茹 蓓， 贺新征

(1. 新乡学院 计算机与信息工程学院， 河南 新乡 453003； 2. 河南大学 计算机与信息工程学院， 河南 开封 475000)

控制工程

云计算环境下入侵疑似边界问题改进算法*

茹 蓓1， 贺新征2

(1. 新乡学院 计算机与信息工程学院， 河南 新乡 453003； 2. 河南大学 计算机与信息工程学院， 河南 开封 475000)

传统的疑似边界问题处理算法一直存在边界确定结果不准确、误差较大的问题，为了提高网络安全性能，提出一种基于模糊网络阈值计算的云计算环境下入侵检测中疑似边界确定算法，分析了云计算环境下入侵种类及其检测原理，并确定其入侵形式；通过计算模糊网络阈值，确定云计算环境下入侵检测中疑似边界具体参数.仿真实验结果表明，采用改进算法进行疑似边界的确定，其结果精度及效率均优于传统算法，具有一定的优势.

云计算环境； 入侵检测； 疑似边界； 阈值计算； 模糊网络； 边界确定； 网络安全性； 入侵形式

随着互联网应用及分布式计算技术的快速发展，云计算已经成为一种成熟的网络技术[1-2].云计算把大量的计算资源及存储资源融合在一起，形成一个共享虚拟的计算资源池，为计算机用户按需提供服务[3-5].云服务不断普及的同时也遇到了越来越严重的安全问题.确定疑似边界[6-7]，保证网络资源不被黑客入侵而遭到破坏，已经成为云计算发展形势下急需解决的重要问题，受到广大研究者的关注[8-9].

传统的检测算法分别提取网络节点特征与疑似边界特征，再将两个特征相似度进行计算、对比，根据相似度的情况进行确定，忽略了故障节点、冗余节点等干扰节点对相似度的影响，导致疑似边界分析不准确[10].文献[11]提出基于时间-频率联合分布特征和偏移量递阶控制HHT匹配的网络入侵信号检测算法，构建了网络潜质入侵数学演化模型，利用递阶控制调整HHT频谱偏移，使得入侵信号特征的组成成分形成最佳匹配.该算法可有效控制误差，抑制频谱泄露，提高检测性能，但其无法有效确定入侵边界.

针对上述问题，本文基于模糊网络阈值计算，提出云计算环境下入侵检测中疑似边界确定算法.首先对云计算环境下入侵种类及其检测原理进行分析，确定其入侵形式，再通过计算模糊网络阈值，确定入侵检测中疑似边界具体情况.实验结果表明，相对于传统检测方式，改进算法进行疑似边界确定的准确率及效率均有了明显改进.

1 入侵种类与检测原理

云计算环境下受到入侵的种类有很多，一般可以分为消耗系统资源为主的入侵和针对系统或者网络设备的入侵.下面介绍几种典型的云计算环境下入侵类型及其产生的模糊问题.

1.1 典型入侵形式

1.1.1 SYN Flood入侵

SYN Flood是现在最常见的入侵类型，其会通过向服务器或主机输送大量假的数据源IP地址及源端口的SYN或ACK包，造成计算机的缓存资源被耗尽或忙于输送响应数据包而导致拒绝服务.由于数据包均为捏造的，所以追踪起来非常难.

1.1.2 UDP Flood入侵

此类入侵主要是通过UDP了解传输层协议，使得在数据传输过程中，基本上不需要构建连接及双方认证.UDP Flood入侵攻击时能够向被入侵的主机输送很多异常高流量的完整UDP数据包，造成计算机所在的网络资源被耗尽(处理器超负荷或内存不足)，还会因忙于处理协议数据包而使系统崩溃.

1.1.3 Teardrop入侵

Teardrop入侵是一种碎片式入侵，其工作原理是采用系统的漏洞向受害者输送多个IP分片数据包，使主机系统出现崩溃、重启等现象.由于资源过多并且呈现不定状态，所以会产生较强的入侵特征边界模糊化跳动特征.

