本發(fā)明涉及云計(jì)算平臺(tái)與計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域，具體涉及一種基于私有云平臺(tái)的集中式入侵檢測(cè)系統(tǒng)。

背景技術(shù)：

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，云計(jì)算作為一種新型的、可動(dòng)態(tài)取用的服務(wù)受到越來(lái)越多的關(guān)注。然而安全問(wèn)題卻成為制約云計(jì)算發(fā)展最重要的一個(gè)因素。云安全聯(lián)盟(csa)列舉了當(dāng)前云環(huán)境面臨的九大威脅。這些種類繁多的安全威脅給用戶造成了很大的困擾，甚至有時(shí)會(huì)帶來(lái)嚴(yán)重的損失。目前主流的安全技術(shù)手段主要有：認(rèn)證和訪問(wèn)控制、數(shù)據(jù)加密、數(shù)字簽名、防火墻、入侵檢測(cè)等。其中入侵檢測(cè)系統(tǒng)相較于其他方法的優(yōu)點(diǎn)是，它是主動(dòng)防護(hù)系統(tǒng)，主動(dòng)檢測(cè)入侵行為，及時(shí)進(jìn)行報(bào)警和防范，從而形成一道強(qiáng)有力的系統(tǒng)保護(hù)屏障，降低系統(tǒng)可能遭受的風(fēng)險(xiǎn)。入侵檢測(cè)彌補(bǔ)了其他被動(dòng)式網(wǎng)絡(luò)防護(hù)機(jī)制的不足，大大地提升了系統(tǒng)的安全水平。由于云平臺(tái)的復(fù)雜性，單一的安全手段并不能滿足需求，所以通常都是將多種安全技術(shù)結(jié)合使用，以滿足不同的安全需求。入侵檢測(cè)作為防火墻之后的第二道屏障，近年來(lái)已經(jīng)成為研究的熱點(diǎn)。

在傳統(tǒng)的入侵檢測(cè)系統(tǒng)的基礎(chǔ)上，基于云環(huán)境下的入侵檢測(cè)系統(tǒng)也迅速發(fā)展。目前在云環(huán)境下入侵檢測(cè)系統(tǒng)主要可以分為四類：基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)(nids)、基于主機(jī)的入侵檢測(cè)系統(tǒng)(hids)、分布式入侵檢測(cè)系統(tǒng)(dids)、基于hypervisor的入侵檢測(cè)系統(tǒng)。nids主要捕獲整個(gè)網(wǎng)絡(luò)的流量，然后分析出攻擊行為和事件比如拒絕服務(wù)攻擊（dos）、端口掃描和root權(quán)限獲取等。nids利用異?；蚝灻臋z測(cè)方法識(shí)別入侵，與傳統(tǒng)方法一樣，無(wú)法在加密的環(huán)境下部署。hids從特定主機(jī)收集系統(tǒng)信息，檢測(cè)操作系統(tǒng)、事件的安全記錄。在云環(huán)境下可以部署在hypervisor、虛擬機(jī)(vm)和主機(jī)中，分析系統(tǒng)日志、用戶登錄信息和訪問(wèn)控制等入侵行為。dids部署在分布式的網(wǎng)絡(luò)環(huán)境中，包含多種入侵檢測(cè)系統(tǒng)（如nids、hids），各個(gè)組成部分由中心服務(wù)器管理并可以相互通信。每個(gè)獨(dú)立的ids包含檢測(cè)組件和相關(guān)管理器兩個(gè)部分?；趆ypervisor的入侵檢測(cè)系統(tǒng)部署在為虛擬機(jī)提供運(yùn)行環(huán)境的hypervisor層。監(jiān)控和分析不同層級(jí)之間的信息如虛擬機(jī)和hypervisor之間的通信、虛擬網(wǎng)絡(luò)中各虛擬機(jī)之間的通信。

當(dāng)前，在云環(huán)境下對(duì)入侵檢測(cè)的研究越來(lái)越多，研究也越來(lái)越深入，但目前絕大部分工作都是對(duì)云環(huán)境下入侵檢測(cè)算法的性能以及檢測(cè)率方面的改進(jìn)，然而在影響入侵檢測(cè)系統(tǒng)實(shí)用性的系統(tǒng)資源占用方面的研究還有待加強(qiáng)。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明的目的在于克服現(xiàn)有技術(shù)存在的問(wèn)題，提供一種基于私有云平臺(tái)的集中式入侵檢測(cè)系統(tǒng)。

為實(shí)現(xiàn)上述技術(shù)目的，達(dá)到上述技術(shù)效果，本發(fā)明通過(guò)以下技術(shù)方案實(shí)現(xiàn)：

一種基于私有云平臺(tái)的集中式入侵檢測(cè)系統(tǒng)，該方法包括以下步驟：

步驟1）搭建私有云平臺(tái)，并創(chuàng)建需要的虛擬主機(jī)，在每臺(tái)虛擬主機(jī)上部署logstash及elasticsearch集群，配置好logstash的配置文件，收集每臺(tái)虛擬主機(jī)的系統(tǒng)日志，并將日志按自定義的格式寫(xiě)入到elasticsearch集群，集中式存儲(chǔ)、管理；

