一種雲存儲系統的持續性攻擊的檢測方法與流程

2024-03-29 08:32:05

本發明涉及計算機存儲與信息安全，尤其是涉及一種雲存儲系統的高級持續性攻擊的檢測方法。

背景技術：

為滿足迅速增長的移動數據量和用戶計算需求，雲計算技術通過網際網路提供了動態的數據接入、存儲和計算服務。隨著金融支付等業務的廣泛應用，雲存儲系統承載了大量的用戶金融支付和私人文件等隱私敏感性數據，因此，雲存儲系統的安全性和隱私性成為制約其未來發展的關鍵因素。

目前雲存儲安全方面廣泛研究的技術包括雲存儲的重複數據刪除、隱藏存儲、數據加密與密文搜索以及數據完整性審計等，以上技術在防禦惡意用戶或伺服器發起的惡意攻擊上也有深入研究。如：[Bellare M,Keelveedhi S,Ristenpart T.Dupless:Server-aided encryption for deduplicated storage[C]//Proceedings of the 22nd USENIX Conference on Security.Washigton D C:USENIX Association,2013:179-194]提出在伺服器端的重複數據刪除方案中引入密鑰管理伺服器來抵禦暴力攻擊；[Puzio P,Molva R,Onen M,et al.ClouDedup:Secured deduplication with encrypted data for cloud storage[C]//IEEE 5th International Conference on Cloud Computing Technology and Science(CloudCom).Bristol:IEEE,2013:363-370.]設計了雲存儲系統下的數據塊級重複數據刪除方案在收斂加密的基礎上引入了額外的加密操作和接入控制機制以抵禦字典攻擊。[Jung T,Li X Y,Wan Z,et al.Control cloud data access privilege and anonymity with fully anonymous attribute-based encryption[J].IEEE Transactions on Information Forensics and Security,2015,10(1):190-199.]提出採用隱藏轉移算法保護用戶的身份信息，以抵禦惡意用戶間串謀攻擊。中國專利CN103095847B公開一種雲存儲系統安全保障方法及其系統，採用證據方式和基於屬性加密的訪問控制機制，實現了高效、可擴展的訪問控制，解決了雲存儲的海量用戶訪問海量數據的訪問權限控制複雜的問題，為雲存儲系統提供了安全保障。

近年來出現的高級持續性威脅(APT)具有攻擊持續性、高隱蔽性、長期潛伏等特性，傳統的網絡防禦方法無法有效地抵禦APT攻擊，因此雲存儲系統很容易受到這種攻擊。為了應對雲計算下APT攻擊，各國政府陸續制定和出臺一系列相關政策來確保國家安全，國內外針對APT攻擊的防禦產品及方案不斷湧現。例如美國政府大力支持的FireEye公司推出的APT防禦產品，利用沙箱技術和靜態分析防止0day漏洞、未知型攻擊、木馬程序；趨勢科技的APT產品Deep Discovery利用沙盒技術、關聯規則等技術，能有效防止含文件漏洞攻擊附件的電子郵件、0day漏洞、殭屍程序、蠕蟲等攻擊。

現有的APT防禦產品和方案各有側重，並不能有效地防禦所以的APT攻擊。[M.van Dijk,A.Juels,A.Oprea,and R.L.Rivest,「Flipit:The game of stealthy takeover」,J.Cryptology,vol.26,no.4,pp 655–713,2013.]提出可將博弈論用於捕捉APT的隱形入侵訪問特性，防禦者和攻擊者通過建立博弈模型來決定防禦及攻擊行為。但APT攻擊行為常受攻擊者主觀性影響，攻擊行為的不確定性，增加了攻擊檢測的難度。

技術實現要素：

本發明的目的是著眼於解決雲存儲系統安全問題，針對高級持續性攻擊提供不需預知具體的高級持續性攻擊模型，採用強化學習方法，可實現最優的設備掃描時間間隔，可抑制攻擊者的攻擊動機，降低攻擊頻率，提高雲存儲的數據隱私性能的一種雲存儲系統的持續性攻擊的檢測方法。

本發明包括以下步驟：

1)防禦系統將掃描時間間隔x量化為M個等級，x∈X＝[am]1≤m≤M，其中0＜am≤1；再觀察雲存儲設備受到攻擊的攻擊時間間隔和持續時間等信息，將攻擊時間間隔y與持續時間z量化為L個等級，y∈[bl]1≤l≤L，z∈[bl]1≤l≤L，其中0＜bl≤1，M表示防禦間隔的非零量化級；

