李景清

（中國電信集團(tuán)系統(tǒng)集成有限責(zé)任公司 北京市 100082）

對于云計算背景下的網(wǎng)絡(luò)安全來說，內(nèi)部工作人員風(fēng)險、資源共享威脅、濫用和惡意使用云計算環(huán)境、虛擬化級別攻擊威脅、數(shù)據(jù)存儲安全威脅均屬于威脅網(wǎng)絡(luò)安全的主要風(fēng)險。為保證云計算背景下的網(wǎng)絡(luò)安全，傳統(tǒng)的防火墻技術(shù)、加密技術(shù)需得到充分應(yīng)用，各類新型網(wǎng)絡(luò)安全技術(shù)的應(yīng)用也需要得到重視。

1 云計算背景下的網(wǎng)絡(luò)安全技術(shù)

1.1 云網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)

云網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)屬于典型的云計算背景下網(wǎng)絡(luò)安全技術(shù)，該技術(shù)能夠獲取云網(wǎng)絡(luò)安全態(tài)勢要素，并以此開展云網(wǎng)絡(luò)安全態(tài)勢評估及預(yù)測。基于獲取云網(wǎng)絡(luò)安全態(tài)勢要素進(jìn)行分析可以發(fā)現(xiàn)，在云計算機網(wǎng)絡(luò)環(huán)境下，運行大量虛擬機的物理機會部署防火墻、IDS 等多種安全設(shè)備，以此實現(xiàn)監(jiān)控和防護(hù)，而通過利用入侵檢測設(shè)備、防火墻等網(wǎng)絡(luò)安全設(shè)備，即可獲取云網(wǎng)絡(luò)的安全態(tài)勢要素，網(wǎng)絡(luò)中重要影響因素和態(tài)勢數(shù)據(jù)的實時采集、挖掘可由此實現(xiàn)。通過針對性預(yù)處理采集的數(shù)據(jù)，關(guān)鍵的態(tài)勢要素可順利獲得，具體可采用粗糙集理論、灰色關(guān)聯(lián)法等技術(shù)；基于評估云網(wǎng)絡(luò)安全態(tài)勢進(jìn)行分析可以發(fā)現(xiàn)，這一評估需要以云網(wǎng)絡(luò)環(huán)境中的用戶行為、網(wǎng)絡(luò)行為、各種網(wǎng)絡(luò)設(shè)備運行狀況等因素為前提，以此融合、關(guān)聯(lián)分析網(wǎng)絡(luò)安全態(tài)勢要素，具體分析需采用數(shù)學(xué)模型或數(shù)學(xué)工具，如層次分析法、貝葉斯網(wǎng)絡(luò)、模糊邏輯、神經(jīng)網(wǎng)絡(luò)、支持向量機，以此對整體網(wǎng)絡(luò)的運行狀態(tài)開展綜合評價。作為云網(wǎng)絡(luò)安全態(tài)勢感知的核心，針對性的評估能夠為云計算背景下的網(wǎng)絡(luò)安全保障提供有力支持；基于預(yù)測云網(wǎng)絡(luò)安全態(tài)勢進(jìn)行分析可以發(fā)現(xiàn)，作為態(tài)勢評估的后續(xù)工作，預(yù)測需要以態(tài)勢評估為基礎(chǔ)，并結(jié)合當(dāng)前網(wǎng)絡(luò)狀態(tài)和歷史數(shù)據(jù)，以此對未來的網(wǎng)絡(luò)發(fā)展趨勢進(jìn)行預(yù)測，即可為網(wǎng)絡(luò)管理人員的相關(guān)決策提供依據(jù)，網(wǎng)絡(luò)的風(fēng)險或安全狀態(tài)可由此直觀傳達(dá)給網(wǎng)絡(luò)管理人員，各類防御措施的優(yōu)選也能夠?qū)崿F(xiàn)，神經(jīng)網(wǎng)絡(luò)預(yù)測、灰色理論預(yù)測、時間序列預(yù)測均屬于典型的云網(wǎng)絡(luò)安全態(tài)勢預(yù)測技術(shù)[1]。

1.2 云環(huán)境入侵檢測技術(shù)

