◆关心雨
(山东科技大学 山东 271019)
随着现代网络技术的飞速发展以及互联网相关应用的迫切希望,云计算技术迅猛地发展,云计算平台资源的存储和计算能力也在不断提升。目前,由于其出色的高灵活性、可扩展性和高性比,云计算技术被广泛应用于多个领域。这也使这种正当红的新兴技术成为了许多网络黑客攻击的又一目标。同时,云计算平台过于复杂的内部结构也使其在实际使用中存在许多安全隐患。
入侵检测系统是计算机的监控系统,通过对计算机系统的实时监控,对其起到保护作用,是计算机系统的安全防护措施之一。它主要通过监控计算机系统或网络中发生的事件的分析来判断是否发生入侵行为,是一种主动的安全防护措施。当系统发现存在入侵行为时,会进行报警并通知响应模块采取措施,这种反应机制可以对恶意入侵做出反应,有效的保护系统资源的安全性和完整性,为云计算平台提供保护。因此,在云计算环境中建立入侵检测系统是可以保护云计算平台的安全的有效方法。
云计算是各种网络技术与硬件技术发展到一定地步出现的一种IT 交付和业务模型,一般情况下通过网络来获取动态、可扩展的虚拟化资源[1]。从技术层面上看,云计算涵盖了目前互联网领域的大部分技术,如虚拟化技术、网络计算以及并行计算等。云计算平台利用其技术上的优势,可以以比较低的价格向用户提供各种网络资源和服务,服务如数据存储服务、软件应用程序、操作系统等。
云计算具有[2]:按需提供服务资源、弹性资源池可扩张、资源网络化接入、虚拟化、通用性的特点。
由于云计算强大的储存功能和使用成本较低的特点,所以云计算是未来发展的趋势。但云计算在使用过程中也存在一定的威胁。根据查阅资料,发现由于云计算平台本身原因或者黑客入侵行为导致的系统崩溃、服务器宕机等事件经常发生。例如2016 年7 月,由于阿里云内部网络异常,导致部分云服务无法使用。GitLab 曾因操作不当导致平台的6000 个项目及800 多个用户账户都带来或多或少损失。无独有偶,亚马逊AWS 云也曾因服务故障,导致Slack、Quora 和Trello 等相关企业的云计算服务器宕机近4 个小时。更严重的有,印度居民身份数据库曾被黑客入侵,导致10 亿公民的敏感信息泄漏,给国民的生活带来了很大的隐患。
综合云计算使用中存在的问题,总结云计算存在威胁如下:
(1)数据机密性差:虽然数据进行了加密,攻击者往往可以通过攻击云计算平台以及拥有权限的云计算管理员得到数据。
(2)缺乏云安全审计:云服务提供商拥有控制云计算平台中控制的权限,所以云计算服务提供商是否遵守安全规则检查就显得至关重要。
(3)缺乏通用标准:由于技术发展时间较短,云计算各服务提供商之间还没有形成标准通用的标准。比如数据的存储格式、平台的兼容性等方面都存在一定的问题。
云计算作为一种新兴的热门技术,其运行环境在规模、结构方面都有很大的提升,弥补了传统网络环境中存在的许多不足,如存储空间、软件更新、运行速度等问题。正是由于云计算的这些特点,必然导致其对入侵检测也有更高的要求。因此,只有根据云计算环境的特性设计入侵检测方法,才能为云计算平台的安全运行提供保障。结合云计算环境的特点,云计算环境对入侵检测技术主要有以下要求[2]:
由于云计算平台采用了虚拟化技术,还有针对虚拟机的分布式拒绝攻击,以及针对云平台漏洞的攻击行为。因此云计算环境下的入侵检测技术应能对云计算环境中特有的攻击做出有效检测判断。
云计算环境中的网络流量不像传统网络有可控的范围,它来源于各种各样的用户,其中也存在黑客。随着网络技术的迅速发展,黑客的攻击技术也不断更新。这就要求云计算环境下的入侵检测技术能应对不断更新的攻击技术,即需要其具有自身学习能力,以便能以较快的速度识别各种变异的入侵行为和新型的入侵行为,并能应对这些入侵行为。
云计算环境中的用户规模并不是不变的,这要求入侵检测技术能应对由用户量变动导致的云计算环境变化,主要是对用户增多时网络流量增加这一情况做出较好的应对。
目前,关于云计算环境下的入侵检测方法已有很多学者进行了研究。根据现有文献,当下使用较多的入侵检测技术有:基于数据挖掘的入侵检测、基于误用的入侵检测以及基于机器学习的入侵检测等。
基于数据挖掘的入侵检测是在入侵检测中应用数据挖掘技术,使用数据挖掘的方法对网络数据、审计记录或系统日志进行分析,总结出其中潜在的规律性和特征[3]。基于误用的入侵检测指的是首先提取出已知的入侵行为共有的特征,并对这些特征进行归纳,然后建立特征规则库,将待检测的数据与特征规则数据库中的进行比对,从而分析判断是否发生入侵行为[4]。
机器学习可以分为无监督学习和监督学习。其中,监督学习中的监督指训练分类器需要知道数据的类型,这使入侵检测在使用监督学习时需要提前准备好数据的标签。无监督学习是将数据表示成元组的形式,根据元组相似度对数据进行分类,理论上无监督学习也可以用于入侵检测。
