CN105262768A - 一种云计算平台中基于混合模型的行为检测系统与方法 - Google Patents
一种云计算平台中基于混合模型的行为检测系统与方法 Download PDFInfo
- Publication number
- CN105262768A CN105262768A CN201510738507.1A CN201510738507A CN105262768A CN 105262768 A CN105262768 A CN 105262768A CN 201510738507 A CN201510738507 A CN 201510738507A CN 105262768 A CN105262768 A CN 105262768A
- Authority
- CN
- China
- Prior art keywords
- module
- ids
- cloud computing
- network
- cloud
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种云计算平台中基于混合模型的行为检测系统与方法,包括整体管理模块、骨干网健康IDS管理模块、关键节点的IDS模块、主机节点间网络IDS模块和预留服务IDS管理接口。本发明可以在云系统不同位置所部属的不同的检测算法,每个模块既可以独立发挥检测作用,挖掘出不同算法的优势,又可以通过总体管理模块进行汇总,对多源信息进行综合判定,挖掘出异常行为,从而提升云平台的安全性。
Description
技术领域
本发明属于云计算安全领域,具体是一种云计算平台中基于混合模型的行为检测系统与方法。
背景技术
云计算模型通过互联网可以提供网络,服务器,存储,应用软件等动态易扩展的虚拟化资源。
由于网络中可能存在恶意用户,云计算平台也面临安全问题。例如,合法的云用户在进入云系统之后希望获得自己权限以外的一些应用权限,从而可以从事一些破坏性的行为。
对于云系统中可能存在的入侵威胁也需要相应的入侵检测系统(IDS)进行解决。行为检测通过对用户行为的分析入手,对用户行为进行评估,进而可以采取相应措施,消除不良用户对云端服务器的恶意攻击行为,提升云环境的安全性。常见的检测方式主要包括:基于指纹、基于协议状态信息与基于非正常特征这三种方式。无论哪一种方法,都通过大量的信息收集,制定相应的决定策略。目前常见的针对云平台的用户行为检测方案通常都采用比较单一的架构进行。
但是,云平台系统与普通的网络应用平台系统相比,有其独特的特异性。云系统的复杂性决定了部署在云系统不同位置的行为检测模块所面对的问题也会相应地有非常大的差异。因此,在云系统不同位置所部属的不同的检测算法可以更好地提升整个系统的性能,也可以跟大限度的挖掘出不同算法的优势。
发明内容
本发明所要解决的技术问题是设计一种云平台中的行为检测系统,基本思路是将整个云平台的防御由多个种类不同的行为检测系统来负责,并统一进行管理调配,以解决上述背景技术中提出的问题。
为实现上述目的,本发明提供如下技术方案:
一种云计算平台中基于混合模型的行为检测系统与方法,包括整体管理模块、骨干网健康IDS管理模块、关键节点的IDS模块、主机节点间网络IDS模块和预留服务IDS管理接口,所述整体管理模块分别连接骨干网健康IDS管理模块、关键节点的IDS模块、主机节点间网络IDS模块和预留服务IDS管理接口。
作为本发明的优选方案:所述骨干网健康IDS管理模块、关键节点的IDS模块、主机节点间网络IDS模块和预留服务IDS管理接口都可以独立进行工作,同时又能够由整体管理模块来协调其他模块工作。
与现有技术相比,本发明的有益效果是:本发明可以在云系统不同位置所部属的不同的检测算法,每个模块既可以独立发挥检测作用,挖掘出不同算法的优势,又可以通过总体管理模块进行汇总,对多源信息进行综合判定,挖掘出异常行为,从而提升云平台的安全性。
附图说明
图1为云计算平台中基于混合模型的行为检测系统与方法的结构框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1,一种云计算平台中基于混合模型的行为检测系统与方法,包括整体管理模块、骨干网健康IDS管理模块、关键节点的IDS模块、主机节点间网络IDS模块和预留服务IDS管理接口,所述整体管理模块分别连接骨干网健康IDS管理模块、关键节点的IDS模块、主机节点间网络IDS模块和预留服务IDS管理接口。
骨干网健康IDS管理模块、关键节点的IDS模块、主机节点间网络IDS模块和预留服务IDS管理接口都可以独立进行工作,同时又能够由整体管理模块来协调其他模块工作。
1、在云计算平台的骨干网络、关键节点、主机间网络等需要进行行为检测的地方,添加检测模块,检测模块与整体管理模块相连,检测模块定时和整体管理模块进行握手交互。
2、各个检测模块部署不同的检测方法,并进入正常工作状态,开始定期收集该处指定的数据包,根据测试标准,对数据包的特征进行分析。如果某个检测模块的判定出存在异常行为,则告警。
3、各个检测模块定期将获取的特征数据,通过网络传输协议,发送给整体管理模块;
4、整体管理模块,根据接收到的各个其他模块的数据,汇总判定是否存在异常特征规律,如存在,则告警。
本发明的工作原理是:整体管理模块:主要负责整个行为检测系统的调度、管理下面子模块的作用,并且与用户的交互也是该模块的一个最重要功能。这个模块中将集成给客户报警的功能部分,而如果出现的入侵类型只需要自动的对于云系统现有安全策略进行修改就可以完成,那么整体模块之下的子模块将完成相应的工作。
骨干网监控IDS管理模块:主要是对于主干网发现的问题进行反应。主干网络当中最可能出现的异常主要出现在流量特征上面,即当遭受DDOS或者木马等会显著改变流量特征的攻击行为,并且主要是针对整个系统的攻击,那么骨干网络的IDS将会很轻易发现并作出限制流量或禁止用户访问的安全设置。这个模块将最大程度对于防火墙的安全设置产生影响,而当流量产生异常时,模块内部也会激发基于网络的IDS模块,对于流量片段进行分析,从而得出新的入侵流量特征。
