CN108040067B - 一种云平台入侵检测方法、装置及系统 - Google Patents
一种云平台入侵检测方法、装置及系统 Download PDFInfo
- Publication number
- CN108040067B CN108040067B CN201711435425.5A CN201711435425A CN108040067B CN 108040067 B CN108040067 B CN 108040067B CN 201711435425 A CN201711435425 A CN 201711435425A CN 108040067 B CN108040067 B CN 108040067B
- Authority
- CN
- China
- Prior art keywords
- intrusion
- detection
- database
- feature
- data obtained
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Abstract
本申请提供了一种云平台入侵检测方法、装置及系统。所述方法包括:对云平台的南北向流量进行特征检测,对经过特征检测后的南北向流量再进行异常检测,将特征检测和异常检测得到的入侵数据保存至入侵数据库;对云平台的东西向流量进行特征检测,对经过特征检测后的东西向流量进行再异常检测,将特征检测和异常检测得到的入侵数据保存至入侵数据库;其中,基于相同的特征数据库对南北向流量和东西向流量进行特征检测,以及基于相同的正常行为模型库进行对南北向流量和东西向流量进行异常检测;根据入侵数据库更新特征数据库和正常行为模型库。所述方法实现了对云平台全面且准确有效的入侵检测。
Description
技术领域
本发明涉及网络技术领域,尤其涉及一种云平台入侵检测方法、装置及系统。
背景技术
入侵检测(Intrusion Detection)是对网络入侵行为的检测,通过收集和分析计算机系统中网络流量的信息,检查网络中是否存在违反安全策略的行为和攻击行为。目前入侵检测所采用的技术主要分为两类:特征检测和异常检测。
特征检测(Signature-based Detection)设定入侵行为能够用一些模式来表示,通过检测网络行为是否符合这些模式来判断是否存在入侵。具体地,特征检测首先提取已有的入侵行为数据的相关特征,数据具备这些特征的网络行为都可以判为入侵行为,例如网络数据包的某些头信息,然后根据这些特征建立特征数据库。特征检测在检测过程将网络行为数据与特征数据库中的特征进行匹配,将匹配结果符合一定条件的网络行为判为入侵行为。特征检测基于特征匹配,因此识别率高,检测速度快,并可以确定入侵行为的类型,但其缺点在于特征数据库是根据已有的入侵行为数据建立起来的,若出现新的入侵行为,由于没有与其数据相匹配的特征,新的入侵行为将无法被检测出来。
异常检测(Anomaly Detection)则定义入侵行为为异常于主体正常行为的网络行为,基于这一定义建立主体正常行为的模型库,将当前的网络行为与正常行为模型库中的模型进行匹配,当匹配结果不符合预设规则时,判定该网络行为为入侵行为。异常检测的难题在于如何建立正常行为模型,以及如何设计相关的算法进行模型匹配,以避免将正常的网络行为误判为入侵行为或者忽略真正的入侵行为。由于主体的正常行为模型通常是稳定的,因此异常检测对已有的入侵行为和新的入侵行为都能进行检测,但不能确定入侵行为的类型,而且由于需要进行模型匹配,因此异常检测的检测速度慢,准确率低。
在云平台中,网络流量分为东西向流量和南北向流量,东西向流量指云平台内部虚拟机(Virtual Machine,VM)之间的流量,南北向流量则指外部网络和云平台之间的通讯流量。传统的入侵检测系统,部署在云平台的外部网关或防火墙处,能够对南北向流量进行检测,但无法对东西向流量进行检测。然而随着云计算的发展,越来越多的应用部署在云平台之中,因此越来越多的网络入侵来自于云平台内部,如何全面且准确有效地进行云平台入侵检测是目前需要解决的问题。
发明内容
本申请提供一种云平台入侵检测方法、装置及系统,以全面且准确有效地对云平台进行入侵检测。
第一方面,本申请提供一种云平台入侵检测方法,所述方法包括:入侵检测系统基于第一特征数据库对云平台的南北向流量进行特征检测,将特征检测得到的入侵数据保存至入侵数据库;基于第一正常行为模型库对经过特征检测后的所述南北向流量进行异常检测,将异常检测得到的入侵数据保存至所述入侵数据库;基于第二特征数据库对所述云平台的东西向流量进行特征检测,将特征检测得到的入侵数据保存至所述入侵数据库;基于第二正常行为模型库对经过特征检测后的所述东西向流量进行异常检测,将异常检测得到的入侵数据保存至所述入侵数据库;根据所述入侵数据库更新所述第一特征数据库、所述第二特征数据库、所述第一正常行为模型库以及所述第二正常行为模型库。
所述方法实现了对云平台的双向入侵检测,并且对南北向流量和东西向流量先进行特征检测再进行异常检测,从而能够在对入侵行为能够快速响应的基础上,提高入侵检测全面性、准确性和鲁棒性。所述方法将特征检测和异常检测所得到的入侵数据都保存至相同的入侵数据库,使用该入侵数据库对特征数据库和正常行为模型库进行更新,通过将特征检测与异常检测得到的入侵数据,以及南北向流量和东西向流量的入侵数据整合,提高了特征数据库的特征覆盖度以及正常行为模型库的准确性,从而提高云平台入侵检测的准确度。所述方法实现了对云平台全面且准确有效的入侵检测。
结合第一方面,在第一方面第一种可能的实现方式中,所述对经过特征检测后的所述南北向流量进行异常检测,将异常检测得到的入侵数据保存至所述入侵数据库,包括:对经过特征检测后的所述南北向流量进行异常检测,对异常检测得到的入侵数据进行标记,将标记次数大于预设的第一阈值的入侵数据保存至所述入侵数据库;所述对经过特征检测后的所述东西向流量进行异常检测,将异常检测得到的入侵数据保存至所述入侵数据库,包括:对经过特征检测后的所述东西向流量进行异常检测,对异常检测得到的入侵数据进行标记,将标记次数大于预设的第二阈值的入侵数据保存至所述入侵数据库。采用这种方式可以避免异常检测中将正常数据误判为入侵数据,提高异常检测的准确度,由于异常检测得到的入侵数据会保存至入侵数据库,并根据入侵数据库更新特征数据库,因此相应地也能提高特征检测的准确性。
结合第一方面或第一方面第一种可能的实现方式,在第一方面第二种可能的实现方式中,所述第一特征数据库和所述第二特征数据库为同一特征数据库,所述第一正常行为模型和所述第二正常行为模型为同一正常行为模型库。这样只需更新一个特征数据库和一个正常行为模型库,更新效率高,而且整合了两个方向流量的入侵数据,有助于提高特征检测和异常检测的准确性。
结合第一方面第二种可能的实现方式,在第一方面第三种可能的实现方式中,所述根据所述入侵数据库更新所述第一特征数据库、所述第二特征数据库、所述第一正常行为模型库以及所述第二正常行为模型库,包括:根据入侵数据库中由异常检测得到的入侵数据更新所述第一特征数据库;根据入侵数据库中由特征检测得到的入侵数据以及由异常检测得到的入侵数据更新所述第一正常行为模型库。采用这种方式,对特征数据库使用异常检测得到的入侵数据进行更新,不仅可以提高更新效率,而且能够将异常检测得到的新的入侵数据的特征加入到特征数据库中,提高特征检测对新的入侵数据的敏感度和准确度。
结合第一方面第三种可能的实现方式,在第一方面第四种可能的实现方式中,所述由异常检测得到的入侵数据,为上一次更新时刻至当前更新时刻之间保存至所述入侵数据库的由异常检测得到的入侵数据;所述由特征检测得到的入侵数据,为上一次更新时刻至当前更新时刻之间保存至所述入侵数据库的由特征检测得到的入侵数据。采用这种方式,对特征数据库和正常行为模型库只使用入侵数据库最近加入的(两次更新之间加入到入侵数据库的)入侵数据进行更新,可以更有效地提高特征数据库和正常行为模型库的更新效率。
结合第一方面第二种可能的实现方式,在第一方面第五种可能的实现方式中,所述方法还包括:对所述第一特征数据库中的特征进行验证,删除未通过验证的特征,以及将所述入侵数据库中与所述未通过验证的特征相对应的入侵数据标记为非入侵数据;标记完成后,根据所述入侵数据库更新所述第一正常行为模型库。采用这种方式,可以保证特征数据库中的特征是正确的,从而提高特征检测的准确性,同时通过对入侵数据库中与错误特征对应的入侵数据的修正,可以提高正常行为模型库的正确性,从而提高异常检测的准确度。
