云環境中基于警報關聯的入侵檢測算法研究

摘要：云計算環境由大量的虛擬機構成，能夠為用戶或者各種應用系統按需提供計算能力或存儲能力等。然而，云計算在發展的過程中，其安全性已成為不可忽視的重要問題。云安全是保護云上資產不受侵害的重要保障。文章詳細介紹AASID的入侵檢測方案，針對滿足復雜網絡環境、提高入侵檢測精度、減少誤報的實現目標，給出AASID的系統模型和算法整體描述；詳細闡述入侵證據收集策略，包括Camp;C通信檢測和主機脆弱性分數評估；與多種現有算法進行仿真比較，分析AASID算法的多項性能。仿真結果表明，AASID算法的功能完善且入侵檢測性能良好，可以有效減少誤報率。

關鍵詞：AASID 算法；警報關聯；入侵檢測算法

中圖分類號：TP393

文獻標志碼：A

0 引言

隨著社會經濟的進步，云計算迎來了高速發展。各大廠商都推出不同的云服務平臺，利用其強大的計算能力和存儲能力，為不同的領域提供解決方案，包括存儲、計算等服務，這極大方便了中小型企業。然而，在云計算發展的過程中，其安全性是不可忽視的重要問題。其中，針對僵尸機（Bot）的入侵檢測是云安全中的關鍵點。若無法保障云環境中的虛擬機不受入侵，用戶的信息資源就容易被泄露。除此之外，被入侵的虛擬機會成為大規模網絡攻擊的棋子，這不僅是對云計算資源的濫用，也會對網絡環境造成嚴重的影響。

現有的入侵檢測算法大多沿用傳統的網絡入侵檢測算法，沒有考慮到復雜網絡環境，例如：設計統一的行為規則，當網絡中出現偏離規則的行為時，即認為產生了入侵；在設計關聯算法時過于理想化，例如：當產生兩種及以上警報時，就認為產生了入侵。此外，還有算法利用網絡整體的信息檢測僵尸網絡，但當網絡中的Bot數量不足時，會導致檢測失敗。因此，云環境中的入侵檢測仍然具有重要的意義。

1 優化算法的提出

通過對多個現有算法的分析，發現現有算法仍然沿用傳統的網絡入侵檢測算法，沒有考慮到復雜網絡環境，缺少自適應能力，同時忽略入侵檢測的高誤報率等問題，缺少對警報進行進一步處理的方案。本文提出的一種云環境中基于警報關聯的入侵檢測算法，通過對網絡傳輸進行檢測得到Camp;C通信的證據，同時對主機的脆弱性分數進行評估得到主機脆弱性證據，結合二者的信息進行警報關聯，實現對Bot的入侵檢測，并向管理員發出最終的警報。

2 基于警報關聯的入侵檢測算法架構

本節提出一種云環境中基于警報關聯的入侵檢測算法 AASID，圖1展示了 AASID算法的工作流程，包含3個主要步驟：（1）結合多個入侵檢測工具，進行入侵證據的收集，得到不同的警報證據；（2）設計關聯策略對多個警報證據進行融合，并使用融合的警報設計行為模板；（3）基于行為模板設計入侵檢測策略。

AASID算法的入侵證據收集策略，入侵證據收集是檢測主機是否被感染的基礎，AASID算法主要考慮兩個方面的證據。

2.1 Camp;C通信檢測

針對Bot與攻擊者建立連接的過程中所產生的Camp;C通信，BotDet算法為不同的通信手段設計了不同的檢測模塊，可以有效檢測出網絡傳輸中的異常行為。如圖2所示，BotDet算法包括4個檢測模塊和1個關聯框架，4個檢測模塊分別針對Bot在Camp;C 通信中可能使用的不同技術進行檢測，并發出入侵警報。4種類型的警報Alert1、Alert2、Alert3、Alert4分別對應4個檢測模塊。關聯框架對4種警報進行分析，判斷是否發出最終警報，可以降低單個檢測模塊引起的誤報。

