專利名稱：云計算中一種基于免疫原理的入侵檢測系統(tǒng)的制作方法
技術領域：
本發(fā)明涉及物聯(lián)網、云計算環(huán)境下對虛擬機的監(jiān)控技術，特別涉及基于免疫原理的入侵檢測系統(tǒng)的設計。
背景技術：
入侵檢測是通過監(jiān)控網絡和系統(tǒng)的狀態(tài)、行為以及使用情況來檢測系統(tǒng)用戶的越權使用以及系統(tǒng)外部的入侵者利用系統(tǒng)的安全缺陷對系統(tǒng)進行入侵的企圖。入侵檢測系統(tǒng)(Intrusion Detection System,簡稱IDS)作為防火墻后面的第二道防線，開始逐步受到人們重視。1980 年，James Anderson 在題為《Computersecurity Threat Monitoring andsurveillance》的技術報告中，第一次詳細闡述了入侵檢測的概念。入侵檢測技術是對計算機或計算機網絡系統(tǒng)進行攻擊的行為的識別及響應過程。入侵檢測作為一種積極主動的安全防護技術，不間斷的對計算機網絡或計一算機系統(tǒng)中的若干關鍵點進行信息收集和信息分析，提供了對內部攻擊、外部攻擊和誤操作等的實時保護，并實時做出安全響應，在網絡系統(tǒng)受到危害之前攔截和響應入侵。因而，入侵檢測系統(tǒng)的研究與實現(xiàn)非常緊迫和必要，其具有廣闊的應用前景。1987年，Dorothy Denning發(fā)表了入侵檢測領域內的經典論文《入侵檢測模型》(“An Intrusion Detection Model ”)，文中對入侵檢測問題進行了深入的討論，這篇文獻被認為是入侵檢測領域內的開創(chuàng)性成果。根據(jù)數(shù)據(jù)來源的方式的不同，將入侵檢測系統(tǒng) IDS (Intrusion Detection System,簡稱 IDS)分為基于主機的 IDS (host-basedIDS，簡稱HIDS);基于網絡的IDS(network-based IDS，簡稱NIDS);分布式入侵檢測系統(tǒng)IDS (distributed IDS，簡稱DIDS) [3]。NIDS部署在局域網中，對網絡中的流量進行適時地分析(如Snort);而!1103 則是分析系統(tǒng)的內部狀態(tài)和日志，從而發(fā)現(xiàn)入侵行為(如0SSEC)；入侵防御系統(tǒng)(intrusion prevention system,簡稱IPS)則是在入侵檢測的基礎上實現(xiàn)動態(tài)的響應。目前，SRI/CSL、普度大學、加州大學戴維斯分校、洛斯阿拉莫斯國家實驗室、哥倫比亞大學、新墨西哥大學等機構在這些方面的研究代表了當前最高水平。隨著并行計算、分布計算和網格計算的發(fā)展，作為全新計算模式的云計算，通過互聯(lián)網動態(tài)可伸縮的以服務的方式提供虛擬化計算資源，它是繼個人電腦、互聯(lián)網之后電子信息技術領域又一次重大變革。微軟、谷歌、IBM的RC2、亞馬遜的EC2、Netsuite, NetApp,Adobe等商業(yè)巨頭均加入了云計算的行列。而在云計算大規(guī)模應用的同時，安全問題也日益成為人們關注的焦點。2007年，云計算在業(yè)界引起關注，并在國內外迅速發(fā)展。但是在云計算發(fā)展的初期，云計算安全沒有引起業(yè)界足夠的關注。直到最近云計算安全事故頻發(fā)，云計算安全才引起人們的關注。過去的慘痛經驗告訴人們，只有在設計初期就充分考慮安全因素，才能保證云計算的安全落地。目前，國內外云計算安全的研究都剛剛起步。云計算安全聯(lián)盟CSA(Cloud Security Alliance)先后發(fā)布了《云計算面臨的嚴重威脅》、《云控制矩陣》、《關鍵領域的云計算安全指南》等研究報告，并發(fā)布了云計算安全定義。這些報告從技術、操作、數(shù)據(jù)等多方面強調了云計算安全的重要性、保證安全性應當考慮的問題以及相應的解決方案，對形成云計算安全行業(yè)規(guī)范具有重要影響。國際電信聯(lián)盟ITU-TSG17研究組會議于2010年5月在瑞士的日內瓦召開，決定成立云計算專項工作組，旨在達成一個“全球性生態(tài)系統(tǒng)”，確保各個系統(tǒng)之間安全的交換信息。工作組將評估當前的各項標準，將來會推出新的標準。云計算安全是其中重要的研究課題，計劃推出的標準包括《電信領域云計算安全指南》。由于云計算環(huán)境中虛擬機的出現(xiàn)、以及安全域的模糊化，傳統(tǒng)的IDS、IPS，防火墻直接部署在云計算環(huán)境中，不能起到有效的防護作用。