1.1.4 Smurf入侵

入侵者经过向网络广播地址发送ICMP数据包造成网络负载，导致主机拒绝供应服务.

1.1.5 Ping of death入侵

入侵者向受害系统输送一些数据长度超大的ICMP报文，使受害系统在接收到报文并重组时字节超过了65 535，造成主机内存溢出、系统崩溃、重启或内核失效等后果.

1.2 入侵检测原理

在云计算环境下，了解入侵检测原理，即可确认入侵形式，从而根据计算模糊网络阈值确定入侵检测中疑似边界的具体情况.

任何入侵方式通用的检测原理为：首先把云环境划分成若干个区域，每个区域设置单独的检测代理，并且专门设置一个对各个区域进行检测管理的中央控制器.各区域云检测系统包括区域云控制器、网络检测代理和主机检测代理，区域云控制器对网络检测代理和主机检测代理提交的检测结果综合分析，判断是否有局部范围的网络入侵以及制定合适的应对措施，然后将检测结果交付给中央控制器.中央控制器对各个区域云进行管理调度并负责各区域云之间的通信合作，由此确定入侵形式，入侵的检测原理如图1所示.

若要实现上述的检测原理，需满足以下基本要求：

1) 需要实时检测出一切云计算环境下异常行为特征，即不仅能检测出一般主机出现的入侵行为，还能检测出云漏洞攻击、非授权访问等云环境下特有的入侵行为；

2) 要有可拓展性，以适应云计算分布式特点；

3) 由于在云环境下入侵行为具有复杂性、不可预知的特点，因此入侵检测必须具有自学习性，能够不断地检测新型入侵行为，这就需要在检测机制下设计可靠的入侵检测算法来提高检测效率；

4) 云计算是一个虚拟化、异构化的环境，入侵检测时需要监控虚拟网络并采集虚拟机的相互通信数据和虚拟机与主机之间的通信数据，检测面向虚拟网络的入侵行为；

5) 由于云环境下存在大规模的攻击行为，因此，各入侵检测时设备间必须相互通信、协同合作，来预防并发的入侵攻击.

满足以上要求后，即可根据入侵检测原理确定入侵形式，并结合计算得出的模糊网络阈值，达到确定疑似边界的目的.

图1 云计算环境下入侵检测原理图Fig.1 Principle diagram of intrusion detection in cloud computing environment

2 疑似边界确定

2.1 根据结构对疑似边界确定

根据确定的入侵形式来估算云计算环境下的入侵范围，整体云计算环境下入侵范围示意图如图2所示.

图2 云计算环境下入侵范围示意图Fig.2 Schematic intrusion range in cloudcomputing environment

结合图2所示，云计算环境下网络节点均匀部署在一个方形区域内，构成云计算模糊网络，用于检测这个区域内的边界情况，其中深色区域为检测区域.检测区域内，靠近边界的节点可能成为边界节点，如图2中的节点A.为了方便讨论，把节点A连同其邻域进行放大，得到局部边界示意图如图3所示.

图3 局部边界示意图Fig.3 Schematic local boundary

图3中，节点A为检测范围内靠近边界的节点，R为节点A的通信半径.在以节点A位置为圆心，R为半径的圆内，所有的节点都是节点A的邻居节点；曲线PQ为疑似边界，边界PQ右面的区域为检测外部，节点用浅色表示，边界PQ的左面是检测区域内部，节点用深色表示；d为节点A到边界PQ的最短距离，本文规定当d小于一定的阈值D，则认为节点A为边界节点，故需要对其阈值D进行确定才能准确定位其疑似边界PQ是否为真实边界.

