一种云计算平台中基于混合模型的行为检测系统与方法
【技术领域】
[0001]本发明属于云计算安全领域,具体是一种云计算平台中基于混合模型的行为检测系统与方法。
【背景技术】
[0002]云计算模型通过互联网可以提供网络,服务器,存储,应用软件等动态易扩展的虚拟化资源。
[0003]由于网络中可能存在恶意用户,云计算平台也面临安全问题。例如,合法的云用户在进入云系统之后希望获得自己权限以外的一些应用权限,从而可以从事一些破坏性的行为。
[0004]对于云系统中可能存在的入侵威胁也需要相应的入侵检测系统(IDS)进行解决。行为检测通过对用户行为的分析入手,对用户行为进行评估,进而可以采取相应措施,消除不良用户对云端服务器的恶意攻击行为,提升云环境的安全性。常见的检测方式主要包括:基于指纹、基于协议状态信息与基于非正常特征这三种方式。无论哪一种方法,都通过大量的信息收集,制定相应的决定策略。目前常见的针对云平台的用户行为检测方案通常都采用比较单一的架构进行。
[0005]但是,云平台系统与普通的网络应用平台系统相比,有其独特的特异性。云系统的复杂性决定了部署在云系统不同位置的行为检测模块所面对的问题也会相应地有非常大的差异。因此,在云系统不同位置所部属的不同的检测算法可以更好地提升整个系统的性能,也可以跟大限度的挖掘出不同算法的优势。
【发明内容】
[0006]本发明所要解决的技术问题是设计一种云平台中的行为检测系统,基本思路是将整个云平台的防御由多个种类不同的行为检测系统来负责,并统一进行管理调配,以解决上述【背景技术】中提出的问题。
[0007]为实现上述目的,本发明提供如下技术方案:
一种云计算平台中基于混合模型的行为检测系统与方法,包括整体管理模块、骨干网健康IDS管理模块、关键节点的IDS模块、主机节点间网络IDS模块和预留服务IDS管理接口,所述整体管理模块分别连接骨干网健康IDS管理模块、关键节点的IDS模块、主机节点间网络IDS模块和预留服务IDS管理接口。
[0008]作为本发明的优选方案:所述骨干网健康IDS管理模块、关键节点的IDS模块、主机节点间网络IDS模块和预留服务IDS管理接口都可以独立进行工作,同时又能够由整体管理模块来协调其他模块工作。
[0009]与现有技术相比,本发明的有益效果是:本发明可以在云系统不同位置所部属的不同的检测算法,每个模块既可以独立发挥检测作用,挖掘出不同算法的优势,又可以通过总体管理模块进行汇总,对多源信息进行综合判定,挖掘出异常行为,从而提升云平台的安全性。
【附图说明】
[0010]图1为云计算平台中基于混合模型的行为检测系统与方法的结构框图。
【具体实施方式】
[0011]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0012]请参阅图1,一种云计算平台中基于混合模型的行为检测系统与方法,包括整体管理模块、骨干网健康IDS管理模块、关键节点的IDS模块、主机节点间网络IDS模块和预留服务IDS管理接口,所述整体管理模块分别连接骨干网健康IDS管理模块、关键节点的IDS模块、主机节点间网络IDS模块和预留服务IDS管理接口。
[0013]骨干网健康IDS管理模块、关键节点的IDS模块、主机节点间网络IDS模块和预留服务IDS管理接口都可以独立进行工作,同时又能够由整体管理模块来协调其他模块工作。
[0014]1、在云计算平台的骨干网络、关键节点、主机间网络等需要进行行为检测的地方,添加检测模块,检测模块与整体管理模块相连,检测模块定时和整体管理模块进行握手交互。
[0015]2、各个检测模块部署不同的检测方法,并进入正常工作状态,开始定期收集该处指定的数据包,根据测试标准,对数据包的特征进行分析。如果某个检测模块的判定出存在异常行为,则告警。
[0016]3、各个检测模块定期将获取的特征数据,通过网络传输协议,发送给整体管理模块;
4、整体管理模块,根据接收到的各个其他模块的数据,汇总判定是否存在异常特征规律,如存在,则告警。
