[发明专利]一种IaaS云环境下面向内部威胁的行为追溯检测方法

摘要

本发明公开一种面向内部威胁的行为追溯检测方法，解决现有技术中存在的对IaaS云环境中恶意调用云服务内部威胁无法判断来源以及无法应对未知威胁的现象，该方法采用行为追溯的检测思想，对云环境中用户访问数据的流程进行多节点关联分析，得出用户各种合法操作的正常行为树，接着与采集到的行为信息进行行为追溯匹配，通过对行为树的完整性分析检测出恶意威胁。

主权项

1.一种IaaS云环境下面向内部威胁的行为追溯检测方法，其特征在于，包括以下步骤：步骤1：用户行为树构建模块对IaaS云环境源码进行分析，从用户层发起请求至实施节点虚拟化层为止，对每一层的接口源码中行为相关的函数调用关键字进行分析，得到每个层次服务接口的层次关键字，组成层次关键字库；步骤2：用户行为树构建模块再次对IaaS云环境源码进行多层关联分析。首先在用户层选定一个相关操作并创建行为树根节点，每遍历到一个层次的接口源码，就取出当前函数与步骤1中得到的对应层次关键字库中关键字进行比较，若为行为关键字则加入至行为树子节点之中，结束当前层次之后根据当前层次行为节点继续向下层遍历，直至没有对应的行为关键字或已建立一颗完整的行为树；步骤3：行为信息采集模块在计算服务接口、远程调用接口、管理实施接口、虚拟化管理接口等多层接口上设置云服务行为追溯点，在接口调用前输出时间节点和动作信息；在虚拟化进程处使用操作系统钩子函数技术添加行为采集点，在钩子函数中设置虚拟化进程访问镜像文件行为信息采集点；步骤4：行为追溯检测模块在最底层获取用户镜像文件被访问的信息之后，首先获取最下层行为，采用对最下层虚拟化行为关键词匹配技术，与前面构建的用户正常行为树进行行为追溯匹配，如果没有完全匹配到行为树的所有节点，则判断当前层次为恶意行为发起点并跳出；如果匹配到相应的行为树则继续与行为树上层的行为节点进行遍历匹配，到最后若成功匹配到一棵行为树，则说明当前采集到的行为是从用户发出的正常行为，否则当前行为就是从行为树中行为断点层发起，属于异常行为。