一种云平台入侵检测方法、装置及系统制造方法及图纸

本申请提供了一种云平台入侵检测方法、装置及系统。所述方法包括：对云平台的南北向流量进行特征检测，对经过特征检测后的南北向流量再进行异常检测，将特征检测和异常检测得到的入侵数据保存至入侵数据库；对云平台的东西向流量进行特征检测，对经过特征检测后的东西向流量进行再异常检测，将特征检测和异常检测得到的入侵数据保存至入侵数据库；其中，基于相同的特征数据库对南北向流量和东西向流量进行特征检测，以及基于相同的正常行为模型库进行对南北向流量和东西向流量进行异常检测；根据入侵数据库更新特征数据库和正常行为模型库。所述方法实现了对云平台全面且准确有效的入侵检测。

【技术实现步骤摘要】
一种云平台入侵检测方法、装置及系统
本专利技术涉及网络
，尤其涉及一种云平台入侵检测方法、装置及系统。
技术介绍
入侵检测(IntrusionDetection)是对网络入侵行为的检测，通过收集和分析计算机系统中网络流量的信息，检查网络中是否存在违反安全策略的行为和攻击行为。目前入侵检测所采用的技术主要分为两类：特征检测和异常检测。特征检测(Signature-basedDetection)设定入侵行为能够用一些模式来表示，通过检测网络行为是否符合这些模式来判断是否存在入侵。具体地，特征检测首先提取已有的入侵行为数据的相关特征，数据具备这些特征的网络行为都可以判为入侵行为，例如网络数据包的某些头信息，然后根据这些特征建立特征数据库。特征检测在检测过程将网络行为数据与特征数据库中的特征进行匹配，将匹配结果符合一定条件的网络行为判为入侵行为。特征检测基于特征匹配，因此识别率高，检测速度快，并可以确定入侵行为的类型，但其缺点在于特征数据库是根据已有的入侵行为数据建立起来的，若出现新的入侵行为，由于没有与其数据相匹配的特征，新的入侵行为将无法被检测出来。异常检测(AnomalyDetection)则定义入侵行为为异常于主体正常行为的网络行为，基于这一定义建立主体正常行为的模型库，将当前的网络行为与正常行为模型库中的模型进行匹配，当匹配结果不符合预设规则时，判定该网络行为为入侵行为。异常检测的难题在于如何建立正常行为模型，以及如何设计相关的算法进行模型匹配，以避免将正常的网络行为误判为入侵行为或者忽略真正的入侵行为。由于主体的正常行为模型通常是稳定的，因此异常检测对已有的入侵行为和新的入侵行为都能进行检测，但不能确定入侵行为的类型，而且由于需要进行模型匹配，因此异常检测的检测速度慢，准确率低。在云平台中，网络流量分为东西向流量和南北向流量，东西向流量指云平台内部虚拟机(VirtualMachine，VM)之间的流量，南北向流量则指外部网络和云平台之间的通讯流量。传统的入侵检测系统，部署在云平台的外部网关或防火墙处，能够对南北向流量进行检测，但无法对东西向流量进行检测。然而随着云计算的发展，越来越多的应用部署在云平台之中，因此越来越多的网络入侵来自于云平台内部，如何全面且准确有效地进行云平台入侵检测是目前需要解决的问题。
技术实现思路
本申请提供一种云平台入侵检测方法、装置及系统，以全面且准确有效地对云平台进行入侵检测。第一方面，本申请提供一种云平台入侵检测方法，所述方法包括：入侵检测系统基于第一特征数据库对云平台的南北向流量进行特征检测，将特征检测得到的入侵数据保存至入侵数据库；基于第一正常行为模型库对经过特征检测后的所述南北向流量进行异常检测，将异常检测得到的入侵数据保存至所述入侵数据库；基于第二特征数据库对所述云平台的东西向流量进行特征检测，将特征检测得到的入侵数据保存至所述入侵数据库；基于第二正常行为模型库对经过特征检测后的所述东西向流量进行异常检测，将异常检测得到的入侵数据保存至所述入侵数据库；根据所述入侵数据库更新所述第一特征数据库、所述第二特征数据库、所述第一正常行为模型库以及所述第二正常行为模型库。