CN102724176A - 一种面向云计算环境的入侵检测系统 - Google Patents

Abstract

本发明探讨了基于拆分及大规模共享虚拟计算环境下的安全问题，并提出了基于虚拟机的面向虚拟计算环境的安全框架及其大规模分布式可扩展入侵检测系统，该系统为用户提供能力服务域内外部资源访问监控身份认证和加密数据传输通道，提供用户空间和系统空间的隔离和保护并最终保障基于能力服务器的应用安全。解决了能力服务器下由此带来的大规模动态用户数量、大规模动态虚拟资源对象、动态增加和缩减的计算负载、用户空间隔离、用户系统隔离和保护、防内外网攻击、设备安全复用和共享、通信安全、统一认证和访问控制等诸多安全问题。

Description

一种面向云计算环境的入侵检测系统

技术领域

本发明涉及云计算环境中安全检测，具体来说，涉及一种面向云计算环境的入侵检测系统

背景技术

以提高资源利用率，实现资源大规模共享为目的的虚拟化技术最近几年得到了迅速发展。当前虚拟化技术主要存在两个研究方向：节点级虚拟化和应用级虚拟化。目前国际上应用级虚拟化研究的热点问题是利用网格和P2P方式，使大多数计算机协调工作，以便利用各个PC的闲置资源。但是，因为个人计算机在设计上就是一个封闭完整的系统，透过这个固有的系统屏障进行共享，效率上很难得到保障。而传统节点级虚拟技术也并不能完全达到这个目的。因此，一些学者突破传统虚拟机技术的局限性，提出了新的能力服务虚拟机技术^[1][2][3]。在这种新的虚拟机技术中，构造一个虚拟机的资源(CPU、memory、disk等)不是来自同一个物理主机，而是来自网络中不同的物理主机；当一个虚拟机上没有活跃的应用或用户时，可以将这个虚拟机中的资源还给物理主机，去用来构造新的虚拟机。这样可以充分利用平时大量闲置的资源。实现能力(如计算和存储)以服务的形式按需地、透明地、无处不在满足用户任何计算和存储的需求，为其上的服务计算提供执行的物质基础^[1]。这里为简便起见，我们将能力服务计算能够服务的范围称做能力服务域。面向虚拟计算环境的能力服务计算体系架构其资源的大规模共享、低成本、易用性、灵活性、可管理性、安全性、可扩展性和高可用性是其主要特征，也是在能力服务计算体系架构设计中的主要指导原则^[2]。当前能力服务系统第三代原型机正在展开研究，其中应用安全是其架构中一个非常重要的方面。能力服务系统逻辑结构如图1所示。

基于网格的应用级虚拟安全研究当前主要基于Keberos、SSL、SSH、XML加密(Xenc)，解决了网格环境下的身份认证和访问控制问题；并着重基于异构网格环境安全数据传输通道构架，但对基于应用的安全保护、资源安全复用并没有太多的涉及；面向节点的虚拟化环境下安全技术研究基于分区隔离、灾难恢复、分区热迁移、分区热备份等高可用技术解决了部分虚拟应用的安全及可靠问题(如Vmware、Virtual Station)，但当面临硬件级的虚拟化环境，由底层硬件直接管理分区中的资源，一旦发生较大的故障，而又不能被有效隔离，则该故障可能会扩散到所有使用该资源的分区，导致全局的故障(如：Xen、Intel的Virtualization Technology、AMD的Pacifica)；collapsa虚拟入侵检测中心^[4]提供虚拟蜜罐集中部署管理的方式，解决了管理的集中化和部署集中化问题，并提供全局入侵检测视图；但collapsa从虚拟机制本身还是集中于虚拟物理机之上的虚拟蜜罐，并没有解决大规模分布式环境下资源动态拆分、部件大规模共享所带来的安全监控管理、分布式入侵检测引擎、用户身份认证、用户空间隔离等诸多问题。类似能力服务应用虚拟环境安全研究目前企业界、学术界并没有相关技术及其解决方案。

基于能力计算应用的虚拟化技术主要是基于瘦客户端思想，通过在硬件层的拆分、系统与应用层的整合这三个层次上的虚拟化技术实现大规模资源共享，提高资源利用率；由此提供相同的计算能力所需要的资源总量大幅度下降，从而显著降低了举位计算能力的总成本。能力服务器工作模式如下图2所示：

