CN103825875A - 一种疫苗接种策略的虚拟机检测方法 - Google Patents

Abstract

本发明公开了一种疫苗接种策略的虚拟机检测方法。该方法包括：在被监控的虚拟主机端及网络监控点采用日志采集代理捕获数据包，将采集的数据包进行解析后预处理，形成统一的数据格式。并输入检测器进行异常检测。判断为异常的行为，进行告警。判断为正常的行为数据形成未成熟检测器，在免疫系统中进行进化。为了保证检测器的优良性，以及检测的自适应性，提出了一种疫苗接种的策略。

Description

一种疫苗接种策略的虚拟机检测方法

技术领域

本发明涉及云计算环境下对虚拟机的监控技术，特别涉及基于粗糙集和疫苗接种的虚拟机检测方法的设计。 

背景技术

入侵检测是通过监控网络和系统的状态、行为以及使用情况来检测系统用户的越权使用以及系统外部的入侵者利用系统的安全缺陷对系统进行入侵的企图。入侵检测系统(Intrusion Detection System，简称IDS)作为防火墙后面的第二道防线，开始逐步受到人们重视。1980年，James Anderson在题为《Computer security Threat Monitoring and surveillance》的技术报告中，第一次详细阐述了入侵检测的概念。入侵检测技术是对计算机或计算机网络系统进行攻击的行为的识别及响应过程。入侵检测作为一种积极主动的安全防护技术，不间断的对计算机网络或计一算机系统中的若干关键点进行信息收集和信息分析，提供了对内部攻击、外部攻击和误操作等的实时保护，并实时做出安全响应，在网络系统受到危害之前拦截和响应入侵。因而，入侵检测系统的研究与实现非常紧迫和必要，其具有广阔的应用前景。 

1987年，Dorothy Denning发表了入侵检测领域内的经典论文《入侵检测模型》(“An Intrusion Detection Model”)，文中对入侵检测问题进行了深入的讨论，这篇文献被认为是入侵检测领域内的开创性成果。根据数据来源的方式的不同，将入侵检测系统IDS(Intrusion Detection System，简称IDS)分为：基于主机的IDS(host-based IDS，简称HIDS)；基于网络的IDS(network-based IDS，简称NIDS)；分布式入侵检测系统IDS(distributed IDS，简称DIDS)[3]。NIDS部署在局域网中，对网络中的流量进行适时地分析(如Snort)；而HIDS则是分析系统的内部状态和日志，从而发现入侵行为(如OSSEC)；入侵防御系统 (intrusion prevention system，简称IPS)则是在入侵检测的基础上实现动态的响应。目前，SRI／CSL、普度大学、加州大学戴维斯分校、洛斯阿拉莫斯国家实验室、哥伦比亚大学、新墨西哥大学等机构在这些方面的研究代表了当前最高水平。 

随着并行计算、分布计算和网格计算的发展，作为全新计算模式的云计算，通过互联网动态可伸缩的以服务的方式提供虚拟化计算资源，它是继个人电脑、互联网之后电子信息技术领域又一次重大变革。微软、谷歌、IBM的RC2、亚马逊的EC2、Netsuite、NetApp、Adobe等商业巨头均加入了云计算的行列。而在云计算大规模应用的同时，安全问题也日益成为人们关注的焦点。 

2007年，云计算在业界引起关注，并在国内外迅速发展。但是在云计算发展的初期，云计算安全没有引起业界足够的关注。直到最近云计算安全事故频发，云计算安全才引起人们的关注。过去的惨痛经验告诉人们，只有在设计初期就充分考虑安全因素，才能保证云计算的安全落地。目前，国内外云计算安全的研究都刚刚起步。 

云计算安全联盟CSA(Cloud Security Alliance)先后发布了《云计算面临的严重威胁》、《云控制矩阵》、《关键领域的云计算安全指南》等研究报告，并发布了云计算安全定义。这些报告从技术、操作、数据等多方面强调了云计算安全的重要性、保证安全性应当考虑的问题以及相应的解决方案，对形成云计算安全行业规范具有重要影响。国际电信联盟ITU-TSG17研究组会议于2010年5月在瑞士的日内瓦召开，决定成立云计算专项工作组，旨在达成一个“全球性生态系统”，确保各个系统之间安全的交换信息。工作组将评估当前的各项标准，将来会推出新的标准。云计算安全是其中重要的研究课题，计划推出的标准包括《电信领域云计算安全指南》。 

由于云计算环境中虚拟机的出现、以及安全域的模糊化，传统的IDS、IPS，防火墙直接部署在云计算环境中，不能起到有效的防护作用。 

发明内容

本发明提供了一种疫苗接种策略的虚拟机检测方法。 

本发明结合入侵检测和云计算技术的结合点，将基于粗糙集和免疫原理的入侵检测引入到云计算领域中，设计一种疫苗接种策略的虚拟机检测方法。该方法包括：在被监控的虚拟主机端和网络节点处使用日志采集代理，将采集的日志信息传给集成免疫云入侵检测模块，并按照一定的算法定义异常事件的类型，并更新规则库，当符合定义的异常特征时，将通知响应代理进行实时响应。实现对云计算虚拟主机进行实时检测。 

附图说明

图1是集成免疫云入侵检测演化模型框图； 

图2是集成免疫云入侵检测分析流程图。 

具体实施方式

针对物联网和云计算环境中的虚拟机安全问题，本发明设计了一种疫苗接种策略的虚拟机检测方法。 

本发明的演化模型图如图1所示。本发明的主要模块包括：数据采集模块、误用模块、粗糙集方法训练模块和基于免疫原理的入侵检测分析模块。这些模块自身的作用以及各个模块之间的相互作用如下所述： 

