云计算入侵检测数据融合技术
来源:中国云计算 更新时间:2014-09-10
 
入侵检侧是最常用的一种网络安全技术,云计算环境对入侵检侧系统提出了新的要求。针对分布式入侵检侧系统中来自不同类型入侵检侧系统的数据需要融合处理的问题,本文探讨入侵检侧数据融合模型的设计与实现问题,提出通过对不同类型的入侵检侧数据进行融合后再经过多级提炼,产生多抽象级情景描述,最终能产生更为准确的入侵检侧评估结果。
  云计算是一种利用互联网实现随时随地、按需、便捷地访问共享资源池(如计算设施、存储设备、应用程序等)的计算模式。这种模式中,用户所需的应用程序并不运行在用户的个人电脑、手机等终端设备上,而是运行在互联网上大规模的服务器集群中;用户所处理的数据也并不存储在本地,而是保存在互联网上的数据中心里。由于云服务资源存放位置的不确定性,导致其物理的边界不再存在,这将给云计算环境下的信息安全问题带来新的挑战。
  发生在云环境中最常见的入侵包括:一个系统的未授权用户利用一个合法的用户账号获准通过系统的访问控制;合法用户访问未被授权的数据、程序、资源,或虽然被授权但是滥用了权限;暗中的用户夺取了系统的管理控制权,并利用这一控制权逃避审计和访问控制,或抑制审计记录的收集。入侵者的目标是获得访问系统的权限或打一大对系统的访问权限范围。一般说来,这需要入侵者获得本应已被保护的信息。某些情况下,这些信息以用户密码的形式存在。在获知其它用户的密码后,入侵者就能登录系统并按合法用户的权限执行操作。一旦发生非法入侵,一个系统的第二道防线就是入侵检测。根据服务类型、实现机制以及攻击类型的不同,入侵检测方法分为统计异常检测、基于规则的检测两种,前者试图定义正常或预期的行为,后者则试图定义正确的行为。目前针对入侵检测系统(IDS)的研究主要集中于单系统、单机设备,然而云环境下往往需要保护分布式的企业集团。虽然通过在每台主机上使用单机IDS来提高防御能力也是可能的,但通过网络中IDS间的协调与合作,能获得一种更有效的防御手段,分布式入侵检测系统将是云计算的必然选择。
  针对分布式入侵检测系统中来自不同类型入侵检测系统的数据需要融合处理的问题,本文探讨了数据融合模型的设计与实现问题,提出通过对不同类型的检测数据进行融合后再经过多级提炼,产生多抽象级情景描述,最终给出较为准确的入侵检测评估结果。
  1、入侵检测数据融合模型的设计
  分布式入侵检测系统中的多传感器数据融合基于来自多个传感器的数据的整合能够提高结论信息质量的基本原理。数据融合能将不同类型入侵检测系统的输出进行整合和智能推理,通过对整合数据的推理,生成一个多抽象级情景描述,最终得出入侵检测评估结论。
  入侵检测数据的融合可分5级,其数据流程如图1所示。
 130547279225478455_new.jpg (470×436)
 