[0017]本发明的工作原理是:整体管理模块:主要负责整个行为检测系统的调度、管理下面子模块的作用,并且与用户的交互也是该模块的一个最重要功能。这个模块中将集成给客户报警的功能部分,而如果出现的入侵类型只需要自动的对于云系统现有安全策略进行修改就可以完成,那么整体模块之下的子模块将完成相应的工作。
[0018]骨干网监控IDS管理模块:主要是对于主干网发现的问题进行反应。主干网络当中最可能出现的异常主要出现在流量特征上面,即当遭受DD0S或者木马等会显著改变流量特征的攻击行为,并且主要是针对整个系统的攻击,那么骨干网络的IDS将会很轻易发现并作出限制流量或禁止用户访问的安全设置。这个模块将最大程度对于防火墙的安全设置产生影响,而当流量产生异常时,模块内部也会激发基于网络的IDS模块,对于流量片段进行分析,从而得出新的入侵流量特征。
[0019]关键节点的IDS模块:关键节点IDS发送给该服务器的各种型号将由该模块进行汇总预处理。由于信号种类会非常的繁多,该模块需要对于信号进行分类与组合,以判断关键节点具体遭受到的入侵种类并作出相应的反应。而对于攻击类型的判断,也不是根据单一的信号特征,而是根据不同组合信号组合进行相应的入侵判断。
[0020]主机节点间网络IDS:这里与主干网络的管理模块很类似,只不过其处理的数据类型有些不同。控制和传输数据会非常的多,而且相对于骨干网络而言,这里不会存在IP欺骗的个不明身份用户入侵问题,但会增加该模块分析的困难。因为必须从发送的信息中知晓主机间网络所传输的不良流量到底是由哪个用户所生成,从而才可以做出相应的反应。它对于防火强的修改,也有非常重要的作用。
[0021]预留服务IDS管理接口:如上文所述,由于我发判别云计算平台具体会提供哪些服务,因此没有为服务设计专门的IDS。但是,在IDS的管理系统中依然提供了针对服务IDS的接口,用户可以通过该接口定义所选用针对服务IDS所传输信号的处理行为,从而增加对于针对服务的IDS的管理。
[0022]综上,我们对行为检测系统有了全面的分析,并对模块的作用也做了相应的说明。所有模块的信息都将会通过整体管理模块注册存入相应的数据服务器当中,系统会周期性的对这些信息进行分析,从而对于各自的IDS进行设置和调配,从而让其更高效的发挥作用。
[0023]本发明根据云计算平台的特点,提出了一种基于混合模型的行为检测方法,在云系统不同位置部署不同行为检测模块,并实现不同方法的调度,挖掘出不同算法的优势,可以更好地提升整个系统的性能,从而提升云平台的安全性。
【主权项】
1.一种云计算平台中基于混合模型的行为检测系统与方法,包括整体管理模块、骨干网健康IDS管理模块、关键节点的IDS模块、主机节点间网络IDS模块和预留服务IDS管理接口,其特征在于,所述整体管理模块分别连接骨干网健康IDS管理模块、关键节点的IDS模块、主机节点间网络IDS模块和预留服务IDS管理接口。2.根据权利要求1所述的一种云计算平台中基于混合模型的行为检测系统与方法,其特征在于,所述骨干网健康IDS管理模块、关键节点的IDS模块、主机节点间网络IDS模块和预留服务IDS管理接口都可以独立进行工作,同时又能够由整体管理模块来协调其他模块工作。
【专利摘要】本发明公开一种云计算平台中基于混合模型的行为检测系统与方法,包括整体管理模块、骨干网健康IDS管理模块、关键节点的IDS模块、主机节点间网络IDS模块和预留服务IDS管理接口。本发明可以在云系统不同位置所部属的不同的检测算法,每个模块既可以独立发挥检测作用,挖掘出不同算法的优势,又可以通过总体管理模块进行汇总,对多源信息进行综合判定,挖掘出异常行为,从而提升云平台的安全性。
【IPC分类】H04L29/06
【公开号】CN105262768
【申请号】CN201510738507
【发明人】邓玉成, 李洁, 葛莉莉
【申请人】上海科技网络通信有限公司
【公开日】2016年1月20日
【申请日】2015年11月4日