与其它分布式系统的安全问题或网格计算环境下的安全问题相比，能力服务计算下虚拟环境的安全问题具有以下原因引起的几个核心问题：大规模动态用户数量、大规模动态虚拟资源对象、动态增加和缩减的计算负载、用户空间隔离和保护、通信安全等问题。其核心问题是在能力服务器应用模式下如何提供给用户一个完全私有的系统，为用户提供能力服务域内外部资源访问监控身份认证和加密数据传输通道，提供用户空间隔离和保护并最终保障基于能力服务器的应用安全。

虚拟资源安全监控管理

当用户请求到来时，能力服务器可根据不同的用户类型和需求，根据应用的类型和各个应用服务器及网格化部件的负载情况按照一定的调度算法把应用调度到某个应用服务器上去执行从而提供不同的用户服务。能力服务器设计中资源的大规模共享是衡量能力服务器设计成功与否的一个重要指标。^[1]其共享基于三种共享策略：部件级共享策略(部件的动态分配)、系统级的共享策略(系统的动态可重构)、应用级的共享策略(应用动态分发及迁移)。如何实现全域资源范畴内共享部件资源的可信监控管理，如何实现全域资源范筹内应用服务器的可信监控调度？

虚拟可扩展分布式入侵检测引擎

能力服务计算虚拟环境下入侵监测其本质是如何产生、部署、统一监控管理分布在能力服务域范畴下的虚拟分布式IDS入侵检测引擎、如何实现分布式虚拟IDS引擎动态产生、自描述、自构造？如何实现能力服务域安全策略动态分发？如何从能力服务器框架内海量的安全信息中整理、分析出真正对用户有价值的安全信息？以上是需要重点考虑的问题。

发明内容

为解决上述问题，本发明提出了一种面向云计算环境的入侵检测系统。

一种面向云计算环境的入侵检测系统，

所述系统为分级系统，每级由一个虚拟管理控制中心和一个管理控制台组成，当进行跨级操作时，经过的每一级的虚拟管理控制中心起信息路由和转发作用，通信协议为CIM over SSL；

所述虚拟管理控制中心负责保存安全策略和能力服务域对象化资源描述信息，保存并向上级传送资产、策略、报警和日志信息；向能力服务域内各级网格化部件、应用服务器和虚拟IDS引擎传达管理命令和分发安全策略；所述报警和日志信息在格式化处理后供统计分析和数据挖掘；

所述管理控制台提供图形界面给用户用于集中管理能力服务域，负责描述能力服务域域虚拟资产信息及网格化部件安全策略、日志和审计功能。

优选的，所述CIM over SSL协议以SSL为基础，以XML为数据描述格式，规定了22个操作原语，根据需要加入符合SOAP协议的通信接口。

优选的，所述虚拟IDS引擎采用集中式管理方式，集中探测管理分布式构建于物理虚拟机之上的软件虚拟机状态、虚拟机日志、文件完整性、虚拟机系统漏洞、并基于安全策略和用户自定义策略提供分布式攻击统一视图。

优选的，所述虚拟IDS引擎基于自描述机制，在软件虚拟机构造或迁移、应用调度产生后自动完成虚拟IDS引擎的初始化、运行环境的实列化和安全策略的下载与运行。

优选的，所述能力服务域统一安全策略伴随物理虚拟机的动态构造、软件虚拟机的迁移、应用实列化动态生成，并在策略编辑完成但尚未由高层虚拟管理控制中心分发时实施仿真，模拟攻击行为，让网络安全策略漏洞提前暴露，从而测试策略的效果，避免安全隐患发生。

优选的，所述能力服务域虚拟分布式入侵检测系统根据仿真结果动态调整安全策略，并由高层虚拟管理控制中心分发到能力服务域内各虚拟IDS引擎上。

优选的，所述安全策略的分析机制为，给定一个事件集，事件归并和过滤问题就是产生支持度和可信度分别大于策略给定的最小支持度和最小可信度的关联事件。

优选的，所述系统的网络异常描述语言建立在基于谓词逻辑的攻击与能力服务器域内资源、应用三者关联关系的建模上，采用XML规范、面向对象，提供能力服务域下正在发生的攻击场景。