图 1 IDS数据融合模型数据流示意图
 
  (1)第0级负责传感器数据的收集与提炼。
  (2)第1级负责传感器数据的融合,融合结果生成客体中心。客体中心包括攻击和攻击者两类客体,这两类客体之间有着紧密的联系,总会至少有一名攻击者卷人一次攻击行为中,而且一个攻击者总会至少卷人一次攻击行为中。
  (3)客体中心通过第2级和第3级的进一步分析,形成情景中心,通过考虑攻击者的能力和意图以及被监控系统的漏洞,分析得出当前情景受到的影n向。
  (4)第4级是资源管理,识别改进多级融合产品所需的信息。
  对于基于该模型设计的分布式入侵检测系统,在推理的最低级,能指出入侵行为的存在;而在推理的最高级,能对当前情景的威胁进行分析。该模型产生的多抽象级情景描述如图2所示。
 130547280061236257_new.jpg (500×530)
图 2 多抽象级情景描述示意图
2、入侵检测数据融合模型的功能结构
  入侵检测数据融合模型一般包括8个功能组件,其功能结构如图3所示。
 130547280524002726_new.jpg (530×305)
图 3 数据融合模型功能结构图
  (1)第0级处理:资源预处理。
  主要功能包括:对数据融合模型的输入进行预处理,初始输入数据包括本地传感器、分布式传感器、人工输入和来自数据库的先验信息;为适当的进程分配数据,启动数据融合进程。
  (2)第1级处理:客体提炼。
  融合传感器信息,获得实体个体的精练陈述。通常包括以下功能:
  ①数据校准:将从多传感器获得的数据对照一个通用参考框架进行校准。
  ②关联:对涉及某单个实体的多传感器的检测值进行整合、分类或关联。
  ③跟踪:包括定位数据的多检测值的整合,用来估计实体的位置和速度。
  ④识别:整合与身份相关的数据来精练实体身份的判断,或者对通过使用异类传感器、空间分布传感器和非传感器应用程序得到的信息融合结果进行分类。
  (3)第2级处理:情景提炼。
  产生一个实体间关系的与上下文有关的环境描述。它把焦点集中在关系信息上,以确定实体组的方法。它包括由客体聚合、事件和活动解释、最终的与上下文有关的环境解释。其结果表示敌对的行为模式。它能有效打一展并提高完整性、一致性以及由客体提炼生成的情景描述的抽象程度。
  (4)第3级处理:威胁提炼。
  分析当前情景,并对其未来进行预测,以获得对可能结局的推理。能识别潜在对手意图和其它入侵处理机制的弱点。
  (5)第4级处理:进程提炼。
  这是一个旨在优化融合系统整体性能的元进程,由4个关键功能构成:
  ①性能评估:提供实时控制和长期性能信息。
  ②过程控制:识别改进多级融合产品所需的信息。
  ③资源需求确定:确定特定资源需求并收集相关信息。
  ④任务管理:分配和管理资源。
  (6)数据库管理系统。
  提供对数据融合数据库的访问和管理,功能包括数据采集、存储、存档、压缩、关联查询和数据保护等。
  (7)人机界面。
  向数据融合模型输入数据和输出融合结果的接口。
  (8)数据库。
  存储本地传感器、分布式传感器、人工输入与相关先验信息。
3、入侵检测数据融合的架构方法
  数据融合的基本问题是在数据流的什么地方发生融合,换言之,就是架构的选择。本文给出的融合模型中入侵检测数据的融合发生在第1层处理级,可采用3种不同的信息融合的架构方法:数据级融合、特征级融合、决策级融合。一般说来,没有所谓最好的架构。对架构的选择依赖于需求和约束条件,比如可用的通信带宽、传感器特性等。对于每个应用程序,架构的优势和不足必须加以权衡。
  (1)数据级融合。
  指对原始传感器数据的融合,如图4所示。这种方法是最精准的数据融合方法,但由于所有原始数据都必须从传感器传输至中央处理设备,这种方法可能要求非常高的通信带宽。如果原始数据都来自相同类型的传感器,则该方法是可能实现的。
 130547281026641475_new.jpg (465×280)
图 4 数据级融合
  (2)特征级融合。
  对特征向量数据的融合,如图5所示。在这个架构中,从传感器原始数据中提取特征向量,然后将特征向量传输至中央融合进程进行数据融合。由于特征向量是原始数据的代表,这种方法势必导致数据丢失,但丢失数据不会对之后的检测结果产生很大影响。该方法能够实现不同类型传感器的数据融合,并减小对通信带宽的依赖。
 130547281354320218_new.jpg (410×205)
图 5 特征级融合
  (3)决策级融合。
  该架构中,传感器不是输出原始数据或特征向量,而是基于它自己的单源数据作出决策,作为融合过程的输入,如图6所示。决策可以是身份声明,也可是位置或速率估计。和数据级融合相比,决策级融合会有大量的数据丢失,它可能产生一个局部优化解决方案,而不是一个综合的优化解决方案,但该方法可以实现不同类型传感器数据的融合。
 130547281651997244_new.jpg (515×235)
图 6 决策级融合
  4、结束语
  对分布式入侵检测系统中来自不同检测系统的输出数据进行整合和智能推理,可生成一个多抽象级情景描述,最终得出入侵检测评估结论。常见的数据融合形式包括数据级融合、特征级融合、决策级融合等3种,数据级融合适用于来自相同类型传感器的数据融合,特征级融合和决策级融合适用于来自不同类型传感器的数据融合。选择何种融合方式依赖于需求和约束条件,如可用的通信带宽、传感器特性等。