基于數據挖掘技術的網絡入侵檢測系統

王剛

（陜西警官職業學院，陜西西安 710016）

隨著數據計算需求的激增及大數據技術的發展，分布式云計算技術得到了廣泛關注[1-2]。云計算平臺可以利用分布式硬件平臺，向不同用戶提供多樣的云計算服務。同時，由于其開放性的特點，受到多種類型的網絡攻擊，面臨了各種安全風險[3-4]。

云計算平臺的安全防御問題得到了廣泛研究。文獻[5-6]分析了云計算平臺會面臨的網絡攻擊與風險類型。在此基礎上，文獻[7]研究了基于風險類型評估的等級保護策略。另外，為了解決非法入侵的問題，還研究了基于多種方法的安全接入機制[8-9]。

考慮到網絡攻擊類型的多樣化，關于敏感數據識別的網絡安全防御方法，可以在較大程度上識別非法數據攻擊[10]。基于私有云研究安全平臺及文件加密機制可以保障云計算平臺的數據安全[11-13]。另外，為了準確識別多種類型的網絡攻擊，進行有針對性的防御，機器學習等學習類算法被廣泛應用于安全防御平臺[14-15]。

文中針對多語種媒體融合云平臺進行隨機化防御安全體系設計。在分析多種風險類型的基礎上，設計了包括物理基礎設施、虛擬主機、虛擬網絡、數據和應用在內的五維一體安全防御體系。為了最大程度地提高云平臺的安全性，文中使用隨機化方法在每一個云計算服務層對參數與密鑰進行隨機化處理[16-17]。另外，文中使用故障模型匹配方法對攻擊類型進行識別并報警，以進一步提高防御概率。通過對比增加隨機化防御前后的網絡攻擊防御成功概率及報警錯誤概率，可以說明文中所設計的安全防御體系，能夠有效提高云平臺抵御網絡攻擊的能力。

1 風險類型

媒體融合云平臺面臨著各種類型的攻擊，其中包括主動式攻擊及隨機式病毒等[18]。主要面臨的風險包括：數據泄露風險、隔離失效風險、用戶惡意攻擊風險與資源濫用風險。

1）數據泄露風險

媒體融合云平臺存儲海量多媒體數據，包括用戶信息數據及媒體信息數據。由于媒體傳播的特殊性，云應用平臺的數據必須確保安全。但實際上，云平臺會面臨多種惡意攻擊，存在較大的數據泄露風險。

2）隔離失效風險

對于云應用平臺而言，用戶、平臺終端及數據庫之間利用網絡連接。一般通過網關、路由器和防火墻等進行安全性隔離。若不同終端間的隔離失效，則存儲于不同終端的數據可能會被惡意修改，因此存在隔離失效的風險。

3）用戶惡意攻擊

云平臺是對外完全開放的應用平臺，用戶涉及不同類型，且需求也多種多樣。可能存在部分用戶惡意攻擊平臺的現象，非法獲取、破壞其他數據，或者通過飽和攻擊以及惡意病毒破壞平臺安全。

4）資源濫用風險

由于云平臺的開放性屬性，可能存在大量用戶操作同時占用云計算資源。另外，云計算平臺自身的維護與運營也需要占用平臺資源，可能會存在資源濫用的情況導致用戶側資源緊張，無法接入平臺。因此，平臺需要加強安全監管及對合作單位的監督，規避資源濫用的風險。

2 云平臺服務架構

文中針對多語種媒體融合云平臺進行了安全防御體系研究。多語種媒體融合云平臺采用三層架構建設，即SaaS 層、PaaS 層和IaaS 層，云平臺為云用戶提供的服務類型主要包括軟件服務、平臺服務及基礎設施服務三項。云平臺用戶通過APIs 接入云平臺，調用相應的應用程序并與云平臺完成數據交互。當大量云用戶進行平臺操作時，需要平臺服務中的中間件進行交互。而中間件與底層的APIs 進行交互，調用虛擬服務器以及硬件設施為云用戶提供服務。

