CN103036745A - 云计算中一种基于神经网络的异常检测系统 - Google Patents

Abstract

本发明公开了云计算中一种基于神经网络的异常检测系统。该系统的方法包括：在被监控的虚拟主机上端使用日志收集代理，将采集的虚拟机日志信息传给管理器，并按照一定的神经网络算法定义异常事件的类型，并更新代理规则库，当符合定义的异常特征时，将通知响应单元进行实时响应。

Description

云计算中一种基于神经网络的异常检测系统

技术领域

本发明涉及物联网、云计算环境下对虚拟机的监控技术，特别涉及基于神经网络的异常检测系统的设计。

背景技术

入侵检测是通过监控网络和系统的状态、行为以及使用情况来检测系统用户的越权使用以及系统外部的入侵者利用系统的安全缺陷对系统进行入侵的企图。入侵检测系统(Intrusion Detection System，简称IDS)作为防火墙后面的第二道防线，开始逐步受到人们重视。1980年，James Anderson在题为《Computersecurity Threat Monitoring and surveillance》的技术报告中，第一次详细阐述了入侵检测的概念。入侵检测技术是对计算机或计算机网络系统进行攻击的行为的识别及响应过程。入侵检测作为一种积极主动的安全防护技术，不间断的对计算机网络或计一算机系统中的若干关键点进行信息收集和信息分析，提供了对内部攻击、外部攻击和误操作等的实时保护，并实时做出安全响应，在网络系统受到危害之前拦截和响应入侵。因而，入侵检测系统的研究与实现非常紧迫和必要，其具有广阔的应用前景。

1987年，Dorothy Denning发表了入侵检测领域内的经典论文《入侵检测模型》(“An Intrusion Detection Model”)，文中对入侵检测问题进行了深入的讨论，这篇文献被认为是入侵检测领域内的开创性成果。根据数据来源的方式的不同，将入侵检测系统IDS(Intrusion Detection System，简称IDS)分为：基于主机的IDS(host-based IDS，简称HIDS)；基于网络的IDS(network-based IDS，简称NIDS)；分布式入侵检测系统IDS(distributed IDS，简称DIDS)[3]。NIDS部署在局域网中，对网络中的流量进行适时地分析(如Snort)；而HIDS则是分析系统的内部状态和日志，从而发现入侵行为(如OSSEC)；入侵防御系统(intrusion prevention system，简称IPS)则是在入侵检测的基础上实现动态的响应。目前，SRI/CSL、普度大学、加州大学戴维斯分校、洛斯阿拉莫斯国家实验室、哥伦比亚大学、新墨西哥大学等机构在这些方面的研究代表了当前最高水平。

随着并行计算、分布计算和网格计算的发展，作为全新计算模式的云计算，通过互联网动态可伸缩的以服务的方式提供虚拟化计算资源，它是继个人电脑、互联网之后电子信息技术领域又一次重大变革。微软、谷歌、IBM的RC2、亚马逊的EC2、Netsuite、NetApp、Adobe等商业巨头均加入了云计算的行列。而在云计算大规模应用的同时，安全问题也日益成为人们关注的焦点。

2007年，云计算在业界引起关注，并在国内外迅速发展。但是在云计算发展的初期，云计算安全没有引起业界足够的关注。直到最近云计算安全事故频发，云计算安全才引起人们的关注。过去的惨痛经验告诉人们，只有在设计初期就充分考虑安全因素，才能保证云计算的安全落地。目前，国内外云计算安全的研究都刚刚起步。

云计算安全联盟CSA(Cloud Security Alliance)先后发布了《云计算面临的严重威胁》、《云控制矩阵》、《关键领域的云计算安全指南》等研究报告，并发布了云计算安全定义。这些报告从技术、操作、数据等多方面强调了云计算安全的重要性、保证安全性应当考虑的问题以及相应的解决方案，对形成云计算安全行业规范具有重要影响。国际电信联盟ITU-TSG17研究组会议于2010年5月在瑞士的日内瓦召开，决定成立云计算专项工作组，旨在达成一个“全球性生态系统”，确保各个系统之间安全的交换信息。工作组将评估当前的各项标准，将来会推出新的标准。云计算安全是其中重要的研究课题，计划推出的标准包括《电信领域云计算安全指南》。

