唐春蘭

（內(nèi)江師范學(xué)院計(jì)算機(jī)科學(xué)學(xué)院，四川 內(nèi)江641112）

0 引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的高速發(fā)展，云計(jì)算技術(shù)對信息產(chǎn)業(yè)的影響日益深遠(yuǎn)，產(chǎn)業(yè)界推出了一系列基于云平臺的服務(wù)，但在已經(jīng)實(shí)現(xiàn)的云平臺服務(wù)中，安全問題一直令人擔(dān)憂。安全和隱私問題已經(jīng)成為阻礙云計(jì)算普及和推廣的主要因素之一。2011年1月21日，來自研究公司ITGI的消息稱，考慮到自身數(shù)據(jù)的安全性，很多公司正在控制云計(jì)算方面的投資，在參與調(diào)查的21家公司的834名首席執(zhí)行官中，有半數(shù)的官員稱，出于安全方面的考慮，他們正在延緩云的部署，并且有三分之一的用戶正在等待。為了能夠減少云計(jì)算帶來的安全風(fēng)險(xiǎn)，讓云計(jì)算得以長足發(fā)展，安全策略的研究尤其重要。

在成熟的計(jì)算機(jī)安全技術(shù)中，主要包括病毒防護(hù)技術(shù)、入侵檢測技術(shù)、應(yīng)用安全技術(shù)等等，它們在傳統(tǒng)的計(jì)算機(jī)安全策略中發(fā)揮了良好的作用。但是，在新穎的云計(jì)算平臺上，單一的安全策略功能捉襟見肘，各種技術(shù)的整合成為專門針對云計(jì)算開展安全策略研究的重點(diǎn)。本文將對入侵檢測技術(shù)和分布式網(wǎng)絡(luò)技術(shù)進(jìn)行整合研究，從而實(shí)現(xiàn)一種云平臺安全架構(gòu)策略。

1 分布式入侵檢測技術(shù)

入侵檢測（Intrusion Detection）是對入侵行為的檢測。它通過收集和分析網(wǎng)絡(luò)行為、安全日志、審計(jì)數(shù)據(jù)、其它網(wǎng)絡(luò)上可以獲得的信息以及計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測作為一種積極主動(dòng)地安全防護(hù)技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。因此被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)測。

根據(jù)信息來源的不同，入侵檢測技術(shù)可以分為基于主機(jī)的入侵檢測、基于網(wǎng)絡(luò)的入侵檢測以及分布式入侵檢測三種。一般基于主機(jī)的入侵檢測技術(shù)主要使用操作系統(tǒng)的審計(jì)、跟蹤日志作為數(shù)據(jù)源，某些也會主動(dòng)與主機(jī)系統(tǒng)進(jìn)行交互以獲得不存在于系統(tǒng)日志中的信息以檢測入侵。而基于網(wǎng)絡(luò)的入侵檢測技術(shù)常常通過被動(dòng)地監(jiān)聽網(wǎng)絡(luò)上傳輸?shù)脑剂髁浚瑢Λ@取的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行處理，從中提取有用的信息，再通過與已知攻擊特征相匹配或與正常網(wǎng)絡(luò)行為原型相比較來識別攻擊事件。隨著網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜，傳輸數(shù)據(jù)量隨之增大，而網(wǎng)絡(luò)中的攻擊手段也層出不窮，其中廣泛采用的分布式拒絕服務(wù)(DDoS：Distributed Denial of Service)應(yīng)用環(huán)境中的海量存儲和高帶寬的傳輸技術(shù)，使得傳統(tǒng)的入侵檢測不能滿足系統(tǒng)需求，分布式入侵檢測在此狀況下應(yīng)運(yùn)而生。分布式入侵檢測使用分布式的方法對分布式的攻擊進(jìn)行檢測，采用檢測信息的協(xié)同處理和入侵攻擊的全局信息提取以及分布式數(shù)據(jù)的融合作為關(guān)鍵技術(shù)，能夠在數(shù)據(jù)收集、入侵分析和自動(dòng)響應(yīng)各方面最大限度的發(fā)揮入侵檢測策略的優(yōu)勢，因此，分布式入侵檢測成為現(xiàn)代主流IDS的發(fā)展趨勢。