2.2 根据算法对疑似边界确定

由2.1分析可知，在对疑似边界进行判断时，需要通过计算模糊网络阈值来进行确定.当一个疑似边界判定自己是否为真实边界时，主要通过判断疑似边界附近的节点是否为边界节点即可.而计算模糊网络阈值是确定节点最有效的算法，故本文通过计算模糊网络阈值来解决云计算环境中疑似边界的问题.对于检测区域，mn为检测期望值，mf为模糊网络属性读数期望，则最优门限判定阈值为

Vth=0.5(mn+mf)

(1)

入侵类型属性可被划分为两类：上升型入侵属性和下降型入侵属性.其中上升型入侵属性值在受到入侵后比没有入侵时的属性值要大，下降型入侵属性值在受到入侵后比没有入侵时的属性值要小.如果为上升型入侵属性，则其判断表达式为

(2)

如果为下降型入侵属性，则其判断表达式为

(3)

式中：B为发生入侵后的判断结果，对入侵进行判决为1，未判决为0；V为模糊网络节点的感知读数.

由此可知，云计算环境下的理论边界即为入侵发生的阈值Vth的等值线，距离等值线越近的节点感应到的属性读数和阈值Vth也越接近，因此，将邻居节点的感知读数依据数值大小做不稳定排序.如果是上升型入侵属性，则依据降序进行排列；如果是下降型入侵属性，则依据升序进行排列，然后找到入侵发生阈值Vth在序列中的位置，左右各取距离阈值最近的n/2个节点.

(4)

假设入侵形式有M个属性，Vi为一个节点对于属性i的读数，对于多属性入侵事件判断入侵发生与否，首先需要对单个属性进行判决，则多属性入侵事件的判决表达式为

(5)

假设拟合节点集合S中，X坐标最大的节点为NXmax，其坐标为(Xmax，Y)；X坐标中最小节点为NXmin，其坐标为(Xmin，Y)；Y坐标最大节点为NYmax(X，Ymax)；Y坐标最小节点为NYmin，其坐标为(X，Ymin)，则其拟合函数表达式为

(6)

式中，c为常数.已知拟合函数，使用最小二乘法计算出模糊网络阈值，解决云计算环境下入侵检测中的疑似边界问题.给定节点到点(xi，yi)(i=1，2，…，M)的距离平方和最小曲线为yi=p(xi)，函数p(xi)是拟合函数最小二乘解，则多项式拟合函数为

(7)

若想拟合后的函数求解结果更为精准，需要满足其必要条件，即

(8)

式中，a为多项式拟合函数中的一个自定义变量.通过式(8)对变量a求偏导，在满足其必要条件的基础上，计算得到模糊网络阈值为

(9)

式中，Dt为设定阈值.由式(9)可知，当D≤Dt时，D=1，此时节点远离疑似边界，可确定其不是所需的边界；反之，当D>Dt时，D=0，此时节点距离与疑似边界很近，确定为疑似边界.

3 实验分析

3.1 实验环境

本文所有实验仿真分析均在MATLAB R2009a下进行，并以SYN Flood入侵为仿真研究对象进行讨论.在仿真实验中，在800 mm×800 mm单位区域内随机部署n个节点，假设入侵范围为一个圆形，直径为30 cm，临界阈值为10.随着节点个数n的增多，网络密度系数也增大，随机分布下网络密度系数与节点个数n的关系如表1所示.

表1 网络密度系数与节点个数的关系Tab.1 Relationship between network densitycoefficient and node number

为了准确判定入侵范围，实现疑似边界的确定，根据1.2节所述，需满足基本要求才能根据入侵检测原理确定入侵形式.根据网络密度系数与节点个数的关系，当网络密度系数与节点的比值满足1∶20时，可满足其基本要求，因此本实验设置检测节点数为200，节点密度系数为10.

3.2 实验结果

为了验证改进算法的有效性及可行性，将本文改进算法与传统BP神经网络及HHT算法进行了对比.实际入侵图如图4所示.图4中，椭圆部分为入侵区域，圆圈为显示的边界节点，圆点为未检测到的节点.

