專利名稱:一種面向云計(jì)算的網(wǎng)絡(luò)安全預(yù)警方法
技術(shù)領(lǐng)域:
本發(fā)明是一種面向云計(jì)算環(huán)境構(gòu)建網(wǎng)絡(luò)安全預(yù)警的方法,主要用于云計(jì)算網(wǎng)絡(luò)環(huán)境下各種安全威脅的動(dòng)態(tài)監(jiān)測(cè)預(yù)警問(wèn)題,屬于信息安全軟件領(lǐng)域。
背景技術(shù):
云計(jì)算是分布式計(jì)算、并行計(jì)算和網(wǎng)格計(jì)算發(fā)展的延伸,資源共享和按需服務(wù)是云計(jì)算的主要特征之一,各種業(yè)務(wù)應(yīng)用系統(tǒng)能夠根據(jù)實(shí)際需求從共享資源池中獲取所需的計(jì)算、存儲(chǔ)和軟件資源。隨著云計(jì)算的不斷發(fā)展,各種云計(jì)算模式包括公有云、私有云、混合云等共存,各種云計(jì)算平臺(tái)共同組成Internet中一個(gè)大的資源共享和處理平臺(tái),任何一個(gè)云計(jì)算平臺(tái)無(wú)論受到來(lái)自內(nèi)部或外部的網(wǎng)絡(luò)攻擊,都會(huì)給企業(yè)帶來(lái)無(wú)法估量的損失。云計(jì)算在給人們帶來(lái)便利的同時(shí),由于其資源的絕對(duì)開(kāi)放和共享也導(dǎo)致各種網(wǎng)絡(luò) 攻擊日益頻繁和嚴(yán)重。如何在開(kāi)放、動(dòng)態(tài)和多變的云計(jì)算網(wǎng)絡(luò)環(huán)境下實(shí)現(xiàn)網(wǎng)絡(luò)安全主動(dòng)預(yù)警已成為基于云計(jì)算的業(yè)務(wù)應(yīng)用面臨的安全挑戰(zhàn)之一。為了保證云計(jì)算環(huán)境下網(wǎng)絡(luò)通信的安全可靠,傳統(tǒng)的諸如防火墻、入侵檢測(cè)系統(tǒng)等安全部件部署到網(wǎng)絡(luò)中。但是,這些安全技術(shù)和措施只能事后分析處理和補(bǔ)救。應(yīng)該需要應(yīng)用安全預(yù)警技術(shù)來(lái)動(dòng)態(tài)實(shí)時(shí)地識(shí)別和監(jiān)控云計(jì)算環(huán)境下各種攻擊企圖和行為,在攻擊發(fā)生時(shí)或發(fā)生前,預(yù)先采取相應(yīng)的安全防護(hù)措施來(lái)阻止相應(yīng)的攻擊。因此,構(gòu)建一種面向云計(jì)算的網(wǎng)絡(luò)安全預(yù)警方法對(duì)于解決云計(jì)算環(huán)境下來(lái)自內(nèi)部和外部的網(wǎng)絡(luò)攻擊的實(shí)時(shí)預(yù)警和保護(hù),建立云計(jì)算環(huán)境下網(wǎng)絡(luò)安全主動(dòng)防御體系具有重要的意義,同時(shí)為云計(jì)算環(huán)境下各種業(yè)務(wù)系統(tǒng)的穩(wěn)定運(yùn)行提供安全支撐。網(wǎng)絡(luò)安全預(yù)警主要從以下兩個(gè)方面進(jìn)行考慮(I)針對(duì)云計(jì)算下各主機(jī)上所發(fā)生的安全事件數(shù)據(jù),為了能夠?yàn)榧皶r(shí)預(yù)警和防范提供支撐,首先需要對(duì)這些安全事件數(shù)據(jù)進(jìn)行采集;(2)針對(duì)云計(jì)算環(huán)境下各主機(jī)采集得到的安全事件數(shù)據(jù)經(jīng)過(guò)預(yù)處理得到相應(yīng)的事務(wù)數(shù)據(jù)庫(kù)后,結(jié)合關(guān)聯(lián)規(guī)則算法實(shí)現(xiàn)網(wǎng)絡(luò)安全預(yù)警規(guī)則的挖掘,形成網(wǎng)絡(luò)安全預(yù)警專家知識(shí)庫(kù),并下發(fā)至云計(jì)算網(wǎng)絡(luò)環(huán)境下的各主機(jī)上,為云計(jì)算環(huán)境下各主機(jī)的安全預(yù)警和防護(hù)提供依據(jù)。
發(fā)明內(nèi)容
本發(fā)明的目的就是提供一種新的網(wǎng)絡(luò)安全預(yù)警方法,來(lái)解決云計(jì)算網(wǎng)絡(luò)環(huán)境下網(wǎng)絡(luò)安全的預(yù)警問(wèn)題,本機(jī)制是一種策略性方法,通過(guò)使用本方法可以使得在發(fā)生網(wǎng)絡(luò)安全時(shí)最大限度地保護(hù)網(wǎng)絡(luò)安全,從而保障整個(gè)網(wǎng)絡(luò)中各種業(yè)務(wù)應(yīng)用的安全。本發(fā)明的方法是一種策略性的方法,首先通過(guò)Agent采集部署在云計(jì)算環(huán)境下各種網(wǎng)絡(luò)設(shè)備的安全事件,并進(jìn)行相應(yīng)的預(yù)處理,然后通過(guò)Aprior關(guān)聯(lián)規(guī)則算法挖掘分析安全事件中蘊(yùn)含的攻擊模式,從而為網(wǎng)絡(luò)安全預(yù)警提供依據(jù)。一、體系結(jié)構(gòu)
圖I給出了一種面向云計(jì)算的網(wǎng)絡(luò)安全預(yù)警的結(jié)構(gòu)圖,它主要包括四個(gè)部分安全事件采集器、安全事件處理器、安全狀態(tài)分析器及網(wǎng)絡(luò)安全預(yù)警操作核心。圖中的網(wǎng)絡(luò)安全預(yù)警操作核心包括了在網(wǎng)絡(luò)中各種安全數(shù)據(jù)的采集和智能處理分析好的情況下,對(duì)各種安全威脅進(jìn)行檢測(cè)和預(yù)警的具體操作。本發(fā)明增加了其它三個(gè)部分保證安全威脅防護(hù)更加順利有效地進(jìn)行,最大限度地保證各種安全威脅事件的動(dòng)態(tài)監(jiān)測(cè)和預(yù)警。下面給出具體介紹
安全事件采集器在進(jìn)行網(wǎng)絡(luò)威脅防護(hù)中,最基礎(chǔ)的就是各種網(wǎng)絡(luò)安全事件的采集,在本發(fā)明中采用Agent的方式對(duì)分布在網(wǎng)絡(luò)中的各種網(wǎng)絡(luò)安全數(shù)據(jù)進(jìn)行分布式采集,利用各種Agent之間的分布式協(xié)作,實(shí)時(shí)采集網(wǎng)絡(luò)和主機(jī)上的各種安全事件和數(shù)據(jù),同時(shí)各個(gè)Agent對(duì)實(shí)時(shí)采集到的各種網(wǎng)絡(luò)安全事件和數(shù)據(jù)進(jìn)行相應(yīng)的預(yù)處理。安全事件處理器網(wǎng)絡(luò)安全數(shù)據(jù)來(lái)源于交換機(jī)、路由器、防病毒軟件以及各類網(wǎng)絡(luò)管理軟件,可能包含噪聲數(shù)據(jù)、空缺數(shù)據(jù)和不一致數(shù)據(jù),這對(duì)數(shù)據(jù)分析將會(huì)產(chǎn)生不良后果。在本發(fā)明中,分別通過(guò)數(shù)據(jù)清理、數(shù)據(jù)轉(zhuǎn)換和數(shù)據(jù)歸并三個(gè)步驟來(lái)保證采集得到的各種網(wǎng)絡(luò)安全事件數(shù)據(jù)的完整性、冗余數(shù)據(jù)及其屬性的去除和歸一化,以便完成各種網(wǎng)絡(luò)安全事件數(shù)據(jù)的形式和內(nèi)容符合下面關(guān)聯(lián)分析的要求。在本專利中對(duì)安全事件處理器的具體實(shí)現(xiàn) 不做任何限制。