基于網(wǎng)格的違規(guī)行為事件責(zé)任認(rèn)定研究

張尚韜

(福建信息職業(yè)技術(shù)學(xué)院，福建福州350003)

網(wǎng)格［1］是由很多計(jì)算機(jī)組成的一個(gè)集成的計(jì)算與資源環(huán)境，或者說是一個(gè)計(jì)算資源池，它能夠充分吸納各種計(jì)算資源，并將其轉(zhuǎn)化成一種隨處可得的、標(biāo)準(zhǔn)的、可靠的和經(jīng)濟(jì)的計(jì)算能力，從而實(shí)現(xiàn)資源的全面連通.同時(shí)，可以把這個(gè)計(jì)算資源池形象地比作一個(gè)虛擬的超級(jí)計(jì)算機(jī)，讓資源池內(nèi)的所有計(jì)算機(jī)共同完成同一個(gè)任務(wù).

違規(guī)行為事件的責(zé)任認(rèn)定，傳統(tǒng)手段是通過查閱系統(tǒng)操作日志、應(yīng)用程序的操作日志、調(diào)用數(shù)據(jù)庫的操作日志、審計(jì)其他設(shè)備的操作日志來反映正常操作行為和違規(guī)操作行為的責(zé)任認(rèn)定問題.本文中涉及的違規(guī)行為事件責(zé)任認(rèn)定主要是對(duì)網(wǎng)格環(huán)境中的違規(guī)行為，而這些違規(guī)行為主要記錄在網(wǎng)格系統(tǒng)的日志文件中，但由于各種操作系統(tǒng)日志、Web服務(wù)器日志、數(shù)據(jù)庫日志、主機(jī)性能數(shù)據(jù)和SNMP(Simple Network Management Protocol，簡單網(wǎng)絡(luò)管理協(xié)議)日志數(shù)量巨大，并且對(duì)于不同的協(xié)議將記錄不同的信息，所以在很大程度上，這些分散的、凌亂的信息在工作中很難被有效地用來進(jìn)行責(zé)任認(rèn)定，也一直是整個(gè)信息安全建設(shè)中的一個(gè)軟肋.因此，在對(duì)日志數(shù)據(jù)庫中的日志信息進(jìn)行違規(guī)事件責(zé)任認(rèn)定之前，必須對(duì)日志信息進(jìn)行相關(guān)的處理，生成適于事件責(zé)任認(rèn)定的形式.

1 日志數(shù)據(jù)處理

日志文件通常包括:用戶名、IP地址、請(qǐng)求的日期時(shí)間、事件ID、訪問結(jié)果(成功、失敗或錯(cuò)誤)、客戶瀏覽器類型/操作系統(tǒng)和文件大小等.日志數(shù)據(jù)處理就是對(duì)日志數(shù)據(jù)進(jìn)行清理、過濾以及重新組合的過程.其目的是去除日志中對(duì)挖掘過程無用的屬性及數(shù)據(jù)，并將日志數(shù)據(jù)轉(zhuǎn)化為適合于違規(guī)行為事件責(zé)任認(rèn)定的、可靠的、精確的數(shù)據(jù).處理過程主要包括如下幾個(gè)方面:

1)數(shù)據(jù)轉(zhuǎn)換 將不同數(shù)據(jù)源的原始日志文件導(dǎo)入日志數(shù)據(jù)庫;

2)數(shù)據(jù)精簡 刪除日志中與數(shù)據(jù)挖掘不相關(guān)的冗余項(xiàng);

3)用戶識(shí)別 將用戶與操作行為相關(guān)聯(lián).

歸納常見日志文件格式，數(shù)據(jù)處理后的日志格式如表1所示.