图4 实际云计算环境下的入侵图Fig.4 Intrusion diagram in actual cloudcomputing environment

在检测区域一定的情况下，将传统BP神经网络及HHT算法与本文所提出算法进行仿真实验对比分析，仿真结果如图5～7所示.

图5 传统BP神经网络算法边界检测结果Fig.5 Boundary detection results with traditionalBP neural network method

由图5～7可知，采用传统BP神经网络算法与HHT算法时，检测结果中有些检测边界节点并不属于边界范围.这是因为事件边界检测受到检测区域的影响，节点是包含在节点数之内的，但是边界检测时，节点是排除在外的，为了弥补事件边界上去掉的节点数目，不得不将一些距离边界稍远、在边界外的节点也包括在内.采用改进算法时，绝大多数边界节点被正确地检测为边界节点，且未将入侵区域外的节点算到边界节点内，检测精度较高.

图6 HHT算法边界检测结果Fig.6 Boundary detection results with HHT algorithm

图7 改进算法边界检测结果Fig.7 Boundary detection resultswith improved method

为了进一步验证改进算法的有效性，在检测节点数据量一定的情况下进行边界检测精度方面的对比分析，结果如表2所示.

表2 不同算法下边界检测精度对比Tab.2 Comparison in boundary detectionaccuracy of different methods %

由表2可知，采用改进算法时，其检测精度约为98.5%，相比传统BP神经网路检测算法提高了46.1%，相比HHT算法提高了25.9%，精确度得到了大幅提高.这是由于改进算法首先确定入侵形式，判定入侵范围后再计算阈值，从而可以有效提高边界识别的准确率.

4 结 论

针对传统的疑似边界问题处理算法一直存在边界确定结果不准确的问题，本文提出基于模糊网络阈值计算的云计算环境下入侵检测疑似边界确定算法.针对云计算环境下入侵种类及其检测原理进行分析，确定其入侵形式.通过计算模糊网络阈值，确定云计算环境下入侵检测中疑似边界具体情况.仿真研究结果表明，采用改进算法进行疑似边界确定时，其检测精度较传统算法大幅提高，证明了改进算法较传统算法的有效性.

[1] 刘伉伉，解福，郭雪雪.基于BP神经网络的云计算入侵检测技术研究 [J].计算机与数字工程，2014，42(12)：2357-2361.

(LIU Kang-kang，XIE Fu，GUO Xue-xue.Cloud computing environment intrusion detection technology based on BP neural network [J].Computer and Digi-tal Engineering，2014，42(12)：2357-2361.)

[2] 蔡萌萌，解福，王泓霖.基于云计算的入侵检测算法研究 [J].计算机与数字工程，2016，44(1)：83-87.

(CAI Meng-meng，XIE Fu，WANG Hong-lin.Intrusion detection mechanism base on cloud computing [J].Computer and Digital Engineering，2016，44(1)：83-87.)

[3] 刘增锁.云计算环境下海量数据中入侵检测挖掘模型 [J].计算机仿真，2015，32(6)：289-291.

(LIU Zeng-suo.Intrusion detection mining models in huge amounts of data cloud computing environment [J].Computer Simulation，2015，32(6)：289-291.)

[4] 司凤山，徐勇.云计算中的入侵检测模型 [J].网络安全技术与应用，2014(9)：5-6.

(SI Feng-shan，XU Yong.The model for intrusion detection in the cloud computing [J].Network Security Technology & Application，2014(9)：5-6.)

[5] 刘艳秋，焦妮，李佳.基于确定网络的多级物流网络优化设计 [J].沈阳工业大学学报，2015，37(1)：64-68.

(LIU Yan-qiu，JIAO Ni，LI Jia.Optimization design of multi level logistics network based on determined network [J].Journal of Shenyang University of Technology，2015，37(1)：64-68.)

[6] 程诚，孔蒙蒙，胡光岷，等.基于面翻转三维传感器网络边界节点识别算法 [J].计算机应用，2014，34(12)：3391-3394.

