CN114021118A - 基于超融合服务器系统的多元行为检测方法、系统及介质 - Google Patents

基于超融合服务器系统的多元行为检测方法、系统及介质 Download PDF

Info

Publication number
CN114021118A
CN114021118A CN202111196982.2A CN202111196982A CN114021118A CN 114021118 A CN114021118 A CN 114021118A CN 202111196982 A CN202111196982 A CN 202111196982A CN 114021118 A CN114021118 A CN 114021118A
Authority
CN
China
Prior art keywords
behavior
super
network
server system
fusion server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111196982.2A
Other languages
English (en)
Inventor
刘周斌
陈华智
董知周
林世溪
吴千
蔡怡挺
卢剑辉
陈显辉
李炜
景峰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Innovation And Entrepreneurship Center Of State Grid Zhejiang Electric Power Co ltd
Wenzhou Power Supply Co of State Grid Zhejiang Electric Power Co Ltd
Original Assignee
Innovation And Entrepreneurship Center Of State Grid Zhejiang Electric Power Co ltd
Wenzhou Power Supply Co of State Grid Zhejiang Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Innovation And Entrepreneurship Center Of State Grid Zhejiang Electric Power Co ltd, Wenzhou Power Supply Co of State Grid Zhejiang Electric Power Co Ltd filed Critical Innovation And Entrepreneurship Center Of State Grid Zhejiang Electric Power Co ltd
Priority to CN202111196982.2A priority Critical patent/CN114021118A/zh
Publication of CN114021118A publication Critical patent/CN114021118A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • G06F17/10Complex mathematical operations
    • G06F17/16Matrix or vector computation, e.g. matrix-matrix or matrix-vector multiplication, matrix factorization
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • G06F17/10Complex mathematical operations
    • G06F17/18Complex mathematical operations for evaluating statistical data, e.g. average values, frequency distributions, probability functions, regression analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • G06F18/232Non-hierarchical techniques
    • G06F18/2321Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions
    • G06F18/23213Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions with fixed number of clusters, e.g. K-means clustering
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/25Fusion techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Mathematical Physics (AREA)
  • Computational Mathematics (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Evolutionary Biology (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Pure & Applied Mathematics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Artificial Intelligence (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Probability & Statistics with Applications (AREA)
  • Algebra (AREA)
  • Databases & Information Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Operations Research (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明属于网络安全技术领域,公开了一种基于超融合服务器系统的多元行为检测方法、系统及介质,包括:通过关联超融合服务器系统的多元行为与网络协议报文,构建超融合服务器系统的集群中虚拟机间网络行为模型,进行多元行为检测。本发明的基于超融合服务器系统的多元行为检测方法,提高了攻击检测的准确率,能更好地满足服务器的安全、数据可共享的需求。本发明以超融合服务器系统为原型系统,通过虚拟机间网络行为采集模块,采用合适的降维与聚类算法,提供对虚拟机间网络行为特征数据的有效分析与表示,实现系统正常网络行为模型的构建与异常网络行为的检测分析。

