◆關心雨

（山東科技大學 山東 271019）

1 引言

隨著現(xiàn)代網絡技術的飛速發(fā)展以及互聯(lián)網相關應用的迫切希望，云計算技術迅猛地發(fā)展，云計算平臺資源的存儲和計算能力也在不斷提升。目前，由于其出色的高靈活性、可擴展性和高性比，云計算技術被廣泛應用于多個領域。這也使這種正當紅的新興技術成為了許多網絡黑客攻擊的又一目標。同時，云計算平臺過于復雜的內部結構也使其在實際使用中存在許多安全隱患。

入侵檢測系統(tǒng)是計算機的監(jiān)控系統(tǒng)，通過對計算機系統(tǒng)的實時監(jiān)控，對其起到保護作用，是計算機系統(tǒng)的安全防護措施之一。它主要通過監(jiān)控計算機系統(tǒng)或網絡中發(fā)生的事件的分析來判斷是否發(fā)生入侵行為，是一種主動的安全防護措施。當系統(tǒng)發(fā)現(xiàn)存在入侵行為時，會進行報警并通知響應模塊采取措施，這種反應機制可以對惡意入侵做出反應，有效的保護系統(tǒng)資源的安全性和完整性，為云計算平臺提供保護。因此，在云計算環(huán)境中建立入侵檢測系統(tǒng)是可以保護云計算平臺的安全的有效方法。

2 云計算環(huán)境的特點和面臨的威脅

2.1 云計算環(huán)境的特點

云計算是各種網絡技術與硬件技術發(fā)展到一定地步出現(xiàn)的一種IT 交付和業(yè)務模型，一般情況下通過網絡來獲取動態(tài)、可擴展的虛擬化資源[1]。從技術層面上看，云計算涵蓋了目前互聯(lián)網領域的大部分技術，如虛擬化技術、網絡計算以及并行計算等。云計算平臺利用其技術上的優(yōu)勢，可以以比較低的價格向用戶提供各種網絡資源和服務，服務如數據存儲服務、軟件應用程序、操作系統(tǒng)等。

云計算具有[2]：按需提供服務資源、彈性資源池可擴張、資源網絡化接入、虛擬化、通用性的特點。

2.2 云計算環(huán)境面臨的威脅

由于云計算強大的儲存功能和使用成本較低的特點，所以云計算是未來發(fā)展的趨勢。但云計算在使用過程中也存在一定的威脅。根據查閱資料，發(fā)現(xiàn)由于云計算平臺本身原因或者黑客入侵行為導致的系統(tǒng)崩潰、服務器宕機等事件經常發(fā)生。例如2016 年7 月，由于阿里云內部網絡異常，導致部分云服務無法使用。GitLab 曾因操作不當導致平臺的6000 個項目及800 多個用戶賬戶都帶來或多或少損失。無獨有偶，亞馬遜AWS 云也曾因服務故障，導致Slack、Quora 和Trello 等相關企業(yè)的云計算服務器宕機近4 個小時。更嚴重的有，印度居民身份數據庫曾被黑客入侵，導致10 億公民的敏感信息泄漏，給國民的生活帶來了很大的隱患。

綜合云計算使用中存在的問題，總結云計算存在威脅如下：

（1）數據機密性差：雖然數據進行了加密，攻擊者往往可以通過攻擊云計算平臺以及擁有權限的云計算管理員得到數據。

（2）缺乏云安全審計：云服務提供商擁有控制云計算平臺中控制的權限，所以云計算服務提供商是否遵守安全規(guī)則檢查就顯得至關重要。

（3）缺乏通用標準：由于技術發(fā)展時間較短，云計算各服務提供商之間還沒有形成標準通用的標準。比如數據的存儲格式、平臺的兼容性等方面都存在一定的問題。

3 云計算環(huán)境對入侵檢測的要求

云計算作為一種新興的熱門技術，其運行環(huán)境在規(guī)模、結構方面都有很大的提升，彌補了傳統(tǒng)網絡環(huán)境中存在的許多不足，如存儲空間、軟件更新、運行速度等問題。正是由于云計算的這些特點，必然導致其對入侵檢測也有更高的要求。因此，只有根據云計算環(huán)境的特性設計入侵檢測方法，才能為云計算平臺的安全運行提供保障。結合云計算環(huán)境的特點，云計算環(huán)境對入侵檢測技術主要有以下要求[2]：

