【正文】 4） 如果 S中含有 T，輸出位置 （ 5） 如果沒有，則輸出不含有 圖 KMP算法檢測流程圖 經(jīng) 過這樣的比對可以將兩組數(shù)據(jù)對照確保傳輸途中的數(shù)據(jù)完整性 BM 算法的云傳輸檢測 BM算法是 Boyer和 Moore提出的，其 和 KMP算法類似，都是主串位置不動，將模式串沿著主串向右移動。 } else j=nextval[j]。 第 23 頁 共 43 頁 if(T[i]!=T[j]) nextavl[i]=j。 while(iT[0]) { if(j==0||T[i]=T[j]) { ++i。 nextavl[1]=0。next[i]=j } else j=next[j]。 while(iT[0]) { if(j==0||T[i]==T[j]) { ++i。 next[1]=0。 K歸算法的核心是構(gòu)造 next函數(shù)。 (2)若 P≠ S,則考慮下列兩種情況： ① j=1，則執(zhí)行 s。 第 22 頁 共 43 頁 其特點為：每當一趟匹配過程中出現(xiàn)字符比較不等時，不需回溯指針，而是利 Hj已經(jīng)得到的“部分匹配”的結(jié) 果將模式向右“滑動”盡可能遠的一段距離后，繼續(xù)進行比較。 KMP算法在云計算中的應(yīng)用 KMP算法是 D． E． Knuth與 V． RPratt和 J． H Morris同時研究出的，因此人們稱其 為克努特一莫里斯一普拉特操作 (簡稱為 KMP算法 )此算法可以在 O(n+m)的時間數(shù)量級上完成模式匹配。依次類推，直至模式 T 中的每個字符依次和主串 S 中的一個連續(xù)的字符序列相等，則匹配成功，函數(shù)值為和模式 T中的第一個字符相等的字符在主串 S 中的序號，否則稱匹配不成功，函數(shù)值為零。 這兩種云計算檢測算法都采用定長順序存儲結(jié)構(gòu)，可以寫出不依賴于其他串操作的基本匹配算法。云計算監(jiān)測系統(tǒng)中的匹配算第 21 頁 共 43 頁 法常用到的有這兩種，一種是 KMP算法，另外一種是 BM算法。模式匹配檢測技術(shù)對網(wǎng)絡(luò)上的每個數(shù)據(jù)包的具體分析過程如下： (1)從網(wǎng)絡(luò)數(shù)據(jù)包的包頭開始和攻擊特征比較； (2)如果比較結(jié)果相同，則說明檢測到一個可能的攻擊，輸出事件結(jié)果： (3)如果比較結(jié)果不同，從網(wǎng)絡(luò)數(shù)據(jù)包下一個位置重新開始比較： 第 20 頁 共 43 頁 (4)直到檢測到攻擊或網(wǎng)絡(luò)數(shù)據(jù)包中所有字節(jié)匹 配完畢，一個攻擊特征匹配結(jié)束； (5)對于每一個攻擊特征，重復 (1)至 (3)開始的比較： (6)直到每一個攻擊特征匹配完畢，則數(shù)據(jù)包的匹配分析完畢。 應(yīng)用于云計算傳輸?shù)哪Ｊ狡ヅ錂z測技術(shù) 云傳輸模式匹配是基于攻擊特征的網(wǎng)絡(luò)數(shù)據(jù)包分析技術(shù)。通常的做法是將網(wǎng)卡設(shè)置一下，當云計算網(wǎng)絡(luò)進行傳輸?shù)臅r候?qū)魅氡揪W(wǎng)斷的數(shù)據(jù)包進行抓包分析進行判斷再進行防范。 圖 第 19 頁 共 43 頁 (1)監(jiān)視、分析云數(shù)據(jù)端用戶及系統(tǒng)活動； (2) 檢臺系統(tǒng)配置及存在的漏洞： (3) 評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性； (4) 識別己知的攻擊行為； (5) 統(tǒng)計分析異常行為； (6) 管理操作系統(tǒng)的日志．并識別違反用戶安全策略的行為 計算網(wǎng)絡(luò)入侵檢測的分類 網(wǎng)絡(luò)入侵檢測主要分為兩大類，這是根據(jù)數(shù)據(jù) 來源的不同分類的，一種是主機型另外一種是網(wǎng)絡(luò)型和主機型，主機型 主要是以日志作為參考，除此之外也可以通過方式 比如那些從主機收集的信息進行分析在進行檢測。 云計算檢測系統(tǒng)的具體實施解決方法是這樣的， 假設(shè)是系統(tǒng)是存在問題的，也就是不安全的，但是入侵行為的存在是能被檢測到的，通過監(jiān)測分析系統(tǒng)和用戶的行為。 第 18 頁 共 43 頁 第四章 云計算入侵檢測 要保證云計算在傳輸過程中的安全性能，除了以上幾個問題之外，還有一個急 需解決的問題就是怎么樣應(yīng)對網(wǎng)絡(luò)入侵方面的問題，其中包括云計算網(wǎng)絡(luò)傳輸過程中數(shù)據(jù)攜帶的的病毒，蠕蟲，木馬等等，所以需要對云計算網(wǎng)絡(luò)傳輸進行入侵檢測，但是傳統(tǒng)的網(wǎng)絡(luò)入侵檢測算法，對現(xiàn)在高流量大數(shù)據(jù)的監(jiān)測是力不從心的，所以在云計算時代對于入侵檢測算法的改進是迫不及待的，接下來就云計算網(wǎng)絡(luò)入侵檢測的問題展開研究探討。對軟件行業(yè)來說 ,云計算真正為研發(fā)業(yè)務(wù)和研發(fā)管理提供了一個面向服務(wù)的、統(tǒng)一的、動態(tài)規(guī)劃的平臺 ,并從根本上消除了開發(fā)的諸多局限性。同時，要注重隱私的精妙程序設(shè)置和云安全法則的制定出臺是云服務(wù)迫切期盼的云中應(yīng)用程序的開發(fā)。關(guān)注云中數(shù)據(jù)安全性。黑客對公共云基礎(chǔ)設(shè)施和公共云防御措施的理解熟悉必將為其攻擊公共云提供技術(shù)上的支持 ,能有效防止被云計算的驅(qū)逐。增強端點的可靠性 ,端點設(shè)備上要盡量少放數(shù)據(jù) ,防止數(shù)據(jù)丟失或者不能訪問 ,并確保備份數(shù)據(jù)在存儲和轉(zhuǎn)移時受到切實嚴密的保護。作為云計算的用戶 ,進行應(yīng)用云服務(wù)時 ,應(yīng)該支持云安全技術(shù)的安全產(chǎn)品 ,這樣才能在基礎(chǔ)設(shè)施防御、端點安全、服務(wù)器和桌面取證與防御等方面 ,確保實時可靠的安全簽名升級與技術(shù)支持的服務(wù)。要保護用戶的證書和認證密碼不被木馬盜竊 ,就必然要為其提供切實可行的深層次的防御技術(shù)。云計算的客戶端的網(wǎng)絡(luò)安全最直觀的體現(xiàn)是 WEB 應(yīng)用。通過在企業(yè)應(yīng)用程序中加入單點登錄 SSO 的認證功能 ,采用強制用戶認證、代理協(xié)同認證、資源認證、不同安全域之間的認證或者不同認證方式相結(jié)合的方式。密鑰管理可分為訪問密鑰存儲、保護密鑰存儲、密鑰備份與恢復等。數(shù)據(jù)的安全性和數(shù)據(jù) 控制權(quán)是企業(yè)最關(guān)心的問題之一 ,使用強加密和密鑰管理是云計算技術(shù)系統(tǒng)保護數(shù)據(jù)的一種核心機制。作為服務(wù)端，安全性主要由服務(wù)的提供商來實現(xiàn) ,目前確保云中信息安全的方法主要有建立可信云、安全認證、數(shù)據(jù)加密、法律和標準協(xié)議。 SaaS 提供商則應(yīng)最大限度地確保提供給客戶的應(yīng)用程序和相關(guān)組件的安全性，用戶通常只需要負責操作層的安全功能，包括用戶的訪問管理、身份驗證等等。一般來說，只有經(jīng)過授權(quán)的員工才可以訪問運營企業(yè)的硬件設(shè)備。 例如， SSL 是大多數(shù)云計算安全應(yīng)用的基礎(chǔ)，但也可能成第 16 頁 共 43 頁 為一個主要的病毒傳播媒介，需要更多的監(jiān)控和管理。 技術(shù) 層面防范 網(wǎng)絡(luò)安全問題 社會和人類的發(fā)展往往都是這樣，沒有人會知道未來會發(fā)生的事，云計算 系統(tǒng)也一樣，不能抗拒的自然現(xiàn)象、一些硬件及軟件事故的發(fā)生，都會影響云計算的順利運行，而作為服務(wù)商，必須要有風險意識，能夠做到未雨綢繆，在技術(shù)上給予更完善的保障，要形成一套比較完備的預備措施，一旦發(fā)生意外，將能夠立即對數(shù)據(jù)庫中的資料進行 備 份和保護。此外，還需要為每一個服務(wù)器分一個獨立的硬盤分區(qū)，在進行邏輯上隔離和進行安裝的時候。引入虛擬機引起的安全問題包括以下內(nèi) 容：攻擊打不了補丁，偵聽是在脆弱的服務(wù)器端口進行，安全措施差的賬戶可能會被綁架，密鑰（接入和管理主機）被盜。云計算的安全環(huán)境因為虛擬記得加入而改變，但是也引起了很多前安全問題。 數(shù)據(jù)的完整性顧名思義就是在長時間內(nèi)，存儲在云端的數(shù)據(jù)是不會隨著時間的推移而改變的，也不會造成數(shù)據(jù)丟失什么的。假如進程之間可以相互訪問然而尼瑪可以互設(shè)不同，不僅在解密方面的話只會可能拿到錯誤的信息，而且系統(tǒng)會在不能通過系統(tǒng)驗證的情況下及時制止非法的訪問。這么第 15 頁 共 43 頁 說吧，有三個層次可以進行進程的隔離。在這種情況下是無法區(qū)分訪問是來自進程內(nèi)或者是其他進程：攻擊程序和受害程序運行在同一個平臺上，另外還共同使用是個密碼加密程序（當然也產(chǎn)生數(shù)據(jù)摘要）。一般來說，在數(shù)據(jù)加密的同時，大部分 還會同時使用數(shù)據(jù)切分，就是把數(shù)據(jù)分成不同的部分分散存儲在不同區(qū)域的服務(wù)器上，這樣更能保證數(shù)據(jù)的安全性。在上傳前進行秘鑰加密，上傳后再通過對應(yīng)的加密方式來解密，這樣就能保證在上傳過程中的安全性。 對于云計算安全，防止外部人員盜取內(nèi)部數(shù)據(jù)是非常重要的，所以 數(shù)據(jù)的隔離體系顯得尤為重要，其 可以防止外來人員訪問內(nèi)部資料。數(shù)據(jù)存在于網(wǎng)上和云技術(shù)提供的服務(wù)，用戶的授權(quán)限制的原因有可能訪問不了用戶域也訪問不了控制體系， 所以也就沒有對用戶的一些關(guān)于隱私的數(shù)據(jù)得到很好的保護了。如果形成了一個統(tǒng)一標準，在應(yīng)用技術(shù)、方式方法上使得各服務(wù)商達到統(tǒng)一，這樣有利于整個云計算服務(wù)領(lǐng)域的高效發(fā)展。 經(jīng)過近幾年的發(fā)展，云計算技術(shù)在國內(nèi)外上都取得了可喜的成就，成為了廣大用戶可信 任的一種服務(wù)模式。在將來，私有云將成為公共云服務(wù)系統(tǒng)的基石 ,加強 IT 數(shù)據(jù)中心和混合環(huán)境的控制 ,第 14 頁 共 43 頁 將成為“混合云”占領(lǐng)市場主導地位的動力之一。如今云計算技術(shù)已經(jīng)逐漸地推廣 ,眾多企業(yè)的信息數(shù)據(jù)將應(yīng)用虛擬化和自動化 ,私有云和公共云的過渡與兼容而成為一種趨勢。但是，我們可以將云計算服務(wù)按照使用對象、使用范圍以及業(yè)務(wù)模式等方面劃分為不同的安全等級要求，例如：根據(jù)使用對象可以劃分分為面向政府、企業(yè)和普通用戶的云服務(wù)；根據(jù)使用范圍可以劃分為私有云、公有云、混合云等，根據(jù)業(yè)務(wù)模式可以劃分為提供信息、數(shù)據(jù)、軟件和基礎(chǔ)設(shè)施資源的云服務(wù)等，并根據(jù)每個等級的特點和需求制定相應(yīng)的安全防護標準和等級保護制度。正因為其利益的驅(qū)動，所以需配套建設(shè)有力的管控手段，以此來確保云計算服務(wù)行業(yè)的和諧。例如：出臺相應(yīng)的數(shù)據(jù)保護法、建立云計算平臺網(wǎng)絡(luò)安全防護制度、建立應(yīng)急處置預案、明確云計算服務(wù)提供商管理責任 、 規(guī)范跨境云計算 技術(shù)的 經(jīng)營模式，制定用戶使用日志留存規(guī)范 等 。要對云計算系統(tǒng)的運營商和用戶進行責任和義務(wù)的劃分。 統(tǒng)一 經(jīng)過了多年的發(fā)展，云計算系統(tǒng)已經(jīng)成為了一個大眾、高效的信息傳播的平臺。這些風險可能會導致用戶數(shù)據(jù)保密性、可用性和完整性遭到嚴重的破壞。當然，云計算系統(tǒng)也在很多方面與信息安全模式存在著差異，計算云中的數(shù)據(jù)一般情況下都是虛擬狀態(tài)，這對云計算系統(tǒng)的管理和維護都提出了嚴峻的挑戰(zhàn)，并且在進行轉(zhuǎn)變模式以后很容易會出現(xiàn)安全問題，這些都是云計算系統(tǒng)較傳統(tǒng)的信息系統(tǒng)的一些不足和缺陷 [11]。 對于云計算技術(shù)來說，其運行的最大目的就是能夠保障數(shù)據(jù)庫中所有資料安全、完整的存儲和傳遞，滿足用戶對資料的需求。 云計算技術(shù)，是一個需要持續(xù)運行的服務(wù)平臺，這要保證向用戶提供信息、數(shù)據(jù)、資料的持續(xù)性，這一特性，對云計算的控制平臺提出了很高要求，必須要有超強的穩(wěn)定性能，保證數(shù)據(jù)處理、發(fā)布時間和精準度。 不成熟的技術(shù)層面 云計算的最大的特點就是所有信息、數(shù)據(jù)和資料的形式都是虛擬的，而應(yīng)用的技術(shù)也是虛擬的，這種強大的虛擬特性，能夠 很好地解決信息、數(shù)據(jù)和資料的第 12 頁 共 43 頁 延展性，很容易地實現(xiàn)拓寬信息的寬度 和廣度，提高服務(wù)用戶的效率。由于數(shù)據(jù)存放地點不清楚，數(shù)據(jù)恢復更是無從談起。 在云計算的環(huán)境下，用戶數(shù)據(jù)在終端運算，用戶不知道數(shù)據(jù)存儲的位置，在發(fā)生安全事故時，云服務(wù)商不能及時的告知用戶他們所存儲的數(shù)據(jù)遇到了怎樣的情況，用戶也就無法對所需運輸?shù)臄?shù)據(jù)進行及時的處理。在技術(shù)領(lǐng)域上，云計算是完全可以克服這一問題的。 例如，在進行數(shù)據(jù)傳遞的過程中，稍有不慎就會將重要的數(shù)據(jù)信息泄露或丟失，這樣往往會造成不可彌補的損失。同時，目前云計算服務(wù)技術(shù)的發(fā)展參差不齊，都沒有制定出相應(yīng)的服務(wù)和管理規(guī)則，導致云計算服務(wù)行業(yè)沒有一個統(tǒng)一標準去執(zhí)行，這也大大增加了云計算服務(wù)出現(xiàn)安全問題的可能性。 云計算服務(wù)現(xiàn)已集合了數(shù)據(jù)存儲、互聯(lián)網(wǎng)服務(wù)、內(nèi)容分發(fā)等業(yè)務(wù)，并正在擴大經(jīng)營的范圍。并且，云計算的服務(wù)商都有自己獨特的運行方式，所以在服務(wù)的整體性上也存在著許多的不完善。 云計算模式是在最近幾年剛剛發(fā)展起來的，在很多地方都有值得研究和提高第 11 頁 共 43 頁 的地方。另外，云計算服務(wù)系統(tǒng)一般都會涉及到一些類似于硬件和軟件的系統(tǒng)運營以及存儲工具，并且為用戶服務(wù)的過程中，會運用到一些關(guān)于安全性和機密性的技術(shù)方法，這些都是云計算與傳統(tǒng)信息安全模式相通的地方。 云計算 引發(fā)的新的 安全問題 統(tǒng)一 標準與規(guī)定 云計算技術(shù)是面向全世界服務(wù)的一種計算機互聯(lián)網(wǎng)服務(wù)，每一個國家都有權(quán)利制定相應(yīng)的法 律法規(guī)對云計算技術(shù)進行監(jiān)督管理，而不同國家所制訂和執(zhí)行的法律，總會存在些或大或小的差異，這就對跨國運營的云計算技術(shù)提供商提出了巨大的挑戰(zhàn)，這使得云計算的跨國合作變得困難。很多黑客正是針對云計算系統(tǒng)的這一軟肋，對服務(wù)器進行攻擊，一旦非法入侵，對于客戶信息的安全性，乃至整個互聯(lián)網(wǎng)的穩(wěn)定都會造成很大的影響。病毒傳播、黑客攻擊、用戶信息被盜等這些不法行為也同樣可以發(fā)生在云計算平臺上，對于云平臺來說，比傳統(tǒng)互聯(lián)網(wǎng)服務(wù)具有更大的開放性和動態(tài)性，所以其影響范圍也將遠遠高于傳統(tǒng)的互聯(lián)網(wǎng)，當云計算平臺受到黑客攻擊時，會對所有的云服務(wù)產(chǎn)生影響，并且黑客還可以利用云計算 工具將攻擊范圍擴大。這種審計功能的不完善性，使得用戶要承受更多的風險，嚴重影響了用