Description

基于超融合服务器系统的多元行为检测方法、系统及介质
技术领域
本发明属于网络安全技术领域,尤其涉及一种基于超融合服务器系统的多元行为检测方法、系统及介质。
背景技术
目前,当前针对服务器的各种攻击层出不穷,攻击行为造成的网络使用受阻、数据泄露等安全事件频频出现,服务器通常作为IT系统的核心设备通过网络对外界提供特定服务,因此对于服务器的入侵检测显得尤为重要,现有的异常检测研究中,基于网络流量等单一的信息源进行异常检测的方法容易被攻击者所规避,导致检测率低。且随着泛在物联网感知、检测技术的发展,各类智能系统和应用在实践中不断产生大量数据,对数据共享和多样化处理业务带来新的挑战,也对数据存储、计算等处理业务的底层IT基础设计提出了更高的要求。
通过上述分析,现有技术存在的问题及缺陷为:现有入侵检测系统中系统开销大、检测率低。
解决以上问题及缺陷的难度为:现有入侵检测系统都是事先定义入侵行为和正常行为的模型,难以涵盖所有的网络行为;现今网络环境数据量巨大、吞吐量大,难以快速准确地检测出入侵行为。
解决以上问题及缺陷的意义为:提高入侵检测率,阻止网络攻击行为,降低损失。
发明内容
针对现有技术存在的问题,本发明提供了一种基于超融合服务器系统的多元行为检测方法、系统及介质。
本发明是这样实现的,一种基于超融合服务器系统的多元行为检测方法,所述基于超融合服务器系统的多元行为检测方法包括:
通过关联超融合服务器系统的多元行为与网络协议报文,构建超融合服务器系统的集群中虚拟机间网络行为模型,进行多元行为检测。
进一步,所述基于超融合服务器系统的多元行为检测方法包括以下步骤:
步骤一,采集超融合服务器系统的集群中虚拟机间网络行为特征,通过修改集群中虚拟机间的协议,捕获虚拟机间产生的各种网络行为的频次;
步骤二,存储超融合服务器系统的集群中虚拟机间网络行为特征,统计固定总量中各种网络行为的使用频次,通过使用网络行为捕获函数,将各种网络行为的访问密度图进行存储;
步骤三,对采集到的各种网络行为特征数据进行降维处理与聚类处理,构建超融合服务器系统的集群中虚拟机间网络行为模型;
步骤四,利用构建的超融合服务器系统的集群中虚拟机间网络行为模型检测超融合服务器系统当前的攻击行为,并进行报警。
进一步,步骤一中,所述采集超融合服务器系统的集群中虚拟机间网络行为特征包括:
利用分布设置在超融合服务器系统的各个虚拟机上的采集器采集虚拟机间的所有协议报文,确定各协议报文所对应的网络行为。
进一步,所述采集虚拟机间的所有协议报文,确定各协议报文所对应的网络行为包括:
使用分布式采集器采集虚拟机间的协议报文,调用超融合服务器升级的操作系统的命令监测服务器的状态,对操作系统进行文件监视、进程监视、注册表监视以及网络访问监视得到监控数据;解析监控数据,确定登录、浏览、发文、上传、下载及其他网络行为,将采集的协议报文基于类型提取关键字段进行分类,与网络行为进行匹配,确定各协议报文所对应的网络行为;构建各种网络行为的访问密度图,统计所有网络行为在预设时间间隔的使用频次,将所述使用频次作为网络行为特征数据。
进一步,步骤二中,所述存储超融合服务器系统的集群中虚拟机间网络行为特征,统计固定总量中各种网络行为的使用频次,通过使用网络行为捕获函数,将各种网络行为的访问密度图进行存储包括:
利用超融合服务器支持共享存储的特点,统计固定总量中各种网络行为的使用频次,使用网络行为捕获函数,将各种网络行为的访问密度图存储在共享行为日志库。
进一步,所述将各种网络行为的访问密度图存储在共享行为日志库包括:
创建虚拟服务器节点间的共享行为日志库;统计固定总量中各种网络行为的使用频次,将各种网络行为的访问密度图存储在共享行为日志库。
进一步,步骤三中,所述对采集到的各种网络行为特征数据进行降维处理与聚类处理包括:
采用主要成分分析算法对高维网络行为特征进行降维;使用高斯混合模型对降维后的网络行为访问密度矩阵进行聚类。
进一步,所述采用主要成分分析算法对高维网络行为特征进行降维包括:
计算原始的网络行为访问密度矩阵的均值右移矩阵;计算均值右移向量的协方差矩阵;采用奇异值分析法从协方差矩阵中按照特征值降序提取预设数目的网络行为特征向量,每个虚拟机间网络行为特征向量是目标虚拟机间网络行为特征区域主要活动的映射;将网络行为特征向量与网络行为访问密度均值右移矩阵相乘得到降维后的矩阵。
进一步,所述使用高斯混合模型对降维后的网络行为访问密度矩阵进行聚类包括:
初始化高斯混合分布的模型参数;计算均值向量、协方差矩阵、混合系数;基于极大似然估计方法求解,并对模型进行迭代更新。
进一步,步骤四中,所述利用构建的超融合服务器系统的集群中虚拟机间网络行为模型检测超融合服务器系统当前的攻击行为,并进行报警包括:
将构建的虚拟机间网络行为模型作为超融合服务器系统的攻击检测模型,当给定一个待检验的网络行为访问密度图,如果其高斯概率密度的log值小于预设的阈值,则判定为系统发生异常,进行报警。
本发明的另一目的在于提供一种实施所述基于超融合服务器系统的多元行为检测方法的基于超融合服务器系统的多元行为检测系统,所述基于超融合服务器系统的多元行为检测系统包括:
采集模块,用于采集超融合服务器系统的集群中虚拟机间网络行为特征,通过修改集群中虚拟机间的协议,捕获虚拟机间产生的各种网络行为的频次;
存储模块,用于存储超融合服务器系统的集群中虚拟机间网络行为特征,统计固定总量中各种网络行为的使用频次,通过使用网络行为捕获函数,将各种网络行为的访问密度图进行存储;
模型构建模块,用于对采集到的各种网络行为特征数据进行降维处理与聚类处理,构建超融合服务器系统的集群中虚拟机间网络行为模型;
检测与报警模块,用于检测超融合服务器系统当前的攻击行为,并进行报警;
测试模块,用于模拟超融合服务器系统的攻击行为,测试所述检测与报警模块的性能。
进一步,所述访问密度图作为构建模型模块的数据源,用于刻画网络行为。
进一步,所述测试模块包括:
攻击单元,用于向超融合服务器系统进行攻击;
响应单元,用于统计攻击单元出现后系统产生的额外时间开销以及检测与报警模块的响应时间;
评估单元,用于根据检测与报警模块返回的攻击类型的准确率来评估检测与报警模块的准确率。
结合上述的所有技术方案,本发明所具备的优点及积极效果为:本发明的基于超融合服务器系统的多元行为检测方法,提高了攻击检测的准确率,能更好地满足服务器的安全、数据可共享的需求。
本发明以超融合服务器系统为原型系统,通过虚拟机间网络行为采集模块,采用合适的降维与聚类算法,提供对虚拟机间网络行为特征数据的有效分析与表示,实现系统正常网络行为模型的构建与异常网络行为的检测分析。
本发明提供的基于超融合服务器系统的多元行为检测方法具有高效性,可以减少超融合服务器系统资源消耗以及攻击检测时间;易于部署,通过升级超融合服务器系统的集群中虚拟机间的协议即可实现系统的攻击检测;提高攻击检测的准确率,依托超融合服务器系统的集群中虚拟机间网络行为密度图能够有效的区分多种攻击行为;提高超融合服务器的可靠性、可用性,实现数据安全共享存储。
本发明通过网络行为密度图能够刻画不同种类型的攻击;以超融合服务器系统为原型系统,通过集群中虚拟机间的协议升级,实现了超融合服务器的安全防护技术。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图做简单的介绍,显而易见地,下面所描述的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的基于超融合服务器系统的多元行为检测方法流程图。
图2是本发明实施例提供的基于超融合服务器系统的多元行为检测系统结构示意图;
图中:1、采集模块;2、存储模块;3、模型构建模块;4、检测与报警模块;5、测试模块。
图3是本发明实施例提供的网络行为访问密度图。
图4是本发明实施例提供的网络行为特征数据降维示意图。
图5是本发明实施例提供的检测模块设计图。
图6是本发明实施例提供的检测模块示意图。
图7是本发明实施例提供的攻击单元对于异常情况的检测效果图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
针对现有技术存在的问题,本发明提供了一种基于超融合服务器系统的多元行为检测方法、系统及介质,其特征在于,通过虚拟机间网络行为采集模块,采用合适的降维与聚类算法,提供对虚拟机间网络行为特征数据的有效分析与表示,实现系统正常网络行为模型的构建与异常网络行为的检测分析,提高了检测率并满足了服务器的安全、数据可共享的需求。
下面结合附图对本发明的技术方案作详细的描述。
如图1所示,本发明实施例提供的基于超融合服务器系统的多元行为检测方法包括以下步骤:
S101,采集超融合服务器系统的集群中虚拟机间网络行为特征,通过修改集群中虚拟机间的协议,捕获虚拟机间产生的各种网络行为的频次;
S102,存储超融合服务器系统的集群中虚拟机间网络行为特征,统计固定总量中各种网络行为的使用频次,通过使用网络行为捕获函数,将各种网络行为的访问密度图进行存储;
S103,对采集到的各种网络行为特征数据进行降维处理与聚类处理,构建超融合服务器系统的集群中虚拟机间网络行为模型;
S104,利用构建的超融合服务器系统的集群中虚拟机间网络行为模型检测超融合服务器系统当前的攻击行为,并进行报警。
步骤S101中,本发明实施例提供的采集超融合服务器系统的集群中虚拟机间网络行为特征包括:
利用分布设置在超融合服务器系统的各个虚拟机上的采集器采集虚拟机间的所有协议报文,确定各协议报文所对应的网络行为。
本发明实施例提供的采集虚拟机间的所有协议报文,确定各协议报文所对应的网络行为包括:
使用分布式采集器采集虚拟机间的协议报文,调用超融合服务器升级的操作系统的命令监测服务器的状态,对操作系统进行文件监视、进程监视、注册表监视以及网络访问监视得到监控数据;解析监控数据,确定登录、浏览、发文、上传、下载及其他网络行为,将采集的协议报文基于类型提取关键字段进行分类,与网络行为进行匹配,确定各协议报文所对应的网络行为;构建各种网络行为的访问密度图,统计所有网络行为在预设时间间隔的使用频次,将所述使用频次作为网络行为特征数据。
步骤S102中,本发明实施例提供的存储超融合服务器系统的集群中虚拟机间网络行为特征,统计固定总量中各种网络行为的使用频次,通过使用网络行为捕获函数,将各种网络行为的访问密度图进行存储包括:
利用超融合服务器支持共享存储的特点,统计固定总量中各种网络行为的使用频次,使用网络行为捕获函数,将各种网络行为的访问密度图存储在共享行为日志库。
本发明实施例提供的将各种网络行为的访问密度图存储在共享行为日志库包括:
创建虚拟服务器节点间的共享行为日志库;统计固定总量中各种网络行为的使用频次,将各种网络行为的访问密度图存储在共享行为日志库。
步骤S103中,本发明实施例提供的对采集到的各种网络行为特征数据进行降维处理与聚类处理包括:
采用主要成分分析算法对高维网络行为特征进行降维;使用高斯混合模型对降维后的网络行为访问密度矩阵进行聚类。
本发明实施例提供的采用主要成分分析算法对高维网络行为特征进行降维包括:
计算原始的网络行为访问密度矩阵的均值右移矩阵;计算均值右移向量的协方差矩阵;采用奇异值分析法从协方差矩阵中按照特征值降序提取预设数目的网络行为特征向量,每个虚拟机间网络行为特征向量是目标虚拟机间网络行为特征区域主要活动的映射;将网络行为特征向量与网络行为访问密度均值右移矩阵相乘得到降维后的矩阵。
本发明实施例提供的使用高斯混合模型对降维后的网络行为访问密度矩阵进行聚类包括:
初始化高斯混合分布的模型参数;计算均值向量、协方差矩阵、混合系数;基于极大似然估计方法求解,并对模型进行迭代更新。
步骤S104中,本发明实施例提供的利用构建的超融合服务器系统的集群中虚拟机间网络行为模型检测超融合服务器系统当前的攻击行为,并进行报警包括:
将构建的虚拟机间网络行为模型作为超融合服务器系统的攻击检测模型,当给定一个待检验的网络行为访问密度图,如果其高斯概率密度的log值小于预设的阈值,则判定为系统发生异常,进行报警。
如图2所示,本发明实施例提供的基于超融合服务器系统的多元行为检测系统包括:
采集模块1,用于采集超融合服务器系统的集群中虚拟机间网络行为特征,通过修改集群中虚拟机间的协议,捕获虚拟机间产生的各种网络行为的频次;
存储模块2,用于存储超融合服务器系统的集群中虚拟机间网络行为特征,统计固定总量中各种网络行为的使用频次,通过使用网络行为捕获函数,将各种网络行为的访问密度图进行存储;
模型构建模块3,用于对采集到的各种网络行为特征数据进行降维处理与聚类处理,构建超融合服务器系统的集群中虚拟机间网络行为模型;
检测与报警模块4,用于检测超融合服务器系统当前的攻击行为,并进行报警;
测试模块5,用于模拟超融合服务器系统的攻击行为,测试所述检测与报警模块的性能。
本发明实施例提供的访问密度图作为构建模型模块的数据源,用于刻画网络行为。
本发明实施例提供的测试模块5包括:
攻击单元,用于向超融合服务器系统进行攻击;
响应单元,用于统计攻击单元出现后系统产生的额外时间开销以及检测与报警模块的响应时间;
评估单元,用于根据检测与报警模块返回的攻击类型的准确率来评估检测与报警模块的准确率。
下面结合具体实施例对本发明的技术效果作进一步描述。
实施例1:
本发明的所述方法包括以下模块:
采集模块:用于采集超融合服务器系统的集群中虚拟机间网络行为特征,通过修改集群中虚拟机间的协议,捕获虚拟机间产生的各种网络行为的频次;
存储模块:用于存储超融合服务器系统的集群中虚拟机间网络行为特征,统计固定总量中各种网络行为的使用频次,通过使用网络行为捕获函数,将各种网络行为的访问密度图进行存储,所述访问密度图作为构建模型模块的数据源,用于刻画网络行为;
模型构建模块:用于构建超融合服务器系统的集群中虚拟机间网络行为模型,构建过程需要对采集到的各种网络行为特征数据进行降维处理与聚类处理;
检测与报警模块:用于检测超融合服务器系统当前的攻击行为,并进行报警;
测试模块:模拟超融合服务器系统的攻击行为,测试所述检测与报警模块的性能。
例如,本发明的实施例提供的基于超融合服务器系统的多元行为检测方法中,其中,所述采集模块用于采集超融合服务器的集群中虚拟机间网络行为特征时的采集过程为:
使用采集器采集虚拟机间的所有协议报文,确定各协议报文所对应的网络行为,其中,采集器分布设置在超融合服务器系统的各个虚拟机上。
例如,本发明的实施例提供的基于超融合服务器系统的多元行为检测方法,其中,所述的使用采集器采集虚拟机间的所有协议报文,确定各协议报文所对应的网络行为的过程包括:
步骤11:使用分布式采集器采集虚拟机间的协议报文,调用超融合服务器升级的操作系统的命令监测服务器的状态,对操作系统进行文件监视、进程监视、注册表监视以及网络访问监视等得到监控数据;
步骤12:解析监控数据,确定登录、浏览、发文、上传、下载等各种网络行为,把采集的协议报文基于类型提取关键字段进行分类,与网络行为进行匹配,确定各协议报文所对应的网络行为;
步骤13:构建各种网络行为的访问密度图,统计所有网络行为在预设时间间隔的使用频次,将所述使用频次作为网络行为特征数据。
例如,本发明的实施例提供的基于超融合服务器系统的多元行为检测方法中,其中,所述存储模块用于存储超融合服务器的集群中虚拟机间网络行为特征的过程包括:
利用超融合服务器支持共享存储的特点,统计固定总量中各种网络行为的使用频次,使用网络行为捕获函数,将各种网络行为的访问密度图存储在共享行为日志库。
例如,本发明的实施例提供的基于超融合服务器系统的多元行为检测方法,其中,所述将各种网络行为的访问密度图存储在共享行为日志库的过程包括:
