基于markov鏈的訪問控制模型在審計中的應用

基于markov鏈的訪問控制模型在審計中的應用

大多數(shù)計算機系統(tǒng)都存在不同程度的安全隱患和安全漏洞。入侵檢測模型改變了對訪問控制的監(jiān)測機制，并進行了在線或在線分析以確定非法入侵行為。為了用法律手段來解決入侵行為而造成的危害,計算機取證技術可以從大量的原始數(shù)據(jù)中進行證據(jù)的提取及回放,取證的方法有很多,但目的是一致的,即發(fā)現(xiàn)證據(jù)以證明:發(fā)生了什么,發(fā)生的地點,發(fā)生的時間,誰做的以及如何做的等5個問題。計算機取證過程的5個步驟包含了證據(jù)的識別、傳輸、保存、分析和提交,目前這方面的研究并不多見,相關的研究有:文獻研究了日志文件的安全存儲問題,增加一臺可信計算機作為日志的備份存儲,同時改進了日志系統(tǒng)使得日志的聯(lián)機存儲和備份存儲之間實現(xiàn)透明。文獻側重從網(wǎng)絡結構方面構造一個安全審計日志服務器。文獻研究了使用數(shù)據(jù)挖掘算法從日志文件中發(fā)現(xiàn)證據(jù)。這些研究工作的核心都是日志文件,而日志文件的組織方式、文件結構等對計算機取證過程有很大的影響。目前的訪問控制模型在日志生成時,只是一種簡單的行為記錄,這種日志生成方式容易產(chǎn)生很多的缺點,主要表現(xiàn)在以下兩個方面:(1)日志文件規(guī)模很大,管理困難在一個存在大量的用戶訪問的計算機系統(tǒng)中,如果都將這些行為記錄到日志文件中,必將導致日志文件急劇增大,從而使得日志文件的保存、傳輸需要花很長時間,日志的管理是一件很困難的工作。(2)從日志文件中尋找證據(jù)的時間長,取證難度大由于證據(jù)的提取往往需要涉及較長時間范圍內的日志記錄,因此,證據(jù)提取算法必須面對大量的日志記錄。日志文件中的許多記錄實際上對證據(jù)的提取是沒有用的,反而容易導致證據(jù)提取算法效率的低下,造成取證時間長,取證難度大。針對以上這兩個問題,本文在訪問控制模型中使用Markov鏈對主體訪問客體的行為進行建模,根據(jù)該模型可以預測主體在某個時刻訪問客體的可能性,進而可確定主體訪問行為的可疑程度,根據(jù)可疑程度決定將訪問記錄寫入到相應等級的日志文件以及寫入的內容。經(jīng)過這樣處理之后,日志記錄將大大減小,從而可以有效縮短證據(jù)的分析提取時間。1基于信息的區(qū)分和存儲審計機制是主體在訪問客體的過程中起作用的,其基本功能是將這種訪問行為記錄到日志文件中。本文提出的這種審計機制對此進行了改進,基本原理如圖1所示。這個改進了的審計機制由Markov模型的建立、行為預測與判斷、日志寫入3個主要功能以及Markov模型、日志文件兩個主要的存儲文件組成。它的工作原理描述如下:(1)Markov模型的建立根據(jù)主體對客體的每一次訪問,計算客體之間跳轉的概率,從而為每個主體建立一個Markov模型,它表達了主體的在正常情況下的訪問行為。模型建立的目標是盡量反映這種訪問行為,以便提高行為預測的準確度。(2)行為預測與判斷行為預測過程是將主體當前所處的狀態(tài)(即所處的客體),與Markov模型的轉移概率計算主體在下一個時刻最可能訪問的客體,并得到訪問該客體的概率,從而可以確定本次訪問的可疑度。(3)日志寫入與事先規(guī)定的可疑度等級相對應,日志文件也按照一定的級別分類并設置?？梢愿鶕?jù)可疑度決定訪問客體的行為寫入哪個類別的日志文件,而且需要記錄的日志信息的詳細程度也是各不相同的。因此,在這個改進了的審計機制中,日志是分級存儲的。采用日志分級存儲帶來的幾個明顯的優(yōu)點是:1)可以針對不同等級的文件采用不同的管理方式,如對于可疑度較高的日志文件,需要制定并使用嚴格的備份、保密措施,以及延長保存時限等;而對于一般等級的文件則可以不必很嚴格,因為其中的日志信息的安全性要求不高。2)一般情況下,證據(jù)提取算法只需要在可疑度等級較高的日志文件中就可以分析提取證據(jù),這樣所需要處理的日志記錄就大大減小,從而可以有效地縮短取證時間。