法律状态公告日
法律状态信息
法律状态
2019-04-16
授权
授权
2017-01-04
著录事项变更 IPC(主分类):H04L29/06 变更前: 变更后: 申请日:20160325
著录事项变更
2016-09-14
实质审查的生效 IPC(主分类):H04L29/06 申请日:20160325
实质审查的生效
2016-08-17
公开
公开
技术领域
本发明涉及云计算信息安全技术领域,特别是涉及一种基于云计算环境的入侵检测系统配置方法和装置。
背景技术
云计算能够为用户节省基础设施建设和管理的相关资源,大大减小了用户的消耗,同时还有效提高了用户工作的效率。随着网络进入更加自由和灵活的Web2.0时代,云计算应用得到了进一步的发展,市场规模也迅速扩大,使其将成为类似水电、煤气的公共基础设施,云安全也就相应地成为了业界关注的焦点。它直接影响着企业和个人用户的隐私数据和重要信息的安全,这些潜在的安全风险使企业和个人的信息安全面临着严峻的挑战。
为了满足信息系统的需求和达到信息战水平的标准,就需要对网络入侵检测与安全预警系统的技术以及产业化进行深入细致的研究,该研究在加快网络系统的应对速度、降低网络攻击带来的危害、增强系统的动态检测能力、最优策略选择等方面有着非常重要的现实意义。
由于云计算环境是动态的,但许多防御/攻击行为或状态变量是不能被分离的时间,同时,在下一个时刻,以前的最佳决策可能不再是最好的,有可能是最坏的,因此相关策略的制定需要根据环境变化及时进行调整。
传统的入侵检测系统,一般在发布或者更新之后的相关参数是固定的,容易导致其安全性能低。
发明内容
基于此,有必要针对传统方案安全性能低的技术问题,提供一种基于云计算环境的入侵检测系统配置方法和装置。
一种基于云计算环境的入侵检测系统配置方法,其特征在于,包括如下步骤:
获取入侵检测系统当前的运行参数;
根据所述运行参数构建入侵检测系统的防御最优化整体收益模型;其中,所述防御最优化整体收益模型为描述入侵检测系统实时防御能力的模型;
获取使所述防御最优化整体收益模型达到纳什均衡状态的最优消耗值;
根据所述最优消耗值配置所述入侵检测系统的消耗参数。
一种基于云计算环境的入侵检测系统配置装置,包括:
第一获取模块,用于获取入侵检测系统当前的运行参数;
构建模块,用于根据所述运行参数构建入侵检测系统的防御最优化整体收益模型;其中,所述防御最优化整体收益模型为描述入侵检测系统实时防御能力的模型;
第二获取模块,用于获取使所述防御最优化整体收益模型达到纳什均衡状态的最优消耗值;
配置模块,用于根据所述最优消耗值配置所述入侵检测系统的消耗参数。
上述基于云计算环境的入侵检测系统配置方法和装置,通过获取入侵检测系统当前的运行参数,根据上述当前的运行参数构建能够表征入侵检测系统实时运行状态的防御最优化整体收益模型,再获取使所述防御最优化整体收益模型达到纳什均衡状态的最优消耗值,根据上述最优消耗值配置所述入侵检测系统的消耗参数,使相应的入侵检测系统可以据其自身运行参数调整其配置,提高了上述入侵检测系统的安全性能。
附图说明
图1为一个实施例的基于云计算环境的入侵检测系统配置方法流程图;
图2为一个实施例的基于云计算环境的入侵检测系统配置装置结构示意图。
具体实施方式
下面结合附图对本发明的基于云计算环境的入侵检测系统配置方法和装置的具体实施方式作详细描述。
参考图1,图1所示为一个实施例的基于云计算环境的入侵检测系统配置方 法流程图,包括如下步骤:
S10,获取入侵检测系统当前的运行参数;
在获取入侵检测系统当前的运行参数前,可以先对上述入侵检测系统进行初始化,使所获取的运行参数具有更高的精度。
入侵检测系统当前的运行参数也可以称为实时运行参数,一般可以包括:
Rm,入侵检测系统中云计算资源的安全价值参数。云计算资源主要包括CPU,带宽,物理、虚拟资源,可以用于相关模型建立过程中,云计算资源安全价值的表示,用于模型中防御者和攻击者的相关能量衡量值计算。
αAttack,恶意用户攻击的单位消耗值,可以表示攻击者攻击时的单位消耗量,可用于在博弈模型计算过程中攻击者的消耗量计算。上述单位消耗值可以包括单位时间内的时间消耗值和资源消耗值等等。