步骤21:创建虚拟服务器节点间的共享行为日志库;
步骤22:统计固定总量中各种网络行为的使用频次,将各种网络行为的访问密度图存储在共享行为日志库。
例如,本发明的实施例提供的基于超融合服务器系统的多元行为检测方法,其中,所述模型构建模块用于构建超融合服务器的虚拟机间网络行为模型的过程包括:对采集到的虚拟机间网络行为特征数据进行降维与聚类处理,其具体包括:
步骤31:采用主要成分分析算法对高维网络行为特征进行降维;
步骤32:使用高斯混合模型对降维后的网络行为访问密度矩阵进行聚类。
例如,本发明的实施例提供的基于超融合服务器系统的多元行为检测方法,其中,采用主要成分分析算法对高维网络行为特征数据进行降维包括:
1)计算原始的网络行为访问密度矩阵的均值右移矩阵;
2)计算均值右移向量的协方差矩阵;
3)采用奇异值分析法从协方差矩阵中按照特征值降序提取预设数目的网络行为特征向量,每个虚拟机间网络行为特征向量是目标虚拟机间网络行为特征区域主要活动的映射;
4)将网络行为特征向量与网络行为访问密度均值右移矩阵相乘得到降维后的矩阵。
例如,本发明的实施例提供的基于超融合服务器系统的多元行为检测方法,其中,使用高斯混合模型对降维后的网络行为的访问密度矩阵进行聚类包括:
1)初始化高斯混合分布的模型参数;
2)计算均值向量、协方差矩阵、混合系数;
3)基于极大似然估计方法求解,并对模型进行迭代更新。
例如,本发明的实施例提供的基于超融合服务器系统的多元行为检测方法中,所述检测与报警模块用于检测超融合服务器当前的攻击行为,并进行报警的过程为:
将构建的虚拟机间网络行为模型作为超融合服务器系统的攻击检测模型,当给定一个待检验的网络行为访问密度图,如果其高斯概率密度的log值小于预设的阈值,则判定为系统发生异常,进行报警。
例如,本发明的实施例提供的基于超融合服务器系统的多元行为检测方法,其中,所述测试模块包括:
攻击单元:用于向超融合服务器系统进行攻击;
响应单元:用于统计攻击单元出现后系统产生的额外时间开销以及检测与报警模块的响应时间;
评估单元:用于根据检测与报警模块返回的攻击类型的准确率来评估检测与报警模块的准确率。
实施例2:
本发明的实施例提供的基于超融合服务器系统的多元行为检测方法,从漏洞的利用机理出发分析其在虚拟机间网络行为上的特征,选取各种网络行为频度作为虚拟机间网络行为特征,使用采集器采集与网络行为对应的协议报文,提取虚拟机间网络行为特征,选择与设计合适的降维与聚类算法,对虚拟机间网络行为特征数据进行处理,构建系统正常虚拟机间网络行为模型,并对其进行训练;以超融合服务器为例,搭建攻击检测系统,并设计相应的测试模块,对攻击检测系统的性能进行评估。
如附图2所示,本发明实施例提供的基于超融合服务器系统的多元行为检测方法包括:
采集模块1:用于采集超融合服务器系统的集群中虚拟机间网络行为特征,通过修改集群中虚拟机间的协议,捕获虚拟机间产生的各种网络行为的频次;
存储模块2:用于存储超融合服务器系统的集群中虚拟机间网络行为特征,统计固定总量中各种网络行为的使用频次,通过使用网络行为捕获函数,将各种网络行为的访问密度图进行存储,所述访问密度图作为构建模型模块的数据源,用于刻画网络行为;
模型构建模块3:用于构建超融合服务器系统的集群中虚拟机间网络行为模型,构建过程需要对采集到的各种网络行为特征数据进行降维处理与聚类处理;
检测与报警模块4:用于检测超融合服务器系统当前的攻击行为,并进行报警;
测试模块5:模拟超融合服务器系统的攻击行为,测试所述检测与报警模块的性能。
例如,本发明实施例提供的采集模块中虚拟机间网络行为特征数据采集过程:使用采集器采集虚拟机间的所有协议报文,确定各协议报文所对应的网络行为,其中,采集器分布设置在超融合服务器系统的各个虚拟机上,具体方法为:
步骤11:使用分布式采集器采集虚拟机间的协议报文并进行汇总,调用超融合服务器升级的操作系统的命令监测服务器的状态,对操作系统进行文件监视、进程监视、注册表监视以及网络访问监视等得到监控数据;
步骤12:解析监控数据,确定登录、浏览、发文、上传、下载等各种网络行为,把采集的协议报文基于类型提取关键字段进行分类,与网络行为进行匹配,确定各协议报文所对应的网络行为;
步骤13:构建各种网络行为的访问密度图,统计所有网络行为在预设时间间隔的使用频次,将所述使用频次作为网络行为特征数据。
例如,本发明实施例提供的存储模块用于存储超融合服务器的集群中虚拟机间网络行为特征,具体方法为:
步骤21:创建虚拟服务器节点间的共享行为日志库;
步骤22:统计固定总量中各种网络行为的使用频次,将各种网络行为的访问密度图存储在共享行为日志库。
如附图3-图4所示,为本发明实施例提供的正常(图3)与异常(图4)网络行为访问密度示意图:当超融合服务器系统上运行的应用程序遭受攻击时,程序原有的执行流程发生改变,不同网络行为的访问次数发生改变。如图3所述,在正常执行过程中网络行为被调用频次最高的4个调用号为abcd,而如图4所述,当超融合服务器系统上运行的程序受到攻击后,原本会访问c号网络行为,现在转而访问e号网络行为,导致访问频次最高的4个调用号变为abde。