优选的，所述能力服务域虚拟IDS引擎集成虚拟漏洞扫描、虚拟蜜罐模块和虚拟环境安全评估工具，主动验证、主动捕获入侵和能力服务器漏洞，提高入侵监测的准确性和主动性；当能力服务域下发现来自外网的攻击之后，可以通过与防火墙或者路由器联动截断攻击。

优选的，所述系统发现来自内网的安全攻击之后实施与交换机直接智能联动，其工作流程如下：

获取IP和MAC：检测到真正的安全攻击后，首先获取攻击源机器的IP和MAC地址；

智能发现最近交换机：通过能力服务器交换机发现算法，找到离攻击源机器最近的交换机，以及攻击源机器的网络包进入交换机的端口。对最近的交换机进行控制，可以使攻击和联动的影响面最小；

关闭端口或添加ACL规则：能力服务域虚拟可扩展分布式入侵检测系统利用其在交换机上配置的权限，关闭找到的交换机端口，或者在交换机上添加ACL规则，禁止攻击源机器的网络包通过。

优选的，所述主动验证和主动捕获入侵构架于物理虚拟机之上，在软件虚拟机中集成虚拟分布式IDS引擎，虚拟漏洞扫描、虚拟蜜罐模块和安全评估工具。

优选的，所述系统产生超过预定值的异常事件时，对事件进行归并和过滤。

优选的，所述系统的设备支持云计算环境下设备发现、设备协商和设备的动态加入与退出。

本发明解决了基于拆分及大规模共享虚拟计算环境下的安全问题，并提出了基于虚拟机的面向虚拟计算环境的安全框架及其大规模分布式可扩展入侵检测系统，该系统为用户提供能力服务域内外部资源访问监控身份认证和加密数据传输通道，提供用户空间和系统空间的隔离和保护并最终保障基于能力服务器的应用安全。解决了能力服务器下由此带来的大规模动态用户数量、大规模动态虚拟资源对象、动态增加和缩减的计算负载、用户空间隔离、用户系统隔离和保护、防内外网攻击、没备安全复用和共享、通信安全、统一认证和访问控制等诸多安全问题。

附图说明

图1是能力服务器系统的逻辑结构

图2是能力服务器工作模式

图3是面向虚拟计算环境下能力服务器可扩展分布式安全体系架构(SDSI)

图4是虚拟资源安全监控管理模块

图5是虚拟IDS引擎示意图

图6是基于谓词逻辑的攻击关联模型

具体实施方式

面向虚拟计算环境的能力服务器体系架构其资源的大规模共享、低成本、易于用户使用、配置的灵活性、易于管理、安全性、可扩展和高可用性是其主要特征，也是在能力服务器设计中主要指导原则。其中，安全构架是能力服务器设计中一个非常重要的方面，涉及能力服务器身份认证、授权、授信、完整性、机密性、服务及信息的可获得性、审核与记账、服务的保护等问题。其主要内容是为面向虚拟计算环境下的能力服务域提供安全可靠的身份认证、虚拟分布式可扩展入侵检测、安全智能资源监控管理、安全可靠的资源聚合复用访问协议。面向虚拟计算环境下能力服务器可扩展分布式安全体系架构(Scale DistributedSecurity Infrastructure，SDSI)如图3所示：

虚拟资源安全监控管理

虚拟资源安全监控管理模块主要包括：虚拟管理控制中心(VirtualManagement Center，以下简称VMC)和管理控制台(GUI Based ManagementConsole，以下简称GM)两部分组件。通过合理扩展国际数据描述标准CIM的方式，实现统一监控和管理能力服务器中多种网格化设备、虚拟IDS引擎、应用服务器和重要网络资源等全域资产设备的目的。总体结构如图4所示：

VMC是整个系统的核心，负责保存安全策略和全域对象化资源描述信息、保存并向上传送报警和日志等信息；向能力服务域内各级网格化部件(Cpu Box、Memory Box、Disk Box)、应用服务器、虚拟IDS引擎传达管理命令和分发安全策略；报警及各种日志在格式化处理后供统计分析和数据挖掘；GM是图形界面，用户可借助它集中监控管理整个能力服务域。包括：描述全域虚拟资产信息及网格化部件信息、配置各级虚拟化资产及网格化部件安全策略、日志、审计等功能；能力服务域资源安全监控管理系统可以部署成多级系统，每一级由一对VMC和GM组成，负责监管本级范围内的所有资产信息，并且向上级VMC传送本级的资产、策略、事件和日志等信息。当跨级操作时(如高层VMC对中层或基层的某个受管设备进行操作时)，高层和中层VMC将起到信息路由和转发的作用。系统的主要通信协议是CIM over SSL，该协议以SSL为基础，以XML为数据描述格式，规定了22个操作原语，具有很强的灵活性和扩充性，也可以顺利地加入符合SOAP协议的通信接口。

