專利名稱:云計算中一種基于神經(jīng)網(wǎng)絡的異常檢測系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及物聯(lián)網(wǎng)、云計算環(huán)境下對虛擬機的監(jiān)控技術,特別涉及基于神經(jīng)網(wǎng)絡的異常檢測系統(tǒng)的設計。
背景技術:
入侵檢測是通過監(jiān)控網(wǎng)絡和系統(tǒng)的狀態(tài)、行為以及使用情況來檢測系統(tǒng)用戶的越權使用以及系統(tǒng)外部的入侵者利用系統(tǒng)的安全缺陷對系統(tǒng)進行入侵的企圖。入侵檢測系統(tǒng)(Intrusion Detection System,簡稱IDS)作為防火墻后面的第二道防線,開始逐步受到人們重視。1980 年,James Anderson 在題為《Computersecurity Threat Monitoring andsurveillance》的技術報告中,第一次詳細闡述了入侵檢測的概念。入侵檢測技術是對計算機或計算機網(wǎng)絡系統(tǒng)進行攻擊的行為的識別及響應過程。入侵檢測作為一種積極主動的安全防護技術,不間斷的對計算機網(wǎng)絡或計一算機系統(tǒng)中的若干關鍵點進行信息收集和信息分析,提供了對內(nèi)部攻擊、外部攻擊和誤操作等的實時保護,并實時做出安全響應,在網(wǎng)絡系統(tǒng)受到危害之前攔截和響應入侵。因而,入侵檢測系統(tǒng)的研究與實現(xiàn)非常緊迫和必要,其具有廣闊的應用前景。1987年,Dorothy Denning發(fā)表了入侵檢測領域內(nèi)的經(jīng)典論文《入侵檢測模型》(“An Intrusion Detection Model ”),文中對入侵檢測問題進行了深入的討論,這篇文獻被認為是入侵檢測領域內(nèi)的開創(chuàng)性成果。根據(jù)數(shù)據(jù)來源的方式的不同,將入侵檢測系統(tǒng) IDS (Intrusion Detection System,簡稱 IDS)分為基于主機的 IDS (host-basedIDS,簡稱HIDS);基于網(wǎng)絡的IDS(network-based IDS,簡稱NIDS);分布式入侵檢測系統(tǒng)IDS (distributed IDS,簡稱DI`DS) [3]。NIDS部署在局域網(wǎng)中,對網(wǎng)絡中的流量進行適時地分析(如Snort);而!1103則是分`析系統(tǒng)的內(nèi)部狀態(tài)和日志,從而發(fā)現(xiàn)入侵行為(如0SSEC);入侵防御系統(tǒng)(intrusion prevention system,簡稱IPS)則是在入侵檢測的基礎上實現(xiàn)動態(tài)的響應。目前,SRI/CSL、普度大學、加州大學戴維斯分校、洛斯阿拉莫斯國家實驗室、哥倫比亞大學、新墨西哥大學等機構在這些方面的研究代表了當前最高水平。隨著并行計算、分布計算和網(wǎng)格計算的發(fā)展,作為全新計算模式的云計算,通過互聯(lián)網(wǎng)動態(tài)可伸縮的以服務的方式提供虛擬化計算資源,它是繼個人電腦、互聯(lián)網(wǎng)之后電子信息技術領域又一次重大變革。微軟、谷歌、IBM的RC2、亞馬遜的EC2、Netsuite, NetApp,Adobe等商業(yè)巨頭均加入了云計算的行列。而在云計算大規(guī)模應用的同時,安全問題也日益成為人們關注的焦點。2007年,云計算在業(yè)界引起關注,并在國內(nèi)外迅速發(fā)展。但是在云計算發(fā)展的初期,云計算安全沒有引起業(yè)界足夠的關注。直到最近云計算安全事故頻發(fā),云計算安全才引起人們的關注。過去的慘痛經(jīng)驗告訴人們,只有在設計初期就充分考慮安全因素,才能保證云計算的安全落地。目前,國內(nèi)外云計算安全的研究都剛剛起步。云計算安全聯(lián)盟CSA(Cloud Security Alliance)先后發(fā)布了《云計算面臨的嚴重威脅》、《云控制矩陣》、《關鍵領域的云計算安全指南》等研究報告,并發(fā)布了云計算安全定義。這些報告從技術、操作、數(shù)據(jù)等多方面強調(diào)了云計算安全的重要性、保證安全性應當考慮的問題以及相應的解決方案,對形成云計算安全行業(yè)規(guī)范具有重要影響。國際電信聯(lián)盟ITU-TSG17研究組會議于2010年5月在瑞士的日內(nèi)瓦召開,決定成立云計算專項工作組,旨在達成一個“全球性生態(tài)系統(tǒng)”,確保各個系統(tǒng)之間安全的交換信息。工作組將評估當前的各項標準,將來會推出新的標準。云計算安全是其中重要的研究課題,計劃推出的標準包括《電信領域云計算安全指南》。由于云計算環(huán)境中虛擬機的出現(xiàn)、以及安全域的模糊化,傳統(tǒng)的IDS、IPS,防火墻直接部署在云計算環(huán)境中,不能起到有效的防護作用。
