唐春蘭

（內(nèi)江師范學(xué)院計算機(jī)科學(xué)學(xué)院，四川 內(nèi)江641112）

0 引言

隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的高速發(fā)展，云計算技術(shù)對信息產(chǎn)業(yè)的影響日益深遠(yuǎn)，產(chǎn)業(yè)界推出了一系列基于云平臺的服務(wù)，但在已經(jīng)實現(xiàn)的云平臺服務(wù)中，安全問題一直令人擔(dān)憂。安全和隱私問題已經(jīng)成為阻礙云計算普及和推廣的主要因素之一。2011年1月21日，來自研究公司ITGI的消息稱，考慮到自身數(shù)據(jù)的安全性，很多公司正在控制云計算方面的投資，在參與調(diào)查的21家公司的834名首席執(zhí)行官中，有半數(shù)的官員稱，出于安全方面的考慮，他們正在延緩云的部署，并且有三分之一的用戶正在等待。為了能夠減少云計算帶來的安全風(fēng)險，讓云計算得以長足發(fā)展，安全策略的研究尤其重要。

在成熟的計算機(jī)安全技術(shù)中，主要包括病毒防護(hù)技術(shù)、入侵檢測技術(shù)、應(yīng)用安全技術(shù)等等，它們在傳統(tǒng)的計算機(jī)安全策略中發(fā)揮了良好的作用。但是，在新穎的云計算平臺上，單一的安全策略功能捉襟見肘，各種技術(shù)的整合成為專門針對云計算開展安全策略研究的重點。本文將對入侵檢測技術(shù)和分布式網(wǎng)絡(luò)技術(shù)進(jìn)行整合研究，從而實現(xiàn)一種云平臺安全架構(gòu)策略。

1 分布式入侵檢測技術(shù)

入侵檢測（Intrusion Detection）是對入侵行為的檢測。它通過收集和分析網(wǎng)絡(luò)行為、安全日志、審計數(shù)據(jù)、其它網(wǎng)絡(luò)上可以獲得的信息以及計算機(jī)系統(tǒng)中若干關(guān)鍵點的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測作為一種積極主動地安全防護(hù)技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。因此被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)測。

根據(jù)信息來源的不同，入侵檢測技術(shù)可以分為基于主機(jī)的入侵檢測、基于網(wǎng)絡(luò)的入侵檢測以及分布式入侵檢測三種。一般基于主機(jī)的入侵檢測技術(shù)主要使用操作系統(tǒng)的審計、跟蹤日志作為數(shù)據(jù)源，某些也會主動與主機(jī)系統(tǒng)進(jìn)行交互以獲得不存在于系統(tǒng)日志中的信息以檢測入侵。而基于網(wǎng)絡(luò)的入侵檢測技術(shù)常常通過被動地監(jiān)聽網(wǎng)絡(luò)上傳輸?shù)脑剂髁浚瑢Λ@取的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行處理，從中提取有用的信息，再通過與已知攻擊特征相匹配或與正常網(wǎng)絡(luò)行為原型相比較來識別攻擊事件。隨著網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜，傳輸數(shù)據(jù)量隨之增大，而網(wǎng)絡(luò)中的攻擊手段也層出不窮，其中廣泛采用的分布式拒絕服務(wù)(DDoS：Distributed Denial of Service)應(yīng)用環(huán)境中的海量存儲和高帶寬的傳輸技術(shù)，使得傳統(tǒng)的入侵檢測不能滿足系統(tǒng)需求，分布式入侵檢測在此狀況下應(yīng)運而生。分布式入侵檢測使用分布式的方法對分布式的攻擊進(jìn)行檢測，采用檢測信息的協(xié)同處理和入侵攻擊的全局信息提取以及分布式數(shù)據(jù)的融合作為關(guān)鍵技術(shù)，能夠在數(shù)據(jù)收集、入侵分析和自動響應(yīng)各方面最大限度的發(fā)揮入侵檢測策略的優(yōu)勢，因此，分布式入侵檢測成為現(xiàn)代主流IDS的發(fā)展趨勢。