表1 數(shù)據(jù)處理后的日志文件格式

表1中，日期、時(shí)間項(xiàng)記錄了操作的準(zhǔn)確時(shí)間，用戶項(xiàng)記錄了操作的主體，IP地址項(xiàng)記錄了操作主機(jī)使用的IP地址，事件ID項(xiàng)記錄了操作的內(nèi)容(例如，表1中129表明報(bào)表服務(wù)器無法解密已加密的配置文件設(shè)置;681表明有人用未知的用戶名進(jìn)行了域登錄嘗試，或者用已知的用戶名進(jìn)行了登錄域，但密碼不正確;685表示賬戶名更改)，類型項(xiàng)記錄了該日志信息的類別(信息、警告、錯(cuò)誤)，備注項(xiàng)是可選項(xiàng)，用于對(duì)記錄的日志進(jìn)行補(bǔ)充說明(例如，在記錄電子郵件日志時(shí)，可以在備注中表明目的IP地址、郵件主題等信息).

2 責(zé)任認(rèn)定算法研究

對(duì)于網(wǎng)格環(huán)境中違規(guī)行為事件的責(zé)任認(rèn)定，主要采用聚類分析算法對(duì)日志數(shù)據(jù)庫中的日志信息進(jìn)行聚類，然后運(yùn)用關(guān)聯(lián)規(guī)則算法，找出用戶的正常/違規(guī)行為模式，將用戶當(dāng)前行為與正常/違規(guī)行為模式進(jìn)行相似度比較，發(fā)現(xiàn)違規(guī)行為事件，進(jìn)行責(zé)任認(rèn)定.下面分別介紹2種算法.

2.1 日志聚類分析算法 聚類［2－3］是把整個(gè)數(shù)據(jù)庫分成不同的群組，它要求群與群之間差別很明顯，而同群之間的數(shù)據(jù)盡量相似.所謂類，通俗地說，就是指相似元素的集合.換句話說，如果將含有n個(gè)樣本x1，x2，…，xn的數(shù)據(jù)集 X 聚集成 c個(gè)子類 X1，X2，…，Xc，則要求

聚類就是根據(jù)描述對(duì)象的屬性值計(jì)算得出的相異度，將數(shù)據(jù)對(duì)象分組成為多個(gè)類或簇，在同一個(gè)簇中的對(duì)象之間具有較高的相似度，而不同簇中的對(duì)象差別較大.聚類分析中用到的數(shù)據(jù)類型有:

1)數(shù)據(jù)矩陣［4－5］設(shè)有n個(gè)樣品，每個(gè)樣品測(cè)得p項(xiàng)指標(biāo)(變量)，原始資料矩陣為

其中，xij(i=1，…，n;j=1，…，p)為第i個(gè)樣品的第j個(gè)指標(biāo)的觀測(cè)數(shù)據(jù).第i個(gè)樣品Xi為矩陣X的第i行所描述，所以任何2個(gè)樣品Xk與Xi之間的相似性，可以通過矩陣X中的第k行與第i行的相似程度來刻畫;任何2個(gè)變量xk與xi之間的相似性，可以通過第k列與第i列的相似程度來刻畫.

2)相似性度量 對(duì)象間的相似性是基于對(duì)象間的距離來計(jì)算，最常用的距離度量方法是明氏(Minkowski)距離［6］、馬氏(Mahalanobis)距離［7］、蘭氏(Canberra)距離等.

3)相似系數(shù) 研究樣品之間的關(guān)系，除了使用距離表示外，還有相似系數(shù).顧名思義，相似系數(shù)是描寫樣品之間相似程度的量，常用的相似系數(shù)有夾角余弦和相關(guān)系數(shù).

本文中對(duì)日志數(shù)據(jù)庫中的日志信息進(jìn)行聚類分析時(shí)采用的思路是:

給定一個(gè)有N條記錄的數(shù)據(jù)集，將其構(gòu)造成M個(gè)分組，每一個(gè)分組就代表一個(gè)聚類，M＜N.而且這M個(gè)分組滿足下列條件:

1)每一個(gè)分組至少包含一條數(shù)據(jù)紀(jì)錄;

2)每一條數(shù)據(jù)紀(jì)錄屬于且僅屬于一個(gè)分組;

3)對(duì)于給定的M，算法首先給出一個(gè)初始的分組方法，以后通過反復(fù)迭代的方法改變分組，使得每一次改進(jìn)之后的分組方案都較前一次好.好的標(biāo)準(zhǔn)就是同一分組中的記錄越近越好，而不同分組中的紀(jì)錄越遠(yuǎn)越好，即各聚類本身盡可能的緊湊，而各聚類之間盡可能的分開.