這4個檢測模塊實時檢測網絡傳輸。

（1）惡意IP地址檢測模塊（Malicious IP Address Detection，MIPD）基于僵尸網絡的IP 黑名單進行檢測，將網絡傳輸中的IP與黑名單中的IP 匹配，若匹配成功則發出警報。

（2）惡意SSL證書檢測模塊（Malicious SSL Certificate Detection，MSSLD），由于安全套接層（SSL）通過加密來保護通信，容易被Camp;C通信利用。因此，MSSLD 模塊使用了SSL證書黑名單來進行檢測，將網絡傳輸中的SSL與黑名單中的SSL匹配，若匹配成功則發出警報^［5］。

（3）域通量檢測模塊（Domain Flux Detection，DFD）檢測Camp;C通信中常使用Domain Flux技術，主要針對Domain Flux技術產生大量DNS查詢失敗的特征進行檢測，從歷史數據中得到DNS查詢失敗的閾值，再根據閾值進行判斷。

（4）Tor連接檢測模塊（Tor Connection Detection，TORCD）。Tor是匿名的通信網絡，通過隱藏數據報文在網絡中所經過的路線來保護用戶隱私，因此常常被攻擊者用作通信的渠道，TORCD 將網絡傳輸中每個源IP和目標IP地址與Tor服務器列表進行匹配，若匹配成功，則發出警報。

2.2 主機脆弱性評估

主機脆弱性評估是對主機安全狀況的評估，包括對主機端口、漏洞信息的綜合考量。脆弱性評估不同于其他入侵檢測技術，入侵檢測、防火墻等技術都是在攻擊進行時被動檢測，而脆弱性評估是對主機安全狀況主動探測^［6-8］。因此，脆弱性評估可以作為入侵檢測的輔助手段，收集主機的安全狀況作為入侵證據，并以此為基礎展開進一步的分析和計算，可以完善現有的入侵檢測方法。調查顯示，使用攻擊圖技術對主機進行脆弱性評估是一個不錯的選擇。因此，AASID算法使用攻擊圖對主機進行脆弱性評估，并對現有攻擊圖技術中存在的問題進行改進。

3 仿真實驗與結果分析

將AASID算法和現有的BotDet算法^［2］、BotHunter^［3］算法比較入侵檢測性能，BotDet算法針對Bot在通信過程中所產生的Camp;C通信進行檢測，為不同的通信手段設計不同的檢測模塊，并設計關聯框架對4種警報進行分析，認為當網絡中產生兩種Camp;C通信警報時，則主機被感染。這種判斷方式忽略了網絡的不穩定性，容易產生誤報和漏報。BotHunter算法使用Bot的生命周期進行檢測，基于主機被感染的幾個階段，采集階段性證據，判斷主機是否被感染。這種方法過分依賴于每個階段的成功檢測，忽略了單個階段出現高異常值的情況。本研究從兩個方面對算法進行評價，包括功能分析和性能分析。功能分析從算法的功能上進行對比，性能分析使用MATLAB進行仿真，對3種算法在查全率和誤報率等方面的結果進行對比。

3.1 仿真參數設置

為了評估所提出的算法，仿真基于Conficker僵尸程序的行為進行模擬設計，其原理為利用系統的漏洞進行感染，存在漏洞的主機若響應攻擊者偽造的惡意請求，容易觸發緩沖區溢出漏洞進而被感染。

仿真使用MATLAB軟件，仿真模擬了1 500個虛擬主機，將其劃分為3個集群。仿真的具體方式為利用MATLAB為每個主機設置基本參數，包括主機id、是否有漏洞、主機脆弱性分數和主機狀態等；然后為每個主機產生虛擬行為向量，包括噪聲行為，例如：連接到惡意的IP地址等，主機產生噪聲行為和概率相關，概率值分別設置為10%，30%，50%。

