一种云计算环境入侵检测系统架构及其方法与流程

本发明属于入侵检测和云计算的技术领域，尤其涉及一种云计算环境入侵检测系统架构及其方法。

背景技术：

入侵检测技术，它是伴随网络安全技术的发展而产生的一种重要的网络安全防护技术。根据使用的环境不同，通过直接或者间接收集计算机及所处网络中的关键信息，监测主机的活动与网络的动态，审计网络流量、未授权访问等现象，追踪异常的活动及其他迹象，入侵检测技术可以识别当前环境下是否有异常情形或者入侵行为发生；与此同时，该技术还可以根据监测结果及时做出反应，来警戒网络管理员与用户相关威胁活动。由此看来，入侵检测技术作为对防火墙之后的第二道安全闸门，对网络环境有效起到了非常良好的安全维护作用。目前，传统网络环境的入侵检测技术有两个特点：(1)依赖对网络威胁数据分析、进行大规模训练后建立入侵威胁识别模式数据库、对已知攻击检测范围广泛；(2)结合多种入侵优化算法进行威胁行为的侦查使得检测结果可以多次过滤、保证结果准确性。

云计算是随着信息技术的高速发展，在搜索引擎、多媒体门户与社交网络等大规模互联网技术的推动下应运而生的一种新型网络计算服务模式。随着云计算成为了世界各国经济发展的良性催化剂，相应的云安全问题也成为了阻碍云计算发展的关键要素之一，云计算环境下入侵检测问题也将面临重大挑战。当前云安全问题中诸如“云端虚拟机服务滥用”、“ddos攻击”等，都会引发云计算环境异常甚至云服务瘫痪。能否在入侵发生时迅速进行判断检测，对于云计算的发展与云安全维护有着至关重要的影响。

云计算的核心是虚拟化，这也是云计算环境和传统网络最大的不同之处。由于虚拟机的动态性和移动性，云计算环境下的安全技术至今较难满足安全一致性要求，记录审计要求的困难程度也较大。在“同构+异构”的底层物理服务器之间进行的虚拟化将导致直接或者间接的安全漏洞遗留。若云计算环境中存在大量的不安全的虚拟机，对于入侵检测技术将会是充满挑战的。将传统网络入侵技术应用于云计算环境下处理大规模数据存在以下问题：

(1)当前云计算环境下入侵检测系统架构的冗余性和复杂性大；

(2)采用当前云计算环境下入侵检测系统架构处理大规模数据时时间开销庞大；

(3)当前云计算环境下入侵检测系统架构检测性能不高、实时性较低；

(4)面对动态多变的云计算环境中的异常情况，传统网络入侵技术面对已知种类及未知种类的大规模入侵数据时面临瓶颈，存在安全隐患。

综上所述，针对传统网络入侵检测技术在云计算环境下的处理大规模数据时庞大的时间开销，检测性能不高与实时性较低的问题，以及当前云计算环境下入侵检测系统架构存在冗余性和复杂性的问题，尚缺乏有效的解决方案。

技术实现要素：

本发明为了解决上述问题，提供一种云计算环境入侵检测系统架构。本发明的系统架构从分布性、伸缩性、实时性和自适应性四个方面进行设计，有效降低云计算环境中可能出现的各类风险，针对新型的攻击不断进行学习，提高安全技术同时提高云服务的质量。

为了实现上述目的，本发明采用如下一种技术方案：

一种云计算环境入侵检测系统架构，该系统架构包括：

云入侵检测代理层，所述云入侵检测代理层设置于虚拟机层级，用于当云用户申请资源的同时需要额外的安全需求时，提供伴随的监控服务形式为各个云区域内的虚拟机提供入侵检测服务和安全防护；所述云入侵检测代理层在同一云区域内共享信息；

云入侵检测域控制层，所述云入侵检测域控制层设置于云区域层级，用于负责其所在云区域中的每个云用户的虚拟机提供入侵检测服务，即控制所述云入侵检测代理层，以及控制警报数据日志的中间传输；

云入侵检测域控管理层，所述云入侵检测域控管理层设置于整个云计算环境层级，用于管理每个云区域中的所述云入侵检测域控制层，对其进行初期配置，以及检测当前云计算环境中已出现的相关威胁；

