導(dǎo)語：云計算環(huán)境入侵檢測研究一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：在計算機技術(shù)飛速發(fā)展的今天，云計算作為一種新興的技術(shù)被廣泛應(yīng)用于各個領(lǐng)域。云計算的主要優(yōu)點是強大資源存儲能力和計算能力，為個人的生活和企業(yè)的經(jīng)營提供了極大的便利，但同時也面臨著一定的威脅和風(fēng)險。針對云計算環(huán)境的特殊性，分析了云計算環(huán)境的特點和面臨威脅，云計算環(huán)境對入侵檢測的要求，目前云計算環(huán)境下的入侵檢測技術(shù)；在此基礎(chǔ)上對未來云計算環(huán)境下入侵檢測技術(shù)提了幾點建議：加強人工智能在入侵檢測中的使用，定期評估、加強網(wǎng)絡(luò)安全，加強數(shù)據(jù)的分析和對比。

關(guān)鍵詞：云計算；入侵檢測；現(xiàn)狀分析；建議

1引言

隨著現(xiàn)代網(wǎng)絡(luò)技術(shù)的飛速發(fā)展以及互聯(lián)網(wǎng)相關(guān)應(yīng)用的迫切希望，云計算技術(shù)迅猛地發(fā)展，云計算平臺資源的存儲和計算能力也在不斷提升。目前，由于其出色的高靈活性、可擴展性和高性比，云計算技術(shù)被廣泛應(yīng)用于多個領(lǐng)域。這也使這種正當(dāng)紅的新興技術(shù)成為了許多網(wǎng)絡(luò)黑客攻擊的又一目標(biāo)。同時，云計算平臺過于復(fù)雜的內(nèi)部結(jié)構(gòu)也使其在實際使用中存在許多安全隱患。入侵檢測系統(tǒng)是計算機的監(jiān)控系統(tǒng)，通過對計算機系統(tǒng)的實時監(jiān)控，對其起到保護作用，是計算機系統(tǒng)的安全防護措施之一。它主要通過監(jiān)控計算機系統(tǒng)或網(wǎng)絡(luò)中發(fā)生的事件的分析來判斷是否發(fā)生入侵行為，是一種主動的安全防護措施。當(dāng)系統(tǒng)發(fā)現(xiàn)存在入侵行為時，會進行報警并通知響應(yīng)模塊采取措施，這種反應(yīng)機制可以對惡意入侵做出反應(yīng)，有效的保護系統(tǒng)資源的安全性和完整性，為云計算平臺提供保護。因此，在云計算環(huán)境中建立入侵檢測系統(tǒng)是可以保護云計算平臺的安全的有效方法。

2云計算環(huán)境的特點和面臨的威脅

2.1云計算環(huán)境的特點

云計算是各種網(wǎng)絡(luò)技術(shù)與硬件技術(shù)發(fā)展到一定地步出現(xiàn)的一種IT交付和業(yè)務(wù)模型，一般情況下通過網(wǎng)絡(luò)來獲取動態(tài)、可擴展的虛擬化資源[1]。從技術(shù)層面上看，云計算涵蓋了目前互聯(lián)網(wǎng)領(lǐng)域的大部分技術(shù)，如虛擬化技術(shù)、網(wǎng)絡(luò)計算以及并行計算等。云計算平臺利用其技術(shù)上的優(yōu)勢，可以以比較低的價格向用戶提供各種網(wǎng)絡(luò)資源和服務(wù)，服務(wù)如數(shù)據(jù)存儲服務(wù)、軟件應(yīng)用程序、操作系統(tǒng)等。云計算具有[2]：按需提供服務(wù)資源、彈性資源池可擴張、資源網(wǎng)絡(luò)化接入、虛擬化、通用性的特點。

