14、云环境中的异常检测：通过机器学习检测安全事件

云环境中的异常检测：通过机器学习检测安全事件

云计算正逐渐成为一种重要的使用模式。企业将服务和工作流外包到云端，能在成本灵活性和可扩展性方面获得显著优势，但在安全、透明度和事件处理方面进展有限。现有的安全工具在云环境中存在两大问题：一是未考虑云环境的特定攻击和挑战，如跨虚拟机侧信道攻击；二是仅关注单一抽象层的攻击和威胁，导致不同层之间的事件和警报存在语义差距。

为解决这些问题，我们提出了一种基于上下文的异常检测框架，结合了基于签名和基于异常的监测方法，旨在检测云环境中的安全事件。

云安全现状与挑战

随着云计算的发展，越来越多的企业选择将IT相关的计算单元外包到云端，成为云租户。然而，资源的高可扩展性也带来了设计上的固有弱点，例如租户共享云资源，可能存在潜在的交互，导致企业网络中可能存在敌对机器，这些机器会在多个计算层造成安全漏洞。

此外，攻击手段日益隐蔽，攻击者倾向于使用更高级的技术和持久的策略，将攻击伪装成内部操作。例如，窃取合法服务用户的凭证，长期逐步泄露信息。这些攻击通常表现为实体行为的改变。

为降低攻击成功的概率，安全监控应运而生。传统的事件分析方法主要基于签名，即将从日志事件数据中提取的特征与专家提供的攻击签名特征进行比较。另一种方法是异常检测，通常利用基于机器学习的算法。异常是指实体行为发生显著变化的意外事件或一系列事件。

现有检测方法的局限性

基于签名的方法和基于异常的方法各有优缺点。基于签名的方法的主要缺点是依赖签名数据库，新的攻击模式可能无法及时被检测到。基于异常的方法则更擅长检测以前未见过的模式，但两种方法都缺乏“上下文”信息，即用户、服务、主机和工作流之间的内在关系。