CN111935072A - 一种云环境中基于警报关联的分布式入侵检测方法 - Google Patents

Abstract

本发明公开了一种云环境中基于警报关联的分布式入侵检测方法，包括如下步骤：入侵证据收集；分布式行为图模板建立；异常检测；行为图模板更新。本发明通过分簇的方式实现云环境中的分布式检测，基于警报关联的思想实现进一步入侵检测判断，有利于降低误报率。通过本方法，可以有效检测云环境中的僵尸机，从而保护云计算资源不被恶意利用。

Description

一种云环境中基于警报关联的分布式入侵检测方法

技术领域

本发明涉及入侵检测领域，具体涉及一种云环境中的分布式入侵检测方法。

背景技术

近几年来，云计算正在成为信息技术产业发展的战略重点，全球的信息技术企业都在纷纷向云计算转型。然而云环境中的主机很容易受到攻击，因为用户会安装易受感染的操作系统或应用程序。此外，恶意用户可以利用云提供的大量计算资源将其感染为僵尸机，在云外执行攻击，这是对云计算资源的一种浪费。因此，云环境中的入侵检测尤为重要。

现有的入侵检测算法可以分为基于主机的入侵检测和基于网络的入侵检测。基于主机的入侵检测需要部署在每一台主机上，容易影响云计算用户的体验，而且不适合大规模的云计算环境；基于网络的入侵检测主要检测网络流量信息，存在误报率较高的缺点。

发明内容

本发明提供了一种云环境中基于警报关联的分布式入侵检测方法，包括：

一种云环境中基于警报关联的分布式入侵检测方法，包括如下步骤：

(1)入侵证据收集，以时间窗为单位，选择僵尸机的阶段性行为进行检测，得到检测结果作为异常检测的依据；

(2)分布式行为图模板建立，首先关联收集到的入侵证据形成证据集合，并以行为图的方式展现，然后根据行为图将云环境中的主机进行聚类，得到分布式行为图模板作为主机的行为规则；

(3)异常检测，计算主机的行为图和所述分布式行为图模板的相似度，并结合AdaBoost算法对主机的行为图进行分类，判断所述行为图是否发生异常；

(4)行为图模板更新，定期对主机的行为图重新聚类，便于适应多变的网络环境。

上述步骤(1)中所述阶段性行为包括：入站扫描、C&C通信和出站扫描，检测结果分别作为入站扫描证据、C&C通信证据和出站扫描证据。

上述C&C通信行为利用BotDet算法进行检测，检测结果用如下公式表示：

Al_N＝((ip₁,Alert1),(ip₁,Alert3),...,(ip₂,Alert1)) (1)

其中，ip表示产生警报的主机IP地址，Alert1、Alert2、Alert3 Alert4对应表示BotDet产生的四种C&C通信警报类型。

上述入站扫描行为和出站扫描行为的检测通过端口监听的方式进行，入站扫描行为的检测是基于端口扫描失败的次数设计的，定义入站扫描证据Al_in为端口扫描失败次数占总数的比例，公式如下：

其中，port_f表示时间窗内端口扫描的失败次数，port_all表示时间窗内所有端口扫描的次数。上述出站扫描阶段中，主机会同时对大量的IP进行扫描，因此出站扫描的目标IP趋向于均匀分布，针对主机在时间窗内产生的所有扫描，统计所有IP出现情况的平均不确定性，即单个IP不确定性的统计平均值，上述平均值也就是出站扫描证据Al_out，公式如下：

其中p_i为第i个IP出现的概率，f(p_i)表示单个IP出现的不确定性函数，Al_out代表单个IP不确定性的统计平均值。上述步骤(2)分布式行为图模板建立，首先定义检测周期，将检测周期内收集到的入侵证据关联形成证据集合，并以行为图的方式展现，公式如下：

AS_i＝{Al_in,i,value_i,Al_out,i} (5)

IDBG_i＝(V,W_V) (6)

其中，AS_i表示时间窗内的证据集合，i表示时间窗编号；取300s作为一个时间窗进行警报关联。IDBG_i表示主机在第i个时间窗内的行为图，V∈{V₁,V₂,V₃}表示图中的证据节点，V₁代表入站扫描证据节点，V₂代表C&C通信证据节点，V₃代表出站扫描证据节点，W_V表示节点的值。

