一種基于分布式入侵檢測(cè)技術(shù)的云平臺(tái)安全策略研究

唐春蘭

（內(nèi)江師范學(xué)院計(jì)算機(jī)科學(xué)學(xué)院，四川 內(nèi)江641112）

0 引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的高速發(fā)展，云計(jì)算技術(shù)對(duì)信息產(chǎn)業(yè)的影響日益深遠(yuǎn)，產(chǎn)業(yè)界推出了一系列基于云平臺(tái)的服務(wù)，但在已經(jīng)實(shí)現(xiàn)的云平臺(tái)服務(wù)中，安全問(wèn)題一直令人擔(dān)憂。安全和隱私問(wèn)題已經(jīng)成為阻礙云計(jì)算普及和推廣的主要因素之一。2011年1月21日，來(lái)自研究公司ITGI的消息稱，考慮到自身數(shù)據(jù)的安全性，很多公司正在控制云計(jì)算方面的投資，在參與調(diào)查的21家公司的834名首席執(zhí)行官中，有半數(shù)的官員稱，出于安全方面的考慮，他們正在延緩云的部署，并且有三分之一的用戶正在等待。為了能夠減少云計(jì)算帶來(lái)的安全風(fēng)險(xiǎn)，讓云計(jì)算得以長(zhǎng)足發(fā)展，安全策略的研究尤其重要。

在成熟的計(jì)算機(jī)安全技術(shù)中，主要包括病毒防護(hù)技術(shù)、入侵檢測(cè)技術(shù)、應(yīng)用安全技術(shù)等等，它們?cè)趥鹘y(tǒng)的計(jì)算機(jī)安全策略中發(fā)揮了良好的作用。但是，在新穎的云計(jì)算平臺(tái)上，單一的安全策略功能捉襟見(jiàn)肘，各種技術(shù)的整合成為專門針對(duì)云計(jì)算開(kāi)展安全策略研究的重點(diǎn)。本文將對(duì)入侵檢測(cè)技術(shù)和分布式網(wǎng)絡(luò)技術(shù)進(jìn)行整合研究，從而實(shí)現(xiàn)一種云平臺(tái)安全架構(gòu)策略。

1 分布式入侵檢測(cè)技術(shù)

入侵檢測(cè)（Intrusion Detection）是對(duì)入侵行為的檢測(cè)。它通過(guò)收集和分析網(wǎng)絡(luò)行為、安全日志、審計(jì)數(shù)據(jù)、其它網(wǎng)絡(luò)上可以獲得的信息以及計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測(cè)作為一種積極主動(dòng)地安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。因此被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)。

根據(jù)信息來(lái)源的不同，入侵檢測(cè)技術(shù)可以分為基于主機(jī)的入侵檢測(cè)、基于網(wǎng)絡(luò)的入侵檢測(cè)以及分布式入侵檢測(cè)三種。一般基于主機(jī)的入侵檢測(cè)技術(shù)主要使用操作系統(tǒng)的審計(jì)、跟蹤日志作為數(shù)據(jù)源，某些也會(huì)主動(dòng)與主機(jī)系統(tǒng)進(jìn)行交互以獲得不存在于系統(tǒng)日志中的信息以檢測(cè)入侵。而基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)常常通過(guò)被動(dòng)地監(jiān)聽(tīng)網(wǎng)絡(luò)上傳輸?shù)脑剂髁?，?duì)獲取的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行處理，從中提取有用的信息，再通過(guò)與已知攻擊特征相匹配或與正常網(wǎng)絡(luò)行為原型相比較來(lái)識(shí)別攻擊事件。隨著網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜，傳輸數(shù)據(jù)量隨之增大，而網(wǎng)絡(luò)中的攻擊手段也層出不窮，其中廣泛采用的分布式拒絕服務(wù)(DDoS：Distributed Denial of Service)應(yīng)用環(huán)境中的海量存儲(chǔ)和高帶寬的傳輸技術(shù)，使得傳統(tǒng)的入侵檢測(cè)不能滿足系統(tǒng)需求，分布式入侵檢測(cè)在此狀況下應(yīng)運(yùn)而生。分布式入侵檢測(cè)使用分布式的方法對(duì)分布式的攻擊進(jìn)行檢測(cè)，采用檢測(cè)信息的協(xié)同處理和入侵攻擊的全局信息提取以及分布式數(shù)據(jù)的融合作為關(guān)鍵技術(shù)，能夠在數(shù)據(jù)收集、入侵分析和自動(dòng)響應(yīng)各方面最大限度的發(fā)揮入侵檢測(cè)策略的優(yōu)勢(shì)，因此，分布式入侵檢測(cè)成為現(xiàn)代主流IDS的發(fā)展趨勢(shì)。

