《电子技术应用》
您所在的位置:首页 > 通信与网络 > 设计应用 > 私有云平台上CP2DR模型检测阶段的研究与实现
私有云平台上CP2DR模型检测阶段的研究与实现
2015年电子技术应用第2期
吴 军,张轶君,张向丽,白光伟
南京工业大学 电子与信息工程学院,江苏 南京211816
摘要: 针对私有云这种特定平台上的安全性考虑,提出了一种私有云平台上的动态安全防护模型CP2DR,CP2DR模型主要利用了虚拟机反省技术(VMI)和虚拟机动态迁移技术来实现私有云平台上的防护和响应阶段。重点在检测阶段,利用隐藏式朴素贝叶斯(HNB)分类器进行检测。实验结果表明,CP2DR模型在检测阶段使用的HNB分类器相比于其他分类器有更显著的优势,这也使得整个CP2DR模型在私有云平台上被更好地运用。
中图分类号: TP393
文献标识码: A
文章编号: 0258-7998(2015)02-0116-04
Research and implementation of the CP2DR model in the detection phase on private cloud platform
Wu Jun,Zhang Yijun,Zhang Xiangli,Bai Guangwei
College of Electronics and Information Engineering,Nanjing Technology University,Nanjing 211816,China
Abstract: For particular private cloud platform, this paper presents a dynamic security model CP2DR, CP2DR model mainly adopts virtual machine introspection technology(VMI) and virtual machine live migration technology to achieve private protection and response phase on cloud platform. The paper will focus on the detection phase, this phase uses Hidden Naive Bayes(HNB) classifier for testing. Experimental results show that, compared to other classifiers,HNB classifier CP2DR model used in the detection phase has more significant advantages, it also makes the whole CP2DR model better be used in the private cloud platform.
Key words : cloud platform;dynamic security protection;CP2DR;Hidden Naive Bayes

  

0 引言

  目前,在计算机技术应用中,虚拟化技术[1]作为云平台的一种技术支撑已经很常见。同时,随着云平台和云技术的普及,云安全问题也变得越来越多样化,很多研究人员针对云安全问题已经做了相关研究。比如传统的基于主机的安全检测工具都放在被监控系统内部,容易受到恶意篡改,而且也无法保证系统的完整性,所以一些学者希望将一些特定的安全工具(例如病毒扫描工具、入侵检测工具)安放在被监控虚拟机外部的某个安全领域,从外部观察和响应一些目标虚拟机事件。这种方法确实达到了可观的效果,但这种方法还停留在防护阶段,相对于保护整个平台的安全还是不够的,仍需要不断完善。

  近年来,动态安全模型以及私有云平台的防护这两方面都取得了很好的突破和发展。首先,动态安全模型中最广为熟知的P2DR[2]模型已经被运动到各个领域来解决不同的安全问题。而在私有云平台防护问题上,NANCE K,HAY B和BISHOP M 3人提出了关于虚拟机的反省机制(VMI)[3]问题。之后,PAYNE B D、CARBONE M等人提出了一种针对虚拟化的主动监控体系结构,称之为Lares[4]模型。

  本文将动态安全模型和私有云平台防护两个方面有效结合,在已有的动态安全模型基础上,提出了一种新的动态体系结构模型CP2DR。CP2DR考虑到私有云平台作为一种特殊的网络平台,它的特殊性体现在于它可以利用虚拟化技术的相关特性,例如虚拟性、强隔离性等,然后结合以上提到的一些虚拟化技术以及隐藏式朴素贝叶斯(HNB)[5-6]分类算法,动态实现私有云平台上的安全防护问题。

1 CP2DR支撑平台背景技术

  1.1 虚拟机反省技术(VMI)

  传统的基于主机的安全检测工具都被安放在被检测设备的内部,容易受到恶意攻击和篡改,而且也无法保证系统的完整性。VMI工具主要是从被监控虚拟机的外部来监控目标虚拟机的行为,所以这使得一些安全工具(例如病毒扫描工具、入侵检测系统)可以从被监控虚拟机外部的某个安全领域观察和响应一些目标虚拟机事件,VMI工具也不易受到攻击。本文中采用的Xen虚拟系统,如图1所示,它将VMI应用安放在特权域Dom0中,因为两者是通过稳定的API进行交互,这样可以保证VMI工具尽量不随着VMM的改变而改变。

