本發明公開一種面向內部威脅的行為追溯檢測方法，解決現有技術中存在的對IaaS云環境中惡意調用云服務內部威脅無法判斷來源以及無法應對未知威脅的現象，該方法采用行為追溯的檢測思想，對云環境中用戶訪問數據的流程進行多節點關聯分析，得出用戶各種合法操作的正常行為樹，接著與采集到的行為信息進行行為追溯匹配，通過對行為樹的完整性分析檢測出惡意威脅。

技術領域

本發明屬于云計算安全技術領域，具體涉及IaaS云環境下面向內部威脅的行為追溯檢測方法。該方法采用行為追溯的檢測思想，在云環境中，對用戶訪問數據的流程進行多節點關聯分析得出用戶各種合法操作的正常行為樹，接著與采集到的行為信息進行行為追溯匹配，通過對行為樹的完整性分析檢測出惡意威脅。

背景技術

云環境是一個包含大量可用虛擬計算資源例如硬件、開發平臺以及I/O服務的資源池，能夠動態創建高度虛擬的資源，以服務的形式提供給租戶按需計費使用。現有的云計算平臺可以按照不同的服務層次分類，設施基礎即服務(Infrastructure as a Service，IaaS)是其中尤為重要的一種，即云服務提供商提供給租戶的計算資源為包括處理器、內存、磁盤等在內的抽象硬件即虛擬機。云計算雖然給租戶提供了方便的計算、存儲服務，但除了傳統環境下的安全問題，同時也誕生了一些重要的新型安全問題。其中在IaaS服務中，由于租戶使用的云虛擬機以鏡像文件的方式存放于云端，云服務提供商控制著用戶數據的管理接口，一旦某個企業員工得到訪問公司云的權限，那么所有的東西都可能被提取，從客戶數據到機密信息以及知識產權。具體的在IaaS云環境中面臨的典型內部威脅場景如圖1所示，在1、2、3點處內部人員利用自身特權調用云服務各個接口完成對用戶數據的訪問或篡改。這些來自于云服務商內部員工盜取公司數據的威脅不管對于企業還是個人都帶來了很大的風險。因此，IaaS云環境下對抗內部人員攻擊的用戶數據訪問行為檢測已成為當前云計算和虛擬化技術發展亟待解決的關鍵問題。然而，當前的應對內部威脅的安全檢測方法多采用機器學習和嵌套虛擬化的底層信息監控的技術，其中機器學習的方法只能對已經出現的惡意行為進行特征采集分類，無法識別未知威脅，而嵌套虛擬化的監控技術僅對云服務單個節點的接口行為進行檢測，無法溯源跨多個節點的云服務用戶數據訪問行為，不易判斷當前數據訪問是否為用戶發出的合法請求。因此考慮到多個節點和接口的云服務惡意調用情形，需要提出面向內部威脅的行為追溯檢測方法，對每個用戶數據訪問行為進行溯源分析，從而識別出惡意威脅。

發明內容

針對現有技術中存在的對IaaS云環境中惡意調用云服務內部威脅無法判斷來源以及無法應對未知威脅的現象，本發明提出一種面向內部威脅的行為追溯檢測方法。該方法采用行為追溯的檢測思想，對云環境中用戶訪問數據的流程進行多節點關聯分析，得出用戶各種合法操作的正常行為樹，接著與采集到的行為信息進行行為追溯匹配，通過對行為樹的完整性分析檢測出惡意威脅。

為實現上述目的，本發明采用如下的技術方案一種IaaS云環境下面向內部威脅的行為追溯檢測方法，包括步驟如下：

步驟1：用戶行為樹構建模塊對IaaS云環境源碼進行分析，從用戶層發起請求至實施節點虛擬化層為止，對每一層的接口源碼中行為相關的函數調用關鍵字進行分析，得到每個層次服務接口的層次關鍵字，組成層次關鍵字庫。

步驟2：用戶行為樹構建模塊再次對IaaS云環境源碼進行多層關聯分析。首先在用戶層選定一個相關操作并創建行為樹根節點，每遍歷到一個層次的接口源碼，就取出當前函數與步驟1中得到的對應層次關鍵字庫中關鍵字進行比較，若為行為關鍵字則加入至行為樹子節點之中，結束當前層次之后根據當前層次行為節點繼續向下層遍歷，直至沒有對應的行為關鍵字或已建立一顆完整的行為樹。

步驟3：行為信息采集模塊在計算服務接口、遠程調用接口、管理實施接口、虛擬化管理接口等多層接口上設置云服務行為追溯點，在接口調用前輸出時間節點和動作信息；在虛擬化進程處使用操作系統鉤子函數技術添加行為采集點，在鉤子函數中設置虛擬化進程訪問鏡像文件行為信息采集點。