虚拟机环境中基于用户异常等级入侵检测技术与研究.pdf

虚拟机环境中基于用户异常等级的入侵检测技术研究万贻敏二○一三年十一月工程硕士学位论文工程硕士万贻敏虚拟机环境中基于用户异常等级的入侵检测技术研究2013分类号密级UDC 工程硕士学位论文虚拟机环境中基于用户异常等级的入侵检测技术研究万贻敏学科专业软件工程指导教师陈宁江(教授) ,是本人在导师的指导下独立进行研究所取得的研究成果。除已特别加以标注和致谢的地方外,论文不包含任何其他个人或集体已经发表或撰写的研究成果,也不包含本人或他人为获得广西大学或其它单位的学位而使用过的材料。与我一同工作的同事对本论文的研究工作所做的贡献均已在论文中作了明确说明。本人在导师指导下所完成的学位论文及相关的职务作品,知识产权归属广西大学。本人授权广西大学拥有学位论文的部分使用权,即:学校有权保存并向国家有关部门或机构送交学位论文的复印件和电子版,允许论文被查阅和借阅,可以将学位论文的全部或部分内容编入有关数据库进行检索和传播,可以采用影印、缩印或其它复制手段保存、汇编学位论文。本学位论文属于:□保密,在年解密后适用授权。□不保密。(请在以上相应方框内打“√”)论文作者签名:日期:指导教师签名:日期作者联系电话:电子邮箱:I虚拟机环境中基于用户异常等级的入侵检测技术研究摘要云计算作为一种新兴的商业模式,以按需服务的形式为用户提供服务,这种开放的模式在方便用户访问的同时,也带来了潜在的安全威胁,其中大多数威胁都来自用户终端。虚拟机系统作为云计算的底层架构,保障虚拟机的安全是云计算的基础。在虚拟机环境下的网络入侵检测系统是重要的虚拟机运行安全保障机制。利用虚拟机管理器(Virtual Machine Manager,简称VMM)负责管理和调度多个客户操作系统对底层单一物理资源的共享,这种体系结构的改变使传统入侵检测系统对云计算环境具有一定的不适合性。面向虚拟机的网络入侵检测系统需要针对虚拟机的隔离性和服务的多样性,提供不同等级的安全保护。鉴于终端用户的可信性对虚拟机可信性的影响,本文利用动态的行为可信性机制和社会信任的思想,设计了一种基于滑动窗口的用户行为评估模型(User Behavior Assessment Model Based on Sliding Window,简称UBAMSW),为动态配置虚拟机的防护等级提供基础。在该评估模型中,首先通过考察终端用户的直接行为证据,用量化的行为证据来处理不确定的、模糊的用户可信评估问题;其次,通过对窗口大小、记录滑动条件、不信记录和过期信任记录在窗口内的更新和替换来保障用户异常等级评估的可信性;第三,采用双滑动窗口机制,通过小窗口控制防止用户的信任欺骗,II通过大窗口控制保证评估的扩展性。对UBAMSW模型的有效性和抗攻击能力进行了分析和实验验证,结果表明,该评估模型能够有效地应用于虚拟化环境。为实现根据用户异常等级为虚拟机提供不同的等级防御策略,在入侵检测系统设计中采用了分域动态规则链技术,研究了基于集中配置和分域配置相结合的方式。集中配置采用通用的安全策略,保证整个系统安全级别不至于太低;分域配置满足服务多样性需求,针对用户需求或用户的异常等级来为虚拟机提供不同级别的安全保护。同时,针对入侵检测引擎的性能问题,利用数据缓存技术和动态加权轮转调度策略(Dynamic Weighted Rotation SchedulingStrategy,简称DWRSS)提供负载平衡能力。最后,在开源的网络入侵检测系统Snort上进行原型研究,从系统的抓包率、不同防御等级事件处理效率、检测率和漏报率等方面验证效果。测试结果表明工作成果基本达到了系统的设计目标,能适应虚拟机系统中各个虚拟机的动态部署和撤销,并支持为不同的虚拟机提供不同的入侵检测配置能力。关键词:虚拟机入侵检测云安全用户异常等级IIIOn Intrusion Detection Technology Basedon User Abnormal Level for Virtual Machine ABSTRACTCloud computing provides service to users according to their need. As a new-born business model, puting allows users to easily with its open mode, at the same time, it’s with great threats, most of which are from user t