虚拟IDS引擎

虚拟IDS引擎(VIDSE)物理上分布于软件虚拟机之上，逻辑上伴随能力服务域物理虚拟机的构造、软件虚拟机的迁移、应用服务的提供、动态产生；在VIDS设计中虚拟IDS引擎(VIDS)采用集中式管理方式，集中探测管理分布式构建于物理虚拟机之上的软件虚拟机状态、虚拟机日志、文件完整性、虚拟机系统漏洞、并基于安全策略和用户自定义策略提供分布式攻击统一视图；虚拟IDS引擎基于自描述机制，在软件虚拟机构造或迁移、应用调度产生后自动完成虚拟IDS引擎的初始化、运行环境的实列化和安全策略的下载与运行。其结构示意图如图5所示：

这里给出了一个类似集中式的虚拟IDS引擎分布方式，在实际应用中我们采用分布式虚拟IDS引擎分布方式，以充分利用局部性特征，提高分布式入侵检测的效率和响应速度，降低对网络带宽的巨大需求，提高系统的负载均衡性。

能力服务域安全策略管理

能力服务域内我们必须透明化虚拟资源(物理虚拟机、软件虚拟机)、网格化部件(CPU Box、Memory Box、Disk Box)、应用等具体的安全策略配置细节和差异并基于自然语言实施对安全策略的统一描述。能力服务域统一安全策略伴随物理虚拟机的动态构造、软件虚拟机的迁移、应用实列化动态生成，并在策略编辑完成但尚未由高层VMC分发时实施仿真，模拟攻击行为，让网络安全策略漏洞提前暴露，从而测试策略的效果，避免安全隐患发生。能力服务域虚拟分布式入侵检测系统根据仿真结果动态调整安全策略(反馈自适应过程)，并由高层VMC分发到能力服务域内各虚拟IDS引擎上。

显然，能力服务计算体系基础是一个完全分布式的计算环境，所以，在安全策略上必须建立不同子安全策略间的关联，每个子安全策略可能对应不同的实体如一个物理主机或是一个虚拟机的迁移。这里我们着重考虑的是入侵的内部或外部行为，将发生的入侵或安全问题蜜罐化，防止其扩散。

本地事件关联分析机制

本地事件的关联分析在虚拟计算环境下有新的要求和特点。首先，在某个虚拟机上没有检测到异常事件，入侵者可能确实没有攻击这个虚拟机。但是，入侵者对这个虚拟机来说伪装为善意者，以此虚拟机为平台去入侵其它的虚拟机，这时物理主机并没有检测到网络入侵。因此，本地事件的关联分析有必要进行扩展，至少事件集合的覆盖氛围有必要扩展到相互关联的虚拟机，这样关于事件的定义和检测条件等就必须扩充，建立一种基于统计的随机过程模型。其次，在建立模型过程中最困难的是确定关联虚拟机的范围，以减少计算复杂性和提高分析的精度和实时响应速度。这个问题的解决必须考虑虚拟机是否是同源还是异源，必须与研究虚拟机间的“隔离”技术和访问控制技术相配合。

设I＝{i1，i2，…，im}是二进制文字的集合，其中的元素称为项(item)。记D为事件(event)E的集合，这里事件E是项的集合，并且

对应每一个事件有唯一的标识，如事件号，记作EID。设X是一个I中项的集合，如果

那么称事件E包含X。一个关联事件是形如

的蕴涵式，这里

并且X∩Y＝Φ。规则

在事件数据库D中的支持度(support)是事件集中包含X和Y的交易数与所有交易数之比，记为

即 $\mathrm{support}(X\⇒Y)=\left|\right\{E:X\∪Y\⊆T,T\∈D|/|D|.$ 规则

在事件集中的可信度(confidence)是指包含X和Y的事件数与包含X的事件数之比，记为 $\mathrm{confidence}(X\⇒Y),$ 即 $\mathrm{confidence}(X\⇒Y)=\left|\right\{T:X\∪Y\⊆T,T\∈D\left\}\right|/\left|\right\{T:X\⊆T,T\∈D\left\}\right|.$ 给定一个事件集D，事件归并和过滤问题就是产生支持度和可信度分别大于策略给定的最小支持度(minsupp)和最小可信度(minconf)的关联事件。