001.jpg

  1.2 入侵检测技术

  入侵检测的主要任务是捕获一组用户属性然后决定这组用户属性是属于那些合法用户还是那些入侵者。输入的属性组必须包含独一无二的计算机网络用户日志特性,而输出的属性组则分为合法用户和入侵者。从建模的角度来看,必须找到一个这样的模型,这个模型必须提供最适合的训练数据,同时当最小化该模型的复杂性时也能提供最好的预测数据。目前,利用贝叶斯方法构造分类器来解决入侵检测问题并不罕见,但是本文在传统的朴素贝叶斯基础上加以改进,利用隐藏式朴素贝叶斯算法来实现CP2DR模型中的检测阶段。

  1.3 虚拟机动态迁移技术

  Xen虚拟化平台其实是在Linux基础上加入一个Xen Hypervisor层,这层下面是硬件设备。Xen Hypervisor层的主要作用是在硬件设备与虚拟机之间搭建一个桥梁,将虚拟机的处理指令转换为对硬件CPU的要求和对物理内存地址的一个映射。Xen架构中,将虚拟主机上的默认操作系统Linux也作为一台虚拟机,叫做Dom0,而其他虚拟机则叫做DomU。在Dom0中,运行着维护虚拟主机所需要的一些守护进程,图2是 Dom0的内部结构。

002.jpg

  如图2所示,常驻进程Dom0内部,包含有2个服务,一个是Http服务器,另一个是基于XML-RPC协议的服务器。Dom0内部声明了很多API,通过这些API就可以对Xen虚拟主机进行各项操作,包括虚拟机的迁移。

2 CP2DR实现及HNB的应用

  2.1 CP2DR的实现方式

  CP2DR模型是将动态安全模型P2DR运用到私有云平台上,从而形成的一种特定的针对私有云平台的动态安全模型,它具体的实现方式如表1所示。CP2DR的基本思想是一个完整的良好的动态安全体系,它要求在虚拟机访问控制策略的指导下,综合运用多种技术,将私有云平台安全调整到最安全和风险最低的状态。本文将重点放在CP2DR模型中的安全检测部分,在检测阶段使用了隐藏式朴素贝叶斯(Hidden Naive Bayes,HNB)分类算法。相比于其他分类算法,HNB在实验阶段的效果更显优势。

  2.2 隐藏式朴素贝叶斯(HNB)分类技术

  朴素贝叶斯分类器[7]最大的问题就是忽略了属性之间依赖性,所以改进后的模型必须能够在学习贝叶斯网络时避免棘手的计算复杂性,同时还考虑到其他属性的影响。基于这种想法可以考虑为每一个属性建立一个隐藏的父节点,而这个父节点正好结合了其他属性的影响,称这个模型叫隐藏式朴素贝叶斯,如图3所示。

003.jpg

  图3中,C表示类节点,同时也是所有属性的父节点。每一个属性Ai都有一个隐藏的父节点Ahpi,i=1,2,…,n,图中用虚线弧来表示,这种虚线弧从隐藏的父节点Ahpi指向属性节点Ai,与实线弧区分开来。HNB用以下公式来定义:

  1.png

  其中:

  2.png

  可以看到对于每一个属性节点Ai,它的隐藏父节点Ahpi本质上其实就是来自于其他所有属性节点的权值总和。那么HNB分类器在为一个具体的实例分类时,其分类公式定义为:

  3.png

  其中:

  4.png

  如果有一组属性:A1,A2,…An,P(Ai|Ahpi,C)被认为是P(Ai|A1,…Ai-1)的近似值,那么在公式P(Ai|Ahpi,C)=P(C)Wij P(Ai|Aj,C)中,这种近似值是基于一个特定的依赖性估计量,然而,原则上,任意一个x-依赖性估计量都可以被用作定义隐藏的父节点。如果x=n-1,那么任意一个贝叶斯网络都能被HNB模型表示。从上述的公式中,HNB模型在确定其权重Wij,(i,j=1,2,…n同时i≠j)上是非常重要的。使用两个属性Ai与Aj之间的条件互信息作为权值,Wij被定义为如下:

  5.png

  其中IP (Ai;Aj|C)是条件互信息,定义如下:

  6.png

  2.3 HNB在CP2DR上的工作流程

  虽然HNB分类器是基于离散特性,但是目前很多大型数据集主要还是由连续的特性组成,所以在建立分类模型HNB之前对数据的预处理即离散化阶段必不可少,具体步骤如图4所示。

004.jpg

3 实验结果与分析

  整个私有云平台可以通过在Linux系统上安装的Xen虚拟机实现,由于HNB模型基于监督学习方法,而且从数据集的全面性考虑, KDD′99[8]数据集确实能够在接下来的各项分类器比较、对比和基准测试中提供合适的训练集和测试集。该数据集第1周和第3周的数据不包含攻击,作为训练数据集;第4周和第5周包含有攻击,作为检测数据集。其中,共有大约5亿条训练数据记录和0.3亿条测试数据记录。本文分别从训练样本集和测试样本集中随机选择了20万个样例来进行分类测试,测试结果如图5和图6所示,可以看出,随着样本数目的增加,HNB分类器准确性也有所提高。

  接下来仍从测试样本集中随机选取的20万个样例对几种常见分类器进行准确度比较测试,参与测试的分类器有HNB、AODE、TAN、NB。为了保证测试时其他条件(离散化方法、特征选择方法)一致,统一选取基于熵最小化离散化方法(EMD)以及基于过滤算法的INTERACT(INT)特征选择法进行测试,测试结果如图7所示。

007.jpg

  当样本数据集较少时,各分类器的分类准确性差异并不明显,但是随着样本数目的增加,各分类器的准确性都有所提高。从图7可以看出,当样本数据达到18万条时,HNB分类器准确性优势开始明显。

  除此之外,不同的离散化方法和不同的特征选择方法也会给分类器的准确性产生影响,本文选取了两种离散化算法,即熵最小离散化(EMD)和比例区间离散化(PKI),而特征选择方法选择基于过滤方法的INTERACT(INT)算法和特征选取关联法(CFS)。当各分类器在检测DOS攻击时,表现如图8所示,可以看出,同时采用PKI离散化方法和INT特征选取算法时,HNB分类器对于DOS的检测准确性也最具优势。

008.jpg

4 总结

  CP2DR主要是运用在私有云平台上的安全防护模型,本文针对Xen虚拟平台,阐述了CP2DR的实现及运用,着重阐述了CP2DR的检测模块,该模块采用了隐藏式朴素贝叶斯分类算法。实验阶段表明,这种算法克服了常见的几种常见贝叶斯算法的缺陷,能有效提高分类精度,使得分类性能更加稳定,结合虚拟机的反省技术和迁移技术, CP2DR的能力能够得到很大改善。

  参考文献

  [1] 石磊,邹德清,金海.Xen虚拟化技术[M].武汉:华中科技大学出版社,2009.

  [2] 冯燕飞,杜江.基于P2DR模型的策略研究[J].计算机科学,2009,36(4B):252-253.

  [3] NANCE K,HAY B,BISHOP M.Virtual machine introspec-tion[J].IEEE Computer Society,2008,06(05):32-37.

  [4] PAYNE B D,CARBONE M,SHARIF M,et al.Lares:an architecture for secure active monitoring using virtualization[J].IEEE symposium on,2008,ISSN(1081-6011):233-247.

  [5] Jiang Liangxiao,Zhang Harry,Cai Zhihua.A novel bayes model:Hidden Naive Bayes[J].IEEE Computer Society,2009,21(10):1361-1371.

  [6] KOC L,MAZZUCHI T A,SARKANI S.A network intrusion detection system based on a Hidden Naive Bayes[J].ExpertSystems with Applications,2012,18(39):13492-13500.

  [7] JIANG L,ZHANG H,CAI Z,et al.Evolutional Naive Bayes[C].Intelligent Computation and Its Applications(ISICA),2005,05:344-350.

  [8] KDD-Cup.KDD Cup 1999 data[EB/OL].(1999)[2014].http://kdd.ics.uci.edu/databases/kddcup99/kddcup99.html.


此内容为AET网站原创,未经授权禁止转载。

相关内容