網絡逐漸向可信網絡發展，可信網絡能夠實時監控用戶訪問行為，評估用戶訪問行為存在的風險及操作結果，并能及時控制異常行為[3]。目前，在大量信息安全研究和實踐中[4-11]，大量網絡安全研究者和從業者采用機器學習算法來檢測用戶異常行為，并結合大量人工標記數據訓練用戶行為分類模型，試圖找出異常用戶訪問行為的特征。在云計算環境下，海量用戶訪問行為具有明顯的大數據特征，用戶的操作習慣更具有多樣性和隨機性，傳統人工標記數據訓練分類模型的方式已經不能滿足云計算環境需求，如何基于用戶實時訪問行為制定自適應訪問控制策略，以期實現更細顆粒度、更靈活的控制訪問控制行為，是當前云計算服務提供商亟待考慮的問題。因此，本文綜合考慮用戶訪問行為和時空約束等影響控制策略的因素，借助用戶訪問行為數據庫和“時空切片”對用戶實時訪問行為的可信度進行動態評估，結合動態授權評估模塊和訪問控制規則模塊實現用戶動態訪問控制。

1 基于用戶訪問行為的動態訪問控制模型

針對傳統預定義的靜態訪問控制策略無法滿足現有云計算安全需求，本文將用戶訪問數據庫和時空約束引入到訪問行為可信度評估模塊中，結合動態授權管理策略模塊和訪問控制規則模塊實現云計算環境下的動態訪問控制。模型的具體細節如圖1 所示。

圖1 基于用戶訪問行為的動態訪問控制模型

圖1 展示基于用戶訪問行為的動態訪問控制的過程。具體的步驟包括：

（1）分析用戶歷史訪問行為數據，利用關聯規則挖掘用戶頻繁訪問路徑，創建訪問行為數據庫。

（2）基于用戶實時訪問行為獲取用戶實時狀態信息，引入時空約束研究用戶訪問時間和信息系統模塊的重合度來衡量用戶訪問行為的可信度，構建具有時空敏感性的訪問可信度評估模塊。

（3）根據用戶訪問可信度評估實時獲取用戶訪問存在的風險，融合動態授權管理模塊和訪問控制規則模塊對用戶訪問權限進行動態調整，從而實現用戶對云平臺訪問的動態控制。

1.1 基于關聯規則的頻繁訪問路徑挖掘

（1）用戶訪問信息系統的序列模式

設P為用戶訪問某一個信息系統的事件，用戶在一定觀察周期內訪問行為看成有序的事件集合，可以表示為：

其中(Pi∈E,1≤i≤m)，m為訪問序列的長度。

（2）頻繁訪問模式

如果訪問有序事件集合S（長度為L）的支持度大于等于給定的最小支持度閾值，幾位Support（S）≥min_sup，那么，則S稱為L階頻繁序列。

（3）基于Apriori 算法的頻繁路徑挖掘

Apriori 算法是一種由頻繁項之間產生的強關聯規則，是一種基于二階頻繁項的遞推算法。首先，根據全網用戶訪問時間的分布，設置不同的訪問時間段；然后，采用Apriori 算法對每一個時間段的每一個用戶頻繁訪問路徑進行挖掘。具體步驟如下：

步驟1：掃描數據集，根據設定的訪問行為最小支持度閾值min_sup，獲取1-項集L1。

步驟2：根據1-項集生成2-項集的候選集。

步驟3：掃描數據集，選取候選項集中大于最小支持度閾值min_sup 的2-項集。

步驟4：根據2-項集生成3-項集的候選集。

步驟5：掃描數據集，選取候選項集中大于最小支持度閾值min_sup 的3-項集。

步驟6：循環步驟4 和5，直到候選項集中大于最小支持度閾值min_sup 的k-項集為空時，算法結束。

在獲取每一個用戶頻繁訪問路徑的基礎上，利用Oracle 創建訪問行為數據庫。

1.2 構建具有時空約束的訪問可信度評估模塊

現有大多數訪問可信度評估模型沒有針對用戶時間和空間屬性的差異性進行建模，因此無法有效識別正常用戶在系統的非法行為。基于對用戶訪問行為的時空信息，利用“時空切片”的方式進行時空約束的訪問可信度計算，具體表達式為：

“時空切片”的意思是在觀察周期內將時間切為幾個時間段，然后根據每一個時間段中用戶在某個信息系統的某次訪問的時間與用戶頻繁訪問事件的平均持續時間進行比較。Ti(S)則表示用戶在第i次訪問事件的持續時間；而Tj(L)表示用戶在第j次頻繁訪問事件中的平均持續時間。

δ(Pi(S),Pj(L))=1表示用戶當前的訪問行為與頻繁路徑具有時空重合度；否則，δ(Pi(S),Pj(L))=0。ΔT表示某個時間段，本文將時間段劃分為4 段，具體請看式(3)：

“時間切片”考慮了用戶訪問行為的時間、時間長度、訪問系統分布規律等因素，構建具有嚴格時空敏感性的訪問可信度評估模塊。計算每一個時間段的訪問信任度之后，將各時段進行加權平均，獲得平均訪問信任度。

1.3 基于用戶訪問信任度和信任等級的動態訪問控制模型

在云環境下，用戶的訪問是一個漸進的過程，惡意用戶早期的行為相對規范，以方便其收集關鍵的系統信息，逐漸實現攻擊的目標，用戶訪問行為信任度的計算需要體現一系列低風險行為和高風險行為的組合。因此，本文基于訪問可信度評估模塊獲得用戶平均信任度，結合系統設置信任度閾值持續監測用戶訪問數據行為，進而對用戶平均信任度進行分級，調整用戶信任等級。

