云計算是一種利用互聯(lián)網(wǎng)實現(xiàn)隨時隨地、按需、便捷地訪問共享資源池(如計算設(shè)施、存儲設(shè)備、應(yīng)用程序等)的計算模式。這種模式中,用戶所需的應(yīng)用程序并不運行在用戶的個人電腦、手機等終端設(shè)備上,而是運行在互聯(lián)網(wǎng)上大規(guī)模的服務(wù)器集群中;用戶所處理的數(shù)據(jù)也并不存儲在本地,而是保存在互聯(lián)網(wǎng)上的數(shù)據(jù)中心里。由于云服務(wù)資源存放位置的不確定性,導(dǎo)致其物理的邊界不再存在,這將給云計算環(huán)境下的信息安全問題帶來新的挑戰(zhàn)。
發(fā)生在云環(huán)境中最常見的入侵包括:一個系統(tǒng)的未授權(quán)用戶利用一個合法的用戶賬號獲準(zhǔn)通過系統(tǒng)的訪問控制;合法用戶訪問未被授權(quán)的數(shù)據(jù)、程序、資源,或雖然被授權(quán)但是濫用了權(quán)限;暗中的用戶奪取了系統(tǒng)的管理控制權(quán),并利用這一控制權(quán)逃避審計和訪問控制,或抑制審計記錄的收集。入侵者的目標(biāo)是獲得訪問系統(tǒng)的權(quán)限或打一大對系統(tǒng)的訪問權(quán)限范圍。一般說來,這需要入侵者獲得本應(yīng)已被保護的信息。某些情況下,這些信息以用戶密碼的形式存在。在獲知其它用戶的密碼后,入侵者就能登錄系統(tǒng)并按合法用戶的權(quán)限執(zhí)行操作。一旦發(fā)生非法入侵,一個系統(tǒng)的第二道防線就是入侵檢測。根據(jù)服務(wù)類型、實現(xiàn)機制以及攻擊類型的不同,入侵檢測方法分為統(tǒng)計異常檢測、基于規(guī)則的檢測兩種,前者試圖定義正;蝾A(yù)期的行為,后者則試圖定義正確的行為。目前針對入侵檢測系統(tǒng)(IDS)的研究主要集中于單系統(tǒng)、單機設(shè)備,然而云環(huán)境下往往需要保護分布式的企業(yè)集團。雖然通過在每臺主機上使用單機IDS來提高防御能力也是可能的,但通過網(wǎng)絡(luò)中IDS間的協(xié)調(diào)與合作,能獲得一種更有效的防御手段,分布式入侵檢測系統(tǒng)將是云計算的必然選擇。
針對分布式入侵檢測系統(tǒng)中來自不同類型入侵檢測系統(tǒng)的數(shù)據(jù)需要融合處理的問題,本文探討了數(shù)據(jù)融合模型的設(shè)計與實現(xiàn)問題,提出通過對不同類型的檢測數(shù)據(jù)進行融合后再經(jīng)過多級提煉,產(chǎn)生多抽象級情景描述,最終給出較為準(zhǔn)確的入侵檢測評估結(jié)果。
1、入侵檢測數(shù)據(jù)融合模型的設(shè)計
分布式入侵檢測系統(tǒng)中的多傳感器數(shù)據(jù)融合基于來自多個傳感器的數(shù)據(jù)的整合能夠提高結(jié)論信息質(zhì)量的基本原理。數(shù)據(jù)融合能將不同類型入侵檢測系統(tǒng)的輸出進行整合和智能推理,通過對整合數(shù)據(jù)的推理,生成一個多抽象級情景描述,最終得出入侵檢測評估結(jié)論。
入侵檢測數(shù)據(jù)的融合可分5級,其數(shù)據(jù)流程如圖1所示。
圖 1 IDS數(shù)據(jù)融合模型數(shù)據(jù)流示意圖
(1)第0級負(fù)責(zé)傳感器數(shù)據(jù)的收集與提煉。
(2)第1級負(fù)責(zé)傳感器數(shù)據(jù)的融合,融合結(jié)果生成客體中心?腕w中心包括攻擊和攻擊者兩類客體,這兩類客體之間有著緊密的聯(lián)系,總會至少有一名攻擊者卷人一次攻擊行為中,而且一個攻擊者總會至少卷人一次攻擊行為中。
(3)客體中心通過第2級和第3級的進一步分析,形成情景中心,通過考慮攻擊者的能力和意圖以及被監(jiān)控系統(tǒng)的漏洞,分析得出當(dāng)前情景受到的影n向。
(4)第4級是資源管理,識別改進多級融合產(chǎn)品所需的信息。
對于基于該模型設(shè)計的分布式入侵檢測系統(tǒng),在推理的最低級,能指出入侵行為的存在;而在推理的最高級,能對當(dāng)前情景的威脅進行分析。該模型產(chǎn)生的多抽象級情景描述如圖2所示。
圖 2 多抽象級情景描述示意圖
2、入侵檢測數(shù)據(jù)融合模型的功能結(jié)構(gòu)
入侵檢測數(shù)據(jù)融合模型一般包括8個功能組件,其功能結(jié)構(gòu)如圖3所示。
圖 3 數(shù)據(jù)融合模型功能結(jié)構(gòu)圖
(1)第0級處理:資源預(yù)處理。
主要功能包括:對數(shù)據(jù)融合模型的輸入進行預(yù)處理,初始輸入數(shù)據(jù)包括本地傳感器、分布式傳感器、人工輸入和來自數(shù)據(jù)庫的先驗信息;為適當(dāng)?shù)倪M程分配數(shù)據(jù),啟動數(shù)據(jù)融合進程。
(2)第1級處理:客體提煉。
融合傳感器信息,獲得實體個體的精練陳述。通常包括以下功能:
、贁(shù)據(jù)校準(zhǔn):將從多傳感器獲得的數(shù)據(jù)對照一個通用參考框架進行校準(zhǔn)。