3)在同一時刻,允許往不同等級的日志文件中寫入日志記錄,而不會造成因寫入操作的沖突而引起的寫入等待,因此,可以很好地解決大量數(shù)據(jù)的寫入問題。這個審計機制中需要解決的幾個關鍵問題是:1)要求模型預測的準確度高;2)盡量縮短模型預測的時間復雜性;3)如何保證在不同等級的日志文件之間尋找日志信息。為了方便后續(xù)的描述,本文約定如下的表示符號:s表示主體、o表示客體。并做如下的定義:定義1訪問會話(AccessSession):主體s通過訪問控制模型許可之后,進入客體o所在的應用模塊到s退出這個模塊為止,這個過程在計算機中的邏輯映象稱為一次訪問會話。2模型的構建和預測2.1基于齊次stov鏈的訪問Markov過程是一類重要的隨機過程,可以用來描述許多動態(tài)系統(tǒng)問題。參數(shù)集和狀態(tài)集都為離散集的Markov過程,稱為Markov鏈。用{X(t),t=0,1,2,…,n}表示一個隨機過程,相應的狀態(tài)集為E={i0,i1,…,in}。則該隨機過程滿足下面的條件,它具有Markov性:該條件表明t+1時刻的狀態(tài)只與t時刻的狀態(tài)有關,而與t之前的狀態(tài)無關。在常見的隨機過程中,獨立隨機過程與獨立增量隨機過程都滿足Markov性。而滿足下面條件的Markov鏈稱為齊次Markov鏈。該條件說明從狀態(tài)i到狀態(tài)j的轉移概率與現(xiàn)在的時刻t無關。齊次Markov鏈不包含具體的時間信息,因此,根據(jù)概率轉移矩陣可計算不同狀態(tài)之間跳轉的概率,常用于作預測。在一個訪問控制系統(tǒng)中,建立齊次Markov鏈,首先需要確定一個用于表示狀態(tài)的隨機變量。分析如下:客體可以分成功能層客體和數(shù)據(jù)層客體兩類。數(shù)據(jù)層的客體是通過操作系統(tǒng)的文件管理原語來調用的,而功能層客體是為用戶直接提供軟件功能的集合,易于在應用軟件中進行控制。因此,本文以功能層客體為例說明,把功能層客體(下面簡稱客體)看作是一系列的菜單或功能頁面,并受訪問控制模型的監(jiān)控。如果把客體io,i=1Kn按照某種順序排列起來構成一個線性表L:用隨機變量X(t)表示t時刻訪問的某個客體io在L中所處的位置Pos(Pos>=1),對應于Markov鏈的狀態(tài)。則可以構造隨機序列{X(n),n>0}作為Markov鏈,但它不滿足式(2),因此,預測精度是有限的。為此本文對L做預處理,即根據(jù)一定的時間范圍對該序列L進行劃分,使得L=L1∪L2∪K∪Ln,對Li,i=1Kn,中的每個客體的訪問滿足式(2)。因此主體訪問通過這種方式構造出來的客體集合滿足齊次Markov鏈的條件,這有助于預測精度的提高。這樣的劃分是有實際含義的,例如在許多的應用系統(tǒng)中,用戶的使用習慣一般是隨著時間變化的,如用戶在上午或下午的操作習慣是不同的。2.2樹型結構的變化為了提高精度,在利用Markov模型進行預測時,通?？梢允褂枚嗖礁怕兽D移矩陣。根據(jù)Chapman-Kolmogorov方程,多步Markov鏈的轉移概率矩陣具有如下的性質。A(i+j)=A(i)×A(j),A(n)表示n步概率轉移矩陣。因此,多步轉移概率矩陣可以通過一步轉移概率矩陣來計算得到。其中m是客體數(shù)。因此,n步概率轉移矩陣的計算復雜性是O(mn),可見,當m或n增加時,概率轉移矩陣的計算復雜性將大大增加。為解決這個問題,本文對客體的排列及分布劃分成合適的樹型結構,在實際的應用系統(tǒng)中,功能層客體劃分成樹型結構也是一種常見的做法。如圖2所示的樹型分布中,可以將樹中的所有客體按照父-子節(jié)點進行劃分。對于由客體{o1o2…on}構成的客體樹Tree,可以劃分成以下形式的若干個子樹:其中,并對子樹中的客體訪問行為建立一個概率轉移矩陣。經(jīng)過這樣處理之后n步概率轉移矩陣中所需要表達的客體數(shù)就可大大減少,從而有效減小計算復雜性。