2 基于分布式入侵檢測(cè)技術(shù)的云平臺(tái)安全架構(gòu)策略

云計(jì)算平臺(tái)具有數(shù)據(jù)和服務(wù)外包、虛擬化、多租戶和跨域共享等特點(diǎn)，在這些特征中，虛擬化是基礎(chǔ)。在云計(jì)算中，軟硬件資源通過(guò)虛擬化實(shí)現(xiàn)多用戶共享，保證了IT資源利用效率和靈活性的最大化，優(yōu)化了資源的使用，節(jié)約了能源和硬件設(shè)備，并簡(jiǎn)化了管理，有效的降低了成本，這是云計(jì)算得以迅速發(fā)展的根本所在。然而，虛擬化技術(shù)也引入了比物理主機(jī)更多的安全風(fēng)險(xiǎn)。由于傳統(tǒng)安全策略主要適用于物理設(shè)備而無(wú)法管理虛擬機(jī)和虛擬網(wǎng)絡(luò)等，因此使得傳統(tǒng)的基于物理安全邊界的防護(hù)機(jī)制難以有效保護(hù)基于共享虛擬化環(huán)境下的用戶應(yīng)用及信息安全。資源虛擬化支持不同租戶的虛擬資源部署在相同的物理資源上，方便了惡意用戶借助共享資源實(shí)施側(cè)通道攻擊，用戶的機(jī)密數(shù)據(jù)有可能因此泄露，或者黑客利用虛擬機(jī)進(jìn)行DOS攻擊。

對(duì)于云計(jì)算的安全保護(hù)，通過(guò)單一的手段是遠(yuǎn)遠(yuǎn)不夠的，需要有一個(gè)完備的體系。傳統(tǒng)安全技術(shù)，如加密機(jī)制、安全認(rèn)證機(jī)制、訪問(wèn)控制策略通過(guò)集成創(chuàng)新，可以為隱私安全提供一定支撐，但不能完全解決云平臺(tái)的安全問(wèn)題，需要進(jìn)一步研究多層次的安全體系，為云平臺(tái)安全保護(hù)提供全方位的技術(shù)支持。云安全聯(lián)盟CSA在“云計(jì)算關(guān)鍵領(lǐng)域安全指南”中提出了云計(jì)算的安全運(yùn)行措施，其中便包括了安全加固虛擬機(jī)鏡像。根據(jù)以上研究表明，通過(guò)在物理機(jī)、虛擬機(jī)和虛擬機(jī)管理程序三個(gè)方面增加分布式入侵檢測(cè)功能模塊，加強(qiáng)虛擬機(jī)的安全?；诜植际饺肭謾z測(cè)技術(shù)的虛擬機(jī)安全策略如圖1所示。

圖1 云計(jì)算平臺(tái)安全策略

采用這種方式搭建云平臺(tái)，可以結(jié)合分布式入侵檢測(cè)監(jiān)控系統(tǒng)的功能，實(shí)現(xiàn)用戶不能突破虛擬機(jī)的界限、虛擬機(jī)之間安全隔離、虛擬機(jī)內(nèi)部的安全監(jiān)控與惡意代碼過(guò)濾，提高云平臺(tái)基礎(chǔ)設(shè)施的防攻擊能力，最大限度的保護(hù)云平臺(tái)中資源的隱私與安全，確保云計(jì)算平臺(tái)的服務(wù)有效性和連續(xù)性。

3 結(jié)論與展望

分布式入侵檢測(cè)技術(shù)與云平臺(tái)的完美結(jié)合，可以實(shí)時(shí)監(jiān)測(cè)各種非法入侵行為，同時(shí)也可以在發(fā)生入侵事件時(shí)給予實(shí)時(shí)報(bào)警，實(shí)現(xiàn)了從底層物理機(jī)到虛擬機(jī)的安全監(jiān)控，防患于未然，給云平臺(tái)服務(wù)提供了更完善的應(yīng)用服務(wù)，為推動(dòng)云平臺(tái)的普及和推廣提供了有力的技術(shù)支持。

［1］陸嘉恒.分布式系統(tǒng)及云計(jì)算概論[M].清華大學(xué)出版社,2012.

［2］中國(guó)電信網(wǎng)絡(luò)安全實(shí)驗(yàn)室.云計(jì)算安全技術(shù)與應(yīng)用[M].電子工業(yè)出版社,2012.

［3］胡昌振.網(wǎng)絡(luò)入侵檢測(cè)原理與技術(shù)[M].2版.北京理工大學(xué)出版社,2010.