多語種媒體融合云平臺的平臺建設采用公有云、私有云和專屬云三維共建的混合云模式。不同類型的云平臺可以為用戶提供不同的云服務，3 種云平臺可以靈活地進行配置，有機構成整個云平臺架構[19]。不同的用戶與維護人員可以根據需要有選擇地將數據配置到不同的云上，最終形成多云協同共建的融合云平臺。

公有云是指面向整個互聯網環境的云平臺，可以為互聯網所有用戶提供云服務，公有云配置較高，可以支持計算量較大或存儲空間需求量大的云服務。公有云可以提供安全性或隱私性需求較低的服務。

私有云主要是針對媒體用戶需要，在媒體單位內部建設云平臺存儲多媒體數據，并為員工提供軟件服務及應用系統。私有云作為公有云的一個補充，既可以保留公有云的服務質量，又可以在較大程度上提高云平臺的安全特性。私有云既可以為用戶提供數據存儲服務，也可以作為虛擬化云應用中心。

專屬云相對于私有云具有更加私密性的特點，主要針對于特定用戶。相對于公有云與私有云，其在安全性上進一步提高。在物理架構上設置了隔離資源池，允許用戶獨自占有平臺資源，可以個性化定制云服務，因此更加獨立、靈活。

3 云應用隨機化防御安全體系架構

3.1 安全體系架構

文中所設計的媒體融合云的安全防御體系涉及多層次、多領域，其采用物理基礎設施、虛擬主機、虛擬網絡、數據和應用在內的五維一體安全防御體系設計，可以對物理基礎設施、網絡與數據等進行綜合防護，最大程度上提高云平臺的安全性。文中所設計的媒體融合云的安全防御體系，如圖1 所示，整個安全體系采用層級架構進行設計。

圖1 媒體融合云的安全防御體系架構

物理環境安全主要是在物理層面考慮系統的安全性，包括云計算的計算模塊、存儲模塊、網絡接口設備、服務器終端及傳輸網等。通過保證物理基礎設施的安全性來確保整個平臺的安全。

虛擬主機安全主要涉及病毒防護、攻擊預警和安全訪問。平臺對服務主機進行防護，采用部署防火墻等技術手段對虛擬主機進行安全隔離。

虛擬網絡安全主要針對兩方面：虛擬化安全與網絡安全。虛擬化安全是不同虛擬機之間的配置與交互管理，需要設置安全隔離層。網絡安全主要針對網絡傳輸及網絡層的各個接口，需要在網絡層應用防火墻等進行邊界隔離，保護網絡層通信安全。同時，平臺需要加強對網絡攻擊與病毒的掃描、檢測與審計。

數據安全主要涉及數據傳輸、訪問和存儲等操作，既要保證數據在傳輸過程中不發生泄露與污染，又要保證數據可以安全、可靠地被存儲與調用。

應用安全主要是保證云平臺提供的多種應用服務的安全性，包括數據庫、業務系統、辦公軟件和電子郵件等服務。平臺需要保證用戶可以安全的接入，避免發生數據泄露的問題。

3.2 隨機化防御機制

在傳統云計算平臺下，從用戶終端到SaaS、PaaS和IaaS 服務模塊均可能會受到網絡攻擊，且攻擊的位置與時間是隨機的，這增大了安全防御的難度。網絡攻擊模式如圖2 所示。

圖2 云應用平臺隨機化攻擊模型

為了抵御隨機化的網絡攻擊，文中提出基于隨機化防御的云應用安全體系。即在每一層云計算服務信息傳遞過程中進行隨機化處理，將消息采用隨機化密鑰加密后再傳輸。即使攻擊者可以隨時在任何進程進行隨機化攻擊，但沒有信息傳遞密鑰也無法進行破解，從而保護了整個云計算平臺的安全性。經過隨機化防御的云計算平臺受攻擊模型如圖3 所示。

圖3 云應用平臺隨機化攻擊防御模型

在云計算服務的每一層進行隨機化防御部署，利用隨機化參數信息傳遞與隨機化密鑰保證信息安全。各個服務層之間通過調用APIs 進行信息傳遞，對各個信息服務層的隨機化密鑰進行處理，需要在每一層服務棧設置管理單元。利用特殊協議傳遞各服務層的隨機化參數信息。云計算環境下的隨機化部署模型如圖4 所示。