云端存儲數(shù)據(jù)很容易受到安全威脅，為設(shè)法應(yīng)對這種威脅，云環(huán)境入侵檢測技術(shù)所發(fā)揮的作用必須得到重視，該技術(shù)可依托入侵檢測系統(tǒng)較好保護(hù)云計算背景下的網(wǎng)絡(luò)安全，大數(shù)據(jù)檢測在實時性層面存在的缺陷也能夠由此彌補，云環(huán)境受到攻擊和侵害的幾率將大幅下降。在云環(huán)境入侵檢測技術(shù)的具體應(yīng)用中，可建立由用戶交互接口模塊、系統(tǒng)管理模塊、容忍模塊、數(shù)據(jù)采集預(yù)處理模塊、檢測分析模塊組成的云環(huán)境入侵檢測模型，該模型同時包括云服務(wù)資源池、網(wǎng)絡(luò)數(shù)據(jù)采集預(yù)處理器等構(gòu)成，該模型可由此提升云系統(tǒng)抵抗入侵攻擊的能力，并同時協(xié)助云技術(shù)開展數(shù)據(jù)的分析、處理和挖掘，更好保證云計算下的網(wǎng)絡(luò)安全。用戶交互接口模塊主要負(fù)責(zé)提供云服務(wù)接口，客戶可在該接口支持下實現(xiàn)對服務(wù)器等云服務(wù)資源的直接訪問，各種服務(wù)對象可通過云服務(wù)目錄顯示，客戶可由此優(yōu)選服務(wù)類型；系統(tǒng)管理模塊負(fù)責(zé)各模塊間通信以及資源分配，同時還負(fù)責(zé)IDS 管理模塊調(diào)用、云服務(wù)資源池管理，對于定時連續(xù)提出檢測請求的IDS 模塊，準(zhǔn)備就緒的系統(tǒng)管理會發(fā)送消息給IDS，具體分析基于數(shù)據(jù)采集模塊調(diào)用開展，采集模塊負(fù)責(zé)存儲預(yù)處理后的數(shù)據(jù)，基于各模塊當(dāng)前的服務(wù)情況，系統(tǒng)會動態(tài)分配任務(wù)；容忍模塊負(fù)責(zé)在網(wǎng)絡(luò)或系統(tǒng)受到攻擊入侵、出現(xiàn)錯誤情況下，保證全部或部分功能繼續(xù)運行或提供服務(wù)，服務(wù)可由此在故障或入侵發(fā)生時在一定時間內(nèi)持續(xù)完成。不同于傳統(tǒng)安全技術(shù)，入侵容忍技術(shù)屬于故障發(fā)生后的一種生存能力，具備系統(tǒng)重新配置、自身修復(fù)能力；數(shù)據(jù)采集預(yù)處理模塊可圍繞網(wǎng)絡(luò)數(shù)據(jù)包應(yīng)用軟件工具進(jìn)行采集，網(wǎng)絡(luò)中的數(shù)據(jù)包可在該模塊啟動后進(jìn)行監(jiān)聽和截取，網(wǎng)絡(luò)流量測試也可由此實現(xiàn)。來自Libpcap 函數(shù)庫的Snort、dump、tcp-均屬于現(xiàn)階段較為流行的網(wǎng)絡(luò)采集工具，系統(tǒng)云平臺可得到Libpcap 提供的用戶編程接口支持，如具備網(wǎng)絡(luò)功能、高安全性、跨平臺等特性的JAVA 類庫，程序代碼可由此直接編寫；檢測分析模塊可較好應(yīng)對猛增的網(wǎng)絡(luò)流量，保證采集數(shù)據(jù)的全面、準(zhǔn)確、可靠、安全?；趩拥腎DS 管理模塊，采集到的樣本數(shù)據(jù)可通過檢測分析模塊進(jìn)行運行檢測，云環(huán)境異常行為是否存在可由此判斷，云環(huán)境入侵檢測技術(shù)也能夠由此更好服務(wù)于云計算背景下的網(wǎng)絡(luò)安全保障[2]。

1.3 云計算網(wǎng)絡(luò)雪崩效應(yīng)防御技術(shù)

