失陷云服务器安全监控研究作者:赖建华来源:《软件导刊》2016年第11期 摘 要:云计算环境下,云租户的安全边界已经回到云服务器自身,快速发现失陷云服务器是云租户最后的安全防线。在分析云服务器失陷特征的基础上,提出了云服务器入侵监控的实现框架,为快速识别失陷云服务器提供解决方案。 关键词:失陷云服务器;失陷云主机;入侵监控;入侵感知
DOIDOI:10.11907/rjdk.162395
中图分类号:TP309
文献标识码:A 文章编号文章编号:16727800(2016)011018103
0 引言
云服务器是IaaS服务提供商基于虚拟化技术虚拟化出来的Guest OS(也称“虚拟机”),
具有简单高效、处理能力可以弹性伸缩的特点。云服务器采用通用的操作系统(Windows、Linux)、数据库等系统软件,运行用户业务应用软件。在服务器方面存在的安全风险问题与传统安全风险是一样的。在IaaS环境下,云服务器的操作系统、运行环境以及应用软件的安全性由云服务器的用户自行负责(参见国标GB/T 31168-2014)[1]。从某种意义上讲,云服务器的安全边界已经转移到云服务器自身了。 在互联网中,服务器存储着大量有价值的信息资源,黑客怀着非法控制、窃取数据、驻留后门等目的,入侵互联网服务器系统。在传统业务向云计算迁移后,云服务器自然也成了黑客攻击的首要目标。据国家互联网应急中心(CNCERT)发布的2015年中国互联网网络安全报告[2]显示,2015年,被黑客控制的僵尸服务器IP地址为10万余个,境内7.5万个网站被植入后门,境内被篡改的网站数量为24 550个。 近年来爆发的各种安全事件证明,黑客攻击对象已经从传统的捏软柿子模式转变为针对性攻击,攻击手段从传统的已知漏洞攻击转变为复杂的高级威胁,甚至采用0 Day漏洞进行攻击。而地下黑产业链所蕴藏的巨大经济利益使攻击目标从早期的技术炫耀转变为利益驱动,攻击者也从个体走向有组织的黑客团体。