上述行为图IDBG_i中，V₁和V₃所表示的证据节点是对主机端口扫描数据进行统计，是对主机正常行为的统计，而V₂所表示的证据节点是对检测到的C&C通信警报数量进行统计，是对主机异常行为的统计，因此将主机的行为图分为以下两种类型，(1)主成分图(IDBG⁽¹⁾)，没有V₂节点的图，主机在大多数情况下处于该状态，不产生任何类似C&C通信的噪声行为；(2)噪声图(IDBG⁽²⁾)，出现了V₂节点的图，由于网络环境和用户误操作，主机也可能出现该类行为图。

上述步骤(2)中所述分布式行为图模板定义如下：

MIDBG_i＝(IDBG₁,IDBG₂,...,IDBG_n) (7)

其中，MIDBG_i表示行为图模板，由多个行为图组成。

上述步骤(3)的具体步骤如下：

(3.1)计算行为图和行为图模板之间的相似度分数Cov_T,M，分数表示行为图和行为图模板之间的相似性，用来衡量是否出现了新的行为图，公式如下：

其中，|IDBG_T|∈[2,3]表示主机行为图的节点个数，|MIDBG_T|∈[2,3]表示行为图模板的平均节点个数；

(3.2)若Cov_T,M＝1.5，则|IDBG_T|＝3，|MIDBG_T|＝2，行为图和行为图模板弱相似，主机的行为图模板中从未出现过噪声图，但当前行为图为噪声图，如图3所示，判断主机被感染；

(3.3)若Cov_T,M＜1.5，则行为图和行为图模板强相似，如图4所示，转步骤(3.4)；

(3.4)使用集成方案AdaBoost算法对主机行为图进行分类，判断主机是否被感染，其中，分类所使用的特征如下：

(PG_noise,W_V1,W_V2,W_V3)(9)

其中，PG_noise表示最近一段检测周期内噪声图的百分比，W_V1,W_V2,W_V3表示节点的值。

上述步骤(4)行为图模板更新，当检测周期结束时，对主机的行为图重新聚类，形成新的行为图模板。

本发明的有益效果是：

本发明通过分簇的方式实现云环境中的分布式检测，基于警报关联的思想实现进一步入侵检测判断，有利于降低误报率。通过本方法，可以有效检测云环境中的僵尸机，从而保护云计算资源不被恶意利用。

附图说明

图1是本发明的算法流程图；

图2是本发明的行为图；

图3是本发明的行为图和行为图模板弱相似的情况；

图4是本发明的行为图和行为图模板强相似的情况。

具体实施方式

如图1所示，一种云环境中基于警报关联的分布式入侵检测方法，包括如下步骤：

(1)入侵证据收集，以时间窗为单位，选择僵尸机的阶段性行为进行检测，得到检测结果作为异常检测的依据；

(2)分布式行为图模板建立，首先关联收集到的入侵证据形成证据集合，并以行为图的方式展现，然后根据行为图将云环境中的主机进行聚类，得到分布式行为图模板作为主机的行为规则；

(3)异常检测，计算主机的行为图和所述分布式行为图模板的相似度，并结合AdaBoost算法对主机的行为图进行分类，判断所述行为图是否发生异常；

(4)行为图模板更新，定期对主机的行为图重新聚类，便于适应多变的网络环境。

上述步骤(1)中所述阶段性行为包括：入站扫描、C&C通信和出站扫描，检测结果分别作为入站扫描证据、C&C通信证据和出站扫描证据。

上述C&C通信行为利用BotDet算法进行检测，检测结果用如下公式表示：

Al_N＝((ip₁,Alert1),(ip₁,Alert3),...,(ip₂,Alert1)) (1)

其中，ip表示产生警报的主机IP地址，Alert1、Alert2、Alert3 Alert4对应表示BotDet产生的四种C&C通信警报类型。

上述入站扫描行为和出站扫描行为的检测通过端口监听的方式进行，入站扫描行为的检测是基于端口扫描失败的次数设计的，定义入站扫描证据Al_in为端口扫描失败次数占总数的比例，公式如下：