和

云机器学习层，所述云机器学习层设置于整个云计算环境层级，用于根据机器学习的方式负责从警报、网络传输流、日志信息中学习正常模式和攻击模式的特征。

在本发明中，所述云入侵检测代理层在同一云区域内共享信息，帮助在同一云区域内的虚拟机共同进行入侵威胁的预防；同一云区域内，在一个虚拟机检测到入侵，通过所述云入侵检测代理层进行检测到入侵信息的信息共享，帮助其他虚拟机进行入侵威胁的预防。

进一步的，所述云入侵检测代理层包括若干云计算环境的虚拟机管理器，一个云计算环境的虚拟机管理器上包括若干云入侵检测代理模块运行入侵检测服务，一个云入侵检测代理模块至少监控同一个云区域中的一个虚拟机的源数据。

在本发明中，在同一个云区域中，一个云入侵检测代理模块可以兼顾一个虚拟机的源数据，但该云入侵检测代理模块的部署对云入侵检测代理模块将会性能过剩；在本发明中根据需要一个云入侵检测代理模块可以用于检测多个虚拟机，监控多个虚拟机的源数据。

在本发明中，云入侵检测代理模块是云计算环境入侵检测系统架构的检测核心组件，散布在云环境中，使其无需依赖一种中心化的检测机制。

进一步的，所述云入侵检测代理层的所述云入侵检测代理模块的数量根据云计算环境用户数量和/或虚拟机数量改变。

在本发明中，在云计算环境用户数量较多和/或虚拟机实例较多的情况下，所述云入侵检测代理模块的数量根据递当前虚拟机运行情况进行增加。将核心检测服务基于云环境中的实际需求而调整检测力度和检测范围，灵活部署入侵检测服务数量满足需求。

进一步的，相同云计算环境的虚拟机管理器控制的不同所述云入侵检测代理模块之间进行信息共享。

在本发明中，相同云计算环境的虚拟机管理器控制的不同所述云入侵检测代理模块之间进行信息共享，帮助在同一云区域内的虚拟机共同进行入侵威胁的预防；同一云区域内，在一个虚拟机检测到入侵，通相同云计算环境的虚拟机管理器控制的不同所述云入侵检测代理模块之间进行信息共享，帮助其他虚拟机进行入侵威胁的预警预防。

进一步的，所述云入侵检测代理模块包括：

数据采集模块，所述数据采集模块用于采集虚拟机的云计算环境综合性能日志；

数据预处理模块，所述数据预处理模块用于对所述数据采集模块采集的数据进行预处理；

核心检测模块，所述核心检测模块用于将所述数据预处理模块预处理的数据根据入侵检测模型进行入侵检测；

和

信息共享模块，所述信息共享模块用于当所述核心检测模块检测到入侵威胁，将入侵威胁信息通告至同一云计算环境的虚拟机管理器控制的其他云入侵检测代理模块。

进一步的，所述云入侵检测域控制层包括云入侵检测域控制模块，同一个云区域中设置一个所述云入侵检测域控制模块，所述云入侵检测域控制模块与同一云区域中的若干云入侵检测代理模块连接，所述云入侵检测域控制模块用于控制所述云入侵检测代理模块，负责其所在云区域中的每个云用户的虚拟机提供入侵检测服务，以及控制所述云入侵检测代理模块之间的警报数据日志传输。

