[发明专利]一种基于Docker虚拟化的信息系统入侵检测方法

说明书

本发明涉及一种基于Docker虚拟化的信息系统入侵检测方法。其特点是，包括如下步骤：通过监听主机和容器间网络中的数据包来获取数据来源，然后通过捕获的数据流完成数据的采集工作，进而经过支持向量机的学习和分类，区分正常信息和外来入侵，实现对外来入侵的检测。本发明方法的有益效果是：(1)将入侵检测系统以软件app的形式封装到docker的容器中，这样就很好的利用了Docker的特性、节约了空间。(2)将装有入侵检测系统的容器和主机组成host主机模式，和主机共享网络环境，而其它容器以bridge网桥模式和主机进行网络通信，当检测到入侵时入侵检测系统通过主机直接将被入侵的容器停止运行或直接回收删除。

技术领域

本发明涉及一种基于Docker虚拟化的信息系统入侵检测方法。

背景技术

Docker是PaaS提供商dotCloud开源的一个基于LXC的高级容器引擎。源代码托管在Github上，基于go语言并遵从Apache2.0协议开源。Docker自2013年以来非常的火热，它的成功主要是由于解决了一下几个问题：(1)环境管理复杂:从各种OS到各种中间件再到各种App，一款产品能够成功发布，作为开发者需要关心的东西太多，且难于管理，这个问题在软件行业中普遍存在并需要直接面对。Docker可以简化部署多种应用实例工作，比如Web应用、后台应用、数据库应用、大数据应用比如Hadoop集群、消息队列等等都可以打包成一个Image部署。(2)云计算时代的到来:AWS的成功,引导开发者将应用转移到云上,解决了硬件管理的问题，然而软件配置和管理相关的问题依然存在(AWS cloudformation是这个方向的业界标准)。Docker的出现正好能帮助软件开发者开阔思路，尝试新的软件管理方法来解决这个问题。(3)虚拟化手段的变化:云时代采用标配硬件来降低成本，采用虚拟化手段来满足用户按需分配的资源需求以及保证可用性和隔离性。然而无论是KVM还是Xen，在Docker看来都在浪费资源，因为用户需要的是高效运行环境而非OS,GuestOS既浪费资源又难于管理,更加轻量级的LXC更加灵活和快速。(4)LXC的便携性:LXC在Linux 2.6的Kernel里就已经存在了，但是其设计之初并非为云计算考虑的，缺少标准化的描述手段和容器的可便携性，决定其构建出的环境难于分发和标准化管理(相对于KVM之类image和snapshot的概念)。Docker就在这个问题上做出了实质性的创新方法。

虽然和传统的虚拟机相比，Docker在性能和系统的占用上提升了不少，但在安全方面还是有一些问题。(1)Docker的隔离性相比KVM之类的虚拟化方案还是有些欠缺的，所有container公用一部分的运行库。(2)网络管理相对简单，主要是基于namespace隔离；(3)Root的权限更容易获得。由于以上的一些安全问题，Docker迫切需要一种主动的安全机制来检测和抵制外来的入侵。本专利重点就是研究基于Docker虚拟化的信息系统入侵检测技术。

发明内容

本发明的目的是提供一种基于Docker虚拟化的信息系统入侵检测方法，能够通过监听主机和容器间网络中的数据包来获取必要的数据来源，通过对捕获的数据流完成数据的采集工作，然后经过支持向量机的学习和分类，实现对外来入侵的检测。

一种基于Docker虚拟化的信息系统入侵检测方法，其特别之处在于，包括如下步骤：通过监听主机和容器间网络中的数据包来获取数据来源，然后通过捕获的数据流完成数据的采集工作，进而经过支持向量机的学习和分类，区分正常信息和外来入侵，实现对外来入侵的检测。

其中支持向量机的学习和分类过程分为两个阶段，第一个阶段为训练阶段，使用支持向量库中的训练数据训练SVM即支持向量机分类器，训练时采用SVM主动学习算法，具体如下：

第一个阶段，训练阶段：

(1)从候选样本集u中选择i个样本并正确标注其类别，构造初始训练样本集T，使T中至少包含一个输出y为1和y为-1的样本；其中候选样本集u是指未带类别标注的候选样本集u，每次从u中采样个数为1；