圖4 云計算環境下隨機化部署模型

從圖4 中可以看出，多個用戶網絡能夠同時通過不同終端接入云計算平臺，為應對各種類型的攻擊。云計算平臺的隨機化部署主要包括：數據傳輸隨機化及基礎設施服務接口隨機化兩部分。其中，兩個部分均在各個服務層內置了管理單元，負責密鑰及隨機化參數的傳遞與管理。

數據傳輸模塊與用戶網絡進行交互，不同數據傳輸模塊之間通過管理云網絡進行數據協調。從頂層到底層包括數據隨機化、指令隨機化及地址隨機化。平臺將用戶交互的數據、發布的指令與數據傳輸的地址進行隨機化加密，并將密鑰信息與參數信息通過管理單元的特殊協議二次加密傳輸，保證云平臺的安全。

用戶需求從頂層傳輸至云平臺底層，傳輸數據通過底層的管理單元進行數據解密。獲得用戶地址、所發布的需求指令與交互信息，并調用相應的程序為用戶終端提供服務。為了增強隨機化防御能力，基礎設施模塊通過數據傳輸接口隨機化、網絡接口隨機化和云服務接口隨機化避免端口被惡意劫持。針對不同用戶的不同需求，提供隨機化的接口可以有效防御傳統的固定地址與端口攻擊，也可避免網絡端口漏洞帶來的安全風險。

在隨機化防御機制啟動后，云計算平臺可以有效抵御多種類型的隨機化攻擊。為了進一步完善平臺的安全體系，文中在隨機化防御的基礎上又配置了云平臺安全防御報警系統，其報警流程如圖5所示。

圖5 云平臺安全防御報警流程

云平臺安全防御報警系統對云平臺的安全進行監控。首先，通過數據采集系統采集云計算平臺的狀態數據并進行數據處理。平臺內置多種類型的故障模型，系統將處理后的狀態數據與故障模型進行匹配，然后進行安全診斷。若出現異常，則進行安全告警；若結果正常，則直接顯示安全。處理后的狀態數據與安全診斷結果均要存儲到平臺數據庫中，以進行故障模型的訓練及安全日志的更新。

4 仿真驗證與性能分析

該節驗證所設計的基于隨機化防御的云應用安全防御體系的實際功效。文中針對幾種常見的網絡攻擊方法進行測試，通過對比增加隨機化防御前后的網絡攻擊防御成功概率，以及報警錯誤概率驗證隨機化防御方法的有效性。

文中所設計的基于隨機化防御的云應用安全防御體系對于不同類型的網絡攻擊均有較好的適用性，如表1 所示。在不同類型的網絡攻擊下，相對于隨機化防御前的防御概率提升2.1%～8.3%。另外，隨機化防御方法對于代碼注入攻擊的防御概率提升最低，對于拒絕服務攻擊的防御概率提升最高。

表1 隨機化防御前后多類網絡攻擊類型防御概率

表2 給出了使用文中所設計的隨機化防御方法，對于多種類型的網絡攻擊均有較好的識別概率。從整體趨勢上看，誤報概率略高于漏報概率。對于不同類型的網絡攻擊，平臺漏報概率在1.1%以下，且整體錯誤識別概率最高為2.6%，說明文中所設計的隨機化防御可以較好地識別網絡攻擊并進行防御，有效地保護云計算平臺。

表2 多類網絡攻擊類型隨機化防御報警錯誤概率

5 結束語

文中研究了基于隨機化防御的云應用安全體系。考慮到文中所針對的多語種媒體融合云平臺面臨的多種風險類型，其設計了包括物理基礎設施、虛擬機、虛擬網絡、數據、應用在內的五維一體安全防御體系，并在云計算平臺的每一個服務層使用隨機化方法，對傳遞參數與密鑰進行隨機化加密保證數據安全。通過對比增加隨機化防御前后的網絡攻擊防御成功概率及報警錯誤概率，可以說明文中所設計的安全防御體系可防御多種類型的網絡攻擊，具有較好的實用性。