冯晓媛

（太原大学外语师范学院，山西太原 030012）

自Google推出云计算概念后，云计算吸引了众多人的关注，并迅速成为业界研究的热点。云计算是一种资源整合利用技术，其下层的技术支撑主要是虚拟化技术。但在各种信息服务引入虚拟化环境后，信息安全的威胁也逐渐进入到虚拟化环境，今天的虚拟化平台遇到了更多新的信息安全问题，例如：虚拟平台自身的弱点、共享资源的风险、跨虚拟主机的攻击等。其中一个主要的问题是虚拟化技术能否将不同的虚拟化资源与实体环境有效地隔离，避免彼此之间相互干扰其服务的正常运作及存取对方的资源，对虚拟化环境的安全来说是一个严格的挑战。

1 相关技术探讨

1.1 云计算

云计算(Cloud Computing)是一种概念，是通过大量的网络运算方式，共享彼此的软件、硬件资源，彼此合作达到高服务性、资源最佳化的目的[1]。所谓云其实也可称为网络，云计算就是通过网络存取远程的主机资源或使用远程的服务。云计算继承了以往的分布式运算与网格运算的概念，分布式运算就是将需要进行大量计算的工程分割成许多小区块，分配给不同的主机进行运算，将结果收集之后，再将结果组合，并得到结论的一项技术。而网格运算是分布式运算的延伸，利用大量不同平台的空闲资源，将其结合在一个虚拟的群体中，利用分布式运算的方式来解决问题。

1.2 虚拟化

虚拟化技术可以将一台实体主机的软硬件资源转换成纯软件，它是一台具备完整功能的虚拟机，如同一台实际的计算机，可以执行自己的操作系统和应用程序[2]。多部虚拟机虽然共同使用同一台实体计算机的硬件资源，但却是相互隔离，因此可以在单一实体计算机上安全地执行多种不同的操作系统和应用程序。

虚拟化可以分成桌面虚拟化和服务器虚拟化，桌面虚拟化安装在各操作系统上，可用于测试、生产和开发，服务器虚拟化产品是整合一个精简专用的操作系统，不须另行安装操作系统；因操作系统无额外功能服务，可获得较好的效能，但也无法在本机管理，由另一台计算机联机管理，适合用于多台服务器整合。

图1 全虚拟化主机架构

图2 特征入侵收集架构图

1.3 蜜罐系统

蜜罐系统是通过“诱敌”的概念所产生出来的信息安全技术，蜜罐系统主要是仿真成受攻击的主机，提供给黑客一个攻击的目标，通过分析这些攻击我们可以得知攻击的类型，提供进一步的安全防护动作[3]。为要成功地捕获入侵者的攻击信息，蜜罐在设置时的伪装系统也要具备高的仿真性，这样蜜罐才能在与入侵者互动时，顺利欺骗入侵者，并获得入侵者真实的攻击记录。分析蜜罐攻击信息，应用在信息安全防护上可降低具有价值的主机系统受到直接的攻击，并提供早期预警。

2 系统架构

2.1 特征入侵收集系统架构设计

通常的系统漏洞检测过程有以下不足，系统漏洞事件发生时，其特征入侵分散储存在不同的设备记录文件内，分别对不同类型的事件纪录进行描述，因为数据内容无统一标准，以致造成特征入侵值收集及分析的困难性。据此本研究将通过了解目前系统漏洞行为模式，选择适用的数字收集方法，设计出可靠的特征入侵收集系统，系统结合防火墙、入侵检测系统、诱捕系统等设置，完整收集网络、系统活动信息，确保入侵来源完整（图2）。

特征入侵分析：正规化收集的特征入侵，将特征入侵来源分别按照操作系统、处理程序、文件资源及网络流量等建立数据关联模型，以找出特征入侵因果关系（图3）。

图3 事件处理关系模型

按照特征入侵数据时间序列解释所呈现的系统漏洞事件，还原系统漏洞原貌，本研究利用开放源代码的自由软件系统设计主体进行整合，并以适当的软件程序代码修正，建立特征入侵收集系统的模型，最后在虚拟环境导入系统漏洞仿真数据测试分析，验证本系统的可用性。

2.2 蜜网架构

本研究利用蜜网的技术特性，调整蜜网的设置架构，解决虚拟机之间的安全问题，通过蜜网完整收集特性入侵事件，进而确定攻击目标。为证明所收集入侵的完整性，将阻断服务的功能改为开放模式，避免因为蜜网的学习功能所启动的直接阻断服务的功能，导致收集的不齐全。

蜜网系统直接安装在虚拟环境上，其系统的数据控制、数据捕获、数据分析及数据收集直接对虚拟机器进行监控及分析，其目的是利用蜜网系统的特性，取得攻击者对虚拟机器攻击的信息[4]。蜜网系统不改变原系统的信息安全设置、连线存取限制，以确保营运系统能正常运作。本研究采用传统蜜网高互动、高活动监视能力的条件特性在虚拟环境内构建有利于特征入侵收集的环境，有效监控及记录虚拟环境内的网络攻击行为。

2.3 虚拟环境入侵事件收集

本研究基于蜜网系统设计虚拟机器系统漏洞收集机制，系统收集的重点在于系统漏洞特征收集、分析与鉴定工作，并建立数字收集模型，在特征入侵结果呈现不完整或收集内容遗漏时，重新修正获取目标、工具及关联规则，进而确保研究的特征入侵收集机制实现设计的目标。

系统将收集的漏洞数据分为本地采集和网络采集。在本地采集部分使用Sebek记录加密会话中击键，恢复使用SCP拷贝的文件，捕获远程系统被记录的口令，恢复使用Burneye保护的二进制程序的口令还有其它的一些入侵分析任务相关的作用。而网络采集部分，在密网防火墙设置Snort进行收集，主要是实时记录和分析IP网络中的数据流。通过对协议的分析、数据包内容的搜索和匹配，它能被用于监测许多攻击和扫描，如缓冲区溢出、端口隐蔽扫描、CGI攻击、SMB探测、操作系统识别探测等。将所收集的数据送交由系统进行分析，系统会按照事先设计好的法则进行数据聚合及关联，将所收集的数据正规化及分类，并储存在数据库中，提供网页界面存取。

3 结语

本系统基于云计算的虚拟化技术，建构蜜网系统并选择适当的收集工具，以获得网络攻击及入侵特征值。安全的虚拟化平台建议的做法包括禁用未经使用的虚拟硬件、关闭需使用的虚拟化平台服务，并且考虑使用虚拟化平台监控虚拟机器与其运作上的安全，以及发生在虚拟机器间的安全活动，虚拟化平台本身也需要进行监控。建立完整的安装、设定及设置安全计划，规划有助于确保虚拟环境的安全和遵循组织相关安全政策，组织应该在系统开发生命周期计划初始阶段，以最大安全及最小成本考虑规划。

[1]张路.Windows平台下蜜罐系统的研究与实现[J].网络安全技术与应用,2009(1):131-134.

[2]周向荣.基于蜜罐技术的局域网安全研究[J].网络安全技术与应用,2009(8):15-18.

[3]杨冬,高为民.基于虚拟蜜罐的网络安全系统的设计与实现[J].网络安全技术与应用,2008(5):77-82.

[4]陈洁,连晓东.入侵检测系统在列车调度指挥系统网络中的应用[J].铁道运营技术,2010(2):34-41.