αMonitor,入侵检测系统监控的单位消耗值。表示监控攻击者的单位监控消耗量,用于在博弈模型计算过程中攻击者的消耗量计算。
αFalse,入侵检测系统误报的单位消耗值,可用于入侵检测系统发生误报警时所花费的资源计算。
uAj(t),t时刻恶意用户的攻击消耗值,为在建立微分博弈能力衡量函数过程中的重要参数。
uDi(t),t时刻入侵检测系统的防御消耗值,为建立微分博弈能力衡量函数过程中的重要参数。
ρA,恶意用户选择攻击的概率,可用于表示攻击者选择攻击的可能性。
ρD,入侵检测系统选择监控的概率,可用于表示防御者选择监测的可能性。
gi[·],攻击者和防御者在时间t的能力衡量函数。
x(t),入侵检测防御者在时刻t发现恶意用户攻击者的概率。
SDi,t时刻防御者的最终能力值。
SAj,t时刻恶意攻击者的最终能力值。
S20,根据所述运行参数构建入侵检测系统的防御最优化整体收益模型;其中,所述防御最优化整体收益模型为描述入侵检测系统实时防御能力的模型;
上述步骤中,可以利用上述入侵检测系统的实时运行参数建立相关函数, 再根据所建立的函数构建入侵检测系统的防御最优化整体收益模型,使所构建的防御最优化整体收益模型可以描述入侵检测系统实时防御能力。
S30,获取使所述防御最优化整体收益模型达到纳什均衡状态的最优消耗值;
纳什均衡(Nash equilibrium),又称为非合作博弈均衡,它可以用来解决不断发生动态变化的入侵检测系统的防御等相关动态策略。其可以为网络安全问题的建模和分析提供一个数学框架,它也可以为风险评估提供一种防御攻击过程的有效方法,由于云计算环境是动态的,但许多防御/攻击行为或状态变量是不能被分离的时间,同时,在下一个时刻,以前的最佳决策可能不再是最好的,有可能是最坏的,因此相关策略制定者需要根据环境变化及时制定相应的对策。在这种情况下,达到纳什均衡状态的微粉博弈理论更适合来解决基于风险预测的云计算环境下入侵检测系统的配置问题。
S40,根据所述最优消耗值配置所述入侵检测系统的消耗参数。
上述最优消耗值可以包括最优防御消耗值和最优攻击消耗值,可以根据最优防御消耗值配置入侵检测系统的防御消耗参数,根据最优攻击消耗值配置入侵检测系统的攻击消耗值参数,使所配置的入侵检测系统可以使用最少的资源,最大限度的进行入侵检测系统的防护。
本实施例提供的基于云计算环境的入侵检测系统配置方法,通过获取入侵检测系统当前的运行参数,根据上述当前的运行参数构建能够表征入侵检测系统实时运行状态的防御最优化整体收益模型,再获取使所述防御最优化整体收益模型达到纳什均衡状态的最优消耗值,根据上述最优消耗值配置所述入侵检测系统的消耗参数,使相应的入侵检测系统可以据其自身运行参数调整其配置,提高了上述入侵检测系统的安全性能。
在一个实施例中,上述运行参数可以包括安全价值参数Rm、恶意用户攻击的单位消耗值αAttack、入侵检测系统监控的单位消耗值αMonitor、入侵检测系统误报的单位消耗值αFalse、当前时刻恶意用户的攻击消耗值、当前时刻入侵检测系统的防御消耗值、恶意用户选择攻击的概率ρA、入侵检测系统选择监控的概率ρD和入侵检测防御者在当前时刻发现恶意用户攻击者的概率。
作为一个实施例,上述根据所述运行参数构建入侵检测系统的防御最优化 整体收益模型的过程可以包括:
根据所述运行参数获取入侵检测系统的支付矩阵;其中所述支付矩阵包括入侵检测系统在各个防御状态下防御能力衡量值和相应恶意用户的攻击能力衡量值之比;
根据所述支付矩阵以及运行参数中的防御参数获取入侵检测系统的能力衡量函数;
根据所述能力衡量函数构建入侵检测系统的防御最优化整体收益模型。
上述根据所述运行参数获取入侵检测系统的支付矩阵的过程可以包括:
根据运行参数获取预期能力参数,上述预期能力参数可以包括:防御者PD检测的预期能力参数:x(t)Rm-[1-x(t)]Rm=[2x(t)-1]Rm,攻击者PA预期能力参数是[1-2x(t)]Rm;
设置初始攻击消耗参数αAttackuAj(t)2和初始检测消耗参数αMonitoruDi(t)2,其中,αAttack和αMonitor均为非负参数,x(t)为入侵检测系统在时刻t发现恶意用户攻击者的概率,αFalse为入侵检测系统误报的单位消耗值,αMonitor为入侵检测系统监控的单位消耗值,uDi(t)为t时刻入侵检测系统的防御消耗值,uAj(t)为t时刻恶意用户的攻击消耗值,αAttack为恶意用户攻击的单位消耗值,Rm为安全价值参数;
