本發(fā)明公開了一種云環(huán)境中異常行為檢測(cè)的方法與裝置，所述方法包括：將云環(huán)境中的設(shè)備分為虛擬網(wǎng)絡(luò)設(shè)備、虛擬計(jì)算設(shè)備與虛擬存儲(chǔ)設(shè)備，分別在這三類設(shè)備上部署異常行為檢測(cè)代理，這些代理與云規(guī)則庫一起檢測(cè)異常行為，其中虛擬網(wǎng)絡(luò)設(shè)備異常行為檢測(cè)代理能夠檢測(cè)DDoS攻擊，虛擬計(jì)算設(shè)備檢測(cè)代理包括Web應(yīng)用的XSS攻擊檢測(cè)、郵箱的垃圾郵件檢測(cè)、SSH與Telnet的口令猜測(cè)攻擊檢測(cè)，虛擬存儲(chǔ)設(shè)備異常行為檢測(cè)代理能夠檢測(cè)SQL注入攻擊。利用本發(fā)明，可以從系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用與數(shù)據(jù)四個(gè)方面構(gòu)筑縱深異常行為檢測(cè)體系，能夠多層次、準(zhǔn)確、快速地檢測(cè)云環(huán)境中的異常行為，為網(wǎng)絡(luò)用戶提供一個(gè)安全、可靠的云計(jì)算環(huán)境。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，具體涉及在一種云環(huán)境中異常行為檢測(cè)方法與裝置。

背景技術(shù)

隨著通信網(wǎng)、物聯(lián)網(wǎng)與計(jì)算機(jī)網(wǎng)絡(luò)的快速融合，以及云計(jì)算與大數(shù)據(jù)技術(shù)快速發(fā)展，網(wǎng)絡(luò)拓?fù)湔啤⒐堋⒍朔较虬l(fā)展，云環(huán)境可以提供高性能計(jì)算、大數(shù)據(jù)存儲(chǔ)的網(wǎng)絡(luò)應(yīng)用服務(wù)，云環(huán)境越來越多地存儲(chǔ)著政府、企業(yè)與個(gè)人的信息，云環(huán)境的重要性日益顯著，越來越多的黑客將黑手伸向云環(huán)境中的各種虛擬設(shè)備。

在本發(fā)明的云環(huán)境中異常行為檢測(cè)方法與裝置中主要涉及以下技術(shù)：DDoS攻擊檢測(cè)技術(shù)、SQL注入攻擊檢測(cè)技術(shù)、XSS攻擊檢測(cè)技術(shù)、垃圾郵件檢測(cè)技術(shù)、SSH與Telnet的口令猜測(cè)攻擊檢測(cè)技術(shù)。

云環(huán)境異常行為檢測(cè)技術(shù)的發(fā)展有兩個(gè)方向，一是基于特征檢測(cè)技術(shù)；二是異常檢測(cè)技術(shù)。對(duì)于基于特征檢測(cè)技術(shù)，它的優(yōu)點(diǎn)是技術(shù)比較成熟，能夠準(zhǔn)確檢測(cè)異常行為，缺陷是存在較大的漏報(bào)率、性能較低；對(duì)于基于異常檢測(cè)技術(shù)，它的優(yōu)點(diǎn)是能夠檢測(cè)未知異常行為，缺陷是存在較大的誤報(bào)率。本發(fā)明采用熵值計(jì)算并綜合了基于特征與異常的檢測(cè)技術(shù)，包括DDoS攻擊檢測(cè)技術(shù)、SQL注入攻擊檢測(cè)技術(shù)、XSS攻擊檢測(cè)技術(shù)、垃圾郵件檢測(cè)技術(shù)、SSH與Telnet的口令猜測(cè)攻擊檢測(cè)技術(shù)，克服了以上兩個(gè)方向的方法中存在的缺點(diǎn)，能夠多層次、精確、快速地檢測(cè)異常行為。

發(fā)明內(nèi)容

本發(fā)明方法的核心在于克服了現(xiàn)有技術(shù)的缺點(diǎn)，提供一種云環(huán)境中異常行為檢測(cè)方法與裝置，使得能夠多層次、精確、快速地檢測(cè)異常行為，有效地保障了云環(huán)境中Web應(yīng)用、郵箱應(yīng)用與遠(yuǎn)程管理應(yīng)用，為網(wǎng)絡(luò)用戶提供一個(gè)安全、可用的云環(huán)境。

本發(fā)明的目的是通過以下技術(shù)方案實(shí)現(xiàn)的：

一種云環(huán)境中異常行為檢測(cè)方法，包括以下步驟：

A、虛擬網(wǎng)絡(luò)設(shè)備異常行為檢測(cè)代理自學(xué)習(xí)檢測(cè)規(guī)則、同步到云規(guī)則庫，并基于云檢測(cè)規(guī)則與熵值檢測(cè)DDoS攻擊；

B、虛擬計(jì)算設(shè)備檢測(cè)代理自學(xué)習(xí)檢測(cè)規(guī)則、同步到云規(guī)則庫，并基于云檢測(cè)規(guī)則進(jìn)行Web應(yīng)用的XSS攻擊檢測(cè)、郵箱的垃圾郵件檢測(cè)、SSH與Telnet的口令猜測(cè)攻擊檢測(cè)；

C、虛擬存儲(chǔ)設(shè)備異常行為檢測(cè)代理自學(xué)習(xí)檢測(cè)規(guī)則、同步到云規(guī)則庫，并基于云檢測(cè)規(guī)則進(jìn)行SQL注入攻擊檢測(cè)。

優(yōu)選地，所述步驟A包括：

A1、獲取DDoS攻擊云檢測(cè)規(guī)則模板；

A2、捕獲網(wǎng)絡(luò)包并解析DDoS攻擊檢測(cè)所需信息；

A3、針對(duì)每個(gè)目的IP地址，計(jì)算源IP地址熵值與載荷片段熵值的標(biāo)準(zhǔn)差；

A4、若云規(guī)則模板值為零，則賦值采樣點(diǎn)規(guī)則并上傳云規(guī)則庫，否則；

A5、若熵值與載荷片段熵值標(biāo)準(zhǔn)差小于云規(guī)則模板值，則更新采樣點(diǎn)規(guī)則并上傳云規(guī)則庫，否則；

A6、若熵值與載荷片段熵值標(biāo)準(zhǔn)差大于云規(guī)則模板值3倍，則告警。

DDoS攻擊檢測(cè)所需信息包括目的IP地址、源IP地址、載荷信息。

一種云環(huán)境異常行為檢測(cè)裝置裝置，其特征在于包括：