所述方法实现了对云平台的双向入侵检测，并且对南北向流量和东西向流量先进行特征检测再进行异常检测，从而能够在对入侵行为能够快速响应的基础上，提高入侵检测全面性、准确性和鲁棒性。所述方法将特征检测和异常检测所得到的入侵数据都保存至相同的入侵数据库，使用该入侵数据库对特征数据库和正常行为模型库进行更新，通过将特征检测与异常检测得到的入侵数据，以及南北向流量和东西向流量的入侵数据整合，提高了特征数据库的特征覆盖度以及正常行为模型库的准确性，从而提高云平台入侵检测的准确度。所述方法实现了对云平台全面且准确有效的入侵检测。结合第一方面，在第一方面第一种可能的实现方式中，所述对经过特征检测后的所述南北向流量进行异常检测，将异常检测得到的入侵数据保存至所述入侵数据库，包括：对经过特征检测后的所述南北向流量进行异常检测，对异常检测得到的入侵数据进行标记，将标记次数大于预设的第一阈值的入侵数据保存至所述入侵数据库；所述对经过特征检测后的所述东西向流量进行异常检测，将异常检测得到的入侵数据保存至所述入侵数据库，包括：对经过特征检测后的所述东西向流量进行异常检测，对异常检测得到的入侵数据进行标记，将标记次数大于预设的第二阈值的入侵数据保存至所述入侵数据库。采用这种方式可以避免异常检测中将正常数据误判为入侵数据，提高异常检测的准确度，由于异常检测得到的入侵数据会保存至入侵数据库，并根据入侵数据库更新特征数据库，因此相应地也能提高特征检测的准确性。结合第一方面或第一方面第一种可能的实现方式，在第一方面第二种可能的实现方式中，所述第一特征数据库和所述第二特征数据库为同一特征数据库，所述第一正常行为模型和所述第二正常行为模型为同一正常行为模型库。这样只需更新一个特征数据库和一个正常行为模型库，更新效率高，而且整合了两个方向流量的入侵数据，有助于提高特征检测和异常检测的准确性。结合第一方面第二种可能的实现方式，在第一方面第三种可能的实现方式中，所述根据所述入侵数据库更新所述第一特征数据库、所述第二特征数据库、所述第一正常行为模型库以及所述第二正常行为模型库，包括：根据入侵数据库中由异常检测得到的入侵数据更新所述第一特征数据库；根据入侵数据库中由特征检测得到的入侵数据以及由异常检测得到的入侵数据更新所述第一正常行为模型库。采用这种方式，对特征数据库使用异常检测得到的入侵数据进行更新，不仅可以提高更新效率，而且能够将异常检测得到的新的入侵数据的特征加入到特征数据库中，提高特征检测对新的入侵数据的敏感度和准确度。结合第一方面第三种可能的实现方式，在第一方面第四种可能的实现方式中，所述由异常检测得到的入侵数据，为上一次更新时刻至当前更新时刻之间保存至所述入侵数据库的由异常检测得到的入侵数据；所述由特征检测得到的入侵数据，为上一次更新时刻至当前更新时刻之间保存至所述入侵数据库的由特征检测得到的入侵数据。采用这种方式，对特征数据库和正常行为模型库只使用入侵数据库最近加入的(两次更新之间加入到入侵数据库的)入侵数据进行更新，可以更有效地提高特征数据库和正常行为模型库的更新效率。结合第一方面第二种可能的实现方式，在第一方面第五种可能的实现方式中，所述方法还包括：对所述第一特征数据库中的特征进行验证，删除未通过验证的特征，以及将所述入侵数据库中与所述未通过验证的特征相对应的入侵数据标记为非入侵数据；标记完成后，根据所述入侵数据库更新所述第一正常行为模型库。采用这种方式，可以保证特征数据库中的特征是正确的，从而提高特征检测的准确性，同时通过对入侵数据库中与错误特征对应的入侵数据的修正，可以提高正常行为模型库的正确性，从而提高异常检测的准确度。第二方面，本申请提供另一种云平台入侵检测方法，所述方法包括：入侵检测系统对云平台的南北向流量进行特征检测，将特征检测得到的入侵数据保存至入侵数据库；对经过特征检测后的所述南北向流量进行异常检测，将异常检测得到的入侵数据保存至所述入侵数据库；对所述云平台的东西向流量进行特征检测，将特征检测得到的入侵数据保存至本文档来自技高网...

【技术保护点】
一种云平台入侵检测方法，其特征在于，包括：入侵检测系统对云平台的南北向流量进行特征检测，将特征检测得到的入侵数据保存至入侵数据库；对经过特征检测后的所述南北向流量进行异常检测，将异常检测得到的入侵数据保存至所述入侵数据库；对所述云平台的东西向流量进行特征检测，将特征检测得到的入侵数据保存至所述入侵数据库；对经过特征检测后的所述东西向流量进行异常检测，将异常检测得到的入侵数据保存至所述入侵数据库；其中，基于相同的特征数据库对南北向流量和东西向流量进行特征检测，以及基于相同的正常行为模型库进行对南北向流量和东西向流量进行异常检测；根据所述入侵数据库更新所述特征数据库和所述正常行为模型库。

【技术特征摘要】
1.一种云平台入侵检测方法，其特征在于，包括：入侵检测系统对云平台的南北向流量进行特征检测，将特征检测得到的入侵数据保存至入侵数据库；对经过特征检测后的所述南北向流量进行异常检测，将异常检测得到的入侵数据保存至所述入侵数据库；对所述云平台的东西向流量进行特征检测，将特征检测得到的入侵数据保存至所述入侵数据库；对经过特征检测后的所述东西向流量进行异常检测，将异常检测得到的入侵数据保存至所述入侵数据库；其中，基于相同的特征数据库对南北向流量和东西向流量进行特征检测，以及基于相同的正常行为模型库进行对南北向流量和东西向流量进行异常检测；根据所述入侵数据库更新所述特征数据库和所述正常行为模型库。2.如权利要求1所述的方法，其特征在于，所述对经过特征检测后的所述南北向流量进行异常检测，将异常检测得到的入侵数据保存至所述入侵数据库，包括：对经过特征检测后的所述南北向流量进行异常检测，对异常检测得到的入侵数据进行标记，将标记次数大于预设的第一阈值的入侵数据保存至所述入侵数据库；所述对经过特征检测后的所述东西向流量进行异常检测，将异常检测得到的入侵数据保存至所述入侵数据库，包括：对经过特征检测后的所述东西向流量进行异常检测，对异常检测得到的入侵数据进行标记，将标记次数大于预设的第二阈值的入侵数据保存至所述入侵数据库。3.如权利要求1或2所述的方法，其特征在于，所述根据所述入侵数据库更新所述特征数据库和所述正常行为模型库，包括：根据入侵数据库中由异常检测得到的入侵数据更新所述特征数据库；根据入侵数据库中由特征检测得到的入侵数据以及由异常检测得到的入侵数据更新所述正常行为模型库。4.如权利要求1或2所述的方法，其特征在于，还包括：对所述特征数据库中的特征进行验证，删除未通过验证的特征，以及将所述入侵数据库中与所述未通过验证的特征相对应的入侵数据标记为非入侵数据；标记完成后，根据所述入侵数据库更新所述正常行为模型库。5.一种云平台入侵检测系统，其特征在于，所述系统包括：入侵检测控制器，用于对云平台的南北向流量进行特征检测，将特征检测得到的入侵数据保存至入侵数据库；以及，对经过特征检测后的所述南北向流量进行异常检测，将异常检测得到的入侵数据保存至所述入侵数据库；入侵检测代理，用于对所述云平台的东西向流量进行特征检测，将特征检测得到的入侵数据保存至所述入侵数据库；对经过特征检测后的所述东西向流量进行异常检测，将异常检测得到的入侵数据保存至所述入侵数据库；其中，所述入侵检测控制器和所述入侵检测代理基于相同的特征数据库进行特征检测，以及基于相同的正常行为模型库进行异常检测；所述入侵检测控制器还用于：根据所述入侵数据库更新所述特征数据库和所述正常行为模型库。6.如权利要求5所述的系统，其特征在于，所述入侵检测器具体用于：对经过特征检测后的所述南北向流量进行异常...

【专利技术属性】
技术研发人员：唐杰，张顺，张中良，朱岩，高雪挺，梁鑫，宋健，王佳，
申请(专利权)人：北京星河星云信息技术有限公司，北京星河世界集团有限公司，
类型：发明
国别省市：北京,11