本发明属于网络安全技术领域,特别涉及一种基于群智理论的威胁检测系统及方法。
背景技术
云计算是网络信息时代重要的使能技术。当前,全球信息通信基础设施加速云化重构,云计算已演变为重要的ict(informationcommunicationstechnology)技术架构。早在2011年1月发布的it行业十大战略技术报告中就将云计算技术列为十大战略技术之首。google、ibm、microsoft、amazon、腾讯、阿里巴巴等知名it企业都在大力开发和推进云计算,但是近年来,云服务提供商频频出现各种不安全的事件,由此云安全成为了人们广泛关注的焦点。云计算环境下既存在网络空间安全问题的共性,又有其特殊性。其中,共性是指云计算环境下存在传统网络威胁,基于未知漏洞和后门的未知攻击仍是最大挑战;特殊性在于,云计算环境下用户间的物理边界消失,分时复用地共享网络、计算、存储等池化资源,不仅导致基于边界的传统防御思路难以有效实施,而且还出现了虚拟机同驻、虚拟机逃逸、侧信道攻击等新的攻击形式。
针对云计算安全问题,普遍采用ips/ids系统对整个云环境进行全天候监控和防护,根据检测器部署模式的不同,ips/ids系统可分为集中式和分布式两类。集中式威胁检测方法依赖于检测中心的健壮性,且云计算池化资源的动态性导致在资源迁移过程中存在检测盲区。分布式威胁检测方法的主要思路是在单一检测器内部集成面向各类威胁的检测引擎,但该方法导致检测器过于复杂,无法集成到计算能力受限的虚拟节点中。
技术实现要素:
针对现有云计算检测机制和方法在有效性和轻量化之间难以兼顾的问题,本发明提供一种基于群智理论的威胁检测系统及方法,通过非中心化的检测架构和群体协作的检测器联动机制,提高云环境下威胁检测的准确性和效率。
按照本发明所提供的设计方案,一种基于群智理论的威胁检测系统,包含:
异构静态检测器,内嵌于云环境中各云节点内部,通过监听云节点端口进行威胁检测;
异构动态检测器,外挂于云环境中各云节点之中,以动态游走方式进行威胁检测;
检测域构建模块,根据云环境下任务执行环境及安全防护需求,确定检测域并随上下文环境的变化对检测域进行动态调整,并通过检测域信息共享实现检测域动态重构;
群体协作模块,利用静态检测器和动态检测器在检测域内进行静态检测器预警和动态检测器联合判决的威胁闭合检测。
上述的,检测域构建模块包含检测域划分子模块和检测域动态调整子模块,其中,
检测域划分子模块,根据用户安全需求,构建多个不同安全等级和尺寸的威胁检测域,检测域通过四元组φ=<r,p,c,s>表示,其中,r表征检测域的资源和应用,p表示检测域的逻辑边界,c表征检测域之间的连通关系,s表征安全属性;
检测域动态调整子模块,用于通过建立安全等级和检测域威胁检测能力映射关系表,并依据用户安全需求制定相应静态检测器和动态检测器部署方案;将部署在云环境中的异构静态检测器和异构动态检测器散落在对应检测域内,形成非中心化威胁检测网络,通过检测域信息共享对检测域进行动态重构。
一种基于群智理论的威胁检测方法,包含如下内容:
a)面向云环境下不同类型目标对象,分析目标对象潜在威胁特征,对威胁特征进行刻画和分类,构建异构静态检测器和异构动态检测器;
b)依据用户安全需求,在云环境中构建不同安全等级和尺度的威胁检测域,建立安全等级与检测域威胁检测能力的映射关系表,将静态检测器和动态检测器散落在检测域内,形成非中心化威胁检测网络,并利用检测域信息共享进行检测域的动态调整重构;
c)在检测域内,通过静态检测器预警和动态检测器联合判决进行威胁闭合检测。
上述的方法,a)中,对威胁特征进行刻画和分类过程中,构建异构静态检测器,包含如下内容:首先,利用威胁特征的相似性进行聚类,产生若干威胁类别;然后,对该若干威胁类别,利用机器学习训练出若干异构静态检测器,并部署在云节点宿主机操作系统中。
上述的方法,a)中,对威胁特征进行刻画和分类过程中,构建异构动态检测器,包含如下内容:首先,利用威胁特征的相似性进行聚类,产生若干威胁类别;然后,对该若干威胁类别,依据威胁特征相似性进行二次聚类,针对该二次聚类结果通过机器学习训练出异构动态检测器,并以外挂虚拟机形式放置于云节点中。
