[发明专利]一种云环境中基于警报关联的分布式入侵检测方法

说明书

本发明公开了一种云环境中基于警报关联的分布式入侵检测方法，包括如下步骤：入侵证据收集；分布式行为图模板建立；异常检测；行为图模板更新。本发明通过分簇的方式实现云环境中的分布式检测，基于警报关联的思想实现进一步入侵检测判断，有利于降低误报率。通过本方法，可以有效检测云环境中的僵尸机，从而保护云计算资源不被恶意利用。

技术领域

本发明涉及入侵检测领域，具体涉及一种云环境中的分布式入侵检测方法。

背景技术

近几年来，云计算正在成为信息技术产业发展的战略重点，全球的信息技术企业都在纷纷向云计算转型。然而云环境中的主机很容易受到攻击，因为用户会安装易受感染的操作系统或应用程序。此外，恶意用户可以利用云提供的大量计算资源将其感染为僵尸机，在云外执行攻击，这是对云计算资源的一种浪费。因此，云环境中的入侵检测尤为重要。

现有的入侵检测算法可以分为基于主机的入侵检测和基于网络的入侵检测。基于主机的入侵检测需要部署在每一台主机上，容易影响云计算用户的体验，而且不适合大规模的云计算环境；基于网络的入侵检测主要检测网络流量信息，存在误报率较高的缺点。

发明内容

本发明提供了一种云环境中基于警报关联的分布式入侵检测方法，包括：

一种云环境中基于警报关联的分布式入侵检测方法，包括如下步骤：

(1)入侵证据收集，以时间窗为单位，选择僵尸机的阶段性行为进行检测，得到检测结果作为异常检测的依据；

(2)分布式行为图模板建立，首先关联收集到的入侵证据形成证据集合，并以行为图的方式展现，然后根据行为图将云环境中的主机进行聚类，得到分布式行为图模板作为主机的行为规则；

(3)异常检测，计算主机的行为图和所述分布式行为图模板的相似度，并结合AdaBoost算法对主机的行为图进行分类，判断所述行为图是否发生异常；

(4)行为图模板更新，定期对主机的行为图重新聚类，便于适应多变的网络环境。

上述步骤(1)中所述阶段性行为包括：入站扫描、CC通信和出站扫描，检测结果分别作为入站扫描证据、CC通信证据和出站扫描证据。

上述CC通信行为利用BotDet算法进行检测，检测结果用如下公式表示：

Al_N＝((ip₁,Alert1),(ip₁,Alert3),...,(ip₂,Alert1)) (1)

其中，ip表示产生警报的主机IP地址，Alert1、Alert2、Alert3 Alert4对应表示BotDet产生的四种CC通信警报类型。

上述入站扫描行为和出站扫描行为的检测通过端口监听的方式进行，入站扫描行为的检测是基于端口扫描失败的次数设计的，定义入站扫描证据Al_in为端口扫描失败次数占总数的比例，公式如下：

其中，port_f表示时间窗内端口扫描的失败次数，port_all表示时间窗内所有端口扫描的次数。上述出站扫描阶段中，主机会同时对大量的IP进行扫描，因此出站扫描的目标IP趋向于均匀分布，针对主机在时间窗内产生的所有扫描，统计所有IP出现情况的平均不确定性，即单个IP不确定性的统计平均值，上述平均值也就是出站扫描证据Al_out，公式如下：