云計(jì)算環(huán)境中的一種入侵檢測模型分析

劉曉萌，畢紅軍

（北京交通大學(xué)通信與信息系統(tǒng)北京市重點(diǎn)實(shí)驗(yàn)室，北京100044）

入侵檢測系統(tǒng)（IDS）是解決拒絕服務(wù)攻擊（DoS）的常用方法。如果IDS被部署在每個云服務(wù)器中，不進(jìn)行任何的合作和通信，容易遭受單點(diǎn)故障攻擊，入侵檢測能力和應(yīng)對能力會減弱。在接收到可疑數(shù)據(jù)包時與其他所有節(jié)點(diǎn)進(jìn)行通信后處理判斷，又浪費(fèi)了資源。而入侵檢測系統(tǒng)的誤報(bào)，漏報(bào)又是不可避免存在的。

為了保護(hù)云環(huán)境不受到拒絕服務(wù)攻擊，本文提出了一種云計(jì)算環(huán)境中的入侵檢測模型。這個模型中的每個云服務(wù)器都有自身的入侵檢測系統(tǒng)配置，負(fù)責(zé)每個云服務(wù)器的入侵檢測和入侵報(bào)警，相互協(xié)作等功能。還為每一組集群服務(wù)器配備一臺專用的入侵檢測管理服務(wù)器，以自動和人為相結(jié)合的方式對入侵檢測系統(tǒng)進(jìn)行管理，負(fù)責(zé)報(bào)警信息的相互傳遞，避免單點(diǎn)故障攻擊的發(fā)生，減少誤報(bào)和漏報(bào)的概率。這個模型中的最后一道防線是在每臺云服務(wù)器中都使用容忍入侵技術(shù)，以減少漏報(bào)現(xiàn)象為整個系統(tǒng)的穩(wěn)定性帶來的影響，盡可能的保證服務(wù)的流暢性。

1 模型

模型主要由每個云服務(wù)器的入侵檢測系統(tǒng)和入侵檢測管理服務(wù)器組成。云服務(wù)器的入侵檢測系統(tǒng)分為3個模塊：檢測與響應(yīng)模塊，報(bào)警模塊和協(xié)作模塊。入侵檢測管理服務(wù)器分為協(xié)作模塊和管理模塊兩部分，它們的相互關(guān)系如圖1。在云服務(wù)器中，檢測與相應(yīng)模塊負(fù)責(zé)對接收到的數(shù)據(jù)包進(jìn)行檢測和響應(yīng)，并通過報(bào)警模塊向入侵檢測管理服務(wù)器中的協(xié)作模塊發(fā)送報(bào)警信息。而云服務(wù)器中的協(xié)作模塊與入侵檢測管理服務(wù)器的協(xié)作模塊進(jìn)行單向通信，收集其發(fā)送的壞包類型表更新包和報(bào)警信息，從而協(xié)助檢測與相應(yīng)模塊更好的工作。在入侵檢測服務(wù)器中，協(xié)作模塊處于自動工作狀態(tài)，不需要管理員看管。它負(fù)責(zé)收集各個模塊的報(bào)警信息，進(jìn)行綜合分析后做出響應(yīng)。它是聯(lián)系分布在每個云服務(wù)器中的入侵檢測系統(tǒng)的紐帶，各個云服務(wù)器之間的協(xié)作依靠它來實(shí)現(xiàn)。而管理模塊為管理員提供了整個集群服務(wù)器的入侵檢測系統(tǒng)平臺。通過這個模塊，管理員可以與云服務(wù)器上的入侵檢測系統(tǒng)進(jìn)行交互，查看日志等相關(guān)數(shù)據(jù)，根據(jù)整個系統(tǒng)運(yùn)行的狀況對相關(guān)參數(shù)進(jìn)行配置，以達(dá)到更低的誤報(bào)率和漏報(bào)率。

