一个敏感文件异常访问基于应用程序分类检测方法

文摘

记事本文件的访问控制模式不能满足风险控制的需求敏感文件分层访问,提出了应用基于分类检测方法的异常访问敏感文件。应用程序分类和文件分类、访问控制策略映射,和基本的检测和预设政策设计。结合操作系统的识别控制不同的应用程序在运行时,我们通过分级监控敏感文件的异常访问应用程序。不同级别的应用程序的交叉访问实验不同的敏感文件分级访问控制策略的有效性和安全性验证和敏感文件访问异常检测和减少风险的披露敏感文件。

1。介绍

近年来,随着大数据的发展,移动互联网、云计算和其他技术,网络安全事件频繁发生,系统和数据安全等问题,一致性,完整性和用户访问权限已经吸引了关注(1- - - - - -3]。在此基础上,系统风险识别的方向,漏洞扫描和异常检测已经成为研究的热点话题4- - - - - -8]。访问权限和异常检测移动终端也研究的一个分支。有两种类型的风险敏感文件的访问在移动终端的笔记本:一是未经授权的用户(如恶意软件或被根植)不应访问,访问一个文件,另一个是用户访问文件,安全级别高于用户。这种访问的有几个来源的风险。首先,高权限的用户或服务如根和MTP未经授权的访问应用程序的文件。其次,一个文件,高于用户的安全级别是在笔记本上。第三,应用程序的访问目录是交叉和共享。第四,文件分类根据不同安全级别。

林等人提出了一种分级访问控制方案基于属性加密(共享文件9]。黄等人提出了一个Ciphertext-Policy (CP-ABE)访问控制方案基于属性加密在云存储多个授权中心10]。李等人提出了一种分级访问控制方案的加密存储共享文件(11]。这些方法主要是使用加密文件访问控制。王等人提出了一个云计算基于任务角色的访问控制模型实现细粒度的文件访问控制(12]。上述方法主要是静态的保护策略。加密方法对可用性有很大的影响,系统的实现也非常复杂。细粒度的访问控制方法必须嵌入到应用程序是有效的,和外部访问控制策略无法实施。歌等人提出了一个安全水平评价模型在云计算网络并通过评估确定存储文件安全级别(13]。胡为文档设计方法和设备安全级别标识来识别文件的安全级别(14]。朱提出了敏感数据的安全分析方法的移动智能终端(15]。检测和评价方法用于确定的合法访问敏感文件或数据。从上面可以看出,研究人员探索不同的解决方案来提高信息安全功能(16,17]。

为了控制敏感文件的分级访问移动终端进一步提高移动终端的可用性,方法检测异常访问敏感文件基于应用程序分类构造。敏感文件静态检测,动态监测集成防止低级用户访问异常,防止未经授权的用户访问戒备森严的戒备森严的文件文件。

2。提出的异常检测方法的访问

2.1。检测方法的框架

有最小特权原则的Android应用程序和数据。在Linux中,UID是用户的ID,指示用户运行程序,主要用于许可管理,但事情是不同的Android系统,因为它是一个单用户系统,分配不同的UID几乎每一个应用程序。与传统的Linux,每个用户分配相同UID如果他们是相同的18]。

至于文件访问,Android还遵循基本的Linux的机制。敏感行业的敏感文件,我们可以设计一个模型,只有一个特定的应用程序可以访问特定的敏感文件。通过其他方式访问文件,无论是根、MTP,或其他应用程序,被认为是一个风险。日志和标志可以在系统中,可以分级和风险。

敏感文件访问异常检测方法基于应用程序分类包括八个模块,如文件访问行为异常检测、用户安全级别标识和识别、敏感文件安全级别标识和识别、分类和访问控制属性映射文件敏感,文件和目录的访问控制机制。敏感文件访问异常检测方法基于应用程序分类如图1。

敏感文件分类是为了纪念敏感文件和设计文件的标志文件名称和文件的安全级别的身体。分类过程可以被识别的软件。应用程序分类是标记和识别的安全级别应用程序根据用户标识(UID)的应用程序;例如,一个应用程序高的UID是为了有一个戒备森严的水平,和一个软件可以用来识别应用程序识别。

在文件访问行为异常检测模块、静态检测磁盘文件的安全水平可以采用,和敏感文件访问的应用程序可以动态地监控。通过测量的可信度行为,恶意的应用程序和用户的行为可以判断。以下是安全级别映射、一致性检查,和应用程序行为监测的方法。

2.2。敏感文件的分级控制

在笔记本电脑或终端系统,有一个“一对一”应用程序和用户之间的通信,也就是说,一个应用程序对应一个用户,应用程序的权威是用户的权威。在Android系统,UID是用来识别应用程序。应用程序继承用户的权限,从而使应用程序相应的访问权限。