(CHENG Cheng，KONG Meng-meng，HU Guang-min，et al.Boundary node identification algorithm for three-dimensional sensor networks based on flipping plane [J].Journal of Computer Applications，2014，34(12)：3391-3394.)

[7] 王洪峰，陈立勇.云计算环境下基于张量分解的缺失关联规则挖掘算法 [J].重庆邮电大学学报(自然科学版)，2015，27(3)：397-403.

(WANG Hong-feng，CHEN Li-yong.Missing association rule mining algorithm using tensor decomposition in cloud computing environment [J].Journal of Chongqing University of Posts and Telecommunications(Natural Science Edition)，2015，27(3)：397-403.)

[8] 吴鹏飞，李光辉，朱虹，等.基于无线传感器网络和线性神经网络的事件边界检测算法 [J].模式识别与人工智能，2015(4)：377-384.

(WU Peng-fei，LI Guang-hui，ZHU Hong，et al.Event boundary detection method based on wireless sensor network and linear neural network [J].Pattern Recognition and Artificial Intelligence，2015(4)：377-384.)

[9] 徐小龙，耿卫建，杨庚，等.高效容错的无线传感网事件及其边界检测算法 [J].计算机研究与发展，2014，51(5)：997-1008.

(XU Xiao-long，GENG Wei-jian，YANG Geng，et al.An efficient fault-tolerant event and event boundary detection algorithm for wireless sensor networks [J].Journal of Computer Research and Development，2014，51(5)：997-1008.)

[10]王涛，胡爱群.基于边界检测的IPSec VPN协议的一致性测试算法 [J].信息网络安全，2014(2)：7-11.

(WANG Tao，HU Ai-qun.A conformance test method of IPSec VPN protocol based on edge detection [J].Netinfo Security，2014(2)：7-11.)

[11]章武媚，陈庆章.引入偏移量递阶控制的网络入侵HHT检测算法 [J].计算机科学，2014，41(12)：107-111.

(ZHANG Wu-mei，CHEN Qing-zhang.Network intrusion detection algorithm based on HHT with shift hierarchical control [J].Computer Science，2014，41(12)：107-111.)

(责任编辑：景 勇 英文审校：尹淑英)

Improvedalgorithmforintrusionsuspectedboundaryproblemincloudcomputingenvironment

RU Bei1, HE Xin-zheng2

(1. School of Computer and Information Engineering, Xinxiang University, Xinxiang 453003, China; 2. School of Computer and Information Engineering, Henan University, Kaifeng 475000, China)

The traditional processing method for the suspected boundary problem always shows the inaccurate boundary determination results and larger errors. In order to improve the network security, a determination method for the suspected boundary in the intrusion detection in the cloud computing environment based on the fuzzy network threshold calculation was proposed. In addition, the intrusion types and detection principle in the cloud computing environment were analyzed, and the intrusion forms were determined. Through calculating the fuzzy network threshold, the specific parameters for the suspected boundary in the intrusion detection in the cloud computing environment were determined. The results of simulation experiment show that when the improved method is used for the determination of suspected boundary, the accuracy and efficiency of corresponding results are superior to those of results obtained with the traditional method, and the improved method has certain advantages.

cloud computing environment; intrusion detection; suspected boundary; threshold calculation; fuzzy network; boundary determination; network security; intrusion form

TP 393

： A

： 1000-1646(2017)05-0545-06

2016-08-31.

河南省科技厅科技攻关项目(172102210445)； 河南省科技厅软科学研究资助项目(152400410345)； 河南省教育厅资助项目(15A520093).

茹 蓓(1977-)，女，河南新乡人，副教授，硕士，主要从事软件开发、网络信息安全等方面的研究.

* 本文已于2017-03-28 17∶09在中国知网优先数字出版. 网络出版地址： http：∥www.cnki.net/kcms/detail/21.1189.T.20170328.1709.034.html

10.7688/j.issn.1000-1646.2017.05.13