2)初始化Q值矩陣為0，Q值矩陣即Q(s,x)，表示在防禦系統的每一個可用狀態s，對於所有可選擇的掃描時間間隔x分配一個對應的Q值；其中防禦系統的狀態s為上一時刻狀態的攻擊時間間隔與持續時間之和y+z；設置折扣因子δ(0≤δ≤1)和學習因子γ(0＜γ≤1)；

3)防禦系統根據上一時刻狀態觀察的攻擊時間間隔與持續時間和更新當前狀態s；

4)防禦系統以1-ε(0＜ε＜1)的概率，選擇具有最大Q值的掃描時間間隔時間，以的概率隨機選擇其他的掃描時間間隔，並根據選擇的掃描時間間隔對雲存儲設備進行檢測；

5)觀察當前時刻狀態下的攻擊時間間隔與持續時間之和y+z，獲取防禦系統單位時間所獲收益G，計算當前狀態下的即時效益uD，公式如下：

6)防禦系統根據公式：

更新Q值。s'為防禦系統的下一時刻狀態，假設下一時刻狀態與當前時刻狀態相同；是防禦系統在下一時刻狀態下所有可選的掃描時間間隔x'對應的Q值中的最大值；

7)重複步驟3)～6)，直到滿足|Q(s,x)-Q(s′,x′)|≤0.01，即Q(s,x)收斂。

本發明能夠根據高級持續性攻擊在雲存儲設備的攻擊時間間隔和持續時間等信息，設計可適應動態網絡和攻擊模式的檢測方案。

在步驟1)中，所述防禦系統可為雲平臺的所有雲存儲設備提供檢測服務，為每個雲存儲設備獨立選擇掃描間隔時間。

在步驟5)中，所述即時效益是掃描間隔時間內雲存儲設備安全時間效益與檢測時間收益之和。

本發明充分利用了防禦者與攻擊者間的行為博弈，不需預知具體的高級持續性攻擊模型，通過強化學習方法使得防禦系統能夠根據攻擊者行為動態地調整掃描時間間隔，從而抑制攻擊者的攻擊行為，降低攻擊頻率，提高雲存儲的數據隱私性能。

與現有的攻擊檢測方法不同，本發明提出一種雲存儲系統的高級持續性攻擊的檢測方法。在未知具體的高級持續性攻擊模型情況下，通過強化學習使得防禦系統能夠根據高級持續性攻擊在雲存儲設備的攻擊時間間隔和持續時間等信息，設計可適應動態網絡和攻擊模式的檢測方案。該方法可抑制攻擊者的攻擊動機，降低攻擊頻率，提高雲存儲的數據隱私性能。

具體實施方式

以下實施例將對本發明作進一步說明。

本發明實施例包含以下步驟：

1)防禦系統將掃描時間間隔x量化為10個等級，x∈X＝[0.1,0.2,..,1]。同時觀察雲存儲設備受到攻擊的攻擊時間間隔和持續時間等信息，將攻擊間隔y與持續時間z量化為10個等級，y∈[0.1,0.2,..,1]，z∈[0.1,0.2,..,1]。所述防禦系統為雲平臺的所有雲存儲設備提供檢測服務，為每個雲存儲設備獨立選擇掃描間隔時間。

2)初始化Q值矩陣為0，Q值矩陣即Q(s,x)，表示在防禦系統的每一個可用狀態s，對於所有可選擇的掃描時間間隔x分配一個對應的Q值；其中防禦系統的狀態s為上一時刻狀態的攻擊時間間隔與持續時間之和y+z；設置折扣因子δ＝0.6和學習因子γ＝0.8。

3)防禦系統以1-ε(0＜ε＜1)的概率，選擇具有最大Q值的掃描時間間隔時間，以的概率隨機選擇其他的掃描時間間隔，並根據選擇的掃描時間間隔對雲存儲設備進行檢測。

5)觀察當前時刻狀態下的攻擊時間間隔與持續時間之和y+z，獲取防禦系統單位時間所獲收益G，計算當前狀態下的即時效益uD，公式如下：

所述即時效益是掃描間隔時間內雲存儲設備安全時間效益與檢測時間收益之和。

6)防禦系統根據公式：

更新Q值。s'為防禦系統的下一時刻狀態，假設下一時刻狀態與當前時刻狀態相同；是防禦系統在下一時刻狀態下所有可選的掃描時間間隔x'對應的Q值中的最大值。

7)重複步驟3)～6)，直到滿足|Q(s,x)-Q(s′,x′)|≤0.01，即Q(s,x)收斂。

本發明能夠根據高級持續性攻擊在雲存儲設備的攻擊時間間隔和持續時間等信息，設計可適應動態網絡和攻擊模式的檢測方案。