算法過程為:首先從日志數(shù)據(jù)庫中選擇M個(gè)有代表性的數(shù)據(jù)對(duì)象(訪問模式、IP地址、用戶名)作為初始聚類中心，而對(duì)于所剩下其他對(duì)象，則根據(jù)它們與這些聚類中心的相似度(距離)，分別將它們分配給與其最相似的聚類;然后再計(jì)算每個(gè)所獲新聚類的聚類中心(該聚類中所有對(duì)象的均值);不斷重復(fù)這一過程直到標(biāo)準(zhǔn)測(cè)度函數(shù)(即迭代結(jié)果)開始收斂為止.

2.2 關(guān)聯(lián)規(guī)則責(zé)任認(rèn)定算法 關(guān)聯(lián)規(guī)則［8－9］數(shù)據(jù)挖掘就是從大量的數(shù)據(jù)中挖掘出有價(jià)值的描述數(shù)據(jù)項(xiàng)之間相互聯(lián)系的有關(guān)知識(shí)［10］.關(guān)聯(lián)規(guī)則相關(guān)定義為:

1)數(shù)據(jù)項(xiàng)與數(shù)據(jù)項(xiàng)集 設(shè)I={I1，I2，…，In}是n個(gè)不同項(xiàng)目的集合，Ik(k=1，…，n)稱為數(shù)據(jù)項(xiàng)(I-tem)，數(shù)據(jù)項(xiàng)的集合I稱為數(shù)據(jù)項(xiàng)集(Item set)，簡稱項(xiàng)集，其元素個(gè)數(shù)稱為數(shù)據(jù)項(xiàng)集的長度，長度k的數(shù)據(jù)項(xiàng)集，簡稱k－項(xiàng)集(k-Item set).

2)事務(wù) 事務(wù)T(Transaction)是數(shù)據(jù)項(xiàng)集I上的一個(gè)子集，即T?I，每個(gè)事務(wù)均有一個(gè)惟一的標(biāo)示符TID與之關(guān)聯(lián)，那么二元組(TID，T)為數(shù)據(jù)庫事務(wù).一般情況下，簡單表示為T，不同事物的全體構(gòu)成了全體事務(wù)集D，即事務(wù)數(shù)據(jù)庫.

3)關(guān)聯(lián)規(guī)則 設(shè)I={I1，I2，…，In}是所有項(xiàng)的集合，D是一組事務(wù)集.D中的每個(gè)事務(wù)T是一個(gè)項(xiàng)的集合，并且滿足T?I.如果項(xiàng)集合X?I且X?T，就稱事務(wù)T包含X.則關(guān)聯(lián)規(guī)則是下面形式的一種包含:X?Y，其中 X?I，Y?I，且 X∩Y= φ.

4)支持度 關(guān)聯(lián)規(guī)則X?Y在事務(wù)集合D中成立，則具有支持度s，其中s是D中事務(wù)包含X∪Y的百分比，它等于D中同時(shí)包含X和Y的事務(wù)個(gè)數(shù)與D中包含X的事務(wù)個(gè)數(shù)之比，即概率P(X∪Y).

5)置信度 規(guī)則X?Y在事務(wù)D中的置信度c為D中包含X的事務(wù)個(gè)數(shù)與D中同時(shí)包含X和Y的事務(wù)個(gè)數(shù)之比，即條件概率P(X|Y).即

在關(guān)聯(lián)規(guī)則R中，R=X?Y，R的支持度s，置信度c成立的條件是

6)頻繁項(xiàng)集 如果項(xiàng)集U={u1，u2，…，um}出現(xiàn)的概率大于最小支持基數(shù)min_sup，即滿足最小支持度閾值，則稱它為頻繁項(xiàng)集(Frequent Item set)，頻繁k－項(xiàng)集的集合通常記為Lk.