發(fā)明內容
本發(fā)明提供了云計算中一種基于免疫原理的入侵檢測系統(tǒng)。本發(fā)明結合入侵檢測和云計算技術的結合點，將基于免疫原理的入侵檢測引入到云計算領域中，設計入侵檢測系統(tǒng)模型。該系統(tǒng)的方法包括在被監(jiān)控的虛擬主機上端使用日志收集代理和規(guī)則庫，將采集的虛擬機日志信息傳給管理器，并按照一定的算法定義異常事件的類型，并更新代理規(guī)則庫，當符合定義的異常特征時，將通知響應代理進行實時響應。實現(xiàn)對云計算虛擬主機進行實時檢測。


圖1是基于免疫原理的入侵檢測模型框圖；圖2是基于免疫原理的入侵檢測分析流程圖。
具體實施例方式
針對物聯(lián)網和云計算環(huán)境中的虛擬機安全問題，本發(fā)明設計了一種基于免疫原理的入侵檢測系統(tǒng)。本發(fā)明的系統(tǒng)模型圖如圖1所示。本發(fā)明的主要模塊包括虛擬機中采集模塊、規(guī)則庫模塊和基于免疫原理的入侵檢測分析模塊。這些模塊自身的作用以及各個模塊之間的相互作用如下所述虛擬機上設計數(shù)據(jù)采集代理，采集代理將采集到的虛擬主機日志發(fā)送給基于免疫原理的入侵檢測分析模塊。由基于免疫原理的入侵檢測分析模塊負責采用免疫原理的否定選擇算法進行異常檢測，生成規(guī)則庫對虛擬主機中的規(guī)則庫進行更新。虛擬主機將采集到的數(shù)據(jù)與規(guī)則庫進行匹配，實施異常檢測過程。本發(fā)明的系統(tǒng)工作流圖如圖2所示。本發(fā)明的云計算中一種基于免疫原理的入侵檢測系統(tǒng)模型的工作的具體步驟如下所述步驟201、由自我規(guī)則庫產生不成熟檢測器；步驟202、用非自我規(guī)則庫通過肯定選擇算法對不成熟檢測器進行選擇，匹配的生成成熟檢測器，不匹配的死亡；步驟203、將虛擬主機上采集到的數(shù)據(jù)與成熟檢測器進行檢測。如果匹配成果則檢測器死亡，如果成熟檢測器容量尚有空余，則將新生成的成熟檢測器加入其中，否則計算成熟檢測器庫中單個個體的適應度值，用新的成熟檢測器取代適應度最差的個體；
步驟204、如果某成熟檢測器在生命周期內的匹配次數(shù)超過閾值，則激活；否則刪除該檢測器；步驟205、認為協(xié)同刺激確認為入侵，在同一階段被同一異常模式匹配的多個檢測器相互競爭，那些與異常模式具有最大匹配長度的檢測器被選擇為記憶檢測器，并將入侵特征送入記憶檢測器庫，并更新虛擬機中的規(guī)則庫；步驟206、如果記憶檢測器集合中尚有空余，將新生成的記憶檢測器加入其中；否則選擇最近最少匹配的記憶檢測器降為普通的成熟檢測器；步驟207、某成熟檢測器產生誤告警，刪除該檢測器；步驟208、如果某記憶檢測器產生誤告警，則刪除該記憶檢測器。通過以上的實施方式的描述，本領域的技術人員可以清楚地了解到本發(fā)明可借助免疫原理的算法對虛擬主機中的日志進行異常檢測。顯然，本領域的技術人員可以對本發(fā)明進行各種改動和變型而不脫離本發(fā)明的精神和范圍。這樣，倘若本發(fā)明的這些修改和變型屬于本發(fā)明權利要求及其等同技術的范圍之內，則本發(fā)明也意圖 包含這些改動和變型在內。
權利要求
1.云計算中一種基于免疫原理的入侵檢測系統(tǒng)，其特征在于，該方法包括 實現(xiàn)通過在虛擬主機上設置采集代理模塊，采集代理將采集到的日志傳給基于免疫原理的入侵檢測分析器，分析器采用否定選擇算法和動態(tài)克隆選擇算法生成規(guī)則庫，并將規(guī)則庫傳給虛擬主機，對虛擬主機采集到的數(shù)據(jù)進行檢測。出現(xiàn)異常產生告警響應。
全文摘要
本發(fā)明公開了云計算中一種基于免疫原理的入侵檢測系統(tǒng)。該系統(tǒng)的方法包括在被監(jiān)控的虛擬主機上端使用日志收集代理和規(guī)則庫，將采集的虛擬機日志信息傳給管理器，并按照一定的算法定義異常事件的類型，并更新代理規(guī)則庫，當符合定義的異常特征時，將通知響應代理進行實時響應。
文檔編號H04L29/08GK103036998SQ201210559820
公開日2013年4月10日 申請日期2012年12月21日 優(yōu)先權日2012年12月21日
發(fā)明者朱洪亮, 張玲, 辛陽, 謝康, 李偉, 李星 申請人:北京郵電大學