打开文本图片集
摘要:针对传统网络安全设备对云计算平台中虚拟机内部发生的蠕虫病毒、地址解析协议(ARP)广播攻击等异常行为失效的问题,设计了基于VMware的云计算平台下异常行为检测技术架构,提出了云计算下有特征码的蠕虫病毒异常行为检测,和基于突变理论的无特征码的异常行为检测,并针对两种异常行为提出了“侦测—隔离—治愈—恢复”智能处理云安全机制。系统融合云计算下异常行为检测,云计算下事件与防卫管理,和云计算下ARP广播检测三种功能于一体。实验结果表明,系统能实时提供云计算环境下异常行为的采集及分析,每隔5秒自动刷新实时流量资料,且吞吐量可达到640Gb的处理能力,能够将被保护链路中异常流量所占用带宽降至总拥有带宽的5%以下,解决了云计算下的异常行为检测和防护问题。
关键词:云计算;异常行为检测;事件管理;地址解析协议异常侦测;云安全
中图分类号: TP393.08 文献标志码:A
Abstract:Worm, Address Resolution Protocol (ARP) broadcast and other abnormal behaviorS which attack the cloud computing platform from the virtual machines cannot be detected by traditional network security components. In order to solve the problem, abnormal behavior detection technology architecture for cloud computing platform was designed, abnormal behavior detection for worms which brought signature and nonsignature behaviors based on mutation theory and "DetectionIsolationCureRestore" intelligent processing for cloud security was proposed. Abnormal detection, management of event and defense, and ARP broadcast detection for cloud computing platform were merged in the system. The experimental results show that the abnormal behavior inside the cloud computing platform can be detected and defensed with the system, the collection and analysis of the abnormal behavior inside cloud computing platform can be provided by this system in realtime, the traffic information can be refreshed automatically every 5 seconds, the system throughput can reach to 640Gb and the bandwith occupied by abnormal flow can be reduced to less than 5% of the total bandwith in protected link.
Key words: cloud computing; abnormal behavior detection; event management; Address Resolution Protocol (ARP) anomaly detection; cloud security
0 引言
云计算因其虚拟化的特性,能够将计算机资源,逻辑抽象成资源池,实现资源共享、弹性分配、按需服务等功能[1-2]。企业用户通过将自身服务架设在云计算平台,显著降低维护成本;个人用户通过将自身数据和计算放在云端,降低了自身存在的存储和计算机性能有限带来的诸多约束。由于云计算带来的诸多好处,使得云计算逐渐成为一个全新的互联网服务模式。与此同时,用户对云计算的安全性提出了更严格的要求。
为了保证云计算下数据的安全,首先需要确保云计算平台的安全性。云计算平台和传统的网络相比,引入了大量虚拟化技术,虚拟机之间的网络流量对于网络安全设备是不可见的[3]。因此传统的安全保护手段不再适应云计算的安全需求,传统网络中存在的安全攻击如蠕虫传播、地址解析协议(Address Resolution Protocol, ARP)广播攻击等,均将对云计算平台的安全性产生巨大的威胁。
国内外学者首先针对传统网络发动的安全攻击进行了相关研究,Lockwood等[4]提出采用可编程逻辑设备对抗网络蠕虫的防范系统,这种检测方法需要提取蠕虫的特征码,但无法对未知蠕虫进行有效的检测;辛毅等[5]提出一种基于通信特征分析的蠕虫检测与特征提取技术,在解析蠕虫传播通信模式的基础上,通过评估通信特征集合间的相似度来检测蠕虫; 朱晖等[6]提出一种基于节点行为的主动点对点(PeertoPeer,P2P)蠕虫检测方法,设计和实现了一个主动P2P蠕虫检测系统,此系统可以实现P2P节点出站短连接的实时监控。对于网络故障异常和瞬间大量访问异常等无特性攻击行为的检测,也有学者进行了相关研究; Su[7]采用非参数的累积和方法检测观测时间序列中的突变,以检测握手信号(SYNchronous,SYN)防洪攻击; Shah等[8]建立网络异常行为分析系统能够有效地分离出短期的和长期的异常流量; 在此基础上,Guan等[9]进一步研究了网络中路由器出口处的IP包头数据,当分析信号超过了历史阈值,诊断网络出现了异常行为。