面向云环境大规模网络流量下恶意行为的实时检测方法研究

With the rapid expansion of data, business and network scale, information security issues on cloud platform become more and more prominent. Due to the amplitude and complexity of cloud network topology, low efficiency and identification inability come into being the bottleneck restricting the development of cloud computing industry. Aiming at these problems, this project tries to leverage the features of centralized control to build a Software Defined Network (SDN) based malicious behavior detection model, to meet the requirement for centralized and flexible traffic control. Firstly, in order to solve the problem of low speed and coarse-grained detection method caused by large-scale data flow, this project proposes a stream-computing-based attack feature recognition algorithm to improve the efficiency and accuracy of real-time processing. Secondly, focusing on the defects of existing research which could not integrate multi-level factors into attack detection effectively on cloud platforms, our project proposes a big data analysis based on unknown attack detection algorithm. Meanwhile, our scheme monitors the inside information of virtual machines transparently by combining the virtual machine introspection and behavior analysis on application layer, which can discover the hidden malicious code effectively. Furthermore, we enrich the attack feature library so as to improve the detection efficiency. Finally, this project builds a test bed to verify the validity and rationality of the proposed.model and methods.

随着云平台数据、业务以及网络规模的迅速扩张，云平台下信息安全问题越来越突出，这主要是由于大规模网络攻击检测的处理效率低、网络结构复杂以及对未知攻击的识别能力差等几方面问题导致。针对目前研究存在的问题，本项目拟利用软件定义网络（SDN）的集中控制的特性，研究基于SDN的恶意行为检测模型，以满足对流量集中和灵活控制的需求；针对大规模流量对现有的已知攻击的检测方法带来的处理效率和效果的挑战，研究基于流计算的攻击特征识别算法利用流计算的快速处理能力提升云平台的处理效率和精度；针对现有的研究未能结合多层次的因素对云平台中未知攻击进行有效挖掘和分析，本项目研究基于大数据的未知攻击检测算法，利用虚拟化技术来透明监控虚拟机内部的信息，同时结合应用层行为分析，来有效挖掘隐藏的恶意行为，并对此恶意行为进行特征分析以丰富攻击特征库，提高检测效率；最后，搭建试验床验证所提的研究模型及方法的有效性和合理性。

云计算环境下网络流量的迅猛增长对现有的入侵检测技术带来了巨大的挑战，因此，亟需构建能够有效应对大规模网络流量的入侵检测系统。SDN（Software Defined Network，SDN）技术的出现，为大规模网络流量下安全事件应急响应带来了新的实现思路。通过使用SDN硬件和软件，可以使得传统的网络设备转变成为入侵阻断设备，对流量控制能力的自适应性大大加强。另一方面，SDN物理设备结合云平台中支持SDN协议的Vswitch能够实现对虚拟机层面的网络流量的控制，有效避免传统情况无法实现对虚拟机的监控的困境，这使得云平台中应急响应过程可以较容易地实现集中控制，从而实现面向更大规模网络的安全事件响应（SDN控制器本身的安全防护不属于本项目研究范围）。因此，针对现有研究不能很好应对大规模网络流量带来的安全挑战，本项目利用SDN的集中控制的特性，研究基于SDN的恶意行为检测模型，以满足对流量集中控制的需求；针对大规模流量对现有的已知攻击的检测方法带来的处理效率和效果的挑战，研究基于流计算的攻击特征识别算法，利用流计算的快速处理能力提升检测效率和精度；针对现有的研究未能结合多层次的因素对未知攻击进行有效挖掘和分析，本文研究了基于大数据的未知攻击检测算法，该方法利用虚拟化技术来透明监控虚拟机内部的信息，同时结合应用层行为分析，以有效挖掘隐藏的恶意行为，并对此恶意行为进行特征分析以丰富攻击特征库，提高检测效率；最后，为了验证所提的研究模型及方法的有效性和合理性，搭建云计算实验平台对所提检测方法进行逐一验证，同时测试所提模型对系统性能的影响。本项目在云计算环境下大规模网络流量的恶意行为检测模型和方法上取得一定突破。

内容获取失败，请点击重试