安全狀態(tài)分析器通過(guò)安全事件采集器的網(wǎng)絡(luò)安全數(shù)據(jù)經(jīng)過(guò)安全事件處理器預(yù)處理后,首先將其分布式存儲(chǔ)在云計(jì)算數(shù)據(jù)中心中,然后通過(guò)安全狀態(tài)分析器對(duì)存儲(chǔ)在云計(jì)算數(shù)據(jù)中心中的各種網(wǎng)絡(luò)安全事件基于Apriori關(guān)聯(lián)規(guī)則算法進(jìn)行智能關(guān)聯(lián)分析,得出各種網(wǎng)絡(luò)安全事件之間的關(guān)聯(lián)規(guī)則,同時(shí)將分析的結(jié)果返回給連接在云計(jì)算中的所有客戶端,以便客戶端及時(shí)對(duì)各種網(wǎng)絡(luò)安全威脅進(jìn)行及時(shí)預(yù)警。二、方法流程 I、安全事件采集器
數(shù)據(jù)源的選擇是網(wǎng)絡(luò)安全預(yù)警系統(tǒng)中最重要的部分。在系統(tǒng)運(yùn)行過(guò)程中,無(wú)論是內(nèi)部行為還是外部行為,都會(huì)在系統(tǒng)中留下痕跡,并且對(duì)于一個(gè)特定的事件,不同的網(wǎng)絡(luò)安全數(shù)據(jù)之間存在著某種必然的聯(lián)系。因此,為了確保更好地進(jìn)行分析,系統(tǒng)必須做到多層次、多角度的數(shù)據(jù)采集。本發(fā)明專利中使用Agent技術(shù)實(shí)現(xiàn)云計(jì)算環(huán)境下多數(shù)據(jù)源的分布式采集,如圖2所示。將數(shù)據(jù)采集Agent分布在云計(jì)算環(huán)境下的各種主機(jī)、服務(wù)器或其他網(wǎng)絡(luò)節(jié)點(diǎn)上,根據(jù)事先制定的數(shù)據(jù)采集規(guī)則進(jìn)行采集,同時(shí)將采集得到的各種網(wǎng)絡(luò)安全數(shù)據(jù)通過(guò)安全信道傳遞到云服務(wù)器端進(jìn)行綜合分析。在本發(fā)明專利中,同時(shí)還提供數(shù)據(jù)采集Agent的配置功能,保證Agent的有用性,同時(shí)還實(shí)現(xiàn)云計(jì)算環(huán)境下的多數(shù)據(jù)協(xié)同關(guān)聯(lián)分析。從圖2中可以看出,本發(fā)明專利中所選取的數(shù)據(jù)源主要分為主機(jī)安全數(shù)據(jù)和網(wǎng)絡(luò)安全數(shù)據(jù)兩部分。本發(fā)明中主機(jī)安全數(shù)據(jù)主要針對(duì)Windows和Linux系統(tǒng),其他操作系統(tǒng)不在考慮范圍內(nèi),兩種操作系統(tǒng)的主機(jī)安全數(shù)據(jù)都是基于日志采集得到,其中Windows操作系統(tǒng)的主機(jī)安全數(shù)據(jù)使用Win 32 EventLog API來(lái)獲取,Linux操作系統(tǒng)的主機(jī)安全數(shù)據(jù)通過(guò)使用Todd Atkins開(kāi)發(fā)的SWATCH程序獲取。本發(fā)明中網(wǎng)絡(luò)安全數(shù)據(jù)主要基于開(kāi)源的Libpcap包來(lái)采集得到。整個(gè)基于Agent的分布式安全事件采集的流程如下
(1)分別啟動(dòng)云服務(wù)器和主機(jī)Agent;
(2)待采集的主機(jī)和網(wǎng)絡(luò)安全事件數(shù)據(jù)的屬性、格式定義;(3)云服務(wù)器Agent與各主機(jī)Agent建立連接,云服務(wù)器Agent等待主機(jī)Agent發(fā)送采集的主機(jī)和網(wǎng)絡(luò)日志數(shù)據(jù);
(4)針對(duì)Windows和Linux操作系統(tǒng)的主機(jī)安全數(shù)據(jù),各主機(jī)Agent初始化,分別通過(guò)Win 32 EventLog API和SWATCH程序來(lái)獲取相應(yīng)的日志數(shù)據(jù);
(5)針對(duì)網(wǎng)絡(luò)安全數(shù)據(jù)的采集,各主機(jī)Agent初始化Libpcap,設(shè)置網(wǎng)卡為混雜模式,監(jiān)聽(tīng)和采集網(wǎng)絡(luò)數(shù)據(jù)包;
(6)各主機(jī)Agent向云服務(wù)器Agent發(fā)送數(shù)據(jù)傳輸請(qǐng)求,云服務(wù)器Agent接收到該請(qǐng)求后返回給各主機(jī)Agent —個(gè)確認(rèn)信息,各主機(jī)Agent則將采集得到的主機(jī)和網(wǎng)絡(luò)安全數(shù)據(jù)傳輸?shù)皆品?wù)器中進(jìn)行分布式存儲(chǔ),并提交給安全事件處理器進(jìn)行預(yù)處理,形成符合安全狀態(tài)分析器所需的數(shù)據(jù)格式。2、安全狀態(tài)分析器
隨著云計(jì)算環(huán)境的日益復(fù)雜化及網(wǎng)絡(luò)數(shù)據(jù)的急劇膨脹,基于主機(jī)和網(wǎng)絡(luò)等安全數(shù)據(jù)以 驚人的速度增長(zhǎng),云計(jì)算環(huán)境下網(wǎng)絡(luò)安全預(yù)警亟需從大量的安全數(shù)據(jù)中發(fā)現(xiàn)用戶違規(guī)或可能發(fā)生的威脅行為。本專利使用Apriori關(guān)聯(lián)規(guī)則算法進(jìn)行各種用戶或威脅行為之間的智能關(guān)聯(lián)分析,挖掘出這些安全數(shù)據(jù)之間的關(guān)聯(lián)規(guī)則,并將挖掘得到的各種關(guān)聯(lián)規(guī)則存儲(chǔ)在云服務(wù)器端的專家知識(shí)庫(kù)中,同時(shí)將各種關(guān)聯(lián)規(guī)則自動(dòng)下發(fā)至各主機(jī)中存儲(chǔ),各主機(jī)依據(jù)此規(guī)則及時(shí)對(duì)各種網(wǎng)絡(luò)安全威脅進(jìn)行防護(hù)和預(yù)警。設(shè)當(dāng)前由安全事件處理器得到的主機(jī)和網(wǎng)絡(luò)安全事件數(shù)據(jù)庫(kù)為事務(wù)數(shù)據(jù)庫(kù)D,最小支持度為minSup。其中D中的每一個(gè)項(xiàng)目對(duì)應(yīng)主機(jī)和網(wǎng)絡(luò)安全數(shù)據(jù)中的屬性,項(xiàng)目值對(duì)應(yīng)屬性值。主要工作流程如下
(1)掃描事務(wù)數(shù)據(jù)庫(kù)D,計(jì)算D中所包含的每個(gè)項(xiàng)目出現(xiàn)的次數(shù),生成候選項(xiàng)目集Cl;
(2)計(jì)算Cl中每個(gè)項(xiàng)目的支持度,若大于等于minSup,則從Cl中確定頻繁項(xiàng)集L,否則轉(zhuǎn)至第(5)步;
(3)由頻繁項(xiàng)集L產(chǎn)生候選項(xiàng)目集C,掃描事務(wù)數(shù)據(jù)庫(kù)D,對(duì)候選項(xiàng)目集C中的項(xiàng)進(jìn)行統(tǒng)計(jì),若大于等于minSup,從C中重新確定頻繁項(xiàng)集L ;
(4)若L中每一個(gè)項(xiàng)目的支持度小于minSup,轉(zhuǎn)至第(5)步,否則轉(zhuǎn)至第(3)步;
(5)過(guò)程結(jié)束,輸出規(guī)則R;
