本發(fā)明公開(kāi)了一種云環(huán)境中基于警報(bào)關(guān)聯(lián)的分布式入侵檢測(cè)方法，包括如下步驟：入侵證據(jù)收集；分布式行為圖模板建立；異常檢測(cè)；行為圖模板更新。本發(fā)明通過(guò)分簇的方式實(shí)現(xiàn)云環(huán)境中的分布式檢測(cè)，基于警報(bào)關(guān)聯(lián)的思想實(shí)現(xiàn)進(jìn)一步入侵檢測(cè)判斷，有利于降低誤報(bào)率。通過(guò)本方法，可以有效檢測(cè)云環(huán)境中的僵尸機(jī)，從而保護(hù)云計(jì)算資源不被惡意利用。

技術(shù)領(lǐng)域

本發(fā)明涉及入侵檢測(cè)領(lǐng)域，具體涉及一種云環(huán)境中的分布式入侵檢測(cè)方法。

背景技術(shù)

近幾年來(lái)，云計(jì)算正在成為信息技術(shù)產(chǎn)業(yè)發(fā)展的戰(zhàn)略重點(diǎn)，全球的信息技術(shù)企業(yè)都在紛紛向云計(jì)算轉(zhuǎn)型。然而云環(huán)境中的主機(jī)很容易受到攻擊，因?yàn)橛脩魰?huì)安裝易受感染的操作系統(tǒng)或應(yīng)用程序。此外，惡意用戶可以利用云提供的大量計(jì)算資源將其感染為僵尸機(jī)，在云外執(zhí)行攻擊，這是對(duì)云計(jì)算資源的一種浪費(fèi)。因此，云環(huán)境中的入侵檢測(cè)尤為重要。

現(xiàn)有的入侵檢測(cè)算法可以分為基于主機(jī)的入侵檢測(cè)和基于網(wǎng)絡(luò)的入侵檢測(cè)。基于主機(jī)的入侵檢測(cè)需要部署在每一臺(tái)主機(jī)上，容易影響云計(jì)算用戶的體驗(yàn)，而且不適合大規(guī)模的云計(jì)算環(huán)境；基于網(wǎng)絡(luò)的入侵檢測(cè)主要檢測(cè)網(wǎng)絡(luò)流量信息，存在誤報(bào)率較高的缺點(diǎn)。

發(fā)明內(nèi)容

本發(fā)明提供了一種云環(huán)境中基于警報(bào)關(guān)聯(lián)的分布式入侵檢測(cè)方法，包括：

一種云環(huán)境中基于警報(bào)關(guān)聯(lián)的分布式入侵檢測(cè)方法，包括如下步驟：

(1)入侵證據(jù)收集，以時(shí)間窗為單位，選擇僵尸機(jī)的階段性行為進(jìn)行檢測(cè)，得到檢測(cè)結(jié)果作為異常檢測(cè)的依據(jù)；

(2)分布式行為圖模板建立，首先關(guān)聯(lián)收集到的入侵證據(jù)形成證據(jù)集合，并以行為圖的方式展現(xiàn)，然后根據(jù)行為圖將云環(huán)境中的主機(jī)進(jìn)行聚類，得到分布式行為圖模板作為主機(jī)的行為規(guī)則；

(3)異常檢測(cè)，計(jì)算主機(jī)的行為圖和所述分布式行為圖模板的相似度，并結(jié)合AdaBoost算法對(duì)主機(jī)的行為圖進(jìn)行分類，判斷所述行為圖是否發(fā)生異常；

(4)行為圖模板更新，定期對(duì)主機(jī)的行為圖重新聚類，便于適應(yīng)多變的網(wǎng)絡(luò)環(huán)境。

上述步驟(1)中所述階段性行為包括：入站掃描、CC通信和出站掃描，檢測(cè)結(jié)果分別作為入站掃描證據(jù)、CC通信證據(jù)和出站掃描證據(jù)。

上述CC通信行為利用BotDet算法進(jìn)行檢測(cè)，檢測(cè)結(jié)果用如下公式表示：

Al_N＝((ip₁,Alert1),(ip₁,Alert3),...,(ip₂,Alert1)) (1)

其中，ip表示產(chǎn)生警報(bào)的主機(jī)IP地址，Alert1、Alert2、Alert3 Alert4對(duì)應(yīng)表示BotDet產(chǎn)生的四種CC通信警報(bào)類型。

上述入站掃描行為和出站掃描行為的檢測(cè)通過(guò)端口監(jiān)聽(tīng)的方式進(jìn)行，入站掃描行為的檢測(cè)是基于端口掃描失敗的次數(shù)設(shè)計(jì)的，定義入站掃描證據(jù)Al_in為端口掃描失敗次數(shù)占總數(shù)的比例，公式如下：

其中，port_f表示時(shí)間窗內(nèi)端口掃描的失敗次數(shù)，port_all表示時(shí)間窗內(nèi)所有端口掃描的次數(shù)。上述出站掃描階段中，主機(jī)會(huì)同時(shí)對(duì)大量的IP進(jìn)行掃描，因此出站掃描的目標(biāo)IP趨向于均勻分布，針對(duì)主機(jī)在時(shí)間窗內(nèi)產(chǎn)生的所有掃描，統(tǒng)計(jì)所有IP出現(xiàn)情況的平均不確定性，即單個(gè)IP不確定性的統(tǒng)計(jì)平均值，上述平均值也就是出站掃描證據(jù)Al_out，公式如下：