一種集成免疫虛擬機檢測方法

一種集成免疫虛擬機檢測方法
【專利摘要】本發明公開了一種集成免疫虛擬機檢測方法。該方法包括：在被監控的虛擬主機端及網絡監控點采用日志采集代理捕獲數據包，將采集的數據包進行解析后預處理，形成統一的數據格式。并輸入檢測器進行異常檢測。判斷為異常的行為，進行告警。判斷為正常的行為數據形成未成熟檢測器，在免疫系統中進行進化。
【專利說明】一種集成免疫虛擬機檢測方法
【技術領域】
[0001]本發明涉及云計算環境下對虛擬機的監控技術，特別涉及基于粗糙集和免疫原理的入侵檢測方法的設計。
【背景技術】
[0002]入侵檢測是通過監控網絡和系統的狀態、行為以及使用情況來檢測系統用戶的越權使用以及系統外部的入侵者利用系統的安全缺陷對系統進行入侵的企圖。入侵檢測系統(Intrusion Detection System,簡稱IDS)作為防火墻后面的第二道防線，開始逐步受到人們重視。1980 年，James Anderson 在題為〈〈Computer security Threat Monitoring andsurveillance》的技術報告中，第一次詳細闡述了入侵檢測的概念。入侵檢測技術是對計算機或計算機網絡系統進行攻擊的行為的識別及響應過程。入侵檢測作為一種積極主動的安全防護技術，不間斷的對計算機網絡或計一算機系統中的若干關鍵點進行信息收集和信息分析，提供了對內部攻擊、外部攻擊和誤操作等的實時保護，并實時做出安全響應，在網絡系統受到危害之前攔截和響應入侵。因而，入侵檢測系統的研究與實現非常緊迫和必要，其具有廣闊的應用前景。
[0003]1987年，Dorothy Denning發表了入侵檢測領域內的經典論文《入侵檢測模型》(“An Intrusion Detection Model ”)，文中對入侵檢測問題進行了深入的討論，這篇文獻被認為是入侵檢測領域內的開創性成果。根據數據來源的方式的不同，將入侵檢測系統 IDS (Intrusion Detection System,簡稱 IDS)分為:基于主機的 IDS (host-basedIDS，簡稱HIDS);基于網絡的IDS(network-based IDS，簡稱NIDS);分布式入侵檢測系統IDS (distributed IDS，簡稱DIDS) [3]。NIDS部署在局域網中，對網絡中的流量進行適時地分析(如Snort);而!1103則是分析系統的內部狀態和日志，從而發現入侵行為(如0SSEC)；入侵防御系統(intrusion` prevention system,簡稱IPS)則是在入侵檢測的基礎上實現動態的響應。目前，SRI / CSL、普度大學、加州大學戴維斯分校、洛斯阿拉莫斯國家實驗室、哥倫比亞大學、新墨西哥大學等機構在這些方面的研究代表了當前最高水平。
[0004]隨著并行計算、分布計算和網格計算的發展，作為全新計算模式的云計算，通過互聯網動態可伸縮的以服務的方式提供虛擬化計算資源，它是繼個人電腦、互聯網之后電子信息【技術領域】又一次重大變革。微軟、谷歌、IBM的RC2、亞馬遜的EC2、Netsuite, NetApp,Adobe等商業巨頭均加入了云計算的行列。而在云計算大規模應用的同時，安全問題也日益成為人們關注的焦點。
[0005]2007年，云計算在業界引起關注，并在國內外迅速發展。但是在云計算發展的初期，云計算安全沒有引起業界足夠的關注。直到最近云計算安全事故頻發，云計算安全才引起人們的關注。過去的慘痛經驗告訴人們，只有在設計初期就充分考慮安全因素，才能保證云計算的安全落地。目前，國內外云計算安全的研究都剛剛起步。
[0006]云計算安全聯盟CSA(Cloud Security Alliance)先后發布了《云計算面臨的嚴重威脅》、《云控制矩陣》、《關鍵領域的云計算安全指南》等研究報告，并發布了云計算安全定義。這些報告從技術、操作、數據等多方面強調了云計算安全的重要性、保證安全性應當考慮的問題以及相應的解決方案，對形成云計算安全行業規范具有重要影響。國際電信聯盟ITU-TSG17研究組會議于2010年5月在瑞士的日內瓦召開，決定成立云計算專項工作組，旨在達成一個“全球性生態系統”，確保各個系統之間安全的交換信息。工作組將評估當前的各項標準，將來會推出新的標準。云計算安全是其中重要的研究課題，計劃推出的標準包括《電信領域云計算安全指南》。
[0007]由于云計算環境中虛擬機的出現、以及安全域的模糊化，傳統的IDS、IPS，防火墻直接部署在云計算環境中，不能起到有效的防護作用。