發(fā)明內(nèi)容
本發(fā)明提供了云計算中一種基于神經(jīng)網(wǎng)絡的異常檢測系統(tǒng)。本發(fā)明結 合入侵檢測和云計算技術的結合點,將基于神經(jīng)網(wǎng)絡的異常檢測方法引入到云計算領域中,設計異常檢測系統(tǒng)模型。該系統(tǒng)的方法包括在被監(jiān)控的虛擬主機上端使用日志收集代理,將采集的虛擬機日志信息傳給管理器,并按照一定的算法定義異常事件的類型,當符合定義的異常特征時,將通知響應單元進行實時響應。實現(xiàn)對云計算虛擬主機進行實時地異常檢測。
圖1是基于神經(jīng)網(wǎng)絡的異常檢測模型框圖;圖2是預處理模塊流程圖;圖3是智能訓練工作模式圖;圖4是智能檢測工作模式圖。
具體實施例方式針對物聯(lián)網(wǎng)和云計算環(huán)境中的虛擬機安全問題,本發(fā)明設計了一種基于神經(jīng)網(wǎng)絡的異常檢測系統(tǒng)。本發(fā)明的系統(tǒng)模型圖如圖1所示。本發(fā)明的主要模塊包括虛擬機中采集模塊、基于神經(jīng)網(wǎng)絡的異常檢測分析模塊和響應單元模塊。這些模塊自身的作用以及各個模塊之間的相互作用如下所述虛擬機上設計數(shù)據(jù)采集代理,采集代理將采集到的虛擬主機日志發(fā)送給基于神經(jīng)網(wǎng)絡的異常檢測分析模塊。由基于神經(jīng)網(wǎng)絡的異常檢測分析模塊負責采用神經(jīng)網(wǎng)絡智能算法進行異常檢測,生成規(guī)則庫對虛擬主機中的規(guī)則庫進行更新。虛擬主機將采集到的數(shù)據(jù)與規(guī)則庫進行匹配,實施異常檢測過程。本發(fā)明的系統(tǒng)工作流圖如圖2所示。本發(fā)明的云計算中一種基于神經(jīng)網(wǎng)絡的異常檢測檢測系統(tǒng)模型中預處理模塊的工作的具體步驟如下所述步驟201、采集器采集到的虛擬機日志傳給檢測器;步驟202、滿足結束條件判斷,是,則轉向步驟206 ;步驟203、數(shù)值滿足于0-1直接的實數(shù)判斷,是則轉向步驟204 ;步驟204、輸出預處理結果,轉步驟202 ;
步驟205、預處理,轉步驟204 ;步驟206、結束。本發(fā)明的智能算法模塊分為兩個部分,一部分是進化神經(jīng)網(wǎng)絡訓練模式,對特征數(shù)據(jù)進行訓練形成規(guī)則庫。具體的工作模式如圖3所示。從第一層到倒數(shù)第二層的激活函數(shù),即 f1 (net1) · · · f1 (net1) · · ·嚴(net” 有
權利要求
1.云計算中一種基于神經(jīng)網(wǎng)絡的異常檢測系統(tǒng),其特征在于,該方法包括 實現(xiàn)通過在虛擬主機上設置采集代理模塊,采集代理將采集到的日志傳給基于神經(jīng)網(wǎng)絡的異常檢測分析器,分析器采用否定選擇算法和動態(tài)克隆選擇算法生成規(guī)則庫,并將規(guī)則庫傳給虛擬主機,對虛擬主機采集到的數(shù)據(jù)進行檢測。出現(xiàn)異常產(chǎn)生告警響應。
全文摘要
本發(fā)明公開了云計算中一種基于神經(jīng)網(wǎng)絡的異常檢測系統(tǒng)。該系統(tǒng)的方法包括在被監(jiān)控的虛擬主機上端使用日志收集代理,將采集的虛擬機日志信息傳給管理器,并按照一定的神經(jīng)網(wǎng)絡算法定義異常事件的類型,并更新代理規(guī)則庫,當符合定義的異常特征時,將通知響應單元進行實時響應。
文檔編號H04L29/08GK103036745SQ20121055974
公開日2013年4月10日 申請日期2012年12月21日 優(yōu)先權日2012年12月21日
發(fā)明者張玲, 辛陽, 謝康, 李偉, 李星 申請人:北京郵電大學