【正文】 .............................................................................................20167。 云計(jì)算數(shù)據(jù)分析技術(shù) .......................................................................................................................28167。 網(wǎng)絡(luò)數(shù)據(jù)捕獲模塊 ...........................................................................................................................35167。 本章小結(jié) ...........................................................................................................................................52第五章 結(jié)論與展望 .................................................................................................................53167。特別是云計(jì)算服務(wù)供應(yīng)商，在為云計(jì)算用戶提供計(jì)算、存儲(chǔ)和各種應(yīng)用軟件等服務(wù)的過(guò)程中，經(jīng)常會(huì)遭受各種安全威脅攻擊的考驗(yàn) [34]。因此，云計(jì)算服務(wù)的安全性在很大程度上決定于 API 接口的安全性。用戶的各種數(shù)據(jù)（包括許多重要敏感數(shù)據(jù)）通過(guò)網(wǎng)絡(luò)在云計(jì)算環(huán)境中進(jìn)行傳輸和處理，并最后存放于云計(jì)算的數(shù)據(jù)中心。以下是 Gartner 經(jīng)過(guò)分析后，總結(jié)出來(lái)的七種云計(jì)算安全風(fēng)險(xiǎn)及相關(guān)建議 [39]。3．?dāng)?shù)據(jù)場(chǎng)所風(fēng)險(xiǎn)在用戶選擇云計(jì)算服務(wù)后，將無(wú)法控制自己數(shù)據(jù)的具體存放位置。如果云計(jì)算環(huán)境不具備有效的數(shù)據(jù)備份和災(zāi)難恢復(fù)機(jī)制，則當(dāng)出現(xiàn)重大事故時(shí)，用戶數(shù)據(jù)有可能無(wú)法得到恢復(fù)。Gartner 為此向用戶建議，在選擇云計(jì)算服務(wù)供應(yīng)商之前，用戶應(yīng)把長(zhǎng)期發(fā)展風(fēng)險(xiǎn)因素考慮在內(nèi)。由于云計(jì)算環(huán)境擁有強(qiáng)大的計(jì)算能力、海量的存儲(chǔ)空間和豐富的用戶信息，對(duì)網(wǎng)絡(luò)入侵者具有很大的誘惑力，云計(jì)算環(huán)境目前已經(jīng)成為網(wǎng)絡(luò)入侵者的攻擊目標(biāo)。目前，圍繞云計(jì)算入侵檢測(cè)的研究工作還不是很多，還沒(méi)有非常有效的云計(jì)算入侵檢測(cè)系統(tǒng)產(chǎn)品出現(xiàn)，迫切需要開(kāi)展云計(jì)算入侵檢測(cè)系統(tǒng)方面的研究，以實(shí)現(xiàn)安全可信的云計(jì)算環(huán)境，為云計(jì)算產(chǎn)業(yè)的健康發(fā)展和普及應(yīng)用提供技術(shù)支撐。目前，國(guó)內(nèi)外學(xué)術(shù)界和產(chǎn)業(yè)界都圍繞云計(jì)算展開(kāi)了廣泛的研究。IBM 于 2022 年初與無(wú)錫市政府合作建立了無(wú)錫軟件園云計(jì)算中心，開(kāi)始了云計(jì)算在中國(guó)的商業(yè)應(yīng)用 [5]。 入侵檢測(cè)研究現(xiàn)狀及發(fā)展趨勢(shì)針對(duì)入侵檢測(cè)系統(tǒng)，國(guó)內(nèi)外學(xué)術(shù)界和產(chǎn)業(yè)界展開(kāi)了廣泛而深入的研究，最早始于上個(gè)世紀(jì) 80 年代。李輝綜合運(yùn)用信息融合和多傳感器集成技術(shù)，提出了一個(gè)多層次的入侵檢測(cè)系統(tǒng)推理框架和原型系統(tǒng) [17]?？傮w而言，圍繞云計(jì)算安全相關(guān)的研究成果還很少，針對(duì)云計(jì)算入侵檢測(cè)的研究更是處于起步階段。第五章是總結(jié)與展望，總結(jié)本論文的主要研究工作和初步成果，并對(duì)后續(xù)研究工作和未來(lái)發(fā)展趨勢(shì)進(jìn)行展望。167。對(duì)于用戶而言，這種能力用于使所提供的服務(wù)看起來(lái)好象是無(wú)限的，并且可以在任何時(shí)間購(gòu)買(mǎi)任何數(shù)量；可度量的服務(wù)：云系統(tǒng)通過(guò)一種可計(jì)量的能力杠桿在某些抽象層上自動(dòng)控制并優(yōu)化資源以提供某種服務(wù)（例如存儲(chǔ)、處理、帶寬以及活動(dòng)用戶帳號(hào)） ；按需自助服務(wù)：用戶可以根據(jù)自身需求自動(dòng)配置計(jì)算能力，例如服務(wù)器時(shí)間和網(wǎng)絡(luò)存儲(chǔ)，而且這些服務(wù)自動(dòng)進(jìn)行，無(wú)需與云服務(wù)提供商的服務(wù)人員交互?？蛻舨还芾砘蛘呖刂频讓拥脑苹A(chǔ)架構(gòu)，包括網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)、存儲(chǔ)設(shè)備，甚至獨(dú)立的應(yīng)用程序機(jī)能，在可能異常的情況下，限制用戶可配置的應(yīng)用程序設(shè)置。與其它安全策略、安全技術(shù)相比，入侵檢測(cè)是一種比較新的技術(shù)。圖 26 入侵檢測(cè)系統(tǒng)的部署模式之所以使用入侵檢測(cè)系統(tǒng)，主要有如下理由 [15]：。例如，通過(guò)入侵檢測(cè)系統(tǒng)對(duì)敏感端口的監(jiān)測(cè)可以判斷防火墻是否被攻破，或者其它防護(hù)措施是否已失效。3．根據(jù)所采用的數(shù)據(jù)來(lái)源劃分入侵檢測(cè)系統(tǒng)根據(jù)所監(jiān)測(cè)的數(shù)據(jù)來(lái)源，可以分為三類：基于主機(jī)的入侵檢測(cè)系統(tǒng)（Hostbased IDS，簡(jiǎn)稱 HIDS） 、基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（Networkbased IDS，簡(jiǎn)稱NIDS）和混合分布式入侵檢測(cè)系統(tǒng)（DIDS） 。如果數(shù)據(jù)包與系統(tǒng)內(nèi)置的入侵行為特征吻合，則基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)就會(huì)報(bào)警甚至直接切斷網(wǎng)絡(luò)連接。167。因此，在 Inter 包括像云計(jì)算這樣龐大的分布式網(wǎng)絡(luò)環(huán)境中，任何個(gè)體都有可能面臨著各種各樣的網(wǎng)絡(luò)攻擊和入侵。當(dāng)這些無(wú)用數(shù)據(jù)流足夠多時(shí)，就會(huì)導(dǎo)致帶寬服務(wù)的 UDP 攻擊。（6）Smurf 攻擊當(dāng)將回復(fù)地址設(shè)置成受害網(wǎng)絡(luò)的廣播地址，將會(huì)產(chǎn)生大量 ICMP 應(yīng)答請(qǐng)求（即PING）數(shù)據(jù)包，Smurf 攻擊就是通過(guò)使用這些數(shù)據(jù)包來(lái)淹沒(méi)受害主機(jī)達(dá)到攻擊目的。所謂畸形消息攻擊，是指存在完整性或格式規(guī)范錯(cuò)誤的消息引發(fā)的系統(tǒng)問(wèn)題。（3）緩沖區(qū)益處諸如 strcpy()、strcat()之類的不進(jìn)行有效位校驗(yàn)的函數(shù)，經(jīng)常會(huì)帶來(lái)一些災(zāi)難性后果，而且已經(jīng)大量存在于很多的軟件程序中。（2）體系架構(gòu)探測(cè)體系架構(gòu)探測(cè)的原理是：由于每種類型的操作系統(tǒng)對(duì)掃描都有各自的響應(yīng)方式，入侵者通過(guò)將不同操作系統(tǒng)遇到掃描時(shí)所產(chǎn)生的響應(yīng)方式存入數(shù)據(jù)庫(kù)；然后基于此數(shù)據(jù)庫(kù)開(kāi)發(fā)出能夠自動(dòng)掃描和比照的自動(dòng)工具，以檢查來(lái)自目標(biāo)機(jī)器的對(duì)探測(cè)虛假數(shù)據(jù)包所作出的響應(yīng)。框架（Frames）功能就是一個(gè)例子，入侵攻擊者利用 VB 腳本可以在網(wǎng)絡(luò)安全域之間取得信息的弱點(diǎn)，從而在 IE 的歷史記錄信息中，獲得眾多用戶的個(gè)人資料甚至是用戶網(wǎng)上銀行的帳號(hào)記錄等。行為判別可以采用的方法包括數(shù)據(jù)挖掘、神經(jīng)網(wǎng)絡(luò)、遺傳算法、專家系統(tǒng)、模型推理等；：當(dāng)入侵檢測(cè)系統(tǒng)經(jīng)過(guò)行為數(shù)據(jù)的分析和判別，確定了入侵行為的發(fā)生后，就應(yīng)根據(jù)預(yù)先設(shè)定的安全策略進(jìn)行相應(yīng)的入侵處理。幸運(yùn)的是，今天這個(gè)技術(shù)領(lǐng)域中的大多數(shù)標(biāo)準(zhǔn)和規(guī)則對(duì)于監(jiān)控、預(yù)警或者入侵檢測(cè)的需求都有了明確的定義。用戶必須依賴于其服務(wù)供應(yīng)商在 Paas 上部署入侵檢測(cè)系統(tǒng)。這對(duì)入侵檢測(cè)系統(tǒng)來(lái)說(shuō)是一個(gè)更核心的位置，但是考慮到性能因素當(dāng)數(shù)據(jù)量很大時(shí)需要?jiǎng)h除一些日志信息。用戶可以設(shè)置選項(xiàng)獲得一些日志，也可以部署對(duì)于這些信息的監(jiān)控和報(bào)警，但是大部分的入侵檢測(cè)是由服務(wù)供應(yīng)商來(lái)實(shí)現(xiàn)的；（PaaS）：類似于 SaaS，這一層次上的大部分入侵檢測(cè)服務(wù)也是由服務(wù)供應(yīng)商來(lái)實(shí)現(xiàn)的。167。數(shù)據(jù)捕獲主要借助插樁技術(shù)或各種網(wǎng)絡(luò)抓包工具、系統(tǒng)監(jiān)控軟件等完成；：入侵行為的判別是通過(guò)對(duì)捕獲到的大量行為數(shù)據(jù)進(jìn)行分析而發(fā)現(xiàn)的。（5）COOKIE 漏洞攻擊在很早之前，COOKIE 的安全漏洞問(wèn)題就被發(fā)現(xiàn)，有關(guān) COOKIE 的軟件也不斷涌現(xiàn)，從而越來(lái)越多的人開(kāi)始知道 COOKIE 的作用與漏洞問(wèn)題，相應(yīng)的 COOKIE 安全漏洞攻擊軟件也層出不窮，有經(jīng)驗(yàn)的入侵攻擊者可以利用 COOKIE 記錄獲得用戶帳號(hào)、密碼等信息。其中，地址掃描主要是利用 ping 等程序命令來(lái)探測(cè)目標(biāo)地址。這是一個(gè)由黑客或不引人懷疑的方式秘密安裝到目標(biāo)機(jī)器的程序，一旦安全成功便可取得管理員權(quán)限，而操控該木馬程序的網(wǎng)絡(luò)入侵者就可以遠(yuǎn)程訪問(wèn)目標(biāo)機(jī)器。通過(guò)操縱一臺(tái)機(jī)器不斷地向某一郵件地址發(fā)送大量的 Email，攻擊者能夠耗盡接收地址機(jī)器的網(wǎng)絡(luò)帶寬，從而導(dǎo)致對(duì)方癱瘓或崩潰。如此循環(huán)下去，則網(wǎng)絡(luò)中將會(huì)存在大量的空連接占滿帶寬，造成 Land 攻擊。（3）UDP 攻擊許多假冒攻擊利用簡(jiǎn)單的 TCP/IP 服務(wù)，例如 Chargen 和 Echo 來(lái)傳送占滿帶寬的無(wú)意義數(shù)據(jù)。試問(wèn)，誰(shuí)又愿意別人在自己的機(jī)器上肆無(wú)忌憚地進(jìn)行這些操作呢？更何況這些入侵者的動(dòng)機(jī)也不是那么單純。（3）混合分布式入侵檢測(cè)系統(tǒng)混合分布式入侵檢測(cè)系統(tǒng)（DIDS）又稱為基于代理的入侵檢測(cè)系統(tǒng)（Agentbased IDS） 。圖 27 HIDS 的系統(tǒng)結(jié)構(gòu)基于主機(jī)的入侵檢測(cè)系統(tǒng)優(yōu)點(diǎn)包括分析可能的攻擊行為、誤報(bào)率低于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)、對(duì)于網(wǎng)絡(luò)帶寬要求較低、檢測(cè)實(shí)時(shí)性好、監(jiān)控對(duì)象粒度更細(xì)、適用于加密環(huán)境等；缺點(diǎn)是需要在被檢測(cè)設(shè)備上安裝、依賴于服務(wù)器的日志和監(jiān)控手段、入侵檢測(cè)部署成本較高、難以檢測(cè)網(wǎng)絡(luò)攻擊行為等。2．根據(jù)所采用的工作方式劃分入侵檢測(cè)系統(tǒng)根據(jù)所采用的工作方式，可以分為離線檢測(cè)系統(tǒng)和在線檢測(cè)系統(tǒng)。例如在 NT 環(huán)境下，如果開(kāi)放了文件共享或者允許TELNET，則這臺(tái)機(jī)器需要更好的保護(hù)，可以采取的措施包括在防火墻中對(duì) 137139 端口（屬于 TCP/UDP） 、SMB 協(xié)議下的 NT 文件共享加以限制、使用 SSH 取代 UNIX 環(huán)境下的 TELNET 連接等；?？梢砸暈閷?duì)“入侵”較早的一種描述；Heady 從研究的角度給出了“入侵”的更嚴(yán)謹(jǐn)?shù)亩x，指出“入侵”是所有企圖破壞目標(biāo)系統(tǒng)或計(jì)算資源三個(gè)基本安全屬性（即機(jī)密性、完整性和可用性）的行為；Smaha 給出了六種常見(jiàn)的“入侵”行為類型，包括試探攻擊、偽裝入侵、系統(tǒng)滲透、信息泄漏、拒絕服務(wù)攻擊、惡意使用 [12]。167。軟件即服務(wù)（SaaS）：客戶所使用的服務(wù)商提供的應(yīng)用程序運(yùn)行在云基礎(chǔ)設(shè)施上。由于接入終端的數(shù)量巨大，云計(jì)算平臺(tái)必須支持寬帶網(wǎng)絡(luò)訪問(wèn)；快速?gòu)椥约軜?gòu)：具有快速可伸縮性提供服務(wù)的能力。圖 21 云計(jì)算本質(zhì)的形象說(shuō)明作為一種基于互聯(lián)網(wǎng)的超級(jí)計(jì)算模式，云計(jì)算允許用戶動(dòng)態(tài)共享大規(guī)模的軟硬件資源及信息，并按實(shí)際使用收取費(fèi)用，整個(gè)運(yùn)行模式很像電網(wǎng)。第三章是云計(jì)算入侵檢測(cè)關(guān)鍵技術(shù)，論述了云計(jì)算環(huán)境下實(shí)現(xiàn)有效的入侵檢測(cè)所需的主要關(guān)鍵技術(shù)，包括云計(jì)算網(wǎng)絡(luò)行為的監(jiān)控、云計(jì)算行為規(guī)則的匹配、云計(jì)算網(wǎng)絡(luò)數(shù)據(jù)的捕獲、云計(jì)算神經(jīng)網(wǎng)絡(luò)模型的訓(xùn)練和云計(jì)算網(wǎng)絡(luò)攻擊行為的挖掘等，為云計(jì)算環(huán)境下入侵檢測(cè)原型系統(tǒng)的開(kāi)發(fā)奠定技術(shù)基礎(chǔ)。同時(shí)，F(xiàn)orrest 等人將免疫原理引入到分布式入侵檢測(cè)領(lǐng)域，而 Ross Anderson 和 Abida Khattak 開(kāi)始將信息檢索技術(shù)運(yùn)用到入侵檢測(cè)中。此系統(tǒng)采用了 BP 神經(jīng)網(wǎng)絡(luò)對(duì)采集的網(wǎng)絡(luò)行為數(shù)據(jù)進(jìn)行分類，具有較好的檢測(cè)效果；熊焰等針對(duì)分布式網(wǎng)絡(luò)中的入侵檢測(cè)問(wèn)題，提出了一種基于移動(dòng)代理的入侵檢測(cè)系統(tǒng) [19]。2022 年 10 月 18 日發(fā)布《國(guó)務(wù)院關(guān)于加快培育和發(fā)展戰(zhàn)略性新興產(chǎn)業(yè)的決定》中，將云計(jì)算定位于“十二五”戰(zhàn)略性新興產(chǎn)業(yè)之一。據(jù)調(diào)查，五成以上的企業(yè)表示，在未來(lái) 1～3年會(huì)有實(shí)施計(jì)劃。 云計(jì)算的研究現(xiàn)狀及發(fā)展趨勢(shì)業(yè)界認(rèn)為，云計(jì)算是繼個(gè)人計(jì)算機(jī)、互聯(lián)網(wǎng)之后信息產(chǎn)業(yè)的第三次變革，將對(duì)社會(huì)信息化發(fā)展產(chǎn)生深遠(yuǎn)影響。傳統(tǒng)的入侵檢測(cè)系統(tǒng)不再適應(yīng)云計(jì)算環(huán)境的虛擬化、分布式和超大規(guī)模等特點(diǎn)，已經(jīng)不能勝任云計(jì)算環(huán)境下日趨強(qiáng)大和更加隱蔽的網(wǎng)絡(luò)入侵檢測(cè)。167。因此，用戶一旦選擇了某家云計(jì)算服務(wù)供應(yīng)商，就會(huì)面臨著該服務(wù)供應(yīng)商出現(xiàn)破產(chǎn)或被其它大型公司收購(gòu)的可能性。Gartner 為此向用戶建議，對(duì)于處于共享環(huán)境的眾多用戶數(shù)據(jù)，需要更加有效的加密服務(wù)和隔離機(jī)制。傳統(tǒng)的服務(wù)供應(yīng)商需要通過(guò)第三方審計(jì)和安全認(rèn)證的審查，用戶才可放心地將自己的數(shù)據(jù)交給云計(jì)算服務(wù)供應(yīng)商。不規(guī)范的云計(jì)算環(huán)境構(gòu)建和部署，都可能會(huì)導(dǎo)致日后未知的安全風(fēng)險(xiǎn)。但是，包括虛擬化在內(nèi)的眾多基礎(chǔ)設(shè)施構(gòu)建技術(shù)均存在物理共享和安全漏洞的風(fēng)險(xiǎn)，對(duì)云計(jì)算基礎(chǔ)設(shè)施的安全性帶來(lái)挑戰(zhàn)。由于注冊(cè)云計(jì)算服務(wù)時(shí)，不進(jìn)行身份認(rèn)證，因此網(wǎng)絡(luò)入侵者可以輕而易舉地利用云計(jì)算服務(wù)進(jìn)行網(wǎng)絡(luò)攻擊或發(fā)送惡意軟件，從而造成云計(jì)算能力的濫用，帶來(lái)巨大的安全威脅。作為一種基于互聯(lián)網(wǎng)的超級(jí)計(jì)算模式，云計(jì)算允許用戶動(dòng)態(tài)共享大規(guī)模的軟硬件資源及信息，并按實(shí)際使用收取費(fèi)用 [2]。 神經(jīng)網(wǎng)絡(luò)判別模塊 ...........................................................................................................................48167。 本章小結(jié) ...........................................................................................................................................33第四章 云計(jì)算入侵檢測(cè)原型系統(tǒng) .........................................................................................34167。 云計(jì)算數(shù)據(jù)捕獲的主要類型 ....................................................................................................24167。 入侵檢測(cè)系統(tǒng)的分類 ................................................................................................................14167。 本章小結(jié) ..........................................................................................................................................