大规模网络入侵云计算技术探索

摘要:当前各单位主要应用的网络预警系统一般自适应能力都比较弱，同时系统内各部分的协同分析能力也比较差。基于此，利用云计算技术设计出一种大规模网络入侵时的协同预警技术，本系统采用以分布式哈希表为基础的报警消息的存储、查询算法，同时选择树状对等覆盖网来进行入侵关联分析的任务调度。这样的协同预警技术能够同时进行关联分析和报警聚合，不但可以让网络预警系统具有良好的扩展性，而且能够大大减少网络入侵时的预警反应时间，保证了报警关联分析的准确性和可靠性。

关键词:大规模网络入侵;分布式哈希表;云计算;协同预警

引言

随着网络技术的快速发展和广泛应用，网络安全已成为信息行业的重要研究课题之一，特别是近年来蠕虫、木马等病毒或恶意程序的破坏。一般而言，计算机病毒或恶意程序具有较强的爆发性、传染性等特征，是目前互联网犯罪人员非法入侵网络的重要手段。一旦计算机遭受病毒入侵，除了会导致资源丢失之外，还会被犯罪人员作为分布平台来入侵重点网络项目等。就网络安全现状而言，像防火墙、网关等传统网络安全预警方式的范围有限，因此，在报警时难免会产生误报或者漏报的情况，同时因为缺少全局分析评估的步骤，难以抵制大规模的网络入侵。同时，计算机病毒、恶意程序代码的成熟敦促我们要深入研究网络协作预警技术，有效提高网络安全性。因此，本文对基于云计算技术的协作预警技术展开分析，发现在大规模网络非法入侵的情况下，云预警机制能跨安全域的检测异构设备的安全性，并且合理地调度网络预警系统的组织架构，保证计算机分析和存储信息调度的灵活性。

1云计算架构

以DPOH模型为基础，融合云计算技术与等覆盖网的优势，构建一个具有资源共享、按需调度、非中心化、自组织结构、可扩展性特点的网络预警模型(以下简称“云预警模型”)。云预警模型的核心组件可分为两类，如下:(1)管理组覆盖网:关于传统网络入侵预警系统，其根据物理架构区分的安全域是固定且封闭的，各安全域之间难以进行信息共享。然而，管理组覆盖网是由各节点形成的整体对等覆盖网络，各控制节点在管理各安全域入侵情况的同时，还要和其他安全域共享入侵分析报告;(2)协作组覆盖网:协作组覆盖网是由协作分析某项报警信息的一切安全节点动态形成的对等覆盖网络，发挥着调度任务和共享信息的功能。对于这种网络结构，各安全控制节点对应单个或者多个IP地址，控制范围内的安全设备、应用程序等可通过外接口和控制节点的交互来实现信息共享。通常情况下，协作组覆盖网的首个控制节点被称为任务调控中心，是实现控制中心和安全节点信息共享的枢纽站。

2数据模型

分布式哈希表的报警消息共享机制具有显著的表达公开性和位置公开性，一切报警信息都以结构化形式来实现交互，并且对于同覆盖网节点的需求数据信息可通过统一接口来检索采集，无需考虑数据具体的物理存储位置。关于这部分的算法本文不再详细介绍。在基于云计算技术的协同预警模型中，通过在协同组和管理组建设分布式信息共享网络，可提高安全控制中心的信息查询的高效性。只有如此，云预警模型才能动态选择报警信息的具体范围，对任何区域进行数据整合和关联分析，完善网络入侵报警信息的交互性，还可将大规模的报警关联分析划分成大量的子任务，通过协同组的各节点来共同完成数据分析处理指令。