第二方面,本申请提供另一种云平台入侵检测方法,所述方法包括:入侵检测系统对云平台的南北向流量进行特征检测,将特征检测得到的入侵数据保存至入侵数据库;
对经过特征检测后的所述南北向流量进行异常检测,将异常检测得到的入侵数据保存至所述入侵数据库;对所述云平台的东西向流量进行特征检测,将特征检测得到的入侵数据保存至所述入侵数据库;对经过特征检测后的所述东西向流量进行异常检测,将异常检测得到的入侵数据保存至所述入侵数据库;其中,基于相同的特征数据库对南北向流量和东西向流量进行特征检测,以及基于相同的正常行为模型库进行对南北向流量和东西向流量进行异常检测;根据所述入侵数据库更新所述特征数据库和所述正常行为模型库。
所述方法实现了对云平台的双向入侵检测,并且对南北向流量和东西向流量先进行特征检测再进行异常检测,从而能够在对入侵行为能够快速响应的基础上,提高入侵检测全面性、准确性和鲁棒性。且所述方法基于相同的特征数据库对两个方向的流量进行特征检测,以及基于相同的正常行为模型库对两个方向的流量进行异常检测,并将特征检测和异常检测所得到的入侵数据都保存至相同的入侵数据库,使用同一入侵数据库对特征数据库和正常行为模型库进行更新,通过将特征检测与异常检测得到的入侵数据,以及南北向流量和东西向流量的入侵数据整合,提高了特征数据库的特征覆盖度以及正常行为模型库的准确性,从而提高云平台入侵检测的准确度。所述方法实现了对云平台全面且准确有效的入侵检测。
结合第二方面,在第二方面第一种可能的实现方式中,所述对经过特征检测后的所述南北向流量进行异常检测,将异常检测得到的入侵数据保存至所述入侵数据库,包括:
对经过特征检测后的所述南北向流量进行异常检测,对异常检测得到的入侵数据进行标记,将标记次数大于预设的第一阈值的入侵数据保存至所述入侵数据库;所述对经过特征检测后的所述东西向流量进行异常检测,将异常检测得到的入侵数据保存至所述入侵数据库,包括:对经过特征检测后的所述东西向流量进行异常检测,对异常检测得到的入侵数据进行标记,将标记次数大于预设的第二阈值的入侵数据保存至所述入侵数据库。
结合第二方面或第二方面第一种可能的实现方式,在第二方面第二种可能的实现方式中,所述根据所述入侵数据库更新所述特征数据库和所述正常行为模型库,包括:根据入侵数据库中由异常检测得到的入侵数据更新所述特征数据库;根据入侵数据库中由特征检测得到的入侵数据以及由异常检测得到的入侵数据更新所述正常行为模型库。
结合第二方面第三种可能的实现方式,在第二方面第三种可能的实现方式中,所述由异常检测得到的入侵数据,为上一次更新时刻至当前更新时刻之间保存至所述入侵数据库的由异常检测得到的入侵数据;所述由特征检测得到的入侵数据,为上一次更新时刻至当前更新时刻之间保存至所述入侵数据库的由特征检测得到的入侵数据。
结合第二方面或第二方面第一种可能的实现方式,在第二方面第四种可能的实现方式中,所述方法还包括:对所述特征数据库中的特征进行验证,删除未通过验证的特征,以及将所述入侵数据库中与所述未通过验证的特征相对应的入侵数据标记为非入侵数据;标记完成后,根据所述入侵数据库更新所述正常行为模型库。
第三方面,本申请提供一种云平台入侵检测系统,所述系统包括:入侵检测控制器,用于基于第一特征数据库对云平台的南北向流量进行特征检测,将特征检测得到的入侵数据保存至入侵数据库;以及,基于第一正常行为模型库对经过特征检测后的所述南北向流量进行异常检测,将异常检测得到的入侵数据保存至所述入侵数据库;入侵检测代理,用于基于第二特征数据库对所述云平台的东西向流量进行特征检测,将特征检测得到的入侵数据保存至所述入侵数据库;基于第二正常行为模型库对经过特征检测后的所述东西向流量进行异常检测,将异常检测得到的入侵数据保存至所述入侵数据库;所述入侵检测控制器还用于:根据所述入侵数据库更新所述第一特征数据库、所述第二特征数据库、所述第一正常行为模型库以及所述第二正常行为模型库。
本申请提供的云平台入侵检测系统,不仅能够对南北向流量进行入侵检测,而且实现了对云平台内部东西向流量的入侵检测,且对两个方向流量的入侵检测耦合特征检测和异常检测,采用对流量先进行特征检测再进行异常检测的方式,从而在对入侵行为能够快速响应的基础上,提高对新入侵行为的覆盖度,因此能够提高大大入侵检测的全面性、准确性和鲁棒性。不仅如此,所述系统将特征检测和异常检测所得到的入侵数据保存至相同的入侵数据库,使用同一入侵数据库对特征数据库和正常行为模型库进行更新,这样不仅异常检测得到的入侵数据可以用于特征数据库的更新,特征检测得到的入侵数据也可以用于正常行为模型库的更新,而且,南北向流量的入侵数据有助于东西向流量的入侵检测,东西向流量的入侵数据则有助于南北向流量的入侵检测,通过将特征检测与异常检测得到的入侵数据,以及南北向流量和东西向流量的入侵数据整合,提高了特征数据库的覆盖度以及正常行为模型库的准确性,从而大大提高了系统对云平台入侵检测的全面性和准确性。
结合第三方面,在第三方面第一种可能的实现方式中,所述入侵检测器具体用于:对经过特征检测后的所述南北向流量进行异常检测,对异常检测得到的入侵数据进行标记,将标记次数大于预设的第一阈值的入侵数据保存至所述入侵数据库;所述入侵代理具体用于:对经过特征检测后的所述东西向流量进行异常检测,对异常检测得到的入侵数据进行标记,将标记次数大于预设的第二阈值的入侵数据保存至所述入侵数据库。
结合第三方面或第三方面第一种可能的实现方式,在第三方面第二种可能的实现方式中,所述第一特征数据库和所述第二特征数据库为同一特征数据库,所述第一正常行为模型和所述第二正常行为模型为同一正常行为模型库。
结合第三方面第二种可能的实现方式,在第三方面第三种可能的实现方式中,所述入侵检测控制器具体用于:根据入侵数据库中由异常检测得到的入侵数据更新所述第一特征数据库;根据入侵数据库中由特征检测得到的入侵数据以及由异常检测得到的入侵数据更新所述第一正常行为模型库。
结合第三方面第三种可能的实现方式,在第三方面第四种可能的实现方式中,所述由异常检测得到的入侵数据,为上一次更新时刻至当前更新时刻之间保存至所述入侵数据库的由异常检测得到的入侵数据;所述由特征检测得到的入侵数据,为上一次更新时刻至当前更新时刻之间保存至所述入侵数据库的由特征检测得到的入侵数据。
结合第三方面第二种可能的实现方式,在第三方面第五种可能的实现方式中,所述入侵检测控制器还用于:对所述第一特征数据库中的特征进行验证,删除未通过验证的特征,以及将所述入侵数据库中与所述未通过验证的特征相对应的入侵数据标记为非入侵数据;标记完成后,根据所述入侵数据库更新所述第一正常行为模型库。
第四方面,本申请提供另一种云平台入侵检测系统,所述系统包括:入侵检测控制器,用于基于第一特征数据库对云平台的南北向流量进行特征检测,将特征检测得到的入侵数据保存至入侵数据库;以及,基于第一正常行为模型库对经过特征检测后的所述南北向流量进行异常检测,将异常检测得到的入侵数据保存至所述入侵数据库;入侵检测代理,用于基于第二特征数据库对所述云平台的东西向流量进行特征检测,将特征检测得到的入侵数据保存至所述入侵数据库;基于第二正常行为模型库对经过特征检测后的所述东西向流量进行异常检测,将异常检测得到的入侵数据保存至所述入侵数据库;更新控制器,用于根据所述入侵数据库更新所述第一特征数据库、所述第二特征数据库、所述第一正常行为模型库以及所述第二正常行为模型库。
结合第四方面,在第四方面第一种可能的实现方式中,所述入侵检测器具体用于:对经过特征检测后的所述南北向流量进行异常检测,对异常检测得到的入侵数据进行标记,将标记次数大于预设的第一阈值的入侵数据保存至所述入侵数据库;所述入侵代理具体用于:对经过特征检测后的所述东西向流量进行异常检测,对异常检测得到的入侵数据进行标记,将标记次数大于预设的第二阈值的入侵数据保存至所述入侵数据库。
结合第四方面或第四方面第一种可能的实现方式中,在第四方面第二种可能的实现方式中,所述第一特征数据库和所述第二特征数据库为同一特征数据库,所述第一正常行为模型和所述第二正常行为模型为同一正常行为模型库。
结合第四方面第二种可能的实现方式,在第四方面第三种可能的实现方式中,所述更新控制器具体用于:根据入侵数据库中由异常检测得到的入侵数据更新所述第一特征数据库;根据入侵数据库中由特征检测得到的入侵数据以及由异常检测得到的入侵数据更新所述第一正常行为模型库。
结合第四方面第三种可能的实现方式,在第四方面第四种可能的实现方式中,所述由异常检测得到的入侵数据,为上一次更新时刻至当前更新时刻之间保存至所述入侵数据库的由异常检测得到的入侵数据;所述由特征检测得到的入侵数据,为上一次更新时刻至当前更新时刻之间保存至所述入侵数据库的由特征检测得到的入侵数据。
结合第四方面第二种可能的实现方式,在第四方面第五种可能的实现方式中,所述更新控制器还用于:对所述第一特征数据库中的特征进行验证,删除未通过验证的特征,以及将所述入侵数据库中与所述未通过验证的特征相对应的入侵数据标记为非入侵数据;标记完成后,根据所述入侵数据库更新所述第二正常行为模型库。
第五方面,本申请还提供又一种云平台入侵检测系统,所述系统包括:
入侵检测控制器,用于对云平台的南北向流量进行特征检测,将特征检测得到的入侵数据保存至入侵数据库;以及,对经过特征检测后的所述南北向流量进行异常检测,将异常检测得到的入侵数据保存至所述入侵数据库;入侵检测代理,用于对所述云平台的东西向流量进行特征检测,将特征检测得到的入侵数据保存至所述入侵数据库;对经过特征检测后的所述东西向流量进行异常检测,将异常检测得到的入侵数据保存至所述入侵数据库;其中,所述入侵检测控制器和所述入侵检测代理基于相同的特征数据库进行特征检测,以及基于相同的正常行为模型库进行异常检测;所述入侵检测控制器还用于:根据所述入侵数据库更新所述特征数据库和所述正常行为模型库。
结合第五方面,在第五方面第一种可能的实现方式中,所述入侵检测器具体用于:对经过特征检测后的所述南北向流量进行异常检测,对异常检测得到的入侵数据进行标记,将标记次数大于预设的第一阈值的入侵数据保存至所述入侵数据库;所述入侵代理具体用于:对经过特征检测后的所述东西向流量进行异常检测,对异常检测得到的入侵数据进行标记,将标记次数大于预设的第二阈值的入侵数据保存至所述入侵数据库。
结合第五方面或第五方面第一种可能的实现方式,在第五方面第二种可能的实现方式中,所述入侵检测控制器具体用于:根据入侵数据库中由异常检测得到的入侵数据更新所述特征数据库;根据入侵数据库中由特征检测得到的入侵数据以及由异常检测得到的入侵数据更新所述正常行为模型库。
第六方面,本申请提供一种云平台入侵检测装置,所述装置包括:第一检测单元,用于基于第一特征数据库对云平台的南北向流量进行特征检测,将特征检测得到的入侵数据保存至入侵数据库;以及,基于第一正常行为模型库对经过特征检测后的所述南北向流量进行异常检测,将异常检测得到的入侵数据保存至所述入侵数据库;第二检测单元,用于基于第二特征数据库对所述云平台的东西向流量进行特征检测,将特征检测得到的入侵数据保存至所述入侵数据库;基于第二正常行为模型库对经过特征检测后的所述东西向流量进行异常检测,将异常检测得到的入侵数据保存至所述入侵数据库;更新单元,用于根据所述入侵数据库更新所述第一特征数据库、所述第二特征数据库、所述第一正常行为模型库以及所述第二正常行为模型库。
本申请提供的云平台入侵检测装置,实现了对南北向流量进行入侵检测,以及对云平台内部东西向流量的入侵检测,且对两个方向流量的入侵检测耦合特征检测和异常检测,采用对流量先进行特征检测再进行异常检测的方式,从而在对入侵行为能够快速响应的基础上,提高对新入侵行为的覆盖度,因此能够提高大大入侵检测的全面性、准确性和鲁棒性。不仅如此,所述系统将特征检测和异常检测所得到的入侵数据保存至相同的入侵数据库,使用同一入侵数据库对特征数据库和正常行为模型库进行更新,通过将特征检测与异常检测得到的入侵数据,以及南北向流量和东西向流量的入侵数据整合,提高了特征数据库的覆盖度以及正常行为模型库的准确性,从而大大提高了系统对云平台入侵检测的全面性和准确性。
结合第六方面,在第六方面第一种可能的实现方式中,所述第一检测单元,包括:第一特征检测模块,用于基于第一特征数据库对云平台的南北向流量进行特征检测,将特征检测得到的入侵数据保存至入侵数据库;以及,第一异常检测模块,用于基于第一正常行为模型库对经过特征检测后的所述南北向流量进行异常检测,将异常检测得到的入侵数据保存至所述入侵数据库;所述第二检测单元,包括:第二特征检测模块,用于基于第二特征数据库对所述云平台的东西向流量进行特征检测,将特征检测得到的入侵数据保存至所述入侵数据库;以及,第二异常检测模块,用于基于第二正常行为模型库对经过特征检测后的所述东西向流量进行异常检测,将异常检测得到的入侵数据保存至所述入侵数据库。
结合第六方面第一种可能的实现方式,在第六方面第二种可能的实现方式中,所述第一异常检测模块具体用于:对经过特征检测后的所述南北向流量进行异常检测,对异常检测得到的入侵数据进行标记,将标记次数大于预设的第一阈值的入侵数据保存至所述入侵数据库;所述第二异常检测模块具体用于:对经过特征检测后的所述东西向流量进行异常检测,对异常检测得到的入侵数据进行标记,将标记次数大于预设的第二阈值的入侵数据保存至所述入侵数据库。
结合第六方面至第六方面第二种可能的实现方式中的任意一种,在第六方面第三种可能的实现方式中,所述第一特征数据库和所述第二特征数据库为同一特征数据库,所述第一正常行为模型和所述第二正常行为模型为同一正常行为模型库。
结合第六方面第三种可能的实现方式,在第六方面第四种可能的实现方式中,所述更新单元具体用于:根据入侵数据库中由异常检测得到的入侵数据更新所述第一特征数据库;根据入侵数据库中由特征检测得到的入侵数据以及由异常检测得到的入侵数据更新所述第一正常行为模型库。
结合第六方面第四种可能的实现方式,在第六方面第五种可能的实现方式中,所述由异常检测得到的入侵数据,为上一次更新时刻至当前更新时刻之间保存至所述入侵数据库的由异常检测得到的入侵数据;所述由特征检测得到的入侵数据,为上一次更新时刻至当前更新时刻之间保存至所述入侵数据库的由特征检测得到的入侵数据。
结合第六方面第三种可能的实现方式,在第六方面第六种可能的实现方式中,所述更新单元包括特征更新模块和模型更新模块,所述特征更新模块用于根据所述入侵数据库更新所述第一特征数据库,所述模型更新模块用于根据所述入侵数据库更新所述第一正常行为模型库。
结合第六方面第六种可能的实现方式,在第六方面第七种可能的实现方式中,所述特征更新模块还用于:对所述第一特征数据库中的特征进行验证,删除未通过验证的特征,以及将所述入侵数据库中与所述未通过验证的特征相对应的入侵数据标记为非入侵数据;所述模型更新模块还用于:标记完成后,根据所述入侵数据库更新所述第一正常行为模型库。
第七方面,本申请提供另一种云平台入侵检测装置,所述装置包括:第一检测单元,用于对云平台的南北向流量进行特征检测,将特征检测得到的入侵数据保存至入侵数据库;以及,对经过特征检测后的所述南北向流量进行异常检测,将异常检测得到的入侵数据保存至所述入侵数据库;第二检测单元,用于对所述云平台的东西向流量进行特征检测,将特征检测得到的入侵数据保存至所述入侵数据库;对经过特征检测后的所述东西向流量进行异常检测,将异常检测得到的入侵数据保存至所述入侵数据库;其中,所述第一检测单元和所述第二检测单元基于相同的特征数据库进行特征检测,以及基于相同的正常行为模型库进行异常检测;更新单元,用于根据所述入侵数据库更新所述特征数据库和所述正常行为模型库。
结合第七方面,在第七方面第一种可能的实现方式中,所述第一检测单元,包括:第一特征检测模块,用于对云平台的南北向流量进行特征检测,将特征检测得到的入侵数据保存至入侵数据库;以及,第一异常检测模块,用于对经过特征检测后的所述南北向流量进行异常检测,将异常检测得到的入侵数据保存至所述入侵数据库;所述第二检测单元,包括:第二特征检测模块,用于对所述云平台的东西向流量进行特征检测,将特征检测得到的入侵数据保存至所述入侵数据库;以及,第二异常检测模块,用于对经过特征检测后的所述东西向流量进行异常检测,将异常检测得到的入侵数据保存至所述入侵数据库;其中,所述第一特征检测模块和所述第二特征检测模块基于相同的特征数据库进行特征检测,所述第一异常检测模块和所述第二异常检测模块基于相同的正常行为模型库进行异常检测;
其中,所述第一异常检测模块具体用于:对经过特征检测后的所述南北向流量进行异常检测,对异常检测得到的入侵数据进行标记,将标记次数大于预设的第一阈值的入侵数据保存至所述入侵数据库;所述第二异常检测模块具体用于:对经过特征检测后的所述东西向流量进行异常检测,对异常检测得到的入侵数据进行标记,将标记次数大于预设的第二阈值的入侵数据保存至所述入侵数据库。
结合第七方面或第七方面第一种可能的实现方式,在第五方面第二种可能的实现方式中,所述更新单元具体用于:根据入侵数据库中由异常检测得到的入侵数据更新所述特征数据库;根据入侵数据库中由特征检测得到的入侵数据以及由异常检测得到的入侵数据更新所述正常行为模型库。
本申请提供的云平台入侵检测技术方案,实现了对南北向流量和东西向流量的双向入侵检测,对流量先进行特征检测再进行异常检测,从而在对入侵行为能够快速响应的基础上,大大提高入侵检测全面性、准确性和鲁棒性。所述方法(基于相同的特征数据库对两个方向的流量进行特征检测,以及基于相同的正常行为模型库对两个方向的流量进行异常检测,)将特征检测和异常检测所得到的入侵数据保存至相同的入侵数据库,使用入侵数据库对特征数据库和正常行为模型库进行更新,通过将特征检测与异常检测得到的入侵数据,以及南北向流量和东西向流量的入侵数据整合,提高了特征数据库的覆盖度以及正常行为模型库的准确性,从而能够大幅提高云平台入侵检测的准确性。本申请提供的云平台入侵检测技术方案实现了对云平台全面且准确有效的入侵检测。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为云平台结构示意图;
图2为本申请提供的一种云平台入侵检测系统的结构和检测流程示意图;
图3为图2中特征数据库和正常行为模型库的另一种构成示意图;
图4为本申请提供的另一种云平台入侵检测系统的结构示意图;
图5为本申请提供的一种云平台入侵检测方法的流程示意图;
图6为本申请提供的一种云平台入侵检测装置的框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。
云平台为提供云服务的应用平台,可以为私有或公有云平台,例如基于openstack搭建的私有或公有云平台。如图1所示,云平台包括:多个虚拟机、外部网关、防火墙和物理交换机,其中虚拟机运行于宿主机上。其中,外部网络发送的数据先经过外部网关和防火墙后由物理交换机接收,这种外部网络和云平台之间的通讯流量称为南北向流量;物理交换机将接收的数据分发给一个或多个虚拟机,多个虚拟机之间彼此互连,在同一广播域的虚拟机彼此间会进行数据接收和发送,这种云平台内部虚拟机之间的流量称为东西向流量。
参见图2,为本申请提供的一种云平台入侵检测系统。所述系统包括:
入侵检测控制器U201,用于对云平台的南北向流量进行特征检测,将特征检测得到的入侵数据保存至入侵数据库U01;以及,
对经过特征检测后的所述南北向流量进行异常检测,将异常检测得到的入侵数据保存至所述入侵数据库;
入侵检测代理U202,用于对所述云平台的东西向流量进行特征检测,将特征检测得到的入侵数据保存至所述入侵数据库;
对经过特征检测后的所述东西向流量进行异常检测,将异常检测得到的入侵数据保存至所述入侵数据库;
其中,所述入侵检测控制器和所述入侵检测代理基于相同的特征数据库U02进行特征检测,以及基于相同的正常行为模型库U03进行异常检测;
所述入侵检测控制器U201还用于:根据所述入侵数据库更新所述特征数据库和所述正常行为模型库。
其中,入侵检测控制器可以部署于外部网关或防火墙中,入侵检测代理则可以部署于虚拟机所在的宿主机中。入侵检测代理能够旁路监控该宿主机上的虚拟机中的流量,虚拟机和入侵检测代理一一对应,也就是一个入侵检测代理监控一个虚拟机。入侵检测控制器和入侵检测代理都是以旁路监听的方式对网络流量进行入侵检测,不对流量本身产生影响。
其中,入侵检测控制器和入侵检测代理在检测(包括特征检测和异常检测)到入侵数据后还可以进行报警,发出报警提示,或者使能报警器发出报警,并可以将报警信息存储于报警数据库。相应地系统还可以包括报警器和报警数据库,报警器和报警数据库与入侵检测控制器和入侵检测代理相连接。
由于特征检测识别率高,检测速度快,因此为了对入侵行为能够快速响应,入侵检测控制器先对南北向流量进行特征检测,这样可以快速检测出入侵行为数据。另一方面,由于特征检测对新的入侵行为检测能力差,而异常检测对已有的入侵行为和新的入侵行为都能进行检测,因此在进行特征检测后,如图2所示,入侵检测控制器对经过特征检测后的南北向流量继续进行异常检测,从而在兼顾检测效率的基础上,全面地提高入侵检测的准确度和识别入侵行为的覆盖率。同样地,入侵检测代理在对东西向流量进行特征检测后,对经过特征检测后的东西向流量继续进行异常检测。
特征检测是基于特征数据库进行的,入侵检测控制器和入侵检测代理提取流量数据的特征,将提取的特征与特征数据库中的特征进行匹配,如特征数据库中存在与提取的特征相匹配的特征,则确定该流量数据为入侵数据。异常检测基于正常行为模型库进行,入侵检测控制器和入侵检测代理根据流量数据使用相关模型算法计算得到流量数据对应的行为模型,将该行为模型与正常行为模型库中的模型进行匹配,如正常行为模型库中存在与该行为模型相匹配的模型,则确定该流量数据为正常数据,否则,确定该流量数据为入侵数据。
更新特征数据库和正常行为模块库可以提高特征检测和异常检测的准确度。本申请中,如图2所示,入侵检测控制器和入侵检测代理可以基于相同的特征数据库进行特征检测,并基于相同的正常行为模型库进行异常检测,这样只需对一个特征数据库和一个正常行为模型库进行更新。入侵检测控制器将特征检测得到的入侵数据和异常检测得到的入侵数据存储于同一个入侵数据库,同样的,入侵检测代理也将特征检测得到的入侵数据和异常检测得到的入侵数据存储于相同的入侵数据库,这样通过将特征检测和异常检测耦合,以及将南北向流量和东西向流量的入侵检测通过相同的特征数据库和相同的正常行为模型库相联系,不仅异常检测得到的入侵数据可以用于特征数据库的更新,特征检测得到的入侵数据可以用于正常行为模型库的更新,而且,南北向流量的入侵数据可以有助于东西向流量的入侵检测,东西向流量的入侵数据可以有助于南北向流量的入侵检测。需要说明的是,入侵检测控制器通过不同检测方式检测得到的入侵数据在入侵数据库中可以通过不同标识等信息进行区分,入侵代理器通过不同检测方式检测得到的入侵数据在入侵数据库中也可以通过不同标识等信息进行区分,并且东西向流量和南北向流量的入侵数据也可以通过不同标识等信息进行区分。
具体地,如若仅对流量进行特征检测,则只能人工手动对特征数据库添加新特征来进行更新。由于本申请中对流量不仅进行特征检测,还进行异常检测,并且特征检测得到的入侵数据和异常检测得到的入侵数据存储于同一个入侵数据库,而异常检测能够检测新的入侵行为,因此本申请中能够利用异常检测得到的入侵数据(包括南北向流量的和东西向流量的)来对特征数据库进行更新,从而能够实现特征数据库的自动更新,进一步提高特征检测的准确度。另一方面,也可以利用特征检测得到入侵数据(包括南北向流量的和东西向流量的)联合异常检测得到的入侵数据(包括南北向流量的和东西向流量的)来实现对正常行为模型库的自动更新。
对特征数据库和正常行为模型库的更新可以由入侵检测控制器统一执行。对特征数据库和正常行为模型库的更新可以周期性或定时进行,特征数据库和正常行为模型库的更新可以同步进行也可以异步进行。入侵数据库、特征数据库和正常行为模型库分别与入侵检测控制器和入侵检测代理相连。入侵数据库、特征数据库和正常行为模型库可以为本申请所提供的云平台入侵检测系统的一部分,也可以独立于所述系统。
对特征数据库和正常行为模型库的更新都可以基于入侵数据库中的所有数据进行,也就是对入侵数据库中的所有数据提取特征加入到特征数据库,以及根据入侵数据库中的所有数据通过机器学习等算法得到正常行为模型加入到正常行为模型库。但这样会存在重复提取已有的特征和计算已有的正常行为模型的问题,资源消耗大且效率低,因此,在一种可能的实施方式中,仅利用入侵数据库中的异常检测到的入侵数据(包括南北向流量的和东西向流量的)来更新特征数据库,仅提取异常检测的入侵数据的特征加入到特征数据库中,这样可以将异常检测得到的新的入侵行为数据的特征加入到特征数据库中,从而提高特征检测对新的入侵行为的敏感度。进一步地,每次更新可以只利用本次更新和上次更新之间保存至入侵数据库的异常检测得到的入侵数据来更新特征数据库,这样可以进一步避免重复提取特征,降低资源消耗,提高特征数据库更新的效率。相应地,每次对正常行为模型库的更新,可以只利用本次更新和上次更新之间保存至入侵数据库的特征检测得到的入侵数据来进行,但由于正常行为模型库是需要使用机器学习算法不断学习更新的,因此仅使用特征检测得到的入侵数据是不够的,还需使用异常检测本身得到的入侵数据,因此,每次更新时,可以利用本次更新和上次更新之前保存至入侵数据库的特征检测得到的入侵数据,以及异常检测得到的入侵数据,来更新正常行为模型库,以提高正常行为模型库更新的效率,并提高异常检测的准确度。
异常检测是基于模型匹配进行的,相比于特征检测而言准确度较低,一次检测得到的入侵数据并不一定是真的入侵数据,但如果同一数据多次由异常检测为入侵数据,则该数据为入侵数据的概率高,当被检测为入侵数据的次数达到一定的阈值,则可以确定该数据为入侵数据。因此,为提高异常检测的准确度,入侵检测器在异常检测得到入侵数据后,并不马上将该入侵数据保存至入侵数据库,而是对该入侵数据进行标记,当对该入侵数据的标记次数大于预设的第一阈值后,才确定该入侵数据为真的入侵数据,将该入侵数据保存至入侵数据库,从而提高异常检测的准确度,也保证了对特征数据库和正常行为模型库的更新更准确。相应地,入侵代理也对异常检测得到的入侵数据进行标记,仅将标记次数大于预设的第二阈值的入侵数据保存至入侵数据库。其中,第一阈值和第二阈值可以相同也可以不同,第一阈值和第二阈值可以根据经验设定,且第一阈值和第二阈值都大于等于2。
为提高特征检测的准确度,还可以对所述特征数据库中的特征进行验证,以避免特征提取错误导致特征数据库中的特征不准确。所述验证可以人工进行,也可以使用算法自动进行,也就是验证特征数据库中保存的特征是否为入侵行为特征,若通过验证,则保留该特征,若未通过验证,则删除该特征,以及将入侵数据库中与该特征相对应的入侵数据标记为非入侵数据。标记完成后,可以再根据数据变化后的入侵数据库更新正常行为模型库,从而进一步提供异常检测的准确度。需要说明的是,特征数据库中的特征和入侵数据库中的入侵数据是具有可追溯的计算关系的,通过特征数据库中的特征可以追溯到入侵数据库中相对应的入侵数据。对特征数据库中的特征进行验证可以在线进行也可以离线进行。
需要说明的是,入侵检测控制器和入侵检测代理也可以基于不同的特征数据库进行特征检测,以及基于不同的正常行为模型库进行异常检测,如图3所示,入侵检测控制器基于第一特征数据库U021对南北向流量进行特征检测,基于第一正常行为模型库U031对南北向流量进行异常检测,入侵检测代理基于第二特征数据库U022对东西向流量进行特征检测,基于第二正常行为模型库U032对东西向流量进行异常检测。
其中,若由入侵检测控制器对上述特征数据库和正常行为模型库进行更新,则对第一特征数据库的更新可以使用入侵数据库中由入侵检测控制器通过异常检测得到的入侵数据,也可以使用入侵数据库中由入侵检测代理通过异常检测得到的入侵数据,或者使用入侵数据库中由入侵检测控制器和入侵检测代理通过异常检测得到的入侵数据。入侵检测控制器对第一正常行为模型库的更新可以使用入侵数据库中入侵检测控制器通过特征检测和异常检测得到的入侵数据,也可以使用入侵检测代理通过特征检测和异常检测得到的入侵数据,或者使用入侵检测控制器和入侵检测代理通过特征检测和异常检测得到的入侵。入侵检测控制器对第二特征数据库的更新与对第一特征数据库的更新类同,对第二正常行为模型库的更新与对第一正常行为模型库的更新类同。对第一特征数据库、第一正常行为模型库、第二特征数据库、第二正常行为模型库的更新也可以使用入侵数据库中的所有入侵数据。
但图3所示的情况需更新两个特征数据库和两个正常行为模型库,更新效率低,而且不能整合两个方向流量的入侵数据,不利于提高特征检测和异常检测的准确性。
本申请提供的云平台入侵检测系统,不仅能够对南北向流量进行入侵检测,而且实现了对云平台内部东西向流量的入侵检测,且对两个方向流量的入侵检测耦合特征检测和异常检测,采用对流量先进行特征检测再进行异常检测的方式,从而在对入侵行为能够快速响应的基础上,提高对新入侵行为的覆盖度,因此能够提高大大入侵检测的全面性、准确性和鲁棒性。不仅如此,所述系统中,基于相同的特征数据库对两个方向的流量进行特征检测,以及基于相同的正常行为模型库对两个方向的流量进行异常检测,并且特征检测和异常检测所得到的入侵数据都保存至相同的入侵数据库,使用同一入侵数据库对特征数据库和正常行为模型库进行更新,这样不仅异常检测得到的入侵数据可以用于特征数据库的更新,特征检测得到的入侵数据也可以用于正常行为模型库的更新,而且,南北向流量的入侵数据有助于东西向流量的入侵检测,东西向流量的入侵数据则有助于南北向流量的入侵检测,通过将特征检测与异常检测得到的入侵数据,以及南北向流量和东西向流量的入侵数据整合,提高了特征数据库的覆盖度以及正常行为模型库的准确性,从而大大提高了系统对云平台入侵检测的准确度。综上所述,本申请提供的云平台入侵检测系统能够实现对云平台全面且准确有效的入侵检测。
参见图4,为本申请提供的另一种云平台检测系统的框图,所述系统包括:
入侵检测控制器U401,用于对云平台的南北向流量进行特征检测,将特征检测得到的入侵数据保存至入侵数据库;以及,
对经过特征检测后的所述南北向流量进行异常检测,将异常检测得到的入侵数据保存至所述入侵数据库;
入侵检测代理U402,用于对所述云平台的东西向流量进行特征检测,将特征检测得到的入侵数据保存至所述入侵数据库;
对经过特征检测后的所述东西向流量进行异常检测,将异常检测得到的入侵数据保存至所述入侵数据库;
其中,所述入侵检测控制器和所述入侵检测代理基于相同的特征数据库进行特征检测,以及基于相同的正常行为模型库进行异常检测;
更新控制器U403,用于根据所述入侵数据库更新所述特征数据库和所述正常行为模型库。
其中,所述更新控制器可以部署于云平台的网关、防火墙或宿主机中。与图2所示系统的区别在于,对特征数据库和正常行为模型库的更新由更新控制器执行而非入侵检测控制器,以方便对特征数据库和正常行为模型库更新的管理。更新控制器对特征数据库和正常行为模型库可以周期性或定时进行更新,对特征数据库的更新和对正常行为模型库的更新可以同时也可以分时进行。
其中,为提高异常检测的准确度,入侵检测控制器可以不马上将异常检测得到入侵数据保存至入侵数据库,而是先对入侵数据进行标记,当对该入侵数据的标记次数大于预设的第一阈值时,方确定该数据为真实的入侵数据,将该数据保存至所述入侵数据库。同样的,入侵检测代理对异常检测得到的入侵数据先进行标记,当入侵数据的标记次数大于预设的第二阈值时,将该入侵数据保存至所述入侵数据库。
其中,更新控制器具体可以根据入侵数据库中的所有数据来更新特征数据库和正常行为模型库,但这样资源消耗大,效率较低。由于特征检测无法检测到新的入侵数据,而异常检测则可以检测到,因此更新控制器可以只根据异常检测得到的入侵数据来更新特征数据库,不仅能够实现特征检测对新的入侵行为的检测,提高特征检测的准确度,还可以提高特征数据库更新的效率。为进一步提高更新效率,更新控制器可以只根据上一次更新时刻至当前更新时刻之间保存至所述入侵数据库的由异常检测得到的入侵数据来更新特征数据库。
更新控制器可以根据入侵数据库中由特征检测得到的入侵数据以及由异常检测得到的入侵数据更新正常行为模型库,为进一步提高更新效率,更新控制器可以只根据上一次更新时刻至当前更新时刻之间保存至所述入侵数据库的由特征检测和异常检测得到的入侵数据来更新正常行为模型库。
更新控制器还可以用于对特征数据库中的特征进行验证,删除未通过验证的特征,以及将入侵数据库中与未通过验证的特征相对应的入侵数据标记为非入侵数据,标记完成后,再根据入侵数据库更新所述正常行为模型库,从而避免错误的特征减低特征检测的准确度,进而因为对正常行为模型库的影响而降低异常检测的准确度。
其中,需要说明的是,入侵检测控制器和入侵检测代理也可以基于不同的特征数据库进行特征检测,以及基于不同的正常行为模型库进行异常检测,入侵检测控制器基于第一特征数据库对南北向流量进行特征检测,基于第一正常行为模型库对南北向流量进行异常检测,入侵检测代理基于第二特征数据库对东西向流量进行特征检测,基于第二正常行为模型库对东西向流量进行异常检测。但这样更新控制器需更新两个特征数据库和两个正常行为模型库,更新效率低,且不能整合两个方向流量的入侵数据,不利于提高特征检测和异常检测的准确性。
参见图5,为本申请提供的一种云平台入侵检测方法的流程示意图,所述方法应用于云平台,包括:
步骤S501,入侵检测系统对云平台的南北向流量进行特征检测,
步骤S502,将特征检测得到的入侵数据保存至入侵数据库;
步骤S503,对经过特征检测后的所述南北向流量进行异常检测;
步骤S504,将异常检测得到的入侵数据保存至所述入侵数据库;
步骤S505,对所述云平台的东西向流量进行特征检测;
步骤S506,将特征检测得到的入侵数据保存至所述入侵数据库;
步骤S507,对经过特征检测后的所述东西向流量进行异常检测;
步骤S508,将异常检测得到的入侵数据保存至所述入侵数据库;
其中,入侵检测系统可以基于相同的特征数据库对南北向流量和东西向流量进行特征检测,以及可以基于相同的正常行为模型库进行对南北向流量和东西向流量进行异常检测;
步骤S509,根据所述入侵数据库更新所述特征数据库和所述正常行为模型库。
其中,所述对经过特征检测后的所述南北向流量进行异常检测,将异常检测得到的入侵数据保存至所述入侵数据库,可以包括:对经过特征检测后的所述南北向流量进行异常检测,对异常检测得到的入侵数据进行标记,将标记次数大于预设的第一阈值的入侵数据保存至所述入侵数据库。所述对经过特征检测后的所述东西向流量进行异常检测,将异常检测得到的入侵数据保存至所述入侵数据库,包括:对经过特征检测后的所述东西向流量进行异常检测,对异常检测得到的入侵数据进行标记,将标记次数大于预设的第二阈值的入侵数据保存至所述入侵数据库。采用这种方式,只在数据被多次标记为入侵数据时方确定该数据为入侵数据并保存至入侵数据库,从而可以避免将正常数据误判为入侵数据,提高异常检测的准确度。
其中,对特征数据库和正常行为模型库可以周期性或定时更新,对特征数据库和正常行为模型库的更新可以同步进行也可以异步进行。所述根据所述入侵数据库更新所述特征数据库和所述正常行为模型库,可以包括:根据入侵数据库中由异常检测得到的入侵数据更新所述特征数据库,这样不仅可以将异常检测得到的新入侵数据的特征加入特征数据库,还可以提高特征数据库更新的效率;以及根据入侵数据库中由特征检测得到的入侵数据以及由异常检测得到的入侵数据更新所述正常行为模型库。进一步的,为提高特征数据库和正常行为模型的更新效率,可以只根据上一次更新时刻至当前更新时刻之间保存至所述入侵数据库的由异常检测得到的入侵数据,来更新特征数据库;以及根据上一次更新时刻至当前更新时刻之间保存至所述入侵数据库的由特征检测和异常检测得到的入侵数据来更新正常行为模型库。
为提高特征特征检测和异常检测的准确度,所述方法还可以包括:
步骤S5010,对所述特征数据库中的特征进行验证,删除未通过验证的特征,以及将所述入侵数据库中与所述未通过验证的特征相对应的入侵数据标记为非入侵数据;
步骤S5011,标记完成后,根据所述入侵数据库更新所述正常行为模型库。
其中,入侵检测系统也可以基于不同的特征数据库对南北向流量和东西向流量进行特征检测,以及可以基于不同的正常行为模型库进行对南北向流量和东西向流量进行异常检测。例如入侵检测系统基于第一特征数据库对南北向流量进行特征检测,基于第一正常行为模型库对南北向流量进行异常检测,基于第二特征数据库对东西向流量进行特征检测,以及基于第二正常行为模型库对东西向流量进行异常检测。但这样需更新两个特征数据库和两个正常行为模型库,更新效率低,且不能整合两个方向流量的入侵数据,无助于提高特征检测和异常检测的准确性。
本申请提供的云平台入侵检测方法,实现了对南北向流量和东西向流量的双向入侵检测,对流量先进行特征检测再进行异常检测,从而在对入侵行为能够快速响应的基础上,大大提高入侵检测全面性、准确性和鲁棒性。而且所述方法基于相同的特征数据库对两个方向的流量进行特征检测,以及基于相同的正常行为模型库对两个方向的流量进行异常检测,并将特征检测和异常检测所得到的入侵数据都保存至相同的入侵数据库,使用同一入侵数据库对特征数据库和正常行为模型库进行更新,通过将特征检测与异常检测得到的入侵数据,以及南北向流量和东西向流量的入侵数据整合,提高了特征数据库的覆盖度以及正常行为模型库的准确性,从而大大提高了云平台入侵检测的准确性。本申请提供的云平台入侵检测方法实现了对云平台全面且准确有效的入侵检测。
参见图6,为本申请提供的一种云平台入侵检测装置的框图,所述装置应用于云平台,包括:
第一检测单元U601,用于对云平台的南北向流量进行特征检测,将特征检测得到的入侵数据保存至入侵数据库U01;以及,
对经过特征检测后的所述南北向流量进行异常检测,将异常检测得到的入侵数据保存至所述入侵数据库;
第二检测单元U602,用于对所述云平台的东西向流量进行特征检测,将特征检测得到的入侵数据保存至所述入侵数据库;
对经过特征检测后的所述东西向流量进行异常检测,将异常检测得到的入侵数据保存至所述入侵数据库;
其中,所述第一检测单元和所述第二检测单元基于相同的特征数据库U02进行特征检测,以及基于相同的正常行为模型库U03进行异常检测;
更新单元U603,用于根据所述入侵数据库更新所述特征数据库和所述正常行为模型库。
其中,第一检测单元、第二检测单元和更新单元都与入侵数据库相连。所述第一检测单元U601,可以包括:
第一特征检测模块U6011,用于对云平台的南北向流量进行特征检测,将特征检测得到的入侵数据保存至入侵数据库;以及,
第一异常检测模块U6012,用于对经过特征检测后的所述南北向流量进行异常检测,将异常检测得到的入侵数据保存至所述入侵数据库;
所述第二检测单元,可以包括:
第二特征检测模块U6021,用于对所述云平台的东西向流量进行特征检测,将特征检测得到的入侵数据保存至所述入侵数据库;以及,
第二异常检测模块U6022,用于对经过特征检测后的所述东西向流量进行异常检测,将异常检测得到的入侵数据保存至所述入侵数据库;
其中,所述第一特征检测模块和所述第二特征检测模块基于相同的特征数据库U02进行特征检测,皆与特征数据库U02相连;所述第一异常检测模块和所述第二异常检测模块基于相同的正常行为模型库U03进行异常检测,皆与正常行为模型库U03相连。
其中,所述第一异常检测模块可以具体用于:对经过特征检测后的所述南北向流量进行异常检测,对异常检测得到的入侵数据进行标记,将标记次数大于预设的第一阈值的入侵数据保存至所述入侵数据库;所述第二异常检测模块可以具体用于:对经过特征检测后的所述东西向流量进行异常检测,对异常检测得到的入侵数据进行标记,将标记次数大于预设的第二阈值的入侵数据保存至所述入侵数据库。这种方式可以避免将正常数据误判为入侵数据,提高异常检测的准确度。
其中,更新单元对特征数据库和正常行为模型库可以周期性或定时更新,对特征数据库和正常行为模型库的更新可以同步进行也可以异步进行。更新单元可以具体用于:根据入侵数据库中由异常检测得到的入侵数据更新所述特征数据库,这样可以将异常检测得到的新入侵数据的特征加入特征数据库,还可以提高特征数据库更新的效率。另一方面更新单元可以根据入侵数据库中由特征检测得到的入侵数据以及由异常检测得到的入侵数据更新所述正常行为模型库。进一步的,更新单元可以根据上一次更新时刻至当前更新时刻之间保存至入侵数据库的由异常检测得到的入侵数据,来更新特征数据库;以及根据为上一次更新时刻至当前更新时刻之间保存至入侵数据库的由特征检测和异常检测得到的入侵数据,来更新正常行为模型库。更新单元也可以根据入侵数据库中的所有数据来更新特征数据库和正常行为模型库,但这样效率较低。
其中,更新单元U603可以包括特征更新模块U6031和模型更新模块U6032,所述特征更新模块U6031用于根据入侵数据库U01更新特征数据库U02,所述模型更新模块U6032用于根据入侵数据库U01更新正常行为模型库U03。特征更新模块和模型更新模块可以同时执行更新,也可以不同时执行。特征更新模块U6031与特征数据库U02相连,模型更新模块U6032与正常行为模型库U03相连。
所述特征更新模块还可以用于:对所述特征数据库中的特征进行验证,删除未通过验证的特征,以及将所述入侵数据库中与所述未通过验证的特征相对应的入侵数据标记为非入侵数据;所述模型更新模块还用于:标记完成后,根据所述入侵数据库更新所述正常行为模型库。采用这种方式可以提高特征特征检测和异常检测的准确度。
其中,第一检测单元也可以基于不同的特征数据库对南北向流量和东西向流量进行特征检测,以及第二检测单元可以基于不同的正常行为模型库进行对南北向流量和东西向流量进行异常检测。其中,第一特征检测模块基于第一特征数据库对南北向流量进行特征检测,第一异常检测模块基于第一正常行为模型库对南北向流量进行异常检测,第二特征检测模块基于第二特征数据库对东西向流量进行特征检测,第二异常检测模块基于第二正常行为模型库对东西向流量进行异常检测。但这样更新单元需更新两个特征数据库和两个正常行为模型库,更新效率低,且不能整合两个方向流量的入侵数据,无助于提高特征检测和异常检测的准确性。
本申请提供的云平台入侵检测装置,能够对南北向流量和东西向流量都进行入侵检测,并使用对流量先进行特征检测再进行异常检测的方式,从而在对入侵行为能够快速响应的基础上,大大提高了入侵检测全面性、准确性和鲁棒性。而且所述装置基于相同的特征数据库对两个方向的流量进行特征检测,以及基于相同的正常行为模型库对两个方向的流量进行异常检测,并将特征检测和异常检测所得到的入侵数据都保存至相同的入侵数据库,通过将特征检测与异常检测得到的入侵数据,以及南北向流量和东西向流量的入侵数据整合,使用同一入侵数据库对特征数据库和正常行为模型库进行更新,提高了特征数据库的覆盖度以及正常行为模型库的准确性,从而大大提高了云平台入侵检测的准确性。本申请提供的云平台入侵检测装置能够对云平台进行全面且准确有效的入侵检测。
为了描述的方便,描述以上装置时以功能分为各种单元和模块分别描述。当然,在实施本申请时可以把各单元和模块的功能在同一个或多个软件和/或硬件中实现。
具体实现中,本申请还提供一种计算机计算机程序产品,该计算机程序产品可包括指令,当所述指令在计算机上运行时,使得计算机执行本申请所提供的云平台入侵检测方法。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者逆序。术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法或者平台不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法或者平台所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法或者平台中还存在另外的相同要素。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于方法或装置实施例而言,由于其基本相似于系统实施例,所以描述得比较简单,相关之处参见系统实施例的部分说明即可。以上所描述的装置及系统实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模型来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅是本申请的具体实施方式,使本领域技术人员能够理解或实现本申请。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (3)
1.一种云平台入侵检测方法,其特征在于,包括:
入侵检测系统对云平台的南北向流量进行特征检测,将特征检测得到的入侵数据保存至入侵数据库;
对经过特征检测后的所述南北向流量进行异常检测,将异常检测得到的入侵数据保存至所述入侵数据库;
对所述云平台的东西向流量进行特征检测,将特征检测得到的入侵数据保存至所述入侵数据库;
对经过特征检测后的所述东西向流量进行异常检测,将异常检测得到的入侵数据保存至所述入侵数据库;
其中,基于相同的特征数据库对南北向流量和东西向流量进行特征检测,以及基于相同的正常行为模型库进行对南北向流量和东西向流量进行异常检测;
根据所述入侵数据库更新所述特征数据库和所述正常行为模型库;
根据入侵数据库中由异常检测得到的入侵数据更新所述特征数据库;
根据入侵数据库中由特征检测得到的入侵数据以及由异常检测得到的入侵数据更新所述正常行为模型库;
对所述特征数据库中的特征进行验证,删除未通过验证的特征,以及将所述入侵数据库中与所述未通过验证的特征相对应的入侵数据标记为非入侵数据;
标记完成后,根据所述入侵数据库更新所述正常行为模型库;
其中,所述对经过特征检测后的所述南北向流量进行异常检测,将异常检测得到的入侵数据保存至所述入侵数据库,包括:
对经过特征检测后的所述南北向流量进行异常检测,对异常检测得到的入侵数据进行标记,将标记次数大于预设的第一阈值的入侵数据保存至所述入侵数据库;
所述对经过特征检测后的所述东西向流量进行异常检测,将异常检测得到的入侵数据保存至所述入侵数据库,包括:
对经过特征检测后的所述东西向流量进行异常检测,对异常检测得到的入侵数据进行标记,将标记次数大于预设的第二阈值的入侵数据保存至所述入侵数据库。
2.一种云平台入侵检测系统,其特征在于,所述系统包括:
入侵检测控制器,用于对云平台的南北向流量进行特征检测,将特征检测得到的入侵数据保存至入侵数据库;以及,
对经过特征检测后的所述南北向流量进行异常检测,将异常检测得到的入侵数据保存至所述入侵数据库;
入侵检测代理,用于对所述云平台的东西向流量进行特征检测,将特征检测得到的入侵数据保存至所述入侵数据库;
对经过特征检测后的所述东西向流量进行异常检测,将异常检测得到的入侵数据保存至所述入侵数据库;
其中,所述入侵检测控制器和所述入侵检测代理基于相同的特征数据库进行特征检测,以及基于相同的正常行为模型库进行异常检测;
所述入侵检测控制器还用于:根据所述入侵数据库更新所述特征数据库和所述正常行为模型库;
根据入侵数据库中由异常检测得到的入侵数据更新所述特征数据库;
根据入侵数据库中由特征检测得到的入侵数据以及由异常检测得到的入侵数据更新所述正常行为模型库;
其中,所述入侵检测控制器具体用于:对经过特征检测后的所述南北向流量进行异常检测,对异常检测得到的入侵数据进行标记,将标记次数大于预设的第一阈值的入侵数据保存至所述入侵数据库;
所述入侵检测代理具体用于:对经过特征检测后的所述东西向流量进行异常检测,对异常检测得到的入侵数据进行标记,将标记次数大于预设的第二阈值的入侵数据保存至所述入侵数据库。
3.一种云平台入侵检测装置,其特征在于,所述装置包括:
第一检测单元,用于对云平台的南北向流量进行特征检测,将特征检测得到的入侵数据保存至入侵数据库;以及,
对经过特征检测后的所述南北向流量进行异常检测,将异常检测得到的入侵数据保存至所述入侵数据库;
第二检测单元,用于对所述云平台的东西向流量进行特征检测,将特征检测得到的入侵数据保存至所述入侵数据库;
对经过特征检测后的所述东西向流量进行异常检测,将异常检测得到的入侵数据保存至所述入侵数据库;
其中,所述第一检测单元和所述第二检测单元基于相同的特征数据库进行特征检测,以及基于相同的正常行为模型库进行异常检测;
更新单元,用于根据所述入侵数据库更新所述特征数据库和所述正常行为模型库;根据入侵数据库中由异常检测得到的入侵数据更新所述特征数据库;根据入侵数据库中由特征检测得到的入侵数据以及由异常检测得到的入侵数据更新所述正常行为模型库;
其中,所述第一检测单元,包括:
第一特征检测模块,用于对云平台的南北向流量进行特征检测,将特征检测得到的入侵数据保存至入侵数据库;以及,
第一异常检测模块,用于对经过特征检测后的所述南北向流量进行异常检测,将异常检测得到的入侵数据保存至所述入侵数据库;
所述第二检测单元,包括:
第二特征检测模块,用于对所述云平台的东西向流量进行特征检测,将特征检测得到的入侵数据保存至所述入侵数据库;以及,
第二异常检测模块,用于对经过特征检测后的所述东西向流量进行异常检测,将异常检测得到的入侵数据保存至所述入侵数据库;
其中,所述第一特征检测模块和所述第二特征检测模块基于相同的特征数据库进行特征检测,所述第一异常检测模块和所述第二异常检测模块基于相同的正常行为模型库进行异常检测;
其中,所述第一异常检测模块具体用于:对经过特征检测后的所述南北向流量进行异常检测,对异常检测得到的入侵数据进行标记,将标记次数大于预设的第一阈值的入侵数据保存至所述入侵数据库;
所述第二异常检测模块具体用于:对经过特征检测后的所述东西向流量进行异常检测,对异常检测得到的入侵数据进行标记,将标记次数大于预设的第二阈值的入侵数据保存至所述入侵数据库。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711435425.5A CN108040067B (zh) | 2017-12-26 | 2017-12-26 | 一种云平台入侵检测方法、装置及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711435425.5A CN108040067B (zh) | 2017-12-26 | 2017-12-26 | 一种云平台入侵检测方法、装置及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108040067A CN108040067A (zh) | 2018-05-15 |
CN108040067B true CN108040067B (zh) | 2021-07-06 |
Family
ID=62101263
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711435425.5A Active CN108040067B (zh) | 2017-12-26 | 2017-12-26 | 一种云平台入侵检测方法、装置及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108040067B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11757906B2 (en) * | 2019-04-18 | 2023-09-12 | Oracle International Corporation | Detecting behavior anomalies of cloud users for outlier actions |
CN110798347B (zh) * | 2019-10-25 | 2022-07-15 | 北京浪潮数据技术有限公司 | 服务状态检测方法、装置、设备及存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104821922A (zh) * | 2015-02-12 | 2015-08-05 | 杭州华三通信技术有限公司 | 一种流量分担方法和设备 |
CN104994089A (zh) * | 2015-06-29 | 2015-10-21 | 浪潮(北京)电子信息产业有限公司 | 一种云数据中心安全系统 |
CN106572120A (zh) * | 2016-11-11 | 2017-04-19 | 中国南方电网有限责任公司 | 一种基于混合云的访问控制方法及系统 |
CN106790091A (zh) * | 2016-12-23 | 2017-05-31 | 深圳市深信服电子科技有限公司 | 一种云安全防护系统以及流量清洗方法 |
CN107483413A (zh) * | 2017-07-25 | 2017-12-15 | 西安电子科技大学 | 基于云计算的双向入侵检测系统及方法、认知无线电网络 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9288220B2 (en) * | 2013-11-07 | 2016-03-15 | Cyberpoint International Llc | Methods and systems for malware detection |
CN106982230B (zh) * | 2017-05-10 | 2020-11-13 | 深信服科技股份有限公司 | 一种流量检测方法及系统 |
-
2017
- 2017-12-26 CN CN201711435425.5A patent/CN108040067B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104821922A (zh) * | 2015-02-12 | 2015-08-05 | 杭州华三通信技术有限公司 | 一种流量分担方法和设备 |
CN104994089A (zh) * | 2015-06-29 | 2015-10-21 | 浪潮(北京)电子信息产业有限公司 | 一种云数据中心安全系统 |
CN106572120A (zh) * | 2016-11-11 | 2017-04-19 | 中国南方电网有限责任公司 | 一种基于混合云的访问控制方法及系统 |
CN106790091A (zh) * | 2016-12-23 | 2017-05-31 | 深圳市深信服电子科技有限公司 | 一种云安全防护系统以及流量清洗方法 |
CN107483413A (zh) * | 2017-07-25 | 2017-12-15 | 西安电子科技大学 | 基于云计算的双向入侵检测系统及方法、认知无线电网络 |
Also Published As
Publication number | Publication date |
---|---|
CN108040067A (zh) | 2018-05-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20210306361A1 (en) | Analysis apparatus, analysis system, analysis method and program | |
CN105205394B (zh) | 用于入侵检测的数据检测方法和装置 | |
CN111680068A (zh) | 一种校验方法、装置、设备及存储介质 | |
US10367838B2 (en) | Real-time detection of abnormal network connections in streaming data | |
CN109547455A (zh) | 工业物联网异常行为检测方法、可读存储介质和终端 | |
CN110545219A (zh) | 工业资产的被动识别方法、装置和电子设备 | |
CN108271157B (zh) | 一种伪基站识别方法及装置 | |
CN108040067B (zh) | 一种云平台入侵检测方法、装置及系统 | |
CN106485261A (zh) | 一种图像识别的方法和装置 | |
CN112202817B (zh) | 一种基于多事件关联与机器学习的攻击行为检测方法 | |
CN107426136B (zh) | 一种网络攻击的识别方法和装置 | |
CN112671767A (zh) | 一种基于告警数据分析的安全事件预警方法及装置 | |
CN114363212A (zh) | 一种设备检测方法、装置、设备和存储介质 | |
CN117240522A (zh) | 基于攻击事件模型的漏洞智能挖掘方法 | |
CN113132414B (zh) | 一种多步攻击模式挖掘方法 | |
CN109167773A (zh) | 一种基于马尔科夫模型的访问异常检测方法和系统 | |
CN112380340B (zh) | 一种主站与电厂、变电站之间的错误数据诊断方法及系统 | |
KR101512700B1 (ko) | 사용자 행위패턴 기반 웹 서버의 비인가 트래픽 정밀 접근제어 시스템 및 그 제어 방법 | |
CN110932898B (zh) | 一种智能网络管理系统及方法 | |
CN113064966A (zh) | 用于故障定位的方法、系统及装置 | |
CN109495333B (zh) | 检测处理的方法、设备及网络设备 | |
CN114297735A (zh) | 数据处理方法及相关装置 | |
JP2023533354A (ja) | 端末検証を実現するための方法、装置、システム、デバイス、および記憶媒体 | |
CN107332709B (zh) | 一种故障定位方法及装置 | |
CN104270373A (zh) | 一种基于时间特征的Web服务器匿名访问流量检测方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |