閆學(xué)娜 艾華 景紅娜 張繼蕾

關(guān)鍵詞：云計(jì)算；入侵檢測(cè)；特征選擇；模糊C均值

1引言

云計(jì)算是IT領(lǐng)域中一種按需取用及付費(fèi)的全新商業(yè)模式。云計(jì)算因其節(jié)約成本、維護(hù)方便、配置靈活，能夠應(yīng)對(duì)大數(shù)據(jù)時(shí)代的產(chǎn)生的IT資源問(wèn)題，已經(jīng)成為企業(yè)、個(gè)人等優(yōu)先選擇的一項(xiàng)服務(wù)。然而，云計(jì)算其巨大的市場(chǎng)對(duì)入侵者也有著巨大的誘惑力。由于規(guī)模巨大、結(jié)構(gòu)復(fù)雜、用戶繁多，其潛在攻擊面較大，網(wǎng)絡(luò)安全機(jī)制亟待完善，云環(huán)境相應(yīng)的安全問(wèn)題也呈直線上升趨勢(shì)。本文將聚類分析應(yīng)用到云環(huán)境中檢測(cè)異常流量數(shù)據(jù)，是對(duì)入侵檢測(cè)系統(tǒng)的一種完善。

2云環(huán)境下入侵檢測(cè)特點(diǎn)

2.1云環(huán)境的復(fù)雜性

云計(jì)算主要有用戶基礎(chǔ)架構(gòu)即服務(wù)（IaaS）、平臺(tái)即服務(wù)（PaaS）、軟件即服務(wù)（SaaS）、網(wǎng)絡(luò)即服務(wù)（Naas）4種模式。金融企業(yè)及個(gè)人用戶等通過(guò)互聯(lián)網(wǎng)即可購(gòu)買和使用相應(yīng)的服務(wù)及資源。目前，國(guó)外主要的云提供商有亞馬遜（AWS）、谷歌云、微軟Azure和IBMCloud等，國(guó)內(nèi)主要的云提供商有阿里云、百度智能云、騰訊云、中國(guó)電信天翼云和華為云等。不同云提供商提供的服務(wù)不盡相同，多面向基礎(chǔ)服務(wù)、企業(yè)應(yīng)用、安全防護(hù)、網(wǎng)絡(luò)與存儲(chǔ)、數(shù)據(jù)庫(kù)服務(wù)，而且在新興技術(shù)（如人工智能、物聯(lián)網(wǎng)和邊緣計(jì)算等）方面，也有布局，涉及領(lǐng)域較廣。

2.2云環(huán)境面臨的威脅

云計(jì)算環(huán)境聚集了大量的物理和虛擬資源，基于遠(yuǎn)程云的基礎(chǔ)架構(gòu)，通過(guò)互聯(lián)網(wǎng)提供IT服務(wù)。網(wǎng)絡(luò)安全機(jī)構(gòu)Sophos公司發(fā)布的一份《2020年云安全狀況》調(diào)查報(bào)告表示，近四分之三的企業(yè)發(fā)生了云安全事件，這表明云安全事件時(shí)刻都在發(fā)生?！吨袊?guó)互聯(lián)網(wǎng)發(fā)展報(bào)告》指出，2018年云平臺(tái)已成為網(wǎng)絡(luò)攻擊的重災(zāi)區(qū)，2022年惡網(wǎng)絡(luò)行為加速向工業(yè)互聯(lián)網(wǎng)領(lǐng)域滲透，云安全形勢(shì)非常嚴(yán)峻。自網(wǎng)絡(luò)誕生以來(lái)，攻擊和安全漏洞則一直存在?；谠频慕鉀Q方案已在公共互聯(lián)網(wǎng)上公開(kāi)，這也為黑客人侵和計(jì)算機(jī)病毒入侵提供了一定的便利。

3基于聚類分析的入侵檢測(cè)技術(shù)

3.1入侵檢測(cè)技術(shù)

入侵檢測(cè)這一概念于1980年提出。通過(guò)對(duì)東西流量數(shù)據(jù)和南北流量數(shù)據(jù)的主動(dòng)監(jiān)測(cè)來(lái)防止入侵的發(fā)生。可以實(shí)現(xiàn)針對(duì)非法入侵的攔截、響應(yīng)并進(jìn)行記錄，因此入侵檢測(cè)系統(tǒng)是網(wǎng)絡(luò)安全防御的重要組成部分。云環(huán)境中，將若干入侵檢測(cè)系統(tǒng)（IDS）布置在不同的主機(jī)上或虛擬機(jī)上，利用分布式存取技術(shù)采集數(shù)據(jù)，對(duì)云內(nèi)部及外部海量網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行監(jiān)控。云環(huán)境中，對(duì)于完全依靠專家對(duì)入侵特征主觀提取的方式已經(jīng)不完全適用，而人工方式構(gòu)造檢測(cè)規(guī)則更新的時(shí)效性差。通過(guò)算法提取信息的數(shù)據(jù)挖掘手段適合云環(huán)境下的海量數(shù)據(jù)檢測(cè)，聚類分析是其中一種。針對(duì)模糊分析的應(yīng)用研究也成為學(xué)者的關(guān)注點(diǎn)。