进一步的，所述云入侵检测域控管理层包括云入侵检测域控管理模块和子入侵检测域控管理模块，

所述云入侵检测域控管理模块用于管理每个云区域中的所述云入侵检测域控制模块，对其进行初期配置，以及检测当前云计算环境中已出现的相关威胁；

所述子入侵检测域控管理模块用于当所述云入侵检测域控管理模块被恶意攻击妥协后替代所述云入侵检测域控管理模块工作。

进一步的，所述云机器学习层包括云机器学习引擎，所述云机器学习引擎用于根据机器学习的方式负责从警报、网络传输流、日志信息中学习正常模式和攻击模式的特征。

本发明为了解决动态多变的云环境中异常情况的入侵检测的问题，提供一种云计算环境入侵检测方法，该入侵检测方法基于上述一种云计算环境入侵检测系统架构。

为了实现上述目的，本发明采用如下一种技术方案：

一种云计算环境入侵检测方法，该方法包括以下步骤：

(1)数据采集：采集虚拟机的云计算环境综合性能日志；

(2)数据预处理：对所述数据采集模块采集的数据进行预处理；

(3)核心检测：将所述数据预处理模块预处理的数据根据入侵检测模型进行入侵检测；

(4)信息共享：当所述核心检测模块检测到入侵威胁，将入侵威胁信息通告至同一云计算环境的虚拟机管理器控制的其他云入侵检测代理模块。

进一步的，所述步骤(1)的数据采集的过程中统一数据的采集格式。

进一步的，所述步骤(2)中，数据预处理的具体步骤为：

对步骤(1)中采集的数据进行去除0值数据的处理；

标称数据数值化处理；

数值归一化处理；

进行pca降维处理，得到降维后的预处理数据。

进一步的，所述步骤(3)中，核心检测采用树突细胞入侵检测模型对降维后的预处理数据进行检测，同时叠加其他入侵检测模型对降维后的预处理数据进行检测，综合各自的入侵判断结果，得到最后的入侵检测结果，具体步骤为：

对降维后的预处理数据进行树突细胞入侵检测：信号融合处理；进行入侵指标计算，得到入侵判断；输出入侵判断结果；

对降维后的预处理数据进行除树突细胞入侵检测外的其他入侵检测，输出其他入侵判断结果；

综合各自的入侵判断结果，得到入侵检测结果，并将入侵检测结果输出。

在本发明中，采用实时性较强的入侵检测技术，结合数据预处理工作可将大规模数据处理的计算量大幅减少。多种入侵检测技术的叠加保险，兼用机器学习式的方法来训练学习检测模型。

本发明的有益效果：

(1)本发明的一种云计算环境入侵检测系统架构及其方法，结合云计算环境的充裕计算能力，通过基于异常检测的入侵检测技术，使得云环境下的入侵检测系统面对已知种类及未知种类的大规模入侵数据时，能解决传统网络环境所面临的瓶颈。

(2)本发明的一种云计算环境入侵检测系统架构，在云入侵检测代理层在同一云区域内共享信息，使得系统架构具备了动态适应和自组织规模的特性，将“信息共享”的特点使用在云计算环境的入侵检测技术具备以下特性：

“入侵检测即服务”(idsasaservice)的概念、服务的轻量化，使得云环境中的入侵检测具备分布性、伸缩扩展性及信息共享性；

云环境机器学习模块对入侵行为基于特征的规则与危险信号的规则的解析，强化相关知识数据库，做好已知入侵与未知攻击的有效检测；

良好的用户接口简化了用户对于ids服务的管理，默认配置信息可以进行快速的、最基础的防护。

(3)本发明的一种云计算环境入侵检测系统架构，具有：

分布性，检测核心散布在云环境中，使其无需依赖一种中心化的检测机制；

伸缩性，将核心检测服务基于云环境中的实际需求而调整检测力度和检测范围，灵活部署入侵检测服务数量满足需求；

实时性，采用实时性较强的入侵检测技术，结合数据预处理工作可将大规模数据处理的计算量大幅减少；

自适应性，多种入侵检测技术的叠加保险，兼用机器学习式的方法来训练学习检测模型。

附图说明

图1为本发明的系统架构示意图；

图2为本发明的方法流程图。

具体实施方式：

应该指出，以下详细说明都是例示性的，旨在对本申请提供进一步的说明。除非另有指明，本发明使用的所有技术和科学术语具有与本申请所属技术领域的普通技术人员通常理解的相同含义。

需要注意的是，这里所使用的术语仅是为了描述具体实施方式，而非意图限制根据本申请的示例性实施方式。如在这里所使用的，除非上下文另外明确指出，否则单数形式也意图包括复数形式，此外，还应当理解的是，当在本说明书中使用术语“包含”和/或“包括”时，其指明存在特征、步骤、操作、器件、组件和/或它们的组合。

在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。下面结合附图与实施例对本发明作进一步说明。

实施例1：

本发明为了解决背景技术所介绍存在的问题，提供一种云计算环境入侵检测系统架构。本发明的系统架构从分布性、伸缩性、实时性和自适应性四个方面进行设计，有效降低云计算环境中可能出现的各类风险，针对新型的攻击不断进行学习，提高安全技术同时提高云服务的质量。

为了实现上述目的，本发明采用如下一种技术方案：

如图1所示，

一种云计算环境入侵检测系统架构cidaas，该系统架构cidaas包括：

云入侵检测代理层，所述云入侵检测代理层设置于虚拟机层级，用于当云用户申请资源的同时需要额外的安全需求时，提供伴随的监控服务形式为各个云区域region内的虚拟机vm提供入侵检测服务和安全防护；所述云入侵检测代理层在同一云区域region内共享信息；