3.2 仿真結果分析

性能分析通過仿真進行，仿真對3種算法在誤報率、精度這兩個方面的性能進行了對比，其結果如下。

3.2.1 誤報率（FPR）

圖3反映了3種算法在誤報率方面的效果，從圖中可以看出BotDet的誤報率較高，因為BotDet受到網絡通信行為的影響，例如：誤連接到惡意的IP地址等，這些都會導致BotDet產生誤報。而BotHunter對多個感染階段進行檢測，出現至少兩個階段的證據時才判斷入侵，因此誤報率較低。但由于網絡環境的不穩定，主機有可能同時產生兩個階段的警報，這種情況下容易被BotHunter判斷為被感染。AASID算法是基于主機的行為模板設計檢測方案，對于經常產生誤報行為的主機，AASID算法不會立即將其判斷為被感染，而是基于行為模板進行判斷，當主機的警報向量與行為模板有一定偏差時，才會判斷主機被感染，因此誤報率較低。

此外，圖3（a）反映了3種算法在不同Bot比例下的誤報率。從圖中可以看出3種算法的誤報率受Bot比例的影響不大。圖3（b）反映了3種算法在不同的噪聲環境中的誤報率情況，從圖中可以看出BotDet受噪聲影響較為嚴重，在不同噪聲環境中的表現差異比較大，即產生噪聲行為的主機越多，BotDet的誤報率越高。而AASID算法為每個主機制定短期的行為模板，通過將當前行為和行為模板比較來判斷是否產生入侵，因此可以有效減少噪聲的影響。

3.2.2 精度（Precision）

圖4為3種算法的Precision對比，從圖中可以看出，AASID 算法的Precision較高，而BotDet和BotHunter算法的 Precision 較低。這是由于AASID算法采用警報關聯的思想，結合多方面的入侵證據，誤報數量較少，精度較高。而BotDet算法和BotHunter算法的Precision較低，因為二者存在一定的誤報，因此精度不高。

4 結語

本文提出了云環境中基于警報關聯的入侵檢測算法AASID，分析現有算法存在的問題，明確本文算法的設計目標，闡述算法整體流程，并按照步驟詳細闡述每個關鍵技術。仿真實驗從功能和性能上對3種算法進行了比較。仿真結果表明，AASID算法的功能完善且入侵檢測性能良好。這是由于AASID算法采用多種入侵檢測證據進行關聯分析，同時行為模板的制定更符合每個主機的行為習慣，可以有效減少誤報率。

參考文獻

［1］羅軍舟，金嘉暉，宋愛波.云計算：體系架構與關鍵技術［J］.通信學報，2011（7）：3-21.

［2］李喬，鄭嘯.云計算研究現狀綜述［J］.計算機科學，2011（4）：32-37.

［3］何強勝.大數據云計算環境下的數據安全研究［J］.輕紡工業與技術，2020（1）：87-88.

［4］羅曉慧.淺談云計算的發展［J］.電子世界，2019（8）：104.

［5］許子明，田楊鋒.云計算的發展歷史及其應用［J］.信息記錄材料，2018（8）：66-67.

（編輯 王永超）

Research on intrusion detection algorithm based on alert correlation in cloud environment

Cao Ying

（Wuxi Vocational College of Science and Technology， Wuxi 214000， China）

Abstract： Cloud computing environment consists of a large number of virtual machines， which can provide users or various application systems with computing power or storage capacity on demand. However， in the process of the development of cloud computing， its security has become an important issue that cannot be ignored. Cloud security is an important guarantee to protect cloud assets from infringement. This paper introduces the intrusion detection scheme of AASID in detail. Aiming at the realization goal of meeting the complex network environment， improving the accuracy of intrusion detection， and reducing 1 positives， the overall description of AASID system model and algorithm is given at first. Then the intrusion evidence collection strategy is described in detail， including Camp;C communication detection and host vulnerability score evaluation. The performance of AASID algorithm is analyzed by comparing with other existing algorithms. The simulation results show that the AASID algorithm has perfect functions and good intrusion detection performance， which can effectively reduce the 1 alarm rate.

Key words： AASID algorithm; alarm correlation; intrusion detection algorithm