例如,本发明实施例提供的模型构建模块,需要对存储的虚拟机间网络行为特征数据进行降维与聚类处理;降维的目的是将目标区域的主要活动映射为虚拟机间网络行为特征向量,有助于虚拟机间网络行为特征数据的分析处理;聚类的目的是计算虚拟机间网络行为特征数据的高斯概率密度值,用于构建虚拟机间网络行为模型的判断标准;
其中,采用PCA算法对高维虚拟机间网络行为特征数据进行降维处理,算法描述如下所示:
输入:样本集D={x1,x2,…,xm};
过程:
1)对所有的样本去中心化:
Figure BDA0003303402920000141
2)计算样本的协方差矩阵XXT
3)对协方差矩阵XXT做特征值分解;
4)取最大的d′个特征值所对应的特征向量w1,w2,…,wd′
输出:投影矩阵W*=(w1,w2,…,wd′)。设置一个重构阈值如t=98%,然后选取使下式成立的最小的d′值:
Figure BDA0003303402920000142
λ表示协方差矩阵XXT的特征值。
其中,采用高斯混合概率模型对降维后的数据进行聚类处理,算法描述如下:
输入:样本集D={x1,x2,…,xm},高斯混合成分个数k;
符号含义:μi,∑i为第i个高斯混合成分的参数;αi>0为对应的混合系数,满足条件
Figure BDA0003303402920000143
zj∈(1,2,…,k)表示生成样本xj的高斯混合分布,取值未知;γji表示样本xj由第i个高斯混合成分生成的后验概率;
过程:
1)初始化高斯混合分布的模型参数{(αii,∑i)|1≤i≤k};
2)计算xj由各混合成分生成的后验概率γji=pM=(zj=i|xj);
3)计算均值向量:
Figure BDA0003303402920000151
计算协方差矩阵:
Figure BDA0003303402920000152
计算混合系数:
Figure BDA0003303402920000153
4)基于极大似然估计方法求解,并对模型进行迭代更新,将模型参数{(αii,∑i)|1≤i≤k},更新为{(αi′,μi′,∑i′)|1≤i≤k};
5}把样本集D划分为k个簇,
Figure BDA0003303402920000154
输出:簇划分C={C1,C2,…,Ck};
如附图5所述,为本发明实施例提供的虚拟机间网络行为特征数据的降维示意图,其中以超融合服务器系统作为原型系统,其网络行为种类为n(假设n>16)种;采集3000组数据作为训练集进行降维,每组数据是一个1*n维的行向量,每维向量代表每统计10万次网络行为的情况下0号至(n-1)号网络行为的访问次数。利用PCA算法,拟采用16个特征向量,将3000组训练集数据(矩阵维度3000*n)降维成3000*16维。
例如,本发明实施例提供的测试模块,包括如下单元:
攻击单元:用于向网络环境中的超融合服务器进行攻击;
响应单元:用于统计攻击单元产生后系统产生的额外时间开销以及检测与报警模块的响应时间;
评估单元:用于根据检测与报警模块返回的攻击类型的准确率来评估检测与报警模块的准确率。
如附图6所述,为本发明实施例提供的检测模块示意图,当给定一个待检验的网络行为访问密度图,如果其高斯概率密度的log值小于一个阈值,则认定为系统发生异常。以超融合服务器为原型系统,根据网络行为模型,在虚拟机上实现异常检测机制,并研制相应检测模块。选取大量的网络行为访问密度图进行训练,根据检测结果不断校正检测模块的检测阈值,进一步提高检测模块的准确度。
如附图7所述,为本发明实施例提供的攻击单元对于异常情况的检测效果图,异常的攻击行为均由测试模块中的攻击单元进行,当发现异常攻击时,检测样本的高斯概率密度值会有明显的下降。设置一个阈值,当高斯概率密度的log值不小于阈值时,判定虚拟机网络行为正常;当高斯概率密度的log值小于阈值时,则认定虚拟机网络行为异常,进行报警。
本发明实施例提供基于超融合服务器系统的多元行为检测方法、系统及介质。方法包括:通过关联超融合服务器系统的多元行为与网络协议报文,构建超融合服务器系统的集群中虚拟机间网络行为模型,进行多元行为检测。本发明的基于超融合服务器系统的多元行为检测方法,提高了攻击检测的准确率,能更好地满足服务器的安全、数据可共享的需求。
应当注意,本发明的实施方式可以通过硬件、软件或者软件和硬件的结合来实现。硬件部分可以利用专用逻辑来实现;软件部分可以存储在存储器中,由适当的指令执行系统,例如微处理器或者专用设计硬件来执行。本领域的普通技术人员可以理解上述的设备和方法可以使用计算机可执行指令和/或包含在处理器控制代码中来实现,例如在诸如磁盘、CD或DVD-ROM的载体介质、诸如只读存储器(固件)的可编程的存储器或者诸如光学或电子信号载体的数据载体上提供了这样的代码。本发明的设备及其模块可以由诸如超大规模集成电路或门阵列、诸如逻辑芯片、晶体管等的半导体、或者诸如现场可编程门阵列、可编程逻辑设备等的可编程硬件设备的硬件电路实现,也可以用由各种类型的处理器执行的软件实现,也可以由上述硬件电路和软件的结合例如固件来实现。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,都应涵盖在本发明的保护范围之内。