上述的方法,b)中构建的威胁检测域,利用四元组φ=<r,p,c,s>表示,其中,r表征检测域的资源和应用,p表示检测域的逻辑边界,c表征检测域之间的连通关系,s表征安全属性。
上述的方法,b)中具体包含如下内容:首先,根据云环境下任务执行环境和安全防护需求,建立软件定义的检测域边界;然后,统一用户安全防护需求与检测域安全等级,建立检测域安全等级与检测能力的映射关系表;依据检测域检测能力及检测器部署密度的相关性,根据用户安全防护需求指定检测器部署方案;建立检测域信息交互机制,若其中一个检测域检测出威胁信息,利用信息交互机制将威胁信息扩散到所有检测域中,并对云节点发生变化情形利用软件定义边界方式对检测域进行动态重构。
上述的方法中,检测域信息交互机制包含如下内容:根据检测域时空分布,建立威胁信息分发树;在每个检测域内指定代言检测器,当检测域内检测出威胁信息后,通过代言检测器之间的信息交互,将威胁信息扩散到所有检测域中;同时代言检测器对威胁信息进行解析,获取威胁特征并将该威胁特征发送给静态检测器或动态检测器进行威胁特征数据的更新。
上述的方法,c)中,在检测域中,静态检测器通过监听云节点端口进行威胁检测;动态检测器,以动态游走方式进行威胁检测,通过建立随时间挥发的信息素模型来描述动态检测器游走痕迹,在动态检测器每次转移前,检测其相邻节点信息素浓度,将相邻节点信息素浓度转换为动态检测器转移概率;综合安全性和资源开销,确定动态检测器最佳游走频率。
上述的方法,c)中,威胁闭合检测,包含如下内容:根据静态检测器检测结果,若检测到疑似威胁时,在检测域内广播告警信息,多个动态检测器接收到该告警信息后,向广播源进行迁移;当该多个动态检测器汇聚到静态检测器所在云节点后,进行联合判决,若有其中的动态检测器检测到已知威胁,则判定该静态检测器所在云节点存在已知威胁,若没有动态检测器检测到已知威胁,但有超过半数的动态检测器检测到疑似威胁,则判定该静态检测器所在云节点存在未知威胁,否则,判定该静态检测器所在云节点不存在威胁。
本发明的有益效果:
本发明中,面向威胁构建不同类别的检测器,检测器根据功能不同分为部署于云节点内部的内嵌式静态检测器和可游走于云节点之间的外挂式动态检测器;根据云环境下用户、业务、租户等的任务执行环境和安全防护需求,确定检测域边界,并随着上下文环境的变化动态地对检测域进行调整。建立威胁检测域安全等级和检测能力之间映射关系表,并智能化定制检测器部署方案。建立检测域交互机制,实现威胁信息全局共享;并基于群体协作的威胁检测,建立动态检测器协同巡逻机制,提高动态检测器发现威胁的能力,利用部署的不同类别的静、动态检测器,通过多源信息融合的协同威胁检测,建立静态检测器预警——动态检测器联合判决的一体化防护体系;通过非中心化的威胁检测系统架构,提高云环境下威胁检测的准确率和速度,提高云环境下的安全性和可靠性,对推进网络安全具有重要的指导意义。
附图说明:
图1为实施例中威胁检测系统示意图;
图2为实施例中威胁检测方法示意图;
图3为实施例中威胁检测工作流程图;
图4为实施例中静态检测器构建示意图;
图5为实施例中动态检测器构建示意图;
图6为实施例中威胁检测域构建示意图;
图7为实施例中威胁检测域威胁信息交互机制流程图;
图8为实施例中动态监测器协同巡逻机制流程图;
图9为实施例中动、静检测器联合判决机制流程图。
具体实施方式:
为使本发明的目的、技术方案和优点更加清楚、明白,下面结合附图和技术方案对本发明作进一步详细的说明。
针对目前云环境采用ips/ids系统进行监控和防护过程中存在检测盲区及无法继承到能力受限虚拟节点,有效性和轻量化之间无法兼顾等情形,本发明实施例,参见图1所示,提供一种基于群智理论的威胁检测系统,包含:
异构静态检测器,内嵌于云环境中各云节点内部,通过监听云节点端口进行威胁检测;
异构动态检测器,外挂于云环境中各云节点之中,以动态游走方式进行威胁检测;