根据上述预期能力参数、初始攻击消耗参数和初始检测消耗参数建立如表1所示的支付矩阵;
表1支付矩阵
上述表1包括入侵检测系统的受到攻击、没有受到攻击,实施监测和不实 施监测所组合的各个状态下的防御能力衡量值和相应恶意用户的攻击能力衡量值之比,其也可以表示为相应状态下的预期能力参数与实施攻击或者检测的消耗参数之差。
作为一个实施例,上述能力衡量函数可以包括:
gDi[·]=ρAρDRm+2ρAρDRmx(t)+(ρAρDαFalse-ρDαMonitor-ρDαFalse)uDi(t)2,
gAj[·]=ρARj-2ρAρDRmx(t)-ρAαAttackuAj(t)2,
式中,gDi[·]为入侵检测系统选择监控的能力衡量函数,gAj[·]为入侵检测系统选择攻击的能力衡量函数,ρA为恶意用户选择攻击的概率,ρD为入侵检测系统选择监控的概率,Rm为安全价值参数,x(t)为入侵检测系统在时刻t发现恶意用户攻击者的概率,αFalse为入侵检测系统误报的单位消耗值,αMonitor为入侵检测系统监控的单位消耗值,uDi(t)为t时刻入侵检测系统的防御消耗值,uAj(t)为t时刻恶意用户的攻击消耗值,αAttack为恶意用户攻击的单位消耗值。
本实施例中,ρA是恶意用户选择攻击的概率,0≤ρA≤1,当攻击者PA选择不攻击的概率是1-ρA。同样ρD是入侵检测系统选择监控的概率,当防御者选择不监测的概率为1-ρD。能力衡量函数是将支付矩阵中各个状态下的防御能力衡量值和相应恶意用户的攻击能力衡量值之比,与相应状态下的概率相乘,再进行求和运算。
作为一个实施例,上述防御最优化整体收益模型可以包括:
其中,A=ρAρDRm+2ρAρDRmx(t)+ζuDi(t)2,B=ρARj-2ρAρDRmx(t)-ρAαAttackuAj(t)2,ζ=ρAρDαFalse-ρDαMonitor-ρDαFalse,ρA为恶意用户选择攻击的概率,ρD为入侵检测系统选择监控的概率,Rm为安全价值参数,x(t)为入侵检测系统在时刻t发 现恶意用户攻击者的概率,αFalse为入侵检测系统误报的单位消耗值,αMonitor为入侵检测系统监控的单位消耗值,uAj(t)为t时刻恶意用户的攻击消耗值,uDi(t)为t时刻入侵检测系统的防御消耗值,αAttack为恶意用户攻击的单位消耗值。
本实施例通过动态非合作博弈理论构建防御最优化整体收益模型,上述时间间隔t可以为t∈[t0,T],时间t是连续的。γ是博弈中的贴现率,SDi和SAj是分别受攻击者和防御者控制的终端收益。PD/PA的结果是为了找到入侵检测系统防御者和恶意用户攻击者的最优策略,使上述防御最优化整体收益模型达到纳什均衡状态,可以最大限度提高入侵检测效率。
作为一个实施例,上述获取使所述防御最优化整体收益模型达到纳什均衡状态的最优消耗值的过程可以包括:
计算所述防御最优化整体收益模型在达到纳什均衡状态下的消耗参数,得到最优消耗值;
所述最优消耗值包括:
其中,ζ=ρAρDαFalse-ρDαMonitor-ρDαFalse,表示最优t时刻入侵检测系统的最优防御消耗值,表示t时刻恶意用户的最优攻击消耗值,ρA为恶意用户选择攻击的概率,ρD为入侵检测系统选择监控的概率,x(t)为入侵检测系统在时刻t发现恶意用户攻击者的概率,αFalse为入侵检测系统误报的单位消耗值,αMonitor为入侵检测系统监控的单位消耗值,αAttack为恶意用户攻击的单位消耗值,t0为入侵检测系统的初始化时刻,γ为入侵检测系统的贴现率,可以根据入侵检测系统的实时的防御能力衡量值与初始化后的防御能力衡量值之间的比值确定, 和分别是VDi(t,x)和VAj(t,x)对于x的一阶偏导数,上述为入侵检测系统的防御价值函数,可以根据入侵检测系统的实时防御状态确定,为入侵检测系统的攻击价值函数,可以根据入侵检测系统的实时攻击状态确定。
作为一个实施例,上述计算所述防御最优化整体收益模型在达到纳什均衡状态下的消耗参数的过程可以包括:
将入侵检测系统在时刻t发现恶意用户攻击者的概率x(t)定义为状态,并将其简写为x,t表示时间。设置Vi(t,x)是i博弈成员在时间间隔[t0,T]的价值函数。对于入侵检测防御者PiD,当i∈{1,2,...,m}时,其价值函数可以写为:
因此可以得到:
其中,
是VDi(t,x)对于t的一阶偏导数。将式(2)执行最大化,计算偏导数uDi,并把它等于0,我们得到下面的方程:
其中ζ=ρAρDαFalse-ρDαMonitor-ρDαFalse,
计算纳什均衡的控制问题(2),结果如下:
类似于防御者,对于云的恶意用户攻击者其中j∈{1,2,...,n},上述防御最优化整体收益模型可以符合以下条件:
其中,
计算得到:
将和带入式(3)和式(5),可以得到:
其中,i∈{1,2,...,m},j∈{1,2,...,n}
设置有助于求解方程的参数φDi,ψDi(t),φAj(t)和ψAj(t),使其满足:
取t=T得到瞬时解,ФDi(T)=SDi>
取t=T得到瞬时解,ΨDi(T)=0>
取t=T得到瞬时解,ФAj(T)=SAi>
取t=T得到瞬时解,ΨAj(T)=0>
再将VDi(t,x)和VAj(t,x)的偏导数带入式(7)和式(8),得到达到纳什均衡状 态下的消耗参数:
在一个实施例中,上述获取使所述防御最优化整体收益模型达到纳什均衡状态的最优消耗值的步骤后还可以包括:
在检测到入侵检测系统的恶意用户攻击的概率为0时,将入侵检测系统的消耗参数设置为第一预设值。
本实施例中,当入侵检测防御者在时刻t发现恶意用户攻击者的概率为0时,即x(t)=0,在这个时候,入侵检测防御系统没有对恶意攻击的任何防御措施,这将威胁到整个云环境的安全,此时可以将入侵检测系统的消耗参数设置为第一预设值,以上述入侵检测系统防御的强度。上述第一预设值可以根据相应入侵检测系统的网络环境进行设置。
在一个实施例中,上述使所述防御最优化整体收益模型达到纳什均衡状态的最优消耗值的步骤后还可以包括:
在检测到入侵检测系统的恶意用户攻击的概率为100%时,将入侵检测系统的消耗参数设置为第二预设值。
本实施例中,当入侵检测防御者在时刻t发现恶意用户攻击者的概率为1,即x(t)=1时,检测恶意攻击的瞬时概率是100%,此时若按照上述配置方法进行相关配置,可能会带来很多不必要的资源消耗。因此,可将入侵检测系统的消耗参数设置为第二预设值,以减少防御策略的力量,从而节省资源。上述第二预设值可以根据相应入侵检测系统的网络环境进行设置,第二预设值与第一预设值可以相同,也可以设置为不同的值。
作为一个实施例,上述检测恶意用户的概率可以动态地表示为以下公式。
其中,x(t)为入侵检测系统在时刻t发现恶意用户攻击者的概率,uDi(t)为t时刻入侵检测系统的防御消耗值,uAj(t)为t时刻恶意用户的攻击消耗值。x0为以初始值。
参考图2,图2所示为一个实施例的基于云计算环境的入侵检测系统配置装置结构示意图,包括:
第一获取模块10,用于获取入侵检测系统当前的运行参数;
构建模块20,用于根据所述运行参数构建入侵检测系统的防御最优化整体收益模型;其中,所述防御最优化整体收益模型为描述入侵检测系统实时防御能力的模型;
第二获取模块30,用于获取使所述防御最优化整体收益模型达到纳什均衡状态的最优消耗值;
配置模块40,用于根据所述最优消耗值配置所述入侵检测系统的消耗参数。
在一个实施例中,上述基于云计算环境的入侵检测系统配置装置,还可以包括:
设置模块,用于在检测到入侵检测系统的恶意用户攻击的概率为0时,将入侵检测系统的消耗参数设置为第一预设值。
本发明提供的基于云计算环境的入侵检测系统配置装置与本发明提供的基于云计算环境的入侵检测系统配置方法一一对应,在所述基于云计算环境的入侵检测系统配置方法的实施例阐述的技术特征及其有益效果均适用于基于云计算环境的入侵检测系统配置装置的实施例中,特此声明。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
机译: 用于基于云计算环境中的协作滤波的系统,方法和装置
机译: 云计算环境中基于多目标的虚拟机放置方法及装置
机译: 以硬件和软件的形式保护和保护统一访客的数据中心和基于通用性的云计算环境的方法和装置