步驟2）對(duì)日志數(shù)據(jù)進(jìn)行預(yù)處理，將剛收集到的日志數(shù)據(jù)通過(guò)過(guò)濾規(guī)則進(jìn)行過(guò)濾，過(guò)濾掉普通用戶的正常行為，為后續(xù)處理減少數(shù)據(jù)的輸入；

步驟3）將預(yù)處理后的日志數(shù)據(jù)進(jìn)行算法分析，根據(jù)預(yù)先訓(xùn)練出來(lái)的決策樹(shù)模型，區(qū)分出異常行為；

步驟4）根據(jù)所述步驟3）分析出來(lái)的結(jié)果，向各臺(tái)虛擬主機(jī)反饋，對(duì)于異常的行為，采取報(bào)警、殺掉進(jìn)程操作。

進(jìn)一步的，所述步驟1）中，在云環(huán)境下收集各臺(tái)虛擬主機(jī)的日志信息的具體步驟為：

步驟1.1）在各臺(tái)需要監(jiān)控的虛擬主機(jī)中部署logstash系統(tǒng)，并各自定義日志收集的配置文件，同時(shí)自定義日志存儲(chǔ)格式；

步驟1.2）在各臺(tái)需要監(jiān)控的虛擬主機(jī)中部署elasticsearch，搭建成一個(gè)集群，同時(shí)設(shè)定一臺(tái)虛擬主機(jī)為主節(jié)點(diǎn)，將步驟1）中所收集的數(shù)據(jù)寫(xiě)入elasticsearch集群，此時(shí)即可從主節(jié)點(diǎn)讀取到各臺(tái)虛擬主機(jī)的日志信息，將分散在各臺(tái)虛擬主機(jī)上的日志信息集中到一起，方便后續(xù)統(tǒng)一處理。

進(jìn)一步的，所述步驟2）中，對(duì)集中收集的日志數(shù)據(jù)進(jìn)行預(yù)處理時(shí)的具體步驟為：

步驟2.1）首先對(duì)收集到的日志數(shù)據(jù)根據(jù)用戶標(biāo)簽分類，區(qū)分為root用戶日志與普通用戶日志，并取出普通用戶的日志；

步驟2.2）將所述步驟2.1）中取出的普通用戶的日志根據(jù)其結(jié)果添加標(biāo)簽，成功的結(jié)果標(biāo)記為1，不成功的標(biāo)記為0；

步驟2.3）根據(jù)所述步驟2.2）中打好標(biāo)簽的日志數(shù)據(jù)，過(guò)濾掉標(biāo)簽為1的成功的結(jié)果，保留標(biāo)簽為0的不成功的結(jié)果。

進(jìn)一步的，所述步驟3）中，預(yù)處理后的日志數(shù)據(jù)采用決策樹(shù)c5.0算法進(jìn)行分析，根據(jù)不同的日志數(shù)據(jù)來(lái)源，訓(xùn)練產(chǎn)生對(duì)應(yīng)的決策樹(shù)模型，然后根據(jù)對(duì)應(yīng)規(guī)則，找到連接終端節(jié)點(diǎn)的唯一的路徑。

進(jìn)一步的，該入侵檢測(cè)系統(tǒng)設(shè)置在elasticsearch集群的主節(jié)點(diǎn)上，通過(guò)elasticsearch集群收集、存儲(chǔ)各臺(tái)虛擬主機(jī)的日志信息，并在主節(jié)點(diǎn)上集中式進(jìn)行異常檢測(cè)。

進(jìn)一步的，所述日志信息至少包括用戶操作日志，收集用戶操作日志時(shí)，采用logstash的input插件，收集用戶操作日志，然后采用filter過(guò)濾插件自定義輸出格式，最后通過(guò)output插件將日志數(shù)據(jù)存儲(chǔ)到elasticsearch集群上。

本發(fā)明的有益效果是:

本發(fā)明將私有云平臺(tái)下各臺(tái)主機(jī)的日志數(shù)據(jù)通過(guò)logstash工具收集，并集中存儲(chǔ)在elasticsearch集群上，這樣就不需要在每臺(tái)虛擬主機(jī)上的部署入侵檢測(cè)系統(tǒng)，只需要在主節(jié)點(diǎn)上部署入侵檢測(cè)系統(tǒng)，集中式處理每臺(tái)主機(jī)的日志信息，極大地減少的每臺(tái)主機(jī)的資源消耗，提高了系統(tǒng)資源使用率。

