[发明专利]一种IaaS云环境下面向内部威胁的行为追溯检测方法

说明书

本发明公开一种面向内部威胁的行为追溯检测方法，解决现有技术中存在的对IaaS云环境中恶意调用云服务内部威胁无法判断来源以及无法应对未知威胁的现象，该方法采用行为追溯的检测思想，对云环境中用户访问数据的流程进行多节点关联分析，得出用户各种合法操作的正常行为树，接着与采集到的行为信息进行行为追溯匹配，通过对行为树的完整性分析检测出恶意威胁。

技术领域

本发明属于云计算安全技术领域，具体涉及IaaS云环境下面向内部威胁的行为追溯检测方法。该方法采用行为追溯的检测思想，在云环境中，对用户访问数据的流程进行多节点关联分析得出用户各种合法操作的正常行为树，接着与采集到的行为信息进行行为追溯匹配，通过对行为树的完整性分析检测出恶意威胁。

背景技术

云环境是一个包含大量可用虚拟计算资源例如硬件、开发平台以及I/O服务的资源池，能够动态创建高度虚拟的资源，以服务的形式提供给租户按需计费使用。现有的云计算平台可以按照不同的服务层次分类，设施基础即服务(Infrastructure as a Service，IaaS)是其中尤为重要的一种，即云服务提供商提供给租户的计算资源为包括处理器、内存、磁盘等在内的抽象硬件即虚拟机。云计算虽然给租户提供了方便的计算、存储服务，但除了传统环境下的安全问题，同时也诞生了一些重要的新型安全问题。其中在IaaS服务中，由于租户使用的云虚拟机以镜像文件的方式存放于云端，云服务提供商控制着用户数据的管理接口，一旦某个企业员工得到访问公司云的权限，那么所有的东西都可能被提取，从客户数据到机密信息以及知识产权。具体的在IaaS云环境中面临的典型内部威胁场景如图1所示，在1、2、3点处内部人员利用自身特权调用云服务各个接口完成对用户数据的访问或篡改。这些来自于云服务商内部员工盗取公司数据的威胁不管对于企业还是个人都带来了很大的风险。因此，IaaS云环境下对抗内部人员攻击的用户数据访问行为检测已成为当前云计算和虚拟化技术发展亟待解决的关键问题。然而，当前的应对内部威胁的安全检测方法多采用机器学习和嵌套虚拟化的底层信息监控的技术，其中机器学习的方法只能对已经出现的恶意行为进行特征采集分类，无法识别未知威胁，而嵌套虚拟化的监控技术仅对云服务单个节点的接口行为进行检测，无法溯源跨多个节点的云服务用户数据访问行为，不易判断当前数据访问是否为用户发出的合法请求。因此考虑到多个节点和接口的云服务恶意调用情形，需要提出面向内部威胁的行为追溯检测方法，对每个用户数据访问行为进行溯源分析，从而识别出恶意威胁。

发明内容

针对现有技术中存在的对IaaS云环境中恶意调用云服务内部威胁无法判断来源以及无法应对未知威胁的现象，本发明提出一种面向内部威胁的行为追溯检测方法。该方法采用行为追溯的检测思想，对云环境中用户访问数据的流程进行多节点关联分析，得出用户各种合法操作的正常行为树，接着与采集到的行为信息进行行为追溯匹配，通过对行为树的完整性分析检测出恶意威胁。

为实现上述目的，本发明采用如下的技术方案一种IaaS云环境下面向内部威胁的行为追溯检测方法，包括步骤如下：

步骤1：用户行为树构建模块对IaaS云环境源码进行分析，从用户层发起请求至实施节点虚拟化层为止，对每一层的接口源码中行为相关的函数调用关键字进行分析，得到每个层次服务接口的层次关键字，组成层次关键字库。

步骤2：用户行为树构建模块再次对IaaS云环境源码进行多层关联分析。首先在用户层选定一个相关操作并创建行为树根节点，每遍历到一个层次的接口源码，就取出当前函数与步骤1中得到的对应层次关键字库中关键字进行比较，若为行为关键字则加入至行为树子节点之中，结束当前层次之后根据当前层次行为节点继续向下层遍历，直至没有对应的行为关键字或已建立一颗完整的行为树。

步骤3：行为信息采集模块在计算服务接口、远程调用接口、管理实施接口、虚拟化管理接口等多层接口上设置云服务行为追溯点，在接口调用前输出时间节点和动作信息；在虚拟化进程处使用操作系统钩子函数技术添加行为采集点，在钩子函数中设置虚拟化进程访问镜像文件行为信息采集点。