[发明专利]一种基于警报关联的僵尸机检测方法

说明书

本发明公开了一种云环境中基于警报关联的分布式入侵检测方法，包括如下步骤：入侵证据收集；分布式行为图模板建立；异常检测；行为图模板更新。本发明通过分簇的方式实现云环境中的分布式检测，基于警报关联的思想实现进一步入侵检测判断，有利于降低误报率。通过本方法，可以有效检测云环境中的僵尸机，从而保护云计算资源不被恶意利用。

技术领域

本发明涉及物联网领域，具体涉及一种基于警报关联的僵尸机检测方法。

背景技术

僵尸网络是最严重的网络威胁之一，指感染僵尸程序病毒，从而被黑客程序控制的计算机设备被称为僵尸机。黑客利用僵尸机可以达到不同的目的，例如发起分布式网络攻击、分布式拒绝服务攻击等。

入侵检测系统(IDS)是计算机的监视系统，它通过实时监视系统，一旦发现异常情况就发出警告。许多为僵尸网络构建的现有IDSs是基于规则的，其性能取决于专家、定义的规则集。基于规则的僵尸网络ID通过检查网络流量并将其与已知的或以前见过的僵尸网络签名(通常由安全专家进行编码)进行比较来识别僵尸网络。然而，由于网络流量的大量增加，更新这些规则变得越来越困难、乏味和耗时。这种依赖使得它对新型僵尸网络的效率很低。

发明内容

本发明提供了一种基于警报关联的僵尸机检测方法，包括：

一种基于警报关联的僵尸机检测方法，所述方法包括在线入侵检测模块，离线入侵检测模块和入侵警报关联模块，其中：

所述在线入侵检测模块进行实时的网络流量检测；

所述离线入侵检测模块利用攻击图技术，进行虚拟机安全状态评估；

所述入侵检测警报关联模块包括警报聚合和警报验证，用于关联在线入侵检测模块的警报和离线入侵检测模块的结果，最终判断是否发生入侵，并输出警报信息。

上述在线入侵检测模块，使用现有技术方案进行实时的网络流量检测；在线入侵检测模块包括恶意IP地址检测模块，恶意SSL证书检测模块，域通量检测模块和Tor连接检测模块，通过这4个在线检测模块可以有效识别出符合僵尸机与攻击者通信特征的网络流量。

上述离线入侵检测模块，利用改进的攻击图技术，进行虚拟机安全状态的评估，具体步骤如下：

(2.1)使用漏洞扫描工具Nessus识别系统漏洞，根据漏洞和网络拓扑构建攻击图；

(2.2)根据通用漏洞评分系统和历史数据计算漏洞的可利用分数；

(2.3)建立条件概率分布表；

(2.4)计算虚拟机的脆弱分数。

上述步骤(2.1)中构建的攻击图是一个有向无环图，表示为：

BAG＝(V,E,P) (1)

其中V表示节点，V＝V_c∪V_d∪V_r，V_r表示根节点，V_c表示漏洞节点，V_d表示利用漏洞可以得到的结果节点，E表示边，P表示概率集合，P＝P(V_c)表示成功利用漏洞的概率。

上述步骤(2.2)计算漏洞的可利用分数，公式如下：

其中CVSSSCORE表示由CVSS提供的漏洞评分，influence score表示漏洞被利用的频率，通过历史数据计算，和β为系数，用于平衡两个参数。