2.3。用户和文件安全水平匹配关系映射

三种策略可以用来映射之间的匹配关系用户和文件安全级别:基准策略,预设策略和监控策略。

基准策略是设置UID大小相对应的文件安全基准水平。假设F文件的安全级别 ,应用程序的UID ,F和基准来访问该文件的应用程序(根据文件分级安全级别),代表一个UID基准来访问文件f .敏感文件的分级保护策略采用可以描述如下: 1意味着它可以访问和0意味着它无法访问。表1显示了敏感的场景,采用基准文件保护策略。可以看出u= 68501可以访问文件安全级别(基准是40000),但是它不能访问文件的安全级别70000年(基准)。只有应用程序对应的UID高于基准可以访问相应的安全级别文件。

预设策略是预设的访问权限和文件访问应用程序。假设应用程序可以访问的目录 这是一个集合,在哪里代表了文件,应用程序可以访问和安全水平代表数字可以访问的目录。然后,使用敏感文件的预设策略(安全级别 )描述如下:

然后, ,文件的安全级别F应该包含在这个目录中。预设策略如表所示2。

监控策略是控制应用程序访问文件的方法基于安全策略在一个环境保护策略,如表所示3。假设应用程序有一个安全级别的 ,F和文件的安全级别 。如果希望访问文件,它必须满足的条件 也被认为是异常访问。

如果 ,用户你可以打开文件f .这种环境下需要改变用户ID来满足访问需求。

2.4。一致性检测和监测的访问控制的行为

敏感文件访问控制的一致性检测手段来监视应用程序访问敏感文件的一致性,并检查应用程序是否能够访问敏感文件的安全级别根据基准策略,预设策略和监控策略。

2.4.1。基于基准和预设策略静态监测

假设所有文件 ,在终端的安全水平 ,和安全基准水平 。同时,假设访问应用程序识别UID ,安全级别是 ,和可访问的目录 。(1)基准策略一致性静态检测方法。基于应用程序的身份的原则是大于基准标识策略,也就是说, 。我们检测应用程序的访问权限 。如果它满足条件 和应用程序的访问权限,确定有一个访问应用程序的风险,和警报或警告。(2)预设策略一致性静态检测方法。根据原理 和应用程序安全级别的访问策略应该高于敏感文件,我们检测应用程序的访问权限 。如果它满足条件 和文件是在目录,确定有一个应用程序访问的风险,和警报或警告。

2.4.2。访问控制动态监测

动态监测方法:在应用程序访问文件,根据政策,应用程序的访问安全级别高于敏感文件安全级别,应用程序检测到的访问权限。如果 ,判断为异常访问。

分析用户行为可信评估的过程中应用的系统。异常用户访问行为是指违反基准策略,预设策略和动态策略。假设,在时间的间隔 ,动态监测方法用于检测或监控号码应用程序异常的倍访问敏感的文件 ,然后,可信性度量 。值越大,越不可靠。当阈值,这意味着 ,它是确定应用程序是靠不住的。

2.4.3。异常应急响应

异常应急响应是一个测量检测和监控异常行为。对于静态检测到异常,报警提示通常是使用和删除文件根据设置异常敏感。为了应对异常访问行为的动态监视的应用程序,关闭应用程序采取措施回应。不受信任的应用程序或使用行为,永久关闭策略可以被采纳。

3所示。有效性分析的异常检测敏感文件的访问

以Android为例设计一个敏感文件访问树。遍历所有路径,评估未经授权的访问的可能性,并通过评价机制来验证获得总分分级访问控制对敏感文件的有效性。测试环境图所示2。

3.1。安全风险分析的滞后检测

建立异常检测方法的有效性访问敏感文件。静态检测是根据频率来检测所有文件。同时检测的特点和使用将导致检测敏感文件无法实现。在动态的使用环境中,不可避免地产生文件检测遗漏。假设文件的总数 ,因为检测是一个过程,改变了文件或新进入的文件可能是落后的检测文件。假设检测滞后时间 。落后的检测时间 ,然后,整体落后的检测安全风险

100年进行的实验是将敏感文件随机折叠的记事本。检测软件开始检查这些文件一个接一个,没有间隔,以减少延迟。检查往返时间,叫做滞后。滞后将会增长更多的文件检查。可能成本约20或更多女士流程文件和取决于笔记本的性能。实验检查1、2、…,17个文件每往返一次,运行软件把这些文件放入折叠,并发现异常表的访问4。

根据表4,最大文件数是17所示。 ,和 。总体滞后检测安全风险 ,这仍然是一个很高的比例。因此,检测磁滞效应引起的静态检测是不容忽视的。因此,需要引入动态监测机制。

根据实验,滞后时间随着文件数量的增长。图3显示检查17个文件将花费将近170 ms。如果异常敏感文件读取时间间隔,它将是一个很大的风险。

异常文件往返时间不会成长为读者打开一个文件比检查可能会导致更多的时间,但它可能会导致更大的风险。实验也验证滞后风险,在图所示4。它表明,滞后风险略有增长更多的文件检查。当实验有15个文件检查也发现异常访问,它会导致更大的风险。