云入侵检测域控制层，所述云入侵检测域控制层设置于云区域层级，用于负责其所在云区域region中的每个云用户的虚拟机vm提供入侵检测服务，即控制所述云入侵检测代理层，以及控制警报数据日志的中间传输；

云入侵检测域控管理层，所述云入侵检测域控管理层设置于整个云计算环境层级，用于管理每个云区域region中的所述云入侵检测域控制层，对其进行初期配置，以及检测当前云计算环境中已出现的相关威胁；

和

云机器学习层，所述云机器学习层设置于整个云计算环境层级，用于根据机器学习的方式负责从警报、网络传输流、日志信息中学习正常模式和攻击模式的特征。

在本发明中，所述云入侵检测代理层在同一云区域region内共享信息，帮助在同一云区域region内的虚拟机vm共同进行入侵威胁的预防；同一云区域region内，在一个虚拟机vm检测到入侵，通过所述云入侵检测代理层进行检测到入侵信息的信息共享，帮助其他虚拟机vm进行入侵威胁的预防。

如图1所示，所述云入侵检测代理层包括若干云计算环境的虚拟机管理器(hypervisor)，一个云计算环境的虚拟机管理器hypervisor上包括若干云入侵检测代理模块(cloudintrusiondetectionagent，cida)运行入侵检测服务，一个云入侵检测代理模块cida至少监控同一个云区域region中的一个虚拟机vm的源数据。

在同一个云区域region中，一个云入侵检测代理模块cida可以兼顾一个虚拟机vm的源数据，但该云入侵检测代理模块cida的部署对云入侵检测代理模块cida将会性能过剩；在本发明中根据需要一个云入侵检测代理模块cida可以用于检测多个虚拟机vm，监控多个虚拟机vm的源数据。

在本发明中，云入侵检测代理模块cida是云计算环境入侵检测系统架构cidaas的检测核心组件，散布在云环境中，使其无需依赖一种中心化的检测机制。

在本实施例中，所述云入侵检测代理层的所述云入侵检测代理模块cida的数量根据云计算环境用户数量和/或虚拟机vm数量改变。

在本发明中，在云计算环境用户数量较多和/或虚拟机vm实例较多的情况下，所述云入侵检测代理模块cida的数量根据递当前虚拟机运行情况进行增加。将核心检测服务基于云环境中的实际需求而调整检测力度和检测范围，灵活部署入侵检测服务数量满足需求。

在本实施例中，相同云计算环境的虚拟机管理器hypervisor控制的不同所述云入侵检测代理模块cida之间进行信息共享。

在本发明中，相同云计算环境的虚拟机管理器hypervisor控制的不同所述云入侵检测代理模块cida之间进行信息共享，帮助在同一云区域region内的虚拟机vm共同进行入侵威胁的预防；同一云区域region内，在一个虚拟机vm检测到入侵，通相同云计算环境的虚拟机管理器hypervisor控制的不同所述云入侵检测代理模块cida之间进行信息共享，帮助其他虚拟机vm进行入侵威胁的预警预防。

在本实施例中，所述云入侵检测代理模块cida包括：

数据采集模块，所述数据采集模块用于采集虚拟机vm的云计算环境综合性能日志；

数据预处理模块，所述数据预处理模块用于对所述数据采集模块采集的数据进行预处理；

核心检测模块，所述核心检测模块用于将所述数据预处理模块预处理的数据根据入侵检测模型进行入侵检测；

和

信息共享模块，所述信息共享模块用于当所述核心检测模块检测到入侵威胁，将入侵威胁信息通告至同一云计算环境的虚拟机管理器hypervisor控制的其他云入侵检测代理模块cida。

在本实施例中，所述云入侵检测域控制层包括云入侵检测域控制模块(cloudintrusiondetectionregioncontrol，cidrc)，同一个云区域region中设置一个所述云入侵检测域控制模块cidrc，所述云入侵检测域控制模块cidrc与同一云区域region中的若干云入侵检测代理模块cida连接，所述云入侵检测域控制模块cidrc用于控制所述云入侵检测代理模块cida，负责其所在云区域region中的每个云用户的虚拟机vm提供入侵检测服务，以及控制所述云入侵检测代理模块cida之间的警报数据日志传输。

在本实施例中，所述云入侵检测域控管理层包括云入侵检测域控管理模块(cloudintrusiondetectionregioncontrolmanager，cidrcm)和子入侵检测域控管理模块(sub-idrcm)，