關(guān)聯(lián)規(guī)則挖掘是數(shù)據(jù)挖掘最常用的方法，為了發(fā)現(xiàn)有意義的關(guān)聯(lián)規(guī)則，需要給定2個(gè)閾值，分別是最小支持度和最小置信度，關(guān)聯(lián)規(guī)則的目標(biāo)是對(duì)給定的一個(gè)事務(wù)數(shù)據(jù)庫D，求出所有滿足最小支持度min_sup和最小置信度min_conf的關(guān)聯(lián)規(guī)則.關(guān)聯(lián)規(guī)則的查找可以分為以下步驟:

1)找出頻繁項(xiàng)集 根據(jù)最小支持度min_sup，找出所有具有超出最小支持度的項(xiàng)集;

2)利用頻繁項(xiàng)集找出所需的關(guān)聯(lián)規(guī)則 由給定的最小置信度min_conf，在每個(gè)最大頻繁項(xiàng)集中，尋找置信度不小于min_conf的關(guān)聯(lián)規(guī)則.

本文中關(guān)聯(lián)規(guī)則的提取是在聚類分析的基礎(chǔ)上完成的，將經(jīng)過聚類分析后產(chǎn)生的日志信息分組并進(jìn)行關(guān)聯(lián)規(guī)則提取，找出每一組中存在的關(guān)聯(lián)規(guī)則，然后將發(fā)現(xiàn)的關(guān)聯(lián)規(guī)則存入規(guī)則庫中.以此，總結(jié)出用戶正常行為模式/違規(guī)行為模式，同時(shí)，通過關(guān)聯(lián)規(guī)則方法的處理，可以把發(fā)現(xiàn)的正常行為模式/違規(guī)行為模式轉(zhuǎn)化成新的規(guī)則，并添加到規(guī)則庫中，使得規(guī)則集合不斷完善，如此將各種審計(jì)數(shù)據(jù)轉(zhuǎn)換成規(guī)則集合中的新規(guī)則，既避免了人工設(shè)置新規(guī)則的繁瑣和人為不確定因素，又避免了數(shù)據(jù)量過大對(duì)原始規(guī)則集合不完善性的沖擊.此后，將當(dāng)前行為模式與關(guān)聯(lián)規(guī)則提取后生成的正常行為模式/違規(guī)行為模式進(jìn)行相似度算法比較，便可以判斷當(dāng)前行為是否是違規(guī)行為，如果是違規(guī)行為事件就對(duì)其進(jìn)行記錄和跟蹤，以作為責(zé)任認(rèn)定的依據(jù).

3 違規(guī)行為事件責(zé)任認(rèn)定

本文提出了2種方法來對(duì)日志數(shù)據(jù)庫中記錄的信息進(jìn)行違規(guī)事件責(zé)任認(rèn)定，一是采用規(guī)則庫的方法發(fā)現(xiàn)存在的違規(guī)行為事件，二是采用關(guān)聯(lián)規(guī)則的方法發(fā)現(xiàn)潛在的違規(guī)行為事件.

3.1 已知違規(guī)行為事件責(zé)任認(rèn)定 對(duì)于已知違規(guī)行為事件的責(zé)任認(rèn)定采用基于規(guī)則庫審計(jì)的方法.該方法需要知道違規(guī)行為的具體知識(shí)，將已知的違規(guī)行為進(jìn)行特征提取，把這些特征用腳本語言等方法進(jìn)行描述后放入規(guī)則庫中.當(dāng)進(jìn)行責(zé)任認(rèn)定時(shí)，將收集到的當(dāng)前行為日志信息與這些規(guī)則進(jìn)行某種比較和匹配(表達(dá)式、關(guān)鍵字等)，如果與規(guī)則庫中的規(guī)則一致，則可以判斷出該行為為違規(guī)行為事件，從而發(fā)現(xiàn)違規(guī)行為，并對(duì)此違規(guī)行為事件進(jìn)行記錄和跟蹤，為事后的責(zé)任認(rèn)定進(jìn)行取證.這種方法與某些殺毒軟件、防火墻的技術(shù)思路相似，檢測(cè)的準(zhǔn)確率也相當(dāng)高，可以通過簡單的比較匹配方法過濾大量的不相關(guān)數(shù)據(jù)信息，但是其不足之處在于規(guī)則庫中記錄的規(guī)則一般只針對(duì)已知的違規(guī)行為，當(dāng)出現(xiàn)新的違規(guī)行為時(shí)，容易產(chǎn)生漏報(bào)現(xiàn)象［11］.