3.1 有效檢測云計算特有的攻擊

由于云計算平臺采用了虛擬化技術，還有針對虛擬機的分布式拒絕攻擊，以及針對云平臺漏洞的攻擊行為。因此云計算環(huán)境下的入侵檢測技術應能對云計算環(huán)境中特有的攻擊做出有效檢測判斷。

3.2 入侵檢測技術具有學習能力

云計算環(huán)境中的網絡流量不像傳統(tǒng)網絡有可控的范圍，它來源于各種各樣的用戶，其中也存在黑客。隨著網絡技術的迅速發(fā)展，黑客的攻擊技術也不斷更新。這就要求云計算環(huán)境下的入侵檢測技術能應對不斷更新的攻擊技術，即需要其具有自身學習能力，以便能以較快的速度識別各種變異的入侵行為和新型的入侵行為，并能應對這些入侵行為。

3.3 具有一定的應變能力

云計算環(huán)境中的用戶規(guī)模并不是不變的，這要求入侵檢測技術能應對由用戶量變動導致的云計算環(huán)境變化，主要是對用戶增多時網絡流量增加這一情況做出較好的應對。

4 云計算環(huán)境下入侵檢測技術現(xiàn)狀分析

目前，關于云計算環(huán)境下的入侵檢測方法已有很多學者進行了研究。根據現(xiàn)有文獻，當下使用較多的入侵檢測技術有：基于數據挖掘的入侵檢測、基于誤用的入侵檢測以及基于機器學習的入侵檢測等。

基于數據挖掘的入侵檢測是在入侵檢測中應用數據挖掘技術，使用數據挖掘的方法對網絡數據、審計記錄或系統(tǒng)日志進行分析，總結出其中潛在的規(guī)律性和特征[3]?；谡`用的入侵檢測指的是首先提取出已知的入侵行為共有的特征，并對這些特征進行歸納，然后建立特征規(guī)則庫，將待檢測的數據與特征規(guī)則數據庫中的進行比對，從而分析判斷是否發(fā)生入侵行為[4]。

機器學習可以分為無監(jiān)督學習和監(jiān)督學習。其中，監(jiān)督學習中的監(jiān)督指訓練分類器需要知道數據的類型，這使入侵檢測在使用監(jiān)督學習時需要提前準備好數據的標簽。無監(jiān)督學習是將數據表示成元組的形式，根據元組相似度對數據進行分類，理論上無監(jiān)督學習也可以用于入侵檢測。

趙艷君針對現(xiàn)有入侵檢測技術存在的漏報率高、缺乏規(guī)則庫、對不明攻擊失效問題，設計了一個基于數據挖掘算法的入侵檢測模型。模型首先對關聯(lián)規(guī)則算法和聚類分析算法進行了改進，然后再將兩者相結合，在模型中聚類分析主要通過數據分析檢測入侵行為；關聯(lián)規(guī)則算法通過自動擴充功能對安全規(guī)則庫不斷進行更新，提高了對入侵行為的效率和檢測精度，同時能夠檢測未知入侵行為[5]。

張人上在入侵檢測將神經網絡和專家系統(tǒng)相結合，其中專家系統(tǒng)負責檢測已知的入侵行為，神經網絡負責檢測未知的入侵行為，并將新型入侵行為的特征同步到規(guī)則庫。該模型將整個檢測過程分三步進行，首先利用專家系統(tǒng)對已知的網絡進行檢測，然后再利用神經網絡對專家系統(tǒng)沒有發(fā)現(xiàn)的或對未知的網絡進行檢測，最后利用神經網絡再對專家系統(tǒng)的規(guī)則庫進行更新[6]。

徐雪麗等設計了一種入侵檢測模型，將卷積神經網絡與網絡報文相結合。該模型先將數據打亂，然后進行預處理，再將預處理后的數據利用神經網絡分析其特征，最后使用分類器對提取的特征進行分類[7]。

張陽提出使用SMOTE 算法對訓練集中少數類樣本過采樣，從而使得訓練集中樣本相對平衡，再用于分類器的訓練[8]，這樣訓練出的分類器，對少數類樣本分類的效果有所提升，但是使用SMOTE 算法產生的數據可能會使數據的邊界更加模糊，進而使得分類器過于擬合，導致分類效果變差。

