基于病毒繁衍機(jī)制的云平臺(tái)大數(shù)據(jù)安全檢測算法

薛醫(yī)貴

(陜西工業(yè)職業(yè)技術(shù)學(xué)院，陜西 咸陽 712000)

隨著通信網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，各種云技術(shù)也層出不窮，黑客入侵以及基于云技術(shù)的攻擊也日益嚴(yán)重。由于云系統(tǒng)中大量數(shù)據(jù)是以網(wǎng)絡(luò)通信中的云緩存技術(shù)的方式存放在云空間中的，惡意代碼可以通過入侵云節(jié)點(diǎn)中的數(shù)據(jù)緩存區(qū)域來達(dá)到數(shù)據(jù)攻擊與信息竊取的目的。這種攻擊往往是采取代碼注入的方式來實(shí)現(xiàn)對云節(jié)點(diǎn)中信息代碼溢出，然后通過加載特別涉及的執(zhí)行序列來實(shí)現(xiàn)黑客目的。一般而言，基于云緩存的入侵者往往需要采取如下的兩步:針對通信系統(tǒng)涉及特定的代碼;采取適當(dāng)?shù)膱?zhí)行序列構(gòu)造來觸發(fā)特定的信息執(zhí)行來達(dá)到信息竊取目的［1］。

由于現(xiàn)有計(jì)算機(jī)技術(shù)的局限性，不可能針對任意的云訪問請求進(jìn)行一一檢測和鑒定，因此無法做到對單位時(shí)間內(nèi)訪問平臺(tái)的每一個(gè)代碼進(jìn)行緩存越界鑒定。因此一旦發(fā)生信息代碼溢出，那么攻擊者就有可能實(shí)現(xiàn)加載惡意代碼的目的。

為保障云系統(tǒng)的正常高效運(yùn)行，因此必須采用一定的檢測手段來對重點(diǎn)的云訪問請求進(jìn)行檢測。本文提出的基于病毒繁衍機(jī)制的云平臺(tái)大數(shù)據(jù)安全檢測算法就是一種經(jīng)過改善的分析檢測方法，通過對抽樣的訪問序列進(jìn)行基于病毒繁衍式的取樣檢測，同時(shí)匹配當(dāng)前系統(tǒng)內(nèi)緩存的特定特征序列，來達(dá)到過濾未知攻擊源的目的［2-3］。

1 檢測技術(shù)的簡單介紹［4-7］

(1)簡單特征匹配檢測。這種檢測首先需要對過往云訪問記錄的特征進(jìn)行提取，建立一個(gè)特征訪問數(shù)據(jù)庫，在進(jìn)行入侵檢測時(shí)，將一個(gè)訪問周期內(nèi)的信息訪問序列進(jìn)行抽樣提取并進(jìn)行切片。一旦切片信息與特征訪問數(shù)據(jù)庫中記錄不同時(shí)，系統(tǒng)自動(dòng)進(jìn)行預(yù)警提示。當(dāng)預(yù)警提示超過系統(tǒng)設(shè)定的閾值，則判斷該次訪問為非法訪問，將其進(jìn)行過濾。

(2)漢明距離檢測。該方法是簡單特征匹配檢

測的一種改進(jìn)，與簡單特征匹配檢測相同的是，漢明距離檢測也會(huì)建立一個(gè)特征訪問數(shù)據(jù)庫。但是漢明距離檢測方法進(jìn)行信息訪問序列切片時(shí)，會(huì)進(jìn)行隨機(jī)切片，然后再和特征訪問數(shù)據(jù)庫進(jìn)行比對。一旦錯(cuò)誤切片數(shù)量超過了系統(tǒng)設(shè)定的閾值，則判定該次訪問為非法訪問，并進(jìn)行過濾。和簡單特征匹配相比，漢明距離檢測的隨機(jī)性更強(qiáng)，更不容易被攻擊者非法構(gòu)造的訪問所欺騙。

(3)數(shù)據(jù)挖掘檢測方法。數(shù)據(jù)挖掘檢測方法會(huì)通過抽樣的方式對本次訪問進(jìn)行隨機(jī)取樣，然后和過往訪問樣本進(jìn)行混合挖掘訓(xùn)練，同時(shí)對訓(xùn)練過程進(jìn)行標(biāo)注，一旦發(fā)現(xiàn)訓(xùn)練過程出現(xiàn)異常，則進(jìn)行示緊提示。當(dāng)示緊提示在一個(gè)訪問周期內(nèi)達(dá)到一定數(shù)目時(shí)，就判定這種訪問為非法訪問。

不過，這些在大數(shù)據(jù)下的云平臺(tái)常用入侵檢測方法也存在很明顯的局限性:

必須提前設(shè)置大量的樣本進(jìn)行鑒定判斷，當(dāng)數(shù)據(jù)量擴(kuò)大到一定程度的時(shí)候，系統(tǒng)將很難在一個(gè)訪問周期內(nèi)對全部的樣本進(jìn)行比對，從而降低了訪問質(zhì)量。由于云訪問中實(shí)時(shí)性要求很高，因此為了降低特征檢測的時(shí)間及資源開銷，將不得不對樣本庫進(jìn)行一定比例的縮減，這無形中擴(kuò)大了系統(tǒng)的脆弱性。當(dāng)云系統(tǒng)的訪問信息處于多變的大數(shù)據(jù)環(huán)境中時(shí)，一旦訪問特征是過往訪問所沒有的特征，那么必定會(huì)產(chǎn)生訪問拒絕的現(xiàn)象。

2 本文大數(shù)據(jù)安全檢測算法設(shè)計(jì)

當(dāng)云系統(tǒng)受到攻擊時(shí)可能出現(xiàn)以下的幾種情況［8-11］:系統(tǒng)異常，攻擊者成功進(jìn)行了信息注入，攻擊成功;系統(tǒng)異常，攻擊者沒有達(dá)到信息注入的目的，攻擊失敗;系統(tǒng)正常，攻擊者沒有達(dá)到信息注入的目的，攻擊失敗;系統(tǒng)正常，攻擊者成功進(jìn)行了信息注入，攻擊成功;顯然，任何一種成功的檢測算法，只能是在第三種情況下才能被認(rèn)為是進(jìn)行了成功的信息檢測工作，因此本文的檢測算法僅對第三種情況進(jìn)行解決。首先引入系統(tǒng)緩存與物理隔離機(jī)制，將樣本與外界進(jìn)行隔絕，然后進(jìn)行病毒式復(fù)制及樣本鑒定。一旦在檢測過程中發(fā)現(xiàn)異常，將進(jìn)行一定程度的時(shí)延后再提交處理，最后更新特征庫和訪問規(guī)則。本文算法流程見圖1。

圖1 檢測流程

具體步驟如下:

步驟1:數(shù)據(jù)取樣:對訪問數(shù)據(jù)進(jìn)行取樣，將取樣數(shù)據(jù)置于系統(tǒng)預(yù)留緩存里，緩存與系統(tǒng)保持物理隔離，轉(zhuǎn)下一步;

步驟2:數(shù)據(jù)初始化:物理隔離的數(shù)據(jù)，在一定時(shí)期內(nèi)進(jìn)行病毒式復(fù)制并與特征數(shù)據(jù)庫進(jìn)行對比。隨后將序列復(fù)制為長度為m總數(shù)為n的序列集合，完成初始化過程，轉(zhuǎn)步驟3;

步驟3:檢測過程初始:采取檢測準(zhǔn)則檢測訪問序列集合。將房屋序列集合和特征庫中的特征序列進(jìn)行比對，當(dāng)比對數(shù)超過一定數(shù)值k之后，則確認(rèn)該序列為疑似序列，轉(zhuǎn)步驟6.否則，轉(zhuǎn)步驟4;

步驟4:訪問序列異常檢測:一旦在步驟3中檢測出疑似序列，則檢測訪問序列是否出現(xiàn)一定的異常，然后在一定的延時(shí)周期T內(nèi)檢測是否出現(xiàn)訪問序列繼續(xù)異常，出現(xiàn)異常則轉(zhuǎn)步驟6，否則轉(zhuǎn)步驟5;

步驟5:系統(tǒng)異常檢測:查看系統(tǒng)是否出現(xiàn)異常，然后在一定的延時(shí)周期T內(nèi)檢測是否出現(xiàn)系統(tǒng)繼續(xù)異常，出現(xiàn)異常則轉(zhuǎn)步驟6，否則轉(zhuǎn)步驟2;

步驟6:添加特征庫。一旦流程轉(zhuǎn)到本步，則認(rèn)為訪問序列為非常訪問，將采用數(shù)據(jù)挖掘方式添加到特征庫中，一旦下次遇到相同特征的訪問序列，直接進(jìn)行過濾處理;