所述云入侵检测域控管理模块cidrcm用于管理每个云区域region中的所述云入侵检测域控制模块cidrc，对其进行初期配置，以及检测当前云计算环境中已出现的相关威胁；

所述子入侵检测域控管理模块sub-idrcm用于当所述云入侵检测域控管理模块cidrcm被恶意攻击妥协后替代所述云入侵检测域控管理模块cidrcm工作。

在本实施例中，所述云机器学习层包括云机器学习引擎(cloudmachinelearningengine，cmle)，所述云机器学习引擎cmle用于根据机器学习的方式负责从警报、网络传输流、日志信息中学习正常模式和攻击模式的特征。

实施例2：

本发明为了解决动态多变的云环境中异常情况的入侵检测的问题，提供一种云计算环境入侵检测方法，该入侵检测方法基于上述一种云计算环境入侵检测系统架构cidaas。

为了实现上述目的，本发明采用如下一种技术方案：

如图2所示，在云入侵检测代理模块cida中执行云计算环境入侵检测方法，

一种云计算环境入侵检测方法，该方法包括以下步骤：

(1)数据采集：利用sysstat工具采集虚拟机vm的云计算环境综合性能日志，采集过程中统一采集格式；

(2)数据预处理：对所述数据采集模块采集的数据进行预处理；

(3)核心检测：将所述数据预处理模块预处理的数据根据入侵检测模型进行入侵检测；

(4)信息共享：当所述核心检测模块检测到入侵威胁，将入侵威胁信息通告至同一云计算环境的虚拟机管理器hypervisor控制的其他云入侵检测代理模块cida。

在本实施例中，所述步骤(2)中，数据预处理的具体步骤为：

对步骤(1)中采集的数据进行去除0值数据的处理；

标称数据数值化处理；

数值归一化处理；

进行pca降维处理，得到降维后的预处理数据。

在本实施例中，所述步骤(3)中，核心检测采用树突细胞入侵检测模型对降维后的预处理数据进行检测，同时叠加其他入侵检测模型对降维后的预处理数据进行检测，综合各自的入侵判断结果，得到最后的入侵检测结果，具体步骤为：

对降维后的预处理数据进行树突细胞入侵检测：信号融合处理；进行入侵指标计算，得到入侵判断；输出入侵判断结果；

对降维后的预处理数据进行除树突细胞入侵检测外的其他入侵检测，输出其他入侵判断结果；

综合各自的入侵判断结果，得到入侵检测结果，并将入侵检测结果输出。

在本发明中，采用实时性较强的入侵检测技术，结合数据预处理工作可将大规模数据处理的计算量大幅减少。多种入侵检测技术的叠加保险，兼用机器学习式的方法来训练学习检测模型。

本发明的有益效果：

(1)本发明的一种云计算环境入侵检测系统架构cidaas及其方法，结合云计算环境的充裕计算能力，通过基于异常检测的入侵检测技术，使得云环境下的入侵检测系统面对已知种类及未知种类的大规模入侵数据时，能解决传统网络环境所面临的瓶颈。

(2)本发明的一种云计算环境入侵检测系统架构cidaas，在云入侵检测代理层在同一云区域region内共享信息，使得系统架构cidaas具备了动态适应和自组织规模的特性，将“信息共享”的特点使用在云计算环境的入侵检测技术具备以下特性：

“入侵检测即服务”(idsasaservice)的概念、服务的轻量化，使得云环境中的入侵检测具备分布性、伸缩扩展性及信息共享性；

云环境机器学习模块对入侵行为基于特征的规则与危险信号的规则的解析，强化相关知识数据库，做好已知入侵与未知攻击的有效检测；

良好的用户接口简化了用户对于ids服务的管理，默认配置信息可以进行快速的、最基础的防护。

(3)本发明的一种云计算环境入侵检测系统架构cidaas，具有：

分布性，检测核心散布在云环境中，使其无需依赖一种中心化的检测机制；

伸缩性，将核心检测服务基于云环境中的实际需求而调整检测力度和检测范围，灵活部署入侵检测服务数量满足需求；

实时性，采用实时性较强的入侵检测技术，结合数据预处理工作可将大规模数据处理的计算量大幅减少；

自适应性，多种入侵检测技术的叠加保险，兼用机器学习式的方法来训练学习检测模型。

以上所述仅为本申请的优选实施例而已，并不用于限制本申请，对于本领域的技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。