Claims (10)

1.一种基于超融合服务器系统的多元行为检测方法,其特征在于,所述基于超融合服务器系统的多元行为检测方法包括:通过关联超融合服务器系统的多元行为与网络协议报文,构建超融合服务器系统的集群中虚拟机间网络行为模型,进行多元行为检测。
2.如权利要求1所述的基于超融合服务器系统的多元行为检测方法,其特征在于,所述基于超融合服务器系统的多元行为检测方法包括以下步骤:
步骤一,采集超融合服务器系统的集群中虚拟机间网络行为特征,通过修改集群中虚拟机间的协议,捕获虚拟机间产生的各种网络行为的频次;
步骤二,存储超融合服务器系统的集群中虚拟机间网络行为特征,统计固定总量中各种网络行为的使用频次,通过使用网络行为捕获函数,将各种网络行为的访问密度图进行存储;
步骤三,对采集到的各种网络行为特征数据进行降维处理与聚类处理,构建超融合服务器系统的集群中虚拟机间网络行为模型;
步骤四,利用构建的超融合服务器系统的集群中虚拟机间网络行为模型检测超融合服务器系统当前的攻击行为,并进行报警。
3.如权利要求2所述的基于超融合服务器系统的多元行为检测方法,其特征在于,步骤一中,所述采集超融合服务器系统的集群中虚拟机间网络行为特征包括:利用分布设置在超融合服务器系统的各个虚拟机上的采集器采集虚拟机间的所有协议报文,确定各协议报文所对应的网络行为。
4.如权利要求3所述的基于超融合服务器系统的多元行为检测方法,其特征在于,所述采集虚拟机间的所有协议报文,确定各协议报文所对应的网络行为包括:使用分布式采集器采集虚拟机间的协议报文,调用超融合服务器升级的操作系统的命令监测服务器的状态,对操作系统进行文件监视、进程监视、注册表监视以及网络访问监视得到监控数据;解析监控数据,确定登录、浏览、发文、上传、下载及其他网络行为,将采集的协议报文基于类型提取关键字段进行分类,与网络行为进行匹配,确定各协议报文所对应的网络行为;构建各种网络行为的访问密度图,统计所有网络行为在预设时间间隔的使用频次,将所述使用频次作为网络行为特征数据。
5.如权利要求2所述的基于超融合服务器系统的多元行为检测方法,其特征在于,步骤二中,所述存储超融合服务器系统的集群中虚拟机间网络行为特征,统计固定总量中各种网络行为的使用频次,通过使用网络行为捕获函数,将各种网络行为的访问密度图进行存储包括:
利用超融合服务器支持共享存储的特点,统计固定总量中各种网络行为的使用频次,使用网络行为捕获函数,将各种网络行为的访问密度图存储在共享行为日志库。
6.如权利要求5所述的基于超融合服务器系统的多元行为检测方法,其特征在于,所述将各种网络行为的访问密度图存储在共享行为日志库包括:
创建虚拟服务器节点间的共享行为日志库;统计固定总量中各种网络行为的使用频次,将各种网络行为的访问密度图存储在共享行为日志库。
7.如权利要求2所述的基于超融合服务器系统的多元行为检测方法,其特征在于,步骤三中,所述对采集到的各种网络行为特征数据进行降维处理与聚类处理包括:
采用主要成分分析算法对高维网络行为特征进行降维;使用高斯混合模型对降维后的网络行为访问密度矩阵进行聚类;
所述采用主要成分分析算法对高维网络行为特征进行降维包括:计算原始的网络行为访问密度矩阵的均值右移矩阵;计算均值右移向量的协方差矩阵;采用奇异值分析法从协方差矩阵中按照特征值降序提取预设数目的网络行为特征向量,每个虚拟机间网络行为特征向量是目标虚拟机间网络行为特征区域主要活动的映射;将网络行为特征向量与网络行为访问密度均值右移矩阵相乘得到降维后的矩阵;
所述使用高斯混合模型对降维后的网络行为访问密度矩阵进行聚类包括:
初始化高斯混合分布的模型参数;计算均值向量、协方差矩阵、混合系数;基于极大似然估计方法求解,并对模型进行迭代更新。
8.如权利要求2所述的基于超融合服务器系统的多元行为检测方法,其特征在于,步骤四中,所述利用构建的超融合服务器系统的集群中虚拟机间网络行为模型检测超融合服务器系统当前的攻击行为,并进行报警包括:
将构建的虚拟机间网络行为模型作为超融合服务器系统的攻击检测模型,当给定一个待检验的网络行为访问密度图,如果其高斯概率密度的log值小于预设的阈值,则判定为系统发生异常,进行报警。
9.一种计算机可读存储介质,存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,使得所述处理器执行如下步骤:通过关联超融合服务器系统的多元行为与网络协议报文,构建超融合服务器系统的集群中虚拟机间网络行为模型,进行多元行为检测。
10.一种实施如权利要求1-8任意一项所述基于超融合服务器系统的多元行为检测方法的基于超融合服务器系统的多元行为检测系统,其特征在于,所述基于超融合服务器系统的多元行为检测系统包括:
采集模块,用于采集超融合服务器系统的集群中虚拟机间网络行为特征,通过修改集群中虚拟机间的协议,捕获虚拟机间产生的各种网络行为的频次;
存储模块,用于存储超融合服务器系统的集群中虚拟机间网络行为特征,统计固定总量中各种网络行为的使用频次,通过使用网络行为捕获函数,将各种网络行为的访问密度图进行存储;
模型构建模块,用于对采集到的各种网络行为特征数据进行降维处理与聚类处理,构建超融合服务器系统的集群中虚拟机间网络行为模型;
检测与报警模块,用于检测超融合服务器系统当前的攻击行为,并进行报警;
测试模块,用于模拟超融合服务器系统的攻击行为,测试所述检测与报警模块的性能;
所述访问密度图作为构建模型模块的数据源,用于刻画网络行为;
所述测试模块包括:
攻击单元,用于向超融合服务器系统进行攻击;
响应单元,用于统计攻击单元出现后系统产生的额外时间开销以及检测与报警模块的响应时间;
评估单元,用于根据检测与报警模块返回的攻击类型的准确率来评估检测与报警模块的准确率。
CN202111196982.2A 2021-10-14 2021-10-14 基于超融合服务器系统的多元行为检测方法、系统及介质 Pending CN114021118A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111196982.2A CN114021118A (zh) 2021-10-14 2021-10-14 基于超融合服务器系统的多元行为检测方法、系统及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111196982.2A CN114021118A (zh) 2021-10-14 2021-10-14 基于超融合服务器系统的多元行为检测方法、系统及介质