步驟7:完成添加特征庫后，更新訪問規(guī)則，然后在下一個(gè)檢測流程中繼續(xù)本過程。

3 仿真實(shí)驗(yàn)與結(jié)果分析

為驗(yàn)證本文提出的算法，采用linux為實(shí)驗(yàn)平臺(tái)，操作系統(tǒng)為ubuntu系統(tǒng)，預(yù)裝nginx系統(tǒng)服務(wù)，測試參數(shù)如表1所示。圖2顯示了在不同攻擊數(shù)量下本文算法和簡單特征匹配檢測、漢明距離檢測、數(shù)據(jù)挖掘檢測對入侵的檢出對比情況。從圖中我們可以看到:在不同的攻擊次數(shù)下，本文算法具有明顯的優(yōu)勢，這是因?yàn)楸疚乃惴ú扇〔《痉毖苣Ｊ綄π蛄袠颖具M(jìn)行檢測，和簡單特征匹配檢測以及漢明距離檢測相比，提高了序列樣本檢測的效率;同數(shù)據(jù)挖掘檢測相比，因此本文算法采取了時(shí)延機(jī)制，使得單次漏檢的序列在下一個(gè)周期內(nèi)被檢測出來，因此檢出數(shù)量也得到提高。在不同攻擊數(shù)量的情況下，本文算法通過病毒繁衍機(jī)制，將不同類型的攻擊源分離進(jìn)行隔離復(fù)制;采取延時(shí)機(jī)制，保障了在上一時(shí)刻中未被檢測出的攻擊序列能夠被有效的檢測出，因此在檢測上的效率也得以提高。

表1 仿真參數(shù)

圖2 不同攻擊數(shù)量下的入侵檢測實(shí)驗(yàn)結(jié)果對比

圖3 攻擊持續(xù)時(shí)間增加下的實(shí)驗(yàn)結(jié)果對比

圖3顯示了隨著攻擊持續(xù)時(shí)間的不斷增加的情況下在過往時(shí)間段內(nèi)對入侵的平均檢測數(shù)量的比較。由于本文采取病毒繁衍模式，隨著時(shí)間的不斷增加，對過往序列的特征訓(xùn)練程度也不斷提高，因此提高了檢出效率。同時(shí)將疑似處理和異常檢測結(jié)合起來，大大提高了檢測的準(zhǔn)確度。

4 結(jié)束語

由于云技術(shù)的普及，當(dāng)前大量的信息訪問集中在云平臺(tái)上，因此對這些訪問信息和數(shù)據(jù)進(jìn)行足夠的檢測就是一件非常重要的事情。本文首先通過對系統(tǒng)運(yùn)行中的總體數(shù)據(jù)樣本進(jìn)行病毒繁衍訓(xùn)練，并通過病毒繁衍機(jī)制進(jìn)行推演，從而達(dá)到對未知攻擊源的預(yù)先防范及入侵檢測功能。算法中使用識(shí)別符進(jìn)行特征識(shí)別，從而大大降低了檢測機(jī)制的激發(fā)。與傳統(tǒng)入侵檢測機(jī)制相比較，本文提出的算法在安全性、系統(tǒng)占用性方面有明顯的優(yōu)勢，對于當(dāng)今云平臺(tái)下大數(shù)據(jù)系統(tǒng)的安全運(yùn)行有一定的參考意義。

［1］吳志祥.一種基于大數(shù)據(jù)的入侵檢測算法研究［J］.武漢科技大學(xué)學(xué)報(bào)，2012，3(4):401-409.

［2］Bal M.Rough Sets Theory as Symbolic Data Mining Method:An Application on Complete Decision Table［J］.information Sciences Letters，2013，2(1):111-116.

［3］Yang K，Shahabi C.An efficient k nearest neighbor search for multivariate time series［M］.Information and Computation，2013:65-98.

［4］Gounder V，Prakash R，Abu-Amara H.Micheline data miming:date and techniques［J］.Wireless Communications and Systems，2014，22(2):1-6.

［5］陳明，劉曉涵.基于云技術(shù)的簡單序列檢測的研究［J］.重慶理工大學(xué)學(xué)報(bào)，2014，20(4):124-127.

［6］蔣明華，王志軍.一種基于數(shù)據(jù)挖掘檢測的大數(shù)據(jù)攻擊源檢測與預(yù)防［J］.吉林大學(xué)學(xué)報(bào)，2012(7):54-59.

［7］Ngai EWT，Hu Y.The application of data mining techniques in financial fraud detection:A classification framework and an academic review of literature［J］.Decision Support System，2011，50(3):559-569.

［8］Ester P，Sander S.A key efficient way of data mining techniques［J］.Machine and Systems，2014，36(12):74-79.

［9］舒敏，李軍.一種基于歸納演繹準(zhǔn)則的數(shù)據(jù)挖掘檢測技術(shù)的研究［J］.安徽大學(xué)學(xué)報(bào)，2009，14(1):98-103.

［10］楊理，賈斯丁.基于云平臺(tái)下的入侵檢測技術(shù)的研究與實(shí)現(xiàn)［J］.北京郵電大學(xué)學(xué)報(bào)，2009，12(1):5-8.

［11］李婧.一種基于概率的快速聚類算法［J］.重慶工商大學(xué)學(xué)報(bào):自然科學(xué)版，2014，31(2):61-65.