云計算網(wǎng)絡(luò)攻擊下的雪崩效應(yīng)會直接影響云計算背景下的網(wǎng)絡(luò)安全，這種雪崩效應(yīng)源于應(yīng)用服務(wù)間邏輯耦合效應(yīng)的連帶影響，網(wǎng)絡(luò)健壯性會受到雪崩效應(yīng)的直接威脅，整個網(wǎng)絡(luò)會因此在很短時間內(nèi)停止服務(wù)。為有效抵抗云計算網(wǎng)絡(luò)雪崩效應(yīng)，基于網(wǎng)絡(luò)關(guān)鍵節(jié)點保護(hù)的云計算網(wǎng)絡(luò)雪崩效應(yīng)防御技術(shù)必須得到重視。在云計算網(wǎng)絡(luò)雪崩效應(yīng)防御技術(shù)的應(yīng)用中，需基于節(jié)點度的大小選取關(guān)鍵點，相較于較小度的節(jié)點，較大度的節(jié)點能夠更好提升網(wǎng)絡(luò)健壯性。為深入了解云計算網(wǎng)絡(luò)雪崩效應(yīng)防御技術(shù)，可假設(shè)受保護(hù)節(jié)點可實現(xiàn)對網(wǎng)絡(luò)攻擊的完全免疫，這種情況下受到保護(hù)的節(jié)點便能夠在雪崩擴散的過程中有效阻止其擴散。以選擇度最高的關(guān)鍵位置節(jié)點為例，通過賦予該節(jié)點免疫網(wǎng)絡(luò)攻擊的能力，免疫節(jié)點加入后大聯(lián)通子圖的規(guī)模即可相應(yīng)增大，因此云計算網(wǎng)絡(luò)的健壯穩(wěn)定性能可在關(guān)鍵節(jié)點保護(hù)后有效提升，復(fù)雜的網(wǎng)絡(luò)攻擊也能夠更好抵抗。相較于在云計算內(nèi)移至傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備的方法，云計算網(wǎng)絡(luò)雪崩效應(yīng)防御技術(shù)可針對性分析云計算網(wǎng)絡(luò)，以此對其中的關(guān)鍵節(jié)點進(jìn)行針對性保護(hù)，整個云計算網(wǎng)絡(luò)健全性可在較少成本投入前提下得到保障。云計算網(wǎng)絡(luò)面臨的威脅可通過云計算網(wǎng)絡(luò)雪崩效應(yīng)防御技術(shù)有效解決，由此提出的新型方法也能夠通過建立虛擬網(wǎng)絡(luò)與物理網(wǎng)絡(luò)的拓?fù)?，更為深入的分析?fù)雜云計算網(wǎng)絡(luò)下的威脅，并最終選用科學(xué)合理的解決辦法[3]。

2 云計算背景下網(wǎng)絡(luò)安全技術(shù)的具體應(yīng)用

2.1 節(jié)點保護(hù)方法

在云計算網(wǎng)絡(luò)雪崩效應(yīng)防御技術(shù)的具體應(yīng)用中，被動節(jié)點保護(hù)方法的選用極為關(guān)鍵，具體的選用需結(jié)合虛擬安全設(shè)備。虛擬化計算可實現(xiàn)網(wǎng)絡(luò)、存儲、計算數(shù)據(jù)庫、防火墻、IDS 等設(shè)施的虛擬，SDN 技術(shù)則能夠?qū)W(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)進(jìn)行針對性探測，這種情況下所有節(jié)點度大小可由此快速獲得。通過利用便利化程度較高的虛擬化網(wǎng)絡(luò)安全設(shè)備，即可對度較高的關(guān)鍵節(jié)點進(jìn)行保護(hù)，F(xiàn)WaaS 為網(wǎng)絡(luò)組件OpenStack 帶有的虛擬化網(wǎng)絡(luò)安全設(shè)備，這種虛擬防火墻的應(yīng)用可實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)包的過濾流入和流出，虛擬防火墻所在的物理主機可由針對性處理數(shù)據(jù)，并在完成處理后將其發(fā)送至虛擬主機。通過部署虛擬防火墻于網(wǎng)絡(luò)中的關(guān)鍵節(jié)點，即可基于數(shù)據(jù)包過濾的能力在一定程度上保證云計算背景下的網(wǎng)絡(luò)安全，但對于云計算提供商來說，缺乏對應(yīng)聯(lián)系的不同虛擬防火墻將導(dǎo)致關(guān)鍵節(jié)點位置優(yōu)勢無法發(fā)揮；主動節(jié)點保護(hù)方法也需要得到重視，該方法以自身加固為基礎(chǔ)，通過分離安全服務(wù)與業(yè)務(wù)，即可保證兩臺虛擬機分別負(fù)責(zé)安全服務(wù)與業(yè)務(wù)的運行，由此組成一個子網(wǎng)，輔以反向代理服務(wù)，即可真正在內(nèi)部不同虛擬機上分離安全數(shù)據(jù)和業(yè)務(wù)，安全系統(tǒng)與業(yè)務(wù)互不影響目的可順利實現(xiàn)。云計算提供商的安全防御設(shè)施部署可在對用戶透明的前提下實現(xiàn)，由于同樣采用虛擬機作為安全節(jié)點，安全節(jié)點的開啟和關(guān)閉開銷較小，可云計算網(wǎng)絡(luò)動態(tài)特性需求可由此較好滿足[3]。

2.2 云計算網(wǎng)絡(luò)安全防御系統(tǒng)架構(gòu)

每個虛擬機在云計算中均可視作具備簡單日志分析和處理能力的節(jié)點，因此每個虛擬機可允許一個輕量的、可裁剪的系統(tǒng)監(jiān)控與告警程序，系統(tǒng)運行狀態(tài)感知可由此實現(xiàn)，監(jiān)控程序的優(yōu)化和裁剪可結(jié)合虛擬機的處理性能實現(xiàn)。對于負(fù)載較重或性能較弱的機器，監(jiān)控軟件可僅負(fù)責(zé)CPU、網(wǎng)絡(luò)流量、內(nèi)存等基本信息分析，處理能力較強或負(fù)載較輕主機的監(jiān)控軟件則需要對運行進(jìn)程信息、數(shù)據(jù)指紋、網(wǎng)絡(luò)IP 等信息進(jìn)行記錄，虛擬機節(jié)點在運行監(jiān)控程序后可被稱作傳感器節(jié)點。傳感器節(jié)點可同時實現(xiàn)免疫處理模塊能力啟動，結(jié)合具體防御策略，節(jié)點即可攔截和阻塞網(wǎng)絡(luò)病毒、惡意軟件，保護(hù)云計算背景下的網(wǎng)絡(luò)安全。此外，還需要建立防御策略生成節(jié)點，該節(jié)點負(fù)責(zé)監(jiān)控數(shù)據(jù)處理和防御策略生成，每個傳感器節(jié)點發(fā)送的日志和告警數(shù)據(jù)可通過防御策略生成節(jié)點負(fù)責(zé)收集和匯聚，以此開展針對性分析，輔以監(jiān)控黑名單、防御規(guī)則匹配，即可科學(xué)選擇防御策略并下發(fā)，相應(yīng)的防御機制可由接收策略的傳感器節(jié)點啟動?？苫趥鞲衅鞴?jié)點與防御策略生成節(jié)點建設(shè)云計算網(wǎng)絡(luò)防御系統(tǒng)，虛擬機可由此分別負(fù)責(zé)邏輯業(yè)務(wù)運行，以及分析、生成、下發(fā)防御策略。防御策略生成節(jié)點包含安全響應(yīng)與業(yè)務(wù)處理兩部分，因此防御策略生成節(jié)點可基于安全響應(yīng)節(jié)點的升級較為便利獲得。

在云計算網(wǎng)絡(luò)安全防御系統(tǒng)的具體應(yīng)用中，該系統(tǒng)的威脅處理由四部分組成，即：“檢測威脅→上報日志→處理威脅→部署防御規(guī)則”。相較于傳統(tǒng)的威脅處理，云計算下的威脅處理具備較高特殊性，這是由于不同用戶的邏輯子網(wǎng)可能成為云計算的攻擊目標(biāo)，因此相關(guān)處理需要合并處理類別相同的攻擊。如存在己知攻擊，被攻擊的節(jié)點和未被攻擊的節(jié)點均需要得到保護(hù)，同時云計算平臺規(guī)模帶來的影響也不容忽視。在云計算網(wǎng)絡(luò)安全防御系統(tǒng)的具體應(yīng)用中，整個防御處理以檢測威脅和上報日志為第一部分，產(chǎn)生異常的被攻擊節(jié)點可觸發(fā)監(jiān)測程序的告警系統(tǒng)，以此檢測威脅，防御策略生成節(jié)點即可接收告警信息，針對性進(jìn)行威脅分類，輔以規(guī)則集匹配，最終向規(guī)則產(chǎn)生器發(fā)送匹配的結(jié)果，相應(yīng)的規(guī)則即可生成，防御規(guī)則的針對性部署也可由此獲得依據(jù)，系統(tǒng)防御策略生成優(yōu)化也能夠順利實現(xiàn)，云計算背景下的網(wǎng)絡(luò)安全自然可得到更好保障。