3.2。动态监测和安全风险分析

动态监测机制来监控访问控制当用户访问文件的一致性,所以监控性能必须高于用户程序的访问性能文件;否则,软件的可用性和隐私的文件将受到影响。假设监测时间和文件访问创建时间 ,可用的参考条件表示为监控机制 。隐私泄露的风险 。表5案例研究的可用性和安全风险监测机制。可以看到,第二种情况的风险最高,因为监控速度比创造的访问速度快。因此,快速监控机制可以提高应用程序的可用性和监控软件,同时减少敏感数据泄漏的安全风险。

4所示。结论

敏感文件异常访问基于应用程序分类检测方法包括应用程序分类和敏感文件分类、应用程序权限控制、安全控制策略的敏感文件分类、异常访问检测的敏感文件分类、一致性评估和有效性评价的敏感文件分类检测。敏感文件的访问异常检测是通过之间的交叉和结合访问测试实现记事本和操作系统的权限控制,分层的应用程序中,差异化的敏感文件和分级控制和应用程序之间的匹配控制。通过动态监测的敏感文件,安全控制实现敏感文件的可用性和安全性评价,并验证了该方法的有效性通过测试和评估的重要指标。

数据可用性

使用的数据来支持本研究的结果包括在本文中。

的利益冲突

作者宣称没有利益冲突。

确认

这项工作得到了广东省中国关键领域的研发项目(批准号2019 b010137004)和中国国家自然科学基金(批准号61972108)。

引用

1. z, c罗j .秋x杜,和m . Guizani“分布式深度学习系统的网络攻击检测边缘的设备上,“IEEE工业信息,16卷,不。3、1963 - 1971年,2020页。视图:出版商的网站|谷歌学术搜索
2. 严x, z和w . Pedrycz,“互联网安全数据收集和数据分析:一项调查,“IEEE通信调查和教程,21卷,不。1,第618 - 586页,2019。视图:出版商的网站|谷歌学术搜索
3. y . m . Li太阳,h, s . Maharjan z .田,“深强化学习的部分可观测的数据已被称作中毒袭击群体感知系统,”IEEE物联网,7卷,不。7,6266 - 6278年,2020页。视图:出版商的网站|谷歌学术搜索
4. z j .秋田,Du,左,苏,和b方,“调查访问控制在物联网时代,“IEEE物联网,7卷,不。6,4682 - 4696年,2020页。视图:出版商的网站|谷歌学术搜索
5. d·罗z, r . Wang, y,“快速鉴定匿名数据集风险评估在移动多媒体场景,”IEEE访问,8卷,第41565 - 41557页,2020年。视图:出版商的网站|谷歌学术搜索
6. h, c .金x打呼噜,朱c, n . Guizani z .田,AutoD:智能区块链应用程序基于JNI拆包层欺骗的电话,IEEE网络,纽约,纽约,美国,2020年。
7. 沈j·g . Pu l . Wang, f .侗族“混合无监督clustering-based异常检测方法,”清华科技,26卷,不。2,页146 - 153,2021年4月。视图:出版商的网站|谷歌学术搜索
8. 问:棕褐色,y高,j .史x, b方,z .田,“向全面洞察tor的eclipse袭击隐藏服务,“IEEE物联网》第六卷,没有。2、1584 - 1593年,2019页。视图:出版商的网站|谷歌学术搜索
9. 林x和y汉”,共享文件的分级访问控制方案基于属性加密”燕山大学学报第41卷。。5,450 - 456年,2017页。视图:谷歌学术搜索
10. y黄、吴x和j .凌”CP-ABE访问控制方案基于multi-authorities在云存储中,“软件工程及应用,9卷,不。3、216 - 227年,2020页。视图:谷歌学术搜索
11. l·李·g·史,x王et al .,“实现共享文件加密存储分级访问控制方案,“中国日报的网络和信息安全,卷2,不。7日,26 - 32,2016页。视图:谷歌学术搜索
12. 王x和y赵,“云计算的task-role-based访问控制模型”,计算机工程,38卷,不。24日,第四,2012页。视图:谷歌学术搜索
13. 黄w .歌曲,y, y,和z,“模拟安全级别评价模型在云计算网络中,“先锋科技月刊,28卷,不。18日,第104 - 103页,2015年。视图:谷歌学术搜索
14. 张w·胡,c, c, d .唐专利:文件安全等级识别方法和设备,2020年。
15. k . z论文,研究在移动智能终端敏感数据的安全,2014年。
16. h, c .金x打呼噜et al .,”研究智能检测命令堆栈污染水平的二进制程序分析,“移动网络和应用程序,2020年。视图:谷歌学术搜索
17. m·沙菲克z, a·k·巴希尔x,和m . Guizani”CorrAUC:恶意bot-IoT流量检测方法使用机器学习技术在物联网网络,”IEEE物联网,8卷,不。5,3242 - 3254年,2021页。视图:出版商的网站|谷歌学术搜索
18. j .赵”文件基于Linux的访问控制”,计算机知识和技术,15卷,不。18日,第301 - 300页,2019年。视图:谷歌学术搜索

版权

版权©2021回族刘et al。这是一个开放分布式下文章知识共享归属许可,它允许无限制的使用、分配和复制在任何媒介,提供最初的工作是正确引用。