謝金鑫提出了基于深度學習的入侵檢測研究，深度學習是以人工神經網絡為基礎的，它學習人類的思維方式和學習能力，能不斷地改進學習方式，自動學習數據中的關鍵特征，并利用這些特征進行識別和分類，直接發(fā)現(xiàn)數據之間的關系，從而能在復雜多變的網絡數據中捕捉到有用的關鍵信息。把深入學習應用到網絡入侵檢測中，可以解決入侵檢測率低，誤報漏報率大的問題，并且還具有實時性的特點。

綜上所述，當前學者對入侵檢測的研究包括兩大方面，一是入侵檢測種類的研究，二是入侵檢測方法的研究。關于入侵檢測的種類主要包括三種：訪問沒有被授權的信息；不合理的訪問行為；影響系統(tǒng)穩(wěn)定的行為。關于入侵檢測的方法，學者們主要從以下方面進行的：一是采用不同的方法以應對未知的攻擊行為；二是采用不同的方法對數據進行分析，提取數據特征；三是采用不同的方法擴大規(guī)則數據庫。上述入侵檢測方法的改進大大提高了入侵檢測的效率，降低了漏報率，提高了云計算的安全性。

5 對未來云計算環(huán)境下入侵檢測技術的建議

通過對學者們文獻的閱讀和分析，結合云計算環(huán)境下的特點和對入侵檢測的要求，對未來云計算環(huán)境下的入侵檢測改進提出以下建議。

（1）加強人工智能在入侵檢測中的使用。

現(xiàn)有的入侵檢測技術發(fā)展迅速，可以較好應對云計算環(huán)境下對入侵檢測的特殊要求，但檢測的準確性還有很大的發(fā)展空間。根據現(xiàn)有的入侵檢測技術來看，未來的入侵檢測技術將更傾向于，結合人工智能來提高對層出不窮的新式入侵方式的自主學習檢測能力，使用與人工智能結合的方式，來提高對層出不窮的新式入侵方式的自主學習檢測。

在入侵檢測過程中，也可以應用人工智能的技術，人工智能是模仿人類的智能來執(zhí)行任務，并基于收集的信息對自身進行改進，人工智能的理論基礎是對遷移學習、半監(jiān)督學習以及主動學習等的改進與組合。它能更好地識別和解決入侵檢測中未知的和不易區(qū)分入侵行為，大大提高入侵檢測的準確度。

（2）加強網絡安全建設，制定防護、檢測、響應三位一體的網絡安全系統(tǒng)。

通過及時檢測網絡異常，明確找出異常根源并提供方案，如隔離問題主機、修改安全策略、重新在服務器等設備增加獨立區(qū)域、增加特殊防火墻等網絡設備、優(yōu)化云系統(tǒng)安全管理制度（如禁止未許可設備入網等）。還可以加強防火墻的設置，將防火墻設置和入侵檢測相結合，制定防護、檢測、響應三位一體的網絡安全系統(tǒng)，當有入侵者攻擊系統(tǒng)時，首先系統(tǒng)能檢測到入侵行為，并發(fā)出報警；然后是系統(tǒng)能做出響應，防止入侵者進入。

（3）定期評估網絡安全。

因為入侵檢測需要人工分析，而正是因為有了報表、日志庫這些歷史數據的積累，就可以研究和比照，比如：初次部署入侵檢測，發(fā)現(xiàn)網絡事件3000 次，在增加安全設備、調整網絡配置后，入侵檢測發(fā)現(xiàn)網絡事件為80 次。這表明分析正確，評估及改進是有效的。另外，還可以對入侵的信息定期進行分析，分析其特點，入侵的時間、方式、對象等，以利于為以后的入侵檢測提供參考。

（4）加強對歷史數據的分析和對比。

通過對歷史數據的分析和對比，對異常數據和異常現(xiàn)象進行調查研究，及時發(fā)現(xiàn)存在的問題，防微杜漸，通過提出安全建議和評估網絡安全，讓入侵檢測體現(xiàn)出它應有的管理價值。

6 結束語

云計算強大的資源存儲能力和計算能力，決定了其在未來的社會發(fā)展和個人生活中將會得到廣泛的使用和推廣。但在其使用中云計算本身的安全性和穩(wěn)定性也是需要關注的一個問題，所以基于云計算的入侵檢測研究任重道遠。