2.3 云計算網(wǎng)絡(luò)安全防御系統(tǒng)的具體應(yīng)用

在檢測威脅環(huán)節(jié)，云計算網(wǎng)絡(luò)安全防御系統(tǒng)可基于傳感器節(jié)點通過事件觸發(fā)模式和輪詢模式進(jìn)行數(shù)據(jù)采集，一個或多個觸發(fā)事件的針對性設(shè)置、基于一定時間間隔的關(guān)鍵信息掃描和采集屬于其中關(guān)鍵，傳感器節(jié)點威脅檢測流程可概括為：“開始掃描→登錄用戶、進(jìn)程、端口等基本信息掃描→判斷是否存在超過閾值的負(fù)載→是/否→結(jié)束/圍繞數(shù)據(jù)包、內(nèi)存進(jìn)行高級掃描→結(jié)束”；在上報日志環(huán)節(jié)，云計算網(wǎng)絡(luò)安全防御系統(tǒng)需初步分析威脅，以此決定是否上報，決定上報后需針對性開展數(shù)據(jù)預(yù)處理，預(yù)處理包括合并和去重數(shù)據(jù)、過濾數(shù)據(jù)、壓縮數(shù)據(jù)，以此去除重復(fù)數(shù)據(jù)、過濾正常觸發(fā)的威脅告警，數(shù)據(jù)壓縮可結(jié)合實際情況考慮是否采用；在處理威脅環(huán)節(jié)，云計算網(wǎng)絡(luò)安全防御系統(tǒng)需針對性分類威脅、匯總威脅、生成規(guī)則、下發(fā)規(guī)則。在針對性分類威脅的過程中，可按照HTTP 攻擊、網(wǎng)絡(luò)攻擊、惡意軟件進(jìn)行分類。在匯總威脅的過程中，相關(guān)的攻擊信息合并屬于其中關(guān)鍵，如在一次DDoS 攻擊中，可匯總相關(guān)傳感器節(jié)點的報告的威脅，后續(xù)的處理流程簡化也由此獲得支持。在生成規(guī)則的過程中，系統(tǒng)基于自我學(xué)習(xí)和手動定義形成的規(guī)則集屬于其中關(guān)鍵，通過對各類威脅處理方法進(jìn)行定義，即可更好服務(wù)于云計算網(wǎng)絡(luò)安全防御。下發(fā)規(guī)則需在防御部署節(jié)點開始前，以此優(yōu)選下發(fā)路徑和下發(fā)選路算法，如廣度優(yōu)先算法、Dijkstra 算法，即可適應(yīng)不同任務(wù)需要，如Dijkstra 算法適用于緊急任務(wù)，廣度優(yōu)先算法適用于策略接收端較多的任務(wù)；在部署防御規(guī)則環(huán)節(jié)，云計算網(wǎng)絡(luò)安全防御系統(tǒng)可基于下發(fā)的防御規(guī)則進(jìn)行解壓縮處理，傳感器節(jié)點可由此向自身規(guī)則集中導(dǎo)入防御程序，規(guī)則中關(guān)聯(lián)的防御軟件可基于防御程序的導(dǎo)入而調(diào)動，更好保護(hù)云計算背景下的網(wǎng)絡(luò)安全。

3 結(jié)論

綜上所述，云計算背景下的網(wǎng)絡(luò)安全技術(shù)具備較高應(yīng)用價值。在此基礎(chǔ)上，本文涉及的云網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)、云環(huán)境入侵檢測技術(shù)、云計算網(wǎng)絡(luò)雪崩效應(yīng)防御技術(shù)等內(nèi)容，則提供了可行性較高的云計算背景下網(wǎng)絡(luò)安全技術(shù)應(yīng)用路徑。為更好適應(yīng)云計算發(fā)展現(xiàn)狀，相關(guān)網(wǎng)絡(luò)安全技術(shù)的研發(fā)和應(yīng)用還需要結(jié)合大數(shù)據(jù)等新型技術(shù)，智能化的相關(guān)探索也需要引起重視。