我们以能力服务域可扩展分布式入侵检测系统针对web_cgi漏洞扫描事件归并及过滤算法为例描述如下：事件D＝能力服务域入侵检测系统策略库中描述的事件个数，我们考察的交易对象E是D的一个有限子集，E中策略ID的范围是(2001，2548)，X、Y是E中的单元素集合，这里

并且X∩Y＝Φ，任何X中的事件被检测到，都会触发“web_cgi试探”。根据最小支持度公式 $\mathrm{support}(X\⇒Y)=\left|\right\{T:X\∪Y\⊆T,T\∈D|/|D|.$ 我们判定发生“web_cgi扫描攻击”发生的最小支持度是0.365(连续5秒内大于200次)，当能力服务域虚拟分布式IDS引擎计算的当时支持度大于此值时就会触发“web_cgi扫描攻击”报警！虚拟计算环境下网络异常描述语言(Network Abnormity Script Language inVirtual Computing Environment，简称NASLVCE)

Snort、STATL、ESTQ、IDIOT、JiGSAW、LAMDBA等以上建模语言都不足以为整个能力服务器安全构架提供全面的知识基础，同时以上建模语言仅仅给出了一种对攻击知识进行描述的语言，并未提供对攻击知识、攻击之间的关联关系进行建模的方法；虚拟计算环境下网络异常描述语言(NASLVCE语言)拟建立基于谓词逻辑的攻击与能力服务器域内资源、应用三者关联关系进行建模的方法，采用XML规范、面向对象，提供能力服务域下正在发生的攻击场景。下图6为能力服务域下基于谓词逻辑的攻击关联模型：

能力服务域主动防护机制

能力服务域虚拟IDS引擎集成虚拟漏洞扫描、虚拟蜜罐模块和虚拟环境安全评估工具，主动验证、主动捕获入侵和能力服务器漏洞，提高入侵监测的准确性和主动性；当能力服务域下发现来自外网的攻击之后，可以通过与防火墙或者路由器联动截断攻击。主动验证入侵及主动捕获：构架于物理虚拟机之上，在软件虚拟机中集成虚拟分布式IDS引擎，虚拟漏洞扫描、虚拟蜜罐模块和安全评估工具，主动验证、主动捕获入侵和能力服务器的漏洞，大幅度提高入侵监测的准确性和主动性；而发现来自内网的安全攻击之后实施与交换机直接智能联动，其工作流程如下：

获取IP和MAC：检测到真正的安全攻击后，首先获取攻击源机器的IP和MAC地址。

智能发现最近交换机：通过能力服务器交换机发现算法，找到离攻击源机器最近的交换机，以及攻击源机器的网络包进入交换机的端口。对最近的交换机进行控制，可以使攻击和联动的影响面最小。

关闭端口或添加ACL规则：能力服务域虚拟可扩展分布式入侵检测系统利用其在交换机上配置的权限，关闭找到的交换机端口，或者在交换机上添加ACL规则，禁止攻击源机器的网络包通过。

事件归并和过滤技术：当系统产生大量的异常事件时，安全架构应考虑到“事件风暴”对自身可用性的影响，必须对事件进行归并和过滤，减少整个系统的处理压力。一些基本的安全事件归并和过滤包括：存在归并和过滤规则、频率归并和过滤规则、间隔归并和过滤规则、发生次数归并和过滤规则；

设备安全共享与复用

本系统能满足大规模和动态用户访问环境下设备资源大规模安全动态共享和复用。基于没备安全共享与复用协议：该协议支持云计算环境下设备发现、设备协商、并支持各种设备的动态加入和退出。在设备退出时，采用迁移机制不影响应用运行。在设备增加时，对设备进行封装并通知应用，并能动态针对不同设备解决设备冲突与一致性问题。

Claims (13)