圖1 入侵檢測模型模塊關(guān)系圖

2 功能描述

2.1 入侵檢測

云服務(wù)器中配置的IDS是一種基于網(wǎng)絡(luò)的帶有特征比較的IDS。

在入侵檢測系統(tǒng)中，入侵檢測與響應(yīng)模塊用于收集網(wǎng)絡(luò)數(shù)據(jù)包并對其進(jìn)行分析。如果數(shù)據(jù)包的類型與壞包類型表中的一種數(shù)據(jù)包類型相一致，則系統(tǒng)立刻丟包。這樣可以節(jié)省對這個數(shù)據(jù)包進(jìn)行特征對比的時間，提高系統(tǒng)性能。

如果包的類型不在壞包類型表中，但是經(jīng)過特征分析，它屬于特征比較規(guī)則定義的一種異常包，就需要判斷這個數(shù)據(jù)包的可疑度的級別。可疑度共設(shè)3種級別，如表1所示。

表1 可疑度級別及響應(yīng)表

如果這個包的可疑度屬于嚴(yán)重級別，系統(tǒng)將這個包定義為壞包并在入侵檢測步驟中立即將它丟棄，并將其類型加入壞包類型表，然后通過報(bào)警模塊向入侵檢測管理服務(wù)器發(fā)出嚴(yán)重級別的報(bào)警。

如果這個包的可疑度屬于中度級別，系統(tǒng)通過分析為這個數(shù)據(jù)包的可疑度進(jìn)行打分，并將分?jǐn)?shù)封裝到報(bào)警信息中，向入侵檢測管理服務(wù)器發(fā)出中度級別的報(bào)警。然后在管理員設(shè)置的延遲時間t0內(nèi)，系統(tǒng)等待協(xié)作模塊的響應(yīng)。如果在t0內(nèi)，協(xié)作模塊返回針對該類型數(shù)據(jù)包的回復(fù)報(bào)警信息，則將該包的可疑度級別從中度改為嚴(yán)重，丟包并更新壞包類型表；若沒有收到回復(fù)報(bào)警信息，則將其可疑度改為輕微級別。

如果這個包的可疑度屬于輕微級別，系統(tǒng)將忽略它。

該部分的工作流程圖如圖2。

圖2 入侵檢測工作流程圖

2.2 協(xié)作模塊

入侵檢測管理服務(wù)器的協(xié)作模塊與各個云服務(wù)器中IDS的報(bào)警模塊和協(xié)作模塊進(jìn)行通信，實(shí)現(xiàn)各個云服務(wù)器入侵檢測信息的交互，提高檢測效率。

當(dāng)入侵檢測管理服務(wù)器的協(xié)作模塊收到報(bào)警信息時，首先判斷報(bào)警信息的級別。如果為嚴(yán)重級別的報(bào)警信息，則生成一個壞包類型表的更新包，向除報(bào)警源以外的其他云服務(wù)器IDS的協(xié)作模塊發(fā)送。各IDS通過協(xié)作模塊接收到更新包后，立刻更新自己的壞包類型表，避免遭受同樣的攻擊。如果報(bào)警信息的級別為中度級別，則開始一個計(jì)時周期，在周期t0時間內(nèi)動態(tài)計(jì)算收到的來自所有云服務(wù)器的相同類型的報(bào)警信息中的可疑度分?jǐn)?shù)的平均值，并將平均值與閾值相比較。其中閾值的設(shè)定可以基于以下規(guī)則：如閾值=μ＋λ×σ，μ是指一個時間段內(nèi)不同的源檢測的中度警報(bào)的可疑度分?jǐn)?shù)的平均值，σ是標(biāo)準(zhǔn)差，λ的值由網(wǎng)絡(luò)管理員動態(tài)的設(shè)定。如果平均值大于閾值，則協(xié)作模塊向所有發(fā)出此類報(bào)警的云服務(wù)器IDS協(xié)作模塊發(fā)送回復(fù)報(bào)警信息，告知它們已遭到攻擊，可以將中度級別改為嚴(yán)重級別；同時生成一個壞包類型表的更新包，向其他云服務(wù)器發(fā)送。通過這種方法，假報(bào)警和信息交換造成的通信量降低了，系統(tǒng)的性能被改善。