通過(guò)Apriori關(guān)聯(lián)規(guī)則算法從主機(jī)和網(wǎng)絡(luò)安全事件數(shù)據(jù)中挖掘出相應(yīng)的行為關(guān)聯(lián)規(guī)貝U,為云計(jì)算環(huán)境下的網(wǎng)絡(luò)安全預(yù)警提供支撐。本發(fā)明的一種面向云計(jì)算的網(wǎng)絡(luò)安全預(yù)警方法的步驟為
步驟I :用戶分別啟動(dòng)云服務(wù)器和主機(jī)Agent ;
步驟2 :針對(duì)Windows和Linux操作系統(tǒng)的主機(jī)安全數(shù)據(jù),各主機(jī)Agent初始化,分別通過(guò)Win 32 EventLog API和SWATCH程序來(lái)獲取相應(yīng)的日志數(shù)據(jù);
步驟3 :針對(duì)網(wǎng)絡(luò)安全數(shù)據(jù)的采集,各主機(jī)Agent初始化Libpcap,設(shè)置網(wǎng)卡為混雜模式,監(jiān)聽(tīng)和采集網(wǎng)絡(luò)數(shù)據(jù)包;
步驟4 :云服務(wù)器Agent根據(jù)主機(jī)Agent的個(gè)數(shù)N,初始化N個(gè)線程分別監(jiān)聽(tīng)來(lái)自各主機(jī)Agent的數(shù)據(jù)傳輸請(qǐng)求;
步驟5 :若云服務(wù)器Agent監(jiān)聽(tīng)到主機(jī)Agent有數(shù)據(jù)傳輸請(qǐng)求,則云服務(wù)器Agent給主機(jī)Agent返回一個(gè)確認(rèn)信息,建立云服務(wù)器Agent與主機(jī)Agent之間的連接,并轉(zhuǎn)至步驟6,否則轉(zhuǎn)至步驟4 ;
步驟6 :各主機(jī)Agent則將采集得到的主機(jī)和網(wǎng)絡(luò)安全數(shù)據(jù)傳輸?shù)皆品?wù)器中進(jìn)行存儲(chǔ),并提交給安全事件處理器進(jìn)行預(yù)處理,形成符合安全狀態(tài)分析器所需的主機(jī)和網(wǎng)絡(luò)安全事件事務(wù)數(shù)據(jù)庫(kù)D ;
步驟7 :掃描事務(wù)數(shù)據(jù)庫(kù)D,計(jì)算D中所包含的每個(gè)項(xiàng)目出現(xiàn)的次數(shù),生成候選項(xiàng)目集
Cl ;
步驟8 :計(jì)算Cl中每個(gè)項(xiàng)目的支持度,若大于等于最小支持度,則從Cl中確定頻繁項(xiàng)集L,否則轉(zhuǎn)至步驟11;
步驟9 由頻繁項(xiàng)集L產(chǎn)生候選項(xiàng)目集C,掃描事務(wù)數(shù)據(jù)庫(kù)D,對(duì)候選項(xiàng)目集C中的項(xiàng)進(jìn)行統(tǒng)計(jì),若大于等于最小支持度,從C中重新確定頻繁項(xiàng)集L ;
步驟10 :若重新確定的頻繁項(xiàng)集L中每一個(gè)項(xiàng)目的支持度小于最小支持度,轉(zhuǎn)至步驟11,否則轉(zhuǎn)至步驟9;
步驟11 :輸出網(wǎng)絡(luò)安全預(yù)警規(guī)則R,建立網(wǎng)絡(luò)安全預(yù)警專家知識(shí)庫(kù),并將網(wǎng)絡(luò)安全預(yù)警專家知識(shí)庫(kù)中的網(wǎng)絡(luò)安全預(yù)警規(guī)則R下發(fā)至各主機(jī);