3.2 潛在違規(guī)行為事件責(zé)任認(rèn)定 為了解決基于規(guī)則庫的方法容易產(chǎn)生漏報(bào)現(xiàn)象的問題，筆者采用了基于關(guān)聯(lián)規(guī)則的方法發(fā)現(xiàn)潛在的違規(guī)行為事件.該方法主要包括正常行為模式建立和違規(guī)行為事件判斷2個(gè)過程.正常行為模式的建立要求一個(gè)“純凈”的網(wǎng)格環(huán)境，該環(huán)境中系統(tǒng)在不受任何違規(guī)行為攻擊的情況下運(yùn)行，以此對(duì)產(chǎn)生的“純凈”日志信息采用聚類分析和關(guān)聯(lián)規(guī)則數(shù)據(jù)挖掘算法進(jìn)行審計(jì)，提取正常行為特征，生成正常行為模式，然后將用戶當(dāng)前行為與正常行為模式采用相似度算法進(jìn)行比較，如果偏差較大，則說明該行為具有違規(guī)的可能.

相似度算法采用加權(quán)的方式將當(dāng)前行為模式與正常行為模式進(jìn)行比較，加權(quán)的值設(shè)定在［0～1］，如果兩者比較的值越接近1，則說明2種行為模式越相似.與此同時(shí)，設(shè)定一個(gè)可以接受的相似度值，如果加權(quán)值超過該設(shè)定值，則認(rèn)為該行為模式為正常行為，如果小于該值則認(rèn)為該行為具有潛在違規(guī)可能.用表達(dá)式可以描述為

其中，CRj表示關(guān)聯(lián)規(guī)則Rj的置信度.

采用關(guān)聯(lián)規(guī)則和相似度算法將當(dāng)前行為模式與正常行為模式進(jìn)行對(duì)比，當(dāng)結(jié)果超過設(shè)定范圍的時(shí)候，就認(rèn)為這些行為具有潛在的違規(guī)行為，這樣既解決了對(duì)未知違規(guī)行為的判定，又避免了漏報(bào)問題的發(fā)生.

表2是日志數(shù)據(jù)庫中的部分日志信息經(jīng)過統(tǒng)一格式處理后，采用簡單的明氏(Minkowski)距離聚類分析算法計(jì)算后生成的日志信息表格，其聚類中心是用戶名xx，然后對(duì)其進(jìn)行關(guān)聯(lián)規(guī)則數(shù)據(jù)挖掘，生成關(guān)聯(lián)規(guī)則，提取正常行為模式，并將當(dāng)前行為模式與正常行為模式進(jìn)行相似度比較，判斷違規(guī)行為事件，進(jìn)行責(zé)任認(rèn)定.

表2 聚類分析后的部分日志信息

為了便于統(tǒng)計(jì)，將日期與時(shí)間項(xiàng)簡化記錄為A(08:00:00～12:00:00)、P(12:00:00～18:00:00)、E(18:00:00～08:00:00)，因?yàn)橹皇墙y(tǒng)計(jì)上午、下午、晚上，所以日期省略;IP地址簡化記錄為P1(192.168.3.1)、P2(192.168.3.11)，事件 ID項(xiàng)簡化記錄為 I1(528)、I2(530)、I3(540);備注項(xiàng)簡化記錄為 F(失敗)、S(成功)，則經(jīng)過掃描產(chǎn)生候選集C1如下.

A P E P1 P2 I1 I2 I3F S 8 0 3 7 3 5 2 3 2 8

設(shè)最小支持度min_sup=20%，則產(chǎn)生候選集L1如下.