虚拟机和网络节点处设计数据采集代理，采集代理将采集到的日志数据发送给基于免疫原理的入侵检测分析模块。由基于免疫原理的入侵检测分析模块负责采用免疫原理的否定选择算法进行异常检测，生成规则库对虚拟主机中的规则库进行更新。虚拟主机将采集到的数据与规则库进行匹配，实施异常检测过程。 

本发明的系统工作流图如图2所示。本发明的一种疫苗接种策略的虚拟机方法的工作的具体步骤如下所述： 

步骤201、抗原库采用粗糙集方法生成记忆抗体； 

步骤202、给定分类数c(2≤c≤n)，参数m以及初始化分区矩阵U⁽⁰⁾.算法的每一步采用r标记，其中r=0，1，2，…； 

步骤203、对每一步计算c个中心

步骤204、对第r步修改分类矩阵U^(r)如下： 

$u_{\mathrm{ik}}^{(r+1)}={\left[\underset{j=1}{\overset{c}{\mathrm{\Σ}}}{\left(\frac{d_{\mathrm{ik}}^{\left(r\right)}}{d_{\mathrm{jk}}^{\left(r\right)}}\right)}^{2/(m-1)}\right]}^{-1},$ 当I_k=

时 

或

对于所有的i类，

式中，

${\tilde{I}}_k=\{\mathrm{1,2},...,c\}-I_k,\underset{i\∈I_k}{\mathrm{\Σ}}{u}_{\mathrm{ik}}^{(r+1)}=1$

步骤205、若

(ε_L为给定的精度)，则停止；否则，置r=r+1，并返回步骤203； 

步骤206、提取部分优良记忆抗体进行高斯变异形成部分未成熟抗体； 

步骤207、提取部分优良抗体进行交叉、变异注入未成熟抗体库； 

步骤208、随机生成部分未成熟抗体； 

步骤209、未成熟抗体是否超过生命周期(T₁)，如果超过则死亡，否则匹配自我集合； 

步骤210、匹配到任何一个自我，则死亡，否则成为成熟抗体； 

步骤211、成熟抗体在一定的周期(T₂)内，是否超过激活门限，如果不超过，则死亡，否则激活； 

步骤212、根据协同刺激信号将成熟抗体转化为记忆抗体，采用最优策略更新记忆抗体库，转步骤206； 

步骤213、每隔一周期T₃，动态提取记忆抗体； 

步骤214、注射疫苗到成熟抗体库，转步骤211。 

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发明可借助粗糙集算法和免疫原理的算法对虚拟主机和网络节点的日志进行异常检测。 

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。 

Claims (2)

1.一种疫苗接种策略的虚拟机检测方法，其特征在于，该方法包括：

将已知数量为N的数据包信息，采用粗糙集和模糊集方法进行训练，获取决策规则，代表异常的规则注入误用检测规则库，代表正常的规则注入异常检测规则库，成为抗体Ab。

捕获虚拟主机和网络中某端口的数据包。将该数据包归一化处理成长度为l的二进制字符串，即待检测的抗原。根据抗原与误用规则库的中检测规则进行匹配，判断该抗原是否异常。自我抗原Ag采用免疫进化算法进行异常检测，

并将D值与预先设定的阈值进行比较判断是否受到入侵。自我Self进入免疫模块进行免疫进化。

在一定的时间周期T内，对记忆抗体提取疫苗。

假设ab₁,ab₂,…ab_s是抗体种群Ab={ab₁,ab₂,…ab_n}记忆抗体群中的优良个体，设

基因位相对于决策属性的重要度为

疫苗提取操作为：

${\mathrm{va}}^k=\left\{\begin{array}{cc}1,& (1/\underset{i=1}{\overset{s}{\mathrm{\&Sigma;}}}\mathrm{sig}\left({\mathrm{ab}}_i^k\right))\underset{i=1}{\overset{s}{\mathrm{\&Sigma;}}}\left(\mathrm{sig}\left({\mathrm{ab}}_i^k\right){\mathrm{ab}}_i^k\right)>\mathrm{\&alpha;}\\ 0,& (1/\underset{i=1}{\overset{s}{\mathrm{\&Sigma;}}}\mathrm{sig}\left({\mathrm{ab}}_i^k\right))\underset{i=1}{\overset{s}{\mathrm{\&Sigma;}}}\left(\mathrm{sig}\left({\mathrm{ab}}_i^k\right){\mathrm{ab}}_i^k\right)<\mathrm{\&beta;}\\ *,& \mathrm{other}\end{array}\right.$

其中参数α，β一般取α≥0.8，β≤0.2，为第i个抗体的第k个基因位的重要度。

提取的疫苗对成熟抗体进行接种操作。

假设设a为抗体，va为疫苗，记疫苗接种运算为

是抗体a接种疫苗后的编码形式。疫苗接种运算Θ为：

2.根据权利要求1所述的方法，自我Self进入免疫模块进行免疫进化包括：

假设记忆抗体库包含M个抗体，随机生成M／2的未成熟抗体，将记忆抗体库中的抗体抽取M/2进行交叉变异生成未成熟抗体。

未成熟在其给定生命周期内转化为成熟抗体。成熟抗体在生命周期内检测抗原。在一给定时间范围内检测到数量为k个抗原，进化为记忆抗体。

Images