通常,Markov鏈模型可以表示為一個3元組,其中,X是一個離散隨機變量;A稱為概率轉移矩陣,矩陣中的每一項是轉移概率tpij;Ψ為初始狀態(tài)分布。經(jīng)過上述的時間范圍劃分及客體分布劃分之后,建立的隨機序列是不能構造成式(3)表示的Markov鏈,為此,需要對Markov鏈進行擴展。擴展后的模型如式(4):其中T={t1,t2,…,tn}表示n個時間劃分,G={g1,g2,…,gn}表示客體的n個劃分,A={A(t1,g1),A(t1,g2),…,A(t1,gn),A(t2,g1),K,A(t2,gn),…,A(tn,g1),…,A(tn,gn)}即表示在不同時間劃分下,各個客體劃分對應的概率轉移矩陣。Ψ表示不同時間劃分下的初始概率分布,即2.3求各客體有一定的關聯(lián)關系及相應預測值設在某個時刻t的主體所處的狀態(tài),因為主體在一個訪問會話中,不可能同時訪問不同的客體,因此,中只有一項不等于0。預測t+1時刻狀態(tài)的算法如下:(1)判斷時刻t所處的時間劃分st;(2)判斷H(t)中不為0的項,記為hm,它對應的客體可以從線性表L中取得,即om=L[hm];(3)求om的客體劃分x:在客體樹Tree的所有子樹sub-tree(i)中,作如下的判斷:如果om只存在于一棵子樹sub-tree(tp)中,記x=tp;否則,只考慮符合下面條件的子樹sub-tree(tp):對于sub-tree(tp)中的客體所有oi,不存在。記x=tp;(4)根據(jù)時間劃分st和客體劃分x獲得相應的概率轉移矩陣;(5)計算t時刻狀態(tài)對t+1時刻的預測結果:V1(t+1)=H(t)×A(1),計算t-1時刻狀態(tài)對t+1時刻的預測結果:V2(t+1)=H(t-1)×A(2),依次類推。(6)計算t+1時刻的綜合預測值:其中,,ai表示過去的每個預測值對t+1時刻的影響因子。對于有較強關聯(lián)關系的兩個客體之間的影響因子,可以取大一點。所謂的關聯(lián)關系是指在執(zhí)行一個客體之前,需要執(zhí)行另一個客體的必要程度。(7)取V(t+1)向量中值最大的元素對應的客體在線性表L中的位置,并構成H(t+1)。3創(chuàng)建日記文件3.1可疑度等級s從Markov模型得到t+1時刻主體訪問各個客體可能性向量:定義主體s訪問某個客體oi的可疑度為:SK(s)=1-vi,可疑度等級分為高可疑、中等可疑和低可疑3個等級?？砂凑障旅娴脑瓌t,將可疑度對應到某個可疑度等級。(1)SK(s)≤0.4,可疑度等級為低可疑;(2)0.4<SK(s)≤0.7,可疑度等級為中等可疑;(3)SK(s)>0.7,可疑度等級為高可疑。3.2記錄記錄號的關聯(lián)整個日志系統(tǒng)也分成3個不同的等級,分別存儲處于不同可疑度等級下的主體行為記錄,保存的內容即是主體進入相應客體之后所做的操作。整個日志文件系統(tǒng)如圖3所示。日志索引文件記錄了訪問操作的記錄號及其所在的文件等信息,而具體的客體訪問信息則保存在相應等級的日志文件中,這些日志文件的記錄與日志索引文件中的相應記錄通過一個記錄號關聯(lián)。日志文件的文件結構由文件頭和文件記錄組成,如下:(1)文件頭(2)文件記錄日志文件經(jīng)過這樣處理之后,證據(jù)提取算法一般只需要在高可疑的日志文件中進行證據(jù)分析、提取,如果它需要到中等或低可疑的日志文件中尋找原始證據(jù)時,則可以通過記錄號在日志索引文件中找到原始證據(jù)所在的文件。而高可疑等級的日志文件與簡單的日志文件相比,其記錄數(shù)大大減少。因此可以有效地縮短證據(jù)提取時間。3.3所測高可疑的信息,有多個特征功能為了便于證據(jù)提取算法的分析,需要對寫入日志的信息進行標準化。在一次訪問會話過程中,可以定義若干個基本的操作原語,每種原語可以有不同的格式,并反映不同的語義。如:不同可疑等級的日志文件的寫入內容的區(qū)別:對于高可疑的訪問,記錄詳細的信息;對于低可疑訪問行為只記錄概括性記錄,如什么時間進入客體、什么時間離開。4基于模型的訪問控制模型為了用法律手段來解決入侵行為而造成的危害,運用計算機取證