检测域构建模块,根据云环境下任务执行环境及安全防护需求,确定检测域并随上下文环境的变化对检测域进行动态调整,并检测域信息共享进行检测域动态重构;
群体协作模块,利用静态检测器和动态检测器在检测域内进行静态检测器预警和动态检测器联合判决的威胁闭合检测。
为满足用户多样化的安全需求,本发明再一个实施例中,检测域构建模块包含检测域划分子模块和检测域动态调整子模块,其中,
检测域划分子模块,根据用户安全需求,构建多个不同安全等级和尺度的威胁检测域,检测域通过四元组φ=<r,p,c,s>表示,其中,r表征检测域的资源和应用,p表示检测域的逻辑边界,c表征检测域之间的连通关系,s表征安全属性;
检测域动态调整子模块,用于通过建立安全等级和检测域威胁检测能力映射关系表,并依据用户安全需求制定相应静态检测器和动态检测器部署方案;将部署在云环境中的异构静态检测器和异构动态检测器散落在对应检测域内,形成非中心化威胁检测网络,通过检测域信息共享对检测域进行动态重构。
在确定用户、租户、应用等空间和用户安全防护需求以及四元组中四个维度属性要求条件下,划分不同属性的威胁检测域。当检测域边界确定以后,需建立安全等级与检测域威胁检测能力之间的映射关系。直观上而言,检测域内分布的检测器越密集,其威胁检测能力就越高。因此建立安全等级与检测器数量之间的映射关系表,将用户安全需求与检测域安全等级统一起来。根据检测域安全等级制定适配的静、动态检测器部署方案,将静、动态检测器散落在检测域内,形成非中心化的威胁检测网络。为实现检测域信息共享,建立检测域信息交互和协同机制,当某一检测域检测出威胁信息后,将威胁信息扩散到其他检测域,用于检测器更新。此外,由于云环境下各类资源分布具有动态性,为提高威胁检测的自适应性,利用软件定义边界方法对检测域进行动态重构。
基于上述的威胁检测系统,本发明实施例还提供一种基于群智理论的威胁检测方法,参见图2所示,包含如下内容:
a)面向云环境下不同类型目标对象,分析目标对象潜在威胁特征,对威胁特征进行刻画和分类,构建异构静态检测器和异构动态检测器;
b)依据用户安全需求,在云环境中构建不同安全等级和尺度的威胁检测域,建立安全等级与检测域威胁检测能力的映射关系表,将静态检测器和动态检测器散落在检测域内,形成非中心化威胁检测网络,并利用检测域信息共享进行检测域的动态调整和重构;
c)在检测域内,通过静态检测器预警和动态检测器联合判决进行威胁闭合检测。
参见图3所示,本发明实施例中,面向威胁构建不同类别的检测器,检测器根据功能不同分为部署于云节点内部的内嵌式静态检测器和可游走于云节点之间的外挂式动态检测器;根据云环境下用户、业务、租户等的任务执行环境和安全防护需求,确定检测域边界,并随着上下文环境的变化动态地对检测域进行调整。利用部署的不同类别的静、动态检测器,动态检测器检测威胁的过程可类比为“碰撞”问题,为提高动态检测器与威胁的“碰撞”概率,建立动态检测器协同巡逻机制。由于单个检测器无法实现对威胁闭合检测,构建静、动态检测器汇聚检测机制。当某静态检测器检测出所在节点出现疑似威胁时,该静态检测器向所在检测域广播告警信息,检测域内的所有动态检测器收到广播消息后向静态检测器汇聚,形成威胁闭合检测,通过多源信息融合的协同威胁检测,实现静态检测器预警——动态检测器联合判决的一体化防护体系,提高云环境下威胁检测的准确率和速度。
对威胁特征进行刻画和分类过程中,构建异构静态检测器,本发明再一个实施例中,首先,利用威胁特征的相似性进行聚类,产生若干威胁类别;然后,对该若干威胁类别,利用机器学习训练出若干异构静态检测器,并部署在云节点宿主机操作系统中。参见图4所示,对已知n种威胁根据其特征相似性进行聚类,产生m个聚类结果,其中m<n;针对产生的m个威胁类别,用机器学习算法训练出m种类别的异构检测器;将训练好的检测器部署在云节点的宿主机操作系统中,构建静态威胁检测器。