步驟12 :過(guò)程結(jié)束。本發(fā)明方法提出了一種面向云計(jì)算的網(wǎng)絡(luò)安全預(yù)警方法,主要用于解決云計(jì)算環(huán)境下的網(wǎng)絡(luò)安全預(yù)警問(wèn)題,通過(guò)使用本發(fā)明中提出的方法既可以監(jiān)控當(dāng)前云計(jì)算環(huán)境下各主機(jī)和網(wǎng)絡(luò)的安全狀態(tài),又可以提高云計(jì)算環(huán)境下的網(wǎng)絡(luò)安全預(yù)警能力。安全事件采集器首先通過(guò)將Agent部署在云計(jì)算中的各個(gè)主機(jī)和云服務(wù)器上,然后建立主機(jī)Agent和云服務(wù)器Agent之間的網(wǎng)絡(luò)連接,接著主機(jī)Agent通過(guò)Win 32EventLog API和SWATCH程序采集Windows和Linux下的主機(jī)安全日志數(shù)據(jù);通過(guò)調(diào)用Libpcap工具包采集網(wǎng)絡(luò)安全數(shù)據(jù)。最后主機(jī)Agent向云服務(wù)器Agent發(fā)送一個(gè)數(shù)據(jù)傳輸請(qǐng)求,在云服務(wù)器Agent返回一個(gè)確認(rèn)信息后,各主機(jī)Agent分布式并行把各自采集得到的主機(jī)和網(wǎng)絡(luò)安全事件數(shù)據(jù)傳送給云服務(wù)器進(jìn)行存儲(chǔ)。安全狀態(tài)分析器通過(guò)使用Apriori關(guān)聯(lián)規(guī)則算法來(lái)對(duì)各主機(jī)采集來(lái)的主機(jī)和網(wǎng)絡(luò)安全事件數(shù)據(jù)所組成的事務(wù)數(shù)據(jù)庫(kù)D進(jìn)行規(guī)則挖掘,首先設(shè)置最小支持度minSup,然后掃描事務(wù)數(shù)據(jù)庫(kù)D中每個(gè)項(xiàng)目出現(xiàn)的次數(shù),生成相應(yīng)的候選項(xiàng)目集Cl,根據(jù)事先設(shè)置的最小支持度計(jì)算Cl中的每一個(gè)項(xiàng)目的支持度,并確定頻繁項(xiàng)集L,直到頻繁項(xiàng)集L中的每一個(gè)項(xiàng)目的支持度都滿足最小支持度為止,同時(shí)輸出相應(yīng)的網(wǎng)絡(luò)安全預(yù)警規(guī)則R,并建立專家知識(shí)庫(kù)下發(fā)至云計(jì)算網(wǎng)絡(luò)中的各主機(jī)上,各主機(jī)根據(jù)專家知識(shí)庫(kù)中的網(wǎng)絡(luò)安全預(yù)警規(guī)則進(jìn)行及時(shí)預(yù)警和防護(hù)。
圖I是一種面向云計(jì)算的網(wǎng)絡(luò)安全預(yù)警組成結(jié)構(gòu)圖。主要包括安全事件采集器、安全事件處理器、安全狀態(tài)分析器以及網(wǎng)絡(luò)安全預(yù)警操作核心;
圖2是云計(jì)算環(huán)境下多數(shù)據(jù)源的分布式采集示意 圖3是參考體系結(jié)構(gòu)示意圖。表示本發(fā)明方法包括的組件;
圖4是本發(fā)明方法的流程示意圖。
具體實(shí)施例方式為了方便描述,我們假設(shè)有如下應(yīng)用實(shí)例
某企業(yè)基于Internet建立公有云計(jì)算平臺(tái),其中包含N個(gè)主機(jī)和由多臺(tái)服務(wù)器組成的云服務(wù)器集群,同時(shí)分別在N個(gè)主機(jī)和云服務(wù)器上部署相應(yīng)的Agent程序。為了構(gòu)建面向該云計(jì)算的網(wǎng)絡(luò)安全預(yù)警平臺(tái),需要N各主機(jī)各自采集相應(yīng)的主機(jī)和網(wǎng)絡(luò)安全事件數(shù)據(jù)傳輸?shù)皆品?wù)器中進(jìn)行存儲(chǔ)、預(yù)處理和分析,并建立網(wǎng)絡(luò)安全預(yù)警規(guī)則庫(kù),以便在發(fā)生網(wǎng)絡(luò)安全事件時(shí)及時(shí)進(jìn)行網(wǎng)絡(luò)安全預(yù)警,從而為公司云計(jì)算平臺(tái)提供及時(shí)的安全防護(hù)。其具體的實(shí)施方案為