該部分的工作流程圖如圖3。

圖3 入侵檢測管理服務(wù)器協(xié)作模塊工作流程圖

2.3 入侵響應(yīng)和阻止

這個部分在每個IDS中都有，它可以阻止壞包并防止入侵行為的發(fā)生。發(fā)送報(bào)警信息也是入侵響應(yīng)的一部分。如果包的可疑度級別是嚴(yán)重或中度，阻止或丟棄壞包的行為就會被觸發(fā)。

系統(tǒng)不可避免的存在一定的漏報(bào)率，而用戶對云計(jì)算環(huán)境的服務(wù)的流暢性要求又很高，因此設(shè)置了最后一道防線，即采用容忍入侵技術(shù)。在入侵突然發(fā)生時，利用容忍入侵技術(shù)可以觸發(fā)一些防止這些入侵造成系統(tǒng)安全失效的機(jī)制，從而仍然能夠?qū)ν饫^續(xù)維護(hù)正常運(yùn)行，提供核心或系統(tǒng)的基本服務(wù)，以保證系統(tǒng)的基本功能。

2.4 入侵檢測系統(tǒng)管理

由以上的描述可見，每個IDS的檢測、更新和響應(yīng)工作以及他們與管理服務(wù)器之間的協(xié)作基本都是可以自動完成的。為了適應(yīng)動態(tài)變化的網(wǎng)絡(luò)環(huán)境和不同的服務(wù)需求，在入侵檢測管理服務(wù)器中設(shè)置了管理模塊對整個系統(tǒng)進(jìn)行管理。

管理員可以通過管理模塊查看所有云服務(wù)器中的入侵檢測相關(guān)的系統(tǒng)日志和本地的報(bào)警接收和發(fā)送、更新包發(fā)送等日志。通過對這些數(shù)據(jù)的分析，判斷目前的系統(tǒng)是否符合當(dāng)前的安全要求。如果與當(dāng)前的安全要求不符，可以通過修改各個相關(guān)參數(shù)來控制整個系統(tǒng)的敏感度。通過不斷調(diào)整這些參數(shù)，管理員可以逐漸使整個系統(tǒng)達(dá)到一個平衡，維護(hù)系統(tǒng)的穩(wěn)定運(yùn)轉(zhuǎn)。另外，如果惡意的IDS頻繁發(fā)送假的報(bào)警信息也可以被發(fā)現(xiàn)。在系統(tǒng)遭受到無法抵御的嚴(yán)重入侵時，管理員還可以通過管理模塊及時發(fā)現(xiàn)和處理，避免更大的損失。

3 結(jié)束語

本文針對云計(jì)算服務(wù)器可能遭受到拒絕服務(wù)攻擊的問題，提出了一種云計(jì)算環(huán)境下的入侵檢測和響應(yīng)模型，并對該模型的工作流程進(jìn)行了描述。該模型可以利用云計(jì)算的優(yōu)勢，通過各個云服務(wù)器之間的相互合作達(dá)到檢測和抵御拒絕服務(wù)攻擊的目的，最大程度的保證云計(jì)算服務(wù)的安全性和流暢性，以提升用戶體驗(yàn)。

[1] Sebastian Roschke, Feng Cheng, Christoph Meinel. Intrusion Detection in the Cloud[C] . Eighth IEEE International Conference on Dependable, 2009, pp. 729-734.

[2] Lo Chichun, Huang Chunchieh, Joy Ku. A Cooperative Intrusion Detection System Framework for Cloud Computing Networ-ks[C] . 39th International conference on parallel processing workshops, 2010, pp. 280-284.

[3] 郭淵博，王超. 容忍入侵方法與應(yīng)用[M] . 北京：國防工業(yè)出版社，2010.

[4] 虛擬化與云計(jì)算小組. 云計(jì)算實(shí)踐之道：戰(zhàn)略藍(lán)圖與技術(shù)構(gòu)架[M] . 北京：電子工業(yè)出版社，2011.