Publications (1)

Publication Number Publication Date
CN114021118A true CN114021118A (zh) 2022-02-08

Family

ID=80056067

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111196982.2A Pending CN114021118A (zh) 2021-10-14 2021-10-14 基于超融合服务器系统的多元行为检测方法、系统及介质

Country Status (1)

Country Link
CN (1) CN114021118A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115242487A (zh) * 2022-07-19 2022-10-25 浙江工业大学 一种基于元行为的apt攻击样本增强及检测方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115242487A (zh) * 2022-07-19 2022-10-25 浙江工业大学 一种基于元行为的apt攻击样本增强及检测方法
CN115242487B (zh) * 2022-07-19 2024-04-05 浙江工业大学 一种基于元行为的apt攻击样本增强及检测方法

Similar Documents

Publication Publication Date Title
Borghesi et al. A semisupervised autoencoder-based approach for anomaly detection in high performance computing systems
Lan et al. Toward automated anomaly identification in large-scale systems
Xiao et al. Back‐propagation neural network on Markov chains from system call sequences: a new approach for detecting Android malware with system call sequences
Wang et al. FD4C: Automatic fault diagnosis framework for Web applications in cloud computing
CN109241740B (zh) 恶意软件基准测试集生成方法及装置
US10333952B2 (en) Online alert ranking and attack scenario reconstruction
Han et al. {FRAPpuccino}: Fault-detection through Runtime Analysis of Provenance
Wang et al. Workload-aware anomaly detection for web applications
CN110826648A (zh) 一种利用时序聚类算法实现故障检测的方法
US11580222B2 (en) Automated malware analysis that automatically clusters sandbox reports of similar malware samples
Bogatinovski et al. Self-supervised anomaly detection from distributed traces
Liu et al. An anomaly detection algorithm of cloud platform based on self‐organizing maps
Lei et al. How test suites impact fault localisation starting from the size
US11244043B2 (en) Aggregating anomaly scores from anomaly detectors
EP3051767A1 (en) Method and apparatus for automatically identifying signature of malicious traffic using latent dirichlet allocation
CN110825545A (zh) 一种云服务平台异常检测方法与系统
CN111949429A (zh) 基于密度聚类算法的服务器故障监测方法及系统
Wang et al. A Log‐Based Anomaly Detection Method with Efficient Neighbor Searching and Automatic K Neighbor Selection
Lu et al. Data-driven anomaly detection with timing features for embedded systems
CN115296876A (zh) 一种自适应拟态技术的网络安全预警系统
CN114021118A (zh) 基于超融合服务器系统的多元行为检测方法、系统及介质
CN114584377A (zh) 流量异常检测方法、模型的训练方法、装置、设备及介质
CN117134958B (zh) 用于网络技术服务的信息处理方法及系统
Wang et al. UFKLDA: An unsupervised feature extraction algorithm for anomaly detection under cloud environment
Wang et al. An anomaly detection framework based on ICA and Bayesian classification for IaaS platforms

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination