薛醫(yī)貴

(陜西工業(yè)職業(yè)技術(shù)學(xué)院，陜西 咸陽 712000)

隨著通信網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，各種云技術(shù)也層出不窮，黑客入侵以及基于云技術(shù)的攻擊也日益嚴(yán)重。由于云系統(tǒng)中大量數(shù)據(jù)是以網(wǎng)絡(luò)通信中的云緩存技術(shù)的方式存放在云空間中的，惡意代碼可以通過入侵云節(jié)點中的數(shù)據(jù)緩存區(qū)域來達(dá)到數(shù)據(jù)攻擊與信息竊取的目的。這種攻擊往往是采取代碼注入的方式來實現(xiàn)對云節(jié)點中信息代碼溢出，然后通過加載特別涉及的執(zhí)行序列來實現(xiàn)黑客目的。一般而言，基于云緩存的入侵者往往需要采取如下的兩步:針對通信系統(tǒng)涉及特定的代碼;采取適當(dāng)?shù)膱?zhí)行序列構(gòu)造來觸發(fā)特定的信息執(zhí)行來達(dá)到信息竊取目的［1］。

由于現(xiàn)有計算機(jī)技術(shù)的局限性，不可能針對任意的云訪問請求進(jìn)行一一檢測和鑒定，因此無法做到對單位時間內(nèi)訪問平臺的每一個代碼進(jìn)行緩存越界鑒定。因此一旦發(fā)生信息代碼溢出，那么攻擊者就有可能實現(xiàn)加載惡意代碼的目的。

為保障云系統(tǒng)的正常高效運行，因此必須采用一定的檢測手段來對重點的云訪問請求進(jìn)行檢測。本文提出的基于病毒繁衍機(jī)制的云平臺大數(shù)據(jù)安全檢測算法就是一種經(jīng)過改善的分析檢測方法，通過對抽樣的訪問序列進(jìn)行基于病毒繁衍式的取樣檢測，同時匹配當(dāng)前系統(tǒng)內(nèi)緩存的特定特征序列，來達(dá)到過濾未知攻擊源的目的［2-3］。

1 檢測技術(shù)的簡單介紹［4-7］

(1)簡單特征匹配檢測。這種檢測首先需要對過往云訪問記錄的特征進(jìn)行提取，建立一個特征訪問數(shù)據(jù)庫，在進(jìn)行入侵檢測時，將一個訪問周期內(nèi)的信息訪問序列進(jìn)行抽樣提取并進(jìn)行切片。一旦切片信息與特征訪問數(shù)據(jù)庫中記錄不同時，系統(tǒng)自動進(jìn)行預(yù)警提示。當(dāng)預(yù)警提示超過系統(tǒng)設(shè)定的閾值，則判斷該次訪問為非法訪問，將其進(jìn)行過濾。

(2)漢明距離檢測。該方法是簡單特征匹配檢

測的一種改進(jìn)，與簡單特征匹配檢測相同的是，漢明距離檢測也會建立一個特征訪問數(shù)據(jù)庫。但是漢明距離檢測方法進(jìn)行信息訪問序列切片時，會進(jìn)行隨機(jī)切片，然后再和特征訪問數(shù)據(jù)庫進(jìn)行比對。一旦錯誤切片數(shù)量超過了系統(tǒng)設(shè)定的閾值，則判定該次訪問為非法訪問，并進(jìn)行過濾。和簡單特征匹配相比，漢明距離檢測的隨機(jī)性更強(qiáng)，更不容易被攻擊者非法構(gòu)造的訪問所欺騙。

(3)數(shù)據(jù)挖掘檢測方法。數(shù)據(jù)挖掘檢測方法會通過抽樣的方式對本次訪問進(jìn)行隨機(jī)取樣，然后和過往訪問樣本進(jìn)行混合挖掘訓(xùn)練，同時對訓(xùn)練過程進(jìn)行標(biāo)注，一旦發(fā)現(xiàn)訓(xùn)練過程出現(xiàn)異常，則進(jìn)行示緊提示。當(dāng)示緊提示在一個訪問周期內(nèi)達(dá)到一定數(shù)目時，就判定這種訪問為非法訪問。

不過，這些在大數(shù)據(jù)下的云平臺常用入侵檢測方法也存在很明顯的局限性:

必須提前設(shè)置大量的樣本進(jìn)行鑒定判斷，當(dāng)數(shù)據(jù)量擴(kuò)大到一定程度的時候，系統(tǒng)將很難在一個訪問周期內(nèi)對全部的樣本進(jìn)行比對，從而降低了訪問質(zhì)量。由于云訪問中實時性要求很高，因此為了降低特征檢測的時間及資源開銷，將不得不對樣本庫進(jìn)行一定比例的縮減，這無形中擴(kuò)大了系統(tǒng)的脆弱性。當(dāng)云系統(tǒng)的訪問信息處于多變的大數(shù)據(jù)環(huán)境中時，一旦訪問特征是過往訪問所沒有的特征，那么必定會產(chǎn)生訪問拒絕的現(xiàn)象。

2 本文大數(shù)據(jù)安全檢測算法設(shè)計

當(dāng)云系統(tǒng)受到攻擊時可能出現(xiàn)以下的幾種情況［8-11］:系統(tǒng)異常，攻擊者成功進(jìn)行了信息注入，攻擊成功;系統(tǒng)異常，攻擊者沒有達(dá)到信息注入的目的，攻擊失敗;系統(tǒng)正常，攻擊者沒有達(dá)到信息注入的目的，攻擊失敗;系統(tǒng)正常，攻擊者成功進(jìn)行了信息注入，攻擊成功;顯然，任何一種成功的檢測算法，只能是在第三種情況下才能被認(rèn)為是進(jìn)行了成功的信息檢測工作，因此本文的檢測算法僅對第三種情況進(jìn)行解決。首先引入系統(tǒng)緩存與物理隔離機(jī)制，將樣本與外界進(jìn)行隔絕，然后進(jìn)行病毒式復(fù)制及樣本鑒定。一旦在檢測過程中發(fā)現(xiàn)異常，將進(jìn)行一定程度的時延后再提交處理，最后更新特征庫和訪問規(guī)則。本文算法流程見圖1。

圖1 檢測流程

具體步驟如下:

步驟1:數(shù)據(jù)取樣:對訪問數(shù)據(jù)進(jìn)行取樣，將取樣數(shù)據(jù)置于系統(tǒng)預(yù)留緩存里，緩存與系統(tǒng)保持物理隔離，轉(zhuǎn)下一步;

步驟2:數(shù)據(jù)初始化:物理隔離的數(shù)據(jù)，在一定時期內(nèi)進(jìn)行病毒式復(fù)制并與特征數(shù)據(jù)庫進(jìn)行對比。隨后將序列復(fù)制為長度為m總數(shù)為n的序列集合，完成初始化過程，轉(zhuǎn)步驟3;

步驟3:檢測過程初始:采取檢測準(zhǔn)則檢測訪問序列集合。將房屋序列集合和特征庫中的特征序列進(jìn)行比對，當(dāng)比對數(shù)超過一定數(shù)值k之后，則確認(rèn)該序列為疑似序列，轉(zhuǎn)步驟6.否則，轉(zhuǎn)步驟4;

步驟4:訪問序列異常檢測:一旦在步驟3中檢測出疑似序列，則檢測訪問序列是否出現(xiàn)一定的異常，然后在一定的延時周期T內(nèi)檢測是否出現(xiàn)訪問序列繼續(xù)異常，出現(xiàn)異常則轉(zhuǎn)步驟6，否則轉(zhuǎn)步驟5;

步驟5:系統(tǒng)異常檢測:查看系統(tǒng)是否出現(xiàn)異常，然后在一定的延時周期T內(nèi)檢測是否出現(xiàn)系統(tǒng)繼續(xù)異常，出現(xiàn)異常則轉(zhuǎn)步驟6，否則轉(zhuǎn)步驟2;

步驟6:添加特征庫。一旦流程轉(zhuǎn)到本步，則認(rèn)為訪問序列為非常訪問，將采用數(shù)據(jù)挖掘方式添加到特征庫中，一旦下次遇到相同特征的訪問序列，直接進(jìn)行過濾處理;

步驟7:完成添加特征庫后，更新訪問規(guī)則，然后在下一個檢測流程中繼續(xù)本過程。

3 仿真實驗與結(jié)果分析

為驗證本文提出的算法，采用linux為實驗平臺，操作系統(tǒng)為ubuntu系統(tǒng)，預(yù)裝nginx系統(tǒng)服務(wù)，測試參數(shù)如表1所示。圖2顯示了在不同攻擊數(shù)量下本文算法和簡單特征匹配檢測、漢明距離檢測、數(shù)據(jù)挖掘檢測對入侵的檢出對比情況。從圖中我們可以看到:在不同的攻擊次數(shù)下，本文算法具有明顯的優(yōu)勢，這是因為本文算法采取病毒繁衍模式對序列樣本進(jìn)行檢測，和簡單特征匹配檢測以及漢明距離檢測相比，提高了序列樣本檢測的效率;同數(shù)據(jù)挖掘檢測相比，因此本文算法采取了時延機(jī)制，使得單次漏檢的序列在下一個周期內(nèi)被檢測出來，因此檢出數(shù)量也得到提高。在不同攻擊數(shù)量的情況下，本文算法通過病毒繁衍機(jī)制，將不同類型的攻擊源分離進(jìn)行隔離復(fù)制;采取延時機(jī)制，保障了在上一時刻中未被檢測出的攻擊序列能夠被有效的檢測出，因此在檢測上的效率也得以提高。

表1 仿真參數(shù)

圖2 不同攻擊數(shù)量下的入侵檢測實驗結(jié)果對比

圖3 攻擊持續(xù)時間增加下的實驗結(jié)果對比

圖3顯示了隨著攻擊持續(xù)時間的不斷增加的情況下在過往時間段內(nèi)對入侵的平均檢測數(shù)量的比較。由于本文采取病毒繁衍模式，隨著時間的不斷增加，對過往序列的特征訓(xùn)練程度也不斷提高，因此提高了檢出效率。同時將疑似處理和異常檢測結(jié)合起來，大大提高了檢測的準(zhǔn)確度。

4 結(jié)束語

由于云技術(shù)的普及，當(dāng)前大量的信息訪問集中在云平臺上，因此對這些訪問信息和數(shù)據(jù)進(jìn)行足夠的檢測就是一件非常重要的事情。本文首先通過對系統(tǒng)運行中的總體數(shù)據(jù)樣本進(jìn)行病毒繁衍訓(xùn)練，并通過病毒繁衍機(jī)制進(jìn)行推演，從而達(dá)到對未知攻擊源的預(yù)先防范及入侵檢測功能。算法中使用識別符進(jìn)行特征識別，從而大大降低了檢測機(jī)制的激發(fā)。與傳統(tǒng)入侵檢測機(jī)制相比較，本文提出的算法在安全性、系統(tǒng)占用性方面有明顯的優(yōu)勢，對于當(dāng)今云平臺下大數(shù)據(jù)系統(tǒng)的安全運行有一定的參考意義。

［1］吳志祥.一種基于大數(shù)據(jù)的入侵檢測算法研究［J］.武漢科技大學(xué)學(xué)報，2012，3(4):401-409.

［2］Bal M.Rough Sets Theory as Symbolic Data Mining Method:An Application on Complete Decision Table［J］.information Sciences Letters，2013，2(1):111-116.

［3］Yang K，Shahabi C.An efficient k nearest neighbor search for multivariate time series［M］.Information and Computation，2013:65-98.

［4］Gounder V，Prakash R，Abu-Amara H.Micheline data miming:date and techniques［J］.Wireless Communications and Systems，2014，22(2):1-6.

［5］陳明，劉曉涵.基于云技術(shù)的簡單序列檢測的研究［J］.重慶理工大學(xué)學(xué)報，2014，20(4):124-127.

［6］蔣明華，王志軍.一種基于數(shù)據(jù)挖掘檢測的大數(shù)據(jù)攻擊源檢測與預(yù)防［J］.吉林大學(xué)學(xué)報，2012(7):54-59.

［7］Ngai EWT，Hu Y.The application of data mining techniques in financial fraud detection:A classification framework and an academic review of literature［J］.Decision Support System，2011，50(3):559-569.

［8］Ester P，Sander S.A key efficient way of data mining techniques［J］.Machine and Systems，2014，36(12):74-79.

［9］舒敏，李軍.一種基于歸納演繹準(zhǔn)則的數(shù)據(jù)挖掘檢測技術(shù)的研究［J］.安徽大學(xué)學(xué)報，2009，14(1):98-103.

［10］楊理，賈斯丁.基于云平臺下的入侵檢測技術(shù)的研究與實現(xiàn)［J］.北京郵電大學(xué)學(xué)報，2009，12(1):5-8.

［11］李婧.一種基于概率的快速聚類算法［J］.重慶工商大學(xué)學(xué)報:自然科學(xué)版，2014，31(2):61-65.