其中，port_f表示时间窗内端口扫描的失败次数，port_all表示时间窗内所有端口扫描的次数。上述出站扫描阶段中，主机会同时对大量的IP进行扫描，因此出站扫描的目标IP趋向于均匀分布，针对主机在时间窗内产生的所有扫描，统计所有IP出现情况的平均不确定性，即单个IP不确定性的统计平均值，上述平均值也就是出站扫描证据Al_out，公式如下：

其中p_i为第i个IP出现的概率，f(p_i)表示单个IP出现的不确定性函数，Al_out代表单个IP不确定性的统计平均值。上述步骤(2)分布式行为图模板建立，首先定义检测周期，将检测周期内收集到的入侵证据关联形成证据集合，并以行为图的方式展现，公式如下：

AS_i＝{Al_in,i,value_i,Al_out,i} (5)

IDBG_i＝(V,W_V) (6)

其中，AS_i表示时间窗内的证据集合，i表示时间窗编号；取300s作为一个时间窗进行警报关联。IDBG_i表示主机在第i个时间窗内的行为图，V∈{V₁,V₂,V₃}表示图中的证据节点，V₁代表入站扫描证据节点，V₂代表C&C通信证据节点，V₃代表出站扫描证据节点，W_V表示节点的值。

上述行为图IDBG_i中，V₁和V₃所表示的证据节点是对主机端口扫描数据进行统计，是对主机正常行为的统计，而V₂所表示的证据节点是对检测到的C&C通信警报数量进行统计，是对主机异常行为的统计，因此将主机的行为图分为以下两种类型，如图2所示：(1)主成分图(IDBG⁽¹⁾)，没有V₂节点的图，主机在大多数情况下处于该状态，不产生任何类似C&C通信的噪声行为；(2)噪声图(IDBG⁽²⁾)，出现了V₂节点的图，由于网络环境和用户误操作，主机也可能出现该类行为图。

上述步骤(2)中所述分布式行为图模板定义如下：

MIDBG_i＝(IDBG₁,IDBG₂,...,IDBG_n) (7)

其中，MIDBG_i表示行为图模板，由多个行为图组成。

上述步骤(3)的具体步骤如下：

(3.1)计算行为图和行为图模板之间的相似度分数Cov_T,M，分数表示行为图和行为图模板之间的相似性，用来衡量是否出现了新的行为图，公式如下：

其中，|IDBG_T|∈[2,3]表示主机行为图的节点个数，|MIDBG_T|∈[2,3]表示行为图模板的平均节点个数；

(3.2)若Cov_T,M＝1.5，则|IDBG_T|＝3，|MIDBG_T|＝2，行为图和行为图模板弱相似，主机的行为图模板中从未出现过噪声图，但当前行为图为噪声图，如图3所示，判断主机被感染；

(3.3)若Cov_T,M＜1.5，则行为图和行为图模板强相似，如图4所示，转步骤(3.4)；

(3.4)使用集成方案AdaBoost算法对主机行为图进行分类，判断主机是否被感染，其中，分类所使用的特征如下：

(PG_noise,W_V1,W_V2,W_V3) (9)

其中，PG_noise表示最近一段检测周期内噪声图的百分比，W_V1,W_V2,W_V3表示节点的值。

上述步骤(4)行为图模板更新，当检测周期结束时，对主机的行为图重新聚类，形成新的行为图模板。

Claims (8)

1.一种云环境中基于警报关联的分布式入侵检测方法，其特征在于包括如下步骤：

(1)入侵证据收集，以时间窗为单位，选择僵尸机的阶段性行为进行检测，得到检测结果作为异常检测的依据；

(2)分布式行为图模板建立，首先关联收集到的入侵证据形成证据集合，并以行为图的方式展现，然后根据行为图将云环境中的主机进行聚类，得到分布式行为图模板作为主机的行为规则；

