基于数据挖掘技术的网络入侵检测系统

王刚

（陕西警官职业学院，陕西西安 710016）

随着数据计算需求的激增及大数据技术的发展，分布式云计算技术得到了广泛关注[1-2]。云计算平台可以利用分布式硬件平台，向不同用户提供多样的云计算服务。同时，由于其开放性的特点，受到多种类型的网络攻击，面临了各种安全风险[3-4]。

云计算平台的安全防御问题得到了广泛研究。文献[5-6]分析了云计算平台会面临的网络攻击与风险类型。在此基础上，文献[7]研究了基于风险类型评估的等级保护策略。另外，为了解决非法入侵的问题，还研究了基于多种方法的安全接入机制[8-9]。

考虑到网络攻击类型的多样化，关于敏感数据识别的网络安全防御方法，可以在较大程度上识别非法数据攻击[10]。基于私有云研究安全平台及文件加密机制可以保障云计算平台的数据安全[11-13]。另外，为了准确识别多种类型的网络攻击，进行有针对性的防御，机器学习等学习类算法被广泛应用于安全防御平台[14-15]。

文中针对多语种媒体融合云平台进行随机化防御安全体系设计。在分析多种风险类型的基础上，设计了包括物理基础设施、虚拟主机、虚拟网络、数据和应用在内的五维一体安全防御体系。为了最大程度地提高云平台的安全性，文中使用随机化方法在每一个云计算服务层对参数与密钥进行随机化处理[16-17]。另外，文中使用故障模型匹配方法对攻击类型进行识别并报警，以进一步提高防御概率。通过对比增加随机化防御前后的网络攻击防御成功概率及报警错误概率，可以说明文中所设计的安全防御体系，能够有效提高云平台抵御网络攻击的能力。

1 风险类型

媒体融合云平台面临着各种类型的攻击，其中包括主动式攻击及随机式病毒等[18]。主要面临的风险包括：数据泄露风险、隔离失效风险、用户恶意攻击风险与资源滥用风险。

1）数据泄露风险

媒体融合云平台存储海量多媒体数据，包括用户信息数据及媒体信息数据。由于媒体传播的特殊性，云应用平台的数据必须确保安全。但实际上，云平台会面临多种恶意攻击，存在较大的数据泄露风险。

2）隔离失效风险

对于云应用平台而言，用户、平台终端及数据库之间利用网络连接。一般通过网关、路由器和防火墙等进行安全性隔离。若不同终端间的隔离失效，则存储于不同终端的数据可能会被恶意修改，因此存在隔离失效的风险。

3）用户恶意攻击

云平台是对外完全开放的应用平台，用户涉及不同类型，且需求也多种多样。可能存在部分用户恶意攻击平台的现象，非法获取、破坏其他数据，或者通过饱和攻击以及恶意病毒破坏平台安全。

4）资源滥用风险

由于云平台的开放性属性，可能存在大量用户操作同时占用云计算资源。另外，云计算平台自身的维护与运营也需要占用平台资源，可能会存在资源滥用的情况导致用户侧资源紧张，无法接入平台。因此，平台需要加强安全监管及对合作单位的监督，规避资源滥用的风险。

2 云平台服务架构

文中针对多语种媒体融合云平台进行了安全防御体系研究。多语种媒体融合云平台采用三层架构建设，即SaaS 层、PaaS 层和IaaS 层，云平台为云用户提供的服务类型主要包括软件服务、平台服务及基础设施服务三项。云平台用户通过APIs 接入云平台，调用相应的应用程序并与云平台完成数据交互。当大量云用户进行平台操作时，需要平台服务中的中间件进行交互。而中间件与底层的APIs 进行交互，调用虚拟服务器以及硬件设施为云用户提供服务。

多语种媒体融合云平台的平台建设采用公有云、私有云和专属云三维共建的混合云模式。不同类型的云平台可以为用户提供不同的云服务，3 种云平台可以灵活地进行配置，有机构成整个云平台架构[19]。不同的用户与维护人员可以根据需要有选择地将数据配置到不同的云上，最终形成多云协同共建的融合云平台。

公有云是指面向整个互联网环境的云平台，可以为互联网所有用户提供云服务，公有云配置较高，可以支持计算量较大或存储空间需求量大的云服务。公有云可以提供安全性或隐私性需求较低的服务。

私有云主要是针对媒体用户需要，在媒体单位内部建设云平台存储多媒体数据，并为员工提供软件服务及应用系统。私有云作为公有云的一个补充，既可以保留公有云的服务质量，又可以在较大程度上提高云平台的安全特性。私有云既可以为用户提供数据存储服务，也可以作为虚拟化云应用中心。

专属云相对于私有云具有更加私密性的特点，主要针对于特定用户。相对于公有云与私有云，其在安全性上进一步提高。在物理架构上设置了隔离资源池，允许用户独自占有平台资源，可以个性化定制云服务，因此更加独立、灵活。

3 云应用随机化防御安全体系架构

3.1 安全体系架构

文中所设计的媒体融合云的安全防御体系涉及多层次、多领域，其采用物理基础设施、虚拟主机、虚拟网络、数据和应用在内的五维一体安全防御体系设计，可以对物理基础设施、网络与数据等进行综合防护，最大程度上提高云平台的安全性。文中所设计的媒体融合云的安全防御体系，如图1 所示，整个安全体系采用层级架构进行设计。

图1 媒体融合云的安全防御体系架构

物理环境安全主要是在物理层面考虑系统的安全性，包括云计算的计算模块、存储模块、网络接口设备、服务器终端及传输网等。通过保证物理基础设施的安全性来确保整个平台的安全。

