本发明涉及计算机存储与信息安全,尤其是涉及一种云存储系统的高级持续性攻击的检测方法。
背景技术:
为满足迅速增长的移动数据量和用户计算需求,云计算技术通过互联网提供了动态的数据接入、存储和计算服务。随着金融支付等业务的广泛应用,云存储系统承载了大量的用户金融支付和私人文件等隐私敏感性数据,因此,云存储系统的安全性和隐私性成为制约其未来发展的关键因素。
目前云存储安全方面广泛研究的技术包括云存储的重复数据删除、隐藏存储、数据加密与密文搜索以及数据完整性审计等,以上技术在防御恶意用户或服务器发起的恶意攻击上也有深入研究。如:[Bellare M,Keelveedhi S,Ristenpart T.Dupless:Server-aided encryption for deduplicated storage[C]//Proceedings of the 22nd USENIX Conference on Security.Washigton D C:USENIX Association,2013:179-194]提出在服务器端的重复数据删除方案中引入密钥管理服务器来抵御暴力攻击;[Puzio P,Molva R,Onen M,et al.ClouDedup:Secured deduplication with encrypted data for cloud storage[C]//IEEE 5th International Conference on Cloud Computing Technology and Science(CloudCom).Bristol:IEEE,2013:363-370.]设计了云存储系统下的数据块级重复数据删除方案在收敛加密的基础上引入了额外的加密操作和接入控制机制以抵御字典攻击。[Jung T,Li X Y,Wan Z,et al.Control cloud data access privilege and anonymity with fully anonymous attribute-based encryption[J].IEEE Transactions on Information Forensics and Security,2015,10(1):190-199.]提出采用隐藏转移算法保护用户的身份信息,以抵御恶意用户间串谋攻击。中国专利CN103095847B公开一种云存储系统安全保障方法及其系统,采用证据方式和基于属性加密的访问控制机制,实现了高效、可扩展的访问控制,解决了云存储的海量用户访问海量数据的访问权限控制复杂的问题,为云存储系统提供了安全保障。
近年来出现的高级持续性威胁(APT)具有攻击持续性、高隐蔽性、长期潜伏等特性,传统的网络防御方法无法有效地抵御APT攻击,因此云存储系统很容易受到这种攻击。为了应对云计算下APT攻击,各国政府陆续制定和出台一系列相关政策来确保国家安全,国内外针对APT攻击的防御产品及方案不断涌现。例如美国政府大力支持的FireEye公司推出的APT防御产品,利用沙箱技术和静态分析防止0day漏洞、未知型攻击、木马程序;趋势科技的APT产品Deep Discovery利用沙盒技术、关联规则等技术,能有效防止含文件漏洞攻击附件的电子邮件、0day漏洞、僵尸程序、蠕虫等攻击。
现有的APT防御产品和方案各有侧重,并不能有效地防御所以的APT攻击。[M.van Dijk,A.Juels,A.Oprea,and R.L.Rivest,“Flipit:The game of stealthy takeover”,J.Cryptology,vol.26,no.4,pp 655–713,2013.]提出可将博弈论用于捕捉APT的隐形入侵访问特性,防御者和攻击者通过建立博弈模型来决定防御及攻击行为。但APT攻击行为常受攻击者主观性影响,攻击行为的不确定性,增加了攻击检测的难度。
技术实现要素:
本发明的目的是着眼于解决云存储系统安全问题,针对高级持续性攻击提供不需预知具体的高级持续性攻击模型,采用强化学习方法,可实现最优的设备扫描时间间隔,可抑制攻击者的攻击动机,降低攻击频率,提高云存储的数据隐私性能的一种云存储系统的持续性攻击的检测方法。