(O分別啟動(dòng)主機(jī)和云服務(wù)器Agent,同時(shí)云服務(wù)器Agent處于網(wǎng)絡(luò)監(jiān)聽(tīng)狀態(tài),不斷監(jiān)聽(tīng)主機(jī)Agent是否有數(shù)據(jù)傳輸請(qǐng)求,若主機(jī)Agent有數(shù)據(jù)傳輸請(qǐng)求,則建立主機(jī)Agent和云服務(wù)器Agent的網(wǎng)絡(luò)連接; (2)安全事件采集器針對(duì)Windows和Linux操作系統(tǒng)的主機(jī)安全數(shù)據(jù),各主機(jī)Agent初始化,分別通過(guò)Win 32 EventLog API和SWATCH程序來(lái)獲取相應(yīng)的日志數(shù)據(jù);針對(duì)網(wǎng)絡(luò)安全數(shù)據(jù)的采集,各主機(jī)Agent初始化Libpcap,設(shè)置網(wǎng)卡為混雜模式,監(jiān)聽(tīng)和采集網(wǎng)絡(luò)數(shù)據(jù)包;
(3)各主機(jī)Agent將采集得到的主機(jī)和網(wǎng)絡(luò)安全數(shù)據(jù)傳輸?shù)皆品?wù)器中進(jìn)行存儲(chǔ),并提交給安全事件處理器進(jìn)行去噪、合并和歸一化等預(yù)處理,形成符合安全狀態(tài)分析器所需的主機(jī)和網(wǎng)絡(luò)安全事件事務(wù)數(shù)據(jù)庫(kù)D ;
(4)安全狀態(tài)分析器調(diào)用Apriori關(guān)聯(lián)規(guī)則算法對(duì)各主機(jī)采集來(lái)的主機(jī)和網(wǎng)絡(luò)安全事件數(shù)據(jù)所組成的事務(wù)數(shù)據(jù)庫(kù)D進(jìn)行關(guān)聯(lián)規(guī)則挖掘;
(5)將安全狀態(tài)分析器得到的網(wǎng)絡(luò)安全預(yù)警關(guān)聯(lián)規(guī)則進(jìn)行存儲(chǔ),形成網(wǎng)絡(luò)安全預(yù)警專家知識(shí)庫(kù);
(6)云服務(wù)器Agent將網(wǎng)絡(luò)安全預(yù)警專家知識(shí)庫(kù)下發(fā)至各主機(jī)中進(jìn)行備份;
(7)整個(gè)面向云計(jì)算的網(wǎng)絡(luò)安全預(yù)警規(guī)則已經(jīng)形成,同時(shí)在云計(jì)算網(wǎng)絡(luò)中的各主機(jī)上進(jìn)行了規(guī)則更新備份,便于為各主機(jī)在發(fā)生網(wǎng)絡(luò)安全事件時(shí)提供及時(shí)預(yù)警和安全防護(hù)。整個(gè)面向云計(jì)算的網(wǎng)絡(luò)安全預(yù)警過(guò)程結(jié)束。
權(quán)利要求
1.一種面向云計(jì)算的網(wǎng)絡(luò)安全預(yù)警方法,其特征就在于,包括以下步驟 步驟I :用戶分別啟動(dòng)云服務(wù)器和主機(jī)Agent ; 步驟2 :針對(duì)Windows和Linux操作系統(tǒng)的主機(jī)安全數(shù)據(jù),各主機(jī)Agent初始化,分別通過(guò)Win 32 EventLog API和SWATCH程序來(lái)獲取相應(yīng)的日志數(shù)據(jù); 步驟3 :針對(duì)網(wǎng)絡(luò)安全數(shù)據(jù)的采集,各主機(jī)Agent初始化Libpcap,設(shè)置網(wǎng)卡為混雜模式,監(jiān)聽(tīng)和采集網(wǎng)絡(luò)數(shù)據(jù)包; 步驟4 :云服務(wù)器Agent根據(jù)主機(jī)Agent的個(gè)數(shù)N,初始化N個(gè)線程分別監(jiān)聽(tīng)來(lái)自各主機(jī)Agent的數(shù)據(jù)傳輸請(qǐng)求; 步驟5 :若云服務(wù)器Agent監(jiān)聽(tīng)到主機(jī)Agent有數(shù)據(jù)傳輸請(qǐng)求,則云服務(wù)器Agent給主機(jī)Agent返回一個(gè)確認(rèn)信息,建立云服務(wù)器Agent與主機(jī)Agent之間的連接,并轉(zhuǎn)至步驟6,否則轉(zhuǎn)至步驟4 ; 步驟6 :各主機(jī)Agent則將采集得到的主機(jī)和網(wǎng)絡(luò)安全數(shù)據(jù)傳輸?shù)皆品?wù)器中進(jìn)行存儲(chǔ),并提交給安全事件處理器進(jìn)行預(yù)處理,形成符合安全狀態(tài)分析器所需的主機(jī)和網(wǎng)絡(luò)安全事件事務(wù)數(shù)據(jù)庫(kù)D ; 步驟7 :掃描事務(wù)數(shù)據(jù)庫(kù)D,計(jì)算D中所包含的每個(gè)項(xiàng)目出現(xiàn)的次數(shù),生成候選項(xiàng)目集Cl ; 步驟8 :計(jì)算Cl中每個(gè)項(xiàng)目的支持度,若大于等于最小支持度,則從Cl中確定頻繁項(xiàng)集L,否則轉(zhuǎn)至步驟11; 步驟9 由頻繁項(xiàng)集L產(chǎn)生候選項(xiàng)目集C,掃描事務(wù)數(shù)據(jù)庫(kù)D,對(duì)候選項(xiàng)目集C中的項(xiàng)進(jìn)行統(tǒng)計(jì),若大于等于最小支持度,從C中重新確定頻繁項(xiàng)集L ; 步驟10 :若重新確定的頻繁項(xiàng)集L中每ー個(gè)項(xiàng)目的支持度小于最小支持度,轉(zhuǎn)至步驟、11,否則轉(zhuǎn)至步驟9 ; 步驟11 :輸出網(wǎng)絡(luò)安全預(yù)警規(guī)則R,建立網(wǎng)絡(luò)安全預(yù)警專家知識(shí)庫(kù),并將網(wǎng)絡(luò)安全預(yù)警專家知識(shí)庫(kù)中的網(wǎng)絡(luò)安全預(yù)警規(guī)則R下發(fā)至各主機(jī); 步驟12:過(guò)程結(jié)束。
全文摘要
一種面向云計(jì)算的網(wǎng)絡(luò)安全預(yù)警方法是一種為了保證云計(jì)算環(huán)境下網(wǎng)絡(luò)通信的安全可靠,動(dòng)態(tài)實(shí)時(shí)地識(shí)別和監(jiān)控云計(jì)算環(huán)境下各種攻擊企圖和行為,為面向云計(jì)算下各種網(wǎng)絡(luò)攻擊提供實(shí)時(shí)預(yù)警和安全防護(hù)的方法。它主要有安全事件采集器、安全事件處理器、安全狀態(tài)分析器以及網(wǎng)絡(luò)安全預(yù)警操作核心等部分組成。通過(guò)Agent技術(shù)和Apriori關(guān)聯(lián)規(guī)則算法來(lái)更好地解決云計(jì)算環(huán)境下網(wǎng)絡(luò)安全預(yù)警問(wèn)題,既解決了云計(jì)算環(huán)境下各主機(jī)安全事件數(shù)據(jù)的分布式采集,又提高了云計(jì)算環(huán)境下的網(wǎng)絡(luò)安全預(yù)警和防護(hù)能力。
文檔編號(hào)G06F17/30GK102685180SQ20111031666
公開(kāi)日2012年9月19日 申請(qǐng)日期2011年10月18日 優(yōu)先權(quán)日2011年10月18日
發(fā)明者余勇, 華曄, 張濤, 林為民, 王玉斐, 車建華, 鄧松, 黃秀麗 申請(qǐng)人:國(guó)網(wǎng)電力科學(xué)研究院