1.一种面向云计算环境的入侵检测系统，其特征在于：

所述系统为分级系统，每级由一个虚拟管理控制中心和一个管理控制台组成，当进行跨级操作时，经过的每一级的虚拟管理控制中心起信息路由和转发作用，通信协议为CIM over SSL；

所述虚拟管理控制中心负责保存安全策略和能力服务域对象化资源描述信息，保存并向上级传送资产、策略、报警和日志信息；向能力服务域内各级网格化部件、应用服务器和虚拟IDS引擎传达管理命令和分发安全策略；所述报警和日志信息在格式化处理后供统计分析和数据挖掘；

所述管理控制台提供图形界面给用户用于集中管理能力服务域，负责描述能力服务域域虚拟资产信息及网格化部件安全策略、日志和审计功能。

2.如权利要求1所述的系统，其特征在于：所述CIM over SSL协议以SSL为基础，以XML为数据描述格式，规定了22个操作原语，根据需要加入符合SOAP协议的通信接口。

3.如权利要求1所述的系统，其特征在于：所述虚拟IDS引擎采用集中式管理方式，集中探测管理分布式构建于物理虚拟机之上的软件虚拟机状态、虚拟机日志、文件完整性、虚拟机系统漏洞、并基于安全策略和用户自定义策略提供分布式攻击统一视图。

4.如权利要求1所述的系统，其特征在于：所述虚拟IDS引擎基于自描述机制，在软件虚拟机构造或迁移、应用调度产生后自动完成虚拟IDS引擎的初始化、运行环境的实列化和安全策略的下载与运行。

5.如权利要求1所述的系统，其特征在于：所述能力服务域统一安全策略伴随物理虚拟机的动态构造、软件虚拟机的迁移、应用实列化动态生成，并在策略编辑完成但尚未由高层虚拟管理控制中心分发时实施仿真，模拟攻击行为，让网络安全策略漏洞提前暴露，从而测试策略的效果，避免安全隐患发生。

6.如权利要求1所述的系统，其特征在于：所述能力服务域虚拟分布式入侵检测系统根据仿真结果动态调整安全策略，并由高层虚拟管理控制中心分发到能力服务域内各虚拟IDS引擎上。

7.如权利要求1所述的系统，其特征在于：所述安全策略的分析机制为，给定一个事件集，事件归并和过滤问题就是产生支持度和可信度分别大于策略给定的最小支持度和最小可信度的关联事件。

8.如权利要求1所述的系统，其特征在于：所述系统的网络异常描述语言建立在基于谓词逻辑的攻击与能力服务器域内资源、应用三者关联关系的建模上，采用XML规范、面向对象，提供能力服务域下正在发生的攻击场景。

9.如权利要求1所述的系统，其特征在于：所述能力服务域虚拟IDS引擎集成虚拟漏洞扫描、虚拟蜜罐模块和虚拟环境安全评估工具，主动验证、主动捕获入侵和能力服务器漏洞；当能力服务域下发现来自外网的攻击之后，可以通过与防火墙或者路由器联动截断攻击。

10.如权利要求1所述的系统，其特征在于：所述系统发现来自内网的安全攻击之后实施与交换机直接智能联动，其工作流程如下：

获取IP和MAC：检测到真正的安全攻击后，首先获取攻击源机器的IP和MAC地址；

智能发现最近交换机：通过能力服务器交换机发现算法，找到离攻击源机器最近的交换机，以及攻击源机器的网络包进入交换机的端口。对最近的交换机进行控制，可以使攻击和联动的影响面最小；

关闭端口或添加ACL规则：能力服务域虚拟可扩展分布式入侵检测系统利用其在交换机上配置的权限，关闭找到的交换机端口，或者在交换机上添加ACL规则，禁止攻击源机器的网络包通过。

11.如权利要求9所述的系统，其特征在于：所述主动验证和主动捕获入侵构架于物理虚拟机之上，在软件虚拟机中集成虚拟分布式IDS引擎，虚拟漏洞扫描、虚拟蜜罐模块和安全评估工具。

12.如权利要求1所述的系统，其特征在于：所述系统产生超过预定值的异常事件时，对事件进行归并和过滤。

13.如权利要求1所述的系统，其特征在于：所述系统的设备支持云计算环境下设备发现、设备协商和设备的动态加入与退出。

Images