技術領域

本發明設計一種基于多主機日志關聯的入侵檢測方法，用于復雜的虛擬機群環境中，對集群中不同操作系統的日志，進行歸納、分析、檢測，從而對入侵路徑進行有效的追蹤與識別，屬于電信服務安全技術領域。?

背景技術

Internet應用的迅速增長及規模經濟的需求催生了新的網絡計算模式——云計算（Cloud?Computing）。云計算是當前IT領域最受關注話題之一，是各界關注的焦點。它利用互聯網將大量的軟硬件資源整合在一起，構成規模巨大的虛擬資源池，通過互聯網為企業、部門等用戶提供各種各樣的服務。然而，由于云計算自身關鍵技術而產生的安全問題卻一直制約著云計算進一步的普及和發展。?

在互聯網時代，隨著科學技術的飛速發展和普及以及各種新型個人應用的層出不窮，科技的進步必然帶來的安全問題也越來越受關注，特別是斯諾登事件的發生給全世界的網絡安全防護造成了前所未有的沖擊和挑戰。近年計算機安全漏洞、網絡攻擊的種類、復雜性以及遭受入侵的計算機數量逐年增加，潛在的威脅和攻擊繼續增長。云計算系統中計算和存儲資源高度集中的特性會使其更容易成為攻擊和利用的對象。如何在如此嚴峻的網絡安全形勢下保證云計算系統不被入侵和破壞是云計算研究中亟待解決的主要問題之一。?

虛擬化技術是云計算中關鍵的技術之一，虛擬化技術的出現，使傳統主機被虛擬機替代，一方面有效的提高了資源的利用率，降低了管理的成本，但另一方面功能越強大背后的安全隱患也越多，虛擬機之間的不正當隔離、?虛擬機逃逸、虛擬機劫持、虛擬機網絡拓撲結構的動態變化等等，這些安全因素使虛擬機的安全問題比傳統主機更為復雜。?

日志對主機系統的安全有著重要作用，通過系統日志可以查找出系統錯誤或者受到的攻擊來源，傳統的日志分析工具只能記錄分析單一操作系統的日志，當面對復雜網絡結構下一項應用或者一項服務需要多虛擬機共同參與的情況，無法通過對整個虛擬機集群原始數據背后邏輯關系的研究，識別出攻擊者的攻擊企圖或攻擊路徑。在傳統的非虛擬化環境中，日志分析功能一般與主機入侵檢測系統HIDS相結合，將日志分析的部分功能集成在HIDS中。HIDS可以很好的保障系統的安全，檢測來自于系統的日志文件，與知識庫中入侵規則進行匹配，檢測系統中是否有安全事件發生。但是HIDS自身存在很多問題：為確保檢測結果的準確性，必須先確保系統的安全性，所有的檢測活動都在在默認系統本身具有合理的安全設置的前提下；即使系統滿足上面的條件，攻擊者在入侵行為完成后可以即時將對應的系統日志刪除，從而不被檢測到，所以在保證所采集數據的實時性、完整性、真實性方面有所欠缺。?

另外，虛擬化環境中，虛擬機系統的出現導致傳統操作系統直接運行于硬件之上的結構發生變化，同一個虛擬平臺可以部署多臺虛擬機，每臺虛擬機的安全策略會有所區別，并且由于虛擬環境中網絡配置的動態變化，虛擬機所在的網絡拓撲結構也會發生動態變化，這些特征都使得傳統的HIDS不能完全適應結構體系上的變化。?

最后，分布式入侵系統是以后的主流。傳統的IDS大多都局限于單一的主機或網絡架構，對異構系統的檢測明顯不足，不同的IDS系統之間不能很好的協同工作。?

發明內容

針對上述問題，本發明的目的是，提供一種基于多主機日志關聯的入侵檢測方法。?

本發明解決上述技術問題的技術方案如下：一個基于多主機日志關聯的入侵檢測系統，包括異構操作系統日志采集模塊、日志過濾模塊，以及一種日志匹配算法；?

所述異構操作系統日志采集模塊用來采集虛擬機上操作系統的日志，并將日志實時的傳輸到遠端的日志服務器中。按照操作系統不同分為Windows系統日志采集模塊與syslog日志采集模塊，為不同操作系統的日志格式統一與采集歸并提供強有力的技術支持；?

所述日志過濾模塊接受來自被檢測虛擬機系統的日志，并根據需求，按一定規則對其進行轉換后，生成XML或者Excel格式的日志信息，傳遞給后續的模塊，以供分析使用。用于提高日志的有效性，減輕日志的存儲負擔，為后續的日志分析工作提供內容支持；?

所述日志匹配過程算法使用來自日志過濾模塊輸出的數據，用于在分析入侵行為特征的基礎上，對測試環境進行多次模擬攻擊，采集分析與該入侵行為相關的日志數據，提取特征數據，形成匹配規則。?