一種基于云計算的入侵檢測方法與系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及云計算、互聯(lián)網(wǎng)安全�����、軟件云服務(wù)開發(fā)及入侵檢測的綜合領(lǐng)域��,更具體地說���,涉及一種基于云計算的入侵檢測方法����,與基于云計算的入侵檢測方法系統(tǒng)�����。
【背景技術(shù)】
[0002]“互聯(lián)網(wǎng)+”的概念提出,意味著互聯(lián)網(wǎng)技術(shù)應(yīng)用將邁向更加深遠的一步����,特別是網(wǎng)絡(luò)應(yīng)用�、服務(wù)等,這對網(wǎng)絡(luò)安全也提出了更高的要求��。網(wǎng)站服務(wù)器往往成為攻擊者惡意攻擊或劫持的首要目標(biāo)����,且隨著高速網(wǎng)絡(luò)的普及,攻擊強度不斷增大����。通過對主機網(wǎng)絡(luò)流量、資源狀態(tài)和行為進行實時監(jiān)控分析�����,及時發(fā)現(xiàn)惡意入侵攻擊對于保證網(wǎng)站服務(wù)器正常運行提供服務(wù)有著重要意義�����。目前,針對網(wǎng)站服務(wù)器的入侵檢測系統(tǒng)的主要方式之一是在主機上安裝部署入侵檢測系統(tǒng)����,依賴主機的計算資源和操作系統(tǒng)的功能來實現(xiàn),另一種方式是部署相應(yīng)的入侵檢測組件���,雖然一定程度上提升了主機的安全防護能力�����,但同時也存在一定的問題和不足�。
[0003]隨著網(wǎng)絡(luò)規(guī)模�����、網(wǎng)絡(luò)應(yīng)用流量的不斷增大���,特別是如今的大數(shù)據(jù)時代�,網(wǎng)絡(luò)流量更是龐大�,傳統(tǒng)的入侵檢測系統(tǒng)結(jié)構(gòu)暴露出越來越多的局限性和缺陷,諸如工作量大����、響應(yīng)速度慢���、處理能力不足等問題,增加了主機負擔(dān)����,另外,部署入侵檢測系統(tǒng)比較復(fù)雜��,更新維護比較困難��,往往需要專業(yè)的人員進行維護���,增加網(wǎng)站運維成本。
【發(fā)明內(nèi)容】
[0004]本發(fā)明的目的在于克服現(xiàn)有技術(shù)的不足��,提供一種通過將入侵檢測作為一種軟件服務(wù)部署在云服務(wù)器上�����,提供高效準(zhǔn)確的入侵檢測服務(wù)���,解決當(dāng)前入侵檢測系統(tǒng)部署應(yīng)用模式的高復(fù)雜度��、高成本�、難維護更新、主機資源消耗大等不足的基于云計算的入侵檢測方法�,及基于云計算的入侵檢測系統(tǒng)。
[0005]本發(fā)明的技術(shù)方案如下:
[0006]一種基于云計算的入侵檢測方法���,基于云服務(wù)器與客戶端架構(gòu)����,客戶端對本地數(shù)據(jù)進行監(jiān)測���,并將監(jiān)測數(shù)據(jù)發(fā)送至云服務(wù)器進行分析�,云服務(wù)器對接收的客戶端的監(jiān)測數(shù)據(jù)進行入侵檢測���,包括誤用檢測與異常檢測��,并將檢測結(jié)果反饋至客戶端��。
[0007]作為優(yōu)選�,云服務(wù)器基于入侵規(guī)則對客戶端的監(jiān)測數(shù)據(jù)通過誤用檢測算法進行匹配分析��,完成入侵檢測中的誤用檢測�。
[0008]作為優(yōu)選��,如果誤用檢測未發(fā)現(xiàn)異常���,則調(diào)用異常檢測算法檢測未知攻擊,完成入侵檢測中的異常檢測�。
[0009]作為優(yōu)選,云服務(wù)器的處理流程包括如下步驟:
[0010]10)啟動服務(wù)�����,等待客戶端發(fā)起請求�;
[0011]11)接收來自客戶端的監(jiān)測數(shù)據(jù);
[0012]12)對接收到的監(jiān)測數(shù)據(jù)進行誤用檢測��,若發(fā)現(xiàn)攻擊���,則跳到步驟14),否則轉(zhuǎn)到步驟13)�;
[0013]13)調(diào)用異常檢測算法進行入侵檢測分析;
[0014]14)將檢測結(jié)果反饋至客戶端�����,并記錄本次事件�����。
[0015]作為優(yōu)選,云服務(wù)器根據(jù)每次入侵檢測的結(jié)果�,生成新的入侵規(guī)則。
[0016]作為優(yōu)選�,當(dāng)未使用云服務(wù)器進行入侵檢測時,則在客戶端進行本地入侵檢測��。
[0017]作為優(yōu)選����,客戶端的處理流程包括如下步驟:
[0018]20)客戶端進行數(shù)據(jù)包捕獲及行為監(jiān)控,實時捕獲網(wǎng)站訪問流量及主機行為�;
[0019]21)判斷當(dāng)前客戶端是否使用云服務(wù)器進行入侵檢測,如果是��,則跳到22)����,否則跳到步驟25);
[0020]22)將客戶端捕獲到的網(wǎng)絡(luò)流量數(shù)據(jù)包及主機行為發(fā)送給云服務(wù)器進行入侵檢測���;
[0021]23)等待云服務(wù)器發(fā)回檢測結(jié)果�;
[0022]24)接收云服務(wù)器的檢測結(jié)果���,跳到步驟26 ;
[0023]25)在客戶端本地進行入侵檢測���;
[0024]26)根據(jù)得到的檢測結(jié)果做出相應(yīng)的響應(yīng)��。
[0025]作為優(yōu)選�����,每個客戶端的接入及入侵檢測�����,利用云計算技術(shù)分配到云服務(wù)器中的不同計算節(jié)點進行入侵檢測��。
[0026]作為優(yōu)選��,計算節(jié)點根據(jù)預(yù)設(shè)條件�,分配計算節(jié)點的線程池中的匹配條件的線程進行入侵檢測�,線程池中的每個線程獨立進行入侵檢測��。
[0027]一種基于云計算的入侵檢測系統(tǒng)�����,包括云服務(wù)器、客戶端���,運行所述的入侵檢測方法;
[0028]云服務(wù)器包括若干計算節(jié)點��,客戶端上設(shè)置有事件監(jiān)控保護模塊及入侵檢測程序��,事件監(jiān)控保護模塊用于監(jiān)測本地數(shù)據(jù)�,入侵檢測程序在云服務(wù)器不進行入侵檢測的情況下�,在客戶端本地對監(jiān)測數(shù)據(jù)進行入侵檢測;
[0029]云服務(wù)器設(shè)置有融合誤用檢測與異常檢測的入侵檢測系統(tǒng)����,包括入侵檢測分析引擎、入侵檢測規(guī)則庫�����、智能異常檢測程序以及入侵規(guī)則挖掘程序��,用于對接收的監(jiān)測數(shù)據(jù)進行入侵檢測����。
[0030]本發(fā)明的有益效果如下:
[0031]本發(fā)明依靠云計算強大的數(shù)據(jù)處理分析能力,將對運算能力要求較高����、存儲空間要求較大的入侵檢測由云服務(wù)器進行�����,而客戶端(如網(wǎng)站服務(wù)器)只需監(jiān)控采集主機行為�����、網(wǎng)絡(luò)特征等���,并將采集到的數(shù)據(jù)發(fā)送到云服務(wù)器,則可從云服務(wù)器上獲得相應(yīng)的入侵檢測分析結(jié)果�,客戶端并不需要運行入侵檢測程序,提升了網(wǎng)站入侵檢測分析和響應(yīng)能力�����,實現(xiàn)入侵的快速分析��、快速發(fā)現(xiàn)�、快速處理,減輕了負擔(dān)且有力保證客戶機運行的安全�,具有很強的使用����、推廣價值���。