赵艳君针对现有入侵检测技术存在的漏报率高、缺乏规则库、对不明攻击失效问题,设计了一个基于数据挖掘算法的入侵检测模型。模型首先对关联规则算法和聚类分析算法进行了改进,然后再将两者相结合,在模型中聚类分析主要通过数据分析检测入侵行为;关联规则算法通过自动扩充功能对安全规则库不断进行更新,提高了对入侵行为的效率和检测精度,同时能够检测未知入侵行为[5]。
张人上在入侵检测将神经网络和专家系统相结合,其中专家系统负责检测已知的入侵行为,神经网络负责检测未知的入侵行为,并将新型入侵行为的特征同步到规则库。该模型将整个检测过程分三步进行,首先利用专家系统对已知的网络进行检测,然后再利用神经网络对专家系统没有发现的或对未知的网络进行检测,最后利用神经网络再对专家系统的规则库进行更新[6]。
徐雪丽等设计了一种入侵检测模型,将卷积神经网络与网络报文相结合。该模型先将数据打乱,然后进行预处理,再将预处理后的数据利用神经网络分析其特征,最后使用分类器对提取的特征进行分类[7]。
张阳提出使用SMOTE 算法对训练集中少数类样本过采样,从而使得训练集中样本相对平衡,再用于分类器的训练[8],这样训练出的分类器,对少数类样本分类的效果有所提升,但是使用SMOTE 算法产生的数据可能会使数据的边界更加模糊,进而使得分类器过于拟合,导致分类效果变差。
谢金鑫提出了基于深度学习的入侵检测研究,深度学习是以人工神经网络为基础的,它学习人类的思维方式和学习能力,能不断地改进学习方式,自动学习数据中的关键特征,并利用这些特征进行识别和分类,直接发现数据之间的关系,从而能在复杂多变的网络数据中捕捉到有用的关键信息。把深入学习应用到网络入侵检测中,可以解决入侵检测率低,误报漏报率大的问题,并且还具有实时性的特点。
综上所述,当前学者对入侵检测的研究包括两大方面,一是入侵检测种类的研究,二是入侵检测方法的研究。关于入侵检测的种类主要包括三种:访问没有被授权的信息;不合理的访问行为;影响系统稳定的行为。关于入侵检测的方法,学者们主要从以下方面进行的:一是采用不同的方法以应对未知的攻击行为;二是采用不同的方法对数据进行分析,提取数据特征;三是采用不同的方法扩大规则数据库。上述入侵检测方法的改进大大提高了入侵检测的效率,降低了漏报率,提高了云计算的安全性。
通过对学者们文献的阅读和分析,结合云计算环境下的特点和对入侵检测的要求,对未来云计算环境下的入侵检测改进提出以下建议。
(1)加强人工智能在入侵检测中的使用。
现有的入侵检测技术发展迅速,可以较好应对云计算环境下对入侵检测的特殊要求,但检测的准确性还有很大的发展空间。根据现有的入侵检测技术来看,未来的入侵检测技术将更倾向于,结合人工智能来提高对层出不穷的新式入侵方式的自主学习检测能力,使用与人工智能结合的方式,来提高对层出不穷的新式入侵方式的自主学习检测。
在入侵检测过程中,也可以应用人工智能的技术,人工智能是模仿人类的智能来执行任务,并基于收集的信息对自身进行改进,人工智能的理论基础是对迁移学习、半监督学习以及主动学习等的改进与组合。它能更好地识别和解决入侵检测中未知的和不易区分入侵行为,大大提高入侵检测的准确度。
(2)加强网络安全建设,制定防护、检测、响应三位一体的网络安全系统。
通过及时检测网络异常,明确找出异常根源并提供方案,如隔离问题主机、修改安全策略、重新在服务器等设备增加独立区域、增加特殊防火墙等网络设备、优化云系统安全管理制度(如禁止未许可设备入网等)。还可以加强防火墙的设置,将防火墙设置和入侵检测相结合,制定防护、检测、响应三位一体的网络安全系统,当有入侵者攻击系统时,首先系统能检测到入侵行为,并发出报警;然后是系统能做出响应,防止入侵者进入。
(3)定期评估网络安全。
因为入侵检测需要人工分析,而正是因为有了报表、日志库这些历史数据的积累,就可以研究和比照,比如:初次部署入侵检测,发现网络事件3000 次,在增加安全设备、调整网络配置后,入侵检测发现网络事件为80 次。这表明分析正确,评估及改进是有效的。另外,还可以对入侵的信息定期进行分析,分析其特点,入侵的时间、方式、对象等,以利于为以后的入侵检测提供参考。
(4)加强对历史数据的分析和对比。
通过对历史数据的分析和对比,对异常数据和异常现象进行调查研究,及时发现存在的问题,防微杜渐,通过提出安全建议和评估网络安全,让入侵检测体现出它应有的管理价值。
云计算强大的资源存储能力和计算能力,决定了其在未来的社会发展和个人生活中将会得到广泛的使用和推广。但在其使用中云计算本身的安全性和稳定性也是需要关注的一个问题,所以基于云计算的入侵检测研究任重道远。