2 基于分布式入侵檢測技術(shù)的云平臺安全架構(gòu)策略

云計(jì)算平臺具有數(shù)據(jù)和服務(wù)外包、虛擬化、多租戶和跨域共享等特點(diǎn)，在這些特征中，虛擬化是基礎(chǔ)。在云計(jì)算中，軟硬件資源通過虛擬化實(shí)現(xiàn)多用戶共享，保證了IT資源利用效率和靈活性的最大化，優(yōu)化了資源的使用，節(jié)約了能源和硬件設(shè)備，并簡化了管理，有效的降低了成本，這是云計(jì)算得以迅速發(fā)展的根本所在。然而，虛擬化技術(shù)也引入了比物理主機(jī)更多的安全風(fēng)險(xiǎn)。由于傳統(tǒng)安全策略主要適用于物理設(shè)備而無法管理虛擬機(jī)和虛擬網(wǎng)絡(luò)等，因此使得傳統(tǒng)的基于物理安全邊界的防護(hù)機(jī)制難以有效保護(hù)基于共享虛擬化環(huán)境下的用戶應(yīng)用及信息安全。資源虛擬化支持不同租戶的虛擬資源部署在相同的物理資源上，方便了惡意用戶借助共享資源實(shí)施側(cè)通道攻擊，用戶的機(jī)密數(shù)據(jù)有可能因此泄露，或者黑客利用虛擬機(jī)進(jìn)行DOS攻擊。

對于云計(jì)算的安全保護(hù)，通過單一的手段是遠(yuǎn)遠(yuǎn)不夠的，需要有一個(gè)完備的體系。傳統(tǒng)安全技術(shù)，如加密機(jī)制、安全認(rèn)證機(jī)制、訪問控制策略通過集成創(chuàng)新，可以為隱私安全提供一定支撐，但不能完全解決云平臺的安全問題，需要進(jìn)一步研究多層次的安全體系，為云平臺安全保護(hù)提供全方位的技術(shù)支持。云安全聯(lián)盟CSA在“云計(jì)算關(guān)鍵領(lǐng)域安全指南”中提出了云計(jì)算的安全運(yùn)行措施，其中便包括了安全加固虛擬機(jī)鏡像。根據(jù)以上研究表明，通過在物理機(jī)、虛擬機(jī)和虛擬機(jī)管理程序三個(gè)方面增加分布式入侵檢測功能模塊，加強(qiáng)虛擬機(jī)的安全?；诜植际饺肭謾z測技術(shù)的虛擬機(jī)安全策略如圖1所示。

圖1 云計(jì)算平臺安全策略

采用這種方式搭建云平臺，可以結(jié)合分布式入侵檢測監(jiān)控系統(tǒng)的功能，實(shí)現(xiàn)用戶不能突破虛擬機(jī)的界限、虛擬機(jī)之間安全隔離、虛擬機(jī)內(nèi)部的安全監(jiān)控與惡意代碼過濾，提高云平臺基礎(chǔ)設(shè)施的防攻擊能力，最大限度的保護(hù)云平臺中資源的隱私與安全，確保云計(jì)算平臺的服務(wù)有效性和連續(xù)性。

3 結(jié)論與展望

分布式入侵檢測技術(shù)與云平臺的完美結(jié)合，可以實(shí)時(shí)監(jiān)測各種非法入侵行為，同時(shí)也可以在發(fā)生入侵事件時(shí)給予實(shí)時(shí)報(bào)警，實(shí)現(xiàn)了從底層物理機(jī)到虛擬機(jī)的安全監(jiān)控，防患于未然，給云平臺服務(wù)提供了更完善的應(yīng)用服務(wù)，為推動(dòng)云平臺的普及和推廣提供了有力的技術(shù)支持。

［1］陸嘉恒.分布式系統(tǒng)及云計(jì)算概論[M].清華大學(xué)出版社,2012.

［2］中國電信網(wǎng)絡(luò)安全實(shí)驗(yàn)室.云計(jì)算安全技術(shù)與應(yīng)用[M].電子工業(yè)出版社,2012.

［3］胡昌振.網(wǎng)絡(luò)入侵檢測原理與技術(shù)[M].2版.北京理工大學(xué)出版社,2010.