虚拟主机安全主要涉及病毒防护、攻击预警和安全访问。平台对服务主机进行防护，采用部署防火墙等技术手段对虚拟主机进行安全隔离。

虚拟网络安全主要针对两方面：虚拟化安全与网络安全。虚拟化安全是不同虚拟机之间的配置与交互管理，需要设置安全隔离层。网络安全主要针对网络传输及网络层的各个接口，需要在网络层应用防火墙等进行边界隔离，保护网络层通信安全。同时，平台需要加强对网络攻击与病毒的扫描、检测与审计。

数据安全主要涉及数据传输、访问和存储等操作，既要保证数据在传输过程中不发生泄露与污染，又要保证数据可以安全、可靠地被存储与调用。

应用安全主要是保证云平台提供的多种应用服务的安全性，包括数据库、业务系统、办公软件和电子邮件等服务。平台需要保证用户可以安全的接入，避免发生数据泄露的问题。

3.2 随机化防御机制

在传统云计算平台下，从用户终端到SaaS、PaaS和IaaS 服务模块均可能会受到网络攻击，且攻击的位置与时间是随机的，这增大了安全防御的难度。网络攻击模式如图2 所示。

图2 云应用平台随机化攻击模型

为了抵御随机化的网络攻击，文中提出基于随机化防御的云应用安全体系。即在每一层云计算服务信息传递过程中进行随机化处理，将消息采用随机化密钥加密后再传输。即使攻击者可以随时在任何进程进行随机化攻击，但没有信息传递密钥也无法进行破解，从而保护了整个云计算平台的安全性。经过随机化防御的云计算平台受攻击模型如图3 所示。

图3 云应用平台随机化攻击防御模型

在云计算服务的每一层进行随机化防御部署，利用随机化参数信息传递与随机化密钥保证信息安全。各个服务层之间通过调用APIs 进行信息传递，对各个信息服务层的随机化密钥进行处理，需要在每一层服务栈设置管理单元。利用特殊协议传递各服务层的随机化参数信息。云计算环境下的随机化部署模型如图4 所示。

图4 云计算环境下随机化部署模型

从图4 中可以看出，多个用户网络能够同时通过不同终端接入云计算平台，为应对各种类型的攻击。云计算平台的随机化部署主要包括：数据传输随机化及基础设施服务接口随机化两部分。其中，两个部分均在各个服务层内置了管理单元，负责密钥及随机化参数的传递与管理。

数据传输模块与用户网络进行交互，不同数据传输模块之间通过管理云网络进行数据协调。从顶层到底层包括数据随机化、指令随机化及地址随机化。平台将用户交互的数据、发布的指令与数据传输的地址进行随机化加密，并将密钥信息与参数信息通过管理单元的特殊协议二次加密传输，保证云平台的安全。

用户需求从顶层传输至云平台底层，传输数据通过底层的管理单元进行数据解密。获得用户地址、所发布的需求指令与交互信息，并调用相应的程序为用户终端提供服务。为了增强随机化防御能力，基础设施模块通过数据传输接口随机化、网络接口随机化和云服务接口随机化避免端口被恶意劫持。针对不同用户的不同需求，提供随机化的接口可以有效防御传统的固定地址与端口攻击，也可避免网络端口漏洞带来的安全风险。

在随机化防御机制启动后，云计算平台可以有效抵御多种类型的随机化攻击。为了进一步完善平台的安全体系，文中在随机化防御的基础上又配置了云平台安全防御报警系统，其报警流程如图5所示。

图5 云平台安全防御报警流程

云平台安全防御报警系统对云平台的安全进行监控。首先，通过数据采集系统采集云计算平台的状态数据并进行数据处理。平台内置多种类型的故障模型，系统将处理后的状态数据与故障模型进行匹配，然后进行安全诊断。若出现异常，则进行安全告警；若结果正常，则直接显示安全。处理后的状态数据与安全诊断结果均要存储到平台数据库中，以进行故障模型的训练及安全日志的更新。

4 仿真验证与性能分析

该节验证所设计的基于随机化防御的云应用安全防御体系的实际功效。文中针对几种常见的网络攻击方法进行测试，通过对比增加随机化防御前后的网络攻击防御成功概率，以及报警错误概率验证随机化防御方法的有效性。

文中所设计的基于随机化防御的云应用安全防御体系对于不同类型的网络攻击均有较好的适用性，如表1 所示。在不同类型的网络攻击下，相对于随机化防御前的防御概率提升2.1%～8.3%。另外，随机化防御方法对于代码注入攻击的防御概率提升最低，对于拒绝服务攻击的防御概率提升最高。

表1 随机化防御前后多类网络攻击类型防御概率

表2 给出了使用文中所设计的随机化防御方法，对于多种类型的网络攻击均有较好的识别概率。从整体趋势上看，误报概率略高于漏报概率。对于不同类型的网络攻击，平台漏报概率在1.1%以下，且整体错误识别概率最高为2.6%，说明文中所设计的随机化防御可以较好地识别网络攻击并进行防御，有效地保护云计算平台。

表2 多类网络攻击类型随机化防御报警错误概率

5 结束语

文中研究了基于随机化防御的云应用安全体系。考虑到文中所针对的多语种媒体融合云平台面临的多种风险类型，其设计了包括物理基础设施、虚拟机、虚拟网络、数据、应用在内的五维一体安全防御体系，并在云计算平台的每一个服务层使用随机化方法，对传递参数与密钥进行随机化加密保证数据安全。通过对比增加随机化防御前后的网络攻击防御成功概率及报警错误概率，可以说明文中所设计的安全防御体系可防御多种类型的网络攻击，具有较好的实用性。