A E P1 P2 I1 I3S 8 3 7 3 5 3 8

同理，產(chǎn)生候選集L2，L3如下，其中S還是表示成功.

(A，P1) (A，I1) (A，I3) (A，S) (P1，I1) (P1，I3) (P1，S) (I1，S) (I3，S)7 4 3 7 5 3 7 5 3(A，P1，I1)(A，P1，I3)(A，P1，S)(A，I1，S)(A，I3，S)4 3 7 4 3

因?yàn)锳表示(08:00:00～12:00:00)上午，P1表示(192.168.3.1)，I3表示(540)，S表示成功，因此由上表 (A，P1，I3)，(A，P1，S)可以得出，支持度 s分別為 30% 和 70%，(A，P1，I3)產(chǎn)生如下關(guān)聯(lián)規(guī)則

其中，支持度是說明該規(guī)則在所有事務(wù)中有多大的代表性，顯然支持度越高，關(guān)聯(lián)規(guī)則越重要.置信度是說明該規(guī)則的可信性，太低說明該規(guī)則不可信，太高說明存在普遍性.

例 有以下正常行為模式關(guān)聯(lián)規(guī)則

假設(shè)當(dāng)前行為模式R4(R4=R1，當(dāng)前行為R4是正常行為模式的一個(gè)子集):A∩B?C與正常行為模式的相似度為(0.45+0.75+0.60)/3=0.60，如果設(shè)定的最小相似度為0.5，則當(dāng)前行為模式被認(rèn)為是正常行為模式(0.6＞0.5);如果設(shè)定的最小相似度為0.7，則當(dāng)前行為模式就被認(rèn)為是違規(guī)行為.

4 小結(jié)

對(duì)于確認(rèn)的違規(guī)行為事件，筆者將依時(shí)間順序回溯事件發(fā)生流程，重現(xiàn)事件過程，并以事件發(fā)生地點(diǎn)、事件以及行為主體的關(guān)聯(lián)形式給出表格報(bào)告，并加以安全存儲(chǔ)，以作證據(jù)進(jìn)行責(zé)任認(rèn)定.

［1］FOSTER I，KESSELMAN C.網(wǎng)格計(jì)算［M］.金海，袁平鵬，石柯，譯.北京:電子工業(yè)出版社，2004:1－20.

［2］張昭濤.數(shù)據(jù)挖掘聚類算法研究［D］.成都:西南交通大學(xué)，2005.

［3］張磊.數(shù)據(jù)挖掘聚類算法研究與系統(tǒng)設(shè)計(jì)［D］.成都:電子科技大學(xué)，2003.

［4］李強(qiáng).基于支持向量機(jī)的文本分類方法研究［D］.西安:西安科技大學(xué)，2009.

［5］平源.基于支持向量機(jī)的聚類及文本分類研究［D］.北京:北京郵電大學(xué)，2012.

［6］黃林峰，羅文堅(jiān)，王煦法.高維多目標(biāo)進(jìn)化算法中的密度評(píng)估策略研究［J］.中國科學(xué)技術(shù)大學(xué)學(xué)報(bào)，2011(4):353－361.

［7］張君，薄華，王曉峰.基于改進(jìn)譜聚類的合成孔徑雷達(dá)溢油圖像分割算法［J］.上海海事大學(xué)學(xué)報(bào)，2011(3):68－73.

［8］馬強(qiáng).關(guān)聯(lián)規(guī)則挖掘算法研究和應(yīng)用［D］.太原:太原理工大學(xué)，2004.

［9］孫金華.基于關(guān)聯(lián)規(guī)則的Web日志數(shù)據(jù)挖掘研究與實(shí)現(xiàn)［D］.南昌:南昌大學(xué)，2007.

［10］IBM Corp.International Technical Support Organization Introduction to Grid Computing with Globus［S］.2003:131 －145.

［11］NAGGER R.Windows NT File System Internals:A Developer’s Guide［M］.1st ed.［S.l.］:O'Reilly，1997，9:123 －165.