在一般系統中，用戶和角色、角色和權限存在某種對應的關系。一旦系統發現用戶信任等級發生調整，動態授權管理模塊就會根據用戶信任等級改變用戶角色并調整用戶權限；訪問控制規則模塊將對不滿足對應權限的用戶進行操作行為限制，用戶后續行為所涉及沒有授權的數據操作均顯示權限限制。因此，系統將用戶實時操作行為與用戶訪問策略結合起來，一方面通過分析用戶行為來調整用戶訪問控制策略，另一方面，通過調整用戶訪問控制策略來控制用戶行為，形成一個閉環的反饋，實現用戶訪問的動態控制和行為的持續監控。基于用戶訪問信任度和信任等級的動態訪問控制過程如圖2 所示：

圖2 基于用戶訪問信任度和信任等級的動態訪問控制過程

動態訪問控制過程如下：

（1）通過訪問行為可信度模塊得到含有時空約束的用戶訪問信任度。

（2）基于訪問控制規模模塊得出的訪問控制策略，結合含有當前時間的訪問請求，衡量當前用戶訪問信任度與訪問控制策略是否匹配，如果不匹配，則將信息告知動態授權管理模塊；相反，則直接進行正常訪問。

（3）動態授權管理模塊根據用戶信任等級改變用戶角色并調整用戶權限，進而實現動態訪問控制。

（4）系統通過信任等級調整，將用戶最新的信任等級反饋給訪問控制規則模塊，通過調整用戶訪問控制策略來控制用戶訪問行為，進而實現一個閉環的用戶訪問控制管理，實現系統對用戶訪問的動態控制和行為的持續監控。

2 實驗分析

2.1 實驗環境

實驗環境包括10 臺服務器和1 個VMware 平臺，其中服務器的配置如表1 所示：

表1 服務器配置數據表

本文的實驗思路如下：通過預先采集2 個月用戶的訪問時間和訪問序列信息，并結合這些訪問時間和訪問序列信息進行授權，當用戶發出訪問申請時，根據即時獲取的時間信息和序列信息，與已授權的時間信息和序列信息進行比對，如果匹配，那么讓用戶正常訪問；相反，如果不匹配，那么說明用戶已授權的時空信息數據發生變動，那么就引入兩種方法進行調整信任度并實現動態訪問控制，第一種方法是采用傳統的AHP 方法衡量用戶的信任度，第二種方法是基于用戶訪問行為的動態訪問控制模型。傳統的AHP 方法通過經驗法對用戶訪問控制行為指標的權重確定后，對用戶的信任度進行綜合評分，由于信任度指標的權重是固定的，因此用戶信任度的變化僅僅與指標相關；基于用戶訪問行為的動態訪問控制模型，首先采用即時獲取時間信息和序列信息與已授權時間信息和序列信息的比對結果確定用戶信任度；然后將信任度與訪問控制策略進行匹配，根據匹配結果對用戶信任等級進行調整；最后將調整后的信任等級反饋到訪問控制規模模塊中，進而調整訪問控制策略，是一個閉環反饋的動態訪問控制策略。

為了驗證所提出模型的有效性，通過v-mware 平臺虛擬出500 名用戶，該從500 名用戶中隨機選取50 名用戶為非法用戶，觀察用戶在訪問過程中出現惡意行為時，系統如何快速識別出惡意行為，分別采用上述兩種方法所得到的信任度動態調整的授權機制保證云平臺的安全。

2.2 實驗結論

為了驗證算法的可靠性，將跟蹤500 名用戶在一個月的計算周期內在云計算平臺上的交互情況，觀察隨著交互次數的增加，其信任值的變化趨勢。為了進行有效的對比，將初始信任值設置為0.5。正常用戶和非法用戶的信任值變化情況如圖3 和圖4 所示。

圖3 高價值用戶行為信任值變化趨勢

圖4 惡意用戶行為信任值變化趨勢

由圖3 和圖4 可知，高價值用戶隨著交互次數的增加，其信任值是不斷上升的。與傳統算法相比，基于本文模型計算的用戶信任速度上升得更快，信任值上升得速度更快，并且在短時間內達到穩定。而基于傳統AHP 方法計算的信任值總體上升的趨勢較為緩慢，信任值在理論的可信度范圍內有波動。惡意用戶在一開始為了獲取系統信任，其交互行為具有一定的規范性，因此，一開始惡意用戶的信任值迅速攀升，但是隨著交互次數的增加，惡意用戶對系統發起攻擊時，基于本文模型計算的信任值迅速下降，而傳統的AHP 方法總體下降的速度比較緩慢。這是因為時間信息和序列信息比對結果的敏感性遠遠大于信任度指標的敏感性。除此之外，本文模型還考慮到時空敏感性，時空約束劃分越細，那么用戶信任度的敏感性越高。因此圖3 和圖4 用戶信任值的變化規律，恰恰反映了用戶信任度在正常用戶的規范交互行為產生的放大性“激勵”作用，在惡意用戶不規范交互行為產生的放大性“懲罰”作用。即使惡意用戶已經在系統中積累一定信任度，不規范交互行為的“懲罰”作用將快速降低用戶的信任值，提升系統對用戶信任度評估的動態性。

3 結束語

本文提出了一種云計算環境下基于用戶訪問行為的動態訪問控制模型，該模型借助用戶訪問行為數據庫和“時空切片”對用戶訪問行為進行時空敏感性的信任度評估，從而實現快速增長的高可信“激勵”機制和快速下降的低可信“懲罰”機制，從而實現云環境下具有時空敏感的可信度評估模型，提升網絡的安全性。