附圖說(shuō)明

圖1是本發(fā)明基于私有云平臺(tái)的集中式入侵檢測(cè)系統(tǒng)架構(gòu)圖；

圖2是本發(fā)明數(shù)據(jù)收集處理流程圖；

圖3是本發(fā)明模塊協(xié)作流程圖。

具體實(shí)施方式

下面將參考附圖并結(jié)合實(shí)施例，來(lái)詳細(xì)說(shuō)明本發(fā)明。

參照?qǐng)D1所示，一種基于私有云平臺(tái)的集中式入侵檢測(cè)系統(tǒng)架構(gòu)，參照?qǐng)D3所示，該架構(gòu)由四個(gè)核心模塊組成，分別是數(shù)據(jù)收集模塊、數(shù)據(jù)預(yù)處理模塊、異常檢測(cè)模塊和異常報(bào)警模塊，各模塊的具體運(yùn)作方式包括以下部分：

1）數(shù)據(jù)收集

首先搭建好私有云平臺(tái)，并創(chuàng)建需要的虛擬主機(jī)，并在每臺(tái)虛擬主機(jī)上部署logstash及elasticsearch集群，配置好logstash的配置文件，收集每臺(tái)主機(jī)的系統(tǒng)日志，并將日志按自定義的格式寫(xiě)入到elasticsearch集群，將入侵檢測(cè)系統(tǒng)設(shè)置在elasticsearch集群的主節(jié)點(diǎn)上，通過(guò)elasticsearch集群收集、存儲(chǔ)各臺(tái)主機(jī)的日志信息，并在主節(jié)點(diǎn)上集中式進(jìn)行異常檢測(cè)；比如收集用戶操作日志，參照?qǐng)D2，首先利用logstash的input插件，收集用戶操作日志，然后利用filter過(guò)濾插件自定義輸出格式，如：主機(jī)名、ip、用戶名、操作、結(jié)果等信息，最后通過(guò)output插件將日志數(shù)據(jù)存儲(chǔ)到elasticsearch集群上；

2）數(shù)據(jù)預(yù)處理，減少輸入數(shù)據(jù)

將步驟1收集到的數(shù)據(jù)進(jìn)行預(yù)處理，由于云環(huán)境下，多臺(tái)主機(jī)的日志信息數(shù)量龐大，直接處理會(huì)占用大量的資源和時(shí)間，效率低下，所以在異常檢測(cè)之前首先進(jìn)行數(shù)據(jù)預(yù)處理；系統(tǒng)操作日志主要分為兩大類：普通用戶日志和root用戶日志，root用戶擁有所有權(quán)限，因此相應(yīng)地它可能產(chǎn)生的威脅也相應(yīng)較大，同樣的普通用戶擁有的權(quán)限較小，它對(duì)系統(tǒng)的威脅也相對(duì)較小，普通用戶權(quán)限內(nèi)的成功的操作對(duì)系統(tǒng)不會(huì)造成破壞，并不會(huì)對(duì)系統(tǒng)產(chǎn)生威脅；但這些操作會(huì)產(chǎn)生大量無(wú)用的系統(tǒng)日志，因此需要將這些數(shù)據(jù)過(guò)濾，首先根據(jù)自定義的用戶標(biāo)簽設(shè)定過(guò)濾規(guī)則，過(guò)濾出普通用戶的操作日志，再根據(jù)日志的結(jié)果添加標(biāo)簽，成功的日志標(biāo)記為1，不成功的日志標(biāo)記為0，然后根據(jù)結(jié)果標(biāo)簽過(guò)濾掉普通用戶的正常行為，為后續(xù)處理減少數(shù)據(jù)的輸入，提升系統(tǒng)的處理速度和性能；

3）進(jìn)行異常檢測(cè)

將步驟2）預(yù)處理后的數(shù)據(jù)通過(guò)決策樹(shù)c5.0算法進(jìn)行異常檢測(cè)，首先根據(jù)不同的日志來(lái)源，訓(xùn)練產(chǎn)生對(duì)應(yīng)的決策樹(shù)模型，然后根據(jù)對(duì)應(yīng)規(guī)則，即結(jié)合日志文件、過(guò)濾規(guī)則和數(shù)據(jù)庫(kù)，找到連接終端節(jié)點(diǎn)的唯一的路徑，最后對(duì)步驟2）收集的日志數(shù)據(jù)進(jìn)行預(yù)測(cè)分析，檢測(cè)出異常行為。判斷每一條數(shù)據(jù)是否為異常數(shù)據(jù)，如果是添加標(biāo)簽記為0，否則記為1；

4）報(bào)警反饋結(jié)果

根據(jù)步驟3）分析出來(lái)的結(jié)果，根據(jù)主機(jī)標(biāo)簽向各臺(tái)主機(jī)反饋，如檢測(cè)出異常行為，則采取報(bào)警、殺掉進(jìn)程等反饋操作，如未檢測(cè)出異常行為，則不返回結(jié)果。

以上所述僅為本發(fā)明的優(yōu)選實(shí)施例而已，并不用于限制本發(fā)明，對(duì)于本領(lǐng)域的技術(shù)人員來(lái)說(shuō)，本發(fā)明可以有各種更改和變化。凡在本發(fā)明的精神和原則之內(nèi)，所作的任何修改、等同替換、改進(jìn)等，均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。