[发明专利]一种云计算平台中基于混合模型的行为检测系统与方法

说明书

技术领域

本发明属于云计算安全领域，具体是一种云计算平台中基于混合模型的行为检测系统与方法。

背景技术

云计算模型通过互联网可以提供网络，服务器，存储，应用软件等动态易扩展的虚拟化资源。

由于网络中可能存在恶意用户，云计算平台也面临安全问题。例如，合法的云用户在进入云系统之后希望获得自己权限以外的一些应用权限，从而可以从事一些破坏性的行为。

对于云系统中可能存在的入侵威胁也需要相应的入侵检测系统（IDS）进行解决。行为检测通过对用户行为的分析入手，对用户行为进行评估，进而可以采取相应措施，消除不良用户对云端服务器的恶意攻击行为，提升云环境的安全性。常见的检测方式主要包括：基于指纹、基于协议状态信息与基于非正常特征这三种方式。无论哪一种方法，都通过大量的信息收集，制定相应的决定策略。目前常见的针对云平台的用户行为检测方案通常都采用比较单一的架构进行。

但是，云平台系统与普通的网络应用平台系统相比，有其独特的特异性。云系统的复杂性决定了部署在云系统不同位置的行为检测模块所面对的问题也会相应地有非常大的差异。因此，在云系统不同位置所部属的不同的检测算法可以更好地提升整个系统的性能，也可以跟大限度的挖掘出不同算法的优势。

发明内容

本发明所要解决的技术问题是设计一种云平台中的行为检测系统，基本思路是将整个云平台的防御由多个种类不同的行为检测系统来负责，并统一进行管理调配，以解决上述背景技术中提出的问题。

为实现上述目的，本发明提供如下技术方案：

一种云计算平台中基于混合模型的行为检测系统与方法，包括整体管理模块、骨干网健康IDS管理模块、关键节点的IDS模块、主机节点间网络IDS模块和预留服务IDS管理接口，所述整体管理模块分别连接骨干网健康IDS管理模块、关键节点的IDS模块、主机节点间网络IDS模块和预留服务IDS管理接口。

作为本发明的优选方案：所述骨干网健康IDS管理模块、关键节点的IDS模块、主机节点间网络IDS模块和预留服务IDS管理接口都可以独立进行工作，同时又能够由整体管理模块来协调其他模块工作。

与现有技术相比，本发明的有益效果是：本发明可以在云系统不同位置所部属的不同的检测算法，每个模块既可以独立发挥检测作用，挖掘出不同算法的优势，又可以通过总体管理模块进行汇总，对多源信息进行综合判定，挖掘出异常行为，从而提升云平台的安全性。

附图说明

图1为云计算平台中基于混合模型的行为检测系统与方法的结构框图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

请参阅图1，一种云计算平台中基于混合模型的行为检测系统与方法，包括整体管理模块、骨干网健康IDS管理模块、关键节点的IDS模块、主机节点间网络IDS模块和预留服务IDS管理接口，所述整体管理模块分别连接骨干网健康IDS管理模块、关键节点的IDS模块、主机节点间网络IDS模块和预留服务IDS管理接口。

骨干网健康IDS管理模块、关键节点的IDS模块、主机节点间网络IDS模块和预留服务IDS管理接口都可以独立进行工作，同时又能够由整体管理模块来协调其他模块工作。

1、在云计算平台的骨干网络、关键节点、主机间网络等需要进行行为检测的地方，添加检测模块，检测模块与整体管理模块相连，检测模块定时和整体管理模块进行握手交互。

2、各个检测模块部署不同的检测方法，并进入正常工作状态，开始定期收集该处指定的数据包，根据测试标准，对数据包的特征进行分析。如果某个检测模块的判定出存在异常行为，则告警。

3、各个检测模块定期将获取的特征数据，通过网络传输协议，发送给整体管理模块；

4、整体管理模块，根据接收到的各个其他模块的数据，汇总判定是否存在异常特征规律，如存在，则告警。

本发明的工作原理是：整体管理模块：主要负责整个行为检测系统的调度、管理下面子模块的作用，并且与用户的交互也是该模块的一个最重要功能。这个模块中将集成给客户报警的功能部分，而如果出现的入侵类型只需要自动的对于云系统现有安全策略进行修改就可以完成，那么整体模块之下的子模块将完成相应的工作。