对威胁特征进行刻画和分类过程中,构建异构动态检测器,本发明另一个实施例中,包含如下内容:首先,利用威胁特征的相似性进行聚类,产生若干威胁类别;然后,对该若干威胁类别,依据威胁特征相似性进行二次聚类,针对该二次聚类结果通过机器学习训练出异构动态检测器,并以外挂虚拟机形式放置于云节点中。参见图5所示,对已知n种威胁根据其特征相似性进行聚类,产生m个聚类结果,其中m<n;针对产生的m个威胁类别,根据其特征相似性进行二次聚类,产生k个聚类结果,其中k<m;针对产生的k个威胁类别,用机器学习算法训练出k种类别的异构检测器;将训练好的检测器以虚拟机的形式放置在云节点中,构建动态检测器。动态检测器可通过虚拟机迁移的方式在不同云节点上游走。
本发明实施例中,威胁检测域可利用四元组φ=<r,p,c,s>表示,其中,r表征检测域的资源(如计算、存储和网络等)和应用(如web、数据库等),p表示检测域的逻辑边界,c表征检测域之间的连通关系,s表征安全属性。
威胁检测域构建过程,本发明再一个实施例,参见图6所示,包含如下内容:首先,根据云环境下任务执行环境和安全防护需求,建立软件定义的检测域边界;然后,统一用户安全防护需求与检测域安全等级,建立检测域安全等级与检测能力的映射关系表;依据检测域检测能力及检测器部署密度的相关性,根据用户安全防护需求指定检测器部署方案;建立检测域信息交互机制,若其中一个检测域检测出威胁信息,利用信息交互机制将威胁信息扩散到所有检测域中,并对云节点发生变化情形利用软件定义边界方式对检测域进行动态重构。
参见图7所示,检测域信息交互机制内容如下:根据检测域时空分布,建立威胁信息分发树;在每个检测域内指定代言检测器,当检测域内检测出威胁信息后,通过代言检测器之间的信息交互,将威胁信息扩散到所有检测域中;同时代言检测器对威胁信息进行解析,获取威胁特征并将该威胁特征发送给静态检测器或动态检测器进行威胁特征数据的更新。
在检测域中,静态检测器通过监听云节点端口进行威胁检测;动态检测器,以动态游走方式进行威胁检测,本发明另一个实施例中,参见图8所示,动态检测器通过协同巡逻机制进行威胁检测,具体可设计为:通过建立随时间挥发的信息素模型来描述动态检测器游走痕迹,信息素浓度会锁着时间推移而降低,在动态检测器每次转移前,检测其相邻节点信息素浓度,高信息素浓度的节点意味着该节点刚被其他动态检测器检测过。将相邻节点信息素浓度转换为动态检测器转移概率,对某节点的转移概率与其信息素浓度成反比;综合安全性和资源开销,确定动态检测器最佳游走频率。
静态检测器预警、动态检测器联合判决的威胁闭合检测过程中,参见图9所示,其联合判决机制内容可设计如下:根据静态检测器检测结果,其检测结果可分为三种,即检测到已知威胁,没有检测到威胁,检测到疑似威胁。若检测到疑似威胁时,在检测域内广播告警信息,多个动态检测器接收到该告警信息后,向广播源进行迁移;当该多个动态检测器汇聚到静态检测器所在云节点后,进行联合判决,若有其中的动态检测器检测到已知威胁,则判定该静态检测器所在云节点存在已知威胁,若没有动态检测器检测到已知威胁,但有超过半数的动态检测器检测到疑似威胁,则判定该静态检测器所在云节点存在未知威胁,否则,判定该静态检测器所在云节点不存在威胁。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
结合本文中所公开的实施例描述的各实例的单元及方法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已按照功能一般性地描述了各示例的组成及步骤。这些功能是以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。本领域普通技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不认为超出本发明的范围。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如:只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现,相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。