(3)异常检测，计算主机的行为图和所述分布式行为图模板的相似度，并结合AdaBoost算法对主机的行为图进行分类，判断所述行为图是否发生异常；

(4)行为图模板更新，定期对主机的行为图重新聚类，便于适应多变的网络环境。

2.根据权利要求1所述的一种云环境中基于警报关联的分布式入侵检测方法，其特征在于，所述步骤(1)中所述阶段性行为包括：入站扫描、C&C通信和出站扫描，检测结果分别作为入站扫描证据、C&C通信证据和出站扫描证据。

3.根据权利要求2所述的一种云环境中基于警报关联的分布式入侵检测方法，其特征在于，所述C&C通信行为利用BotDet算法进行检测，检测结果用如下公式表示：

Al_N＝((ip₁,Alert1),(ip₁,Alert3),...,(ip₂,Alert1)) (1)

其中，ip表示产生警报的主机IP地址，Alert1、Alert2、Alert3Alert4对应表示BotDet的产生的四种C&C通信警报类型。

4.根据权利要求2所述的一种云环境中基于警报关联的分布式入侵检测方法，其特征在于，所述入站扫描行为和出站扫描行为的检测通过端口监听的方式进行，入站扫描证据Al_in为端口扫描失败次数占总数的比例，出站扫描证据Al_out是主机出站扫描的IP的信息熵，用如下公式表示：

其中，port_f表示时间窗内端口扫描的失败次数，port_all表示时间窗内所有端口扫描的次数，p_i为第i个IP出现的概率，f(p_i)表示单个IP出现的不确定性函数，Al_out代表单个IP不确定性的统计平均值。

5.根据权利要求1所述的一种云环境中基于警报关联的分布式入侵检测方法，其特征在于，所述步骤(2)分布式行为图模板建立的步骤如下：

首先定义检测周期，将检测周期内收集到的入侵证据关联形成证据集合，并以行为图的方式展现，公式如下：

AS_i＝{Al_in,i,value_i,Al_out,i} (5)

IDBG_i＝(V,W_V) (6)

其中，AS_i表示时间窗内的证据集合，i表示时间窗编号；IDBG_i表示主机在第i个时间窗内的行为图，V∈{V₁,V₂,V₃}表示图中的证据节点，V₁代表入站扫描证据节点，V₂代表C&C通信证据节点，V₃代表出站扫描证据节点，W_V表示节点的值。

6.根据权利要求5所述的一种云环境中基于警报关联的分布式入侵检测方法，其特征在于，所述行为图IDBG_i中，V₁和V₃所表示的证据节点是对主机端口扫描数据进行统计，是对主机正常行为的统计，而V₂所表示的证据节点是对检测到的C&C通信警报数量进行统计，是对主机异常行为的统计，因此将主机的行为图分为以下两种类型：(1)主成分图(IDBG⁽¹⁾)，没有V₂节点的图；(2)噪声图(IDBG⁽²⁾)，出现了V₂节点的图。

7.根据权利要求1所述的一种云环境中基于警报关联的分布式入侵检测方法，其特征在于，所述步骤(2)中，所述分布式行为图模板定义如下：

MIDBG_i＝(IDBG₁,IDBG₂,...,IDBG_n) (7)

其中，MIDBG_i表示行为图模板，由多个行为图组成。

8.根据权利要求1所述的一种云环境中基于警报关联的分布式入侵检测方法，其特征在于，所述步骤(3)的具体步骤如下：

(3.1)计算行为图和行为图模板之间的相似度分数Cov_T,M，分数表示行为图和行为图模板之间的相似性，用来衡量是否出现了新的行为图，公式如下：

其中|IDBG_T|∈[2,3]表示主机行为图的节点个数，|MIDBG_T|∈[2,3]表示行为图模板的平均节点个数；

(3.2)若Cov_T,M＝1.5，则行为图和行为图模板弱相似，主机的行为图模板中从未出现过噪声图，但当前行为图为噪声图，判断主机被感染；

(3.3)若Cov_T,M＜1.5，则行为图和行为图模板强相似，转步骤(3.4)；

(3.4)使用集成方案AdaBoost算法对主机行为图进行分类，判断主机是否被感染，其中，分类所使用的特征如下：

(PG_noise,W_V1,W_V2,W_V3) (9)

其中，PG_noise表示最近一段检测周期内噪声图的百分比，W_V1,W_V2,W_V3表示节点的值。

Images