本發(fā)明涉及計算機(jī)存儲與信息安全�����,尤其是涉及一種云存儲系統(tǒng)的高級持續(xù)性攻擊的檢測方法���。
背景技術(shù):
為滿足迅速增長的移動數(shù)據(jù)量和用戶計算需求����,云計算技術(shù)通過互聯(lián)網(wǎng)提供了動態(tài)的數(shù)據(jù)接入、存儲和計算服務(wù)�。隨著金融支付等業(yè)務(wù)的廣泛應(yīng)用,云存儲系統(tǒng)承載了大量的用戶金融支付和私人文件等隱私敏感性數(shù)據(jù)��,因此����,云存儲系統(tǒng)的安全性和隱私性成為制約其未來發(fā)展的關(guān)鍵因素。
目前云存儲安全方面廣泛研究的技術(shù)包括云存儲的重復(fù)數(shù)據(jù)刪除��、隱藏存儲���、數(shù)據(jù)加密與密文搜索以及數(shù)據(jù)完整性審計等���,以上技術(shù)在防御惡意用戶或服務(wù)器發(fā)起的惡意攻擊上也有深入研究。如:[Bellare M,Keelveedhi S,Ristenpart T.Dupless:Server-aided encryption for deduplicated storage[C]//Proceedings of the 22nd USENIX Conference on Security.Washigton D C:USENIX Association,2013:179-194]提出在服務(wù)器端的重復(fù)數(shù)據(jù)刪除方案中引入密鑰管理服務(wù)器來抵御暴力攻擊���;[Puzio P,Molva R,Onen M,et al.ClouDedup:Secured deduplication with encrypted data for cloud storage[C]//IEEE 5th International Conference on Cloud Computing Technology and Science(CloudCom).Bristol:IEEE,2013:363-370.]設(shè)計了云存儲系統(tǒng)下的數(shù)據(jù)塊級重復(fù)數(shù)據(jù)刪除方案在收斂加密的基礎(chǔ)上引入了額外的加密操作和接入控制機(jī)制以抵御字典攻擊��。[Jung T,Li X Y,Wan Z,et al.Control cloud data access privilege and anonymity with fully anonymous attribute-based encryption[J].IEEE Transactions on Information Forensics and Security,2015,10(1):190-199.]提出采用隱藏轉(zhuǎn)移算法保護(hù)用戶的身份信息����,以抵御惡意用戶間串謀攻擊�。中國專利CN103095847B公開一種云存儲系統(tǒng)安全保障方法及其系統(tǒng)����,采用證據(jù)方式和基于屬性加密的訪問控制機(jī)制����,實(shí)現(xiàn)了高效��、可擴(kuò)展的訪問控制�����,解決了云存儲的海量用戶訪問海量數(shù)據(jù)的訪問權(quán)限控制復(fù)雜的問題����,為云存儲系統(tǒng)提供了安全保障。
近年來出現(xiàn)的高級持續(xù)性威脅(APT)具有攻擊持續(xù)性���、高隱蔽性�、長期潛伏等特性����,傳統(tǒng)的網(wǎng)絡(luò)防御方法無法有效地抵御APT攻擊,因此云存儲系統(tǒng)很容易受到這種攻擊��。為了應(yīng)對云計算下APT攻擊,各國政府陸續(xù)制定和出臺一系列相關(guān)政策來確保國家安全�,國內(nèi)外針對APT攻擊的防御產(chǎn)品及方案不斷涌現(xiàn)。例如美國政府大力支持的FireEye公司推出的APT防御產(chǎn)品�����,利用沙箱技術(shù)和靜態(tài)分析防止0day漏洞����、未知型攻擊、木馬程序�����;趨勢科技的APT產(chǎn)品Deep Discovery利用沙盒技術(shù)�����、關(guān)聯(lián)規(guī)則等技術(shù)��,能有效防止含文件漏洞攻擊附件的電子郵件�、0day漏洞、僵尸程序�、蠕蟲等攻擊。
現(xiàn)有的APT防御產(chǎn)品和方案各有側(cè)重���,并不能有效地防御所以的APT攻擊���。[M.van Dijk,A.Juels,A.Oprea,and R.L.Rivest,“Flipit:The game of stealthy takeover”,J.Cryptology,vol.26,no.4,pp 655–713,2013.]提出可將博弈論用于捕捉APT的隱形入侵訪問特性��,防御者和攻擊者通過建立博弈模型來決定防御及攻擊行為。但APT攻擊行為常受攻擊者主觀性影響����,攻擊行為的不確定性,增加了攻擊檢測的難度�。
技術(shù)實(shí)現(xiàn)要素:
本發(fā)明的目的是著眼于解決云存儲系統(tǒng)安全問題,針對高級持續(xù)性攻擊提供不需預(yù)知具體的高級持續(xù)性攻擊模型��,采用強(qiáng)化學(xué)習(xí)方法���,可實(shí)現(xiàn)最優(yōu)的設(shè)備掃描時間間隔�,可抑制攻擊者的攻擊動機(jī)���,降低攻擊頻率�,提高云存儲的數(shù)據(jù)隱私性能的一種云存儲系統(tǒng)的持續(xù)性攻擊的檢測方法���。
本發(fā)明包括以下步驟:
1)防御系統(tǒng)將掃描時間間隔x量化為M個等級��,x∈X=[am]1≤m≤M���,其中0<am≤1�;再觀察云存儲設(shè)備受到攻擊的攻擊時間間隔和持續(xù)時間等信息�,將攻擊時間間隔y與持續(xù)時間z量化為L個等級,y∈[bl]1≤l≤L�,z∈[bl]1≤l≤L,其中0<bl≤1�,M表示防御間隔的非零量化級;
2)初始化Q值矩陣為0��,Q值矩陣即Q(s,x)��,表示在防御系統(tǒng)的每一個可用狀態(tài)s���,對于所有可選擇的掃描時間間隔x分配一個對應(yīng)的Q值�;其中防御系統(tǒng)的狀態(tài)s為上一時刻狀態(tài)的攻擊時間間隔與持續(xù)時間之和y+z����;設(shè)置折扣因子δ(0≤δ≤1)和學(xué)習(xí)因子γ(0<γ≤1);
3)防御系統(tǒng)根據(jù)上一時刻狀態(tài)觀察的攻擊時間間隔與持續(xù)時間和更新當(dāng)前狀態(tài)s�;
4)防御系統(tǒng)以1-ε(0<ε<1)的概率,選擇具有最大Q值的掃描時間間隔時間��,以的概率隨機(jī)選擇其他的掃描時間間隔,并根據(jù)選擇的掃描時間間隔對云存儲設(shè)備進(jìn)行檢測����;
5)觀察當(dāng)前時刻狀態(tài)下的攻擊時間間隔與持續(xù)時間之和y+z,獲取防御系統(tǒng)單位時間所獲收益G����,計算當(dāng)前狀態(tài)下的即時效益uD,公式如下:
6)防御系統(tǒng)根據(jù)公式:
更新Q值�����。s'為防御系統(tǒng)的下一時刻狀態(tài)��,假設(shè)下一時刻狀態(tài)與當(dāng)前時刻狀態(tài)相同�;是防御系統(tǒng)在下一時刻狀態(tài)下所有可選的掃描時間間隔x'對應(yīng)的Q值中的最大值����;
7)重復(fù)步驟3)~6),直到滿足|Q(s,x)-Q(s′,x′)|≤0.01��,即Q(s,x)收斂�����。
本發(fā)明能夠根據(jù)高級持續(xù)性攻擊在云存儲設(shè)備的攻擊時間間隔和持續(xù)時間等信息,設(shè)計可適應(yīng)動態(tài)網(wǎng)絡(luò)和攻擊模式的檢測方案�。