2000年，Dickerson等[1]應(yīng)用模糊理論設(shè)計(jì)了一個(gè)基于代理的入侵識(shí)別引擎。2016年，劉緒崇等[2]對(duì)模糊C均值聚類算法的目標(biāo)函數(shù)進(jìn)行了優(yōu)化，針對(duì)云計(jì)算應(yīng)用，設(shè)計(jì)了一個(gè)入侵檢測(cè)模型。2017年，唐光艷[3]提出一種基于約束模糊聚類思維的網(wǎng)絡(luò)入侵檢測(cè)方法，并通過(guò)實(shí)驗(yàn)將此方法與神經(jīng)網(wǎng)絡(luò)方法進(jìn)行了比較。2020年，朱璽等[4]利用模糊C均值聚類算法計(jì)算類內(nèi)平衡隸屬度，構(gòu)成模糊隸屬函數(shù)，在模糊隸屬函數(shù)中引人類間平衡隸屬度，設(shè)計(jì)了“類內(nèi)+類間”的隸屬度函數(shù)模型。

3.2改進(jìn)的模糊C均值聚類算法

利用模糊集合及隸屬度函數(shù)的模糊C均值聚類（FCM）算法中，隸屬度表示每個(gè)數(shù)據(jù)點(diǎn)屬于某個(gè)聚類中心的程度。

3.3模糊入侵檢測(cè)系統(tǒng)架構(gòu)設(shè)計(jì)

入侵檢測(cè)過(guò)程分為云數(shù)據(jù)采集、特征提取、模糊檢測(cè)和入侵響應(yīng)4個(gè)步驟。具體如圖1所示。

3.3.1云數(shù)據(jù)采集模塊

云計(jì)算環(huán)境中，越來(lái)越豐富的業(yè)務(wù)帶來(lái)了流量的變化，東西流量成為主要流量方式。當(dāng)前，存在很多針對(duì)大規(guī)模網(wǎng)絡(luò)數(shù)據(jù)采集的方法，如基于Sketch的數(shù)據(jù)采集方法[5]、FlowRadar數(shù)據(jù)采集方法[6]等，滿足云環(huán)境海量數(shù)據(jù)量采集需求。啟動(dòng)數(shù)據(jù)采集進(jìn)程收集云環(huán)境數(shù)據(jù)，輸出由時(shí)間戳、源地址等組成的高維網(wǎng)絡(luò)數(shù)據(jù)記錄。

3.3.2特征提取模塊

高維網(wǎng)絡(luò)流量數(shù)據(jù)存在不相關(guān)和冗余特征，使入侵檢測(cè)系統(tǒng)的性能受到極大的影響，既降低了檢測(cè)速度，又消耗了大量的計(jì)算資源。特征選擇算法能夠有效解決高維數(shù)據(jù)所帶來(lái)入侵檢測(cè)系統(tǒng)的性能降低問(wèn)題。當(dāng)前，常用的特征選擇算法有遺傳算法、基于正余弦算法和群智能優(yōu)化算法等[7-8]。通過(guò)特征選擇算法，對(duì)特征進(jìn)行選擇，剔除不相關(guān)的或者冗余的特征，以提高檢測(cè)速度及準(zhǔn)確性。

3.3.3入侵檢測(cè)模塊

誤用檢測(cè)和異常檢測(cè)是兩種不同的入侵檢測(cè)方法。相較于誤用檢測(cè)，異常檢測(cè)能夠識(shí)別未知的網(wǎng)絡(luò)攻擊行為。包括基于神經(jīng)網(wǎng)絡(luò)、基于粗糙集理論、粒子群及模糊聚類算法的入侵檢測(cè)技術(shù)已經(jīng)被廣泛引入異常檢測(cè)相關(guān)問(wèn)題中。本文利用改進(jìn)的模糊C均值算法作為入侵檢測(cè)模塊的核心算法。入侵檢測(cè)模塊先指明若干聚類中心，再利用模糊C均值算法對(duì)數(shù)據(jù)進(jìn)行聚類分析，標(biāo)記異常數(shù)據(jù)，最后對(duì)標(biāo)記為異常類的數(shù)據(jù)樣本做出預(yù)警。

3.3.4入侵響應(yīng)模塊

在檢測(cè)到存在異常數(shù)據(jù)行為后，入侵相應(yīng)模塊將被啟動(dòng)。通過(guò)通知、人工響應(yīng)、動(dòng)化響應(yīng)等做出對(duì)應(yīng)的處理。比如，封堵攻擊IP、關(guān)閉對(duì)應(yīng)端口等。當(dāng)前，入侵檢測(cè)系統(tǒng)對(duì)入侵響應(yīng)就是通知安全運(yùn)維人員進(jìn)行處理?，F(xiàn)代黑客常使用自動(dòng)化攻擊的手段，這就需要入侵檢測(cè)系統(tǒng)向自動(dòng)化響應(yīng)方向發(fā)展。自動(dòng)化響應(yīng)通過(guò)建立警告與響應(yīng)之間的映射關(guān)系或者對(duì)發(fā)生的攻擊進(jìn)行推理做出動(dòng)態(tài)決策，快速響應(yīng)異常事件的發(fā)生。

本文針對(duì)云環(huán)境中數(shù)據(jù)的復(fù)雜性與大量性，以云數(shù)據(jù)采集、特征提取、模糊檢測(cè)、入侵響應(yīng)4個(gè)基本模塊來(lái)構(gòu)建入侵檢測(cè)系統(tǒng)，將模糊聚類理論應(yīng)用到云環(huán)境下的入侵檢測(cè)中，以提高云環(huán)境下入侵檢測(cè)的效率以及準(zhǔn)確率，為解決云環(huán)境中的安全問(wèn)題提供參考方案。