2 基于分布式入侵檢測技術(shù)的云平臺安全架構(gòu)策略

云計算平臺具有數(shù)據(jù)和服務(wù)外包、虛擬化、多租戶和跨域共享等特點，在這些特征中，虛擬化是基礎(chǔ)。在云計算中，軟硬件資源通過虛擬化實現(xiàn)多用戶共享，保證了IT資源利用效率和靈活性的最大化，優(yōu)化了資源的使用，節(jié)約了能源和硬件設(shè)備，并簡化了管理，有效的降低了成本，這是云計算得以迅速發(fā)展的根本所在。然而，虛擬化技術(shù)也引入了比物理主機(jī)更多的安全風(fēng)險。由于傳統(tǒng)安全策略主要適用于物理設(shè)備而無法管理虛擬機(jī)和虛擬網(wǎng)絡(luò)等，因此使得傳統(tǒng)的基于物理安全邊界的防護(hù)機(jī)制難以有效保護(hù)基于共享虛擬化環(huán)境下的用戶應(yīng)用及信息安全。資源虛擬化支持不同租戶的虛擬資源部署在相同的物理資源上，方便了惡意用戶借助共享資源實施側(cè)通道攻擊，用戶的機(jī)密數(shù)據(jù)有可能因此泄露，或者黑客利用虛擬機(jī)進(jìn)行DOS攻擊。

對于云計算的安全保護(hù)，通過單一的手段是遠(yuǎn)遠(yuǎn)不夠的，需要有一個完備的體系。傳統(tǒng)安全技術(shù)，如加密機(jī)制、安全認(rèn)證機(jī)制、訪問控制策略通過集成創(chuàng)新，可以為隱私安全提供一定支撐，但不能完全解決云平臺的安全問題，需要進(jìn)一步研究多層次的安全體系，為云平臺安全保護(hù)提供全方位的技術(shù)支持。云安全聯(lián)盟CSA在“云計算關(guān)鍵領(lǐng)域安全指南”中提出了云計算的安全運行措施，其中便包括了安全加固虛擬機(jī)鏡像。根據(jù)以上研究表明，通過在物理機(jī)、虛擬機(jī)和虛擬機(jī)管理程序三個方面增加分布式入侵檢測功能模塊，加強(qiáng)虛擬機(jī)的安全?；诜植际饺肭謾z測技術(shù)的虛擬機(jī)安全策略如圖1所示。

圖1 云計算平臺安全策略

采用這種方式搭建云平臺，可以結(jié)合分布式入侵檢測監(jiān)控系統(tǒng)的功能，實現(xiàn)用戶不能突破虛擬機(jī)的界限、虛擬機(jī)之間安全隔離、虛擬機(jī)內(nèi)部的安全監(jiān)控與惡意代碼過濾，提高云平臺基礎(chǔ)設(shè)施的防攻擊能力，最大限度的保護(hù)云平臺中資源的隱私與安全，確保云計算平臺的服務(wù)有效性和連續(xù)性。

3 結(jié)論與展望

分布式入侵檢測技術(shù)與云平臺的完美結(jié)合，可以實時監(jiān)測各種非法入侵行為，同時也可以在發(fā)生入侵事件時給予實時報警，實現(xiàn)了從底層物理機(jī)到虛擬機(jī)的安全監(jiān)控，防患于未然，給云平臺服務(wù)提供了更完善的應(yīng)用服務(wù)，為推動云平臺的普及和推廣提供了有力的技術(shù)支持。

［1］陸嘉恒.分布式系統(tǒng)及云計算概論[M].清華大學(xué)出版社,2012.

［2］中國電信網(wǎng)絡(luò)安全實驗室.云計算安全技術(shù)與應(yīng)用[M].電子工業(yè)出版社,2012.

［3］胡昌振.網(wǎng)絡(luò)入侵檢測原理與技術(shù)[M].2版.北京理工大學(xué)出版社,2010.