【發明內容】

[0008]本發明提供了 一種集成免疫虛擬機檢測方法。
[0009]本發明結合入侵檢測和云計算技術的結合點，將基于粗糙集和免疫原理的入侵檢測引入到云計算領域中，設計一種集成免疫虛擬機檢測方法。該方法包括:在被監控的虛擬主機端和網絡節點處使用日志采集代理，將采集的日志信息傳給集成免疫云入侵檢測模塊，并按照一定的算法定義異常事件的類型，并更新規則庫，當符合定義的異常特征時，將通知響應代理進行實時響應。實現對云計算虛擬主機進行實時檢測。
【專利附圖】

【附圖說明】
[0010]圖1是一種集成免疫虛擬機檢測演化模型框圖；
[0011]圖2是一種集成免疫虛擬機檢測分析流程圖。
【具體實施方式】
[0012]針對物聯網和云計算環境中的虛擬機安全問題，本發明設計了一種集成免疫虛擬機檢測方法。
[0013]本發明的演化模型圖如圖1所示。本發明的主要模塊包括:數據采集模塊、誤用模塊、粗糙集方法訓練模塊和基于免疫原理的入侵檢測分析模塊。這些模塊自身的作用以及各個模塊之間的相互作用如下所述:
[0014]虛擬機和網絡節點處設計數據采集代理，采集代理將采集到的日志數據發送給基于免疫原理的入侵檢測分析模塊。由基于免疫原理的入侵檢測分析模塊負責采用免疫原理的否定選擇算法進行異常檢測，生成規則庫對虛擬主機中的規則庫進行更新。虛擬主機將采集到的數據與規則庫進行匹配，實施異常檢測過程。
[0015]本發明的系統工作流圖如圖2所示。本發明的一種集成免疫虛擬機檢測方法的工作的具體步驟如下所述:
[0016]步驟201、抗原庫采用粗糙集方法生成記憶抗體；
[0017]步驟202、提取部分優良記憶抗體進行高斯變異形成部分未成熟抗體；
[0018]步驟203、提取部分優良抗體進行交叉、變異注入未成熟抗體庫；
[0019]步驟204、隨機生成部分未成熟抗體；
[0020]步驟205、未成熟抗體是否超過生命周期(T1),如果超過則死亡，否則匹配自我集合；[0021]步驟206、匹配到任何一個自我，則死亡，否則成為成熟抗體；
[0022]步驟207、成熟抗體在一定的周期(T2)內，是否超過激活門限，如果不超過，則死亡，否則激活；
[0023]步驟208、根據協同刺激信號將成熟抗體轉化為記憶抗體，采用最優策略更新記憶抗體庫，轉步驟201 ；
[0024]步驟209、每隔一周期T3,動態提取記憶抗體；
[0025]步驟210、注射疫苗到成熟抗體庫，轉步驟207。
[0026]通過以上的實施方式的描述，本領域的技術人員可以清楚地了解到本發明可借助粗糙集算法和免疫原理的算法對虛擬主機和網絡節點的日志進行異常檢測。
[0027]顯然，本領域的技術人員可以對本發明進行各種改動和變型而不脫離本發明的精神和范圍。這樣，倘若本發明的這些修改和變型屬于本發明權利要求及其等同技術的范圍之內，則本發明也意圖包含這些改動和變型在內。
【權利要求】
1.一種集成免疫虛擬機檢測方法，其特征在于，該方法包括: 將已知數量為N的數據包信息，采用粗糙集方法進行訓練，獲取決策規則，代表異常的規則注入誤用檢測規則庫，代表正常的規則注入異常檢測規則庫，成為抗體Ab。 捕獲虛擬主機和網絡中某端口的數據包。將該數據包歸一化處理成長度為I的二進制字符串，即待檢測的抗原。根據抗原與誤用規則庫的中檢測規則進行匹配，判斷該抗原是否異常。自我抗原Ag采用免疫進化算法進行異常檢測，D =撫L(喂-^)2，并將D值與預先設定的閾值進行比較判斷是否受到入侵。自我Self進入免疫模塊進行免疫進化。
2.根據權利要求1所述的方法，自我Self進入免疫模塊進行免疫進化包括: 假設記憶抗體庫包含M個抗體，隨機生成M / 2的未成熟抗體，將記憶抗體庫中的抗體抽取M/2進行交叉變異生成未成熟抗體。 未成熟在其給定生命周期內轉化為成熟抗體。成熟抗體在生命周期內檢測抗原。在一給定時間范圍內檢測到數量為k個抗原，進化為記憶抗體。間隔時間T后，提取記憶抗體進行聚類，形成免疫疫苗 ，即疫苗提取操作。對未成熟抗體進行疫苗接種操作。
【文檔編號】H04L29/06GK103825877SQ201310557416
【公開日】2014年5月28日 申請日期:2013年11月7日 優先權日:2013年11月7日
【發明者】張玲, 謝康, 張靜, 查雅行, 徐勤, 李偉, 李星 申請人:北京安碼科技有限公司