本发明包括以下步骤:
1)防御系统将扫描时间间隔x量化为M个等级,x∈X=[am]1≤m≤M,其中0<am≤1;再观察云存储设备受到攻击的攻击时间间隔和持续时间等信息,将攻击时间间隔y与持续时间z量化为L个等级,y∈[bl]1≤l≤L,z∈[bl]1≤l≤L,其中0<bl≤1,M表示防御间隔的非零量化级;
2)初始化Q值矩阵为0,Q值矩阵即Q(s,x),表示在防御系统的每一个可用状态s,对于所有可选择的扫描时间间隔x分配一个对应的Q值;其中防御系统的状态s为上一时刻状态的攻击时间间隔与持续时间之和y+z;设置折扣因子δ(0≤δ≤1)和学习因子γ(0<γ≤1);
3)防御系统根据上一时刻状态观察的攻击时间间隔与持续时间和更新当前状态s;
4)防御系统以1-ε(0<ε<1)的概率,选择具有最大Q值的扫描时间间隔时间,以的概率随机选择其他的扫描时间间隔,并根据选择的扫描时间间隔对云存储设备进行检测;
5)观察当前时刻状态下的攻击时间间隔与持续时间之和y+z,获取防御系统单位时间所获收益G,计算当前状态下的即时效益uD,公式如下:
6)防御系统根据公式:
更新Q值。s'为防御系统的下一时刻状态,假设下一时刻状态与当前时刻状态相同;是防御系统在下一时刻状态下所有可选的扫描时间间隔x'对应的Q值中的最大值;
7)重复步骤3)~6),直到满足|Q(s,x)-Q(s′,x′)|≤0.01,即Q(s,x)收敛。
本发明能够根据高级持续性攻击在云存储设备的攻击时间间隔和持续时间等信息,设计可适应动态网络和攻击模式的检测方案。
在步骤1)中,所述防御系统可为云平台的所有云存储设备提供检测服务,为每个云存储设备独立选择扫描间隔时间。
在步骤5)中,所述即时效益是扫描间隔时间内云存储设备安全时间效益与检测时间收益之和。
本发明充分利用了防御者与攻击者间的行为博弈,不需预知具体的高级持续性攻击模型,通过强化学习方法使得防御系统能够根据攻击者行为动态地调整扫描时间间隔,从而抑制攻击者的攻击行为,降低攻击频率,提高云存储的数据隐私性能。
与现有的攻击检测方法不同,本发明提出一种云存储系统的高级持续性攻击的检测方法。在未知具体的高级持续性攻击模型情况下,通过强化学习使得防御系统能够根据高级持续性攻击在云存储设备的攻击时间间隔和持续时间等信息,设计可适应动态网络和攻击模式的检测方案。该方法可抑制攻击者的攻击动机,降低攻击频率,提高云存储的数据隐私性能。
具体实施方式
以下实施例将对本发明作进一步说明。
本发明实施例包含以下步骤:
1)防御系统将扫描时间间隔x量化为10个等级,x∈X=[0.1,0.2,..,1]。同时观察云存储设备受到攻击的攻击时间间隔和持续时间等信息,将攻击间隔y与持续时间z量化为10个等级,y∈[0.1,0.2,..,1],z∈[0.1,0.2,..,1]。所述防御系统为云平台的所有云存储设备提供检测服务,为每个云存储设备独立选择扫描间隔时间。
2)初始化Q值矩阵为0,Q值矩阵即Q(s,x),表示在防御系统的每一个可用状态s,对于所有可选择的扫描时间间隔x分配一个对应的Q值;其中防御系统的状态s为上一时刻状态的攻击时间间隔与持续时间之和y+z;设置折扣因子δ=0.6和学习因子γ=0.8。
3)防御系统以1-ε(0<ε<1)的概率,选择具有最大Q值的扫描时间间隔时间,以的概率随机选择其他的扫描时间间隔,并根据选择的扫描时间间隔对云存储设备进行检测。
5)观察当前时刻状态下的攻击时间间隔与持续时间之和y+z,获取防御系统单位时间所获收益G,计算当前状态下的即时效益uD,公式如下:
所述即时效益是扫描间隔时间内云存储设备安全时间效益与检测时间收益之和。
6)防御系统根据公式:
更新Q值。s'为防御系统的下一时刻状态,假设下一时刻状态与当前时刻状态相同;是防御系统在下一时刻状态下所有可选的扫描时间间隔x'对应的Q值中的最大值。
7)重复步骤3)~6),直到满足|Q(s,x)-Q(s′,x′)|≤0.01,即Q(s,x)收敛。
本发明能够根据高级持续性攻击在云存储设备的攻击时间间隔和持续时间等信息,设计可适应动态网络和攻击模式的检测方案。