基于云计算架构的网络入侵协同预警技术

作者:许佳;苏璞睿;符易阳 刊名:计算机工程 上传者:王彬

【摘要】目前主流的网络预警系统普遍存在自适应性差和协同分析能力弱等问题。为此,提出一种基于云计算架构的大规模网络入侵协同预警技术,采用基于分布式哈希表的分布式报警消息存储和查询算法,利用树状对等覆盖网实现入侵关联分析的自适应任务调度。实验结果表明,使用该技术实现报警聚合和关联分析,不仅能使网络预警系统架构具备较好的扩展性,并且可以缩短大规模网络入侵的预警反应时间,同时保证报警关联分析的准确度。

全文阅读

1概述随着互联网的飞速发展,网络安全问题已成为信息安全领域的焦点之一。尤其是近年来以木马(Trojan)、蠕虫(Worm)、僵尸网络(Botnet)等为代表的新型恶意代码具有爆发性传播、自组织结构和分布式协作等主要特点,已经成为网络黑客争夺互联网主机资源控制权的利器。例如,2009年“飞客”(Conficker)蠕虫在全球互联网迅速传播,国家互联网应急中心(CNCERT)监测到中国大陆地区每月感染主机IP数量约1800万个[1]。数量庞大的被感染计算机不仅存在泄密隐患,还可以被网络黑客作为分布式平台,对互联网的重要目标和基础设施发动大规模攻击。传统的安全防护技术,如入侵检测系统、防火墙、防病毒网关等,其安全防护视野仅局限于各自的安全域,所以,产生的报警难免具有较高的误报率或漏报率,也缺少对安全事件进行全局分析和评估的手段,在对抗互联网规模的网络入侵与攻击行为时作用有限。随着新型恶意代码技术的快速发展,人们迫切需要研究利用互联网协同预警技术来监控识别大规模的入侵意图与攻击行为,并且在入侵发生或造成严重后果前,辅助决策采取必要的措施来保护网络的安全。本文提出一种基于云计算架构的大规模网络入侵协同预警技术,该技术可以使各类异构的网络入侵检测设备具备跨安全域的数据查询和交互能力,并且可以动态调整网络预警系统的组织结构,实现存储和计算资源的按需调度。2研究背景与相关工作典型的网络安全防护设施都是以安全域为单位进行部署,仅在同一个安全域内的防护设施才具有一定的协作能力。在这种安全架构下,关于网络入侵和攻击行为的全局状态信息难以得到利用。尤其是当攻击者通过快速传播的恶意代码来搭建分布式平台,进而实施大规模攻击时,收集充足的全局信息可以帮助网络安全部门对攻击行为作出及时准确的判断、分类和响应,而这是依靠传统的网络安全防护体系难以实现的。目前,网络预警系统已经成为了解决这一问题的主要手段。国外研究机构对网络预警相关技术的研究取得了一定的成果。文献[2]给出了一个用于早期预警和攻击识别原型系统中的攻击分析单元、早期预警单元与攻击识别原型系统之间的信息流程,但是该文献仅停留在早期网络预警系统的框架研究方面。文献[3]探讨了各类异构入侵检测系统之间的报警关联问题。文献[4]探讨了在互联网范围内实现网络报警数据协同分析的分布式架构和关键算法,并论证了采用对等覆盖网结构能够在全局信息的查询效率和分布式共享的开销之间获得良好的平衡。笔者在文献[5]中提出基于动态对等网层次结构(DynamicPeer-to-PeerOverlayHierarchy,DPOH)的网络预警模型,该模型解决了异构报警数据在跨安全域环境下的分布式存储和查询问题,为本文的研究奠定了基础。云计算是近年来兴起的一种创新计算模式,其目标是将存储和计算简化为像水、电一样的公用基础设施,从而可以提供灵活的计算能力和高效的海量数据分析方法。云计算技术提供了一些重要的特性,包括软硬件资源以服务的形式提供、资源的分布式共享、资源的可扩展性[6]等,可以为研究和开发跨安全域的大规模网络预警系统提供必要的底层支撑。目前,利用云计算技术构建网络安全架构和应用服务,已经成为网络安全研究领域的最新热点之一。文献[7]提出了基于云计算环境构建多重分析引擎的反病毒服务方案,实验证明此方案在病毒文件分析的准确性和效率上都有显著的提升。文献[8]描述的基于云架构的邮件病毒过滤系统和文献[9]描述的基于云架构的DDoS流量过滤系统,都已经被证明具有较好的效果。本文广泛参考并借鉴了上述云安全领域的研究思路,提出一种基于云计算架构的网络预警技

参考文献

引证文献

问答

我要提问