【技术实现步骤摘要】
一种云平台入侵检测方法、装置及系统
本专利技术涉及网络
,尤其涉及一种云平台入侵检测方法、装置及系统。
技术介绍
入侵检测(IntrusionDetection)是对网络入侵行为的检测,通过收集和分析计算机系统中网络流量的信息,检查网络中是否存在违反安全策略的行为和攻击行为。目前入侵检测所采用的技术主要分为两类:特征检测和异常检测。特征检测(Signature-basedDetection)设定入侵行为能够用一些模式来表示,通过检测网络行为是否符合这些模式来判断是否存在入侵。具体地,特征检测首先提取已有的入侵行为数据的相关特征,数据具备这些特征的网络行为都可以判为入侵行为,例如网络数据包的某些头信息,然后根据这些特征建立特征数据库。特征检测在检测过程将网络行为数据与特征数据库中的特征进行匹配,将匹配结果符合一定条件的网络行为判为入侵行为。特征检测基于特征匹配,因此识别率高,检测速度快,并可以确定入侵行为的类型,但其缺点在于特征数据库是根据已有的入侵行为数据建立起来的,若出现新的入侵行为,由于没有与其数据相匹配的特征,新的入侵行为将无法被检测出来。异常检测(AnomalyDetection)则定义入侵行为为异常于主体正常行为的网络行为,基于这一定义建立主体正常行为的模型库,将当前的网络行为与正常行为模型库中的模型进行匹配,当匹配结果不符合预设规则时,判定该网络行为为入侵行为。异常检测的难题在于如何建立正常行为模型,以及如何设计相关的算法进行模型匹配,以避免将正常的网络行为误判为入侵行为或者忽略真正的入侵行为。由于主体的正常行为模型通常是稳定的,因此异常 ...
【技术保护点】
一种云平台入侵检测方法,其特征在于,包括:入侵检测系统对云平台的南北向流量进行特征检测,将特征检测得到的入侵数据保存至入侵数据库;对经过特征检测后的所述南北向流量进行异常检测,将异常检测得到的入侵数据保存至所述入侵数据库;对所述云平台的东西向流量进行特征检测,将特征检测得到的入侵数据保存至所述入侵数据库;对经过特征检测后的所述东西向流量进行异常检测,将异常检测得到的入侵数据保存至所述入侵数据库;其中,基于相同的特征数据库对南北向流量和东西向流量进行特征检测,以及基于相同的正常行为模型库进行对南北向流量和东西向流量进行异常检测;根据所述入侵数据库更新所述特征数据库和所述正常行为模型库。
【技术特征摘要】
1.一种云平台入侵检测方法,其特征在于,包括:入侵检测系统对云平台的南北向流量进行特征检测,将特征检测得到的入侵数据保存至入侵数据库;对经过特征检测后的所述南北向流量进行异常检测,将异常检测得到的入侵数据保存至所述入侵数据库;对所述云平台的东西向流量进行特征检测,将特征检测得到的入侵数据保存至所述入侵数据库;对经过特征检测后的所述东西向流量进行异常检测,将异常检测得到的入侵数据保存至所述入侵数据库;其中,基于相同的特征数据库对南北向流量和东西向流量进行特征检测,以及基于相同的正常行为模型库进行对南北向流量和东西向流量进行异常检测;根据所述入侵数据库更新所述特征数据库和所述正常行为模型库。2.如权利要求1所述的方法,其特征在于,所述对经过特征检测后的所述南北向流量进行异常检测,将异常检测得到的入侵数据保存至所述入侵数据库,包括:对经过特征检测后的所述南北向流量进行异常检测,对异常检测得到的入侵数据进行标记,将标记次数大于预设的第一阈值的入侵数据保存至所述入侵数据库;所述对经过特征检测后的所述东西向流量进行异常检测,将异常检测得到的入侵数据保存至所述入侵数据库,包括:对经过特征检测后的所述东西向流量进行异常检测,对异常检测得到的入侵数据进行标记,将标记次数大于预设的第二阈值的入侵数据保存至所述入侵数据库。3.如权利要求1或2所述的方法,其特征在于,所述根据所述入侵数据库更新所述特征数据库和所述正常行为模型库,包括:根据入侵数据库中由异常检测得到的入侵数据更新所述特征数据库;根据入侵数据库中由特征检测得到的入侵数据以及由异常检测得到的入侵数据更新所述正常行为模型库。4.如权利要求1或2所述的方法,其特征在于,还包括:对所述特征数据库中的特征进行验证,删除未通过验证的特征,以及将所述入侵数据库中与所述未通过验证的特征相对应的入侵数据标记为非入侵数据;标记完成后,根据所述入侵数据库更新所述正常行为模型库。5.一种云平台入侵检测系统,其特征在于,所述系统包括:入侵检测控制器,用于对云平台的南北向流量进行特征检测,将特征检测得到的入侵数据保存至入侵数据库;以及,对经过特征检测后的所述南北向流量进行异常检测,将异常检测得到的入侵数据保存至所述入侵数据库;入侵检测代理,用于对所述云平台的东西向流量进行特征检测,将特征检测得到的入侵数据保存至所述入侵数据库;对经过特征检测后的所述东西向流量进行异常检测,将异常检测得到的入侵数据保存至所述入侵数据库;其中,所述入侵检测控制器和所述入侵检测代理基于相同的特征数据库进行特征检测,以及基于相同的正常行为模型库进行异常检测;所述入侵检测控制器还用于:根据所述入侵数据库更新所述特征数据库和所述正常行为模型库。6.如权利要求5所述的系统,其特征在于,所述入侵检测器具体用于:对经过特征检测后的所述南北向流量进行异常...
【专利技术属性】
技术研发人员:唐杰,张顺,张中良,朱岩,高雪挺,梁鑫,宋健,王佳,
申请(专利权)人:北京星河星云信息技术有限公司,北京星河世界集团有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。