[0032]本發(fā)明將入侵檢測分析功能從傳統(tǒng)的主機端分離至云端,在云端以服務(wù)的形式提供����。簡化了主機端部署入侵檢測系統(tǒng)的復(fù)雜性及降低了成本,同時將核心的入侵檢測分析服務(wù)置于云端���,由云服務(wù)提供商通過更加專業(yè)的網(wǎng)絡(luò)安全團隊對入侵檢測服務(wù)進行更新維護將更加高效��。
【附圖說明】
[0033]圖1是本發(fā)明的系統(tǒng)框架圖����;
[0034]圖2是云計算實現(xiàn)系統(tǒng)架構(gòu)圖����;
[0035]圖3是云服務(wù)器的工作流程圖;
[0036]圖4是客戶端的工作流程圖���。
【具體實施方式】
[0037]以下結(jié)合附圖及實施例對本發(fā)明進行進一步的詳細說明����。
[0038]本發(fā)明為了解決現(xiàn)有技術(shù)中的入侵檢測系統(tǒng)部署應(yīng)用模式的高復(fù)雜度、高成本�、難維護更新、主機資源消耗大等不足����,提供一種基于云計算的入侵檢測系統(tǒng),與基于云計算的入侵檢測方法�����。
[0039]所述的基于云計算的入侵檢測系統(tǒng)�����,由云服務(wù)器和客戶端實現(xiàn)�,云服務(wù)器包括若干計算節(jié)點,為通過云計算技術(shù)將多臺普通計算機�����、服務(wù)器以及存儲設(shè)備利用網(wǎng)絡(luò)結(jié)合起來����,其中普通計算機及服務(wù)器作為計算節(jié)點。客戶端為需要使用入侵檢測功能的一些普通網(wǎng)站服務(wù)器����。
[0040]客戶端上設(shè)置有事件監(jiān)控保護模塊及簡單的入侵檢測程序(為了不影響客戶端的性能����,設(shè)置相對于云服務(wù)器的入侵檢測功能更簡單的入侵檢測程序)。事件監(jiān)控保護模塊負責(zé)監(jiān)控重要文件���、注冊表����、系統(tǒng)審計日志��、進程�、網(wǎng)絡(luò)等,并將監(jiān)控的數(shù)據(jù)交由本地及云端分析引擎進行分析����。所述客戶端本地的入侵檢測程序基于規(guī)則匹配,在未使用云端入侵檢測服務(wù)的情況下可以在本地進行簡單的入侵檢測分析��。
[0041]云服務(wù)器上設(shè)置有融合誤用檢測與異常檢測的入侵檢測系統(tǒng)�����,包括入侵檢測分析引擎、入侵檢測規(guī)則庫���、智能異常檢測程序�����。
[0042]客戶端將監(jiān)控信息發(fā)送到云服務(wù)器上進行檢測�,云服務(wù)器將檢測結(jié)果反饋給客戶端��;另外���,云服務(wù)器端還能根據(jù)檢測結(jié)果挖掘出未知攻擊的特征生成新的規(guī)則���。
[0043]本實施例中,如圖1所示����,基于云計算的入侵檢測系統(tǒng)的框架中,云服務(wù)器是基于Hadoop虛擬云架構(gòu)的�,通過云計算技術(shù)將多臺標(biāo)準(zhǔn)服務(wù)器(統(tǒng)稱計算節(jié)點)以及存儲設(shè)備利用網(wǎng)絡(luò)結(jié)合起來組成超級計算機集群。每個客戶端的接入及檢測分析操作透過網(wǎng)絡(luò)分配到不同的計算機節(jié)點進行處理�,結(jié)果通過網(wǎng)絡(luò)回傳給客戶端��。云服務(wù)器提供了強大的分析處理能力�����,進而減少了客戶端的處理負擔(dān)����,使得用戶終端程序簡化為一個單純的數(shù)據(jù)采集程序�����,卻依然能夠獲得較高準(zhǔn)確率的結(jié)果響應(yīng)和其他個性化服