基于云环境中的异常检测技术研究

摘要

随着云计算技术的广泛应用，云计算成为提高生产力的有力工具。但是，与此同时云安全问题也日益凸显，针对云计算环境的攻击频繁加剧，云计算环境面临着新的安全威胁，传统的异常检测技术仅仅考虑在操作系统内部进行检测或信息提取，而基于网络规则的入侵检测技术又难于发现新的安全威胁。因此，基于云环境的入侵检测技术面临着新挑战。目前，虚拟机自省技术（Virtual Machine Introspection，VMI）已经成为解决云安全问题的关键技术，该技术可以从虚拟机外部通过语义重构等方式获取虚拟机的详细运行状态信息，依赖这种技术可以有效的判定云环境客户虚拟机中的隐藏威胁，并利用进程与网络的对照关系有效地将主机检测与网络检测相结合，提升云环境的异常检测的准确率，降低误报率和漏报率。本文提出了一种基于VMI的混合协同检测架构，主要研究工作和成果如下： （1）详细分析了虚拟机自省技术的实现方式，在云环境虚拟化平台特权域Hypervisor层中部署相应的自省工具，实时动态获取虚拟机内存转储文件、网络数据包流量、进程行为、模块、文件、注册表等虚拟机安全状态信息。 （2）总结分析了云环境中的安全威胁模型，从攻击流向与攻击层级两个方面分析了云环境所面临的多种安全威胁，将云环境中的攻击形式分为外部攻击、以虚拟机为目标的攻击以及由虚拟机发出的攻击三类，从虚拟机、虚拟机监视器、存储、网络、硬件五个层面分析了云环境中的典型攻击形式。 （3）根据上述研究成果提出了一种基于VMI的混合协同检测架构，在虚拟机网络端口处对虚拟机进行网络异常检测，利用VMI技术无代理的从虚拟机外部提取虚拟机的运行状态信息，采用机器学习的方式对虚拟机进行主机检测，利用获取的主机中进程与网络的对照关系动态实时更新网络检测的规则库，实现网络与主机的协同检测。 （4）部署实现了基于VMI的混合协同检测架构，并通过实验验证了其功能和性能，结果表明该检测模型能够对目前大部分攻击进行检测，具有良好的安全性、可拓展性和对未知攻击的检测能力。

目录

第一个书签之前