[发明专利]一种基于多主机日志关联的入侵检测方法

说明书

技术领域

本发明设计一种基于多主机日志关联的入侵检测方法，用于复杂的虚拟机群环境中，对集群中不同操作系统的日志，进行归纳、分析、检测，从而对入侵路径进行有效的追踪与识别，属于电信服务安全技术领域。 

背景技术

Internet应用的迅速增长及规模经济的需求催生了新的网络计算模式——云计算（Cloud Computing）。云计算是当前IT领域最受关注话题之一，是各界关注的焦点。它利用互联网将大量的软硬件资源整合在一起，构成规模巨大的虚拟资源池，通过互联网为企业、部门等用户提供各种各样的服务。然而，由于云计算自身关键技术而产生的安全问题却一直制约着云计算进一步的普及和发展。 

在互联网时代，随着科学技术的飞速发展和普及以及各种新型个人应用的层出不穷，科技的进步必然带来的安全问题也越来越受关注，特别是斯诺登事件的发生给全世界的网络安全防护造成了前所未有的冲击和挑战。近年计算机安全漏洞、网络攻击的种类、复杂性以及遭受入侵的计算机数量逐年增加，潜在的威胁和攻击继续增长。云计算系统中计算和存储资源高度集中的特性会使其更容易成为攻击和利用的对象。如何在如此严峻的网络安全形势下保证云计算系统不被入侵和破坏是云计算研究中亟待解决的主要问题之一。 

虚拟化技术是云计算中关键的技术之一，虚拟化技术的出现，使传统主机被虚拟机替代，一方面有效的提高了资源的利用率，降低了管理的成本，但另一方面功能越强大背后的安全隐患也越多，虚拟机之间的不正当隔离、 虚拟机逃逸、虚拟机劫持、虚拟机网络拓扑结构的动态变化等等，这些安全因素使虚拟机的安全问题比传统主机更为复杂。 

日志对主机系统的安全有着重要作用，通过系统日志可以查找出系统错误或者受到的攻击来源，传统的日志分析工具只能记录分析单一操作系统的日志，当面对复杂网络结构下一项应用或者一项服务需要多虚拟机共同参与的情况，无法通过对整个虚拟机集群原始数据背后逻辑关系的研究，识别出攻击者的攻击企图或攻击路径。在传统的非虚拟化环境中，日志分析功能一般与主机入侵检测系统HIDS相结合，将日志分析的部分功能集成在HIDS中。HIDS可以很好的保障系统的安全，检测来自于系统的日志文件，与知识库中入侵规则进行匹配，检测系统中是否有安全事件发生。但是HIDS自身存在很多问题：为确保检测结果的准确性，必须先确保系统的安全性，所有的检测活动都在在默认系统本身具有合理的安全设置的前提下；即使系统满足上面的条件，攻击者在入侵行为完成后可以即时将对应的系统日志删除，从而不被检测到，所以在保证所采集数据的实时性、完整性、真实性方面有所欠缺。 

另外，虚拟化环境中，虚拟机系统的出现导致传统操作系统直接运行于硬件之上的结构发生变化，同一个虚拟平台可以部署多台虚拟机，每台虚拟机的安全策略会有所区别，并且由于虚拟环境中网络配置的动态变化，虚拟机所在的网络拓扑结构也会发生动态变化，这些特征都使得传统的HIDS不能完全适应结构体系上的变化。 

最后，分布式入侵系统是以后的主流。传统的IDS大多都局限于单一的主机或网络架构，对异构系统的检测明显不足，不同的IDS系统之间不能很好的协同工作。 

发明内容

针对上述问题，本发明的目的是，提供一种基于多主机日志关联的入侵检测方法。 

本发明解决上述技术问题的技术方案如下：一个基于多主机日志关联的入侵检测系统，包括异构操作系统日志采集模块、日志过滤模块，以及一种日志匹配算法； 

所述异构操作系统日志采集模块用来采集虚拟机上操作系统的日志，并将日志实时的传输到远端的日志服务器中。按照操作系统不同分为Windows系统日志采集模块与syslog日志采集模块，为不同操作系统的日志格式统一与采集归并提供强有力的技术支持； 

所述日志过滤模块接受来自被检测虚拟机系统的日志，并根据需求，按一定规则对其进行转换后，生成XML或者Excel格式的日志信息，传递给后续的模块，以供分析使用。用于提高日志的有效性，减轻日志的存储负担，为后续的日志分析工作提供内容支持； 

所述日志匹配过程算法使用来自日志过滤模块输出的数据，用于在分析入侵行为特征的基础上，对测试环境进行多次模拟攻击，采集分析与该入侵行为相关的日志数据，提取特征数据，形成匹配规则。