关键节点的IDS模块:关键节点IDS发送给该服务器的各种型号将由该模块进行汇总预处理。由于信号种类会非常的繁多,该模块需要对于信号进行分类与组合,以判断关键节点具体遭受到的入侵种类并作出相应的反应。而对于攻击类型的判断,也不是根据单一的信号特征,而是根据不同组合信号组合进行相应的入侵判断。
主机节点间网络IDS:这里与主干网络的管理模块很类似,只不过其处理的数据类型有些不同。控制和传输数据会非常的多,而且相对于骨干网络而言,这里不会存在IP欺骗的个不明身份用户入侵问题,但会增加该模块分析的困难。因为必须从发送的信息中知晓主机间网络所传输的不良流量到底是由哪个用户所生成,从而才可以做出相应的反应。它对于防火强的修改,也有非常重要的作用。
预留服务IDS管理接口:如上文所述,由于我发判别云计算平台具体会提供哪些服务,因此没有为服务设计专门的IDS。但是,在IDS的管理系统中依然提供了针对服务IDS的接口,用户可以通过该接口定义所选用针对服务IDS所传输信号的处理行为,从而增加对于针对服务的IDS的管理。
综上,我们对行为检测系统有了全面的分析,并对模块的作用也做了相应的说明。所有模块的信息都将会通过整体管理模块注册存入相应的数据服务器当中,系统会周期性的对这些信息进行分析,从而对于各自的IDS进行设置和调配,从而让其更高效的发挥作用。
本发明根据云计算平台的特点,提出了一种基于混合模型的行为检测方法,在云系统不同位置部署不同行为检测模块,并实现不同方法的调度,挖掘出不同算法的优势,可以更好地提升整个系统的性能,从而提升云平台的安全性。
Claims (2)
1.一种云计算平台中基于混合模型的行为检测系统与方法,包括整体管理模块、骨干网健康IDS管理模块、关键节点的IDS模块、主机节点间网络IDS模块和预留服务IDS管理接口,其特征在于,所述整体管理模块分别连接骨干网健康IDS管理模块、关键节点的IDS模块、主机节点间网络IDS模块和预留服务IDS管理接口。
2.根据权利要求1所述的一种云计算平台中基于混合模型的行为检测系统与方法,其特征在于,所述骨干网健康IDS管理模块、关键节点的IDS模块、主机节点间网络IDS模块和预留服务IDS管理接口都可以独立进行工作,同时又能够由整体管理模块来协调其他模块工作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510738507.1A CN105262768A (zh) | 2015-11-04 | 2015-11-04 | 一种云计算平台中基于混合模型的行为检测系统与方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510738507.1A CN105262768A (zh) | 2015-11-04 | 2015-11-04 | 一种云计算平台中基于混合模型的行为检测系统与方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105262768A true CN105262768A (zh) | 2016-01-20 |
Family
ID=55102273
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510738507.1A Pending CN105262768A (zh) | 2015-11-04 | 2015-11-04 | 一种云计算平台中基于混合模型的行为检测系统与方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105262768A (zh) |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101465770A (zh) * | 2009-01-06 | 2009-06-24 | 北京航空航天大学 | 入侵检测系统部署方法 |
| CN101719842A (zh) * | 2009-11-20 | 2010-06-02 | 中国科学院软件研究所 | 一种基于云计算环境的分布式网络安全预警方法 |
| CN102594620A (zh) * | 2012-02-20 | 2012-07-18 | 南京邮电大学 | 一种基于行为描述的可联动分布式网络入侵检测方法 |
| CN102724176A (zh) * | 2012-02-23 | 2012-10-10 | 北京市计算中心 | 一种面向云计算环境的入侵检测系统 |
| CN103354530A (zh) * | 2013-07-18 | 2013-10-16 | 北京启明星辰信息技术股份有限公司 | 虚拟化网络边界数据流汇聚方法及装置 |
| CN103686735A (zh) * | 2012-09-11 | 2014-03-26 | 浙江商业技师学院 | 基于选择性非零和博弈的无线传感器网络入侵检测方法 |
| US20140101656A1 (en) * | 2012-10-10 | 2014-04-10 | Zhongwen Zhu | Virtual firewall mobility |
| US8881279B2 (en) * | 2013-03-14 | 2014-11-04 | Joyent, Inc. | Systems and methods for zone-based intrusion detection |
| CN104392175A (zh) * | 2014-11-26 | 2015-03-04 | 华为技术有限公司 | 一种云计算系统中云应用攻击行为处理方法、装置及系统 |
-
2015
