[发明专利]云计算中一种基于免疫原理的入侵检测系统

说明书

技术领域

本发明涉及物联网、云计算环境下对虚拟机的监控技术，特别涉及基于免疫原理的入侵检测系统的设计。

背景技术

入侵检测是通过监控网络和系统的状态、行为以及使用情况来检测系统用户的越权使用以及系统外部的入侵者利用系统的安全缺陷对系统进行入侵的企图。入侵检测系统(Intrusion Detection System，简称IDS)作为防火墙后面的第二道防线，开始逐步受到人们重视。1980年，James Anderson在题为《Computersecurity Threat Monitoring and surveillance》的技术报告中，第一次详细阐述了入侵检测的概念。入侵检测技术是对计算机或计算机网络系统进行攻击的行为的识别及响应过程。入侵检测作为一种积极主动的安全防护技术，不间断的对计算机网络或计一算机系统中的若干关键点进行信息收集和信息分析，提供了对内部攻击、外部攻击和误操作等的实时保护，并实时做出安全响应，在网络系统受到危害之前拦截和响应入侵。因而，入侵检测系统的研究与实现非常紧迫和必要，其具有广阔的应用前景。

1987年，Dorothy Denning发表了入侵检测领域内的经典论文《入侵检测模型》(“An Intrusion Detection Model”)，文中对入侵检测问题进行了深入的讨论，这篇文献被认为是入侵检测领域内的开创性成果。根据数据来源的方式的不同，将入侵检测系统IDS(Intrusion Detection System，简称IDS)分为：基于主机的IDS(host-based IDS，简称HIDS)；基于网络的IDS(network-based IDS，简称NIDS)；分布式入侵检测系统IDS(distributed IDS，简称DIDS)[3]。NIDS部署在局域网中，对网络中的流量进行适时地分析(如Snort)；而HIDS则是分析系统的内部状态和日志，从而发现入侵行为(如OSSEC)；入侵防御系统(intrusion prevention system，简称IPS)则是在入侵检测的基础上实现动态的响应。目前，SRI/CSL、普度大学、加州大学戴维斯分校、洛斯阿拉莫斯国家实验室、哥伦比亚大学、新墨西哥大学等机构在这些方面的研究代表了当前最高水平。

随着并行计算、分布计算和网格计算的发展，作为全新计算模式的云计算，通过互联网动态可伸缩的以服务的方式提供虚拟化计算资源，它是继个人电脑、互联网之后电子信息技术领域又一次重大变革。微软、谷歌、IBM的RC2、亚马逊的EC2、Netsuite、NetApp、Adobe等商业巨头均加入了云计算的行列。而在云计算大规模应用的同时，安全问题也日益成为人们关注的焦点。

2007年，云计算在业界引起关注，并在国内外迅速发展。但是在云计算发展的初期，云计算安全没有引起业界足够的关注。直到最近云计算安全事故频发，云计算安全才引起人们的关注。过去的惨痛经验告诉人们，只有在设计初期就充分考虑安全因素，才能保证云计算的安全落地。目前，国内外云计算安全的研究都刚刚起步。

云计算安全联盟CSA(Cloud Security Alliance)先后发布了《云计算面临的严重威胁》、《云控制矩阵》、《关键领域的云计算安全指南》等研究报告，并发布了云计算安全定义。这些报告从技术、操作、数据等多方面强调了云计算安全的重要性、保证安全性应当考虑的问题以及相应的解决方案，对形成云计算安全行业规范具有重要影响。国际电信联盟ITU-TSG17研究组会议于2010年5月在瑞士的日内瓦召开，决定成立云计算专项工作组，旨在达成一个“全球性生态系统”，确保各个系统之间安全的交换信息。工作组将评估当前的各项标准，将来会推出新的标准。云计算安全是其中重要的研究课题，计划推出的标准包括《电信领域云计算安全指南》。

由于云计算环境中虚拟机的出现、以及安全域的模糊化，传统的IDS、IPS，防火墙直接部署在云计算环境中，不能起到有效的防护作用。

发明内容

本发明提供了云计算中一种基于免疫原理的入侵检测系统。

本发明结合入侵检测和云计算技术的结合点，将基于免疫原理的入侵检测引入到云计算领域中，设计入侵检测系统模型。该系统的方法包括：在被监控的虚拟主机上端使用日志收集代理和规则库，将采集的虚拟机日志信息传给管理器，并按照一定的算法定义异常事件的类型，并更新代理规则库，当符合定义的异常特征时，将通知响应代理进行实时响应。实现对云计算虚拟主机进行实时检测。

附图说明

图1是基于免疫原理的入侵检测模型框图；