3计算模型

云计算另一个亟待解决的问题，是怎样将数据管理和计算调度有效整合，通过构建有效的分布式计算调度机制，来完善密集型数据应用程序的性能和延展性。事实上，大规模网络入侵协同预警是比较典型的密集型数据应用程序，超出了一个安全节点的云计算能力。云预警模型中的协同组需提供一定的并行计算能力来完成密集型数据报警关联任务。传统网格任务调度算法需了解每个站点资源的具体信息，计算成本较大，不适合拓展性较强的云计算技术。所以，本文对此提出了自适应、高拓展性的计算模型来满足云预警模型中资源分布式计算调度的需求。通过建设一层任务调度覆盖网，协同组可通过安全节点实现大规模入侵报警任务的并行处理，并完全公开化。

3.1基本调度算法

基于解决云预警模型的分布式任务调度问题的目标，本文提出了一种以自组织网格为基础的树形覆盖网，信息共享网络为应用层提供了一个可根据关键字查询的统一报警信息接口，不用时刻掌握报警信息的存储位置，可将需调度的报警计算分析任务封装成轻量化的数据结构，主要由上下层环境和报警数据集逻辑描述两部分组成。通过这种方式来表达传递子任务，不需要子任务处理报警信息的传输，有效提高任务调度的效率和降低任务调度的成本。任务调度覆盖网是在协同组拓扑信息缺乏的情况下形成的，然而其树状结构会根据安全节点的及时反馈而做出相应调整，进而达到最理想的任务调度状态。而这种动态的任务调度机制是确保任务调度树状覆盖网拓展性和自适应性的关键所在。一套完整的预警任务分析计算是由控制中心传递给协同组的任务调控中心，再由任务调控中心将其分为彼此独立的预警计算分析子任务，并设置一个线程来按序处理这些子任务，同时还要设置另一线程来监控协同组其他安全节点传递的请求信息，在处理队列中仍有子任务在处理时，会反馈一个调度消息，其中包含了一些还未处理的子任务。如此，通过一个请求和调度信息的交互，请求者变成树状结构的调度子节点，在每次调度任务中，会将祖先节点列表和子任务一同传递给请求者。请求者则将调度者的祖先节点和自己的合并到一起，形成一个新表，并将调度者节点ID放在新表的第一位。云预警任务分布式调度的基本算法包含任务调度请求算法和任务调度接收算法两种，其中任务调度请求算法程序代码如下:

3.2动态优化算法

关于任务调度的基本算法，其没有充分考虑安全节点运行的性能表现，不同效率的节点分配的子任务的概率相同。针对这种情况，需要高性能的节点越靠近树状覆盖网的根部，整体处理效率才越高。基于这种情况，本文提出了动态优化算法，即通过周期性重构方式来促使子任务分析分配至高性能安全节点。通常来讲，动态优化算法的实现还需安全节点维护两个数据结构，即子节点列表和废弃节点列表。其中子节点列表中保存着每个安全节点的相关信息，各节点性能按由高至低的顺序排列，代表每个节点为根的子树的整体性能;废弃列表则保存着之前活动现在废弃的子节点信息，可能是因为该节点在任务调度中未成功反馈分析结果或者没有网络连接。除此之外，若子节点列表超出范围，一些排在最后、性能较差的子节点也会被自动移至废弃节点列表。一般情况下，废弃节点列表的子节点长时间内不会被释放出来，该节点任何的请求信息都会被忽略不计。

4结语

随着网络大规模非法入侵形势的日益严峻化，要不断加强网络安全的监测和预警，对此，本文提及的基于云计算技术的协作预警技术有以下两点优点:①融合云计算技术与等覆盖网的优势，使得网络预警模型同时具有了资源共享、按需调度、非中心化、自组织结构、可扩展性的特点，即配备了跨安全域协作和动态自组织的能力。②构建了一种树状结构的轻量式任务分布调度体制，通过与消息共享覆盖网以松耦合的方式在全网范围内实施报警关联的并行处理，适应于高扩展性的云安全应用环境。在未来的工作中，我们还需要对同步通信的子任务调度问题以及适用性更强的预警系统进行更深入的研究，为网络安全提供更深入的保障。

作者：李红军 单位：乌鲁木齐职业大学信息工程学院