- 2015-11-04 CN CN201510738507.1A patent/CN105262768A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101465770A (zh) * | 2009-01-06 | 2009-06-24 | 北京航空航天大学 | 入侵检测系统部署方法 |
| CN101719842A (zh) * | 2009-11-20 | 2010-06-02 | 中国科学院软件研究所 | 一种基于云计算环境的分布式网络安全预警方法 |
| CN102594620A (zh) * | 2012-02-20 | 2012-07-18 | 南京邮电大学 | 一种基于行为描述的可联动分布式网络入侵检测方法 |
| CN102724176A (zh) * | 2012-02-23 | 2012-10-10 | 北京市计算中心 | 一种面向云计算环境的入侵检测系统 |
| CN103686735A (zh) * | 2012-09-11 | 2014-03-26 | 浙江商业技师学院 | 基于选择性非零和博弈的无线传感器网络入侵检测方法 |
| US20140101656A1 (en) * | 2012-10-10 | 2014-04-10 | Zhongwen Zhu | Virtual firewall mobility |
| US8881279B2 (en) * | 2013-03-14 | 2014-11-04 | Joyent, Inc. | Systems and methods for zone-based intrusion detection |
| CN103354530A (zh) * | 2013-07-18 | 2013-10-16 | 北京启明星辰信息技术股份有限公司 | 虚拟化网络边界数据流汇聚方法及装置 |
| CN104392175A (zh) * | 2014-11-26 | 2015-03-04 | 华为技术有限公司 | 一种云计算系统中云应用攻击行为处理方法、装置及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20240179153A1 (en) | System for monitoring and managing datacenters | |
| CN100463409C (zh) | 网络安全系统和方法 | |
| EP3068095B1 (en) | Monitoring apparatus and method | |
| Ficco | Security event correlation approach for cloud computing | |
| US10659478B2 (en) | Identifying stealth packets in network communications through use of packet headers | |
| EP4060939B1 (en) | Cyber defence system | |
| CN109962891A (zh) | 监测云安全的方法、装置、设备和计算机存储介质 | |
| CN105491055B (zh) | 一种基于移动代理的网络主机异常事件检测方法 | |
| CN103957203B (zh) | 一种网络安全防御系统 | |
| US10931685B2 (en) | Malware analysis and recovery | |
| US9692779B2 (en) | Device for quantifying vulnerability of system and method therefor | |
| JP2015514356A (ja) | 異常部分グラフの検出のための道探査及び異常/変更検出及び網状況認知のためのdns要求及びホストエージェントの使用 | |
| CN104509034A (zh) | 模式合并以识别恶意行为 | |
| Huang et al. | Knowledge discovery from big data for intrusion detection using LDA | |
| CN104378365A (zh) | 一种能够进行协同分析的安全管理中心 | |
| CN110474885A (zh) | 基于时间序列与ip地址的报警关联分析方法 | |
| CN105337957A (zh) | 一种SDN网络DDoS和DLDoS分布式时空检测系统 | |
| Qu et al. | A network security situation evaluation method based on DS evidence theory | |
| CN104378364A (zh) | 一种信息安全管理中心的协同分析方法 | |
| US9444845B2 (en) | Network security apparatus and method | |
| CN115766235A (zh) | 一种网络安全预警系统及预警方法 | |
| CN108322454B (zh) | 一种网络安全检测方法及装置 | |
| JP6616045B2 (ja) | 異種混在アラートのグラフベース結合 | |
| Iftikhar et al. | Security provision by using detection and prevention methods to ensure trust in edge-based smart city networks | |
| JPWO2016038662A1 (ja) | 情報処理装置及び情報処理方法及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160120 |