[发明专利]基于群智理论的威胁检测系统及方法

说明书

本发明属于网络安全技术领域，特别涉及一种基于群智理论的威胁检测系统及方法，该系统包含：异构静态检测器，内嵌于云环境中各云节点内部，通过监听云节点端口进行威胁检测；异构动态检测器，外挂于云环境中各云节点之中，以动态游走方式进行威胁检测；检测域构建模块，根据云环境下任务执行环境及安全防护需求，确定检测域并随上下文环境的变化对检测域进行动态调整，通过检测域信息共享实现检测域动态重构；群体协作模块，利用静态检测器和动态检测器在检测域内进行静态检测器预警和动态检测器联合判决的威胁闭合检测。本发明通过非中心化的检测架构和群体协作的检测器联动机制，提高云环境下威胁检测准确性和效率，提高网络的安全性和可靠性。

技术领域

本发明属于网络安全技术领域，特别涉及一种基于群智理论的威胁检测系统及方法。

背景技术

云计算是网络信息时代重要的使能技术。当前，全球信息通信基础设施加速云化重构，云计算已演变为重要的ICT(Information Communications Technology)技术架构。早在2011年1月发布的IT行业十大战略技术报告中就将云计算技术列为十大战略技术之首。Google、IBM、Microsoft、Amazon、腾讯、阿里巴巴等知名IT企业都在大力开发和推进云计算，但是近年来，云服务提供商频频出现各种不安全的事件，由此云安全成为了人们广泛关注的焦点。云计算环境下既存在网络空间安全问题的共性，又有其特殊性。其中，共性是指云计算环境下存在传统网络威胁，基于未知漏洞和后门的未知攻击仍是最大挑战；特殊性在于，云计算环境下用户间的物理边界消失，分时复用地共享网络、计算、存储等池化资源，不仅导致基于边界的传统防御思路难以有效实施，而且还出现了虚拟机同驻、虚拟机逃逸、侧信道攻击等新的攻击形式。

针对云计算安全问题，普遍采用IPS/IDS系统对整个云环境进行全天候监控和防护，根据检测器部署模式的不同，IPS/IDS系统可分为集中式和分布式两类。集中式威胁检测方法依赖于检测中心的健壮性，且云计算池化资源的动态性导致在资源迁移过程中存在检测盲区。分布式威胁检测方法的主要思路是在单一检测器内部集成面向各类威胁的检测引擎，但该方法导致检测器过于复杂，无法集成到计算能力受限的虚拟节点中。

发明内容

针对现有云计算检测机制和方法在有效性和轻量化之间难以兼顾的问题，本发明提供一种基于群智理论的威胁检测系统及方法，通过非中心化的检测架构和群体协作的检测器联动机制，提高云环境下威胁检测的准确性和效率。

按照本发明所提供的设计方案，一种基于群智理论的威胁检测系统，包含：

异构静态检测器，内嵌于云环境中各云节点内部，通过监听云节点端口进行威胁检测；

异构动态检测器，外挂于云环境中各云节点之中，以动态游走方式进行威胁检测；

检测域构建模块，根据云环境下任务执行环境及安全防护需求，确定检测域并随上下文环境的变化对检测域进行动态调整，并通过检测域信息共享实现检测域动态重构；

群体协作模块，利用静态检测器和动态检测器在检测域内进行静态检测器预警和动态检测器联合判决的威胁闭合检测。

上述的，检测域构建模块包含检测域划分子模块和检测域动态调整子模块，其中，

检测域划分子模块，根据用户安全需求，构建多个不同安全等级和尺寸的威胁检测域，检测域通过四元组φ＝R,P,C,S表示，其中，R表征检测域的资源和应用，P表示检测域的逻辑边界，C表征检测域之间的连通关系，S表征安全属性；

检测域动态调整子模块，用于通过建立安全等级和检测域威胁检测能力映射关系表，并依据用户安全需求制定相应静态检测器和动态检测器部署方案；将部署在云环境中的异构静态检测器和异构动态检测器散落在对应检测域内，形成非中心化威胁检测网络，通过检测域信息共享对检测域进行动态重构。

一种基于群智理论的威胁检测方法，包含如下内容：