许洪军 张洪 贺维

摘 要：针对由于云用户的非法操作产生的云安全威胁问题，提出一种在保障云用户隐私的前提下，利用深度学习技术对用户工作中的鼠标操作行为进行分析，实现检测云用户异常行为的方法。该方法首先通过鼠标追踪工具，记录一定时间内用户的基本鼠标操作行为轨迹，然后利用卷积神经网络对记录的行为轨迹图像进行特征学习和分类。通过实验可知，所提出的方法能够在保障用户隐私的前提下，有效的检测用户的异常行为，同时可以避免对系统高维特征数据分析和处理，降低了异常行为检测的难度。

关键词：云安全;深度學习;卷积神经网络;操作行为;异常行为检测

DOI：10.15938/j.jhust.2019.04.021

中图分类号： TP301.6

文献标志码： A

文章编号： 1007-2683（2019）04-0127-06

Abstract：Aiming at the problem of cloud security threat caused by illegal operation of cloud users， this paper proposes a method to detect the abnormal behavior of cloud users by analyzing the mouse operation behavior in user's work by using deep learning technology under the premise of ensuring the privacy of cloud users. Firstly， the mouse track tool is used to record the trajectory of the user's basic mouse operation within a certain period of time. Then， the convolution neural network is used to learn and classify the recorded trajectories. The experimental results show that the proposed method can effectively detect abnormal behavior of users under the precondition of ensuring user privacy， meanwhile， it can avoid the analysis and processing of high dimensional feature data and reduce the difficulty of abnormal behavior detection.

Keywords：cloud security; depth learning; convolutional neural network（CNN）; operational behavior; Abnormal behavior detection

0 引 言

云计算是一个开放的平台，可以为来自世界各地的用户提供计算资源和应用服务。传统的边界式安全防御机制，虽然能很好的保障云平台免于遭受来自于外部的攻击，但很难防御内部云用户发起的攻击。云用户的分散性和不确定性决定无法从机制上实现对用户的统一化管理，因此，如何应对来自云平台内部用户的攻击是当前云安全研究的热点和难点问题。

在云计算平台中，资源的所有权和管理权被分离，因此导致产生很多新的安全威胁，尤其是当攻击由云内部用户引起。2016年云安全联盟（Cloud Security Alliance，CSA）发布一份关于2016年最具威胁的云安全问题报告——《The Treacherous 12-Cloud Computing Top Threats in 2016》，其中就包含由恶意内部人员引起的安全威胁[1]。这些恶意人员可能是企业的员工、系统管理员、合作伙伴等不同角色，他们拥有对企业资源和数据的访问和控制权限，出于不同目的对企业云服务或者整个云计算平台进行攻击，由于现有的安全机制限制，这种安全威胁对云服务平台具有巨大的威胁。在文献[2]中列举常见的云内部威胁，包括云恶意管理员攻击，云安全漏洞攻击，对云复杂数据资源和访问接口攻击，以及利用内部云资源攻击。内部安全威胁是近年来网络安全领域的一大热点问题，国内外的研究学者对于内部威胁展开研究[3-5]。

对于云用户来说，不同的云用户由于操作习惯和工作任务不同，往往在平台上表现出不同的用户行为，目前很多学者也提出了基于用户的特征行为进行安全检测[6-7]。但是对于用户行为检测，往往需要通过分析系统中用户的各种操作行为，甚至需要接触用户操作数据来进行安全检测，这种方式不仅需分析用户各种操作产生的高维特征数据，同时也可能威胁到用户在系统中隐私数据，造成二次安全威胁。

系统中的不同用户往往具有不同的操作行为，因此可以通过对用户的操作轨迹进行分析，来对用户身份和行为进行安全检测。本文提出一种通过记录用户操作行为的方式，来检测异常用户的方法。这种方式不需要分析用户的高维特征数据，同时也不需要威胁用户的隐私数据，可以作为当前入侵检测的一个有效补充。

1 相关技术分析

1.1 鼠标行为分析

鼠标行为特征分析是通过记录系统中用户在执行特定操作时，鼠标输入事件，获取用户使用鼠标时表现出的特征行为数据。鼠标常用事件有：鼠标左键单击;鼠标右键单击;鼠标双击;鼠标拖动;鼠标滑动;鼠标滚轮拖动;鼠标静止;鼠标多功能键点击。在视窗化操作系统中，很多复杂的计算机操作任务都可以不同鼠标事件的组合实现。

[10]CHA YJ， CHOI W， BUYUKOZTURK O.Deep Learning‐Based Crack Damage Detection Using Convolutional Neural Networks[J].Computer‐Aided Civil and Infrastructure Engineering，2017，32（5）：361.

[11]廖祥文，张丽瑶，宋志刚，等.基于卷积神经网络的中文微博观点分类[J].模式识别与人工智能，2016（12）：1072.

[12]TOTH L. Phone recognition with hierarchical convolutional deep maxout networks [J].EURASIP Journal on Audio，Speech，and Music Processing，2015，（1）：1.

[13]刘明珠，郑云非，樊金，等. 基于深度学习法的视频文本区域定位与识别[J]. 哈尔滨理工大学学报，2016，21（6）： 61.

[14]卢宏涛，张秦川. 深度卷积神经网络在计算机视觉中的应用研究综述[J]. 数据采集与处理. 2016， 31 （1） ：1.

[15]李彦冬，郝宗波，雷航. 卷积神经网络研究综述[J]. 计算机应用，2016， 36 （9） ：2508.

[16]韩磊，曲中水. 一种RGB模型彩色图像增强方法[J]. 哈尔滨理工大学学报，2014，19（6）：59.

[17]YUAN ZW， ZHANG J. Feature extraction and image retrieval based on AlexNet[C]// Eighth International Conference on Digital Image Processing. 2016：100330E.

[18]鄧柳，汪子杰. 基于深度卷积神经网络的车型识别研究[J]. 计算机应用研究，2016，33（3）：930.

[19]TAIGMAN Y， YANG M， RANZATO M，et al. Deepface： Closing the Gap to Human-level Performance in Face Verification[C]// Computer Vision & Pattern Recognition， 2014 ：1701.

[20]GE FX， SHI Y， SUN B，et al. Sparse representation based classification by using PCA-SIFT descriptors[C]// IEEE International Conference on Information Science and Technology， 2014： 429.

（编辑：王 萍）