2.2云計算環(huán)境面臨的威脅

由于云計算強大的儲存功能和使用成本較低的特點，所以云計算是未來發(fā)展的趨勢。但云計算在使用過程中也存在一定的威脅。根據(jù)查閱資料，發(fā)現(xiàn)由于云計算平臺本身原因或者黑客入侵行為導(dǎo)致的系統(tǒng)崩潰、服務(wù)器宕機等事件經(jīng)常發(fā)生。例如2016年7月，由于阿里云內(nèi)部網(wǎng)絡(luò)異常，導(dǎo)致部分云服務(wù)無法使用。GitLab曾因操作不當(dāng)導(dǎo)致平臺的6000個項目及800多個用戶賬戶都帶來或多或少損失。無獨有偶，亞馬遜AWS云也曾因服務(wù)故障，導(dǎo)致Slack、Quora和Trello等相關(guān)企業(yè)的云計算服務(wù)器宕機近4個小時。更嚴重的有，印度居民身份數(shù)據(jù)庫曾被黑客入侵，導(dǎo)致10億公民的敏感信息泄漏，給國民的生活帶來了很大的隱患。綜合云計算使用中存在的問題，總結(jié)云計算存在威脅如下：（1）數(shù)據(jù)機密性差：雖然數(shù)據(jù)進行了加密，攻擊者往往可以通過攻擊云計算平臺以及擁有權(quán)限的云計算管理員得到數(shù)據(jù)。（2）缺乏云安全審計：云服務(wù)提供商擁有控制云計算平臺中控制的權(quán)限，所以云計算服務(wù)提供商是否遵守安全規(guī)則檢查就顯得至關(guān)重要。（3）缺乏通用標(biāo)準(zhǔn)：由于技術(shù)發(fā)展時間較短，云計算各服務(wù)提供商之間還沒有形成標(biāo)準(zhǔn)通用的標(biāo)準(zhǔn)。比如數(shù)據(jù)的存儲格式、平臺的兼容性等方面都存在一定的問題。

3云計算環(huán)境對入侵檢測的要求

云計算作為一種新興的熱門技術(shù)，其運行環(huán)境在規(guī)模、結(jié)構(gòu)方面都有很大的提升，彌補了傳統(tǒng)網(wǎng)絡(luò)環(huán)境中存在的許多不足，如存儲空間、軟件更新、運行速度等問題。正是由于云計算的這些特點，必然導(dǎo)致其對入侵檢測也有更高的要求。因此，只有根據(jù)云計算環(huán)境的特性設(shè)計入侵檢測方法，才能為云計算平臺的安全運行提供保障。結(jié)合云計算環(huán)境的特點，云計算環(huán)境對入侵檢測技術(shù)主要有以下要求[2]：

3.1有效檢測云計算特有的攻擊

由于云計算平臺采用了虛擬化技術(shù)，還有針對虛擬機的分布式拒絕攻擊，以及針對云平臺漏洞的攻擊行為。因此云計算環(huán)境下的入侵檢測技術(shù)應(yīng)能對云計算環(huán)境中特有的攻擊做出有效檢測判斷。

3.2入侵檢測技術(shù)具有學(xué)習(xí)能力

云計算環(huán)境中的網(wǎng)絡(luò)流量不像傳統(tǒng)網(wǎng)絡(luò)有可控的范圍，它來源于各種各樣的用戶，其中也存在黑客。隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，黑客的攻擊技術(shù)也不斷更新。這就要求云計算環(huán)境下的入侵檢測技術(shù)能應(yīng)對不斷更新的攻擊技術(shù)，即需要其具有自身學(xué)習(xí)能力，以便能以較快的速度識別各種變異的入侵行為和新型的入侵行為，并能應(yīng)對這些入侵行為。

3.3具有一定的應(yīng)變能力

云計算環(huán)境中的用戶規(guī)模并不是不變的，這要求入侵檢測技術(shù)能應(yīng)對由用戶量變動導(dǎo)致的云計算環(huán)境變化，主要是對用戶增多時網(wǎng)絡(luò)流量增加這一情況做出較好的應(yīng)對。

4云計算環(huán)境下入侵檢測技術(shù)現(xiàn)狀分析

目前，關(guān)于云計算環(huán)境下的入侵檢測方法已有很多學(xué)者進行了研究。根據(jù)現(xiàn)有文獻，當(dāng)下使用較多的入侵檢測技術(shù)有：基于數(shù)據(jù)挖掘的入侵檢測、基于誤用的入侵檢測以及基于機器學(xué)習(xí)的入侵檢測等?；跀?shù)據(jù)挖掘的入侵檢測是在入侵檢測中應(yīng)用數(shù)據(jù)挖掘技術(shù)，使用數(shù)據(jù)挖掘的方法對網(wǎng)絡(luò)數(shù)據(jù)、審計記錄或系統(tǒng)日志進行分析，總結(jié)出其中潛在的規(guī)律性和特征[3]。基于誤用的入侵檢測指的是首先提取出已知的入侵行為共有的特征，并對這些特征進行歸納，然后建立特征規(guī)則庫，將待檢測的數(shù)據(jù)與特征規(guī)則數(shù)據(jù)庫中的進行比對，從而分析判斷是否發(fā)生入侵行為[4]。機器學(xué)習(xí)可以分為無監(jiān)督學(xué)習(xí)和監(jiān)督學(xué)習(xí)。其中，監(jiān)督學(xué)習(xí)中的監(jiān)督指訓(xùn)練分類器需要知道數(shù)據(jù)的類型，這使入侵檢測在使用監(jiān)督學(xué)習(xí)時需要提前準(zhǔn)備好數(shù)據(jù)的標(biāo)簽。無監(jiān)督學(xué)習(xí)是將數(shù)據(jù)表示成元組的形式，根據(jù)元組相似度對數(shù)據(jù)進行分類，理論上無監(jiān)督學(xué)習(xí)也可以用于入侵檢測。趙艷君針對現(xiàn)有入侵檢測技術(shù)存在的漏報率高、缺乏規(guī)則庫、對不明攻擊失效問題，設(shè)計了一個基于數(shù)據(jù)挖掘算法的入侵檢測模型。模型首先對關(guān)聯(lián)規(guī)則算法和聚類分析算法進行了改進，然后再將兩者相結(jié)合，在模型中聚類分析主要通過數(shù)據(jù)分析檢測入侵行為；關(guān)聯(lián)規(guī)則算法通過自動擴充功能對安全規(guī)則庫不斷進行更新，提高了對入侵行為的效率和檢測精度，同時能夠檢測未知入侵行為[5]。張人上在入侵檢測將神經(jīng)網(wǎng)絡(luò)和專家系統(tǒng)相結(jié)合，其中專家系統(tǒng)負責(zé)檢測已知的入侵行為，神經(jīng)網(wǎng)絡(luò)負責(zé)檢測未知的入侵行為，并將新型入侵行為的特征同步到規(guī)則庫。該模型將整個檢測過程分三步進行，首先利用專家系統(tǒng)對已知的網(wǎng)絡(luò)進行檢測，然后再利用神經(jīng)網(wǎng)絡(luò)對專家系統(tǒng)沒有發(fā)現(xiàn)的或?qū)ξ粗木W(wǎng)絡(luò)進行檢測，最后利用神經(jīng)網(wǎng)絡(luò)再對專家系統(tǒng)的規(guī)則庫進行更新[6]。徐雪麗等設(shè)計了一種入侵檢測模型，將卷積神經(jīng)網(wǎng)絡(luò)與網(wǎng)絡(luò)報文相結(jié)合。該模型先將數(shù)據(jù)打亂，然后進行預(yù)處理，再將預(yù)處理后的數(shù)據(jù)利用神經(jīng)網(wǎng)絡(luò)分析其特征，最后使用分類器對提取的特征進行分類[7]。張陽提出使用SMOTE算法對訓(xùn)練集中少數(shù)類樣本過采樣，從而使得訓(xùn)練集中樣本相對平衡，再用于分類器的訓(xùn)練[8]，這樣訓(xùn)練出的分類器，對少數(shù)類樣本分類的效果有所提升，但是使用SMOTE算法產(chǎn)生的數(shù)據(jù)可能會使數(shù)據(jù)的邊界更加模糊，進而使得分類器過于擬合，導(dǎo)致分類效果變差。謝金鑫提出了基于深度學(xué)習(xí)的入侵檢測研究，深度學(xué)習(xí)是以人工神經(jīng)網(wǎng)絡(luò)為基礎(chǔ)的，它學(xué)習(xí)人類的思維方式和學(xué)習(xí)能力，能不斷地改進學(xué)習(xí)方式，自動學(xué)習(xí)數(shù)據(jù)中的關(guān)鍵特征，并利用這些特征進行識別和分類，直接發(fā)現(xiàn)數(shù)據(jù)之間的關(guān)系，從而能在復(fù)雜多變的網(wǎng)絡(luò)數(shù)據(jù)中捕捉到有用的關(guān)鍵信息。把深入學(xué)習(xí)應(yīng)用到網(wǎng)絡(luò)入侵檢測中，可以解決入侵檢測率低，誤報漏報率大的問題，并且還具有實時性的特點。綜上所述，當(dāng)前學(xué)者對入侵檢測的研究包括兩大方面，一是入侵檢測種類的研究，二是入侵檢測方法的研究。關(guān)于入侵檢測的種類主要包括三種：訪問沒有被授權(quán)的信息；不合理的訪問行為；影響系統(tǒng)穩(wěn)定的行為。關(guān)于入侵檢測的方法，學(xué)者們主要從以下方面進行的：一是采用不同的方法以應(yīng)對未知的攻擊行為；二是采用不同的方法對數(shù)據(jù)進行分析，提取數(shù)據(jù)特征；三是采用不同的方法擴大規(guī)則數(shù)據(jù)庫。上述入侵檢測方法的改進大大提高了入侵檢測的效率，降低了漏報率，提高了云計算的安全性。

5對未來云計算環(huán)境下入侵檢測技術(shù)的建議

通過對學(xué)者們文獻的閱讀和分析，結(jié)合云計算環(huán)境下的特點和對入侵檢測的要求，對未來云計算環(huán)境下的入侵檢測改進提出以下建議。（1）加強人工智能在入侵檢測中的使用?，F(xiàn)有的入侵檢測技術(shù)發(fā)展迅速，可以較好應(yīng)對云計算環(huán)境下對入侵檢測的特殊要求，但檢測的準(zhǔn)確性還有很大的發(fā)展空間。根據(jù)現(xiàn)有的入侵檢測技術(shù)來看，未來的入侵檢測技術(shù)將更傾向于，結(jié)合人工智能來提高對層出不窮的新式入侵方式的自主學(xué)習(xí)檢測能力，使用與人工智能結(jié)合的方式，來提高對層出不窮的新式入侵方式的自主學(xué)習(xí)檢測。在入侵檢測過程中，也可以應(yīng)用人工智能的技術(shù)，人工智能是模仿人類的智能來執(zhí)行任務(wù)，并基于收集的信息對自身進行改進，人工智能的理論基礎(chǔ)是對遷移學(xué)習(xí)、半監(jiān)督學(xué)習(xí)以及主動學(xué)習(xí)等的改進與組合。它能更好地識別和解決入侵檢測中未知的和不易區(qū)分入侵行為，大大提高入侵檢測的準(zhǔn)確度。（2）加強網(wǎng)絡(luò)安全建設(shè)，制定防護、檢測、響應(yīng)三位一體的網(wǎng)絡(luò)安全系統(tǒng)。通過及時檢測網(wǎng)絡(luò)異常，明確找出異常根源并提供方案，如隔離問題主機、修改安全策略、重新在服務(wù)器等設(shè)備增加獨立區(qū)域、增加特殊防火墻等網(wǎng)絡(luò)設(shè)備、優(yōu)化云系統(tǒng)安全管理制度（如禁止未許可設(shè)備入網(wǎng)等）。還可以加強防火墻的設(shè)置，將防火墻設(shè)置和入侵檢測相結(jié)合，制定防護、檢測、響應(yīng)三位一體的網(wǎng)絡(luò)安全系統(tǒng)，當(dāng)有入侵者攻擊系統(tǒng)時，首先系統(tǒng)能檢測到入侵行為，并發(fā)出報警；然后是系統(tǒng)能做出響應(yīng)，防止入侵者進入。（3）定期評估網(wǎng)絡(luò)安全。因為入侵檢測需要人工分析，而正是因為有了報表、日志庫這些歷史數(shù)據(jù)的積累，就可以研究和比照，比如：初次部署入侵檢測，發(fā)現(xiàn)網(wǎng)絡(luò)事件3000次，在增加安全設(shè)備、調(diào)整網(wǎng)絡(luò)配置后，入侵檢測發(fā)現(xiàn)網(wǎng)絡(luò)事件為80次。這表明分析正確，評估及改進是有效的。另外，還可以對入侵的信息定期進行分析，分析其特點，入侵的時間、方式、對象等，以利于為以后的入侵檢測提供參考。（4）加強對歷史數(shù)據(jù)的分析和對比。通過對歷史數(shù)據(jù)的分析和對比，對異常數(shù)據(jù)和異?，F(xiàn)象進行調(diào)查研究，及時發(fā)現(xiàn)存在的問題，防微杜漸，通過提出安全建議和評估網(wǎng)絡(luò)安全，讓入侵檢測體現(xiàn)出它應(yīng)有的管理價值。

6結(jié)束語

云計算強大的資源存儲能力和計算能力，決定了其在未來的社會發(fā)展和個人生活中將會得到廣泛的使用和推廣。但在其使用中云計算本身的安全性和穩(wěn)定性也是需要關(guān)注的一個問題，所以基于云計算的入侵檢測研究任重道遠。

作者：關(guān)心雨 單位：山東科技大學(xué)