由于云计算环境中虚拟机的出现、以及安全域的模糊化，传统的IDS、IPS，防火墙直接部署在云计算环境中，不能起到有效的防护作用。

发明内容

本发明提供了云计算中一种基于神经网络的异常检测系统。

本发明结合入侵检测和云计算技术的结合点，将基于神经网络的异常检测方法引入到云计算领域中，设计异常检测系统模型。该系统的方法包括：在被监控的虚拟主机上端使用日志收集代理，将采集的虚拟机日志信息传给管理器，并按照一定的算法定义异常事件的类型，当符合定义的异常特征时，将通知响应单元进行实时响应。实现对云计算虚拟主机进行实时地异常检测。

附图说明

图1是基于神经网络的异常检测模型框图；

图2是预处理模块流程图；

图3是智能训练工作模式图；

图4是智能检测工作模式图。

具体实施方式

针对物联网和云计算环境中的虚拟机安全问题，本发明设计了一种基于神经网络的异常检测系统。

本发明的系统模型图如图1所示。本发明的主要模块包括：虚拟机中采集模块、基于神经网络的异常检测分析模块和响应单元模块。这些模块自身的作用以及各个模块之间的相互作用如下所述：

虚拟机上设计数据采集代理，采集代理将采集到的虚拟主机日志发送给基于神经网络的异常检测分析模块。由基于神经网络的异常检测分析模块负责采用神经网络智能算法进行异常检测，生成规则库对虚拟主机中的规则库进行更新。虚拟主机将采集到的数据与规则库进行匹配，实施异常检测过程。

本发明的系统工作流图如图2所示。本发明的云计算中一种基于神经网络的异常检测检测系统模型中预处理模块的工作的具体步骤如下所述：

步骤201、采集器采集到的虚拟机日志传给检测器；

步骤202、满足结束条件判断，是，则转向步骤206；

步骤203、数值满足于0-1直接的实数判断，是则转向步骤204；

步骤204、输出预处理结果，转步骤202；

步骤205、预处理，转步骤204；

步骤206、结束。

本发明的智能算法模块分为两个部分，一部分是进化神经网络训练模式，对特征数据进行训练形成规则库。具体的工作模式如图3所示。从第一层到倒数第二层的激活函数，即f¹(net¹)...f^l(net^l)...f^N-1(net^N-1)有：

$f^l\left({\mathrm{net}}^l\right)=\left\{\begin{array}{cc}0,& {\mathrm{net}}^l\&le;-10\\ \frac{1}{1+e^{-{\mathrm{net}}^l}},& -10<{\mathrm{net}}^l<10\\ 1,& {\mathrm{net}}^l\&GreaterEqual;10\end{array}\right.$

最后一层(第N层)的激活函数，即f^N(net^N)有：

$f^N\left({\mathrm{net}}^N\right)=\left\{\begin{array}{cc}-1,& {\mathrm{net}}^N\&le;-1\\ {\mathrm{net}}^N,& -1<{\mathrm{net}}^N<1\\ 1,& {\mathrm{net}}^N\&GreaterEqual;1\end{array}\right.$

神经网络从训练样本中读取数据，根据当前的权值分布进行网络计算，求出的值作为GA产生适应度函数的依据，由GA通过对当前权值(包括偏置值)进行编码，再进行遗传操作得到下一代的权值分布，然后再将该权值分布送到神经网络对样本进行计算。

验证模式和工作模式就相对比较简单，所进行的和一般的神经网络计算区别不大，其中，验证模式是用于测试进化神经网络的工作性能。验证模式和工作模式如图4所示：

步骤401、读取进化神经网络结构配置(layers.txt)和有效权值(weight.txt)；

步骤402、读取测试集合或工作集合进行神经网络计算，输出结果；

步骤403、如果是验证模式，则比较实际输出和期望输出之间的差距，输出正确率。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发明可借助神经网络的算法对虚拟主机中的日志进行异常检测。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims (1)

1.云计算中一种基于神经网络的异常检测系统，其特征在于，该方法包括：

实现通过在虚拟主机上设置采集代理模块，采集代理将采集到的日志传给基于神经网络的异常检测分析器，分析器采用否定选择算法和动态克隆选择算法生成规则库，并将规则库传给虚拟主机，对虚拟主机采集到的数据进行检测。出现异常产生告警响应。

Images