一種基于分布式入侵檢測技術的云平臺安全策略研究

唐春蘭

（內江師范學院計算機科學學院，四川 內江641112）

0 引言

隨著計算機網絡技術的高速發展，云計算技術對信息產業的影響日益深遠，產業界推出了一系列基于云平臺的服務，但在已經實現的云平臺服務中，安全問題一直令人擔憂。安全和隱私問題已經成為阻礙云計算普及和推廣的主要因素之一。2011年1月21日，來自研究公司ITGI的消息稱，考慮到自身數據的安全性，很多公司正在控制云計算方面的投資，在參與調查的21家公司的834名首席執行官中，有半數的官員稱，出于安全方面的考慮，他們正在延緩云的部署，并且有三分之一的用戶正在等待。為了能夠減少云計算帶來的安全風險，讓云計算得以長足發展，安全策略的研究尤其重要。

在成熟的計算機安全技術中，主要包括病毒防護技術、入侵檢測技術、應用安全技術等等，它們在傳統的計算機安全策略中發揮了良好的作用。但是，在新穎的云計算平臺上，單一的安全策略功能捉襟見肘，各種技術的整合成為專門針對云計算開展安全策略研究的重點。本文將對入侵檢測技術和分布式網絡技術進行整合研究，從而實現一種云平臺安全架構策略。

1 分布式入侵檢測技術

入侵檢測（Intrusion Detection）是對入侵行為的檢測。它通過收集和分析網絡行為、安全日志、審計數據、其它網絡上可以獲得的信息以及計算機系統中若干關鍵點的信息，檢查網絡或系統中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測作為一種積極主動地安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網絡系統受到危害之前攔截和響應入侵。因此被認為是防火墻之后的第二道安全閘門，在不影響網絡性能的情況下能對網絡進行監測。

根據信息來源的不同，入侵檢測技術可以分為基于主機的入侵檢測、基于網絡的入侵檢測以及分布式入侵檢測三種。一般基于主機的入侵檢測技術主要使用操作系統的審計、跟蹤日志作為數據源，某些也會主動與主機系統進行交互以獲得不存在于系統日志中的信息以檢測入侵。而基于網絡的入侵檢測技術常常通過被動地監聽網絡上傳輸的原始流量，對獲取的網絡數據進行處理，從中提取有用的信息，再通過與已知攻擊特征相匹配或與正常網絡行為原型相比較來識別攻擊事件。隨著網絡的發展，網絡結構日益復雜，傳輸數據量隨之增大，而網絡中的攻擊手段也層出不窮，其中廣泛采用的分布式拒絕服務(DDoS：Distributed Denial of Service)應用環境中的海量存儲和高帶寬的傳輸技術，使得傳統的入侵檢測不能滿足系統需求，分布式入侵檢測在此狀況下應運而生。分布式入侵檢測使用分布式的方法對分布式的攻擊進行檢測，采用檢測信息的協同處理和入侵攻擊的全局信息提取以及分布式數據的融合作為關鍵技術，能夠在數據收集、入侵分析和自動響應各方面最大限度的發揮入侵檢測策略的優勢，因此，分布式入侵檢測成為現代主流IDS的發展趨勢。

2 基于分布式入侵檢測技術的云平臺安全架構策略

云計算平臺具有數據和服務外包、虛擬化、多租戶和跨域共享等特點，在這些特征中，虛擬化是基礎。在云計算中，軟硬件資源通過虛擬化實現多用戶共享，保證了IT資源利用效率和靈活性的最大化，優化了資源的使用，節約了能源和硬件設備，并簡化了管理，有效的降低了成本，這是云計算得以迅速發展的根本所在。然而，虛擬化技術也引入了比物理主機更多的安全風險。由于傳統安全策略主要適用于物理設備而無法管理虛擬機和虛擬網絡等，因此使得傳統的基于物理安全邊界的防護機制難以有效保護基于共享虛擬化環境下的用戶應用及信息安全。資源虛擬化支持不同租戶的虛擬資源部署在相同的物理資源上，方便了惡意用戶借助共享資源實施側通道攻擊，用戶的機密數據有可能因此泄露，或者黑客利用虛擬機進行DOS攻擊。

對于云計算的安全保護，通過單一的手段是遠遠不夠的，需要有一個完備的體系。傳統安全技術，如加密機制、安全認證機制、訪問控制策略通過集成創新，可以為隱私安全提供一定支撐，但不能完全解決云平臺的安全問題，需要進一步研究多層次的安全體系，為云平臺安全保護提供全方位的技術支持。云安全聯盟CSA在“云計算關鍵領域安全指南”中提出了云計算的安全運行措施，其中便包括了安全加固虛擬機鏡像。根據以上研究表明，通過在物理機、虛擬機和虛擬機管理程序三個方面增加分布式入侵檢測功能模塊，加強虛擬機的安全。基于分布式入侵檢測技術的虛擬機安全策略如圖1所示。

圖1 云計算平臺安全策略

采用這種方式搭建云平臺，可以結合分布式入侵檢測監控系統的功能，實現用戶不能突破虛擬機的界限、虛擬機之間安全隔離、虛擬機內部的安全監控與惡意代碼過濾，提高云平臺基礎設施的防攻擊能力，最大限度的保護云平臺中資源的隱私與安全，確保云計算平臺的服務有效性和連續性。

3 結論與展望

分布式入侵檢測技術與云平臺的完美結合，可以實時監測各種非法入侵行為，同時也可以在發生入侵事件時給予實時報警，實現了從底層物理機到虛擬機的安全監控，防患于未然，給云平臺服務提供了更完善的應用服務，為推動云平臺的普及和推廣提供了有力的技術支持。

［1］陸嘉恒.分布式系統及云計算概論[M].清華大學出版社,2012.

［2］中國電信網絡安全實驗室.云計算安全技術與應用[M].電子工業出版社,2012.

［3］胡昌振.網絡入侵檢測原理與技術[M].2版.北京理工大學出版社,2010.