在步驟1)中,所述防御系統(tǒng)可為云平臺的所有云存儲設(shè)備提供檢測服務(wù)�����,為每個云存儲設(shè)備獨(dú)立選擇掃描間隔時間����。
在步驟5)中,所述即時效益是掃描間隔時間內(nèi)云存儲設(shè)備安全時間效益與檢測時間收益之和���。
本發(fā)明充分利用了防御者與攻擊者間的行為博弈��,不需預(yù)知具體的高級持續(xù)性攻擊模型����,通過強(qiáng)化學(xué)習(xí)方法使得防御系統(tǒng)能夠根據(jù)攻擊者行為動態(tài)地調(diào)整掃描時間間隔��,從而抑制攻擊者的攻擊行為�,降低攻擊頻率,提高云存儲的數(shù)據(jù)隱私性能�。
與現(xiàn)有的攻擊檢測方法不同,本發(fā)明提出一種云存儲系統(tǒng)的高級持續(xù)性攻擊的檢測方法。在未知具體的高級持續(xù)性攻擊模型情況下����,通過強(qiáng)化學(xué)習(xí)使得防御系統(tǒng)能夠根據(jù)高級持續(xù)性攻擊在云存儲設(shè)備的攻擊時間間隔和持續(xù)時間等信息,設(shè)計可適應(yīng)動態(tài)網(wǎng)絡(luò)和攻擊模式的檢測方案�����。該方法可抑制攻擊者的攻擊動機(jī)�,降低攻擊頻率,提高云存儲的數(shù)據(jù)隱私性能�。
具體實(shí)施方式
以下實(shí)施例將對本發(fā)明作進(jìn)一步說明。
本發(fā)明實(shí)施例包含以下步驟:
1)防御系統(tǒng)將掃描時間間隔x量化為10個等級�,x∈X=[0.1,0.2,..,1]。同時觀察云存儲設(shè)備受到攻擊的攻擊時間間隔和持續(xù)時間等信息���,將攻擊間隔y與持續(xù)時間z量化為10個等級,y∈[0.1,0.2,..,1]��,z∈[0.1,0.2,..,1]�。所述防御系統(tǒng)為云平臺的所有云存儲設(shè)備提供檢測服務(wù),為每個云存儲設(shè)備獨(dú)立選擇掃描間隔時間���。
2)初始化Q值矩陣為0�����,Q值矩陣即Q(s,x)�,表示在防御系統(tǒng)的每一個可用狀態(tài)s,對于所有可選擇的掃描時間間隔x分配一個對應(yīng)的Q值����;其中防御系統(tǒng)的狀態(tài)s為上一時刻狀態(tài)的攻擊時間間隔與持續(xù)時間之和y+z;設(shè)置折扣因子δ=0.6和學(xué)習(xí)因子γ=0.8���。
3)防御系統(tǒng)以1-ε(0<ε<1)的概率����,選擇具有最大Q值的掃描時間間隔時間�,以的概率隨機(jī)選擇其他的掃描時間間隔,并根據(jù)選擇的掃描時間間隔對云存儲設(shè)備進(jìn)行檢測�����。
5)觀察當(dāng)前時刻狀態(tài)下的攻擊時間間隔與持續(xù)時間之和y+z��,獲取防御系統(tǒng)單位時間所獲收益G��,計算當(dāng)前狀態(tài)下的即時效益uD���,公式如下:
所述即時效益是掃描間隔時間內(nèi)云存儲設(shè)備安全時間效益與檢測時間收益之和�����。
6)防御系統(tǒng)根據(jù)公式:
更新Q值�。s'為防御系統(tǒng)的下一時刻狀態(tài),假設(shè)下一時刻狀態(tài)與當(dāng)前時刻狀態(tài)相同�;是防御系統(tǒng)在下一時刻狀態(tài)下所有可選的掃描時間間隔x'對應(yīng)的Q值中的最大值。
7)重復(fù)步驟3)~6)��,直到滿足|Q(s,x)-Q(s′,x′)|≤0.01����,即Q(s,x)收斂。
本發(fā)明能夠根據(jù)高級持續(xù)性攻擊在云存儲設(shè)備的攻擊時間間隔和持續(xù)時間等信息��,設(shè)計可適應(yīng)動態(tài)網(wǎng)絡(luò)和攻擊模式的檢測方案�����。