、陉P(guān)聯(lián):對涉及某單個實體的多傳感器的檢測值進行整合、分類或關(guān)聯(lián)。
、鄹櫍喊ǘㄎ粩(shù)據(jù)的多檢測值的整合,用來估計實體的位置和速度。
④識別:整合與身份相關(guān)的數(shù)據(jù)來精練實體身份的判斷,或者對通過使用異類傳感器、空間分布傳感器和非傳感器應(yīng)用程序得到的信息融合結(jié)果進行分類。
(3)第2級處理:情景提煉。
產(chǎn)生一個實體間關(guān)系的與上下文有關(guān)的環(huán)境描述。它把焦點集中在關(guān)系信息上,以確定實體組的方法。它包括由客體聚合、事件和活動解釋、最終的與上下文有關(guān)的環(huán)境解釋。其結(jié)果表示敵對的行為模式。它能有效打一展并提高完整性、一致性以及由客體提煉生成的情景描述的抽象程度。
(4)第3級處理:威脅提煉。
分析當(dāng)前情景,并對其未來進行預(yù)測,以獲得對可能結(jié)局的推理。能識別潛在對手意圖和其它入侵處理機制的弱點。
(5)第4級處理:進程提煉。
這是一個旨在優(yōu)化融合系統(tǒng)整體性能的元進程,由4個關(guān)鍵功能構(gòu)成:
、傩阅茉u估:提供實時控制和長期性能信息。
、谶^程控制:識別改進多級融合產(chǎn)品所需的信息。
、圪Y源需求確定:確定特定資源需求并收集相關(guān)信息。
、苋蝿(wù)管理:分配和管理資源。
(6)數(shù)據(jù)庫管理系統(tǒng)。
提供對數(shù)據(jù)融合數(shù)據(jù)庫的訪問和管理,功能包括數(shù)據(jù)采集、存儲、存檔、壓縮、關(guān)聯(lián)查詢和數(shù)據(jù)保護等。
(7)人機界面。
向數(shù)據(jù)融合模型輸入數(shù)據(jù)和輸出融合結(jié)果的接口。
(8)數(shù)據(jù)庫。
存儲本地傳感器、分布式傳感器、人工輸入與相關(guān)先驗信息。
3、入侵檢測數(shù)據(jù)融合的架構(gòu)方法
數(shù)據(jù)融合的基本問題是在數(shù)據(jù)流的什么地方發(fā)生融合,換言之,就是架構(gòu)的選擇。本文給出的融合模型中入侵檢測數(shù)據(jù)的融合發(fā)生在第1層處理級,可采用3種不同的信息融合的架構(gòu)方法:數(shù)據(jù)級融合、特征級融合、決策級融合。一般說來,沒有所謂最好的架構(gòu)。對架構(gòu)的選擇依賴于需求和約束條件,比如可用的通信帶寬、傳感器特性等。對于每個應(yīng)用程序,架構(gòu)的優(yōu)勢和不足必須加以權(quán)衡。
(1)數(shù)據(jù)級融合。
指對原始傳感器數(shù)據(jù)的融合,如圖4所示。這種方法是最精準(zhǔn)的數(shù)據(jù)融合方法,但由于所有原始數(shù)據(jù)都必須從傳感器傳輸至中央處理設(shè)備,這種方法可能要求非常高的通信帶寬。如果原始數(shù)據(jù)都來自相同類型的傳感器,則該方法是可能實現(xiàn)的。
圖 4 數(shù)據(jù)級融合
(2)特征級融合。
對特征向量數(shù)據(jù)的融合,如圖5所示。在這個架構(gòu)中,從傳感器原始數(shù)據(jù)中提取特征向量,然后將特征向量傳輸至中央融合進程進行數(shù)據(jù)融合。由于特征向量是原始數(shù)據(jù)的代表,這種方法勢必導(dǎo)致數(shù)據(jù)丟失,但丟失數(shù)據(jù)不會對之后的檢測結(jié)果產(chǎn)生很大影響。該方法能夠?qū)崿F(xiàn)不同類型傳感器的數(shù)據(jù)融合,并減小對通信帶寬的依賴。
圖 5 特征級融合
(3)決策級融合。
該架構(gòu)中,傳感器不是輸出原始數(shù)據(jù)或特征向量,而是基于它自己的單源數(shù)據(jù)作出決策,作為融合過程的輸入,如圖6所示。決策可以是身份聲明,也可是位置或速率估計。和數(shù)據(jù)級融合相比,決策級融合會有大量的數(shù)據(jù)丟失,它可能產(chǎn)生一個局部優(yōu)化解決方案,而不是一個綜合的優(yōu)化解決方案,但該方法可以實現(xiàn)不同類型傳感器數(shù)據(jù)的融合。
圖 6 決策級融合
4、結(jié)束語
對分布式入侵檢測系統(tǒng)中來自不同檢測系統(tǒng)的輸出數(shù)據(jù)進行整合和智能推理,可生成一個多抽象級情景描述,最終得出入侵檢測評估結(jié)論。常見的數(shù)據(jù)融合形式包括數(shù)據(jù)級融合、特征級融合、決策級融合等3種,數(shù)據(jù)級融合適用于來自相同類型傳感器的數(shù)據(jù)融合,特征級融合和決策級融合適用于來自不同類型傳感器的數(shù)據(jù)融合。選擇何種融合方式依賴于需求和約束條件,如可用的通信帶寬、傳感器特性等。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:云計算入侵檢測數(shù)據(jù)融合技術(shù)
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/10839516204.html